CN117561700A - 用于车辆中控制设备之间受保护的通信的装置、电子处理单元及车辆 - Google Patents
用于车辆中控制设备之间受保护的通信的装置、电子处理单元及车辆 Download PDFInfo
- Publication number
- CN117561700A CN117561700A CN202280045055.7A CN202280045055A CN117561700A CN 117561700 A CN117561700 A CN 117561700A CN 202280045055 A CN202280045055 A CN 202280045055A CN 117561700 A CN117561700 A CN 117561700A
- Authority
- CN
- China
- Prior art keywords
- control device
- vehicle
- bus system
- protected
- vehicle bus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 126
- 238000012545 processing Methods 0.000 title description 6
- 230000006870 function Effects 0.000 claims description 37
- 238000002405 diagnostic procedure Methods 0.000 claims description 17
- 230000008878 coupling Effects 0.000 claims description 14
- 238000010168 coupling process Methods 0.000 claims description 14
- 238000005859 coupling reaction Methods 0.000 claims description 14
- 230000015654 memory Effects 0.000 claims description 13
- 238000000034 method Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 20
- 230000004044 response Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 239000000047 product Substances 0.000 description 8
- 230000033228 biological regulation Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000004378 air conditioning Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 239000004020 conductor Substances 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 241001465382 Physalis alkekengi Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000003306 harvesting Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000013021 overheating Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 238000002604 ultrasonography Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及用于车辆(20)中控制设备之间受保护的通信的装置,以及涉及相应装备的电子控制设备(CU4、CU5)和车辆(20)。控制设备分别装备有至少一个通信接口(IT1),经由该通信接口,控制设备能联接到有线的车辆总线系统的第一部分(B1)上,用以交换消息。本发明的特征在于,设置有至少一个与车辆总线系统(B1)联接的受保护的控制设备(CU4、CU5),其中,受保护的控制设备(CU4、CU5)设有至少一个另外的通信接口(IT2),与另外的通信接口联接有车辆总线系统的隔开的部分(B1‘)。受保护的控制设备(CU4、CU5)设置有网关功能(GWF)和安全装备(SE),安全装备至少履行了防火墙(FW)的功能,通过防火墙抵御来自车辆总线系统的第一部分(B1)对车辆总线系统的隔开的部分(B1‘)中的其中一个控制设备的攻击。
Description
技术领域
本发明涉及在车辆、尤其是商用车辆中的网络安全的技术领域。在车辆中越来越多整合有相互间可能进行消息交换的电子部件。为此,形成了各种通信网络,这些通信网络设有网关,它们将各种通信网络相互连接起来。这些网关用于执行格式变换,以此将其中一个通信网络格式的消息转换成其他通信网络的格式,并且反之亦然,以此使来自其中一个通信网络中的电子部件的消息也被其他通信网络中的电子部件所理解,并且反之亦然。然而在某些情况下,尽管使用了相同的总线系统,大量占用通信总线的控制设备仍会在单独的分路中被联网,并且对于该分路来说不需要进行格式转换。“网络安全(CyberSecurity)”这一术语在此讨论的是在“数字时代”中数据安全的各种方面。这尤其包含了网络安全方面。在此,尤其是要抵御来自外部和内部对通信网络的攻击。在此,攻击的可能性与网络本身一样是多种多样的。
背景技术
在发生对固定的计算机网络的攻击时通常关系到要对存储在那里的机密数据进行保护并且要阻止恶意软件的侵入,而在发生对车辆中的通信网络的攻击时特别关系到要阻止伪造的控制指令和伪造的诊断指令的侵入。2015年,一群黑客在一辆车辆正在运行时对该车辆执行了黑客攻击,他们对车辆中的通信网络有怎样的抵抗能力进行了演示,这给人留下了深刻印象。在这次演示中,将伪造的控制指令进行侵入,以对车辆的BCM模块(即Body Control Modul,车身控制模块)进行篡改。在此,在行驶期间,驱控了车窗升降器,并在全速行驶中将玻璃降下来。还执行了更严重的攻击。将制动器停用,以及对空调设施、仪表盘以及信息娱乐系统和转向部进行远程控制。因此,存在保护车辆中的通信网络的安全的努力。
由US2013 227 648A1已知,在车辆中设置有网关,以便抵御来自外部的攻击。经由该网关进行向外部的通信。该网关装备有防火墙。防火墙可以是一种使用公钥基础设施(PKI)的认证手段,并基于对称或非对称的密钥交换对通信伙伴进行认证。防火墙可以阻止未经认证的恶意信息的传输,并当有恶意信息被传输时输出警报。
由US2019 268 376A1已知,针对外部数据流设置有带防火墙的网关以及针对内部数据流量设置有带防火墙的网关。外部网关的防火墙保护与车辆之外的通信伙伴的数据通信的安全。所有来自外部的消息都经过检查并转发给内部网关。所有来自车辆内的控制设备并要向外发送的消息也经过外部网关防火墙的检查。内部网关可以经由内部网络将从外部网关传输来的信息转发给内部的电子控制设备,或对各种内部电子控制设备之间的通信进行支持。在该情况下,内部网关仅用于安全检查。
由US2014 226 673A1已知,给车载网关设备设有用于车间诊断测试仪的联接端。该网关设备还被用于在诊断测试仪与车辆建立连接的时刻实行对诊断测试仪的认证,并在认证成功时传输诊断测试仪与车载设备之间的通信。该网关设备同样装备有防火墙。
在车辆领域中,对包含控制指令或传感器数据的消息伪造的类型与用于传输此类消息的通信协议密切相关。车辆中最为常用的通信协议是CAN总线通信协议。CAN总线(即Controller Area Network,控制器局域网)自1991年以来就在车辆中广泛使用。CAN总线通信协议于1994年实现标准化,并且ISO标准编号为ISO 11898。后来,该总线系统的其他变体也实现了标准化。然而,CAN总线通信协议很容易受到以消息侵入为基础的攻击。这种攻击也被称为“欺骗”。“欺骗”这一术语指的是对发送端地址加以伪造,用以掩盖数据包的来源。
然而,在CAN总线通信协议中并不传送发送端地址。但是,当攻击者成功获得通向总线线路的逻辑访问权限时,就有可能将消息侵入。在CAN总线中使用了无屏蔽的经绞合的双线线路作为物理传输介质。当攻击者成功地将其被篡改的设备联接到该总线线路上时,就很容易地将附加的(篡改的)消息侵入。然而,当如2015年所演示那样经由所谓的空中接口侵入消息时,也有可能做到这一点。这是一种用于向外通信的车载通信模块。它可以是5G、LTE或WIFI调制解调器等。典型地,空中接口与网关模块联接,网关模块与一个或多个车辆通信总线连接。
CAN总线系统的易受攻击性近年来已通过开发受保护的CAN收发器来应对。
由EP 3 148 154 B1已知一种这样的CAN收发器。在此,使用到监控模块,利用该监控模块检查所接收到的CAN报文的标识符是否与为总线站预留的标识符相一致。由此将检查是否违反了CAN报文标识符在CAN总线中有效的唯一性规则。如果确认到违反了唯一性规则,就推断出总线系统受到攻击,并在接收CAN报文期间就宣布所接收到的违反唯一性规则的报文无效。这方面通过在接收到的CAN报文的帧字段末尾中发送错误标记来实现。当其他总线参与站识别到该错误标记时,则它们必须将接收到的消息视为无效进行丢弃。因此不对消息中可能包含的控制指令进行实施,并因此使该消息不会再造成任何损害。
由WO 2020 187 985A1已知针对受保护的CAN收发器的扩展方案,其中还提出了其他的应对措施。
然而问题在于,针对车辆领域的批量产品典型地开发时间段为10至15年。这意味着,在新车中仍使用有未装备受保护的CAN收发器的控制设备。这些控制设备仍然很容易受到消息侵入。对于商用车辆的制造商来说将一代产品长期使用是合适的。产品周期在此可能就要超过15年。
然而,立法者现已规定,从2024年起,对不符合UE-ECE(联合国欧洲经济委员会)R155法规的新车不再允许在欧盟注册。该法规中要求车辆制造商在其车辆网络架构中必须设置针对网络攻击的应对措施。在世界其他地区,相应的UE-ECE的成员国也必须采取此类预防措施。
尽管所有供应商和商用车辆制造商都尽力争取提供最大程度的安全性以应对已知的网络攻击,但要在2024年之前为商用车辆中使用的所有电子控制设备、传感器和执行器开发、测试和验证新一代产品,并届时还要将生产设施转变适应新一代产品,这并不现实。还必须为新的电子部件开发、测试和生产相匹配的网络架构。
虽然存在利用专门为此开发的特别是受保护的网关设备来抵御来自外部的经由空中接口的攻击的可能性,但这并不适用于抵御由于攻击者设法获取通向总线线路的访问权限并联接上被篡改的电子设备发生的来自内部的攻击。然而,这种攻击特别是在商用车辆领域中是可能的,这是因为这种车辆在较远的路线中途在夜间无法停放在受安全保护的车库中。此外,对挂车进行篡改可能更容易。挂车同样包含电子部件,如制动控制设备和传感器以及执行器,这些电子部件与所谓的挂车CAN总线联接。在与牵引车挂接时,该挂车CAN总线与牵引车的T-CAN联接端连接。于是就建立了通向牵引车的车辆总线的连接。当将被篡改的电子设备与挂车CAN总线联接时,则可以将被篡改的消息侵入到牵引车的车辆总线上。使用另外的网关设备来抵御此类被侵入的消息是可行的,但将大大提高成本。
因此,存在对至少在过渡时间段内可以使用的并满足UN-ECE R155法规标准的替选的安全保护措施的需求。本发明的目的在于,提供一种有效的替选解决方案,使得能够实现在相匹配的网络构架中将现有的一代产品中的电子部件和新一代产品的受保护的电子部件混合使用。同样,利用该解决方案应当实现的目的是,可靠地识别出未经授权的总线访问并防止可能被篡改的报文造成损害。
发明内容
因此,本发明的任务是找到一种网络构架,来用于尚未装备受保护的CAN收发器或安全车载通信(SecOC)的电子设备,并满足适用的UN-ECE R155法规的要求。
该任务通过根据权利要求1的用于车辆中控制设备之间受保护的通信的装置,通过根据权利要求7的电子控制设备并通过根据权利要求19的车辆来解决。
根据对这些措施的以下描述,从属权利要求包含了本发明的有利的改进方案和改善。
在一个方案中,本发明涉及一种用于车辆中控制设备之间受保护的通信的装置,其中,控制设备分别装备有至少一个通信接口,经由通信接口,控制设备能联接到有线的车辆总线系统的第一部分上,用以交换消息。在此设置有至少一个与车辆总线系统联接的受保护的控制设备。根据特别的网络构架,该受保护的控制设备设有至少一个另外的通信接口,与该另外的通信接口联接有车辆总线系统的一部分,与该部分联接有不包含防止被侵入的消息的抵御措施的至少一个控制设备。在此,受保护的控制设备设有网关功能和安全装备,安全装备至少履行了防火墙的功能,通过该防火墙抵御来自车辆总线系统的第一部分对车辆总线系统的隔开的部分中的其中一个控制设备的攻击。该解决方案的优点在于,使得仍未装备受保护的CAN收发器或安全车载通信的所谓的遗留(Legacy)控制设备仍能继续使用。虽然这些遗留控制设备容易受到被侵入的消息的影响,但通过在上游接有受保护的控制设备而使它们受到保护,该受保护的控制设备拦截在车辆总线系统的第一部分中侵入的消息并进行无害化处理。因此有可能在遵守了在法规中要求的抵抗网络攻击的安全保护的情况下在车辆通信总线系统中混合使用受保护的控制设备和易受攻击的控制设备。该解决方案在此还提供了节约成本的潜力,这是因为无需使用附加的单独的网关设备来保护遗留控制设备。取而代之的是,该任务由新开发的装备了安全的CAN收发器的控制设备来承担。然而,该控制设备必须具有足够的计算能力,以便可以附加地实施网关功能和防火墙功能。
在此,受保护的控制设备的网关功能以有利的方式特别涉及车辆总线系统的第一部分和第二部分中的子参与者之间的消息路由。
当有线的车辆总线系统相当于尤其是在根据SAE J1939标准的变体中的CAN总线系统、即控制器局域网时,本发明的优点尤为明显。在此特别容易出现有被侵入的消息的问题,这是因为CAN消息以内容寻址的形式发送。这意味着,消息并未设有发送端地址和目标端地址,而这些却能使检查被侵入的消息更为容易。取而代之的是,在消息的起始端传送所谓的报文标识符,该报文标识符也说明了消息的内容。CAN总线系统的所有站都可以从中识别出这些消息是否是它们需要的。然而,未装备受保护的CAN收发器的控制设备却无法从中识别出消息是否被侵入还是实际上由原控制设备传送。
因此有利的是,车辆总线系统的第一部分中的控制设备装备了受保护的CAN总线通信接口,其中,受保护的CAN总线通信接口被设计成使得它们可以识别出车辆总线系统的第一部分中被篡改的控制设备的被侵入的消息并可以进行无害化处理。为此目的,在市场上已经提供有这种安全的CAN收发器。举例如恩智浦半导体公司(NXP SemiconductorsN.V.)的Stinger型CAN收发器。还存在使用支持安全车载通信的附加软件栈来保护通信安全的可能性。
在本发明的一个实施方式中,受保护的控制设备是制动控制设备EBS(即“Elechronic Braking System,电子制动系统”),而至少一个被移位到车辆总线系统的其他部分的控制设备(遗留控制设备)涉及驾驶辅助系统控制设备或与至少一个环境检测传感器(如摄像头、雷达、激光雷达、超声波或红外摄像头)联接的环境检测系统控制设备。在此,车辆总线系统的第二部分中也可以布置两个或更多个遗留控制设备。这具有的优点是,可以重复使用老一代产品的多个控制设备。
在另一方案中,本发明涉及一种电子控制设备,其具有第一通信接口,经由该第一通信接口,控制设备能联接到有线的车辆总线系统的第一部分上,用以交换消息。该控制设备的特征在于,其具有至少一个另外的通信接口,与该另外的通信接口能联接车辆总线系统的隔开的部分,其中,该控制设备设有网关功能和安全装备,该安全装备至少具有防火墙功能,其目的是抵御来自车辆总线系统的第一部分对车辆总线系统的不安全的部分中的其中一个控制设备的攻击。利用如此装备的控制设备,使得可以以有利的方式实现如在本发明的第一方案中所示的特别的网络构架。
为了进一步保护车辆总线系统的安全而有利的是,用于电子控制设备的安全装备还涉及受保护的启动过程的功能。借助该措施,对启动过程中的各个步骤进行监控。甚至因此能够确保只有经加密编码签名的启动加载程序才在控制设备中开始,为此在硬件安全模块中存储有证书。这些证书在那里被安全地保存并防止篡改。因此例如就可以阻挡之后通过篡改加载到控制设备中的恶意的启动加载程序。
在此以有利的方式,控制设备的网关功能应涉及车辆总线系统的第一部分和隔开的部分中的参与者之间的消息路由。
特别有利的是,电子控制设备的第一通信接口和至少一个另外的通信接口相当于尤其是在根据SAE J1939标准的变体中的CAN总线通信接口、即控制器局域网。如所述,CAN总线很容易受到被侵入的消息的攻击。因此,为电子控制设备设有用于这种通信总线类型的安全装备就尤为重要。
在这方面非常有利的是,用于联接车辆总线系统的第一部分的CAN总线通信接口装备有受保护的CAN收发器,它可以抵御来自车辆总线系统的第一部分中的被篡改的控制设备方面的被侵入的消息的攻击。如所述,这种受保护的CAN收发器在市场上是能买到的。
同样有利的是,安全装备还具有对联接到车辆总线系统的第一部分的控制设备或网关设备的外部诊断测试仪进行基于证书的认证的功能。这方面甚至是迫切需要的,以便防止通过被篡改的诊断测试仪将恶意软件加载到控制设备上。
为了同样的目的而有利的是,安全装备甚至涉及HSM模块(即Hardware SecurityModul,硬件安全模块),用以保障至少是对联接到车辆总线系统的第一部分上的控制设备的外部诊断测试仪进行安全认证。在HSM模块中可以安全地保存密钥和用于认证的证书。HSM模块还可以包含计算单元,需要该计算单元来安全地实施经加密编码的计算,例如散列算法、密钥推导、加密和解密算法、签名计算、随机数计算、用于认证和身份识别的计算等。
虽然对诊断测试仪的认证可以通过受保护的控制设备利用基于证书的强认证来进行,但对于已移位到车辆总线系统的隔开的部分中的遗留控制设备来说,这是不可能的,这是因为它没有装备相应的算法,更不用说装备HSM模块。在此于是有利的是,让受保护的控制设备的安全装备还具有诊断客户端控制设备的功能,用以就实施通过与经证书验证的外部诊断测试仪通信而调用的诊断功能方面对联接到车辆总线系统的隔开的部分上的控制设备进行“种子密钥”认证。因此也能实现通过诊断测试仪读取遗留控制设备中的故障存储器条目,这是因为在对诊断测试仪进行安全的认证后,受保护的控制设备将支持这些诊断功能。
在本发明的另外的设计方案中有利的是,安全装备还具有的功能是:阻止指向车辆总线系统的不安全的部分中的待测试的控制设备的来自外部诊断测试仪的某些被列为危险的诊断指令。这些危险的诊断指令尤其是与读取和写入待测试的控制设备的为实施计算机程序所分派的存储器区域有关的或用于将计算机程序永久性存储在非易失性的存储器区中的指令。
在本发明的特别安全的设计方案中,安全装备还具有对进入的诊断命令进行逐个或分组验证的功能,其中,在将相关的诊断指令转发给车辆总线系统的不安全部分中的待测试的控制设备之前,分别重新执行对外部诊断测试仪进行基于证书的认证。然而这具有的缺点是,延长了执行测试所需的时间段。
附加地,受保护的控制设备中的安全装备还可以具有受保护的软件更新过程的功能,在该软件更新过程中,可以替换存储在非易失性存储器区域中的计算机程序。例如,该措施可以包括为要加载的计算机程序设有数字签名的哈希代码,在将程序写入非易失性存储器之前,在控制设备中对该哈希代码进行检查。否则,这种软件更新的可能性应被阻断,这是因为否则就有可能将恶意软件装载到非易失性存储器区域中。
实现本发明的这三种可能的变体在于,设置一种根据“电子制动系统”的制动控制设备EBS或用于距离调节系统的控制设备或用于自动驾驶系统的控制设备,其设有根据本发明的安全装备。
本发明的另外的方案在于一种具有驱动单元和电子调节的制动系统的车辆,该车辆具有根据本发明的装置。
附图说明
本发明的实施例在附图中示出,并在下面结合附图进行详细解释。
其中:
图1示出牵引车和准备提取的类型为半挂车的挂车;
图2示出用于牵引车的电子装备的第一框图;
图3示出用于挂车的电子装备的框图;
图4示出借助CAN总线对电子部件联网的原理;
图5示出用于在CAN总线上传输消息的标准数据帧的格式;
图6示出用于根据UDS诊断协议传输消息的消息格式;
图7示出在执行利用联接到车载网络的诊断测试仪对遗留控制设备的诊断测试的过程中所涉及的控制设备之间的消息交换的简图;以及
图8示出用于牵引车的电子装备的第二框图。
本说明阐述了根据本发明的公开内容的原理。因此应理解,本领域技术人员将能够设计出各种布置方式,这些布置方式虽然在此并没有明确描述,但它们仍体现了根据本发明的公开内容的原理,并在其范围内也应受到保护。
具体实施方式
图1示出了对准准备提取的挂车10时的牵引车20。挂车10这一术语在此被理解为装备了用于牵引车20的挂接系统的挂车。其优选是商用车辆挂车。这些挂车通常作为半挂车装备有挂接系统,其中,挂车10的所谓的主销被引导到牵引车的鞍板22中,直至卡锁,由此在牵引车20与挂车10之间形成能转动的连接。然而,也可以是其他挂车,例如在农业中使用的挂车或钩挂到工程车辆上的挂车。大型房车以及休闲和运动挂车也在考虑之列。
牵引车20可以是典型的牵引车20。它优选是商用车辆。在此考虑其他牵引车也是适用的。例如在农业中使用的牵引车、建筑车辆或野营车辆。最后需要指出的是,以上列举的并不是最终列举。因此,乘用汽车同样也可用作牵引车,它们同样可以装备本发明的主题。牵引车这一术语在此也只是示例性使用。本发明也可以用在不当作牵引车的其他交通工具中。这些交通工具也包括有公共汽车和建筑机械和收割机,以及摩托车、机器人、飞行器和无人机。
牵引车20装备有驱动单元24,该驱动单元在所示的形式方面与内燃机相应。当然,牵引车中也可以整合有其他类型的驱动单元。电动马达和燃料电池被作为另外的示例举出。牵引车20的车轮中还强调了行车制动器26。
图2示出了牵引车20的示例性的车辆电子系统的结构。示出了驱动系PT的电子控制设备和驾驶员辅助系统支线DA的电子控制设备。附加地还示出了网关PU1以及所联接的车载通信设备KU1和KU2。车载通信设备KU1可以被构造为LTE或5G调制解调器或被构造为WLAN模块。经由它实现向接驳到互联网或其他公共通信网络的设备的通信。经由它同样展开与其他车辆的数据业务(这也被称为V2V通信,即车对车)或展开与静态的基础设施设备的数据业务(即V2X通信)。在与其他车辆进行通信时,为此目的可以使用LTE调制解调器的所谓的“侧向链路”通信功能或使用5G调制解调器的所谓的“PC5”通信功能。经由WLAN模块也展开V2X通信(即车到一切)。
车载通信设备KU2为牵引车20供应远程信息处理数据。例如,这包括所已知的物流领域的应用,如过路费检测,也包括用于控制交通流量的数据。例如,这可以是GSM模块。用于车间诊断测试仪T1的联接端T1也与中央网关PU1联接。与中央网关PU1还可以联接另外的电子部件,这在图2中没有示出。作为示例举出的有信息娱乐系统的电子设备。例如,这些设备包括诸如导航设备、收音机、电话以及用于操作和告知驾驶员信息的触摸屏式显示设备的部件。所谓的车身控制模块也可以联接到网关PU1。该车身控制模块被用于接收和实施对能由驾驶员操作的部件的各种调整。在此被作为示例举出的有挡风玻璃雨刮器、挡风玻璃清洗设施、门锁、各种灯具和指示灯、车窗升降器、用于座椅调节的马达、空调设施等。
驱动系PT包括各种电子控制设备。框CU1指的是电子马达控制设备。框CU2指的是自动变速器控制设备。框CU3指的是缓速器单元的电子控制设备。该缓速器单元的电子控制设备被用于支持制动过程,并可以防止车轮上的摩擦制动器26过热。框CU4指的是电子制动控制设备EBS(即“Electronic Braking System,电子制动系统”。用附图标记26表示每个车轮的行车制动器。每个行车制动器26可以由电子制动控制设备CU4单独操纵。为此,将相应的制动线路25与电子制动控制设备EBS联接。
附图标记DA标注了图2中的驾驶员辅助系统支线,框CU5指的是驾驶员辅助系统ADAS(即“advanced driving assistance system,高级驾驶辅助系统”)的电子控制设备。其在此是自适应的距离调节系统,使得自动维持与前方车辆的距离。它测量与前方车辆的距离,并向驱动系的控制设备传送控制指令,以便当与前方车辆的距离减小时对车辆进行制动,或当与前方车辆的距离增大时将车辆加速。电子控制设备CU5的特别之处在于,它已经被整合有用于测量距离的雷达传感器。在另一实施方式中,控制设备CU5可以不装备整合式的雷达传感器。雷达传感器于是必须如图所示的摄像头SU1那样联接到控制设备CU5。摄像头SU1是附加的环境检测传感器。它可以帮助更精确地确定周围环境中的物体。这也可以帮助识别出测得的距离值是否可靠。当使用立体摄像头时,其也可以用于距离确定。这也为提高距离测量的准确性提供了可能性。为此目的,电子控制设备CU5可以包含计算单元,该计算单元将雷达传感器提供的距离值和立体摄像头SU1提供的距离值进行传感器融合。附图标记SU2指的是转向角传感器。该转向角传感器安装在转向系统上,但也利用另外的缆线与驾驶员辅助系统联接,以此使得驾驶员辅助系统在相应的转弯行驶时可以更精确地确定距离。
电子控制设备CU1至CU4和网关模块PU1经由总线系统B1彼此联网。为此目的可以使用被设计成用于车内通信的总线系统。典型地,为此目的使用到串行的总线系统,这是因为在其中布线花费是最少的。作为可能的示例举出有CAN总线系统(即控制器局域网)。CAN总线系统有各种变体,如低速CAN和高速CAN,以针对125kBit/s和1000kBit/s的各种数据传输速率。此外,还指定了一种扩展的CAN总线,其被称为CAN-FD总线,其中,FD代表“FlexibleData Rate,灵活数据传输速率”。该规范限定了具有更高传输能力的扩展的数据帧,其中,用户数据字段有所扩大。图2中针对总线B1示出了总线构架,使得使用了共同的总线线路。与该总线B1联接的每个设备都装备有通信接口IT1。因此,当总线系统涉及CAN总线时,则通信接口IT1相应地用于CAN总线。
典型地,总线系统B1被实施为CAN总线,并被称为车辆总线。车辆总线是特殊的CAN总线,其在根据符合SAE J1939的标准的变体中设计。SAE标准由SAE组织(即Society ofAutomotive Engineers,汽车工程师协会)发布。
网关模块PU1还装备了通信接口IT1。为了与车载通信设备KU1进行通信,网关设备PU1装备了通信接口IT4。为了与车载诊断接口T1通信,网关设备PU1装备了通信接口IT5。为了与远程信息处理单元T1通信,网关设备PU1装备了通信接口IT6。
驾驶员辅助系统支线DA的部件CU5、SU1和SU2经由通信总线B1‘联网。该通信总线B1‘也可以构造为CAN总线。替选地,它也可以构造为CAN-FD总线。为此,电子控制设备CU4装备了另外的通信接口IT2。部件CU5、SU1和SU2也装备了通信接口IT2。当总线B1‘也作为CAN总线实现时,则通信接口IT2也被设计为CAN总线接口。与电子控制设备CU4还联接有另外的通信总线B2。该另外的通信总线与联接插座T2连接。在挂接挂车10时,该联接插座被用于容纳挂车的通信总线的相应的插头。为此,电子控制设备CU4设有通信接口IT3。总线B2也可以实现为CAN总线,从而通信接口IT3也可以被设计为CAN总线接口。电子控制设备CU4设有网关功能GWF和安全装备SE。该安全装备由硬件安全模块HSM、防火墙FW、安全启动加载器SBS和安全更新加载器SUS构成。如前所述,HSM模块用于安全存储经加密编码的信息,如密码、密钥信息和证书,并用于安全执行经加密编码的运算,如依赖于种子密钥信息计算密钥(例如在安全的迪菲-赫尔曼密钥交换措施中)、计算哈希值、执行加密或解密算法等。HSM模块HSM具有防篡改的安全性,这是因为它通过硬件实现并且无法重新编程。
防火墙FW的任务在于,监控经由各种通信总线联接端进行的数据传输。防火墙由软件实现,并被用于限制网络访问。它监控通过防火墙的数据传输,并基于所规定的规则来决定是否允许某些网络数据包通过还是不通过。以该方式,使得防火墙视图阻止未经允许的网络访问。所规定的规则的数量和类型在此决定了以此可以达到哪种安全度。下文将结合图6的描述更详细地解释安全装备SE的使用细节。
图3示出了挂车10的电子系统的框图。在此,附图标记CU6指的是用于挂车10的制动控制设备。该制动控制设备与制动控制设备CU4一样以相同的方式驱控挂车10的车轮的行车制动器26‘。然而,该制动控制设备CU6被设计为遗留控制设备,并因此不包含如控制设备CU4那样的安全装备,并且也不包含网关功能。挂车10的制动线路用附图标记25‘表示。附图标记B2指的是挂车10的通信总线,在此用T2‘表示用于插入到牵引车20的联接总线B2的联接插座T2的联接插头。在挂接挂车10时,该联接插头将插塞到牵引车20的联接总线B2的联接插座T2中。典型地,联接总线B2也被设计为CAN总线。因此,制动控制设备CU6装备了通信接口IT3,该通信接口也可以是CAN总线接口。
图4示出了借助CAN总线将电子部件联网的原理。CAN网络是由CAN节点(具有CAN接口的电子部件(控制设备、传感器、执行器))构成的系统复合体,这些CAN节点经由它们各自的CAN接口和连接所有CAN接口的传输介质(总线线路)相互交换数据。示出了三个CAN节点100。CAN总线的总线结构是线性的。因此具有联接所有三个CAN节点100的总线线路150。在最常见的用途中,使用非屏蔽的绞合的双线线路(Unshielded Twisted Pair-UTP,非屏蔽双绞线)作为总线线路150,经由它进行对称的信号传输。在对称的信号传输中,信号作为电压差经由两条线路传输。在此,该线路对由非反相的信号线路CANH和反相的信号线路CANL组成。接收器根据这两个导体上施加的信号的差重建原始的数据信号。这具有的优点是,使得在总线线路150的两个导体上出现的共模干扰被形成差所抵消,并因此不影响传输。
为了避免信号反射,总线线路150在两个线路端部处用大小与总线线路的特性阻抗(120欧姆)相同的终端电阻RT结束。CAN接口由两部分组成:即通信软件和通信硬件。通信软件包括高级通信服务,而基本的通信功能典型地在硬件中实现:在此区分出两个硬件部件:CAN控制器140服务于统一加工CAN通信协议,并由此对其上运行上述通信软件的主机160进行减负。CAN收发器120服务于将CAN控制设备140挂接到CAN总线150上,它在传送过程中成形用于数据传输的信号,并在接收时进行信号处理。
图5示出了针对在CAN总线上传输消息的标准数据帧的格式。
根据ISO 11898-1,传输帧中存在许多不同的位,它们满足控制目的。下表列出了传输帧的各种字段和控制位及其英文名称。同时还给定了各个字段的长度。
表1
CAN帧包含帧起始(SOF)字段、仲裁字段、控制字段、数据字段、循环冗余校验(CRC)字段、ACK字段、帧结束(EOF)字段和中断序列(ITM)字段。
SOF字段表示指示CAN帧开始(即消息的开始)的字段。仲裁字段标识消息并为消息指派优先级。根据仲裁字段中所配属的标识字段的长度,CAN帧被分为标准格式和扩展格式(如图所示为标准格式)。在标准格式中,仲裁字段具有11位的长度。对于扩展格式来说,仲裁字段中的标识字段的长度为29位。
标识符规定了数据帧的优先级,并与验收过滤一起提供CAN网络中在通信矩阵中限定的发送端/接收端关系。在通信矩阵中为每个控制设备规定了处理哪些报文。因此,当收到的报文的报文标识符未在那里列出,则该报文通过验收过滤拣出,并且不转发给应用程序。同时,针对CAN总线还必须遵守开头提到的唯一性规则,该唯一性规则确定了报文标识符只能供某些控制设备类型的报文使用,而不能再分配给其他控制设备的其他报文。
发送站借助RTR位向接收端传达帧类型(数据帧或远程帧)。RTR位显性显示数据帧,隐性显示远程帧。附加地,仲裁字段可以包含长度为1位的标识符扩展字段(IDE),以便识别帧是标准格式还是扩展格式。如果IDE字段的值为0,则显示标准格式。如果值为1,则意味着存在扩展格式。在DLC字段中,向接收端显示报文中包含的用户数据字节数。用户数据字节以数据字段传输。利用数据帧最多可以传输八个用户数据字节。用户数据字节借助以CRC字段传输的长度为15位的校验和在使用循环冗余校验的情况下受保护以防传输错误。基于CRC校验的结果,接收端在ACK时隙中以肯定或否定的方式确认收到。在此,通过CAN控制器在消息的末尾传输ACK位指出已正确接收到消息。传送消息的站检查在CAN总线上是否存在ACK位。如果未找到ACK,则证据表明某个站未能正确接收到消息,并且发送站可以尝试重新传输。数据帧的传输以七个隐性位结束,其相当于帧结束代码EOF。
下面结合图6解释在将外部诊断设备DT联接到牵引车20的车载电子器件上时诊断过程的流程。图6在上方一行中示出了参与的电子控制单元,并设有相应的附图标记。这些控制单元是车载诊断接口OBDI(其可以包含在联接插座T1中)、处理单元PU1(网关设备)、制动控制设备CU4和电子控制设备CU5(该电子控制设备装备有雷达传感器,并且执行对前方车辆的距离调节)。在第一步骤S1中,已联接的诊断测试设备DT向车载诊断接口OBDI传送用于启动诊断会话的消息。整个诊断会话在此遵循根据ISO标准14229规定的诊断通信协议,因此关于本发明的公开内容明确涉及该标准。该诊断协议也被称为统一诊断服务协议(简称UDS服务)。为了解释本发明,特别提及了2020版的ISO 14299-1变体。在该变体中,诊断会话的启动通过证书来受保护。用于启动诊断会话的消息包含认证诊断设备DT的证书。利用该证书证实证书所有者有权使用诊断测试仪,并持有安全通信所需的公钥以及所需的私钥。公钥在证书中可见,私钥包含在内但已被加密。同样地,要被测试的那个控制设备的地址也包括在内。在所示的情况下,在UDS消息中说明了控制设备CU5的地址。因此,该控制设备是不包含附加安全装备的遗留控制设备。车载诊断接口OBDI接收消息ODS并将其转发给处理单元PU1,即转发给网关设备。
诊断协议应尽可能得到安装在车辆上的所有控制设备支持。因此就有可能对这些控制设备进行测试和维护。诊断服务在此例如在与CAN协议不同的层级上发挥作用,CAN协议本身只使用数据通信的OSI参考模型的第一层即比特流传输层(Physical Layer,物理层)和第二层紧急数据安全层(Data Link Layer,数据链路层)。UDS服务本身可以一部分配属于OSI模型的会话层(Session Layer),另一部分配属于应用层(Application Layer)。诊断消息总是统一地构建,并被分为SID字段(服务ID)、参数字段和数据字段。该消息格式在图7中示出。SID字段具有规定的8位的长度。参数字段的长度为16位。UDS标准允许报文具有任意长度的数据字段。因此,最大尺寸由分别使用的用于传输UDS消息的传输协议预定。根据ISO标准ISO 15765-2,在常用的ISO传输协议中,例如允许报文长度高达4095字节。
基于诊断协议的通信遵循请求-响应原则地发挥作用。因此,在UDS中限定的服务请求可以被传送给必须支持预定的UDS服务的控制设备。诊断测试仪随着向控制设备发出请求来启动服务,并且在服务结束后,该控制设备发回肯定或否定的响应。如果服务实施的时间超过预定的运行时间,则控制设备必须定期传送临时响应(requestCorrectlyReceived-ResponsePending,正确接收请求-等待响应)。该临时响应确认已收到请求,但告知实施仍在进行中。因此例如有可能的是,查询和重置各个控制设备的故障存储器。另外的UDS服务例如涉及控制设备的固件更新。
ISO 14229-1(2018)变体中的UDS标准限定了27种服务请求。如果通信经由CAN总线导引,则这些诊断消息(请求和响应消息)将在CAN协议的数据安全层上以用户数据字段传输。如果UDS消息现在是在下面的层中基于标准或扩展的CAN总线协议,则必须在诊断测试仪和参与的控制设备上安装协议栈,该协议栈确保了在传输层(Transport Layer)上收集一定数量的CAN总线报文的数据字段,直到传输完完整的UDS消息。然后,参与的控制设备或诊断测试仪就可以对UDS消息进行评估。
在UDS标准ISO 14229-1(2018)中列举了以下诊断服务要求,见表2。
表2
在图6所示的示例中,网关设备PU1在步骤S2中接收到来自诊断接口T1的开启消息。该开启消息相当于SID为0×29的UDS消息,利用它开始对诊断测试仪DT进行认证的阶段。然后,网关设备PU1评估完整的UDS报文。网关设备PU1基于该UDS报文中包含的待测控制设备CU5的控制设备地址,将消息转发给所联接的通信总线B1。UDS报文在此被变换成多个经由CAN总线B1传输的CAN报文。网关设备PU1被设计成用于这种类型的变换。在步骤S3中,开启消息由受保护的制动控制设备CU4以一定数量的CAN报文接管。如已述,制动控制设备CU4设有网关功能GWF和附加安全装备SE。网关功能GWF包含与布置在隔开的部分B1‘中的控制设备相关的CAN报文标识符的列表。当在制动控制设备CU4中收到这种报文后,首先由受保护的CAN收发器进行检查。如果在此明确这是被侵入的消息,则立即进行无害化处理。如开头所述,这可以通过发送错误标志来实现。附加地,由防火墙FW检查被允许通过的报文。这种检查在收到用于开启诊断会话的UDS消息后的步骤S4和S5中发生。在此,在步骤S4中,对UDS报文中包含的证书进行真实性检查。为此也使用到HSM模块HSM。如果证书的真实性在此未被证明,则诊断会话不开启。在步骤S5中,检查在UDS报文中转发的包括地址和类型在内的控制设备信息。如果在此是被提及的遗留控制设备的地址或其他类型的遗留控制设备,则诊断会话不开启。因此,FW防火墙与HSM模块和受保护的CAN收发器结合使用例如抵御欺骗攻击。
如果诊断测试仪的请求通过证书验证,且相关的CAN消息未被揭露为被侵入,则在步骤S5之后确认被检查的证书的正确性。首先,受保护的制动控制设备CU4将确认结果传送给中央网关设备PU1。必要时,中央网关设备PU1将该确认结果在转换成适合总线B5的格式后转发给诊断接口。车载诊断接口OBDI将确认证书真实性的报文转发给诊断测试仪DT。
然后进行下一步骤,以开启诊断会话。该步骤用附图标记S9表示。在此,由诊断测试仪DT向诊断接口OBDI传送用于证明其拥有私钥的请求。在该UDS消息中包含了由诊断仪DT用私钥计算出的签名。所提及的控制设备应当验证诊断测试仪DT是否拥有私钥。该UDS消息在步骤S10中从诊断接口OBDI传送给中央网关设备PU1。在步骤S11中,UDS消息又从那里传送给制动控制设备CU4。制动控制设备CU4借助诊断测试仪DT的公钥检查所计算出的签名的真实性。为此可以使用硬件安全模块HSM。SSH认证协议就是基于此密钥对进行认证的示例。该SSH认证协议在请求评议(Request for Comment)RFC 4252中进行了描述。在步骤S13至S15中,将密钥检查的结果传回诊断测试仪DT。该密钥检查的步骤是必要的,这是因为证书是公开的,并且因此很容易会落入攻击者手中。因此,有必要检查证书所有者是否真正知道私钥。该检查在步骤S9至S15中完成。
在私钥的拥有者得到验证的情况下,诊断测试仪DT开始诊断会话。在步骤S16至S18中,用于开始诊断会话的诊断消息级联到受保护的控制设备CU4。现在在诊断测试仪DT通过验证后,在步骤S19中,该制动控制设备CU4将UDS消息转换为对于待测的控制设备CU5有效的格式。这取决于诊断测试仪DT的状态,并且当诊断测试仪DT已经以遗留控制设备CU5所能理解的格式提供了UDS消息时,则可以省略。因此,在步骤S20中生成了希望开始与遗留控制设备CU5进行诊断会话的CAN报文。这里传送的用于开始诊断会话的诊断消息相当于SID为0×27的UDS消息。然后,用于距离调节的控制设备CU5产生所谓的“种子”。该种子是通过随机发生器产生的一串字符。这在步骤S21中进行。在步骤S22中,该字符串的一部分在挑战-响应验证的范围内作为挑战传送给受保护的控制设备CU4。制动控制设备CU4给所提供的该部分字符串补充上其私钥,并根据商定的经加密编码的算法计算出相称的密钥。这一计算同样可以在硬件安全模块HSM中进行。这在步骤S23中完成,计算出的密钥在步骤S24中传输给遗留控制设备CU5。在步骤S25中,遗留控制设备CU5将接收到的密钥与由自己计算出的密钥进行比较。为此使用到利用步骤S21中生成的种子工作的算法。在步骤S26至S29中,将密钥比较的结果返回至诊断测试仪DT。如果开始的诊断会话成功,则诊断测试仪DT将在步骤S30中传送第一条诊断指令。该诊断指令沿相同路径导引,并在步骤S31和S32之后到达受保护的控制设备CU4。制动控制设备CU4中的防火墙功能FW在步骤S33中检查该诊断指令。在该检查中,尤其发生确定诊断指令是否属于被列为危险的指令。这尤其涉及SID为0×23的“按地址读取存储器”和SID为0×3D的“按地址写入内存”、SID为0×34的“请求下载”和SID为0×35的“请求上传”的可以用于固件更新的诊断指令。这些诊断指令被制止,并且不实施。如果诊断指令不是被列为危险的指令,则在步骤S34中将其转换为遗留控制设备CU5所需的遗留格式。在步骤S35中,诊断指令以该格式传送给遗留控制设备CU5。然后,由遗留控制设备CU5处理诊断指令。检查的结果在步骤S36中传输给制动控制设备CU4。然后在步骤S37至S39中从那里将结果转发给诊断测试仪DT。通常,在开启诊断会话期间,由诊断测试仪DT传送另外的的诊断指令,并且由遗留控制设备CU5实施。这在图5中通过被围框的步骤S30至S39指明。因此,为了说明起见,将此框架称为“Loop”,即循环。
可选的扩展在图6中同样被绘制,围框并设有标注“可选项(Option)”。在上述措施中,受保护的控制设备CU4在诊断测试仪DT基于证书进行的认证之后作为诊断客户端工作并在步骤S16至S29中执行对于遗留控制设备常见的挑战-响应认证,而在该可选的扩展之后可以使用附加的认证措施,以便进一步限制攻击可能性。在此,在开启诊断会话后在步骤S40至S47中,整个诊断通信将附加得到安全保护。在此,对于会话期间传送的每一条诊断指令,都执行一次对诊断测试仪DT的消息的认证。具体做法是为每条诊断指令添加签名。受保护的控制设备CU4验证签名是否正确。商定会话密钥的UDS消息相当于SID为0×84的UDS消息。
在此,在步骤S40中,由诊断测试仪DT基于商定的初始值计算诊断会话密钥。在步骤S41中,向诊断接口OBDI传输经商定的会话秘密的部分。在步骤S42中,该诊断接口将其中具有会话秘密部分的消息转发给中央网关PU1。在步骤S43中,网关设备PU1将消息传送给制动控制设备CU4。在步骤S44中,在制动控制设备中在使用为该制动控制设备商定的会话秘密部分的情况下计算出会话密钥。然后在步骤S45至S47中将会话密钥计算的执行情况通信传回。然后在相应的步骤S33中,在受保护的制动控制设备CU4中进行此类认证。根据在步骤S40至S47中计算“共享密钥”的可选项,可以采用已知的“迪菲-赫尔曼密钥交换”方法进行通信。
为了保护联接到车辆总线B1上的控制设备的安全同样免受来自内部和外部的攻击,有必要为这些控制设备装备受保护的CAN收发器。正如开头所述,受保护的CAN收发器可以通过在数据安全层上的措施就已识别被侵入的消息并进行无害化处理。替选的受保护的措施在于为联接到车辆总线B1上的控制设备装备所谓的安全车载通信(SecOC)。该措施保障了用于车辆内部通信的经认证的消息传输。这相应于所述的“迪菲-赫尔曼密钥交换”措施,但这是与UDS诊断协议有关的措施,即在OSI参考模型的更高层上。
为了确保安装在受保护的制动控制设备CU4中的软件栈不会受到未经授权的修改而有利的是,该制动控制设备CU4装备有安全启动管理器和安全更新管理器,以保护软件更新的安全。为此目的,存在商业提供的嵌入式软件堆栈。汽车开放系统架构(AUTOSAR)组织已经就此方面制定了要求和规则,这些嵌入式软件堆栈应满足这些要求和规则。
可选地,制动控制设备CU4中的防火墙FW可能构造有异常识别功能,当有可疑报告被传送给在车辆总线的隔开的部分B1‘中联网的遗留控制设备时,该异常识别功能就发报告。然后,防火墙就可能向车辆制造商或主管部门传送警报。该警报可以经由车载通信设备KU1或经由车载通信设备KU2发送出。
通过所概略叙述的方案,使得汽车制造商可以证明其遵守了UN-ECE R 155法规的要求,而不必同时使车辆中的所有部件都达到最新的安全标准。利用所提出的解决方案识别出绝大多数攻击。对于未装备全自动驾驶仪的车辆来说,剩余的风险可被列入为“可接受”。
图8还示出了用于牵引车的电子装备的框图的第二实施例。其中,相同的附图标记表示了与图2中相同的部件。不同之处在于控制设备CU4和CU5互换。在图8中,受保护的控制设备是执行对与前方车辆距离进行调节的控制设备,并包含雷达传感器。传统的制动控制设备CU4被用作车辆总线的隔开的部分B1‘中的遗留控制设备。通过这种布置使得控制设备组合再次有可能按照UN-ECE法规R155受保护地运行,尽管制动控制设备还没有附加安全装备也如此。
也有可能的是,在车辆总线的隔开的部分B1‘中将其他和/或更多的遗留控制设备联网,于是,这些遗留控制设备同样免受所述攻击,尤其是欺骗攻击。
在此提及的所有示例以及有条件的表述应不局限于这些具体引用的示例地理解。因此,例如本领域技术人员认识到,再次所示的框图是示例性的电路布置的概念视图。以类似的方式认识到,所示的流程图、状态传输图、伪代码等代表了用于表示流程的不同变体,这些流程可以基本上存储在计算机可读介质中,并因此可以由计算机或处理器实施。
应理解,所提出的方法和所属的装置可以通过各种形式的硬件、软件、固件、专用处理器或它们的组合来实现。专用处理器可以包括专用集成电路(ASIC)、精简指令集计算机(RISC)和/或现场可编程门阵列(FPGA)。所提出的方法和装置优选作为硬件和软件的组合来实现。软件优选作为应用程序被安装在程序存储装置上。典型地,这是基于计算机平台的机器,该计算机平台具有诸如一个或多个中央单元(CPU)、随机存取存储器(RAM)和一个或多个输入/输出(I/O)接口的硬件。在计算机平台上典型地还安装有操作系统。在此所述的各种流程和功能可以是应用程序的一部分,或者也可以是经由操作系统实施的一部分。
本公开内容并不局限于在此所述的实施例。对于本领域技术人员基于他们的专业知识以及属于本公开内容而考虑的各种改编和修改方案仍存在空间。
附图标记列表(说明书的一部分)
10 挂车
12 支撑
14 主销
20 牵引车
22 挂接元件
24 驱动单元
25、25‘制动线路
26、26‘行车制动器
100 CAN节点
120 CAN收发器
130 终端电阻
140 CAN控制器
150 绞合的双线线路
160 主机
B1 车辆通信总线的第一部分
B1‘ 车辆通信总线的隔开的部分
B2 第二通信总线
B3 第三通信总线
B4 第四通信总线
B5 第五通信总线
DT 诊断测试仪
IT1~IT6各种通信接口
KU1车载通信模块
KU2远程信息处理模块
CU1 电子马达控制设备
CU2 电子变速器控制设备
CU3 电子缓速器控制设备
CU4 电子制动控制设备
CU5 电子驾驶员辅助系统
CU6 电子制动控制设备
FW 防火墙
HSM硬件安全模块
OBDI诊断接口
PU1 电子处理单元(网关)
SE 安全装备
S1~S47诊断会话进程中的步骤
SU1 摄像头
SU2 转向角传感器
T1 诊断插塞器
T2 用于挂车总线系统的联接插座
T2‘ 用于挂车总线系统的联接插头
Claims (19)
1.用于车辆(20)中控制设备之间受保护的通信的装置,其中,所述控制设备(CU1~CU4)分别装备有至少一个通信接口(IT1),经由所述通信接口,所述控制设备能联接到有线的车辆总线系统的第一部分(B1)上,用以交换消息,其特征在于,设置有至少一个与所述车辆总线系统(B1)联接的受保护的控制设备(CU4、CU5),其中,所述受保护的控制设备(CU4、CU5)设有至少一个另外的通信接口(IT2),与所述另外的通信接口联接有所述车辆总线系统的隔开的部分(B1‘),并且所述受保护的控制设备(CU4、CU5)设有网关功能(GWF)和安全装备(SE),所述安全装备至少履行了防火墙(FW)的功能,通过所述防火墙抵御来自所述车辆总线系统的第一部分(B1)对所述车辆总线系统的隔开的部分(B1‘)中的其中一个控制设备(CU5、CU4)的攻击。
2.根据前述权利要求中任一项所述的装置,其特征在于,所述受保护的控制设备(CU4、CU5)的网关功能(GWF)涉及所述车辆总线系统的第一部分和隔开的部分(B1、B1‘)中的参与者之间的消息路由。
3.根据权利要求1或2所述的装置,其中,所述有线的车辆总线系统(B1)相当于尤其是在根据SAE J1939标准的变体中的CAN总线系统,即控制器局域网。
4.根据权利要求3所述的装置,其特征在于,所述车辆总线系统的第一部分(B1)中的控制设备(CU1~CU4)装备有受保护的CAN总线通信接口(IT1),其中,所述受保护的CAN总线通信接口(IT1)被设计成使得它能够抵御来自所述车辆总线系统的第一部分(B1)中的被篡改的控制设备方面的被侵入的消息的攻击。
5.根据权利要求4所述的装置,其特征在于,所述受保护的CAN总线通信接口(IT1)装备有受保护的CAN收发器(120)或设有被设计用于安全车载通信的软件栈。
6.根据前述权利要求中任一项所述的装置,其特征在于,所述受保护的控制设备(CU4、CU5)是制动控制设备EBS,即“电子制动系统”,而被移位到所述车辆总线系统的隔开的部分(B1‘)中的控制设备(CU5、CU4)至少涉及驾驶员辅助系统控制设备(CU5)或与至少一个环境检测传感器(SU1)联接的环境检测系统控制设备。
7.电子控制设备,所述电子控制设备具有第一通信接口(IT1),经由所述第一通信接口,控制设备(CU4、CU5)能联接到有线的车辆总线系统的第一部分(B1)上,用以交换消息,其特征在于,所述控制设备(CU4、CU5)具有至少一个另外的通信接口(IT2),与所述另外的通信接口能联接所述车辆总线系统的隔开的部分(B1‘),其中,所述控制设备(CU4、CU5)设有网关功能和安全装备,所述安全装备至少履行了防火墙(FW)的功能,其目的是抵御来自所述车辆总线系统的第一部分(B1)对所述车辆总线系统的隔开的部分(B1‘)中的其中一个控制设备(CU5、CU4)的攻击。
8.根据权利要求7所述的电子控制设备,其特征在于,所述安全装备(SE)还涉及软件装备,通过所述软件装备能够实现受保护的启动过程的功能。
9.根据权利要求7或8所述的电子控制设备,其特征在于,所述控制设备(CU4、CU5)的网关功能(GWF)涉及所述车辆总线系统的第一部分和隔开的部分(B1‘)中的参与者之间的消息路由。
10.根据权利要求7至9中任一项所述的电子控制设备,其中,所述第一通信接口(IT1)和至少一个另外的通信接口(IT2)相当于尤其是在根据SAE J1939标准的变体中的CAN总线通信接口,即控制器局域网。
11.根据权利要求10所述的电子控制设备,其特征在于,用于联接所述车辆总线系统的第一部分(B1)的CAN总线通信接口(IT1)装备有受保护的CAN收发器(120),或者设有被设计用于安全车载通信SecOC的软件栈,所述软件栈能够抵御来自所述车辆总线系统的第一部分(B1)中的被篡改的控制设备方面的被侵入的消息的攻击。
12.根据权利要求10或11所述的电子控制设备,其特征在于,所述安全装备(SE)还具有对联接到所述车辆总线系统的第一部分(B1)的控制设备或网关设备(PU1)的外部诊断测试仪(DT)进行基于证书的认证的功能。
13.根据权利要求12所述的电子控制设备,其特征在于,所述安全装备(SE)涉及HSM模块(HSM),即硬件安全模块,用以保障至少是对联接到所述车辆总线系统的第一部分(B1)的控制设备或网关设备(PU1)的外部诊断测试仪(DT)进行安全认证。
14.根据权利要求7至13中任一项所述的电子控制设备,其特征在于,所述安全装备(SE)还具有诊断客户端控制设备的功能,用以就实施通过与经证书验证的外部诊断测试仪(DT)通信而调用的诊断功能方面对联接到所述车辆总线系统的隔开的部分(B1‘)的控制设备(CU4、CU5)进行种子密钥认证。
15.根据权利要求7至14中任一项所述的电子控制设备,其特征在于,所述安全装备(SE)还具有的功能是:阻止指向所述车辆总线系统的隔开的部分(B1‘)中的待测试的控制设备(CU5,CU4)的来自外部诊断测试仪(DT)的某些被列为危险的诊断指令,尤其是与读取和写入为实施计算机程序所分派的存储器区域有关的或用于将计算机程序永久性存储在非易失性的存储器区中的诊断指令。
16.根据权利要求7至15中任一项所述的电子控制设备,其特征在于,所述安全装备(SE)还具有对进入的诊断指令进行逐个或分组验证的功能,其中,在将相关的诊断指令转发给所述车辆总线系统的隔开的部分中的待测试的控制设备之前,分别重新执行对所述外部诊断测试仪(DT)的认证。
17.根据权利要求7至16中任一项所述的电子控制设备,其中,所述安全装备还具有受保护的软件更新过程的功能,其中,存储在非易失性存储器区域中的计算机程序被替换。
18.根据权利要求7至17中任一项所述的电子控制设备,其中,所述电子控制设备(CU4)是制动控制设备EBS,即“电子制动系统”,或者是用于距离调节系统的控制设备(CU5),或者是用于自动驾驶系统的控制设备。
19.车辆,所述车辆具有配备了电子控制设备(CU4)的制动系统和驱动单元(24),其特征在于,所述车辆(20)具有根据权利要求1至6中任一项所述的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102021117500.3A DE102021117500A1 (de) | 2021-07-07 | 2021-07-07 | Vorrichtung zur abgesicherten Kommunikation zwischen Steuergeräten in einem Fahrzeug, elektronische Verarbeitungseinheit und Fahrzeug |
| DE102021117500.3 | 2021-07-07 | ||
| PCT/EP2022/066857 WO2023280563A1 (de) | 2021-07-07 | 2022-06-21 | Vorrichtung zur abgesicherten kommunikation zwischen steuergeräten in einem fahrzeug, elektronische verarbeitungseinheit und fahrzeug |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117561700A true CN117561700A (zh) | 2024-02-13 |
Family
ID=82446691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280045055.7A Pending CN117561700A (zh) | 2021-07-07 | 2022-06-21 | 用于车辆中控制设备之间受保护的通信的装置、电子处理单元及车辆 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP4367834A1 (zh) |
| CN (1) | CN117561700A (zh) |
| DE (1) | DE102021117500A1 (zh) |
| WO (1) | WO2023280563A1 (zh) |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3166256B1 (en) | 2011-09-12 | 2020-07-29 | Toyota Jidosha Kabushiki Kaisha | On-vehicle gateway apparatus and communication system for vehicle |
| DE102011084254A1 (de) * | 2011-10-11 | 2013-04-11 | Zf Friedrichshafen Ag | Kommunikationssystem für ein Kraftfahrzeug |
| US9173100B2 (en) | 2011-11-16 | 2015-10-27 | Autoconnect Holdings Llc | On board vehicle network security |
| WO2017024078A1 (en) * | 2015-08-03 | 2017-02-09 | Icon Labs | A method for detecting, blocking and reporting cyber-attacks against automotive electronic control units |
| US10361934B2 (en) | 2015-09-28 | 2019-07-23 | Nxp B.V. | Controller area network (CAN) device and method for controlling CAN traffic |
| DE102017202022A1 (de) * | 2017-02-09 | 2018-08-09 | Audi Ag | Kraftfahrzeug mit einem fahrzeuginternen Datennetzwerk sowie Verfahren zum Betreiben des Kraftfahrzeugs |
| KR102506931B1 (ko) | 2018-02-27 | 2023-03-07 | 현대자동차 주식회사 | 전자화 장비 보안 검사 시스템 및 그 방법 |
| DE102019001978A1 (de) | 2019-03-21 | 2020-10-08 | Volkswagen Aktiengesellschaft | Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus sowie Fahrzeug |
-
2021
- 2021-07-07 DE DE102021117500.3A patent/DE102021117500A1/de active Pending
-
2022
- 2022-06-21 EP EP22738359.3A patent/EP4367834A1/de active Pending
- 2022-06-21 WO PCT/EP2022/066857 patent/WO2023280563A1/de active Application Filing
- 2022-06-21 CN CN202280045055.7A patent/CN117561700A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4367834A1 (de) | 2024-05-15 |
| DE102021117500A1 (de) | 2023-01-12 |
| WO2023280563A1 (de) | 2023-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10104094B2 (en) | On-vehicle communication system | |
| JP6807906B2 (ja) | 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 | |
| JP7075886B2 (ja) | ブロードキャストバスフレームフィルタ | |
| JP6762347B2 (ja) | 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法 | |
| CN109428716A (zh) | 车内组的密钥分配 | |
| US11256498B2 (en) | Node, a vehicle, an integrated circuit and method for updating at least one rule in a controller area network | |
| CN109040285B (zh) | 车载网络安全认证的方法、装置、存储介质及车辆 | |
| Takahashi et al. | Automotive attacks and countermeasures on lin-bus | |
| CN105897669A (zh) | 数据发送、接收方法、发送端、接收端和can总线网络 | |
| US11438343B2 (en) | Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network | |
| CN106685967A (zh) | 一种车载网络通信加密和入侵监测装置 | |
| EP3713190A1 (en) | Secure bridging of controller area network buses | |
| CN111448789B (zh) | 用于解锁车辆部件的设备、方法和计算机程序、车辆到车辆通信模块 | |
| CN116800531A (zh) | 一种汽车电子电气架构及安全通信方法 | |
| CN117561700A (zh) | 用于车辆中控制设备之间受保护的通信的装置、电子处理单元及车辆 | |
| JP2017050719A (ja) | 車載ネットワークシステム | |
| CN114422208A (zh) | 车辆安全通讯方法、装置、微处理器和存储介质 | |
| KR20180072340A (ko) | 운송 수단 내부 네트워크에서의 제어 데이터를 보안 전송하는 방법 | |
| US20230327907A1 (en) | Relay device, communication network system, and communication control method | |
| Oberti et al. | Lin-mm: Multiplexed message authentication code for local interconnect network message authentication in road vehicles | |
| WO2021166321A1 (ja) | セキュリティシステム、車両、セキュリティ装置および正当性判断方法 | |
| CN112866176B (zh) | 一种网络访问方法、车载电子控制单元及t-box | |
| Sharma et al. | An Extended Survey on Vehicle Security | |
| JP2009194733A (ja) | 車両用通信制御装置、車載ネットワーク、ポリシー情報生成方法 | |
| JP2024041392A (ja) | 電子制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |