DE102016116684A1 - Architektur und Vorrichtung zur Steuerung sicherer Nachrichtenverarbeitung - Google Patents

Architektur und Vorrichtung zur Steuerung sicherer Nachrichtenverarbeitung Download PDF

Info

Publication number
DE102016116684A1
DE102016116684A1 DE102016116684.7A DE102016116684A DE102016116684A1 DE 102016116684 A1 DE102016116684 A1 DE 102016116684A1 DE 102016116684 A DE102016116684 A DE 102016116684A DE 102016116684 A1 DE102016116684 A1 DE 102016116684A1
Authority
DE
Germany
Prior art keywords
request
message
messages
processor
queue
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102016116684.7A
Other languages
English (en)
Other versions
DE102016116684B4 (de
Inventor
Shige Wang
Stephen G. Lusko
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102016116684A1 publication Critical patent/DE102016116684A1/de
Application granted granted Critical
Publication of DE102016116684B4 publication Critical patent/DE102016116684B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/226Delivery according to priorities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Ein sicheres System zum Austauschen von Nachrichten. Ein Kommunikationsbus tauscht Nachrichten zwischen Übertragungsknoten aus. Eine sichere Hardwaremaschine einer Steuerung authentifiziert Nachrichten von anfordernden Einrichtungen. Ein Prozessor der Steuerung empfängt zunächst Nachrichten von den anfordernden Einrichtungen. Der Prozessor umfasst eine Nachrichten-Anforderungswarteschlange, die die empfangenen Nachrichten priorisiert. Der Prozessor übermittelt eine priorisierte Nachricht aus der Anforderungswarteschlange und zugehörigen Authentizierungsinformationen an die sichere Hardwaremaschine. Die sichere Hardwaremaschine authentisiert die Nachrichten als Antwort auf das Erhalten der priorisierten Nachrichten und zugehörigen Authentizierungsinformationen von dem Prozessor. Die sichere Hardwaremaschine leitet die authentifizierten Nachrichten an den Prozessor zur Speicherung in einer Ergebniswarteschlange.

Description

  • HINTERGRUND DER ERFINDUNG
  • Eine Ausführungsform bezieht sich auf fahrzeuginterne Nachrichtenübermittlung. Steuergerätenetzwerk (CAN) ist ein Fahrzeugbusstandard, der elektronischen Steuereinheiten (ECUs) und anderen Geräten erlaubt, miteinander ohne zentralen oder Hauptcomputer zu kommunizieren. Fahrzeugsysteme und Subsysteme sowie andere Arten von nicht-automobilen Systemen einschließlich Zügen, Flugzeugen, und Schiffen weisen zahlreiche ECUs auf, die Daten von Sensorgeräten empfangen und mit anderen ECUs des Fahrzeugs kommunizieren.
  • Das CAN-System ist ein asynchroner serieller Sende-Bus, der es erlaubt, dass Nachrichten seriell übermittelt werden. Daher werden zwischen ECUs übertragene Nachrichten nicht notwendigerweise direkt über den CAN-Bus übermittelt, wenn eine Nachricht erzeugt wird. Ist der CAN-Bus frei, wird die Nachricht sofort übertragen. Wenn mehr als eine Nachricht übertragen wird, wird die wichtigere Nachricht übertragen. Dies ist als Schiedsprozess bekannt. Eine CAN-Nachricht mit einer höchsten Priorität wird typischerweise das Schiedsverfahren gewinnen und eine Nachricht niedriger Priorität wird dies erfassen und warten.
  • Trotz innerhalb eines Fahrzeugs übertragener Nachrichten muss noch sichergestellt werden, dass Systeme nicht gefährdet werden und böswillige Nachrichten innerhalb des Systems nicht übertragen werden, was Sicherheitsbedenken verursachen könnte. Mit der Einführung des Tempomats und anderer automatisierter Fahrvorgänge muss beispielsweise die Sicherheit in Bezug auf die kommunizierenden ECUs weiter aufrecht erhalten werden, ansonsten könnte ein böswilliger Knoten das System gefährden und ungewollte Fahrzeugvorgänge auslösen.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Ein Vorteil einer Ausführungsform ist die Eliminierung zentraler Verarbeitung oder ereignisgesteuerter nichtpriorisierter Verarbeitung sicherer Nachrichten durch Verwendung einer Technologie, die entkoppelte parallele Nachrichtenauthentifizierung auf einer sicheren Hardwaremaschine asynchron zu den zeitkritischen Anwendungen auf gewöhnlichen Prozessoren einer Steuerung umfasst. Vorrichtung und Techniken hierin stellen eine Architektur zur Verfügung, die die Anforderung einer sicheren Nachrichtenverarbeitung auf einem Prozessor und die sichere Nachrichtenverarbeitung auf der sicheren Hardwaremaschine durch Verwendung eines Anfordern-Kennzeichnen-Löschens („request-mark-sweep“) mit Rückruffunktionalität entkoppelt. Die Ausführungsformen verwenden, wie beschrieben, zwei Warteschlangen, um Eingabekollision zwischen Anforderungen verschiedener sicherer Nachrichten von einer Anwendung und einer sicheren Hardwaremaschine, die die authentifizierten Nachrichten verarbeitet, zu verringern. Ein Prozessor, der die Nachrichten zu und von der sicheren Hardwaremaschine übermittelt, umfasst eine Anforderungs-Zuordnungstabelle, die dynamisch einen Zustand der Nachricht und deren Status aufzeichnet und eine Nachrichten-Authentifizierungsnachschlagetabelle, die mit der Anforderungszuordnungstabelle zum Bereitstellen von Authentifikationsinformationen in Bezug auf die anfordernde Einheit, die die Anforderung der Nachricht übermittelt. Die Infrastrukturen implementiert die asynchrone Verarbeitung unter Verwendung eines Prioritätswarteschlangen-Managementdienstes zum Aufrechterhalten der Priorisierung der Anforderungen in den Warteschlangen, und einen „request-mark-sweep“-Betrieb mit Rückrufdienst zur Verarbeitung von Nachrichten zu und von der sicheren Hardwaremaschine. Das System und Techniken stellen weiterhin ein nichtblockierendes Verfahren zum Verarbeiten von Nachrichten zur Verfügung, um die Echtzeitbeschränkungen des Systems zu erfüllen. Dies ermöglicht dem Steuerungsprozessor zudem, weitere Funktionalitäten auszuführen, während die sichere Hardwaremaschine die Nachrichten authentifiziert, wodurch die Leistung des Gesamtsystems verbessert wird.
  • Eine Ausführungsform betrachtet ein sicheres Nachrichtenübermittlungssystem. Ein Bus zum Kommunizieren Nachrichten zwischen Übertragungsknoten. Eine sichere Hardwaremaschine einer Steuerung authentisiert Nachrichten von anfordernden Einrichtungen. Ein Prozessor der Steuerung empfängt zu Beginn Nachrichten von den anfordernden Einrichtungen. Der Prozessor umfasst eine Nachrichten-Anforderungswarteschlange mit Priorisierung empfangener Nachrichten. Der Prozessor übermittelt eine priorisierte Nachricht aus der Anforderungswarteschlange und zugehörigen Authentifikationsinformationen zu der sicheren Hardwaremaschine. Die sichere Hardwaremaschine authentisiert die Nachrichten als Antwort auf die priorisierten Nachrichten und zugehörigen Authentifikationsinformationen von dem Prozessor. Die sichere Hardwaremaschine leitet die authentifizierten Nachrichten zur Speicherung an den Prozessor zum Speichern in einer Ergebniswarteschlange.
  • Eine Ausführungsform betrachtet ein Verfahren zur sicheren Nachrichtenverarbeitung innerhalb eines Kommunikations-Bussystems. Nachrichten werden auf einem Bus zwischen Übermittlungsknoten übertragen. Nachrichten der Steuerung einer jeweiligen Einrichtung werden in einem Prozessor erhalten. Nachrichten werden in einer Anforderungswarteschlange in priorisierter Ordnung erhalten. Auf eine Anforderungszuordnungstabelle wird zugegriffen. Die Anforderungszuordnungstabelle speichert Informationen zu den Nachrichten. Jeder Eintrag in der Anforderungszuordnungstabelle ist einem Eintrag in eine Nachrichten-Authentifizierungsnachschlagetabelle zugeordnet, die Authentifikationsinformationen identifiziert, die einer jeweiligen Einrichtung, die die jeweilige Nachricht überträgt, zugeordnet ist. Eine Nachricht mit höchster Priorität in der Anforderungswarteschlange wird in einer sicheren Hardwaremaschine empfangen. Authentizierungsinformationen werden von dem Prozessor zu der sicheren Hardwaremaschine übermittelt. Die Nachricht wird als Antwort auf den Empfang der Nachrichten und zugehörigen Authentifikationsinformationen von dem Prozessor authentifiziert. Die authentifizierte Nachricht wird von der sicheren Hardwaremaschine zu dem Prozessor übermittelt. Die authentifizierte Nachricht wird in einer Ergebniswarteschlange in dem Prozessor gespeichert, bis ein Rückruf ausgelöst wird.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Blockschaltbild eines exemplarischen LAN-Netzwerk-Kommunikationssystems.
  • 2 ist ein exemplarisches Blockschaltbild einer Steuerung.
  • 3 zeigt die Architekturstruktur für eine Anforderungswarteschlange, Anforderungszuordnungstabelle und eine Nachrichten-Authentifizierungsnachschlagetabelle.
  • 4 ist ein Flussdiagramm für eine Anforderungs-Service-Routine.
  • 5 ist ein Flussdiagramm für eine Einreihen-Service-Routine.
  • 6 ist ein Flussdiagramm für eine Ausreihen-Dienstroutine.
  • 7 ist ein Flussdiagramm für eine Markierungs-Dienstroutine.
  • 8 ist ein Flussdiagramm für eine Unterbrechungs-Dienstroutine.
  • 9 ist ein Flussdiagramm für eine Überstreichungs-Dienstroutine.
  • 10 ist ein Flussdiagramm für eine Einreihen-Service-Routine.
  • 11 ist ein Flussdiagramm für eine Ausreihen-Service-Routine.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In 1 ist ein exemplarisches Fahrzeug-LAN-Netzwerk-Kommunikationssystem 10 dargestellt. Das LAN-Netzwerkkommunikationssystem 10 umfasst eine Vielzahl elektronischer Steuereinheiten (ECUs) 1218 verbunden mit mindestens einem Kommunikationsbus 20, das die ECUs in die Lage versetzt, miteinander zu kommunizieren. Der Bus verwendet ein Steuergerätenetzwerk(CAN)-Kommunikationsprotokoll; jedoch können auch andere Arten von Kommunikationsprotokollen verwendet werden.
  • Jede der Vielzahl von ECUs 1218 ist mit einem oder mehreren Sensoren, Aktuatoren oder Steuergeräten gekoppelt (z. B. Anwendungskomponenten). Die Anwendungskomponenten sind nicht direkt mit dem Bus 19 verbunden, sondern sind durch die jeweiligen ECUs gekoppelt. Die Anwendungskomponenten könnten Softwarekomponenten in den ECUs sein. Ein einzelnes Steuerungsmerkmal kann sich über vielfache Anwendungskomponenten erstrecken und Steuerungsnachrichten von einer Quelle zu einer Ziel-ECU einbeziehen. Es versteht sich, dass derartige Systeme nach dem Stand der Technik bekannt sind und dass ECUs, Anwendungsvorrichtungen, Steuerungen und Überträger als Knoten bezeichnet werden und dass die Einzelheiten ihres Aufbaus hier nicht weiter besprochen werden.
  • 2 ist ein Blockschaltbild einer jeweiligen Steuerung. Die Steuerung kann eine Batteriesteuerung, Motorsteuerung, Chassissteuerung umfassen, ist aber nicht darauf beschränkt. Die dargestellte Steuerung identifiziert die Gestaltung und einen Teil der Architektur, die die jeweilige Steuerung haben wird zum Ausführen der hier beschriebenen Techniken. Es sollte auch verstanden werden, dass die hier beschriebene Erfindung nicht auf Fahrzeuge beschränkt ist und kann ebenfalls Züge, Schiffe, Flugzeuge oder andere automobilbezogene oder nicht-automobilbezogene Vorrichtungen umfassen.
  • 2 zeigt eine Steuerung 20, die einen Prozessor 22 und eine sichere Hardwaremaschine 24 umfasst. Die sichere Hardwaremaschine 24 erhält Anforderungsnachrichten von Prozessor 22 und authentisiert die Anforderung der sicheren Nachricht. Während die Anforderung der sicheren Nachricht durch die sichere Hardwaremaschine 24 authentifiziert wird, kann der Prozessor mit anderer Arbeit fortfahren und andere Nachrichten entsprechend verarbeiten. So setzt beispielsweise, wenn eine weitere Steuerung eine sichere Nachricht überträgt, um Daten an der Steuerung 20 zur Verfügung zu stellen, der Prozessor 22 die Nachricht als eine Anforderung einer sicheren Nachricht in die Anforderungswarteschlange 28 ein. Wenn die sichere Hardwaremaschine 24 zur Verfügung steht, überprüft die sichere Hardwaremaschine 24 die Anforderung der sicheren Nachricht, während der Prozessor 22 andere sichere Nachrichten in die Anforderungswarteschlange 28 hinzufügen kann oder führt Funktionen, wie den Rückrufbetrieb, aus. Die sichere Hardwaremaschine 24 ist eine Hardwarevorrichtung, die sichere Nachrichten authentisiert und überprüft.
  • Der Prozessor 22 umfasst ein „request-mark-sweep“- und Rückrufmodul (RMS/C) 26, eine Anforderungswarteschlange 28, ein Prioritätswarteschlangen-Management-Service(PQM)-Modul 30 das Management von Anforderungswarteschlange 28, eine Ergebniswarteschlange 32 für verarbeitete Nachrichten, ein (PQM)-Modul 34 für das Management der Ergebniswarteschlange 32, ein Anforderungsmodul 36 für sichere Nachrichten für Anwendungen zur Anforderung sicherer Nachrichtenverarbeitung, eine Anforderungszuordnungstabelle (RAT) 38, eine Nachrichten-Authentifizierungsnachschlagetabelle (MAT) 40 und ein Rückruffunktionsmodul 42.
  • Die RMS/C 26 ist eine Hauptkomponente des Prozessors, der mit der sicheren Hardwaremaschine 24 zum Bereitstellen von Anforderungsnachrichten und authentifizierten Nachrichten untereinander kommuniziert. Die RMS/C 26 koordiniert weiterhin das Authentifizierungsverfahren für Nachrichten, die an die sicheren Hardwaremaschine 24 übermittelt werden.
  • Nachrichten, die von Anwendungen oder anderen Hardwarevorrichtungen oder Softwaremodulen innerhalb des Fahrzeugs gesendet wurden, werden von dem Prozessor 22 empfangen und in der Anforderungswarteschlange 28 gespeichert. Jeder Übertragungseinrichtung ist eine Prioritätshöhe zugeordnet und somit sind Nachrichten innerhalb der Anforderungswarteschlange 28 einer Prioritätsstufe auf der Grundlage der Priorität der anfordernden Einrichtung, die die Nachricht übermittelt, zugeordnet. Die Anforderungswarteschlange 28 ist durch den PQM-Service 30 geschützt, um den gleichzeitigen Zugang eines einzigen Lesegeräts und vielfacher Schreibgeräte zu ermöglichen.
  • Die Anforderungswarteschlange 28 ist Prioritätswarteschlange Struktur gehalten wird durch die Prioritätswarteschlange Wartungsablaufs Modul 30. 3 veranschaulicht die Anforderungswarteschlange 28 und die zugehörige Prioritätswarteschlangenstruktur, die durch das Prioritätswarteschlangenwartungsmodul 30 festgelegt wird. Nachrichten sind in einer Priorität von höchst zu niedrigst sortiert. Das heißt, jede Eintragshöhe in vertikaler Richtung stellt eine jeweilige Priorität dar. Es sollte verstanden werden, dass die Priorität exemplarisch ist und dass andere Strukturen benutzt werden können. Wenn mehr als eine Nachricht in der Anforderungswarteschlange 28 empfangen wird, die das gleiche Prioritätsniveau besitzen, erhält jede der jeweiligen Nachrichten eine gleiche Prioritätsstufe erhalten (horizontal dargestellt). Jede der Nachrichten in einer gleichen Prioritätsstufe ist nicht unterscheidbar von einer anderen in Bezug auf Priorisierung. Nachrichten in einer gleichen Prioritätsstufe werden zum Verarbeiten entweder zufällig oder durch andere Techniken, wie „first-in-first-out“ für mehrere Nachrichten mit der gleichen Priorität ausgewählt. Der Zugriff auf die Warteschlangen kann durch parallelen Zugriff auf unterschiedliche Einträge erfolgen (d. h. Nachrichten mit unterschiedlichen Prioritäten) oder durch Zugriff auf eine gleiche Priorität unter Verwendung eines sperrfreien Protokolls.
  • Als Antwort auf Nachrichten, die der Anforderungswarteschlange 28 zugefügt wurden, wird RAT 38 aktualisiert. Jeder Anforderung innerhalb der Anforderungswarteschlange ist ein Eintrag in der RAT 38 zugeordnet. Um die Übereinstimmung zwischen einer Anforderung und deren Eintrag in der RAT 38 herzustellen, wird ein offener Eintrag innerhalb der RAT 38 identifiziert, wenn die SM-Anforderung 36 eine Anforderung zu RMS/C 26 sendet. Ein Zuordnungsflaggenfeld 40 zeigt an, ob ein zugehöriger Eintrag benutzt wird oder ob der zugehörige Eintrag geöffnet ist. Entsprechende Informationen, wie Schlüsselschlitz 42, Protokoll-Dateneinheit (PDU) 44 und Nutzlast 46, werden für einen zugehörigen Eintrag aufrecht erhalten. PDU 44 gibt protokollspezifische Daten in einer Datenübertragung an. In einem CAN-System fügt beispielsweise PDU 44 auch eine CAN-ID und einen Datenlängencode ein. Die Informationen, wie die Nachrichtenkennung, die in der CAN-ID codiert sind, die in PDU 44 enthalten ist, wird zur Bestimmung der Eingabe, die durch die Nachrichtenkennung in MAT 40 identifiziert wird, verwendet. Es ist zu beachten, dass dies exemplarisch ist und dass ein anderer Ansatz, wie etwa die direkte Nutzung der Nachrichtenkennung oder Einkodieren der Kennung in einem anderen Format, verwendet werden kann, um die Übereinstimmung herzustellen.
  • Zeiger, normalerweise dargestellt durch 48, identifizieren, wo die jeweilige Anforderung in der RAT 38 steht. Zusätzlich wird der Zeiger 48 aufrechterhalten, wenn ein Eintrag von der Anforderungswarteschlange 28 zu der Ergebniswarteschlange 32 verschoben wird.
  • Die MAT 40 ist, wie in 3 dargestellt, eine Tabelle, die statisch zu einem bestimmten Zeitpunkt gestaltet wurde und als Kalibrierungswerte gespeichert wird. Die in MAT 40 gespeicherten Informationen dienen zur sicheren Nachrichtenauthentifizierung und stellen ein einheitliches Verfahren der Authentifizierungs- und Validierungsphase über unterschiedliche Steuerungen dar. Für jede übertragende Einrichtung im Fahrzeug wird jede Einrichtung eine zugeordnete Kennung besitzen. Diese Kennung wird als Teil einer Nachricht übermittelt (beispielsweise in einer Überschrift der Nachricht), die identifiziert, wer die übermittelnde Einrichtung ist, sodass jede Empfangseinrichtung die Quelle der Nachricht, die mit der Nachricht verbundene Prioritätsstufe und die Authentifizierungsreferenzen zur Überprüfung der Nachricht kennt. Die MAT 40 speichert Informationen, die eine Nachrichtenkennung 50 umfasst, aber nicht darauf beschränkt ist, die die übermittelnde Einrichtung, das Authentifizierungsschema 52, die Nachrichtenlänge 54 und Schlüsselschlitz 56 identifiziert. Diese Informationen werden zum Unterstützen beim Authentifizieren von Nachrichten zwischen dem Prozessor und der sicheren Hardwaremaschine verwendet.
  • Nochmals mit Verweis auf 2, wenn die Anforderungswarteschlange 28 nicht leer ist, koordiniert die RMS/C 26 Einsetzen und Abfragen einer Nachrichtenanforderung von der Anforderungswarteschlange 28 und die notwendigen Authentifikationsinformationen, die durch die sichere Hardwaremaschine 24 zum Authentisieren oder Überprüfen der Nachricht angefordert werden. Ein Sichere-Nachricht-Anfragemodul 36, aufgerufen durch die Anforderungseinrichtung, verwendet den Anforderungsservice der RMS/C 26, der Anforderungswarteschlange 28 eine Anforderungsnachricht zuzufügen. Der Anforderungsservice der RMS/C 26 identifiziert einen offenen Eintrag in der RAT 38, zeichnet die Information der Nachricht auf und setzt die Nachricht in die Anforderungswarteschlange 28 mit den Zeigern 48, wie oben beschrieben, ein. Die RMS/C 26 wird weiterhin auf die MAT 40 zum Erhalten der notwendigen Authentifikationsinformationen zugreifen, die zum Authentifizieren der Nachricht durch die sichere Hardwaremaschine 24 benötigt werden. Die Marke Dienst in RMS/C 26 teilt die Anforderung im Authentifizieren Informationen an die sichere Hardwaremaschine 24 wenn die sichere Hardwaremaschine 24 zur Verfügung. Die Nachricht wird dann als verarbeitet markiert und aus der Anforderungswarteschlange 28 entfernt. Nach dem die sichere Hardwaremaschine 24 die Anforderung einer sicheren Nachricht authentifiziert hat, wird das Authentifizierungsergebnis zu der RMS/C 26 übermittelt.
  • Als Antwort auf das Erhalten des Authentifizierungsergebnisses von der sicheren Hardwaremaschine 24 platziert der Markierungsdienst der RMS/C 26 die authentifizierte sichere Nachricht in der Ergebniswarteschlange 34 unter Verwendung des PQM-Services 32. Der Durchsuchungsdienst der RMS/C wird nach vorgegebener Politik aufgerufen, beispielsweise bei einer vordefinierten Zeit oder periodisch beim Auftreten eines Ereignisses, authentifizierte Nachrichten von der Ergebniswarteschlange 34 zu ziehen und ihren entsprechenden Rückrufbetrieb 42 aufzurufen. Jeder Rückrufbetrieb 42 ist durch die anfordernde Einrichtung bestimmt, das Verfahren einer sicheren Nachricht zu vervollständigen. Der Durchsuchungsdienst der RMS/C nimmt die Nachricht aus der Ergebniswarteschlange 34, nachdem der Rückrufbetrieb 42 aufgerufen ist.
  • 411 veranschaulichen Verfahrensflussdiagramme, die das Verfahren der oben beschrieben Dienste beschreiben. 4 veranschaulicht den Anforderungsdienst der RMS/C. In Block 50 werden Nachrichten in der Anforderungswarteschlange analysiert und entsprechende Nachrichten ausgewählt.
  • In Schritt 51 wird die mit der Identifikation verbundene Anforderungsnachricht in der MAT identifiziert und die Information der Nachricht wird für Authentifizierungszwecke erhalten.
  • In Schritt 52 wird ein offener Eintrag in der RAT identifiziert und die Anforderungsnachricht in dem offenen Eintrag gespeichert. Die Eingabe wird danach als zugewiesen gekennzeichnet.
  • In Schritt 53 wird die Nachricht priorisiert und der Anforderungswarteschlange entsprechend ihrer Prioritätsstufe zugefügt.
  • In Schritt 54 endet die Routine. 5 stellt ein Einreihungsverfahren für die Anforderungswarteschlange zur Verfügung.
  • In Schritt 60 wird der Eintrag für die Prioritätsstufe der Nachricht in der Anforderungswarteschlange identifiziert.
  • In Schritt 61 wird eine neue Anforderung mit dem Eintrag ihrer Prioritätsstufe eingesetzt.
  • In Schritt 62 wird eine sperrfreie Synchronisierung zur Synchronisierung des gleichzeitigen Zugriffs der Warteschlange mehrerer Einrichtungen verwendet. Ein Vergleichen-und-Tauschen (compare-and-swap) wird als eine exemplarische Durchführung verwendet. Wenn die Feststellung getroffen wird, dass die Daten in Übereinstimmung sind, dann endet die Routine. Wenn die Feststellung getroffen wird, dass die Daten nicht in Übereinstimmung sind, kehrt die Routine zu Schritt 60 zurück. In Schritt 63 endet die Routine.
  • 6 zeigt ein Ausreihungsverfahren zum Entfernen einer entsprechenden Anforderung aus der Anforderungswarteschlange.
  • In Schritt 70 wird die Nachricht mit der höchsten Priorität in der Anforderungswarteschlange identifiziert.
  • In Schritt 71 wird als Antwort auf die Identifizierung der Nachricht mit der höchsten Priorität die jeweilige Nachricht aus der Anforderungswarteschlange entfernt.
  • In Schritt 73 endet die Routine.
  • 7 stellt den Markierungsdienst der RMS/C dar, der die Anforderung zurückholt und alle Informationen zu der sicheren Hardwaremaschine sendet.
  • In Schritt 80 wird festgestellt, ob die Anforderungswarteschlange leer ist. Ist die Anforderungswarteschlange leer, wird die Routine beendet und wartet auf eine nächste Markierungsanforderung. Ist die Anforderungswarteschlange nicht leer, fährt die Routine mit Schritt 81 fort.
  • In Schritt 81 wird die Nachricht mit der höchsten Priorität Nachricht aus der Anforderungswarteschlange gezogen. Dies kann Ziehen der Nachricht höchster Priorität bezüglich aller Nachrichten in der Warteschlange umfassen, oder, wenn mehrere Nachrichten gleicher Priorität vorhanden sind, wird eine Nachricht aus anderen Nachrichten mit der gleichen Priorität nach einer vorbestimmten Politik, wie Zufallsauswahl oder „first-in-first-out“, ausgewählt.
  • In Schritt 82 wird die gewählte Nachricht an die sichere Hardwaremaschine zur Verarbeitung gesendet. Authentizierungsinformationen von der MAT wird erhalten und zur Authentifizierung der Nachricht der sicheren Hardwaremaschine zur Verfügung gestellt. Der entsprechende Eintrag in RAT kann auch aktualisiert werden.
  • In Schritt 83 endet die Routine.
  • 8 stellt den Verfahrensablauf des Markierungsdiensts dar, wenn die sichere Hardwaremaschine die Verarbeitung einer Nachricht vollzieht. Dieser Teil des Markierungsdiensts eine durch Hardware ausgelöste Unterbrechungs-Dienstroutine und ist ein sehr kurzer Vorgang, da alle verschiedenen konkurrierenden Geräte in der Steuerung sich die sichere Hardwaremaschine teilen müssen. Zusammenfassend wird, wenn die sichere Hardwaremaschine einen Arbeitsvorgang vollzieht, eine Unterbrechung ausgelöst, wenn eine Feststellung getroffen wird, ob weitere Nachrichten in der Warteschlange zum Wiederaufruf des Markierungsdiensts vorhanden sind.
  • In Schritt 90 wird der Eintrag von RAT entsprechend der durch die sichere Hardwaremaschine authentifizierten Nachricht aktualisiert.
  • In Schritt 91 wird nach Vervollständigung der Nachrichtenbearbeitung durch die sichere Hardwaremaschine die Verfahrensnachricht in die Ergebniswarteschlange befördert.
  • In Schritt 92 springt das Verfahren zu dem Markierungsdienst in 7 und verlässt die Unterbrechungs-Serviceroutine. Wenn zusätzliche Nachrichten in der Anforderungswarteschlange warten, wird der Markierungsdienst in 7 mit dem Senden der Anforderungsnachricht zum Sichern der Hardwaremaschine zur Verarbeitung fortfahren.
  • 9 beschreibt einen Durchsuchungsdienst, der durch einen vorbestimmten Auslöser oder ein Ereignis ausgelöst wird (z. B. periodisch).
  • In Block 100 wird eine Feststellung getroffen, ob die Ergebniswarteschlange leer ist. Ist die Ergebniswarteschlange leer, dann endet die Routine. Ist die Ergebniswarteschlange nicht leer, dann läuft die Routine zu Schritt 101.
  • In Block 101 wird eine entsprechende Nachricht aus der Ergebniswarteschlange gezogen.
  • In Block 102 wird, als Antwort auf das Ziehen der jeweiligen Nachricht aus der Ergebniswarteschlange, der Eintrag, dass die jeweilige Nachricht in der RAT belegt ist, gelöscht, um Platz für andere eingehende Anforderungen zu schaffen.
  • In Block 103 wird die Ergebnisnachricht mit der höchsten Priorität aus der Ergebniswarteschlange entfernt und eine Rückruffunktion in Bezug auf die jeweilige Nachricht wird aufgerufen.
  • In Schritt 104 endet die Routine.
  • 10 stellt ein Einreihungsverfahren für die Ergebniswarteschlange dar.
  • In Block 110 wird der Eintrag für die Priorität der Nachricht in der Ergebniswarteschlange identifiziert.
  • In Schritt 111 wird eine Anforderung, deren Verarbeitung durch das sichere Maschinenmodul abgeschlossen wurde, bei dem Eintrag identifizierten Prioritätsstufe eingesetzt.
  • In Schritt 112 endet die Routine.
  • 11 zeigt ein Ausreihungsverfahren für die Ergebniswarteschlange.
  • In Schritt 120 wird der erste Ergebniseintrag in der Anforderungswarteschlange identifiziert.
  • In Schritt 121 wird ein neuer Ergebniseintrag mit höchster Prioritätswertigkeit gelöscht.
  • In Schritt 122 wird eine sperrfreie Synchronisierung zum Synchronisieren des gleichzeitigen Zugriffs der Warteschlange von mehreren Einrichtungen aus verwendet. Ein Vergleichen-und-Tauschen (compare-and-swap) wird als eine exemplarische Durchführung verwendet. Wenn die Feststellung getroffen wird, dass die Daten in Übereinstimmung sind, endet die Routine. Wenn die Feststellung getroffen wird, dass die Daten nicht übereinstimmen, kehrt die Routine zu Schritt 120 zurück.
  • In Schritt 123 endet die Routine.
  • Während bestimmte Ausführungsformen der vorliegenden Erfindung in Einzelheiten beschrieben wurden, werden Fachleute auf dem Gebiet, auf das sich diese Erfindung bezieht, verschiedene alternative Entwürfe und Ausführungsformen für die Durchführung der Erfindung erkennen, wie durch die folgenden Patentansprüche bestimmt.

Claims (10)

  1. Sicheres System zum Austauschen von Nachrichten, umfassend: einen Kommunikationsbus zum Austauschen von Nachrichten zwischen Übertragungsknoten; eine sichere Hardwaremaschine einer Steuerung, wobei die sichere Hardwaremaschine Nachrichten von anfordernden Einrichtungen authentifiziert; und einen Prozessor der Steuerung, der zunächst Nachrichten von dem anfordernden Einrichtungen empfängt, wobei der Prozessor eine Nachrichtenanforderungswarteschlange umfasst, die die empfangenen Nachrichten priorisiert, wobei der Prozessor eine priorisierte Nachricht aus der Anforderungswarteschlange und zugehörige Authentizierungsinformationen der sicheren Hardwaremaschine übermittelt; worin die sichere Hardwaremaschine als Antwort auf das Erhalten priorisierter Nachrichten und zugehöriger Authentizierungsinformationen von dem Prozessor die Nachrichten authentifiziert, wobei die sichere Hardwaremaschine die authentifizierten Nachrichten an den Prozessor zur Speicherung in einer Ergebniswarteschlange weiterleitet.
  2. System nach Anspruch 1, worin der Prozessor weiterhin eine Anforderungszuordnungstabelle beinhaltet, die jede Nachricht in der eingangsseitigen Anforderungswarteschlange identifiziert, wobei die Anforderungszuordnungstabelle Informationen im Zusammenhang mit der Nachricht zur Verarbeitung der Nachricht umfasst, wobei die Anforderungszuordnungstabelle eine umfassende Auflistung jeder an den Prozessor vom Sendeknoten mitgeteilten Nachricht aufrecht erhält.
  3. System nach Anspruch 1, worin die Anforderungszuordnungstabelle in einem zugeordneten Flaggenfeld Identifizieren einer Verfügbarkeit jedes zugehörigen Eintrags beinhaltet.
  4. System nach Anspruch 1, worin der Prozessor weiterhin eine Nachrichten-Authentizierungsnachschlagetabelle beinhaltet, wobei die Nachrichten-Authentifizierungsnachschlagetabelle, die eine Vielzahl von Kennungen identifiziert, die anfordernde Einrichtungen innerhalb des Fahrzeugs identifizieren, worin jede Kennung die zugeordneten Authentizierungsinformationen zum Authentifizieren einer zugehörigen Nachricht von einer jeweiligen anfordernden Einrichtung umfasst, wenn sie an die sichere Hardwaremaschine übermittelt wird.
  5. System nach Anspruch 1, worin der Prozessor ein Anforderungs-Servicemodul beinhaltet, wobei das Anforderungs-Servicemodul die Nachricht in die Anforderungswarteschlange hinzufügt, wobei das Anforderungs-Servicemodul Informationen im Zusammenhang mit der Nachricht von der Anforderungszuordnungstabelle und der Nachrichten-Authentifizierungsnachschlagetabelle erhält.
  6. System nach Anspruch 5, worin der Prozessor die Anforderungs-Markierungsdurchsuchung mit Rückruf-Dienstmodul als Antwort ermöglicht, dass die sichere Hardwaremaschine zur Verfügung steht.
  7. System nach Anspruch 5, worin der Prozessor ein Markierungsdienst-Funktionsmodul beinhaltet, worin das Markierungsdienst-Funktionsmodul bestimmt, ob die Anforderungswarteschlange leer ist, und worin der Prozessor eine Nachricht mit einer höchsten Priorität unter den Anforderungseinträgen in der Anforderungswarteschlange auswählt, um sie an die sichere Hardwaremaschine zur Verarbeitung als Antwort an die Anforderungswarteschlange zu senden, dass diese nicht leer ist.
  8. System nach Anspruch 7, worin der Prozessor ein Markierungs-Unterbrechungs-Dienstanforderungsmodul umfasst, worin das Markierungs-Unterbrechungsdienstanforderungsmodul das Ergebnis von der sicheren Hardwaremaschine auf eine Ergebniswarteschlange überträgt und den Markierungsdienst für jede der jeweiligen Nachrichten in der Anforderungswarteschlange aufruft, die auf Verarbeitung wartet.
  9. System nach Anspruch 8, worin der Prozessor dem Markierungsunterbrechungs-Dienstmodul als Antwort an die sichere Hardwaremaschine gestattet, das Verarbeiten einer vorangegangenen Anforderungsnachricht zu vervollständigen.
  10. System nach Anspruch 1, worin der Prozessor eine Ergebniswarteschlange beinhaltet, worin Nachrichten, die durch die sichere Hardwaremaschine verarbeitet wurden, in der Ergebniswarteschlange gespeichert werden.
DE102016116684.7A 2015-09-14 2016-09-06 Architektur und Vorrichtung zur Steuerung sicherer Nachrichtenverarbeitung Active DE102016116684B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/853,266 2015-09-14
US14/853,266 US9775035B2 (en) 2015-09-14 2015-09-14 Architecture and apparatus for controller secure message processing

Publications (2)

Publication Number Publication Date
DE102016116684A1 true DE102016116684A1 (de) 2017-03-16
DE102016116684B4 DE102016116684B4 (de) 2023-12-14

Family

ID=58160720

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016116684.7A Active DE102016116684B4 (de) 2015-09-14 2016-09-06 Architektur und Vorrichtung zur Steuerung sicherer Nachrichtenverarbeitung

Country Status (3)

Country Link
US (1) US9775035B2 (de)
CN (1) CN106528467B (de)
DE (1) DE102016116684B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111556562B (zh) * 2019-07-19 2022-08-26 新华三技术有限公司 一种定位方法、装置及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6801543B1 (en) * 1999-05-21 2004-10-05 Alcatel, Canada Inc. Method and apparatus for assigning time slots within a TDMA transmission
JP3828444B2 (ja) 2002-03-26 2006-10-04 株式会社日立製作所 データ通信中継装置及びシステム
JP4847036B2 (ja) * 2005-03-30 2011-12-28 キヤノン株式会社 バスアクセスを調停する制御装置およびデータ処理装置の制御方法
US8127063B2 (en) * 2009-01-20 2012-02-28 Fisher-Rosemount Systems, Inc. Distributed equipment arbitration in a process control system
US8767758B2 (en) * 2009-11-03 2014-07-01 Intel Corporation Apparatus, system and method of prioritizing a management frame of a wireless network
GB2478795B (en) * 2010-03-19 2013-03-13 Imagination Tech Ltd Requests and data handling in a bus architecture
US9699158B2 (en) * 2011-09-22 2017-07-04 Russell S. Goodwin Network user identification and authentication
US9876803B2 (en) 2013-08-23 2018-01-23 Morphotrust Usa, Llc System and method for identity management

Also Published As

Publication number Publication date
US9775035B2 (en) 2017-09-26
US20170078878A1 (en) 2017-03-16
DE102016116684B4 (de) 2023-12-14
CN106528467A (zh) 2017-03-22
CN106528467B (zh) 2020-03-13

Similar Documents

Publication Publication Date Title
DE112013004941B4 (de) Gateway-Vorrichtung
DE102015214915B4 (de) Flexibles Scheduling-Verfahren und Scheduling-Vorrichtung bei einer LIN-Kommunikation
US6360145B1 (en) Vehicle platform-portable controller
DE102016217099B4 (de) Verfahren zum Verarbeiten von Fahrzeug-zu-X-Nachrichten
DE102006058818A1 (de) Vorrichtung und Verfahren zur Umwandlung von Textmitteilungen
DE102016217100B4 (de) Verfahren zum Verarbeiten von Fahrzeug-zu-X-Nachrichten
DE102015223512A1 (de) System und Verfahren zum Zusammenwirken zwischen Fahrzeugsteuerung und externer Ressource
DE112017006750T5 (de) Schaltvorrichtung, Kommunikationssteuerverfahren und Kommunikationssteuerprogramm
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE102017125568A1 (de) Verfahren und anordnung zur verwaltung von verbindungen zur datenübertragung
DE102021117437A1 (de) Sichere und geschützte Kommunikationsnetzwerknachrichtenverarbeitung
DE102011122646B4 (de) Nachrichtenverlustverhinderung durch Verwendung von Sender- und Empfängerpuffern in durch ein Ereignis ausgelösten verteilten eingebetteten Echtzeitsystemen
DE112012006248B4 (de) Datenverarbeitungsvorrichtung und Programm
DE102016116684B4 (de) Architektur und Vorrichtung zur Steuerung sicherer Nachrichtenverarbeitung
WO2009135707A1 (de) Teilnehmerknoten eines kommunikationssytems mit funktional getrenntem sende-ereignisspeicher
DE102019217077A1 (de) Fahrzeuginternes system
JP2020022019A (ja) 車両システム
EP1892631A2 (de) Verfahren und Vorrichtung zum Einspeisen von Daten in einen seriellen Datenbus
EP3560153B1 (de) Verfahren zum betreiben einer datenverarbeitungsanlage, datenverarbeitungsanlage
DE102016220652B4 (de) Koordinationssystem zur gegenseitigen Koordinierung von zwei Steuerteilen
DE102018200555A1 (de) Fahrzeugelektronikeinheit mit einer physikalischen Netzwerk-Schnittstelle und mehreren virtuelle Netzwerk-Schnittstellen aufweisenden virtuellen Maschinen sowie Datenkommunikationsverfahren zwischen den virtuellen Maschinen und der Netzwerk-Schnittstelle zu einem lokalen Fahrzeugnetzwerk eines Fahrzeugs
DE102021107787A1 (de) Dynamische Dienstqualitätssteuerung für Kraftfahrzeug-Ethernet
EP3423949B1 (de) Speicherdirektzugriffssteuereinrichtung für eine einen arbeitsspeicher aufweisende recheneinheit
DE102022116016A1 (de) Elektronische steuerungsvorrichtung
DE102022116017A1 (de) Elektronische steuerungsvorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: MANITZ FINSTERWALD PATENT- UND RECHTSANWALTSPA, DE

Representative=s name: MANITZ, FINSTERWALD & PARTNER GBR, DE

Representative=s name: MANITZ FINSTERWALD PATENTANWAELTE PARTMBB, DE

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012851000

Ipc: H04L0012865000

R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012865000

Ipc: H04L0047627500

R018 Grant decision by examination section/examining division