WO2020199377A1

WO2020199377A1 - 一种安全通信的装置和方法

Info

Publication number: WO2020199377A1
Application number: PCT/CN2019/092774
Authority: WO
Inventors: 陈山枝; 苏国彬; 许思远
Original assignee: 辰芯科技有限公司
Priority date: 2019-04-02
Filing date: 2019-06-25
Publication date: 2020-10-08
Also published as: US11748188B2; US20220012114A1; CN109962828A; CN109962828B

Abstract

本申请公开了一种安全通信的检测方法，包括：进行数据传输之前，进入自检模式；对错误检测点进行检测，以产生检测状态；收集检测状态，并进入错误处理模式；判断检测状态中是否有错误发生，若有错误发生，则对错误进行屏蔽。本申请通过安全通信的检测方法，除了可解决影像烙印的问题外，更可减少使用非易失性(flash)存储器，并进一步可缩小积体电路的尺寸与功能的利用。

Description

一种安全通信的装置和方法

技术领域

本申请涉及通信领域，尤其涉及一种用于车载通信的安全通信的装置和方法。

背景技术

图1显示现有技术的通信系统模块示意图，如图1所示，射频装置10和基带处理器11间的连接接口1包括射频与基带并口(Radio Front End Baseband Digital Parallel，RBDP)，标准/非标准高速接口等，基带处理器12与应用处理器13的连接接口2包括高速串行计算机扩展总线标准(Peripheral Component Interconnect Express，PCIe)，通用串行总线(Universal Serial Bus，USB)，安全数字输入输出(Secure Digital Input and Output，SDIO)等，导航装置13与基带处理器12间的连接接口3包括秒脉冲接口，通用异步收发传输器(Universal Asynchronous Receiver/Transmitter，UART)，无线通信/蓝芽装置14与应用处理器12间的连接接口4包括PCIe、USB与SDIO。通常数据在现有技术的通信系统中的各模块间的传输不包含有安全属性等可靠性信息，若某个模块的安全性故障可以通过模块间的额外通信来获取，但在此之前所进行的通信的数据可能已经是不可靠的了。

在现有车辆规定的通信系统，关於通信芯片设计中的功能安全设定，主要集中在内部的安全监测和故障检出告警，例如:(1)中央处理器采用高容错机制，出现故障可以回溯并纠正；(2)内部数据传输时，节点到节点间采用错误检查和纠正(Error Correcting Code，ECC)或奇偶校验方式，告警或故障会上报到中央处理器；(3)外部接口，如PCIe、高性能嵌入式互连技术(Serial Rapid IO，SRIO)等，采用出错重传机制提高数据传输的物理通路的安全，对自身器件出现的可靠性问题不能完全覆盖。

但上述的解决方式存在不少问题及风险，例如：(1)在车用电子系统中，存在使用多处理器通信及多芯片间通信的场景，局部发生安全性问题则无法及时在系统内实时传递；(2)在不同芯片间，数据的发送并没有标注标记(例如，被标注为安全的数据，还是被标注为非安全的数据)；(3)一旦发生安全告警，芯片内部的主中央处理器，虽然可通过芯片间的通信告知其他协同芯片，但是传递的异常数据有可能会被其他芯片作为正确的数据使用，如两芯片间采用USB接口通信，当第一芯片通过USB传递数据给第二芯片时，发生安全告警，告警信息传递到第一芯片的中央处理器被识别和处理时，USB数据已经传递到了第二芯片,并被第二芯片使用，而当第一芯片将告警信息发布时，整个系统很难回溯错误发生位置或时间点等问题。

发明内容

本申请提供一种安全通信的装置和方法，以解决目前通信系统无法实时获取安全失效位置，并实时标记相关的数据信号，以及即时处理安全失效单元产生的信息的问题

为了解决上述技术问题，本申请是这样实现的：

第一方面，提供了一种安全通信的检测方法，包括以下步骤：进行数据传输之前，进入自检模式；对错误检测点进行检测，以产生检测状态；收集检测状态，并进入错误处理模式；判断检测状态中是否有错误发生，若有错误发生，则对错误进行屏蔽。

第二方面，提供了一种安全通信的检测装置，包括：第一检测模块，包括第一功能安全收集单元及第一功能安全序列单元，设置于待测装置的第一元件中；第二检测模块，包括第二功能安全收集单元及第二功能安全序列单元，设置于待测装置的第二元件；其中，所述第一元件和所述第二元件间之设置有错误检测点，当第一元件对所述第二元件进行数据传输之前，第一检测模块将会进入自检模式，对错误检查点进行检测，以产生检测状态，第一功能安全收集单元收集检测状态，并进入错误处理模式，以判断检测状态中是否有错误发生，若有错误发生，则对错误进行屏蔽。

在本申请中，通过安全通信的检测方法和装置，解决了通信系统模块间由于功能安全失效的迟滞性带来的安全故障扩散问题，使得数据的安全性和实时性大幅提高，并且通过合理的安全失效检查点设置，可以快速准确地确认故障位置并评估故障对系统安全性的影响。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1显示现有技术的通信系统模块示意图；

图2显示本申请所揭露安全通信的检测装置的模块示意图；

图3显示UART发送无错误状态的数据时序图；

图4显示UART传送有错误状态的数据时序图；

图5显示根据本申请另一实施例为UART传送有错误状态并附加了额外信息的数据时序图；

图6显示PCIE传送有错误状态的数据时序图；

图7显示根据本申请又一实施例的协议握手的错误标注机制；

图8显示安全通信的检测方法的流程图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

如图2所示，本申请揭露一种安全通信的检测系统，应用於通信系统，此通信系统2包括射频装置20、基带处理器21、应用处理器22、导航装置23以及无线通信装置/蓝芽装置24，本安全通信的检测系统包括：第一检测模块201包括第一功能安全收集单元2011及第一功能安全序列单元2012，第一检测模块201设置于待测装置(例如通讯系统2)的第一元件中(例，射频装置20)。第二检测模块202包括第二功能安全序列单元2021和第二功能安全收集单元2022，第二检测模块202设置于所述待测装置(例如通讯系统2)的第二元件(例，基带处理器21)中。第一元件(例，射频装置20)和第二元件(例，基带处理器21)间之设置有错误检测点25，故当所述第一元件20对所述第二元件21进行数据传输之前，所述第一检测模块201将会进入自检模式，对所述错误检查点进行检测，以产生检测状态，所述第一功能安全收集单元2012收集所述检测状态，并进入错误处理模式，以判断所述检测状态中是否有错误发生，若有所述错误发生，则对所述错误进行屏蔽。此外，第一功能安全序列单元2011在所述错误被屏蔽时，对已被屏蔽的所述错误进行标记。再者，第一功能安全序列单元2011发送标记信号，以对已被屏蔽的所述错误进行标记，其中，第一功能序列单元2011将标记信号设置为高电平，以对已被蔽错误进行标记和第一功能安全序列单元2011对第一元件20与第二元件21间所传输的数据中的内容进行标记，或者是，第一功能安全序列单元2011对第一元件20与第二元件21间所传输的数据中的内容进行错误标记。

另外，第一元件20发送请求信号时，第二元件21接收到请求信号，会回传应答信号，并传输数据以及被屏蔽的错误予第一元件20。第一功能安全收集单元2011在所述错误处理模式时，执行一命令，以让所述错误处理模式重新回到自检模式，以重新对所述错误检查点25进行检测。

於本申请另一实施例，当第二元件(例基带处理器21)对第一元件(射频装置20)进行数据传输之前，所述第二检测模块202将会进入自检模式，对所述错误检查点进行检测，以产生检测状态，所述第二功能安全收集单元2022收集所述检测状态，并进入错误处理模式，以判断所述检测状态中是否有错误发生，若有所述错误发生，则对所述错误进行屏蔽。

此外，第二功能安全序列单元2021在所述错误被屏蔽时，对已被屏蔽的所述错误进行标记。再者，第二功能安全序列单元2021发送标记信号时，以对已被屏蔽的所述错误进行标记，其中，第二功能序列单元2021将标记信号设置为高电平，以对已被蔽错误进行标记和第二功能安全序列单元2021对第二元件21与第一元件20间所传输的数据中的内容进行标记，或者是，第二功能安全序列单元2021对第二元件21与第一元件20间所传输的数据中的内容进行错误标记。

另外，第二元件21发送请求信号时，第一元件20接收到请求信号，会回传应答信号并传输数据以及被屏蔽的错误予第二元件21。第二功能安全收集单元2022在所述错误处理模式时，执行一命令，以让所述错误处理模式重新回到自检模式，以重新对所述错误检查点25进行检测。

本申请所揭露的检测系统，除了上述所揭露外，亦於多个各元件内，设置多个检测模块，以进行对错误屏蔽，其运作及处理错误屏蔽的方式和上述实施例的运作及处理错误屏蔽的的式相同，故於此不再赘述。

进一步而言，当基带处理器21和射频装置20进行数据传输交换时，检测装置会先进入自检模式，对预设的一或多个错误检查点25进行检测，以产生一或多个检测状态。接著，射频装置20内第一检测模块201的第一功能安全收集单元2011收集多个错误检测点25的检测状态，并进入错误处理模式，以判断错误检查点25所产生的检测状态中是否有错误发生，换而言之，射频装置20内的第一检测模块201会评估基带处理器21和射频装置20间的错误检测点25的检测状态是否有错误发生，若第一功能安全收集单元2012和第二功能安全收集单元2022都收到基带处理器21和射频装置20间的错误检测点25所产生的检测状态，都指示出有错误发生，则第一功能安全序列单元2011和第二功能安全序列单元2021则都会被告知要准备传输的数据有错误发生，则基带处理器21和射频装置20间进行数据传输之前，第一功能安全序列单元 2011将会对数据进行屏蔽并标注准备传输的数据是错误的数据。若无，则通知第一功能安全序列单元2011可准备进行数据传输，同样地，基带处理器21内第二检测模块202的第二功能安全收集单元2022亦会同时收集多个错误检测点25的检测状态，并评估基带处理器21和射频装置20间的错误检测点25的检测状态是否有错误发生，若无，则亦告知第二功能安全序列单元2021可准备进行数据传输，当第一功能安全序列单元2011和第二功能安全序列单元2021同时准备好进行数据传输时，则基带处理器21和射频装置20间则会进行数据传输。

於本实例，本申请对错误的数据标注的方式有:(1)带外错误标记方式；(2)带内错误标记方式。

所谓带外错误标记方式，适用於接口协议简单的串行信号，并考虑外加标记信号的方式。图3显示UART发送无错误状态的数据时序图，如图3所示，以UART协义为例，在UART协议下，由传送(TX)端发送的开始状态位，本申请的安全标记错误状态的信号可设置为低电平，以表示UART所传送出的数据并无错误，且标记错误状态的信号可在整个数据信号的发送过程中，一直保持为低电平，直至数据发送的停止位结束。图4显示UART传送有错误状态的数据时序图，如图4所示，以UART协义为例，在UART协议下，由传送(TX)端发送的开始状态位，本申请的安全标记错误状态的信号可设置为高电平，以表示UART所传送出的数据有错误，且标记错误状态的信号可在整个数据信号的发送过程中，一直保持为高电平，直至数据发送的停止位结束。

图5显示根据本申请另一实施例为UART传送有错误状态并附加了额外信息的数据时序图。於本实施例，如果想对具体错误点的信息进行传递，可以采用更多的带外信号。如图5所示，图中在相应的数据传输过程中，可以附加错误检查点的安全识别号(ID)，接收端依据安全ID可以进行其他可选的操作如忽略该数据或有条件使用数据等。详而言之，根据实际需求，安全ID可用高电平、低电平或其他多种电平组合来区分信号异常或正常状态，例如，用高电平来表示所传输的信号为正常，低电平来表示所传输的信号为异常，或是，反过来用低电平来表示信号正常，高电平来表示信号异常。

所谓带内错误标记方式，适用於对于具有复杂传输帧结构的接口，如果帧结构还有未使用的保留位或保留数据段，或还可以允许对帧结构进行扩展，那么可以考虑采用这种方式。使用这种方式，可以减少片外管脚数量。图6显示PCIE传送有错误状态的数据时序图。如图6所示，以PCIE一个传输包为例，标注的保留位可以进行扩展错误标记。当然，这类接口若对外部管脚数量允许增加，也可以使用带外错误标记方式。

於本申请又一实施例，考虑到系统有需要在运行过程中对错误的等级再配置的可能性，需要考虑从错误标注状态回到错误处理状态的机制。图7显示根据本申请又一实施例的协议握手的错误标注机制。如图7所示，握手信号请求一般由接收端发起，将电平置高表示握手请求(REQ)，同时可以附加额外的信号做为命令或错误ID等信息增加更多的操作选择。发送端检测请求信号有效电平发出握手应答信号(ACK)表示接收到握手请求，并可根据附加信息进行更多操作选择。接收端检查到应答信号的有效电平后置请求信号的电平为低，至此握手交互动作结束。

本申请提供一种安全通信的检测方法，图8显示安全通信的检测方法的流程图。如图8所示，本申请揭露一种安全通信的检测方法可应用於通信系统，此安全通信的检测方法包括：进行数据传输之前，进入自检模式(步骤s801)；对错误检测点进行检测，以产生检测状态(步骤s802)；收集检测状态，并进入错误处理模式(步骤s803)；判断检测状态中是否有错误发生，若有错误发生，则对错误进行屏蔽(步骤s804)。

此外，於本实施例，安全通信的检测方法还包括：对已被屏蔽的所述错误进行标记。另外,本申请的检测方法发送一标记信号，以对已被屏蔽的所述错误进行标记，其中，将所述标信号设置为高电平，以对已被蔽所述错误进行标记，或对所传输的所述数据的内容进行错误标记。本申请的检测方法另可发送请求信号，当接收到所述请求信号时，回传应答信号并传输所述数据以及被屏蔽的所述错误。本申请的检测方法在所述错误处理模式时，执行一命令，以让所述错误处理模式重新回到自检模式，以重新对所述错误检查点进行检测。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims

一种安全通信的检测方法，其特征在于，所述安全通信的检测方法包括以下步骤：

进行数据传输之前，进入自检模式；

对所述错误检测点进行检测，以产生检测状态；

收集所述检测状态，并进入错误处理模式；以及

判断所述检测状态中是否有错误发生，若有所述错误发生，则对所述错误进行屏蔽。
如权利要求1所述的安全通信的检测方法，还包括以下步骤：对已被屏蔽的所述错误进行标记。
如权利要求2所述的安全通信的检测方法，其特征在于，发送一标记信号，以对已被屏蔽的所述错误进行标记，其中，将所述标信号设置为高电平，以对已被蔽所述错误进行标记，或对所传输的所述数据的内容进行错误标记。
如权利要求2所述的检测方法，其特征在于，发送请求信号，当接收到所述请求信号时，回传应答信号并传输所述数据以及被屏蔽的所述错误。
如权利要求1所述的检测方法，其特征在于，在所述错误处理模式时，执行一命令，以让所述错误处理模式重新回到自检模式，以重新对所述错误检查点进行检测。
一种安全通信的检测装置，其特征在于，所述安全通信的检测装置包括：

第一检测模块，包括第一功能安全收集单元及第一功能安全序列单元，设置于一待测装置的第一元件中；以及

第二检测模块，包括第二功能安全收集单元及第二功能安全序列单元，设置于所述待测装置的第二元件；

其中，所述第一元件和所述第二元件间之设置有错误检测点，当所述第一元件对所述第二元件进行数据传输之前，所述第一检测模块将会进入自检模式，对所述错误检查点进行检测，以产生检测状态，所述第一功能安全收集单元收集所述检测状态，并进入错误处理模式，以判断所述检测状态中是否有错误发生，若有所述错误发生，则对所述错误进行屏蔽。
如权利要求6所述的安全通信的检测装置，其特征在于，所述第一功能安全序列单元将在所述错误被屏蔽御，对已被屏蔽的所述错误进行标记。
如权利要求7所述的安全通信的检测装置，其特征在于，所述第一功能安全序列单元发送一标记信号，以对已被屏蔽的所述错误进行标记，其中，所述第一功能序列单元将所述标记信号设置为高电平，以对已被蔽所述错误进行标记和所述第一功能安全序列单元对所述第一元件与所述第二元件间所传输的所述数据中的内容进行标记，或所述第一功能安全序列单元对所述第一元件与所述第二元件间所传输的所述数据中的内容进行错误标记。
如权利要求7所述的安全通信的检测装置，其特征在于，所述第一元件发送请求信号时，所述第二元件接收到所述请求信号，回传应答信号并传输所述数据以及被屏蔽的所述错误予所述第一元件。
如权利要求7所述的安全通信的检测装置，其特征在于，所述第一功能安全收集单元在所述错误处理模式时，执行一命令，以让所述错误处理模式重新回到自检模式，以重新对所述错误检查点进行检测。