專利名稱:診斷訪問受到保護的汽車中的控制設備系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及一種由汽車中的控制設備組成的系統(tǒng),這些控制設備 通過該汽車的一個或多個數(shù)據(jù)總線通信�����,該系統(tǒng)具有至少兩個診斷通
道(Diagnosezugang)��,其中通過這些診斷通道����,基于診斷請求消息 來診斷至少一個控制設備的狀態(tài)���,尤其是通過其中一個診斷通道請求 控制設備的故障存儲器記錄(Fehlerspeichereintrag )并將其向外傳 送���。
背景技術:
在當前的汽車中,通常通過至汽車的中央連接點來實現(xiàn)和保護所 有控制設備的診斷能力(Diagnosefaehigkeit)�。中央連接點設置在汽 車中,并且因此在汽車丟失時防止對其的訪問����。許多制造商通常都提 供這樣一種控制設備,該控制設備除了物理地提供診斷通道之外,還 對外保護診斷通信的數(shù)據(jù)完整性�����,并且必要時還對外保護診斷通信的 操縱防護性(Manipulationssicherheit)��。根據(jù)現(xiàn)有技術�����,如果存在 多個物理通道�����,則相互獨立地實現(xiàn)和保護這些物理通道�����。
對于實現(xiàn)多個相互獨立的診斷通道的這個技術而言�,在請求控制 設備時以及在實施時產(chǎn)生相應的額外耗費。在每個配備有診斷通道的 控制設備中����,必須實施相應的完整性檢驗機制以及用于防止和識別對 診斷通信的可能操縱的必要方法。此外��,必要時還必須與請求相應地 選擇通道控制設備(Zugaiigssteuergeraet)中對于計算性能、數(shù)據(jù)緩 沖(Datenpuffer)等等的必要資源��,這些資源具有必要的處理能力以 便能夠滿足相應的性能/防護需求��。
對于其中外部攻擊者(Angreifer)能夠在不物理地進入汽車中 的情況下引進(dnbringen)基于無線的數(shù)據(jù)包并因此能夠讀取并可能更改信息的無線診斷通信����,必須保護每個經(jīng)由無線電通信傳輸?shù)脑\
斷包(Diagnosepaket)不被篡改,并能可靠地驗證被授權的外部診斷 單元和/或汽車的真實性����。因此�����,必須單獨地對每個經(jīng)由無線電通信傳 輸?shù)脑\斷包檢驗墓改和真實性���,并且在必要時丟棄診斷包����。相應地�����, 需要對于提供診斷通道的控制設備的硬件提出極高的要求,這些要求 在通常運行(Regelbetrieb)(沒有診斷通信)中�����、即在控制設備在 汽車運行時執(zhí)行其期望功能期間本來是不需要的��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術問題是以經(jīng)濟的方式在具有至少一個診斷 通道的汽車中構造由控制設備組成的系統(tǒng)�。
該技術問題通過權利要求1中給出的措施來解決。本發(fā)明的優(yōu)選 實施方式在從屬權利要求中給出�����。
與其中在每個具有診斷通道的控制設備中設置保護裝置的已知 分布式安全體系結構相比�,這里提出了一種中央保護裝置或檢驗裝 置。另外�,根據(jù)本發(fā)明,識別在通向本發(fā)明系統(tǒng)的通道上的診斷請求 消息本身�����,并(優(yōu)選直接地)轉發(fā)到中央檢驗裝置以用于檢驗����。
在成功通過檢驗之后,診斷請求消息由該中央機構(Instanz) 轉發(fā)到相應的目標控制設備并在那里被處理����,其中該目標控制設備的 狀態(tài)應當被z珍斷��。相應的應答才艮文(Antworttelegramme )或i貪斷消 息優(yōu)選同樣被饋送給中央檢驗裝置���。此外,優(yōu)選地�,在診斷消息被傳 送給進行查詢的外部診斷裝置之前,診斷消息被簽名并且被保護以防 止發(fā)送者的篡改和/或欺騙���,在適當?shù)那闆r下還被加密��。
優(yōu)選地���,根據(jù)本發(fā)明的診斷通道至少部分地是通往由控制設備組 成的系統(tǒng)的無線通道�,如尤其是D-CAN、 WLAN�����、在解除防盜鎖止 (Wegfahrsperre )和/或解鎖(Entriegelung )車門時汽車鑰匙與汽車 相互通信的信道(Kanal)或頻率���、GSM���、 TDMA或它們的組合等類 型��。
下面借助附圖詳細解釋本發(fā)明的實施例����。相同的附圖標記表示相 同或作用相同的功能單元��。
圖1示出根據(jù)現(xiàn)有技術的由控制設備組成的已知系統(tǒng)����,其中單獨
保護每一個通道;
圖2示出根據(jù)本發(fā)明的系統(tǒng)��,其中診斷請求消息與通道無關地被 傳遞到中央檢驗裝置并在那里被檢驗�����;以及
圖3示出在圖2所示的根據(jù)本發(fā)明的系統(tǒng)中診斷請求消息從外部 診斷裝置到目標控制設備的路徑����。
具體實施例方式
已知的系統(tǒng)100包括多個控制設備,其中對于這些控制設備示例 性地示出了控制i殳備101����、 102��、 103���、 104?���?刂苅殳備101、 102和104 與第一數(shù)據(jù)總線105直接連接�,控制設備102和103與第二數(shù)據(jù)總線 直接連接?����?刂圃O備102因此具有特殊性����,即它與兩個數(shù)據(jù)總線105 和106直接連接。該控制設備102是所謂的中央網(wǎng)關控制設備�?���?刂?設備101和102分別具有所謂的"軟件安全層"107或108,即分別具 有用于數(shù)據(jù)的很"粗略的"檢驗裝置����,以防止對系統(tǒng)的以下控制設備的 操縱���,即這些控制設備經(jīng)由通道A或通道B直接到達控制設備101 或102。
通道A和B是物理通道�,如相對于訪問被保護地設置在(必要 時關閉的)汽車中的診斷插座(Diagnosebuchse )。由于汽車中的物 理通道被保護以防止受到未經(jīng)授權的訪問���,因此通過軟件安全層107 或108實現(xiàn)很簡單的操縱防護��,其中該操縱防護在經(jīng)由通道A和/或B 對控制設備執(zhí)行診斷時對控制設備101或102各自的處理器只施加很 少的負荷�����。
尤其地���,在用于從系統(tǒng)或汽車外部經(jīng)由外部診斷裝置無線地接入 控制設備的通道A和B的設計方案中,建議進一步改善的操縱防護�。 圖2示出根據(jù)本發(fā)明的系統(tǒng)200,該系統(tǒng)與已知系統(tǒng)100的區(qū)別在于��,控制設備101具有程序技術實現(xiàn)的識別和轉發(fā)裝置201�,以代 替軟件安全層107,也就是說�,根據(jù)本發(fā)明����,控制設備101的處理器 (未示出)的程序控制被擴展為使得相應程序控制的處理器形成識別 和轉發(fā)裝置���。
根據(jù)本發(fā)明����,代替安全層108�,在控制設備或中央網(wǎng)關控制設備 102中實現(xiàn)程序技術實現(xiàn)的檢驗裝置202,也就是說��,控制設備102 的處理器(未示出)的程序控制被擴展為使得相應程序控制的處理器 形成檢驗裝置�����。
識別和轉發(fā)裝置201以及檢驗裝置102的功能將在下面借助圖3 解釋��,其中圖3示出在根據(jù)本發(fā)明的系統(tǒng)中診斷請求消息從外部診斷 裝置到目標控制設備的路徑�����。
汽車外部的診斷裝置301無線地-在這里所描述的實施例中是 經(jīng)由在解除電子防盜鎖止和/或解鎖車門時汽車鑰匙與汽車通信(或反 向通信)的通信信道-向通道A傳送由該診斷裝置簽名的診斷請求 消息302�����。識別和轉發(fā)裝置201識別這樣的消息����,并且可以例如在第 一(粗略)檢驗的范圍中確定簽名是否可以對應于經(jīng)過授權的診斷裝 置。為此��,只需要控制設備IOI的很少的處理器處理能力�����,并且控制 設備101的處理器(未示出)可以在診斷的范圍內(nèi)利用可供使用的處 理器處理能力來完成該檢驗���,其中根據(jù)本發(fā)明��,控制設備101的處理 器只針對控制設備的實際功能來設計(dimensionieren )�����。
在肯定的(positiver)(粗略)檢驗之后或者如果沒有該檢驗�, 則在僅僅識別是診斷請求消息之后���,診斷請求消息302被配備以以下 信息�,即該信息將診斷請求消息302標識為診斷請求消息并給出檢驗 裝置地址。相應被標識的并具有檢驗裝置地址的診斷請求消息302在 下面被稱為封裝后的(gekapselt)診斷請求消息303����。基于檢驗裝置 地址�����,封裝后的診斷請求消息303直接經(jīng)由數(shù)據(jù)總線105和106的總 線系統(tǒng)的直接通信路徑�����,即所謂的隧道(Tunnel) 304���,饋送給控制 設備102 (中央網(wǎng)關控制設備)的檢驗裝置202�。
必要時���,檢驗裝置對封裝后的診斷請求消息303進行解密
7(entschluesseln)��,對簽名和實際診斷請求消息檢驗其是否未受篡改�, 并檢驗消息的發(fā)送者是否被授權查詢診斷數(shù)據(jù)����,尤其是查詢控制設備 的故障存儲器中的記錄���。
這在已知的公鑰方法范圍中執(zhí)行,其中在公鑰方法中�����,汽車外部 的診斷裝置301的公鑰被訪問����。該公鑰以被保護以防止篡改的方式被 存儲在控制設備102的存儲器中�����。
如果上述檢驗的結果是肯定的�,則診斷請求消息302 (或其沒有 簽名的一部分)經(jīng)由數(shù)據(jù)總線106被傳遞到目標控制設備103,并由 控制i殳備103處理����。
控制設備103將所請求的診斷消息(未示出)發(fā)送到檢驗裝置 202,其中該檢驗裝置又在公鑰方法的范圍內(nèi)對該診斷消息進行簽名, 必要時還進行加密(verschluesseln )�,并且轉發(fā)給通道A以無線地轉 發(fā)到汽車外部的診斷裝置301,其中該診斷裝置例如在汽車供應商進 行維修時或者在汽車制造商的遠程維修服務中可用�����。在對診斷消息進 行簽名和/或解密中,控制設備102的處理器訪問系統(tǒng)200或汽車的私 鑰���?;谑褂闷嚮蛳到y(tǒng)200的公鑰���,汽車外部的診斷裝置301可以 檢驗所獲得的診斷消息的未受篡改和真實性或其發(fā)送者�,并在必要時 對其進行解密���。
通過所描述的根據(jù)本發(fā)明的措施�����,可以實現(xiàn)對汽車控制設備的經(jīng) 濟的���、尤其是無線的診斷,該診斷滿足高的安全要求�。在根據(jù)本發(fā)明 的系統(tǒng)中只需要中央檢驗裝置提供可能很高的處理器處理能力。此 外����,可以保留已知的多個通向系統(tǒng)的外部通道的概念。
優(yōu)選地����,根據(jù)本發(fā)明��,中央網(wǎng)關控制設備在診斷過程中提供檢驗
裝置��。與系統(tǒng)的其它控制設備相比�����,中央網(wǎng)關控制設備通常由于其在 汽車運行期間的期望功能而提供高的處理器處理能力,該處理器處理
能力在診斷過程中可以在沒有附加成本的情況下被用于實現(xiàn)對診斷 中操縱防護性的高安全要求����。
權利要求
1.一種由汽車中的控制設備(101,102�����,103���,104)組成的系統(tǒng)(200)���,其中所述控制設備經(jīng)由所述汽車的一個或多個數(shù)據(jù)總線(105,106)通信����,所述系統(tǒng)具有至少兩個診斷通道(A���,B),其中所述控制設備中至少一個控制設備的狀態(tài)通過所述診斷通道基于診斷請求消息而被診斷����,尤其是控制設備的故障存儲器記錄經(jīng)由所述診斷通道中一個診斷通道被請求并被向外傳送,其特征在于���,-經(jīng)由第一診斷通道(A)饋送給所述系統(tǒng)的診斷請求消息(302)被識別和轉發(fā)裝置(201)識別為診斷請求消息����,并且被傳送到檢驗裝置(202)��,-所述檢驗裝置(202)至少檢驗所述診斷請求消息(302)的真實性���,并在必要時將所述診斷請求消息轉發(fā)到所述診斷請求消息(302)所針對的控制設備(103)���。
2. 根據(jù)權利要求l所述的系統(tǒng),其特征在于����,第一和/或其它診 斷通道(A�����,B)是通向所述系統(tǒng)(200 )或汽車的無線通道���,如尤其是 D-CAN、 WLAN��、在解除防盜鎖止和/或解鎖車門時汽車鑰匙與所述 汽車相互通信的信道或頻率�、GSM、 TDMA類型的無線通道��。
3. 根據(jù)權利要求1或2所述的系統(tǒng)���,其特征在于,所述檢驗裝 置(202 )基于所述診斷請求消息的簽名檢驗所述診斷請求消息(302 ) 的真實性�,和/或借助于具體的診斷請求消息檢驗所述診斷請求消息的 發(fā)送者是否被授權發(fā)送所述診斷請求消息和/或對所述診斷請求消息 進行解密。
4. 根據(jù)權利要求1至3中任一項所述的系統(tǒng)��,其特征在于�,所 述檢驗裝置(202)具有程序控制的處理器,所述處理器優(yōu)選地借助 于公鑰方法檢驗所述診斷請求消息(302)����,并且在此過程中訪問以 防止墓改的方式被存儲在所述汽車中或所述控制設備之一中的公鑰�����。
5. 根據(jù)上述權利要求之一所述的系統(tǒng)�����,其特征在于�����,具有中央 網(wǎng)關控制設備(102)�����,其中所述中央網(wǎng)關控制設備直接與所述數(shù)據(jù)總線(A���, B)中至少一個第一數(shù)據(jù)總線以及第二數(shù)據(jù)總線連接,并且 所述網(wǎng)關控制設備的處理器與相應的程序控制一起形成所述檢驗裝 置(102 )���。
6. 根據(jù)上述權利要求之一所述的系統(tǒng)�,其特征在于����,所述控制 設備之一 (103)的診斷消息在發(fā)送到該控制設備(103)的診斷請求 消息(302)之后被傳送到所述檢驗裝置(102)��,其中所述檢驗裝置 為所述診斷消息配備簽名和/或對所述診斷消息編碼��,并且相應的診斷 消息經(jīng)由所述診斷通道之一 (A)從所述系統(tǒng)(200)傳送到外部診斷 裝置(301)�。
7. 根據(jù)權利要求6所述的系統(tǒng)���,其特征在于��,向外傳送的診斷 消息的簽名和/或加密是通過使用公鑰方法而實現(xiàn)的����,并且優(yōu)選地����,私 鑰以防止偵聽和墓改的方式被存儲在所述汽車中或所述控制設備之 一 (102 )中�。
8. 根據(jù)上述權利要求之一所述的系統(tǒng),其特征在于����,已經(jīng)在診 斷通道中對所獲得的診斷請求消息(302)進行第一檢驗(201)。
9. 根據(jù)權利要求8所述的系統(tǒng)����,其特征在于����,所述識別和轉發(fā) 裝置(201 )進行所述第一檢驗����,其中優(yōu)選檢驗所述診斷請求消息(302 ) 的簽名。
10. 根據(jù)權利要求8或9所述的系統(tǒng)����,其特征在于,所迷識別和 轉發(fā)裝置(201 )由設置在診斷通道(A )和所述至少一個數(shù)據(jù)總線(105 ) 之間的控制設備(101)構成����,并且該控制設備(101)的處理器的程 序控制被擴展為使得由所述控制設備或所述控制設備的處理器執(zhí)行 所述第一檢驗。
全文摘要
本發(fā)明涉及一種由汽車中的控制設備(101�����,102��,103����,104)組成的系統(tǒng)(200),這些控制設備通過汽車的一個或多個數(shù)據(jù)總線(105,106)通信�,該系統(tǒng)具有至少兩個診斷通道(A,B)�,通過這些診斷通道基于診斷請求消息來診斷至少一個控制設備的狀態(tài),尤其是通過其中一個診斷通道請求控制設備的故障存儲器記錄并向外傳送����。為了在具有至少一個診斷通道的汽車中經(jīng)濟地形成由控制設備組成的已知系統(tǒng),建議通過第一診斷通道(A)輸入系統(tǒng)的診斷請求消息(302)被識別和傳遞裝置(201)識別為診斷請求消息�,并且傳送給檢驗裝置(202),并且檢驗裝置(202)至少檢驗診斷請求消息(302)的真實性�����,并在必要時傳遞給診斷請求消息(302)所針對的控制設備(103)�。
文檔編號G01M17/007GK101518018SQ200780032332
公開日2009年8月26日 申請日期2007年8月23日 優(yōu)先權日2006年8月31日
發(fā)明者M·托爾羅, U·溫曼 申請人:寶馬股份公司