安全车辆网络架构制造技术

本公开的实施例可以通过区分在车辆网络的不同层的通信并根据网络层使用不同的安全级别来提供车辆网络中的安全通信。例如，在相同域中的不同电子控制单元(ECU)(例如，动力系域中的两个ECU)之间的通信可能不需要与从不同域中的ECU(例如，底盘域)或从车辆外部的设备发起的通信一样高的安全性。这可以允许增加的安全性(在这种情况下，损害可能性更大，例如当通信源自车辆外部时)以及降低的安全性(在这种情况下，损害可能性较小而性能是更大的顾虑，例如在车辆内的ECU之间和/或在同一个域的通信)。

【技术实现步骤摘要】
安全车辆网络架构
本专利技术主要涉及车辆(如汽车)的电子控制单元的数据通信。
技术介绍
现代车辆(特别是汽车)越来越多地包括允许车辆经常通过互联网与其他设备通信的连接特征。例如，智能手机可以用于对车门进行锁定和开锁，因此安全性成为所有连接车辆的问题。然而，安全协议(如加密)可能是耗时且系统密集的，因此使得对于需要实时相互通信的车辆系统来说是不切实际的。
技术实现思路
本公开的实施例可以通过区分在车辆网络的不同层的通信并根据网络层使用不同的安全级别来提供车辆网络中的安全通信。例如，在相同域中的不同电子控制单元(ECU)(例如，动力系域中的两个ECU)之间的通信可能不需要与从不同域中的ECU(例如，底盘域)或从车辆外部的设备发起的通信一样高的安全性。这可以允许增加的安全性(在这种情况下，损害可能性更大，例如当通信源自车辆外部时)以及降低的安全性(在这种情况下，损害可能性较小而性能是更大的顾虑，例如在车辆内的ECU之间和/或在同一个域的通信)。附图说明图1示出了根据本公开的实施例的用于车辆网络中的安全通信的示例性系统；图2A-2B示出了根据本公开的实施例的车辆网络中的安全通信的示例性方法；图3示出了根据本公开的实施例的用于车辆网络中的安全通信的示例性系统。具体实施方式在下面对实施例的描述中，参考附图为构成本文的一部分，并且其中通过图示的方式示出了可以实施的特定实施例。应当理解，在不脱离所公开的实施例的范围的情况下，可以使用其他实施例并且可以进行结构改变。现代车辆(特别是汽车)越来越多地包括允许车辆经常通过互联网与其他设备通信的连接特征。例如，智能手机可以用于对车门进行锁定和开锁，因此安全性成为所有连接车辆的问题。然而，安全协议(如加密)可能是耗时且系统密集的，因此使得对于需要实时相互通信的车辆系统来说是不切实际的。本公开的实施例可以通过区分在车辆网络的不同层的通信并根据网络层使用不同的安全级别来提供车辆网络中的安全通信。例如，在相同域中的不同电子控制单元(ECU)(例如，动力系域中的两个ECU)之间的通信可能不需要与从不同域中的ECU(例如，底盘域)或从车辆外部的设备发起的通信一样高的安全性。这可以允许增加的安全性(在这种情况下，损害可能性更大，例如当通信源自车辆外部时)以及降低的安全性(在这种情况下，损害可能性较小而性能是更大的顾虑，例如在车辆内的ECU之间和/或在同一个域的通信)。尽管本公开的示例(例如，图1)仅示出四个域(动力系域，底盘域，高级驾驶员辅助系统域和主体域)，但示例不限于此，并且可以具有任何数量或配置的域。尽管本公开的示例描述了多个域(每个域包括多个ECU)，但是示例不限于此并且可以具有包括车辆中的所有ECU的单个域和/或多个域(其中一些仅包括单个ECU)。此外，尽管本公开的示例描述了使用CAN消息，但是示例不限于此，并且可以使用如本地互连网络(LIN)或串行外围接口(SPI)等的其它低带宽通信协议。图1示出了根据一些实施例的用于车辆网络中的安全通信的示例性系统。车辆100可以包括通信网络，其允许各个ECU彼此通信，允许各个ECU与车辆里的其他设备以及远离车辆(例如，连接互联网)的设备通信。ECU可以是控制车辆(如，汽车)中一个或多个电气系统或子系统的任何嵌入式系统。ECU的示例包括发动机控制模块、速度控制单元、动力系控制模块、变速器控制模块、制动控制模块和/或门控制单元，以及许多其它可能性。每个ECU可以传送与其操作相关的数据。例如，速度控制单元可以输出当前速度，门控制单元可以输出指示每个门是打开、关闭、锁定还是解锁等的状态。在一些实施例中，ECU可以依据功能被组织成多个域。例如，图1示出了动力系域104、底盘域106、高级驾驶员辅助系统(ADAS)域108和主体域110。每个域可以包括一个或多个ECU及其自己的域控制器，域控制器可以用于充当域内或域外的任何通信的防火墙。此外，不同域中的ECU可以经由中心集线器102连接在一起，中心集线器102允许与远程设备(例如，经由通过网络(如因特网)连接到云设备112的蜂窝调制解调器114)通信。ECU之间的通信可以使用控制器局域网(CAN)消息。该通信协议被广泛使用并且具有低开销。然而，CAN数据包传统上限制为8字节，并且标准的CAN工具不能用于调试和查看CAN流量。在一些实施例中，每个域的域控制器可以经由以太网连接到中心集线器102，并且域控制器可以充当CAN总线上的域内通信与基于以太网的域外通信的网关。通过在以太网上发送CAN消息，可以更容易地使用安全协议(如加密和验证)。如图1所示，可以根据车辆中的通信层使用不同的安全级别。在一些实施例中，高安全级别可以用于涉及远程设备的任何通信(例如，经由蜂窝调制解调器114与云112的任何通信)。高安全级别可以包含(例如，使用传输层安全性(TLS))加密传输层和/或(例如，通过验证通信源的媒体访问控制(MAC)地址)验证通信源。此外，在一些示例中，可以通过确定通信的消息类型并将其与允许消息类型的列表进行比较来验证消息的内容。如果该消息类型包括在列表中，则该消息可以被传递，但是如果该消息类型不包括在列表中，则该消息可能被丢弃而不被传递。在一些实施例中，可以使用中安全级别来传送域之间或中心集线器和ECU之间的任何消息。中安全级别可以包括用于高安全级别的安全协议的子集。例如，可以验证在中安全级别的任何通信(例如，通过验证MAC地址和/或验证消息类型)，但是可以不对其进行加密。在一些示例中，中安全级别可以涉及一些加密，该加密比在高安全级别使用的加密方法速度更快和/或较不安全。任何安全级别的加密和/或验证可以在中心集线器和/或特定域的域控制器处执行。因为可以使用如以太网等协议来执行中安全级别和高安全级别的通信，所以可以容易地执行标准验证和加密方法以使通信安全。在一些实施例中，可以使用低安全级别来传送相同域中的ECU之间的任何消息。低安全级别可以包括用于中安全级别的安全协议的子集。在一些实施例中，低安全级别可以不包括任何种类的加密或验证，并且可以在不使用以太网的情况下通过CAN总线执行。图2A示出了根据一些实施例的在车辆中的中心集线器和多个电子控制单元之间进行通信的示例性方法。CAN消息可以从源被传送到多个电子控制单元中的第一电子控制单元。安全级别可以基于CAN消息的源来确定(201)。如果CAN消息的源是多个电子控制单元中的一个，则CAN消息可以被以第二安全级别(例如，低安全级别)传送到第一电子控制单元。例如，如果多个电子控制单元属于第一域并且CAN消息在第一域内发送，则CAN消息可以被以低安全级别传送(205)。在一些实施例中，域内通信可以在不支持安全协议(如验证和加密)的CAN总线(不是以太网)上进行。如果CAN消息的源不是多个电子控制单元中的一个，则CAN消息可以以第一安全级别(例如，中安全级别)被传送到第一电子控制单元。例如，如果CAN消息的源是与第一域不同的第二域的附加的多个ECU，则可以以中安全级别传送CAN消息(203)。在一些实施例中，CAN消息的源可以在车辆外部，并且因此CAN消息可以以第三安全级别(例如，高安全级别)传送(207)。在任一情况下，可以使用安全协议(如加密和/或认证)，因为本文档来自技高网...

【技术保护点】
一种车辆，包括：中心集线器；以及连接到所述中心集线器的多个电子控制单元；其中，所述多个电子控制单元被配置，以使得在所述中心集线器和所述多个电子控制单元之间以第一安全级别传送第一组控制器局域网CAN消息，以及在所述多个电子控制单元之间以低于所述第一安全级别的第二安全级别传送第二组CAN消息。

【技术特征摘要】
2015.11.20 US 62/258,3481.一种车辆，包括：中心集线器；以及连接到所述中心集线器的多个电子控制单元；其中，所述多个电子控制单元被配置，以使得在所述中心集线器和所述多个电子控制单元之间以第一安全级别传送第一组控制器局域网CAN消息，以及在所述多个电子控制单元之间以低于所述第一安全级别的第二安全级别传送第二组CAN消息。2.根据权利要求1所述的车辆，其中以所述第一安全级别传送所述第一组CAN消息包括验证所述第一组CAN消息中的每个相应CAN消息的源，并且以所述第二安全级别传送所述第二组CAN消息不包括验证所述第二组CAN消息中的每个相应CAN消息的源。3.根据权利要求2所述的车辆，其中验证所述第一组CAN消息中的每个相应CAN消息的源包括验证所述源的媒体访问控制MAC地址。4.根据权利要求1所述的车辆，其中以所述第一安全级别传送所述第一组CAN消息包括将所述第一组CAN消息中的每个相应CAN消息的消息类型与允许消息类型的列表进行比较，并且以所述第二安全级别传送所述第二组CAN消息不包括将所述第二组CAN消息中的每个相应CAN消息的消息类型与所述允许消息类型的列表进行比较。5.根据权利要求1所述的车辆，其中所述中心集线器被配置，以使得在所述中心集线器和通过网络连接到所述中心集线器的一个或多个远程设备之间以高于所述第一安全级别的第三安全级别传送第三组CAN消息。6.根据权利要求5所述的车辆，其中以所述第三安全级别传送所述第三组CAN消息包括加密所述第三组CAN消息，以及以所述第一安全级别传送所述第一组CAN消息不包括加密所述第一组CAN消息。7.根据权利要求1所述的车辆，其中所述车辆进一步包括：多个域，每个域包括CAN总线和在所述CAN总线和所述中心集线器之间接口的域控制器。8.根据权利要求7所述的车辆，其中每个域控制器经由以太网与所述中心集线器接口。9.根据权利要求7所述的车辆，其中所述多个电子控制单元都属于所述多个域中的第一域，并且所述多个电子控制单元经由所述第一域的相应CAN总线彼此连接。10.一种在车辆中的中心集线器和多个电子控制单元之间进行通信的方法，所述方法包括：将来自源的控制器局域网CAN消息传送到所述多个电子控制单元中的第一电子控制单元；其中，根据所述CAN消息的源不是所述多个电子控制单元中的一个，将所述CAN消息以第一安全级别传送到所述第一电子控制单元；以及根据所述CAN消息的源是所述多个电子控制单元中的一个，将所述CAN消息以低于所述第一安全级别的第二安全级别传送到所述第一电子控制单元。11.根据权利要求10所述的方法，其中，根据所述CAN消息的源在车辆外部，将所述CAN消息以高于所述第一安全级别的第三安全级别传送到所述第一电子控制单元。12.根据权利要求10所述的...

【专利技术属性】
技术研发人员：A·帕雅尼，D·L·科瓦列夫斯基，J·M·费尔南多，E·R·艾维奇科，
申请(专利权)人：法拉第未来公司，
类型：发明
国别省市：美国,US