本发明专利技术涉及一种具有车辆内部的数据网络(17)的机动车(10),通过该数据网络将机动车(10)的控制器(21)相互联接以用于交换消息(23)。本发明专利技术提出,所述数据网络(17)被划分为多个安全区(25),在安全区内部分别设有控制器(21)中的至少一个控制器,提供有域控制装置(27),这些域控制装置中的每个域控制装置都分别使安全区(25)中的至少两个安全区相互分开,每个域控制装置都被布置用于,当所述消息(23)中的至少一个消息满足了预先确定的安全标准(28)时,在被域控制装置所分开的安全区(25)中的至少两个安全区之间传输该消息,以及在违背安全标准(28)时阻止该消息(23)的传输。
【技术实现步骤摘要】
【国外来华专利技术】具有车辆内部的数据网络的机动车以及运行机动车的方法
本专利技术涉及一种具有车辆内部的数据网络的机动车,通过该数据网络将机动车的控制器相互联接以用于交换消息。本专利技术还包括一种在机动车中运行车辆内部的数据网络的方法。
技术介绍
在机动车中控制器可以通过数据网络相互连接或联接,由此控制器能够互相交换消息。通过这种消息可以例如告知测量值或控制命令。消息在此提供至少一个数据包,该数据包由控制器中的第一控制器、即发送方向至少另一控制器、即相应的接收方或接收器发送。消息可以包括一个或多个数据包。为了传输相应的消息,可以在该消息中给出接收器,例如通过给出进行接收的控制器的识别码和地址。由于控制器中的故障,或者还由于对控制器的未授权的篡改,通过该控制器可能会以如下方式干扰或篡改机动车的运行:经由该故障或受篡改的控制器向另外的控制器发送消息,然后该另外的控制器也改变其运行行为。文献DE10319365A1公开了一种用于车辆的计算机系统,该计算机系统针对从机动车外部经由互联网发送给机动车控制器的消息提供保护。为此,由互联网送达机动车的数据流经过防火墙筛选。控制器相互间仍会相互篡改或干扰。文献DE102013021231A1公开了一种驾驶员辅助系统,其具有两个微处理器,用于利用其中一个微处理器提供辅助功能,利用另一微处理器进行通信。由此在驾驶员辅助系统的控制器内部提供了对辅助功能的保护以防止篡改。但这意味着,每个要保护的控制器本身都需要两个微处理器来提供保护功能。但是仍未保护所述数据网络本身。文献DE102011007437A1公开了一种用于在处理器结构组之间传输数据的电路系统。在此提出,控制器必须要能够满足确定的ASIL(ASIL-汽车安全完整性等级,安全要求)。因此相应产生了不同安全要求的控制器。文献US2016/0255154A1中描述了一种具有数据网络的机动车,该数据网络可以被划分为多个安全区,这些安全区可以被组织成树状结构。安全区的划分通过相应选择网络拓扑结构实现。文献US2014/0306826A1描述了一种机动车,其中将设备连接至通信网络,其中每个设备都可以根据安全要求连接至通信网络的不同的区。每个区都可以利用以太网络的开关来实现,其中这些开关且进而这些区都通过防火墙分开。由Malaguti等人的科学文献(G.Malaguti、M.Dian、C.Ferraresi、M.Ruggeri,“ComparisononTechnologicalOpportunitiesforIn-VehicleEthernetNetworks(车内以太网络的技术机遇比较)”,INDIN2013年IEEE工业信息学国际会议会刊,2013年第11卷,第108-115页)公开了,在机动车中能够通过如下方式区分不同优先级的消息:这些消息在不同的VLAN中发送。
技术实现思路
本专利技术基于的任务是,在机动车的数据网络中避免或防止控制器相互间的篡改或干扰。该任务通过独立权利要求的主题实现。本专利技术有利的改进方案由从属权利要求、下述说明以及附图来说明。通过本专利技术为机动车提供车辆内部的数据网络。通过数据网络使机动车的控制器为了交换消息而相互联接。“车辆内部”意指使控制器相互联网的数据网络,尤其主要不是指,使控制器还与车辆外部的或非本车的数据源、例如互联网的服务器联接的数据网络。为了相互保护控制器,根据本专利技术,所述数据网络被划分为多个安全区,在安全区内部分别设有控制器中的至少一个控制器。例如可以将具有相同安全要求的控制器或具有预先规定的安全要求的一组控制器汇总/联合在一个安全区中。一个安全区因此构成了数据网络中的一个分段,每个分段分别连接着控制器中的相应的至少一个控制器。安全区在数据网络中相互分开,但仍为了有条件的消息交换而相互联接。为此提供了数据控制装置或域控制装置,数据控制装置或域控制装置中的每个都分别将安全区中的至少两个安全区相互分开且被布置用于,如果所述消息中的至少一个消息满足了预先确定的安全标准时,则在被数据控制装置或域控制装置所分开的安全区中的至少两个安全区之间传输该至少一个消息,如果所述消息中的至少一个消息违背安全标准时,则阻止该至少一个消息的传输。安全区的分开因此在于,只有在事先对消息进行检查之后才在各两个安全区之间传输消息。消息因此不会随意在数据网络中传播或散布。消息因此仅到达产生该消息的安全区的终端为止,即仅到达将该安全区与至少一个另外的安全区分开的域控制装置为止。通过域控制装置独立于进行发送的控制器检查安全标准,即识别,该消息是可靠的且因此能够向至少一个另外的安全区中传输,还是不可靠的且因此要加以拦截。通过本专利技术得到的优点是,有故障的或被篡改的控制器只能通过消息到达在其自己的安全区内部的控制器,通过在至少一个域控制装置中对安全标准的检查防止对至少一个其他安全区中的至少一个另外的控制器的影响。在本专利技术中有利的是,安全区中的至少两个安全区仅在逻辑上相互分开,方式是:在逻辑上相互分开的安全区分别被实现为VLAN(虚拟局域网)。由此,即使在为各安全区使用共同的数据线路时也能够实现:在逻辑上形成分段或分区。这具有的优点是,不必为了提供多个安全区分别提供各自的数据线路。本专利技术还包括改进方案,通过改进方案的特征得到额外优点。为了可靠地将安全区相互分开,优选提出,安全区中的至少两个安全区在物理上相互分开,方式是:在物理上被分开的安全区中的每个安全区都具有自己的数据线路。尤其是基于相同网络技术、例如以太网络的两个安全区可以以此方式在物理上相互分开。物理分开具有的优势是,即使在知道了MAC地址(MAC-媒体访问控制)时,也仍然不能够通过篡改消息实现:利用被篡改的消息寻址或到达在物理上被分开的安全区中的控制器。控制装置中的至少一个控制装置为了将待被该至少一个控制装置分开的安全区分开而优选具有防火墙和/或消息筛选器和/或用于传播所述至少一个消息的路由单元。防火墙可以基于互联网协议(IP)且进而以有利的方式独立于消息的消息内容来实现。附加或替代于此,防火墙可以规定(ISO-国际标准化组织;OSI-开放式系统互联)对服务协议(ISO/OSI-参考模型中高于IP协议的协议)的监控和检查。由此得到的优势是,那种被设计成对被寻址的控制器的运行软件进行篡改、但同时根据IP正确产生的消息被识别为篡改消息。这种消息的一个示例是所谓的栈溢出攻击。消息筛选器可以区分不同类别的消息,例如用于告知测量值的消息与用于规定控制命令的消息。因此消息筛选器可以例如允许关于测量值的消息通过,但拦截具有控制命令的消息。消息筛选器因此可以基于在两个控制器的各自的运行软件之间交换的消息内容或用户数据来筛选消息。路由单元可以通过针对不同的安全区规定的不同的消息协议或传输协议来将安全区相互分开。通过路由单元可以将来自一个安全区的以第一消息协议撰写的消息向第二消息协议转译且在另外的安全区中进行传递。通过设计防火墙和/或消息筛选器和/或路由单元分别得到所述安全标准,根据该安全标准能够决定是传递消息还是拦截消息。一种优选的实施方式提出,所述安全区形成树层次结构,通过该树层次结构,域控制装置中的相应至少两个域控制装置被一个相应的上级的域控制装置汇总。“汇总”的意思是,所述两个域控制装置通过所述上级的域控本文档来自技高网...
【技术保护点】
1.一种具有车辆内部的数据网络(17)的机动车(10),通过该数据网络将机动车(10)的控制器(21)相互联接以用于交换消息(23),其中所述数据网络(17)被划分为多个安全区(25),在该安全区内部各设有控制器(21)中的至少一个控制器,提供有域控制装置(27),这些域控制装置中的每个域控制装置都分别使安全区(25)中的至少两个安全区相互分开,且每个域控制装置都被布置用于,当所述消息(23)中的至少一个消息满足了预先确定的安全标准(28)时,在被该域控制装置分开的安全区(25)中的至少两个安全区之间传输该消息,以及在违背安全标准(28)时阻止该消息(23)的传输,其特征在于,安全区(25)中的至少两个在逻辑上相互分开,方式是:在逻辑上相互分开的安全区(25)分别被实现为VLAN。
【技术特征摘要】
【国外来华专利技术】2017.02.09 DE 102017202022.91.一种具有车辆内部的数据网络(17)的机动车(10),通过该数据网络将机动车(10)的控制器(21)相互联接以用于交换消息(23),其中所述数据网络(17)被划分为多个安全区(25),在该安全区内部各设有控制器(21)中的至少一个控制器,提供有域控制装置(27),这些域控制装置中的每个域控制装置都分别使安全区(25)中的至少两个安全区相互分开,且每个域控制装置都被布置用于,当所述消息(23)中的至少一个消息满足了预先确定的安全标准(28)时,在被该域控制装置分开的安全区(25)中的至少两个安全区之间传输该消息,以及在违背安全标准(28)时阻止该消息(23)的传输,其特征在于,安全区(25)中的至少两个在逻辑上相互分开,方式是:在逻辑上相互分开的安全区(25)分别被实现为VLAN。2.根据权利要求1所述的机动车(10),其中安全区(25)中的至少两个安全区在物理上相互分开,方式是:所述数据网络在物理分开的安全区(25)中分别具有自己的数据线路。3.根据上述权利要求之一所述的机动车(10),其中域控制装置(27)中的至少一个域控制装置为了将被该域控制装置分开的安全区(25)分开而具有防火墙和/或消息筛选器和/或用于传播至少一个消息(23)的路由单元。4.根据上述权利要求之一所述的机动车(10),其中由安全区(25)形成树层次结构(29),通过该树层次结构,域控制装置(27)中的至少两个域控制装置被一个相应的上级的域控制装置(27)汇总。5.根据上述权利要求之一所述的机动车(10),其中通信装置(16)被布置用于,将所述数据网络(17)通过无线电连接(15、19)和/或有线...
【专利技术属性】
技术研发人员:E·肖赫,
申请(专利权)人:奥迪股份公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。