專利名稱:通過使用標(biāo)識序列避免偽裝的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于在具有為實施驗證而配置給發(fā)送器/接收器段的標(biāo)識以及消息計數(shù)器的總線上在發(fā)送器與接收器之間傳輸消息的方法�����。此外�,本發(fā)明還涉及一種控制裝置和一種車輛�����,所述控制裝置和車輛被設(shè)置用于實施該消息傳輸方法�����。
背景技術(shù):
為了保證數(shù)據(jù)通信,安全標(biāo)準(zhǔn)IEC 61508要求證明���,在考慮假定/強加的誤差場景的情況下評估通信過程的未被識別的故障����。
所述措施在此轉(zhuǎn)用于應(yīng)用器(邏輯演算/應(yīng)用程序)層面并且從面向安全的數(shù)據(jù)源到數(shù)據(jù)宿/數(shù)據(jù)匯/數(shù)據(jù)接收器評估數(shù)據(jù)(所謂的端對端安全措施)���。在考察誤差時��,對于錯識場景“偽裝”也必須做出評估在通信過程中存在未識別出的誤差的概率如何���。
AUDI通信模型提出了一種基于FlexRay和CAN的系統(tǒng)。在該通信系統(tǒng)中可并行地使用多個與安全相關(guān)的通信段�����。除了對面向安全的通信的有效參與者之外���,也存在其它與安全相關(guān)的和與安全不相關(guān)的通信段��。面向安全的通信的接收數(shù)據(jù)的參與者僅允許使用從與該參與者相關(guān)的發(fā)送器接收的數(shù)據(jù)�����,否則��,存在未識別出的偽裝誤差�。
術(shù)語“偽裝”是指,消息的真正內(nèi)容未被正確地識別��。例如來自不安全的參與者的消息被錯誤地識別為來自安全的參與者的消息���。
在存在偽裝的情況下接收器將不可信的消息評價為可信��。在此�����,可信的消息意味著�,消息有效并且消息的信息由可信的發(fā)送器生成���。偽裝通常由于正確消息的錯誤路由選定(選擇和指定通信通道)引起,其中����,發(fā)送控制裝置�、網(wǎng)關(guān)和用于所考察的安全功能的接收器控制裝置都可能引起錯誤路由選定����。導(dǎo)致偽裝的誤差可被劃分成三個分類,即隨機硬件誤差�����、系統(tǒng)軟件誤差和總線上的隨機位誤差�。
由隨機硬件誤差造成的偽裝可被評價為IEC 61508-2對數(shù)據(jù)通信的要求。如果在實施安全功能時使用某種形式的數(shù)據(jù)通信�,則必須評估通信過程的未被識別的故障的概率。在此必須考慮傳輸誤差��、重復(fù)�����、損失���、介入���、錯誤順序、失真、延遲和偽裝�����。所述概率必須在評估由于隨機硬件故障造成的��、帶來危險的安全功能故障的概率時予以考慮�。
例如由于不正確的結(jié)構(gòu)造成的系統(tǒng)軟件誤差可通過開發(fā)過程和軟件測試或集成測試來排除,尤其是在具有端對端安全措施的發(fā)送器和接收器的面向安全的軟件中排除��。 不需要計算發(fā)生概率����,因為所述誤差確定地并且不隨機地發(fā)生。
總線上的隨機位誤差可能導(dǎo)致對可用數(shù)據(jù)中的信息的錯誤解讀�����,其例如由于在 CAN中消息識別的失真以及接收器選擇的消息分析處理的失真引起��。在針對所述文件考察的總線系統(tǒng)中�,已經(jīng)根據(jù)協(xié)議提出用于識別總線上的位誤差的傳輸碼(TCl)。引起消息包失真的位誤差按照IEC 61508-2的劃分落入到誤差模式“失真”中��。對于誤差模式“偽裝”��,總線上的位誤差僅當(dāng)所述位誤差例如在CAN中涉及標(biāo)志符并且協(xié)議的傳輸碼不能以足夠的概率識別所述位誤差時才是決定性的�。
用于車輛中的面向安全的所有系統(tǒng)的基本前提條件是不允許通信的部分或完全的故障或者間歇或持續(xù)的干擾引起與安全相關(guān)的車輛狀態(tài)。
為了可靠地識別通信中的傳輸誤差定義了一些要求����。為此,給發(fā)送器的真正的可用數(shù)據(jù)加入附加信息(消息計數(shù)器�����,校驗和)����。在接收器中對所述附加信息進行分析處理。 在此端對端地確保安全�,即從發(fā)送器控制裝置中的面向安全的軟件直到接收器控制裝置中的面向安全的軟件來進行。由應(yīng)用生成的數(shù)據(jù)包(安全協(xié)議數(shù)據(jù)單元S-PDU)因此包括可用數(shù)據(jù)和用于識別誤差的冗余����。
在使用CRC-8校驗和時,對于偽裝的單義識別得到最大數(shù)量的256個標(biāo)識�����。給不要求防偽裝安全措施的消息預(yù)留標(biāo)識0���。由此����,給分配給防偽裝安全措施的消息保留255個單義標(biāo)識,意義相同地具有這樣多的發(fā)送器/接收器段�����。
在接收器中的誤差被鑒定的情況下���,不將可用數(shù)據(jù)或信號傳輸給安全功能的面向安全的軟件����。這樣設(shè)計安全功能�����,使得在間歇或持續(xù)的干擾的情況下占用備用模式“安全狀態(tài)暫停(Safe State Timeout)”����。信號或可用數(shù)據(jù)中的在分析處理時未被識別的誤差有時可能導(dǎo)致危險事件,因為面向安全的軟件將帶有誤差的數(shù)據(jù)解釋為有效并且以此為基礎(chǔ)進行計算或決定��。發(fā)明內(nèi)容
由此出發(fā)�,本發(fā)明的目的在于����,在使用CRC-8校驗和的情況下對于大于255個的發(fā)送器/接收器段數(shù)量能夠探測出車輛網(wǎng)絡(luò)內(nèi)部的被錯誤傳導(dǎo)的消息����。在此希望確保安全的機制不需要附加的總線帶寬并且相關(guān)安全標(biāo)準(zhǔn)的在對數(shù)據(jù)通信的安全要求方面的統(tǒng)一性應(yīng)得到保證�。
所述目的通過具有獨立權(quán)利要求中的特征的發(fā)明來實現(xiàn)。有利構(gòu)型由從屬權(quán)利要求得到���。
為了使接收器能識別出非可信的消息(例如被錯誤傳導(dǎo)的消息)���,安全方案提出使用發(fā)送器方的標(biāo)識,其中��,所述標(biāo)識根據(jù)消息計數(shù)器(BSZ)動態(tài)地變更���。因此��,每個發(fā)送器使用一個標(biāo)識序列�����。發(fā)送器方的標(biāo)識中的所述動態(tài)性在值域?qū)τ跇?biāo)識相同(根據(jù)現(xiàn)有技術(shù)用于標(biāo)識方案的向下兼容性)的情況下實現(xiàn)了對多個發(fā)送器的區(qū)分�。因此在無附加的總線負載的情況下標(biāo)識空間得到擴展。而以前為每個發(fā)送器使用靜態(tài)的單字節(jié)標(biāo)識��。
在利用用于驗證發(fā)送器/接收器段的裝置以及消息計數(shù)器在發(fā)送器與接收器之間傳輸消息的方法中�,用于驗證發(fā)送器/接收器段的裝置具有包含多個標(biāo)識的標(biāo)識序列, 基于消息計數(shù)器的值動態(tài)地從所述標(biāo)識序列中選出標(biāo)識�����。
因此�,優(yōu)選基于消息計數(shù)器的值動態(tài)地從標(biāo)識序列中選出此前是靜態(tài)的單字節(jié)標(biāo)識��。
該標(biāo)識優(yōu)選用于計算校驗和����。
對于每個發(fā)送器/接收器段�,所屬的標(biāo)識序列優(yōu)選存儲在發(fā)送器和接收器中。
另外優(yōu)選使用包含多個呈字節(jié)形式的值的消息計數(shù)器�����,其中����,兩個任意的標(biāo)識序列對于消息計數(shù)器的至多一個值具有一相協(xié)調(diào)的標(biāo)識。
此外優(yōu)選的是�,一個標(biāo)識序列對于消息計數(shù)器的所有值(在所有優(yōu)選16個的位置上)具有不同的標(biāo)識����。
尤其是����,為與安全不相關(guān)的消息使用一個標(biāo)識;所述標(biāo)識序列對于所述消息計數(shù)器的任何值都不包含形式為用于與安全不相關(guān)的消息的標(biāo)志值的標(biāo)識���。另外優(yōu)選的是,用于與安全不相關(guān)的消息的標(biāo)識是值0���,一個標(biāo)識序列對于消息計數(shù)器的任意值(在優(yōu)選16 個的位置中任意之一上)都不包含值0����。
控制裝置和/或車輛被設(shè)置用于實施上述方法之一�。
總而言之,本發(fā)明具有下列優(yōu)點
-在應(yīng)用器校驗和的值域不變的情況下動態(tài)標(biāo)識實現(xiàn)了復(fù)合網(wǎng)絡(luò)
中的數(shù)以千計的消息的安全性��。
-不需要改變消息配置�。
-因此,不提高總線負載���。
-安全方案滿足了現(xiàn)今的安全標(biāo)準(zhǔn)以及將來汽車標(biāo)準(zhǔn)ISO26262在數(shù)據(jù)通信方面的要求��。
從借助于附圖對實施例進行的說明中得到本發(fā)明的其它特征和優(yōu)點����。
具體實施方式
為了在總線上傳輸消息,一種應(yīng)用器為循環(huán)發(fā)送而從密集的信號提供可用數(shù)據(jù)�����。 對于抗傳輸誤差安全措施�����,給可用數(shù)據(jù)加入消息計數(shù)器(BSZ)以及CRC-8校驗和�。接著將這樣生成的S-PDU從應(yīng)用器傳送給標(biāo)準(zhǔn)軟件并且為發(fā)送傳送給通信控制器(CC)。
在所述的用于防偽裝安全措施的方法中�����,在發(fā)送器中和接收器中都為了按照待確保安全的可用數(shù)據(jù)計算CRC校驗和而計算出靜態(tài)的并且與發(fā)送器/接收器段相關(guān)的消息標(biāo)識��。但消息標(biāo)識不通過總線發(fā)送��,由此不是被確保安全的消息的組成部分�。對于每個接收器,消息標(biāo)識對于待接收的所有消息都先驗性地已知���。消息標(biāo)識到消息的正確配屬對于網(wǎng)絡(luò)具有決定意義并且通過原始裝備制造商保證���。
接收器應(yīng)用器循環(huán)地檢驗是否存在新的消息�����。對所獲得的每個消息檢驗合理性并且僅在數(shù)據(jù)有效的情況下才將所述數(shù)據(jù)輸送給安全功能的應(yīng)用器�����。合理化通過檢驗CRC 校驗和以及將BSZ值合理化來進行�。當(dāng)BSZ值相對于最后被鑒定為有效的消息的計數(shù)器讀數(shù)提高了一個與時間差相關(guān)的BSZllelta值時�����,所述BSZ值被視為有效最后被鑒定為有效的消息接收過后越長�����,允許的與當(dāng)前獲得的BSZ的最大差越大�����。所允許的BSZllelta值的間隔被稱為BSZ有效范圍�。具有所述BSZ有效范圍以外的BSZ的消息被標(biāo)明無效。具有相同的 BW值的消息接收���、如最后被鑒定為有效的消息導(dǎo)致被識別的重復(fù)(B^telta = O),消息被標(biāo)明為無效����。
CRC計算的方法和生成器多項式對于復(fù)合網(wǎng)絡(luò)中的所有消息都相同���。單義的計算規(guī)程在原始裝備制造商的技術(shù)手冊中確定�����。除了 CRC校驗和之外��,在此前的安全方法中存在具有XOR校驗和的消息�����。消息標(biāo)識就任意與安全相關(guān)的消息被確定地預(yù)給定并且不隨時間變化�。具有χ位的CRC校驗和具有2X的值域��,因此�,至多2X個不同的消息標(biāo)識可以可逆地單義地形成到CRC校驗和中。不同的標(biāo)識在此總是導(dǎo)致CRC的不同的值。這種特性在正確地選擇生成器多項式時得到保障�����。對于發(fā)送器的消息標(biāo)識不同于接收器的消息標(biāo)識��、但不存在位誤差的情況����,誤差識別達100%。
由此�,對于通過所選出的CRC-8校驗和單義地識別偽裝得到最大數(shù)量的256個標(biāo)識。給不要求防偽裝安全措施的消息預(yù)留標(biāo)識0�。由此,為分配給要防偽裝安全措施的消息保留255個單義的標(biāo)識�����,意義相同地具有這樣多的發(fā)送器/接收器段����。
在第一次識別KL15 (Klemme-15)回路的CRC誤差時����,將所接收的消息標(biāo)明為無效并且作為對直接后果的預(yù)防措施而占用備用模式“安全狀態(tài)暫停”。僅當(dāng)在η個分析處理循環(huán)內(nèi)有確定數(shù)量的消息被鑒定為有效時�����,才返回到常規(guī)的工作狀態(tài)����。
第一消息用于初始化BSZ有效范圍并且是無效的。
在第二次識別KL15回路內(nèi)部的CRC誤差時��,備用模式“安全狀態(tài)校驗和(Mfe State Checksum)”被占用并且對于整個KL15回路維持循環(huán)����。
擴展到255個以上防偽裝安全措施的發(fā)送器/接收器段(S-PDU)是必要的并且偽裝誤差應(yīng)被可靠地識別,由此����,由于偽裝造成的危險事件不超過標(biāo)準(zhǔn)IEC-61508的安全完整性等級3 (SIU)的極限值。
由于到已經(jīng)大量/串聯(lián)存在的控制裝置所要求的兼容性��,已經(jīng)存在的安全代碼 CRC-8獲得消息配置和已經(jīng)分配的靜態(tài)消息標(biāo)識����。供信號使用的帶寬不會變得更小,即擴展到CRC-12或CRC-16并不是值得期望的���。新的偽裝方案應(yīng)是已經(jīng)作出的證明的擴展����。用于防偽裝安全措施的新方案的優(yōu)點由此在于
-被確保安全的發(fā)送器/接收器段的數(shù)量明顯增大,
-在分配消息標(biāo)識時過程簡單����,
-滿足SIL3的極限值,
-擴展了此前所作的證明����,
-保留了CRC-8校驗和的生成器多項式,
-信號的帶寬相同�����,
-消息配置不變����,
-與此前方案的向后兼容性,以及
-異步的發(fā)送器和/或接收器的可用性��。
附圖示出利用發(fā)送器中的動態(tài)標(biāo)識來實施消息安全�����。
僅一個關(guān)于待計算的消息標(biāo)識的與發(fā)送器一致的理解對于接收器中的CRC分析處理是重要的�����。新方案提出了標(biāo)識序列并且以對接收器應(yīng)用器的要求為基礎(chǔ)��,由此����,至少兩個未被識別的帶有誤差的消息對于危險事件是必要的。
此前靜態(tài)的(在時間上保持相同的)標(biāo)識擴展到16個標(biāo)識的標(biāo)識序列��?�;谒邮盏南⒌腂SZ值從標(biāo)識序列選出待使用的標(biāo)識�����。
對于網(wǎng)絡(luò)中的任意發(fā)送器/接收器段����,分配用于消息的N個標(biāo)識序列之一,單義地標(biāo)記以Kidx= {1��,2��,...,N}����。在此,每個標(biāo)識序列包括16個標(biāo)識��,進一步的順序是�,對于Kidx =i單義地標(biāo)記以ki^km...、ki>15�����。
所分配的標(biāo)識序列滿足下列必要條件的特性����。條件1至5在此涉及標(biāo)識的生成, 而條件6至8涉及分配過程���。
條件1 此前靜態(tài)的消息標(biāo)識相應(yīng)于在16個位置上具有相協(xié)調(diào)的值的靜態(tài)標(biāo)識序列的特殊情況�。對靜態(tài)標(biāo)識的向后兼容性由此得到保證���。對于Kidx = ie {0,1,2,..., 25 ����,對于任意靜態(tài)消息標(biāo)識,存在未=i = kij0 = ... = ki>15����。
條件2 兩個任意的標(biāo)識序列允許對于至多一個BSZ值(在至多一個位置上)具有相協(xié)調(diào)的標(biāo)識��。
對于Kidx = i, j e {0���,1��,· · ·����,N}����,i 乒 j,m����,η e {0,1, .. .,15}���,且m 乒 n�,存在 如果!^“二���!^^��,則�!^^興����、』。
條件3 動態(tài)標(biāo)識序列對于所有BSZ值(在所有16個位置上)都必須具有不同的標(biāo)識�。
對于Kidx = i e {256,257�����,· · ·�����,N}��,m����,η e {0�����,1���,· · ·����,15},且 m 乒 n�,存在未,πι 興 kj����,no
條件4 動態(tài)標(biāo)識序列對于任意BSZ值(在16個位置任意之一上)都不允許包含值0。
對于Kidx = i e {256��,257����,···,N}���,m e {0�,1,· · ·�,15},存在I^m 乒 0����。
條件5 動態(tài)標(biāo)識序列的清單在其結(jié)構(gòu)方面不允許具有對于所期望的隨機硬件誤差可復(fù)現(xiàn)的規(guī)律。標(biāo)識列表的結(jié)構(gòu)應(yīng)類似于通過隨機過程進行的分配��。
不允許任何標(biāo)識明顯累積地出現(xiàn)�����。此外���,不允許在標(biāo)識序列之內(nèi)的標(biāo)識之間存在簡單或可直接識別的關(guān)系����,即僅一個“智能誤差”便能導(dǎo)致有效的標(biāo)識序列����。
該條件通過用于確定標(biāo)識序列的算法來保證。
條件6 對于確定的S-PDU長度僅當(dāng)在可用數(shù)據(jù)保持不變但BSZ繼續(xù)發(fā)展的情況下標(biāo)識序列導(dǎo)致全部(任意成對地)不同的16CRC校驗和時才允許分配標(biāo)識序列��。
對于Kidx = i e {0,1����,· · ·,N}����,消息計數(shù)器 m,η e {0��,1�����,· · ·�,15}�,m 乒 n,且 re {1, . . . ,40}��,存在CRC(m, db2,…���,dbr, ki>m) Φ· CRC (η, db2,…�,dbr, ki>n)�。
在此,CRC( ·)表示用于計算數(shù)據(jù)字節(jié)Clb1 = m至db,的CRC-8校驗和的函數(shù)。
條件7 對于確定的S-PDU長度����,僅當(dāng)在任意可用數(shù)據(jù)保持不變但BSZ繼續(xù)發(fā)展的情況下標(biāo)識序列導(dǎo)致在至多一個位置上(即對于一個BSZ值)與16個XOR校驗和相協(xié)調(diào)的16CRC校驗和時才允許分配動態(tài)標(biāo)識序列。
對于Kidx= i e {256��,257����,· · ·,N}��,m��,n e {0�����,1�����,· · ·��,15}�,m 乒 n����,且 r e {1���,···����, 40}�,存在如果 CRC (m,db2, · · ·���,dbr, kijm)乒 XOR(m�����,db2, · · ·,dbr, kX0K)����,貝U CRC (η, db2, · · ·, dbr, ki>n)興 XOR(η, db2, . . . , dbr, kX0E)��。
在此�����,CRC ( ·)表示用于計算CRC-8校驗和的函數(shù),XOR( ·)表示用于計算XOR校驗和的函數(shù)�,kX0E是XOR校驗和的任意靜態(tài)標(biāo)識。
條件8 對于確定的S-PDU長度��,僅允許分配一次任意標(biāo)識序列��。對于不與安全相關(guān)的消息允許分配多次的靜態(tài)標(biāo)識0是一個例外����。
權(quán)利要求
1.一種利用用于驗證發(fā)送器/接收器段的裝置以及消息計數(shù)器在發(fā)送器與接收器之間傳輸消息的方法,其特征在于所述用于驗證發(fā)送器/接收器段的裝置具有包含多個標(biāo)識的標(biāo)識序列�����,基于消息計數(shù)器的值動態(tài)地從標(biāo)識序列選出用于計算校驗和的標(biāo)識��。
2.根據(jù)權(quán)利要求1的方法�����,其特征在于所述標(biāo)識序列能供所述發(fā)送器和接收器使用�。
3.根據(jù)上述權(quán)利要求之一的方法,其特征在于使用包含多個位的消息計數(shù)器�����。
4.根據(jù)權(quán)利要求3的方法,其特征在于兩個任意的標(biāo)識序列對于所述消息計數(shù)器的至多一個值具有一相協(xié)調(diào)的標(biāo)識�。
5.根據(jù)權(quán)利要求3或4的方法,其特征在于一個標(biāo)識序列對于所述消息計數(shù)器的所有值具有不同的標(biāo)識���。
6.根據(jù)權(quán)利要求3至5之一的方法����,其特征在于為與安全不相關(guān)的消息使用一個標(biāo)識���;所述標(biāo)識序列對于所述消息計數(shù)器的任何值都不包含所述用于與安全不相關(guān)的消息的標(biāo)識�����。
7.—種控制裝置���,所述控制裝置被設(shè)置用于實施根據(jù)權(quán)利要求1至6之一的方法���。
8.—種車輛����,具有通信總線,所述通信總線被設(shè)置用于實施根據(jù)權(quán)利要求1至7之一的方法�����。
全文摘要
本發(fā)明涉及一種利用用于驗證發(fā)送器/接收器段的裝置以及消息計數(shù)器在發(fā)送器與接收器之間傳輸消息的方法���?;谙⒂嫈?shù)器的值動態(tài)地從標(biāo)識序列選出標(biāo)識并將其用于計算校驗和�,但不將其傳輸給總線。本發(fā)明還涉及用于執(zhí)行所述消息傳輸方法的控制裝置和車輛����。
文檔編號H04L29/06GK102484636SQ201080031671
公開日2012年5月30日 申請日期2010年6月18日 優(yōu)先權(quán)日2009年7月14日
發(fā)明者B·克斯托藤鮑爾, S·沙赫特納, T·比森博格 申請人:Tttech電腦技術(shù)股份公司, 大眾股份公司, 奧迪股份公司