用于过滤安全相关干预的装置和方法以及网关控制设备与流程

根据独立权利要求1,7和8的前序部分的用于过滤安全相关干预的装置和方法，以及网关控制设备。

背景技术：

de10148325a1公开了一种用于在控制设备中执行安全关键过程的方法和这种控制设备。该控制设备中的硬件安全模块经由第一端子获得输入，其中基于所述输入释放对过程的执行。

技术实现要素：

本发明的优点

根据本发明的具有按照独立权利要求的特征的用于过滤安全相关干预的装置、方法以及网关控制设备具有以下优点：通过由第三通信单元接收参数来创建用于安全相关参数的通信路径，该通信路径与传统数据的通信路径是不同的。通过这种另外的通信路径，例如可以通过车辆制造商进行软件的远程释放，而新软件只能通过有线连接而被加载到车辆。

此外还存在为不同的通信单元配备不同的安全软件的可能性。

通过在数据到达总线系统之前由控制单元根据参数对数据传输进行过滤，减少了由第三方发送给车辆的不期望的数据所导致的车辆的故障易感性。

通过车辆的联网，将来有可能的是：可以访问驾驶员辅助系统或其接口并且在车辆已经处于用户手中、也就是在现场的情况下也可以访问诊断功能。

通过本发明，可以在安全相关方面更容易地执行通过外部计算单元的访问，例如由开发者自己编程的app的远程访问或固件更新的远程改装。在此方面，即使在车辆已经在现场的情况下，车辆制造商随后也可以经由第三通信单元实现扩展访问，而车辆的驾驶员不会意识到这一点。

理论上使得可以访问所有控制设备的远程访问可导致对可能与车辆安全相关的控制设备和致动器的不期望的操控。通过经由由第三通信单元接收的参数来过滤数据传输的可能性，在根据本发明的装置和根据本发明的方法或根据本发明的网关控制设备中已经可以确保仅允许不会导致对车辆中的控制设备或致动器的不期望操控的访问。

在从属权利要求中，说明了根据本发明的装置和根据本发明的方法的有利改进和扩展。

可以通过有利的方式根据接收的参数完全中断数据传输，或者可以部分地过滤数据。这种过滤形式可以实现对总线系统和车辆的控制设备进行不同访问的最大的灵活性。

有利的是被构造用于无线数据交换（特别是经由wlan、无线移动无线电技术或蓝牙）的第二通信单元，因为这种数据交换形式将在未来被越来越频繁地使用，因此，例如即使在软件更新的情况下也不一定将车辆带到车间中。

有利的是，第三通信单元被构造用于无线数据交换，特别是经由wlan、无线移动无线电技术或蓝牙，因为这种数据交换形式将在未来被越来越频繁地使用。即使车辆已经在现场，车辆制造商也可以随后允许对车辆的总线系统进行确定的访问。

替代地，有利的是，第三通信单元被构造用于与布置在车辆内部的输入设备进行有线数据交换，因为参数的输入只能经由车辆中存在的输入设备进行。这增加了安全性，因为不期望的外部攻击者无法经由无线连接访问第三通信单元。

非常有利的是，该装置是可以连接到车辆的obd插座的独立部件，因为以这种方式，任何车辆都可以用用于过滤数据传输的装置加以改装。

附图说明

本发明的优选实施例在附图中示出并且在以下描述中被更详细地解释。

在图中：

图1示出了根据本发明的装置的示意图，

图2示出了根据第一实施例的根据本发明的装置的示意图，

图3示出了根据第二实施例的根据本发明的装置的示意图，以及

图4是根据本发明的方法的流程图。

具体实施方式

图1示出了具有控制单元5、第一通信单元10、第二通信单元20和第三通信单元30的用于过滤安全相关干预的装置1。第一通信单元10可以与车辆2的至少一个总线系统12交换数据。第二通信单元20可以与外部计算单元22交换数据。第三通信单元30与第一通信单元10和第二通信单元20不同。

总线系统12位于车辆2内部并且连接到多个控制设备14,15,18,19。控制设备14,15,18,19可以从总线系统12接收数据并将数据发送到总线系统12。控制设备14,15,18,19可以操控驾驶员辅助系统，其中这些控制设备经由车辆传感器感知周围环境和操控致动器，例如弯道辅助系统、停车辅助系统或自适应巡航系统。通过经由总线系统12发送到控制设备14,15,18,19的诊断记录或诊断功能，可执行一个或多个车辆部件的诊断。

借助于发送到总线系统12的数据，控制设备14,15,18,19可以彼此通信或者与连接到总线系统12的设备通信。简化地，数据具有以下特征：地址，命令和值。

通过地址寻址总线系统12的确定的或多个控制设备14,15,18,19。例如，地址寻址特定总线系统12的仅一个确定的控制设备14、多个控制设备14,15或所有控制设备14,15,18,19。命令包括发送到控制设备14,15,18,19的命令，例如功能的重写，或数据或诊断值的读取。命令大多与值相关联，并说明例如转向角的新值或停车辅助系统的（距离）值。还可以通过诊断或读取命令从控制设备14,15,18,19读取值以及经由总线系统12将所述值发送到诊断设备。

控制单元5根据由第三通信单元30接收的参数来过滤第一通信单元10和第二通信单元20之间的数据传输。

控制单元5使用由第三通信单元30接收的参数来验证是否允许访问总线系统12或者用户是否可以被认证为已授权的人。

根据接收的参数完全中断数据传输，或部分过滤数据。如果执行部分过滤，则可以根据输入的参数过滤地址、命令和/或值。在此方面，地址、命令和/或值的组合也是可能的。

例如，被特别高度授权的用户可以输入特殊参数a，其允许释放所有数据，而另一个用户输入另一个参数b，其仅允许对少数控制设备的读访问。

图2示出了按照第二实施例的用于过滤数据传输的装置1，该装置集成在车辆2中。车辆2具有车轮3。装置1经由第一通信单元10连接到总线系统12。总线系统12具有多个控制设备14,15,18,19。第一通信单元10可以与至少一个总线系统12交换数据。

装置1具有第二通信单元20，该第二通信单元可以与外部计算单元22交换数据。第二通信单元20可以经由有线连接而连接到计算单元22。这可以是例如车间中的诊断设备23，其连接到车辆2的obd接口21。

然而，第二通信单元20也可以被构造用于无线数据交换。在这种情况下，数据交换例如经由wlan、无线移动无线电技术或蓝牙与外部计算单元22进行，外部计算单元22例如是手机24或平板pc24。

装置1具有不同于第一通信单元10和第二通信单元20的第三通信单元30。

第三通信单元30被构造用于无线数据交换，特别是经由wlan、无线移动无线电技术或蓝牙。也被设计用于无线数据交换的发送单元35可以通过这种方式将参数发送到第三通信单元30。在此方面，可以使用任意的加密方法，但是这些加密方法将不在本发明的范围中讨论。

在替代实施方式中，第三通信单元30可以被构造用于与输入设备33进行有线数据交换。输入设备33在此布置在车辆2内部，使得驾驶员可以经由输入设备33输入参数以便过滤数据传输。

控制单元5根据由第三通信单元30接收的参数来过滤第一通信单元10和第二通信单元20之间的数据传输。

通过所述参数，控制单元5可以如已经描述的那样过滤数据传输，使得数据传输完全中断或数据被部分过滤。

在图2所示的实施例中，装置1集成在网关控制设备40中，使得数据传输的过滤已经可以在网关控制设备40中进行。

图3示出了本发明的另一实施例。这里，装置1没有集成到网关控制设备40中，而是被构造为独立部件。装置1可以连接到车辆2的接口21，例如obd插座，从而可以用装置1改装车辆2。在其他方面图3中所示的装置1具有与前述实施例中相同的特征。通信单元10经由接口21和网关控制设备40与总线系统12通信，网关控制设备40与总线系统12进行数据交换。

图4示出了用于过滤数据传输的方法的流程图。在方法步骤100中，第二通信单元20从外部计算单元22接收数据。

在方法步骤200中，由与第一通信单元10和第二通信单元20不同的第三通信单元30接收参数。

在方法步骤300中，控制单元5根据所述参数过滤第二通信单元20和第一通信单元10之间的数据传输。在此方面，根据接收的参数，数据传输完全中断或数据可以被部分过滤。

在可选的方法步骤400中，将过滤后的数据从第一接收单元10发送到车辆的总线系统12。

如果在本发明的范围中提到第一通信单元10和第二通信单元20之间的数据传输，则在此方面既是从第二通信单元20传输到第一通信单元10的数据，又是从第一通信单元10传输到第二通信单元20的数据。