车辆安全控制系统的制作方法

本发明涉及汽车安全技术领域，特别涉及一种车辆安全控制系统。

背景技术：

自从国家网络安全法规出台，汽车上开始对安全通信方案进行制定，希望安全方案可以运用到车联网、无人驾驶等技术领域中去，同时与功能安全相结合，使汽车达到真正意义上的安全。

现在针对车载控制器内部的信息安全，相应的零部件公司提出了各自的软件和硬件解决方案，例如实现车载控制器的安全启动(secureboot)，但是这样并不能防止更换非法的控制器和中间人攻击，非法控制器内部有恶意的软件，连接到汽车上，可以对汽车数据通信内部进行恶意操作。

技术实现要素：

本发明的目的在于提供一种车辆安全控制系统，以解决现有的汽车被恶意软件攻击的问题。

为解决上述技术问题，本发明提供一种车辆安全控制系统，所述车辆安全控制系统包括总控制器和部件控制器，所述部件控制器包括主控制器电路和从控制器电路，其中：

所述总控制器分别连接所述主控制器电路和所述从控制器电路；

在所述主控制器电路正常工作时，所述总控制器采集所述主控制器电路的运行数据并进行计算处理，所述主控制器电路对受控机构输出相应的控制指令，所述总控制器实时采集所述从控制器电路的心跳信号，并根据所述心跳信号判断所述部件控制器是否被更换。

可选的，在所述的车辆安全控制系统中，所述部件控制器的数量为多个。

可选的，在所述的车辆安全控制系统中，在某一部件控制器中，当所述主控制器电路出现故障时，所述总控制器采集该部件控制器的所述从控制器电路的运行数据并进行计算处理，所述从控制器电路对受控机构输出相应的控制指令，所述总控制器停止采集所述从控制器电路的心跳信号。

可选的，在所述的车辆安全控制系统中，所述总控制器包括第一心跳信号模块和第一数据处理模块；

所述第一数据处理模块与所述主控制器电路通过主信号线相连；

所述第一心跳信号模块与所述从控制器电路通过心跳信号线相连。

可选的，在所述的车辆安全控制系统中，所述第一数据处理模块能够通过所述主信号线采集所述主控制器电路的运行数据并进行计算处理，所述第一心跳信号模块能够通过所述心跳信号线采集所述从控制器电路的心跳信号。

可选的，在所述的车辆安全控制系统中，在某一部件控制器中，当所述主控制器电路正常工作的时候，所述从控制器电路发挥心跳信号模块的功能，所述总控制器能够根据所述心跳信号查看所述从控制器电路是否受到中间人攻击和非法控制器更换，若所述第一心跳信号模块检测到所述从控制器电路的心跳信号没有按照规定时间发送过来，所述第一心跳信号模块向所述从控制器电路发送控制指令，检查所述部件控制器的身份。

可选的，在所述的车辆安全控制系统中，若某一个部件控制器的所述主控制器电路出现故障，所述总控制器判断该主控制器电路出现故障后，所述第一数据处理模块停止采集该主控制器电路的运行数据，所述主控制器电路通知所述从控制器电路接管主控制器电路的工作，所述总控制器控制该主控制器电路所在的部件控制器的从控制器电路停止发送心跳信号，发送该从控制器电路的运行数据至第一心跳信号模块，所述第一心跳信号模块采集该从控制器电路的运行数据。

本发明还提供一种车辆安全控制系统，所述车辆安全控制系统包括总控制器和部件控制器，所述部件控制器包括第二心跳信号模块，所述第二心跳信号模块周期性发送随机数，所述总控制器通过判断所述心跳信号是否被按时发送过来，判断该部件控制器是否被非法更换；

所述第二心跳信号模块将随机数添加到所述心跳信号中，并通过aes128算法将所述心跳信号加密，然后发送给总控制器，所述总控制器对所述心跳信号解密，所述总控制器从接收的心跳信号中识别随机数是否匹配，以判断所述心跳信号是否是攻击者发送的重放信号。

可选的，在所述的车辆安全控制系统中，所述总控制器接收到某个心跳信号后，获取该心跳信号中的随机数，并将所述随机数添加到返回信号中，并通过aes128算法将所述返回信号加密，所述返回信号用于发送至该心跳信号所来自的第二心跳信号模块；

所述第二心跳信号模块接收到所述返回信号后，对所述返回信号解密，再通过判断所述返回信号中随机数是否匹配，识别所述返回信号是否是攻击者发送的重放信号，如果随机数不匹配，抛弃该返回信号，所述第二心跳信号模块不对该返回信号进行处理。

可选的，在所述的车辆安全控制系统中，当所述第二心跳信号模块发挥数据处理模块的功能时，通知所述总控制器其无法发送心跳信号，此时所述总控制器发送至所述第二心跳信号模块的信号不添加随机数，只进行加密处理，所述第二心跳信号模块发送至所述总控制器的信号，不添加随机数，只进行加密处理，所述总控制器收到信号后解密，处理数据。

在本发明提供的车辆安全控制系统中，通过总控制器在主控制器电路正常工作时，所述总控制器采集所述主控制器电路的运行数据并进行计算处理，所述主控制器电路对受控机构输出相应的控制指令，所述总控制器实时采集从控制器电路的心跳信号，并根据所述心跳信号判断所述从控制器电路是否被更换，实现了主从控制器电路的安全设计方案，即保证了控制器电路的信息安全，又防止中间人攻击和非法控制器的更换，保证了驾驶员在驾驶过程中的安全，保证了两个方面的安全性问题。

附图说明

图1～2是现有的车辆安全控制系统示意图；

图3是本发明一实施例的车辆安全控制系统示意图；

图中所示：10-总控制器；11-第一数据处理模块；12-第一心跳信号模块；20-部件控制器；21-主控制器电路；22-从控制器电路(第二心跳信号模块)；101-总控制器；102-(主)控制器电路；103-从控制器电路；104-受控机构。

具体实施方式

以下结合附图和具体实施例对本发明提出的车辆安全控制系统作进一步详细说明。根据下面说明和权利要求书，本发明的优点和特征将更清楚。需说明的是，附图均采用非常简化的形式且均使用非精准的比例，仅用以方便、明晰地辅助说明本发明实施例的目的。

本发明的核心思想在于提供一种车辆安全控制系统，以解决现有的汽车被恶意软件攻击的问题。

为实现上述思想，本发明提供了一种车辆安全控制系统，所述车辆安全控制系统包括总控制器和部件控制器，所述部件控制器包括主控制器电路和从控制器电路，其中：所述总控制器分别连接所述主控制器电路和所述从控制器电路；在所述主控制器电路正常工作时，所述总控制器采集所述主控制器电路的运行数据并进行计算处理，所述主控制器电路对受控机构输出相应的控制指令，所述总控制器实时采集所述从控制器电路的心跳信号，并根据所述心跳信号判断所述部件控制器是否被更换。

针对现有的汽车数据通信内部进行恶意操作的问题，有的公司又提出了心跳信号这样的概念，也就是通过添加的心跳信号，识别互联的控制器之间是否没有被更换，如图1所示。现在为了保证整车系统的安全，会有主副控制器的概念，也就是例如发动机控制器突然在驾驶员的驾驶过程中，不知道什么原因不能正常工作了，这时副控制器会代替主控制器(发动机控制器)工作，使汽车能够正常的行驶，结构如图2所示。

<实施例一>

本发明结合以上两种控制结构的特点提供一种车辆安全控制系统，即可以保证防止中间人攻击和非法控制器的更换，又可以在主控制器失效的时候保证整车的安全，总体的系统设计结构如图3所示：

所述车辆安全控制系统包括总控制器10和部件控制器20，所述部件控制器20包括主控制器电路21和从控制器电路22，其中：所述总控制器10分别连接所述主控制器电路21和所述从控制器电路22；在所述主控制器电路21正常工作时，所述总控制器10采集所述主控制器电路21的运行数据并进行计算处理，所述主控制器电路21对受控机构输出相应的控制指令，所述总控制器10实时采集所述从控制器电路22的心跳信号，并根据所述心跳信号判断所述部件控制器20是否被更换。

具体的，在所述的车辆安全控制系统中，所述部件控制器20的数量为多个，例如车身控制模块电控单元bcm、牵引力控制系统tc、车载电脑ecu等。在某一部件控制器20中，当所述主控制器电路21出现故障时，所述总控制器10采集该部件控制器20的所述从控制器电路22的运行数据并进行计算处理，所述从控制器电路22对受控机构输出相应的控制指令，所述总控制器10停止采集所述从控制器电路22的心跳信号。

如图3所示，在所述的车辆安全控制系统中，所述总控制器10包括第一心跳信号模块12和第一数据处理模块11；所述第一数据处理模块11与所述主控制器电路21通过主信号线相连；所述第一心跳信号模块12与所述从控制器电路22通过心跳信号线相连。所述第一数据处理模块11能够通过所述主信号线采集所述主控制器电路21的运行数据并进行计算处理，所述第一心跳信号模块12能够通过所述心跳信号线采集所述从控制器电路22的心跳信号。所述总控制器10能够根据所述心跳信号查看所述从控制器电路22是否受到中间人攻击和非法控制器更换，若所述第一心跳信号模块12检测到所述从控制器电路22的心跳信号没有按照规定时间发送过来，所述第一心跳信号模块12向所述从控制器电路22发送控制指令，检查所述部件控制器20的身份。

另外，在所述的车辆安全控制系统中，若某一个部件控制器20的所述主控制器电路21出现故障，所述总控制器10判断该主控制器电路21出现故障后，所述第一数据处理模块11停止采集该主控制器电路21的运行数据，所述总控制器10控制该主控制器电路21所在的部件控制器20的从控制器电路22停止发送心跳信号，发送该从控制器电路22的运行数据至第一心跳信号模块12，所述第一心跳信号模块12采集该从控制器电路22的运行数据。

<实施例二>

本实施例提供一种车辆安全控制系统，如图3所示，所述车辆安全控制系统包括总控制器10和部件控制器20，所述部件控制器20包括第二心跳信号模块22，在某一部件控制器20中，当主控制器电路21正常工作的时候，所述第二心跳信号模块22发挥心跳信号模块的功能，周期性发送随机数，所述总控制器10通过判断所述心跳信号是否被按时发送过来，判断该部件控制器20是否被非法更换；所述第二心跳信号模块22将随机数添加到所述心跳信号中，并通过aes128算法将所述心跳信号加密，然后发送给总控制器10，所述总控制器10对所述心跳信号解密，所述总控制器10从接收的心跳信号中识别随机数是否匹配，以判断所述心跳信号是否是攻击者发送的重放信号。

另外，在所述的车辆安全控制系统中，所述总控制器10接收到某个心跳信号后，获取该心跳信号中的随机数，并将所述随机数添加到返回信号中，并通过aes128算法将所述返回信号加密，所述返回信号用于发送至该心跳信号所来自的第二心跳信号模块22；所述第二心跳信号模块22接收到所述返回信号后，对所述返回信号解密，再通过判断所述返回信号中随机数是否匹配，识别所述返回信号是否是攻击者发送的重放信号，如果随机数不匹配，抛弃该返回信号，所述第二心跳信号模块22不对该返回信号进行处理。

最后，在所述的车辆安全控制系统中，在某一部件控制器20中，当所述主控制器电路21出现故障时，所述主控制器电路21通知所述第二心跳信号模块22接管主控制器电路21的工作，此时第二心跳信号模块22发挥数据处理模块的功能，并通知所述总控制器10其无法发送心跳信号，此时所述总控制器10发送至所述第二心跳信号模块22的信号不添加随机数，只进行加密处理，所述第二心跳信号模块22发送至所述总控制器10的信号，不添加随机数，只进行加密处理，所述总控制器10收到信号后解密，处理数据。

在本发明提供的车辆安全控制系统中，通过总控制器10在主控制器电路21正常工作时，所述总控制器10采集所述主控制器电路21的运行数据并进行计算处理，所述主控制器电路21对受控机构输出相应的控制指令，所述总控制器10实时采集从控制器电路(第二心跳信号模块)22的心跳信号，并根据所述心跳信号判断所述从控制器电路(第二心跳信号模块)22是否被更换，实现了主从控制器电路的安全设计方案，即保证了控制器电路的信息安全，又防止中间人攻击和非法控制器的更换，保证了驾驶员在驾驶过程中的安全，保证了两个方面的安全性问题。

如图3所示，给控制器电路传输运行数据的总线是主信号线，从控制器电路22传出信号的总线是心跳信号线。汽车最本质的安全是保证驾驶员在当前驾驶的驾驶过程中自身的安全，如果在驾驶过程中因控制器发生的故障，从而影响驾驶员的安全，这并不符合汽车最本质的安全要求，因此保证控制器正常工作这是汽车安全的第一要务，本发明认为控制器安全为主，而车辆信息安全的思路形成的。

首先总控制器10中会有两个模块处理信号，一个是数据处理模块用来处理传输过来的数据，并发送出去；另一个模块是心跳信号模块，用来查看控制器是否受到中间人攻击和非法控制器更换，如果检测到某控制器心跳信号没有按照时间发送过来，总控制器10的心跳信号模块则会发送一条控制指令，检查控制器的身份；与此同时，每个控制器都会有各自的数据处理信号和心跳信号模块与总控制器10相配合实现功能。

当某一个控制器出现故障，无法正常工作，首先总控制器10进行判断该控制器无法正常工作后，会将关于该控制器的接收数据和发送数据的任务交给心跳信号模块，与此同时，控制器的心跳信号模块不发挥本身的作用，开始执行数据处理模块的作用，从而保证驾驶员驾驶过程中的安全。

综上，上述实施例对车辆安全控制系统的不同构型进行了详细说明，当然，本发明包括但不局限于上述实施中所列举的构型，任何在上述实施例提供的构型基础上进行变换的内容，均属于本发明所保护的范围。本领域技术人员可以根据上述实施例的内容举一反三。

上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。