用于运行控制器的组合体中的控制器的方法和装置与流程

本发明涉及一种用于运行控制器的组合体中的控制器的方法。除此以外，本发明涉及一种相应的装置、一种相应的计算机程序以及一种相应的机器可读的存储介质。
背景技术：
：在it安全中，每种用于对针对计算机系统或计算器网络的攻击进行识别的系统被称为攻击识别系统（intrusiondetectionsystem，ids）。尤其知道基于网络的ids（nids），其记录、分析有待监控的网段中的所有包并且根据已知的攻击模式来报告受怀疑的活动。de102017210647a1公开了一种用于识别针对现场总线的攻击的方法，其特征在于以下特征：通过所述现场总线接收第一消息；对所述第一消息进行完整性检查；如果所述完整性检查失败，则拒绝第一消息并且生成第二消息；并且通过所述现场总线将第二消息发送给攻击识别系统。技术实现要素：本发明提供根据独立权利要求所述的一种用于运行控制器的组合体中的控制器的方法、一种相应的装置、一种相应的计算机程序以及一种相应的存储介质。按本发明的方案基于如下认识，即：现代车辆由多个联网的组件所组成，这些组件共同履行不同的车辆功能。这些车辆功能能够单个地或也能够叠加地起作用。为了进行控制，定义了用于对车辆的运行状态进行分类的车辆运行模式，例如驾驶员驾驶、车辆例如用间距调节自动速度仪（adaptivecruisecontrol，acc）等来自主或半自主地驾驶。所述网络之内的每个对功能来说必要的组件为此都同样必须占据“真正的”（上级的）状态，以用于如所规定的那样来履行车辆功能。此外，所提出的方法考虑到这样的组件状态必须在功能上和安全技术上彼此兼容的情况。在已知的安全计划的范围内，安全机构（limiter）被用在对于运行安全（safety）来说重要的组件（例如致动器）中，这些组件限制有错误的输入量的作用。为了能够在车辆架构之内使用舒适性功能和与安全相关的功能，而使用这样的能缩放的安全机构，其根据功能特点来限制所述作用。为此，与安全相关的组件在其输入信息的基础上被置于相应的必要的运行状态（以下被称为：模式）中。所述组件的用于进行模式改变的能力能够通过单个的被攻击者侵入的组件通过对于网络信号的篡改来进行攻击。在这种情况下，通过网络信号来如此引起各个组件的模式改变，从而将所使用的安全机构去除激活。比如考虑到致动器的能缩放的限制器的启用或停用或者传感器运行状态的切换。此外，多个组件能够被置于运行状态的不兼容的组合中。在考虑到这种威胁的情况下，按本发明的解决方案的优点在于，组合体中的所提出的类型的单个控制器在所述组合体的其他控制器不同意所请求的模式转变的情况下不能改变其配置。通过在从属权利要求中所列举的措施，能够实现在独立权利要求中所说明的基本构思的有利的拓展方案和改进方案。因此能够规定，所述组合体通过机动车的包括所述控制器的现场总线来通信并且对改变所述组合体的模式的请求的检查对应该由机动车遵守的运行条件加以考虑。通过这种方式，似乎提供所述车辆的一种对于各个控制器来说上级的模式，该模式不能通过惟一的组件来改变。根据另一个方面能够规定，所述组合体具有与机动车的特定功能相对应的所定义的模式，其中所提到的检查借助于所述模式之间的允许的转变来进行。因此，为所述组合体所包括的控制器仅仅允许朝兼容的系统配置进行的转变。附图说明本发明的实施例在附图中示出并且在下面的描述中进行详细解释。其中：图1示出了按照第一种实施方式的方法的流程图。图2示出了控制链的方框图。图3示出了传感器的状态转变图。图4示出了控制机构的状态转变图。图5示出了致动器的状态转变图。图6示出了包括所述控制链的总线部分的、在模式“驾驶员信息系统”中的方框图。图7示出了在可靠地转变为模式“拥堵辅助装置”时的特性。图8示出了由于通过网关或系统接口进行的攻击而产生的潜在的危险的特性。图9示出了在识别出通过网关或系统接口对元件进行的攻击并且相应地拒绝状态转变时的特性。图10示出了在根据缺失的或无效的状态向量识别出被侵入的组件并且相应地拒绝状态转变时的特征。图11示出了包括三个或更多个传感器的系统的、在模式“驾驶员信息系统”中的方框图。图12示出了基于分布的状态向量的、具有多数决定器的拜占庭故障模型的应用。具体实施方式根据本发明，可能采用独立的硬件产品或软件过程的形式的控制单元不仅在来自车辆网络的到达的消息的基础上转变其模式，而且事先根据功能组合体中的其它控制器的状态向量对所述消息进行核实。然后，所述控制单元仅仅以有效的功能配置来改变其模式。作为对此的前提，在每次模式转变时将相应的状态信息分配到车辆网络中并且在那里同步。因此，驾驶模式的状态信息被分配并且不再由车辆网络中的唯一的来源来获取。如图1所示，根据以下流程进行模式转变：控制器向根据功能配置明确定义的控制器组合体通报进行模式改变的请求（过程11）。重要的控制器组合体中的每个控制器检查所请求的完善度。此外，重要的控制器组合体中的每个控制器就完整性检查所请求的模式改变（在下面的表格中所示出的配置和在图3、4、5中所示出的转变）以及关于与功能的相容性的边界条件，也就是随后车辆状况是否允许安全地转变为所请求的模式（过程12）。也能够先后地或分几部分地进行检查（过程12），以便由此实现特定的故障响应。重要的控制器组合体的每个控制器将这种检查的结果及其在状态向量中的状态通知给其它控制器并且接收相应的反馈（过程13）。只有当所有控制器都同意并且存在有效的系统配置时或者当――根据拜占庭式的故障模型――预先给定的最小数量的反馈是肯定的并且所请求的模式用参与所述组合体的控制器的子集允许受限制的功能时，每个控制器才最后实施模式改变（过程14）。例如在存在多个冗余的传感器时才可能出现最后一种情况。对于不是所述组合体中的所有控制器都能够检查模式改变的请求的完善度、完整性和真实性这种情况来说，只要至少一个控制器能够进行这种检查，则仍然能够应用本发明的一种变型方案。在这种情形中，仅仅有此能力的控制器进行相应的检查并且将其结果通知给其余的控制器。图2示范性地示出了由三个组件（c、d、e）构成的具有潜在危险的环境相互影响的组合体（11）。在图2中所示出的系统描述被用在下面的实施例中。在此，潜在危险性直接源自致动器（e）并且间接地源自传感器（c）和控制器（b）。在此假设，所述致动器（e）根据状态将对环境的影响限制到一般安全的极限值，并且所述系统能够将必要的边界条件、比如速度、可能的防抱死系统（abs）的状态、系统故障和用于配置转换的环境影响包含到决定之中。所述控制器（c、d、e）在此可被视为有限的状态机，其状态（c0-c3、d0-d3、e0-e2）和允许的状态转变在图3、4或5中得到阐明。所述组合体（11）的、由这些状态的组合产生的模式的意义可以在以下表格中得知。传感器的状态控制器的状态致动器的状态意义和风险分级c0d0e0有效的且安全的原始状态c0d0e1舒适功能受干扰c0d0e2危及安全c0d1e0舒适功能受干扰c0d1e1舒适功能受干扰c0d1e2危及安全c0d2e0舒适功能受干扰c0d2e1舒适功能受干扰c0d2d2危及安全c0d3e0舒适功能受干扰c0d3e1舒适功能受干扰c0d3e2危及安全c1d0e0舒适功能受干扰c1d0e1舒适功能受干扰c1d0e2危及安全c1d1e0有效的功能1　　　　（驾驶员信息）　　　　　　　　　　　　　　部分配置c1d1e1舒适功能受干扰c1d1e2危及安全c1d2e0舒适功能受干扰c1d2e1舒适功能受干扰c1d2d2危及安全c1d3e0舒适功能受干扰c1d3e1舒适功能受干扰c1d3e2危及安全c2d0e0舒适功能受干扰c2d0e1舒适功能受干扰c2d0e2危及安全c2d1e0舒适功能受干扰c2d1e1舒适功能受干扰c2d1e2危及安全c2d2e0舒适功能受干扰c2d2e1有效的功能2　　　　（间距调节自动速度仪）c2d2d2危及安全c2d3e0舒适功能受干扰c2d3e1舒适功能受干扰c2d3e2危及安全c3d0e0舒适功能受干扰c3d0e1舒适功能受干扰c3d0e2危及安全c3d1e0舒适功能受干扰c3d1e1舒适功能受干扰c3d1e2危及安全c3d2e0舒适功能受干扰c3d2e1舒适功能受干扰c3d2d2危及安全c3d3e0舒适功能受干扰c3d3e1舒适功能受干扰c3d3e2有效的功能3　　　　　　　　　　　　　　（拥堵辅助装置）图6示范性地探讨包括这个组合体的总线部分，其中所述组合体首先处于模式“驾驶员信息系统”中。现在根据图7对所述组合体的在请求模式“拥堵辅助装置”（traveljamassistant，tja）时的特性进行解释。所述组合体的每个元件（c、d、e）在这种情况下将所请求的自己的模式和由其余用户接收的模式以在下面被称为状态向量的结构的形式发送给每个其他用户。在本实施例中，在所提到的用户中存在关于状态向量（c3、d3、e2）的一致性。在滥用检查的范围内通过每个元件（c、d、e）对状态向量进行的测评表明所述状态向量的有效性以及所述边界条件的遵守。因此，每个元件（c、d、e）声明所请求的状态转变符合规范、向其他元件通报相应的决定并且进行配置改变。图8将这种无攻击的特性――再次以按照图6的原始配置为出发点――与由于通过网关（a）或系统接口进行的攻击而产生的潜在危险的特性进行对照，对于所述潜在危险的特性来说攻击者通过将致动器（e）置于模式e2中的方式来成功地在无效的模式c1、d1、e2中对拥堵辅助装置-接口进行配置。根据本发明可以抵御这样的攻击，如图9中所示：在此，在所有用户中存在关于状态向量（c1、d1、e2）的一致性。由每个元件（c、d、e）对状态向量进行的测评表明其无效性以及边界条件的遵守。因此，每个元件（c、d、e）都声明所请求的状态转变不合规范、向其他元件通知相应的决定及本地已知的状态向量并且拒绝所请求的状态转变。就致动器（e）而言，对其余tja组件的状态的这种检查例如能够根据以下伪码来进行：。对于部分配置的测评表明，（c1、d1）相应于驾驶员信息系统的有效的部分配置，而组合c1/e2以及d1/e2则被识别为无效。同样根据图9可以解释在通过网关（a）或系统接口攻击完整的配置时的相应的特性，在所述攻击中攻击者试图将所述组合体置于模式c3、d3、e2中。在这里，在所有用户中存在着关于所述状态向量（c3、d3、e2）的一致性。所述用户c、d、e中的每一个用户都检查边界条件的遵守、状态向量的容许性（表格）和其转变目的的容许性（图3、4、5）。所述用户对状态向量的容许性一致。转变目的被用户c和d识别为不被允许，因为根据图3、4不允许从状态c1、d1到状态c2、d2的转变。c、d向所述组合体通报所请求的模式改变的不容许性。随后，没有进行所请求的模式改变并且车辆保持在安全的原始状态中。根据本发明，只有旨在将所述组合体置于不仅与边界条件相匹配而且与各个用户的转变规则相匹配并且被所有用户识别为允许的状态中的攻击才是成功的。所有这种类型的攻击都引起安全状态并且因此不会对身体和生命带来危险。图10示出了所述系统的、在相应的攻击源自传感器（c）的情况下的特性。在这种情况下，所述系统的状态向量丢失或者有错误。不仅控制器（b）而且致动器（e）根据以下条件来识别这种故障状态：。要注意的是，也应当使用合适的非对称的加密系统，以便根据其公共密钥来认证传感器（c、f、g）。图11示出了包括三个或更多个传感器（c、f、g）的系统的、在模式“驾驶员信息系统”中的方框图。如图12所示，以这种配置为出发点，由于为所述组合体所包括的控制器（a-g、x）的数量，在分布的状态向量――在当前情况下是（f1、g1、c3、d3、e2）――的基础上能够应用具有多数决定器的拜占庭故障模型。作为第二种实施例，现在要引用一种拥堵领航装置（traveljampilot，tjp）。为了简化，在此要假设，所述系统仅仅支持模式“手动控制”和“自动控制”。在第一种情况下，驾驶员拥有对车辆的完全控制并且相应的限制器允许完全的转向自由度以及速度的提高直至由结构决定的最高速度。在后一种情况下，所述限制器将自由度减小到较小的转向角和65km/h的速度。该限制器优选是动态的并且根据模式的asil分级而变化。此外要假设，攻击者想产生事故并且已经将不控制转向装置的控制器置于其控制之下，攻击者能够用所述控制器将有效的消息发送给转向装置的控制器。例如，攻击者想要在自动驾驶模式中促使所述限制器在控制时允许最大的自由度，因为通常在这种模式中受限制的转向角是不够的。然而，攻击者可能仅仅通过信号对所述限制器进行配置而不是比如直接写入其存储器。基于这些假设，攻击可能性将会在于，向转向装置发送关于模式改变的信号，使得所述限制器与假定手动的驾驶模式相匹配，该驾驶模式允许完全的转向自由度。然而因为所述模式通过按照本发明交换的状态向量对于所有控制器是已知的，所以其不能容易地被改变；更确切地说，多个控制器必须在其传感器测评的基础上似乎“同意”由攻击者所请求的模式转变。攻击者的、用于进行模式转变的请求因此被按本发明的系统所拒绝（过程15-图1）。这种方法（10）例如能够以软件或硬件的形式或者以由软件和硬件构成的混合形式例如在所述控制器（a-g、x）之一中来执行。当前第1页12