用于汽车应用的安全串行总线的制作方法

1.本技术涉及适用于汽车环境的串行总线协议的具体实施，并且更具体地涉及保护此类具体实施免受网络攻击。


背景技术：

2.当前和未来的车辆不断引入越来越多的车载传感器和系统，以启用或辅助关键车辆功能，包括自适应巡航控制(acc)、停车辅助、前方碰撞预警(fcw)、前方碰撞与主动制动、盲点预警(bsw)、车道保持系统(lks)等。这些技术在正常驾驶和危急情况下提供了直接的驾驶员辅助，并且一些技术甚至能够增强驾驶员控制或者提供自主控制以防止或减轻碰撞或其他负面结果。
3.为了适应用于此类特征的许多传感器、致动器和控制系统，制造商正在每个车辆中实施越来越复杂的数据通信网络。由dsi联盟(dsiconsortium.org)发布的第3代分布式系统接口(dsi3)标准提供了旨在用于汽车应用的此类通信网络的一个示例，但是其他示例是ds2、psi5、lin和can标准。
4.dsi3和这些其他通信标准必须应对挑战其性能的一系列独特情况。这些网络是便携式的、电池供电的(即，低电压的)，其中线材的长度足以引起电磁干扰(emi)(并且易受其影响)。这些网络应能抵抗振动影响，但仍然便宜且易于维修。这些标准的共有特征包括使用通过一个或两个数据传输导体的串行通信、有限带宽和，旨在应对上述情况的信令方案。
5.随着高级驾驶员辅助系统的复杂性和功能性不断增加，人们对该系统针对网络攻击和数据泄露的漏洞的担忧日益增加。除了可能危害到该系统本身之外，此类事件还可能对乘客和行人造成伤害。然而，保护此类系统免受此类攻击的尝试应优选地避免损害此类系统的性能或不当地增加其复杂性和成本。


技术实现要素：

6.因此，本文公开了适用于汽车应用的安全串行总线通信方法和设备。
7.根据本技术的一个方面，提供了一种集成电路设备，其特征在于该集成电路设备包括：传感器控制器，该传感器控制器操作换能器以获得能够格式化为数据分组的测量数据；加扰器，该加扰器在数据块经由串行总线发送到总线控制器设备之前通过加扰操作掩蔽每个数据分组，该加扰操作具有秘密配置和/或秘密初始状态；以及集成电路部件，该集成电路部件对种子值进行操作以导出该秘密配置和/或秘密初始状态。
8.在一个实施方案中，该集成电路设备的特征在于，该加扰操作具有秘密初始状态，并且该传感器控制器在检测到重传请求之后将该加扰器重置为秘密初始状态。
9.在一个实施方案中，该集成电路设备的特征在于，该集成电路部件包括内置自检电路，该内置自检电路提供该秘密配置和/或该秘密初始状态作为测试结果。
10.在一个实施方案中，该集成电路设备的特征在于，该集成电路部件包括滤波器，该滤波器对该种子值进行操作以产生从中导出该秘密配置和/或该秘密初始状态的截断位。
11.根据另一方面，提供了一种通信方法，该通信方法包括：经由汽车串行总线从总线控制器设备接收种子值；利用集成电路部件对该种子值进行操作以导出加扰器的秘密配置和/或秘密初始状态；使用该加扰器掩蔽数据分组；以及经由该汽车串行总线将经掩蔽的数据分组发送到该总线控制器设备。
12.在一个实施方案中，该通信方法的特征在于，该集成电路部件包括内置自检电路，该内置自检电路提供该秘密配置和/或该秘密初始状态作为测试结果。
13.在一个实施方案中，该通信方法的特征在于，该集成电路部件包括滤波器，该滤波器对该种子值进行操作以产生从中导出该秘密配置和/或该秘密初始状态的截断位。
14.在一个实施方案中，该方法的特征在于，该加扰器用于掩蔽多个数据分组而无需在数据分组之间进行重置，并且其特征在于该方法还包括：检测针对给定数据分组的重传请求；将该加扰器重置为秘密初始状态；使用该加扰器掩蔽该给定数据分组；以及经由该汽车串行总线将经掩蔽的给定数据分组发送到该总线控制器设备。
15.根据另一方面，提供了一种汽车传感器网络，其特征在于该汽车传感器网络包括：多个传感器设备，每个传感器设备具有自由运行的加扰器以掩蔽来自该传感器设备的数据分组；以及总线主设备，该总线主设备通过串行总线耦接到该多个传感器设备以从该多个传感器设备中的每个传感器设备接收经掩蔽的数据分组，该总线主设备被配置为跟踪该多个传感器设备中的每个传感器设备的解扰器状态。
16.在一个实施方案中，该汽车传感器网络的特征在于，该总线主设备包括自由运行的加扰器以掩蔽对该多个传感器设备中的每个传感器设备的命令消息，该总线主设备被配置为跟踪该多个传感器设备中的每个传感器设备的单独加扰器状态。
17.在另一个实施方案中，该汽车传感器网络的特征在于，该传感器设备加扰器是非线性加扰器。
附图说明
18.图1为例示性数据通信网络的框图。
19.图2a为用于dsi3总线的例示性从设备的框图。
20.图2b为用于dsi3总线的例示性主设备的框图。
21.图3为例示性tdma帧语法的曲线图。
22.图4为例示性加性加扰器/解扰器的信号流程图。
23.图5a为例示性乘性加扰器的信号流程图。
24.图5b为例示性乘性解扰器的信号流程图。
25.图6为例示性加性非线性加扰器/解扰器的信号流程图。
26.图7a为例示性乘性非线性加扰器的信号流程图。
27.图7b为例示性乘性非线性解扰器的信号流程图。
28.图8为例示性感测方法的流程图。
具体实施方式
29.附图和以下描述出于解释的目的阐述了具体实施方案和细节，但应当理解，附图和对应的具体实施方式并不限制本公开。相反，它们提供了基础内容，该基础内容与本领域
普通技术人员的理解一起公开并实现了落入所附权利要求书的范围内的所有修改形式、等效形式和替代形式。
30.图1示出了经由第一总线主设备103耦接到第一组超声波传感器104并且经由第二总线主设备105耦接到第二组超声波传感器106的电子控制单元(ecu)102。ecu 102从超声波传感器并且任选地从其他传感器(例如，雷达、激光雷达、成像)获取测量结果，以确定车辆与其周围环境和其中的任何障碍物的空间关系。为了提供自动停车、辅助停车、车道变换辅助、障碍物和盲点检测、自动驾驶和其他期望的特征，ecu 102还可连接到一组致动器，诸如转弯信号致动器108、转向致动器110、制动致动器112和节气门致动器114。ecu 102可以进一步耦接到用户交互式接口116以接受用户输入并且提供各种测量结果和系统状态的显示。
31.存在各种标准以支持ecu 102与各种传感器和致动器之间的通信。相对于本公开特别感兴趣的是第3代分布式系统接口(dsi3)总线标准，其提供总线主设备与一个或多个从设备(例如，传感器和致动器)之间的半双工单端信号通信。由于dsi3总线仅需要一个信号导体，因此它有时可被称为“单线”总线。其他合适的标准包括ds2、psi5、lin和can标准。对于ecu 102与附近集成电路设备(例如，总线主设备103、105)之间的通信，可以优选诸如spi、i2c、mdio等芯片间标准。由于i2c和mdio标准通常提供单独的数据和时钟导体，因此它们有时被称为“双线”总线。spi和其他芯片间通信标准通常提供用于控制信号和/或单向数据信号的附加导体。尽管以下讨论侧重于dsi3，但可以将用于保护数据通信的所公开原理应用于这些串行总线标准中的任一标准的数据信号。
32.dsi3标准支持多个从设备104与总线主设备103的并行连接，并且还支持多个从设备106与总线主设备105的串行连接。还支持点对点连接。
33.图2a是适用于作为从设备连接到标准dsi3总线的例示性传感器设备200的框图，该标准dsi3总线具有从设备与主设备的并行或点对点连接。在保持与dsi3标准的物理兼容性的同时，例示性设备200还包括用于增强通信性能的某些特征，其中至少一些特征以可能需要在总线主设备中进行固件调整的方式扩展标准，如下文进一步所述。在不脱离与现有标准的完全兼容性的情况下，可采用其他特征来增强性能。除了在共同拥有的美国专利10,756,925(“slave device enhancing data rate of dsi3 bus”)和美国专利10,771,281(“semi-differential signaling for dsi3 bus enhancement”)和共同未决的美国申请17/585,531(“dsi3 bus with enhanced robustness”)中所公开的那些特征之外，本文还公开了保护总线通信免遭未经授权的设备的拦截和与之交互的某些特征。这些特征可以单独使用或以各种组合使用。
34.传感器设备200包括控制器202，该控制器收集测量结果并缓冲存储器204中的相关消息，以用于将测量数据传送到总线主设备。虽然消息长度可改变，但在至少一个设想的实施方案中，每条消息为16字节，并且可以长度为一个或两个半字节的前导码开始或其前有长度为一个或两个半字节的前导码。加扰器206使用线性或非线性反馈移位寄存器以及按位异或(xor)操作掩蔽每条消息，以保护消息不被拦截和修改。如果存在前导码，则该前导码不掩蔽，以便保留加扰器的输出比特流中的前导码模式。
35.信道编码器208通过将每个半字节映射到信道符号的对应三元组来对来自加扰器206的比特流进行编码。每个三元组包括三个三进制信道符号。信道符号在本文中也被称为“码片”，并且作为三个单极性非归零电平0、1或2中的一者进行传输，每个符号具有固定符号持续时间，可为约3或4微秒。如标准中所设置的，“0”可对应于静止信道信号电流iq。“1”可对应于响应信道信号电流iq+i
resp
，并且“2”可对应于响应信道信号电流iq+2i
resp
。在至少一些实施方案中，iq限于不超过2ma，并且i
resp
为大约12ma。一些设想的实施方案可从三级信令切换到两级信令以提高抗噪性。在此类实施方案中，信道编码器208将8位字节映射到8位码字，在这种情况下仅使用iq电流电平和iq+2i
resp
电流电平。
36.脉冲整形滤波器210可对来自编码器208的信道符号流进行操作，从而提供将矩形脉冲(例如，nrz码片)转换为更平滑的脉冲形状的传递函数，该更平滑的脉冲形状为信道信号提供更理想的频谱特性。数模转换器212对经滤波的信道信号进行操作以将其从数字形式转换为模拟形式，本文可将该模拟形式称为上行链路信道信号。任选的发射校正滤波器214可以对该上行链路信道信号进行操作，以进一步对信道信号频谱进行整形。信道驱动器216将上行链路信道信号转换为从设备200的输入/输出引脚上的电流。低通rc滤波器(电容器c3、电阻器r3)将输入/输出引脚耦接到dsi3总线的信号导体。
37.输入/输出引脚的电流偏置由电流吸收器218和接收缓冲器220提供。在半双工dsi3通信协议的正向(下行链路)通信阶段和反向(上行链路)通信阶段期间，控制器202根据需要调整电流吸收器218以进行偏置。在下行链路通信阶段期间，输入/输出引脚接收呈电压信号形式的下行链路信道信号。接收缓冲器220为输入/输出引脚提供高输入阻抗，从而缓冲用于模数转换器224的下行链路信道信号。
38.下行链路接收滤波器225可限制数字接收信号带宽和/或增强下行链路信号的信噪比。在至少一些实施方案中，滤波器225用来抑制300khz以上的噪声。在其中主设备采用发射校正滤波器(类似于上述滤波器214)的系统实施方案中，下行链路接收滤波器225可包括补偿功能，用于将下行链路信号频率提升至最高至150khz，然后滚降以抑制信号频率为约250khz或300khz以上的噪声。
39.符号检测器226对经滤波的接收信号进行操作，以检测掩蔽命令消息的信道符号(当设备在命令响应模式下操作时)或检测广播读取命令(brc)脉冲(当设备在周期性数据采集模式下操作时)。解扰器228使用线性或非线性反馈移位寄存器以及按位异或(xor)操作对掩蔽的命令消息进行操作，以对命令类型和相关联的有效载荷解除掩蔽，将信息放置在接收缓冲器中以供控制器202在制定响应时使用。在周期性数据采集模式下，检测器226发信号通知传感器控制器202以制定用于在适当的tdma时隙中发射的数据分组。
40.图2a示出脉冲整形滤波器210和发射校正滤波器214两者。可省略这些滤波器中的任一者或两者。还可交换滤波器顺序，使数模转换发生在滤波操作之前、之间或之后。如并入的美国申请17/585,531(“dsi3 bus with enhanced robustness”)中所描述的，检测器226可以被配置为检测重传请求，无论是使用不同的brc脉冲宽度发出信号，还是在其他从设备调制总线电流时通过输入/输出线电压的缓慢变化发出信号。
41.图2b是适用于标准dsi3总线上的例示性总线主设备240的框图。与从设备200一样，主设备240保持与dsi3标准的物理兼容性，但可以包括在与兼容的从设备结合采用时增强上行链路通信性能的某些特征。
42.主设备240包括控制器242，该控制器在存储器244中制定下行链路消息，用于传送到一个或多个从设备。当总线被配置用于命令响应模式时，下行链路消息通常是指向特定
从设备以获得响应的命令。当总线被配置用于周期性数据采集模式时，控制器可以直接启动对表示广播读取命令(brc)的脉冲的传输，该脉冲提供tdma帧的定时参考，在此期间传感器设备在其分配的时隙中传输分组。如并入的美国申请17/585,531(“dsi3bus with enhanced robustness”)中所描述的，控制器242可以被进一步配置为可能使用不同的brc脉冲宽度或者通过引起输入/输出线的缓慢变化来生成重传请求。
43.加扰器245使用线性或非线性反馈移位寄存器以及按位异或(xor)操作掩蔽每条命令消息，以保护消息不被拦截和修改。(对于brc脉冲和用于命令消息的任何同步前导码，可以绕过加扰操作。)信道编码器246通过将位0和1映射到由例如曼彻斯特-1编码提供的向上信道电压转变和向下信道电压转变来对掩蔽的下行链路消息进行编码。数模转换器248将经编码的信号转换为模拟下行链路信号。驱动器249将模拟下行链路信号作为电压信号供应给主设备240的输入/输出引脚。尽管dsi3标准在“高”符号电压和“低”符号电压之间提供2伏特的摆动，但一些设想的实施方案采用4伏特的摆动来增强抗噪性。低通rc滤波器(电容器c1、电阻器r1)将输入/输出引脚耦接到dsi3总线的信号导体。
44.高阻抗接收缓冲器250将上行链路信号从输入/输出引脚耦接到可选的接收校正滤波器251。可选的接收校正滤波器251可例如提升上行链路信号的高频内容以补偿发射校正滤波器214的操作。模数转换器252将上行链路信号数字化，并且上行链路接收滤波器253对数字信号进行操作以限制信号带宽和/或增强信噪比。滤波器253可以是匹配滤波器，其具有至少部分地基于由脉冲整形滤波器210提供的脉冲形状的滤波器响应。滤波器251和253可被重新排序，合并为单个滤波器，并且各自以数字或模拟形式实现。
45.码片检测器254对经滤波的上行链路信号进行操作以检测信道符号电平。阈值捕获单元255可至少部分地基于消息前导码来捕获和/或适配码片检测器254的比较器阈值电平，如上述共同拥有的专利中所论述的。解码器256对来自码片检测器254的信道符号序列进行操作，从而反转编码器208的操作以将码片三元组映射到二进制半字节。解扰器257对来自解码器256的掩蔽比特流进行操作，从而反转加扰器206的操作以提取由从设备发送的消息数据。消息数据可存储在存储器244中以供控制器242分析和使用。
46.图2a所示的例示性从设备采用信道驱动器216和相对于地面操作的接收缓冲器220。这里，我们观察到接地节点可相对于主设备所用的地面漂移，通常以与主设备和从设备的电压供应节点经历的漂移相对称的方式漂移。(该对称性是dsi3总线上电源导体阻抗的结果。)因此，如果从设备和主设备使用半电压参考，而不是使用接地节点作为信号发射和接收的参考，则可实现更大程度的抗噪性，如上述共同拥有的专利中所论述的。因此，从设备和主设备的至少一些设想的实施方案使用半电压节点作为用于在dsi3总线上发送和接收信号的参考电压。
47.根据标准，dsi3主设备以半双工方式与从设备通信。总线可以在命令和响应模式(crm)下操作，或者在期望较高数据吞吐量的情况下在周期性数据采集模式(pdcm)下操作。在crm下，总线主设备将用于寻址命令的多字节命令字发送到单独的从设备，并且从该设备接收响应。在pdcm下，总线主设备发送广播读取命令(brc)脉冲，该脉冲启动具有针对每个活动传感器的分配时隙的时分多址(tdma)帧。每个活动传感器均做出响应，在其分配的时隙内向主设备发送数据分组。
48.总线最初处于crm下，其中主设备向传感器设备发送命令。主设备的第一动作优选
地是为每个传感器设备提供用于其加扰器206和解扰器228的初始配置，如下文更详细地描述。每个传感器设备的初始配置可以是不同的，或者另选地，它们可以全部共享相同的初始配置。为了使加扰器能够自由运行(意味着不针对每次通信重置加扰器)，主设备优选地维持每个传感器设备的单独会话，在接收到来自给定传感器设备的消息之后存储加扰器245和解扰器257的状态，并且在与该设备的下次通信之前恢复那些状态。在至少一些设想的具体实施中，传感器设备将拒绝通信直到其加扰器206已被初始化为止。如果尝试通信超过预定次数，则传感器设备可能关闭直到下次循环使用电源为止。
49.当启动测量循环时，主设备可以发送命令消息，该命令消息指定哪些传感器将处于活动状态以及它们要执行的测量类型。例示性测量结果包括发射和接收；以及仅接收(“侦听”)。测量参数可以进一步包括频率信道，例如上边带、下边带和宽带，以实现多信道操作。命令可以进一步指定对各种从设备的tdma时隙的分配，尽管预期从设备可以依赖于其总线标识符来确定其分配，例如以数字顺序传输。
50.图3是一旦主设备将总线转换到pdcm时可以使用的例示性tdma帧语法的曲线图。主设备通过调制输入/输出信号线的电压经由正向或“下行链路”信道与从设备通信，并且从设备通过调制输入/输出信号线上的电流经由反向或“上行链路”信道与主设备通信。brc脉冲31启动每个tdma帧。在图3示出为从brc脉冲的下降沿测量但可以可选地从上升沿测量的可编程间隔32之后，活动的从设备开始轮流传输含有其测量数据的分组。在至少一些系统中，每个传感器需要输送多个数据分组，这将需要多个tdma帧，因为每个传感器仅能每帧发送一个固定长度数据分组。每个tdma时隙33a-33n包含来自对应传感器的一个数据分组。主设备可以通过可编程间隔35延迟下一帧的开始。
51.在至少一些设想的具体实施中，每个数据分组包括奇偶校验检查、校验和或用于实现错误检测的其他形式的冗余。即使在没有此类冗余的具体实施中，主设备也可以监测均衡错误或另外的过度噪声指示符，以检测何时尚未可靠地接收到分组。在检测到数据分组中的错误或在其接收期间存在过度噪声时，主设备请求对该数据分组的重传。如并入的美国申请17/585,531(“dsi3 bus with enhanced robustness”)中所描述的，主设备可以采用修改的brc脉冲或缓慢电压变化以请求数据分组的重传。在检测到重传请求时，相关传感器设备可以将其加扰器和解扰器恢复到主设备初始设定的配置。
52.图4示出了加性线性加扰器，其包括接受反馈信号的移位寄存器402。来自移位寄存器402的所选择单元的值由一个或多个异或(xor)门404组合以生成反馈信号。通常选择所选单元以确保至少只要移位寄存器被初始化为非零值，反馈信号就是最大长度的伪随机二进制序列(prbs)。掩蔽xor门406将反馈信号与数据流(in)组合以提供掩蔽的数据流(out)。移位寄存器优选地包括60个或更多个单元，并且甚至更优选地包括约128个单元以使未经授权的人更难从掩蔽的数据流中导出掩蔽模式。
53.在接收端处，相同的prbs由相同配置和初始化的移位寄存器402生成。xor门406将掩蔽数据流(in)与prbs组合以恢复原始的未掩蔽数据流(out)。如果在初始化中发生错误(例如，由于在传送初始值或由其生成初始值的种子时出现通信错误)，则解扰器的prbs不匹配并且整个消息被损坏。替代方案是使用预定值，但这可能会造成逆向工程的漏洞。
54.图5a示出了乘性线性加扰器，由于其限制错误传播的能力，因此可为优选的。移位寄存器402接受来自掩蔽xor门406的掩蔽数据流(out)，而不是直接接受反馈信号。然后，一
个或多个xor门404从掩蔽数据流本身之中导出反馈信号。在接收端处，解扰器如图5b所示被配置，将掩蔽数据流(in)馈送到移位寄存器402中，并且使用一个或多个xor门404来导出掩蔽xor门406的反馈信号以重建原始数据流(out)。任何通信错误的影响限于通信错误的邻近区域。
55.图4和图5a的线性加扰器对于足够长的移位寄存器可能具有令人满意的安全性，但可以利用如图6和图7a所示的非线性加扰器来实现更强的保护。所示的非线性加扰器是“交变步进生成器”，其中第一线性移位反馈寄存器(lsfr)602生成prbs，如前文参考图4所描述的。将时钟信号clk提供给第一lsfr602以移位寄存器内容并利用每个时钟周期生成下一prbs位。然后使用prbs来门控用于两个附加lsfr604、606的时钟信号clk。当prbs被断言(逻辑“1”)时，逻辑门612将时钟信号clk传递到lsfr604。当prbs信号被解除断言(逻辑“0”)时，换成逻辑门614将时钟信号clk传递到lsfr 606。组合xor门608通过将来自lsfr 604、606的prbs组合导出掩蔽信号，以将其提供给掩蔽xor门406。lsfr 602、604、606的寄存器优选地具有与之相当的寄存器长度，该寄存器长度两两互为质数(即，它们的最大公因数是1)，每个寄存器具有多于100个单元。
56.图7a中示出了图6中的加扰器的乘性对应部分。也就是说，lsfr602、604、606各自对掩蔽数据流进行操作，而不是对其单独的反馈信号进行操作。在接收端处，将掩蔽数据流提供给lsfr 602、604、606中的每个lsfr，如图7b所示，使得它们能够导出形成正确掩蔽信号的适当序列，然后掩蔽xor门406可以移除该正确掩蔽信号以恢复原始数据流。任何通信错误的影响仅限于通信错误周围的窗口。
57.存在其他非线性加扰方法，并且可以使用。一个合适的示例是gsm蜂窝电话标准中公开的a5/1流加密。也可以采用互缩生成器和自缩生成器，但它们可能需要缓冲和/或更高的时钟速率以克服其可变产生速率。
58.为了最大限度地保护，可以以安全的方式建立加扰器/解扰器配置。可以通过选择不同的单元组合从移位寄存器中导出prbs，通过选择不同的单元组合来导出用于时钟clk的门控信号，通过改变移位寄存器长度和/或通过改变寄存器的初始内容来改变配置。这些参数可以在初始系统组装期间任选地建立，例如，通过将用于动态选择的参数或多个参数集安全地存储在主设备和传感器设备两者的嵌入式非易失性存储器中。(解扰器配置与加扰器配置基本上相同，一旦已知加扰器配置参数，即可容易地配置解扰器。)然而，为了确保所存储参数免受逆向工程攻击，这种安全存储方法增加了复杂性和成本。
59.优选的方法是采用种子值的专有处理，该种子值既可以以明文形式存储，也可以在启动时由主设备提供。一个设想的具体实施使用管芯级可追溯性(dlt)代码作为种子值，从而确保每个传感器设备的种子值是唯一的。当组装系统时，用针对每个传感器设备的dlt信息对主设备进行编程。另选地，主设备动态地生成种子值并向每个传感器设备提供一个种子值。
60.专有处理采用传感器设备结构的一些方面来从种子值导出一个或多个加扰器配置参数。例如，集成电路设备通常包括内置自检(bist)电路，该bist电路具有用于向电路部件提供测试模式并捕获测试结果的寄存器。可将种子值提供到现有的bist电路，使得传感器设备的相关部件能够像是测试模式那样对种子值进行操作，并且产生可以用作一个或多个加扰器配置参数的测试结果。主设备可以被设计成还包括相关传感器设备部件，使得主
设备能够独立地导出加扰器配置参数。由于主设备比传感器设备少得多，因此将附加电路结合到主设备中不会不当地提高系统成本。
61.可以类似地采用除bist电路以外的功能部件。例如，超声波传感器设备结合有数字相关滤波器。这些滤波器计算乘积的总和，其中该乘积是通过信号样本与滤波器系数相乘计算得出的。每个乘积的二进制表示比系数和样本的表示长得多。例如，如果信号样本宽22位，并且系数为22位宽，则其乘积的表示为44位宽。有用的动态范围可以限制在约16位，这意味着28个最低有效位可能在求和操作之前或之后被截断。然而，截断的位可以保留用于其他目的，例如提供加扰器配置参数。传感器设备可以从主设备获取种子值，将种子值传递通过相关滤波器，并且累积截断的位以用作一个或多个加扰器配置参数。主设备将被设计成包括具有相同系数值的相关滤波器，以使得主设备能够独立地从种子值导出一个或多个加扰器配置参数。
62.可以串联采用多种此类功能。例如，可将种子值传递通过数字相关滤波器，并且可将截断位累积成bist电路从中导出加扰器配置参数的测试模式。现有传感器设备部件的使用利用了现有的久经考验的设备设计，并且避免了不当地增加其成本和复杂性。
63.图8是可由主设备实施的例示性方法的流程图。在框802中，使用crm来初始化每个传感器设备的加扰器/解扰器配置。例如，主设备可以发送第一crm命令消息以传送种子值用于如先前所述的专有处理，从而配置传感器设备的加扰器和解扰器。传感器设备的加扰器配置不必与传感器设备的解扰器配置相同。主设备存储对应的解扰器和加扰器配置，以便将来与该传感器设备进行通信，包括其移位寄存器的内容。每个传感器设备都以这种方式配置。
64.在框804中，使用针对选择处于活动态的每个传感器设备的适当加扰器设置，主设备将经掩蔽的crm消息发送到每个传感器设备，该消息指定要使用的测量参数，并且任选地指定每个传感器设备将测量信息传送到主设备所使用的pdcm时隙。一旦已配置好每个传感器设备，主设备就在框806中启动pdcm，发送块读取命令(brc)脉冲以限定pdcm帧内的时隙。
65.在活动传感器设备响应于brc脉冲发送掩蔽的数据分组时，在框808中，主设备接收每个数据分组并对其解除掩蔽。在框810中，主设备确定每个数据分组是否被正确接收(例如，使用校验和位)，如果是，则在框812中将该传感器设备的错误计数设置为零。在框814中，主设备确定针对该pdcm帧是否预期有更多数据分组，如果是，则返回到框808。如果帧完成，则在框816中，主设备检查以确定当前测量循环是否完成。如果不是，则控制返回到框806。否则，在框818中处理来自当前测量循环的数据并提供以支持启动测量的任何驾驶员辅助服务。控制返回到框804以启动下一测量循环。
66.如果在框810中，数据分组未被正确接收，则在框820中，主设备将该传感器的错误计数器递增，并且测试该计数器是否超过预定限值。如果不是，则在框822中，主设备发送重传请求，从而将该传感器的加扰器配置重置为其初始值。(检测重传请求的传感器设备也会将其加扰器配置重置为其初始值。需注意，传感器设备可以对最大重传请求数施加限制并且如果超过该限制，则自身进行禁用。)主设备返回到框808。如果计数器确实超过框820中的限值，则在框824中，主设备将传感器指定为存在故障，从而中止测量循环。主设备可以从未来的测量结果中省略存在故障的传感器设备。
67.本公开的一个示例性实施方案将初始加扰器设置存储在ecu和传感器设备的非易
失性存储器(nvm)中。例如，ecu软件可以存储在闪存存储器中。在该具体实施中，初始加扰器设置经由软件存储在闪存存储器中并且与传感器nvm中的对应的加扰器初始设置配对。该示例性实施方案对ecu软件和外围节点进行配对以提高安全性。
68.虽然已经参考超声波传感器和引擎控制单元描述了示例性实施方案，但本公开的实施方案也可以用于控制器和外围设备的其他应用中。已举出了针对dsi3总线协议的具体示例，然而所描述实施方案的具体实施也可以使用其他通信协议。已给出了示例性加密方法，诸如散列法、crc加密和签名验证；然而，可以实施其他加密方法。本公开的示例性实施方案可以为数据处理系统提供高效且稳健的安全性。
69.上文已参考几个示例性实施方案描述了本技术。然而，可以在不脱离本技术的范围的情况下对示例性实施方案作出改变和修改。例如，尽管示例性实施方案可以描述实施用于通信协议的各种安全方法的ecu和伴随的超声波传感器，但本领域技术人员将理解所描述的方法可以用于其他应用。此外，可能已经描述了示例性规格，诸如多项式大小和命令帧，但本领域的技术人员将会理解，本技术不限于此类规格。这些和其他改变或修改旨在包括在本发明技术的范围内。
70.概括地说，已公开了适用于汽车应用的各种安全串行总线通信方法和设备。例如，一种例示性传感器ic包括：传感器控制器，该传感器控制器操作换能器以获得能够格式化为数据分组的测量数据；加扰器，该加扰器在数据块经由串行总线发送到总线控制器设备之前通过加扰操作掩蔽每个数据分组，所述加扰操作具有秘密配置和/或秘密初始状态；以及集成电路部件，该集成电路部件对种子值进行操作以导出该秘密配置和/或秘密初始状态。
71.又如，一种例示性通信方法包括：经由汽车串行总线从总线控制器设备接收种子值；利用集成电路部件对该种子值进行操作以导出加扰器的秘密配置和/或秘密初始状态；使用该加扰器掩蔽数据分组；以及经由该汽车串行总线将经掩蔽的数据分组发送到该总线控制器设备。
72.又如，一种例示性汽车传感器网络包括：多个传感器设备，每个传感器设备具有自由运行的加扰器以掩蔽来自该传感器设备的数据分组；以及总线主设备，该总线主设备通过串行总线耦接到该多个传感器设备以从该多个传感器设备中的每个传感器设备接收经掩蔽的数据分组，该总线主设备被配置为跟踪该多个传感器设备中的每个传感器设备的解扰器状态。
73.前述示例中的每个示例可以单独采用或结合采用，并且可以任选地以任何合适的组合包括下列特征中的一个或多个特征：1.种子值是下述项中的一者：集成电路设备的唯一标识符，以及由总线控制器设备提供的值。2.加扰器是乘性加扰器。3.加扰器是非线性加扰器。4.加扰器是具有至少100个单元的互质数寄存器长度的交变步进生成器。5.对来自总线控制器设备的命令消息解除掩蔽的解扰器。6.加扰操作具有秘密初始状态。7.传感器控制器在检测到重传请求之后将加扰器重置为秘密初始状态。8.如果重传请求数超过预定限值，则传感器控制器禁用进一步的通信。9.集成电路部件包括内置自检(bist)电路，该bist电路提供秘密配置和/或秘密初始状态作为测试结果。10.集成电路部件包括滤波器，该滤波器对种子值进行操作以产生从中导出秘密配置和/或秘密初始状态的截断位。11.加扰器用于掩蔽多个数据分组而无需在数据分组之间进行重置。12.检测针对给定数据分组的重
传请求；将加扰器重置为秘密初始状态；使用加扰器掩蔽给定数据分组；以及经由汽车串行总线将经掩蔽的给定数据分组发送到该总线控制器设备。13.如果在预定窗口内未接收到种子值，则禁用进一步的通信。14.自由运行的加扰器，用以掩蔽对多个传感器设备中的每个传感器设备的命令消息，该总线主设备被配置为跟踪该多个传感器设备中的每个传感器设备的单独加扰器状态。
74.一旦完全理解了上述公开的内容，对于本领域技术人员来说许多修改形式、等效形式和替代形式就将变得显而易见。旨在使以下权利要求书被解释为在适用情况下包含所有此类修改形式、等价形式和替代形式。