专利名称:诊断访问受到保护的汽车中的控制设备系统的制作方法
技术领域:
本发明涉及一种由汽车中的控制设备组成的系统,这些控制设备 通过该汽车的一个或多个数据总线通信,该系统具有至少两个诊断通
道(Diagnosezugang),其中通过这些诊断通道,基于诊断请求消息 来诊断至少一个控制设备的状态,尤其是通过其中一个诊断通道请求 控制设备的故障存储器记录(Fehlerspeichereintrag )并将其向外传 送。
背景技术:
在当前的汽车中,通常通过至汽车的中央连接点来实现和保护所 有控制设备的诊断能力(Diagnosefaehigkeit)。中央连接点设置在汽 车中,并且因此在汽车丟失时防止对其的访问。许多制造商通常都提 供这样一种控制设备,该控制设备除了物理地提供诊断通道之外,还 对外保护诊断通信的数据完整性,并且必要时还对外保护诊断通信的 操纵防护性(Manipulationssicherheit)。根据现有技术,如果存在 多个物理通道,则相互独立地实现和保护这些物理通道。
对于实现多个相互独立的诊断通道的这个技术而言,在请求控制 设备时以及在实施时产生相应的额外耗费。在每个配备有诊断通道的 控制设备中,必须实施相应的完整性检验机制以及用于防止和识别对 诊断通信的可能操纵的必要方法。此外,必要时还必须与请求相应地 选择通道控制设备(Zugaiigssteuergeraet)中对于计算性能、数据緩 沖(Datenpuffer)等等的必要资源,这些资源具有必要的处理能力以 便能够满足相应的性能/防护需求。
对于其中外部攻击者(Angreifer)能够在不物理地进入汽车中 的情况下引进(dnbringen)基于无线的数据包并因此能够读取并可能更改信息的无线诊断通信,必须保护每个经由无线电通信传输的诊
断包(Diagnosepaket)不被篡改,并能可靠地验证被授权的外部诊断 单元和/或汽车的真实性。因此,必须单独地对每个经由无线电通信传 输的诊断包检验墓改和真实性,并且在必要时丢弃诊断包。相应地, 需要对于提供诊断通道的控制设备的硬件提出极高的要求,这些要求 在通常运行(Regelbetrieb)(没有诊断通信)中、即在控制设备在 汽车运行时执行其期望功能期间本来是不需要的。
发明内容
本发明要解决的技术问题是以经济的方式在具有至少一个诊断 通道的汽车中构造由控制设备组成的系统。
该技术问题通过权利要求1中给出的措施来解决。本发明的优选 实施方式在从属权利要求中给出。
与其中在每个具有诊断通道的控制设备中设置保护装置的已知 分布式安全体系结构相比,这里提出了一种中央保护装置或检验装 置。另外,根据本发明,识别在通向本发明系统的通道上的诊断请求 消息本身,并(优选直接地)转发到中央检验装置以用于检验。
在成功通过检验之后,诊断请求消息由该中央机构(Instanz) 转发到相应的目标控制设备并在那里被处理,其中该目标控制设备的 状态应当被z珍断。相应的应答才艮文(Antworttelegramme )或i貪断消 息优选同样被馈送给中央检验装置。此外,优选地,在诊断消息被传 送给进行查询的外部诊断装置之前,诊断消息被签名并且被保护以防 止发送者的篡改和/或欺骗,在适当的情况下还被加密。
优选地,根据本发明的诊断通道至少部分地是通往由控制设备组 成的系统的无线通道,如尤其是D-CAN、 WLAN、在解除防盗锁止 (Wegfahrsperre )和/或解锁(Entriegelung )车门时汽车钥匙与汽车 相互通信的信道(Kanal)或频率、GSM、 TDMA或它们的组合等类 型。
下面借助附图详细解释本发明的实施例。相同的附图标记表示相 同或作用相同的功能单元。
图1示出根据现有技术的由控制设备组成的已知系统,其中单独
保护每一个通道;
图2示出根据本发明的系统,其中诊断请求消息与通道无关地被 传递到中央检验装置并在那里被检验;以及
图3示出在图2所示的根据本发明的系统中诊断请求消息从外部 诊断装置到目标控制设备的路径。
具体实施例方式
已知的系统100包括多个控制设备,其中对于这些控制设备示例 性地示出了控制i殳备101、 102、 103、 104。控制i殳备101、 102和104 与第一数据总线105直接连接,控制设备102和103与第二数据总线 直接连接。控制设备102因此具有特殊性,即它与两个数据总线105 和106直接连接。该控制设备102是所谓的中央网关控制设备。控制 设备101和102分别具有所谓的"软件安全层"107或108,即分别具 有用于数据的很"粗略的"检验装置,以防止对系统的以下控制设备的 操纵,即这些控制设备经由通道A或通道B直接到达控制设备101 或102。
通道A和B是物理通道,如相对于访问被保护地设置在(必要 时关闭的)汽车中的诊断插座(Diagnosebuchse )。由于汽车中的物 理通道被保护以防止受到未经授权的访问,因此通过软件安全层107 或108实现很简单的操纵防护,其中该操纵防护在经由通道A和/或B 对控制设备执行诊断时对控制设备101或102各自的处理器只施加很 少的负荷。
尤其地,在用于从系统或汽车外部经由外部诊断装置无线地接入 控制设备的通道A和B的设计方案中,建议进一步改善的操纵防护。 图2示出根据本发明的系统200,该系统与已知系统100的区别在于,控制设备101具有程序技术实现的识别和转发装置201,以代 替软件安全层107,也就是说,根据本发明,控制设备101的处理器 (未示出)的程序控制被扩展为使得相应程序控制的处理器形成识别 和转发装置。
根据本发明,代替安全层108,在控制设备或中央网关控制设备 102中实现程序技术实现的检验装置202,也就是说,控制设备102 的处理器(未示出)的程序控制被扩展为使得相应程序控制的处理器 形成检验装置。
识别和转发装置201以及检验装置102的功能将在下面借助图3 解释,其中图3示出在根据本发明的系统中诊断请求消息从外部诊断 装置到目标控制设备的路径。
汽车外部的诊断装置301无线地-在这里所描述的实施例中是 经由在解除电子防盗锁止和/或解锁车门时汽车钥匙与汽车通信(或反 向通信)的通信信道-向通道A传送由该诊断装置签名的诊断请求 消息302。识别和转发装置201识别这样的消息,并且可以例如在第 一(粗略)检验的范围中确定签名是否可以对应于经过授权的诊断装 置。为此,只需要控制设备IOI的很少的处理器处理能力,并且控制 设备101的处理器(未示出)可以在诊断的范围内利用可供使用的处 理器处理能力来完成该检验,其中根据本发明,控制设备101的处理 器只针对控制设备的实际功能来设计(dimensionieren )。
在肯定的(positiver)(粗略)检验之后或者如果没有该检验, 则在仅仅识别是诊断请求消息之后,诊断请求消息302被配备以以下 信息,即该信息将诊断请求消息302标识为诊断请求消息并给出检验 装置地址。相应被标识的并具有检验装置地址的诊断请求消息302在 下面被称为封装后的(gekapselt)诊断请求消息303。基于检验装置 地址,封装后的诊断请求消息303直接经由数据总线105和106的总 线系统的直接通信路径,即所谓的隧道(Tunnel) 304,馈送给控制 设备102 (中央网关控制设备)的检验装置202。
必要时,检验装置对封装后的诊断请求消息303进行解密
7(entschluesseln),对签名和实际诊断请求消息检验其是否未受篡改, 并检验消息的发送者是否被授权查询诊断数据,尤其是查询控制设备 的故障存储器中的记录。
这在已知的公钥方法范围中执行,其中在公钥方法中,汽车外部 的诊断装置301的公钥被访问。该公钥以被保护以防止篡改的方式被 存储在控制设备102的存储器中。
如果上述检验的结果是肯定的,则诊断请求消息302 (或其没有 签名的一部分)经由数据总线106被传递到目标控制设备103,并由 控制i殳备103处理。
控制设备103将所请求的诊断消息(未示出)发送到检验装置 202,其中该检验装置又在公钥方法的范围内对该诊断消息进行签名, 必要时还进行加密(verschluesseln ),并且转发给通道A以无线地转 发到汽车外部的诊断装置301,其中该诊断装置例如在汽车供应商进 行维修时或者在汽车制造商的远程维修服务中可用。在对诊断消息进 行签名和/或解密中,控制设备102的处理器访问系统200或汽车的私 钥。基于使用汽车或系统200的公钥,汽车外部的诊断装置301可以 检验所获得的诊断消息的未受篡改和真实性或其发送者,并在必要时 对其进行解密。
通过所描述的根据本发明的措施,可以实现对汽车控制设备的经 济的、尤其是无线的诊断,该诊断满足高的安全要求。在根据本发明 的系统中只需要中央检验装置提供可能很高的处理器处理能力。此 外,可以保留已知的多个通向系统的外部通道的概念。
优选地,根据本发明,中央网关控制设备在诊断过程中提供检验
装置。与系统的其它控制设备相比,中央网关控制设备通常由于其在 汽车运行期间的期望功能而提供高的处理器处理能力,该处理器处理
能力在诊断过程中可以在没有附加成本的情况下被用于实现对诊断 中操纵防护性的高安全要求。
权利要求
1.一种由汽车中的控制设备(101,102,103,104)组成的系统(200),其中所述控制设备经由所述汽车的一个或多个数据总线(105,106)通信,所述系统具有至少两个诊断通道(A,B),其中所述控制设备中至少一个控制设备的状态通过所述诊断通道基于诊断请求消息而被诊断,尤其是控制设备的故障存储器记录经由所述诊断通道中一个诊断通道被请求并被向外传送,其特征在于,-经由第一诊断通道(A)馈送给所述系统的诊断请求消息(302)被识别和转发装置(201)识别为诊断请求消息,并且被传送到检验装置(202),-所述检验装置(202)至少检验所述诊断请求消息(302)的真实性,并在必要时将所述诊断请求消息转发到所述诊断请求消息(302)所针对的控制设备(103)。
2. 根据权利要求l所述的系统,其特征在于,第一和/或其它诊 断通道(A,B)是通向所述系统(200 )或汽车的无线通道,如尤其是 D-CAN、 WLAN、在解除防盗锁止和/或解锁车门时汽车钥匙与所述 汽车相互通信的信道或频率、GSM、 TDMA类型的无线通道。
3. 根据权利要求1或2所述的系统,其特征在于,所述检验装 置(202 )基于所述诊断请求消息的签名检验所述诊断请求消息(302 ) 的真实性,和/或借助于具体的诊断请求消息检验所述诊断请求消息的 发送者是否被授权发送所述诊断请求消息和/或对所述诊断请求消息 进行解密。
4. 根据权利要求1至3中任一项所述的系统,其特征在于,所 述检验装置(202)具有程序控制的处理器,所述处理器优选地借助 于公钥方法检验所述诊断请求消息(302),并且在此过程中访问以 防止墓改的方式被存储在所述汽车中或所述控制设备之一中的公钥。
5. 根据上述权利要求之一所述的系统,其特征在于,具有中央 网关控制设备(102),其中所述中央网关控制设备直接与所述数据总线(A, B)中至少一个第一数据总线以及第二数据总线连接,并且 所述网关控制设备的处理器与相应的程序控制一起形成所述检验装 置(102 )。
6. 根据上述权利要求之一所述的系统,其特征在于,所述控制 设备之一 (103)的诊断消息在发送到该控制设备(103)的诊断请求 消息(302)之后被传送到所述检验装置(102),其中所述检验装置 为所述诊断消息配备签名和/或对所述诊断消息编码,并且相应的诊断 消息经由所述诊断通道之一 (A)从所述系统(200)传送到外部诊断 装置(301)。
7. 根据权利要求6所述的系统,其特征在于,向外传送的诊断 消息的签名和/或加密是通过使用公钥方法而实现的,并且优选地,私 钥以防止侦听和墓改的方式被存储在所述汽车中或所述控制设备之 一 (102 )中。
8. 根据上述权利要求之一所述的系统,其特征在于,已经在诊 断通道中对所获得的诊断请求消息(302)进行第一检验(201)。
9. 根据权利要求8所述的系统,其特征在于,所述识别和转发 装置(201 )进行所述第一检验,其中优选检验所述诊断请求消息(302 ) 的签名。
10. 根据权利要求8或9所述的系统,其特征在于,所迷识别和 转发装置(201 )由设置在诊断通道(A )和所述至少一个数据总线(105 ) 之间的控制设备(101)构成,并且该控制设备(101)的处理器的程 序控制被扩展为使得由所述控制设备或所述控制设备的处理器执行 所述第一检验。
全文摘要
本发明涉及一种由汽车中的控制设备(101,102,103,104)组成的系统(200),这些控制设备通过汽车的一个或多个数据总线(105,106)通信,该系统具有至少两个诊断通道(A,B),通过这些诊断通道基于诊断请求消息来诊断至少一个控制设备的状态,尤其是通过其中一个诊断通道请求控制设备的故障存储器记录并向外传送。为了在具有至少一个诊断通道的汽车中经济地形成由控制设备组成的已知系统,建议通过第一诊断通道(A)输入系统的诊断请求消息(302)被识别和传递装置(201)识别为诊断请求消息,并且传送给检验装置(202),并且检验装置(202)至少检验诊断请求消息(302)的真实性,并在必要时传递给诊断请求消息(302)所针对的控制设备(103)。
文档编号G01M17/007GK101518018SQ200780032332
公开日2009年8月26日 申请日期2007年8月23日 优先权日2006年8月31日
发明者M·托尔罗, U·温曼 申请人:宝马股份公司