车辆信息系统的制作方法

本公开一般涉及车辆领域，具体涉及车辆网络安全中的硬件结构，尤其涉及一种电子控制单元访问安全增强的车辆信息系统。

背景技术：

一台车辆的电子控制单元(ECU)有上百个。ECU和普通的电脑一样,由微处理器(CPU)、存储器(ROM、RAM)、输入/输出接口(I/O)、模数转换器(A/D)以及整形、驱动等大规模集成电路组成。

通过将安装在车辆上的多个ECU经由网络相互连接，能够交换ECU具有的信息(车辆信息)。在这个由ECU连接而成的系统中，经由网络连接的ECU能够容易地交换车辆信息。但是，也容易存在安全隐患。例如，当错接入网络的ECU试图访问网络中现有的ECU时，现有的ECU的安全性就受到威胁。而且，ECU发展的复杂性也要求考虑这样一种可能性，即可能不是绝对不允许某个ECU访问另一个ECU，而是在某些情况下允许访问，在某些情况下不允许访问。在这种情况下，某个ECU虽然可能是一个有权进行访问的ECU，但它在不允许访问的情况下进行了访问，例如仅允许其读，它却想要写数据，这种情况是不被允许的。

现有技术缺乏一种及时发现未被授权的ECU试图访问网络中的其它ECU、或ECU虽被授权访问但它的访问超出了允许其访问的限制条件，从而提高车辆信息安全性的机制。

技术实现要素：

鉴于现有技术中的上述缺陷或不足，期望及时发现未被授权的ECU试图访问车辆ECU网络中的其它ECU、或ECU虽被授权访问但它的访问超出了允许其访问的限制条件的情形，从而提高车辆信息安全性。

本申请实施例提供了一种车辆信息系统，所述车辆信息系统包括访问电子控制单元、受访电子控制单元、第一认证器、第二认证器、第三认证器、报警器，其中，访问电子控制单元、受访电子控制单元之间具有访问电子控制单元向受访电子控制单元发送访问请求的第一连接，受访电子控制单元、第一认证器之间具有受访电子控制单元将获取的访问电子控制单元的标识发送给第一认证器认证、第一认证器返回访问电子控制单元身份认证结果的第二连接，受访电子控制单元、第二认证器之间具有受访电子控制单元将从访问请求中确定的访问类型发送给第二认证器认证、第二认证器返回访问类型认证结果的第三连接、受访电子控制单元、第三认证器之间具有受访电子控制单元将从访问请求中确定的访问的数据对象发送给第三认证器认证、第三认证器返回访问数据对象认证结果的第四连接、受访电子控制单元和报警器之间具有受访电子控制单元在接收到来自第一认证器的身份认证失败的身份认证结果，或接收到来自第二认证器的访问类型认证失败的访问类型认证结果，或接收到来自第三认证器的访问数据对象认证失败的访问数据对象认证结果的情况下向报警器发出报警消息的第五连接。

在本申请实施例中，不是简单地对访问电子控制单元是不是已授权的电子控制单元进行认证，而是设置三个认证器，其中第一认证器根据访问电子控制单元的标识对访问电子控制单元是不是一个已授权的电子控制单元进行认证，第二认证器对访问电子控制单元的访问类型是否是该电子控制单元可允许的访问类型进行认证，第三认证器对访问电子控制单元的访问数据对象是否是该电子控制单元可允许的访问数据对象进行认证。受访电子控制单元通过第一连接接收到访问请求后，先通过第二连接将获取的访问电子控制单元的标识发送给第一认证器认证，再通过第三连接将从访问请求中确定的访问类型发送给第二认证器认证，再通过第四连接将从访问请求中确定的访问数据对象发送给第三认证器认证。三个认证中只要有一个认证未通过，受访电子控制单元就通过第五连接向报警器发出报警消息。报警器就会报警。这样，就及时发现了未被授权的ECU试图访问车辆ECU网络中的其它ECU、或ECU虽被授权访问但它的访问超出了允许其访问的限制条件的情形，从而提高车辆信息安全性。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出了根据本申请一个实施例的车辆信息系统的示例性硬件结构框图；

图2示出了根据本申请另一个实施例的车辆信息系统的示例性硬件结构框图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关实用新型，而非对该实用新型的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与实用新型相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

请参考图1，其示出了根据本申请一个实施例的车辆信息系统1的示例性硬件结构框图。

如图1所示，所述车辆信息系统1包括访问电子控制单元11、受访电子控制单元12、第一认证器13、第二认证器14、第三认证器20、报警器22。电子控制单元即背景技术中介绍的电子控制单元。访问电子控制单元11即试图进行访问的电子控制单元。访问包括读、写等。受访电子控制单元12是指被访问的电子控制单元。第一认证器13、第二认证器14、第三认证器20可以通过中央处理芯片实现。报警器22可以是扬声器，也可以是显示器等。

访问电子控制单元11、受访电子控制单元12之间具有访问电子控制单元11向受访电子控制单元12发送访问请求的第一连接17。第一连接17可以是有线连接，也可以是无线连接。

当访问电子控制单元11想要受访电子控制单元12时，通过第一连接17向受访电子控制单元12发送访问请求。访问请求包括访问类型和访问的数据对象。访问类型即读或写。访问的数据对象即要访问受访电子控制单元12中的哪部分数据。例如，访问电子控制单元11想要读取电子控制单元12中的联系人，则访问类型是“读”，访问的数据对象是通讯录全部联系人。

根据访问电子控制单元11、受访电子控制单元12之间的通信协议，在访问电子控制单元11发送到受访电子控制单元12的消息(包括访问请求)的特定字段中含有访问电子控制单元11的标识。这些访问电子控制单元11的标识是根据访问电子控制单元11、受访电子控制单元12之间的通信协议在访问电子控制单元11想要发送消息时协议自动抓取放入该特定字段的。且该特定字段不能被篡改。然后，受访电子控制单元12从访问请求的该特定字段就可以获取到访问电子控制单元11的真实标识。

电子控制单元的标识是表示电子控制单元的身份的符号，可能包括数字、字母。一般来说，一个电子控制单元具有唯一标识，且各个电子控制单元的标识互不相同。

受访电子控制单元12、第一认证器13之间具有受访电子控制单元12将获取的访问电子控制单元11的标识发送给第一认证器13认证、第一认证器13返回访问电子控制单元身份认证结果的第二连接18。第二连接18可以是有线连接，也可以是无线连接。

受访电子控制单元12获取访问电子控制单元11的标识后，通过第二连接18发给第一认证器13。第一认证器13存储已授权电子控制单元标识列表。第一认证器13事先存储已授权电子控制单元标识列表。即，将已授权电子控制单元的标识事先统计，放到列表中。授权可以针对电子控制单元网络中的所有电子控制单元进行，即一旦电子控制单元出现在列表中，则其可以访问电子控制单元网络中的所有其它电子控制单元。授权也可以针对电子控制单元网络中的每个电子控制单元进行，即为每个电子控制单元维护一个列表，列表中的电子控制单元是可以访问它的电子控制单元。第一认证器13接收到访问电子控制单元11的标识后，就将其与存储的已授权电子控制单元标识列表进行对比。如果在存储的已授权电子控制单元标识列表中，则身份认证通过，通过第二连接18向受访电子控制单元12返回身份认证通过的身份认证结果。如果不在存储的已授权电子控制单元标识列表中，则身份认证失败，通过第二连接18向受访电子控制单元12返回身份认证失败的身份认证结果。

受访电子控制单元12、第二认证器14之间具有受访电子控制单元12将从访问请求中确定的访问类型发送给第二认证器14认证、第二认证器14返回访问类型认证结果的第三连接19。第三连接19可以是有线连接，也可以是无线连接。

如上所述，访问请求包括访问类型和访问的数据对象。这样，受访电子控制单元12就可以在接收到身份认证通过的身份认证结果后，从访问请求中确定访问类型和访问的数据对象，并将访问类型发送给第二认证器14。第二认证器14事先存储各已授权电子控制单元标识所对应的已授权访问类型列表。也就是说，一个已授权电子控制单元标识对应着一个已授权访问类型列表。针对每个已授权电子控制单元事先分别统计，将其允许的访问类型放在列表中。第二认证器14从受访电子控制单元12接收到访问类型后，就将其与存储的该访问电子控制单元的标识所对应的已授权访问类型列表对比。如果在该列表中，则访问类型认证通过。否则，则访问类型认证失败。

例如，电子控制单元A是一个已授权电子控制单元，即允许访问受访电子控制单元12。第二认证器14存储其对应的已授权访问类型列表中只有读这种访问类型。也就是说，只允许电子控制单元A读受访电子控制单元12，不允许电子控制单元A向受访电子控制单元12写数据。如果第二认证器14接收到的访问类型是读，则访问类型认证通过。如果第二认证器14接收到的访问类型是写，则访问类型认证失败。

如果访问类型认证失败，则第二认证器14通过第三连接19向受访电子控制单元12返回访问类型认证失败的访问类型认证结果。如果访问类型认证通过，则第二认证器14通过第三连接19向受访电子控制单元12返回访问类型认证通过的访问类型认证结果。

受访电子控制单元12、第三认证器20之间具有受访电子控制单元12将从访问请求中确定的访问的数据对象发送给第三认证器20认证、第三认证器20返回访问数据对象认证结果的第四连接21。第四连接21可以是有线连接，也可以是无线连接。

受访电子控制单元12从访问请求中确定访问类型和访问的数据对象后，将访问的数据对象发送给第三认证器20。第三认证器20事先存储各已授权电子控制单元标识所对应的已授权访问数据对象列表。也就是说，一个已授权电子控制单元标识对应着一个已授权访问数据对象列表。针对每个已授权电子控制单元事先分别统计，将其允许的访问数据对象放在列表中。第三认证器20从受访电子控制单元12接收到访问数据对象后，就将其与存储的该访问电子控制单元的标识所对应的已授权访问数据对象列表对比。如果在该列表中，则访问数据对象认证通过。否则，则访问数据对象认证失败。

例如，电子控制单元A是一个已授权电子控制单元，即允许访问受访电子控制单元12。第三认证器20存储其对应的已授权访问数据对象列表中有通讯录和备忘录。也就是说，只允许电子控制单元A访问受访电子控制单元12中的通讯录和备忘录，不允许电子控制单元A问受访电子控制单元12中的其它数据。如果第三认证器20接收到的访问数据对象是通讯录，则访问数据对象认证通过。如果第三认证器20接收到的访问数据对象是通话记录，则访问数据对象认证失败。

如果访问数据对象认证失败，则第三认证器20通过第四连接21向受访电子控制单元12返回访问数据对象认证失败的访问数据对象认证结果。如果访问数据对象认证通过，则第三认证器20通过第四连接21向受访电子控制单元12返回访问数据对象认证通过的访问数据对象认证结果。

受访电子控制单元12接到访问数据对象认证通过的访问数据对象认证结果后，允许访问电子控制单元11访问。

受访电子控制单元12和报警器22之间具有受访电子控制单元22在接收到来自第一认证器13的身份认证失败的身份认证结果，或接收到来自第二认证器14的访问类型认证失败的访问类型认证结果，或接收到来自第三认证器20的访问数据对象认证失败的访问数据对象认证结果的情况下向报警器22发出报警消息的第五连接23。

无论是第一认证器13的身份认证失败，还是第二认证器14的访问类型认证失败，还是第三认证器20的访问数据对象认证失败，都不允许访问电子控制单元11访问，同时通过第五连接23向报警器22发出报警消息。在报警器是扬声器或显示器的情况下，报警消息中要含有是第一认证器13的身份认证失败、还是第二认证器14的访问类型认证失败、还是第三认证器20的访问数据对象认证失败的具体信息，以便报警器以声音或屏幕显示的方式将该具体信息播放或显示，以便相关工作人员更好地排查认证失败原因，找出安全隐患。

在另一个实施例中，如图2所示，上述已授权电子控制单元标识列表不是存储在第一认证器13中，而是存储在与第一认证器13连接的第一数据库15中。事先将上述列表设置好放置在第一数据库15中。当需要将接收的访问电子控制单元11的标识与已授权电子控制单元标识列表比对时，第一认证器13调取第一数据库15中的列表。

同样，如图2所示，上述各已授权电子控制单元标识所对应的已授权访问类型列表也可能不是存储在第二认证器14，而是存储在与第二认证器14连接的第二数据库16中。事先将上述列表设置好放置在第二数据库16中。当需要将从受访电子控制单元接收的访问类型与已授权电子控制单元标识所对应的已授权访问类型列表比对时，第二认证器14调取第二数据库16中的列表。

同样，如图2所示，上述各已授权电子控制单元标识所对应的已授权访问数据对象列表也可能不是存储在第三认证器20，而是存储在与第三认证器20连接的第三数据库24中。事先将上述列表设置好放置在第三数据库24中。当需要将从受访电子控制单元接收的访问数据对象与已授权电子控制单元标识所对应的已授权访问数据对象列表比对时，第三认证器20调取第三数据库24中的列表。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的实用新型范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述实用新型构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。