一种车载网关控制器、信息处理方法及汽车与流程

1.本发明涉及汽车技术领域，特别是指一种车载网关控制器、信息处理方法及汽车。


背景技术：

2.传统车载can总线网关通信速率低，安全可靠性差，功能局限性高。随着智能驾驶和智能驾舱技术的发展，通信速率越发提升，为了传输视频、图片、高速数据流等的信息，目前的车载以太网络无法满足通信的需求。传统车载can总线网关通信速率低，安全可靠性差，功能局限性高。目前车载网关安全性差对控制器启动、数据存储没有安全存储措施。对外界控制器ecu的通信信息没有检测，容易被恶意攻击，对于异常信息没有识别机制。对于外接诊断设备没有接入认证机制。


技术实现要素：

3.本发明要解决的技术问题是提供一种车载网关控制器、信息处理方法及汽车，该网关控制器具备安全机制。
4.为解决上述技术问题，本发明的技术方案如下：
5.一种车载网关控制器，包括：
6.具有安全模块的中央处理器；
7.与所述中央处理器连接的以太网协议通信模块；
8.所述以太网协议通信模块，将信息传输给所述中央处理器，并由所述安全模块对所述信息进行安全处理。
9.可选的，所述以太网协议通信模块包括以下至少一项：
10.以太网交换机芯片，与所述中央处理器连接，接收来自第一外部设备发送的第一以太网协议格式的报文，将所述第一以太网协议格式的报文转发给所述中央处理器或者与所述以太网交换机芯片连接的第二外部设备；
11.以太网处理层芯片，与所述中央处理器连接，与以太网诊断接口连接，将通过所述以太诊断接口发送的诊断需求报文发送给中央处理器，并接收所述中央处理器反馈的诊断结果报文。
12.可选的，所述安全模块包括：
13.硬件安全模块hsm，用于所述中央处理器的安全启动、安全存储、数据监测以及外部车载诊断系统obd接口接入访问控制中的至少一种。
14.可选的，所述硬件安全模块hsm包括：
15.初始化模块，用于将用户预先烧录在闪存中的系统文件配置加载到配置寄存器中；
16.配置模块，用于根据用户预先烧录在闪存中的系统文件配置，判断是否使能了硬件安全模块hsm，如果使能了硬件安全模块hsm，则启动所述硬件安全模块hsm的主核以及安全内核；由所述安全内核执行所述hsm的固件程序，进行hsm安全子系统初始化；初始化完成
后，hsm的固件程序开始执行安全启动检查。
17.可选的，所述硬件安全模块hsm还包括：
18.安全存储模块，与安全存储芯片连接，用于对以太网协议通信模块的数据存储到所述安全存储芯片中、并对所述数据进行加密和/或对路由调度表的安全访问秘钥进行加密。
19.可选的，所述硬件安全模块hsm还包括：
20.报文的id识别模块，用于识别源网段报文id，禁止转发路由表不包含的报文；
21.报文的发送周期识别模块，用于识别与信息安全强相关报文的发送周期，对于周期型报文，当周期小于一定值时，识别为周期异常；和/或，识别关键安全外部设备路由至其他网段的报文为与信息安全强相关的报文。
22.可选的，所述硬件安全模块hsm还包括：
23.访问控制模块，用于在obd端口和其他网络之间通过安全访问机制对来自所述其它网络的外部访问者进行认证。
24.可选的，所述安全模块包括：软件刷写模块，用于对本地刷写以及移动终端空中下载软件升级技术fota空中刷写前，先对刷写设备进行安全认证，同时对刷写数据包进行安全性及完整性校验，校验通过后对下游连接的外部设备进行刷写。
25.可选的，外部设备为电子控制单元ecu。
26.可选的，车载网关控制器还包括：电源控制模块，用于所述中央处理器以及以太网协议通信模块提供电源。
27.本发明的实施例还提供一种车载网关控制器的信息处理方法，应用于车载网关控制器，所述车载网关控制器包括：具有安全模块的中央处理器；与所述中央处理器连接的以太网协议通信模块；所述方法包括：
28.所述以太网协议通信模块，将信息传输给所述中央处理器，并由所述安全模块对所述信息进行安全处理。
29.本发明的实施例还提供一种汽车，包括如上所述的车载网关控制器。
30.本发明的上述方案至少包括以下有益效果：
31.本发明的上述方案，车载网关控制器，包括：具有安全模块的中央处理器；与所述中央处理器连接的以太网协议通信模块；所述以太网协议通信模块，将信息传输给所述中央处理器，并由所述安全模块对所述信息进行安全处理。从而实现了车载网关的安全性。
附图说明
32.图1是本发明的车载网关控制器的系统架构示意图；
33.图2是本发明的车载网关控制器的信息处理方法流程示意图。
具体实施方式
34.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
35.如图1所示，本发明的实施例提出一种车载网关控制器，包括：
36.具有安全模块的中央处理器；与所述中央处理器连接的以太网协议通信模块；所述以太网协议通信模块，将信息传输给所述中央处理器，并由所述安全模块对所述信息进行安全处理。这里的中央处理器可以为微控制单元mcu，本发明的方案可以实现车载网关的安全性。
37.本发明的一可选的实施例中，所述以太网协议通信模块包括以下至少一项：
38.以太网交换机(switch)芯片，与所述中央处理器连接，接收来自第一外部设备发送的第一以太网协议格式的报文，将所述第一以太网协议格式的报文转发给所述中央处理器或者与所述以太网交换机芯片连接的第二外部设备；
39.以太网处理层(phy)芯片，与所述中央处理器连接，与以太网诊断接口连接，将通过所述以太诊断接口发送的诊断需求报文发送给中央处理器，并接收所述中央处理器反馈的诊断结果报文。这里的第一外部设备和第二外部设备可以为电子控制单元ecu。
40.本发明的一可选的实施例中，所述安全模块包括：硬件安全模块hsm，用于所述中央处理器的安全启动、安全存储、数据监测以及外部车载诊断系统obd接口接入访问控制中的至少一种。
41.本发明的一可选的实施例中，所述硬件安全模块hsm可以包括：
42.初始化模块，用于将用户预先烧录在闪存中的系统文件配置加载到配置寄存器中；
43.配置模块，用于根据用户预先烧录在闪存中的系统文件配置，判断是否使能了硬件安全模块hsm，如果使能了硬件安全模块hsm，则启动所述硬件安全模块hsm的主核以及安全内核；由所述安全内核执行所述hsm的固件程序，进行hsm安全子系统初始化；初始化完成后，hsm的固件程序开始执行安全启动检查。
44.具体的，该网关的安全启动功能：基于hsm(hardware security module，硬件安全模块)的安全启动，中央处理器可以mcu(微控制单元)芯片，mcu芯片内部的hsm硬件安全模块，采用软硬件结合的安全机制，来负责安全功能的执行和管理。hsm包括了专有的安全内核、随机数发生器、aes-128加速单元、安全flash、安全ram、定时器及中断控制器等模块。
45.具体的，mcu上电启动，rgm(reset generation module，重置生成模块)首先负责芯片的硬件初始化，将一些用户预先烧录在utest flash(otp)中的dcfdesign rule for camera file系统文件配置加载到hsm相应的配置寄存器中。
46.sscm配置管理器，根据用户预先烧录的dcf配置，判断是否使能了hsm，如果使能了hsm，则在开启主核的同时，还要开启hsm中的安全内核。hsm中的安全内核开始执行hsm固件程序，进行hsm安全子系统初始化。hsm初始化完成后，hsm固件开始执行安全启动检查，使用boot_mac_key采用aes-128等加密算法，计算bootloader程序所在flash数据块的cmac小脑神经网络，并放在hsm内部的安全ram中，计算出的cmac与boot_mac中存放的值进行对比，两者一致，则bootloader的安全启动校验通过。
47.本发明的一可选的实施例中，所述硬件安全模块hsm还可以包括：安全存储模块，与安全存储芯片连接，用于对以太网协议通信模块的数据存储到所述安全存储芯片中、并对所述数据进行加密和/或对路由调度表的安全访问秘钥进行加密。
48.具体的，对以太网网关本地存储数据、配置数据，增加安全机制，进行数据保护，特
别对于路由调度表，安全访问秘钥进行安全加密。
49.本发明的一可选的实施例中，所述硬件安全模块hsm还可以包括：
50.报文的id识别模块，用于识别源网段报文id，禁止转发路由表不包含的报文；
51.报文的发送周期识别模块，用于识别与信息安全强相关报文的发送周期，对于周期型报文，当周期小于一定值时，识别为周期异常；和/或，识别关键安全外部设备路由至其他网段的报文为与信息安全强相关的报文。这里的外部设备可以为电子控制单元ecu；
52.具体的，该网关可以实现数据监测机制及防火墙机制，id识别：以太网网关严格按路由调度表进行转发，网关识别源网段报文id，禁止转发路由表不包含的报文。周期识别：识别与信息安全强相关报文的发送周期，对于周期型报文，当周期小于一定值时，识别为周期异常；与信息安全强相关的报文选择原则，选择关键安全ecu路由至其他网段的报文为与信息安全强相关的报文。
53.本发明的一可选的实施例中，所述硬件安全模块hsm还包括：
54.访问控制模块，用于在obd端口和其他网络之间通过安全访问机制对来自所述其它网络的外部访问者进行认证。
55.具体的，该网关可以实现外部obd on board diagnostics车载诊断系统接口接入访问控制，为了阻止通过obd口进行物理攻击(注入攻击、dos攻击等)且不影响诊断功能，保证接入总线网络设备的合法性，需要在obd端口和其他网络之间增加安全访问机制，只有经过认证的访问者才可以访问整车网络。
56.本发明的一可选的实施例中，所述安全模块包括：软件刷写模块，用于对本地刷写以及移动终端空中下载软件升级技术fota空中刷写前，先对刷写设备进行安全认证，同时对刷写数据包进行安全性及完整性校验，校验通过后对下游连接的外部设备进行刷写。这里的外部设备可以为电子控制单元ecu；
57.具体的，该网关可以实现安全本地刷写以及fota移动终端空中下载软件升级技术刷写保护功能；在本地刷写以及fota空中刷写前先对刷写设备进行安全认证，同时对刷写数据包进行安全性及完整性校验，确认无误后对下游控制器ecu1及ecu2等进行boot刷写操作。
58.本发明的一可选的实施例中，车载网关控制器还包括：电源控制模块，用于所述中央处理器以及以太网协议通信模块提供电源。
59.本发明的上述实施例，整体以太网网关控制器由中央处理器、安全存储芯片、以太网phy接口芯片、以太网switch(交换机)芯片组成，中央处理器内部又包括hsm安全内核以及fota主控制程序。通过网关控制器的安全模块，实现网关安全启动机制、安全存储机制、数据监测机制及防火墙机制、外部obd接口接入访问控制功能、安全本地刷写以及fota刷写保护功能。且进一步的，除了使用中央处理器内部的hsm进行安全加密之外，还可以采用外置的se安全芯片进行加解密的处理。从而更进一步增加了网关的安全性。
60.本发明的实施例还提供一种车载网关控制器的信息处理方法，应用于车载网关控制器，所述车载网关控制器包括：具有安全模块的中央处理器；与所述中央处理器连接的以太网协议通信模块；所述方法包括：所述以太网协议通信模块，将信息传输给所述中央处理器，并由所述安全模块对所述信息进行安全处理。
61.可选的，通过以太网交换机芯片，接收来自第一外部设备发送的第一以太网协议
格式的报文，将所述第一以太网协议格式的报文转发给所述中央处理器或者与所述以太网交换机芯片连接的第二外部设备；
62.通过以太网处理层芯片，将通过以太诊断接口发送的诊断需求报文发送给中央处理器，并接收所述中央处理器反馈的诊断结果报文。
63.可选的，由所述安全模块对所述信息进行安全处理，包括：
64.通过硬件安全模块hsm实现所述中央处理器的安全启动、安全存储、数据监测以及外部车载诊断系统obd接口接入访问控制中的至少一种。
65.可选的，通过初始化模块将用户预先烧录在闪存中的系统文件配置加载到配置寄存器中；
66.通过配置模块根据用户预先烧录在闪存中的系统文件配置，判断是否使能了硬件安全模块hsm，如果使能了硬件安全模块hsm，则启动所述硬件安全模块hsm的主核以及安全内核；由所述安全内核执行所述hsm的固件程序，进行hsm安全子系统初始化；初始化完成后，hsm的固件程序开始执行安全启动检查。
67.可选的，通过安全存储模块对以太网协议通信模块的数据存储到所述安全存储芯片中、并对所述数据进行加密和/或对路由调度表的安全访问秘钥进行加密。
68.可选的，通过报文的id识别模块识别源网段报文id，禁止转发路由表不包含的报文；
69.通过报文的发送周期识别模块识别与信息安全强相关报文的发送周期，对于周期型报文，当周期小于一定值时，识别为周期异常；和/或，识别关键安全外部设备路由至其他网段的报文为与信息安全强相关的报文。
70.可选的，通过访问控制模块在obd端口和其他网络之间通过安全访问机制对来自所述其它网络的外部访问者进行认证。
71.可选的，通过软件刷写模块对本地刷写以及移动终端空中下载软件升级技术fota空中刷写前，先对刷写设备进行安全认证，同时对刷写数据包进行安全性及完整性校验，校验通过后对下游连接的外部设备进行刷写。
72.可选的，通过电源控制模块为所述中央处理器以及以太网协议通信模块提供电源。
73.需要说明的是，该方法是与上述车载网关控制器对应的方法，上述网关控制器的实施例中所有实现方式均适用于该方法的实施例中，也能达到相同的技术效果。
74.本发明的实施例还提供一种汽车，包括如上所述的车载网关控制器。可以实现网关安全启动机制、安全存储机制、数据监测机制及防火墙机制、外部obd接口接入访问控制功能、安全本地刷写以及fota刷写保护功能。且进一步的，除了使用中央处理器内部的hsm进行安全加密之外，还可以采用外置的se安全芯片进行加解密的处理。从而更进一步增加了网关的安全性。
75.以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。