采用消息过滤规则的安全配给对车辆电子控制单元的安全消息过滤的制作方法
【专利摘要】根据一个实施例的方法包括下列操作:配置主机处理器以接收消息过滤规则,所述主机处理器关联于车辆;配置总线控制器以验证消息过滤规则的真实性,其中总线控制器通过接口被编程,所述接口不可从主机处理器访问;使用经验证的消息过滤规则过滤来自主机处理器的消息,其中过滤是通过总线控制器执行的;以及将经过滤的消息在总线上从总线控制器发送至一个或多个电子控制单元(ECU),所述ECU通信地耦合至总线。
【专利说明】采用消息过滤规则的安全配给对车辆电子控制单元的安全消息过滤
【技术领域】
[0001]本公开涉及对车辆电子控制单元的安全消息过滤,更具体地涉及采用消息过滤规则的安全配给(secure provis1ning)对车辆电子控制单元的安全消息过滤。
【背景技术】
[0002]随着车辆控制系统变得越来越复杂、互连、且可通过无线通信访问,这些系统也变得对安全性攻击越来越脆弱。嵌入式控制器(对于引擎、制动等)一般被设计成耐受不利的物理环境,但很少将注意力放在安全性环境上。尽管理念正开始改变,但一般假设在连接于共同总线的每个控制器上运行的软件可被可信信任(即不受恶意软件感染)。
[0003]这种安全性可靠的假定已不再合理,因为最近的研究已表明具有互联网连接性和/或诸如蓝牙和WiFi等无线接口的车辆可能使车辆中的平台变得受感染。这种恶意平台可随后对总线上的其它控制器再编程和/或向这些控制器发送消息,所述消息能对车辆及其乘客造成灾难性伤害。解决这个问题的一种方法是对每个单独嵌入式控制器采取特定和唯一的安全性增强,但这可能需要对于所有原始设备制造商(OEM)的部件的大量牵扯,并可能导致工作量倍增,或导致采取了不可兼容方法。
[0004]附图简述
[0005]随着以下详细描述的展开,并参考其中相同标记描述相同部件的这些附图,要求保护的主题的实施例的特征和优势将变得显而易见,在附图中:
[0006]图1示出一个示例性实施例的系统框图;
[0007]图2示出一个示例性实施例的操作的流程图;以及
[0008]图3示出另一示例性实施例的操作的流程图。
[0009]虽然将参照说明性实施例继续进行以下详细描述,但其许多替代物、修改以及变型对本领域技术人员而言将显而易见。
【具体实施方式】
[0010]总地来说,本公开提供在总线的总线控制器的固件中实现基于规则的消息过滤的方法和系统,所述总线与车辆的电子控制单元连接。固件可受保护以免于遭受未经授权的操纵,并且消息过滤规则可被验证其真实性和安全性。另外,提供了方法以产生安全消息过滤规则,该安全消息过滤规则可在实现之前被验证。
[0011]图1不出一个不例性实施例的系统框图100。该实施例的系统100 —般包括基于车辆的主机平台120。主机平台120可以是车内信息和/或娱乐(IVI)系统。主机平台120可包括与互联网、蓝牙设备、WiFi网络和/或任何其它通信网络的无线连接性。主机平台120可包括主机处理器122、总线控制器132以及消息过滤规则数据库128。主机处理器122可通过无线接口从规则配给系统112接收消息过滤规则114并将那些规则124存储在消息过滤规则数据库128中。主机处理器122也产生未经过滤的消息126以供被送至总线控制器132。主机处理器122可通过外设部件互连(PCI)总线、通用串行总线(USB)或其它合适的接口与总线控制器132通信。
[0012]总线控制器132可包括实现在现场可编程门阵列(FPGA)或其它合适的可编程逻辑电路内的固件134。总线控制器固件134可通过联合测试行动组(JTAG)接口 142由JTAG编程单元140或其它合适的编程方法编程,这些编程方法同样无法由主机处理器122和与车辆关联的任何其它处理器或控制器访问。限制对总线控制器固件134的编程性访问增加了该固件134的安全性。对总线控制器固件134的编程包括消息过滤逻辑和消息过滤规则验证逻辑。消息过滤规则验证逻辑可包括如下文中更详细描述的可信规则签名密钥。
[0013]总线控制器固件134负责从主机处理器122接收未经过滤的消息126,过滤这些消息并将经过滤的消息152发送至总线150。总线控制器固件134基于从消息过滤规则数据库128获得的规则130执行该过滤。过滤规则可用来防止未经授权的和/或潜在恶意消息在总线150上被送至各车辆电子控制单元(E⑶)154。总线150可以是控制器局域网(CAN)总线或其它合适的总线。车辆ECU(154)可以是对引擎、制动、传动或其它车辆系统或传感器的嵌入式控制器。
[0014]大多数E⑶消息是原始设备制造商(OEM)特定和专有的,并因此OEM —般确定如何构造消息过滤规则以使被送至ECU154的消息将是安全和合适的。可由OEM在消息过滤规则数据库128中预加载或配给初始的一组规则,但有益的让规则通过主机平台120的无线连接性可更新,由此OEM可随时间发展(evolve)规则以实现新的特征或终结新发现的安全性脆弱性。然而,由于因特网和无线网络与生俱来的安全性脆弱性,以及软件是在主机处理器122 (其对这些消息过滤规则114具有完全的访问权)中运行的的事实,以这种方式获得的新的或更新的消息过滤规则114 一般无法被信任。
[0015]为了验证被提供给主机平台120的新消息过滤规则114的真实性和安全性,采用安全规则配给系统。可信的规则编写实体102 (例如OEM)提供有规则编写工具,它允许实体102产生与新编写的规则组关联的数字签名。规则编写实体102将新的一组规则和数字签名104发送至规则证明服务106,该规则证明服务106可基于数字签名验证规则编写实体102的身份。规则证明服务106然后产生与新规则组关联的数字清单以指示该规则组是可信的并将该清单110送回到规则编写实体102。规则编写实体102将该规则组和清单108送至配给系统112,在那里该规则组和清单108通过任何适当的传输方法可供主机平台120使用。主机平台120将规则组和关联的清单124存储在消息过滤规则数据库128中。
[0016]总线控制器固件134可基于与规则组关联的清单,结合作为固件134安全编程142的一部分提供给固件134的可信规则签名密钥,来验证从数据库128获得的消息过滤规则130的真实性和安全性。如果总线控制器固件134无法验证消息过滤规则130的真实性,它可忽略该新规则并继续使用已有规则,或者它可停止将消息发送至车辆ECU154并发信号通知有错误状态。
[0017]通过提供使用可信的消息过滤规则在安全固件上执行的消息过滤能力,对主机处理器或IVI系统的完整性的任何危害将不导致危及车辆的其余部分(包括安全性关键的E⑶功能在内)的安全性。
[0018]图2示出一个示例性实施例的操作200的流程图。在操作202,与车辆关联的主机处理器被配置成接收消息过滤规则。这些规则可通过无线接口从位于车辆外部的规则配给系统而接收。在操作204,总线控制器被配置成验证消息过滤规则的真实性。在操作206,总线控制器使用经验证的消息过滤规则过滤来自主机处理器的消息。总线控制器被配置成通过不可由主机处理器访问的编程接口验证规则并执行过滤。编程接口可以是JTAG接口并且总线控制器可以被实现为FPGA。在操作208,总线控制器在总线上将经过滤的消息发送至一个或多个车辆ECU。如果总线控制器无法验证消息过滤规则的真实性,它可忽略该新规则并继续使用已有规则,或者它可停止发送消息并信号通知有错误状态。
[0019]图3示出另一示例性实施例的操作300的流程图。在操作302,规则证明服务从规则编写实体接收消息过滤规则。在操作304,规则证明服务从规则编写实体接收与消息过滤规则关联的数字签名。规则编写实体可使用由规则证明服务提供的规则编写工具产生数字签名。在操作306,规则证明服务基于数字签名将规则编写实体的身份验证为可信的源。在操作308,规则证明服务产生将与消息过滤规则关联的可信清单。在操作310,规则证明服务将可信清单提供给规则编写实体。规则编写实体然后可将消息过滤规则和关联的可信清单发送给基于车辆的主机平台。
[0020]尽管汽车行业和OEM可随时间地采取步骤以研发更多安全E⑶,然而本文描述的基于规则的消息过滤系统可协作地采用并利用将来实现的任何附加平台安全措施。同时,可采用本文描述的基于规则的消息过滤系统来减少对恶意软件侵扰具有最大暴露程度的IVI平台所造成的风险。
[0021]本文描述的方法的实施例可实现在包括一个或多个存储介质的系统中,所述一个或多个存储介质上单独或结合地存储有指令,当该指令被一个或多个处理器执行时执行这些方法。这里,处理器可包括例如系统CPU(例如核处理器)和/或可编程电路。由此,一种意图是使根据本文描述的方法的操作可跨多个物理设备(例如在若干不同物理位置的处理结构)分布。另外,一种意图是使方法操作可单独地执行或以子组合执行,如本领域内技术人员将能理解的那样。因此,不是每个流程图中的所有操作都需要被执行,并且本公开明显地意图表明,这些操作的所有子组合能被实现,如本领域内技术人员将能理解的那样。
[0022]存储介质可包括任何类型的有形介质,例如包括软盘、光盘、紧凑盘只读存储器(⑶-ROM)、可重写紧凑盘(⑶-RW)、数字多功能盘(DVD)以及磁光盘的任何类型的盘;诸如只读存储器(ROM)、诸如动态和静态RAM之类的随机存取存储器(RAM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、闪存之类的半导体器件;磁卡或光卡;或适合于存储电子指令的任何类型的介质。
[0023]如本文任何实施例中使用的“电路”可单独或以任意组合地包括例如存储可由可编程电路执行的指令的硬连线电路、可编程电路、状态机电路和/或固件。
[0024]本文中已采用的术语和表达被用作描述术语而非作为限制,而且使用这些术语和表达不旨在排除所示和所描述特征的任何等价物(或其部分),应理解在所要求保护的范围内各种修改是可能的。因此,权利要求书旨在覆盖所有这些等价物。在本文中已描述了各种特征、方面和实施例。如本领域技术人员将能理解,这些特征、方面和实施例易与彼此组合,且容易进行变型和修改。因此,本公开应当被认为涵盖这些组合、变型和修改。
【权利要求】
1.一种系统,包括: 与车辆关联的主机处理器,所述主机处理器被配置成接收消息过滤规则; 总线控制器,其被配置成验证所述消息过滤规则的真实性并进一步被配置成使用所述经验证的消息过滤规则过滤来自所述主机处理器的消息,其中所述总线控制器通过接口被编程,所述接口不可从所述主机处理器访问;以及 总线,其被配置成将所述经过滤的消息从所述总线控制器发送至一个或多个电子控制单元(E⑶),所述E⑶通信地耦合至所述总线。
2.如权利要求1所述的系统,其特征在于,所述消息过滤规则进一步包括可信清单并且所述总线控制器编程进一步包括可信规则签名密钥,以使所述真实性验证基于所述可信清单和所述可信规则签名密钥。
3.如权利要求1所述的系统,其特征在于,如果所述真实性验证失败,则所述总线控制器忽略所述消息过滤规则。
4.如权利要求1所述的系统,其特征在于,如果所述真实性验证失败,则所述总线控制器阻断消息并指示错误。
5.如权利要求1所述的系统,其特征在于,所述总线控制器包括现场可编程门阵列(FPGA)并且所述编程接口包括联合测试行动小组(JTAG)接口。
6.如权利要求1所述的系统,其特征在于,所述总线包括控制器局域网(CAN)总线。
7.如权利要求1所述的系统,其特征在于,所述主机处理器包括车内信息娱乐(IVI)平台。
8.如权利要求1所述的系统,其特征在于,所述消息过滤规则由所述主机处理器通过无线连接从位于所述车辆外部的源接收。
9.一种方法,包括: 配置主机处理器以接收消息过滤规则,所述主机处理器与车辆关联; 配置总线控制器以验证所述消息过滤规则的真实性,其中所述总线控制器通过接口被编程,所述接口不可从所述主机处理器访问; 使用所述经验证的消息过滤规则过滤来自所述主机处理器的消息,其中所述过滤是通过所述总线控制器执行的;以及 在总线上将所述经过滤的消息从所述总线控制器发送至一个或多个ECU,所述ECU通信地耦合至所述总线。
10.如权利要求9所述的方法,其特征在于,所述消息过滤规则进一步包括可信清单并且所述总线控制器编程进一步包括可信规则签名密钥,以使所述真实性验证基于所述可信清单和所述可信规则签名密钥。
11.如权利要求9所述的方法,其特征在于,如果所述真实性验证失败,则所述总线控制器忽略所述消息过滤规则。
12.如权利要求9所述的方法,其特征在于,如果所述真实性验证失败,则所述总线控制器阻断消息并指示错误。
13.如权利要求9所述的方法,其特征在于,所述总线控制器包括现场可编程门阵列(FPGA)并且所述编程接口包括联合测试行动小组(JTAG)接口。
14.如权利要求9所述的方法,其特征在于,所述总线包括控制器局域网(CAN)总线。
15.如权利要求9所述的方法,其特征在于,所述主机处理器包括车内信息娱乐(IVI)T D O
16.如权利要求9所述的方法,其特征在于,所述消息过滤规则由所述主机处理器通过无线连接从位于所述车辆外部的源接收。
17.一种方法,包括: 从规则编写实体接收消息过滤规则; 接收与所述消息过滤规则关联的数字签名,其中所述数字签名将所述规则编写实体的身份验证为可信源; 基于所述数字签名产生与所述消息过滤规则关联的可信清单;以及 将所述可信清单提供给所述规则编写实体,以使所述规则编写实体将所述可信清单关联于所述消息过滤规则以发送给与车辆关联的主机处理器。
18.如权利要求17所述的方法,其特征在于,所述产生所述可信清单的步骤进一步基于被配给至与所述车辆关联的消息过滤总线控制器的可信规则签名密钥。
19.一种其上存储有指令的非临时计算机可读存储介质,所述指令当被处理器执行时,导致下列操作,包括: 在主机处理器上接收消息过滤规则,所述主机处理器与车辆关联; 在总线控制器上验证所述消息过滤规则的真实性,其中所述总线控制器通过接口被编程,所述接口不可从所述主机处理器访问; 使用所述经验证的消息过滤规则过滤来自所述主机处理器的消息,其中所述过滤是通过所述总线控制器执行的;以及 在总线上将所述经过滤的消息从所述总线控制器发送至一个或多个ECU,所述ECU通信地耦合至所述总线。
20.如权利要求19所述的非临时计算机可读存储介质,其特征在于,所述操作进一步包括基于可信证明和可信规则签名密钥验证真实性,其中所述消息过滤规则进一步包括所述可信证明并且所述总线控制器编程进一步包括所述可信规则签名密钥。
21.如权利要求19所述的非临时计算机可读存储介质,其特征在于,所述操作进一步包括如果所述真实性验证失败则忽略所述消息过滤规则。
22.如权利要求19所述的非临时计算机可读存储介质,其特征在于,所述操作进一步包括如果所述真实性验证失败则阻挡消息并指示错误。
【文档编号】H04L29/06GK104247361SQ201180075231
【公开日】2014年12月24日 申请日期:2011年12月1日 优先权日:2011年12月1日
【发明者】V·B·洛茨, S·拉蒂, A·P·兰加拉杰, V·S·科萨凡 申请人:英特尔公司