具有交换装置的机动车通信网络的制作方法

本发明涉及一种方法，该方法用于在机动车的通信网络中针对未认证的设备的通信数据为机动车的设备提供保护。本发明还包括一种交换装置，通过该交换装置提供通信网络，以及一种具有根据本发明的交换装置的机动车。

背景技术：

在机动车中可以基于以太网标准提供通信网络。以太网结构可以一方面由交换机或交换装置、另一方由网络参与方、即机动车的设备构成。交换装置可以通过提供vlan(虚拟局域网络或虚拟网络)将通信数据流相对彼此分离。由此可以在机动车的其它设备上阻止未授权的设备访问。文献de102013202064a1例如公开了一种具有交换装置的机动车，该交换装置提供vlan。据此，机动车设备连接在交换装置的端口上。端口结合本发明要被理解为用于通信电缆的物理接线设备。端口也可以分别仅连接一个通信电缆。

为了使设备能够向vlan中输入通信数据，即通过交换机的端口传输到vlan中，设备必须对vlan而言是被允许的。为此可以例如规定借助于基于网络标准ieee802.1x的方式进行认证。如果一个设备由于其设备识别信号对于交换装置的vlan而言被登记或存储为未授权或不是有效的而未认证，则交换装置切断在相关交换端口的相应通信。仅设备的重新认证请求的接收在此是例外。

但也意味着，通过机动车通信网络不能够对未授权设备进行其它通信。出于数据安全性角度这是期望的做法。但其缺点是，例如即使在工厂中也不能够通过通信网络识别该未授权的设备。由此不清楚机动车中的该设备为何没有正常工作。

文献de102012208205a1例如公开了一种用以太网作为通信网络的机动车。网络的各部分通过交换装置相互连接。通过评估vlan日志可以将设备通信数据的各单独的数据包归类至特定的数据类别。

文献de102006009583a1公开了通过在机动车中的(车载的)诊断模块提供功能性的诊断。额外地，在车辆外部的测试器或诊断设备可以连接在机动车上，以便提供其它诊断模块。

技术实现要素：

本发明基于的任务是，在机动车中能够对机动车设备进行广泛诊断。

该任务通过独立权利要求的主题实现。本发明有利的改进方案由从属权利要求特征得出。

根据本发明提供了一种用于机动车的交换装置。该交换装置具有用于连接机动车的设备的端口，以及具有控制设备。该控制设备被设置用于执行下面所述的根据本发明的方法的实施方式。控制设备可以例如由交换装置的处理器装备提供。交换装置可以例如被设计为交换机(网络转接设备或分配器)或路由器。特别是该交换装置被设计用于根据以太网标准以已知方式在端口间交换数据。

本发明还包括机动车，该机动车具有根据本发明的交换装置。机动车中在交换装置的端口上分别连接着机动车的设备。这些设备可以例如通过网线、例如以太网网线与交换装置连接。通过交换装置提供用于在各设备之间交换通信数据的通信网络。在此在通信网络内在第一vlan中在设备之间交换所述通信数据。

特别优选的一种实施形式是，所述设备中的一个或几个设备或每个设备分别是用于调节机动车的行驶运行和/或行驶动力的控制设备。也就是说，控制设备尤其是与行驶安全性相关的设备。对于这种与行驶安全性相关的设备而言，认证检验是非常重要且有利的，这是因为由此可以更改善乘员的安全。行驶运行在此要理解为与机动车本身运动有关的技术过程。

通过根据本发明的方法，以如下方式对机动车的通信网络的交换装置加以说明：交换装置在端口中的一个端口处——该端口在此被称为第一端口——接收机动车的各设备中的一个设备的设备识别信号。基于该设备识别信号执行对设备的认证检验。换句话说检验，针对该设备识别信号例如是否存储在交换装置中，使得具有该设备识别信号的设备对于第一vlan而言是被允许的，也就是可以使用第一vlan。该设备识别信号可以尤其受密码保护。于是可以例如基于已知的“质询-响应认证”(英语:challenge-responseauthentication)执行认证。

如果认证检验的检验结果为正面的，即该设备被允许或设备识别信号有效，则在第一端口接收设备的传输给机动车的至少一个另外的设备的通信数据。该传输在此可以以计算机网络技术方面的已知方式进行，例如通过ip地址(ip——internetprotocol(互联网协议))。所接收的通信数据在通信网络的第一vlan中传递给所述至少一个另外的设备。通信数据尤其是影响机动车的行驶运行和/或行驶动力的数据。

但如果检验结果为否定的，则通信数据在第一端口被交换装置拒绝或忽视或删除。换句话说，在否定的检验结果时，如果设备识别信号无效或设备未被认证，则设备不能够或不允许在第一vlan中传递其通信数据。由此，其余设备受到保护免于该未认证或未授权的设备的影响、即针对其通信数据被保护。尤其是来自第一vlan的其它设备也不通过第一端口向该设备输出通信数据。

该方法此外规定，在交换装置的第二端口接收由诊断设备产生的关于该设备的诊断问询。换句话说，诊断设备发出如下通知：连接至第一端口上的设备想要求诊断数据。在根据本发明的方法中，在此无论检验结果如何(认证的设备或未认证的设备)，交换装置都通过所述第一端口向设备传递诊断问询。该诊断问询在此在通信网络的第二vlan中传递。

通过本发明得到的优点是，即使对于如下设备也保留了诊断能力，该设备就使用数据被切断通信，也就是说因为该设备没有成功被认证，该设备的通信数据在第一端口被拒绝。

本发明还包含改进方案，由这些改进方案的特征得到额外优点。

在一改进方案中，无论检验结果如何(设备被认证或未被认证)，作为对诊断问询的回答或响应设备产生的诊断数据都在第二vlan中向诊断设备传递。换句话说，设备可以独立于认证检验的检验结果将诊断数据向第一端口且通过第二vlan发送，尤其是发送至诊断设备，也就是通过第二端口。但在此仍继续阻断向第一vlan中发送通信数据。由此得到的优点是，设备即使借助于诊断数据也不能对该通信网络的其它设备施加影响。

根据一改进方案，只要认证检验持续，就通过交换装置向第一vlan中传递设备的通信数据。也就是说，设备可以首先通过第一端口与其他设备通信，即发送通信数据。在此期间可以通过交换装置实施认证检验。只要还没有检验结果，设备就可以通过第一端口向第一vlan中发送通信数据。如果检验结果是该设备未能被认证、即未被授权，则从该时刻起在第一端口中拒绝或阻截该设备的通信数据。由此得到的优点是，交换装置可以以节省资源的方式设计，而不会由此造成在第一vlan中的通信延迟。这尤其在机动车开动或自举或起动时特别重要。

因此该实施形式优选也在机动车起动时且尤其是只在机动车起动时实施。

根据一改进方案，只有当对诊断设备的认证检验的检验结果是正面的，才传递诊断数据。也就是说，也对诊断设备执行认证检验。由此得到优点是，即使通过交换装置的第二端口、即诊断端口也不会由于未认证的设备而向机动车的设备传递有害数据。

根据一改进方案，动态地建立所述第二vlan。也就是说，只有在有需要时才提供所述第二vlan，即例如当诊断设备向第二端口发出诊断问询时。尤其是在结束诊断后，即例如在通过交换装置接收了诊断结束信号时，再次结束所述第二vlan。通过该改进方案得出如下优点，在通信网络中不会存在未使用的通信信道，使得能够通过该通信信道向机动车的设备发送有害数据、例如未认证的控制命令。

根据一改进方案，在机动车起动时实施设备的认证检验。也就是说，如果所述设备和/或交换装置在停车阶段过后被接通或运行的话，在机动车开动或自举时实施认证检验。这例如可以在接通机动车的点火系统之后进行。在机动车发动期间，拒绝通信数据是没有危险的。

但根据一改进方案，在行驶运行期间还设置在第一端口处封锁第一vlan，以便考虑到设备在机动车运行中出现故障的情况。在该改进方案中，通过交换装置接收封锁命令，该封锁命令可以来自于交换装置外部，也就是说可以由装置外部的设备产生。于是根据封锁命令并且独立于检验结果，通过交换装置在第一端口拒绝设备的通信数据。由此得到的优点是，如果在机动车的运行中识别到来自于第一设备的侵扰或不期望的影响，则机动车的诊断设备能够产生封锁命令。由此可以例如出现所谓的“胡言傻瓜(babblingidiot)”的问题。如果设备过于频繁和/或不受控地向第一vlan中发送通信数据，则可以通过封锁命令从第一vlan中排除该第一设备，其方式是在第一端口拒绝该第一设备的通信数据。

根据本发明的机动车优选是汽车，尤其是轿车。

附图说明

下面描述本发明的实施例。为此示出：

图1示出根据本发明的具有通信网络的机动车的实施形式的示意图，

图2示出在识别出未被授权的设备后的图1的机动车，

图3示出在诊断未被授权的设备期间的图1的机动车的示意图。

具体实施方式

下面所述实施例是本发明的优选实施形式。但在实施例中，实施形式的各所述各部分分别展示了本发明的各单独的、视作彼此独立的特征，这些特征也分别彼此独立地改进本发明并且因而也单独地或在与所示组合不同的其它组合中可被看作是本发明的组成部分。此外，所述实施形式也能够由本发明的所述特征中的其它特征加以补充。

附图中功能相同部件分别具有相同附图标记。

图1示出机动车1，其例如可以是汽车，尤其是轿车。机动车1可以具有通信网络2，该通信网络能够由交换装置3形成，交换装置上可连接着机动车1的设备4、5。每个设备4、5都能够通过网线或通信电缆6分别连接在网线接头或接线设备或端口7、8上。例如每个端口7、8可以按照标准rj45设计为用于rj45插头的插槽或者设计为具有电触点的另一电接口。端口尤其既指接线设备的机械结构、也指电触点。

在交换装置3中，在另一端口9上可以暂时或持久连接着诊断设备10。在第一变型方案11中，诊断设备10可以是车辆外部的设备，其例如可以在工厂中连接在端口9上。在第二变型方案12中，诊断设备10可以集成/内置到机动车1中。诊断设备10同样可以通过网线6与端口9连接。

在设备5处示出，设备4、5的每个都能够被设计为控制设备，该控制设备能够具有处理器装置13，该处理器装置通过网络接头14与网线6联接，所述网络接头例如可以具有以太网控制器和/或电的网络接头。

在机动车1运行期间，设备4、5可以通过通信网络2交换通信数据。设备4、5通过通信网络2进行的通信可以例如根据以太网标准和/或基于ip进行。

例如，设备5可以在通信网络2中向设备中的一个4发送通信数据15。通信数据15在虚拟或逻辑的网络中由交换装置3管理。通信数据15的交换由此在“虚拟局域网”或虚拟网络16(vlan1)中进行，如现有技术所公开的那样。

但是在机动车1中仅被授权的设备能够向虚拟网络16中发送其通信数据。交换装置3可以为检验每个设备的认证而具有控制设备17，例如可以通过处理器装备、例如微控制器(μc)或嵌入式系统来提供该控制设备。控制设备17可以，类似于在设备5中所示的那样，通过网络接头18和另一端口19与端口7、8、9联接，设备4、5和诊断设备10连接在端口7、8、9上。此外可以由控制设备17通过配置接头20设置对端口7、8、9的端口控制。由此可以通过控制设备17控制或规定：是否通过确定的端口7、8、9接收或接受或输出通信数据，还是拒绝或阻截或忽视通信数据。

例如可以在机动车1中提出，在授权阶段，例如在机动车1起动时，每个连接至端口7、8的设备4、5向相应的端口7、8发送相应的设备识别信号21。该设备识别信号21可以尤其以密码方式保护。于是可以例如基于已知的“质询-响应方法”实施认证。

图1中示例性地针对设备5示出，设备5将其设备识别信号21发送至端口8。设备识别信号21可以例如包含当机动车1的使用者购买设备5时可以存储在设备5中的数字代号或代码或设备5的制造方。控制设备17通过端口8可以接收设备5的设备识别信号21。控制设备17可以将设备识别信号21例如与允许的设备的列表相比较，这些允许的设备的各自的设备识别信号可以存储在交换装置3中。

如果检验结果为正面的，即设备5根据设备识别信号21是没有问题的或被允许的，则可以得到图1中示出的虚拟网络16，设备5集成在该网络中。如果设备5不被允许，即对设备识别信号21的检验结果为否定的，则设备5、即设备识别信号21不是作为被允许的存储在交换装置3中，则可以由控制设备17通过在配置入口20上的配置命令22判定或控制，使得在端口8拒绝或阻截设备5的通信数据15。由此产生图2中示出的虚拟网络16，设备5被从该网络中排除。

下面假定检验结果为否定的，并且确定发生了图2的情况。

在机动车1的诊断或检验期间可以规定，借助于诊断设备10产生诊断问询23、即具有诊断命令的数据包，其例如通过通信网络2向设备5传递。诊断问询23可以例如通过端口9和端口19传递给控制设备17。通过控制设备17可以识别出，诊断问询23并非是关于行驶运行或行驶动力调节的通信数据，而是关于产生诊断数据的要求或命令。这例如可以确定为，通过端口9接收数据。控制设备17可以因此设置，将端口8用于发送诊断问询23，通过该端口8能够联系未授权的设备5。这可以这样实现：设置或配置同样可以按照vlan标准设计的第二虚拟网络24(vlan2)。从而得到图3中示出的情况。

在此可以实现的是，向设备5传递诊断问询23，而不由此影响被允许的或授权的设备4的虚拟网络16。响应于诊断问询23，设备5可以产生诊断数据25，该诊断数据可以在端口8处被接受并且在端口9处通过第二虚拟网络24输出并且由此传递至诊断设备10。由于虚拟网络16、24的逻辑分离，在这两个虚拟网络16、24之间不能传递数据。由此，第一虚拟网络16的设备4仍然针对设备5的数据受到保护。

因而在机动车1方面的首要思路是，控制设备、如设备4、5必须在交换机3处进行认证。为此可以使用通用的方法。但是交换机3上的端口8却即使在认证失败时也不必完全切断，而是仅使活跃的vlan、即在此示例中的虚拟网络16去激活。网络16的通信和干扰可以因此不再发生。为进行诊断，可以动态地建立专用的vlan，即在示例中的网络24，即使在未认证情况下交换机3也能够专门允许该专用的vlan。

因此得到的首要优点是，在机动车1中切断用于使用数据、即通信数据的通信，同时保持诊断能力。

可以基于具有交换装置或交换机系统的vlan低耗费地提供用于实现所述思想的基本机构。

整体上，所述示例示出了如何能够通过本发明保持诊断能力，同时切断在汽车以太网中的通信。