用于管理智能运输系统通信的方法和相应的电子控制单元与流程

实施例和实现方式涉及电子控制单元(ecu)，通常用于汽车电子设备，其适于在智能运输系统类型的系统中通信。

背景技术：

1、智能运输系统(its)是用于数字式管理道路运输和物流(特别是针对个人汽车)领域的电子和计算技术的术语。

2、智能运输系统被设计用于通过管理在汽车、“c2x”(其代表“车辆到万物”)也称为“v2x”(其代表“交通工具到万物”)、与其它车辆或基础设施(交通灯、环岛等)之间传达的消息来调节汽车交通。c2x消息主要是基本安全消息(bsm)、传播天气警报、停车或事故警报、信号故障警报等。

3、c2x消息被实时接收、分析、并存储在电子控制单元的典型通用的非易失性存储器(通常是“闪存”存储器)中。此外，为了防止存储在存储器中的数据损坏的风险，例如防止“黑客攻击”存储器以访问敏感或机密信息或密钥，提出c2x消息具有非常短的寿命，并且它们的传输被非常频繁地重复。

4、因此，在智能运输系统its中，存在每秒接收一千(1000)个消息的接收处理目标。适于its通信的当前电子控制单元无法实现该接收处理目标。

5、实际上，为了确保its类型通信的可靠性，通常在c2x消息中提供发送者的数字签名。数字签名通常使用“pki”公钥基础设施和“dsa_256”或“ecdsa_256”型签名算法(分别为术语“数字签名算法”和“椭圆曲线dsa”的首字母缩写，表示本领域技术人员公知的技术)。因此，对于每个传入消息，执行ecdsa_256签名的密码验证，以便在将已接收消息存储在存储器中之前对其进行认证。

6、认证过程、特别是ecdsa_256类型的认证过程通常需要大量的计算资源，并且实现起来相对耗时。

7、因此，当电子控制单元接收到过多消息时，在已接收消息处理中会出现“瓶颈”现象，这使接收带宽降低并远低于上述目标。

8、随着为智能运输系统its配备车辆和基础设施、并且越来越多的消息被传递时，问题可能变得更糟，。

9、针对该问题的传统建议解决方案涉及增加电子控制单元的处理能力。也就是说，处理能力的增加也增加了用于汽车的电子控制单元的集成电路的能量消耗、尺寸和价格。

10、因此，需要避免必须使用更高性能(且因此更大、更昂贵且更耗能)的集成电路来满足高带宽要求，同时受益于优越的安全性和可靠性。

技术实现思路

1、根据一个方面，本文公开了一种电子控制单元，该电子控制单元包括：适于接收智能运输系统类型消息的通信电路、适于认证已接收消息的认证电路、以及包括硬件安全非易失性存储器和连续激活时钟计数器的安全元件。安全元件被配置为将来自时钟计数器的时间戳数据项分配给已认证已接收消息，并将已认证已接收消息及其相应的时间戳数据记录在硬件安全非易失性存储器中。特别地，安全元件以及非易失性存储器可以有利地包括适于至少“eal4+”或更高认证(例如，“eal5+”或“eal6+”)的硬件保护电路。在硬件安全非易失性存储器中存储已认证消息使得有可能增加所存储的消息的寿命，且因此减少系统重复消息处理操作的数目。时间戳值能够安全可靠地管理较长的消息寿命。实际上，在最坏情况的场景示例中，有可能评估寿命、即重复认证之前的可信寿命，其在硬件安全非易失性存储器中比在通用非易失性存储器中长7倍。然而，即使在这种最坏的情况下，重复的消息处理操作也随着寿命的增加而减少，即，已接收消息认证的数目除以7。实际上，增益可以基本上大于7。

2、根据一个实施例，连续激活时钟计数器被配置为在待机(或低功耗)操作模式和激活安全元件操作模式两者中生成当前参考时基值。

3、这有利地使得时间戳数据能够非常可靠，因为它受益于安全元件的安全电路装置。特别地，由电子控制单元使用的机制不会由于在产生时基的、可能不安全的外部装置上执行的动作而受到损害。

4、根据一个实施例，电子处理单元包括用于管理已接收消息的电路装置，该电路装置被配置为：给记录在硬件安全非易失性存储器中的消息分配寿命，并直接拒绝与记录在硬件安全非易失性存储器中的先前已接收已认证消息(其寿命没有用完)重复的已接收消息。

5、实际上可以标识重复的已接收消息是否已经被记录在非易失性存储器中，而不使用认证电路处理重复的消息。因此，已接收消息的拒绝过程非常快，并且使得能够在接收到大量消息的情况下不阻塞系统。

6、根据一个实施例，通信电路适于根据wifi802.11.p协议(也称为“g5”)或根据5g协议的无线通信。

7、根据一个实施例，安全元件附加地包括被自动排除的发送者的第一列表，并且电子控制单元被配置为直接拒绝从第一列表上的发送者接收的消息，而不使用认证电路执行该消息的认证。备选地或组合地，安全元件还包括被自动允许的发送者的第二列表，并且电子控制单元被配置为将从第二列表上的发送者接收的消息直接记录在硬件安全非易失性存储器或非安全非易失性存储器中，而不使用认证电路执行该消息的认证。该实施例尤其具有提供非常快速操作(拒绝消息而并不处理，或者记录消息而并不处理)的优点，并且可以在接收到大量消息(包括以高频重复消息)的情况下不阻塞系统。此外，从第一和第二列表中提取或修改数据的风险极低，因为它们受益于安全元件的安全性，从而即使缺乏认证，直接拒绝或直接记录消息仍保持可靠。

8、此外，关于实施例，本领域技术人员可以出于所有实际目的参考于2022年6月13日提交的题为“electronic control unit adapted to intelligent transport systemcommunications and corresponding method”的法国专利申请no.2205653。

9、根据另一方面，提出了一种用于管理智能运输系统类型通信的方法，该方法包括：接收消息；认证已接收消息；将来自属于电子控制单元的安全元件的连续激活时钟计数器的时间戳数据项分配给已接收且已认证的消息；以及将已认证已接收消息及其相应的时间戳数据记录在属于安全元件的硬件安全非易失性存储器中。

10、根据一种实现方式，在电子控制单元的待机操作模式和激活操作模式两者中，由连续激活时钟计数器生成当前参考时基值。

11、根据一种实现方式，该方法包括：给记录在硬件安全非易失性存储器中的消息分配寿命；以及直接拒绝与记录在硬件安全非易失性存储器中的先前已接收已认证的消息(其寿命没有用完)重复的已接收消息。

12、根据一种实现方式，通信是根据wifi 802.11.p协议(或“g5”)或根据5g协议的无线通信。

13、根据一种实现方式，如果已接收消息是来自包含在安全元件中的被自动排除的发送者的第一列表上的发送者，则直接拒绝已接收消息、而不执行对该消息的认证。备选地或组合地，如果已接收消息来自包含在安全元件中的被自动允许的发送者的第二列表上的发送者，则直接将已接收消息记录在硬件安全非易失性存储器或非安全非易失性存储器中、而不执行对该消息的认证。。