采用消息過濾規(guī)則的安全配給對車輛電子控制單元的安全消息過濾的制作方法
【專利摘要】根據(jù)一個實施例的方法包括下列操作：配置主機處理器以接收消息過濾規(guī)則，所述主機處理器關聯(lián)于車輛；配置總線控制器以驗證消息過濾規(guī)則的真實性，其中總線控制器通過接口被編程，所述接口不可從主機處理器訪問；使用經(jīng)驗證的消息過濾規(guī)則過濾來自主機處理器的消息，其中過濾是通過總線控制器執(zhí)行的；以及將經(jīng)過濾的消息在總線上從總線控制器發(fā)送至一個或多個電子控制單元(ECU)，所述ECU通信地耦合至總線。
【專利說明】采用消息過濾規(guī)則的安全配給對車輛電子控制單元的安全消息過濾

【技術領域】
[0001]本公開涉及對車輛電子控制單元的安全消息過濾，更具體地涉及采用消息過濾規(guī)則的安全配給(secure provis1ning)對車輛電子控制單元的安全消息過濾。

【背景技術】
[0002]隨著車輛控制系統(tǒng)變得越來越復雜、互連、且可通過無線通信訪問，這些系統(tǒng)也變得對安全性攻擊越來越脆弱。嵌入式控制器(對于引擎、制動等)一般被設計成耐受不利的物理環(huán)境，但很少將注意力放在安全性環(huán)境上。盡管理念正開始改變，但一般假設在連接于共同總線的每個控制器上運行的軟件可被可信信任(即不受惡意軟件感染)。
[0003]這種安全性可靠的假定已不再合理，因為最近的研究已表明具有互聯(lián)網(wǎng)連接性和/或諸如藍牙和WiFi等無線接口的車輛可能使車輛中的平臺變得受感染。這種惡意平臺可隨后對總線上的其它控制器再編程和/或向這些控制器發(fā)送消息，所述消息能對車輛及其乘客造成災難性傷害。解決這個問題的一種方法是對每個單獨嵌入式控制器采取特定和唯一的安全性增強，但這可能需要對于所有原始設備制造商(OEM)的部件的大量牽扯，并可能導致工作量倍增，或導致采取了不可兼容方法。
[0004]附圖簡述
[0005]隨著以下詳細描述的展開，并參考其中相同標記描述相同部件的這些附圖，要求保護的主題的實施例的特征和優(yōu)勢將變得顯而易見，在附圖中:
[0006]圖1示出一個示例性實施例的系統(tǒng)框圖；
[0007]圖2示出一個示例性實施例的操作的流程圖；以及
[0008]圖3示出另一示例性實施例的操作的流程圖。
[0009]雖然將參照說明性實施例繼續(xù)進行以下詳細描述，但其許多替代物、修改以及變型對本領域技術人員而言將顯而易見。

【具體實施方式】
[0010]總地來說，本公開提供在總線的總線控制器的固件中實現(xiàn)基于規(guī)則的消息過濾的方法和系統(tǒng)，所述總線與車輛的電子控制單元連接。固件可受保護以免于遭受未經(jīng)授權的操縱，并且消息過濾規(guī)則可被驗證其真實性和安全性。另外，提供了方法以產(chǎn)生安全消息過濾規(guī)則，該安全消息過濾規(guī)則可在實現(xiàn)之前被驗證。
[0011]圖1不出一個不例性實施例的系統(tǒng)框圖100。該實施例的系統(tǒng)100 —般包括基于車輛的主機平臺120。主機平臺120可以是車內(nèi)信息和/或娛樂(IVI)系統(tǒng)。主機平臺120可包括與互聯(lián)網(wǎng)、藍牙設備、WiFi網(wǎng)絡和/或任何其它通信網(wǎng)絡的無線連接性。主機平臺120可包括主機處理器122、總線控制器132以及消息過濾規(guī)則數(shù)據(jù)庫128。主機處理器122可通過無線接口從規(guī)則配給系統(tǒng)112接收消息過濾規(guī)則114并將那些規(guī)則124存儲在消息過濾規(guī)則數(shù)據(jù)庫128中。主機處理器122也產(chǎn)生未經(jīng)過濾的消息126以供被送至總線控制器132。主機處理器122可通過外設部件互連(PCI)總線、通用串行總線(USB)或其它合適的接口與總線控制器132通信。
[0012]總線控制器132可包括實現(xiàn)在現(xiàn)場可編程門陣列(FPGA)或其它合適的可編程邏輯電路內(nèi)的固件134?？偩€控制器固件134可通過聯(lián)合測試行動組(JTAG)接口 142由JTAG編程單元140或其它合適的編程方法編程，這些編程方法同樣無法由主機處理器122和與車輛關聯(lián)的任何其它處理器或控制器訪問。限制對總線控制器固件134的編程性訪問增加了該固件134的安全性。對總線控制器固件134的編程包括消息過濾邏輯和消息過濾規(guī)則驗證邏輯。消息過濾規(guī)則驗證邏輯可包括如下文中更詳細描述的可信規(guī)則簽名密鑰。
[0013]總線控制器固件134負責從主機處理器122接收未經(jīng)過濾的消息126，過濾這些消息并將經(jīng)過濾的消息152發(fā)送至總線150?？偩€控制器固件134基于從消息過濾規(guī)則數(shù)據(jù)庫128獲得的規(guī)則130執(zhí)行該過濾。過濾規(guī)則可用來防止未經(jīng)授權的和/或潛在惡意消息在總線150上被送至各車輛電子控制單元(E⑶)154?？偩€150可以是控制器局域網(wǎng)(CAN)總線或其它合適的總線。車輛ECU(154)可以是對引擎、制動、傳動或其它車輛系統(tǒng)或傳感器的嵌入式控制器。
[0014]大多數(shù)E⑶消息是原始設備制造商(OEM)特定和專有的，并因此OEM —般確定如何構造消息過濾規(guī)則以使被送至ECU154的消息將是安全和合適的?？捎蒓EM在消息過濾規(guī)則數(shù)據(jù)庫128中預加載或配給初始的一組規(guī)則，但有益的讓規(guī)則通過主機平臺120的無線連接性可更新，由此OEM可隨時間發(fā)展(evolve)規(guī)則以實現(xiàn)新的特征或終結新發(fā)現(xiàn)的安全性脆弱性。然而，由于因特網(wǎng)和無線網(wǎng)絡與生俱來的安全性脆弱性，以及軟件是在主機處理器122 (其對這些消息過濾規(guī)則114具有完全的訪問權)中運行的的事實，以這種方式獲得的新的或更新的消息過濾規(guī)則114 一般無法被信任。
[0015]為了驗證被提供給主機平臺120的新消息過濾規(guī)則114的真實性和安全性，采用安全規(guī)則配給系統(tǒng)。可信的規(guī)則編寫實體102 (例如OEM)提供有規(guī)則編寫工具，它允許實體102產(chǎn)生與新編寫的規(guī)則組關聯(lián)的數(shù)字簽名。規(guī)則編寫實體102將新的一組規(guī)則和數(shù)字簽名104發(fā)送至規(guī)則證明服務106，該規(guī)則證明服務106可基于數(shù)字簽名驗證規(guī)則編寫實體102的身份。規(guī)則證明服務106然后產(chǎn)生與新規(guī)則組關聯(lián)的數(shù)字清單以指示該規(guī)則組是可信的并將該清單110送回到規(guī)則編寫實體102。規(guī)則編寫實體102將該規(guī)則組和清單108送至配給系統(tǒng)112，在那里該規(guī)則組和清單108通過任何適當?shù)膫鬏敺椒晒┲鳈C平臺120使用。主機平臺120將規(guī)則組和關聯(lián)的清單124存儲在消息過濾規(guī)則數(shù)據(jù)庫128中。
[0016]總線控制器固件134可基于與規(guī)則組關聯(lián)的清單，結合作為固件134安全編程142的一部分提供給固件134的可信規(guī)則簽名密鑰，來驗證從數(shù)據(jù)庫128獲得的消息過濾規(guī)則130的真實性和安全性。如果總線控制器固件134無法驗證消息過濾規(guī)則130的真實性，它可忽略該新規(guī)則并繼續(xù)使用已有規(guī)則，或者它可停止將消息發(fā)送至車輛ECU154并發(fā)信號通知有錯誤狀態(tài)。
[0017]通過提供使用可信的消息過濾規(guī)則在安全固件上執(zhí)行的消息過濾能力，對主機處理器或IVI系統(tǒng)的完整性的任何危害將不導致危及車輛的其余部分(包括安全性關鍵的E⑶功能在內(nèi))的安全性。
[0018]圖2示出一個示例性實施例的操作200的流程圖。在操作202，與車輛關聯(lián)的主機處理器被配置成接收消息過濾規(guī)則。這些規(guī)則可通過無線接口從位于車輛外部的規(guī)則配給系統(tǒng)而接收。在操作204，總線控制器被配置成驗證消息過濾規(guī)則的真實性。在操作206，總線控制器使用經(jīng)驗證的消息過濾規(guī)則過濾來自主機處理器的消息?？偩€控制器被配置成通過不可由主機處理器訪問的編程接口驗證規(guī)則并執(zhí)行過濾。編程接口可以是JTAG接口并且總線控制器可以被實現(xiàn)為FPGA。在操作208，總線控制器在總線上將經(jīng)過濾的消息發(fā)送至一個或多個車輛ECU。如果總線控制器無法驗證消息過濾規(guī)則的真實性，它可忽略該新規(guī)則并繼續(xù)使用已有規(guī)則，或者它可停止發(fā)送消息并信號通知有錯誤狀態(tài)。
[0019]圖3示出另一示例性實施例的操作300的流程圖。在操作302，規(guī)則證明服務從規(guī)則編寫實體接收消息過濾規(guī)則。在操作304，規(guī)則證明服務從規(guī)則編寫實體接收與消息過濾規(guī)則關聯(lián)的數(shù)字簽名。規(guī)則編寫實體可使用由規(guī)則證明服務提供的規(guī)則編寫工具產(chǎn)生數(shù)字簽名。在操作306，規(guī)則證明服務基于數(shù)字簽名將規(guī)則編寫實體的身份驗證為可信的源。在操作308，規(guī)則證明服務產(chǎn)生將與消息過濾規(guī)則關聯(lián)的可信清單。在操作310，規(guī)則證明服務將可信清單提供給規(guī)則編寫實體。規(guī)則編寫實體然后可將消息過濾規(guī)則和關聯(lián)的可信清單發(fā)送給基于車輛的主機平臺。
[0020]盡管汽車行業(yè)和OEM可隨時間地采取步驟以研發(fā)更多安全E⑶，然而本文描述的基于規(guī)則的消息過濾系統(tǒng)可協(xié)作地采用并利用將來實現(xiàn)的任何附加平臺安全措施。同時，可采用本文描述的基于規(guī)則的消息過濾系統(tǒng)來減少對惡意軟件侵擾具有最大暴露程度的IVI平臺所造成的風險。
[0021]本文描述的方法的實施例可實現(xiàn)在包括一個或多個存儲介質的系統(tǒng)中，所述一個或多個存儲介質上單獨或結合地存儲有指令，當該指令被一個或多個處理器執(zhí)行時執(zhí)行這些方法。這里，處理器可包括例如系統(tǒng)CPU(例如核處理器)和/或可編程電路。由此，一種意圖是使根據(jù)本文描述的方法的操作可跨多個物理設備(例如在若干不同物理位置的處理結構)分布。另外，一種意圖是使方法操作可單獨地執(zhí)行或以子組合執(zhí)行，如本領域內(nèi)技術人員將能理解的那樣。因此，不是每個流程圖中的所有操作都需要被執(zhí)行，并且本公開明顯地意圖表明，這些操作的所有子組合能被實現(xiàn)，如本領域內(nèi)技術人員將能理解的那樣。
[0022]存儲介質可包括任何類型的有形介質，例如包括軟盤、光盤、緊湊盤只讀存儲器(⑶-ROM)、可重寫緊湊盤(⑶-RW)、數(shù)字多功能盤(DVD)以及磁光盤的任何類型的盤；諸如只讀存儲器(ROM)、諸如動態(tài)和靜態(tài)RAM之類的隨機存取存儲器(RAM)、可擦可編程只讀存儲器(EPROM)、電可擦可編程只讀存儲器(EEPROM)、閃存之類的半導體器件；磁卡或光卡；或適合于存儲電子指令的任何類型的介質。
[0023]如本文任何實施例中使用的“電路”可單獨或以任意組合地包括例如存儲可由可編程電路執(zhí)行的指令的硬連線電路、可編程電路、狀態(tài)機電路和/或固件。
[0024]本文中已采用的術語和表達被用作描述術語而非作為限制，而且使用這些術語和表達不旨在排除所示和所描述特征的任何等價物(或其部分)，應理解在所要求保護的范圍內(nèi)各種修改是可能的。因此，權利要求書旨在覆蓋所有這些等價物。在本文中已描述了各種特征、方面和實施例。如本領域技術人員將能理解，這些特征、方面和實施例易與彼此組合，且容易進行變型和修改。因此，本公開應當被認為涵蓋這些組合、變型和修改。
【權利要求】
1.一種系統(tǒng)，包括: 與車輛關聯(lián)的主機處理器，所述主機處理器被配置成接收消息過濾規(guī)則； 總線控制器，其被配置成驗證所述消息過濾規(guī)則的真實性并進一步被配置成使用所述經(jīng)驗證的消息過濾規(guī)則過濾來自所述主機處理器的消息，其中所述總線控制器通過接口被編程，所述接口不可從所述主機處理器訪問；以及 總線，其被配置成將所述經(jīng)過濾的消息從所述總線控制器發(fā)送至一個或多個電子控制單元(E⑶)，所述E⑶通信地耦合至所述總線。
2.如權利要求1所述的系統(tǒng)，其特征在于，所述消息過濾規(guī)則進一步包括可信清單并且所述總線控制器編程進一步包括可信規(guī)則簽名密鑰，以使所述真實性驗證基于所述可信清單和所述可信規(guī)則簽名密鑰。
3.如權利要求1所述的系統(tǒng)，其特征在于，如果所述真實性驗證失敗，則所述總線控制器忽略所述消息過濾規(guī)則。
4.如權利要求1所述的系統(tǒng)，其特征在于，如果所述真實性驗證失敗，則所述總線控制器阻斷消息并指示錯誤。
5.如權利要求1所述的系統(tǒng)，其特征在于，所述總線控制器包括現(xiàn)場可編程門陣列(FPGA)并且所述編程接口包括聯(lián)合測試行動小組(JTAG)接口。
6.如權利要求1所述的系統(tǒng)，其特征在于，所述總線包括控制器局域網(wǎng)(CAN)總線。
7.如權利要求1所述的系統(tǒng)，其特征在于，所述主機處理器包括車內(nèi)信息娛樂(IVI)平臺。
8.如權利要求1所述的系統(tǒng)，其特征在于，所述消息過濾規(guī)則由所述主機處理器通過無線連接從位于所述車輛外部的源接收。
9.一種方法，包括: 配置主機處理器以接收消息過濾規(guī)則，所述主機處理器與車輛關聯(lián)； 配置總線控制器以驗證所述消息過濾規(guī)則的真實性，其中所述總線控制器通過接口被編程，所述接口不可從所述主機處理器訪問； 使用所述經(jīng)驗證的消息過濾規(guī)則過濾來自所述主機處理器的消息，其中所述過濾是通過所述總線控制器執(zhí)行的；以及 在總線上將所述經(jīng)過濾的消息從所述總線控制器發(fā)送至一個或多個ECU，所述ECU通信地耦合至所述總線。
10.如權利要求9所述的方法，其特征在于，所述消息過濾規(guī)則進一步包括可信清單并且所述總線控制器編程進一步包括可信規(guī)則簽名密鑰，以使所述真實性驗證基于所述可信清單和所述可信規(guī)則簽名密鑰。
11.如權利要求9所述的方法，其特征在于，如果所述真實性驗證失敗，則所述總線控制器忽略所述消息過濾規(guī)則。
12.如權利要求9所述的方法，其特征在于，如果所述真實性驗證失敗，則所述總線控制器阻斷消息并指示錯誤。
13.如權利要求9所述的方法，其特征在于，所述總線控制器包括現(xiàn)場可編程門陣列(FPGA)并且所述編程接口包括聯(lián)合測試行動小組(JTAG)接口。
14.如權利要求9所述的方法，其特征在于，所述總線包括控制器局域網(wǎng)(CAN)總線。
15.如權利要求9所述的方法，其特征在于，所述主機處理器包括車內(nèi)信息娛樂(IVI)T D O
16.如權利要求9所述的方法，其特征在于，所述消息過濾規(guī)則由所述主機處理器通過無線連接從位于所述車輛外部的源接收。
17.一種方法，包括: 從規(guī)則編寫實體接收消息過濾規(guī)則； 接收與所述消息過濾規(guī)則關聯(lián)的數(shù)字簽名，其中所述數(shù)字簽名將所述規(guī)則編寫實體的身份驗證為可信源； 基于所述數(shù)字簽名產(chǎn)生與所述消息過濾規(guī)則關聯(lián)的可信清單；以及 將所述可信清單提供給所述規(guī)則編寫實體，以使所述規(guī)則編寫實體將所述可信清單關聯(lián)于所述消息過濾規(guī)則以發(fā)送給與車輛關聯(lián)的主機處理器。
18.如權利要求17所述的方法，其特征在于，所述產(chǎn)生所述可信清單的步驟進一步基于被配給至與所述車輛關聯(lián)的消息過濾總線控制器的可信規(guī)則簽名密鑰。
19.一種其上存儲有指令的非臨時計算機可讀存儲介質，所述指令當被處理器執(zhí)行時，導致下列操作，包括: 在主機處理器上接收消息過濾規(guī)則，所述主機處理器與車輛關聯(lián)； 在總線控制器上驗證所述消息過濾規(guī)則的真實性，其中所述總線控制器通過接口被編程，所述接口不可從所述主機處理器訪問； 使用所述經(jīng)驗證的消息過濾規(guī)則過濾來自所述主機處理器的消息，其中所述過濾是通過所述總線控制器執(zhí)行的；以及 在總線上將所述經(jīng)過濾的消息從所述總線控制器發(fā)送至一個或多個ECU，所述ECU通信地耦合至所述總線。
20.如權利要求19所述的非臨時計算機可讀存儲介質，其特征在于，所述操作進一步包括基于可信證明和可信規(guī)則簽名密鑰驗證真實性，其中所述消息過濾規(guī)則進一步包括所述可信證明并且所述總線控制器編程進一步包括所述可信規(guī)則簽名密鑰。
21.如權利要求19所述的非臨時計算機可讀存儲介質，其特征在于，所述操作進一步包括如果所述真實性驗證失敗則忽略所述消息過濾規(guī)則。
22.如權利要求19所述的非臨時計算機可讀存儲介質，其特征在于，所述操作進一步包括如果所述真實性驗證失敗則阻擋消息并指示錯誤。
【文檔編號】H04L29/06GK104247361SQ201180075231
【公開日】2014年12月24日 申請日期:2011年12月1日 優(yōu)先權日:2011年12月1日
【發(fā)明者】V·B·洛茨, S·拉蒂, A·P·蘭加拉杰, V·S·科薩凡 申請人:英特爾公司