阻止對敏感車輛診斷數(shù)據(jù)的訪問的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及提供安全的車輛診斷服務(wù)。
【背景技術(shù)】
[0002]國際標(biāo)準(zhǔn)組織(ISO)是行業(yè)標(biāo)準(zhǔn)的公認(rèn)權(quán)威。IS0-14229規(guī)定允許診斷測試者或測試設(shè)備控制車輛電子控制單元(ECU)中的診斷功能的診斷服務(wù)的數(shù)據(jù)鏈路要求；例如，與電子燃料噴射、自動變速箱組件、防抱死制動系統(tǒng)等相關(guān)的EGU。當(dāng)診斷測試設(shè)備與一個或多個ECU接口連接時，測試設(shè)備控制數(shù)據(jù)鏈路上的通信一一例如，通信是停止、暫停還是恢復(fù)。

【發(fā)明內(nèi)容】

[0003]根據(jù)本發(fā)明的一個實(shí)施例，提供一種車輛與在診斷模式下與車輛通信的外部設(shè)備之間的安全通信的方法。該方法包括以下步驟:在電子控制單元(ECU)處從外部設(shè)備接收第一診斷請求；在ECU處基于第一請求確定安全漏洞的增加的風(fēng)險；以及當(dāng)確定存在增加的風(fēng)險時，提供錯誤信息響應(yīng)。
[0004]根據(jù)本發(fā)明的另一個實(shí)施例，提供一種車輛電子控制單元(ECU)與在診斷模式下與ECU通信的外部設(shè)備之間的安全通信的方法。該方法包括以下步驟:預(yù)配置對針對敏感數(shù)據(jù)的診斷請求的靜態(tài)的錯誤信息響應(yīng)；接收第一診斷請求，所述第一診斷請求是惡意攻擊的至少一部分；確定第一診斷請求是針對敏感數(shù)據(jù)；以及提供錯誤信息響應(yīng)。
[0005]本發(fā)明包括以下方案:
1.一種車輛與在診斷模式下與所述車輛通信的外部設(shè)備之間的安全通信的方法，包括以下步驟:
在電子控制單元(ECU)處從所述外部設(shè)備接收第一診斷請求；
在所述ECU處基于所述第一請求確定安全漏洞的增加的風(fēng)險；以及當(dāng)確定存在所述增加的風(fēng)險時，提供錯誤信息響應(yīng)。
[0006]2.如方案I所述的方法，其中所述第一診斷請求是與所述ECU的存儲器地址相關(guān)的存儲器讀取請求。
[0007]3.如方案2所述的方法，其中確定步驟包括確定所述存儲器地址是否在限制訪問地址的范圍內(nèi)。
[0008]4.如方案3所述的方法，其進(jìn)一步包括確定所述存儲器地址在限制訪問地址的所述范圍內(nèi)，其中提供步驟包括用與一個或多個非限制訪問地址相關(guān)聯(lián)的非敏感數(shù)據(jù)響應(yīng)所述第一請求。
[0009]5.如方案4所述的方法，其進(jìn)一步包括在接收所述第一診斷請求之前預(yù)配置所述錯誤信息響應(yīng)的步驟，其中所述預(yù)配置將至少一個非限制訪問存儲器地址的非敏感數(shù)據(jù)與至少一個限制訪問存儲器地址相關(guān)聯(lián)。
[0010]6.如方案4所述的方法，其進(jìn)一步包括在所述E⑶處接收第二診斷請求，并且當(dāng)所述第一請求與所述第二請求相同時，提供相同的錯誤信息響應(yīng)。
[0011]7.如方案4所述的方法，其進(jìn)一步包括在所述ECU處接收第二診斷請求，并且當(dāng)所述第一請求與所述第二請求不相同時，提供不同的錯誤信息響應(yīng)。
[0012]8.如方案I所述的方法，其中所述E⑶與外部設(shè)備之間的通信是根據(jù)IS0-14229。
[0013]9.如方案8所述的方法，其中所述第一診斷請求是Read_Memory_by_Address請求。
[0014]10.如方案I所述的方法，其中所述第一診斷請求是惡意攻擊的一部分。
[0015]11.如方案I所述的方法，其中所述錯誤信息響應(yīng)不包括與超出范圍的消息相關(guān)聯(lián)的錯誤代碼數(shù)據(jù)。
[0016]12.如方案I所述的方法，其中所述錯誤信息響應(yīng)是非動態(tài)地產(chǎn)生。
[0017]13.一種車輛電子控制單元(E⑶)與在診斷模式下與所述E⑶通信的外部設(shè)備之間的安全通信的方法，包括以下步驟:
預(yù)配置對于針對敏感數(shù)據(jù)的診斷請求的靜態(tài)的錯誤信息響應(yīng)；
接收第一診斷請求，所述第一診斷請求是惡意攻擊的至少一部分；
確定所述第一診斷請求是針對所述敏感數(shù)據(jù)；以及提供所述錯誤信息響應(yīng)。
[0018]14.如方案13所述的方法，其進(jìn)一步包括接收請求與所述第一診斷請求相同的敏感數(shù)據(jù)的第二診斷請求并且提供相同的錯誤信息響應(yīng)。
[0019]15.如方案13所述的方法，其中所述E⑶與外部設(shè)備之間的通信是根據(jù)IS0-14229。
[0020]16.如方案13所述的方法，其中所述錯誤信息響應(yīng)不包括與超出范圍的消息相關(guān)聯(lián)的錯誤代碼數(shù)據(jù)。
【附圖說明】
[0021]下文將結(jié)合附圖來描述本發(fā)明的一個或多個實(shí)施例，其中相同名稱指定相同元件，并且其中:
圖1是描繪車輛通信系統(tǒng)實(shí)施例的示意圖；
圖2是圖1中所示的車輛通信系統(tǒng)的一部分的實(shí)施例；
圖3是電子控制單元(ECU)存儲器的實(shí)施例；
圖4是描繪惡意攻擊者可能如何破壞圖1的車輛通信系統(tǒng)的示意圖；以及圖5是示出在車輛總線上與ECU的安全通信的方法的流程圖。
【具體實(shí)施方式】
[0022]以下描述的方法涉及相對于車輛診斷系統(tǒng)的車輛安全。更具體來說，方法涉及保護(hù)或保障由車輛內(nèi)的電子控制單元(ECU)攜帶或存儲的敏感信息免受惡意攻擊者損壞。ECU通常通過車輛網(wǎng)絡(luò)(例如，使用控制器區(qū)域網(wǎng)絡(luò)(CAN)協(xié)議的總線)彼此互連并且彼此通信。此外，ECU可以遵守和/或遵從車輛診斷協(xié)議。近來，惡意攻擊者已經(jīng)確定如何操縱診斷協(xié)議來訪問ECU所攜帶的敏感信息。如以下將解釋，使用此敏感信息，惡意攻擊者可以在無授權(quán)的情況下訪問車輛、無授權(quán)的情況下起動車輛、無授權(quán)的情況下控制車輛移動或者無授權(quán)的情況下訪問合法用戶私有信息(僅列舉幾個實(shí)例)。
[0023]圖1示出其中具有通信系統(tǒng)12的車輛10。通信系統(tǒng)12可以通過一個或多個車輛總線12啟用有線通信、使用SRWC芯片集16 (參見圖2)啟用短程無線通信(SRWC)或者使用蜂窩芯片集18 (參見圖2)啟用長程蜂窩通信(僅列舉幾個可能性)?？偩€14和SRWC設(shè)備可以被共同地實(shí)施以啟用車輛局域網(wǎng)(VLAN)。
[0024]一個或多個總線14可以包括通信總線、信息娛樂總線、娛樂總線等。圖1中所示的總線直接和間接地連接到多個設(shè)備。例如，若干E⑶20聯(lián)接到總線14，E⑶又各自聯(lián)接到車輛模塊或設(shè)備22?？偩€14和ECU 20—起通過一個或多個車輛網(wǎng)絡(luò)通信(例如，適合的網(wǎng)絡(luò)連接包括控制器區(qū)域網(wǎng)絡(luò)(CAN)、面向媒體的系統(tǒng)轉(zhuǎn)移(MOST)、局部互連網(wǎng)絡(luò)(LIN)、局域網(wǎng)(LAN)以及其他適當(dāng)?shù)倪B接，諸如以太網(wǎng)或符合已知ISO、SAE和IEEE標(biāo)準(zhǔn)和規(guī)范(列舉幾個)的其他網(wǎng)絡(luò))。
[0025]每個E⑶可以包括一個或多個處理設(shè)備或處理器30和存儲器或存儲器設(shè)備32(參見例如圖2)。每個處理器30可以是能夠處理電子指令的任何類型的設(shè)備，包括微處理器、微控制器、主處理器、控制器、車輛通信處理器以及特定應(yīng)用集成電路(ASIC)。處理器可以是僅用于相應(yīng)ECU (和/或其相應(yīng)車輛模塊22)的專用處理器或者其可以與其他車輛系統(tǒng)共享。處理器30執(zhí)行各種類型的數(shù)字存儲的指令，諸如存儲在存儲器32中的軟件或固件程序，所述指令使得車輛模塊22能夠提供各種服務(wù)。例如，處理器30可以執(zhí)行程序或過程數(shù)據(jù)以執(zhí)行本文論述的方法的至少一部分。
[0026]存儲器32可以包括任何適合的計算機(jī)可用或可讀介質(zhì)，所述介質(zhì)包括一個或多個存儲設(shè)備或物品。示例性計算機(jī)可用存儲設(shè)備包括常規(guī)的計算機(jī)系統(tǒng)RAM (隨機(jī)訪問存儲器)、R0M (只讀存儲器)、EPR0M (可擦、可編程R0M)、EEPR0M (電子可擦、可編程ROM)以及磁性或光學(xué)盤或帶。
[0027]根據(jù)一個實(shí)施例，存儲器32可以被分類或劃分成可識別段一一每個段具有單元或地址34或者與單元或地址34相關(guān)聯(lián)(參見圖3)。圖3示出具有多個地址34的存儲器32的至少一部分。僅為了說明的目的，圖3示出行(按照字母順序指示，例如A-AA)和列(按照數(shù)字順序指示，例如1-19)。行和列的這些量值僅是實(shí)例；存在其他量值。此外，還存在尋址存儲器32的其他手段。如下文將更詳細(xì)解釋，存儲器32可以攜帶或存儲敏感和非敏感數(shù)據(jù)；例如，在圖3中，陰影地址(例如，H1、I1、J1、……、SI)可以攜帶敏感數(shù)據(jù)，而非陰影地址(例如，所有列2、3、4和5)可以攜帶較少或非敏感數(shù)據(jù)。
[0028]還應(yīng)了解，地址34可以配置在硬件或軟件中或者使用硬件或軟件來配置。例如，在地址被配置在軟件中時，方法可以執(zhí)行為可由處理器30和/或車輛模塊22執(zhí)行一個或多個計算機(jī)程序，并且各種方法相關(guān)數(shù)據(jù)可以存儲在任何適合的存儲器中。計算機(jī)程序可以活動和非活動的多種形式存在。例如，計算機(jī)程序可以作為以下內(nèi)容存在:包括源代碼、目標(biāo)代碼、可執(zhí)行代碼或其他格式的程序指令的軟件程序；或者硬件描述語言(HDL)文件。以上各項中的任一個可以實(shí)施在計算機(jī)可用或可讀介質(zhì)上，所述介質(zhì)包括一個或多個存儲設(shè)備或物件。因此，應(yīng)理解，方法可以至少部分地由能夠執(zhí)行上述功能的任何電子設(shè)備執(zhí)行。
[0029]車輛模塊22中的一個可以是遠(yuǎn)程信息處理單元(如圖2中所示)，所述單元具有先前提及的SRWC芯片集16和蜂窩芯片集18以及其自己的處理器40、存儲器42和多目的(或多頻帶)天線44以及其他物件。例如，使用SRWC芯片集16，遠(yuǎn)程信息處理單元可以根據(jù)任何適合的已知協(xié)議執(zhí)行無線聯(lián)網(wǎng)(通過VLAN)。SRffC協(xié)議的非限制性實(shí)例包括任何適合的W1-Fi標(biāo)準(zhǔn)(例如，IEEE 802.11)、W1-Fi直聯(lián)或其他適合的對等標(biāo)準(zhǔn)、藍(lán)牙、WiMAX,ZigBee?、無線紅外傳輸或者其各種組合。
[0030]當(dāng)然，遠(yuǎn)程信息處理單元所進(jìn)行的無線聯(lián)網(wǎng)也可以根據(jù)任何適合的蜂窩標(biāo)準(zhǔn)來執(zhí)行。例如，遠(yuǎn)程信息處理單元可以通過GSM、CDMA或LTE標(biāo)準(zhǔn)(僅列舉幾個)來通信。蜂窩通信應(yīng)廣泛地解釋為包括語音呼叫、數(shù)據(jù)(或數(shù)據(jù)包)呼叫或者其任何組合。
[0031]圖2中所示的E⑶20聯(lián)接在總線14與遠(yuǎn)程信息處理單元(模塊22中的一個)之間，并且可以根據(jù)任何適合的標(biāo)準(zhǔn)來配置一一例如具有通用配置；或者其可以是專用、特別配置的E⑶。因此，圖2中所示的E⑶20示出圖1中所示的E⑶中的任一個或所有。應(yīng)了解，ECU 20可以攜帶與總線14上的通信相關(guān)的敏感數(shù)據(jù)或者與相應(yīng)模塊22 (例如，遠(yuǎn)程信息處理單元)或二者相關(guān)的敏感數(shù)據(jù)。例如，ECU 20可以攜帶用于安全總線通信或者用于ECU 20與相應(yīng)模塊22之間的通信的一個或多個加密密鑰。此外，技術(shù)人員將了解，ECU的漏洞使得攻擊者具有適合的機(jī)會來獲取存儲在模塊22內(nèi)的敏感數(shù)據(jù)。例如，圖2的ECU 20的漏洞可以使得惡意攻擊者有機(jī)會使用遠(yuǎn)程信息處理單元來遠(yuǎn)程地起動車輛或解鎖車門等。
[0032]圖4 (以及圖1)示出聯(lián)接到總線14的診斷入口 50。入口 50可以是用于連接或聯(lián)接外部設(shè)備60 (諸如診斷工具或數(shù)據(jù)記錄器或者其他適