[发明专利]用于安全消息过滤的方法、设备和相关车辆控制系统，以及含对应指令的计算机可读存储器

说明书

根据一个实施例的方法包括下列操作：配置主机处理器以接收消息过滤规则，所述主机处理器关联于车辆；配置总线控制器以验证消息过滤规则的真实性，其中总线控制器通过接口被编程，所述接口不可从主机处理器访问；使用经验证的消息过滤规则过滤来自主机处理器的消息，其中过滤是通过总线控制器执行的；以及将经过滤的消息在总线上从总线控制器发送至一个或多个电子控制单元(ECU)，所述ECU通信地耦合至总线。

技术领域

本公开涉及对车辆电子控制单元的安全消息过滤，更具体地涉及采用消息过滤规则的安全配给(secure provisioning)对车辆电子控制单元的安全消息过滤。

背景技术

随着车辆控制系统变得越来越复杂、互连、且可通过无线通信访问，这些系统也变得对安全性攻击越来越脆弱。嵌入式控制器(对于引擎、制动等)一般被设计成耐受不利的物理环境，但很少将注意力放在安全性环境上。尽管理念正开始改变，但一般假设在连接于共同总线的每个控制器上运行的软件可被可信信任(即不受恶意软件感染)。

这种安全性可靠的假定已不再合理，因为最近的研究已表明具有互联网连接性和/或诸如蓝牙和WiFi等无线接口的车辆可能使车辆中的平台变得受感染。这种恶意平台可随后对总线上的其它控制器再编程和/或向这些控制器发送消息，所述消息能对车辆及其乘客造成灾难性伤害。解决这个问题的一种方法是对每个单独嵌入式控制器采取特定和唯一的安全性增强，但这可能需要对于所有原始设备制造商(OEM)的部件的大量牵扯，并可能导致工作量倍增，或导致采取了不可兼容方法。

附图简述

随着以下详细描述的展开，并参考其中相同标记描述相同部件的这些附图，要求保护的主题的实施例的特征和优势将变得显而易见，在附图中：

图1示出一个示例性实施例的系统框图；

图2示出一个示例性实施例的操作的流程图；以及

图3示出另一示例性实施例的操作的流程图。

虽然将参照说明性实施例继续进行以下详细描述，但其许多替代物、修改以及变型对本领域技术人员而言将显而易见。

具体实施方式

总地来说，本公开提供在总线的总线控制器的固件中实现基于规则的消息过滤的方法和系统，所述总线与车辆的电子控制单元连接。固件可受保护以免于遭受未经授权的操纵，并且消息过滤规则可被验证其真实性和安全性。另外，提供了方法以产生安全消息过滤规则，该安全消息过滤规则可在实现之前被验证。

图1示出一个示例性实施例的系统框图100。该实施例的系统100一般包括基于车辆的主机平台120。主机平台120可以是车内信息和/或娱乐(IVI)系统。主机平台120可包括与互联网、蓝牙设备、WiFi网络和/或任何其它通信网络的无线连接性。主机平台120可包括主机处理器122、总线控制器132以及消息过滤规则数据库128。主机处理器122可通过无线接口从规则配给系统112接收消息过滤规则114并将那些规则124存储在消息过滤规则数据库128中。主机处理器122也产生未经过滤的消息126以供被送至总线控制器132。主机处理器122可通过外设部件互连(PCI)总线、通用串行总线(USB)或其它合适的接口与总线控制器132通信。

总线控制器132可包括实现在现场可编程门阵列(FPGA)或其它合适的可编程逻辑电路内的固件134。总线控制器固件134可通过联合测试行动组(JTAG)接口142由JTAG编程单元140或其它合适的编程方法编程，这些编程方法同样无法由主机处理器122和与车辆关联的任何其它处理器或控制器访问。限制对总线控制器固件134的编程性访问增加了该固件134的安全性。对总线控制器固件134的编程包括消息过滤逻辑和消息过滤规则验证逻辑。消息过滤规则验证逻辑可包括如下文中更详细描述的可信规则签名密钥。