Nothing Special   »   [go: up one dir, main page]

DE102021124026A1 - Verwendung von signalbewertung zum identifizieren von sicherheitskritischen can-nachrichten und -knoten zur effizienten implementierung von sicherheitsmerkmalen verteilter netzwerke - Google Patents

Verwendung von signalbewertung zum identifizieren von sicherheitskritischen can-nachrichten und -knoten zur effizienten implementierung von sicherheitsmerkmalen verteilter netzwerke Download PDF

Info

Publication number
DE102021124026A1
DE102021124026A1 DE102021124026.3A DE102021124026A DE102021124026A1 DE 102021124026 A1 DE102021124026 A1 DE 102021124026A1 DE 102021124026 A DE102021124026 A DE 102021124026A DE 102021124026 A1 DE102021124026 A1 DE 102021124026A1
Authority
DE
Germany
Prior art keywords
message
classification
messages
critical
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021124026.3A
Other languages
English (en)
Inventor
Xin Ye
Lisa Therese Boran
Venkata Kishore Kajuluri
Kevin Smith
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ford Global Technologies LLC
Original Assignee
Ford Global Technologies LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ford Global Technologies LLC filed Critical Ford Global Technologies LLC
Publication of DE102021124026A1 publication Critical patent/DE102021124026A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40143Bus networks involving priority mechanisms
    • H04L12/40163Bus networks involving priority mechanisms by assigning priority to messages according to a message field
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • H04L2012/6464Priority

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)

Abstract

Diese Offenbarung stellt eine Verwendung von Signalbewertung zum Identifizieren von sicherheitskritischen CAN-Nachrichten und -Knoten zur effizienten Implementierung von Sicherheitsmerkmalen verteilter Netzwerke bereit. Hierin beschriebene Systeme und Verfahren stellen ein Zuweisen von Klassifikationen zu Signalen und entsprechenden Nachrichten zur Priorisierung und Übertragung über einen Fahrzeug-CAN-Bus bereit. Die zugewiesenen Klassifikationen werden dazu verwendet, Nachrichten, Signale und Knoten des Fahrzeug-CAN-Busses zu priorisieren. Die Klassifikationen werden dazu verwendet, kritische Nachrichten und Nachrichten mit hoher Priorität zu priorisieren, die Vorgänge des Fahrzeugsystems steuern.

Description

  • GEBIET DER TECHNIK
  • Die Offenbarung betrifft im Allgemeinen Controller-Area-Networks von Fahrzeugen.
  • ALLGEMEINER STAND DER TECHNIK
  • Fahrzeugcomputersysteme bewältigen während des Betriebs zahlreiche Berechnungen und Verarbeitungslasten. Computergestützte Aufgaben, die von Fahrzeugsystemen durchgeführt werden, wie etwa Infotainment-, Überwachungs- und Diagnoseprozesse, nehmen mit zunehmender Komplexität und zunehmenden Fähigkeiten derartiger Systeme zu. Einige Kommunikation zwischen Fahrzeugsystemen steuern Sicherheits-, Funktions- und Infotainmentmerkmale der Fahrzeugsysteme und können zur Sicherheit vor böswilligen Angriffen verschlüsselt sein. Eine Controller-Area-Network-Bus-Architektur (CAN-Bus-Architektur) des Fahrzeugsystems beinhaltet Knoten, die Nachrichten periodisch ausgeben und empfangen.
  • KURZDARSTELLUNG
  • In einigen Ausführungsformen beinhaltet ein Fahrzeugsystem einen Controller-Area-Network-Bus (CAN-Bus) des Fahrzeugsystems und eine Vielzahl von elektronischen Steuereinheiten, die kommunikativ mit dem CAN-Bus gekoppelt ist. Jede der Vielzahl von elektronischen Steuereinheiten überträgt eine oder mehrere Nachrichten einer Vielzahl von Nachrichten über den CAN-Bus und jede der Vielzahl von Nachrichten beinhaltet ein oder mehrere Signale einer Vielzahl von Signalen, wobei jeder der elektronischen Steuereinheiten auf Grundlage einer Nachrichtenklassifikation der einen oder der mehreren durch die jeweilige elektronische Einheit übertragenen Nachrichten eine Kritikalitätsbewertung zugewiesen wird, wobei die Nachrichtenklassifikation jeder der Vielzahl von Nachrichten auf Grundlage einer Signalklassifikation des einen oder der mehreren Signale der jeweiligen Nachricht zugewiesen wird. Jede elektronische Steuereinheit beinhaltet einen Speicher, auf dem Anweisungen gespeichert sind, die bei Ausführung durch einen oder mehrere Prozessoren den einen oder die mehreren Prozessoren dazu veranlassen, verschiedene Vorgänge durchzuführen. Die Vorgänge beinhalten das Empfangen einer Nachricht der Vielzahl von Nachrichten von einer zweiten elektronischen Steuereinheit der Vielzahl von elektronischen Steuereinheiten. Die Vorgänge beinhalten auch das Anwenden einer Priorität an die Nachricht auf Grundlage der Nachrichtenklassifikation und der Kritikalitätsbewertung der zweiten elektronischen Steuereinheit. Andere Ausführungsformen dieses Aspekts beinhalten entsprechende Computersysteme, Einrichtungen und Computerprogramme, die auf einer oder mehreren Computerspeichervorrichtungen aufgezeichnet sind und die jeweils dazu konfiguriert sind, die Handlungen der Verfahren durchzuführen.
  • Ein allgemeiner Aspekt beinhaltet ein computerimplementiertes Verfahren. Das computerimplementierte Verfahren beinhaltet das Bestimmen einer Kritikalitätsbewertung für eine erste elektronische Steuereinheit, die kommunikativ mit einem Controller-Area-Network-Bus (CAN-Bus) gekoppelt ist, auf Grundlage einer Nachrichtenklassifikation einer oder mehrerer von der ersten elektronischen Steuereinheit übertragenen Nachrichten, wobei die zugewiesene Nachrichtenklassifikation auf einer Signalklassifikation eines oder mehrerer Signale der einen oder der mehreren Nachrichten basiert. Das computerimplementierte Verfahren beinhaltet zudem das Empfangen einer Nachricht von einer ersten elektronischen Steuereinheit an einer zweiten elektronischen Steuereinheit. Das computerimplementierte Verfahren beinhaltet zudem das Anwenden einer Priorität an die Nachricht auf Grundlage der Nachrichtenklassifikation und der Kritikalitätsbewertung der ersten elektronischen Einheit. Andere Ausführungsformen dieses Aspekts beinhalten entsprechende Computersysteme, Einrichtungen und Computerprogramme, die auf einer oder mehreren Computerspeichervorrichtungen aufgezeichnet sind und die jeweils dazu konfiguriert sind, die Handlungen der Verfahren durchzuführen.
  • Figurenliste
  • Ein weiteres Verständnis der Art und der Vorteile verschiedener Ausführungsformen kann unter Bezugnahme auf die folgenden Figuren realisiert werden. In den beigefügten Figuren können ähnliche Komponenten oder Merkmale das gleiche Bezugszeichen aufweisen. Ferner können verschiedene Komponenten des gleichen Typs unterschieden werden, indem dem Bezugszeichen ein Strich und ein zweites Zeichen folgen, das zwischen den ähnlichen Komponenten unterscheidet. Falls in der Beschreibung nur das erste Bezugszeichen verwendet wird, gilt die Beschreibung für eine beliebige der ähnlichen Komponenten, die das gleiche erste Bezugszeichen aufweisen, unabhängig von dem zweiten Bezugszeichen.
    • 1 veranschaulicht ein Blockdiagramm gemäß einigen Ausführungsformen, das Knoten eines Fahrzeugsystems zeigt, das Nachrichten verarbeitet, die aus verschiedenen Signalen mit unterschiedlichen Bewertungen gebildet sind.
    • 2 veranschaulicht eine Systemarchitektur für ein Fahrzeugsystem gemäß einigen Ausführungsformen, das am Zuweisen von Kategorien und symmetrischen Schlüsseln zum Verschlüsseln von Nachrichten beteiligt ist.
    • 3 veranschaulicht ein Blockdiagramm gemäß einigen Ausführungsformen, das Elemente einer Nachricht zeigt, die über einen Fahrzeug-CAN-Bus übertragen werden.
    • 4 veranschaulicht ein Blockdiagramm gemäß einigen Ausführungsformen, das eine authentifizierte Nachricht zeigt, die aus verschiedenen Komponenten gebildet ist.
    • 5 veranschaulicht ein Blockdiagramm gemäß einigen Ausführungsformen, das ein System zum Erzeugen und Klassifizieren von Nachrichten zur Kommunikation über einen CAN-Bus veranschaulicht.
    • 6 veranschaulicht ein Verfahren zum Zuweisen von Klassifikationen zu Nachrichten über einen CAN-Bus gemäß einigen Ausführungsformen.
    • 7 veranschaulicht ein Blockdiagramm eines Fahrzeugsystems gemäß einigen Ausführungsformen.
    • 8 veranschaulicht ein Blockdiagramm eines Rechensystems gemäß einigen Ausführungsformen.
    • 9 veranschaulicht ein Cloud-Rechensystem gemäß einigen Ausführungsformen.
  • DETAILLIERTE BESCHREIBUNG
  • Moderne Fahrzeuge beinhalten viele elektronische Steuereinheiten (ECU - Electronic Control Unit), die miteinander und mit einem Fahrzeugrechensystem kommunizieren. Das Implementieren von Nachrichtenauthentifizierung in einem CAN-Netzwerk wird durch Verwenden von symmetrischer Verschlüsselung erreicht. Eine wichtige Anforderung für die CAN-Nachrichtenauthentifizierung besteht darin, dass der geheime Schlüssel zwischen den Modulen, die an der Nachrichtenauthentifizierung beteiligt sind, geteilt wird. Merkmale wie die Nachrichtenauthentifizierung erfordern, dass jeder einzelne Knoten im Netzwerk zusätzliche Hardware- und Softwarefunktionen aufweist. Das Hinzufügen dieser zusätzlichen Funktionen zu ressourcenbeschränkten Vorrichtungen ist sowohl kosten- als auch arbeitsintensiv. Um Systeme ordnungsgemäß zu priorisieren, ist ein Prozess zum Identifizieren der kritischsten Knoten und Nachrichten im Netzwerk nötig. Der Prozess muss zudem effizient und ein integraler Bestandteil des Entwurfs- und Entwicklungsprozesses sein. CAN-Netzwerke enthalten eine Bus-Typ-Architektur, auf der verschiedene Knoten Nachrichten periodisch ausgeben und erhalten. Diese Nachrichten enthalten unterschiedliche Signale, die in deren Nutzlaststruktur verpackt sind. Es werden Signale verwendet, um viele Eingangsausgangsfunktionen zu steuern, Sensordaten zu übertragen, Aktoren und viele andere Dinge in einem Fahrzeug zu steuern. Zum Beispiel kann ein adaptives Geschwindigkeitssteuermodul erfassen, dass sich ein Fahrzeug der Spur nähert, und unter Verwendung einer CAN-Nachricht ein Signal an das Bremssteuermodul senden, um die Bremsen zu betätigen. Die Signale können als grundlegende Elemente der Kommunikation in einem CAN-Netzwerk behandelt werden.
  • Das Implementieren verteilter Sicherheitsmerkmale wie die Nachrichtenauthentifizierung erfordert, dass die kommunizierenden Module spezifische Hardware- und Softwarefunktionen aufweisen. Zum Beispiel ein Hardware-Sicherheitsmodul (HSM - Hardware Security Module) oder eine sichere Hardware-Erweiterung (SHE - Secure Hardware Extension) für die Speicherung von Geheimschlüsseln und kryptographischen Berechnungen und spezielle Software zum Verarbeiten von kryptographischen Informationen. Zusätzlich kann jede gesicherte Nachricht den CPU-Aufwand am Knoten um bis zu 1 % erhöhen.
  • Beim Anwenden von Authentifizierungsmerkmalen auf das CAN-Netzwerk ist es sehr ineffizient, alle Knoten in dem Netzwerk und alle Nachrichten in den Umfang einzubeziehen. Nur eine Teilmenge der Knoten kann sehr grundlegende und nicht kritische Funktionen an dem Fahrzeug durchführen, wohingegen nur wenige Knoten sicherheitskritische Funktionen durchführen können. Außerdem kann unter den Knoten, die kritische Vorgänge ausführen, nicht jede einzelne übertragene und empfangene Nachricht als kritisch betrachtet werden.
  • In einem veranschaulichenden Beispiel ließe sich eine erste Nachricht, die einen elektrisch angetriebenen Sitz des Fahrzeugsystems steuert, und eine zweite Nachricht betrachten, die ein Bremsmodul steuert, um die Bremsen für das Fahrzeugsystem zu betätigen. Jede dieser Nachrichten wird auf dem CAN-Bus übertragen, wobei die Bremssteuernachricht jedoch für den Betrieb des Fahrzeugs kritisch ist, während die Sitzsteuerung nicht kritisch und nicht priorisiert ist. Um die Nachrichten auf dem CAN-Bus angemessen zu priorisieren, kann ein System und ein Verfahren zum Bewerten von Signalen und Nachrichten Rangfolgen und Kategorien für Signale und Nachrichten bereitstellen, um sicherzustellen, dass kritische Nachrichten angemessen authentifiziert und gesichert werden.
  • Aus Fahrzeugperspektive beziehen sich die kritischsten Vorgänge auf die Bewegung/Steuerung des Fahrzeugs, die Gefahrlosigkeit von Menschen in und um ein Fahrzeug, die Sicherheit des Fahrzeugs und die Einhaltung verschiedener Vorschriften. Der Großteil der Merkmale/Funktionen in einem Fahrzeug gehört zu einem der vier Vorgänge. Somit können für die Signal- und Nachrichtenbewertung Kategorien von Bewertungen eine Fahrzeugbewegungsbewertung, eine Gefahrlosigkeitsbewertung, eine Sicherheitsbewertung und eine regulatorische Bewertung beinhalten.
  • Die hierin beschriebenen Systeme und Verfahren stellen gegenüber herkömmlichen Systemen und Verfahren mehrere Vorteile bereit. Zum Beispiel stellt die Signalbewertung Prozesseffizienz und -sicherheit durch Systemdesign bereit. Die Signalbewertung ist zum Identifizieren kritischer Nachrichten und Netzwerkknoten nützlich. Diese Identifizierung ist für die effiziente Implementierung von Netzwerksicherheitsmerkmalen nützlich, wie etwa der Nachrichtenauthentifizierung. Die Signalbewertung ist ferner an Signalarten gebunden, die Teil eines Systemdesigns sind, was die Sicherheitsanalyse verbessert und die Identifizierung kritischer Signale für Sicherheit durch Designpraktiken ermöglicht. Ferner kann die Signalbewertung die Identifizierung potenzieller Sicherheitsprobleme in frühen Phasen des Systemdesigns ermöglichen, um das Design für die Sicherheit sicherzustellen.
  • Unter Bezugnahme auf 1 ist ein Blockdiagramm 100 gemäß einigen Ausführungsformen dargestellt, das Knoten eines Fahrzeugsystems zeigt, das Nachrichten verarbeitet, die aus verschiedenen Signalen mit unterschiedlichen Bewertungen gebildet sind. Zusätzlich zu den Bewertungen der Knoten 124-126 sind ebenfalls die Bewertungen jedes Signals 102-116 und die angepasste Bewertung jeder Nachricht 118-122 in 1 angegeben, um zu veranschaulichen, wie Kategorien von Nachrichten zugewiesen werden können, um eine Prioritätsrangfolge in Bezug auf kritische Nachrichten beizubehalten und kritische gegenüber nicht kritischen Nachrichten zu priorisieren.
  • Die Signale 102-116 weisen jeweils unterschiedliche Bewertungen auf, die auf den Inhalten jedes Signals basieren. Wie zuvor beschrieben, können die Bewertungen auf Grundlage der Funktionen zugewiesen werden, die durch die Signale gesteuert oder beeinflusst werden, zum Beispiel einschließlich Fahrzeugbewegungssignalen, Gefahrlosigkeitssignalen, Sicherheitssignalen und regulatorischen Signalen. Jedes Signal kann in eine von einer Vielzahl der Kategorien klassifiziert werden, einschließlich einer nicht bewerteten Kategorie für nicht kritische Nachrichten. Die Bewertungen der verschiedenen Signale können auch auf der potenziellen Auswirkung jedes der Signale auf das Fahrzeugsystem basieren.
  • Die Signale 102-116 werden als kritisch oder nicht kritisch (keine Bewertung) bewertet, wobei jedes der kritischen Signale auf Grundlage einer Kategorisierung der Art von Signalen und der Priorität jedes Signals für das Fahrzeugsystem die eingestuften Bewertungen C1-C4 erhält. Die Bewertungen für kritische Signale basieren auf einer Architektur, welche die Vorgänge beschreibt, die sich auf die Bewegung/Steuerung des Fahrzeugs, die Gefahrlosigkeit von Menschen in und um ein Fahrzeug, die Sicherheit des Fahrzeugs und die Einhaltung verschiedener Vorschriften beziehen. Die Fahrzeugbewegungssignale betreffen Signale, die in dem Fahrzeugsystem zum Steuern von Fahrzeugbewegungsfunktionen verwendet werden. Die kritischen Signale bezüglich der Gefahrlosigkeit werden zum Steuern von Merkmalen und Funktionen in Bezug auf die Gefahrlosigkeit in dem Fahrzeugsystem verwendet. Die Sicherheitssignale werden für Sicherheitsmerkmale in dem Fahrzeugsystem verwendet. Die regulatorischen Signale werden für regulatorische Merkmale in dem Fahrzeugsystem verwendet. Zusätzlich führen nicht kritische Signale keinen kritischen Vorgang in dem Fahrzeugsystem durch. In einigen Beispielen kann die Fahrzeugbewegung die am meisten priorisierte sein, gefolgt von Gefahrlosigkeitssignalen, Sicherheitssignalen und regulatorischen Signalen. Die nicht kritischen Signale werden niedriger als alle der kritischen Signale eingestuft.
  • Jede Nachricht 118-122 kann mehrere Signale, die zu unterschiedlichen Kategorien gehören, oder Signale, die nicht in eine der aufgelisteten Kategorien fallen, transportieren. Dementsprechend kann die in der Nachricht enthaltene Signalbewertung von Signalen dazu verwendet werden, den Nachrichten 118-122 eine Gesamtbewertung zuzuweisen. In einem Beispiel kann die Kategorie der Nachrichten 118-122 auf Grundlage der höchsten Kategorie der Signalbewertung als Nachrichtenkategorie zugewiesen werden. Zum Beispiel kann die Nachricht 3 118 das Signal 7 102 und das Signal 8 104 beinhalten, die jeweils nicht bewertet sind, sodass die Nachricht 3 118 ebenfalls keine Bewertung aufweist. Die Nachricht 2 120 kann das Signal 6 106, das Signal 5 108, das Signal 4 110 und das Signal 3 112 beinhalten. Dies führt dazu, dass die Nachricht 2 120 Kategorien der Bewertungen C3 und C4 sowie Nachrichten ohne Bewertung beinhaltet. Die Nachricht 2 120 weist eine angepasste Gesamtbewertung von C3 auf. Die Nachricht 1 122 beinhaltet das Signal 1116 und das Signal 2 114 mit den Bewertungen C1 und C2. Die Nachricht 1 122 empfängt daher eine angepasste Bewertung von C1, die höchste Bewertung der in der Nachricht 1 122 enthaltenen Signale. Wenn eine Nachricht oder ein Signal dazu verwendet wird, mehr als eine Art von Vorgang durchzuführen, wird der Nachricht oder dem Signal nur die höchste Kategoriebewertung zugewiesen. Die ECU oder der Knoten des Fahrzeugsystems kann jedes der Signale analysieren und sie basierend auf möglichen Auswirkungen auf Fahrzeugsysteme kategorisieren. Zum Beispiel kann ein Bremssteuersignal in einer Bremssteuernachricht mit einer C1-Bewertung kategorisiert werden - bezogen auf die Fahrzeugbewegung. Ein Sitzsteuersignal kann als nicht kritisch kategorisiert werden, um das Bremssteuersignal gegenüber dem Sitzsteuersignal zu priorisieren. In einigen Beispielen können Kategorien von definierten Einstellungen aus Expertenvorhersagen erhalten werden. Sobald eine Signalbewertung erhalten wurde, ist es möglich, zu identifizieren, welche Nachrichten kritische Signale transportieren. Nach dem Identifizieren der Nachrichten können die ECU, die kritische Nachrichten kommunizieren, auf dem CAN-Bus des Fahrzeugsystems identifiziert werden. Sobald den Nachrichten 118-122 Bewertungen wie vorstehend beschrieben zugewiesen wurden, können die Knoten 124-126, welche die Nachrichten 118-122 verarbeiten, als kritisch und nicht kritisch kategorisiert werden. Zum Beispiel sind jeder Bewertungskategorie bestimmte symmetrische Schlüssel zugeordnet. Insbesondere teilt jede Nachricht der Kategorie C1 einen symmetrischen Schlüssel und teilen Nachrichten der Kategorie C2 einen symmetrischen Schlüssel, wenngleich er sich von dem symmetrischen Schlüssel von C1 unterscheidet. Nachrichten, die unterschiedliche Signale für unterschiedliche kritische Funktionen transportieren, werden unter Verwendung unterschiedlicher Schlüssel verschlüsselt und entschlüsselt, sodass die Funktionen lokalisiert und voneinander isoliert sind. 2 veranschaulicht eine Systemarchitektur für ein Fahrzeugsystem 200 gemäß einigen Ausführungsformen, das am Zuweisen von Kategorien zu Signalen und Nachrichten beteiligt ist. Das Fahrzeugsystem 200 ermöglicht sichere Übertragungen und die Identifizierung kritischer Signale, Nachrichten und Knoten des Fahrzeugsystems 200. Das Fahrzeugsystem 200 beinhaltet Rechensysteme, die zumindest ECU A 210 und ECU B 230 beinhalten. Das Fahrzeugsystem 200 kann ein beliebiges geeignetes Fahrzeugsystem sein, wie etwa in Bezug auf 7 beschrieben. Die ECU A 210 und die ECU B 230 kommunizieren über den CAN-Bus 202. Der CAN-Bus 202 kann zudem eine Kommunikation zwischen den Funktionskomponenten 204 und den Sensoren 206 und der ECU A 210 und der ECU B 230 bereitstellen. Die Funktionskomponenten 204 können Funktionen des Fahrzeugsystems 200 bereitstellen, wie etwa Bewegungs-, Sicherheits-, Gefahrlosigkeits-, regulatorische und andere Funktionen des Fahrzeugsystems 200. Die Sensoren 206 können den ECU 210 und 230 und anderen Komponenten des Fahrzeugsystems 200 Daten bereitstellen, um einen ordnungsgemäßen Betrieb des Fahrzeugsystems 200 sicherzustellen.
  • In einer veranschaulichenden Konfiguration kann die ECU A 210 mindestens einen Speicher 214 und eine oder mehrere Verarbeitungseinheiten (oder Prozessoren 212) beinhalten. Die Prozessoren 212 können nach Bedarf in Hardware, computerausführbaren Anweisungen, Firmware oder Kombinationen davon umgesetzt sein. Computerausführbare Anweisungen oder Firmware-Umsetzungen des Prozessors bzw. der Prozessoren 212 können computerausführbare oder maschinenausführbare Anweisungen beinhalten, die in einer beliebigen geeigneten Programmiersprache geschrieben sind, um die verschiedenen beschriebenen Funktionen durchzuführen. Die ECU B 230 kann zudem einen Speicher 234 und (einen) Prozessor(en) 232 ähnlich dem Speicher 214 und Prozessor 212 der ECU A 210 beinhalten.
  • Die Speicher 214 und 234 können jeweils Programmanweisungen, die in den/die Prozessor(en) 212 und 232 geladen und ausgeführt werden können, sowie Daten, die während der Ausführung dieser Programme erzeugt werden, speichern. Abhängig von der Konfiguration und davon, ob sie in einer ECU oder einem eigenständigen Rechensystem umgesetzt sind, können die Speicher 214 und 234 flüchtig (wie etwa Direktzugriffsspeicher (RAM)) und/oder nicht flüchtig (wie etwa Festwertspeicher (ROM), Flash-Speicher usw.) sein. In einigen Umsetzungen können die Speicher 214 und 234 mehrere verschiedene Arten von Speicher beinhalten, wie etwa statischen Direktzugriffsspeicher (SRAM), dynamischen Direktzugriffsspeicher (DRAM) oder ROM.
  • Unter Bezugnahme auf die Inhalte der Speicher 214 und 234 kann jeder identische oder ähnliche Komponenten beinhalten, wie nachstehend beschrieben. Zum Beispiel können die Datenbank 216 und 236, das Betriebssystem 218 und 238, die Nachrichten-Engine 220 und 240 und die Klassifizierungs-Engine 222 und 242 jeweils ähnliche Komponenten und Elemente beinhalten. Wenngleich nachstehend nur eine der Komponenten beschrieben werden kann, kann jedes der ähnlichen Elemente ähnliche Komponenten beinhalten. Konkreter kann der Speicher 214 ein Betriebssystem 218 und ein oder mehrere Anwendungsprogramme oder - Engines zum Implementieren der hierin offenbarten Merkmale beinhalten, einschließlich der Nachrichten-Engine 220 und der Klassifizierungs-Engine 222. Der Speicher 214 kann auch Systemdaten (nicht gezeigt) beinhalten, die Informationen bereitstellen, die von den Engines 220-222 verarbeitet und/oder verbraucht werden.
  • Für die Zwecke dieser Offenbarung kann es sich bei einer beliebigen der Engines 220-222 um einen beliebigen Satz von computerausführbaren Anweisungen handeln, die auf einem Rechensystem des Fahrzeugsystems 200, wie etwa einem Rechensystem der ECU A 210 oder ECU B 230, installiert und von diesem ausgeführt werden. Die Engines 220-222 können durch einen Hersteller oder eine andere Entität auf einem beliebigen der hierin beschriebenen Rechensysteme installiert sein. In einigen Ausführungsformen können die Engines 220-222 die Elemente des Fahrzeugsystems 200 dazu veranlassen, eine Kommunikationssitzung mit einem anderen der Elemente des Fahrzeugsystems 200 einzurichten.
  • Gemäß mindestens einigen Ausführungsformen kann die Nachrichten-Engine 220 dazu konfiguriert sein, Nachrichten zu erzeugen, die ein oder mehrere Signale zum Kommunizieren von Informationen über den CAN-Bus 202 beinhalten. Die Nachrichten-Engine 220 kann zum Beispiel Daten von einem oder mehreren Sensoren 206 oder Funktionskomponenten 204 empfangen und Nachrichten und Signale erzeugen.
  • Die Klassifizierungs-Engine 222 kann dazu konfiguriert sein, eine Bewertung oder Klassifikation eines oder mehrerer Signale sowie eine Bewertung einer oder mehrerer Nachrichten, die von der ECU über den CAN-Bus 202 übertragen werden, zu bestimmen. In einigen Beispielen kann die Klassifizierungs-Engine 222 eine Schnittstelle mit einer Verschlüsselungs-Engine (nicht gezeigt) bilden, um Nachrichten und Daten, die zwischen Elementen des Fahrzeugsystems 200 über den CAN-Bus 202 ausgetauscht werden, zu verschlüsseln und zu entschlüsseln. Die Verschlüsselungs-Engine ist dazu konfiguriert, einen symmetrischen Schlüssel zum Verschlüsseln von Daten, die in einer Nachricht enthalten sind, zu erzeugen oder auf einen gespeicherten zuzugreifen.
  • Gemäß mindestens einigen Ausführungsformen können die Verschlüsselungs-Engine, die Klassifizierungs-Engine 222 und die Nachrichten-Engine 220 separate Teil-Engines zur Erzeugung, Klassifizierung und Verschlüsselung sowie Entschlüsselung beinhalten, die eine gemeinsame Kommunikationsschnittstelle und/oder gemeinsame Bibliotheken nutzen können. Die Datenbank 216 kann ein beliebiges geeignetes dauerhaftes Datenspeichersystem umfassen. In einigen Ausführungsformen kann die Datenbank 216 in einer Datenbank gespeichert sein. Auf Informationen, die in der Datenbank 216 gespeichert sind, kann die Verschlüsselungs-Engine über eine Datenbankabfrage oder ein beliebiges anderes geeignetes Datenabfragemittel zugreifen.
  • In einigen Ausführungsformen kann die Datenbank 216 Informationen umfassen, die verschiedenen Funktionen und Handlungen des Fahrzeugsystems 200 zugeordnet werden sollen. Die Datenbank 216 kann eine Quellentabelle und eine oder mehrere durchsuchbare Tabellen beinhalten, die jeweils bestimmten Daten oder Informationen zugeordnet sind. In einigen Ausführungsformen kann die Datenbank 216 mindestens einige Geheimtextdaten und mindestens einige Klartextdaten umfassen.
  • 3 veranschaulicht ein Blockdiagramm gemäß einigen Ausführungsformen, das Elemente einer Nachricht 300 zeigt, die über einen Fahrzeug-CAN-Bus übertragen werden. Die Nachricht 300 besteht aus Signalen 302-308. Die Signale 302-308 steuern jeweils einen oder mehrere Vorgänge des Fahrzeugsystems, wie etwa des Fahrzeugsystems 700 aus 7. Die Signale 302-308 werden jeweils zusammen in die einzelne Nachricht 300 kompiliert. Wie in 4 gezeigt, kann die Nachricht 300 eine Nutzlast einer authentifizierten Nachricht 400 sein.
  • Die Nachricht 300 kann periodisch oder beim Empfangen von Daten über den CAN-Bus übermittelt werden. Die Nachrichten 300 enthalten unterschiedliche Signale, die in deren Nutzlaststruktur verpackt sind. Die Signale 302-308 werden dazu verwendet, viele Eingangsausgangsfunktionen zu steuern, Sensordaten zu übertragen, Aktoren und viele andere Dinge in einem Fahrzeug zu steuern. Zum Beispiel kann ein adaptives Geschwindigkeitssteuermodul erfassen, dass sich ein Fahrzeug der Spur nähert, und unter Verwendung einer CAN-Nachricht ein Signal an das Bremssteuermodul senden, um die Bremsen zu betätigen. Die Signale 302-308 können als grundlegende Elemente der Kommunikation in einem CAN-Netzwerk behandelt werden.
  • 4 veranschaulicht ein Blockdiagramm gemäß einigen Ausführungsformen, das eine authentifizierte Nachricht 400 zeigt, die aus verschiedenen Komponenten gebildet ist. Die authentifizierte Nachricht 400 beinhaltet die in der Nachricht 300 enthaltenen Signaldaten 402 sowie einen abgeschnittenen Freshnesswert 404 und einen abgeschnittenen Nachrichtenauthentifizierungscode 406. Der abgeschnittene Freshnesswert und der Nachrichtenauthentifizierungscode (MAC - Message Authentication Code) können als „Sicherheitsdaten“ bezeichnet werden. Die Sicherheitsdaten werden in die authentifizierte Nachricht platziert, zum Beispiel in einen Arbitrierungsraum (z. B. 18 Bit) und ein zweiter Teil der Sicherheitsdaten in die verbleibenden Bits des Nutzdatenfelds in dem Datenraum. Eine Empfangsvorrichtung kann auf Grundlage des empfangenen abgeschnittenen Freshnesswerts und eines lokal gespeicherten Werts einen Freshnesswert vorhersagen.
  • Der Freshnesswert kann Fahrtzählerinformationen 408, Fahrtmarkierungsdaten 410, Rücksetzdaten 412, eine Rücksetzmarkierung 414, einen Nachrichtenzähler-Hochzähler 416 und einen Nachrichtenzähler-Runterzähler 418 beinhalten. Der Freshnesswert ist ein im Speicher gespeicherter Wert, der sich von Zeit zu Zeit ändert. In einigen Beispielen ist der im Speicher gespeicherte Freshnesswert ein Zähler, der sich erhöht, wenn der ECU-Sender eine authentifizierte Nachricht überträgt. Alternativ kann der Freshnesswert in einigen Beispielen auf einem globalen Zeitgeber (z. B. einem Wert, der von Zeit zu Zeit von einer der ECU 210 und 230 gesendet wird), einem Verlaufszeitgeberwert (z. B. einem 16-Bit-Zähler, der für alle 24 Stunden, die das Fahrzeug im Betrieb ist, verlängert wird), einem Fahrtzähler usw. basieren. In einigen Beispielen wird der Freshnesswert zurückgesetzt und/oder neu synchronisiert, wenn die Fahrzeugleistung aus- und wieder eingeschaltet wird. In einigen Beispielen weist der Freshnesswert eine Länge von 48 Bit (6 Byte) auf.
  • Beim Empfangen einer authentifizierten Nachricht 400 ruft ein Empfängerknoten die Sicherheitsdaten mit dem abgeschnittenen Freshnessswert 404 und dem abgeschnittenen MAC 406 sowie die Nutzdaten ab. Auf Grundlage eines gespeicherten Freshnesswerts (z. B. eines älteren/veralteten Freshnesswerts), der in dem Speicher gespeichert ist, und des abgeschnittenen Freshnesswerts 404 kann der Empfängerknoten den von dem Übertragungsmodul verwendeten vollständigen Freshnesswert vorhersagen oder bestimmen. Der Empfängerknoten erzeugt einen Verifizierungs-MAC auf Grundlage des vorhergesagten vollständigen Freshnesswerts, der Nutzdaten und des Verschlüsselungsschlüssels. Der Empfängerknoten vergleicht den abgeschnittenen MAC 406 mit dem Verifizierungs-MAC.
  • Wenn ein Teil des Verifizierungs-MAC mit dem abgeschnittenen MAC 406 übereinstimmt, bestimmt das Empfängermodul, dass die Quelle der Nachricht autorisiert ist, über den Fahrzeugdatenbus zu kommunizieren. Andernfalls bestimmt der Empfängerknoten, dass die Quelle der Nachricht nicht autorisiert ist, über den Fahrzugdatenbus zu kommunizieren, und ignoriert die Nachricht, wenn ein Teil des Verifizierungs-MAC nicht mit dem abgeschnittenen MAC 406 übereinstimmt.
  • 5 veranschaulicht ein Blockdiagramm gemäß einigen Ausführungsformen, das ein System 500 zum Erzeugen und Klassifizieren von Nachrichten zur Kommunikation über einen CAN-Bus 518 veranschaulicht. Das System 500 beinhaltet die ECU A 502 und die ECU B 516, die über den CAN-Bus 518 kommunizieren. Über den CAN-Bus 518 werden Nachrichten 514 übermittelt. Die Nachrichten 514 können die authentifizierten Nachrichten aus 4 sein.
  • Die ECU A 502 beinhaltet Unterkomponenten zum Erzeugen und Übertragen von Nachrichten. Die ECU beinhaltet Daten 504, an die ein Freshnesswert 508 und ein MAC 512, die durch einen MAC-Generator 510 erzeugt werden, angehängt werden können, um die Nachrichtendaten zu erzeugen. Die Nachrichtendaten werden unter Verwendung des Verschlüsselungsschlüssels 506 authentifiziert, um die authentifizierte Nachricht 514 zu erzeugen. Die authentifizierte Nachricht 514 beinhaltet Signale, wie in 3 gezeigt, und, wie in 1 gezeigt, mit Signalbewertungen und Nachrichtenbewertungen. Somit kann die Nachricht 514 auf Grundlage einer durch die ECU A 502 zugewiesenen kritischen Bewertung authentifiziert und klassifiziert werden.
  • 6 veranschaulicht ein methodisches Klassifizieren zum Zuweisen von Klassifikationen zu Nachrichten über einen CAN-Bus gemäß einigen Ausführungsformen. Das Verfahren 600 kann zum Beispiel durch ein Rechensystem, wie etwa ein Rechensystem des Fahrzeugsystems 200, die ECU A 210, die ECU B 230, durchgeführt werden oder kann durch das Rechensystem 702 des Fahrzeugsystems 700 aus 7 oder möglicherweise durch ein Cloud-Rechensystem 900 aus 9 durchgeführt werden. Wenngleich die Schritte des Verfahrens 600 in aufeinanderfolgender Reihenfolge dargestellt sind, können einige oder alle der Schritte in verschiedenen Sequenzen durchgeführt werden, darunter in einigen Beispielen auch gleichzeitig.
  • Bei Schritt 602 bestimmt die Rechenvorrichtung eine Kritikalitätsbewertung für eine erste elektronische Steuereinheit, die kommunikativ mit einem Controller-Area-Network-Bus (CAN-Bus) gekoppelt ist, auf Grundlage einer Nachrichtenklassifikation einer oder mehrerer von der ersten elektronischen Steuereinheit übertragenen Nachrichten, wobei die zugewiesene Nachrichtenklassifikation auf einer Signalklassifikation eines oder mehrerer Signale der einen oder der mehreren Nachrichten basiert. Die Kritikalitätsbewertung kann eine von einer kritischen Bewertung oder einer nicht kritischen Bewertung beinhalten. Die kritische Bewertung kann eine der hierin beschriebenen Bewertungen sein, wie etwa eine Bewertung auf Grundlage von Systemen, die durch das Signal oder die Nachricht beeinflusst werden. Wie hierin vorstehend beschrieben, kann die Bewertung auf Grundlage einer Prioritätsrangfolge eingestuft werden, wobei die Fahrzeugbewegung an erster Stelle über der Gefahrlosigkeit des Fahrzeugs, der Fahrzeugsicherheit und den regulatorischen Signalen priorisiert wird.
  • Bei Schritt 604 empfängt die Rechenvorrichtung eine Nachricht von der ersten elektronischen Steuereinheit an einer zweiten elektronischen Steuereinheit. Die Nachricht kann eine authentifizierte und verschlüsselte Nachricht sein, wie etwa die authentifizierte Nachricht 514. Die Nachricht kann ein oder mehrere Signale beinhalten, wobei jedes Signal eine kritische oder nicht kritische Bewertung aufweist. Die Nachricht selbst kann auf Grundlage der darin enthaltenen Signale eine Gesamtbewertung aufweisen. Darüber hinaus kann der sendende oder empfangende Knoten auf dem CAN-Bus eine kritische oder nicht kritische Bewertung auf Grundlage von Nachrichten aufweisen, die von dem Knoten verarbeitet werden, sodass Nachrichten, die von einem kritischen Knoten verarbeitet werden, automatisch als kritische Informationen klassifiziert werden können.
  • Bei Schritt 606 wendet die Rechenvorrichtung auf Grundlage der Nachrichtenklassifikation und der Kritikalitätsbewertung der ersten elektronischen Einheit eine Priorität an die Nachricht an. Die Priorität für die Nachricht kann auf der Klassifikationsbewertung basieren. Die Prioritätsbewertung kann zum Anwenden von Verschlüsselung, Sicherheit und anderer derartiger Protokolle nützlich sein, um die Sicherheit des Fahrzeugsystems sicherzustellen, während gleichzeitig die Effizienz der Kommunikation über den CAN-Bus des Fahrzeugsystems sichergestellt wird.
  • Ein beliebiges geeignetes Rechensystem oder eine beliebige Gruppe von Rechensystemen kann zum Durchführen der in dieser Schrift beschriebenen Vorgänge oder Verfahren verwendet werden. 7 veranschaulicht beispielsweise ein Fahrzeugsystem, das ein Rechensystem 702 sowie mehrere ECU beinhaltet, die einige oder alle der in dieser Schrift beschriebenen Funktionen durchführen können. 8 stellt ferner ein Beispiel für eine Rechenvorrichtung 800 dar, die zumindest ein Teil eines Rechensystems 702 sein kann. 7 veranschaulicht ein Blockdiagramm eines Fahrzeugsystems 700 gemäß einigen Ausführungsformen. Das Fahrzeugsystem 700 kann ein Rechensystem 702 beinhalten, das dazu konfiguriert ist, über ein fahrzeuginternes Netzwerk 714 zu kommunizieren. Das Rechensystem 702 beinhaltet einen Prozessor 704 und einen Speicher 706. Wenngleich in 7 ein Fahrzeugsystem 700 gezeigt ist, sollen die veranschaulichten beispielhaften Komponenten nicht einschränkend sein. Tatsächlich kann das Fahrzeugsystem 700 mehr oder weniger Komponenten aufweisen und können zusätzliche oder alternative Komponenten und/oder Umsetzungen verwendet werden. Es ist anzumerken, dass die Verwendung einer Umgebung des Fahrzeugsystems 700 veranschaulichend ist, da die Komponenten und/oder Funktionen in anderen Arten von Systemen genutzt werden können, wie etwa in einem Flugsteuersystem in einem Flugzeug oder in einer medizinischen Vorrichtung oder Industriemaschine.
  • Das Fahrzeugsystem 700 kann verschiedene Arten von Automobilen, Softroadern (CUV - Crossover Utility Vehicle), Geländelimousinen (SUV - Sport Utility Vehicle), Trucks, Wohnmobilen (RV - recreational vehicle), Booten, Flugzeugen oder anderen mobilen Maschinen zum Befördern von Personen oder Gütern beinhalten. In vielen Fällen kann das Fahrzeugsystem 700 durch eine Brennkraftmaschine mit Leistung versorgt werden. Als eine weitere Möglichkeit kann das Fahrzeugsystem 700 ein Hybridelektrofahrzeug (HEV - hybrid electric vehicle) sein, das sowohl durch eine Brennkraftmaschine als auch einen oder mehrere Elektromotoren mit Leistung versorgt wird, wie etwa ein Serienhybrid-Elektrofahrzeug (SHEV - series hybrid electric vehicle), ein Parallelhybrid-Elektrofahrzeug (PHEV - parallel hybrid electrical vehicle) oder ein Parallel/Serienhybrid-Elektrofahrzeug (PSHEV - parallel/series hybrid electric vehicle). Da die Art und Konfiguration des Fahrzeugsystems 700 variieren können, können dementsprechend auch die Fähigkeiten des Fahrzeugsystems variieren. Als einige weitere Möglichkeiten kann das Fahrzeugsystem 700 unterschiedliche Fähigkeiten in Bezug auf die Fahrgastkapazität, die Schleppfähigkeit und -kapazität und den Stauraum aufweisen.
  • Das Rechensystem 702 kann eine Mensch-Maschine-Schnittstelle (HMI - Human Machine Interface) 712 und eine Anzeige 728 zur Benutzerinteraktion mit dem Rechensystem 702 beinhalten. Ein beispielhaftes Rechensystem 702 kann das SYNC-System™ sein, das durch die FORD MOTOR COMPANY™ aus Dearborn, Michigan, bereitgestellt wird. In einigen Beispielen kann die Anzeige 728 ein Fahrzeug-Infotainmentsystem beinhalten, das eine oder mehrere Anzeigen beinhaltet. Die HMI 712 kann dazu konfiguriert sein, Sprachbefehls- und BLUETOOTH™-Schnittstellen mit dem Fahrer und Fahrermobilgeräten zu unterstützen, Benutzereingaben über verschiedene Tasten oder andere Steuerungen zu empfangen und einem Fahrer oder anderen Insassen des Fahrzeugsystems 700 Fahrzeugstatusinformationen bereitzustellen. Das Rechensystem 702 kann zum Beispiel eine Schnittstelle mit einer oder mehreren Tasten oder einer anderen HMI 712 bilden, die dazu konfiguriert sind, Funktionen in dem Rechensystem 702 aufzurufen (z. B. Audiotasten am Lenkrad, eine Sprechtaste, Steuerungen am Armaturenbrett usw.). Das Rechensystem 702 kann außerdem die Anzeige 728, die konfiguriert ist, um z. B. über eine Videosteuerung eine visuelle Ausgabe für Fahrzeuginsassen bereitzustellen, antreiben oder anderweitig mit dieser kommunizieren. In einigen Fällen kann es sich bei der Anzeige 728 um einen Touchscreen handeln, der ferner konfiguriert ist, um berührungsbasierte Eingaben des Benutzers über die Videosteuerung zu empfangen, während es sich bei der Anzeige 728 in anderen Fällen lediglich um eine Anzeige ohne berührungsbasierte Eingabefähigkeiten handeln kann. In einem Beispiel kann es sich bei der Anzeige 728 um eine Kopfeinheitsanzeige handeln, die in einem Mittelkonsolenbereich des Fahrzeugsystems 700 eingeschlossen ist. In einem weiteren Beispiel kann es sich bei der Anzeige 728 um einen Bildschirm eines Kombi-Instruments des Fahrzeugsystems 700 handeln. Das Rechensystem 702 kann ferner verschiedene Arten von Rechenvorrichtungen zur Unterstützung der Durchführung der in dieser Schrift beschriebenen Funktionen des Rechensystems 702 beinhalten. In einem Beispiel kann das Rechensystem 702 einen oder mehrere Prozessoren 704, die zum Ausführen von Computeranweisungen konfiguriert sind, und ein Speichermedium 706 beinhalten, auf dem die computerausführbaren Anweisungen und/oder Daten vorgehalten werden können. Ein computerlesbares Medium (auch als prozessorlesbares Medium oder Datenspeicher 706 bezeichnet) schließt ein beliebiges nicht transitorisches (z. B. physisches) Medium ein, das an der Bereitstellung von Daten (z. B. Anweisungen) beteiligt ist, die von einem Computer (z. B. von dem einen oder den mehreren Prozessoren 704) ausgelesen werden können. Im Allgemeinen empfängt der Prozessor 704 Anweisungen und/oder Daten, z. B. von dem Datenspeicher 706 usw., an einen Speicher und führt die Anweisungen unter Verwendung der Daten aus, wodurch er einen oder mehrere Prozesse durchführt, einschließlich eines oder mehrerer der in dieser Schrift beschriebenen Prozesse. Computerausführbare Anweisungen können von Computerprogrammen kompiliert oder interpretiert werden, die unter Verwendung vielfältiger Programmiersprachen und/oder - technologien erstellt worden sind, einschließlich unter anderem und entweder für sich oder in Kombination Java, C, C++, C#, Fortran, Pascal, Visual Basic, Python, Java Script, Perl, PL/SQL usw. Der Datenspeicher 706 kann Unterteilungen für Daten 708 und Anwendungen 710 beinhalten. Die Daten 708 können Informationen wie etwa Datenbanken und andere derartige Informationen speichern. In den Anwendungen 710 können die von dem Computer ausführbaren Anweisungen oder andere derartige Anweisungen, die von dem Prozessor 704 ausgeführt werden können, gespeichert sein.
  • Das Rechensystem 702 kann konfiguriert sein, um mit mobilen Vorrichtungen der Insassen des Fahrzeugsystems 700 zu kommunizieren. Bei den mobilen Vorrichtungen kann es sich um eine beliebige von verschiedenen Arten tragbarer Rechenvorrichtungen handeln, wie etwa Mobiltelefone, Tablet-Computer, Smart Watches, Laptops, tragbare Musikwiedergabegeräte oder andere Vorrichtungen, die zur Kommunikation mit dem Rechensystem 702 in der Lage sind. Wie das Rechensystem 702 kann die mobile Vorrichtung einen oder mehrere Prozessoren, die zum Ausführen von Computeranweisungen konfiguriert sind, und ein Speichermedium beinhalten, auf dem die computerausführbaren Anweisungen und/oder Daten vorgehalten werden können. In einigen Beispielen kann das Rechensystem 702 einen drahtlosen Sendeempfänger (z. B. eine BLUETOOTH™-Steuerung, einen ZIGBEE™-Sendeempfänger, einen WLAN-Sendeempfänger usw.) beinhalten, der dazu konfiguriert ist, mit einem kompatiblen drahtlosen Sendeempfänger der mobilen Vorrichtung zu kommunizieren. Zusätzlich oder alternativ kann das Rechensystem 702 über eine drahtgebundene Verbindung mit der mobilen Vorrichtung kommunizieren, wie etwa über eine USB-Verbindung zwischen der mobilen Vorrichtung und einem Universal-Serial-Bus-Teilsystem (USB-Teilsystem) der Rechenvorrichtung 702.
  • Das Rechensystem 702 kann ferner dazu konfiguriert sein, über ein fahrzeuginternes Netzwerk oder mehrere fahrzeuginterne Netzwerke 714 mit anderen Komponenten des Fahrzeugsystems 700 zu kommunizieren. Die fahrzeuginternen Netzwerke 714 können als einige Beispiele eines oder mehrere von einem Controller Area Network (CAN) des Fahrzeugs, einem Ethernet-Netzwerk oder einer mediengebundenen Systemübertragung (MOST - Media-Oriented System Transfer) beinhalten. Die fahrzeuginternen Netzwerke 714 können ermöglichen, dass das Rechensystem 702 mit anderen Einheiten des Fahrzeugsystems 700 kommuniziert, wie etwa der ECU A 720, der ECU B 722, der ECU C 724 und der ECU D 726. Die ECU 720, 722, 724 und 726 können verschiedene elektrische oder elektromechanische Systeme des Fahrzeugsystems 700 beinhalten oder verschiedene Teilsysteme des Fahrzeugsystems 700 steuern. Einige nicht einschränkende Beispiele für ECU können Folgendes einschließen: ein Antriebsstrangsteuermodul, das konfiguriert ist, um eine Steuerung der Betriebskomponenten des Motors (z. B. Leerlaufreglerkomponenten, Komponenten der Kraftstoffzufuhr, Komponenten zur Schadstoffausstoßüberwachung usw.) und eine Überwachung der Betriebskomponenten des Motors bereitzustellen (z. B. Status von Diagnosecodes des Motors); ein Karosseriesteuermodul, das konfiguriert ist, um verschiedene Funktionen zur Leistungssteuerung zu verwalten, wie etwa Außenbeleuchtung, Innenraumbeleuchtung, schlüsselloser Zugang, Fernstart und Verifizierung des Status von Zugangspunkten (z. B. Schließstatus der Motorhaube, der Türen und/oder des Kofferraums des Fahrzeugsystems 700); ein Funksendeempfängermodul, das konfiguriert ist, um mit Funkschlüsseln oder anderen lokalen Vorrichtungen des Fahrzeugsystems 700 zu kommunizieren, ein Klimasteuerverwaltungsmodul, das konfiguriert ist, um eine Steuerung und Überwachung der Heiz- und Kühlsystemkomponenten bereitzustellen (z. B. Steuerung von Kompressorkupplung und Gebläselüfter, Temperatursensorinformationen usw.) sowie ein Getriebesteuermodul, ein Bremssteuermodul, ein zentrales Zeitgebungsmodul, ein Aufhängungssteuermodul, ein Fahrzeugmodem (das in einigen Konfigurationen unter Umständen nicht vorhanden ist), ein Modul eines globalen Positionsbestimmungssystems (GPS), das konfiguriert ist, um einen Standort und Fahrtrichtungsinformationen des Fahrzeugsystems 700 bereitzustellen, und verschiedene andere ECU, die konfiguriert sind, um mit dem Rechensystem 702 zusammenzuwirken. Die von den verschiedenen ECU gesteuerten Teilsysteme können Funktionskomponenten 716 des Fahrzeugsystems 700 beinhalten, die Elemente wie den Antriebsstrang, den Motor, die Bremsen, die Leuchten, die Lenkkomponenten und dergleichen einschließen. Zusätzlich können einige oder alle Funktionskomponenten 716 die Sensoren 718 sowie zusätzliche Sensoren beinhalten, mit denen das Fahrzeugsystem 700 ausgestattet ist, um verschiedene Zustände, Positionen, Nähe, Temperatur und dergleichen des Fahrzeugsystems 700 und dessen Teilsystemen zu erfassen. Die ECU 720, 722, 724, 726 können über das fahrzeuginterne Netzwerk 714 mit dem Rechensystem 702 sowie den Funktionskomponenten 716 und den Sensoren 718 kommunizieren. Wenngleich in 7 nur vier ECU dargestellt sind, kann eine beliebige Anzahl (mehr oder weniger) an ECU in dem Fahrzeugsystem 700 enthalten sein.
  • 8 veranschaulicht ein beispielhaftes Blockdiagramm einer Rechenvorrichtung 800. Bei der Rechenvorrichtung 800 kann es sich um einen beliebigen der hierin beschriebenen Computer handeln, einschließlich zum Beispiel des Computersystems 702 in dem Fahrzeugsystem 700 aus 7 sowie die ECU 720, 722, 724, 726. Die Rechenvorrichtung 800 kann zum Beispiel ein integrierter Computer, ein Laptop-Computer, ein Desktop-Computer, ein Tablet, ein Server oder eine andere elektronische Vorrichtung sein oder diese beinhalten.
  • Die Rechenvorrichtung 800 kann einen Prozessor 840 beinhalten, der über einen Bus 805 eine Schnittstelle mit anderer Hardware bildet. Ein Speicher 810, der ein beliebiges geeignetes greifbares (und nicht transitorisches) computerlesbares Medium beinhalten kann, wie etwa RAM, ROM, EEPROM oder dergleichen, kann Programmkomponenten (z. B. Programmcode 815) verkörpern, die den Betrieb der Rechenvorrichtung 800 konfigurieren. Der Speicher 810 kann den Programmcode 815, die Programmdaten 817 oder beides speichern. In einigen Beispielen kann die Rechenvorrichtung 800 Eingabe-/Ausgabe-Schnittstellenkomponenten („E/A”-Schnittstellenkomponenten) 825 (z. B. zum Bilden einer Schnittstelle mit einer Anzeige 845, einer Tastatur, einer Maus und dergleichen) und zusätzlichen Speicher 830 beinhalten. Die Rechenvorrichtung 800 führt den Programmcode 815 aus, der den Prozessor 840 dazu konfiguriert, einen oder mehrere der in dieser Schrift beschriebenen Vorgänge durchzuführen. Beispiele für den Programmcode 815 beinhalten in verschiedenen Ausführungsformen ein logisches Ablaufdiagramm, das vorstehend in Bezug auf 1 beschrieben ist. Der Programmcode 815 kann sich in dem Speicher 810 oder einem beliebigen geeigneten computerlesbaren Medium befinden und kann durch den Prozessor 840 oder einen beliebigen anderen geeigneten Prozessor ausgeführt werden.
  • Die Rechenvorrichtung 800 kann aufgrund des Ausführens des Programmcodes 815 Programmdaten 817 erzeugen oder empfangen. Beispielsweise sind Sensordaten, ein Fahrtenzähler, authentifizierte Nachrichten, Fahrtenmarkierungen und andere in dieser Schrift beschrieben Daten alles Beispiele für Programmdaten 817, die von der Rechenvorrichtung 800 während der Ausführung des Programmcodes 815 verwendet werden können.
  • Die Rechenvorrichtung 800 kann Netzwerkkomponenten 820 beinhalten. Die Netzkomponenten 820 können eine oder mehrere von beliebigen Komponenten darstellen, die eine Netzverbindung ermöglichen. In einigen Beispielen können die Netzwerkkomponenten 820 eine drahtlose Verbindung ermöglichen und drahtlose Schnittstellen, wie etwa IEEE 802.11, BLUETOOTH™ oder Funkschnittstellen zum Zugreifen auf Mobilfunknetzwerke (z. B. einen Sendeempfänger/eine Antenne zum Zugreifen auf CDMA, GSM, UMTS oder ein anderes mobiles Kommunikationsnetzwerk) beinhalten. In anderen Beispielen können die Netzkomponenten 820 drahtgebunden sein und Schnittstellen, wie etwa Ethernet, USB oder IEEE 1394, beinhalten.
  • Wenngleich 8 eine Rechenvorrichtung 800 mit einem Prozessor 840 darstellt, kann das System eine beliebige Anzahl von Rechenvorrichtungen 800 und eine beliebige Anzahl von Prozessoren 840 beinhalten. Zum Beispiel können mehrere Rechenvorrichtungen 800 oder mehrere Prozessoren 840 über ein drahtgebundenes oder drahtloses Netzwerk (z. B. ein Weitverkehrsnetzwerk, ein lokales Netzwerk oder das Internet) verteilt sein. Die mehreren Rechenvorrichtungen 800 oder die mehreren Prozessoren 840 können einen beliebigen der Schritte der vorliegenden Offenbarung einzeln oder in Koordination miteinander durchführen. In einigen Ausführungsformen kann die durch die Rechenvorrichtung 800 bereitgestellte Funktionalität durch einen Cloud-Dienst-Anbieter als Cloud-Dienste angeboten werden. Beispielsweise stellt 9 ein Beispiel für ein Cloud-Rechensystem 900 dar, das einen Informationsbeschaffungsdienst anbietet, der durch eine Anzahl von Benutzerabonnenten unter Verwendung von Benutzervorrichtungen 925a, 925b und 925c über ein Datennetzwerk 920 verwendet werden kann. Die Benutzervorrichtungen 925a, 925b und 925c könnten Beispiele für ein vorstehend beschriebenes Fahrzeugsystem 700 sein. In dem Beispiel kann der Informationsbeschaffungsdienst unter einem Software-as-a-Service-Modell (SaaS-Modell) angeboten werden. Ein oder mehrere Benutzer können den Informationsbeschaffungsdienst abonnieren und das Cloud-Rechensystem führt die Verarbeitung durch, um den Abonnenten den Informationsbeschaffungsdienst bereitzustellen. Das Cloud-Rechensystem kann einen oder mehrere entfernte Servercomputer 905 beinhalten.
  • Die entfernten Servercomputer 905 beinhalten ein beliebiges nicht transitorisches computerlesbares Medium zum Speichern von Programmcode (z. B. Server 930) und Programmdaten 910 oder von beiden, die durch das Cloud-Rechensystem 900 verwendet werden, um die Cloud-Dienste bereitzustellen. Ein computerlesbares Medium kann eine beliebige elektronische, optische, magnetische oder andere Speichervorrichtung beinhalten, die dazu in der Lage ist, einem Prozessor computerlesbare Anweisungen oder anderen Programmcode bereitzustellen. Nicht einschränkende Beispiele für ein computerlesbares Medium beinhalten eine Magnetplatte, einen Speicherchip, einen ROM, einen RAM, eine ASIC, einen optischen Speicher, ein Magnetband oder einen anderen magnetischen Speicher oder ein beliebiges anderes Medium, von dem eine Verarbeitungsvorrichtung Anweisungen auslesen kann. Die Anweisungen können prozessorspezifische Anweisungen beinhalten, die durch einen Compiler oder einen Interpreter aus Code generiert werden, der in einer beliebigen geeigneten Computerprogrammiersprache geschrieben ist, einschließlich zum Beispiel C, C++, C#, Visual Basic, Java, Python, Perl, JavaScript und ActionScript. In verschiedenen Beispielen können die Servercomputer 905 flüchtigen Speicher, nicht flüchtigen Speicher oder eine Kombination daraus beinhalten.
  • Einer oder mehrere der Servercomputer 905 führen die Programmdaten 910 aus, die einen oder mehrere Prozessoren der Servercomputer 905 dazu konfigurieren, einen oder mehrere der Vorgänge durchzuführen, die Stellen für interaktive Elemente bestimmen und das adaptive regelbasierte System betreiben. Wie in der Ausführungsform in 9 dargestellt, stellen der eine oder die mehreren Servercomputer 905 die Dienste bereit, um das adaptive regelbasierte System über den Server 930 durchzuführen. Beliebige andere geeignete Systeme oder Teilsysteme, die einen oder mehrere in dieser Schrift beschriebene Vorgänge durchführen (z. B. ein oder mehrere Entwicklungssysteme zum Konfigurieren einer interaktiven Benutzerschnittstelle), können ebenfalls durch das Cloud-Rechensystem 900 umgesetzt werden.
  • In gewissen Ausführungsformen kann das Cloud-Rechensystem 900 die Dienste durch Ausführen von Programmcode und/oder Verwenden von Programmdaten 910 umsetzen, die sich in einer Speichervorrichtung der Servercomputer 905 oder einem beliebigen geeigneten computerlesbaren Medium befinden können und die durch die Prozessoren der Servercomputer 905 oder einen beliebigen anderen geeigneten Prozessor ausgeführt werden können.
  • In einigen Ausführungsformen beinhalten die Programmdaten 910 einen oder mehrere der hierin beschriebenen Datensätze und Modelle. Beispiele für diese Datensätze beinhalten Händlerdaten, Klassifikationsdaten usw. In einigen Ausführungsformen sind eines oder mehrere von Datensätzen, Modellen und Funktionen in derselben Speichervorrichtung gespeichert. In zusätzlichen oder alternativen Ausführungsformen können eines oder mehrere der Programme, Datensätze, Modelle und Funktionen, die in dieser Schrift beschrieben sind, in unterschiedlichen Speichervorrichtungen gespeichert sein, auf die über das Datennetz 920 zugegriffen werden kann.
  • Das Cloud-Rechensystem 900 beinhaltet zudem eine Netzwerkschnittstellenvorrichtung 915, die eine Kommunikation zu und von dem Cloud-Rechensystem 900 ermöglicht. In gewissen Ausführungsformen beinhaltet die Netzschnittstellenvorrichtung 915 eine beliebige Vorrichtung oder Gruppe von Vorrichtungen, die zum Aufbauen einer drahtgebundenen oder drahtlosen Datenverbindung mit den Datennetzwerken 920 geeignet ist. Nicht einschränkende Beispiele für die Netzschnittstellenvorrichtung 915 beinhalten einen Ethernet-Netzwerkadapter, ein Modem und/oder dergleichen. Der Server 930 ist in der Lage, unter Verwendung der Netzwerkschnittstellenvorrichtung 915 über das Datennetzwerk 920 mit den Benutzervorrichtungen 925a, 925b und 925c zu kommunizieren.
  • Wenngleich der vorliegende Gegenstand in Bezug auf dessen spezifische Aspekte ausführlich beschrieben worden ist, versteht es sich, dass der Fachmann beim Erlangen eines Verständnisses des Vorhergehenden ohne Weiteres Veränderungen an, Variationen von und Äquivalente für derartige(n) Aspekte(n) erzeugen kann. In dieser Schrift sind zahlreiche spezifische Details sind dargelegt, um ein umfassendes Verständnis des beanspruchten Gegenstands bereitzustellen. Der Fachmann wird jedoch verstehen, dass der beanspruchte Gegenstand ohne diese spezifischen Details umgesetzt werden kann. In anderen Fällen sind Verfahren, Einrichtungen oder Systeme, die dem Durchschnittsfachmann bekannt wären, nicht ausführlich beschrieben worden, um den beanspruchten Gegenstand nicht undeutlich zu machen. Dementsprechend ist die vorliegende Offenbarung zu Beispielzwecken und nicht zur Einschränkung dargelegt worden und schließt die Einbeziehung derartiger Modifikationen, Variationen und/oder Hinzufügungen zu dem vorliegenden Gegenstand nicht aus, wie es für den Durchschnittsfachmann ohne Weiteres ersichtlich wäre.
  • Sofern nicht ausdrücklich etwas anderes angegeben ist, versteht es sich, dass sich in dieser gesamten Beschreibung Erörterungen, die Ausdrücke wie etwa „Verarbeiten“, „Berechnen“, „Ausrechnen“, „Bestimmen“ und „Identifizieren“ oder dergleichen nutzen, auf Handlungen oder Prozesse einer Rechenvorrichtung beziehen, wie etwa eines oder mehrerer Computer oder einer ähnlichen elektronischen Rechenvorrichtung oder ähnlicher elektronischer Rechenvorrichtungen, die Daten, die als physische elektronische oder magnetische Größen innerhalb von Speichern, Registern oder anderen Informationsspeichervorrichtungen, - übertragungsvorrichtungen oder -anzeigevorrichtungen der Rechenplattform dargestellt sind, manipulieren oder transformieren. Die Verwendung von „dazu angepasst“ oder „dazu konfiguriert“ soll in dieser Schrift eine offene und einschließende Formulierung sein, die keine Vorrichtungen ausschließt, die dazu angepasst oder konfiguriert sind, zusätzliche Aufgaben oder Schritte durchzuführen. Zusätzlich soll die Verwendung von „auf Grundlage von“ bzw. „basierend auf“ dahingehend offen und einschließend sein, dass ein Prozess, ein Schritt, eine Berechnung oder eine andere Handlung „auf Grundlage von“ bzw. „basierend auf” einer oder mehreren genannten Bedingungen oder Werten in der Praxis auf zusätzlichen Bedingungen oder Werten j enseits der genannten beruhen kann. Überschriften, Listen und Nummerierungen, die in dieser Schrift enthalten sind, dienen lediglich der einfacheren Erläuterung und sollen nicht einschränkend sein.
  • Aspekte der in dieser Schrift offenbarten Verfahren können beim Betrieb derartiger Rechenvorrichtungen durchgeführt werden. Das in dieser Schrift erörterte System oder die in dieser Schrift erörterten Systeme sind nicht auf eine konkrete Hardware-Architektur oder - Konfiguration beschränkt. Eine Rechenvorrichtung kann eine beliebige geeignete Anordnung von Komponenten beinhalten, die ein Ergebnis bereitstellen, das von einer oder mehreren Eingaben abhängig ist. Geeignete Rechenvorrichtungen beinhalten Mehrzweck-Computersysteme auf Mikroprozessorbasis, die auf gespeicherte Software zugreifen, die das Rechensystem von einer Universalrecheneinrichtung zu einer spezialisierten Recheneinrichtung programmiert oder konfiguriert, die einen oder mehrere Aspekte des vorliegenden Gegenstands umsetzt. Es kann eine beliebige geeignete Programmierung, Skripterstellung oder eine andere Art von Sprache oder Kombinationen von Sprachen verwendet werden, um die hierin enthaltenen Lehren in Software umzusetzen, die beim Programmieren oder Konfigurieren einer Rechenvorrichtung verwendet wird. Die Reihenfolge der in den vorstehenden Beispielen dargestellten Blöcke kann variiert werden - zum Beispiel können Blöcke neu angeordnet, kombiniert und/oder in Unterblöcke unterteilt werden. Bestimmte Blöcke oder Prozesse können parallel durchgeführt werden.
  • Gemäß der vorliegenden Erfindung wird ein Fahrzeugsystem bereitgestellt, das Folgendes aufweist: einen Controller-Area-Network-Bus (CAN-Bus) des Fahrzeugsystems; und eine Vielzahl von elektronischen Steuereinheiten, die kommunikativ mit dem CAN-Bus gekoppelt ist, wobei jede der Vielzahl von elektronischen Steuereinheiten eine oder mehrere Nachrichten einer Vielzahl von Nachrichten über den CAN-Bus überträgt und jede der Vielzahl von Nachrichten ein oder mehrere Signale einer Vielzahl von Signalen umfasst, wobei jeder der elektronischen Steuereinheiten auf Grundlage einer Nachrichtenklassifikation der einen oder der mehreren durch die jeweilige elektronische Einheit übertragenen Nachrichten eine Kritikalitätsbewertung zugewiesen wird, wobei die Nachrichtenklassifikation jeder der Vielzahl von Nachrichten auf Grundlage einer Signalklassifikation des einen oder der mehreren Signale der jeweiligen Nachricht zugewiesen wird, und wobei jede elektronische Steuereinheit einen Speicher umfasst, der darauf gespeicherte Anweisungen aufweist, die bei Ausführung durch einen oder mehrere Prozessoren den einen oder die mehreren Prozessoren zu Folgendem veranlassen: Empfangen einer Nachricht der Vielzahl von Nachrichten von einer zweiten elektronischen Steuereinheit der Vielzahl von elektronischen Steuereinheiten; und Anwenden einer Priorität an die Nachricht auf Grundlage der Nachrichtenklassifikation und der Kritikalitätsbewertung der zweiten elektronischen Einheit.
  • Gemäß einer Ausführungsform ist die Signalklassifikation entweder kritisch oder nicht kritisch. Gemäß einer Ausführungsform ist die Signalklassifikation auf Grundlage einer Analyse einer Modifikationsauswirkung jedes des einen oder der mehreren Signale entweder kritisch oder nicht kritisch.
  • Gemäß einer Ausführungsform umfasst die Signalklassifikation eine Bewertung, die auf den Fahrzeugsystemen basiert, die von dem Signal gesteuert werden.
  • Gemäß einer Ausführungsform wird die Bewertung für jedes des einen oder der mehreren Signale auf Grundlage von Signalinhalten und vorbestimmten Bewertungsentscheidungen bestimmt.
  • Gemäß einer Ausführungsform umfasst das Anwenden der Priorität an die Nachricht das Hinzufügen von Authentifizierung zu den Nachrichten mit einer Nachrichtenklassifikation über einem vorbestimmten Schwellenwert.
  • Gemäß einer Ausführungsform veranlassen die Anweisungen den Prozessor ferner zu Folgendem: Bestimmen einer Identifizierung eines kritischen Knotens auf dem CAN-Bus auf Grundlage einer Identität eines Empfängers der Nachricht, wenn die Nachrichtenklassifikation kritisch ist; und Priorisieren des Hinzufügens von Authentifizierung zu der Nachricht als Reaktion darauf, dass der Empfänger der kritische Knoten ist.
  • Gemäß der vorliegenden Erfindung beinhaltet ein computerimplementiertes Verfahren Folgendes: Bestimmen einer Kritikalitätsbewertung für eine erste elektronische Steuereinheit, die kommunikativ mit einem Controller-Area-Network-Bus (CAN-Bus) gekoppelt ist, auf Grundlage einer Nachrichtenklassifikation einer oder mehrerer von der ersten elektronischen Steuereinheit übertragenen Nachrichten, wobei die zugewiesene Nachrichtenklassifikation auf einer Signalklassifikation eines oder mehrerer Signale der einen oder der mehreren Nachrichten basiert; Empfangen einer Nachricht von der ersten elektronischen Steuereinheit an einer zweiten elektronischen Steuereinheit; und Anwenden einer Priorität an die Nachricht auf Grundlage der Nachrichtenklassifikation und der Kritikalitätsbewertung der ersten elektronischen Einheit.
  • Gemäß einer Ausführungsform ist die Signalklassifikation entweder kritisch oder nicht kritisch. Gemäß einer Ausführungsform umfasst die kritische Klassifikation ferner eine Klassifikation, die aus Folgendem ausgewählt ist: eine Fahrzeugbewegungsklassifikation; eine Gefahrlosigkeitsklassifikation; eine Sicherheitsklassifikation; oder eine regulatorische Klassifikation.
  • Gemäß einer Ausführungsform ist das Signal auf Grundlage einer Analyse einer Modifikationsauswirkung jedes der Signale kritisch oder nicht kritisch.
  • Gemäß einer Ausführungsform umfasst das Anwenden der Priorität an die Nachricht das Priorisieren des Hinzufügens von Authentifizierung zu der Nachricht als Reaktion darauf, dass die Nachrichtenklassifikation über einem vorbestimmten Schwellenwert liegt.
  • Gemäß einer Ausführungsform umfasst die Nachrichtenklassifikation, die auf Grundlage der Signalklassifikation zugewiesen wird, das Auswählen der Klassifikation von mindestens einem des einen oder der mehreren Signale auf Grundlage eines Rangs der Klassifikation.
  • Gemäß einer Ausführungsform umfasst die zugewiesene Nachrichtenklassifikation auf Grundlage der Signalklassifikation das Auswählen der Signalklassifikation basierend auf einem höchsten Rang der Klassifikation.
  • Gemäß der vorliegenden Erfindung ist ein System bereitgestellt, das Folgendes aufweist: eine Vielzahl von elektronischen Steuereinheiten, die kommunikativ mit einem Controller-Area-Network-Bus (CAN-Bus) gekoppelt ist, wobei jede der Vielzahl von elektronischen Steuereinheiten eine oder mehrere Nachrichten einer Vielzahl von Nachrichten über den CAN-Bus überträgt und jede der Vielzahl von Nachrichten ein oder mehrere Signale einer Vielzahl von Signalen umfasst, wobei jeder der elektronischen Steuereinheiten auf Grundlage einer Nachrichtenklassifikation der einen oder der mehreren durch die jeweilige elektronische Einheit übertragenen Nachrichten eine Kritikalitätsbewertung zugewiesen wird, wobei die Nachrichtenklassifikation jeder der Vielzahl von Nachrichten auf Grundlage einer Signalklassifikation des einen oder der mehreren Signale der jeweiligen Nachricht zugewiesen wird, und wobei jede elektronische Steuereinheit einen Speicher umfasst, der darauf gespeicherte Anweisungen aufweist, die bei Ausführung durch einen oder mehrere Prozessoren den einen oder die mehreren Prozessoren zu Folgendem veranlassen: Empfangen einer Nachricht der Vielzahl von Nachrichten von einer zweiten elektronischen Steuereinheit der Vielzahl von elektronischen Steuereinheiten; und Anwenden einer Priorität an die Nachricht auf Grundlage der Nachrichtenklassifikation und der Kritikalitätsbewertung der zweiten elektronischen Einheit.
  • Gemäß einer Ausführungsform ist die Signalklassifikation auf Grundlage einer Analyse einer Modifikationsauswirkung jedes des einen oder der mehreren Signale entweder kritisch oder nicht kritisch.
  • Gemäß einer Ausführungsform umfasst die Signalklassifikation eine Bewertung, die auf Fahrzeugsystemen basiert, die von dem Signal gesteuert werden.
  • Gemäß einer Ausführungsform wird die Bewertung für jedes des einen oder der mehreren Signale auf Grundlage von Signalinhalten und vorbestimmten Bewertungsentscheidungen bestimmt.
  • Gemäß einer Ausführungsform umfasst die kritische Klassifikation eine Klassifikation, die aus Folgendem ausgewählt ist: eine Fahrzeugbewegungsklassifikation; eine Gefahrlosigkeitsklassifikation; eine Sicherheitsklassifikation; oder eine regulatorische Klassifikation.
  • Gemäß einer Ausführungsform veranlassen die Anweisungen den Prozessor ferner zu Folgendem: Bestimmen einer Identifizierung eines kritischen Knotens auf dem CAN-Bus auf Grundlage einer Identität eines Empfängers der Nachricht, wenn die Nachrichtenklassifikation kritisch ist; und Priorisieren des Hinzufügens von Authentifizierung zu der Nachricht als Reaktion darauf, dass der Empfänger der kritische Knoten ist.

Claims (15)

  1. Fahrzeugsystem, das Folgendes umfasst: einen Controller-Area-Network-Bus (CAN-Bus) des Fahrzeugsystems; und eine Vielzahl von elektronischen Steuereinheiten, die kommunikativ mit dem CAN-Bus gekoppelt ist, wobei jede der Vielzahl von elektronischen Steuereinheiten einen oder mehrere Prozessoren umfasst, wobei jede der Vielzahl von elektronischen Steuereinheiten eine oder mehrere Nachrichten einer Vielzahl von Nachrichten über den CAN-Bus überträgt und jede der Vielzahl von Nachrichten ein oder mehrere Signale einer Vielzahl von Signalen umfasst, wobei jeder der elektronischen Steuereinheiten auf Grundlage einer Nachrichtenklassifikation der einen oder der mehreren durch die jeweilige elektronische Einheit übertragenen Nachrichten eine Kritikalitätsbewertung zugewiesen wird, wobei die Nachrichtenklassifikation jeder der Vielzahl von Nachrichten auf Grundlage einer Signalklassifikation des einen oder der mehreren Signale der jeweiligen Nachricht zugewiesen wird, und wobei jede elektronische Steuereinheit einen Speicher umfasst, der darauf gespeicherte Anweisungen aufweist, die bei Ausführung durch einen oder mehrere Prozessoren den einen oder die mehreren Prozessoren zu Folgendem veranlassen: Empfangen einer Nachricht der Vielzahl von Nachrichten von einer zweiten elektronischen Steuereinheit der Vielzahl von elektronischen Steuereinheiten; und Anwenden einer Priorität an die Nachricht auf Grundlage der Nachrichtenklassifikation und der Kritikalitätsbewertung der zweiten elektronischen Einheit.
  2. Fahrzeugsystem nach Anspruch 1, wobei die Signalklassifikation entweder kritisch oder nicht kritisch ist.
  3. Fahrzeugsystem nach Anspruch 1 oder 2, wobei die Signalklassifikation eine Bewertung umfasst, die auf den Fahrzeugsystemen basiert, die von dem Signal gesteuert werden.
  4. Fahrzeugsystem nach Anspruch 1 oder 2, wobei das Anwenden der Priorität an die Nachricht das Hinzufügen von Authentifizierung zu den Nachrichten mit einer Nachrichtenklassifikation über einem vorbestimmten Schwellenwert umfasst.
  5. Fahrzeugsystem nach Anspruch 1 oder 2, wobei die Anweisungen den Prozessor ferner zu Folgendem veranlassen: Bestimmen einer Identifizierung eines kritischen Knotens auf dem CAN-Bus auf Grundlage einer Identität eines Empfängers der Nachricht, wenn die Nachrichtenklassifikation kritisch ist, und Priorisieren des Hinzufügens von Authentifizierung zu der Nachricht als Reaktion darauf, dass der Empfänger der kritische Knoten ist.
  6. Computerimplementiertes Verfahren, das Folgendes umfasst: Bestimmen einer Kritikalitätsbewertung für eine erste elektronische Steuereinheit, die kommunikativ mit einem Controller-Area-Network-Bus (CAN-Bus) gekoppelt ist, auf Grundlage einer Nachrichtenklassifikation einer oder mehrerer von der ersten elektronischen Steuereinheit übertragenen Nachrichten, wobei die zugewiesene Nachrichtenklassifikation auf einer Signalklassifikation eines oder mehrerer Signale der einen oder der mehreren Nachrichten basiert; Empfangen einer Nachricht von der ersten elektronischen Steuereinheit an einer zweiten elektronischen Steuereinheit; und Anwenden einer Priorität an die Nachricht auf Grundlage der Nachrichtenklassifikation und der Kritikalitätsbewertung der ersten elektronischen Einheit.
  7. Computerimplementiertes Verfahren nach Anspruch 6, wobei die Signalklassifikation entweder kritisch oder nicht kritisch ist.
  8. Computerimplementiertes Verfahren nach Anspruch 7, wobei die kritische Klassifikation ferner eine Klassifikation umfasst, die aus Folgendem ausgewählt ist: eine Fahrzeugbewegungsklassifikation; eine Gefahrlosigkeitsklassifikation; eine Sicherheitsklassifikation; oder eine regulatorische Klassifikation.
  9. Computerimplementiertes Verfahren nach Anspruch 7 oder 8, wobei das Signal auf Grundlage einer Analyse einer Modifikationsauswirkung jedes der Signale kritisch oder nicht kritisch ist.
  10. Computerimplementiertes Verfahren nach Anspruch 6 oder 7, wobei das Anwenden der Priorität an die Nachricht das Priorisieren des Hinzufügens von Authentifizierung zu der Nachricht als Reaktion darauf umfasst, dass die Nachrichtenklassifikation über einem vorbestimmten Schwellenwert liegt.
  11. Computerimplementiertes Verfahren nach Anspruch 10, wobei die zugewiesene Nachrichtenklassifikation auf Grundlage der Signalklassifikation das Auswählen der Signalklassifikation basierend auf einem höchsten Rang der Klassifikation umfasst.
  12. System, das Folgendes umfasst: eine Vielzahl von elektronischen Steuereinheiten, die kommunikativ mit einem Controller-Area-Network-Bus (CAN-Bus) gekoppelt ist, wobei jede der Vielzahl von elektronischen Steuereinheiten eine oder mehrere Nachrichten einer Vielzahl von Nachrichten über den CAN-Bus überträgt und jede der Vielzahl von Nachrichten ein oder mehrere Signale einer Vielzahl von Signalen umfasst, wobei jeder der elektronischen Steuereinheiten auf Grundlage einer Nachrichtenklassifikation der einen oder der mehreren durch die jeweilige elektronische Einheit übertragenen Nachrichten eine Kritikalitätsbewertung zugewiesen wird, wobei die Nachrichtenklassifikation jeder der Vielzahl von Nachrichten auf Grundlage einer Signalklassifikation des einen oder der mehreren Signale der jeweiligen Nachricht zugewiesen wird, und wobei jede elektronische Steuereinheit einen Speicher umfasst, der darauf gespeicherte Anweisungen aufweist, die bei Ausführung durch einen oder mehrere Prozessoren den einen oder die mehreren Prozessoren zu Folgendem veranlassen: Empfangen einer Nachricht der Vielzahl von Nachrichten von einer zweiten elektronischen Steuereinheit der Vielzahl von elektronischen Steuereinheiten; und Anwenden einer Priorität an die Nachricht auf Grundlage der Nachrichtenklassifikation und der Kritikalitätsbewertung der zweiten elektronischen Einheit.
  13. System nach Anspruch 12, wobei die Signalklassifikation auf Grundlage einer Analyse einer Modifikationsauswirkung jedes des einen oder der mehreren Signale entweder kritisch oder nicht kritisch ist.
  14. System nach Anspruch 12 oder 13, wobei die Signalklassifikation eine Bewertung umfasst, die auf Fahrzeugsystemen basiert, die von dem Signal gesteuert werden.
  15. System nach Anspruch 12 oder 13, wobei die Anweisungen den Prozessor ferner zu Folgendem veranlassen: Bestimmen einer Identifizierung eines kritischen Knotens auf dem CAN-Bus auf Grundlage einer Identität eines Empfängers der Nachricht, wenn die Nachrichtenklassifikation kritisch ist, und Priorisieren des Hinzufügens von Authentifizierung zu der Nachricht als Reaktion darauf, dass der Empfänger der kritische Knoten ist.
DE102021124026.3A 2020-09-17 2021-09-16 Verwendung von signalbewertung zum identifizieren von sicherheitskritischen can-nachrichten und -knoten zur effizienten implementierung von sicherheitsmerkmalen verteilter netzwerke Pending DE102021124026A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/024,449 2020-09-17
US17/024,449 US11381421B2 (en) 2020-09-17 2020-09-17 Using signal rating to identify security critical CAN messages and nodes for efficient implementation of distributed network security features

Publications (1)

Publication Number Publication Date
DE102021124026A1 true DE102021124026A1 (de) 2022-03-17

Family

ID=80351706

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021124026.3A Pending DE102021124026A1 (de) 2020-09-17 2021-09-16 Verwendung von signalbewertung zum identifizieren von sicherheitskritischen can-nachrichten und -knoten zur effizienten implementierung von sicherheitsmerkmalen verteilter netzwerke

Country Status (3)

Country Link
US (1) US11381421B2 (de)
CN (1) CN114200907A (de)
DE (1) DE102021124026A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022111673B3 (de) 2022-03-21 2023-07-06 GM Global Technology Operations LLC System zur Verwaltung von Reputationsbewertungen in einem Edge-Computersystem in Verbindung mit der Erkennung bösartiger Fahrzeug-zu-Fahrzeug-Nachrichten

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12021879B2 (en) * 2022-02-08 2024-06-25 Ford Global Technologies, Llc Verification of message patterns for vehicle ECUs

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5854454A (en) 1996-09-16 1998-12-29 Otis Elevator Company Message routing in control area network (CAN) protocol
JP3829679B2 (ja) * 2001-10-09 2006-10-04 株式会社デンソー 通信制御装置
JP4069836B2 (ja) * 2002-10-11 2008-04-02 株式会社デンソー 車両用電子制御装置,電子制御ユニット,プログラム及び記録媒体
JP4232603B2 (ja) 2003-10-24 2009-03-04 富士ゼロックス株式会社 通信システム、制御装置、canバス接続ノード、canバス通信方法、及び、プログラム
TWI326544B (en) * 2006-11-15 2010-06-21 Ind Tech Res Inst An intelligent heterogeneous network packet dispatcher methodology
US20080219252A1 (en) 2007-03-08 2008-09-11 Ya Narasimhaprasad Shared communication protocol for controller area network
CN101743721B (zh) * 2007-11-30 2014-03-12 株式会社自动网络技术研究所 车载通信系统
DE112009000691B8 (de) * 2008-04-02 2014-09-04 Autonetworks Technologies, Ltd. Fahrzeugkommunikationssystem
US8976744B2 (en) * 2010-11-03 2015-03-10 Broadcom Corporation Vehicle communication network including wireless communications
US20130163407A1 (en) * 2011-12-21 2013-06-27 Honeywell International Inc. System and method for determining network element criticality
US9088514B2 (en) * 2012-07-23 2015-07-21 Broadcom Corporation Flexray communications using ethernet
DE102012224024A1 (de) 2012-12-20 2014-06-26 Robert Bosch Gmbh Datenübertragung unter Nutzung eines Protokollausnahmezustands
US9294412B2 (en) 2013-08-29 2016-03-22 Mentor Graphics Corporation Controller area network (CAN) worst-case message latency with priority inversion

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022111673B3 (de) 2022-03-21 2023-07-06 GM Global Technology Operations LLC System zur Verwaltung von Reputationsbewertungen in einem Edge-Computersystem in Verbindung mit der Erkennung bösartiger Fahrzeug-zu-Fahrzeug-Nachrichten

Also Published As

Publication number Publication date
CN114200907A (zh) 2022-03-18
US20220086022A1 (en) 2022-03-17
US11381421B2 (en) 2022-07-05

Similar Documents

Publication Publication Date Title
DE102018100095A1 (de) Softwareaktualisierungs-verwaltung
DE102018101856A1 (de) Sicherheit von Aktualisierungen über eine Luftschnittstelle
DE102020124163A1 (de) Verifizierung von fahrzeugdaten
DE102018120915A1 (de) Fahrzeuginterne Gruppenschlüsselverteilung
DE102016110169A1 (de) Diebstahlverhinderung für autonome Fahrzeuge
DE102018119245A1 (de) Fahrzeugschlüsselverwaltung
DE102017119373A1 (de) Aktualisierung der servers der netzwerkadresse der mobilvorrichtung
DE102017113295A1 (de) Firewall-fernaktualisierung für bordeigenes webserver-telematiksystem
DE102021116643A1 (de) Detektieren eines abnormalen can-bus-aktivierungsmusters
DE102021124026A1 (de) Verwendung von signalbewertung zum identifizieren von sicherheitskritischen can-nachrichten und -knoten zur effizienten implementierung von sicherheitsmerkmalen verteilter netzwerke
DE102020122616A1 (de) Automatisierte bereitstellung eines fahrzeugprofilpakets
DE102019135012A1 (de) Auf richtlinie und token basierender autorisierungsrahmen für konnektivität
DE102019124914A1 (de) Cloudautorisierte fahrzeugsteuerung
DE102019121164A1 (de) Fahrzeugbasiertes passwort
DE102021209039A1 (de) Vorrichtung und verfahren zum verwalten einer aktualisierung einer ecu eines fahrzeugs
DE102021116640A1 (de) Erfassen und beheben der desynchronisation von fahrtenzählerwerten in authentifizierten nachrichten
DE102021102278B4 (de) Nachrichtenauthentifizierung von fahrzeugen durch proof-of-work
DE102019101548A1 (de) Erweiterung von apis zwischen mobilvorrichtungen und einem fahrzeug auf die cloud
DE102020126909A1 (de) Sitzungsspezifischer zugriffstoken
DE102020126906A1 (de) Validieren von fahrzeugen, die innerhalb bestimmter regionen fahren
DE102018109080A1 (de) Systeme und verfahren zum verwenden mechanischer schwingung für ausserbandkommunikationen an bord eines fahrzeugs
DE102021126440A1 (de) Effizientes inkrementelles lernen durch probabilistische trainingssatzauswahl
DE102021126580A1 (de) Automatisierte knotenübergreifende kommunikation in einem verteilten gerichteten azyklischen graphen
DE102021101174A1 (de) Authentifizierungspin-kollisionsverhinderung für autonome fahrzeuge
DE102021124032A1 (de) Zuweisen von kategorien für nachrichten und symmetrischen schlüssel nach kategorie, um den einfluss im fall eines kompromittierten schlüssels zu lokalisieren

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: LORENZ SEIDLER GOSSEL RECHTSANWAELTE PATENTANW, DE

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029020000

Ipc: H04L0065000000