电子控制单元ECU的控制方法及设备与流程

阅读：评论：0

电子控制单元ecu的控制方法及设备
技术领域
1.本发明涉及电子控制单元ecu的控制领域，更具体地，涉及一种电子控制单元ecu的控制方法及设备、计算机存储介质、计算机程序产品、电子控制单元和车辆。

背景技术：

2.在现有的车载网络中，大部分数据传输是在没有任何特殊安全措施的情况下进行的。因此，一旦能够直接访问车辆的总线，任何人都可以读取总线上传输的原始数据，甚至可以截获这些数据并且修改后重新发送到总线系统中。
3.为了解决安全性问题，加密通信（security onboard communication，简称为secoc）应运而生。该模块的主要作用是为总线上传输的数据提供身份验证，它可以有效地检测出数据回放、欺骗以及篡改等攻击手段。
4.但是，根据secoc的要求，在加密通信中需要调用一些加密算法来用于mac（message auth code，消息认证码）认证。这些算法的执行会占用系统资源，并使得协议数据单元pdu的周期时间（cycle time）不稳定。在最严重的情况下，电子控制单元ecu可能发生崩溃，为驾驶车辆的安全性带来不利的影响。

技术实现要素：

5.根据本发明的一方面，提供了一种电子控制单元ecu的控制方法，所述方法包括：确定加密通信secoc认证的运行时间；以及在所述运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程。
6.作为上述方案的补充或替换，在上述方法中，确定加密通信secoc认证的运行时间包括：接收加密的协议数据单元pdu；记录针对所述协议数据单元pdu的加密通信secoc认证的开始时间与结束时间；以及基于所述开始时间与所述结束时间，计算所述运行时间。
7.作为上述方案的补充或替换，在上述方法中，在所述运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程包括：在所述运行时间超过第一阈值时，停止新鲜度值的计算；以及在所述运行时间超过第二阈值时，停止所述新鲜度值以及消息认证码mac的计算并通知功能层采用预定义的操作，其中所述第二阈值大于所述第一阈值。
8.作为上述方案的补充或替换，上述方法还包括：在结束所述加密通信secoc认证的部分或全部过程后，按预定义的周期时间采用第二协议数据单元pdu进行认证；以及在针对所述第二协议数据单元pdu的认证的运行时间小于所述预定阈值时，恢复所述加密通信secoc认证的部分或全部过程，否则继续关闭所述加密通信secoc认证的部分或全部过程。
9.根据本发明的另一个方面，提供了一种电子控制单元ecu的控制设备，所述设备包括：确定装置，用于确定加密通信secoc认证的运行时间；以及禁用装置，用于在所述运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程。
10.作为上述方案的补充或替换，在上述设备中，所述确定装置包括：接收单元，用于接收加密的协议数据单元pdu；记录单元，用于记录针对所述协议数据单元pdu的加密通信
secoc认证的开始时间与结束时间；以及计算单元，用于基于所述开始时间与所述结束时间，计算所述运行时间。
11.作为上述方案的补充或替换，在上述设备中，所述禁用装置包括：第一停止单元，用于在所述运行时间超过第一阈值时，停止新鲜度值的计算；以及第二停止单元，用于在所述运行时间超过第二阈值时，停止所述新鲜度值以及消息认证码mac的计算并通知功能层采用预定义的操作，其中所述第二阈值大于所述第一阈值。
12.作为上述方案的补充或替换，上述设备还可包括：测试装置，用于在结束所述加密通信secoc认证的部分或全部过程后，按预定义的周期时间采用第二协议数据单元pdu进行认证；以及启用装置，用于在针对所述第二协议数据单元pdu的认证的运行时间小于所述预定阈值时，恢复所述加密通信secoc认证的部分或全部过程，否则继续关闭所述加密通信secoc认证的部分或全部过程。
13.根据本发明的又一个方面，提供了一种计算机存储介质，所述介质包括指令，所述指令在运行时执行如前所述的方法。
14.根据本发明的又一个方面，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如前所述的方法。
15.根据本发明的又一个方面，提供了一种电子控制单元，所述电子控制单元包括如前所述的设备。
16.根据本发明的又一个方面，提供了一种车辆，所述车辆包括如前所述的电子控制单元。
17.本发明的实施例的电子控制单元ecu的控制方案基于secoc认证的运行时间来开启或关闭加密通信secoc认证的部分或全部过程。这样可确保协议数据单元pdu的周期时间，避免由于secoc认证导致电子控制单元ecu崩溃，保证了该电子控制单元ecu的稳定性。
附图说明
18.从结合附图的以下详细说明中，将会使本发明的上述和其他目的及优点更加完整清楚，其中，相同或相似的要素采用相同的标号表示。
19.图1示出了根据本发明的一个实施例的电子控制单元ecu的控制方法的流程示意图；以及图2示出了根据本发明的一个实施例的电子控制单元ecu的控制设备的结构示意图。
具体实施方式
20.在下文中，将参考附图详细地描述根据本发明的各示例性实施例的电子控制单元ecu的控制方案。
21.图1示出了根据本发明的一个实施例的电子控制单元ecu的控制方法1000的流程示意图。如图1所示，电子控制单元ecu的控制方法1000包括如下步骤：在步骤s110中，确定加密通信secoc认证的运行时间；以及在步骤s120中，在所述运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程。
22.在本发明的上下文中，术语“secoc”全称secure onboard communication，主要用于对车内敏感信息进行认证。为了保证网络安全和功能安全，secoc模块几乎都会增加到各种类型的ecu产品中，包括但不限于，雷达ecu、驾驶辅助系统ecu以及视频ecu。但是，雷达、驾驶辅助系统或视频ecu的性能可能会由于加密通信secoc认证而下降或发生崩溃。
23.因此，如电子控制单元ecu的控制方法1000所述，在secoc认证的运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程。这样可确保协议数据单元pdu的周期时间，避免由于secoc认证导致电子控制单元ecu崩溃，保证了该电子控制单元ecu的稳定性。
24.在一个实施例中，步骤s110包括：接收加密的协议数据单元pdu；记录针对所述协议数据单元pdu的加密通信secoc认证的开始时间与结束时间；以及基于所述开始时间与所述结束时间，计算所述运行时间。
25.加密的协议数据单元pdu的数据结构可包括如下几个部分：需要被保护的数据（authentic i-pdu）、认证信息authenticator（通常使用消息认证码，即message authentication code，简称mac，后文以mac来简称此内容）、可选的报头（secured i-pdu header）以及可选的新鲜度值（freshness value）。
26.在实际使用中，新鲜度值和mac可能会使用较多长度的数据来提高安全性，但这又会消耗大量的带宽等资源。因此，在一个实施例中，使用截取的方式做平衡处理。例如，新鲜度值和mac都按照完整的值来生成，但是在发送和认证的时候只会截取一部分。
27.在secoc标准中，主要基于两种手段来实现数据的真实性和完整性的校验：基于mac（message authentication code）的身份验证和基于新鲜度（freshness）的防重放攻击。在一个实施例中，步骤s110包括在ecu软件运行过程中，每次在处理加密的协议数据单元pdu时，记录在mac身份验证前以及身份验证后的时间；接着，基于该mac身份验证前以及身份验证后的时间来计算运行时间。
28.在上述实施例中，secoc认证是在作为接收节点的ecu中执行的。例如，ecu中的secoc模块通过验证收到的加密的协议数据单元pdu中包含的mac来判断被保护的数据的来源。在一个实施例中，为了实现认证，接收节点除了需要收到被保护的数据外，还需要知道发送节点计算mac时使用的新鲜度值。例如，若加密的协议数据单元pdu包含完整的新鲜度值，则接收节点可直接使用该值作为验证用值进行身份验证。若加密的协议数据单元pdu只包含新鲜度值的低字节部分，则接收节点在接收到加密的协议数据单元pdu后，需要根据从其中提取的部分新鲜度值（新）与上次验证使用的新鲜度值（旧）的低位部分进行大小比较。若新鲜度值（新）较大，则接受此新鲜度值，与上次验证使用的新鲜度值（旧）高位部分合并作为新的完整新鲜度值，用于本次接收的mac验证计算；若新鲜度值（新）较小，考虑到可能出现进位的情况，需要将上次验证使用的新鲜度值（旧）高位部分+1后，再与新鲜度值（新）合并，作为新的完整新鲜度值，进行后续验证使用。
29.在一个实施例中，若接收节点secoc模块计算的mac与收到的加密的协议数据单元pdu中的mac相同，则验证通过，接收方正常处理加密的协议数据单元pdu中包含的有效数据。反之，则认为本次收到的加密的协议数据单元pdu不可信，接收方将直接丢弃它。
30.在其他实施例中，secoc可在作为发送节点的ecu中执行。在发送节点，secoc模块向待发送的被保护数据添加认证信息从而创建加密的协议数据单元pdu。认证信息包括mac
和新鲜度值。无论新鲜度值是否包含在打包后的加密的协议数据单元pdu中，在生成mac期间都会考虑新鲜度值。
31.发送节点在生成加密的协议数据单元pdu的过程中，可以将新鲜度值完整地包含在其中，而为了提高有效数据的传输空间，secoc模块可只截取新鲜度值的低几位添加到加密的协议数据单元pdu中。
32.在一个实施例中，步骤s120包括：在所述运行时间超过第一阈值时，停止新鲜度值的计算；以及在所述运行时间超过第二阈值时，停止所述新鲜度值以及消息认证码mac的计算并通知功能层采用预定义的操作（例如降级操作等），其中所述第二阈值大于所述第一阈值。也就是说，在该实施例中，根据运行时间的不同，而适应性地禁用不同的加密通信secoc认证的过程。
33.在一个实施例中，在停止新鲜度值的计算后，还可通知其他ecu节点（备份ecu）负责管理新鲜度值。该备份ecu在接收到通知后，周期地发送同步报文至所有发送节点和接收节点。在该实施例中，新鲜度值不仅与报文发送次数相关，还将与ecu唤醒、重置、上下电、运行时间等因素相关。
34.尽管图1中未示出，在一个实施例中，电子控制单元ecu的控制方法1000还可包括：在结束所述加密通信secoc认证的部分或全部过程后，按预定义的周期时间采用第二协议数据单元pdu进行认证；以及如果针对所述第二协议数据单元pdu的认证的运行时间小于所述预定阈值，则恢复所述加密通信secoc认证的部分或全部过程（并通知相关功能继续进行），否则继续关闭所述加密通信secoc认证的部分或全部过程。
35.另外，本领域技术人员容易理解，本发明的上述一个或多个实施例提供电子控制单元ecu的控制方法可通过计算机程序来实现。例如，该计算机程序包含在一种计算机程序产品中，该计算机程序被处理器执行时实现本发明的一个或多个实施例的电子控制单元ecu的控制方法。又例如，当存有该计算机程序的计算机存储介质（例如u盘）与计算机相连时，运行该计算机程序即可执行本发明的一个或多个实施例的电子控制单元ecu的控制方法。
36.参考图2，图2示出了根据本发明的一个实施例的用于电子控制单元ecu的控制设备2000的结构示意图。如图2所示，用于电子控制单元ecu的控制设备2000包括：确定装置210和禁用装置220，其中确定装置210用于确定加密通信secoc认证的运行时间；以及禁用装置220用于在所述运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程。
37.在本发明的上下文中，术语“secoc”全称secure onboard communication，主要用于对车内敏感信息进行认证。为了保证网络安全和功能安全，secoc模块几乎都会增加到各种类型的ecu产品中，包括但不限于，雷达ecu、驾驶辅助系统ecu以及视频ecu。但是，雷达、驾驶辅助系统或视频ecu的性能可能会由于加密通信secoc认证而下降或发生崩溃。
38.因此，用于电子控制单元ecu的控制设备2000配置成在secoc认证的运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程。这样可确保协议数据单元pdu的周期时间，避免由于secoc认证导致电子控制单元ecu崩溃，保证了该电子控制单元ecu的稳定性。
39.在一个实施例中，确定装置210包括：接收单元，用于接收加密的协议数据单元
pdu；记录单元，用于记录针对所述协议数据单元pdu的加密通信secoc认证的开始时间与结束时间；以及计算单元，用于基于所述开始时间与所述结束时间，计算所述运行时间。
40.加密的协议数据单元pdu的数据结构可包括如下几个部分：需要被保护的数据（authentic i-pdu）、认证信息authenticator（通常使用消息认证码，即message authentication code，简称mac，后文以mac来简称此内容）、可选的报头（secured i-pdu header）以及可选的新鲜度值（freshness value）。
41.在secoc标准中，主要基于两种手段来实现数据的真实性和完整性的校验：基于mac（message authentication code）的身份验证和基于新鲜度（freshness）的防重放攻击。在一个实施例中，确定装置210配置成在ecu软件运行过程中，每次在处理加密的协议数据单元pdu时，记录在mac身份验证前以及身份验证后的时间，并随后基于该mac身份验证前以及身份验证后的时间来计算运行时间。
42.在上述实施例中，secoc认证是在作为接收节点的ecu中执行的。但是，本领域技术人员可以理解，在一个实施例中，secoc认证可在作为发送节点的ecu中执行。具体来说，在该实施例中，确定装置210可包括：接收单元，用于接收被保护数据；记录单元，用于记录针对被保护数据的加密通信secoc认证的开始时间与结束时间（例如通过对被保护数据添加认证信息从而创建加密的协议数据单元pdu的开始时间和结束时间）；以及计算单元，用于基于所述开始时间与所述结束时间，计算所述运行时间。
43.在一个实施例中，禁用装置220包括：第一停止单元，用于在所述运行时间超过第一阈值时，停止新鲜度值的计算；以及第二停止单元，用于在所述运行时间超过第二阈值时，停止所述新鲜度值以及消息认证码mac的计算并通知功能层采用预定义的操作（例如降级操作等），其中所述第二阈值大于所述第一阈值。也就是说，在该实施例中，根据运行时间的不同，而适应性地禁用不同的加密通信secoc认证的过程。
44.在一个实施例中，第一停止单元配置成在停止新鲜度值的计算后，还通知其他ecu节点（备份ecu）负责管理新鲜度值。该备份ecu在接收到通知后，周期地发送同步报文至所有发送节点和接收节点。因而，在该实施例中，新鲜度值不仅与报文发送次数相关，还将与ecu唤醒、重置、上下电、运行时间等因素相关。
45.尽管图2中未示出，在一个实施例中，上述用于电子控制单元ecu的控制设备2000还可包括：测试装置，用于在结束所述加密通信secoc认证的部分或全部过程后，按预定义的周期时间采用第二协议数据单元pdu进行认证；以及启用装置，用于在针对所述第二协议数据单元pdu的认证的运行时间小于所述预定阈值时，恢复所述加密通信secoc认证的部分或全部过程（并通知相关功能继续进行），否则继续关闭所述加密通信secoc认证的部分或全部过程。
46.在一个或多个实施例中，上述用于电子控制单元ecu的控制设备2000可集成在车辆的各种类型的电子控制单元ecu（包括但不限于，雷达传感器/dasy/视频等）内。
47.综上，本发明的实施例的电子控制单元ecu的控制方案基于secoc认证的运行时间来开启或关闭加密通信secoc认证的部分或全部过程。这样可确保协议数据单元pdu的周期时间，避免由于secoc认证导致电子控制单元ecu崩溃，保证了该电子控制单元ecu的稳定性。
48.尽管以上说明书只对其中一些本发明的实施方式进行了描述，但是本领域普通技
术人员应当了解，本发明可以在不偏离其主旨与范围内以许多其他的形式实施。例如，本发明的技术方案所搭载的产品并不局限于电子控制单元ecu，本领域技术人员可以理解，该技术方案可在电子稳定控制器esc/esp等中实现。因此，所展示的例子与实施方式被视为示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，本发明可能涵盖各种的修改与替换。

技术特征：

1.一种电子控制单元ecu的控制方法，其特征在于，所述方法包括：确定加密通信secoc认证的运行时间；以及在所述运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程。2.如权利要求1所述的方法，其中，确定加密通信secoc认证的运行时间包括：接收加密的协议数据单元pdu；记录针对所述协议数据单元pdu的加密通信secoc认证的开始时间与结束时间；以及基于所述开始时间与所述结束时间，计算所述运行时间。3.如权利要求1所述的方法，其中，在所述运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程包括：在所述运行时间超过第一阈值时，停止新鲜度值的计算；以及在所述运行时间超过第二阈值时，停止所述新鲜度值以及消息认证码mac的计算并通知功能层采用预定义的操作，其中所述第二阈值大于所述第一阈值。4.如权利要求1所述的方法，还包括：在结束所述加密通信secoc认证的部分或全部过程后，按预定义的周期时间采用第二协议数据单元pdu进行认证；以及在针对所述第二协议数据单元pdu的认证的运行时间小于所述预定阈值时，恢复所述加密通信secoc认证的部分或全部过程，否则继续关闭所述加密通信secoc认证的部分或全部过程。5.一种电子控制单元ecu的控制设备，其特征在于，所述设备包括：确定装置，用于确定加密通信secoc认证的运行时间；以及禁用装置，用于在所述运行时间超过预定阈值时，关闭所述加密通信secoc认证的部分或全部过程。6.如权利要求5所述的设备，其中，所述确定装置包括：接收单元，用于接收加密的协议数据单元pdu；记录单元，用于记录针对所述协议数据单元pdu的加密通信secoc认证的开始时间与结束时间；以及计算单元，用于基于所述开始时间与所述结束时间，计算所述运行时间。7.如权利要求5所述的设备，其中，所述禁用装置包括：第一停止单元，用于在所述运行时间超过第一阈值时，停止新鲜度值的计算；以及第二停止单元，用于在所述运行时间超过第二阈值时，停止所述新鲜度值以及消息认证码mac的计算并通知功能层采用预定义的操作，其中所述第二阈值大于所述第一阈值。8.如权利要求5所述的设备，还包括：测试装置，用于在结束所述加密通信secoc认证的部分或全部过程后，按预定义的周期时间采用第二协议数据单元pdu进行认证；以及启用装置，用于在针对所述第二协议数据单元pdu的认证的运行时间小于所述预定阈值时，恢复所述加密通信secoc认证的部分或全部过程，否则继续关闭所述加密通信secoc认证的部分或全部过程。9.一种计算机存储介质，其特征在于，所述介质包括指令，所述指令在运行时执行如权利要求1至4中任一项所述的方法。
10.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至4中任一项所述的方法。11.一种电子控制单元，其特征在于，所述电子控制单元包括如权利要求5至8中任一项所述的设备。12.一种车辆，其特征在于，所述车辆包括如权利要求11所述的电子控制单元。

技术总结

本发明涉及一种电子控制单元ECU的控制方法，所述方法包括：确定加密通信SecOC认证的运行时间；以及在所述运行时间超过预定阈值时，关闭所述加密通信SecOC认证的部分或全部过程。本发明还涉及一种电子控制单元ECU的控制设备、计算机存储介质、计算机程序产品、电子控制单元以及车辆。制单元以及车辆。制单元以及车辆。