用于为车辆的控制设备提供通信的装置、方法和计算机程序，用于提供更新的方法、中央装置和计算机程序，控制设备和车辆

摘要

本发明涉及一种用于为车辆的控制设备提供通信的装置、方法和计算机程序；涉及一种用于提供更新的方法、中央装置和计算机程序；涉及一种控制设备和一种车辆。用于为控制设备提供通信的方法包括为控制设备提供用于经由车辆通信信道进行通信的接口。通信基于关于控制设备经由车辆通信信道的允许的通信的信息。关于允许的通信的信息包括与控制设备经由车辆通信信道的通信有关的一个或多个通信规则。独立于控制设备地实施接口，使得关于允许的通信的信息被屏蔽以防控制设备的访问。该方法还包括在经由车辆通信信道的通信中识别更新消息。更新消息涉及关于控制设备经由车辆通信信道的允许的通信的信息。该方法包括基于更新消息来更新关于允许的通信的信息。独立于控制设备地执行对关于允许的通信的信息的更新。

说明书

技术领域

本发明涉及一种用于为车辆的控制设备提供通信的装置、方法和计算机程序；涉及一种用于提供更新的方法、中央装置和计算机程序；涉及一种控制设备和一种车辆。

背景技术

车辆包括大量不同的车辆组件(从诸如传动装置和发动机之类的驱动模块经由诸如车对车通信接口或移动无线电接口之类的通信模块直至诸如座椅加热之类的舒适功能。这些车辆组件中的许多包括控制设备或由控制设备来控制。在现代车辆中，这些控制设备通常经由车辆通信信道(例如车辆总线或车辆内部网络)彼此连接。通过各种控制设备经由车辆通信信道的连接，至少在某些情况下会产生危险点，因为获得对车辆通信信道的访问的攻击者例如通过操纵控制设备必要时也可以使控制设备陷入危险。

国际专利申请WO 2018/077528 A1公开了借助检查CAN标识符(英语：CAN-Identifier)来识别CAN(英语：Controller Area Network，控制器区域网络)网络中的操纵。在此，通过检查CAN标识符，检查控制设备接收到的消息是否由陷入危险的设备或是由恶意实体发送。尽管这使得能够识别恶意包，但是必须由所有控制设备来执行该识别，这可能导致在每次更换车辆的控制设备时更新控制设备的固件。

发明内容

因此，存在针对车辆控制设备之间的通信的改进的通信设计的需求，其提供针对攻击者的增强的安全性。

通过独立权利要求的装置、方法、计算机程序、控制设备和车辆，考虑了该需求。

本发明的至少一些实施例基于以下事实：在控制设备与车辆通信信道之间引入了另外的装置，该另外的装置经由车辆通信信道为控制设备提供通信，并且独立于控制设备地实施该通信，即例如不能够由该控制设备操纵。该装置包括关于控制设备的允许的通信的通信规则，并且可以基于该信息来决定控制设备的哪些消息允许经由车辆通信信道来传输，以及经由车辆通信信道所接收到的哪些消息允许被传输到控制设备。为了实现控制设备与该装置之间的隔离，在至少一些实施例中，要么与控制设备分开地实现该装置，要么至少屏蔽关于允许的通信的信息以防控制设备的访问。在此，经由车辆通信信道并且独立于控制设备地执行对关于允许的通信的信息的更新。

实施例实现了一种用于为车辆的控制设备提供通信的方法。该方法包括为控制设备提供用于经由车辆通信信道进行通信的接口。通信基于关于控制设备经由车辆通信信道的允许的通信的信息。关于允许的通信的信息包括与控制设备经由车辆通信信道的通信有关的一个或多个通信规则。独立于控制设备地实施接口，使得关于允许的通信的信息被屏蔽以防控制设备的访问。该方法还包括在经由车辆通信信道的通信中识别更新消息。更新消息涉及关于控制设备经由车辆通信信道的允许的通信的信息。该方法包括基于更新消息来更新关于允许的通信的信息。独立于控制设备地执行对关于允许的通信的信息的更新。通过更新关于经由车辆通信信道的允许的车辆通信的信息，可以独立于该控制设备地更新经由车辆通信信道为控制设备提供通信的装置，这样既使得可以将该装置与控制设备隔离，又可以独立于控制设备制造商地确保控制设备的通信。

在至少一些实施例中，该方法还包括屏蔽关于允许的通信的信息以防控制设备的访问。这使得能够实现即使在控制设备本身陷入危险的情况下，经由车辆通信信道的控制设备的通信本身也是安全的。因此，例如可以防止控制设备由于伪造的标识符经由车辆通信信道进行通信。例如，对关于允许的通信的信息的屏蔽可以包括将关于允许的通信的信息存储在受保护的存储区域中。通过控制设备的受保护的存储区域，可以在实施例中确保关于允许的通信的信息。

在至少一些实施例中，对关于允许的通信的信息的更新还可以包括验证更新消息。因此，例如可以避免由于伪造的或恶意的更新消息使经由车辆通信信道的通信陷入危险。

例如，对更新消息的验证可以基于加密方法。加密方法可用于验证更新消息源自可信赖的源和/或未在传输路径上被操纵。

例如，对更新消息的验证可以基于请求-响应方法。对更新消息的验证可以包括将验证请求传输到车辆的总部并且从车辆的总部接收验证响应。验证可以基于验证请求和验证响应。因此，例如可以查询和/或跟踪更新消息是否确实源自总部。

该方法还可以包括通过接口基于关于允许的通信的信息对控制设备经由车辆通信信道的通信进行过滤。通过过滤可以防止控制设备的未经授权的通信或对控制设备进行未经授权的通信。

在至少一些实施例中，关于允许的通信的信息包括关于控制设备的至少一个允许的发送标识符的信息。对控制设备经由车辆通信信道的通信的过滤可以包括基于关于控制设备的至少一个允许的发送标识符的信息来对控制设备经由车辆通信信道的外发通信进行过滤。因此，例如可以防止控制设备在其已经陷入危险的情况下能够通过伪造其标识符来误导另外的控制设备。在至少一些实施例中，对控制设备经由车辆通信信道的通信的过滤包括基于关于控制设备的至少一个允许的发送标识符的信息来对控制设备的外发通信进行阻止。因此，例如可以防止控制设备在其已经陷入危险的情况下能够通过伪造其标识符来误导另外的控制设备。

在至少一些实施例中，关于允许的通信的信息可以包括关于控制设备的至少一个允许的接收标识符的信息。对控制设备经由车辆通信信道的通信的过滤可以包括基于关于控制设备的至少一个允许的接收标识符的信息来对控制设备的送达通信进行过滤。因此，例如可以防止具有无效标识符的控制设备的消息或未发往控制设备的消息能够被控制设备接收。

在一些实施例中，关于允许的通信的信息包括如下组中的至少一个元素：用于控制设备经由通信信道的通信的一个或多个允许的通信标识符、用于经由通信信道的通信的一个或多个不允许的通信标识符、用于经由通信信道的通信的消息的允许的重复率、针对经由通信信道的通信的允许的数据吞吐量、针对经由通信信道的通信的允许的消息大小、用于经由通信信道的通信的消息的允许的格式、用于经由通信信道的通信的消息的允许的优先级以及用于经由通信信道的通信的消息的允许的报头数据信息。这些参数可用于区分允许的通信与不允许的通信。

实施例还实现了一种用于为装置提供更新的方法，该装置用于向车辆的控制设备提供通信。该方法包括经由车辆通信信道为装置提供更新消息，该装置用于为控制设备提供通信。更新消息涉及关于控制设备经由车辆通信信道的允许的通信的信息。关于允许的通信的信息包括与控制设备经由车辆通信信道的通信有关的一个或多个通信规则。通过更新关于经由车辆通信信道的允许的车辆通信的信息，可以独立于该控制设备地更新经由车辆通信信道为控制设备提供通信的装置，这样既使得可以将该装置与控制设备隔离，又可以独立于控制设备制造商地确保控制设备的通信。

在至少一些实施例中，该方法还包括：通过从装置接收验证请求来验证更新消息；基于更新消息检查验证请求；以及如果对验证请求的检查成功，则向装置传输验证响应。因此，例如可以确认更新消息确实源自总部。

实施例还实现了具有程序代码的程序，该程序用于当在计算机、处理器、控制器或可编程的硬件组件上实施程序代码时执行方法中的至少一种。

实施例还实现了一种用于为车辆的控制设备提供通信的装置。装置包括第一接口，其被构建为用于经由车辆的车辆通信信道进行通信。装置还包括第二接口，其被构建为用于与控制设备通信。该装置包括控制模块。控制模块被构建为用于经由第一接口以及经由第二接口为控制设备提供用于经由车辆通信信道进行通信的接口。通信基于关于控制设备经由车辆通信信道的允许的通信的信息。关于允许的通信的信息包括与控制设备经由车辆通信信道的通信有关的一个或多个通信规则。控制模块被构建为以便独立于控制设备地实施接口，使得关于允许的通信的信息被屏蔽以防控制设备的访问。控制模块被构建为用于在经由车辆通信信道的通信中识别更新消息。更新消息涉及关于控制设备经由车辆通信信道的允许的通信的信息。控制模块被构建为用于基于更新消息来更新关于允许的通信的信息。控制模块被构建为以便独立于控制设备地执行对关于允许的通信的信息的更新。

实施例还实现了一种具有用于为车辆的控制设备提供通信的装置的控制设备。控制模块被构建为以便确保关于允许的通信的信息的安全以防止控制设备的访问。因此，可以防止陷入危险的控制设备获得对车辆通信信道的不允许的入口。

实施例还实现了一种具有用于为车辆的控制设备提供通信的装置和控制设备的车辆。该装置与控制设备分开实施。因此，可以分别在控制设备与车辆通信信道之间插入用于为车辆的控制设备提供通信的装置，以便实现确保不同供应商的控制设备之间的通信的安全。

实施例还实现了一种用于为装置提供更新的中央装置，该装置用于向车辆的控制设备提供通信。中央装置包括接口，其被构建为用于经由车辆通信信道进行通信。中央装置还包括控制模块，其被构建为用于经由接口以及车辆通信信道向装置提供更新消息，该装置用于向控制设备提供通信。更新消息涉及关于控制设备经由车辆通信信道的允许的通信的信息。关于允许的通信的信息包括与控制设备经由车辆通信信道的通信有关的一个或多个通信规则。

附图说明

下面根据附图中所示的实施例更详细地描述其他有利的设计方案，然而总的来说实施例通常不限于这些设计方案。附图中：

图1a和图1b示出了用于为车辆的控制设备提供通信的方法的实施例的流程图；

图1c示出了用于为车辆的控制设备提供通信的装置的实施例的框图；

图2a示出了用于为装置提供更新的方法的实施例的流程图，该装置用于向车辆的控制设备提供通信；

图2b示出了用于为装置提供更新的中央装置的实施例的框图，该装置用于向车辆的控制设备提供通信；以及

图3示出了设备的示意图，该设备经由车辆的车辆通信信道来进行通信。

具体实施方式

现在将参考所附附图更详细地描述不同的实施例，在附图中示出了一些实施例。在附图中，为了清楚起见，线、层和/或区域的厚度尺寸可能被放大。

在对仅示出一些示例性实施例的所附附图的以下描述中，相同的附图标记可以表示相同或类似的组件。此外，组合的附图标记可以用于在实施例或在附图中多次出现、但在一个或多个特征方面被共同进行描述的组件和对象。在单个、多个或所有特征(例如，其尺寸)方面，利用相同或组合的附图标记描述的组件或对象可以相同，然而，除非描述中明确或隐含地另有说明，必要时也可以不同地实施这些组件或对象。

尽管可以以不同方式修改和改变实施例，但实施例在附图中被作为示例示出并且在此被详细描述。然而，应当清楚，其目的不是将实施例限制为分别公开的形式，而是更确切的说，实施例应当覆盖本发明范围内的所有功能上和/或结构上的修改、等同和变形方案。在整个附图描述中，相同的附图标记表示相同或相似的元件。

应当注意，被称为与另外的元件“连接”或“耦合”的元件可以与另外的元件直接连接或耦合，或者可以存在位于其之间的元件。反之，如果元件被称为与另外的元件“直接连接”或“直接耦合”，则不存在位于其之间的元件。应当以类似的方式来解释用于描述元件之间的关系的另外的术语(例如，“在...之间”相对于“直接在...之间”，“相邻”相对于“直接相邻”等)。

在此所使用的用辞仅用于描述特定的实施例，而不应当限制实施例。如在此所使用的，单数形式“一个”和“该”也应当包含复数形式，除非上下文另外明确指出。此外，应当明确的是，在此所使用的表述(诸如“包含”、“包含有…的”、“具有”、“包括”、“包括有…的”和/或“具有…的”)说明了存在所提及的特征、整数、步骤、工作流程、元件和/或组件，但是并不排除存在或添加一个或多个特征、整数、步骤、工作流程、元件、组件和/或其组。

除非另有定义，否则在此所使用的所有术语(包括技术术语和科学术语)具有与实施例所属的领域的普通技术人员赋予它们的含义相同的含义。此外应当明确的是，只要在此未明确定义，表述(例如，常用词典中所定义的那些表述)应被解释为其具有与它们在相关技术的上下文中的含义一致的含义，而不应在理想化或过度形式化的意义上进行解释。

图1a和图1b示出了用于为车辆100的控制设备20提供通信的方法的实施例的流程图。该方法包括为控制设备20提供110用于经由车辆通信信道进行通信的接口。通信基于关于控制设备20经由车辆通信信道的允许的通信的信息。关于允许的通信的信息包括与控制设备20经由车辆通信信道的通信有关的一个或多个通信规则。独立于控制设备20地实施接口，使得关于允许的通信的信息被屏蔽以防控制设备20的访问。该方法包括在经由车辆通信信道的通信中识别130更新消息。更新消息涉及关于控制设备20经由车辆通信信道的允许的通信的信息。该方法包括基于更新消息来更新140关于允许的通信的信息。独立于控制设备20地执行对关于允许的通信的信息的更新140。

图1c示出了用于为车辆100的控制设备20提供通信的对应的装置10的实施例的框图。装置10包括第一接口12，其被构建为用于经由车辆的车辆通信信道进行通信。装置10还包括第二接口14，其被构建为用于与控制设备20通信。装置10还包括控制模块16，其与第一接口12和第二接口14耦合。控制模块16可以被构建为以便实施结合图1a和图1b给出的方法的方法步骤。控制模块16被构建为用于经由第一接口12以及经由第二接口14为控制设备20提供用于经由车辆通信信道进行通信的接口。通信基于关于控制设备20经由车辆通信信道的允许的通信的信息。关于允许的通信的信息包括与控制设备20经由车辆通信信道的通信有关的一个或多个通信规则。控制模块16被构建为以便独立于控制设备20地实施接口，使得关于允许的通信的信息被屏蔽以防控制设备20的访问。控制模块16被构建为用于在经由车辆通信信道的通信中识别更新消息。更新消息涉及关于控制设备20经由车辆通信信道的允许的通信的信息。控制模块16被构建为用于基于更新消息来更新关于允许的通信的信息。控制模块16被构建为以便独立于控制设备地执行对关于允许的通信的信息的更新。图1c还示出了具有装置10和控制设备20的车辆100，其中装置10被实施为与控制设备20分开。

至少一些实施例涉及经由车辆通信信道为车辆的控制设备提供通信。车辆的控制设备通常是被构建为以便控制和/或以便监视车辆的车辆组件的装置。在此，控制设备通常包括在车辆组件中。在至少一些实施例中，控制设备与(恰好一个)车辆组件相关联。在此，车辆组件通常由供应商制造，其中车辆组件的控制设备由供应商编程和设置。为了能够实现车辆组件的全部功能，控制设备通常例如经由车辆通信信道与车辆的中央主管机关连接，该车辆通信信道将用于车辆组件的命令传输到车辆的车辆组件的控制设备，和/或从控制设备获得车辆组件的状态信息。如果一个控制设备陷入危险，则在一些系统中经由车辆通信通道可能出现让另外的控制设备陷入危险。至少一些实施例旨在防止这种陷入危险。

该方法包括为控制设备20提供110用于经由车辆通信信道进行通信的接口。提供110用于经由车辆通信信道进行通信的接口使得控制设备20能够经由车辆通信信道进行通信。例如，提供110用于经由车辆通信信道进行通信的接口可以包括为控制设备20转发车辆通信信道的消息，以及包括为车辆通信信道(例如，经由车辆通信信道为另外的控制设备或者为车辆的中央主管机关)转发控制设备20的消息。控制模块16例如可以被构建为用于经由第一接口12以及经由第二接口14为控制设备20提供用于经由车辆通信信道进行通信的接口。控制模块16例如可以被构建为以便经由第二接口14向控制设备20提供用于车辆通信信道的接口。在此，控制设备200经由用于经由车辆通信信道进行通信的接口的通信可以经由第一接口12进行路由。例如，控制模块16可以被构建为以便为控制设备20经由第一接口12接收车辆通信信道的消息，并且经由第二接口14转发到控制设备20。控制模块16可以被构建为以便为车辆通信信道(例如，经由车辆通信信道为另外的控制设备或者为车辆的中央主管机关)经由第二接口14接收控制设备20的消息，并且经由第一接口12进行转发。

独立于控制设备20地实施用于控制设备20经由车辆通信信道进行通信的接口，使得关于允许的通信的信息被屏蔽以防(读取和/或写入)控制设备的访问。换言之，可以提供接口，使得使控制设备20(仅)能够使用用于经由车辆通信信道进行通信的接口。同时，可以提供接口，使得控制设备20被屏蔽以防接口的控制(例如，以防改变关于允许的通信的信息)。例如，接口可以由实体、例如由装置10提供，该接口与控制设备20分开地实施。

车辆通信信道例如可以是车辆总线。例如，车辆组件可以被设计为将车辆100的多个控制设备彼此连接。在至少一些实施例中，车辆通信信道可以是如下的组中的元素：CAN总线(Controller Area Network，控制器区域网络总线)，LIN(英语也就是：LocalInterconnected Network，本地互联网络)、FlexRay、MOST(Media Oriented SystemTransport，媒体导向系统传输)、K线、SAE J1850(Society of Automotive EngineersStandard J1850，汽车工程师协会标准J1850)和以太网。第一接口12可以被构建为以便经由如下的组中的至少一个元素进行通信：CAN总线、LIN、FlexRay、MOST、K线、SAE J1850和以太网。

控制设备20经由车辆通信信道的通信基于关于控制设备经由车辆通信信道的允许的通信的信息。换言之，在关于允许的通信的信息允许的范围内，提供控制设备20经由车辆通信信道的通信。关于允许的通信的信息包括与控制设备20经由车辆通信信道的通信有关的一个或多个通信规则(例如过滤规则)。可以基于一个或多个通信规则来限制、监视和/或过滤控制设备20经由车辆通信信道的通信。在一些实施例中，该方法包括基于关于允许的通信的信息来过滤120(例如监视)控制设备20经由车辆通信信道的通信。经由车辆通信信道的通信例如可以基于通信标识符。通信标识符例如可以定义消息的来源(发送标识符)和/或消息的目的地(接收标识符)。关于允许的通信的信息例如可以定义哪些通信标识符对于控制设备20经由车辆通信信道的通信而言是允许的(或者是不允许的)。例如，关于允许的通信的信息可以包括关于控制设备20的至少一个允许的发送标识符的信息和/或关于控制设备20的至少一个允许的接收标识符的信息。附加地，关于允许的通信的信息可以包括关于发送标识符的信息，这些发送标识符允许向控制设备20传输消息。通信标识符、例如发送标识符和/或接收标识符，例如可以是CAN通信协议的标识符(英语也称为：Identifier)。

在至少一些实施例中，关于允许的通信的信息包括关于控制设备20的至少一个允许的发送标识符的信息。对控制设备20经由车辆通信信道的通信的过滤120可以包括基于关于控制设备20的至少一个允许的发送标识符的信息来对控制设备20经由车辆通信信道的外发通信进行过滤。例如，对控制设备20经由车辆通信信道的通信的过滤120可以包括阻止控制设备20在使用不允许的发送标识符的情况下所提供的消息。例如，对控制设备20经由车辆通信信道的通信的过滤120可以包括基于关于控制设备20的至少一个允许的发送标识符的信息对控制设备20的外发通信进行阻止。

附加地或替换地，对控制设备20经由车辆通信信道的通信的过滤120可以包括仅将包括用于控制设备20的(允许的)接收标识符的消息转发到控制设备20。可以阻止和/或不转发未发往控制设备20或不包括用于控制设备20的(允许的)接收标识符的消息。例如，关于允许的通信的信息可以包括关于控制设备20的至少一个允许的接收标识符的信息。对控制设备20经由车辆通信信道的通信的过滤120可以包括基于关于控制设备20的至少一个允许的接收标识符的信息来对控制设备的送达通信进行过滤。对控制设备20经由车辆通信信道的通信的过滤120可以包括阻止或不转发不包括控制设备20的至少一个允许的接收标识符的消息。在一些实施例中，关于允许的通信的信息还可以包括关于另外的控制设备的一个或多个允许的发送标识符的信息。关于另外的控制设备的一个或多个允许的发送标识符的信息例如可以包括一个或多个另外的控制设备的发送标识符，这些另外的控制设备被授权经由车辆通信信道向控制设备20发送消息。对控制设备20经由车辆通信信道的通信的过滤120可以包括基于关于另外的控制设备的一个或多个允许的发送标识符的信息来对控制设备的送达通信进行过滤。例如，可以将用于控制设备的消息转发到控制设备20，该消息源于其发送标识符被包括在关于另外的控制设备的一个或多个允许的发送标识符的信息中的控制设备，并且阻止和/或不转发具有另外的发送标识符的消息。

在至少一些实施例中，关于允许的通信的信息、例如一个或多个通信规则包括如下的组中的至少一个元素：用于控制设备经由通信信道的通信的一个或多个允许的通信标识符、用于经由通信信道的通信的一个或多个不允许的通信标识符、用于经由通信信道的通信的消息的允许的重复率、针对经由通信信道的通信的允许的数据吞吐量、针对经由通信信道的通信的允许的消息大小、用于经由通信信道的通信的消息的允许的格式、用于经由通信信道的通信的消息的允许的优先级以及用于经由通信信道的通信的消息的允许的报头数据信息。

对控制设备20的通信的过滤120例如可以包括基于如下的组中的一个或多个元素来为车辆通信信道转发或阻止控制设备20的消息：用于经由通信信道的通信的消息的允许的重复率、针对经由通信信道的通信的允许的数据吞吐量、针对经由通信信道的通信的允许的消息大小、用于经由通信信道的通信的消息的允许的格式、用于经由通信信道的通信的消息的允许的优先级以及用于经由通信信道的通信的消息的允许的报头数据信息。对控制设备20的通信的过滤120例如可以包括基于如下的组中的一个或多个元素来转发或阻止为控制设备20而确定的消息：用于经由通信信道的通信的消息的允许的重复率、针对经由通信信道的通信的允许的数据吞吐量、针对经由通信信道的通信的允许的消息大小、用于经由通信信道的通信的消息的允许的格式、用于经由通信信道的通信的消息的允许的优先级以及用于经由通信信道的通信的消息的允许的报头数据信息。

例如，该方法可以包括确定源自控制设备20的或者为控制设备20所确定的消息的重复率。该方法可以包括将源自控制设备20的或者为控制设备20所确定的消息的重复率与用于经由通信信道的通信的消息的允许的重复率进行比较。

例如，该方法可以包括确定源自控制设备20的或者为控制设备20所确定的消息的数据吞吐量。该方法可以包括将源自控制设备20的或者为控制设备20所确定的消息的数据吞吐量与用于经由通信信道的通信的消息的允许的数据吞吐量进行比较。

例如，该方法可以包括确定源自控制设备20的或者为控制设备20所确定的消息的消息大小。该方法可以包括将源自控制设备20的或者为控制设备20所确定的消息的消息大小与用于经由通信信道的通信的消息的允许的消息大小进行比较。

例如，该方法可以包括确定源自控制设备20的或者为控制设备20所确定的消息的消息格式。该方法可以包括将源自控制设备20的或者为控制设备20所确定的消息的消息格式与用于经由通信信道的通信的消息的允许的格式进行比较。

例如，该方法可以包括确定源自控制设备20的或者为控制设备20所确定的消息的优先级(例如，存储在消息的报头数据中的优先级标识符)。该方法可以包括将源自控制设备20的或者为控制设备20所确定的消息的优先级与用于经由通信信道的通信的消息的允许的优先级进行比较。

例如，该方法可以包括确定源自控制设备20的或者为控制设备20所确定的消息的报头数据信息。该方法可以包括将源自控制设备20的或者为控制设备20所确定的消息的报头数据信息与用于经由通信信道的通信的消息的允许的报头数据信息进行比较。

该方法包括在经由车辆通信信道的通信中识别130更新消息。例如，更新消息可以包括更新标识符。识别130可以包括对更新消息的更新标识符的识别。如果消息包括更新标识符，则该方法可以将其识别130为更新消息。在至少一些实施例中，对更新消息的识别130包括检查更新消息是否涉及和/或包括关于用于控制设备20的允许的通信的信息。如果消息涉及关于用于控制设备20的允许的通信的信息或者包括该信息，和/或如果消息包括更新标识符，则该消息可以被识别为更新消息。在至少一些实施例中，更新标识符(仅)与控制设备20相关联。例如，可以将不同的更新标识符与车辆的不同的控制设备相关联。

该方法还包括基于更新消息来更新140关于允许的通信的信息。例如，更新消息可以包括关于允许的通信的所有信息。在该情况下，对关于允许的通信的信息的更新可以对应于通过更新消息的关于允许的通信的信息来替换关于允许的通信的信息。替代地，更新消息可以包括关于允许的通信的信息的更新后的部分。在该情况下，对关于允许的通信的信息的更新可以对应于通过更新消息的关于允许的通信的信息部分地替换关于允许的通信的信息或者补充关于允许的通信的信息。

独立于控制设备20地执行对关于允许的通信的信息的更新140。换言之，在不可能或不需要干预控制设备20的条件下，执行关于允许的通信的信息。例如，该方法还可以包括屏蔽对关于允许的通信的信息的更新140。例如，在更新关于允许的通信的信息期间，可以阻止或防止控制设备20对用于经由车辆通信信道进行通信的接口的访问。

在至少一些实施例中，这包括更新140关于允许的通信的信息，如图1b中所示，还包括验证142更新消息。例如，验证更新消息可以对应于检查更新消息是否有效。例如，如果更新消息源自针对更新消息的经授权的源，并且如果更新消息未被第三方操纵，则该更新消息可能有效。例如，对更新消息的验证142可以基于加密方法。例如，可以基于非对称或对称加密方法对更新消息的至少一部分进行签名或加密。在非对称方法中，可以基于(例如车辆制造商或车辆的组件制造商的)私钥对更新消息的一部分进行签名或加密。验证可以包括基于(例如车辆制造商或车辆的组件制造商的)公钥检查更新消息的签名或解密更新消息的一部分。在对称方法中，可以基于共用秘密对更新消息的一部分进行签名或加密。验证可以包括基于共用秘密检查更新消息的签名或解密更新消息的一部分。

在至少一些实施例中，验证请求基于更新消息。例如，验证请求可以包括(例如，以加密或签名的形式的)更新消息或更新消息的一部分。替换地或附加地，验证请求可以包括更新消息的至少一部分的分散值(英语也称为：Hash-Wert，哈希值)。验证响应可以包括关于如下的信息：是否已经从用于更新消息的经授权的消息源(例如，如引入到图2b中的中央装置30)传输了包括在验证请求中的更新消息/更新消息的一部分或者更新消息的至少一部分的分散值。

在至少一些实施例中，对更新消息的验证142基于请求-响应方法(英语也称为：Challenge-Response-Verfahren，质询-响应方法)。对更新消息的验证142可以包括将验证请求传输到车辆的总部并且从车辆的总部接收验证响应。对更新消息的验证可以基于验证请求和验证响应。例如，请求-响应方法可以基于加密方法。例如，验证响应可以包括验证请求的解密内容。替换地，验证响应可以包括验证请求的加密内容。替换地或附加地，验证响应可以包括验证请求的经签名的内容。请求-响应方法既可以基于非对称加密方法，也可以基于对称加密方法。

如果对更新消息的验证142失败，则可以忽略更新消息。如果对更新消息的验证142多次(例如，在预定义的时间间隔内多次)失败，则例如可以忽略所有更新消息，直至车辆100重新启动为止。

在一些实施例中，如图1b中所示，该方法还包括屏蔽150关于允许的通信的信息以防控制设备20的访问。例如，屏蔽150关于允许的通信的信息以防控制设备20的访问可以防止由控制设备20读取或操纵关于允许的通信的信息或者使其更加困难。例如，屏蔽150关于允许的通信的信息以防控制设备20的访问可以阻止控制设备20经由第二接口14访问关于允许的通信的信息(或使之更加困难)。屏蔽150关于允许的通信的信息例如可以包括将关于允许的通信的信息存储在受保护的存储区域中。该方法还可以包括基于加密方法保护受保护的存储区域。例如，屏蔽150关于允许的通信的信息可以包括基于分散值函数(英语也称为：Hash-Funktion，哈希函数)来加密关于允许的通信的信息或者监视关于允许的通信的信息。在至少一些实施例中，控制设备20包括装置10。控制模块16可以被构建为以便屏蔽关于允许的通信的信息以防止控制设备20的访问。

在至少一些实施例中，车辆100例如可以是陆地车辆、水运工具、飞行器、轨道车辆、公路车辆、汽车、越野车辆、机动车辆或载货车辆。

第一接口12和/或第二接口14(以及结合图2b所引入的接口32)例如可以对应于在模块内部、在模块之间或在不同实体的模块之间用于(例如以数字比特值)基于代码接收和/或传输信息的一个或多个输入端和/或一个或多个输出端。

在实施例中，控制模块16(和/或结合图2b所引入的控制模块34)可以对应于任意的控制器或处理器或可编程的硬件组件。例如，控制模块14还可以被实现为用于为对应的硬件组件进行编程的软件。就此而言，控制模块16、34可以被实现为具有对应匹配的软件的可编程的硬件。在此，可以使用任意的处理器，例如数字信号处理器(DSP)。在此，实施例不限于特定类型的处理器。可想到任意的处理器或者还可想到多个处理器以实现控制模块16、34。

结合之前或之后(例如图2a至图3)所描述的设计或示例，提及方法和装置10的更多细节和方面。装置10和方法可以包括一个或多个附加的可选特征，如已经在之前或之后所述的，其与所提出的设计或所描述的示例的一个或多个方面对应。

图2a示出了用于为装置10提供更新的方法的实施例的流程图，该装置用于向车辆100的控制设备20提供通信。该方法包括经由车辆通信信道为装置10提供310更新消息，该装置用于为控制设备20提供通信。更新消息涉及关于控制设备20经由车辆通信信道的允许的通信的信息。关于允许的通信的信息包括与控制设备20经由车辆通信信道的通信有关的一个或多个通信规则。例如，该方法可以由车辆的中央装置30来实施。

图2b示出了用于为装置10提供更新的(对应的)中央装置30的实施例的框图，该装置用于向车辆100的控制设备20提供通信。中央装置30包括接口32，其被构建为用于经由车辆通信信道进行通信。中央装置30包括控制模块34，其被构建为用于经由接口32以及车辆通信信道向装置10提供更新消息，该装置用于向控制设备20提供通信。更新消息涉及关于控制设备20经由车辆通信信道的允许的通信的信息。关于允许的通信的信息包括与控制设备20经由车辆通信信道的通信有关的一个或多个通信规则。接口32与控制模块34耦合。控制模块34还可以被构建为以便实施图2a的方法的另外的方法步骤。图2b还示出了包括装置30、装置10和控制设备20的车辆100。

在至少一些实施例中，更新消息可以由车辆的中央实体(例如，由中央装置30)被提供给用于为控制设备(例如，控制设备20)提供通信的装置。中央装置30例如可以是车辆的中央管理装置。在一些实施例中，中央装置可以是用于车辆通信信道的管理装置，例如可以是车辆通信信道的网关(针对转换单元的英语，即Gateway)或安全装置。

该方法包括经由车辆通信信道为装置10提供310更新消息，该装置用于为控制设备20提供通信。例如，对更新的提供可以对应于对更新消息的提供310。该方法可以包括经由车辆通信信道传输更新消息。在至少一些实施例中，可以为多个控制设备(或其用于提供经由车辆通信信道的通信的装置)提供更新消息。更新消息例如包括关于用于控制设备20的允许的通信的信息。

在一些实施例中，该方法还包括：通过从装置接收验证请求来验证320更新消息；基于更新消息检查验证请求；以及如果对验证请求的检查成功，则向装置传输验证响应。在至少一些实施例中，可以对验证请求进行加密或签名。检查验证请求可以包括检查验证请求的加密或签名是否有效。如果已经由装置10对加密请求进行了加密或签名并且随后未操纵该加密请求，则验证请求的加密或签名可以是有效的。例如，该方法可以包括基于验证请求来确定验证响应。例如，该方法可以包括对验证请求进行解密、加密或签名，以便确定验证响应。

在至少一些实施例中，验证请求基于更新消息。例如，验证请求可以包括例如已经由装置10所接收到的(例如，以加密或签名的形式的)更新消息或更新消息的一部分。替换地或附加地，验证请求可以包括例如已经由装置10所接收到的更新消息的至少一部分的分散值(英语也称为：Hash-Wert，哈希值)。验证响应可以包括关于如下的信息：包括在验证请求中的更新消息/更新消息的一部分或分散值是否与所提供310的更新消息的、更新消息的至少一部分相对应。如果中央装置30尚未提供310更新消息，则对更新消息的验证不成功。

结合此前或之后(例如图1a和图1b、图3)已经描述的设计或示例，提及中央装置30和方法的更多细节和方面。中央装置30和方法可以包括一个或多个附加的可选特征，如已经在之前或之后所述的，其与所提出的设计或所描述的示例的一个或多个方面对应。

图3示出了设备的示意图，该设备经由车辆的车辆通信信道来进行通信。图3示出了网关服务器和配置服务器302，其可以大致对应于图2b的中央装置30。该网关服务器和配置服务器经由CAN总线304与第一控制设备306以及与第二控制设备308连接，CAN总线可以对应于车辆通信信道。第一控制设备可以对应于实施例中的控制设备20。控制设备包括第一区域306a，其可以对应于图1c中的装置10，第一区域具有CAN通信模块306b和过滤器306c，该CAN通信模块例如可以由第一接口12形成，该过滤器可以由控制模块16形成。第一控制设备306还包括第二区域306d，其可以对应于实施例中的控制设备20。第二区域包括微控制器306e，其与第一区域耦合。如通过图示法所示出的，可以让第一控制设备的第二区域陷入危险。在第一控制设备中，利用独立的配置来进行对经由CAN总线306所发送的发送消息的控制。图3还示出了没有这种第一区域和第二区域的划分的第二控制设备308。第二控制设备包括CAN通信模块308a和微控制器308b，该微控制器与CAN通信模块308a耦合。

结合之前或之后(例如图1a至图2b)已经描述的设计或示例，提及更多细节和方面。图3中所示出的实体可以包括一个或多个附加的可选特征，如已经在之前或之后所述的，其与所提出的设计或所描述的示例的一个或多个方面对应。

实施例实现了可经由总线配置的CAN控制器。

至少一些实施例在CAN控制设备中实现了硬件过滤器，以避免欺骗攻击(假装为假身份)和泛洪攻击(大量发送消息)。在至少一些另外的系统中，不可能将过滤器的配置制定为使得该过滤器可以灵活地进行模型维护并且同时独立于供应商实施。在这种系统中，配置通常通过控制设备软件来引入，并且这种内部过滤可能潜在地包含弱点或者要以供应商100％的可信赖性为前提。

在一些系统中，经由存在于控制设备中的对应的数据组来配置CAN通信。经由该数据组，可以确定CAN接收过滤器，并且还可以确定待发送的CAN标识符的范围。在这种系统中，控制设备的软件通常具有对配置的完全控制。

如果配置是控制设备软件的一部分，则正确的实施取决于控制设备软件。尽管进行了深入的软件检查，但由于无法排除问题或弱点，因此无法保证在这种系统中将正确地实施配置。此外，在至少一些系统中，对于CAN没有通用的方式来(例如在中央网络网关中(针对转换单元的英语，即Gateway))集中管理针对控制设备的配置并且在需要时将其分发给控制设备。因此，可以一次性地对车辆中通信关系的更改进行集中更新，并且然后进行分发。此外可能存在如下危险：值得保护的配置密钥可能被散布并且机密性无法再被保证。

至少一些实施例实现了独立的控制中央主管机关(例如用于为车辆的控制设备提供通信的控制中央主管机关)，以进行检查并在必要时丢弃CAN消息。

在一些实施例中，也可以在所涉及的控制设备的上游连接用于外部过滤的单独的控制设备，或者可以将该控制设备隔离在单独的CAN上并且可以在网关中执行过滤。在一些变形方案中，这可能造成追加成本并限制安装空间。此外，控制设备在自己的CAN上的隔离受到通用微控制器上可能的CAN控制器(控制单元)数量的限制。

至少一些实施例能够通过经由CAN总线传输更新来实现例如通过网关的对CAN通信的集中管理。由此，车辆制造商能够在车辆中轻松应对功能的转变，而无需对控制设备进行大量更新。此外，在许多实施例中，配置变得独立于控制设备软件以及潜在地位于那里的弱点。可能需要CAN硬件作为经过测试和认证的强制性构件。

实施例实现了用于车辆通信信道、例如CAN(Controller Area Network，控制器区域网络)或MOST(Media Oriented System Transport，媒体导向系统传输)的通信控制器，该通信控制器可以经由总线进行配置。至少一些实施例实现了独立的控制中央主管机关中安全、独立于供应商并且灵活的配置引入。

ECU(Electronic Control Unit，电子控制单元，控制设备)中的通信控制器是构件与车辆总线(车辆通信信道)之间的中央接口。由此，其能够致力于有关接收和发送消息的集中过滤任务。该过滤对ECU的安全性评估具有影响，这就是为什么必须对过滤的配置提出对应的安全性要求的原因。如果可以从ECU本身更改配置，则通过ECU可以拦截或伪造消息。如果ECU、其软件环境或其域(例如，在线信息娱乐)不可信，则这尤其关键。因此，至少一些实施例的思路是，不由ECU而是独立于该ECU地经由总线通过OEM的受信任系统来执行配置。在至少一些实施例中，ECU本身无法改变配置。

例如，CAN控制器(例如，用于为车辆的控制设备提供通信的装置)可以被设计为使得该CAN控制器对特定的CAN标识符(标识符)做出反应。当对应的消息(例如更新消息)到达CAN(例如车辆通信信道)时，则CAN硬件处理从外部引入的配置并且使用该配置以对过滤器列表/白名单(即，其中登记有同意的/允许的通信参数的列表，例如通过更新关于允许的通信的信息)进行配置；即，如果控制设备要发送根据数据定义不允许发送的消息，则(例如，通过监视控制设备的通信)这些消息将例如被硬件过滤器阻止。在此，针对传输的协议可以是特定于OEM的，针对配置传输的CAN标识符可以静态地锚定在CAN硬件中。

通信控制器例如可以被设计为用于支持对安全验证机制和标识机制的使用。在此，针对传输的协议可以是特定于OEM(Original Equipment Manufacturer，原始设备制造商)的，针对配置传输的标识符例如可以静态地锚定在控制器硬件中。至少一些实施例实现了用于更新配置(例如，关于允许的通信的信息)、例如更新ECU软件的合适的场景，以便防止由于不当的触发而干扰车辆的正常运行。例如，通信控制器可以利用对车辆的中央单元的质询(发送对应的响应的请求)来响应标识符以进行更新。在C&R(Challenge-Response，请求-响应方法)的过程多次失败的情况下，例如可以忽略更新请求，直至再次触发点火端子为止。在经由车辆总线进行传输时，能够例如通过网关实现对通信的集中管理。由此，车辆制造商能够在车辆中轻松应对功能的转变，而无需对控制设备进行大量更新。该配置可以独立于控制设备软件以及潜在地位于那里的弱点，即，如果控制设备本身陷入危险，则可以防止影响到配置，并且可以继续给出对配置的保护。可能需要控制器硬件作为经过测试和认证的强制性构件。

在至少一些实施例中，通过该装置，控制设备(例如，媒体控制设备)的单独通信控制器可能变得多余，因为对车辆通信的保护被转移到控制器的标准化硬件中。

另外的实施例是计算机程序，用于当计算机程序在计算机、处理器或可编程的硬件组件上运行时执行以上所描述的方法中的至少一个。另外的实施例还是数字存储介质，该数字存储介质是机器可读或计算机可读的，并且具有电子可读的控制信号，该控制信号可以与可编程的硬件组件共同作用，从而实施以上所描述的方法中的一个。

针对以不同的设计方案实现实施例，在上面的描述、后面的权利要求和所附附图中公开的特征可以单个地或者以任意的组合来起作用并加以实现。

尽管已经结合装置描述了一些方面，但可以理解，这些方面也代表了对相应方法的描述，因此，块或装置的部件也应当被理解为对应的方法步骤或方法步骤的特征。与此类似，已经结合方法步骤或作为方法步骤描述的方面也代表了对相应块或相应装置的细节或特征的描述。

根据特定的实现要求，本发明的实施例可以以硬件或软件来实现。可以在使用数字存储介质、例如软盘、DVD、蓝光光盘、CD、ROM、PROM、EPROM、EEPROM或FLASH存储器、硬盘或其他磁性存储器或光学存储器的情况下执行该实现，在该数字存储介质上存储有电子可读的控制信号，该控制信号与可编程的硬件组件共同作用或者可以共同作用，从而执行相应的方法。

可编程的硬件组件可以通过处理器、计算机处理器(CPU＝中央处理单元)、图形处理器(GPU＝图形处理单元)、计算机、计算机系统、专用集成电路(ASIC＝专用集成电路)、集成电路(IC＝集成电路)、单芯片系统(SOC＝片上系统)、可编程逻辑元件或带有微处理器的现场可编程门阵列(FPGA＝现场可编程门阵列)来形成。

因此，数字存储介质可以是机器可读的或计算机可读的。因此，一些实施例包括具有电子可读的控制信号的数据载体，该电子可读的控制信号能够与可编程的计算机系统或可编程的硬件组件共同作用，使得执行在此所描述的方法中的一个。因此，一个实施例是一种数据载体(或数字存储介质或计算机可读的介质)，在其上记录了用于执行在此所述方法中的一个的程序。

通常，本发明的实施例可以被实现为具有程序代码的程序、固件、计算机程序或计算机程序产品或者被实现为数据，其中，当程序在处理器上或者在可编程的硬件组件上运行时，该程序代码或数据对于执行方法中的一个是有效的。程序代码或数据也可以例如存储在机器可读的载体或数据载体上。程序代码或数据尤其可以作为源代码、机器代码或字节代码以及作为其他中间代码而存在。

此外，另外的实施例是数据流、信号系列或信号的序列，其表示用于执行在此所描述的方法中的一个的程序。数据流、信号系列或信号的序列例如可以被配置为经由数据通信连接、例如经由因特网或另外的网络来进行传输。因此，实施例是也代表数据的、适合于经由网络或数据通信连接来传输的信号系列，其中数据表示程序。

根据实施例的程序可以在其执行期间例如通过以下方式来实现方法中的一种，即该程序读取存储器位置或者在该存储器位置写入一个数据或多个数据，由此必要时引起晶体管结构中、放大器结构中或者另外的电气、光学、磁性或按照另外的工作原理来工作的构件中的开关过程或另外的过程。对应地，通过读取存储位置，可以由程序采集、确定或测量数据、值、传感器值或另外的信息。因此，程序可以通过读取一个或多个存储位置来采集、确定或测量参量、值、测量参量和另外的信息，以及可以通过写入一个或多个存储位置来引起、促使或者执行动作，以及可以控制另外的设备、机器或组件。

以上所描述的实施例仅表示对本发明原理的说明。应当理解，在此所描述的布置和细节的修改和变形对于其他技术人员将变得显而易见。因此，本发明旨在仅由所附权利要求的保护范围来限制，而不受根据实施例的描述和说明而在此提出的具体细节的限制。

附图标记列表

10 用于提供经由车辆通信信道的通信的装置

12 第一接口

14 第二接口

16 控制模块

20 控制设备

30 中央装置

32 接口

34 控制模块

100 车辆

110 提供用于经由车辆通信信道进行通信的接口

120 过滤通信

130 识别更新消息

140 更新关于允许的通信的信息

142 验证更新消息

150 屏蔽关于允许的通信的信息

302 网关服务器和配置服务器

304 CAN总线

306 第一控制设备

306a 第一控制设备的第一区域

306b 第一控制设备的CAN通信模块

306c 第一控制设备的过滤器

306d 第一控制设备的第二区域

306e 第一控制设备的微控制器

308 第二控制设备

308a 第二控制设备的CAN通信模块

308b 第二控制设备的微控制器

310 提供更新消息

320 验证更新消息