地識別自己的設(shè)備時(例如���,傳輸該消息的該設(shè)備將自己識別為另一設(shè)備),和/或當消息本身不是如由目的接收設(shè)備所定義的經(jīng)批準的消息時���。
[0043]本質(zhì)上�,過程200在該消息的開始部分推測地允許傳輸���,(基于該消息的所述開始部分中的信息)做出傳輸是否應(yīng)該被允許繼續(xù)進行的決定��,然后如果決定該消息是非法的就在該消息的結(jié)束之前使傳輸停止進行���。在某些實施例中,CAN通信協(xié)議將自然地引起不完整的消息(即���,傳輸被中斷時的消息)被全部的接收者放棄����。這是在不對CAN協(xié)議進行任何改進的情況下完成的。
[0044]在某些實施例中�,當該消息是不被允許時,過程200不僅阻止該消息進一步傳輸��,其還啟動懲罰時間段����,在該時間段中阻止該消息的源頭設(shè)備傳輸額外的消息。一般而言�,不被允許或授權(quán)的消息源自被盜用的設(shè)備,并且在使用CAN協(xié)議的實施例中�����,這些被盜用的設(shè)備連續(xù)地中斷在車輛網(wǎng)絡(luò)上的傳輸���。使用懲罰時間允許使用車輛通信網(wǎng)絡(luò)的其它設(shè)備有機會傳輸數(shù)據(jù)�。懲罰時間基于系統(tǒng)狀況���、設(shè)計偏好等而變化�。
[0045]圖3是說明了確定從設(shè)備傳輸?shù)南⑹欠癖辉试S的過程的實施例的流程圖。這里��,過程300開始于識別嵌入在所述消息內(nèi)的標記(步驟302)����。一般而言�����,所述標記是所述消息的被指定用于分析和做出決定的一個子組�,并且所述標記可包括所述消息的一部分,該部分可以是任意大小����,最大可包括整個該消息。現(xiàn)在參照圖5����,示出了實施消息標記的若干個圖,包括但不限于:單個比特的標記500 ;多個比特的標記502���,僅作為示例示出��,在消息分析中使用三個比特�����;和全識別符標記504���,其中整個仲裁識別符或整個標題都被用于消息分析中�����。
[0046]回到附圖3��,在已經(jīng)識別所述標記之后(步驟302)�,所述標記被評估以確定其是否是合法的(步驟304)��。過程300在評估所述標記的合法性時應(yīng)用特定的標記規(guī)則���。在某些實施例中����,所述標記規(guī)則規(guī)定了過程300評估單個比特的標記以確定所述標記的合法性�。(圖5示出了這個單個比特的標記500。)在這個示例中�����,每個消息中的單個比特被指定為“不安全”比特,當不保證所述消息的源頭設(shè)備是安全的是就設(shè)置該“不安全”比特����。當所述設(shè)備被標示為安全設(shè)備時,就不設(shè)置所述不安全比特�。設(shè)置所述不安全比特所要求的條件是所述設(shè)備的潛在不安全性,但是不一定是所述設(shè)備的絕對不安全性�����??赡懿槐WC安全的設(shè)備可包括�����,但不限于���,帶有面向外部的輸入的設(shè)備���,例如收音機或車載媒體/娛樂模塊。
[0047]當所述不安全比特被設(shè)置的值不是標示所述設(shè)備的合適值時���,所述標記就被確定為是非法的���。例如�,不安全設(shè)備可能傳輸其中所述不安全比特設(shè)置的消息����,并且所述標記可能會被確定為是合法的。在這種情況下�����,所述不安全設(shè)備正利用對于所述消息的傳輸來說是正確的的標記�,并所述標記因此是正確的。不過����,不安全設(shè)備就不應(yīng)該發(fā)出其中所述不安全比特沒有被設(shè)置的消息。在這種情況下�,所述標記就確定為是非法的。這個過程阻止了不安全設(shè)備偽裝成安全設(shè)備來傳輸消息��。
[0048]在一些示例性實施例中����,所述標記規(guī)則規(guī)定了過程300評估嵌入所述消息內(nèi)的多個比特的標記以確定所述標記是否合法��,所述標記包括設(shè)備識別符����。(圖5示出了這個多個比特的標記502����。)在這些實施例中,所述標記包括嵌入在所述消息中的作為所述消息的源頭設(shè)備的識別符的一個或多個比特�����。這里���,當所述消息來源于不正確的設(shè)備時�,所述消息將不被傳輸�。不允許車輛車載設(shè)備冒充其它設(shè)備來執(zhí)行未經(jīng)批準的命令����。例如,過程300可被應(yīng)用到車輛收音機�,這確保了從所述車輛收音機傳輸?shù)乃邢⒍季哂邢嗤脑O(shè)備識別符。如果車輛收音機試圖使用例如懸掛模塊的設(shè)備識別符來傳輸消息��,那么過程300使用可適用的標記規(guī)則來確定所述標記非法。
[0049]在一些實施例中�����,所述標記規(guī)則規(guī)定過程300評估了所述消息的整個標識符以確定所述標記是否合法���。(圖5示出了這個全識別符的標記504�。)在這些實施例中�����,所述標記包括包含在所述消息的識別符內(nèi)的全部比特��,并且所述標記被與可接受標記的預(yù)定義列表相比較���。在使用CAN通信協(xié)議的某些實施例中�����,每個消息都包括標題���,并且所述消息的所述標題還包括仲裁識別符。在一些實施例中��,所述標記包括所述仲裁識別符,這可與可接受的仲裁識別符的預(yù)定義列表比較來確定所述標記是否合法�����。在其它的實施例中����,所述仲裁識別符加上所述標題中的指定的額外比特都可被包含在所述標記中。在其它的實施例中�����,所述仲裁識別符��、所述標題中的額外的指定比特���、以及所述消息中的額外的指定比特都可被包含在所述標記中�����。
[0050]使用之前的示例,如果車輛收音機試圖發(fā)出正確情況下應(yīng)該由車輛懸掛模塊發(fā)出的消息時��,例如激活剎車的命令���,過程300啟動查詢以確定與所述激活剎車的命令相關(guān)聯(lián)的識別符是否在可由車輛收音機發(fā)出的經(jīng)批準識別符的預(yù)定義列表上���。當所述識別符沒有在預(yù)定義列表上時��,過程300使用可適用的標記規(guī)則來確定所述標記非法�。
[0051]如果所述標記被確定為合法(304的“是”分支)���,那么過程300將所述消息標為“允許”(步驟306)�。使用之前描述的實施例中的任一個�����,過程300使用所述標記規(guī)則來分析所述標記來確定所述標記是否合法����。如果所述標記合法,那么所述消息就被批準進行所述消息向目的接收設(shè)備的進一步傳輸�。如果所述標記被確定為不合法(304的“否”分支),那么過程300就將所述消息標為不允許(步驟308)��,并且不批準所述消息向目的接收設(shè)備的進一步傳輸����。
[0052]圖4是包括操作地與設(shè)備404相關(guān)聯(lián)的保護元件402的示范性實施例的系統(tǒng)的圖���。圖1中示出的保護元件110可根據(jù)圖4中示出的構(gòu)造以及根據(jù)下面對保護元件402的描述來被實施。一般而言��,設(shè)備404在車輛通信網(wǎng)絡(luò)(在圖1中示出為108)中操作����,并且在某些實施例中,使用CAN通信協(xié)議�����。設(shè)備404包括控制器406和收發(fā)器408���。由設(shè)備404產(chǎn)生的消息源自控制器406��,并且被使用通信線路傳輸?shù)绞瞻l(fā)器408�,所述通信線路將控制器406上的輸入/輸出(I/O)端口 410連接到收發(fā)器408的I/O端口 412���。如所示��,控制器406傳輸傳輸使能信號414�、和數(shù)據(jù)信號416到收發(fā)器408��?���?刂破?06還接收從收發(fā)器408傳輸?shù)臄?shù)據(jù)信號418。
[0053]控制器406上的I/O端口 410允許控制器406和收發(fā)器408交換數(shù)據(jù)傳輸(也就稱為消息)�����。如所示�,數(shù)據(jù)信號416可從控制器406上的傳輸數(shù)據(jù)端口 410-B傳輸?shù)绞瞻l(fā)器408上的傳輸數(shù)據(jù)端口 412-B。相反����,控制器406上的接收數(shù)據(jù)端口 410-C接收來自收發(fā)器408上的接收數(shù)據(jù)端口 412-C的數(shù)據(jù)信號418。不過�,收發(fā)器408不能在沒有來自控制器406的允許的情況下以傳輸使能信號414的形式進一步傳輸(例如通過所述設(shè)備外部的車輛通信網(wǎng)絡(luò)傳輸)數(shù)據(jù)信號416。當傳輸使能信號414在收發(fā)器408處被接收時�����,收發(fā)器408能夠傳輸數(shù)據(jù)信號416到通信網(wǎng)絡(luò)(未示出)����,以向目的接收設(shè)備進一步傳輸。在使用CAN通信協(xié)議的實施例中,數(shù)據(jù)信號416被廣播到車輛車載的其余設(shè)備��。
[0054]保護元件402被構(gòu)造成攔截傳輸使能信號414��,或者換句話說�����,接收由控制器406傳輸?shù)膫鬏斒鼓苄盘?14��,并且傳輸?shù)诙鬏斒鼓苄盘?20到收發(fā)器408��,除非數(shù)據(jù)信號416被確定為是非法的���。如所不����,傳輸使能信號414被從其在收發(fā)器408處的傳輸使能端口 412-A處的目的接收轉(zhuǎn)移�����,以在保護元件402的傳輸使能端口 424處被接收����。傳輸使能信號414被構(gòu)造成激活收發(fā)器408的傳輸能力、使收發(fā)器408能傳輸在傳輸數(shù)據(jù)端口 412-B處接收的數(shù)據(jù)、或者在這個示例中���,還傳輸所接收的數(shù)據(jù)信號416��。不過,保護元件402攔截傳輸使能信號414����,這阻止了傳輸使能信號414由傳輸使能端口 412-A接收。保護元件402傳輸新的傳輸使能信號420��,這允許收發(fā)器408還使用車輛通信網(wǎng)絡(luò)傳輸數(shù)據(jù)信號416�。保護元件402被構(gòu)造成繼續(xù)傳輸新的傳輸使能信號420,直到或者除非內(nèi)部決定邏輯430確定數(shù)據(jù)信號416是非法的��。
[0055]保護元件402還被構(gòu)造成“竊聽”數(shù)據(jù)信號416��。換句話說��,保護元件402接收數(shù)據(jù)信號416 (用于進一步分析和做出決定)但是不阻止數(shù)據(jù)信號416傳輸?shù)绞瞻l(fā)器408�。
[0056]保護