[发明专利]诊断访问受到保护的汽车中的控制设备系统

说明书

技术领域

本发明涉及一种由汽车中的控制设备组成的系统，这些控制设备 通过该汽车的一个或多个数据总线通信，该系统具有至少两个诊断通 道(Diagnosezugang)，其中通过这些诊断通道，基于诊断请求消息 来诊断至少一个控制设备的状态，尤其是通过其中一个诊断通道请求 控制设备的故障存储器记录(Fehlerspeichereintrag)并将其向外传 送。

背景技术

在当前的汽车中，通常通过至汽车的中央连接点来实现和保护所 有控制设备的诊断能力(Diagnosefaehigkeit)。中央连接点设置在汽 车中，并且因此在汽车丢失时防止对其的访问。许多制造商通常都提 供这样一种控制设备，该控制设备除了物理地提供诊断通道之外，还 对外保护诊断通信的数据完整性，并且必要时还对外保护诊断通信的 操纵防护性(Manipulationssicherheit)。根据现有技术，如果存在 多个物理通道，则相互独立地实现和保护这些物理通道。

对于实现多个相互独立的诊断通道的这个技术而言，在请求控制 设备时以及在实施时产生相应的额外耗费。在每个配备有诊断通道的 控制设备中，必须实施相应的完整性检验机制以及用于防止和识别对 诊断通信的可能操纵的必要方法。此外，必要时还必须与请求相应地 选择通道控制设备(Zugangssteuergeraet)中对于计算性能、数据缓 冲(Datenpuffer)等等的必要资源，这些资源具有必要的处理能力以 便能够满足相应的性能/防护需求。

对于其中外部攻击者(Angreifer)能够在不物理地进入汽车中 的情况下引进(einbringen)基于无线的数据包并因此能够读取并可 能更改信息的无线诊断通信，必须保护每个经由无线电通信传输的诊 断包(Diagnosepaket)不被篡改，并能可靠地验证被授权的外部诊断 单元和/或汽车的真实性。因此，必须单独地对每个经由无线电通信传 输的诊断包检验篡改和真实性，并且在必要时丢弃诊断包。相应地， 需要对于提供诊断通道的控制设备的硬件提出极高的要求，这些要求 在通常运行(Regelbetrieb)(没有诊断通信)中、即在控制设备在 汽车运行时执行其期望功能期间本来是不需要的。

发明内容

本发明要解决的技术问题是以经济的方式在具有至少一个诊断 通道的汽车中构造由控制设备组成的系统。

该技术问题通过权利要求1中给出的措施来解决。本发明的优选 实施方式在从属权利要求中给出。

与其中在每个具有诊断通道的控制设备中设置保护装置的已知 分布式安全体系结构相比，这里提出了一种中央保护装置或检验装 置。另外，根据本发明，识别在通向本发明系统的通道上的诊断请求 消息本身，并(优选直接地)转发到中央检验装置以用于检验。

在成功通过检验之后，诊断请求消息由该中央机构(Instanz) 转发到相应的目标控制设备并在那里被处理，其中该目标控制设备的 状态应当被诊断。相应的应答报文(Antworttelegramme)或诊断消 息优选同样被馈送给中央检验装置。此外，优选地，在诊断消息被传 送给进行查询的外部诊断装置之前，诊断消息被签名并且被保护以防 止发送者的篡改和/或欺骗，在适当的情况下还被加密。

优选地，根据本发明的诊断通道至少部分地是通往由控制设备组 成的系统的无线通道，如尤其是D-CAN、WLAN、在解除防盗锁止 (Wegfahrsperre)和/或解锁(Entriegelung)车门时汽车钥匙与汽车 相互通信的信道(Kanal)或频率、GSM、TDMA或它们的组合等类 型。

附图说明

下面借助附图详细解释本发明的实施例。相同的附图标记表示相 同或作用相同的功能单元。

图1示出根据现有技术的由控制设备组成的已知系统，其中单独 保护每一个通道；

图2示出根据本发明的系统，其中诊断请求消息与通道无关地被 传递到中央检验装置并在那里被检验；以及

图3示出在图2所示的根据本发明的系统中诊断请求消息从外部 诊断装置到目标控制设备的路径。

具体实施方式