商用车电子电器架构及其安全通讯方法与流程

本发明属于智能网联汽车安全通讯
技术领域：
，特别涉及一种新型商用车电子电器架构。
背景技术：
：近年来，随着云计算、大数据、物联网、智能驾驶等新兴技术的迅猛发展，大量电子设备被使用，除了基本的底盘和动力的电控系统、多媒体系统，还有智能化的高级辅助驾驶系统，如自动启停、泊车、自适应巡航系统等，更有可与手机、平台连接的车联网远程控制系统。上述系统的配置使得车辆内网变的更为复杂，并且迫切需要解决车内网络与远程网络接口的安全问题。公开于该
背景技术：
部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。技术实现要素：本发明的目的在于提供一种新型商用车电子电器架构，从而克服上述现有技术中的缺陷。为实现上述目的，本发明提供了一种商用车电子电器架构，车内网络根据通信负载、关联性、采用的通信协议、通信安全要求分为六个互相关联又相对独立的子网，各网内容如下：de-can，500k速率，负责动力总成系统的诊断；p-can，250k速率，沿用商用车通用的saej1939协议，负责动力总成系统的通信；b-can，500k速率，负责一些先进配置系统的通信；c-can，250k速率，沿用商用车通用的saej1939协议，负责底盘及部分车身电器系统的通信d2-can和d1-can分别负责250k、500k系统的诊断，另外d1-can同时作为与车外网的安全接口。一种商用车电子电器安全通讯方法，包括如下分步骤：s1对通过can总线接入车辆的t-box、gw、bcm、ems进行设备id号唯一性认证；s2对gw和t-box之间进行通信许可认证，认证通过的t-box通过gw接入车内can网络并进行后续的通信；s3对t-box通过can总线向bcm/ems所发送的操作命令信息进行信息加密处理，bcm/ems需对加密信息进行解密后执行操作指令。本方面进一步限定的技术方案为：优选地，上述技术方案中，步骤s1具体为：t-box将自身的设备id号周期性发送在can总线上，gw不受路由限制接收并实时转发此报文至bcm、ems；当gw、bcm、ems接收到此报文时，通过例程控制存储接收的设备id号为合法id，各ecu将后续接收的设备id号与合法id进行认证；gw进行t-box设备id号认证；gw实时检测t-box当前发送的设备id号是否和存储id是否相同：如id号一致，则gw实时转发t-box需路由到其他总线的报文，gw反馈t-box设备id号匹配认证状态信号给仪表；如id号不一致，则gw不转发t-box需路由到其他总线的报文，并记录id不一致的dtc，且gw需同时全局广播t-box设备id号匹配认证状态信号给仪表，仪表接收此状态信号并进行显示提醒驾驶或检修人员。优选地，上述技术方案中，步骤s2具体为：t-box和gw之间进行通讯认证具体流程描述如下：s2.1t-box控制指令每次发送前，判断当前t-box无通信认证失败的故障后，则发起认证请求；s2.2t-box发出通信认证请求信息①后，在tca_t-box的时间内未收到gw的响应信息，t-box须重试发出认证请求，重试机制参见具体参数要求如下：t-box每次重新发出认证请求的时间间隔：tca_t-box＝100ms；t-box最多可以重试5次，即aca_t-box≤6；若t-box连续发起6次认证请求后，依然收不到gw的响应，则t-box将记录dtc通信认证无响应；此时，t-box无法再发起通信认证，待故障排除或再次上电后方可恢复；s2.3t-box收到4byte随机数x后，使用认证函数f(x，id)对随机数x进行加密，生成加密认证数据，并在20ms内将该加密认证数据发送给gw；s2.4t-box向gw发出加密认证数据信息③后，在tca_t-box的时间内未收到gw的响应信息，t-box须重试发出加密认证数据，重试机制参见具体参数要求如下：t-box每次重新发出加密认证数据的时间间隔：tca_t-box＝100ms；t-box最多可以重试5次(累计6次)，即aca_t-box≤6；若t-box连续发出6次加密认证数据后，依然收不到gw的响应，则t-box将记录dtc通信认证无响应；此时，t-box无法再发起通信认证，待故障排除后或再次上电方可恢复；s2.5gw对于接收到t-box的加密认证数据，若gw判定不正确，则gw向t-box反馈加密认证数据错误，t-box须重新发出一次认证请求；若在第二次认证过程中，gw向t-box依然反馈加密认证数据错误，则t-box将记录dtc加密认证数据错误；此时，t-box无法再发起通信认证，待故障排除再次上电后方可恢复。优选地，上述技术方案中，步骤s2，中gw与t-box的通信许可通过相互认证实现，每次通信过程均由t-box发起，gw响应；认证过程包含两次“握手”过程，具体包含四帧信息，第一次通信握手包括：信息①，t-box→gw认证请求；信息②gw→t-box随机数；第二次通信握手包括：信息③t-box→gw加密认证数据；信息④gw→t-box认证结果。优选地，上述技术方案中，步骤s3具体为：t-box发送给bcm/ems信息通过can总线传送，t-box对需要加密的信息进行加密处理后，将加密信息①通过gw转发给bcm/ems：如bcm/ems解密成功，bcm/ems根据解密后信息内容，执行相应的处理/操作；t-box可通过各功能执行状态信号获悉相应的执行结果；如bcm/ems解密失败，会在100ms内向t-box反馈结果；其中信息①：t-box发送给bcm/ems的加密信息；信息②：bcm/ems仅向t-box反馈解密失败结果。优选地，上述技术方案中，步骤s3中信息加密具体流程描述如下：s3.1t-box解析远程端信息，识别出需要加密的信息；s3.2将顺序号st-box加1；s3.3使用加密规则对信息进行加密处理；s3.4100ms内t-box如收到bcm/ems反馈的“解密失败”，则上传结果：操作失败。优选地，上述技术方案中，步骤s3.3中加密步骤及规则如下：s3.3.1使用函数f(低4字节，id)输出结果为加密数据的高4字节；函数f：封装在加密函数文件中，由厂方指定释放；其中id：4字节长度密钥，t-box设备的唯一id号；s3.3.2低4字节⊕高4字节→低4字节；s3.3.38字节数据⊕id→8字节数据，包含低4字节和高4字节。优选地，上述技术方案中，s2.1中故障包括通信认证无响应和加密认证数据错误。s2.3中,函数f：封装在《加密函数》文件中，由企业指定释放；id：4字节长度的t-boxid号，gw通过例程控制存储的t-boxid号；发送的加密认证数据为加密函数f(x，id)输出的4字节加密数据。优选地，上述技术方案中，gw当检测到id不一致时，需记录t-box设备id号不一致dtc故障；gw需支持读取存储的t-box设备id，且仅支持例程控制清除已存储id号；gw检测到id号不一致时，需通过周期can报文实时发送认证结果给仪表，认证结果为2个bit信号，定义如下：bcm、ems进行t-box设备id号认证；bcm、ems实时检测gw转发的t-box当前发送的设备id号是否和存储id是否相同。如id号一致，则执行t-box发送的报文指令，如id不一致，则不执行t-box发送的报文指令。与现有技术相比，本发明具有如下有益效果：1)对整车网络进行优化设计，分为6个子网，实现了通信负载优化和通信安全隔离。2)对车辆不同诊断需求提出了双诊断口的优化方案，提高了自动化，方便了人工诊断操作。3)对车联网系统可能出现的远程安全问题，进行了网关和数据加密的双重安全隔离。4)建立了车联网终端唯一id的识别机制，防止终端被非法更换情况下存在的远程控制风险。附图说明：图1为t-box设备id号匹配认证流程图；图2为t-box和gw之间进行通讯认证流程图；图3为t-box与gw之间通讯许可流程图；图4为信息加密过程示意图；图5为t-box的加密过程示意图；图6为本发明的总体网络拓扑图；具体实施方式：下面对本发明的具体实施方式进行详细描述，但应当理解本发明的保护范围并不受具体实施方式的限制。除非另有其它明确表示，否则在整个说明书和权利要求书中，术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分，而并未排除其它元件或其它组成部分。1发明的目的当前商用车电子技术快速发展，用于自动驾驶前期阶段的adas等先进设备被使用，特别是涉及远程平台通信的车联网的应用，使得原有的商用车架构在通信速率、协议转换和通信安全等方面已经无法满足要求，需要开发可优化车内网络通信，并集成车内网络安全的新型商用车网络架构。2发明的技术解决方案2.16路can网络根据通信负载、关联性、采用的通信协议、通信安全要求等将车内网分为六个互相关联又相对独立的子网，各网内容如下：de-can，500k速率，负责动力总成系统的诊断；p-can，250k速率，沿用商用车通用的saej1939协议，负责动力总成系统的通信；b-can，500k速率，负责一些先进配置系统的通信；c-can，250k速率，沿用商用车通用的saej1939协议，负责底盘及部分车身电器系统的通信；d2-can，d1-can分别负责250k、500k系统的诊断，另外d1-can同时作为与车外网的安全接口。2.2车内网络集成车联网的车端加密协议为实现远程功能在车辆内部的信息安全，必须对通过can总线接入车辆的t-box、gw、bcm、ems进行设备id号唯一性认证，以及对gw和t-box之间进行通信许可认证，只有认证通过的t-box才能通过gw接入车内can网络并进行后续的通信。还有必要对t-box通过can总线向bcm/ems所发送的操作命令信息进行信息加密处理，bcm/ems需对加密信息进行解密后执行操作指令。下述文档规定了将t-box设备id号对gw、bcm、ems进行匹配认证，t-box与gw之间进行通信许可认证、t-box发送给bcm/ems的信息进行加密的基本技术要求。通信许可，是t-box与gw之间进行身份验证的过程。信息加密，是“嵌入”在正常的can信息发送前，与t-box处理所发送的信息后之间的信息处理过程。表1名词解释及缩略词英文缩写英文全称中文名称bcmbodycontrolcacommunicationauthenticationcecommunicationencryptdtcdiagnostictroublegwgateway网关ididentifier报文识别符t-boxtelematics车载远程终端。t-box设备id号匹配认证t-box设备id号匹配t-box将自身的设备id号周期性发送在can总线上，gw接收并实时转发(不受路由限制)此报文至bcm、ems。当gw、bcm、ems接收到此报文时，通过例程控制存储接收的设备id号为合法id，各ecu将后续接收的设备id号与合法id进行认证。gw进行t-box设备id号认证gw实时检测t-box当前发送的设备id号是否和存储id是否相同：如id号一致，则gw实时转发t-box需路由到其他总线的报文，gw反馈“t-box设备id号匹配认证状态”信号(值为0x1：id合法)给仪表；如id号不一致，则gw不转发t-box远程主动控制报文，并记录id号不一致的dtc，且gw需同时全局广播“t-box设备id号匹配认证状态”信号(值为0x2：id不合法)给仪表，仪表接收此状态信号并进行显示提醒驾驶或检修人员。备注：1)gw当检测到id不一致时，需记录t-box设备id号不一致dtc故障；2)gw需支持读取存储的t-box设备id，且仅支持例程控制清除已存储id号。gw检测到id号不一致时，需通过周期can报文实时发送认证结果给仪表，认证结果为2个bit信号，定义如下：表2认证结果反馈bcm、ems进行t-box设备id号认证bcm、ems实时检测gw转发的t-box当前发送的设备id号是否和存储id是否相同。如id号一致，则执行t-box发送的报文指令，如id不一致，则不执行t-box发送的报文指令。备注：1)bcm/ems当检测到id不一致时，需记录t-box设备id号不一致dtc故障；2)bcm/ems需支持读取存储的t-box设备id，且仅支持例程控制清除已存储id号。t-box设备id号匹配认证流程图通讯许可认证(t-box和gw之间进行通讯认证)通信许可过程概述gw与t-box的通信许可通过相互认证实现。每次通信过程均由t-box发起，gw响应。认证过程包含两次“握手”过程，具体包含四帧信息，过程参见图2。对上图中的四帧通讯信号描述表3通讯信息内容认证流程通信许可流程描述通信许可具体流程描述如下：(1)t-box控制指令每次发送前，判断当前t-box无通信认证失败的故障(包括通信认证无响应和加密认证数据错误)后，则发起认证请求；(2)t-box发出通信认证请求信息①后，在tca_t-box的时间内未收到gw的响应信息，t-box须重试发出认证请求，重试机制参见具体参数要求如下：t-box每次重新发出认证请求的时间间隔：tca_t-box＝100ms。t-box最多可以重试5次(累计6次)，即aca_t-box<＝6。若t-box连续发起6次认证请求后，依然收不到gw的响应，则t-box将记录dtc“通信认证无响应”。此时，t-box无法再发起通信认证，待故障排除或再次上电后方可恢复。(3)t-box收到随机数x(4byte)后，使用认证函数f(x，id)对随机数x进行加密，生成加密认证数据，并在20ms内将该加密认证数据发送给gw。备注：函数f：封装在《加密函数》文件中，由南汽释放。id：4字节长度的t-boxid号。gw存储的t-boxid号。发送的加密认证数据为加密函数f(x，id)输出的4字节加密数据。(4)t-box向gw发出“加密认证数据”信息③后，在tca_t-box的时间内未收到gw的响应信息，t-box须重试发出加密认证数据，重试机制参见具体参数要求如下：t-box每次重新发出加密认证数据的时间间隔：tca_t-box＝100ms。t-box最多可以重试5次(累计6次)，即aca_t-box<＝6。若t-box连续发出6次加密认证数据后，依然收不到gw的响应，则t-box将记录dtc“通信认证无响应”。此时，t-box无法再发起通信认证，待故障排除后或再次上电方可恢复。(5)gw对于接收到t-box的“加密认证数据”，若gw判定不正确，则gw向t-box反馈“加密认证数据错误”，t-box须重新发出一次认证请求。若在第二次认证过程中，gw向t-box依然反馈“加密认证数据错误”，则t-box将记录dtc“加密认证数据错误”。此时，t-box无法再发起通信认证，待故障排除再次上电后方可恢复。通信许可流程图t-box与gw之间通讯许可流程如图3所示。其中，参数说明如下：aca_t-box：t-box通信许可“重试次数”计数器；bca_t-box：t-box通信许可“加密认证数据错误”计数器；tca_t-box：t-box通信许可“通信无响应”计时器；x：4byte随机数，作为加密函数f(x，id)其中一参数；id：gw第一次读取到的t-box的id号；f(x，id)：认证函数；认证协议：认证数据帧gw-t-box认证使用2种格式的帧：a)t-box发起认证请求及回复加密认证数据canid:0xxxx信号名称：tbox_authreq_response格式定义tbox_authreq_responseframeformat备注:1)认证请求为status1，回复加密认证数据使用status2和keydata；2)48位keydata按照intel格式进行编码(4byte)。status1byte定义：status1bytedefinitionstatus1描述0x5f请求防盗认证0x5e未请求防盗认证其他预留status2byte定义：status2bytedefinitionstatus2描述0xf0busy，t-box正在进行其他认证0xf5busy，t-box正在计算response0x00t-box计算完成other未定义，忽略b)gw回复的随机数和认证结果帧canid：oxxxx信号名称：gw_challenge_release格式定义：gwchallengereleaseframeformat备注：1)随机数为长度为4byte的challengedata；采用intel编码方式；2)认证结果为releasedata，使用2bit长度。gw需通过周期can报文实时发送防盗认证结果给网络，认证结果为2个bit信号，定义如下：信息加密(t-box发送给bcm/ems信息进行加密)信息加密过程描述如图4所示，信息通过can总线传送，t-box对需要加密的信息进行加密处理后，将加密信息①通过gw转发给bcm/ems：如bcm/ems解密成功，bcm/ems根据解密后信息内容，执行相应的处理/操作。t-box可通过各功能执行状态信号获悉相应的执行结果。如bcm/ems解密失败，会在100ms内向t-box反馈结果。信息①：t-box发送给bcm/ems的加密信息。信息②：bcm/ems仅向t-box反馈解密失败结果。加密信息数据格式及定义，见表4。表4加密信息数据内容。注：*1/u(r)表示使用(预留),/0(1)表示支持的指令类型写(读)。解密失败反馈数据格式及定义，见表5。表5解密失败反馈信息数据内容。信息加密流程信息加密流程概述信息加密具体流程描述如下：(1)t-box解析远程端信息，识别出需要加密的信息。(2)将顺序号st-box加1。(3)使用加密规则对信息进行加密处理，加密步骤及规则如下：步骤一：使用函数f(低4字节，id)输出结果为加密数据的高4字节。函数f：封装在《加密函数》文件中，由南汽释放。其中id：4字节长度密钥。t-box设备的唯一id号。步骤二：低4字节⊕高4字节→低4字节。步骤三：8字节数据⊕id→8字节数据(包含低4字节和高4字节)。(4)100ms内t-box如收到bcm/ems反馈的“解密失败”，则上传结果：操作失败。信息加密流程图t-box的加密过程，参见图5如下。其中涉及的参数如下：st-box：t-box发送的顺序号。2.3双接口诊断开发d2-can，d1-can为双诊断接口。为方便售后诊断，本架构设计了两路不同速率的诊断，分别对应不同的控制器，具体如下表6所示，诊断操作人员无需去人工识别车辆的状态，只需要选择相应的控制器即可实现对全系列车型的诊断操作。表6控制器诊断分配列表本发明在跃进系列32车型上已经实施，现以其中一款装备d20发动机的车型为实例，对本发明中的技术方案进行清楚、完整地描述。1、网络拓扑规划如图6，d20为新型柴油机国六车型，通信数据量较大，动力总成系统采用了传统的saej1939商用车协议，在拓扑上将ems(发动机控制器)及相关附属配件规划到一条p-can上，与其它系统的交互由网关负责。而b-can则专用于一些高配置系统，由于相关系统没有固定的协议要求，为适应配置的多样性及更好的实时性，采用了500k的can总线。c-can用于底盘与部分传统的车身电器系统，此部分同样采用saej1939的商用车协议，此部分设计主要考虑负载和选配等要求。d2-can负责250k的传统商用车诊断，d1-can除了负责500k新增配置的诊断外，更重要的连接了车载终端，所有车载终端与车内数据交互均需通过网关进行。de-can则是为适应新型obd国六诊断协议要求而设定的500k专用诊断can，为实现隔离，与外部的诊断同样通过网关转发。2、远程加密开发首先远程终端的id号将被验证单元(gw)存储，相关执行系统(ems、bcm)存储作为唯一合法的终端，当终端需更换时，验证单元和执行系统存储的值将通过诊断仪进行清除。网关确认终端合法后，加密的远程控制指令才会被传输，此时执行系统将对指令进行解密和确认，在解密失败后将反馈，成功后才执行相应操作，并将操作结果回传后台。3、双诊断开发本架构采用uds诊断协议，为了同时实现不同配置、不同速率的控制器的诊断，采用了双通道不同速率输入的诊断机制，由网关自动选择需要转发的诊断要求，并自动将其转至需要诊断的控制器。前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式，并且很显然，根据上述教导，可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用，从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。当前第1页12