控制器局域网装置的制作方法

1.本公开涉及控制器局域网装置。具体地说，一个或多个例子涉及一种控制器局域网装置，其被配置成与can收发器接合，例如耦合到can收发器或形成can收发器的部分，以使can消息失效。


背景技术：

2.控制器局域网(can)总线是通常在汽车内使用的基于消息的通信总线协议。can总线协议用于实现各个电子控制单元(ecu)之间的通信，所述ecu例如发动机控制模块(ecm)、传动系控制模块(pcm)、安全气囊、防震刹车、定速巡航、电动助力转向、音频系统、窗户、门、后视镜调整、用于混合/电动汽车的电池和再充电系统等等。can协议的数据链路层被标准化为国际标准组织(iso)11898-1。can fd，即can协议的扩展，是iso11898-1:2015的部分。正在开发的是“can xl”，其计划在适当的时候集成到can协议中。
3.例如使用can总线协议的车载网络等车载网络的日益受到关注的一个问题是网络安全，包括入侵检测和入侵防护。例如，受损的车载网络可允许攻击者恶意地控制车辆的组件。


技术实现要素：

4.根据本公开的第一方面，提供了一种控制器局域网can装置，其包括：
5.比较模块，其被配置成与被配置成耦合到can总线的can收发器接合，所述比较模块具有；
6.接收数据rxd输入接口，其被配置成从所述can收发器接收数据；
7.传输数据txd输出接口，其被配置成将数据输出到所述can收发器；
8.can解码器，其被配置成对从rxd输入接口接收的can消息的标识符进行解码；
9.标识符存储器，其被配置成存储对应于至少一个标识符的条目；
10.比较逻辑，其被配置成将从can消息接收到的标识符与存储在所述标识符存储器中的所述条目进行比较，并且在比较指示所述can消息的接收到的标识符与存储在所述can装置处的所述条目匹配时输出匹配信号；
11.信号发生器，其被配置成响应于所述匹配信号而输出信号以使所述can消息失效，其中所述信号从所述txd输出接口输出到所述can收发器；
12.其中由所述信号发生器产生的所述信号提供被定时的一个或多个显性位，使得以下情况中的至少一个：紧接在fdf字段之后的位位置处的一个或多个位成为显性的；以及所述fdf字段成为显性的。
13.在一个或多个实施例中，所述信号被配置成使得所述can收发器将信令提供到所述can总线，所述信令提供所述被定时的一个或多个显性位，使得至少紧接在fdf字段或所述can消息的fdf字段之后的所述位成为显性的。
14.在一个或多个实施例中，所述信号发生器被配置成将信令提供到所述can总线，所
述信令提供所述被定时的一个或多个显性位，使得至少紧接在fdf字段或所述can消息的fdf字段之后的所述位成为显性的。
15.在一个或多个实施例中，
16.所述can解码器另外被配置成对紧接在从所述rxd输入接口接收的can消息的fdf字段之后的所述位进行解码；
17.所述比较逻辑被配置成确定所述位是否为隐性的，并且在所述位为隐性时输出禁用信号；并且
18.响应于所述禁用信号，所述can装置被配置成阻止由所述can收发器向所述can总线进行传输，直到出现ack时隙的开始或直到出现所述总线上使用的位速率低于阈值速率的指示为止。
19.在一个或多个例子中，在所述总线上使用的所述位速率低于阈值速率的所述指示包括所述can装置被配置成指示使用经典can位速率的信息，所述经典can位速率即不是由can fd和can xl提供的较快速率。
20.在一个或多个实施例中，所述can装置被配置成通过以下各项中的一个或多个阻止由所述can收发器进行的传输：
21.阻止来自can协议控制器的信令向前传输到所述can收发器，其中比较模块另外包括传输数据txd输入接口，所述txd输入接口被配置成从所述can协议控制器接收数据；
22.将指示其不产生用于所述can收发器的信令的消息传输到所述can协议控制器，直到出现所述ack时隙的所述开始或直到出现所述总线上使用的所述位速率低于阈值速率的所述指示为止；
23.禁用所述can收发器的一个或多个传输器，所述一个或多个传输器用于将信令传输到所述can总线。
24.在一个或多个实施例中，所述标识符存储器被配置成存储以下各项中的一个或两个：
25.a)一个或多个标识符；以及
26.b)对应于一组标识符的标识符掩码。
27.在一个或多个实施例中，所述比较逻辑另外被配置成在所述比较指示所述can消息的所述接收到的标识符与存储在所述can装置处的所述条目匹配并且所述can装置目前不传输具有所述接收到的标识符的can消息时输出所述匹配信号。
28.在一个或多个实施例中，所述比较模块另外包括传输数据txd输入接口，所述txd输入接口被配置成从can协议控制器接收数据，并且其中所述比较逻辑另外被配置成使用在所述txd输入接口处接收到的can消息的标识符填充所述标识符存储器。
29.在一个或多个实施例中，所述信号发生器另外被配置成将错误信号传输到所述can总线上，所述错误信号在帧结束字段中。
30.根据本公开的第二方面，我们公开了一种用于控制控制器局域网can业务的方法，所述方法包括：
31.在can装置处接收can消息的标识符，所述标识符在所述can装置处经由can总线接收；
32.将所述can消息的所述标识符与所述can装置处的标识符存储器中的条目进行比
较；
33.在比较指示来自所述can消息的所述标识符与所述标识符存储器中的所述条目匹配时，输出匹配信号；以及
34.通过响应于所述匹配信号而产生使所述can消息失效的信号来使所述can消息失效，其中由所述信号发生器产生的所述信号提供以下情况中的至少一个：紧接在fdf字段之后的位位置处的一个或多个位成为显性的；以及所述fdf字段成为显性的。
35.在一个或多个实施例中，所述信号被配置成使得所述can收发器将信令提供到所述can总线，所述信令提供所述被定时的一个或多个显性位，使得至少紧接在fdf字段或fdf字段位之后的所述位成为显性的。
36.在一个或多个实施例中，将所述失效信号提供到所述can总线。
37.在一个或多个实施例中，所述方法包括：
38.对紧接在所述can消息的fdf字段之后的所述位进行解码；
39.确定紧接在所述fdf字段之后的所述位是否为隐性的；
40.在紧接在所述fdf字段之后的所述位为隐性时，输出禁用信号；以及
41.响应于所述禁用信号，阻止由所述can收发器向所述can总线进行传输，直到出现ack时隙的开始或直到出现所述总线上使用的位速率低于阈值速率的指示为止。
42.在一个或多个实施例中，所述can装置被配置成通过以下各项中的一个或多个阻止由所述can收发器进行的传输：
43.阻止来自can协议控制器的信令向前传输到所述can收发器；
44.将指示其不产生用于所述can收发器的信令的消息传输到所述can协议控制器，直到出现所述ack时隙的所述开始或直到出现所述总线上使用的所述位速率低于阈值速率的所述指示为止；
45.禁用所述can收发器的一个或多个传输器，所述一个或多个传输器用于将信令传输到所述can总线。
46.虽然本公开容许各种修改和替代形式，但是本公开的细节已借助于例子在附图中示出并且将进行详细描述。然而，应理解，超出所描述的特定实施例的其它实施例也是可能的。也涵盖属于所附权利要求书的精神和范围内的所有修改、等效物和替代实施例。
47.以上论述并非旨在表示当前或未来权利要求集的范围内的每个示例实施例或每个实施方案。以下图式和具体实施方式还举例说明了各种示例实施例。结合附图考虑以下具体实施方式可以更全面地理解各种示例实施例。
附图说明
48.现将仅借助于例子参考附图描述一个或多个实施例，在附图中：
49.图1描绘包括连接到can总线的多个can节点的示例can网络。
50.图2描绘来自图1的一个can节点的放大图。
51.图3a描绘在can正常模式中使用的iso 11898-1帧的格式。
52.图3b描绘在can fd模式中使用的iso 11898-1帧的格式。
53.图4a描绘标准can帧的identifier字段。
54.图4b描绘扩展can帧的identifier字段。
55.图5描绘被配置成实施入侵检测/防护技术的can节点的实施例。
56.图6描绘图5的比较模块的实施例。
57.图7描绘集成到can收发器中的比较模块的实施例。
58.图8是示出第一入侵检测/防护情境的can节点与攻击者节点之间的消息和信号业务的信号时间线。
59.图9是示出第二入侵检测/防护情境的can节点与攻击者节点之间的消息和信号业务的信号时间线。
60.图10示出示例流程图，其示出can装置实施本文所描述的技术的实行。
61.图11描绘can节点的实施例，所述can节点包括比较模块和集成到微控制器ic装置中的信号发生器。
62.图12描绘can节点的实施例，所述can节点包括比较模块和集成到微控制器ic装置中的信号发生器。
63.图13描绘can节点的实施例，其中can收发器、can协议控制器、比较模块和信号发生器集成到单个ic装置中。
64.图14描绘can节点的实施例，其中can收发器、can协议控制器、主机和比较模块集成到单个ic装置中。
65.图15是用于在can网络中实施入侵检测/防护的技术的过程流程图。
66.图16是用于填充用于在can网络中实施入侵检测/防护的标识符存储器的技术的过程流程图。
67.图17是用于在通过另一节点传输can xl帧期间控制由can节点进行的传输的技术的过程流程图。
具体实施方式
68.图1描绘包括多个can节点102的can网络100，所述can节点102也被称作“ecu”，每个ecu连接到can总线104。在图1的实施例中，每个can节点包括微控制器110，所述微控制器110具有嵌入的can协议控制器114和can收发器120。微控制器通常连接到至少一个装置(未示出)，例如传感器、致动器或一些其它控制装置，并且被编程为确定接收到的消息的含义并且产生适当的传出消息。本领域中已知还被称为主机处理器、主机或数字信号处理器(dsp)的微控制器。在一个实施例中，主机支持与can协议控制器相互作用的应用程序软件。
69.如本领域中已知，可以嵌入在微控制器110内或在微控制器(例如，单独的ic装置)外部的can协议控制器114实施数据链路层操作。例如，在接收操作中，can协议控制器存储从收发器接收到的串行位，直到全部消息可用于通过微控制器提取。can协议控制器还可以根据can协议的标准化帧格式对can消息进行解码。在传输操作中，can协议控制器从微控制器接收消息并且将消息作为呈can帧格式的串行位传输到can收发器。
70.can收发器120位于微控制器110与can总线104之间并且实施物理层操作。例如，在接收操作中，can收发器将来自can总线的模拟差分信号转换成can协议控制器114可以解译的串行数字信号。can收发器还保护can协议控制器免受can总线上的例如电浪涌之类的极端电气条件影响。在传输操作中，can收发器将从can协议控制器接收到的串行数字位转换成在can总线上发送的模拟差分信号。
71.can总线104携载模拟差分信号并且包括can高(canh)总线线路124和can低(canl)总线线路126。can总线在本领域中是已知的。
72.图2描绘来自图1的一个can节点102的放大图。在图2的放大图中，微控制器包括主机116，所述主机116可以是例如存储在微控制器的存储器中并且通过微控制器的处理电路执行的软件应用程序。微控制器110和can节点的can收发器120连接在电源电压v
cc
与接地gnd之间。如图2所示，从微控制器传送到can收发器的数据被标识为传输数据(txd)，并且从can收发器传送到微控制器的数据被称为接收数据(rxd)。在整个描述中，txd携带在txd路径上并且rxd携带在rxd路径上。数据分别经由canh总线线路124和canl总线线路126传送到can总线以及从can总线传送。
73.如上文所提及，can协议控制器114可以被配置成支持正常模式或灵活数据速率模式。如本文所使用，“can正常模式”(也被称为“经典can模式”)是指根据iso 11898-1标准格式化的帧，并且“can fd模式”是指根据iso标准iso11898-1:2015(协议)和iso 11898-2(收发器)或其等效物格式化的帧。
74.图3a描绘在can正常模式中使用的iso 11898-1帧130的格式(呈经典的基础帧格式(cbff)或标准格式)，并且图3b描绘在can fd模式中使用的iso 11898-1帧132的格式(呈fd基础帧格式或fbff)。can正常模式和can fd模式帧的字段可以如下定义：
75.sof：帧起始(始终是显性的)
76.identifier：限定消息内容的标识符位
77.rtr：远程传输请求
78.ide：id扩展
79.r0：预留位0(由呈can fd格式的fdf代替)
80.fdf：fd格式(这是区分帧格式的位)
81.brs：波特率开关
82.esi：错误状态指示符
83.dlc：数据长度代码
84.data：数据字节
85.crc：循环冗余校验
86.crc del：crc分隔符(始终是隐性的)
87.ack：确认
88.ack del：确认分隔符
89.eof：帧结束
90.还存在被称为“经典扩展帧格式(ceff)”的经典帧格式的另一版本，其中fdf位在旧r1位置，而fdf位在cbff中的r0位置。还存在“fd扩展帧格式(feff)”，其中“扩展”是指29位标识符。
91.can协议使用can帧内的预留位(r0或r1)(通常也被称为fdf位)以将帧标识为can fd模式帧。具体地说，fdf位是指示帧是can正常模式帧(iso 11898-1)还是can fd模式帧(iso11898-2:2015)的1位字段。
92.当fdf位是显性的(例如，低或“0”)时，帧是can正常模式帧并且当fdf位是隐性的(例如，高或“1”)时，帧是can fd模式帧。在can正常模式帧中，预留位(r0、r1)始终显性地驱
动到总线线路。
93.can消息是广播消息并且标识符对于发送器can节点是唯一的。接收can节点的can协议控制器具有标识符过滤器，所述标识符过滤器被“调谐”到某些标识符以确保主机接收相关消息并且不受无关消息的干扰。标准can帧具有11位identifier字段以携带11位标识符并且扩展can帧具有29位identifier字段以携带29位标识符。在图4a中描绘了标准can帧的identifier字段152，并且在图4b中描绘了扩展can帧的identifier字段。如图4b所示，29位identifier字段被划分成两个区段，即11位基础identifier字段154和18位扩展identifier字段156。
94.如上文所陈述，车载网络的安全性日益受到关注。为了检测和防止can网络上的此攻击，can节点可以被配置成存储通过can节点自身发送的can消息的标识符，并且另外被配置成将传入can消息的标识符与所存储的标识符进行比较以确定任何传入can消息是否具有匹配标识符。由于标识符对于每个can节点是唯一的，因此如果接收到的标识符与所存储的标识符匹配，则接收can节点可以认为can消息来自入侵者，并且可以采取动作以阻止入侵。例如，响应于检测到接收到的标识符与所存储的标识符之间的匹配，can节点可以被配置成立即将失效信号发送到can总线上，以阻止恶意can消息被can总线上的任何can节点成功地和/或完全地接收，例如，以使can消息失效、被破坏和/或终止。应用此类技术，仅使用特定标识符的原始can节点可以在没有使can消息失效、破坏和/或终止的情况下发送具有所述标识符的can消息。
95.使用上述技术，can节点仅需要存储从所述特定can节点发送的can消息的标识符。也就是说，can节点仅需要存储一个条目，例如，从can节点发送并且受到攻击者干扰的最后一个can消息的标识符。在另一实施例中，can节点可以被配置成存储已经从相应can节点发送的多个不同标识符，例如，已经随时间推移从特定can节点发送的所有不同标识符。假设can节点自身不传输can消息，则在can节点处接收到的具有匹配标识符的任何can消息可能由can节点通过例如将例如错误标记之类的错误信号传输到can总线上而失效。在实施例中，足以存储多达三十二个不同标识符的存储器在灵活性与硬件资源需求(例如，管芯空间要求)之间提供了良好的平衡。在另一实施例中，标识符存储器填充有对应于一组标识符的至少一个掩码。例如，标识符存储器包括掩码寄存器，所述掩码寄存器允许掩码寄存器的每个位被设置成“1”、“0”或“不被注意”。掩码寄存器可以包括足够的位以覆盖整个标识符或仅覆盖标识符的一部分。在使用标识符存储器中的掩码寄存器的实施例中，掩码寄存器可以是可编程的。在操作中，将来自传入can消息的标识符与掩码进行比较，并且如果标识符与掩码匹配，则输出匹配信号。在实施例中，所关注的can消息是can“数据帧”，因为这些是携带有效载荷数据(例如，在data字段中)的can消息。如所属领域已知并且在can协议中所描述的，can“数据帧”是具有设置成“0”的rtr位的can帧。另一方面，can“远程帧”可能不受关注，并且可能不包括在标识符存储器中或不检查匹配，因为can远程帧不携带有效载荷(例如，它们不包括data字段)。如所属领域已知并且在can协议中所描述的，can“远程帧”是具有设置成“1”的rtr位的can帧。
96.图5描绘示例can节点102。can节点包括如上文参考图1所描述的can收发器120、can协议控制器114和主机116。在本公开的例子中，提供了比较模块160。比较模块可以是can收发器120的部分。然而，在示例图5中，所述比较模块示出为can收发器120与can协议控
制器114之间的单独块。
97.参考图5，比较模块160可位于can收发器与can协议控制器之间的数据路径中。比较模块包括标识符存储器162，并且被配置成对在can总线104上接收到的can消息(例如，rxd路径上的can消息)的标识符进行解码，并且将can消息的标识符与存储在标识符存储器中的条目(例如，标识符或掩码)进行比较。如图5所示，比较模块位于can协议控制器前面，使得可以在can协议控制器处完全接收can消息之前以及在将任何对应消息提供到主机之前进行比较。如果比较指示来自can消息的标识符与所存储的条目(例如，标识符或掩码)匹配并且假设can节点自身不传输can消息，则从比较模块输出匹配信号。在实施例中，在将对应消息提供到主机之前，匹配信号触发can装置以使传入can消息失效、被破坏和/或终止以阻止can消息实施can节点自身内和/或can网络中的其它can节点内的任何恶意活动。
98.在实施例中，比较模块160对传出can消息(例如，txd路径上的can消息)进行解码，并且用解码后的标识符填充标识符存储器。例如，比较模块将已经成功地传输到can总线上并且尚未存储在标识符存储器中的每个标识符添加到标识符存储器。在实施例中，仅在can协议控制器没有丢失仲裁时，例如can协议控制器在仲裁字段之后仍处于传输模式，在txd路径上接收到的标识符才存储在标识符存储器中。这是因为在can协议控制器丢失仲裁时，txd路径上的标识符的后续位都被设置成“1”。在实施例中，比较模块可以与txd路径断开连接以排除仲裁效应。在另一实施例中，比较逻辑被配置成确认在txd路径上接收到的标识符与在rxd路径上接收到的标识符相同，例如，仲裁未丢失的指示。
99.图6描绘图5的比较模块160的实施例。图6的比较模块包括标识符存储器162、比较逻辑164、can解码器166、txd输入接口168a、txd输出接口168b、rxd输入接口170a和rxd输出接口170b。rxd输入接口被配置成从rxd路径接收数据，并且txd输入接口被配置成从txd路径接收数据。标识符存储器可以被配置成以允许快速搜索标识符的方式将条目存储为标识符。多个标识符还可以存储在标识符存储器中。标识符存储器可以被配置成将条目存储为允许匹配一组标识符的掩码。多个掩码还可存储在标识符存储器中。在实施例中，标识符存储器是如所属领域中已知的内容可寻址存储器(cam)，但其它存储器类型也是可能的。在实施例中，标识符存储器被写入保护并且仅被写入一次，例如，由车辆制造商写入。在一个实施例中，标识符存储器被设定大小以存储单个标识符，并且在其它实施例中，标识符存储器被设定大小以存储多个标识符，例如，多达三十二个标识符。
100.can解码器166被配置成根据can协议对串行数据(例如，rxd和txd)进行解码并且分析can消息的标识符。can解码器可以包括具有对所提议的can xl消息格式进行解码的能力，并且任选地具有对can fd消息格式进行解码的能力的can解码器。应了解，比较模块被配置成执行如本文所描述的读取标识符和输出匹配信号的特定任务。因此，比较模块的can解码器166可以被配置成或可以不被配置成对所有接收到的消息进行解码。因此，在一些例子中，can解码器166可以包括基本can解码器166，所述基本can解码器166包括具有提取标识符字段的功能并且可能缺乏提取、读取或处理消息的其它部分的功能的can解码器166。比较逻辑被配置成将从can消息接收到的标识符与标识符存储器中的所存储的一个(或多个)标识符进行比较，并且在比较指示can消息的接收到的标识符与所存储的标识符匹配时输出“匹配”信号。在实施例中，匹配信号触发can节点以在can协议控制器处完全且成功地接收到can消息之前使can消息失效、被破坏和/或终止。
101.在can xl中，位时间可以是“快速”或“缓慢”的，其中快速位(较短的位时间)可以包括由can xl提供的较高数据速率位，并且缓慢位(较长的位时间)可以包括提供用于与can和can fd的兼容的位。因此，接口可以提供“快速”和“缓慢”通信。can收发器、can装置或can协议控制器的一个或多个组件可以被配置成提供在任何一个时间是使用快速位速率还是缓慢位速率的指示。如在can和can fd中，接口可以不仅是一个位宽。
102.在一个示例实施例中，can装置被配置成通过将例如错误标记之类的错误信号发送到can总线上来使can总线上的可疑can消息失效。将例如错误标记之类的错误信号发送到can总线上将使得不正确地处理可疑can消息，由此使可疑can消息失效。
103.在实施例中，可以使用错误标记使can消息失效，所述错误标记包括由can节点102传输的紧接在can消息的fdf字段之后的显性位。在图3b中，紧接在fdf字段之后的位被标示为r0，并且还被称为呈can fd帧格式的res。因此，在一个或多个例子中，在fdf字段中的隐性位之后，通过在隐性fdf位之后的位位置，即帧中的res位置中发送显性位而使can消息失效。
104.在提供can和can fd规范的扩展的所提议的can xl规范中，提议can fd帧的res字段(包括can fd帧中的位)用于在can fd帧与can xl帧之间作出区分。在can xl中，res字段另外被称为xlf字段。
105.res字段(位)在can fd帧中是显性的，并且它在can xl帧中是隐性的。当传输can xl帧的节点对显性res位进行采样时，传输can xl帧的节点将丢失仲裁并且将变成can fd帧的接收器。
106.因此，通过传输紧接在fdf位之后的位位置，即res位位置(在示例图3b中标记为r0)中的显性位可使可能包括根据所提议的can xl规范的can消息的can消息失效，这具有阻止耦合到总线的其它can节点将can消息识别为can xl消息的作用。在其它例子中，可以传输多个显性位。
107.因此，对于can xl消息，fdf字段包括隐性位并且res字段(在can fd中命名)或xlf字段(相同位位置，但在can xl中命名)包括隐性位。当此类消息被标识为失效或不良(rogue)时，通过所述can装置传输显性位以“覆写”紧接在fdf字段之后的位位置中的隐性位，或换句话说，覆写隐性xlf位来实现失效。
108.在一个或多个例子中，可以使用错误标记使can消息失效，所述错误标记包括由can节点102传输res位位置中的显性位，如图3a中的r0所示。这将具有使得其它节点认为can xl消息是标准can消息的作用。
109.因此，其它can节点的can协议控制器114不会将其帧格式解码从can或can fd切换到所提议的can xl帧格式。根据can或can fd规范执行帧格式解码时，不良或失效can xl帧将无法正确地进行解码，并且因此实际上是失效的。因此，耦合到总线104的所有其它节点的can协议控制器114被配置成在接收到紧接在fdf位之后的位位置中的显性位时，将接收到的can消息解码为can fd消息。因此，当所述can消息实际上是can xl消息但是紧接在fdf字段位之后的“xlf”位已经通过can节点120中的一个节点的动作而改变时，所述can消息将不会被正确地解码或使得在其它can节点120的can协议控制器114中产生错误，并且因此其data部分将不会被正确地解码。类似地，如果图3a所示的隐性r0位通过can装置的动作成为显性的，则耦合到总线104的所有其它节点的can协议控制器114被配置成在接收到fdf位位
置中的显性位时，将接收到的can消息解码为can消息。
110.这可能是有利的，因为这样为can节点102提供了一种从总线接收can消息的方式，并且通过can消息的标识符将其识别为可疑can消息，并且如果所述can消息是can xl消息或包括指定转换到can总线上使用can xl的信息，则应通过在can总线上传输与所述can消息的res或“xlf字段”位一致的显性位来至少部分地阻止由其它can节点对所述can消息(即can消息的can xl部分)进行解码。
111.响应于匹配信号，可以不同方式实现用于使包括紧接在fdf位之后的隐性位的预留位成为显性(或fdf位)的装置。例如，所描述的功能可以是can收发器的部分，并且因此可以通过控制can收发器的传输器提供信令。在一个或多个其它例子中，可以提供存在于can收发器中的不同传输器以用于使紧接在fdf位之后的位成为显性的。下文将描述其它例子。
112.应了解，在一些例子中，还可以采用根据can fd规范的额外失效技术。额外失效技术可以包括发送另外的错误信号，因为eof字段中的单个显性位将足以使can总线上的can消息失效。使eof字段中的can消息失效可能是有益的，因为crc已经被处理并且因此可以确保(具有对应标识符的)错误的can消息例如由于标识符字段中的接收错误而尚未失效。使用例如少于6个位之类的少量位使can消息失效也可能是有益的，这将产生错误标记。
113.在示例实施例中，比较模块160的比较逻辑164还被配置成确定can节点自身是否传输具有接收到的标识符的can消息。例如，比较逻辑可监测txd输入接口168a或监测来自协议控制器114的传输状态信号。如果can节点主动地传输can消息，则预期can收发器120还将接收相同的can消息，并且比较模块的can解码器166将接收相同的标识符。因此，在实施例中，比较逻辑被配置成仅在接收到的标识符与所存储的标识符之间存在匹配时并且在can节点不主动地传输can消息时，才输出匹配信号。
114.在实施例中，存储在标识符存储器中的标识符被限制为应该从can装置传输的那些标识符。在另一实施例中，存储在标识符存储器中的标识符被限制成实际上已经成功地在can总线上传输的那些标识符。在实施例中，使用已经成功地在can总线上传输的那些标识符自动地填充标识符存储器。
115.在另一实施例中，可以直接从主机116填充比较模块160的标识符存储器162。例如，比较模块可以包括替代接口172(参见图6)，例如spi接口，其用于直接从主机接收标识符以填充标识符存储器。如果替代接口用于填充标识符存储器，则可能不需要比较模块上的txd输入接口和txd输出接口。另外，尽管图6的比较模块包括rxd输入接口和rxd输出接口，但取决于实施方案，例如将比较模块连接到rxd路径的方式，可能不需要rxd输出接口。同样地，尽管图6的比较模块包括txd输入接口和txd输出接口，但取决于实施方案，例如将比较模块连接到txd路径的方式，可能不需要txd输出接口。例如，如图7的实施例所示，分别经由rxd输入接口和txd输入接口将rxd路径和txd路径拼接到比较模块中。
116.图7描绘可如何将例如参考图5和6所描述的比较模块160之类的比较模块集成到can收发器120中的实施例。can收发器120包括接收器136、传输器138、rxd接口140、txd接口142和具有canh总线接口146和canl总线接口148的can总线接口144。在can总线接口处接收的传入can业务(例如，rxd)经由接收器被传递到rxd接口140，并且在txd接口142处接收的传出can业务(例如，txd)经由传输器被传输离开can总线接口。如图7所示，比较模块的rxd输入接口170a连接到rxd路径，并且比较模块的txd输入接口168a连接到txd路径。在图7的
实施例中，can收发器还包括信号发生器174，所述信号发生器174被配置成产生用于在can总线104上传输的信号，例如上文所描述的错误标记。在实施例中，can收发器是可以连接到印刷电路板(pcb)上的微控制器ic装置的离散独立集成电路(ic)装置。
117.在操作中，标识符存储器162经由txd路径填充，并且rxd路径上的来自接收到的can消息的标识符由can解码器166进行解码并且由比较逻辑164检查。如果响应于通过比较逻辑将标识符与所存储的标识符进行比较而产生匹配信号，则将匹配信号提供到信号发生器174，所述信号发生器174被配置成产生错误标记以使传入can消息失效、被破坏和/或终止。尽管在图6和7中未示出，在一些实施例中，信号发生器是比较模块的一部分，在其它实施例中，信号发生器与比较模块分离。在实施例中，用于实施比较模块和信号发生器的硬件电路与用于实施can收发器的电路被制造在同一衬底上，并且这些电路被封装到单个ic装置中以提供单芯片安全解决方案。
118.在一个或多个例子中，由信号发生器174产生的信号被配置成使所述can收发器120或其传输器138将信令提供到can总线，所述信令提供所述被定时的一个或多个显性位，使得至少紧跟在can消息的fdf位之后的位位置成为显性的。因此，信号发生器可用于“发指令给(instruct)”can收发器。
119.在一个或多个例子中，所述信号发生器被配置成将信令提供到所述can总线，所述信令提供所述被定时的一个或多个显性位，使得至少紧跟在can消息的fdf位之后的位位置成为显性的(从隐性改变为显性)。因此，信号发生器可具有到can总线的连接以直接应用信令，例如，在不使用从节点传输can消息的can收发器的一个或多个传输器138的情况下。
120.如上文所描述，将比较模块包括在can节点中使得can节点能够实施入侵检测/保护。下文参考图8和9描述用于使用比较模块实施入侵检测/保护的两种情境。图8和9示出can xl交换，其中错误管理处于活动状态。通过关闭错误管理可能会应用不同的过程。图8是示出第一入侵检测/防护情境的can节点102(can节点1和2与攻击者节点)之间的消息和信号业务的信号时间线。在图8的例子中，can节点1被配置有仅存储单个标识符的比较模块(未示出)。在时间1时，can节点1将带有id＝0x3a4的can消息发送到can总线上，并且将标识符存储在标识符存储器中。在时间2时，攻击者节点发送错误标记。在时间3时，迫使can节点1发送带有id＝0x3a4的另一can消息(由于时间2时的错误标记)，并且在时间4时，攻击者节点发送另一错误标记。如由can协议所规定，在时间3和4时的操作在时间5-32时重复十五次以上。在时间33处，can节点1进入“错误被动”状态，并且在重复三十二次“总线关闭”状态后，不再允许can节点发送由can协议指定的can消息。在时间34时，攻击者节点发送带有id＝0x3a4的can消息以尝试渗入can网络。然而，在时间35时，配备有如上文所描述的比较模块的can节点1在接收到的can消息的标识符与所存储的标识符匹配时产生匹配信号，并且can节点采取动作以使can消息失效、被破坏和/或终止。例如，响应于匹配信号，can节点1产生错误标记(例如，经由例如图7所示的信号发生器174)并且将错误标记传输到can总线上。错误标记通过如上文所描述的其它can节点阻止对can xl消息进行解码。
121.图9是示出第二入侵检测/防护情境的can节点(can节点1和2与攻击者节点)之间的消息和信号业务的信号时间线。在图9的例子中，can节点1被配置有存储多个标识符的比较模块(未示出)。在时间1时，can节点1将带有id＝0x2f0的can消息发送到can总线上，在时间2时，can节点1将带有id＝0x3a4的can消息发送到can总线上，并且在时间3时，can节点1
将带有id＝0x145的can消息发送到can总线上。在实施例中，每次将can消息发送到can总线上时，通过发送can节点的比较模块对can消息的标识符进行解码，并且将新的标识符添加到标识符存储器中。在图9的例子中，标识符模块填充有三个不同的标识符(例如，标识符0x2f0、0x3a4和0x145)。在时间4时，攻击者节点发送具有id＝0x2f0的can消息以尝试渗入can网络。然而，在时间5时，配备有如上文所描述的比较模块的can节点1在接收到的can消息的标识符与所存储的标识符匹配时产生匹配信号，并且can节点采取动作以使can总线上的can消息失效、被破坏和/或终止。例如，响应于匹配信号，can节点1产生错误标记(例如，经由例如图7所示的信号发生器174)并且将错误标记传输到can总线上。错误标记通过如上文所描述的其它can节点阻止对can xl消息进行解码。
122.图10示出概述can装置的动作的实行的示例流程图。步骤1001表示通过攻击者在can总线上传输可疑can xl消息。fdf字段是隐性的。此外，紧接在fdf字段之后的字段(所谓的xlf字段)也是隐性的，用于将消息指定为can xl消息。步骤1002表示can装置从can总线接收消息，并且一旦接收到消息的标识符部分，就借助于匹配标识符将消息标识为可疑的。如上文所描述，can装置接着被配置成传输被定时的一个或多个显性位，使得相同can消息使其隐性xlf字段(也就是说，正在fdf字段之后的字段)成为显性的。因此，can节点已经使得由攻击者发送的can消息被其它节点视为非canxl消息。步骤1003表示由其它can节点接收具有改变的xlf位的can消息(其实际上与can装置基本上同时发生)。这具有使can xl消息失效的作用，因为其它节点不会将其识别为can xl消息，并且因此其它can节点将不正确地接收can xl消息。
123.如上文参考图1和2所描述的，can节点通常包括can收发器、can协议控制器和主机。通常，can收发器体现为单独的ic装置，can协议控制器和主机体现为单独的微控制器ic装置，并且收发器ic和微控制器通过印刷电路板彼此连接以形成can节点。尽管描述了一个可能的集成水平，但可以各种不同方式实施上文所描述的入侵检测/防护技术。例如，比较模块和信号发生器可以按不同的组合与can收发器、can协议控制器和主机集成。
124.图11描绘can节点102的实施例，所述can节点102包括can收发器ic装置220、微控制器ic装置210和单独的主机116。在此实施例中，比较模块160和信号发生器174集成到can收发器ic装置中。如图11所示，匹配信号用于控制信号发生器以在txd路径上产生错误标记。因此，上文所描述的入侵检测/保护技术可完全实施在can收发器ic装置内，由此提供具有单个can收发器ic装置或“芯片”的安全解决方案。
125.图12描绘can节点102的实施例，所述can节点102包括can收发器ic装置220、微控制器ic装置210和单独的主机116。比较模块160和信号发生器174集成到微控制器ic装置中。如图12所示，匹配信号用于控制信号发生器以在txd路径上产生错误标记。因此，上文所描述的入侵检测/防护技术可完全实施在微控制器ic装置内，由此提供具有单个微控制器ic装置或“芯片”的安全解决方案。
126.图13描绘can节点102的实施例，其中can收发器120和can协议控制器114包括在单个微控制器ic装置210上。在此实施例中，比较模块160和信号发生器174也集成到相同的ic装置中。如图13所示，匹配信号用于控制信号发生器以在txd路径上产生错误标记。因此，上文所描述的入侵检测/保护技术可完全实施在单个微控制器ic装置内，由此提供具有单个ic装置或“芯片”的安全解决方案。在如虚线190所指示的替代实施例中，可以将匹配信号提
供到can协议控制器以触发协议控制器内的操作。在一个实施例中，匹配信号触发协议控制器以产生错误标记并且将错误标记输出到txd路径上，在此情况下不需要单独的信号发生器。在另一实施例中，匹配信号仍然触发信号发生器以产生错误标记，但此外将匹配信号提供到can协议控制器，使得协议控制器可在将消息传递到主机之前局部地使传入的可疑can消息失效。在另一替代性实施例中，不存在额外的信号发生器，并且将匹配信号提供到can协议控制器，所述can协议控制器响应于匹配信号而产生错误标记。
127.图14描绘can节点的实施例，其中can收发器120、can协议控制器114和主机116包括在单个微控制器ic装置210上，所述微控制器ic装置构成can节点。在此实施例中，比较模块160集成到相同的微控制器ic装置中。如图14所示，将匹配信号发送到主机，所述主机接着可使用匹配信号来实施所需动作。例如，主机可以向can协议控制器发送信号，以产生输出到can总线上的错误标记，并且使传入的可疑can消息失效。因此，上文所描述的入侵检测/保护技术可完全实施在单个ic装置或“芯片”内。在替代性实施例中，如参考图7和11-13所描述，还可将匹配信号提供到can协议控制器和/或信号发生器(未示出)。尽管示出了一些示例配置，但其它配置也是可能的。
128.图15是用于在can网络中实施入侵检测/防护的技术的过程流程图。在框302处，对rxd进行解码并且解析can消息的标识符。在实施例中，在can装置处经由can总线接收标识符。在框304处，将标识符与标识符存储器中的条目进行比较。在决策点306处，确定标识符与所存储的标识符之间是否存在匹配。如果不存在匹配，则过程返回到框302。如果存在匹配，则在决策点308处，确定can节点是否主动地进行传输。如果can节点主动地进行传输，则过程返回到框302。过程至少返回到框202，因为认为接收到的标识符来自由can节点自身发送的can消息。如果can节点不主动地进行传输，则在框310处，输出匹配信号。在框312处，采取一些动作以使can消息失效。例如，如上文所描述，紧跟在fdf位位置之后的隐性位成为显性的，使得耦合到总线104的其它can节点中的can消息失效。
129.图16是用于填充用于在can网络中实施入侵检测/防护的标识符存储器的技术的过程流程图。在框320处，对txd进行解码并且解析can消息的标识符。在决策点322处，确定标识符是否已经存储在标识符存储器中。如果标识符已经存储在标识符存储器中，则过程返回到框320。如果标识符尚未存储在标识符存储器中，则在框324处，将标识符添加到标识符存储器，并且过程返回到框320。
130.在实施例中，上文所描述的入侵检测/防护技术可以在can装置中实施，所述can装置例如can收发器ic装置、微控制器ic装置或包括can收发器和微控制器的ic装置。
131.图17公开可以由can节点102提供的另外的功能。在框330处，对rxd进行解码，即对从can总线接收的传入can消息进行解码。可标识并解析紧跟在fdf字段之后的位位置中的位。在决策点331处，确定紧跟在fdf字段之后的位位置中的位是否为隐性的。如果紧跟在fdf字段之后的位是显性的，则过程返回到框330，并且过程重复在rxd上接收到的下一can消息。如果紧跟在fdf字段之后的位是隐性的，则在框332处，can节点被配置成阻止由can节点进行的传输，直到出现ack或确认时隙(参见图3a和3b中的ack)为止或在另一实施例中，直到位速率已经从快速改变到缓慢为止。指定位速率变化速度的信息可由接收器136提供以示出总线是否处于canxl快速阶段。因此，可使用小于快速速率并且高于或处于缓慢速率的阈值速率，使得在can缓慢速率阶段已经恢复时可以采取动作。过程返回到框330。因此，
紧跟在fdf字段之后的隐性位提供用于对传输的所述阻止，而紧跟在fdf字段之后的显性位不会引起对传输的所述阻止。
132.图17的功能可以由比较模块160实施或可以由另一模块提供，所述另一模块可以是如上文关于比较模块160所公开的can收发器、can协议控制器或与其分离的模块的一部分。
133.为了在框332中实施由can节点进行的所述传输阻止，比较模块160可以被配置成在fdf之后的位的时间，即在fdf之后的位的结束的时间与ack时隙的时间之间的时间段内不将txd上接收到的信令从can协议控制器114传递到can收发器120。ack时隙在图3a和图3b中示出为ack和ack del。在另一例子中，比较模块160(或另外的模块，取决于实施功能的方式)可以通过禁用can收发器的传输器来阻止所述传输。在另一例子中，比较模块160(或另外的模块，取决于实施功能的方式)可以通过将指示信号提供到can协议控制器来阻止所述传输。
134.因此，在一个或多个例子中，can解码器166或其它解码器另外被配置成对在从rxd输入接口接收的can消息的fdf位之后的位进行解码。比较逻辑164或其它比较逻辑被配置成确定fdf位之后的位是否为隐性的，并且在fdf位之后的位为隐性时输出禁用信号。响应于禁用信号，can装置被配置成阻止由can收发器120向can总线104进行传输，直到出现ack时隙的开始为止。在替代方案中，直到位速率改变为“缓慢”can/can fd速率为止。因此，can解码器166或其它解码器可以被配置成观测所述can消息，并且在此后的时间观测所述ack时隙或位速率变化。
135.在一个或多个例子中，can装置被配置成通过阻止来自can协议控制器114的信令向前传输到can收发器120来阻止由can收发器120进行的传输，其中比较模块160另外包括传输数据txd输入接口168a，所述txd输入接口168a被配置成从can协议控制器114接收数据。
136.在一个或多个例子中，can装置被配置成通过在ack时隙开始之前将指示其不产生用于can收发器120的信令的消息传输到can协议控制器114来阻止can收发器120进行的传输。因此，can协议控制器114可以被配置成相应地响应于所述信令。
137.在一个或多个例子中，can装置被配置成通过禁用用于将信令传输到can总线104的can收发器120的一个或多个传输器138来阻止由can收发器120进行的传输。因此，传输器138可以包括使能终端，所述使能终端被配置成接收限定传输器138何时可以传输的信号。can装置可以被配置成控制或中断所述使能信号。
138.在实施例中，“can消息”是指can“数据帧”，它们是具有如在can协议中所规定的设置到“0”的rtr位的can帧。can“数据帧”是携带可能用于恶意意图的有效载荷数据(例如，在data字段中)的can帧，并且因此can“数据帧”对于监测入侵检测/防护来说非常重要。在协议中将rtr位设置成“1”的can帧被称作“远程帧”并且此类帧并不包括有效载荷数据，因为“远程帧”的功能是简单地请求具有相同标识符的can数据帧的传输。具有与对应的can数据帧相同的标识符的远程帧可以通过全部的其它can节点传输(例如，除了负责发送具有相同标识符的数据帧的can节点之外的全部can节点)。因此，存储传出can远程帧的标识符将是没有意义的，并且检查传入can远程帧以用于匹配标识符将是没有意义的。
139.在一些实施例中，标识符的所有位的匹配产生匹配信号。在其它实施例中，少于标
识符的所有位的匹配可以产生匹配信号。
140.在实施例中，使can消息失效的上述功能适用于can、can-fd、can xl和iso 11898兼容的网络。所述功能还可适用于通常在车辆中使用的其它网络协议，例如局域互连网络(lin)和flexray协议。
141.根据例子，提供一种控制器局域网(can)装置，其包括被配置成与can收发器接合的比较模块。所述比较模块具有接收数据(rxd)接口、can解码器、标识符存储器、比较逻辑和信号发生器。接收数据(rxd)接口被配置成从can收发器接收数据。can解码器被配置成对从rxd接口接收的can消息的标识符进行解码。标识符存储器被配置成存储对应于至少一个标识符的条目。比较逻辑被配置成将来自can消息的接收到的标识符与存储在标识符存储器中的条目进行比较，并且在比较指示can消息的接收到的标识符与存储在can装置处的条目匹配时输出匹配信号。信号发生器被配置成响应于匹配信号而输出使can消息失效的信号。
142.根据例子，信号发生器产生错误信号以使can消息失效。根据例子，can装置另外被配置成将错误信号输出到can总线上以使can消息失效。根据例子，标识符存储器被配置成存储一个或多个标识符。根据例子，标识符存储器被配置成存储对应于一组标识符的标识符掩码。根据例子，比较逻辑另外被配置成在比较指示can消息的接收到的标识符与存储在can装置处的条目匹配并且can装置目前不传输具有接收到的标识符的can消息时输出匹配信号。根据例子，比较模块另外包括传输数据(txd)输入接口，所述txd输入接口被配置成从can协议控制器接收数据，并且其中比较逻辑另外被配置成使用在txd输入接口处接收到的can消息的标识符填充标识符存储器。根据例子，如果标识符尚未存储在标识符存储器中，则将标识符添加到标识符存储器。根据例子，提供can收发器集成电路装置，其包括接收器、传输器、can总线接口、rxd接口、txd接口和如上文所例示的can装置。根据例子，提供微控制器集成电路装置，其包括如上文所例示的can协议控制器和can装置。根据例子，提供集成电路装置，其包括can收发器、can协议控制器和如上文所例示的can装置。根据例子，提供一种用于控制控制器局域网(can)业务的方法。在can装置处接收can消息的标识符。在can装置处经由can总线接收标识符。将can消息的标识符与can装置处的标识符存储器中的条目进行比较。在比较指示来自can消息的标识符与标识符存储器中的条目匹配时，输出匹配信号。响应于匹配信号而使can消息失效。根据例子，使can消息失效包括将错误信号发送到can总线上。根据例子，使can消息失效包括通知can协议控制器以使can装置处的can消息失效。根据例子，将can消息的标识符与标识符存储器中的条目进行比较包括以下情况中的至少一个：将标识符与一个或多个所存储的标识符进行比较，或将标识符存储器与对应于一组标识符的掩码进行比较。根据例子，标识待从can装置传输的can消息的标识符，并且将标识符存储在can装置处的标识符存储器中。根据例子，在初始步骤中，对来自txd路径的can消息的标识符进行解码，并且将解码后的标识符存储在can装置处的标识符存储器中。根据例子，如果标识符来自从can装置传输的can消息并且标识符尚未存储在标识符存储器中，则将标识符添加到标识符存储器。根据例子，在将can消息提供到can协议控制器之前，将can消息的标识符与标识符存储器中的条目进行比较。根据例子，提供一种控制器局域网(can)装置，其包括can收发器、can协议控制器和比较模块。比较模块位于can收发器与can协议控制器之间的信号路径中。比较模块具有接收数据(rxd)输入接口、can解码器、标识符
存储器和比较逻辑。接收数据(rxd)输入接口被配置成经由can总线从can收发器接收数据。can解码器被配置成对从rxd输入接口接收的can消息的标识符进行解码。标识符存储器被配置成存储对应于至少一个标识符的条目。比较逻辑被配置成将来自can消息的接收到的标识符与存储在标识符存储器中的条目进行比较，并且在比较指示can消息的接收到的标识符与存储在can装置处的条目匹配时输出匹配信号。
143.除非明确陈述特定次序，否则可以任何次序执行上图中的指令和/或流程图步骤。而且，本领域的技术人员将认识到，虽然已经论述一个示例指令集/方法，但是在本说明书中的材料可以多种方式组合从而还产生其它例子，并且应在此详细描述提供的上下文内来进行理解。
144.在一些示例实施例中，上文描述的指令集/方法步骤实施成体现为可执行指令集的功能和软件指令，所述可执行指令集在计算机或由所述可执行指令编程和控制的机器上实现。此类指令被加载以在处理器(例如一个或多个cpu)上执行。术语处理器包括微处理器、微控制器、处理器模块或子系统(包括一个或多个微处理器或微控制器)，或其它控制或计算装置。处理器可以指单个组件或多个组件。
145.在其它例子中，本文中示出的指令集/方法和与其相关联的数据和指令存储于相应存储装置中，所述存储装置被实施为一个或多个非暂时性机器或计算机可读或计算机可用存储介质。此类计算机可读或计算机可用存储介质被视为物品(或制品)的部分。物品或制品可指代任何制造的单个组件或多个组件。如本文所定义的非暂时性机器或计算机可用介质不包括信号，但此类介质可能能够接收并处理来自信号和/或其它暂时性介质的信息。
146.本说明书中论述的材料的示例实施例可以完全或部分地通过网络、计算机或基于数据的装置和/或服务来实施。这些可以包括云、互联网、内联网、移动装置、台式计算机、处理器、查找表、微控制器、消费者设备、基础架构，或其它使能装置和服务。如本文和权利要求书中可以使用，提供以下非排他性定义。
147.在一个例子中，使本文所论述的一个或多个指令或步骤自动化。术语自动化或自动地(和其类似变型)意指使用计算机和/或机械/电气装置控制设备、系统和/或过程的操作，而不需要人为干预、观测、努力和/或决策。
148.应了解，据称要耦合的任何组件可直接或间接地耦合或连接。在间接耦合的情况下，可在据称要耦合的两个组件之间安置额外的组件。
149.在本说明书中，已经依据选定的细节集合而呈现示例实施例。然而，本领域的普通技术人员将理解，可实践包括这些细节的不同选定集合的许多其它示例实施例。希望所附权利要求书涵盖所有可能的示例实施例。