提供了一種用于在分布式網絡中提供經認證更新的方法。所述分布式網絡具有耦合到串行總線的多個節點。所述方法開始于將憑證從外部裝置傳輸到第一節點。將更新數據和認證代碼從所述外部裝置提供給第二節點的處理器。所述第二節點的所述處理器向所述第二節點的所述收發器提供所述更新數據和所述認證代碼。通過所述第二節點的所述處理器最終確定所述經認證更新。通過所述第一節點的所述收發器關閉所述經認證更新。向所述第二節點的所述收發器提供所述經認證更新的所述憑證。所述第二節點的所述收發器使用所述憑證和所述認證代碼驗證所述更新數據。在被驗證后，存儲經認證的更新數據。

技術領域

本公開總體上涉及安全性，并且更具體地說，涉及一種用于在分布式網絡中提供經認證更新的方法。

背景技術

控制器局域網(CAN)是主要用于汽車應用的通信標準。CAN協議的數據鏈路層被標準化為國際標準組織(ISO)11898。CAN系統在分布式網絡系統中的處理器、傳感器與致動器之間提供串行通信以控制系統如安全氣囊、制動器、巡航控制、動力轉向、車窗、門鎖、引擎控制模塊(ECM)、電子控制單元(ECU)等。當首次開發CAN時，因為沒有提供外部訪問，無需考慮安全性。然而，現在可以遠程地或外部地由例如車載診斷(OBD)系統訪問CAN系統以配置和上報有關車輛的電子器件。車輛系統暴露于外部實體產生安全性和安全風險。

在安全領域和應用中，認證和完整性驗證是用于保護系統免受如欺騙和篡改等安全性威脅的兩種機制。數據認證和完整性驗證傳統上借助于密碼算法和相關聯的一個或多個密鑰或公鑰實施。然而，密碼算法的使用通常需要處理時間和非易失性存儲裝置的廣泛使用。相比之下，非密碼對策也是已知的，并且如果制造商接受這些規則可以被僅編程一次，則所述非密碼對策很好地工作而不招致依賴于實時密碼對策的高成本。為了抵抗潛在的惡意攻擊，已經開始使用非密碼對策開發在CAN總線上運行的CAN收發器。為了保護系統，安全CAN收發器可以根據規則集提供在CAN總線上扼殺的消息，從而過濾消息傳輸并限制消息傳輸速率。

安全收發器的規則集可能需要裝置配置不時地更新。當其包括并涉及如防火墻規則等安全資產時，CAN上的裝置配置更新可能需要認證新規則集數據。出于安全性目的，需要應用正確的規則以防止未經授權的修改，這需要一種更新規則的安全方式。

發明內容

根據本發明的第一方面，提供一種用于在具有耦合到串行總線的多個節點的分布式網絡中提供經認證更新的方法，所述方法包括：

將憑證從外部源傳輸到第一節點；

將更新數據和認證代碼從所述外部源提供給第二節點；

通過所述第二節點的處理器啟動所述經認證更新；

通過所述第二節點的所述處理器最終確定所述經認證更新；

通過所述第一節點關閉所述經認證更新；

由所述第一節點向所述第二節點提供所述經認證更新的所述憑證；

使用所述憑證和所述認證代碼驗證所述更新數據；以及

存儲經認證的更新數據。

在一個或多個實施例中，所述第一節點的收發器被表征為能夠根據預定規則使所述串行總線上的消息無效的安全收發器。

在一個或多個實施例中，驗證進一步包括根據由所述憑證限定的加擾掩碼在所述更新數據和所述認證代碼的加擾版本上使用循環冗余校驗。

在一個或多個實施例中，所述經認證更新是針對所述分布式網絡的預定收發器的規則集的更新。

在一個或多個實施例中，啟動所述經認證更新進一步包括所述第二節點的收發器進入更新狀態，其中所述第二節點的所述收發器接受用于更新所述第二節點的所述收發器的存儲器中的數據的命令并拒絕用于設置所述憑證的命令。