控制区域网数据加密系统和方法.pdf

控制区域网数据加密系统和方法
    技术领域 本发明的实施例总体涉及动力机， 并且更具体地涉及一种用于与动力机一起使用 的通信系统。
     背景技术 诸如滑移导向装载机的动力机通常包括机器控制器， 所述机器控制器控制连接到 动力机的工具。工具可以包括工具控制器。在一些情况下， 工具控制器通过控制区域网 (“CAN” ) 总线网络与机器控制器通信。然而， 未被授权的装置还可以连接到 CAN 总线网， 并且可以获得对动力机的访问和控制。
     发明内容 动力机可以具有用于支撑室的框架和用于支撑诸如铲斗的附加装置的可移动臂。 可移动臂通常利用诸如液压缸的致动器枢转地联接到框架。当操作者操作动力机时， 操作 者致动致动器。响应于被致动的致动器， 可移动臂移动。
     当操作者使致动器致动时， 从动力机中的控制器将指令发送到附加装置。指令通 常是符合一些通信协议的信号。为了安全地操作动力机， 动力机提供一种用于动力机的通 信系统， 所述通信系统对动力机上的控制器生成的 CAN 消息加密， 并且将加密的 CAN 消息发 送到附加装置的控制器。具体地， 系统还包括可被构造成对相应的 CAN 消息进行加密和解 密的软件密钥。
     在另一个实施例中， 本发明提供一种用于与动力机和可拆卸地联接到动力机的附 加装置一起使用的通信系统。所述系统包括第一控制单元、 控制区域网 (“CAN” ) 总线、 和 第二控制单元。 第一控制单元联接到动力机， 生成操作消息， 并且具有第一加密和解密模块 以接收密钥， 并且利用密钥对操作消息的至少第一部分进行加密。控制区域网联接到第一 控制单元， 并且被构造成携带被加密的操作消息的至少第一部分。第二控制单元位于附加 装置中， 并且联接到控制区网络。 第二控制单元接收被加密的操作消息的至少第一部分， 并 且具有第二加密和解密模块以接收被加密的操作消息的至少第一部分， 接收密钥， 并且利 用密钥对被加密的操作消息的接收到的部分进行解密。
     在另一个实施例中， 本发明提供一种用于与动力机和可拆卸地联接到动力机的附 加装置一起使用的通信方法。所述方法包括以下步骤 ： 在动力机处生成操作消息 ； 以及利 用密钥对操作消息的至少第一部分进行加密。所述方法还包括以下步骤 ： 将操作消息的至 少第一部分格式化成控制区域网格式， 以及将被格式化的操作消息的至少第一部分通过总 线发送到附加装置。所述方法还包括以下步骤 ： 通过总线接收被格式化的操作消息的至少 第一部分， 以及在附加装置处利用密钥对被加密的操作消息的接收到的部分进行解密。
     在另一个实施例中， 本发明提供了一种动力机， 所述动力机包括框架、 由框架支撑 的室、 和第一和第二装置。第一装置位于室和附加装置中的一个上以生成操作指令。第二 装置联接到室和附加装置中的另一个以响应于操作指令而工作。 第一控制单元位于第一装
     置处， 接收操作指令和第一密钥， 利用第一密钥将操作指令的至少一部分加密成加密消息， 并且将加密消息发送到第二装置。第二控制单元位于第二装置处， 并且接收加密消息和第 二密钥， 对接收到的消息进行解密， 并且至少部分地根据被解密的消息控制第二装置。
     本发明的其它方面将通过研究详细说明和附图而变得清楚。 附图说明
     图 1 是动力机的侧视图 ； 图 2 是用于与图 1 的动力机一起使用的通信系统的方框图 ； 图 3 是显示全部动力机消息加密过程的流程图 ； 以及 图 4 是显示部分动力机消息加密过程的流程图。具体实施方式
     在详细说明本发明的任意实施例之前， 要理解的是本发明在其应用中不限于以下 说明中所述和以下附图中所示的详细结构和部件的布置。本发明能够是其它实施例， 并且 能够以各种方式被实践或实施。 此外， 还要理解的是这里使用的措辞和术语用于进行说明， 并且将不会被认为是限制性的。 “包含” 、 “包括” 、 或 “具有” 及其变化在这里的使用表示包 括之后所列的项及其等效物以及额外的项。除非另外指定或限制， 术语 “安装” “连接” 、 “支 、 撑” 、 和 “联接” 以及变化被广泛使用， 并且包括直接和间接安装、 连接、 支撑、 和联接。此外， “连接” 和 “联接” 不局限于物理或机械连接或联接。
     同样对本领域的普通技术人员显而易见的是， 图中所示的系统是与实际系统可能 相像的模型。如要注意的， 能够在通过微处理器或类似装置运行的软件中实施所述的多个 模块和逻辑结构， 或者能够在使用诸如包括专用集成电路 (“ASIC” ) 的各种部件的硬件中 实施所述的多个模块和逻辑结构。诸如 “处理器” 的术语可以包括或涉及硬件和 / 或软件。 此外， 在整个说明书中， 使用大写字母开头的术语。使用这种术语以与惯例一致， 并且有助 于使说明书与编码示例和附图相关联。然而， 使用大写并非隐含或简单地暗示特定意思。 因此， 权利要求将不会限于具体示例或术语或任意具体硬件或软件实施或软件或硬件的组 合。
     此外， 虽然所述实施例打算将本发明应用到滑移装载机， 但是本发明可以基本上 应用到任意动力机。
     图 1 是诸如滑移装载机的动力机 100 的侧视图。动力机 100 包括支撑框架或主框 架 104， 和利用内燃机驱动动力机 100 的轮子 108。支撑框架 104 还包括操作者室 112， 操作 者在所述操作者室内操作动力机 100。操作者室 112 通常包括座椅、 座椅杆、 和诸如把手或 操纵杆的操作装置、 仪表组、 仪表显示器、 其它显示面板、 其它输入面板、 控制杆、 踏脚板等 等。 例如， 操作者可以以一定方式操纵操纵杆， 操纵杆接着又致动诸如液压缸的一个或多个 致动器 116。虽然显示是一个致动器 116， 但是应该理解的是动力机 100 包括其它致动器。 还要注意的是在一些情况下操作者可以以遥控和 / 或无线方式操作动力机 100。
     具体地， 当操作者移动诸如把手等操作装置时， 操作装置的传感器产生指示操作 装置的移动或参数变化的多个数据。动力机 100 或操作装置的控制单元 124 中的主处理 器或主控制器接收上述数据， 并且生成一组相应的操作或致动指令或消息。控制区域网(“CAN” ) 控制器接收这些消息， 对所述消息进行加密， 将被加密的消息格式化为 CAN 格式， 并且通过串行的 CAN 总线发送被格式化的消息， 这在以下进行详细说明。虽然所述实施例 显示了控制单元 124 的一般性位置， 但是应该注意的是控制单元 124 可位于动力机 100 的 其它位置。此外， 操作装置中的每一个都包括与相对应的主 CAN 控制器进行通信的主处理 器。在其它实施例中， 主控制器对消息进行加密， 并且将被加密的消息发送到 CAN 控制器， 用于如所述进行进一步处理。
     第二控制单元 128 通过 CAN 总线接收被格式化的消息。具体地， 收发器接收消息， 并且将接收到的消息发送到相对应的 CAN 控制器。然后， CAN 控制器重新格式化、 解密接收 到的消息， 并将接收到的消息发送到第二主控制器。然后， 第二主控制器响应于来自 CAN 控 制器的消息来致动装置。如先前所述， CAN 控制器可以接收并重新发送接收到的消息给第 二主控制器， 用于进行诸如解码的进一步处理。在第二控制单元 128 已经接收到一些操作 指令之后， 第二控制单元 128 致动相对应的装置 ( 诸如可移动提升臂 132)， 所述可移动提升 臂在枢转点 136 处枢转地联接到支撑框架 104。 然后， 可移动提升臂 132 响应于接收到的消 息而移动附加装置。其它示例性的对应装置包括诸如铲斗、 致动器 116 等附加装置。第一 控制单元 124 与第二控制单元 128 之间的通信通常是双向的。例如， 第二控制单元 128 还 可以将被加密的 CAN 消息发送到第一控制单元 124。 图 2 是用于与图 1 的动力机 100 一起使用的通信系统或电子控制器 (“ECU” )200 的方框图， 其中， 相同的附图标记表示相同的部件。 ECU200 包括通用控制单元 204( 例如， 图 1 的 124 或 128)， 所述通用控制单元还包括主控制器 208。控制单元 204 从感测子系统 212 接收数据。在一些实施例中， 感测到的数据包括指示操作装置 ( 例如操纵杆 ) 的移动、 或面 板上的按钮的致动的数据。根据在控制单元 204 处存储或接收到的密钥 216， 加密模块 220 或解码模块 224 对接收到的消息进行加密或解密。密钥通常可通过软件构造而成。在一些 实施例中， 例如， 操作者将被提示输入密钥、 输入激活密钥的口令或插入包括密钥和 / 或加 密 / 解密算法的诸如姆指驱动器等可移动装置， 使得可以将密钥和 / 或加密 / 解密算法发 送到 ECU200， 用于对消息进行加密和 / 或解密。虽然加密模块 220 和解密模块 224 被显示 为单独的模块， 但是加密模块 220 和解密模块 224 还可以作为一个模块来实施。在一些实 施例中， 加密模块 220 和解密模块 224 是主控制器 208 的固件、 硬件、 和 / 或软件模块。即， 主控制器 208 还可以根据在其内的密钥和加密模块 220 和解密模块 224 对消息进行加密和 / 或解密。
     在其中消息在解密模块 224 处被接收到的情况下， 解密模块 224 根据密钥对接收 到的消息进行解密。一旦被解密， 解密模块 224 将被解密的消息发送到主控制器 208。进 而， 主控制器 208 根据被解密的消息执行指令或动作。因此， 没有利用密钥加密的消息将不 起作用。这样， 密钥提供另外的安全功能。
     在其中消息在加密模块 220 处被接收到的情况下， 加密模块 220 利用被设置成用 于进行进一步处理的密钥对移动数据进行加密。例如， 主控制器 208 使用密钥 216 对从感 测单元 212 接收到的消息进行加密。CAN 控制器 228 随后以适当的 CAN 格式对被加密的数 据进行格式化， 以便利用收发器 232 和 CAN 总线 236 进行传送。在一些实施例中， 利用相当 好的隐私 (“PGP” ) 密码和认证或类似的算法实施加密与解密。应该注意的是还可以使用 其它加密与解密算法。此外， 在一些实施例中， 一次仅激活或启动 (enable) 加密模块 220
     和解密模块 224 中的一个。在其它的实施例中， 加密模块 220 和解密模块 224 中的任一个 或两者都可以利用维护工具而被整体启动和禁止 (disable)， 以允许在实验和研制期间对 消息进行监测。
     图 3 是显示完整动力机消息加密过程 300 的流程图， 其中， 相同的附图标记表示相 同的部件。在全部动力机消息加密过程 300 中， 在方框 308 处， 发送 ECU304( 例如 ECU200) 接收消息， 所述消息包括需要加密的所有位。 一旦在方框 312 处接收到密钥， 在方框 316 处， 加密模块 220 使用加密程序或算法对消息进行加密。然后， 全部动力机消息加密过程 300 利用 ( 图 2 的 )CAN 控制器 228 对被加密的数据进行格式化， 并且在方框 320 处通过 ( 图 2 的 ) 收发器 232 通过 CAN 总线 328( 图 2 的 236) 将被加密的数据发送到接收 ECU324( 例如， 图 2 的 ECU200)。在方框 330 处， 一旦利用 ( 图 2 的 ) 收发器 232 接收到， 在方框 332 处， 接 收 ECU324 确定是否可获得解密密钥。当在方框 332 处可获得解密密钥， 在方框 336 处， 接 收 ECU324 利用解密密钥、 ( 图 2 的 ) 解密模块 224、 和解密算法对接收到的消息进行解密， 并且在方框 340 处生成解密消息。解密消息可以例如包括致动 ( 图 1 的 ) 致动器 116 的操 作指令。
     图 4 是显示部分动力机消息加密过程 400 的流程图， 其中， 相同的附图标记表示相 同的部件。在部分动力机消息加密过程 400 中， 在方框 408 处， 第二发送 ECU404( 例如图 2 的 ECU200) 接收消息， 所述消息包括需要加密的一定数量的位和不需要加密的一定数量的 位。部分动力机消息加密过程 400 分别在方框 412 和 416 处将需要加密的那些数量的位和 不需要加密的那些数量的位与消息分开。 一旦在方框 420 处接收到密钥， 在方框 424 处， 部分动力机消息加密过程 400 使用 加密程序或算法对需要加密的那些数量的位进行加密。 然后， 部分动力机消息加密过程 400 利用 ( 图 2 的 )CAN 控制器 228 对被加密的数据进行格式化， 并且在方框 428 处通过 ( 图 2 的 ) 收发器 232 将被加密的数据通过 CAN 总线 328( 图 2 的 236) 发送到第二接收 ECU432( 例 如， 图 2 的 ECU200)。
     一旦在方框 436 处在 ( 图 2 的 ) 收发器 232 处被接收到， 在方框 440 处， 第二接收 ECU432 确定是否可获得解密密钥。 当在方框 440 处可获得解密密钥时， 在方框 444 处， 部分 动力机消息加密过程 400 利用解密密钥、 ( 图 2 的 ) 解密模块 224、 和解密算法对接收到的 消息进行解密， 并且生成解密消息。在方框 448 处， 部分动力机消息加密过程 400 还接收不 需要加密的位， 不需要加密的位与解密消息结合， 从而在方框 452 处产生可以例如包括致 动 ( 图 1 的 ) 致动器 116 的操作指令的消息。应该注意的是虽然没有明确显示， 但是 ( 图 2 的 ) 收发器还可以通过总线 328 将在方框 416 处不需要加密的位发送到方框 448。也可 以使用其它传送方法将在方框 416 处不需要加密的位发送到方框 448。
     在一个示例性消息格式中， 消息格式是 128 位 J1939CAN 2.0B 格式。还可以使用 诸如 ISO11898-2、 ISO11898-3、 ISO11992-1、 ISO11783-2、 和类似物的其它可以数据格式或 数据结构。