本发明涉及一种用于检查通过在两个第一接口单元之间实现的第一通信连接在两个数据处理装置之间进行的数据传输的方法,其中,待传输的有效数据/用户数据能被分割成有效数据块/用户数据块,在数据处理装置之间存在至少一个通过第二接口单元建立的第二通信连接。此外,本发明涉及一种机动车。
背景技术:
提供数据处理功能的现代化总装置的数据处理系统越来越复杂,并且在多数情况中需要多个相互传输有效数据的数据处理装置以不同方式处理有效数据,例如进行编辑用于其它数据处理装置,产生控制信号和/或同样最终应用有效数据,这适用于例如显示信息作为有效数据的情况中,该有效数据例如通过作为数据处理装置的显示装置、例如显示器示出。除了单个数据处理装置固定地归属于系统(尤其是安装在一个公共的结构单元中)的总装置,也已经提出了分布式数据处理系统,在其中将多个数据处理装置分配给不同的总装置。为此的示例例如是在移动设备、例如移动电话和机动车之间的协同数据处理。就此而言,专利文献de102011015259a1提出,在车辆和可携带的装置之间建立通信连接,其中,通过该通信连接首先可进行主机软件使用的验证,该验证通过提问应答验证过程(challenge-response-authentifizierung)实现。
在其中在不同数据处理装置之间进行数据传输的总装置是现代的机动车。例如,此处存在多个控制器作为数据处理装置,这些数据处理装置与机动车的其它控制器和/或功能元件通信。对于机动车重要的功能元件类型是显示装置,尤其是这样的显示装置,即,用户在该显示装置上可靠地且在确定图像中获得的机动车运行的信息,尤其是也涉及行驶的信息,例如速度,交通情况数据,等等。如果作为显示装置以及进而数据处理装置设置例如显示器,则相应待示出的帧/图像数据作为有效数据通过通信连接从控制传输给显示装置,其中,大多应用快速数据传输路径和通信标准,例如lvds连接(lowvoltagedifferentialsignaling)。在此,相应的数据处理装置的通常构造成微芯片的接口单元将图像数据转换成适合传输的格式。在具体的示例中,这种接口单元例如可构造成lvds芯片。除了第一、通常具有高的速度和/或高的带宽的、在所描述的第一接口单元之间构成的通信连接之外,数据处理装置常常也可通过至少一个第二通信连接相连接,第二通信连接例如通过网络,在此机动车总线、尤其是can总线实现。以这种方式,可交换对时序要求不太严格的信息,例如也构造成操作装置的显示装置、尤其是作为显示器装置的触摸屏的反馈。与第二通信连接相关联的第二接口单元大多为通用的网络接口或总线接口。其同样可实现成微芯片或集成电路(asic)。
在显示器、但是也在机动车中的其它数据传输中,刚好也部分地存在接入有效数据流或者用自己的有效数据替代或改变有效数据流的第三方需求。例如,对于机动车的显示器装置,可将目前的、作为有效数据提供待示出的图像数据的控制器至少部分地与显示器分隔,以便将另一有效数据流输送给显示器。例如,以这种方式可实现改变的用户界面,等等。因此,可以说,也通过第三方作用于在机动车之内(或者同样其它总装置之内)的当前任意显示器。在此,已经提出,通过第一接口单元为作为有效数据的图像数据加密,然而此时例如在lvds情况中使用这种第三方也能无询问地访问的秘钥。
因此,从这种总装置、尤其是机动车的制造商方面,存在的需求是,尽可能避免这种类型的不期望的访问。但是,此外也存在的需求是,在机动车中的作为数据处理装置的显示装置上示出仅仅期望的内容,因为所示出的信息可能对于驾驶员评估交通情况来说非常重要,因此可涉及安全方面。在此,已经提出这样的可能性,即,例如通过使用数字签名或水印技术为图像数据、尤其是视频数据验证,其中,此外已知以人工智能为基础的方案。总地来说,这意味着,在用于加密和/或相应计算的硬件和/或软件上带来高的花费。
专利文献us2009/0210707a1公开了一种带外验证方法以及一种用于通过数据网络通信的系统。在此提出,由发送器通过第一、尤其是不安全的通道传输数据流。发送器产生用于数据流的验证数据,该验证数据通过第二、尤其是安全的通道传输。接收器根据验证数据检查数据流。
专利文献us2005/0228983a1涉及一种用于留言板的网络页面。提出了,除了不安全的传统(legacy)通道之外,使用用于扩展留言板协议的安全的页面通道。该页面通道可用于传输通过传统通道发送的哈希数据。
技术实现要素:
因此本发明的目的是,给出一种检查或验证在两个数据处理装置之间的数据传输的可能性,其可简单地实现,可限制在实际待检查的通信连接上并且仅仅需要低的计算能力。
在开头所述的类型的方法中,为了实现该目的,根据本发明规定,为了实现提问应答验证,作为提问,验证单元在使用第二通信连接的情况下,将询问发送给第一接口单元,该询问要求从可识别的、随机选择的有效数据的有效数据块中查询随机选择的数据单元,相应的第一接口单元的验证组件从有效数据中提取要求的应答数据并且反馈给验证单元,以及在应答数据一致时确定检查成功。
由此,本发明提供用于验证数据内容、尤其是图像数据、例如视频流的易于实现的、扩展的可能性。在固定地装配的系统、即总装置中,可检查在至少一对数据处理装置之间的数据传输,因此确定,数据是否不变地到达接收的数据处理装置。为此,提出提问应答验证的特殊设计方案,其借助于特别地设计的询问(“提问”)尽可能在第一通信连接开始和结束时通过抽样提取检查有效数据的成功传输的合理性。在此,只要可识别有效数据块和其中的数据单元,可明显简单地实现描述数据单元的实际查询,其中,在特别的未知的、随机选择待查询的数据单元中存在提问的实际复杂性和安全性,数据单元借助于优选地构造成主单元的验证单元形成,验证单元可为数据处理装置的一部分。为了避免简单的获取以及进而简单地实现通过另一计算装置、例如也监控第二通信连接的第三方生成正确应答数据,在本发明的范围中,此外尤其优选的是,待通过第二通信连接传输的询问被加密,这常常在现代的总装置、尤其是机动车中常常总归是可行的,这意味着,优选地在第二接口单元方面存在相应的加密器件。下文还将详细阐述。
对于实现本发明的重要前提是,在有效数据流中的有效数据块可相互分隔开,即,例如在视频数据的情况中,在帧中的帧开始标记(帧开始指针)作为有效数据块存在,其用于有效数据块的验证,并且实现,在确定的有效数据块之内查询数据单元。应说明的是,在视频数据中这常常总归已经是给出的,例如以视频同步信号(例如“空白线”)的形式。在使用以数据包为基础的有效数据传输时,通过有效数据包也已经作为有效数据块给出相应的可识别性。
因为在硬件技术方面可简单地实现询问,即,数据单元的查询过程,通过简单地增加相应的验证组件,在这一点上第一接口单元的成本适宜的硬件改造就足够了。例如,验证组件可包括相应的切换元件,切换元件可在微芯片上实现成第一接口单元。在此,在发送的第一接口单元和接收的第一接口单元之间不必区分,这意味着,只要在数据处理链中的位置相同,针对这两种情况可使用相同的验证组件。在此,在数据处理链中的位置尽可能选择在第一通信连接的实际的数据出口附近,以尽可能简单地且尽可能少地干预地监控有效数据的数据传输。具体地,用于实现验证组件的硬件组设置用于发送(tx)或接收(rx),或者可规定,存在用于同时发送/接收的rx部件和tx部件。
因此,通过根据本发明提出的过程,包括至少两个数据处理装置的总装置的固定地安装的系统监控在为此设置的数据处理装置之间的第一通信连接上的数据篡改/数据交换。如果对应答数据的比较失败,在总装置中存在多种响应可能性,例如输出警报提示,取消激活数据处理装置,等。在本发明的范围中,检测在总装置之内的数据篡改/数据交换,并且由此以成功的方式防止或至少部分地使数据篡改/数据交换变得困难。因此,可保证有效数据的数据质量。
在此,根据本发明的过程的重要优点是其选择性和扩展性。如果在总装置中存在多个彼此通信有效数据的数据处理装置,不必为每对数据处理装置强制地进行验证,而是通过仅仅将询问发送给相应的数据处理装置的相应的第一接口单元,可将验证限制在确定的数据传输区间上。在已经阐述的加密的情况中,仅仅必须在待检测的数据处理装置中提供相应的加密器件和加密措施。例如,在机动车作为总装置时,制造商可保证质量,车辆可靠性和在显示器和/或其它有效数据上的特殊的“界面外观”。
在这点上还应说明的是,尽管应增加其它有效数据源,本发明允许无问题地将其相应地结合到总系统中。通过相应地配置验证单元,在具体的实现方案和允许的可切换的有效数据流中存在多个自由度。例如,可选择这样的配置方案,即,在其中,作为数据处理装置的特殊的显示装置/显示器装置在确定的时间上显示其它内容,仅仅在确定类型的机动车中允许显示确定的内容,而排除其它机动车,并且可允许未根据标准设置在机动车中的附加数据处理装置录入有效数据,例如用于作为总装置的构造成紧急事件用车的机动车,等。尤其是在尤其优选地设置的在第二通信连接上加密的方面,在此再次应强调在加密(第二接口单元)和查询信号的实现(第一接口单元)之间的分隔。因此,加密结构以及必要时所需的秘钥设置在第一接口单元之外,因此仅仅必须在实际上应参与验证的数据处理装置中增加,其中,在这种情况中,可通过分隔的、与组相关联的秘钥定义扩展性,与第一接口单元无关地设置该秘钥。
如已经阐述的那样,本发明尤其是可用于作为有效数据的图像数据、尤其是视频数据的验证,从而在适宜的设计方案中,数据处理装置中的一个是控制器,而另一数据处理装置是显示装置,其中,作为有效数据使用待在显示装置上显示的图像数据。在图像数据中已知的是,且在本发明的范围中适宜的是,使用帧起始指针,从而因此图像数据可具有通过帧起始指针分隔的有效数据块或者通过帧起始指针分隔的、包含至少一个有效数据块的有效数据结构。这实现了简单地区别有效数据块并且因此也给出其识别的基础,以下还将对其详细阐述。
作为第一通信连接的传输标准,可使用lvds。就此而言,第一接口单元例如可构造成lvds芯片,为第一接口单元增加相应的验证组件。低电压差分信号(lvds)为用于高速数据传输的接口标准,其常常用于视频接口。
通常也可为适宜的是,第一接口单元实现成微芯片,验证组件实现成在微芯片上的集成电路。因此,验证组件集成到微芯片中,因此作为功能单元与相应的其它功能单元一起实现在公共的晶片上。作为微芯片的备选,也可使用现场可编程逻辑门阵列fpga和/或专用集成电路asic。在此,给出与加密措施相比可简单地实现的改变。
本发明的一种适宜的具体的设计方案规定,验证组件具有用于有效数据块的循环重置/周期性复位的计数器,其中,询问针对在计数过程时产生的有效数据块的组,并且为了识别有效数据块使用有效数据块在该组之内的编号。即,一方面适宜的是,在验证组件中存在用于在有效数据块之内的数据单元的计数器,为了能正确地回答询问,优选的适宜的改进方案规定,也为有效数据块计数,并且由此实现由可清楚地识别的有效数据块组成的、在计数过程=循环之内产生的组。以这种方式,最终为每次计数过程产生时间窗,在时间窗之内可以此处描述的方式进行验证过程。例如,如果在图像数据、具体地视频数据中考察帧,并且例如将512帧作为有效数据块汇总成连续编号的有效数据块的组,可得到在几秒的范围中的时间窗。尤其是证实为适宜的是,通过第二通信连接更缓慢地进行数据传输并且附加地也将其加密,因为于是产生缓冲时间,其保证及时地通过第二通信连接传输询问。在用于不同的数据处理装置的汇总成有效数据结构的有效数据块中,在发送的数据处理装置方面可为足够的是,为有效数据结构(其也可相应地分隔,例如通过超级帧起始指针)计数,因为随后自动地为每个包含在其中的有效数据块同时计数。
因此,尤其有利的、具体的设计方案规定,在开始新的计数过程时发送询问,其中,如此限制在组开始时可能的待查询的有效数据块的范围,使得询问在达到第一可查询的数据块编号(blockzahl)之前到达验证组件,和/或如此限制在组结束时可能待查询的有效数据块的范围,使得应答数据在新的计数过程开始之前到达验证单元。因为已知或至少可获得用于整理询问、必要时加密询问并且将询问传输给第一接口单元的时间,可针对性地设计询问,使得在计数过程之内总是能可靠地进行验证过程,并且可应答该询问并且可获得答案。例如,如果计数从0进行到511(这例如可相应于约8秒的时间段),可设想的是,仅仅在64至447之间选择查询随机选择的数据块编号的有效数据块,从而一方面,查询及时地到达较远的第一接口单元,另一方面应答数据也及返回验证单元。
在此还应说明的是,一方面可设想,验证单元根据其安装在何处自身了解到开始新的计数过程的时刻,这也可根据从验证组件到验证单元的相应的信号实现。然而,也可使用其它同步机制,以实现询问的发送与计数过程开始的时间上的一致。例如,可发送第一测试询问并且观察,何时出现相应的应答信号。如果测试询问以不同的循环到达第一接口单元,以错开一个循环的方式出现应答信号,其中,通过出现时间上稍晚的应答信号,可推断出现在开始当前循环。于是,抛弃第一应答数据,因为实现了同步。
通常,有效数据块具有用于附加信息的区域(即,这些区域没有实际上需使用的有效数据),或者具有有效数据结构,例如超级帧,结构上没有有效数据的区域。在本发明的另一改进方案的范围中,通过在发送的数据处理装置的第一接口单元方面,将识别数据、例如计数器的滚动的编号/数据块编号写入在有效数据块(或有效数据结构的)有效数据的空白区域中,可使用该区域。即,这意味着,在验证组件方面,有效数据块也可设有识别数据,在接收的数据处理装置的第一接口单元方面,可将该识别数据用于正确地识别有效数据块。尤其是,识别数据可包含有效数据块的由计数器获得的组数。有效数据块的空白区域例如可为在帧/视频数据中的所谓的“空行”。如果如下文还将详细阐述那样,用于多个接收的数据处理装置的图像数据或普通的有效数据汇总在一个公共的有效数据结构中,例如所谓的“超级帧”中,此时也可产生可用于储存其它信息的空白空间或空白区域。虽然尤其是在串行地传输有效数据块时可设想,简单地在第一通信连接的两侧上计数并且由此寻找一致的有效数据块,然而传输错误可导致相应计数器的“断开同步”,这可能引起验证失败。因此,由验证组件自身获得的识别数据的同时发送显著改善了在此描述的验证的稳定性和可靠性。
如已经指出的那样,本发明的尤其优选的改进方案规定,借助于在接口单元中储存的秘钥加密在第二接口单元之间的询问的传输。以这种方式避免,对至少待用于数据处理装置的第二通信连接的询问被窃听并且相应地在了解有效数据时应答。此时,如已经阐述的那样,将利用验证组件可更适宜地实现的询问的响应的可能性与尤其是设置在第二接口单元中的加密器件明确地分开。以这种方式,可低消耗实现用于通过第一接口单元的相应的改变应答询问的基本方案,而仅仅必须在应为其进行验证的数据处理装置方面设置复杂的加密器件。如已经阐述的那样,这改善了验证系统的扩展性。
因为至少不能完全实现查询在数据处理装置的询问,适宜的改进方案可规定,使多个具有分别至少两个数据处理装置的总装置运行,其中,为每个总装置选择不同的秘钥。例如,在机动车作为总装置时,可设置机动车独立的秘钥,该秘钥再次使篡改显著更加困难。
总装置、例如机动车大多具有数量多于两个的数据处理装置,其中,不必为每个发送数据处理装置和接收的数据处理装置的组合验证。此外,数据处理装置以不同的拓扑(这尤其是涉及第一通信连接)相连接,从而完全可设想,在发送的数据处理装置方面,用于多个接收的数据处理装置的有效数据公共地通过第一接口单元并且由此第一通信连接发送。尤其是,因此也可设想星型拓扑。在此,为发送的和接收的数据处理装置的任意组合应用此处描述的验证过程,优选地重复地、尤其是周期性地进行该验证过程,其中,仅仅需要满足,在发送的和接收的数据处理装置之间存在第一通信连接(必要时也通过至少另一数据处理装置)和第二通信连接,通过该通信连接优选地以加密的方式发送询问。然而,刚好当存在串联的数据处理装置并且沿着发送的数据处理装置的行公共地发送有效数据时,可得到以下在本发明的内容中将要阐述的特殊的情况。
因此可规定,通过数据处理装置中发送的数据处理装置通过公共的第一接口单元将有效数据发送给多个接收的数据处理装置,其中,分别分开地检查到接收的数据处理装置的待检查的部分的数据传输。这意味着,可分别分开地检查到确定的接收的数据处理装置的数据传输,其中,尤其是,如已经讨论的那样,也可排除对到确定的接收的数据处理装置的数据传输的检查/验证。
一种改进方案规定,用于不同数据处理装置的有效数据块共同以由发送的数据处理装置给出的有效数据结构中发送,其中,对接收的数据处理装置的第一接口单元的询问涉及与该数据处理装置相关联的有效数据块。例如在作为接收的数据处理装置的多个显示器装置上示出的图像数据中,可将其相应的有效数据块(帧)汇总成有效数据结构,其可被称为“超级帧”。于是,可以说,接收的数据处理装置中的每一个可从有效数据结构中提取其相应的有效数据块。因为到确定的数据处理装置的数据传输应检查,其有效数据是否以未被篡改的方式或完全地到达,适宜地,询问总是涉及指向应对其检查数据传输接收的数据处理装置的有效数据块。
在此,一种设计方案也可规定,通过在相关联的数据处理装置中提取相应的有效数据块,减小有效数据结构,以例如节省带宽。就此而言,可改变计数/计算的类型,来查询正确的数据单元。在本发明的范围中,现在优选的是,验证单元可以与将有效数据块插入到有效数据结构中完全相同的方式了解有效数据结构在传输路径上的改变,并且将该改变用于立即形成询问,使得该询问在接收的数据处理装置的相应的验证组件中引起正确的结果,尤其是当用于数据结构在到数据处理装置的路径上改变时。因此,优选地规定,尤其是在通过在配设的数据处理装置中提取相应的有效数据块减小有效数据结构时,在考虑描述有效数据结构在传输路径上的变化和/或有效数据块到有效数据结构中的插入的有效数据结构信息的情况下在验证单元中形成询问。以这种方式,例如考虑,在接收的数据处理装置中接收时,首先在有效数据结构之内处于确定的第一位置上的待查询的数据单元现在位于在例如剩余的、接收的有效数据结构部分之内的另一第二位置上,该有效数据结构可能也仅仅减小到接收的数据处理装置的有效数据块上。
在用于如此串联地发送有效数据块(可明确地确定发送的开始)的另一备选的设计方案中,也可设想通过第一通信连接以数据包为基础传输有效数据。因此可规定,作为有效数据块,使用自身的、指向相应的数据处理单元的、可识别的有效数据包。这种类型的有效数据包大多总归已经具有数据头,在数据头中储存在有效数据包方面的识别信息。显然,根据本发明,例如,通过省去在验证组件中的计数器,或者可在识别数据中写入计数器的内容,可使用该总归存在的识别数据。
无论如何适宜的是,在使用验证组件中的计数器时,分别分隔地为用于不同数据处理装置的有效数据包计数,和/或将计数编号(数据块编号)储存在有效数据包的数据头中。因此,如果使用计数器,提出,为每个接收的数据处理装置和相应关联的有效数据包使用自己的计数器。通过这种方案实现,也可重复和交换有效数据包。
在验证单元中未知在至少一个位于最初发送的数据处理装置和最终接收的数据处理装置之间的数据处理装置中有效数据结构的改变时,可规定,单独地根据相应的询问检查每个子区间。在这种情况中,对最后的接收的数据处理装置形成询问没有意义,因为在验证单元中不存在相应的信息,从而提出,分开地检查通过在最初的发送的数据处理装置和最后的接收的数据处理装置之间的每个子区间的数据传输,然而,这不是最优,因为,这样的话尤其是在具有通过第二通信连接加密的设计方案中,需要另外的加密器件,这带来了复杂性和成本。因此,在本发明的范围中优选的实施例是,在其中,验证单元以用户结构信息的形式得知,哪个数据处理装置以怎样的形式接收有效数据。
在这点上还应说明的是,也可设想的是,双向地使用第一通信连接。于是,当应在两个方向上对同时进行的数据传输验证时,需要验证组件的两个逻辑实例。根据第一接口单元的设计方案,可单一地或双重地设置相应的验证组件,例如在rx路径和tx路径中设置两个相同的部分部件。
优选地,使用构造在网络中的第二通信连接。例如,在作为总装置的机动车中,大多总归存在通信网络,例如将不同数据处理单元相互连接的can总线。现在,在本发明的范围中该网络可用于,建立第二通信连接,第二通信连接实现了允许询问所有相关的数据处理装置。
在一种适宜的设计方案中,验证单元可集成到至少一个第二接口单元中。尤其是当通过第二通信连接进行询问的加密的传输时,验证单元为主单元,其中,相应的从单元可设置在接收询问的数据处理装置,尤其是设置在其第二接口单元中。从单元将解密的询问内部地在接收的数据处理装置中传输给第一接口单元,具体地是验证组件。
如果周期性地验证,例如在所提及的错误过程中的每一个和/或所述计数过程中的每第n个时,可规定,当存在确定数量的通过多次验证过程比较失败时,才确定验证或检查失败。在检查失败、因此确定验证失败时可设想不同的措施,例如将相应的报告输出给用户,取消激活接收的数据处理装置,等等。在一种设计方案中,可设想的是,在确定验证错误时,停止对相应接收的数据处理装置的询问。在接收的数据处理装置方面,将该询问的停止理解成验证错误的提示,从而在此也采取相应的措施,例如取消激活和/或输出提示。
如已经阐述的那样,本发明可尤其有利地用在作为总装置的机动车中,于是,其中可规定,尤其是发送的数据处理装置是作为总装置的机动车的控制器,并且尤其是接收的数据处理装置是机动车的显示装置、尤其是显示器装置。
相应地,除了方法之外,本发明也涉及一种机动车,机动车具有至少两个数据处理装置,在数据处理装置之间存在通过数据处理装置的第一接口单元提供的、用于有效数据的数据传输的第一通信连接和通过数据处理装置的第二接口单元提供的第二通信连接,其中,待传输的有效数据可分割成有效数据块,机动车的突出之处在于,此外设置验证单元,为了实现提问应答验证,作为提问,验证单元在使用第二通信连接的情况下,将要求从可识别的、随机选择的有效数据的有效数据块中查询随机选择的数据单元的询问发送给第一接口单元,并且设置相应第一单元的验证组件,验证组件从有效数据中提取要求的应答数据并且反馈给验证单元,其中,通过验证单元,在应答数据一致时确定检查成功。换句话说,根据本发明的作为总装置的机动车因此构造成用于进行根据本发明的方法。所有根据本发明的方法的实施方案可相似地转移到根据本发明的机动车上,因此同样可获得已经所述的优点。
附图说明
从以下描述的实施例中以及根据图纸得到本发明的其它优点和细节。
其中:
图1示出了总装置的第一、简单的设计方案,
图2示出了根据本发明的方法的实施例的流程图,
图3示出了总装置的第二设计方案,
图4示出了总装置的第三设计方案,以及
图5示出了根据本发明的机动车。
具体实施方式
图1示出了总装置1a的第一尤其简单的配置方案,在这种情况中,总装置1a具有两个待详细解释的数据处理装置2a、2b。数据处理装置2a、2b分别具有数据处理单元3,在此不再详细阐述该数据处理单元。在该实施例中,数据处理装置2a为控制器,数据处理装置2b为显示装置,具体地为显示器装置。应在显示装置2b的显示器上示出由数据处理装置2a获得的图像数据,在此视频数据,从而应通过第一通信连接4、在此lvds连接将作为有效数据的图像数据从发送的数据处理装置2a传输给接收的数据处理装置2b。数据处理装置2a、2b为此具有相同地构造的第一接口单元5,其在此构造成lvds芯片。
在此,在数据处理装置2a、2b之间还存在另一、第二通信连接6,第二通信连接6可作为can总线连接形成为网络连接的一部分。第二接口单元7允许通过第二通信连接6进行数据通信。在此,第二接口单元7构造成基本上已知的网络输入输出控制器。例如,如果数据处理装置2b包括触摸屏,相应的、与触摸屏相关的操作数据可通过第二通信连接6传输给数据处理装置2a。
为了允许通过第二通信连接6以加密的方式传输信息,第二接口单元7具有相应的加密器件,其在此通过秘钥8示出。
为了实现通过第一通信连接4从数据处理装置2a到数据处理装置2b的数据传输的低消耗的验证,现在通过增加集成到lvds芯片中的验证组件9修改第一接口单元5。此外,在数据处理装置2a方面,构造成主单元的验证单元10集成到第二接口单元7中,而数据处理装置2b的第二接口单元7具有相应的从单元11。
下文参考图2详细解释验证过程的具体实施方案。在此,首先确定,通过第一通信连接4传输作为形成有效数据块的帧的有效数据,其中,新的帧的开始分别以帧起始指针为特征,并且可通过第一接口单元5以及由此验证组件9识别。
验证组件9分别具有计数器(未示出),计数器循环地数过例如从0至511的计数范围,并且将作为有效数据块的单独的帧连续编号。通过也为有效数据块之内的数据单元计数,在验证组件9中的其它计数器能够读取确定的数据单元,例如确定像素的图像值。在发送的数据处理装置、在此数据处理装置2a方面通过计数器分配的数据块编号、即数据用户组的编号,作为帧被写入相应的有效数据块的空行中,以便在接收的数据处理装置2b的验证组件9方面也毫无疑问地且明确地已知数据块编号。因此,数据块编号可理解成相应的有效数据块的识别数据。
基于这种认识以及发送的有效数据的基本结构,可借助于验证单元7检查从数据处理装置2a到数据处理装置2b的数据传输,因此监控,在数据处理装置2b方面是否也实际上存在已经发送的有效数据。
为此,在步骤s1中(见图2)检查,是否刚好是计数过程的开始。为此,可使用合适的同步机制。如果是这种情况,在步骤s2中,验证单元7作为提问应答方法的“提问”生成询问,即,在当前计数过程之内,从确定数量的帧、即数据组中读取确定数量的数据单元。在此,可设置针对每个有效数据块读取的数据单元的数量以及相关的有效数据块的数量;其数量越大,检查越可靠,然而其中,必须注意的是,消耗和通过数据传输产生的延迟时间不能过大。在当前实施例中,从验证单元7方面可随机选择例如8个有效数据块,从8个数据组中又查询8个随机选择的数据单元(以像素为单位的图像值)。在此,随机选择的有效数据块的编号此时限制在相应的计数过程的子间隔,例如0至511上,确切的说,尽管在数据处理装置2a、2b之内和之外的传输路径和进行加密,该询问及时到达两个第一接口单元5。如果例如在8秒之内发送512个有效数据块,可计算,将询问传输到第一接口单元5最多可持续多长时间,从而例如可得到用于在64至477之间随机选择有效数据块的有限范围。
在步骤s2中的提问的选择不一定必须在出现计数过程的开始之后进行,而是步骤s2也可在步骤s1之前。例如也可设想,事先生成确定数量的提问,并且在新的计数过程开始时发送一个询问。以这种方式,在计数过程开始之后能节省时间。
随后,在步骤s2结束时(或者,当步骤s2已经在步骤s1之前进行,在步骤s1结束时)将询问发送给接口单元5。在图1的示例中,在数据处理装置2a之内的询问通过i2c线路直接给出到第一接口单元5上;针对第二数据处理装置2b,该询问首先借助于秘钥8加密,通过第二通信连接6发送,在从单元11中解码并且再次通过i2c线路传输给第一接口单元5以及进而验证组件9。
如果验证组件9获得该询问,在步骤s3中相应地如下进行,即,等待到出现所述有效数据块(帧),随后从中所述有效数据块中查询所述的有效数据单元,收集有效数据单元作为应答数据,并且将应答数据反馈给验证单元10。在此,在通过第二通信连接6(数据处理装置2b的应答数据)的传输路径中,再次进行加密。
随后,在步骤s4中,将两个验证组件9的应答数据相比较。如果应答数据一致,检查结果正确,见步骤s5,并且在循环的流程中可进行下一次验证过程,见箭头12。如果比较失败(这也可通过多次实施过程监控),从步骤s5分支到步骤s6,在步骤s6中可采取合适的措施。在此应注意的是,也可设置这样的措施,即,将来阻止向第二数据处理装置2b询问,从中可推断出,验证失败并且在此可采取相应的措施。
在此,周期询问以“脉搏”形式作用,其停止为接收的数据处理装置2b给出提示,接收的有效数据不可靠。
例如,在构造成机动车时,总装置通常具有多于两个数据处理装置2a、2b。由此得到更复杂的拓扑,然而也可通过根据本发明的方法可将其分流。
因此,在这种拓扑之内,最终由通过第一通信连接4相互通信的数据处理装置2a、2b形成不同的对,在这些对之间,并行地或顺序地以通过至少一个验证单元10控制方式检查数据传输。
图3示出了总装置1b的可能的系统拓扑的第一示例。总装置1b在此包括两个构造成控制器的数据处理装置2c、2d,其中,作为附加的控制器增加数据处理装置2d,该附加的控制器有时将视频数据作为有效数据提供给构造成显示器装置的数据处理装置2e。为了能将数据处理装置2d结合到验证过程中,在数据处理装置2d中储存正确的秘钥8,其中,出于简单性原因,在此不再示出接口单元5、7和从单元11;验证单元10在此集成在数据处理装置2c的第二接口单元7中。为了在数据处理装置2c和数据处理2d之间切换来作为用于数据处理装置2e的数据源,数据处理装置2d具有用于第一通信连接4的切换装置13(开关),其中,切换装置13显然也可布置在其它位置。
对其检查数据传输的另一显示器装置是数据处理装置2f。数据处理装置2g是不应为其进行验证的其它显示装置。虽然因为所有第一接口单元5构造成相同的,所以第一接口单元全都具有可适宜地且低消耗地实现的验证组件9,然而不需要消耗显著更高的加密器件,因此在此未示出秘钥8。
从作为用于有效数据的数据源的数据处理装置2c出发,在显示装置2e-2g方面给出树形拓扑。在此,将用于不同的、沿着公共的通过第一通信连接4形成的数据传输区间的数据处理装置2e-2g的有效数据汇总成有效数据结构,通过验证组件可清楚地识别有效数据结构的开始。在此,尤其是可使用所谓的超级帧,在其中包含用于沿着相同总区间的单个数据处理装置2e-2g的有效数据块。为了减少数据,数据处理装置2e-2g可从有效数据结构中提取其相应的有效数据块,从而出现有效数据结构的改变,这又影响用于在有效数据块中查询确定的数据单元的计数读数。然而,这些改变对于其中相应地储存所描述的有效数据结构信息的验证单元10来说是已知的。这意味着,尽管有效数据结构改变,已经可针对性地形成询问,使得查询正确的数据单元。
在此,第二通信连接6通过网络、即can总线系统(如相应指出的那样)伸延,至少数据处理装置2c、2d、2e和2f联接到网络上。在多种情况中,也联接数据处理装置2g,然而在此未详细示出。
在根据图3的设计方案中,现在应通过根据图2的相应的验证过程检查在数据处理装置2c和2f、2c和2e以及2d和2c之间的数据传输,为此,生成相应的询问,并且该询问通过第二通信连接6、相应地以通过秘钥8加密的方式发送。可并行地或串行地进行验证过程。因为已知验证单元10的有效数据结构的改变,直接正确地形成询问,并且在数据处理装置2f、2d(在其中沿着第一通信连接4中间连接数据处理装置2g)的情况中,直接发送询问,而不必在相应的数据处理装置2g方面检查。
在该实施例中,使用不同秘钥8或秘钥组是尤其有利的,尤其是为2e-2f、2c-2e和2d-2e使用不同的秘钥。例如,如果数据处理装置2d来自外部供应商,则不必与其分享内部使用的秘钥8。尤其是,可设置供应商特定的秘钥8,以能够避免在秘钥8方面的“泄露”。
例如也可为连接2c-2f和2c-2e分配不同的秘钥8,例如不同的秘钥强度(成本控制)。
图4示出了总装置1c的次优的情况,在其中,对于在构造成控制器的数据处理装置2h中的验证单元10来说,沿着包括三个构造成显示装置的数据处理装置2i、2j、2k的链的有效数据结构的变化是未知的,然而应为到数据处理装置2j的数据传输验证。因为数据处理装置2i不知道有效数据结构的变化,在此检查在数据处理装置2h和2i之间的以及在数据处理装置2i和数据处理装置2j之间的数据传输,因此,在数据处理装置2i中也需要加密器件。
最终,图5示出了作为总装置的根据本发明的机动车14的原理图,在其中,作为数据处理装置的不同的控制器15,以图像数据、尤其是视频数据作为有效数据供给具有不同显示装置17的组16(在其中显示器装置作为另外的数据处理装置),如在此仅仅指出的那样。通过相应的第一接口单元5构造成具有验证组件9,设置验证单元10以及将can总线系统用作第二通信连接6,可进行用于显示装置17的至少一部分的数据输送的验证过程。可使用如在图1、3和4中的拓扑结构。
还应注意的是,在通过第一通信连接4以数据包为基础进行传输时,也可使用在此描述的验证过程;此外,在至少两个逻辑的验证组件9中也可监控双向的数据传输。
此外,在机动车14中,秘钥8是特定于机动车的,其中,相应的秘钥例如可预留在制造商的数据库中,以便在相应地扩展其它数据处理装置(在其中应监控数据传输)时,能提供正确的秘钥,例如以这种方式可在制造商方面增加被许可并检查的用于特殊功能、例如紧急任务用车的控制器。
1.一种用于检查经由第一通信连接(4)进行的数据传输的方法,所述第一通信连接在两个第一接口单元(5)之间实现并处于两个数据处理装置(2a-2k)之间,其中,待传输的有效数据能被分割成有效数据块,在数据处理装置(2a-2k)之间存在至少一个通过第二接口单元(7)建立的第二通信连接(6),其特征在于,为了实现提问应答验证,作为提问,验证单元(10)在使用第二通信连接(6)的情况下将询问发送给第一接口单元(5),该询问要求从可识别的、随机选择的有效数据的有效数据块中查询随机选择的数据单元,相应的第一接口单元(5)的验证组件(9)从有效数据中提取要求的应答数据并且反馈给验证单元(10),以及在应答数据一致时确定检查成功。
2.根据权利要求1所述的方法,其特征在于,所述数据处理装置(2a-2k)中的一个数据处理装置是控制器(15),而另一数据处理装置(2a-2k)是显示装置(17),其中,作为有效数据使用待在显示装置(17)上显示的图像数据,其中,尤其是图像数据具有通过帧起始指针分隔的有效数据块或者通过帧起始指针分隔的、包含至少一个有效数据块的有效数据结构。
3.根据上述权利要求中任一项所述的方法,其特征在于,所述第一接口单元(5)构造成微芯片,验证组件(9)集成到该微芯片中。
4.根据上述权利要求中任一项所述的方法,其特征在于,所述验证组件(9)具有用于有效数据块的循环重置的计数器,其中,所述询问针对在计数过程时产生的有效数据块的组,以及为了识别有效数据块使用该有效数据块在所述组之内的数据块编号。
5.根据权利要求4所述的方法,其特征在于,在开始新的计数过程时发送询问,其中,如此限制在组开始时待查询的可能有效数据块的范围,使得询问在达到第一可查询的数据块编号之前到达验证组件(9),和/或如此限制在组结束时待查询的可能有效数据块的范围,使得应答数据在新的计数过程开始之前到达验证单元(10)。
6.根据上述权利要求中任一项所述的方法,其特征在于,在发送有效数据的数据处理装置(2a-2k)的第一接口单元(5)方面,将用于识别有效数据块的识别数据写入有效数据块的空白区域中。
7.根据上述权利要求中任一项所述的方法,其特征在于,借助于在第二接口单元中储存的秘钥(8)加密在该第二接口单元(7)之间的询问的传输。
8.根据权利要求7所述的方法,其特征在于,运行多个分别具有至少两个数据处理装置(2a-2k)的总装置(1a-1c),其中,为每个总装置(1a-1c)选择不同的秘钥(8)。
9.根据上述权利要求中任一项所述的方法,其特征在于,由数据处理装置(2a-2k)中的发送数据处理装置通过公共的第一接口单元(5)将有效数据发送给多个接收数据处理装置(2a-2k),其中,对于向接收数据处理装置(2a-2k)的待检查的部分的数据传输分别分开地进行检查。
10.根据权利要求9所述的方法,其特征在于,用于不同数据处理装置(2a-2k)的有效数据块共同以由发送数据处理装置(2a-2k)给出的有效数据结构发送,其中,对接收数据处理装置(2a-2k)的第一接口单元(5)的询问涉及与该数据处理装置(2a-2k)相关联的有效数据块。
11.根据权利要求10所述的方法,其特征在于,尤其是在通过在配设的数据处理装置(2a-2k)中提取相应的有效数据块减小有效数据结构时,在考虑描述有效数据结构在传输路径上的变化和/或有效数据块到有效数据结构中的插入的有效数据结构信息的情况下在验证单元(10)中形成询问。
12.根据权利要求9至11中任一项所述的方法,其特征在于,在验证单元(10)中未知在至少一个位于最初的发送数据处理装置(2a-2k)和最终的接收数据处理装置(2a-2k)之间的数据处理装置(2a-2k)中的有效数据结构改变时,单独地根据相应的询问检查每个子区间。
13.根据上述权利要求中任一项所述的方法,其特征在于,将所述验证单元(10)集成到至少一个第二接口单元(7)中。
14.根据上述权利要求中任一项所述的方法,其特征在于,尤其是发送数据处理装置(2a-2k)是作为总装置(1a、1b、1c)的机动车(14)控制器(5),尤其是接收数据处理装置(2a-2k)是机动车(14)的显示装置。
15.一种机动车(14),所述机动车具有至少两个数据处理装置(2a-2k),在所述数据处理装置之间存在通过数据处理装置(2a-2k)的第一接口单元(5)提供的、用于有效数据的数据传输的第一通信连接(4)和通过数据处理装置(2a-2k)的第二接口单元(7)提供的第二通信连接(6),其中,待传输的有效数据可分割成有效数据块,其特征在于,还设置有验证单元(10),为了实现提问应答验证,作为提问,验证单元在使用第二通信连接(6)的情况下将询问发送给第一接口单元(5),所述询问要求从可识别的、随机选择的有效数据的有效数据块中查询随机选择的数据单元,以及为各第一接口单元(5)分别设置一个验证组件(9),所述验证组件从有效数据中提取要求的应答数据并且反馈给验证单元(10),其中,在应答数据一致时由所述验证单元(10)确定检查成功。
技术总结