关于车用通信协议中的假冒错
时间:03-24
来源:互联网
点击:
2 FIexRay对抗假冒错的措施
FlexRay[2] 新兴的车用通信协议,它是因CAN协议在带宽和可靠性不足的情况下发展起来的,主要满足汽车线控技术(x—by—wire)的要求。在线控系统中,不再有机械或液压的后备,所有的操作都由电信号通过总线传送来实现,因此对通信的可靠性要求更高。为了对抗假冒错,和过去的技术相比,FlexRay协议添加了帧头的CRC检验。
FlexRay的帧头部段由5位的先导、11位的帧ID、7位的数据长度、ll位的头部CRC校验和以及6位的时钟周期计数构成。如果校验未通过,帧就判作出错而不予接收。5位的先导是保留位、数据区前导标志位、空帧标志位、同步帧标志位、启动帧标志位。头部C2RC校验覆盖的范围仅包括同步帧标志位、启动帧标志位、帧ID和数据长度。在FlexRay发送节点中头部CRC校验和是离线计算好并在组态时提供给cc的,接收节点的cc则根据收到的在覆盖域的以及CRC校验和的比特流计算CRC校验和。头部CRC校验的生成多项式为:
x11+x9+x8+x7+x2+1= (x+1)(x5+x3+1)(x5+x4+x3+x+1)
其计算初值为Ox01A。该头部CRC校验保证覆盖的20位内Hamming距离为6。由于接收节点的cc是根据收到的在覆盖域的以及CRC校验和的比特流计算CRC校验和,如果出错的位数较多,有可能减少此项检验的有效性,在FlexRay波特率较高的情况下,出错位数多是可能的。这里被保护的数据内容是:同步帧标志表明本帧是否是用于时钟同步;启动帧标志表明本帧是否是启动时用的;帧ID在静态段时是时间片(slot)的编号,在动态段内为优先级编号,在网络的同一簇内每一个帧有1个ID;数据长度在组态时也是确定了的。因此在组态时可以离线算好CRC校验和。如果在应用时这些内容不管何种原因发生了破坏,接收者就可以发现。
FlexRay在发送时间片的实际使用权上还加以控制,即有与节点CC相配的总线监守(bus guardian),用以对抗Babbling Idiot错。总线监守在调度规定的时刻开启发送通道,允许CC发送,否则CC是送不出去的。消息以广播方式送到各节点,若接收也以时间片确定的话,假冒是很难的,除非总线监守与该节点的CC都出了错。但是FlexRay的总线监守并不保护发生在动态段的不准时发送,如果因为干扰,在周期内某节点CC的时间片指针vSlotCounter出了错,就有不准时的消息传送;若同时传送的ID也错,假冒错就会发生,vSlotCounter要等到新的时钟同步消息时再复位为1。
FlexRay对数据区前导标志和空帧标志未作头部CRC校验的覆盖,这可能引起问题。数据区前导标志用于标明数据区开始部分是否包含有消息ID(在动态段发送的帧)或者网络管理向量(在静态段发送的帧)。空帧标志用于标明数据区的数据是否可按原来的规定使用或者是空帧。网络管理向量是一个选项,作为应用的数据由host写入,为高一层的协议提供服务,目前还未有规定。显然这二位如果出错,头部CRC校验可以通过,但数据区的解释都会完全不同,其性质就是一种假冒错。虽然帧的发送节点未变,但是却是一个假帧代替了原来的帧。发生在这二位的错如果在节点发送帧以前就已有,那么帧尾部的CRC校验将不能检测出错。如上一节所分析,这种情况是有可能存在的。如果是在发送过程中产生的,那么帧尾部的CRC校验将有可能检测出错。
FlexRay 帧尾部的CRC校验和为24位,它由发送节点的CC生成,覆盖由头部保留位到数据区的最后一位,FlexRay的2个信道采用不同的CRC计算初值。覆盖区长度在2048位时Hamming距离为6,覆盖区长度为4094位时Hamming距离为4。在汽车环境里,与CAN相比这一Hamming距离似不够。因为它们都要面对同样的机械设备,即同样的干扰。如图1所示,IS07637中的试验脉冲1,对电源为12V的系统,Us为-75~-100V.tr 为1μs,假定硬件无法在此时间内将它衰减到足够小,那么FlexRay将有10位受影响;td为2ms,硬件应能克服电源的跌落。与此对比,CAN仅1 位受影响。又如图2所示,试验脉冲3a,Us为-112~-150V,tr为(5±1.5)ns,td为0.1μs,td允差的上下限为 (+0.1,0),t1为100μs,t4为10ms。对这种高频干扰,驱动器会有收发错,CAN的比特采样间隔为1μs,采到0.1μs错误的概率小,而FlexRay的位间隔为0.1μs,采到0.1μs错误的概率就大。由此看来,在带宽增加时,出错的概率增加多倍,而报错的能力并未增加多倍。为了成功应用,必须对硬件的抗干扰能力做大的提高。
3 CAN对抗假冒错的措施
CAN协议的CRC检验是在加入与去掉填充位后进行的,因此其报错能力受填充位的影响很大[1],要靠cRC来对抗发生在传送中误码形成的假冒错是不够的。因为传送中的比特错在接收节点可能引起后面比特流的错误解释,从而把填充位误作数据而未剔除,或将数据位解读为填充位误剔除,如图3所示。此时原来发送的比特流会向前或向后错一位,从而形成大量的误码(最坏的情况下,错位之后对CRC而言均为误码),很容易超出CRC的有效检错围,造成CRC的漏检(将错帧误判为有效帧),由于填充过程的影响,单个比特错的后果被放大了。所幸的是CAN还有其他的判错手段,例如格式错,那些漏过CRC校验的帧还可能被拦下。通过仿真,由CRC与各种判错手段综合的结果其漏判率还是比较小的,约为0.1×10-6,但是,并不是CAN协议所声个比特错(HD一6)。
CAN协议的2.0B版采用32位的仲裁区,它可以自动区分采用11位ID的消息 (标准格式)或29位ID的消息(扩展格式)。如果在cc发送之前或发送中ID及另三位内容有变化,就有假冒发生的可能性。
CAN总线可以用ID的重新分配实现对假冒错的预防,这种重新分配的可能性在于29位的ID空间非常大,即使用去一部分对抗假冒错,剩余的部分依然足够消息的分配。对 29位ID中取一部分作数字签名,这个数字签名为离线时用CRC生成的校验和。因此,仲裁域内发生等于该CRC生成多项式的Hamming距离个比特同时错才会有一个假冒错。小于卜tamming距离的比特错将是无效ID,该消息将被接收节点的过滤器滤掉,从而使假冒错无法产生影响。虽然在这里并没有进行接收ID的校验计算,因ID分配已经考虑了有效ID之间的距离,所以固定的接收滤波器足以防止假冒错。这样,无需增加软硬件的开销,CAN便可以实现与 FlexRay同样的抗假冒错功能。
数字签名的生成方法,可以在现有的资料中选用,或者重新设计。例如参考文献[3],若取16阶的生成多项式,29位ID中去掉16位作数字签名后还剩13位,应能满足应用之需,须知FlexRay仅定义了11位的ID。也可以取更短的数字签名,例如和 FlexRay相同的11位CRC生成多项式(它的CRC校验覆盖区为31位,}lamming距离为6),以留出更多的可用消息种类。重新设计时可以参考BCH码的设计方法设计生成多项式,以保证所需的卜tamming距离。选用16阶的CRC生成多项式时,它可以保证15位头部Hamming距离为 8,在仲裁域ID的前13位内因CAN填充规则造成1位错被放大为多位错的情况,被检出的概率就增大。该多项式为:
0x8FDB—x16+x12+x11+x10+x9+x8+x7+ x5+x4+x2+x+l
选用16位CRC校验和时留给消息种类的大小为213=8 192种。采用上述方案,CAN在对抗假冒错上要比FlexRayr的方法简单。
CAN 仲裁域里的SRR、IDE和RTR位的误码可能引起通信控制器对输入比特流的解释变化,但是可以采取措施防止假冒错。首先,如果仲裁域第12位、13位发生误码,就有可能在CAN2.0B的标准格式和扩展格式间产生转换(如扩展格式误为标准格式),那么节点对此时发生的假冒未加保护,因此应避免在系统里使用标准格式。标准格式误为扩展格式的情况,因帧长等被解释为ID,被滤波器及CAN的其他检错措施拦下的可能性增大。其次,在RTR位的误码将数据帧误为远程帧时接收节点收不到数据,属于故障-静默(fault—silent),是一般容错理论所要求的,远程帧请求误为数据帧时,有可能引起不良后果,这是称的可以拦截5个以下的单个比特错(HD=6)。
CAN协议的2.0B版采用32位的仲裁区,它可以自动区分采用11位ID的消息(标准格式)或29位ID的消息(扩展格式)。如果在cc发送之前或发送中ID及另三位内容有变化,就有假冒发生的可能性。
CAN总线可以用 ID的重新分配实现对假冒错的预防,这种重新分配的可能性在于29位的ID空间非常大,即使用去一部分对抗假冒错,剩余的部分依然足够消息的分配。对29 位ID中取一部分作数字签名,这个数字签名为离线时用CRC生成的校验和。因此,仲裁域内发生等于该CRC生成多项式的Hamming距离个比特同时错才会有一个假冒错。小于Hamming距离的比特错将是无效ID,该消息将被接收节点的过滤器滤掉,从而使假冒错无
法产生影响。虽然在这里并没有进行接收ID的校验计算,因ID分配已经考虑了有效ID之间的距离,所以固定的接收滤波器足以防止假冒错。这样,无需增加软硬件的开销,CAN便可以实现与FlexRay同样的抗假冒错功能。
数字签名的生成方法,可以在现有的资料中选用,或者重新设计。例如参考文献[3],若取16 阶的生成多项式,29位ID中去掉16位作数字签名后还剩13位,应能满足应用之需,须知FlexRay仅定义了11位的ID。也可以取更短的数字签名,例如和FlexRay相同的11位CRC生成多项式(它的CRC校验覆盖区为31位,Hamming距离为6),以留出更多的可用消息种类。重新设计时可以参考BCH码的设计方法设计生成多项式,以保证所需的卜Hamming距离。选用16阶的CRC生成多项式时,它可以保证15位头部Hamming距离为8,在仲裁域ID的前13位内因CAN填充规则造成1位错被放大为多位错的情况,被检出的概率就增大。该多项式为:
Ox8FDB—x16+x12+x11+x10+x9+x8+x7+
x5+x4+x2+x+l
选用16位CRC校验和时留给消息种类的大小为213=8 192种。采用上述方案,CAN在对抗假冒错上要比FlexRayr的方法简单。
CAN 仲裁域里的SRR、IDE和RTR位的误码可能引起通信控制器对输入比特流的解释变化,但是可以采取措施防止假冒错。首先,如果仲裁域第12位、13位发生误码,就有可能在CAN2.0B的标准格式和扩展格式间产生转换(如扩展格式误为标准格式),那么节点对此时发生的假冒未加保护,因此应避免在系统里使用标准格式。标准格式误为扩展格式的情况,因帧长等被解释为ID,被滤波器及CAN的其他检错措施拦下的可能性增大。其次,在RTR位的误码将数据帧误为远程帧时接收节点收不到数据,属于故障一静默(fault—silent),是一般容错理论所要求的,远程帧请求误为数据帧时,有可能引起不良后果,这是另一个问题,但同时存在的假冒错将由滤波器拦截住。
添加ID的数字签名并不改变原来的消息的优先级分配,因为优先级只在ID的前面部分确定好了。因此,采用不同数字签名的消息可以在同一系统里应用,只要收发节点的约定一致即可。但是,随便混用会使ID之间的距离变小。所以对一个高层协议,为了保证抗假冒错的能力不变,应该采用统一的CRC生成多项式。从()EM厂的总体利益看,开放其协议的数字签名方式较为有利。
FlexRay[2] 新兴的车用通信协议,它是因CAN协议在带宽和可靠性不足的情况下发展起来的,主要满足汽车线控技术(x—by—wire)的要求。在线控系统中,不再有机械或液压的后备,所有的操作都由电信号通过总线传送来实现,因此对通信的可靠性要求更高。为了对抗假冒错,和过去的技术相比,FlexRay协议添加了帧头的CRC检验。
FlexRay的帧头部段由5位的先导、11位的帧ID、7位的数据长度、ll位的头部CRC校验和以及6位的时钟周期计数构成。如果校验未通过,帧就判作出错而不予接收。5位的先导是保留位、数据区前导标志位、空帧标志位、同步帧标志位、启动帧标志位。头部C2RC校验覆盖的范围仅包括同步帧标志位、启动帧标志位、帧ID和数据长度。在FlexRay发送节点中头部CRC校验和是离线计算好并在组态时提供给cc的,接收节点的cc则根据收到的在覆盖域的以及CRC校验和的比特流计算CRC校验和。头部CRC校验的生成多项式为:
x11+x9+x8+x7+x2+1= (x+1)(x5+x3+1)(x5+x4+x3+x+1)
其计算初值为Ox01A。该头部CRC校验保证覆盖的20位内Hamming距离为6。由于接收节点的cc是根据收到的在覆盖域的以及CRC校验和的比特流计算CRC校验和,如果出错的位数较多,有可能减少此项检验的有效性,在FlexRay波特率较高的情况下,出错位数多是可能的。这里被保护的数据内容是:同步帧标志表明本帧是否是用于时钟同步;启动帧标志表明本帧是否是启动时用的;帧ID在静态段时是时间片(slot)的编号,在动态段内为优先级编号,在网络的同一簇内每一个帧有1个ID;数据长度在组态时也是确定了的。因此在组态时可以离线算好CRC校验和。如果在应用时这些内容不管何种原因发生了破坏,接收者就可以发现。
FlexRay在发送时间片的实际使用权上还加以控制,即有与节点CC相配的总线监守(bus guardian),用以对抗Babbling Idiot错。总线监守在调度规定的时刻开启发送通道,允许CC发送,否则CC是送不出去的。消息以广播方式送到各节点,若接收也以时间片确定的话,假冒是很难的,除非总线监守与该节点的CC都出了错。但是FlexRay的总线监守并不保护发生在动态段的不准时发送,如果因为干扰,在周期内某节点CC的时间片指针vSlotCounter出了错,就有不准时的消息传送;若同时传送的ID也错,假冒错就会发生,vSlotCounter要等到新的时钟同步消息时再复位为1。
FlexRay对数据区前导标志和空帧标志未作头部CRC校验的覆盖,这可能引起问题。数据区前导标志用于标明数据区开始部分是否包含有消息ID(在动态段发送的帧)或者网络管理向量(在静态段发送的帧)。空帧标志用于标明数据区的数据是否可按原来的规定使用或者是空帧。网络管理向量是一个选项,作为应用的数据由host写入,为高一层的协议提供服务,目前还未有规定。显然这二位如果出错,头部CRC校验可以通过,但数据区的解释都会完全不同,其性质就是一种假冒错。虽然帧的发送节点未变,但是却是一个假帧代替了原来的帧。发生在这二位的错如果在节点发送帧以前就已有,那么帧尾部的CRC校验将不能检测出错。如上一节所分析,这种情况是有可能存在的。如果是在发送过程中产生的,那么帧尾部的CRC校验将有可能检测出错。
FlexRay 帧尾部的CRC校验和为24位,它由发送节点的CC生成,覆盖由头部保留位到数据区的最后一位,FlexRay的2个信道采用不同的CRC计算初值。覆盖区长度在2048位时Hamming距离为6,覆盖区长度为4094位时Hamming距离为4。在汽车环境里,与CAN相比这一Hamming距离似不够。因为它们都要面对同样的机械设备,即同样的干扰。如图1所示,IS07637中的试验脉冲1,对电源为12V的系统,Us为-75~-100V.tr 为1μs,假定硬件无法在此时间内将它衰减到足够小,那么FlexRay将有10位受影响;td为2ms,硬件应能克服电源的跌落。与此对比,CAN仅1 位受影响。又如图2所示,试验脉冲3a,Us为-112~-150V,tr为(5±1.5)ns,td为0.1μs,td允差的上下限为 (+0.1,0),t1为100μs,t4为10ms。对这种高频干扰,驱动器会有收发错,CAN的比特采样间隔为1μs,采到0.1μs错误的概率小,而FlexRay的位间隔为0.1μs,采到0.1μs错误的概率就大。由此看来,在带宽增加时,出错的概率增加多倍,而报错的能力并未增加多倍。为了成功应用,必须对硬件的抗干扰能力做大的提高。
3 CAN对抗假冒错的措施
CAN协议的CRC检验是在加入与去掉填充位后进行的,因此其报错能力受填充位的影响很大[1],要靠cRC来对抗发生在传送中误码形成的假冒错是不够的。因为传送中的比特错在接收节点可能引起后面比特流的错误解释,从而把填充位误作数据而未剔除,或将数据位解读为填充位误剔除,如图3所示。此时原来发送的比特流会向前或向后错一位,从而形成大量的误码(最坏的情况下,错位之后对CRC而言均为误码),很容易超出CRC的有效检错围,造成CRC的漏检(将错帧误判为有效帧),由于填充过程的影响,单个比特错的后果被放大了。所幸的是CAN还有其他的判错手段,例如格式错,那些漏过CRC校验的帧还可能被拦下。通过仿真,由CRC与各种判错手段综合的结果其漏判率还是比较小的,约为0.1×10-6,但是,并不是CAN协议所声个比特错(HD一6)。
CAN协议的2.0B版采用32位的仲裁区,它可以自动区分采用11位ID的消息 (标准格式)或29位ID的消息(扩展格式)。如果在cc发送之前或发送中ID及另三位内容有变化,就有假冒发生的可能性。
CAN总线可以用ID的重新分配实现对假冒错的预防,这种重新分配的可能性在于29位的ID空间非常大,即使用去一部分对抗假冒错,剩余的部分依然足够消息的分配。对 29位ID中取一部分作数字签名,这个数字签名为离线时用CRC生成的校验和。因此,仲裁域内发生等于该CRC生成多项式的Hamming距离个比特同时错才会有一个假冒错。小于卜tamming距离的比特错将是无效ID,该消息将被接收节点的过滤器滤掉,从而使假冒错无法产生影响。虽然在这里并没有进行接收ID的校验计算,因ID分配已经考虑了有效ID之间的距离,所以固定的接收滤波器足以防止假冒错。这样,无需增加软硬件的开销,CAN便可以实现与 FlexRay同样的抗假冒错功能。
数字签名的生成方法,可以在现有的资料中选用,或者重新设计。例如参考文献[3],若取16阶的生成多项式,29位ID中去掉16位作数字签名后还剩13位,应能满足应用之需,须知FlexRay仅定义了11位的ID。也可以取更短的数字签名,例如和 FlexRay相同的11位CRC生成多项式(它的CRC校验覆盖区为31位,}lamming距离为6),以留出更多的可用消息种类。重新设计时可以参考BCH码的设计方法设计生成多项式,以保证所需的卜tamming距离。选用16阶的CRC生成多项式时,它可以保证15位头部Hamming距离为 8,在仲裁域ID的前13位内因CAN填充规则造成1位错被放大为多位错的情况,被检出的概率就增大。该多项式为:
0x8FDB—x16+x12+x11+x10+x9+x8+x7+ x5+x4+x2+x+l
选用16位CRC校验和时留给消息种类的大小为213=8 192种。采用上述方案,CAN在对抗假冒错上要比FlexRayr的方法简单。
CAN 仲裁域里的SRR、IDE和RTR位的误码可能引起通信控制器对输入比特流的解释变化,但是可以采取措施防止假冒错。首先,如果仲裁域第12位、13位发生误码,就有可能在CAN2.0B的标准格式和扩展格式间产生转换(如扩展格式误为标准格式),那么节点对此时发生的假冒未加保护,因此应避免在系统里使用标准格式。标准格式误为扩展格式的情况,因帧长等被解释为ID,被滤波器及CAN的其他检错措施拦下的可能性增大。其次,在RTR位的误码将数据帧误为远程帧时接收节点收不到数据,属于故障-静默(fault—silent),是一般容错理论所要求的,远程帧请求误为数据帧时,有可能引起不良后果,这是称的可以拦截5个以下的单个比特错(HD=6)。
CAN协议的2.0B版采用32位的仲裁区,它可以自动区分采用11位ID的消息(标准格式)或29位ID的消息(扩展格式)。如果在cc发送之前或发送中ID及另三位内容有变化,就有假冒发生的可能性。
CAN总线可以用 ID的重新分配实现对假冒错的预防,这种重新分配的可能性在于29位的ID空间非常大,即使用去一部分对抗假冒错,剩余的部分依然足够消息的分配。对29 位ID中取一部分作数字签名,这个数字签名为离线时用CRC生成的校验和。因此,仲裁域内发生等于该CRC生成多项式的Hamming距离个比特同时错才会有一个假冒错。小于Hamming距离的比特错将是无效ID,该消息将被接收节点的过滤器滤掉,从而使假冒错无
法产生影响。虽然在这里并没有进行接收ID的校验计算,因ID分配已经考虑了有效ID之间的距离,所以固定的接收滤波器足以防止假冒错。这样,无需增加软硬件的开销,CAN便可以实现与FlexRay同样的抗假冒错功能。
数字签名的生成方法,可以在现有的资料中选用,或者重新设计。例如参考文献[3],若取16 阶的生成多项式,29位ID中去掉16位作数字签名后还剩13位,应能满足应用之需,须知FlexRay仅定义了11位的ID。也可以取更短的数字签名,例如和FlexRay相同的11位CRC生成多项式(它的CRC校验覆盖区为31位,Hamming距离为6),以留出更多的可用消息种类。重新设计时可以参考BCH码的设计方法设计生成多项式,以保证所需的卜Hamming距离。选用16阶的CRC生成多项式时,它可以保证15位头部Hamming距离为8,在仲裁域ID的前13位内因CAN填充规则造成1位错被放大为多位错的情况,被检出的概率就增大。该多项式为:
Ox8FDB—x16+x12+x11+x10+x9+x8+x7+
x5+x4+x2+x+l
选用16位CRC校验和时留给消息种类的大小为213=8 192种。采用上述方案,CAN在对抗假冒错上要比FlexRayr的方法简单。
CAN 仲裁域里的SRR、IDE和RTR位的误码可能引起通信控制器对输入比特流的解释变化,但是可以采取措施防止假冒错。首先,如果仲裁域第12位、13位发生误码,就有可能在CAN2.0B的标准格式和扩展格式间产生转换(如扩展格式误为标准格式),那么节点对此时发生的假冒未加保护,因此应避免在系统里使用标准格式。标准格式误为扩展格式的情况,因帧长等被解释为ID,被滤波器及CAN的其他检错措施拦下的可能性增大。其次,在RTR位的误码将数据帧误为远程帧时接收节点收不到数据,属于故障一静默(fault—silent),是一般容错理论所要求的,远程帧请求误为数据帧时,有可能引起不良后果,这是另一个问题,但同时存在的假冒错将由滤波器拦截住。
添加ID的数字签名并不改变原来的消息的优先级分配,因为优先级只在ID的前面部分确定好了。因此,采用不同数字签名的消息可以在同一系统里应用,只要收发节点的约定一致即可。但是,随便混用会使ID之间的距离变小。所以对一个高层协议,为了保证抗假冒错的能力不变,应该采用统一的CRC生成多项式。从()EM厂的总体利益看,开放其协议的数字签名方式较为有利。
嵌入式 电压 单片机 Microchip MCU 电路 总线 仿真 CAN总线 滤波器 自动化 相关文章:
- 蓝牙无线电调制解调器Siw1701原理与应用(02-19)
- 嵌入式移动数据库的关键技术(03-20)
- 在嵌入式SQL中怎样使用游标(08-12)
- 嵌入式Linux系统软件开发学习思路详细介绍 (08-20)
- 基于AVR单片机的嵌入式“瘦服务器”系统设计思想(03-11)
- 嵌入式系统设计中的存储碎片收集策略(05-04)