CN110383773B - 具有相关设备的被配置成基于面向服务的体系结构实施集中式服务ecu的专门编程的计算系统及其使用方法 - Google Patents

Abstract

在一些实施方案中，本发明提供了一种包含至少以下组件的示例性本发明的系统：具有面向服务的体系结构的电子控制单元(SOA ECU)，其中，所述SOA ECU包括：至少一个示例性本发明的SOA服务器；其中，所述SOA ECU定位在车辆内；其中，所述至少一个SOA服务器被配置成向定位在所述车辆内的至少一个客户端ECU提供至少一个服务；并且其中，所述至少一个SOA服务器被配置成分配至少一个专用处理资源和至少一个专用存储器资源以提供所述至少一个服务。

Description

具有相关设备的被配置成基于面向服务的体系结构实施集中 式服务ECU的专门编程的计算系统及其使用方法

相关申请

本申请要求于2017年1月5日提交的美国临时申请号62/442,745的优先权，出于所有目的，上述申请通过引用以其全文并入本文。

技术领域

在一些实施方案中，本发明总体上涉及具有相关设备的被配置成基于面向服务的体系结构实施集中式服务ecu的专门编程的计算系统及其使用方法。

背景技术

例如，车辆可以包括多个计算机、电子控制单元(ECU)。通常，ECU可以通过各种网络互连，这些网络可以包括外部通信能力，如蓝牙(TM)、3G、Wi-Fi等。在一些情况下，这种示例性外部通信能力可以用于跟踪、控制和/或更新车辆的ECU和/或操作能力。

发明内容

在一些实施方案中，本发明提供了一种包含至少以下组件的示例性本发明的系统：具有面向服务的体系结构的电子控制单元(SOA ECU)，其中，所述SOA ECU包括：至少一个示例性本发明的SOA服务器；其中，所述SOA ECU定位在车辆内；其中，所述至少一个SOA服务器被配置成向定位在所述车辆内的至少一个客户端ECU提供至少一个服务；并且其中，所述至少一个SOA服务器被配置成分配至少一个专用处理资源和至少一个专用存储器资源以提供所述至少一个服务。

在一些实施方案中，所述示例性SOA ECU进一步包括：至少一个第一分区，所述至少一个第一分区包括：至少一个第一SOA服务器；其中，所述至少一个第一SOA服务器被配置成向至少一个第一客户端ECU提供至少一个第一服务；其中，所述至少一个第一SOA服务器被配置成分配至少一个第一专用处理资源和至少一个第一专用存储器资源以提供所述至少一个第一服务；至少一个第二分区，所述至少一个第二分区包括：至少一个第二SOA服务器；其中，所述至少一个第二SOA服务器被配置成向至少一个第二客户端ECU提供至少一个第二服务；其中，所述至少一个第二SOA服务器被配置成分配至少一个第二专用处理资源和至少一个第二专用存储器资源以提供所述至少一个第二服务；其中，所述至少一个第一分区和所述至少一个第二分区经由分离内核在操作上彼此分离。

在一些实施方案中，所述至少一个第一分区被配置成用所述至少一个第一专用处理资源和所述至少一个第一专用存储器资源执行至少一个第一操作系统(OS)；并且其中，所述至少一个第二分区被配置成用所述至少一个第二专用处理资源和所述至少一个第二专用存储器资源执行至少一个第二OS；并且其中，所述至少一个第一专用处理资源和所述至少一个第二专用处理资源是至少一个专用硬件模块的一部分；其中，所述分离内核被配置成单独地向所述至少一个第一专用处理资源和所述至少一个第二专用处理资源提供分别用于执行所述至少一个第一服务或所述至少一个第二服务的各自单独访问；并且其中，所述至少一个第一专用存储器资源和所述至少一个第二专用存储器资源是所述至少一个专用硬件模块的一部分；并且所述分离内核被配置成单独地向所述至少一个第一专用存储器资源和所述至少一个第二专用存储器资源提供分别用于执行所述至少一个第一服务或所述至少一个第二服务的各自单独访问。

在一些实施方案中，所述至少一个第一SOA服务器是安全关键服务器，并且所述至少一个第二SOA服务器是非安全关键服务器。

在一些实施方案中，所述至少一个第一客户端ECU与至少一个第一网络相关联；其中，所述至少一个第二客户端ECU与至少一个第二网络相关联；并且其中，所述至少一个第一网络和所述至少一个第二网络是不同的网络。

在一些实施方案中，所述分离内核被配置成防止或阻止至少一个故障分区对至少一个非故障分区产生不利影响。

在一些实施方案中，所述至少一个故障分区是受到网络攻击的分区。

在一些实施方案中，所述至少一个SOA服务器被配置成至少部分地基于与所述至少一个客户端ECU相关联的服务质量(QoS)级别来提供所述至少一个服务。

在一些实施方案中，所述至少一个服务选自由以下各项组成的组：i)远程管理服务，ii)远程监控服务，iii)空中下载(OTA)更新服务，iv)对称密码服务，v)非对称密码服务，vi)证书管理服务，vii)中央防火墙服务，viii)安全存储服务，ix)锁定服务，x)入侵检测服务，xi)入侵防御服务，xii)安全处理服务，xiii)证书颁发机构(CA)服务，xiv)通信安全服务，xv)认证服务，xvi)身份管理服务，xvii)密钥管理服务，xviii)更新传播服务，xix)软件恢复服务，xx)软件闪存服务，以及xvii)其任何组合。

在一些实施方案中，所述SOA ECU进一步包括：至少一个模块，所述至少一个模块被配置成收集以下各项中的至少一项：i)车辆相关数据，以及ii)关于所述车辆的至少一个用户的用户相关数据。

在一些实施方案中，所述至少一个模块被进一步配置成引起向与第三方相关联的至少一个电子远程目的地传输所述车辆相关数据、所述用户相关数据或两者；其中，所述至少一个电子远程目的地处于所述车辆的外部。

在一些实施方案中，所述SOA ECU被进一步配置成允许以下操作中的至少一项操作：i)将至少一个实时的第一经批准软件变更引入到所述SOA ECU中，ii)将至少一个实时的第二经批准变更引入到所述至少一个SOA服务器中，和iii)将至少一个实时的第三经批准变更引入所述至少一个服务中。

在一些实施方案中，所述至少一个实时的第二经批准变更是以下操作中的至少一项操作：1)实时地向所述至少一个SOA服务器添加至少一个新服务，2)实时地用所述至少一个新服务代替所述至少一个服务，3)实时地从所述至少一个SOA服务器中移除所述至少一个服务，以及4)实时地改变所述至少一个SOA服务器的配置。

在一些实施方案中，所述至少一个实时的第一经批准变更、所述至少一个实时的第二经批准变更以及所述至少一个实时的第三经批准变更从所述车辆外部的至少一个外部源引入。

在一些实施方案中，所述至少一个实时的第一经批准变更、所述至少一个实时的第二经批准变更和所述至少一个实时的第三经批准变更中的至少一个至少部分地基于以下各项之一：i)所述车辆的至少一种车辆特有特性，ii)所述用户的至少一种用户特有特性，iii)至少一个用户请求，iv)至少一个服务提供商请求，和v)至少一个制造商请求。

在一些实施方案中，所述至少一个服务在所述车辆的组装期间添加到所述至少一个SOA服务器，并且其中，所述至少一个服务被配置成在所述车辆的寿命期间远程激活特定时间段。

在一些实施方案中，所述至少一个服务被配置成经由对多个不同客户端ECU可用的专用应用程序接口(API)请求来调用。

在一些实施方案中，所述至少一个SOA服务器被配置成根据至少一个安全策略向多个不同客户端ECU提供多个服务。

在一些实施方案中，所述至少一个安全策略包括至少一个控制以下各项中的至少一项的规则：i)对特定客户端ECU的访问，ii)由所述特定客户端ECU利用的至少一个特定服务的可用性，iii)至少一个QoS要求，和iv)对所述SOA ECU的特定硬件模块的访问。

在一些实施方案中，所述至少一个模块被进一步配置成在引起传输所述车辆相关数据、所述用户相关数据或两者之前，对所述车辆相关数据、所述用户相关数据或两者执行至少一个动作。

在一些实施方案中，本发明提供了一种包含至少以下步骤的示例性本发明的方法：提供具有面向服务的体系结构的电子控制单元(SOA ECU)，其中，所述SOA ECU包括：至少一个SOA服务器；其中，所述SOA ECU定位在车辆内；其中，所述至少一个SOA服务器被配置成向定位在所述车辆内的至少一个客户端ECU提供至少一个服务；并且其中，所述至少一个SOA服务器被配置成分配至少一个专用处理资源和至少一个专用存储器资源以提供所述至少一个服务。

附图说明

可以参考附图进一步解释本发明，其中，在若干视图中相同的结构用相同的附图标记表示。所示的附图不一定按比例绘制，而是通常将重点放在说明本发明的原理上。因此，本文公开的具体结构和功能细节不应被解释为限制性的，而仅仅作为用于教导本领域技术人员以各种方式使用本发明的代表性基础。

图1至图11示出了根据本发明的至少一些实施方案的至少一些原理描绘的本发明的一些示例性方面。

具体实施方式

在已经公开的那些益处和改进中，从以下结合附图的描述中，本发明的其他目的和优点将变得显而易见。本文公开了本发明的详细实施方案；然而，应该理解，所公开的实施方案仅仅是对可以以各种形式体现的本发明的说明。另外，结合本发明的各种实施方案给出的每个实施例旨在是说明性的而非限制性的。

例如，虽然本文详述的各种实施方案的说明性实施例被描述为在汽车工业中实施，如在各种类型的移动车辆(例如，汽车、卡车、起重机，客车等)中；但是许多其他实施方式对于本领域普通技术人员来说可以变得显而易见；并且本发明的原理、方法、系统和设备可以类似地在利用计算设备的各种其他环境中实施。例如，在具有或不具有对本领域普通技术人员来说可能变得显而易见的任何(多种)修改的情况下，本发明的原理、方法、系统和设备可以在许多行业、环境和计算设备中实施，如但不限于航空、工业控制、计算机、医疗设备、金融终端、公用事业管理、家庭安全、关键基础设施计算系统(例如，交通信号灯、电网等)、以及其他类似合适的应用。

在整个说明书中，除非上下文另有明确规定，否则以下术语采用本文明确相关的含义。本文使用的短语“在一个实施方案中”和“在一些实施方案中”不一定是指相同的实施方案，尽管它可以。此外，本文使用的短语“在另一个实施方案中”和“在一些其他实施方案中”不一定是指不同的实施方案，尽管它可以。因此，如下所述，在不脱离本发明的范围或精神的情况下，可以容易地组合本发明的各种实施方案。

除非上下文另有明确规定，否则术语“基于”并非是排他的且允许基于未描述的额外因素。另外，在整个说明书中，“一”，“一种”和“所述”的含义包括复数引用。“在”的意义包括“在...之中”及“在...之上”。

应理解，本文描述的各种实施方案的至少一个方面/功能可以实时和/或动态地执行。如本文所使用的，术语“实时”是指可以在发生另一事件/动作时及时地瞬时或几乎瞬时发生的事件/动作。在一些实施方案中，术语“瞬时”，“瞬时地”，“即刻地”和“实时地”是指传输电子请求的第一时间与接收到对所述请求的电子响应的第二时间之间的时间差的不超过1秒的情况。在一些实施方案中，请求与响应之间的时间差在小于1秒与几秒之间(例如，5到10秒)。

如本文所使用的，术语“动态(动态地)”意味着可以在没有任何人为干预的情况下触发和/或发生事件和/或动作。在一些实施方案中，根据本发明的事件和/或动作可以是实时的和/或基于以下各项中至少一项的预定周期：纳秒、几纳秒、毫秒、几毫秒、秒、几秒、分钟、几分钟、每小时、几小时、每天、几天、每周、每月等。

如本文所使用的，术语“通信”和“消息”可以互换地使用，并且应该假设通信可以对应于单个消息或多个消息。

如本文所使用的，术语“运行时”与在执行软件应用或至少一部分软件应用期间动态确定的任何行为相对应。

在一些实施方案中，本发明的具有相关设备的专门编程的计算系统被配置成在分布式网络环境中操作，通过合适的数据通信网络(例如，互联网等)进行通信并利用至少一个合适的数据通信协议(例如，IPX/SPX、X.25、AX.25、AppleTalk(TM)、TCP/IP(例如，HTTP)等)。在一些实施方案中，本发明的具有相关设备的专门编程的计算系统被配置成处理/跟踪/管理与以下各项相关联的交互：至少10个其他电子/计算设备(例如但不限于10到99个)，至少100个其他电子/计算设备(例如但不限于100到999个)，至少1,000个(例如但不限于1,000到9,999个)，至少10,000个其他电子/计算设备(例如但不限于10,000到99,999个)，至少100,000个其他电子/计算设备(例如但不限于100,000到999,999个)，至少1,000,000个其他电子/计算设备(例如但不限于1,000,000到9,999,999个)，至少10,000,000个其他电子/计算设备(例如但不限于10,000,000到99,999,999个)，至少100,000,000个其他电子/计算设备(例如但不限于100,000,000到999,999,999个)，至少1,000,000,000个其他电子/计算设备(例如但不限于1,000,000,000到10,000,000,000个)。

如本文所使用的，术语“安全性(security)”指的是网络安全。

如本文所使用的，术语“安全(safety)”是指从功能角度来看系统的安全操作。

在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的设备被配置成与多个(例如，多达150个)电子控制单元(ECU)通信，所述电子控制单元负责各种车辆功能(发动机管理、转向、踏板、电动车窗等)。典型的ECU是计算机模块，所述计算机模块包含实施其功能并将其与车辆中的其他系统通过接口连接所需要的其自身的处理器、存储器和外围设备。典型的ECU包含执行其设计功能的固件和软件。

在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的设备允许集中对车辆的众多服务/能力的操作，如用于提高的安全性的先进车辆到车辆(V2V)通信、用于遥测的车辆到基础设施(V2I)通信、与道路和市政基础设施(例如，交通信号灯)的通信、与用于为电动车辆充电的本地和国家电网的通信、具有互联网接入的信息娱乐和电子钱包功能等。在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的设备允许集中并提供执行车辆功能可能需要的公共服务，如远程管理、空中下载(OTA)更新能力、更新传播、ECU软件闪存、ECU软件恢复、监控、加密、认证、数字证书和密钥管理、安全存储、安全数据处理、可靠且安全的新功能车载测试、安全监控器等。在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的设备允许降低车辆的总成本、减少可能影响安全状态的集成和验证工作，ECU包含的安全特征越多，ECU中的一些错误地实施这些特征(例如，软件错误、不正确实施的协议、非安全实现)的机会越大。对于示例性车辆，在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的设备允许减少外部通信量和/或改进的计算能力，导致例如在每个车辆的基础上实现更低成本、更低重量和提高的燃油效率。

在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的设备利用面向服务的体系结构(SOA)来提供公共功能和接口，这些功能和接口被配置为称为服务的分立和独立组件。在一些实施方案中，示例性本发明的计算机系统和示例性本发明的设备允许将整个车辆网络中的公共服务提供给示例性车辆的硬件/软件的任何客户端(client)，只要客户端被批准根据系统的策略使用那些服务。在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的集中式设备允许配置并利用公共服务，而与设计/实施公共服务的供应商以及使用所述公共服务的客户无关。在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的集中式设备被设计为经由标准化协议和/或应用程序接口(API)提供公共服务。

在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的集中式设备允许向ECU提供公共服务，所述ECU经由可能是或可能不是基于会话的类型(例如，HTTP会话、TCP会话等)的通信执行其自己的特定功能。在一些实施方案中，通信可以是有状态的或无状态的。在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的集中式设备允许向汽车ECU提供公共服务，所述汽车ECU通常被设计为通过多个网络协议进行通信，所述汽车ECU通常不被设计为在面向服务的环境中操作。

通常，每辆车的ECU由不同的第1级供应商设计和制造。通常，汽车行业的第1级提供商仅在其ECU的封闭环境中工作。通常，与其他ECU集成会带来很高的实施风险(组件通常设计为使用自己的方法在自己的体系结构中工作，与其他组件集成通常不是设计目标)。通常，基于考虑其他ECU的要求的需要，个性化开发可能导致可扩展性难度增加。在典型的设计方法中，面向服务的体系结构不是例如在汽车行业中在技术上和经济上可行的实现方式。

在一些实施方案中，示例性本发明计算机系统和示例性对应本发明集中式设备(示例性的集中式ECU)基于面向服务的体系结构的嵌入式实现方式。在一些实施方案中，示例性本发明计算机系统和示例性对应本发明集中式设备(示例性的集中式ECU)可以用于各种合适的车辆(例如，汽车、铁路、船舶、航空)和其他类似合适的嵌入式系统(例如，工业控制、医疗、关键基础设施等)中。

在一些实施方案中，示例性本发明的计算机系统和示例性对应本发明的集中式设备(示例性的集中式ECU)可以以可扩展、可靠且安全的SOA服务器的形式实现，所述SOA服务器能够为车辆中通过车辆网络(例如，CAN、以太网、LIN、MOST、FlexRay等)中的任何车辆网络互连的所有其他ECU提供任何服务。示例性的集中式ECU的此示例性本发明的SOA服务器可以包含远程管理服务、远程监控服务、空中下载(OTA)更新服务、对称密码服务(例如，AES、DES)、非对称密码服务(例如，RSA、ECC)、证书存储和验证证书颁发机构(CertificateAuthority，CA)、提供证书颁发机构服务以及颁发和签署证书和安全存储(例如，加密存储器、TPM(可信平台模块))服务、软件图像管理和分发服务、软件托管服务、数据匿名化服务、软件沙箱服务、集中式防火墙、安全配置管理、入侵检测系统(IDS)、入侵防御系统(IPS)和/或锁定核心(如美国专利申请序列号15,486,055中描述的，出于所有与本文详述的原理一致的目的，所述美国专利申请由此并入本文)。

在一些实施方案中，示例性本发明的SOA ECU可以用于将来自车辆的数据安全地收集、处理、存储和/或传输至服务提供商，所述服务提供商可以货币化该数据和/或基于它提供服务。在一些实施方案中，服务提供商可以是集中设施形式的安全运营中心(SOC)，其负责车辆的安全性的每个方面。

在一些实施方案中，示例性本发明的SOA ECU可以用于将来自车辆的数据安全地收集、处理、存储和传输至服务提供商，所述服务提供商可以货币化该数据。在一些实施方案中，示例性本发明的SOA ECU可以包含用于实施和加速一些功能的硬件模块，如HSM(硬件安全模块)模块，TPM(可信平台模块)模块和/或密码协处理器()。在一些实施方案中，可以通过对示例性本发明的SOA ECU的更新(包括空中下载(OTA)软件更新)来修改(添加、减去、功能改变和/或配置修改(如规则、访问列表等))由示例性本发明的SOA ECU提供的服务。在一些实施方案中，服务可以在工厂中预加载，并且在示例性本发明的SOA ECU可操作之后被远程激活(例如，在车辆交付给客户之后销售的附加功能)。在一些实施方案中，由示例性本发明的SOA ECU提供的服务可以包括添加功能(例如但不限于改进的发动机性能)、修改悬架(例如，针对不同的道路状况、冰、冬天)和调整驾驶模式(节气门响应时间、转向等)。这种功能可以通过OTA更新被远程发送(例如，通过基于互联网云的推送或拉取服务)；和/或根据需求激活；和/或无限期地或在一段时间内提供。在一些实施方案中，可以通过基于互联网云的管理解决方案来远程管理这种功能的交付。在一些实施方案中，示例性本发明的SOAECU可以收集车辆和/或用户(例如，驾驶员、乘客)相关数据，将所收集的数据安全地存储、处理和/或传输至服务提供商。在一些实施方案中，所收集的数据可以被配置成针对(多个)服务特有和/或用户特有需求和/或现实世界性能而定制。在一些实施方案中，所收集的数据可以被配置成由第三方用于向用户提供推荐(例如，通过音响主机(head unit)上的车内助手(vehicle assistant))，以便例如但不限于修改用户的驾驶行为。

在一些实施方案中，示例性的SOA ECU被设计用于为各种服务提供实时可靠且安全的操作环境，同时将每个分立服务组件彼此完全隔离(例如，以防止干扰，确保性能)并且还可以隔离每个连接的网络或客户端的处理(出于安全和服务质量考虑—为客户端提供预定级别的服务和性能，或避免使安全关键客户端/网络与非安全关键客户端/网络互连)。在一些实施方案中，示例性的SOA ECU可以包含可以允许针对所需的每种类型的网络协议的通用服务API的规定。在一些实施方案中，示例性的SOA ECU可以被配置成允许传统协议(legacy protocol)(例如，CAN、LIN)，以利用此体系结构的益处，同时为现代协议(例如，以太网)提供最大性能。

在一些实施方案中，示例性的SOA ECU可以被配置成考虑每个客户端(和/或网络)所需的每个性能级别，并将实时服务质量(QoS)提供给所需级别。这降低了直接成本以及集成的复杂性(和成本)。代替OEM多次支付、测试和集成相同的功能(因为所述功能被提供在由多个第1级制造的多个ECU中)，所述功能将仅被支付、测试和实施一次，并且其他ECU将假设所述功能是正确操作并简单地利用它。在一些实施方案中，示例性的SOA ECU改进了车辆内功能的可靠性，因为关键或安全相关服务将被更彻底地测试，因为测试仅需要进行一次。在一些实施方案中，示例性的SOA ECU可以被配置成满足特定安全标准(例如，ISO26262)和/或特定网络安全标准(例如，ISO15408)，从而提供其正确操作的保证。在一些实施方案中，示例性的SOA ECU可以被配置为使得在示例性的SOA ECU被证明为平台的同时，不需要对安全/安全性关键的(多个)单独服务进行证明。

在一些实施方案中，示例性本发明的SOA ECU可以被配置为根据图1中所描绘的示例性设计。例如，示例性本发明的SOA ECU可以基于任何合适的汽车计算硬件，例如但不限于CPU/DSP/SoC/微控制器(例如，英飞凌科技公司的TriCore(TM)(德国纽必堡)、恩智浦半导体公司的MC57xx(TM)(荷兰埃因霍温)、瑞萨电子的R-Car(日本东京)等)。在一些实施方案中，示例性本发明的SOA ECU可以被配置成具有固件层，所述固件层包含例如板支持包—BSP、体系结构支持包—ASP或两者的组合。

在一些实施方案中，示例性本发明的SOA ECU可以被配置成在OS(例如，AUTOSAR(TM)、Linux(TM)、其他)上或没有OS(裸机(bare metal))运行。在一些实施方案中，示例性本发明的SOA ECU可以被配置成包含API，所述API被配置成允许访问其服务中的所有服务并且可以允许认证客户端ECU和/或加密在示例性本发明的SOA ECU与特定客户端ECU或外部系统(例如，德国斯图加特的维克多信息股份有限公司(Vector Informatik GmbH)的基于AUTOSAR的服务API)之间的流量。在一些实施方案中，示例性本发明的SOA ECU可以被配置成对客户端请求的实时处理进行优先级排序(例如，安全关键ECU操作/请求应比非安全ECU接收更高的优先级)。在一些实施方案中，示例性本发明的SOA ECU可以被配置成处理在一个或多个处理器核上运行的一个或多个请求队列上的服务请求。在一些实施方案中，示例性本发明的SOA ECU可以被配置成根据预定安全策略管理对其服务中的所有服务的访问，所述预定安全策略可以被设计成选择性地允许某些ECU访问某些服务和/或拒绝一些ECU访问某些服务。在一些实施方案中，本发明的SOA ECU可以被配置成将某一(些)任务卸载到硬件和/或将执行转移到(多个)辅助组件。

在一些实施方案中，示例性本发明的SOA ECU可以被配置成负责任何协议处理和解析。例如，示例性本发明的SOA ECU可以被配置成经由一个或多个网络通信协议(例如，CAN、以太网等)提供对服务API的访问。在一些实施方案中，示例性本发明的SOA ECU可以被配置为其自己的专用ECU或者是车辆内现有ECU的一部分。在一些实施方案中，示例性本发明的SOA ECU可以被配置成利用DDS(数据分发服务)、CORBA(公共对象请求代理体系结构)和/或ESB(企业服务总线)基础设施来允许通过各种网络通信协议进行通信并为通过各种网络通信协议进行的API访问提供服务。

在一些实施方案中，示例性本发明的SOA ECU可以被配置成包含安全固件，所述安全固件确保硬件的驱动程序(固件的一部分)不被利用来获得对硬件的未授权访问或使其以与用于所述系统的方式不同的方式操作。安全固件通常是为符合相关安全标准(例如，ISO 26262)和安全标准(例如，ISO 15408)而编写的固件。在一些实施方案中，示例性本发明的SOA ECU可以被配置成包含被证明的分离内核(例如，Green Hills SoftwareIntegrity、WindRiver VxWorks、Sysgo Pike OS等)。这可以允许在各种网络(动力系统、便利、车身、信息娱乐等)、客户端和/或服务之间可靠且安全地分离。在一些实施方案中，示例性本发明的SOA ECU可以被配置成防止来自一个网络的客户端影响提供给任何其他网络的服务和/或服务质量。在一些实施方案中，示例性本发明的SOA ECU可以包含用于每个网络的单独分区，其中，例如，可以实施分离内核如以便在两个存储器地址空间(例如，存储存储器—ROM/闪存和运行时存储器—RAM)和/或处理器时间(例如，每个分区将具有其专用的静态和预定时隙，来自这种分区的指令将在所述时隙处插入到运行时上下文中以供执行)中的分区之间提供可靠且安全的分离。在一些实施方案中，示例性本发明的SOA ECU可以被配置成根据所需的服务质量将时隙分配给分区(安全关键分区可以接收更长的时隙以允许其优先访问服务，或者相比于非安全关键分区接收更多的时隙)。例如，根据图2中所示出的一个示例性实施方案，每个分区可以运行其自己的SOA服务器实例，所述SOA服务器实例具有可用于特定网络的其特定服务子集。在分离内核之上可以存在管理程序(hypervisor)，因此每个分区可以包含独立的OS。否则，在一些实施方案中，示例性本发明的SOA ECU服务器可以被配置成使所有服务在分离内核上或在硬件处理器提供的任何其他机制上运行本机(native)(或“裸机”)(例如，通过存储器保护单元(MPU)或通过像ARM TrustZone等安全监控器分离)。

在一些实施方案中，示例性本发明的SOA ECU可以被配置成包括基于客户端关键性和/或如图3中所示出的处于安全关键和/或非安全ECU或网络之间的分离。这种示例性体系结构可以为安全关键ECU提供特定服务，并确保针对其要求定制服务质量等级(确保处理器和资源可用性，主要是安全关键分区的时隙分配)。例如，在没有管理程序的情况下，所有应用(示例性本发明的SOA ECU服务器和服务)在分离内核上本机地运行。

如本文详述的，例如在图2和图3中，即使服务被托管在不同分区内，示例性本发明的SOA ECU也不必被重新开发或修改，而是可以用作具有若干分区中的实例的分立功能单元。

在一些实施方案中，示例性本发明的SOA ECU可以被配置成允许在公共功能(例如安全)之间重复使用并且减少对每个ECU和/或应用的需要以便在本地实施所述公共功能。从安全角度来看，示例性本发明的SOA ECU可以被配置成允许监控系统的整体安全状态并根据需要对任何事件作出反应。例如，需要正确实施并适当利用安全相关组件，例如，证书需要被存储在访问受保护的存储器中，使得只允许安全机制访问所述证书。如果安全存储被加密，但允许任何实体访问所述安全存储，则其不安全。因此，示例性本发明的SOA ECU可以被配置成在节省资源的同时提高整个系统的安全性。此外，通过利用分离内核，可以阻止分区中的恶意/错误应用对任何其他分区产生不利影响(例如，拒绝服务(DoS)攻击)。从安全角度来看，具有此示例性本发明的SOA ECU体系结构的示例性本发明的计算机系统允许根据所需的安全级别和服务质量来分离服务和客户端，同时所有这些都被托管在单个ECU上。可以使用其他分离逻辑(如何在分区之间划分服务)，而分区为具有共同需求(安全、安全性和关键性级别)的服务提供环境。

在一个示例性实施方案中，如图4中所示出的，示例性本发明的SOA ECU可以在远程管理服务器上实施，所述远程管理服务器将使远程更新(OTA更新—空中下载更新)能够传播到车辆内的各种ECU。此外，示例性本发明的SOA ECU可以支持其自身的OTA更新和由其提供的服务。在一些实施方案中，除了允许认证和验证远程更新之外，具有示例性本发明的SOA ECU的示例性本发明计算机系统可以被配置成通过外部通信(例如，V2X通信ECU、遥测ECU等)将认证服务扩展到所有其他ECU。在一个示例性实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成实施证书颁发机构(CA)，所述证书颁发机构将验证用于安全通信的所有数字证书并认证通信中的各方。在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成包含可扩展服务API，所述可扩展服务API可以被编程为能够访问所有可用服务。在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成还通过运行网关服务充当互连的网络之间的网关。在一些实施方案中，示例性本发明的SOA ECU可以被配置成直接连接至网关ECU(就好像它是单独的子网)。

在一个说明性实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以基于赛灵思公司(Xilinx,Inc.)(美国加州圣何塞)的Zynq(R)7010片上系统(SoC)，其包含双核ARM A9处理器和Artix-7 FPGA。这种示例性设置可以具有1GB的DDR3RAM和4GB的闪存SSD，为本发明系统提供操作和存储存储器。以太网接口可以将服务器连接至一个车辆网络，如信息娱乐网络，所述信息娱乐网络基于通过Zynq和Marvell AlaskaPHY(88E1116R)中的内置千兆以太网控制器进行的以太网通信。另一个实施方案可以使用Broadcom BroadR-Reach汽车以太网PHY。在图4中，V2X通信网络(车辆到一切系统(Vehicle-to-everything))通信可以将信息从车辆传递到可能影响车辆的任何实体，反之亦然。通常，车辆通信系统包括其他更具体类型的通信中的至少一种，如但不限于V2I(车辆到基础设施)、V2V(车辆到车辆)、V2P(车辆到行人)、V2D(车辆到设备)和/或V2G(车辆到电网)。在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成基于具有支持高于1Mbps的高速通信的灵活数据速率的CAN(CAN FD-ISO 11898-1:2015)，所述高速通信可以通过NXP MC33901收发器(PHY)和在Zynq SoC中内置的FPGA上实施的控制器(例如，Bosch C_CAN FD8 IP模块)来实现。在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成使用的网络接口可以是例如但不限于基于Zynq SoC中的内置控制器和如NXP TJA1040等外部收发器的CAN 2.0B接口(ISO11898-2:2003)，所述控制器和收发器均以高达1Mbps的传输速率操作。

在一个说明性实施方案中，QNX Neutrino RTOS(实时操作系统)微内核可以用作分离内核。密码协处理器是专用芯片，所述专用芯片包含用于常见密码功能(例如，AES加密、SHA-1散列计算、RSA加密和签名验证、随机数生成等)的硬件加速。对于该非限制性实施方案，可以利用NXP C291协处理器。例如，图5示出了具有示例性本发明的SOA ECU的这种本发明远程管理服务器硬件的示例性体系结构。

在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成利用任何合适的通信协议与其他ECU(例如，LIN、FlexRay、MOST等)进行通信。在一些实施方案中，示例性本发明的SOA ECU可以被配置为使得微内核保护对硬件资源(例如，通信接口、密码协处理器等)的访问，使得每个分区仅访问其允许的集合资源，所述集合资源是在示例性本发明的SOA ECU的主要配置中预定的。在此实施方案中，OTA更新可以经由外部无线通信接口(例如，3G蜂窝)传送(从汽车OEM远程更新服务器)，所述外部无线通信接口将连接至作为信息娱乐网络的一部分的信息娱乐ECU(或信息娱乐音响主机单元ECU，如果有几个的话)。例如，OTA服务可以接收更新，并在验证之后将其传播到其他互连的网络(根据与特定更新相关的ECU集)。在一些实施方案中，对连接至信息娱乐网络的ECU的更新也可以传递到具有示例性本发明的SOA ECU的远程管理服务器、被验证并且然后发送至相关ECU。例如，为了验证更新，OTA服务可以使用将管理所有数字证书(X509兼容的证书)的CA服务。例如，CA服务将能够验证由外部或内部通信方提供的数字证书对CA服务将管理的一组根证书的有效性。例如，将需要OEM更新服务器提供有效证书以便使用CA服务连同更新一起进行认证。此证书将使用根证书进行验证，所述根证书在车辆制造期间已被预加载到示例性本发明的SOA ECU。在一些实施方案中，CA服务使用的根证书也可以作为更新包的一部分被远程更新。在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成利用通过计算更新文件的散列(例如，使用SHA-256算法)并将其与包含在经签名证书(使用标准非对称密码算法(如RSA、ECC)签名)中并与更新包一起提供的散列值进行比较来验证所述更新文件的完整性的附加安全措施。这允许CA服务验证更新。实质上，CA服务可以服务于整个车辆的信任根(vehicle-wide root of trust)。例如，认证服务可以使用计算证书的散列值的常用方法(例如，使用SHA-256)并检查证书中的经签名散列值是否使用根证书的私钥(使用根证书的公钥)进行签名来验证证书。如果计算的散列值与证书中附加的经签名值(使用公钥得到)相匹配，则所述证书被验证。

在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明计算机系统可以被配置成管理远程信息处理ECU，所述远程信息处理ECU可以与OEM和其他合适的实体通信以发送关于车辆和/或其使用情况的遥测信息(例如，发动机利用率、燃油效率、使用情况统计等)。在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成管理远程信息处理ECU，所述远程信息处理ECU还可以接收用于启用/禁用其自己和/或车辆中的其他ECU内的特征的各种命令(例如，启用各种燃油效率模式、在出现故障时启用低性能模式等)。例如，远程信息处理ECU利用认证服务(所述认证服务进而可以利用CA服务)以便(通过PKI)认证与其通信的远程实体。例如，每个实体用握手建立通信，所述握手包含由认证服务验证的其经签名数字证书(X509兼容)。在一个实施方案中，认证服务可以利用CA服务的功能来执行其操作中的一些操作。在一些实施方案中，CA服务可以在信息娱乐分区中具有所有其他分区正在使用的实例(通过由内核调节的分区间通信机制—如直接套接字连接(direct socket connection)或通过共享存储器的消息传递)。在另一个实施方案中，可以将CA服务复制到需要它的每个分区，以避免一次性利用和访问来自多个分区的服务的瓶颈。

在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成管理V2X ECU，所述V2X ECU可以与如车辆、行人和/或基础设施(交通灯、道路等)等外部实体进行实时通信。在一些实施方案中，可以对这种V2X通信进行加密。例如，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成使用安全且有效的加密算法AES256以用于由V2X ECU进行的V2X通信。在一些实施方案中，示例性本发明的SOAECU(远程管理服务器)可以被配置成利用内置密码协处理器和通信加密服务来加密和解密来往于V2X ECU的数据。例如，为了选择适当的加密密钥，通信加密服务可以利用适当的证书(如果每个实体或提供商或市政当局都有不同的证书或任何其他区分方式)，并且这将允许双方(V2X ECU和外部实体)交换对称密码密钥(使用众所周知的算法，如Diffie-Helman密钥交换算法)。对称密钥将允许协处理器高速地加密和解密数据(利用硬件加速)，而无需实际V2X ECU处理任何加密和/或密钥管理。例如，认证服务可以利用CA服务的功能来执行其操作中的至少一些操作。

图6示出了具有网络分离的示例性软件体系结构，在一些实施方案中，具有示例性本发明的SOA ECU(标识为“SOA服务器”)的示例性本发明的计算机系统可以利用所述软件体系结构。在具有示例性本发明的SOA ECU的发明的远程管理服务器的示例性体系结构中，每个分区仅可以访问与其对应子网通信所需的硬件(例如，信息娱乐网络仅可以访问以太网控制器而不能访问CAN收发器)。此外，访问可能局限于所有硬件资源——例如，其服务不需要访问密码协处理器的分区将不具有访问权。在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成经由微内核/分离内核提供访问控制，所述微内核/分离内核可以安全地限制可访问每个分区的硬件地址(例如，通过存储器管理单元(MMU)或MPU中的地址映射机制)，并且因此限制硬件访问。在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成根据网络分离服务(每个网络一个分区)，而不是根据关键性水平来分离服务(在不同实施方案中也是可能)，或者两者。例如，具有示例性本发明的SOA ECU的示例性本发明计算机系统可以被配置成通过验证请求ECU的识别令牌(例如，ECU ID)和/或通过用密码装置(例如，证书交换)验证ECU来强制执行这种限制。在一些实施方案中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成利用单独访问服务器(在分区内)来限制哪个特定服务可以访问哪些硬件资源和/或哪些其他分区。例如，访问服务器和服务可以被实施为分离内核上的本机应用。例如，在QNX Neutrino的情况下，所述应用可以是POSIX兼容的应用(因为微内核与POSIX API完全兼容)。表1提供了用于从具有示例性本发明的SOA ECU的示例性远程管理服务器请求服务的ECU的示例性API的代码。

交互式服务请求的示例是空中下载(OTA)更新，所述空中下载更新通过互联网从外部OEM OTA更新服务器发送至车辆，如图7中所示出的。信息娱乐ECU接收此通信，然而，所有处理由OTA和CA服务在信息娱乐服务器分区上的完成，所述OTA和CA服务在具有示例性本发明的SOA ECU的远程管理服务器上运行。在一些实施方案中，通过OEM OTA服务器发送用于开始经认证和经加密的通信会话的请求，所述过程将开始。为此，OEM服务器将提供其签名的数字证书，所述证书将由具有示例性本发明的SOA ECU的远程管理服务器经由CA服务验证。在验证之后，具有示例性本发明的SOA ECU的远程管理服务器将生成会话密钥(使用CA服务，用于在此实施方案中使用的AES256加密)并使用来自OEM服务器证书的公钥对其进行加密。此经加密密钥将通过信息娱乐ECU发送回OEM服务器。然后，OEM服务器将使用会话密钥对更新包(单独地更新文件和证书)进行加密，并将经加密更新包发送至信息娱乐ECU，所述信息娱乐ECU将所述经加密更新包传递至具有示例性本发明的SOA ECU的远程管理服务器中的OTA服务。OTA服务将解密更新包(使用CA服务)并通过验证随附的经签名证书中的散列以及文件的实际计算散列来验证更新文件的完整性(在此示例中，使用SHA-256计算散列并且使用OEM服务器和远程管理服务器的根CA的私钥完成对证书的签名，所述OEM服务器和远程管理服务器都具有带有其公钥的根证书)。在验证更新文件之后，OTA服务将其分发给所有目标ECU以应用更新。这些目标ECU将把操作的状态(例如，成功、失败、错误等)返回给OTA服务。OTA服务可以将所有响应组合成单个列表，并通过信息娱乐ECU将其发送回OEM服务器(此列表也可以使用会话密钥以经加密形式发送)。此步骤将结束会话和更新操作。

在一个实施例中，具有示例性本发明的SOA ECU的示例性本发明的计算机系统可以被配置成接受API函数调用，所述API函数调用将通过例如通过具有示例性本发明的SOAECU的远程管理服务器的TCP/IP套接字和/或通过CAN帧的数据部分发送消息，从而通过网络传送，所述CAN帧可以采用以下格式：

<Name_of_service>\n<length_input_1><input_variable_1><length_input_2><input_variable_2>…，

其中，“length”是输入变量值的字节长度。例如，换行符(‘\n’，ASCII中的0xA)可以将服务名称和输入/输出值分开。

例如，服务的输出可以是采用以下示例性格式发送至客户端ECU的结果：

<Name_of_service>\n<length_output><output_variable>

在另一个实施方案中，输出还可以包含多个变量。

图8示出了具有示例性本发明的SOA ECU的远程管理服务器中的示例性V2X服务器的通信加密服务的API通信的示例。例如，具有CAN ID 7(十进制)和00000000111(二进制)的V2X网络上的客户端将需要加密流量(使用AES256)以通过外部接口发送所述流量。此网络将利用11位CAN标识符(例如，在另一实施方案中，V2X网络可以使用29位标识符，如CAN协议-ISO 11898-1:2015中描述的)。在一个实施例中，具有示例性本发明的SOA ECU的远程管理服务器作为CAN ID 15(十进制)和00000001111(二进制)连接。客户端想要加密字符串‘Parameters 10,5,65,0.4’。一旦通信加密服务将接收请求并对其进行解释，具有示例性本发明的SOA ECU的远程管理服务器就将验证此客户端是否具有为其生成的加密密钥。如果此客户端没有，则会为其生成密钥并将所述密钥存储在例如但不限于闪存SSD中的专用分区中(存储分区将仅由微内核映射到此服务，在一些实施方案中此分区也可以被加密)。在一些实施方案中，分区将包含客户端列表(由其CAN ID标识)和每个客户端的对应密钥。一旦添加了新客户端，就会在列表中添加条目。所述列表还可以包含生成密钥的日期和时间，使得可以在每个预定义的时间段刷新列表。一旦通信加密服务将接收密钥，通信加密服务就将加密所述消息并将其发送回客户端。在此实施例中，消息被填充到256位的块(AES256的最小块大小，在末尾填充零)。在此实施例中，假设所产生的经加密256位块(32字节)由以下ASCII序列表示“]^LV2Mc6JFK5Zx？5S＝KZQc#U+<！t8'@”。因此，客户端将能够在不进行任何密码操作且不暴露于加密密钥的情况下加密通信。如果需要将密钥传送至另一个外部方，则可以在生成或更改非对称PKI加密后使用所述非对称PKI加密来递送所述密钥。在此特定实施例中，具有示例性本发明的SOA ECU的远程管理服务器被配置成使一个集中点能够接收、验证、管理和分发所有OTA更新。在此特定实施例中，具有示例性本发明的SOA ECU的远程管理服务器被配置成提供其他通信安全服务，如加密和认证。在一些实施方案中，本发明的实现方式将减轻对需要能够在外部通信以包括任何单独的安全能力的任何ECU的需要。

图9示出了示例性本发明的SOA ECU的示例性安全服务器体系结构(在图9中标识为“安全服务器”)，所述安全服务器体系结构将被配置成向其他车辆ECU提供集中式安全服务。在该特定实施方案中，示例性本发明的SOA ECU(安全服务器)将被配置成在连接到所述SOA ECU的各种汽车网络之间提供可靠且安全的间隔。为每个网络独立地提供服务。示例性本发明的SOA ECU(安全服务器)将向任何其他ECU提供通用交互服务API。例如，示例性API将是可扩展的以支持任何服务，甚至是将来的扩展。在图9的实施例的一些实施方案中，本发明的安全服务器可以基于瑞萨R-Car E2(R8A7794)片上系统(SoC)，其可以包含双核ARMA7处理器、SH-4A CPU核、用于加速AES256对称加密的车载密码协处理器、以及使用SHA-256和RSA非对称加密的散列计算模块。在一个实施例中，本发明的安全服务器可以具有2GB的DDR3 RAM和16GB的闪存SSD，以为系统提供操作和存储存储器。在一个实施例中，本发明的安全服务器可以具有以太网接口，所述以太网接口可以将本发明的安全服务器连接至一个车辆网络，如V2X通信网络，并且可以基于内置于R-Car E2中的以太网控制器和外部以太网PHY模块，如但不限于NXP TJA1100。在一个实施例中，可以采用高速CAN 1Mbps接口(ISO11898兼容)将本发明的安全服务器连接至另一车辆网络，如车身网络(控制如门锁/解锁、警报、防盗装置、遥控无钥匙进入、智能钥匙等功能)。在一个实施例中，接口可以基于R-CarE2上的内置控制器和如NXP TJA1040等外部收发器。在一个实施例中，本发明的安全服务器可以将Sysgo PikeOS分离内核和管理程序用作软件基础设施的一部分。在一些实施例中，本发明的安全服务器可以利用任何足够合适的通信协议来与其他ECU(例如，CAN、LIN、FlexRay、MOST等)通信。在一些实施例中，本发明的安全服务器可以利用至少一个基于会话的协议。

图10示出了示例性本发明的SOA ECU的示例性安全服务体系结构，其将用于提供例如数据和通信加密服务(例如，V2X网络中的ECU所需要的)以保护来往于车辆的外部通信。例如，车辆的车身ECU将需要安全存储服务来支持例如警报、防盗装置和遥控无钥匙进入的凭证。在一些实施方案中，所提供的加密服务可以包括任何加密协议(例如，AES、DES等)。在图10的本发明体系结构的一些实施方案中，可以使用AES256算法来实施静态数据的加密(例如，用于安全存储或安全引导目的)，并且可以使用AES256来执行对所传输数据的加密。在一个说明性实施方案中，作为安全服务器的示例性本发明的SOA ECU可以采用具有外部通信的认证。在一个说明性实施方案中，作为安全服务器的示例性本发明的SOA ECU执行对通信方的认证，例如，通过由可信第三方交换经签名证书。在一个说明性实施方案中，示例性本发明的SOA ECU将被配置成使用PKI基础设施并且然后使用非对称密码验证证书，对称密钥将通过Diffie-Hellman算法交换。在一个说明性实施方案中，示例性本发明的SOAECU将被配置成采用非对称密码服务(例如，RSA、椭圆曲线密码(ECC)等)。在一个说明性实施方案中，PKI证书可以符合标准X509证书，并且可以使用ECC来实施非对称密码。在一个说明性实施方案中，为了存储加密密钥和证书，充当安全服务器的示例性本发明的SOA ECU可以在例如闪存驱动器中利用专用的1GB分区，在所述闪存驱动器中，所有数据将以经加密方式(使用例如SoC上的AES256协处理器和/或数据加密服务)存储为经加密文件。例如，主加密密钥可以存储在SoC密码协处理器中的专用片上安全存储装置内。在又一个实施方案中，加密密钥和证书可以是瞬态的(每个会话生成或实时生成并存储在如RAM等易失性存储器中)。在一些实施方案中，每个网络可以在示例性本发明的SOA ECU的单独分区中具有专用安全服务器，从而支持所需服务。例如，每个服务可以作为单独的进程(单独的应用)托管，或者安全服务器进程可以托管所有功能，并为每个服务和每个客户端打开单独的线程。例如，由示例性本发明的SOA ECU提供的安全服务器服务可以在后台作为操作系统服务或守护进程(在Linux的情况下)运行并监听新的客户端连接请求。例如，如果本发明的安全服务器服务于车身网络，则不使用OS，因为安全存储服务将是简单的并且OS的开销将被最小化。例如，车身安全服务器可以被实施为位于分离内核之上的本机应用。

表2提供了与本发明的安全服务器(示例性本发明的SOA ECU)对外部系统的API请求调用相对应的示例性代码，同时向V2X以太网网络上的客户端提供服务(例如，IP10.0.0.58)。例如，客户端将消息发送至本发明的安全服务器的监听端口(例如，安全服务器的IP 10.0.0.25上的端口62320)，并且在消息中，客户端将标识所需的服务和所有所需的输入数据。例如，对于车身网络，客户端可以发送服务的名称并通过一个或多个CAN帧输入数据。在一些实施方案中，例如在使用利用数字证书的SSL/TLS的基于以太网的网络中，可以对本发明的安全服务器与客户端之间的通信进行认证和加密，客户端和本发明的安全服务器都将用所述数字证书预加载，并且所述数字证书由可信证书颁发机构签名(安全服务器本身也可以充当证书颁发机构)。下面呈现了安全服务器到外部系统的API的基于代码的实施例。添加的附加服务将添加其自己的API调用。

表2.

例如，为了使用AES256加密数据块，V2X网络上的客户端将向示例性本发明的安全服务器(示例性本发明的SOA ECU)的端口62320发送消息，所述消息将包含以下数据：

“EncryptAES256 19 asdjnkasdn43254.sda”，

其中，“asdjnkasdn43254.sda”将是要加密的数据，并且其长度将为19字节(或者字符，用0填充到32个字符—AES256的最小块大小为32字节)。结果可以是通过打开的端口发送回客户端的经加密数据：“EncryptAES256 32 lkajsdlksadj87asd！！jd/kfd；skmfds”，假设“lkajsdlksadj87asd！！jd/kfd；skmfds”将是经加密文本。

在一些实施方案中，对于加密密钥，示例性本发明的安全服务器的示例性安全服务可以为每个客户端生成唯一密钥，其将使用所述密钥来加密数据。例如，密钥可以存储在密码协处理器中的专用存储装置中(其将被内置到示例性本发明的安全服务器中)，或者如果密钥量很大，则密钥可以存储在安全分区内包含客户端ID列表和密钥的单独文件中。例如，这种文件可以由唯一的安全服务器加密密钥加密，所述加密密钥将存储在密码协处理器内。在一些实施方案中，专用安全存储设备(例如，闪存)可以直接连接至SoC，并且仅由本发明的安全服务器的进程访问(受分离内核许可保护)，并且所有密钥都可以存储在那里。在一些实施方案中，加密密钥可以是安全服务器的输入，或者一旦密钥将在内部生成，这种密钥也可以返回到客户端以供将来使用(例如，加密必须与另一方交换密钥的通信)。在一些实施方案中，示例性本发明的安全服务器(在图11中标识为“服务器”)可以利用如例如图11中所示出的安全存储装置。例如，为了安全地存储一条数据，示例性本发明的安全服务器可以利用唯一客户端密钥(客户端可以通过其IP或通过如任何ID等其他手段来标识)。例如，安全存储服务可以在内部调用加密服务，接收经加密数据并将密钥存储为专用分区中名为“ClientIP.VarName.data”的文件。

例如，提供安全服务的集中式实现方式的示例性本发明的安全服务器提高了本发明系统和整个车辆的安全级别。例如，由于安全相关功能必须正确实施并需要进行细致的测试，因此安全服务的集中式实现方式允许降低每个应用或ECU具有其自己的安全实现方式的风险，这可能是不安全的。本发明允许将所有与安全相关的功能集中到安全的、经验证和被证明的本发明系统中，从而提高安全机制的可靠性。例如，随着各种ECU通过软件更新发展和/或增加ECU的需要，也可以更新(通过软件更新)本发明的安全服务器以允许附加服务。例如，根据本发明的原理的集中式实现方式降低了成本并增加了灵活性，因为每个能力仅需要一个实例，并且这种实例可以根据需要充当多个客户端。例如，如果新应用或ECU需要特定服务，则所有这种新应用或ECU需要做的是从本发明的安全服务器请求这种服务。在一些实施方案中，示例性本发明的体系结构被配置成最小化在分层价值链行业中具有面向服务的体系结构的困难。例如，由于SOA ECU是完全独立的系统，因此其具有标准API，所述标准API可以通过任何汽车协议进行通信，并且不需要任何会话或与其他ECU同步。例如，每个第1级制造商可以依赖于接口规范(特定SOA ECU需要接收和传输的消息列表)。并且每个第1级完全独立地实施对应ECU，仅以完全异步的方式访问它所需的服务。值得注意的是，本文描述的实施方案当然可以使用任何适当的硬件和/或计算软件语言来实施。在这方面，本领域普通技术人员精通可以使用的计算机硬件类型、可以使用的计算机编程技术类型(例如，面向对象的编程)、以及可以使用的计算机编程语言类型(例如，C++、Basic、AJAX、JavaScript)。上述实施例当然是说明性的而非限制性的。

在一些实施方案中，示例性本发明的SOA ECU可以被配置/编程为允许如但不限于汽车公司和合适的第三方的实体在整个车辆生命周期向用户远程和/或实时地提供一个或多个增值服务。在一些实施方案中，示例性本发明的SOA ECU可以被配置/编程为允许用户体验的连续个性化，这产生了对供应商的连续收入流，就像在订阅式布置的情况下一样。

在一些实施方案中，本发明提供了一种包含至少以下组件的示例性本发明的系统：具有面向服务的体系结构的电子控制单元(SOA ECU)，其中，所述SOA ECU包括：至少一个示例性本发明的SOA服务器；其中，所述SOA ECU定位在车辆内；其中，所述至少一个SOA服务器被配置成向定位在所述车辆内的至少一个客户端ECU提供至少一个服务；并且其中，所述至少一个SOA服务器被配置成分配至少一个专用处理资源和至少一个专用存储器资源以提供所述至少一个服务。

在一些实施方案中，所述示例性SOA ECU进一步包括：至少一个第一分区，所述至少一个第一分区包括：至少一个第一SOA服务器；其中，所述至少一个第一SOA服务器被配置成向至少一个第一客户端ECU提供至少一个第一服务；其中，所述至少一个第一SOA服务器被配置成分配至少一个第一专用处理资源和至少一个第一专用存储器资源以提供所述至少一个第一服务；至少一个第二分区，所述至少一个第二分区包括：至少一个第二SOA服务器；其中，所述至少一个第二SOA服务器被配置成向至少一个第二客户端ECU提供至少一个第二服务；其中，所述至少一个第二SOA服务器被配置成分配至少一个第二专用处理资源和至少一个第二专用存储器资源以提供所述至少一个第二服务；其中，所述至少一个第一分区和所述至少一个第二分区经由分离内核(separation kernel)在操作上彼此分离。

在一些实施方案中，所述至少一个第一分区被配置成用所述至少一个第一专用处理资源和所述至少一个第一专用存储器资源执行至少一个第一操作系统(OS)；并且其中，所述至少一个第二分区被配置成用所述至少一个第二专用处理资源和所述至少一个第二专用存储器资源执行至少一个第二OS；并且其中，所述至少一个第一专用处理资源和所述至少一个第二专用处理资源是至少一个专用硬件模块的一部分；其中，所述分离内核被配置成分别向所述至少一个第一专用处理资源和所述至少一个第二专用处理资源提供分别用于执行所述至少一个第一服务或所述至少一个第二服务的各自单独访问；并且其中，所述至少一个第一专用存储器资源和所述至少一个第二专用存储器资源是所述至少一个专用硬件模块的一部分；并且所述分离内核被配置成分别向所述至少一个第一专用存储器资源和所述至少一个第二专用存储器资源提供分别用于执行所述至少一个第一服务或所述至少一个第二服务的各自单独访问。

在一些实施方案中，所述至少一个第一SOA服务器是安全关键服务器，并且所述至少一个第二SOA服务器是非安全关键服务器。

在一些实施方案中，所述至少一个第一客户端ECU与至少一个第一网络相关联；其中，所述至少一个第二客户端ECU与至少一个第二网络相关联；并且其中，所述至少一个第一网络和所述至少一个第二网络是不同的网络。

在一些实施方案中，所述分离内核被配置成防止或阻止至少一个故障分区对至少一个非故障分区产生不利影响。

在一些实施方案中，所述至少一个故障分区是受到网络攻击的分区。

在一些实施方案中，所述至少一个SOA服务器被配置成至少部分地基于与所述至少一个客户端ECU相关联的服务质量(QoS)级别来提供所述至少一个服务。

在一些实施方案中，所述至少一个服务选自由以下各项组成的组：i)远程管理服务，ii)远程监控服务，iii)空中下载(OTA)更新服务，iv)对称密码服务，v)非对称密码服务，vi)证书管理服务，vii)中央防火墙服务，viii)安全存储服务，ix)锁定服务，x)入侵检测服务，xi)入侵防御服务，xii)安全处理服务，xiii)证书颁发机构(CA)服务，xiv)通信安全服务，xv)认证服务，xvi)身份管理服务，xvii)密钥管理服务，xviii)更新传播服务，xix)软件恢复服务，xx)软件闪存服务，以及xvii)其任何组合。

在一些实施方案中，所述SOA ECU进一步包括：至少一个模块，所述至少一个模块被配置成收集以下各项中的至少一项：i)车辆相关数据，以及ii)关于所述车辆的至少一个用户的用户相关数据。

在一些实施方案中，所述至少一个模块被进一步配置成引起向与第三方相关联的至少一个电子远程目的地传输所述车辆相关数据、所述用户相关数据或两者；其中，所述至少一个电子远程目的地处于所述车辆外部。

在一些实施方案中，所述SOA ECU被进一步配置成允许以下操作中的至少一项操作：i)将至少一个实时的第一经批准软件变更引入到所述SOA ECU中，ii)将至少一个实时的第二经批准变更引入到所述至少一个SOA服务器中，和iii)将至少一个实时的第三经批准变更引入所述至少一个服务中。

在一些实施方案中，所述至少一个实时的第二经批准变更是以下操作中的至少一项操作：1)实时地向所述至少一个SOA服务器添加至少一个新服务，2)实时地用所述至少一个新服务代替所述至少一个服务，3)实时地从所述至少一个SOA服务器中移除所述至少一个服务，以及4)实时地改变所述至少一个SOA服务器的配置。

在一些实施方案中，所述至少一个实时的第一经批准变更、所述至少一个实时的第二经批准变更以及所述至少一个实时的第三经批准变更从所述车辆外部的至少一个外部源引入。

在一些实施方案中，所述至少一个实时的第一经批准变更、所述至少一个实时的第二经批准变更和所述至少一个实时的第三经批准变更中的至少一个至少部分地基于以下各项之一：i)所述车辆的至少一种车辆特有特性(vehicle-specific characteristic)，ii)所述用户的至少一种用户特有特性(user-specific characteristic)，iii)至少一个用户请求，iv)至少一个服务提供商请求，和v)至少一个制造商请求。

在一些实施方案中，所述至少一个服务在所述车辆的组装期间添加到所述至少一个SOA服务器，并且其中，所述至少一个服务被配置成在所述车辆的寿命期间远程激活特定时间段。

在一些实施方案中，所述至少一个服务被配置成经由对多个不同客户端ECU可用的专用应用程序接口(API)请求来调用。在一些实施方案中，所述至少一个SOA服务器被配置成根据至少一个安全策略向多个不同客户端ECU提供多个服务。

在一些实施方案中，所述至少一个安全策略包括至少一个控制以下各项中的至少一项的规则：i)对特定客户端ECU的访问，ii)由所述特定客户端ECU利用的至少一个特定服务的可用性，iii)至少一个QoS要求，和iv)对所述SOA ECU的特定硬件模块的访问。

在一些实施方案中，所述至少一个模块被进一步配置成在引起传输所述车辆相关数据、所述用户相关数据或两者之前，对所述车辆相关数据、所述用户相关数据或两者执行至少一个动作。

在一些实施方案中，本发明提供了一种包含至少以下步骤的示例性本发明的方法：提供具有面向服务的体系结构的电子控制单元(SOA ECU)，其中，所述SOA ECU包括：至少一个SOA服务器；其中，所述SOA ECU定位在车辆内；其中，所述至少一个SOA服务器被配置成向定位在所述车辆内的至少一个客户端ECU提供至少一个服务；并且其中，所述至少一个SOA服务器被配置成分配至少一个专用处理资源和至少一个专用存储器资源以提供所述至少一个服务。

虽然已经描述了本发明的多个实施方案，但是应该理解，这些实施方案仅是说明性的而非限制性的，并且许多修改对于本领域普通技术人员来说是显而易见的，包括本文所述的发明方法、发明系统和发明装置可以彼此任意组合使用。此外，各个步骤可以以任何期望的顺序执行(并且可以添加任何期望的步骤和/或可以消除任何期望的步骤)。

Claims (30)

1.一种基于面向服务的体系结构实施集中式服务ECU的系统，包括：

具有面向服务的体系结构的电子控制单元SOA ECU；

其中，所述SOA ECU定位在车辆内；

其中，所述SOA ECU包括：

至少一个分区，所述至少一个分区包括：

至少一个SOA服务器；

其中，所述至少一个SOA服务器被配置成向(1)定位在所述车辆内的至少一个客户端ECU、(2)定位在所述车辆外部的至少一个外部客户端或(3)两者提供至少一个服务；

其中，所述至少一个SOA服务器被配置成分配至少一个服务专用处理资源和至少一个服务专用存储器资源以提供所述至少一个服务；和

分离内核；其中，所述分离内核被配置成确保：

i)由至少一个各自的分区专用处理资源分配所述至少一个服务专用处理资源；并且

ii)由至少一个各自的分区专用存储器资源分配所述至少一个服务专用存储器资源。

2.如权利要求1所述的系统，其中，所述SOA ECU进一步包括：

至少一个第一分区，所述至少一个第一分区包括：

至少一个第一SOA服务器；

其中，所述至少一个第一SOA服务器被配置成向至少一个第一客户端ECU提供至少一个第一服务；

其中，所述至少一个第一SOA服务器被配置成分配至少一个第一专用处理资源和至少一个第一专用存储器资源以提供所述至少一个第一服务；

至少一个第二分区，所述至少一个第二分区包括：

至少一个第二SOA服务器；

其中，所述至少一个第二SOA服务器被配置成向至少一个第二客户端ECU提供至少一个第二服务；

其中，所述至少一个第二SOA服务器被配置成分配至少一个第二专用处理资源和至少一个第二专用存储器资源以提供所述至少一个第二服务；

其中，所述至少一个第一分区和所述至少一个第二分区经由分离内核在操作上彼此分离。

3.如权利要求2所述的系统，

其中，所述至少一个第一分区被配置成利用所述至少一个第一专用处理资源和所述至少一个第一专用存储器资源执行至少一个第一OS；并且

其中，所述至少一个第二分区被配置成利用所述至少一个第二专用处理资源和所述至少一个第二专用存储器资源执行至少一个第二OS。

4.如权利要求3所述的系统，

其中，所述至少一个第一专用处理资源和所述至少一个第二专用处理资源是至少一个专用硬件模块的一部分；

其中，所述分离内核被配置成单独地向所述至少一个第一专用处理资源和所述至少一个第二专用处理资源提供分别用于执行所述至少一个第一服务或所述至少一个第二服务的各自单独访问；

其中，所述至少一个第一专用存储器资源和所述至少一个第二专用存储器资源是所述至少一个专用硬件模块的一部分；并且

其中，所述分离内核被配置成单独地向所述至少一个第一专用存储器资源和所述至少一个第二专用存储器资源提供分别用于执行所述至少一个第一服务或所述至少一个第二服务的各自单独访问。

5.如权利要求2所述的系统，其中，所述至少一个第一SOA服务器是安全关键服务器，并且所述至少一个第二SOA服务器是非安全关键服务器。

6.如权利要求2所述的系统，其中，所述至少一个第一客户端ECU与至少一个第一网络相关联；其中，所述至少一个第二客户端ECU与至少一个第二网络相关联；并且其中，所述至少一个第一网络和所述至少一个第二网络是不同的网络。

7.如权利要求2所述的系统，其中，所述分离内核被配置成防止或阻止至少一个故障分区对至少一个非故障分区产生不利影响。

8.如权利要求7所述的系统，其中，所述至少一个故障分区是受到网络攻击的分区。

9.如权利要求1所述的系统，其中，所述至少一个SOA服务器被配置成至少部分地基于与所述至少一个客户端ECU相关联的QoS级别来提供所述至少一个服务。

10.如权利要求1所述的系统，其中，所述至少一个服务选自由以下各项组成的组：

i)远程管理服务，

ii)远程监控服务，

iii)OTA更新服务，

iv)对称密码服务，

v)非对称密码服务，

vi)证书管理服务，

vii)中央防火墙服务，

viii)安全存储服务，

ix)锁定服务，

x)入侵检测服务，

xi)入侵防御服务，

xii)安全处理服务，

xiii)CA服务，

xiv)通信安全服务，

xv)认证服务，

xvi)身份管理服务，

xvii)密钥管理服务，

xviii)更新传播服务，

xix)软件恢复服务，

xx)软件闪存服务，和

xvii)其任何组合。

11.如权利要求1所述的系统，其中，所述SOA ECU进一步包括：

至少一个模块，所述至少一个模块被配置成收集以下各项中的至少一项：

i)车辆相关数据，和

ii)关于所述车辆的至少一个用户的用户相关数据。

12.如权利要求11所述的系统，其中，所述至少一个模块被进一步配置成引起向与第三方相关联的至少一个电子远程目的地传输所述车辆相关数据、所述用户相关数据或两者；其中，所述至少一个电子远程目的地处于所述车辆的外部。

13.如权利要求1所述的系统，其中，所述SOA ECU被进一步配置成允许以下操作中的至少一项操作：

i)将至少一个实时的第一经批准软件变更引入到所述SOA ECU中，

ii)将至少一个实时的第二经批准变更引入到所述至少一个SOA服务器中，和

iii)将至少一个实时的第三经批准变更引入所述至少一个服务中。

14.如权利要求13所述的系统，其中，所述至少一个实时的第二经批准变更是以下操作中的至少一项操作：

1)实时地向所述至少一个SOA服务器添加至少一个新服务，

2)实时地用所述至少一个新服务代替所述至少一个服务，

3)实时地从所述至少一个SOA服务器中移除所述至少一个服务，以及

4)实时地改变所述至少一个SOA服务器的配置。

15.如权利要求14所述的系统，其中，所述至少一个实时的第一经批准变更、所述至少一个实时的第二经批准变更以及所述至少一个实时的第三经批准变更从所述车辆外部的至少一个外部源引入。

16.如权利要求13所述的系统，其中，所述至少一个实时的第一经批准变更、所述至少一个实时的第二经批准变更和所述至少一个实时的第三经批准变更中的至少一个至少部分地基于以下各项之一：

i)所述车辆的至少一种车辆特有特性，

ii)用户的至少一种用户特有特性，

iii)至少一个用户请求，

iv)至少一个服务提供商请求，和

v)至少一个制造商请求。

17.如权利要求1所述的系统，其中，所述至少一个服务在所述车辆的组装期间添加到所述至少一个SOA服务器，并且其中，所述至少一个服务被配置成在所述车辆的寿命期间远程激活特定时间段。

18.如权利要求1所述的系统，其中，所述至少一个服务被配置成经由对多个不同客户端ECU可用的专用API请求来调用。

19.如权利要求1所述的系统，其中，所述至少一个SOA服务器被配置成根据至少一个安全策略向多个不同客户端ECU提供多个服务。

20.如权利要求19所述的系统，其中，所述至少一个安全策略包括至少一个控制以下各项中的至少一项的规则：

i)对特定客户端ECU的访问，

ii)待由所述特定客户端ECU利用的至少一个特定服务的可用性，

iii)至少一个QoS要求，和

iv)对所述SOA ECU的特定硬件模块的访问。

21.如权利要求12所述的系统，其中，所述至少一个模块被进一步配置成在引起传输所述车辆相关数据、所述用户相关数据或两者之前，对所述车辆相关数据、所述用户相关数据或两者执行至少一个动作。

22.一种基于面向服务的体系结构实施集中式服务ECU的方法，包括：

提供具有面向服务的体系结构的电子控制单元SOA ECU；

其中，所述SOA ECU定位在车辆内；

其中，所述SOA ECU包括：

至少一个分区，所述至少一个分区包括：

至少一个SOA服务器；

其中，所述至少一个SOA服务器被配置成向(1)定位在所述车辆内的至少一个客户端ECU、(2)定位在所述车辆外部的至少一个外部客户端或(3)两者提供至少一个服务；

其中，所述至少一个SOA服务器被配置成分配至少一个服务专用处理资源和至少一个服务专用存储器资源以提供所述至少一个服务；和

分离内核；

其中，所述分离内核被配置成确保：

i)由至少一个各自的分区专用处理资源分配所述至少一个服务专用处理资源；并且

ii)由至少一个各自的分区专用存储器资源分配所述至少一个服务专用存储器资源。

23.如权利要求22所述的方法，其中，所述SOA ECU进一步包括：

至少一个第一分区，所述至少一个第一分区包括：

至少一个第一SOA服务器；

其中，所述至少一个第一SOA服务器被配置成向至少一个第一客户端ECU提供至少一个第一服务；

其中，所述至少一个第一SOA服务器被配置成分配至少一个第一服务专用处理资源和至少一个第一服务专用存储器资源以提供所述至少一个第一服务；

至少一个第二分区，所述至少一个第二分区包括：

至少一个第二SOA服务器；

其中，所述至少一个第二SOA服务器被配置成向至少一个第二客户端ECU提供至少一个第二服务；

其中，所述至少一个第二SOA服务器被配置成分配至少一个第二服务专用处理资源和至少一个第二服务专用存储器资源以提供所述至少一个第二服务；

其中，所述至少一个第一分区和所述至少一个第二分区经由分离内核在操作上彼此分离；

其中，所述至少一个第一分区被配置成执行至少一个第一OS；

并且

其中，所述至少一个第一分区的所述至少一个第一OS独立于所述至少一个第二分区操作。

24.如权利要求23所述的方法，

其中，所述至少一个第一SOA服务器是安全关键服务器，并且所述至少一个第二SOA服务器是非安全关键服务器；

其中，所述至少一个第一客户端ECU与至少一个第一网络相关联；其中，所述至少一个第二客户端ECU与至少一个第二网络相关联；并且

其中，所述至少一个第一网络和所述至少一个第二网络是不同的网络。

25.如权利要求23所述的方法，

其中，所述分离内核被配置成防止或阻止至少一个故障分区对至少一个非故障分区产生不利影响；并且

其中，所述至少一个故障分区是受到网络攻击的分区。

26.如权利要求22所述的方法，

其中，所述SOA ECU进一步包括：

至少一个模块，所述至少一个模块被配置成收集以下各项中的至少一项：

i)车辆相关数据，和

ii)关于所述车辆的至少一个用户的用户相关数据；并且

其中，所述至少一个模块被进一步配置成引起向与第三方相关联的至少一个电子远程目的地传输所述车辆相关数据、所述用户相关数据或两者；其中，所述至少一个电子远程目的地处于所述车辆的外部。

27.如权利要求22所述的方法，

其中，所述SOA ECU被进一步配置成允许以下操作中的至少一项操作：

i)将至少一个实时的第一经批准软件变更引入到所述SOA ECU中，

ii)将至少一个实时的第二经批准变更引入到所述至少一个SOA服务器中，和

iii)将至少一个实时的第三经批准变更引入所述至少一个服务中。

28.如权利要求22所述的方法，其中，所述至少一个服务在所述车辆的组装期间添加到所述至少一个SOA服务器，并且其中，所述至少一个服务被配置成在所述车辆的寿命期间远程激活特定时间段。

29.如权利要求22所述的方法，其中，所述至少一个服务被配置成经由对多个不同客户端ECU可用的专用API请求来调用。

30.如权利要求22所述的方法，

其中，所述至少一个SOA服务器被配置成根据至少一个安全策略向多个不同客户端ECU提供多个服务；并且

其中，所述至少一个安全策略包括至少一个控制以下各项中的至少一项的规则：

i)对特定客户端ECU的访问，

ii)待由所述特定客户端ECU利用的至少一个特定服务的可用性，

iii)至少一个QoS要求，和

iv)对所述SOA ECU的特定硬件模块的访问。

Images