CN110920560A - 云授权车辆控制 - Google Patents

云授权车辆控制 Download PDF

Info

Publication number
CN110920560A
CN110920560A CN201910871757.0A CN201910871757A CN110920560A CN 110920560 A CN110920560 A CN 110920560A CN 201910871757 A CN201910871757 A CN 201910871757A CN 110920560 A CN110920560 A CN 110920560A
Authority
CN
China
Prior art keywords
vehicle
command
response
server
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910871757.0A
Other languages
English (en)
Inventor
卡尔·南森·克拉克
詹森·迈克尔·米勒
叶歆
詹姆斯·迈克尔·温弗特尔
维吉亚巴布·杰亚拉曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ford Electric Mach Technology Nanjing Co ltd
Ford Global Technologies LLC
Original Assignee
Ford Global Technologies LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ford Global Technologies LLC filed Critical Ford Global Technologies LLC
Publication of CN110920560A publication Critical patent/CN110920560A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00507Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks keyless data carrier having more than one function
    • G07C2009/00547Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks keyless data carrier having more than one function starting ignition
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00555Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks comprising means to detect or avoid relay attacks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/025Services making use of location information using location based information parameters

Abstract

本公开提供了“云授权车辆控制”。一种车辆,包括控制器,其被编程为:响应于从非客户方接收命令,基于所述命令和预定义的车辆参数向服务器发送授权请求;以及响应于从所述服务器接收签名命令,执行所述签名命令。

Description

云授权车辆控制
技术领域
本公开总体上涉及车辆命令认证系统。更具体地,本公开涉及一种用于请求和接收由云系统授权的签名命令的车辆系统。
背景技术
许多车辆都被提供了远程控制特征,从而允许车辆接收命令以执行诸如远程启动和远程软件更新等各种功能。然而,远程控制特征可能容易受到来自未经授权方的命令的影响。未经授权的用户可以将未经授权的远程启动命令发布到车辆网络上,使得车辆将接收并执行命令而不考虑其真实性。
发明内容
在本公开的一个或多个说明性实施例中,一种车辆包括控制器,其被编程为响应于从非客户方接收命令,基于所述命令和预定义的车辆参数向服务器发送授权请求;以及响应从服务器接收签名命令,执行所述签名命令。
在本公开的一个或多个说明性实施例中,一种用于车辆的方法包括:响应于满足前提条件,检测由车辆内的控制器引起的非客户发起的命令;基于非客户发起的命令生成授权和认证请求;向服务器发送授权和认证请求;接收授权和验证所述非客户发起的命令的签名命令;以及执行签名命令。
在本公开的一个或多个说明性实施例中,一种车辆系统包括控制器,所述控制器被编程为:响应于从非客户方无线地接收数据文件,基于数据文件向独立于非客户方的服务器发送授权和认证请求;以及响应于从服务器接收签名命令,将数据文件分配给ECU。
附图说明
为了更好地理解本发明并示出可以如何执行本发明,现在将参考附图仅通过非限制性示例来描述其实施例,在附图中:
图1示出了本公开的一个实施例的车辆系统的示例性框式拓扑图;
图2示出了本公开的一个实施例的车辆命令授权和认证系统的示例性框图;
图3示出了本公开的一个实施例的命令授权和认证过程的示例性流程图;并且
图4示出了本公开的一个实施例的车辆和云之间的示例性数据流程图。
具体实施方式
根据需要,本文公开了本发明的详细实施例;然而,应理解,所公开的实施例仅仅是可以体现为各种和替代形式的本发明的示例。附图不一定按比例绘制;一些特征可被放大或最小化以示出特定部件的细节。因此,本文中公开的具体结构细节和功能细节不应被解释为是限制性的,而是仅仅作为教导本领域技术人员以不同方式采用本发明的代表性基础。
本公开通常提供多个电路或其他电气装置。所有对电路和其他电气装置和由其各自提供的功能的提及不旨在仅限于涵盖本文中所示出和所描述的那些。虽然可以将特定标签指派给各种电路或其他电气装置。此类电路和其他电气装置可以基于所需的特定类型的电气实现方式彼此组合和/或以任何方式分离。应认识到,本文中公开的任何电路或其他电气装置可以包括任何数量的微处理器、集成电路、存储器装置(例如,闪存、随机存取存储器(RAM)、只读存储器(ROM)、电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或其他合适的变型)和软件,它们彼此协作以执行本文中公开的操作。另外,电气装置中的任何一个或多个可被配置成执行体现在非暂时性计算机可读介质中的计算机程序,所述非暂时性计算机可读介质被编程为执行所公开的任何数量的功能。
除了别的以外,本公开提出了一种车辆远程指令授权系统。客户发起的命令可以包括由车辆的所有者或其他授权用户接收的命令。通常,此类命令从客户发送以供车辆执行。来自客户的命令通常是从经认证装置发送的,因此不需要进行额外的验证。与此类命令相比,本公开提出了一种用于在对车辆执行命令之前经由云来授权和认证非客户发起的命令的车辆系统。例如,非客户发起的命令可以包括从车辆制造商或经销商接收的命令。
参考图1,示出了本公开的一个实施例的车辆命令授权和认证系统100的示例性框式拓扑图。车辆102可以包括各种类型的汽车、跨界多功能车(CUV)、运动型多功能车(SUV)、卡车、休闲车(RV)、班车、船、飞机或者用于运输人或货物的其他移动机器。在许多情况下,车辆102可以由电动马达提供动力。作为另一种可能性,车辆102可以是由内燃发动机和一个或多个电动马达两者提供动力的混合动力电动车辆(HEV),诸如串联式混合动力电动车辆(SHEV)、并联式混合动力电动车辆(PHEV)或并联式/串联式混合动力车辆(PSHEV)、船、飞机或用于运输人员或货物的其他移动机器。作为示例,车辆102可以包括由密歇根州迪尔伯恩的福特汽车公司制造的SYNC系统。
如图1中所示出,车辆102的计算平台104可以包括一个或多个处理器112,所述一个或多个处理器被配置成执行支持本文所述的过程的指令、命令和其他例程。例如,计算平台104可以被配置成执行车辆应用程序108的指令以提供诸如导航、远程命令处理、授权和认证等特征。可使用多种类型的计算机可读存储介质106以非易失性方式保存此类指令和其他数据。计算机可读介质106(也称为处理器可读介质或存储装置)包括参与提供可由计算机平台104的处理器112读取的指令或其他数据的任何非暂时性介质(例如,有形介质)。可根据使用多种编程语言和/或技术创建的计算机程序来编译或解译计算机可执行指令,所述多种编程语言和/或技术单独地或组合地包括但不限于:Java、C、C++、C#、ObjectiveC、Fortran、Pascal、Java Script、Python、Perl和PL/SQL。
计算平台104可以设置有允许车辆乘员/用户与计算平台104介接的各种特征。例如,计算平台104可以从人机界面(HMI)控件126接收输入,所述人机界面(HMI)控件126被配置成提供乘员与车辆102的交互。作为示例,计算平台104可以与被配置成调用计算平台104上的功能的一个或多个按钮(未示出)或其他HMI控件(例如,方向盘音频按钮、按键通话按钮、仪表板控件等)介接。
计算平台104还可以驱动一个或多个显示器116或以其他方式与其通信,所述一个或多个显示器116被配置成通过视频控制器114向车辆乘员提供视觉输出。在一些情况下,显示器116可以是触摸屏,所述触摸屏还被配置成经由视频控制器114接收用户触摸输入,而在其他情况下,显示器116可能仅仅是显示器,而无触摸输入能力。计算平台104还可以驱动或以其他方式与一个或多个扬声器122通信,所述一个或多个扬声器被配置成通过音频控制器120来向车辆乘员提供音频输出。还可以通过位置控制器向计算平台104提供位置特征,诸如全球定位系统(GPS)控制器124,其被配置成与多个卫星通信以计算车辆102的位置。注意,位置控制器可以被配置成支持在世界各地使用的其他无线电导航系统,例如包括GALILEO、GLONASS和北斗导航卫星系统。
计算平台104还可以设置有无线收发器132,所述无线收发器与WiFi控制器124、近场通信(NFC)控制器128、蓝牙控制器以及诸如Zigbee收发器、IrDA收发器(未示出)等其他控制器通信,所述控制器被配置成与各种装置的兼容无线收发器通信。
计算平台104还可以被配置成经由一个或多个车载网络170与各种电子控制单元(ECU)142通信。作为一些示例,车载网络140可以包括但不限于以下各项中的一者或多者:控制器局域网(CAN)、以太网网络和面向媒体的系统传输(MOST)。
计算平台104可与被配置成控制并操作车辆102的各种功能的多种ECU 142通信。作为一些非限制性示例,ECU 142可以包括远程信息处理控制单元(TCU)144,其被配置成经由调制解调器146通过无线连接166无线连接到无线网络160;动力传动系统控制模块(PCM),其被配置成控制动力传动系统,包括车辆102的发动机/电动马达和变速器;以及电池电气控制模块(BECM)150,其被配置成控制车辆电池的操作。例如,车辆102可包括被配置成向各种电气部件供电的传统铅酸电池,以及在车辆102是由BECM 150监测并控制的电动车辆的情况下的高功率牵引电池。
TCU 144可以被配置成通过无线连接166经由无线网络160与各方通信。例如,TCU144可以被配置成经由无线网络160与非客户164和后端云162通信。非客户164还可以通过无线连接172直接经由无线收发器132与计算平台104通信。非客户164可以是与车辆102相关联的车辆制造商或车辆经销商。可以授权非客户164与车辆102通信以传送各种命令和数据文件(非客户发起的数据/命令)以执行诸如车辆软件更新、远程门上锁/解锁命令、远程启动命令等等的功能。出于安全原因,可以加密从非客户164接收的数据,并且计算平台104可被配置成解密数据。另外或替代地,车辆102还可以设置有加密控制器(未示出),所述加密控制器与计算平台104通信并且被配置成对发送到各方或从各方接收的数据执行加密和解密。
计算平台104还可以被配置成在允许非客户发起的命令和数据被执行或分配给目标ECU之前经由后端云162执行授权和认证。例如,响应于从非客户164接收数据,计算平台104可以使用TCU 144通过无线网络160请求经由后端云162认证数据。后端云162可以包括由车辆制造商或经授权方操作的一个或多个计算机和服务器,其被配置成响应于接收车辆请求而执行授权和认证。响应于成功的授权和认证,后端云162可以将签名命令发送回到车辆102。车辆102可以被配置成执行签名命令,但不执行未签名或错误签名的命令。
参考图2,示出了车辆命令授权和认证系统200的示例性框图。作为车辆命令授权和认证系统200的操作的一般示例,车辆102的计算平台104可以通过无线传输从非客户164接收非客户发起的数据202。例如,非客户发起的数据可以是加密的软件更新,包括由与车辆102或目标ECU 142相关联的车辆或零件制造商的用于目标ECU 142的命令和文件。然而,由于车辆配置的无线特性,还可能从诸如黑客的未经授权方发送非客户发起的数据。非客户发起的数据可能包含未授权的命令和包含恶意软件和病毒的受损文件,这些文件可能潜在地对目标ECU 142以及车辆102的其他部件造成损害。替代地,可以从包含未经批准的软件更新的未授权商店发送非客户发起的数据,所述未经批准的软件更新可能对使用有潜在危险。因此,需要认证和批准。为了验证从非客户164接收的数据的真实性,计算平台104可以向后端云162发送授权和认证请求204并且要求发出签名的车辆命令。出于安全原因,计算平台104可以被配置成不执行或分配任何非客户发起的数据,除非接收到验证非客户发起的数据的真实性的来自后端云162的签名命令。
作为另一替代示例,非客户发起的命令可以由车辆102内的ECU 142经由诸如计时器的触发机制和/或在软件中设置的其他前提条件自感应。例如,响应于检测到新软件文件已被完全下载,车辆102可以尝试对目标ECU 142进行编程并且需要通过触发命令来启动车载网络140。在执行之前,将需要对该车辆自触发命令进行授权和认证。因此,响应于触发的感应,计算平台104可以在BECM 150执行启动命令之前向云发送触发以进行授权和认证。
后端云162通常可响应于从车辆102接收请求204而执行授权206和认证208。在授权操作206处,后端云162可以验证车辆102是否被授权使用各种参数来执行所请求的操作(例如,更新ECU软件),所述各种参数包括:车辆运行状态、电池电量、车辆位置等。例如,后端服务器164可以使用来自BECM 150的电池荷电电量来确定车辆102是否具有足够的电池电力执行所请求的操作。响应于成功的授权206,后端云还可以验证非客户发起的数据是否是真实的而非被修改的并且它来自经授权的非客户方。可以利用各种技术来执行认证,且那些技术的一些非限制性示例包括使用数字签名、散列、加密和地理定位验证。响应于成功认证,后端云162可以生成签名命令并将签名命令210发送回到车辆102以供执行。
响应于从后端云接收签名命令,计算平台104可以将签名命令分配212到目标ECU142以供执行从而更新软件。作为示例,计算平台104和目标ECU 142之间的通信可以经由ISO 15762(CAN传输层)技术来实现,其允许车辆102的现有ECU 142采用具有最小软件变化的云授权技术。注意,计算平台104可以被配置成不直接执行或分配从非客户方164接收的任何数据/命令,而无需从后端云162请求和接收签名命令。
参考图3,在车辆上实现的过程200的示例性流程图。尽管在以下描述中在计算平台104上实现过程200,但应注意,相同或基本上相同的过程可完全或部分地在参考图1和图2示出或未示出的车辆102的其他部件上。在操作302处,计算平台104接收由非客户164发起的数据/命令。例如,非客户发起的数据可以包括从汽车制造商或经销商发送的目标ECU142的软件更新。另外或替代地,非客户发起数据可以包括指示车辆102执行诸如以下各种操作的各种命令:检查车辆健康状况、接通特定车辆部件的电力、启动车辆、报告车辆位置等。计算平台104可以将非客户发起的数据存储在存储装置106中作为车辆数据110的一部分。在操作304处,计算平台104向后端云162发送授权和认证请求。授权和认证请求可以包括关于非客户发起的命令的信息(诸如命令ID和类型),以及关于非客户164的信息(诸如非客户ID、IP地址、位置等)。授权和认证请求还可以包括到后端云162的一个或多个预定义的车辆参数以用于分析目的。预定义的车辆参数的一些示例可包括车辆识别号码(VIN)、电池荷电状态、车辆位置和当前车辆操作状态。
依据特定的非客户发起的命令,后端云162可以请求关于车辆102的其他信息以进行授权和认证。例如,在操作306处,计算平台104从后端云162接收对更多车辆参数的请求。以ECU软件更新为例,后端云可以请求关于目标ECU 142的当前软件版本和事件日志的参数,以确定是否授权和认证非客户发起的命令。作为响应,在操作308处,计算平台104从车辆102的各种部件收集所请求的参数,并向后端云162发送所请求的参数。
如果后端云162出于任何原因拒绝授权和认证请求并且计算平台104在操作310处接收到拒绝,则所述过程进行到操作312并且计算平台104从存储装置106中删除非客户发起的数据/命令。另外,计算平台104可以经由无线网络160向当局报告可能的安全漏洞。如果后端云162批准所述请求,则可以发出签名命令并将所述签名命令发送到计算平台104。在操作314处,计算平台104从后端云162接收签名命令。签名命令可能带有一个条件,例如授权在特定时间段内执行签名命令的时间范围(例如24小时)。例如,当计算平台104从后端云162接收签名命令时,车辆102可以由用户使用。诸如更新ECU软件的操作可以仅在车辆102未使用时执行,且因此在接收到签名命令之后不能立即执行。
在操作316处,计算平台104确定车辆102是否正被使用。这可以通过各种机制来完成。例如,计算平台104可以与PCM 148和/或BECM 150通信以验证车辆102是否在使用中。如果车辆102正在使用中,则计算平台104等到车辆102不再使用并且过程进行到操作318。计算平台104还检查时间是否在后端云162授权的时间范围内。计算平台104可以被配置成只要在时间范围内开始执行签名命令就允许继续进行。替代地,如果可用,计算平台104还可以考虑预测运行时间(例如,预测ECU更新花费长达30分钟),使得命令执行过程在批准的时间范围内完成。如果不能满足授权的时间范围条件,则所述过程返回到操作304,且计算平台104向后端云162重新发送授权和认证请求。如果时间仍在授权时间范围内,则过程进行到操作320,且计算平台104执行从后端云接收的签名命令。如果涉及任何ECU 142,则计算平台104还将签名命令分配给目标ECU 142以执行。
由于车辆102可能在诸如ECU更新的过程期间不被使用,所述过程可能持续延长的时间段,从而给用户带来不便,因此计算平台还可以被配置成当预测到车辆102将在至少所述延长的时间段内不被使用时预留时间来执行命令过程的操作。例如,计算平台可以使用来自GPS控制器118的位置数据来生成用户的使用模式,且仅响应于确定车辆停放在用户家附近而执行操作。
参考图4,示出了车辆102和后端云162之间的示例性数据流程图400。继续参考图1到图3,在操作402处,车辆102接收非客户发起的命令。作为响应,在操作404处,计算平台104向后端云162发送授权和认证请求连同预定义的车辆参数,以获得签名命令。响应于接收授权和认证请求以及各种参数,后端云162使用所述各种参数评估所述请求。例如,如果后端云162确定用于ECU软件更新的非客户发起的命令将花费长达30分钟来完成,但是当前车辆电池荷电量较低且仅足以为更新过程供应电力达20分钟,则后端云162可拒绝授权签名命令。替代地,在操作406处,后端云162有条件地授权请求。所述条件可以包括计算平台执行命令的时间范围。另外,采用上述低电池示例,后端云可以发出有条件的批准,即只有当电池荷电量高于一定电量(例如50%)时才能执行签名命令。批准条件还可以包括地理定位边界,在所述地理定位边界内可以执行签名命令。例如,各国的排放法规和法律各不相同。在某些国家可能准许更新ECU并改变车辆排放的非客户发起的命令,但其他国家不准许。
在操作408处,后端云162认证非客户发起命令。例如,后端云162可以使用IP地址和/或数字签名验证来验证非客户发起的命令来自经授权方。后端云162还可以使用数字签名技术来验证非客户发起的命令本身是否是真实的且尚未受到损害。响应于成功认证,后端云162生成签名命令,并在操作410处将签名命令连同授权条件一起发送回到计算平台104。作为示例,可以使用Rivest-Shamir-Adleman(RSA)或椭圆曲线数字签名算法(ECDSA)数字签名技术来生成签名命令。响应于接收签名命令,计算平台104在授权条件被附加到签名命令之后执行签名命令。
虽然上文描述了示例性实施例,但这并不表明这些实施例描述了本发明的所有可能形式。相反,在说明书中使用的词语是描述性词语而非限制性词语,并且应理解,在不脱离本发明的精神和范围的情况下,可以做出各种改变。另外,可以组合各种实现的实施例的特征以形成本发明的其他实施例。
根据本发明的实施例,控制器还被编程为响应于预测车辆将不会在至少签名命令的预测执行时间内使用,执行所述签名命令。
根据实施例,控制器还被编程为生成车辆的使用模式。
根据实施例,上述发明的特征还在于:接收指示授权执行签名命令的时间范围的时间条件;且响应于未能在时间范围内执行签名命令,重新发送授权和认证请求。
根据实施例,控制器还被编程为响应于从服务器接收到指示数据文件不真实的拒绝,删除数据文件并向服务器报告错误事件。

Claims (15)

1.一种车辆,其包括:
控制器,其被编程为
响应于从非客户方接收命令,基于所述命令和预定义的车辆参数向服务器发送授权请求;以及
响应于从所述服务器接收签名命令,执行所述签名命令。
2.根据权利要求1所述的车辆,其中所述控制器还被编程为延迟所述签名命令的执行,直到所述车辆未在使用中。
3.根据权利要求1所述的车辆,其中所述控制器还被编程为将所述签名命令分配给所述车辆的电子控制单元(ECU)。
4.根据权利要求3所述的车辆,其中所述控制器和所述ECU之间的通信经由ISO 15762标准实现。
5.根据权利要求1所述的车辆,其中所述控制器还被编程为响应于从所述服务器接收对额外车辆参数的请求,收集所述额外车辆参数并向所述服务器发送所述额外车辆参数。
6.根据权利要求1所述的车辆,其中所述预定义的车辆参数包括以下各项中的至少一者:车辆识别号码(VIN)、车辆位置、车辆电池荷电电量或车辆软件版本。
7.根据权利要求1所述的车辆,其中所述控制器还被编程为:
从所述服务器接收用于执行所述签名命令的条件;以及
响应于所述条件的发生,执行所述签名命令。
8.根据权利要求7所述的车辆,其中所述签名命令的所述条件包括以下各项中的至少一者:时间条件、电池荷电条件或地理定位条件。
9.根据权利要求8所述的车辆,其中所述控制器还被编程为在所述时间条件内开始执行所述签名命令。
10.根据权利要求1所述的车辆,其中所述控制器还被编程为,
响应于检测到所述车辆未在使用中,执行所述签名命令;
响应于预测所述车辆将不会在至少所述签名命令的预测执行时间内使用,执行所述签名命令;以及
生成所述车辆的使用模式。
11.一种用于车辆的方法,其包括:
响应于满足前提条件,检测由所述车辆内的控制器引起的非客户发起的命令;
基于所述非客户发起的命令生成授权和认证请求;
向服务器发送所述授权和认证请求;
接收授权和验证所述非客户发起的命令的签名命令;以及
执行所述签名命令。
12.根据权利要求11所述的方法,其还包括:
从所述服务器接收对额外车辆参数的请求;以及
向所述服务器发送所请求的所述额外车辆参数。
13.根据权利要求11所述的方法,其还包括:
将所述签名命令分配给ECU以供执行;
接收指示授权执行所述签名命令的时间范围的时间条件;以及
响应于未能在所述时间范围内执行所述签名命令,重新发送所述授权和认证请求。
14.根据权利要求11所述的方法,其中使用以下数字签名技术中的一者生成所述签名命令:Rivest-Shamir-Adleman(RSA)或椭圆曲线数字签名算法(ECDSA)。
15.一种车辆系统,其包括:
控制器,其被编程为,
响应于从非客户方无线接收数据文件,基于所述数据文件向独立于所述非客户方的服务器发送授权和认证请求,
响应于从所述服务器接收签名命令,将所述数据文件分配给ECU;以及
响应于从所述服务器接收指示所述数据文件不真实的拒绝,删除所述数据文件并向服务器报告错误事件。
CN201910871757.0A 2018-09-18 2019-09-16 云授权车辆控制 Pending CN110920560A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/133,875 US10834199B2 (en) 2018-09-18 2018-09-18 Cloud authorized vehicle control
US16/133,875 2018-09-18

Publications (1)

Publication Number Publication Date
CN110920560A true CN110920560A (zh) 2020-03-27

Family

ID=69646512

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910871757.0A Pending CN110920560A (zh) 2018-09-18 2019-09-16 云授权车辆控制

Country Status (3)

Country Link
US (1) US10834199B2 (zh)
CN (1) CN110920560A (zh)
DE (1) DE102019124914A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112597447A (zh) * 2020-12-15 2021-04-02 广州橙行智动汽车科技有限公司 车载服务授权激活方法、装置及车辆
CN114162063A (zh) * 2020-09-10 2022-03-11 动态Ad有限责任公司 运载工具、用于运载工具的方法和存储介质
CN114162064A (zh) * 2020-09-10 2022-03-11 动态Ad有限责任公司 运载工具、配电单元进行的方法和存储介质

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3968603A1 (en) * 2020-09-11 2022-03-16 Volkswagen Ag Controlling privacy settings of a communication between a vehicle and a backend cloud device
JP7250056B2 (ja) * 2021-03-09 2023-03-31 本田技研工業株式会社 制御システム、移動体及び通信制御方法
CN113179298A (zh) * 2021-04-19 2021-07-27 广州易点智慧出行科技有限公司 车辆的控制方法、车辆系统及计算机可读存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4507884B2 (ja) 2005-01-11 2010-07-21 トヨタ自動車株式会社 遠隔制御システム及び遠隔制御装置を備える車両
US8863256B1 (en) * 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
JP5999108B2 (ja) 2012-01-25 2016-09-28 トヨタ自動車株式会社 車両遠隔操作情報提供装置、車載遠隔操作情報取得装置及びこれらの装置を備えた車両遠隔操作システム
WO2015048811A2 (en) 2013-09-30 2015-04-02 Schneider Electric Industries Sas Cloud-authenticated site resource management devices, apparatuses, methods and systems

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114162063A (zh) * 2020-09-10 2022-03-11 动态Ad有限责任公司 运载工具、用于运载工具的方法和存储介质
CN114162064A (zh) * 2020-09-10 2022-03-11 动态Ad有限责任公司 运载工具、配电单元进行的方法和存储介质
CN112597447A (zh) * 2020-12-15 2021-04-02 广州橙行智动汽车科技有限公司 车载服务授权激活方法、装置及车辆

Also Published As

Publication number Publication date
US20200092375A1 (en) 2020-03-19
US10834199B2 (en) 2020-11-10
DE102019124914A1 (de) 2020-03-19

Similar Documents

Publication Publication Date Title
US10834199B2 (en) Cloud authorized vehicle control
US20220070159A1 (en) Secure vehicle control unit update
US11618394B2 (en) Vehicle secure messages based on a vehicle private key
CN106487778B (zh) 车载网络服务器远程信息处理系统和方法
CN106240522B (zh) 自主车辆防盗
CN107145324B (zh) 用于连接的应用安全的安全隧道
US10484349B2 (en) Remote firewall update for on-board web server telematics system
US9253200B2 (en) Programming vehicle modules from remote devices and related methods and systems
US9374355B2 (en) Programming vehicle modules from remote devices and related methods and systems
CN107786683B (zh) 移动装置网络地址服务器更新
US9464905B2 (en) Over-the-air vehicle systems updating and associate security protocols
US20180326947A1 (en) Operating a key fob in a car sharing system
CN107819737B (zh) 使用策略来管理移动装置对车辆系统的控制
US11196560B2 (en) Policy and token based authorization framework for connectivity
US20150200804A1 (en) In-vehicle apparatus for efficient reprogramming and control method thereof
US10939296B2 (en) Vehicle smart connection
US10124766B2 (en) Method for controlling the operation of at least one functional component of a motor vehicle and motor vehicle
CN113885467A (zh) 检测并解决认证消息中的行程计数器值的去同步
US11572056B2 (en) Blockchain based ecosystem for emission tracking of plug in hybrid vehicles
CN113365885B (zh) 用于停用机动车的方法、用于机动车的停用系统和机动车
CN112437433A (zh) 装置与车辆之间基于传感器的配对
CN110557256A (zh) 临时和定制的车辆访问
US10997799B2 (en) Method and apparatus for leveraging wireless connectivity for pre-service preparation in service lanes

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20221031

Address after: Dearborn, Michigan, USA

Applicant after: Ford Global Technologies, LLC

Applicant after: Ford Electric Mach Technology (Nanjing) Co.,Ltd.

Address before: Dearborn, Michigan, USA

Applicant before: Ford Global Technologies, LLC