CN114844764B - 一种网络安全功能检测的方法及相关设备 - Google Patents

Abstract

一种网络安全功能检测的方法及相关设备，网络安全功能检测装置在第一情形下向车辆的各个电子控制单元发送查询请求，以请求所述各个电子控制单元的网络安全功能的状态信息，所述第一情形包括在所述车辆启动时或在接收到第一指示信息时，所述第一指示信息指示对所述各个电子控制单元的网络安全功能的状态进行检查；所述装置接收所述各个电子控制单元发送的所述网络安全功能的状态信息；以及当基于所接收的状态信息确定所述车辆中存在所述网络安全功能未处于激活状态的第一电子控制单元时，所述装置执行安全操作。以获知网络安全功能状态是否处于激活状态，如果未处于激活状态，则所述装置可执行安全操作，以保证车辆的使用安全。

Description

一种网络安全功能检测的方法及相关设备

技术领域

本发明涉及智能网联汽车技术领域，特别是一种网络安全功能检测的方法及相关设备。

背景技术

随着汽车网联化需求的演进，其网络安全逐步变成汽车的关键特性。汽车各部件的电子控制单元(Eectronic Cntrol Uit，ECU)作为“行车电脑”，可控制被控对象的工作，为了保证ECU可以正常运行，ECU中存储有网络安全功能(又称为网络安全特性功能、网络安全开关或网络安全使能状态开关)，通过网络安全功能可对ECU接收到的命令进行校验，以阻止非法命令对ECU的控制。为了避免网络安全问题影响正常业务测试，以及避免已有产线因为增加网络安全校验而增加大量金钱成本和时间成本，汽车制造商有着在整车生产阶段中汽车的网络安全功能不生效的客观诉求。因此，汽车制造商可能会要求供应商提供的零部件处于默认禁止打开部分网络安全功能的状态(即网络安全功能处于“禁止态”)，然后在整车出厂阶段再将零部件的网络安全功能打开(即网络安全功能处于“激活态”)。另外，在维修阶段诊断仪通过统一诊断服务(Unified Diagnostic Services，简称UDS)可以对零部件的网络安全功能进行激活设置。

现有技术存在一个安全风险，如果在整车出厂阶段或在维修阶段，处于关闭状态的ECU的网络安全功能未能被打开就交付用户使用，用户因为无法获知网络安全功能的状态，仍然会正常使用车辆。此时，由于网络安全功能无法对接收到的命令进行校验，因此无法阻止非法命令对ECU的控制。这样就会使得车辆安全完全暴露在公共网络中，公共网络中的非法命令能够对ECU及车辆进行控制，产生很大的安全风险。

发明内容

鉴于现有技术的以上问题，本申请提供一种网络安全功能检测的方法以及相关设备，以能在用户使用车辆过程中防止车辆安全暴露在公共网络中，避免潜在安全风险的发生。

本申请第一方面提供一种网络安全功能检测的方法，包括：在第一情形下向车辆中的各个目标电子控制单元发送查询请求，以请求所述各个目标电子控制单元的网络安全功能的状态信息，其中，所述第一情形包括在所述车辆启动时或在接收到第一指示信息时，所述第一指示信息指示对所述各个目标电子控制单元的网络安全功能的状态进行检查；接收所述各个目标电子控制单元发送的状态信息；当基于所接收的状态信息确定所述各个目标电子控制单元中存在所述网络安全功能未处于激活状态的第一电子控制单元时，执行安全操作。由上，用户在车辆的使用过程中，每次在启动车辆时，或者收到第一指示信息时，都会请求各个电子控制单元的网络安全功能的状态信息，以获知电子控制单元的网络安全功能状态是否处于激活状态。如果有电子控制单元的网络安全功能未处于激活状态，则可执行安全操作，以保证车辆的使用安全。

作为第一方面一种可能的实现方式，执行安全操作包括：发出告警信息。由此，用户能够在查询到车辆中存在网络安全功能未处于激活状态时，能够了解车辆的安全完全暴露在公共网络中，如果继续使用车辆可能会产生很大的安全风险。

作为第一方面一种可能的实现方式，执行安全操作还包括：接收来自用户的第二指示信息，所述第二指示信息指示修复所述第一电子控制单元的网络安全功能的状态；以及基于所述第二指示信息，将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。由此，当用户收到告警信息，获知车辆的网络安全功能未激活时，可以发出第二指示信息，以能够激活网络安全功能，从而使车辆处于网络安全功能的保护中，阻止非法命令的控制，避免风险的发生。

作为第一方面一种可能的实现方式，执行安全操作包括：将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。由此，当检查出有网络安全功能未处于激活状态时，可以直接对网络安全功能进行修复设置。以使用户驾驶车辆时，网络安全功能处于激活态，以保证车辆安全，避免风险的发生。

作为第一方面一种可能的实现方式，还包括：在将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态之后，向所述车辆的所述各个目标电子控制单元发送所述查询请求。由此，可以在对未激活的网络安全功能进行修复设置后，再次对网络安全功能的状态进行查询，以防止修复设置失败，车辆安全暴露在公网中，避免用户使用车辆时所面临的潜在风险。

作为第一方面一种可能的实现方式，所述第一指示信息是从远程终端设备或所述车辆的人机交互设备接收的。由此，用户不论是处于车内还是在车外，当用户发现车辆出现异常，可能存在车辆电子控制单元的网络安全功能未激活时，可以通过远程终端设备或者车辆的人机交互设备发出第一指示信息，以对网络安全功能的状态进行查询。

作为第一方面一种可能的实现方式，所述第二指示信息是从远程终端设备或所述车辆的人机交互设备接收的。由此，用户不论是处于车内还是在车外，当车辆电子控制单元的网络安全功能未激活时，用户可以通过远程终端设备或者车辆的人机交互设备发出第二指示信息，以对网络安全功能的状态进行修复设置，以使车辆安全处于网络安全功能的保护中，避免用户使用车辆时所面临的潜在风险。

作为第一方面一种可能的实现方式，发出告警信息包括：向远程终端设备或所述车辆的人机交互设备发送所述告警信息。由此，用户不论在车内还是在车外，都可以通过远程终端设备或车辆的人机交互设备来获得告警信息，以使用户能够及时了解车辆状态。

本申请第二方面提供一种网络安全功能检测装置，包括：查询模块，用于在第一情形下向车辆中的各个目标电子控制单元发送查询请求，以请求所述各个目标电子控制单元的网络安全功能的状态信息，其中，所述第一情形包括在所述车辆启动时或在接收到第一指示信息时，所述第一指示信息指示对所述各个目标电子控制单元的网络安全功能的状态进行检查；接收模块，用于接收所述各个目标电子控制单元发送的状态信息；执行模块，用于当基于所接收的状态信息确定所述各个目标电子控制单元中存在所述网络安全功能未处于激活状态的第一电子控制单元时，执行安全操作。由上，用户在车辆的使用过程中，每次在启动车辆时，或者网络安全功能检测装置收到第一指示信息时，查询模块都会请求各个电子控制单元的网络安全功能的状态信息，以获知电子控制单元的网络安全功能状态是否处于激活状态。如果有电子控制单元的网络安全功能未处于激活状态，则执行模块可执行安全操作，以保证车辆的使用安全。

作为第二方面一种可能的实现方式，所述执行模块包括：告警单元，用于发出告警信息。由此，用户能够在查询到车辆中存在网络安全功能未处于激活状态时，能够了解车辆的安全完全暴露在公共网络中，如果继续使用车辆可能会产生很大的安全风险。

作为第二方面一种可能的实现方式，所述执行模块还包括：接收单元，用于接收来自用户的第二指示信息，所述第二指示信息指示修复所述第一电子控制单元的网络安全功能的状态；以及设置单元，用于基于所述第二指示信息，将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。由此，当用户收到告警信息，获知车辆的网络安全功能未激活时，可以发出第二指示信息，使设置单元能够激活网络安全功能，从而使车辆处于网络安全功能的保护中，避免风险的发生。

作为第二方面一种可能的实现方式，所述执行模块进一步用于：将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。由此，当查询模块检查出有网络安全功能未处于激活状态时，执行模块可以直接对网络安全功能进行修复设置。以使用户驾驶车辆时，网络安全功能处于激活态，从而保障车辆安全，避免风险的发生。

作为第二方面一种可能的实现方式，所述查询模块进一步用于：所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态后，向所述车辆的各个电子控制单元发送查询请求。由此，可以在执行模块对未激活的网络安全功能进行修复设置后，再次对网络安全功能的状态进行查询，以能在修复设置失败后，使用户能够及时发现，避免用户误认为车辆处于网络安全功能的保护中，在驾驶车辆时面临潜在的安全风险。

作为第二方面一种可能的实现方式，所述第一指示信息是所述网络安全功能检测装置从远程终端设备或所述车辆的人机交互设备接收的。由此，用户不论是处于车内还是在车外，当用户发现车辆出现异常，可能存在车辆电子控制单元的网络安全功能未激活时，可以通过远程终端设备或者车辆的人机交互设备发出第一指示信息，以对网络安全功能的状态进行查询。

作为第二方面一种可能的实现方式，所述第二指示信息是所述接收单元从远程终端设备或所述车辆的人机交互设备接收的。由此，用户不论是处于车内还是在车外，当车辆电子控制单元的网络安全功能未激活时，用户可以通过远程终端设备或者车辆的人机交互设备发出第二指示信息，以对网络安全功能的状态进行修复设置，以使车辆安全处于网络安全功能的保护中，避免用户使用车辆时所面临的潜在风险。

作为第二方面一种可能的实现方式，所述告警单元进一步用于：向远程终端设备或所述车辆的人机交互设备发送所述告警信息。由此，用户不论在车内还是在车外，都可以通过远程终端设备或车辆的人机交互设备来获得告警信息，以使用户能够及时了解车辆状态。

本申请第三方面提供了一种车载通讯装置，包括：第二方面任意一种网络安全功能检测装置的实现方式；通信模块，通过所述通信模块与车辆中的各个目标电子控制单元有线通信连接，与终端设备无线通信连接。

本申请第四方面提供了一种计算设备，包括：至少一个处理器，其与所述总线连接；以及至少一个存储器，所述存储器存储有程序指令，所述程序指令当被所述至少一个处理器执行时使得所述至少一个处理器执行第一方面任一可能实现方式所述的方法。

本申请第五方面提供了一种计算机可读存储介质，其上存储有程序指令，所述程序指令当被计算机执行时，使得所述计算机执行第一方面任一可能实现方式所述的方法。

本申请第六方面提供了一种计算机程序，所述计算机程序当被控制器执行时使得所述控制器执行第一方面任一可能实现方式所述的方法。

本发明的这些和其它方面在以下(多个)实施例的描述中会更加简明易懂。

附图说明

以下参照附图来进一步说明本发明的各个特征和各个特征之间的联系。附图均为示例性的，一些特征并不以实际比例示出，并且一些附图中可能省略了本申请所涉及领域的惯常的且对于本申请非必要的特征，或是额外示出了对于本申请非必要的特征，附图所示的各个特征的组合并不用以限制本申请。另外，在本说明书全文中，相同的附图标记所指代的内容也是相同的。具体的附图说明如下：

图1为按照本申请实施例的实施环境的示意图；

图2A为按照本申请实施例的网络安全功能检测的方法的示意流程图；；

图2B为按照本申请实施例的网络安全功能检测装置的示意图；

图3为T-Box进行状态转换的关系图；

图4为本申请实施例中T-Box对ECU进行查询以及设置的关系图；

图5为本申请实施例提供的T-Box的组成示意图；

图6为图5中的网络安全功能检测装置对ECU进行查询及设置的关系图；

图7为本申请实施例提供的第一种网络安全功能检测的方法的部分流程图；

图8为图7中第一种网络安全功能检测的方法的另一部分流程图；

图9为本申请实施例提供的第二种网络安全功能检测的方法的部分流程图；

图10为图9中第二种网络安全功能检测的方法的另一部分流程图；

图11为本申请实施例提供的第三种网络安全功能检测的方法的部分流程图；

图12为图11中第三种网络安全功能检测的方法的另一部分流程图；

图13是本申请实施例提供的一种计算设备的结构性示意性图。

附图标记说明

T-Box 10；网络安全功能检测装置110；查询模块111；接收模块112；执行模块113；告警单元1131；接收单元1132；设置单元1133；通信模块120；有线通信单元121；无线通信单元122；状态转换模块130；VCU 20；CDC 30；触摸控制屏310；MDC 40；MCU 50；终端设备60；网络安全功能检测装置70；查询模块710；接收模块720；执行模块730；告警单元731；接收单元732；设置单元733；车辆启动开关80；ECU 90；计算设备1000；处理器1100；存储器1200；通信接口1300；总线1400。

具体实施方式

说明书和权利要求书中的词语“第一、第二、第三等”或模块A、模块B、模块C等类似用语，仅用于区别类似的对象，不代表针对对象的特定排序，可以理解地，在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。

在以下的描述中，所涉及的表示步骤的标号，如步骤S110、步骤S120……等，并不表示一定会按此步骤执行，在允许的情况下可以互换前后步骤的顺序，或同时执行。

说明书和权利要求书中使用的术语“包括”不应解释为限制于其后列出的内容；它不排除其它的元件或步骤。因此，其应当诠释为指定所提到的所述特征、整体、步骤或部件的存在，但并不排除存在或添加一个或更多其它特征、整体、步骤或部件及其组群。因此，表述“包括装置A和B的设备”不应局限为仅由部件A和B组成的设备。

本说明书中提到的“一个实施例”或“实施例”意味着与该实施例结合描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在本说明书各处出现的用语“在一个实施例中”或“在实施例中”并不一定都指同一实施例，但可以指同一实施例。此外，在一个或多个实施例中，能够以任何适当的方式组合各特定特征、结构或特性，如从本公开对本领域的普通技术人员显而易见的那样。

为了更为清楚地理解本申请的技术方案，首先对智能网联车辆中的部分部件的功能进行简要地说明。车辆中包含多种控制系统，例如T-Box(Telematics Box，通信盒子，又称车载通信模组)即为设置在车辆内的车载通讯装置，用于指令和信息的传递，可以通过CAN(Control ler Area Network，控制器局域网络)总线与车内的各ECU实现有线通信连接，还可与车外终端设备，例如手机、电脑、远程控车钥匙等实现无线通信连接；VCU(Vehicle Control Uni t，整车控制器)用于车辆动力系统的协调与控制；CDC(Cockpi tdomain control ler，座舱域控制器)用于调节座舱中的不同电子组件；IVI(In-Vehic leInfotainment，车载信息娱乐系统)为基于车身总线系统和互联网服务，形成的车载综合信息处理系统；MDC(Mobi le Data Center，移动数据中心)用于对各类传感器数据进行处理，为自动驾驶提供支持；MCU(Motor Control Uni t，电机控制器)用于对雨刷、车窗、风机等电机进行控制。这些车辆的控制系统，都具有控制其工作的ECU，并且这些ECU中都存储有网络安全功能，用于对接收到的控制命令进行校验。

正常情况下，ECU的网络安全功能处于“激活态”，ECU接收到控制指令后，ECU会通过网络安全功能对控制指令进行校验，以阻止非法命令的控制。但是，存在某种可能，使车辆ECU的网络安全功能处于“禁止态”。

例如在车辆生产阶段，由于零部件供应商提供给车辆制造商的零件，在烧写固件时默认网络安全功能处于“禁止态”。同时，车辆制造商对零件进行整车装配和测试的过程中，会涉及对程序的升级，此时需要保持网络安全功能处于“禁止态”。因此，在车辆组装完成，出厂前的一个工序环节，车辆制造商才会使用诊断仪通过UDS服务，将ECU的网络安全功能从“禁止态”修改为“激活态”。修改完成后，再使用诊断仪通过UDS服务，对网络安全功能状态进行诊断查询，在确认状态为“激活态”后，车辆才可以出厂。如果车辆在出厂时ECU的网络安全功能出现漏激活，并同时漏检测，则车辆安全将完全暴露在公网中，产生很大的潜在安全风险。

或者，车辆在4S店或维修厂进行部件维修更换阶段，由于零部件作为备件提供到4S店或维修厂时，网络安全功能状态处于“禁止态”，维修厂更换零件后，需要使用诊断仪通过UDS服务，将网络安全功能状态从“禁止态”修改为“激活态”。修改完成后，再使用诊断仪通过UDS服务，对网络安全功能状态进行查询，在确认状态为“激活态”后，车辆部件的维修更换才能结束。更换配件存在很大的人为隐患，如果车辆更换零件后出现漏激活，并同时漏检测，则车辆安全将完全暴露在公网中，产生很大的潜在安全风险。

或者，在车辆的售后阶段，如果通过空中下载技术(Over-The-Air technology，OTA)升级的版本存在BUG，或因为某些原因被黑客攻击，导致网络安全功能的状态被误刷写修改为“禁止态”，车辆安全将完全暴露在公网中，产生很大的潜在安全风险。

因此，基于上述原因可能导致的车辆在使用阶段网络安全功能状态处于“禁止态”，车辆安全将完全暴露在公共网络中，非法命令可以对ECU进行控制，使车辆出现用户控制之外的动作，从而产生很大的安全风险。本申请提供了一种网络安全功能检测的方法及相关设备，以能在车辆使用时，可以对车辆ECU的网络安全功能状态进行诊断查询及修复设置，以防止车辆安全暴露在公网中，避免潜在安全风险的发生。

图1为按照本申请实施例的实施环境的示意图。如图1所示，该实施环境可以包括车辆和终端设备60。

车辆可以是常规车辆或自动驾驶车辆。自动驾驶车辆也可以称为无人驾驶车辆或智能驾驶车辆等，其可以在手动模式、全自主模式或部分自主模式下行驶。当被配置成在全自主模式或部分自主模式下行驶时，自动驾驶车辆可以在极少或没有来自驾驶员的控制输入的情况下在地理区域上自主行驶。除了诸如发动机或电动机、车轮、方向盘、变速器这样的常用部件之外，车辆还可以包括T-Box 10、VCU20、CDC30、MDC40和/或MCU50等系统，这些系统都具有控制车内部件工作的ECU。其中，T-Box10与VCU20、CDC30、MDC40、MCU50等系统有线通信连接，与终端设备60无线通信连接。

此外，车辆还包括网络安全功能检测装置110。网络安全功能检测装置110可以位于T-Box10中或者是T-Box10本身。或者，网络安全功能检测装置110可以设置在车辆的除了T-Box 10之外的任何合适的设备中。

终端设备60可以是手机、电脑、远程控车钥匙或者任意能够与车辆实现无线通信连接的终端设备等。

图2A为按照本申请实施例的网络安全功能检测的方法的示意流程图。图2A示出的方法100可以由图1中的网络安全功能检测装置110或任何其他合适的设备来执行。如图2A所示，方法100可以包括步骤S101-步骤S103。

在步骤S101，在第一情形下向车辆的各个目标ECU发送查询请求，以请求所述各个目标ECU的网络安全功能的状态信息，其中，所述第一情形包括在所述车辆启动时或在接收到第一指示信息时，所述第一指示信息指示对所述各个目标ECU的网络安全功能的状态进行检查。所述第一指示信息可以是例如但不局限于用户经由图1中的终端设备60或车辆中的触摸屏幕等发出的。

在步骤S102，接收所述各个目标ECU发送的所述网络安全功能的状态信息。所述状态信息可以包括例如但不局限于激活状态和禁止状态等。

在步骤S103，当基于所接收的状态信息确定所述车辆中存在所述网络安全功能未处于激活状态的第一ECU时，执行安全操作。所述安全操作可以包括例如但不局限于发出告警信息、将所述第一ECU中存储的所述网络安全功能设置为激活状态等。

从以上的描述可以看出，在本实施例的方案中，当车辆启动时或当接收到指示对车辆的ECU的网络安全功能的状态进行检查的指示信息，从车辆的各个目标ECU获取其网络安全功能的状态信息，并当所获取的状态信息表明车辆中存在其网络安全功能为处于激活状态的ECU时，执行相应的安全操作，以使得例如但不局限于该ECU中存储的网络安全功能的状态被设置为激活状态或车辆被停止使用等，从而保证车辆的使用安全，避免安全风险的发生。

在一些实施例中，步骤S103可以包括步骤S1032。在步骤S1032，发出告警信息。通过该告警信息，用户能够了解到车辆中存在其网络安全功能未处于激活状态的ECU，从而用户能够采取合适的措施(例如，停止使用车辆，或者将该ECU的网络安全功能设置为激活状态等)来防止车辆的安全完全暴露在公共网络中，从而避免安全风险。

在一些实施例中，步骤S103还可以包括步骤S1034和步骤S1036。在步骤S1034，接收来自用户的第二指示信息，所述第二指示信息指示修复所述第一ECU的网络安全功能的状态。在步骤S1036，基于所述第二指示信息，将所述第一ECU中存储的所述网络安全功能的状态设置为激活状态。由此，当用户收到告警信息，获知车辆的网络安全功能未激活时，可以发出第二指示信息，使网络安全功能检测装置能够激活网络安全功能，从而使车辆处于网络安全功能的保护中，避免风险的发生。

在一些实施例中，步骤S103进一步包括：将所述第一ECU中存储的所述网络安全功能的状态设置为激活状态。由此，当网络安全功能检测装置检查出有网络安全功能未处于激活状态时，网络安全功能检测装置可以直接对网络安全功能进行修复设置。以使用户驾驶车辆时，网络安全功能处于激活态，以保证车辆安全，避免风险的发生。

在一些实施例中，方法100还可以包括步骤S104。在步骤S104，在将所述第一ECU中存储的所述网络安全功能的状态设置为激活状态之后，向所述车辆的所述各个电子控制单元发送所述查询请求。由此，可以在网络安全功能检测装置对未激活的网络安全功能进行修复设置后，再次对网络安全功能的状态进行查询，以防止修复设置失败，车辆安全暴露在公网中，避免用户使用车辆时所面临的潜在风险。

在一些实施例中，所述第一指示信息是所述网络安全功能检测装置从远程终端设备或所述车辆的人机交互设备接收的。由此，用户不论是处于车内还是在车外，当用户发现车辆出现异常，可能存在车辆电子控制单元的网络安全功能未激活时，可以通过远程终端设备或者车辆的人机交互设备发出第一指示信息，以对网络安全功能的状态进行查询。

在一些实施例中，所述第二指示信息是所述网络安全功能检测装置从远程终端设备或所述车辆的人机交互设备接收的。由此，用户不论是处于车内还是在车外，当车辆电子控制单元的网络安全功能未激活时，用户可以通过远程终端设备或者车辆的人机交互设备发出第二指示信息，以对网络安全功能的状态进行修复设置，以使车辆安全处于网络安全功能的保护中，避免用户使用车辆时所面临的潜在风险。

在一些实施例中，步骤S1032进一步包括：向远程终端设备或所述车辆的人机交互设备发送所述告警信息。由此，用户不论在车内还是在车外，都可以通过远程终端设备或车辆的人机交互设备来获得告警信息，以使用户能够及时了解车辆状态。

上文结合图2A，详细描述了本申请的方法实施例，下面结合图2B详细描述本申请的装置实施例。应理解，方法实施例的描述与装置实施例的描述相互对应，因此，在装置实施例中未详细描述的部分可以参见前面方法实施例。

图2B为按照本申请实施例的网络安全功能检测装置的示意图。图2B示出的网络安全功能检测装置70可以由图1的网络安全功能检测装置110、T-Box10或任何其他合适的设备来实现。

如图2B所示，网络安全功能检测装置70可以包括查询模块710、接收模块720和执行模块730。查询模块710用于在第一情形下向车辆的各个电子控制单元发送查询请求，以请求所述各个电子控制单元的网络安全功能的状态信息，其中，所述第一情形包括在所述车辆启动时或在接收到第一指示信息时，所述第一指示信息指示对所述各个电子控制单元的网络安全功能的状态进行检查。接收模块720用于接收所述各个电子控制单元发送的所述网络安全功能的状态信息。执行模块730用于当基于所接收的状态信息确定所述车辆中存在所述网络安全功能未处于激活状态的第一电子控制单元时，执行安全操作。

在一些实施例中，执行模块730可以包括告警单元731，其用于发出告警信息。

在一些实施例中，执行模块730还可以包括接收单元732和设置单元733。接收单元732用于接收来自用户的第二指示信息，所述第二指示信息指示修复所述第一电子控制单元的网络安全功能的状态。设置单元733用于基于所述第二指示信息，将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。

在一些实施例中，执行模块730进一步用于：将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。

在一些实施例中，查询模块710进一步用于：所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态后，向所述车辆的各个电子控制单元发送查询请求。

在一些实施例中，所述第一指示信息是所述网络安全功能检测装置从远程终端设备或所述车辆的人机交互设备接收的。

在一些实施例中，所述第二指示信息是所述接收单元从远程终端设备或所述车辆的人机交互设备接收的。

在一些实施例中，所述告警单元731进一步用于：向远程终端设备或所述车辆的人机交互设备发送所述告警信息。

下面，以T-BOX作为网络安全功能检测装置的例子，结合附图详细描述按照本申请的网络安全功能检测的方法的示例性具体实现。

实施例1

在车辆中，T-Box10用于指令和信息的传递，可以与车辆ECU90实现有线通信连接，同时可以与终端设备60实现无线通信连接。在实施例1中，可以通过T-Box10直接对车辆各ECU的网络安全功能的状态进行诊断查询以及修复设置。下面，结合附图，对本申请的通过T-Box10对ECU90进行诊断查询以及修复设置的关系进行详细地描述。

图3为T-Box10进行状态转换的关系图。如图3所示，T-Box10具有关机态、休眠态、唤醒态三种状态。其中，关机态即关机状态，T-Box10处于无电状态，无法工作；休眠态即休眠状态，T-Box10可以监听网络消息，其他功能关闭；唤醒态即工作状态，T-Box10所有功能开启，可以处理所有业务。T-Box10只有在完全切断电源时，例如电池电量耗尽或者拔掉电池，才会进入关机态。当处于关机态的T-Box10重新上电后，或车辆启动时会唤醒T-Box10，使T-Box10处于唤醒态。如果车辆熄火后一定时间内T-Box10没有接收到应用需求，T-Box10会进入休眠态，当T-Box10收到远程控制指令时，会唤醒T-Box10，使T-Box10重新处于唤醒态。

图4为本申请实施例中T-Box10对ECU90进行查询以及设置的关系图。如图3、图4所示，用户通过车辆启动开关80启动车辆时，会发出启动信号，T-Box10接收到启动信号后，由休眠态转换为唤醒态，并向车辆的各个目标ECU90发起诊断查询，以查询ECU90的网络安全功能的状态。

或者，用户在在车辆内部，通过操作车内的触摸控制屏310发出第一指示信息，指示对车辆的各个目标ECU存储的网络安全功能的状态进行检查。T-Box10接收到第一指示信息后，向车辆的各个目标ECU90发起诊断查询，以查询ECU90的网络安全功能的状态。

又或者，用户在在车辆外部，通过操作终端设备60发出第一指示信息，指示对车辆的各个目标ECU存储的网络安全功能的状态进行检查。T-Box10接收到第一指示信息后，如果车辆处于熄火状态，则由休眠态转换为唤醒态，然后向车辆的各个目标ECU90发起诊断查询，以查询ECU90的网络安全功能的状态。

T-Box10可以接收由ECU90返回的状态信息，当状态信息中有ECU90的网络安全功能的状态为“禁止态”时，T-Box10会向车内的触摸控制屏310或终端设备60发出告警提示，使用户能够通过车内的触摸控制屏310或者终端设备60获知车辆ECU90的网络安全功能的状态为“禁止态”，车辆安全暴露在公网中，存在安全风险。

用户通过车内的触摸控制屏310或者终端设备60可以发出对处于“禁止态”的ECU90的网络安全功能进行修复的指示(即第二指示信息)，T-Box10接收到第二指示信息后，T-Box10向网络安全功能处于“禁止态”的ECU90发起修复设置，可以对网络安全功能处于“禁止态”的ECU90进行修复设置，将网络安全功能重新设置为“激活态”，并返回设置完成报告。如此可以使车辆ECU90处于网络安全功能的保护中，避免车辆安全暴露在公网中，防止安全风险的发生。

T-Box10接收到设置完成报告后，T-Box10会再次向车辆的各个目标ECU90发起诊断查询，以确认修复设置完成后ECU90的网络安全功能的状态，并返回状态信息。T-Box10接收返回的状态信息后，如果状态信息中ECU90的网络安全功能的状态为“激活态”，T-Box10会向车内的触摸控制屏310或终端设备60发出告警提示，使用户能够通过车内的触摸控制屏310或者终端设备60获知车辆ECU90的网络安全功能的状态为“激活态”，修复设置成功；如果状态信息中ECU90的网络安全功能的状态为“禁止态”，T-Box10会向车内的触摸控制屏310或终端设备60发出告警提示，使用户能够通过车内的触摸控制屏310或者终端设备60获知车辆ECU90的网络安全功能的状态为“禁止态”，修复设置失败。如此可以使车辆ECU90处于网络安全功能的保护中，避免车辆安全暴露在公网中，防止安全风险的发生。如此，可以在修复设置失败后，使用户能够及时发现，避免用户误认为车辆处于网络安全功能的保护中，在驾驶车辆时面临潜在的安全风险。

实施例2

在实施例2中，网络安全功能检测装置110设置在T-Box10中，通过网络安全功能检测装置110对车辆各ECU的网络安全功能的状态进行诊断查询以及修复设置。下面，结合附图，对本申请的通过网络安全功能检测装置110对ECU90进行诊断查询以及修复设置的过程进行详细地描述。

图5为本申请实施例提供的T-Box10的组成示意图。如图5所示，T-Box10包括网络安全功能检测装置110、通信模块120、状态转换模块130。其中，网络安全功能检测装置110包括查询模块111、接收模块112与执行模块113，查询模块111可以对车辆ECU90的网络安全功能状态发送查询请求，以请求ECU90返回网络安全功能的状态信息；接收模块112可以接收车辆的启动信号、对车辆的各个目标ECU90存储的网络安全功能的状态进行诊断查询的指示(即第一指示信息)以及车辆ECU90返回的网络安全功能的状态信息。执行模块113中的告警单元1131可以根据接收模块112接收到的网络安全功能的状态信息发出告警信息；执行模块113中的接收单元1132用于接收对车辆ECU90的网络安全功能状态进行修复设置的指示(即第二指示信息)；查询模块111中的设置单元1133可以将处于“禁止态”的车辆ECU90的网络安全功能状态修复设置为“激活态”。通信模块120包括有线通信单元121与无线通信单元122，有线通信单元121可以通过CAN总线与车辆各ECU90实现有线通信连接，无线通信单元122可以通过无线网络与终端设备60实现无线通信连接。

图6为图5中的网络安全功能检测装置110对ECU90进行查询及设置的关系图。如图6所示，用户通过车辆启动开关80启动车辆时，会发出启动信号，接收模块112通过有线通信单元121接收到启动信号后，状态转换模块130控制T-Box10由休眠态转换为唤醒态，查询模块111通过有线通信单元121向车辆的各个目标ECU90发起诊断查询，以查询ECU90的网络安全功能的状态。

或者，用户在在车辆内部，通过操作车内的触摸控制屏310发出第一指示信息，指示对车辆的各个目标ECU存储的网络安全功能的状态进行检查。接收模块112通过有线通信单元121接收到第一指示信息后，查询模块111通过有线通信单元121向车辆的各个目标ECU90发起诊断查询，以查询ECU90的网络安全功能的状态。

又或者，用户在在车辆外部，通过操作终端设备60发出第一指示信息，指示对车辆的各个目标ECU存储的网络安全功能的状态进行检查。接收模块112通过无线通信单元122接收到第一指示信息后，如果车辆处于熄火状态，状态转换模块130控制T-Box10由休眠态转换为唤醒态，查询模块111通过有线通信单元121向车辆的各个目标ECU90发起诊断查询，以查询ECU90的网络安全功能的状态。

接收模块112可以通过有线通信单元121接收ECU90返回的状态信息，当状态信息中有ECU90的网络安全功能的状态为“禁止态”时，告警单元1131会通过有线通信单元121向车内的触摸控制屏310或通过无线通信单元122向终端设备60发出告警提示，使用户能够通过车内的触摸控制屏310或者终端设备60获知车辆ECU90的网络安全功能的状态为“禁止态”，车辆安全暴露在公网中，存在安全风险。

用户通过车内的触摸控制屏310或者终端设备60可以发出对处于“禁止态”的ECU90的网络安全功能进行修复的指示(即第二指示信息)，接收单元1132通过有线通信单元121或无线通信单元122接收到第二指示信息后，设置单元1133通过有线通信单元121向网络安全功能处于“禁止态”的ECU90发起修复设置，可以对网络安全功能处于“禁止态”的ECU90进行修复设置，将网络安全功能重新设置为“激活态”，并返回设置完成报告。如此可以使车辆ECU90处于网络安全功能的保护中，避免车辆安全暴露在公网中，防止安全风险的发生。

接收模块112通过有线通信单元121接收到设置完成报告后，查询模块111通过有线通信单元121会再次向车辆的各个目标ECU90发起诊断查询，以确认修复设置完成后ECU90的网络安全功能的状态，并返回状态信息。接收模块112通过有线通信单元121接收有ECU90返回的状态信息后，如果状态信息中ECU90的网络安全功能的状态为“激活态”，告警单元1131会通过有线通信单元121向车内的触摸控制屏310或通过无线通信单元122向终端设备60发出告警提示，使用户能够通过车内的触摸控制屏310或者终端设备60获知车辆ECU90的网络安全功能的状态为“激活态”，修复设置成功；如果状态信息中ECU90的网络安全功能的状态为“禁止态”，告警单元1131会通过有线通信单元121向车内的触摸控制屏310或通过无线通信单元122向终端设备60发出告警提示，使用户能够通过车内的触摸控制屏310或者终端设备60获知车辆ECU90的网络安全功能的状态为“禁止态”，修复设置失败。如此可以使车辆ECU90处于网络安全功能的保护中，避免车辆安全暴露在公网中，防止安全风险的发生。如此，可以在修复设置失败后，使用户能够及时发现，避免用户误认为车辆处于网络安全功能的保护中，在驾驶车辆时面临潜在的安全风险。

另外，基于实施例2中的网络安全功能检测装置110本申请还提供了三种网络安全功能检测的方法。下面，结合附图，对本申请的网络安全功能检测的方法在不同场景下的具体步骤进行详细地描述。

实施例3

图7为本申请实施例提供的第一种网络安全功能检测的方法200的部分流程图；图8为图7中第一种网络安全功能检测的方法200的另一部分流程图。如图7、图8所示，为了保证车辆的使用安全，需要在每次车辆启动后，对车辆ECU90的网络安全功能的状态进行诊断查询以及修复设置。为此，实施例3中的第一种网络安全功能检测的方法200的具体步骤为：

步骤S201、用户进入车辆后，通过车辆启动开关80启动车辆，车辆启动开关80发出启动信号。

步骤S202、车辆启动后，状态转换模块130将T-Box10由休眠态转换为唤醒态，启动T-Box10的所有功能。

步骤S203、接收模块112通过有线通信单元121接收车辆启动开关80发出的启动信号。

步骤S204、查询模块111通过有线通信单元121向车辆各个目标ECU90发送诊断查询请求，对车辆ECU90的网络安全功能状态进行诊断查询，并返回车辆ECU90的网络安全功能的状态信息。

步骤S205、接收模块112通过有线通信单元121接收从车辆ECU90返回的网络安全功能的状态信息。

步骤S206、告警单元1131对车辆ECU90返回的网络安全功能的状态信息进行判断，如果状态信息中车辆ECU90的网络安全功能状态为“激活态”，则说明车辆ECU90处于网络安全功能的保护中，无需对车辆ECU90的网络安全功能状态进行修复设置，进入流程步骤S214；如果状态信息中，车辆ECU90的网络安全功能状态为“禁止态”，则说明网络安全功能无法对车辆ECU90提供保护，车辆ECU90暴露在公共网络中，具有很大的安全风险，则进入下述流程步骤S207。

步骤S207、告警单元1131对车辆ECU90返回的网络安全功能的状态信息进行判断，判断该状态信息是否为修复设置后再次进行诊断查询后返回的状态信息。如果为“是”，则进入下述流程步骤S209；如果为“否”，则进入下述流程步骤S208。

步骤S208、告警单元1131通过触摸控制屏310发出告警提示，明确告知用户车辆ECU90的网络安全处于风险中，并询问用户是否进行修复设置。如果用户选择“是”，则进入下述流程步骤S210；如果用户选择“否”，则流程结束。

步骤S209、告警单元1131通过触摸控制屏310发出告警提示，明确告知用户修复设置失败，车辆ECU90的网络安全处于风险中，并询问用户是否进行修复设置。如果用户选择“是”，则进入下述流程步骤S210；如果用户选择“否”，则流程结束。

步骤S210、触摸控制屏310发出第二指示信息，指示对ECU的网络安全功能进行修复设置。

步骤S211、接收单元1132通过有线通信单元121接收用户通过触摸控制屏310发出的第二指示信息。

步骤S212、设置单元1133通过有线通信单元121向网络安全功能处于“禁止态”的ECU90发起修复设置，可以对网络安全功能处于“禁止态”的ECU90进行修复设置，将网络安全功能设置为“激活态”，并返回设置完成报告。

步骤S213、接收模块112通过有线通信单元121接收设置完成报告，在确认设置单元1133已完成对车辆ECU90的网络安全功能状态的修复设置后，返回流程步骤S204，以使查询模块111能够再次通过有线通信单元121向车辆各个目标ECU90发送诊断查询请求，对车辆ECU90的网络安全功能状态进行诊断查询，并返回车辆ECU90的网络安全功能的状态信息。

步骤S214、告警单元1131对车辆ECU90返回的网络安全功能的状态信息进行判断，判断该状态信息是否为修复设置后再次进行诊断查询后返回的状态信息。如果为“是”，则进入下述流程步骤S215；如果为“否”，则流程结束。

步骤S215、告警单元1131通过触摸控制屏310发出告警提示，提示用户“修复成功，网络安全功能状态正常”，流程结束。

通过实施例3中的网络安全功能检测的方法，可以使车辆在每次启动后，都能够对车辆ECU90的网络安全功能状态发起诊断查询，并接收ECU90返回的网络安全功能的状态信息，从而能够获知ECU90中存储的网络安全功能的状态，以确认车辆是否处于网络安全功能的保护中。如果状态信息中有ECU90的网络安全功能状态为禁止态，则通过触摸控制屏310向用户发出安全警告，以使用户能够获知车辆的ECU90未能获得网络安全功能的保护，车辆安全暴露在公网中，面临潜在的安全风险。用户可以通过触摸控制屏310发出修复设置指示，通过设置单元1133对处于“禁止态”ECU90的网络安全功能状态进行修复设置，由“禁止态”设置为“激活态”，以使车辆ECU90能够获得网络安全功能的保护，防止非法命令的控制。

同时，修复设置完成后，查询模块111会再次对车辆ECU90的网络安全功能状态发起诊断查询，并接收ECU90返回的网络安全功能的状态信息，以对修复设置的效果进行检测，以确保修复设置完成后车辆ECU90的网络安全功能状态处于“激活态”。如果仍有网络安全功能处于“禁止态”的ECU90，则通过设置单元1133再次对处于“禁止态”ECU90的网络安全功能状态进行修复设置。从而能够避免修复设置失败，而用户未能获知车辆ECU90的网络安全功能状态仍然处于“禁止态”这一情况的出现，从而进一步提高了车辆ECU90的网络安全性能，防止车辆ECU90暴露在公共网络中，避免潜在安全风险的发生。

进一步地，向用户发出告警提示的方式可以是通过触摸控制屏310显示文字、图案或者动画等方式，也可以通过语音、警示灯提醒的方式。以此可以引起用户的注意及重视，使用户能够获知车辆的ECU90未能获得网络安全功能的保护，车辆安全暴露在公网中，面临潜在的安全风险。

进一步地，接收模块112通过有线通信单元121接收从车辆ECU90返回的网络安全功能的状态信息后，如果状态信息中车辆ECU90的网络安全功能状态为“激活态”，则说明车辆ECU90处于网络安全功能的保护中，无需对车辆ECU90的网络安全功能状态进行修复设置，则流程结束；如果状态信息中，车辆ECU90的网络安全功能状态为“禁止态”，则说明网络安全功能无法对车辆ECU90提供保护，车辆ECU90暴露在公共网络中，具有很大的安全风险，则设置单元1133通过有线通信单元121向网络安全功能处于“禁止态”的ECU90发起修复设置，可以对网络安全功能处于“禁止态”的ECU90进行修复设置，将网络安全功能设置为“激活态”，并返回设置完成报告。由此，当检测到有ECU90中储存的网络安全功能处于“禁止态”时，设置单元1133能够直接开始对网络安全功能进行修复设置，以使网络安全功能能够对车辆发ECU提供保护，防止安全暴露在公网中，面临潜在的安全风险。

实施例4

用户在驾驶车辆时，如果发现车辆出现异常，例如：车辆存在异响；车辆出现非预期的自动控制行为，包括灯光，声音的异常触发等情况。此时可能是因为车辆ECU90的网络安全功能的状态处于“禁止态”，无法对发送给ECU90的命令进行校验，车辆ECU90可能处于非法命令的控制中。如果不及时处理，会对车辆的行车安全带来风险，用户需要对车辆网络安全功能状态进行诊断查询及修复设置。

图9为本申请实施例提供的第二种网络安全功能检测的方法300的部分流程图；图10为图9中第二种网络安全功能检测的方法300的另一部分流程图。如图9、图10所示，实施例4中的第二种网络安全功能检测的方法300与实施例3中的第一种网络安全功能检测的方法200相比，实施例4中的第二种网络安全功能检测的方法300中，用户可以在需要时，通过触摸控制屏310发出第一指示信息及第二指示信息，以对车辆ECU90中存储的网络安全功能状态进行诊断查询以及修复设置。具体步骤为：

步骤S301、用户驾驶车辆时，发现车辆出现异常。

步骤S302、用户通过点击触摸控制屏310上的按键，使触摸控制屏310发出第一指示信息，指示对车辆的各个目标ECU存储的网络安全功能的状态进行检查。

步骤S303、接收模块112通过有线通信单元121接收触摸控制屏310发出的第一指示信息。

步骤S304、查询模块111通过有线通信单元121向车辆各个目标ECU90发送诊断查询请求，对车辆ECU90的网络安全功能状态进行诊断查询，并返回车辆ECU90的网络安全功能的状态信息。

步骤S305、接收模块112通过有线通信单元121接收从ECU90返回的网络安全功能的状态信息。

步骤S306、告警单元1131对车辆ECU90返回的网络安全功能的状态信息进行判断，如果状态信息中车辆ECU90的网络安全功能状态为“激活态”，则说明车辆ECU90处于网络安全功能的保护中，无需对车辆ECU90的网络安全功能状态进行修复设置，进入流程步骤S314；如果状态信息中，车辆ECU90的网络安全功能状态为“禁止态”，则说明网络安全功能无法对车辆ECU90提供保护，车辆ECU90暴露在公共网络中，具有很大的安全风险，则进入下述流程步骤S307。

步骤S307、告警单元1131对车辆ECU90返回的网络安全功能的状态信息进行判断，判断该状态信息是否为修复设置后再次进行诊断查询后返回的状态信息。如果为“是”，则进入下述流程步骤S309；如果为“否”，则进入下述流程步骤S308。

步骤S308、告警单元1131通过触摸控制屏310发出告警提示“网络安全风险警告”，明确告知用户车辆ECU90的网络安全处于风险中，并询问用户是否进行修复设置。如果用户选择“是”，则进入下述流程步骤S310；如果用户选择“否”，则流程结束。

步骤S309、告警单元1131通过触摸控制屏310发出告警提示，明确告知用户修复设置失败，车辆ECU90的网络安全处于风险中，并询问用户是否进行修复设置。如果用户选择“是”，则进入下述流程步骤S310；如果用户选择“否”，则流程结束。

步骤S310、触摸控制屏310发出第二指示信息，指示对ECU的网络安全功能进行修复设置。

步骤S311、接收单元1132通过有线通信单元121接收用户通过触摸控制屏310发出的第二指示信息。

步骤S312、设置单元1133通过有线通信单元121向网络安全功能处于“禁止态”的ECU90发起修复设置，可以对网络安全功能处于“禁止态”的ECU90进行修复设置，将网络安全功能设置为“激活态”，并返回设置完成报告。

步骤S313、接收模块112通过有线通信单元121接收设置完成报告，在确认设置单元1133已完成对车辆ECU90的网络安全功能状态的修复设置后，返回流程步骤S304，以使查询模块111能够再次通过有线通信单元121向车辆各个目标ECU90发送诊断查询请求，对车辆ECU90的网络安全功能状态进行诊断查询，并返回车辆ECU90的网络安全功能的状态信息。

步骤S314、告警单元1131对车辆ECU90返回的网络安全功能的状态信息进行判断，判断该状态信息是否为修复设置后再次进行诊断查询后返回的状态信息。如果为“是”，则进入下述流程步骤S315；如果为“否”，则流程结束。

步骤S314、告警单元1131通过触摸控制屏310发出告警提示，提示用户“修复设置成功，网络安全功能状态正常”，流程结束。

通过实施例4提供的第二种网络安全功能检测的方法，用户在驾驶车辆时，如果发现车辆出现异常，可以在车内通过触摸控制屏310发出诊断查询指示，以能够随时对车辆ECU90的网络安全功能状态发起诊断查询，并接收ECU90返回的网络安全功能的状态信息。如果状态信息中有ECU90的网络安全功能状态为禁止态，则通过触摸控制屏310向用户发出安全警告，以使用户能够获知车辆的ECU90未能获得网络安全功能的保护，车辆安全暴露在公网中，面临潜在的安全风险。用户可以通过触摸控制屏310发出修复设置指示，通过设置单元1133对处于“禁止态”ECU90的网络安全功能状态进行修复设置，由“禁止态”设置为“激活态”，以使车辆ECU90能够获得网络安全功能的保护，防止非法命令的控制，使车辆能够正常运行。

同时，修复设置完成后，查询模块111会再次对车辆ECU90的网络安全功能状态发起诊断查询，并接收ECU90返回的网络安全功能的状态信息，以对修复设置的效果进行检测，以确保修复设置完成后车辆ECU90的网络安全功能状态处于“激活态”。如果仍有网络安全功能处于“禁止态”的ECU90，则通过设置单元1133再次对处于“禁止态”ECU90的网络安全功能状态进行修复设置。从而能够避免修复设置失败，而用户未能获知车辆ECU90的网络安全功能状态仍热处于“禁止态”这一情况的出现，从而进一步提高了车辆ECU90的网络安全性能，防止车辆ECU90暴露在公共网络中，避免潜在安全风险的发生。

进一步地，用户与车辆进行交互的方式，可以是通过手指点击触摸控制屏310上的按键，以使触摸控制屏310发出诊断查询指示以及修复设置指示，也可以是通过语音控制、手势控制等交互方式来发出诊断查询指示以及修复设置指示。由此，用户可以通过合适的方式进行人机交互，以避免用户在驾驶车辆时，为了完成发出诊断查询指示以及修复设置指示，影响了对车辆的驾驶而引发危险，从而提高了安全性。

实施例5

车辆在闲置状态(车辆未启动)，用户未在车辆内时，如果发现车辆出现异常，例如：车辆控制APP出现非预期提示，比如已经升级成功的车辆，显示车辆版本依旧是旧的版本；车辆参数出现非预期的设置。或者用户侧终端设备60收到车辆返回的异常反馈，比如来自云端的异常业务订购；异常故障短信提示等。如果不及时处理，会对车辆的安全带来风险，用户需要对车辆网络安全功能状态进行诊断查询及修复设置。

图11为本申请实施例提供的第三种网络安全功能检测的方法400的部分流程图；图12为图11中第三种网络安全功能检测的方法400的另一部分流程图。如图11、图12所示，实施例5中的第三种网络安全功能检测的方法400与实施例3中的第二种网络安全功能检测的方法300相比，实施例4中的第三种网络安全功能检测的方法400中，用户可以在需要时，通过终端设备60发出第一指示信息以及第二指示信息，以对车辆网络安全功能状态进行诊断查询及修复设置。具体步骤为：

步骤S301、车辆在闲置状态时，用户发现车辆出现异常。

步骤S302、用户通过终端设备60发出第一指示信息，指示对车辆的各个目标ECU存储的网络安全功能的状态进行检查。

步骤S303、接收模块112通过无线通信单元122接收终端设备60发出的第一指示信息。

步骤S304、状态转换模块130将T-Box10由休眠态转换为唤醒态。

步骤S305、查询模块111通过有线通信单元121向车辆各个目标ECU90发送诊断查询请求，对车辆ECU90的网络安全功能状态进行诊断查询，并返回车辆ECU90的网络安全功能的状态信息。

步骤S306、接收模块112通过有线通信单元121接收从车辆ECU90返回的网络安全功能的状态信息。

步骤S307、告警单元1131对车辆ECU90返回的网络安全功能的状态信息进行判断，如果状态信息中车辆ECU90的网络安全功能状态为“激活态”，则说明车辆ECU90处于网络安全功能的保护中，无需对车辆ECU90的网络安全功能状态进行修复设置，进入流程步骤S315；如果状态信息中，车辆ECU90的网络安全功能状态为“禁止态”，则说明网络安全功能无法对车辆ECU90提供保护，车辆ECU90暴露在公共网络中，具有很大的安全风险，则进入下述流程步骤S308。

步骤S308、告警单元1131对车辆ECU90返回的网络安全功能的状态信息进行判断，判断该状态信息是否为修复设置后再次进行诊断查询后返回的状态信息。如果为“是”，则进入下述流程步骤S310；如果为“否”，则进入下述流程步骤S309。

步骤S309、告警单元1131通过无线通信单元122将告警提示“网络安全风险警告”发送给终端设备60，通过终端设备60明确告知用户车辆ECU90的网络安全处于风险中，并询问用户是否进行修复设置。如果用户选择“是”，则进入下述流程步骤S311；如果用户选择“否”，则流程结束。

步骤S310、告警单元1131通过终端设备60发出告警提示，明确告知用户修复设置失败，车辆ECU90的网络安全处于风险中，并询问用户是否进行修复设置。如果用户选择“是”，则进入下述流程步骤S311；如果用户选择“否”，则流程结束。

步骤S311、终端设备60发出第二指示信息，指示对ECU的网络安全功能进行修复设置。

步骤S312、接收单元1132通过无线通信单元122接收用户通过终端设备60发出的第二指示信息。

步骤S313、设置单元1133通过有线通信单元121向网络安全功能处于“禁止态”的ECU90发起修复设置，可以对网络安全功能处于“禁止态”的ECU90进行修复设置，将网络安全功能设置为“激活态”，并返回设置完成报告。

步骤S314、接收模块112通过有线通信单元121接收设置完成报告，在确认设置单元1133已完成对车辆ECU90的网络安全功能状态的修复设置后，返回流程步骤S305，以使查询模块111能够再次通过有线通信单元121向车辆各个目标ECU90发送诊断查询请求，对车辆ECU90的网络安全功能状态进行诊断查询，并返回车辆ECU90的网络安全功能的状态信息。

步骤S315、告警单元1131对车辆ECU90返回的网络安全功能的状态信息进行判断，判断该状态信息是否为修复设置后再次进行诊断查询后返回的状态信息。如果为“是”，则进入下述流程步骤S316；如果为“否”，则流程结束。

步骤S316、告警单元1131通过终端设备60发出告警提示，提示用户“修复设置成功，网络安全功能状态正常”，流程结束。

通过实施例4提供的第三种网络安全功能检测的方法，用户在车辆闲置状态时，如果发现车辆出现异常，可以在车外通过终端设备60发出诊断查询指示，以能够随时对车辆ECU90的网络安全功能状态发起诊断查询，并接收ECU90返回的网络安全功能的状态信息。如果状态信息中有ECU90的网络安全功能状态为禁止态，则通过终端设备60向用户发出安全警告，以使用户能够获知车辆的ECU90未能获得网络安全功能的保护，车辆安全暴露在公网中，面临潜在的安全风险。用户可以通过终端设备60发出修复设置指示，通过设置单元1133对处于“禁止态”ECU90的网络安全功能状态进行修复设置，由“禁止态”设置为“激活态”，以使车辆ECU90能够获得网络安全功能的保护，防止非法命令的控制，使车辆能够正常运行。

实施例6

图13是本申请实施例提供的一种计算设备1000的结构性示意性图。该计算设备1000包括：处理器1100、存储器1200、通信接口1300、总线1400。

应理解，图13所示的计算设备1000中的通信接口1300可以用于与其他设备之间进行通信。

其中，该处理器1100可以与存储器1200连接。该存储器1200可以用于存储该程序代码和数据。因此，该存储器1200可以是处理器1100内部的存储单元，也可以是与处理器1100独立的外部存储单元，还可以是包括处理器1100内部的存储单元和与处理器1100独立的外部存储单元的部件。

可选的，计算设备1000还可以包括总线1400。其中，存储器1200、通信接口1300可以通过总线1400与处理器1100连接。总线1400可以是外设部件互连标准(PeripheralComponent Interconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。所述总线1400可以分为地址总线、数据总线、控制总线等。为便于表示，图13中仅用一条线表示，但并不表示仅有一根总线或一种类型的总线。

应理解，在本申请实施例中，该处理器1100可以采用中央处理单元(centralprocessing unit，CPU)。该处理器还可以是其它通用处理器、数字信号处理器(digitalsignal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate Array，FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。或者该处理器1100采用一个或多个集成电路，用于执行相关程序，以实现本申请实施例所提供的技术方案。

该存储器1200可以包括只读存储器和随机存取存储器，并向处理器1100提供指令和数据。处理器1100的一部分还可以包括非易失性随机存取存储器。例如，处理器1100还可以存储设备类型的信息。

在计算设备1000运行时，所述处理器1100执行所述存储器1200中的计算机执行指令执行上述方法的操作步骤。

应理解，根据本申请实施例的计算设备1000可以对应于执行根据本申请各实施例的方法中的相应主体，并且计算设备1000中的各个模块的上述和其它操作和/或功能分别为了实现本实施例各方法的相应流程，为了简洁，在此不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时用于执行一种多样化问题生成方法，该方法包括上述各个实施例所描述的方案中的至少之一。

本申请实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是，但不限于，电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括、但不限于无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本申请操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本申请的较佳实施例及所运用的技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本申请进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明的构思的情况下，还可以包括更多其他等效实施例，均属于本发明的保护范畴。

Claims (19)

1.一种网络安全功能检测的方法，其特征在于，包括：

在第一情形下向车辆中的各个目标电子控制单元发送查询请求，以请求所述各个目标电子控制单元的网络安全功能的状态信息，其中，所述第一情形包括在所述车辆启动时或在接收到第一指示信息时，所述第一指示信息指示对所述各个目标电子控制单元的网络安全功能的状态进行检查；

接收所述各个目标电子控制单元发送的状态信息；

当基于接收的状态信息确定所述各个目标电子控制单元中存在网络安全功能未处于激活状态的第一电子控制单元时，执行安全操作；

所述执行安全操作包括将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。

2.根据权利要求1所述的网络安全功能检测的方法，其特征在于，所述执行安全操作包括：

发出告警信息。

3.根据权利要求2所述的网络安全功能检测的方法，其特征在于，所述执行安全操作还包括：

接收来自用户的第二指示信息，所述第二指示信息指示修复第一电子控制单元的网络安全功能的状态；以及

基于所述第二指示信息，将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。

4.根据权利要求1-3中的任一项所述的网络安全功能检测的方法，其特征在于，还包括：

在将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态之后，向所述车辆的所述各个目标电子控制单元发送所述查询请求。

5.根据权利要求1-3中的任一项所述的网络安全功能检测的方法，其特征在于，

所述第一指示信息是从远程终端设备或所述车辆的人机交互设备接收的。

6.根据权利要求4所述的网络安全功能检测的方法，其特征在于，

所述第一指示信息是从远程终端设备或所述车辆的人机交互设备接收的。

7.根据权利要求3所述的网络安全功能检测的方法，其特征在于，

所述第二指示信息是从远程终端设备或所述车辆的人机交互设备接收的。

8.根据权利要求2-3中的任一项所述的网络安全功能检测的方法，其特征在于，所述发出告警信息包括：

向远程终端设备或所述车辆的人机交互设备发送所述告警信息。

9.一种网络安全功能检测装置，其特征在于，包括：

查询模块，用于在第一情形下向车辆中的各个目标电子控制单元发送查询请求，以请求所述各个目标电子控制单元的网络安全功能的状态信息，其中，所述第一情形包括在所述车辆启动时或在接收到第一指示信息时，所述第一指示信息指示对所述各个目标电子控制单元的网络安全功能的状态进行检查；

接收模块，用于接收所述各个目标电子控制单元发送的状态信息；

执行模块，用于当基于接收的状态信息确定所述各个目标电子控制单元中存在网络安全功能未处于激活状态的第一电子控制单元时，执行安全操作，将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。

10.根据权利要求9所述的网络安全功能检测装置，其特征在于，所述执行模块包括：

告警单元，用于发出告警信息。

11.根据权利要求10所述的网络安全功能检测装置，其特征在于，所述执行模块还包括：

接收单元，用于接收来自用户的第二指示信息，所述第二指示信息指示修复所述第一电子控制单元的网络安全功能的状态；以及

设置单元，用于基于所述第二指示信息，将所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态。

12.根据权利要求9-11中的任一项所述的网络安全功能检测装置，其特征在于，

所述查询模块进一步用于：所述第一电子控制单元中存储的所述网络安全功能的状态设置为激活状态后，向所述车辆的各个目标电子控制单元发送查询请求。

13.根据权利要求9-11中的任一项所述的网络安全功能检测装置，其特征在于，

所述第一指示信息是所述网络安全功能检测装置从远程终端设备或所述车辆的人机交互设备接收的。

14.根据权利要求12所述的网络安全功能检测装置，其特征在于，

所述第一指示信息是所述网络安全功能检测装置从远程终端设备或所述车辆的人机交互设备接收的。

15.根据权利要求11所述的网络安全功能检测装置，其特征在于，

所述第二指示信息是所述接收单元从远程终端设备或所述车辆的人机交互设备接收的。

16.根据权利要求10-11中的任一项所述的网络安全功能检测装置，其特征在于，

所述告警单元进一步用于：向远程终端设备或所述车辆的人机交互设备发送所述告警信息。

17.一种车载通讯装置，其特征在于，包括：

权利要求9至16中的任一项所述的网络安全功能检测装置；

通信模块，通过所述通信模块与车辆中的各个目标电子控制单元有线通信连接，与终端设备无线通信连接。

18.一种计算设备，其特征在于，包括：

至少一个处理器与至少一个存储器，所述存储器存储有程序指令，所述程序指令当被所述至少一个处理器执行时使得所述至少一个处理器执行权利要求1至8中的任一项所述的方法。

19.一种计算机可读存储介质，其上存储有程序指令，其特征在于，所述程序指令当被计算机执行时使得所述计算机执行权利要求1至8中的任一项所述的方法。