CN115242417B

CN115242417B - 车载功能控制方法、系统、装置和车辆

Info

Publication number: CN115242417B
Application number: CN202110623147.6A
Authority: CN
Inventors: 刘光达; 黄盛立; 张雁英; 胡灿东; 何烈炎
Original assignee: Guangzhou Automobile Group Co Ltd
Current assignee: Guangzhou Automobile Group Co Ltd
Priority date: 2021-06-03
Filing date: 2021-06-03
Publication date: 2023-07-25
Anticipated expiration: 2041-06-03
Also published as: CN115242417A

Abstract

本申请公开车载功能控制方法、系统、装置和车辆，方法包括：根据本地的过滤列表对当前访问请求进行合法性校验；其中，过滤列表记录授权软件版本信息，访问请求携带软件版本信息；在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息不一致时，将访问请求携带的软件版本信息上传至后台服务器进行二次校验；根据后台服务器校验通过的反馈，更新本地的过滤列表，并响应当前的访问请求；或，根据后台服务器校验不通过的反馈，拒绝当前的访问请求，并将当前的软件版本更新回被授权的软件版本。本申请可以拒绝携带软件版本信息不符合过滤列表及后台服务器的访问请求，从而保护整车的安全性。

Description

车载功能控制方法、系统、装置和车辆

技术领域

本申请涉及车联网技术领域，尤其涉及车载功能控制方法、系统、装置和车辆。

背景技术

随着汽车电子发展，以及车载以太网的应用普及，汽车电子电器架构正发生巨大的变化，域控制器的出现改变了传统汽车电子分布式结构的特点。新一代的汽车电子电器架构变得灵活多变。同时汽车内的功能也越来越丰富，将功能以服务的形式进行提供能很好的适用新一代的网络架构，也是未来汽车功能架构的一种趋势。

汽车修改整车功能的方式有多种，如通过在预留位置添加新硬件、如通过修改ECU应用的配置、如安装新的应用等。但未经许可或授权的修改整车功能存在安全隐患等。

发明内容

本申请提供车载功能控制方法、系统、装置和车辆，以解决现有技术中未经许可或授权的修改整车功能存在安全隐患的问题。

为解决上述技术问题，本申请提出一种车载功能控制方法，包括：根据本地的过滤列表对当前访问请求进行合法性校验；其中，过滤列表记录授权软件版本信息，访问请求携带软件版本信息；在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息不一致时，将访问请求携带的软件版本信息上传至后台服务器进行二次校验；根据后台服务器校验通过的反馈，更新本地的过滤列表，并响应当前的访问请求；或，根据后台服务器校验不通过的反馈，拒绝当前的访问请求，并将当前的软件版本更新回被授权的软件版本。

可选地，通过付费购买的合法渠道获得新的车载功能的使用授权，并根据新的车载功能更新本地的过滤列表。

可选地，在车辆下线时生成初始的过滤列表并与车辆识别号码进行绑定。

可选地，在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息一致时，响应当前的访问请求。

可选地，通过空中下载技术将当前的软件版本更新回被授权的软件版本。

为解决上述技术问题，本申请提出一种车载功能控制系统，包括：

若干电子控制单元，安装有软件，用于对中央控制器提出访问请求，以使用车载功能；其中，访问请求携带软件版本信息；中央控制器，包括本地的过滤列表，过滤列表记录授权软件版本信息；用于根据本地的过滤列表对当前访问请求进行合法性校验；在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息不一致时，将访问请求携带的软件版本信息上传至后台服务器进行二次校验；根据后台服务器校验通过的反馈，更新本地的过滤列表，并响应当前的访问请求；或，根据后台服务器校验不通过的反馈，拒绝当前的访问请求，并将当前的软件版本更新回被授权的软件版本；后台服务器，包括整车的软件版本信息绑定库，用于根据软件版本信息绑定库对访问请求携带的软件版本信息进行二次校验；当访问请求携带的软件版本信息匹配软件版本信息绑定库，则校验通过；当访问请求携带的软件版本信息不匹配软件版本信息绑定库，则校验不通过。

可选地，中央控制器还用于通过付费购买的合法渠道获得新的车载功能的使用授权，并根据新的车载功能更新本地的过滤列表。

可选地，中央控制器还用于在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息一致时，响应当前的访问请求。

为解决上述技术问题，本申请提出一种车载功能控制装置，包括：包括存储器和处理器，存储器连接处理器，存储器存储有计算机程序，计算机程序被处理器执行时实现上述的方法。

为解决上述技术问题，本申请提出一种车辆，包括车辆本体和上述的车载功能控制系统。

本申请提出车载功能控制方法、系统、装置和车辆，根据本地的过滤列表对当前访问请求进行合法性校验，在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息不一致时，将访问请求携带的软件版本信息上传至后台服务器进行二次校验；校验通过，则更新本地的过滤列表，并响应当前的访问请求；校验不通过，则拒绝当前的访问请求，并将当前的软件版本更新回被授权的软件版本。本申请可以拒绝携带软件版本信息不符合过滤列表及后台服务器访问请求，从而保护整车的安全性。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施方式中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请车载功能控制方法一实施例的流程示意图；

图2是本申请SOME/IP协议一实施例的示意图；

图3是本申请基于服务的车载功能电器架构一实施例的示意图；

图4是本申请车载功能控制系统一实施例的结构示意图；

图5是本申请车载功能控制装置一实施例的结构示意图。

具体实施方式

为使本领域的技术人员更好地理解本申请的技术方案，下面结合附图和具体实施方式对本申请所提供车载功能控制方法、系统、装置和车辆进一步详细描述。

随着汽车功能越来越多，汽车软件的应用生态也越来越丰富，同时软件的开放度也越来越高，未来用户或许可以通过安装应用或者升级软件的方式来为自己车辆增加功能。

用户需要通过修改软件的(如：修改配置、安装应用软件)方式来增加功能。然而，过高的开放度就面临安全的风险。基于服务的方式，如可以控制车辆行为的许多功能接口都是暴露在汽车的网络当中，但为确保安全等因素，一般需要厂商授权后才能进行修改，而某些情况下，用户自行通过其他途径修改软件后(如：破解或替换硬件等)同样能增加车载功能。在该种模式下，第三方应用也能去使用这些服务接口，若控制不当，可能引发行车安全问题，关系重大。

第三方(即未经授权的)应用修改增加的功能，即损害了主机厂的利益，同时也为车辆的安全以及可靠性带来影响。基于此，本申请提出一种车载功能控制方法，以确保整车的安全性。请参阅图1，图1是本申请车载功能控制方法一实施例的流程示意图，车载功能控制方法可以包括以下步骤：

S110：根据本地的过滤列表对当前访问请求进行合法性校验；其中，过滤列表记录授权软件版本信息，访问请求携带软件版本信息。

本实施例的车载功能控制方法可应用于通过服务接口获得车载功能的车辆，车辆可以包括汽车、电动汽车、混合动力汽车等。其中，车身需要搭载以太网(如IEEE 100BASE-TX)和使用基于服务(如SOME/IP协议)通信的车载系统。

SOA(Service-Oriented Architecture，面向服务的架构)是一种组件模型，它将应用程序的不同功能单元(或称为服务)进行拆分，并通过这些服务之间定义好的接口和协议联系起来。接口是采用中立的方式进行定义的，它一般独立于实现服务的硬件平台、操作系统和编程语言。

而SOME/IP协议则是目前实现SOA最常用的一种中立的接口或者称之为最常用的应用中间件。它在传输层UDP/TCP协议基础之上，应用层之下的特定协议，拥有特定的服务交互机制，服务上线后广播告知域内其它节点，其他节点收到服务广播后，可更具自身的实际需求，请求或订阅相关服务接口。在面向服务的架构下，应用可以通过网络进行分布式部署、组合和使用。

本实施例中以SOME/IP协议为例介绍车载功能控制方法，在其他的实施例中也可以采用其他的服务通信方式。

请参阅图2，图2是本申请SOME/IP协议一实施例的示意图。通过SOME/IP协议的Methods和Fields服务交互机制，可以访问到汽车上的功能。例如，通过Methods中的“请求/回应”可以打开摄像头物体检测功能，通过Fields中的“Setter”可以设置汽车行车落锁功能等。

在车辆下线时可以生成初始的过滤列表并与车辆识别号码(VIN，VehicleIdentification Number)进行绑定。如下表所示：

过滤表	VIN码
		过滤表1	VIN1234567891
过滤表2	VIN1234567892
		过滤表3	VIN1234567893
……	……

当功能以基于服务的形式(如采用SOME/IP协议)进行交互时，整车基于服务功能项都将与服务ID(整个内唯一)根据协议规则设定进行对应。由于车辆的网络环境相对简单，一般情况下，服务的提供方和服务的使用方都能通过有限的列表进行表达，即通过过滤列表记录授权软件版本信息。当一个电子控制单元(ECU，Electronic Control Unit)或者网络上某个零件在没有通过预先设定的情况下需要使用某个服务，是可以被探测到的，所以，可以通过过滤列表来实现对访问请求的过滤。

过滤列表可以存储在多处，例如后台服务器、中央控制器、网关、网络转发处等。一般情况下，服务提供方的电子控制单元可以拒绝为订阅者提供服务，但此种做法需要在每一个提供服务的电子控制单元中都实现一套过滤表，在升级新功能时，需要涉及到多个电子控制单元软件的修改，因此，将过滤列表设置在中央控制器、网关或者网络转发处等处，使得访问请求先经过中央控制器、网关或者网络转发处进行合法性校验后，再去往提供服务的电子控制单元，可以减少过滤列表的设置数量，只需一套过滤列表即可。

当某个电子控制单元或者网络接口中有服务访问请求时，网关可以通过过滤列表进行检测。其中，过滤列表记录授权软件版本信息，访问请求携带软件版本信息。

若发现访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息不一致，则判断该次访问请求为非法行为，继续执行步骤S120；若发现访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息一致，则判断该次访问请求合法，可直接响应当前的访问请求。

当车辆生产完成后，汽车自带的软件功能可以只具备一些最基础的软件，生成初始的过滤列表，后续由客户通过安全的合法渠道挑选适合的功能，通过OTA的方式对车载功能进行更新，并相应地更新过滤列表，从而完成个性化的定制。

在一些实施例中，官方也可以对某些车载功能进行收费，车主可以通过付费购买的方式在合法渠道获得新的车载功能的使用授权，并根据新的车载功能更新本地的过滤列表。

S120：在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息不一致时，将访问请求携带的软件版本信息上传至后台服务器进行二次校验。

在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息不一致时，则判断该次访问请求为非法行为。在网关检测到非法访问行为时，可以认为发起该访问请求的电子控制单元的软件可能存在非法修改，或网关控制的某个端口存在非法入侵。

同时网关将访问请求携带的软件版本信息上传至后台服务器进行二次校验。后台服务器反馈校验通过时，执行步骤S130；后台服务器反馈校验不通过时，执行步骤S140。

可选地，后台服务器还可以获得访问请求的软件校验码并校验。校验码可以为CRC(Cyclic Redundancy Check，循环冗余校验)码或Checksum(总和检验)码。

其中，CRC码是一种根据网络数据包或计算机文件等数据产生简短固定位数校验码的一种信道编码技术，主要用来检测或校验数据传输或者保存后可能出现的错误。它是利用除法及余数的原理作为错误侦测的。Checksum码用于在数据处理和数据通信领域中，校验目的的一组数据项的和。这些数据项可以是数字或在计算检验总和过程中看作数字的其它字符串。

后台服务器存储有整车的软件版本信息绑定库，当访问请求携带的软件版本信息匹配软件版本信息绑定库，则校验通过；当访问请求携带的软件版本信息不匹配软件版本信息绑定库，则校验不通过。

软件版本信息绑定库记载整车可授权的软件版本信息，官方可以对软件版本信息绑定库进行不断更新。

S130：根据后台服务器校验通过的反馈，更新本地的过滤列表，并响应当前的访问请求。

当访问请求携带的软件版本信息匹配软件版本信息绑定库，则校验通过，证明该功能已被授权，可以下发新的过滤列表，根据新的过滤列表更新本地的过滤列表，并响应当前的访问请求。

S140：根据后台服务器校验不通过的反馈，拒绝当前的访问请求，并将当前的软件版本更新回被授权的软件版本。

当访问请求携带的软件版本信息不匹配软件版本信息绑定库，则校验不通过，证明该功能未被授权，后台服务器将异常功能反馈至车辆的网关，网关根据过滤列表拒绝当前的访问请求。同时，后台可以启动通过空中下载技术(Over-the-Air Technology，OTA)升级推送，将当前的软件版本更新回被授权的软件版本。

本实施例提出车载功能控制方法，根据本地的过滤列表对当前访问请求进行合法性校验，在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息不一致时，将访问请求携带的软件版本信息上传至后台服务器进行二次校验；校验通过，则更新本地的过滤列表，并响应当前的访问请求；校验不通过，则拒绝当前的访问请求，并将当前的软件版本更新回被授权的软件版本。本申请可以拒绝携带软件版本信息不符合过滤列表及后台服务器访问请求，从而保护整车的安全性。

请参阅图3，图3是本申请基于服务的车载功能电器架构一实施例的示意图。在本实施例中，中央控制器包含过滤列表，过滤列表记录授权软件版本信息。ECU E相当于上述的网关，可以进行外部通信。

其中，外部通信可以包括连接因特网的一些数据库和服务器，并通过外部网络，以3G/4G，或者5G等通信方式与ECU E进行通信。中央控制器分别连接ECU A、ECU C、ECU D和ECU E。可选地，本实施例中的中央控制器还设置有预留端口。

ECU E提供了服务接口1、服务接口2，ECU C可以访问服务接口2，ECU D可以访问服务接口1。默认情况下，ECU E允许ECU C和ECU D进行访问，即判断ECU C和ECU D对ECU E的访问请求为正常访问。当ECU A发起对服务接口1的访问时，由于ECU A的最初设定时不能访问服务接口1的，所以ECU A发起的此次请求将会被拒绝，即判断ECU A对ECU E的访问请求为异常访问。

具体步骤如下：

1)用户可通过付费购买的方式获取某项汽车功能的使用授权。授权新的功能意味着某个ECU能访问其他控制器的服务接口。其中，该种情况一定条件下是以OTA升级为基础，即软件升级。

2)后台服务器中根据车辆识别码，绑定有该车各ECU的软件版本信息，即授权软件版本。升级完成后，更新(或添加)绑定的软件版本信息。

3)新的功能一般情况下需要结合网络上的其他信息才能工作，因此，升级完成软件后，需要对应的更新过滤列表内容，新功能才能通过网络访问到其它ECU提供的服务。

4)当如上图中的ECU A有异常访问行为时，中央控制器通过过滤列表能够检测到该异常访问行为。

5)当中央控制器检测到异常行为之后，将发布指令，读取该ECU的软件信息。

6)中央控制器将读取到的异常信息发送给后台服务器。

7)后台服务器通过对比校验的方式，查看该ECU的软件是否为发行版本。

8)如果该软件版本为能在该整车的软件版本信息绑定库中查询到，则下发新的过滤列表，更新中央控制器中的过滤列表，以允许该访问行为。

9)如果后台检测到该软件版本信息异常，则给该ECU下发已授权的软件版本，通过OTA的方式，刷新该ECU的软件，从而消除该异常访问行为。

在基于服务的通讯架构中，服务接口的访问都是开放式的，各节点都能访问，此种情况下，某些安全相关的服务接口一般情况下是能被其它无关节点进行访问的，因此，中央控制器中的过滤列表能阻止异常访问，同时，由于异常访问一般情况下是有ECU的软件进行了违规的变更。因此在读取到ECU的软件信息与后台授权软件版本信息不符合时，强制通过OTA的方式将软件刷新回原来的状态。确保整车的安全性。

请参阅图4，图4是本申请车载功能控制系统一实施例的结构示意图。在本实施例中，车载功能控制系统可以包括若干电子控制单元41、中央控制器42和后台服务器43。车载功能控制系统可用于执行上述的车载功能控制方法。

电子控制单元41又称“行车电脑”或者“车载电脑”。电子控制单元41安装有软件，用于对中央控制器42提出访问请求，以使用车载功能；其中，访问请求携带软件版本信息。

中央控制器42，包括本地的过滤列表，过滤列表记录授权软件版本信息；用于根据本地的过滤列表对当前访问请求进行合法性校验；在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息不一致时，将访问请求携带的软件版本信息上传至后台服务器43进行二次校验；在访问请求携带的软件版本信息与过滤列表记录的授权软件版本信息一致时，响应当前的访问请求。

根据后台服务器43校验通过的反馈，更新本地的过滤列表，并响应当前的访问请求；或，根据后台服务器43校验不通过的反馈，拒绝当前的访问请求，并将当前的软件版本更新回被授权的软件版本。

后台服务器43，包括整车的软件版本信息绑定库，用于根据软件版本信息绑定库对访问请求携带的软件版本信息进行二次校验；当访问请求携带的软件版本信息匹配软件版本信息绑定库，则校验通过；当访问请求携带的软件版本信息不匹配软件版本信息绑定库，则校验不通过。

需要说明的是，车载功能控制系统也可以进行集成化的处理，例如将后台服务器集成在中央控制器等。在不冲突的情况下，车载功能控制系统可以根据实际产品进行集成化处理。

可选地，中央控制器42还用于通过付费购买的合法渠道获得新的车载功能的使用授权，并根据新的车载功能更新本地的过滤列表。

本申请还提出一种车载功能控制装置，如图5所示，图5是本申请车载功能控制装置一实施例的结构示意图。车载功能控制装置可以包括存储器51和处理器52，存储器51连接处理器52，存储器51中存储有计算机程序，计算机程序被处理器52执行时实现上述任一实施例的方法。其步骤和原理在上述方法已详细介绍，在此不再赘述。

在本实施例中，处理器52还可以称为CPU(central processing unit，中央处理单元)。处理器52可以是一种集成电路芯片，具有信号的处理能力。处理器52还可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本申请还提出一种车辆，包括车辆本体和上述的车载功能控制系统，可实现上述的车载功能控制方法，其步骤和原理在上述方法已详细介绍，在此不再赘述。

可选地，车辆可以包括汽车、电动汽车、混合动力汽车等。

可以理解的是，此处所描述的具体实施例仅用于解释本申请，而非对本申请的限定。另外为了便于描述，附图中仅示出了与本申请相关的部分而非全部结构。文中所使用的步骤编号也仅是为了方便描述，不对作为对步骤执行先后顺序的限定。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

以上所述仅为本申请的实施方式，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims

1.一种车载功能控制方法，其特征在于，包括：

根据本地的过滤列表对当前访问请求进行合法性校验；其中，所述过滤列表记录授权软件版本信息，所述访问请求携带软件版本信息；

在所述访问请求携带的软件版本信息与所述过滤列表记录的授权软件版本信息不一致时，将所述访问请求携带的软件版本信息上传至后台服务器进行二次校验；

根据所述后台服务器校验通过的反馈，更新所述本地的过滤列表，并响应当前的访问请求；或，

根据所述后台服务器校验不通过的反馈，拒绝当前的访问请求，并将当前的软件版本更新回被授权的软件版本。

2.根据权利要求1所述的车载功能控制方法，其特征在于，还包括：

通过付费购买的合法渠道获得新的车载功能的使用授权，并根据所述新的车载功能更新所述本地的过滤列表。

3.根据权利要求2所述的车载功能控制方法，其特征在于，还包括：

在车辆下线时生成初始的过滤列表并与车辆识别号码进行绑定。

4.根据权利要求1所述的车载功能控制方法，其特征在于，还包括：

在所述访问请求携带的软件版本信息与所述过滤列表记录的授权软件版本信息一致时，响应当前的访问请求。

5.根据权利要求1所述的车载功能控制方法，其特征在于，所述前的软件版本更新回被授权的软件版本，包括：

通过空中下载技术将当前的软件版本更新回被授权的软件版本。

6.一种车载功能控制系统，其特征在于，包括：

若干电子控制单元，安装有软件，用于对中央控制器提出访问请求，以使用车载功能；其中，所述访问请求携带软件版本信息；

所述中央控制器，包括本地的过滤列表，所述过滤列表记录授权软件版本信息；用于根据本地的过滤列表对当前访问请求进行合法性校验；在所述访问请求携带的软件版本信息与所述过滤列表记录的授权软件版本信息不一致时，将所述访问请求携带的软件版本信息上传至后台服务器进行二次校验；根据所述后台服务器校验通过的反馈，更新所述本地的过滤列表，并响应当前的访问请求；或，根据所述后台服务器校验不通过的反馈，拒绝当前的访问请求，并将当前的软件版本更新回被授权的软件版本；

所述后台服务器，包括整车的软件版本信息绑定库，用于根据所述软件版本信息绑定库对所述访问请求携带的软件版本信息进行二次校验；当所述访问请求携带的软件版本信息匹配所述软件版本信息绑定库，则校验通过；当所述访问请求携带的软件版本信息不匹配所述软件版本信息绑定库，则校验不通过。

7.根据权利要求6所述的车载功能控制系统，其特征在于，

所述中央控制器还用于通过付费购买的合法渠道获得新的车载功能的使用授权，并根据所述新的车载功能更新所述本地的过滤列表。

8.根据权利要求6所述的车载功能控制系统，其特征在于，

所述中央控制器还用于在所述访问请求携带的软件版本信息与所述过滤列表记录的授权软件版本信息一致时，响应当前的访问请求。

9.一种车载功能控制装置，其特征在于，包括：包括存储器和处理器，所述存储器连接所述处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时实现权利要求1-5中任一项所述的方法。

10.一种车辆，其特征在于，包括车辆本体和权利要求6-8任一项所述的车载功能控制系统。