本公开涉及至少部分地基于在车辆处接收到的时间值来更新车辆时钟。
许多电子装置和/或系统包括与协调通用时间(utc)对应的实时时钟。例如,许多车辆包括可用于提供或补充无数车辆功能(诸如显示车辆用户要查看的时间)的实时时钟。另外,该时钟可用于执行车辆功能,诸如协调车辆共享预约。在这种情况下,用户可在某些时间区间预约某个车辆,并且因此车辆可使得户能够基于预约时间并且根据车辆时钟来访问车辆。本领域技术人员将认识到车辆时钟的其他用途。
技术实现要素:
根据第一实施例,提供了一种设定车辆处的时钟的方法,包括:操作安装在车辆中的车辆时钟;经由无线通信接收外部时间信号,其中该外部时间信号是包括时间值的无线通信信号;确定自从最近时钟更新以来是否已经经过了预定时间量;当确定自从最近车辆时钟更新以来已经经过了预定时间量时,执行以下步骤(d1)到(d3):(d1)计算测量漂移和漂移极限;(d2)确定测量漂移是否小于漂移极限;以及(d3)当确定测量漂移小于漂移极限时,将车辆时钟设定为包括在接收到的外部时间信号中的时间值。
根据其他实施例,提供了第一实施例,其进一步包括以下任何一项或多项:
-包括在车辆中的全球导航卫星系统(gnss)模块处接收外部时间信号,并且其中外部时间信号是gnss信号;
-gnss模块经由车辆电子器件中包括的控制器局域网(can)总线将包括在gnss信号中的时间值发送到车辆系统模块;
-测量漂移基于接收到的外部时间信号中包括的时间值和基于根据车辆时钟的当前时间;
-漂移极限基于预设时间周期值和漂移因子,其中预设时间周期值是车辆可容忍的与漂移因子对应的漂移量的时间量,并且其中预设时间周期值和漂移因子被存储在车辆电子器件中包括的存储器装置中;
-漂移因子进一步基于车辆时钟上次更新时间;
-从蜂窝载波系统或连接到蜂窝载波系统的装置接收外部时间信号;
-当确定测量漂移小于漂移极限时,根据车辆时钟将车辆时钟上次更新时间更新到当前时间;
-gnss模块经由车内无线网络将包括在gnss信号中的时间值发送到车辆系统模块;
-当确定测量漂移不小于漂移极限时,向远程设施发送通知;
-响应于确定测量漂移不小于漂移极限而采取一种或多种安全措施;
-一个或多个安全措施包括向车辆的用户、操作者、所有者或管理员发送通知;和/或
-车辆时钟的设定是车辆时钟的初始设定,并且其中在设定步骤之后执行操作步骤。
根据第二实施例,提供了一种在设定车辆处的时钟的方法,该方法包括:将时间漂移因子存储在安装在车辆中的车辆电子器件中包括的非易失性存储器装置中;使包括安装在车辆中的车辆电子器件中包括的处理器的车辆时钟递增;在安装于车辆中作为车辆电子器件的一部分的全球定位系统(gps)模块处接收外部时间gps信号,其中该外部时间信号是包括时间值的无线通信信号,并且其中gps模块通信地耦合到包括在车辆电子器件中的通信总线;确定自从车辆时钟上次更新时间以来是否经过了预定时间量,其中该车辆时钟上次更新时间表示车辆时钟的上次更新时间,并且其中该确定是通过根据车辆时钟的当前时间与车辆时钟上次更新时间值之间的差值来进行;并且当确定自从车辆时钟上次更新时间以来已经经过了预定时间量时:从包括在车辆的车辆电子器件中的非易失性存储器装置中调用时间漂移因子;计算测量漂移,其中测量漂移基于当前车辆时间与外部时间信号中的时间值之间的差值;计算漂移极限,其中该漂移极限基于所存储的时间漂移因子以及以下任何一项或多项:当前车辆时间、车辆时钟上次更新时间值和预设漂移时间周期;确定测量漂移是否小于漂移极限;当确定测量漂移小于漂移极限时,将车辆时钟设定为包括在接收到的外部时间信号中的时间值。
附图说明
在下文中将结合附图描述示例性实施例,其中相同的标号表示相同的元件,并且其中:
图1是描绘能够利用本文公开的方法的通信系统的实施例的框图;并且
图2是说明设定车辆处的时钟的方法的流程图。
具体实施方式
下面的系统和方法使得车辆能够根据无线接收的时间信号自动且安全地更新或设定车辆时钟。该方法通常包括以下步骤:接收外部时间信号,诸如包括时间值的全球定位系统(gps)信号,并且如果自从时钟上次更新以来已经经过了某个时间,则计算测量漂移时钟和漂移极限;并且当确定测量漂移小于漂移极限时,根据在外部时间信号(例如,gps时间值)中所指示的时间来设定时钟。
车辆时钟可向车辆用户提供各种时间敏感特征或功能,其中的一些可能容易受到恶意攻击。恶意时间攻击可用来操纵车辆时钟,使得禁用安全措施或降低安全程度,由此增加车辆对恶意操作的易受攻击性。例如,携带时间值的伪造无线信号(例如,伪造的gps信号)可在车辆处或车辆附近产生,意图是车辆将接收信号并且根据伪造时间值更新车辆时钟。在一个实施例中,仅当接收到的外部时间信号接近于时钟的时间时才更新车辆时钟,并且这可例如通过仅在所计算的漂移值不小于接收到的时间(例如,gps信号)与根据车辆时钟的当前时间之间的差值时才更新时钟来进行。在这样的实施例中,即使车辆更新时钟以使用包括在伪造信号中的时间值,时钟也将仅改变最小量(即,最多等于漂移极限的量值),由此可减少任何恶意操作的程度。
现在参考图1,示出了包括可用于实施本文所公开的方法的通信系统10的操作环境。通信系统10通常包括具有gps模块22和时钟40的车辆12、卫星群60、一个或多个无线载波系统70、陆地通信网络76、计算机78、远程设施80以及移动装置90。应当理解的是,所公开的方法可结合任何数量的不同系统使用并且不具体限于这里所示的操作环境。另外,系统10和其个别部件的架构、构造、设置和操作在本领域中是通常已知的。因此,以下段落仅仅提供了针对一个这样的通信系统10的简要概述;然而,这里未示出的其他系统也可采用所公开的方法。
无线载波系统70可为任何合适的蜂窝电话系统。载波系统70被示为包括手机信号塔72;然而,载波系统70可包括以下一个或多个部件(例如,取决于蜂窝技术):手机信号塔、基站收发器台、移动交换中心、基站控制器、演进节点(例如,enodeb)、移动性管理实体(mme)、服务和pgn网关等,以及将无线载波系统70与陆地网络76连接或将无线载波系统与用户设备(例如,ue,其包括车辆12中的远程信息处理设备)所需要的任何其他联网部件。载波系统70可实施任何合适的通信技术,包括例如gsm/gprs技术、cdma或cdma2000技术、lte技术等。通常,无线载波系统70、它们的部件、它们的部件的布置、部件之间的交互等在本领域中通常是已知的。
除使用无线载波系统70之外,可使用呈卫星通信的形式的不同无线载波系统来提供与车辆的单向或双向通信。这可使用一个或多个通信卫星(未示出)和上行链路传输站(未示出)来进行。单向通信可为(例如)卫星无线电服务,其中节目内容(新闻、音乐等)是由上行链路传输站接收、封装上传并且然后发送到卫星,从而向用户广播该节目。双向通信可为(例如)使用一个或多个卫星以在车辆12与上行链路传输站之间中继电话通信的卫星电话服务。如果使用,那么除了或代替无线载波系统70,可利用此卫星电话。
陆地网络76可为连接到一个或多个陆线电话并且将无线载波系统70连接到远程设施80和/或计算机的常规陆基电信网络。例如,陆地网络76可包括诸如用于提供硬接线电话、分组交换数据通信和因特网基础设施的公共交换电话网(pstn)。一段或多段陆地网络76可通过使用标准有线网络、光纤或其他光学网络、电缆网络、电力线、其他无线网络(诸如无线局域网(wlan))或提供宽带无线接入(bwa)的网络或其任何组合来实施。
计算机78(仅示出一个)可为经由诸如因特网等专用或公共网络可接入的多个计算机中的一些计算机。每个这样的计算机78可用于一个或多个目的,诸如可由车辆12接入网络服务器。其他这样的可接入计算机78可为例如:服务中心计算机,其中可从车辆上传诊断信息和其他车辆数据;由车主或其他用户使用的客户端计算机,其用于诸如接入或接收车辆数据或设定或配置用户偏好或控制车辆功能等目的;汽车共享服务器,其协调来自请求使用车辆的多个用户的注册作为汽车共享服务的一部分;网络时间协议(ntp)或精确时间协议(ptp)服务器或系统;或第三方数据仓库,将车辆数据或其他信息提供到该第三方数据仓库或从该第三方数据仓库提供车辆数据或其他信息,而无关于是否与车辆12、远程设施80或两者进行通信。计算机78还可用于提供诸如域名系统(dns)服务器或网络地址服务器等因特网连接性,该网络地址服务器使用动态主机配置协议(dhcp)或其他合适协议来将因特网协议(ip)地址分配到车辆12。
在一个实施例中,计算机78可为托管网络时间协议(ntp)或精确时间协议(ptp)(ieee1588)软件或应用程序的一组服务器。在一个示例中,客户端装置(诸如车辆12中的无线通信装置30)可向ntp服务器78发送时间同步请求消息。响应于时间同步请求消息,ntp服务器78可向装置30发送包括同步时间值的一个或多个响应消息,使得装置30处的时钟可与ntp服务器78已知的通用时间(例如,utc)同步。服务器78与装置30之间的通信可使用用户数据报协议(udp)、传输控制协议(tcp)、因特网协议(ip)或者它们任何组合(例如,tcp/ip)。
远程设施80可被设计为向车辆电子器件20和移动装置90提供多个不同的系统后端功能。例如,远程设施80可部分用于实施汽车共享服务。在这种情况下,远程设施80可协调车辆的注册、存储关于汽车共享服务的注册或其他方面的数据,和/或向srwc装置、用户和/或车辆提供认证和授权数据。远程设施80可包括本领域中全部已知的一个或多个交换机、服务器、数据库、现场顾问以及自动语音响应系统(vrs)。远程设施80可包括任何一个或全部这些各种各样的部件,并且优选地,各种部件中的每一个经由有线或无线局域网相互耦合。远程设施80可经由连接到陆地网络76的调制解调器接收和传输数据。远程设施处的数据库可存储诸如用户认证信息、车辆标识符、简档记录、行为模式和其他相关用户信息等账户信息。数据传输也可以由诸如802.11x、gprs等无线系统进行。虽然所说明的实施例已经被描述为其将结合使用实时顾问的人工远程设施80使用,但是应当明白的是,数据中心反而可利用vrs作为自动顾问,或可使用vrs与实时顾问的组合。
车辆12在所说明的实施例中被描绘为客车,但是应当明白的是,也可使用包括摩托车、卡车、运动型多功能车(suv)、娱乐车(rv)、船舶、飞机等任何其他车辆。一些这样的车辆电子器件20总体上在图1中示出并且可包括无线通信装置30、车辆时钟40、gps模块22、发动机控制单元(ecu)24、其他vsm42以及许多其他部件和装置。一些或全部不同的车辆电子器件可经由一个或多个通信总线(诸如总线44)被连接用于彼此通信。通信总线44使用一个或多个网络协议向车辆电子器件提供网络连接。合适的网络连接的示例包括控制器局域网(can)、媒体导向系统传输(most)、本地互连网络(lin)、局域网(lan)以及其他适当的连接(诸如以太网或符合已知的iso、sae和ieee标准和规范的其他网络),仅举几例。
车辆12可包括作为车辆电子器件20的一部分的多个车辆系统模块(vsm),所有这些车辆系统模块作为其整体部分安装在车辆中。所安装的vsm作为oem安装部件被物理地集成到车辆中,但是一些vsm可能作为售后部件而安装。所安装的vsm与车辆电子器件的其他部分具有电力和/或数据连接,该其他部分是硬接线的或者是无线连接的。如将在下面详细描述的,vsm的示例包括gps模块22、发动机控制单元(ecu)24、无线通信装置30和车辆用户界面52到58。车辆12还可包括位于整个车辆中并且可从一个或多个传感器接收输入并且使用所感测的输入来执行诊断、监测、控制、报告和/或其他功能的电子硬件部件形式的其他vsm42。例如,其他vsm可包括远程信息处理单元、车身控制模块(bcm)、中央堆叠模块(csm)、信息娱乐单元,动力系控制模块或变速器控制单元。每个vsm42优选地通过通信总线44连接到其他vsm以及无线通信装置30,并且可被编程为运行车辆系统和子系统诊断测试。一个或多个vsm42可周期性地或偶尔地更新它们的软件或固件,并且在一些实施例中,这样的车辆更新可为经由陆地网络76和通信装置30从计算机78或远程设施80接收的无线(ota)更新。如本领域技术人员所明白,上述vsm仅为可用于车辆12中的一些模块的示例,因为许多其他模块也是可能的。
发动机控制单元(ecu)24可控制发动机操作的各个方面,诸如燃料点火和点火正时。ecu24连接到通信总线44并且可从bcm(未示出)或其他车辆系统模块(诸如无线通信装置30或vsm42)接收操作指令。在一种情况下,ecu24可从bcm接收启动车辆的命令-即,起始车辆点火或其他主推进系统(例如,电池供电式电动机)。在另一种情况下,ecu24可被提供来自无线通信装置30或bcm的信号,该信号指导ecu24不执行任何操作或者至少不启动车辆的发动机或主推进系统。响应于从计算机78或远程设施80接收到远程车辆禁用(rvd)命令,该信号可由装置30或bcm发送。响应于检测到攻击或潜在攻击(例如,尝试将时间设定超出漂移极限),可设定远程车辆禁用功能以保护车辆免受潜在的盗窃或恶意操作。这种攻击(例如,无效时间设定请求)也可被传送给其他车辆模块以供它们的考虑,这可能导致这些车辆模块重新评估它们对提供时间信息的模块的信任。
无线通信装置30能够经由短程无线通信(srwc)来传送数据。如图1的示例性实施例中所示,无线通信装置30包括无线接入点32、处理器34、存储器36和一个或多个天线38(仅示出一个)。在许多实施例中,无线通信装置30可被具体配置为执行本文公开的方法。在一个实施例中,无线通信装置30可为独立模块,或者在其他实施例中,装置30可被结合或包括作为一个或多个其他车辆系统模块(诸如中央堆叠模块(csm)、车身控制模块、信息娱乐模块、远程信息处理模块、主机和/或网关模块)的一部分。在一些实施例中,装置30可被实施为安装在车辆中的oem安装(嵌入式)或售后市场装置。
无线通信装置30可被配置为根据一个或多个无线协议来进行包括短距离无线通信(srwc)的无线通信,该无线协议诸如ieee802.11协议、wi-fitm、wimaxtm、zigbeetm、wi-fi直连tm、蓝牙tm、低功耗蓝牙tm(ble)或近场通信(nfc)。srwc芯片集32使得无线通信装置30能够传输和接收srwc,诸如ble。srwc芯片集可允许装置30连接到另一个srwc装置。如本文所使用,短程无线通信(srwc)装置是能够进行srwc的装置并且可包括srwc芯片集。另外,在一些实施例中,无线通信装置可包含蜂窝芯片集,由此允许该装置经由一个或多个蜂窝协议(诸如由蜂窝载波系统70使用的蜂窝协议)进行通信。
在一个实施例中,无线通信装置30可在车辆处于通电状态时以及在车辆处于断电状态时操作。如本文所使用,“通电状态”是其中车辆的点火或主推进系统通电的车辆状态,并且如本文所使用,“断电状态”是其中车辆的点火或主推进系统(或主原动机)未通电的车辆状态。无线通信装置30的操作或状态可由另一个车辆系统模块控制,诸如通过bcm或信息娱乐模块控制。在通电状态下,无线通信装置30可始终保持“开启”或由车辆电池或其他电源供电。在断电状态下,无线通信装置30可保持在低功率模式或者可周期性地供电,使得装置30可唤醒并执行操作。
除了充当用于使装置连接的无线接入点(wap)之外,无线通信装置30还可执行与另一个无线接入点(诸如非车辆无线接入点(wap))的无线通信。在这样的布置中,非车辆wap可连接到路由器并且诸如通过陆地网络76提供装置30到因特网或其他远程网络的连接。装置30可被设定为站或客户端模式,并且因此然后执行与非车辆wap的无线通信。如本文所使用,站或客户端模式是无线通信装置的操作模式,其使得该装置能够充当站或客户端装置,从而该允许装置扫描并连接到主机装置(例如,无线接入点)。更具体地,在客户端模式中,客户端装置允许另一个装置(例如,服务器装置)控制通信协议等。非车辆wap可被设定为无线接入点模式并且为装置30提供热点以在站模式下操作时连接。热点是可经由无线接入点在以站或客户端模式操作的无线装置与托管热点的装置之间建立无线数据连接的区域。应当理解的是,用于提供热点的协议不限于wi-fitm,并且可使用诸如以上列出的任何srwc。
无线通信装置30可提供车内无线网络,其是装置30经由无线通信与一个或多个其他车辆系统模块或部件进行通信的无线网络。例如,被讨论为车辆电子器件20的一部分的任何一个或多个vsm或部件可包括无线网络接口卡,该无线网络接口卡然后可用于与无线通信装置30传送信息。在一个实施例中,gnss模块22可经由无线通信向装置30发送信息。
无线通信装置30可经由分组交换数据通信与一个或多个远程网络进行通信。这种分组交换数据通信可通过使用经由路由器或调制解调器连接到陆地网络的非车辆无线接入点来执行。当用于诸如tcp/ip或udp/ip等分组交换数据通信时,通信装置30可被配置有静态ip地址,或者可被设定为自动从网络上的另一个装置(诸如路由器)或从网络地址服务器接收分配的ip地址。
分组交换数据通信也可经由使用可由装置30经由例如包括在车辆中的远程信息处理单元可接入的蜂窝网络来执行。在一个实施例中,通信装置30还可包括蜂窝芯片集或者可通信地耦合到包括诸如远程信息处理单元等蜂窝芯片集的装置。在任一事件中,通信装置30可经由蜂窝芯片集通过无线载波系统70传送数据。在这样的实施例中,可使用无线电传输来与无线载波系统70建立诸如语音信道和/或数据信道等通信信道,使得可通过信道发送和接收语音和/或数据传输。数据可经由数据连接(诸如经由通过数据信道的分组数据传输,或者经由使用本领域中已知的技术的语音信道)发送。对于涉及语音通信和数据通信这两者的组合服务来说,系统可利用通过语音信道的单个呼叫并且根据需要通过语音信道在语音与数据传输之间加以切换,并且这可以使用本领域技术人员已知的技术完成。
处理器34可为能够处理电子指令的任何类型的装置,包括微处理器、微控制器、主机处理器、控制器、车辆通信处理器和专用集成电路(asic)。它可为仅用于通信装置30的专用处理器,或者可与其他车辆系统共享。处理器34执行各种类型的数字存储的指令,诸如存储在存储器36中的软件或固件程序,其使得装置30能够提供各种各样的服务。例如,处理器34可执行程序或过程数据以执行本文讨论的方法的至少一部分。在一个实施例中,装置30包括使得处理器34能够实施车辆时钟的应用程序(例如,计算机程序)。可使用该程序或不同的程序来执行下文描述的图2的方法。存储器36可包括ram、其他暂时性供电存储器、任何非暂时性计算机可读介质(例如,nvram或eeprom)或存储执行本文讨论的各种外部装置功能所需的一些或全部软件的任何其他电子计算机介质。
全球导航卫星系统(gnss)或全球定位系统(gps)模块22从gps卫星群60接收无线电信号。根据协调通用时间(utc)或本地时钟,这些无线电信号可包括当前时间的时间值。在时间值为utc形式的情况下,车辆电子器件(例如,gps模块22或处理器34)可将时间值转换为本地值。在某些实施例中,gps信号中的时间值可能比车辆时钟更可靠,并且可用于更新车辆时钟或其他装置。而且,根据这些信号,模块22可确定车辆位置,该车辆位置可使得车辆能够确定车辆是否处于已知位置,诸如车辆是否在特定时区内或者车辆是否处于特定位置(例如,住宅或工作场所)。另外,gps模块22可将该位置数据提供给无线通信装置30,其然后可使用该数据来识别已知位置,诸如车辆操作者的住宅或工作场所,以及执行本文所述的方法。另外,gps模块22可用于向车辆操作者提供导航和其他位置相关服务。导航信息可呈现在显示器58(或车辆内的其他显示器)上或可用语言呈现,诸如在提供逐向导航时这样做。可使用专用车内导航模块(其可为gps模块22的一部分)提供导航服务,或可经由安装在车辆中的远程信息处理单元完成一些或全部导航服务,其中将位置信息发送到远程位置用于给车辆提供导航地图、地图注释(兴趣点、餐馆等)、路线计算等。可将位置信息供应到远程设施80或其他远程计算系统(诸如计算机78),以便用于其他目的,诸如车队管理和/或用于汽车共享服务。另外,可经由车辆远程信息处理单元将新的或更新的地图数据从远程设施80下载到gps模块22。在其他实施例中,可使用其他全球导航卫星系统(gnss)代替或结合gps使用,并且在这样的实施例中,车辆电子器件20可包括gnss模块,并且系统10可包括发射可由gnss模块接收的信号的gnss卫星群。也可使用其他卫星导航系统。
车辆时钟可以任何合适的方式来实施。在所说明的实施例中,车辆时钟40被示为电耦合到无线通信装置30的单独模块。然而,它可被结合到无线通信装置30或一些其他vsm中,或者可为连接到通信总线44的单独的vsm。在被实施为单独模块的情况下,其可从源自主车辆电池或燃料电池(未示出)的全时车辆电力运行;或者,它可能包括专用锂电池或其他电池,诸如在电子器件中用作cmos电池以对实时时钟(rtc)供电。时钟操作可作为模块的操作系统的一部分来执行,其中软件实施本文描述的方法作为操作系统的一部分或作为单独的软件模块或应用程序。替代地,时钟40可为附接到无线通信装置30或其他vsm42或与其进行通信的电路板上包括的单独部件或电路。
为了描述图2的方法以及所说明的实施例的目的,车辆时钟的操作将被描述为它将使用处理器34和存储在存储器36中的编程在无线通信装置30中实施。时钟的操作因此可包括使存储在寄存器或其他存储器(诸如存储器36)中的计数器或时钟时间递增。在车辆制造期间或之后,时间漂移因子可被存储在车辆的存储器装置中,诸如存储器36中。时间漂移因子可为表示某个时间周期过程(例如,12小时、24小时)内的可允许漂移量的数值,并且其可用于导出或计算漂移极限。时间漂移因子在车辆的寿命期间可保持恒定,或者可在访问服务设施期间或者经由可由车辆12从远程设施80接收的无线(ota)更新来更新。时间漂移因子也可为基于环境温度、湿度、气压、电源电压、晶体年限(例如,在包括晶体振荡器的车辆时钟的情况下)以及本领域技术人员可明白的其他因素来计算的可变值。存储器36或车辆电子器件20中的其他存储器装置可存储识别车辆时钟40已更新的最近时间(即,上次时间)的车辆时钟上次更新时间值。车辆时钟上次更新时间值可为时间值(例如,时间戳),并且每当车辆时钟40被设定为外部时间值(诸如从gps无线电信号、从ntp服务器或其他无线或有线装置接收到的时间值)时可被设定或更新。
如上所述,时钟40可驻留在车辆电子器件20的存储器装置(诸如存储器36)中。在这样的实施例中,时间可使用安全引导加载程序加载,该安全引导加载程序可为加载位于车辆电子器件20中的某个电子计算装置(诸如无线通信装置30)的操作系统的程序。引导加载程序可能是安全的,因为引导加载程序只执行经过签名或认证的代码或指令。这样的签名或认证部分可为证书并且可作为要由安全引导加载程序执行的代码的一部分而存在。在一些实施例中,车辆的初始化可取决于基于外部源证实并接受外部时间信号的安全引导加载程序。例如,如果外部时间信号被确定为由gnss信号产生或导出,则引导加载程序可使用外部时间信号来导出时间值;否则,引导加载程序可能会忽略外部时间信号。
车辆电子器件20还包括多个车辆用户界面,其向车辆乘员提供用于提供和/或接收信息的装置,包括按钮52、音频系统54、麦克风56和可视显示器58。如本文所使用,术语'车辆用户界面'广泛地包括任何合适形式的电子装置,包括硬件和软件部件这两者,该电子装置位于车辆上并且使得车辆用户能够与车辆的部件通信或通过车辆的部件进行通信。按钮52允许手动用户输入进入通信单元30以提供其他数据、响应或控制输入。音频系统54向车辆乘员提供音频输出,并且可为专用的、独立的系统或主车辆音频系统的一部分。根据这里所示的特定实施例,音频系统54操作地耦合到车辆总线44和娱乐总线(未示出)这两者,并且可提供am、fm和卫星无线电、cd、dvd和其他多媒体功能。该功能可与信息娱乐模块结合或独立于信息娱乐模块提供。麦克风56向无线通信装置30提供音频输入以使得驾驶员或其他乘员能够经由无线载波系统70提供语音命令和/或执行免提呼叫。为此,其可利用本领域中已知的人机界面(hmi)技术连接到车载自动语音处理单元。可视显示器或触摸屏58优选地是诸如仪表板上的触摸屏或从挡风玻璃反射的平视显示器等图形显示器,并且可用于提供多种输入和输出功能。也可利用各种其他车辆用户界面,因为图1的界面仅仅是一个特定实施方案的示例。
车辆12还可经由短程无线通信(srwc)(诸如上述ieee802.11或低功耗蓝牙tm协议)与移动装置90或被动进入技术钥匙扣或其他钥匙无线地通信,所述被动进入技术钥匙扣或在本文被称为被动进入钥匙(pek)(未示出)的其他钥匙进行无线通信。pek可包括主体,该主体包括用于用户交互的一个或多个开关或按钮;另外,该主体可携带用于srwc的处理器、存储器和无线传输器。如本领域技术人员将明白,pek存储器可存储和传输用于车辆处的pek验证的密钥。pek与车辆12的一些功能可为被动的(例如,不需要用户的手动输入),诸如当pek在车辆附近时启用车门的解锁,而其他功能可能需要主动输入,诸如按下pek上的按钮以例如解锁车辆的行李箱。在任一情况下,包括密钥的无线信号的传输可起始或控制一个或多个车辆功能,诸如锁定和解锁车门、启动车辆、操作车辆警报系统、操作车辆行李箱释放装置等。
移动装置90是srwc装置并且可包括:实现蜂窝电信和srwc以及其他移动装置应用的硬件、软件和/或固件。移动装置90的硬件可包括:处理器和用于存储软件、固件等的存储器(例如,被配置为与处理器一起操作的非暂时性计算机可读介质)。移动装置处理器和存储器可实现各种软件应用程序,其可由用户(或制造商)预先安装或安装(例如,具有软件应用程序或图形用户界面或gui)。车辆-移动装置应用的一个实施方案可使得车辆用户能够与车辆12进行通信和/或控制车辆的各种方面或功能,其中的一些方面或功能在上面列出。另一个实施方案可使得用户能够进行预约以使用作为汽车共享服务的一部分的车辆。另外,应用程序还可允许用户随时与远程设施80或呼叫中心顾问连接。在另一个实施例中,移动装置90可向车辆发送时间值,并且在接收到时间值之后,车辆可根据接收到的时间值来更新车辆时钟。移动装置90可从远程设施80或计算机78(其可为ntp或ptp服务器)或者从蜂窝载波系统70接收时间值。
在一些实施例中,移动装置90可能能够充当被动进入钥匙,诸如上述pek。例如,如上文所讨论,可向移动装置提供授权装置访问车辆的钥匙或其他信息。这样的情况可结合汽车共享服务来实施,由此远程设施(诸如远程设施80)协调汽车租赁或乘坐共享。远程设施可产生并向移动装置90和车辆12发出虚拟钥匙(例如,位串或位阵列)。然后,移动装置90可安全地将虚拟钥匙(例如,经由所建立的srwc连接)传递到车辆,并且车辆然后可确定虚拟钥匙是否被授权访问车辆和/或虚拟钥匙提供或与(例如,整车功能、仅解锁/锁定特征)相关联的访问级别。应用程序可实现这种虚拟钥匙管理和功能。如将在下面更详细讨论,一旦车辆认证和/或授权虚拟钥匙(或移动装置或移动装置的用户),车辆可自动地执行一个或多个车辆功能或可从移动装置接收一个或多个命令,其中该一个或多个命令指示车辆执行如下文将更详细讨论的一个或多个车辆功能或一组功能。
现在参考图2,示出了设定车辆处的时钟的方法200的实施例。在一些实施例中,方法200可由无线通信装置30部分地或全部地执行。方法200可用于各种情况以便避免不可忍受的时钟漂移和/或恶意时间攻击。如上所述,时钟40可能经历不可避免的时间漂移,并且为了解决任何时间漂移,时钟可使用外部时间源来更新到正确的时间。外部时间源可为可向时钟40提供表示当前时间的当前时间值(或可用于导出当前时间的值)的任何装置、部件、模块或系统。外部时间源的示例可为gps卫星,其向gps模块22提供包含时间值的gps信号;ntp或ptp服务器78,其可使用陆地网络76和蜂窝载波系统70来向车辆电子器件20提供当前时间值;或移动装置90,其可经由srwc向车辆12提供当前时间值。
恶意人员可实现使用外部时间信号来更新车辆时钟并且可试图伪造外部时间源,诸如使用gps伪造装置来伪造gps信号。这种伪造可能会试图通过伪造时间差值来改变车辆时钟。无线信号伪造可通过各种机制或策略(诸如作为导航信号的拦截和转播的模拟干扰)来执行。伪造时间差值是车辆时钟与伪造信号中呈现的伪造时间值之间的时间差值。在许多情况下,当恶意人员试图伪造车辆时钟时,与典型的时间漂移量相比,恶意人员希望对车辆时钟修改大量的时间(即,时钟漂移或偏离实际时间的时间量,这可能是每天测量的)。因此,在一些实施例中,可使用方法200来防止这种恶意攻击,同时仍然允许时钟被更新以避免不期望的(或不可容忍的)时间漂移,否则该时间漂移可能随着时间积累到更大的量。在一个实施例中,方法200在根据如下假定来操作:小于漂移极限的任何时间差值对于车辆操作无关紧要(即,可容忍的时间漂移)并且因此甚至具有小伪造时间差值的恶意伪造时间值(即,那些在漂移极限之下的值)是不重要的。
在所说明的实施例中,在方法200之前,时钟充当正常车辆功能的一部分,并且这可使用处理器34来完成以使时钟的当前时间值周期性地递增。方法200从步骤210开始,其中从外部时间源接收外部时间信号。在一些实施例中,在全球定位系统(gps)模块22处从gps卫星群60接收gps信号。本领域的技术人员将会认识到,任何全球导航卫星系统(gnss)均可用于代替gps或与gps结合使用。gps模块22可将gps数据输出到包括时间值部分和地理值部分的can总线44上。在一个示例中,输出的数据可根据国家海事电子协会(nmea)标准格式化。时间值部分包括诸如时间戳等时间值,并且地理值部分包括诸如经线和纬线值等地理值。一旦车辆接收到外部时间信号,该信号可被发送到另一个车辆系统模块。在一个实施例中,gps模块22可接收gps信号,该gps信号然后可经由can总线44被发送到无线通信装置30的处理器34。一旦在处理器34接收到外部时间信号,车辆可使用存储器36存储信号和/或使用处理器34解析信号或以其他方式处理信号,诸如确定信号是否有效(参见步骤220)。
在一个实施例中,当从外部时间源接收到外部时间信号时,可从时钟40获得外部信号接收时间并且将其保存到存储器36或其他存储器装置中。外部信号接收时间是当接收到外部时间信号时根据车辆时钟的时间。方法200继续到步骤220。
在步骤220中,车辆可确定接收到的外部时间信号是否有效以及自从最近时钟更新以来是否已经经过了预定时间量,其可由指定车辆时钟上次更新时间的车辆时钟更新时间来表示。在一些实施例中,当(例如,在gps模块或接收外部时间信号的其他模块处)接收的为适当或预期格式的信号可被认为是有效的外部时间信号。
在一个实施例中,车辆可使用包括在外部时间信号中的一个或多个位或字节来验证、证实、认证或授权信号或包括在信号中的内容。例如,一旦在gps模块22处从卫星群60接收到gps信号,则gps模块22然后可向无线通信装置30发送导出消息,其中导出消息是由gps模块22产生的至少部分从外部时间信号导出的消息。导出消息可包括指示由gps模块确定的消息的有效性的位或字节。在一个示例中,gps模块22或其他vsm42可使用传统接收器自主完整性监测(raim)或本领域技术人员已知的其他伪造缓解技术。gps模块可采用反伪造手段,诸如本领域中已知的手段。在确定信号无效或信号有可能无效时,该方法可继续回到步骤210。
除了确定外部时间信号是否有效之外,还确定自从车辆时钟上次更新时间以来是否已经经过了预定时间量(即,时钟更新周期)。时钟更新周期可在车辆12的初始化过程期间预设,并且可由远程设施或服务器(诸如远程设施80或计算机78)偶尔更新。在一个示例中,时钟更新周期可为12小时,使得车辆时钟上次更新时间值与当前车辆时钟时间之间的差值大于或等于12小时意味着已经经过了预定时间量,并且因此方法200进行到步骤230;否则,方法200返回到步骤210。在一些实施例中,可仅做出这些确定中的一个(例如,仅确定外部时间信号是否有效,或者仅确定自从车辆时钟上次更新时间以来是否已经经过了预定时间量)。
在步骤230中,计算测量漂移,并且在一些实施例中,测量漂移可基于当前车辆时间与外部时间信号中的时间值之间的差值。测量漂移可为表示从外部源接收的时间(诸如外部时间信号)和车辆时钟的时间的变化的值。在一个实施例中,可通过计算外部时间值与车辆时钟的当前时间之间的绝对差值来确定测量漂移。例如,如果外部时间值是12:01:01.020(即,12:01的1.02秒),并且根据时钟40的当前时间值是12:01:02.300(即,12:01的2.3秒),那么测量漂移将是1.28秒(绝对值12:01的1.02秒减去12:01的2.3秒)。在一个实施例中,车辆时钟的当前时间可为外部车辆信号被接收的时间、计算测量漂移的时间或其间的任何时间。方法200继续到步骤240。
在步骤240中,计算漂移极限,并且在一些实施例中,该漂移极限可基于所存储的时间漂移因子以及以下任何一项或多项:当前车辆时间、车辆时钟上次更新时间值和预设漂移时间周期;在一个实施例中,漂移极限可被计算为等于:
((当前时间-上次更新时间)/时间周期)*时间漂移因子
“当前时间”可为根据车辆时钟40的当前时间,“上次更新时间”可为表示何时发生最近时钟更新的车辆时钟上次更新时间值。“时间周期”可为预定时间周期(例如,12小时、24小时),其表示允许差值小于时间漂移因子(即,每个“时间周期”容忍的漂移量)的时间周期,并且“时间漂移因子”可为如上文讨论的时间漂移因子。在该实施例中,漂移极限考虑自从时钟上次更新以来的时间(“当前时间”减去“上次更新时间”)和可容忍的漂移量(“时间漂移因子”),然后根据预定时间周期(“时间周期”)对漂移量进行归一化。在其他实施例中,可基于预定“时间周期”来计算时间漂移因子,并且在这样的实施例中,可能不需要存储单独的“时间周期”值。作为示例,时间漂移因子可在24小时的时间周期内的1到5秒的范围内。
如上文讨论,测量漂移和/或漂移极限可基于各种值,包括当前车辆时间、包括在外部时间信号中的时间值、外部信号接收时间、自从接收到外部时间信号以来的时间、车辆时钟上次更新时间、时间漂移因子和其他常数数值。这些时间或值中的任何一个或多个可被存储在存储器36或车辆电子器件中包括的其他存储器装置中,并且在步骤230或240发生时,可从存储器中调用这些值,该存储器可为包括在如上文讨论的车辆电子器件中的非易失性存储器装置。步骤230和240可同时执行,或者步骤240可在步骤230之前执行。方法200继续到步骤250。
在步骤250中,确定测量漂移是否小于漂移极限。该步骤可由处理器34执行,并且在一个实施例中,由处理器34使用从存储器36中检索的漂移因子和/或其他数据计算测量漂移和漂移极限。然后可通过处理器34比较测量漂移和漂移极限。在另一个实施例中,车辆电子器件的其他部分可确定测量漂移是否小于或等于漂移极限。
在确定测量漂移是否小于漂移极限之后,可将通知、状态消息或其他消息发送到远程设施或另一个车辆模块。在一个实施例中,可将其指示时间已成功更新的通知发送到远程设施80(或vsm42)。在另一个实施例中,当测量漂移不小于漂移极限时,可向远程设施80(或vsm42)发送指示接收到外部时间信号但是测量漂移不小于漂移极限的消息或通知。在另一个实施例中,可响应于测量漂移是否小于漂移极限的确定来执行一个或多个其他车辆功能或安全措施,诸如当测量漂移不小于漂移极限时禁用一个或多个车辆部件。其他这样的安全措施可包括禁用一个或多个车辆部件;启用或激活车辆的一个或多个安全系统或警报;通知远程设施或系统有安全问题;通知车辆的所有者、用户或操作者的移动装置(例如,srwc装置或蜂窝装置);和/或本领域技术人员已知的任何其他车辆安全措施。这些通知或消息中的任何一个可包括gps信号(或其他外部时间信号)中的任何信息,包括一个或多个状态或错误代码,其中的一些可对应于方法200的一个或多个确定步骤。当测量漂移小于漂移极限时,方法200继续到步骤260;否则,方法200返回到步骤210。
在步骤260中,在已经确定测量漂移小于漂移极限之后,将被车辆时钟设定为包括在接收到的外部时间信号中的时间值。时钟40可由处理器34或另一个vsm通过接收新时间信号的时钟40更新。新的时间信号是包括时钟将被设定的时间值的信号。新的时间信号可包括新的时间值,其可为包括在外部时间信号中的时间值。除了将时钟40设定为新的时间值之外,车辆还可将车辆时钟上次更新时间设定或更新为新的时间信号或另一个时间。设定或更新车辆时钟上次更新时间可包括修改存储在诸如存储器36等非易失性存储器装置中的值。
应当明白的是,当测量漂移大于或等于漂移极限时(步骤250),至少出于更新或设定车辆时钟的目的,外部时间信号将被忽略。至少在一些实施例中,该功能存在以防止车辆时钟被伪造太大而无法容忍的量(即,漂移极限)。方法200然后结束。
应当理解的是,前述内容是对本发明的一个或多个实施例的描述。本发明不限于本文公开的特定实施例,而是仅由下面的权利要求限定。另外,包括在前述描述中的声明涉及特定实施例,并且不能解释为限定本发明的范围或限定权利要求书中所使用的术语,除非术语或措词在上面进行了明确限定。对所公开的实施例的各种其他实施例和各种改变和修改对于本领域技术人员将是显而易见的。所有这些其他实施例、改变和修改旨在落入所附权利要求的范围内。
如本说明书和权利要求中所使用,术语“例如(e.g.)”、“例如(forexample)”、“例如(forinstance)”、“诸如”和“等”以及动词“包括(comprising)”、“具有”、“包括(including)”和它们的其他动词形式在结合一个或多个部件或其他项目的列表使用时,各自被解释为开放式,意指该列表不应被视为排除其他、另外的部件或项目。其他术语是使用它们的最广泛的合理含义来解释,除非它们用于要求有不同解释的上下文中。另外,术语“和/或”应当被解释为包括性的“或”。作为示例,短语“a、b和/或c”包括:“a”;“b”;“c”;“a和b”;“a和c”;“b和c”;以及“a、b和c”。