用于借助于机动车操纵移动设备的方法
【专利摘要】本发明提供了一种用于借助于机动车的带有显示和操纵装置的电子装置操纵不与车辆相关联的移动设备的方法。程序包括用于用户界面和用于操作顺序的程序块,数字证书与该程序块相关联。用户界面包括用于示出可变的内容的固定区域。程序块与数字证书一起被传输给机动车的电子装置并且在成功验证证书时被实施。数据的未通过数字证书防护的传输局限于用于在用户界面的固定区域中示出的可变的内容。
【专利说明】用于借助于机动车操纵移动设备的方法
【技术领域】
[0001]本申请涉及一种用于借助于机动车的带有显示和操纵装置的电子装置显示信息以及操纵不与机动车直接相关联的移动设备的方法。
【背景技术】
[0002]在现有技术中移动设备(例如移动电话或便携式MP3播放器)连接到机动车的电子装置处是已知的。因此,移动电话可连接到在机动车中存在的免提通话装置处;可移动的MP3播放器可连接到机动车的音频设备处以播放存储在移动设备上的音乐。这种连接例如可无线地借助于蓝牙来实现。同样已知设置有用于操纵移动设备(例如接听呼入的电话或调节播放音量)的操纵元件。操纵元件例如可布置在中控台上或者布置在方向盘上。
[0003]此外,在现有技术中已知移动设备(例如智能手机或PDA)以所谓的“终端模式”连接到机动车的显示和操纵装置处的连接方案(工业标准“Terminal Mode TechnicalArchitecture (终端模式技术架构)”,发布版本1.0, www.terminalmode, org)。在所提到的类型的移动设备上可实施许多程序(经常被称为“应用(Apps) ”)。如果移动设备在终端模式中与机动车的操纵和显示装置相联结,那么程序本身将继续在移动设备上实施。然而,显示系统借助于机动车的显示装置来实现,而程序的操纵借助于机动车的操纵装置来实现。为了将机动车的显示内容传输给移动设备以及为了将机动车的借助于操纵装置产生的指令传输给移动设备而使用合适的数据传输方法,例如USB、WLAN或蓝牙。
[0004]此外,已知程序(其不适合于在行驶期间在终端模式中实施和示出,因为其可分散机动车驾驶员的注意力)的实施以相应的特征来标识并且在行驶期间禁止程序在终端模式中的示出。
[0005]从美国专利申请12/`966 802中已知一种方法,在其中,程序在终端模式中的实施依赖于与该程序相关联的数字证书的成功的验证,其中,该方法包括下列步骤:
?在移动设备中存储可在移动设备上执行的程序和与该程序相关联的数字证书;
?将数字证书从移动设备发送至机动车;
?在机动车中验证数字证书;
?在成功验证数字证书的情况下:借助于机动车的显示器示出与可在移动设备上执行的程序相关联的信息;以及
?借助于机动车的与显示器相关联的操纵组件操纵可在移动设备上执行的程序。
[0006]在有利的实施方案中,证书由认证服务器签发。服务器的运行者通过证书的数字签名来授权程序适合于在终端模式中实施。
[0007]在文件US 12/966 802中公开的方法关于本发明被看作是最接近的现有技术。对于在文件US 12/966 802中说明的方法,在终端模式中在成功验证与程序相关联的数字证书之后允许借助于机动车的显示和操纵装置示出和操纵可在移动设备上执行的程序。由此保证仅可实施经认证的程序。然而存在机动车的显示和操纵装置的不当使用的可能性,即通过在成功验证与经认证的程序相关联的程序之后未经认证的程序相对于显示和操纵装置冒充自己是经认证的程序。如果未经认证的程序阻止将认证的程序的数据传输给显示和操纵装置,那么不存在识别出不当地使用显示和操纵装置的可能性。在此不仅可想到未经认证的程序在相同的移动设备上如认证的程序那样来实施,而且可想到未经认证的程序在第二移动设备上来实施,第二移动设备位于在第一移动设备与机动车的显示和操纵装置之间的通讯路径中,其中,第二移动设备阻止在第一移动设备与机动车的显示和操纵装置之间的直接通讯,并且在与第一移动设备通讯时作为机动车的显示和操纵装置输出,反之亦然(所谓的“中间人”攻击)。
【发明内容】
[0008]由此技术目的为开发一种用于借助于机动车的带有显示和操纵装置的电子装置显示信息和/或操纵不与机动车直接相关联的移动设备的方法,其允许通过示出和/或操纵程序进行经改善的控制。
[0009]根据本发明,该目的利用权利要求1的特征来实现。从属权利要求示出了所主张权利的方法的有利的构造方案。
[0010]根据本发明,可在移动设备上执行的程序包括程序的用于用户界面和用于操作顺序(bedienablauf)的程序块(Programmteil)。针对包括用户界面和操作顺序的总体,下面使用了一般常用的术语“图形用户界面”(GUI)。在借助于机动车的带有显示和操纵装置的电子装置操纵程序时,移动设备与机动车的电子装置相连接(例如在上面所说明的终端的模式中)。因此CTI的用户界面的示出借助于机动车的显示装置来实现,并且CTI的操作顺序的控制借助于机动车的操纵装置来实现。
[0011]此外,根据本发明设置成数字证书与⑶I相关联。将用于用户界面和用于操作顺序的程序块与相关的证书一起从移动设备传输给机动车的电子装置。在机动车的电子装置中验证该证书。在验证的结果成功时在电子装置中实施程序的用于用户界面和用于操作顺序的程序块。现在在机动车的显示装置中示出用户界面,并且用户界面可通过机动车的操纵装置来控制。
[0012]根据本发明,在用户界面中设置有用于示出可变的内容的固定区域。以这种方式可在用户界面中在所限制的范围中显示可变的内容,其未由相关的数字证书证实为是可靠的。因此,机动车的显示装置的不当使用的上面所说明的危险(例如通过所提到的中间人攻击)限于在用户界面的固定区域中的信息的显示。
[0013]在本发明的有利的设计方案中,数字证书由认证服务器签发。证书与用于用户界面和用于操作顺序的程序块的关联同样借助于认证服务器来进行。
[0014]优选地,为了认证⑶I,即为了签发数字证书且使数字证书关联于⑶I,认证服务器使用非对称的签名方法,即这样的方法,其使用私人密钥以用于对内容进行签名,并且使用与私人密钥相匹配的公开密钥以用于验证签名。为此,服务器具有一个或多个密钥对,其中,每对密钥对中的公开密钥相应地存储在机动车的电子装置中,或者通过确定的数据连接从认证服务器或从其他可靠的源头传输到机动车的电子装置处。就此而言,可靠的源头的特征在于,其由服务器(其对于机动车的电子装置而言已经已知为是可靠的)借助于证书标识为可靠。以这种方式例如可行的是认证服务器为另一服务器签发数字证书,另一服务器可利用该数字证书相对于机动车的电子装置证实为是可靠的。[0015]优选地,证书尤其包括数字指纹(所谓的散列值),其由认证服务器借助于所使用的密钥对的私人密钥基于GUI生成。该方法可根据ITU-T标准X.509的协议来设置证书的生成。
[0016]适宜的是将可在移动设备上执行的程序和与⑶I相关联的证书从认证服务器发送至移动设备。传输可通过英特网来实现。可考虑其它的传输类型。
[0017]在本发明的其他设计方案中将可变的内容(为了其示出,设置有CTI的固定区域)从移动设备传输到机动车的电子装置处。这种内容不仅可由在移动设备上实施的程序在运行时间中产生,而且可在移动设备上以数据形式存在。在另一实施方式中,电子装置与机动车的数据总线系统相连接,并且涉及来自数据总线系统的数据,其或者直接地或者在通过电子单元合适地转换、处理或格式化之后作为可变的内容适合于示出。
[0018]该方法可包括附加的步骤,在其中,将从机动车的至少一个总线系统得到的数据首先从机动车的电子装置发送至移动设备。在此对其进行处理并且接下来以处理过的形式重新发送到电子装置处。在程序的用于用户界面和用于操作顺序的程序块中确定电子装置应从机动车的数据总线系统获得哪些数据并且哪些数据应传输到移动设备处。因此,数据访问通过可靠的认证服务器来授权并且防止错误使用。
[0019]在本发明的其他设计方案中,该方法包括将借助于操纵装置产生的至少一个指令传输给移动设备。优选地,取决于至少一个指令来控制可在移动设备上执行的程序。
【专利附图】
【附图说明】
[0020]接下来参考附图借助于实施例来进一步阐述本发明。其中:
图1以原理图示显示了机动车的实施例;
图2显示了在认证服务器、移动设备和在机动车中的电子装置之间的数据交换的实施
例;
图3借助于机动车的显示装置显示了用户界面的示例性的图示。
【具体实施方式】
[0021]接下来参考附图详细阐述本发明的实施例。要注意的是这些实施例仅仅用作示例并且不可作为限制性地来解释。尤其不可如下面那样来解释带有多个特征的实施例的说明,即,为了实施本发明,所有的这些特征都是必需的,因为其他实施例可具有更少的特征和/或备选的特征。此外,要注意的是不同实施例的特征可彼此相组合,只要没有其它说明。
[0022]在图1中示出了适合于转化根据本发明的方法的机动车I。机动车包括带有显示装置12和操纵装置13的电子装置11。此外,示出了存在的移动设备2,其不与机动车I相关联。这意指移动设备2不是机动车I的组成部分。移动设备2通过合适的数据连接21与电子装置11相连接。这种数据连接例如可以无线的方式来实施,例如实施为蓝牙连接,或者例如可以有线的方式来实施,例如实施为USB连接。在图1的原理图示中,电子装置11包括在机动车中同样可通过分开的但是彼此相连接的器具、单元和装置来实现的多个功能块。因此,电子装置11可包括和/或综合有:用于控制显示和操纵装置的一个或多个控制器、用于与和机动车相连接的一个或多个移动设备进行数据交换的一个或多个装置、用于借助于机动车的至少一个数据总线系统14、14’与机动车的至少一个其他的装置15、15’进行数据通讯的一个或多个装置、以及其他装置和控制器16、16’,例如导航仪、音频设备、信息娱乐设备。
[0023]图2示例性地显示了数据传输,其按照根据本发明的方法以有利的方式在认证服务器3、移动设备2和机动车的电子装置11之间运行。
[0024]在所显示的实施例中,认证服务器3将可在移动设备上执行的程序4 (其包括程序(GUI)的用于用户界面和用于操作顺序的程序块41)与数字证书5—起发送到移动设备处。这种传输例如可通过宽带的无线的英特网连接(UMTS, LTE) 22来实现。
[0025]数字证书5可尤其包括下列信息:
签证方的名称或其他的明确的标识;
用于控制和处理的信息,该信息中给出证书5;
证书5的有效期限的信息;
公开密钥31,证书5对其进行说明;
公开密钥31的拥有方的名称(或者其他的明确的标识);
关于公开密钥31的拥有方的其他信息;
关于公开密钥31的允许的应用范围和适用范围的说明;
签证方的关于程序(GUI)的用于用户界面和用于操作顺序的程序块41的数字签
名;
签证方的关于所有的其他信息的数字签名。
[0026]利用其使证书5明确地与⑶I相关联的数字签名可通过直接应用认证服务器3的私人密钥32生成到用于用户界面和用于操作顺序的程序块41上。在机动车11的电子装置中可将认证服务器3的与私人密钥32相匹配的公开密钥31应用到数字签名上,并且因此验证用于用户界面和用于操作顺序的已传输的程序块41的可信性。然而,有利地,首先从程序块41中计算出数字指纹(散列值)。其以明确的方式(即,不同的两个消息以极大的可能性产生不同的两个散列值)标识了程序块41,但是具有明显更小的数据量(例如160字节)。然后通过应用认证服务器3的私人密钥32将数字签名生成到散列值上。由于散列值与程序块41的已提及的明确的关联确保证书5与GUI 41相关联。
[0027]移动设备2通过数据连接21将程序的用于用户界面和用于操作顺序的程序块41与数字证书5 —起传输到机动车I的电子单元11处。在此借助于已经提及的将公开密钥31应用到数字签名上获取程序块41的散列值。此外,在电子装置11中由传输到的程序块41计算出散列值。如果两个散列值一致,验证成功结束且实施程序块41。一旦实施程序块41,就可通过数据连接21交换数据和内容。
[0028]程序4自成功验证证书的时刻起根据所主张权利的方法的实施应接下来借助于MP3播放程序的示例来进一步阐述。为此,图3借助于机动车13的显示装置12显示了用户界面的示例性的图示。在所示出的示例中,显示装置为触摸屏,即为对触摸有反应的显示面。因此,图3同时显示了机动车I的操纵装置13。要注意的是:操纵装置13的实施方式仅可示例性地来理解。所说明的方法同样适合于操纵装置13的其他的实施方式。操纵还可尤其借助于转压调节器和/或按键来实现。所示出的用户界面除了用于示出可变内容的固定区域43之外是不可变的。区域43包括用于输出当前的MP3数据的演奏者的文本区域、用于输出标题的文本区域、用于示出作为图形的唱片封面的区域以及背景(其应仅在其颜色方面是可变的)。此外,示出了操纵元件,用户可借助于该操纵元件控制程序(上一个(Titel zuriick)、停止、暂停、下一个(Titel zuriick))。
[0029]当前选取的标题与内容“演奏者”、“标题”、“封面图片”和“背景颜色”一起由移动设备2通过数据连接21传输至电子装置11。音频信息由电子装置11传输到机动车I的音频输出装置16处。演奏者、标题、封面图片和背景颜色在显示器12上显示出。如果用户通过操纵装置给予指令,那么用户例如在触摸屏上轻击到“下一个”按钮上,该指令通过数据连接21传输到移动设备2处。在此选取下一个标题,并且如说明的那样以所属的内容传输到电子装置11处。
[0030]此外,在所显示的示例中,现在应设置成显示器的背景颜色取决于环境亮度来改变。可考虑的是移动设备2具有光传感器;在该情况下可无问题地确定背景颜色且将其传输到电子装置11处。在另一示例中,机动车具有光传感器15,其通过数据总线14发送其当前的测量值。电子装置11通过数据总线14接收相应地当前的测量值并且将其通过数据连接21传输到移动设备处。在此借助于当前的测量值确定合适的背景颜色,并且如所说明的那样传输到电子装置11处以用于示出。用于数据(其可从数据总线系统14中获取,并且或者可直接地示出,或者可首先将其传输到移动设备2处以进行再处理)的其他的示例视程序4的目的而定包括机动车参数(例如瞬时速度、油箱液面高度)、导航系统的涉及行驶的数据(例如位置、路线走向)或环境参数(例如外部温度、亮度)。如所说明的那样,在由数字证书5标识为可靠的程序块41中必须确定程序4应可访问哪些机动车数据。
[0031]通过根据本发明的方法,通过中间人攻击的错误使用的可能性保持局限于改变用于示出可变的内容的固定区域43的显示。在介绍的示例中,可设想的是操纵例如标题区域、封面图片或背景颜色。而实施未经认证的功能(例如,实施完全不同的程序)或者未经认证地访问机动车数据是不可能的。
[0032]参考标号列表 I机动车
2移动设备 11机动车的电子装置 12显示装置 13操纵装置
14机动车的数据总线系统
15,15’机动车的联接到数据总线处的其他构件
16,16’机动车的联接到电子装置处的其他装置(例如导航仪、信息娱乐系统等)
21用于在移动设备与电子装置之间传输数据的装置(例如USB、蓝牙等)
3认证服务器
22数据连接,例如通过英特网,例如无线的英特网,例如UMTS 4可在移动设备上执行的程序
41程序(GUI)的用于用户界面和用于操作顺序的程序块 5数字证书
31认证服务器3的公开密钥32认证服务器3的私人密钥42内容
43用于示出可变的内容的区域。
【权利要求】
1.一种用于借助于机动车(I)的带有显示装置(12)和操纵装置(13)的电子装置(11)显示信息和/或操纵不与机动车(I)相关联的移动设备(2)的方法,带有下列的特征: 存储可在移动设备(2)上执行的程序(4),其包括程序(4)的用于用户界面和用于操作顺序的程序块(41),其中,用户界面具有用于示出可变的内容的固定区域(43); 存储数字证书(5),其与可在移动设备(2)上执行的程序(4)的用于用户界面和用于操作顺序的程序块(41)相关联; 将用于用户界面和用于操作顺序的程序块(41)与相关的证书(5) —起从移动设备(2)传输至机动车⑴的电子装置(11); 在机动车⑴的电子装置(11)中验证传输到的数字证书(5)且取决于传输到的证书(5)的验证实施从移动设备(2)传输的程序块(41); 在用户界面的固定区域(43)中示出可变的内容。
2.根据权利要求1所述的方法,其特征在于,证书(5)首先由认证服务器(3)签发,其中,借助于认证服务器(3)使证书(5)与用于用户界面和用于操作顺序的程序块(41)相关联。
3.根据权利要求2所述的方法,其特征在于,用于内容的认证的认证服务器(3)具有相应包括私人密钥(32)和公开密钥(31)的至少一对密钥对,其中,在机动车(I)的电子装置(11)中使用至少一个公开密钥(31)以用于验证,其中,至少一个公开密钥(31)存储在机动车⑴的电子装置(11)中,或者通过安全的数据连接从认证服务器⑶或者从其他可靠的源头传输到机动车(I)的电子装置(11)处。
4.根据权利要求3所述的方法,其特征在于,证书(5)包括数字指纹,其中,数字指纹由认证服务器(3)借助于私人密钥(32)基于可在移动设备(2)上执行的程序(4)的用于用户界面和用于操作顺序的程序块(41)生成。
5.根据权利要求4所述的方法,其特征在于,认证服务器(3)根据ITU-T标准X.509的协议签发证书(5)。
6.根据权利要求2至5中任一项所述的方法,其特征在于,可在移动设备(2)上执行的程序(4)和与可在移动设备(2)上执行的程序(4)的用于用户界面和用于操作顺序的程序块(41)相关联的证书(5)由认证服务器(2)来发送。
7.根据上述权利要求中任一项所述的方法,其特征在于,将可变的内容从移动设备(2)传输至机动车(I)的电子装置(11)。
8.根据权利要求1至6中任一项所述的方法,其特征在于,机动车(I)的电子装置(11)与机动车(I)的至少一个数据总线系统(14)相连接,并且可变的内容从来自至少一个数据总线系统(14)的数据中获取。
9.根据权利要求7和8所述的方法,其特征在于,将从至少一个总线系统(14)获取的数据从机动车(I)的电子装置(11)传输至移动设备(2)以便通过可在移动设备(2)上执行的程序(4)进行处理,并且将已处理的数据从移动设备(2)传输给机动车(I)的电子装置(11)。
10.根据上述权利要求中任一项所述的方法,其特征在于,将借助于操纵装置(13)产生的至少一个指令传输给移动设备(2)。
11.根据权利要求10所述的方法,其特征在于,取决于至少一个指令来控制可在移动设 备⑵上执行的程序⑷。
【文档编号】G06F3/00GK103687744SQ201280036568
【公开日】2014年3月26日 申请日期:2012年6月26日 优先权日:2011年7月23日
【发明者】F.许格, H.诺伊纳, M.米尔特申克 申请人:大众汽车有限公司