用于安全的无线车辆总线通信的方法和设备与流程

示意性实施例总体上涉及一种用于安全的无线车辆总线通信的方法和设备。

背景技术：

车辆系统已经变得与计算技术高度集成。从远程信息处理单元，到控制系统，到传感器，再到娱乐，计算机硬件和软件在现代车辆的控制和使用方面起到重要的作用。随着车辆技术的发展，车辆控制器之间的消息也可变化。变化的原因包括但不限于：在算法方面的新消息的使用，将消息路由到同一控制器内的另一控制器或另一处理器。

为了对消息进行路由的目的而修改控制器的软件包括开发工作和验证工作。因为整个车辆计算系统的高度集成和复杂的性质可能需要非常小心，以便确保用于解决新特征的修改不会对现有的操作特性产生负面影响，所以这可能是既困难又耗时的。

技术实现要素：

在第一说明性实施例中，一种系统包括处理器，所述处理器被配置为：在确定消息在针对广播的预先许可的列表上且已经利用针对消息会话产生的临时随机密钥对所述消息进行了加密之后，无线地广播所述消息，其中，所述消息从第一发起车辆总线或控制器被获取。

在第二说明性实施例中，一种计算机实现的方法包括：从车辆总线或车辆控制器接收消息。所述方法还包括：确定消息源类型和消息类型是否与预先指定的消息源类型和对应的消息类型的列表的元素相对应。所述方法还包括：当确定所述消息源类型和消息类型与所述元素相对应时，将所述消息发送到与所述元素关联的目的地类型。

在第三说明性实施例中，一种系统包括多个车辆系统控制器、网关模块和多个车辆总线，其中，所述多个车辆总线将所述多个车辆系统控制器连接到所述网关模块。在该实施例中，所述网关模块包括存储预先许可的消息类型和对应的源类型的列表的存储器，并且所述网关模块包括处理器，所述处理器被配置为：通过所述多个车辆总线中的一个从所述多个车辆系统控制器中的一个接收消息。所述处理器还被配置为：确定接收到的消息的消息类型和源类型是否与所述列表的元素相匹配，并且将所述消息传送到与所述消息类型和源类型所匹配的元素关联的目的地。

附图说明

图1示出了说明性的车辆计算机系统；

图2示出了包括网关模块的说明性车辆系统；

图3示出了用于消息路由的说明性处理；

图4示出了用于密钥传送的说明性处理；

图5示出了用于启用与车辆总线或模块的双向通信的说明性处理。

具体实施方式

根据需要，在此公开本发明的具体实施例；然而，应理解的是，所公开的实施例仅为本发明的示例，其可以以多种可替代形式实施。附图无需按比例绘制；可夸大或最小化一些特征以示出特定组件的细节。因此，此处所公开的具体结构和功能细节不应被解释为限制，而仅仅作为用于教导本领域技术人员以多种形式利用本发明的代表性基础。

图1示出了用于车辆31的基于车辆的计算系统(vcs)1的示例框式拓扑图。这种基于车辆的计算系统1的示例为由福特汽车公司制造的sync系统。设置有基于车辆的计算系统的车辆可包含位于车辆中的可视前端界面4。如果所述界面设置有例如触摸敏感屏幕，则用户还能够与所述界面进行交互。在另一说明性实施例中，通过按钮按压或具有自动语音识别和语音合成的口语会话系统来进行交互。

在图1所示的说明性实施例1中，处理器3控制基于车辆的计算系统的至少一部分操作。设置在车辆内的处理器允许对命令和例程进行车载处理。另外，处理器连接到非持久性存储器5和持久性存储器7两者。在此说明性实施例中，非持久性存储器是随机存取存储器(ram)，持久性存储器是硬盘驱动器(hdd)或闪存。一般说来，持久性(非暂时性)存储器可包括当计算机或其它装置掉电时保持数据的所有形式的存储器。这些存储器包括但不限于：hdd、cd、dvd、磁带、固态驱动器、便携式usb驱动器和任何其它适当形式的持久性存储器。

处理器还设置有允许用户与处理器进行交互的若干不同的输入。在此说明性实施例中，麦克风29、辅助输入25(用于输入33)、usb输入23、gps输入24、屏幕4(可为触摸屏显示器)和蓝牙输入15全部被提供。还提供输入选择器51，以允许用户在各种输入之间进行切换。对于麦克风和辅助连接器两者的输入在被传送到处理器之前，由转换器27对所述输入进行模数转换。尽管未示出，但是与vcs进行通信的众多车辆组件和辅助组件可使用车辆网络(诸如但不限于can总线)向vcs(或其组件)传送数据并传送来自vcs(或其组件)的数据。

系统的输出可包括但不限于视觉显示器4以及扬声器13或立体声系统输出。扬声器连接到放大器11，并通过数模转换器9从处理器3接收其信号。还可分别沿19和21所示的双向数据流产生到远程蓝牙装置(诸如个人导航装置(pnd)54)或usb装置(诸如车辆导航装置60)的输出。

在一说明性实施例中，系统1使用蓝牙收发器15与用户的移动装置53(例如，蜂窝电话、智能电话、pda或具有无线远程网络连接能力的任何其它装置)进行通信(17)。移动装置随后可被用于通过例如与蜂窝塔57的通信(55)来与车辆31外部的网络61进行通信(59)。在一些实施例中，蜂窝塔57可以是wifi接入点。

移动装置与蓝牙收发器之间的示例性通信由信号14表示。

可通过按钮52或类似的输入来指示移动装置53与蓝牙收发器15进行配对。相应地，cpu被指示使得车载蓝牙收发器将与移动装置中的蓝牙收发器进行配对。

可利用例如与移动装置53关联的数据计划、话上数据或dtmf音在cpu3与网络61之间传送数据。可选地，可期望包括具有天线18的车载调制解调器63以便在cpu3与网络61之间通过语音频带传送数据(16)。移动装置53随后可被用于通过例如与蜂窝塔57的通信(55)来与车辆31外部的网络61进行通信(59)。在一些实施例中，调制解调器63可与蜂窝塔57建立通信20，以与网络61进行通信。作为非限制性示例，调制解调器63可以是usb蜂窝调制解调器，并且通信20可以是蜂窝通信。

在一说明性实施例中，处理器设置有包括用于与调制解调器应用软件进行通信的api的操作系统。调制解调器应用软件可访问蓝牙收发器上的嵌入式模块或固件，以完成与(诸如在移动装置中发现的)远程蓝牙收发器的无线通信。蓝牙是ieee802pan(个域网)协议的子集。ieee802lan(局域网)协议包括wifi并与ieee802pan具有相当多的交叉功能。两者都适合于车辆内的无线通信。可在该领域使用的其它无线通信方式是自由空间光通信(诸如irda)和非标准化消费者红外协议。

在另一实施例中，移动装置53包括用于语音频带或宽带数据通信的调制解调器。在话上数据的实施例中，当移动装置的所有者可在数据被传送的同时通过装置说话时，可实施已知为频分复用的技术。在其它时间，当所有者没有在使用装置时，数据传送可使用整个带宽(在一个示例中是300hz至3.4khz)。尽管频分复用对于车辆与互联网之间的模拟蜂窝通信而言会是常见的并仍在被使用，但其已经很大程度上被用于数字蜂窝通信的码分多址(cdma)、时分多址(tdma)、空分多址(sdma)的混合体所替代。这些都是ituimt-2000(3g)兼容的标准，为静止或步行的用户提供高达2mbps的数据速率，并为在移动的车辆中的用户提供高达385kbps的数据速率。3g标准现在正被imt-advanced(4g)所替代，其中，所述imt-advanced(4g)为在车辆中的用户提供100mbps的数据速率，并为静止的用户提供1gbps的数据速率。如果用户具有与移动装置53关联的数据计划，则所述数据计划可允许宽带传输且系统可使用宽得多的带宽(加速数据传送)。在另一实施例中，移动装置53被安装至车辆31的蜂窝通信装置(未示出)所替代。在另一实施例中，移动装置(nd)53可以是能够通过例如(而不限于)802.11g网络(即wifi)或wimax网络进行通信的无线局域网(lan)装置。

在一实施例中，传入数据可经由话上数据或数据计划穿过移动装置，穿过车载蓝牙收发器，并进入车辆的内部处理器3。例如，在某些临时数据的情况下，数据可被存储在hdd或其它存储介质7上，直至不再需要所述数据时为止。

可与车辆进行接口连接的其它的源包括：具有例如usb连接56和/或天线58的个人导航装置54、具有usb62或其它连接的车辆导航装置60、车载gps装置24或具有与网络61的连接的远程导航系统(未示出)。usb是一类串行联网协议中的一种。ieee1394(火线^tm(苹果)、i.link^tm(索尼)和lynx^tm(德州仪器))、eia(电子工业协会)串行协议、ieee1284(centronics端口)、s/pdif(索尼/飞利浦数字互连格式)和usb-if(usb开发者论坛)形成了装置-装置串行标准的骨干。多数协议可针对电通信或光通信来实施。

此外，cpu可与各种其它的辅助装置65进行通信。这些装置可通过无线连接67或有线连接69来连接。辅助装置65可包括但不限于个人媒体播放器、无线保健装置、便携式计算机等。

此外或可选地，可使用例如wifi(ieee803.11)收发器71将cpu连接到基于车辆的无线路由器73。这可允许cpu在本地路由器73的范围内连接到远程网络。

除了由位于车辆中的车辆计算系统执行示例性处理之外，在某些实施例中，还可由与车辆计算系统通信的计算系统来执行示例性处理。这样的系统可包括但不限于：无线装置(例如而非限制，移动电话)或通过无线装置连接的远程计算系统(例如而非限制，服务器)。这样的系统可被统称为与车辆关联的计算系统(vacs)。在某些实施例中，vacs的特定组件可根据系统的特定实施而执行处理的特定部分。通过示例而并非限制的方式，如果处理具有与配对的无线装置进行发送或者接收信息的步骤，则很可能由于无线装置不会与自身进行信息的“发送和接收”而使得无线装置不执行该处理的这一部分。本领域的普通技术人员将理解何时不适合对给定解决方案应用特定的计算系统。

在此讨论的说明性实施例中的每一个实施例中，示出了可由计算系统执行的处理的示例性的、非限制的示例。针对每个处理，执行处理的计算系统可能出于执行处理的限制目的而变成被配置为专用处理器以执行处理。所有的处理不需要全部执行，并且被理解为可被执行以实现本发明的要素的处理类型的示例。可根据需要向示例性处理添加额外的步骤或从示例性处理去除额外的步骤。

如前所述，出于对消息进行路由的目的而修改控制器的软件包括开发工作和验证工作。说明性实施例消除了这样的修改的需要，并且提供了消息可在不通过远程信息处理控制器的情况下通过其被无线地和安全地发送到智能装置的系统和方法。

说明性实施例还允许智能装置的应用与新添加的车辆特征之间的更快速的集成。说明性实施例还减少了物理连接到车辆线束或通过车载诊断(obd)连接器的必要性。尽管无线装置可插入obd连接器并且无线发送控制器局域网(can)数据，但是这些装置不必访问所有车辆信号。

说明性实施例利用短程无线广播器(诸如但不限于，蓝牙低能耗(btle)芯片)。这种芯片可根据需要被嵌入在任何控制器内。所述芯片的一种合理的布置是在具有多个通信总线的控制器(诸如，网关模块)中。网关模块可用于将消息从一个控制器路由到另一个控制器以及将消息从一个总线路由到另一个总线。利用btle芯片，网关模块还可无线地发送(如果需要，还可接收)这些消息，并且用作广播控制器。

在车辆控制器和总线的消息的受控广播的说明性示例中，系统可如下运行。当点火时，广播控制器将产生随机加密密钥或者从另一定义的控制器接收随机加密密钥。广播控制器还存储已许可的消息的列表或注册表(诸如，以<消息，总线类型>的格式)，所述格式可告知控制器来自哪些总线的哪些消息可以被获准进行广播。当消息到达连接到广播控制器的各种总线上时，控制器检查列表以查看消息和对应的总线是否在列表上。如果是，则控制器对消息进行加密(以防止恶意的检索和利用)，并且随后广播所述消息。

连接到btle芯片的智能装置可接收消息并使用产生的随机密钥对消息进行解密。为了接收密钥，所述装置将必须请求密钥并且经由初始连接或例如近场通信(nfc)连接被提供密钥。尽管也可使用其它类似的密钥产生和提供方案，但是通过以安全的方式从车辆计算机获取随机密钥，以及通过在每个点火开关循环中重新产生密钥，实现了合理的安全级别。

当经销商想要访问车辆系统或控制器以写入数据时，经销商可使用特定的预先许可的应用，所述应用可将btle芯片变到发送/接收模式，所述发送/接收模式可允许消息从经销商装置被传送到网关，并且随后这些消息可被传送到控制器或总线。

图2示出了包括网关模块的说明性车辆系统。在该说明性示例中，系统包括网关模块201，网关模块201连接到各种总线和控制器并且与各种总线和控制器通信。例如，底盘子系统219可包括制动控制器、安全气囊控制器、惯性测量控制器等。动力传动系统子系统217可包括发动机、传动装置和混合动力控制器。根据需要，其它高速总线215(诸如，can、以太网等)也可被连接。在该说明性实施例中，系统还可包括lin子系统207和以太网连接209。

消息以及对应的总线的列表203驻留在网关模块上。这可识别来自哪些总线的哪些消息可被广播和/或哪些消息应该被发送到哪些总线。

例如，网关模块也可包括：用于消息的传输以及与本地装置的通信的btle芯片205。例如，信道可被用于广播在网关模块从各种控制器或总线接收的消息。远程信息处理系统213或nfc连接211可被用于向移动装置221发送随机密钥。该密钥随后被用于对经由btle从网关模块发送到装置的总线和控制器的消息进行解密。

图3示出了用于消息路由的说明性处理。针对该附图中描述的说明性实施例，注意到的是，通用处理器可被临时用作专用处理器，以用于执行在此示出的部分或全部示例性方法。当执行提供用于执行所述方法的部分或全部步骤的指令的代码时，处理器可被临时改变目的作为专用处理器，直到方法被完成时为止。在另一示例中，在适当的程度上，根据预配置的处理器执行的固件可使处理器充当被提供用于执行所述方法或它的一些合理变型的专用处理器。

首先，在该说明性实施例中，产生随机密钥以用于会话(301)。在该示例中，所述会话是点火开关循环。也就是说，当车辆点火开关被接合时，系统(在网关模块或其它模块中)产生随机密钥。因此，每次新的点火开关循环开始时，产生新的密钥。这防止可能已经被车辆的先前处理器捕获或获取的旧密钥的使用(例如，在租赁汽车的情况下)。处理随后确定连接的装置是否具有nfc能力(303)。在另一示例中，在车辆中存在多个装置且一个装置被无线地连接且另一装置利用nfc的情况下，处理可经由nfc和通过无线连接广播密钥。在另一示例中，密钥仅在请求时通过指定的信道被提供，这可添加另一级别的安全性。

在该示例中，如果nfc被期望且存在，则处理将经由nfc传输发送密钥(305)。否则，处理利用另一连接(蓝牙、btle、wifi等)将密钥发送到连接的装置(307)。在装置具有密钥以后，装置能够读取通过btle被广播到装置的消息。

在某个时间点，消息可在网关模块从控制器或总线被接收(309)。网关检查以查看消息和对应的总线是否在用于广播的许可列表上和/或在用于所述消息的路由指令的列表上(311)。如果是，则处理将对消息进行加密并通过将消息广播或路由至列表上指定的适合的控制器或总线来发送消息(313)。由于随机密钥被用于加密和解密消息，所以即使附近的装置接收到btle传输，但是除非装置具有密钥(在该示例中为针对每个点火开关循环产生的密钥)，否则装置将不能够解密消息，从而防止未授权的装置未经许可使用车辆信息。

图4示出了用于密钥传送的说明性处理。针对该附图中描述的说明性实施例，注意到的是，通用处理器可被临时用作专用处理器，以用于执行在此示出的部分或全部示例性方法。当执行提供用于执行所述方法的部分或全部步骤的指令的代码时，处理器可被临时改变目的作为专用处理器，直到方法被完成时为止。在另一示例中，在适当的程度上，根据预配置的处理器执行的固件可使处理器充当被提供用于执行所述方法或它的一些合理变型的专用处理器。

在该说明性处理中，装置经由无线连接(蓝牙、wifi等)直接连接到远程信息处理模块或连接到网关模块(401)。处理随后从装置接收对随机密钥的请求(403)。如果装置连接到的模块也产生了密钥(405)，则模块可通过无线连接将密钥提供给请求的装置(411)。否则，模块将向产生密钥的任何模块请求密钥(407)，并且一旦密钥被接收(409)，则请求的模块将密钥提供给请求的装置(411)。

图5示出了用于启用与车辆总线或模块的双向通信的说明性处理。针对该附图中描述的说明性实施例，注意到的是，通用处理器可被临时用作专用处理器，以用于执行在此示出的部分或全部示例性方法。当执行提供用于执行所述方法的部分或全部步骤的指令的代码时，处理器可被临时改变目的作为专用处理器，直到方法被完成时为止。在另一示例中，在适当的程度上，根据预配置的处理器执行的固件可使处理器充当被提供用于执行所述方法或它的一些合理变型的专用处理器。

在该说明性示例中，经销商可利用网关模块以执行对一个或更多个车辆模块、控制器、系统等的维护或升级。由于这可能需要写入，所以可采取额外的预防措施来确保实际的经销商而不是恶意程序正在连接至系统以执行写入。一般而言，为了防止这种访问，网关模块通常停留在只读模式，所述只读模式防止对文件的恶意写入。然而，在该示例中，经销商启动将经销商装置连接到远程信息处理模块或网关模块的特定应用(还可包括安全措施(诸如，密码或其它验证))(501)。

一旦经销商装置被连接且任何必要的认证已经被执行(503)以确保经销商装置是可信的，则处理可接收针对会话密钥的请求(505)。如同用于读取传输的随机密钥，该密钥可被用于读取传输和对被发送到网关模块以用于分配的来自经销商装置的数据进行加密两者。这可帮助防止当经销商已经将模块置于读取/写入模式时对网关模块或其它模块的恶意写入(即，例如，传入数据必须使用随机密钥进行加密并且通过网关模块使用随机密钥进行解密，否则，传入数据将被忽略)。

除了接收密钥请求以外，处理还接收用于启用读取/写入能力的请求(507)。响应于该请求，处理将发送随机密钥(509)并将网关模块转换到读取/写入模式(511)。

一旦到读取/写入模式的转换已经完成，则处理可通知远程信息处理模块读取/写入已经被启用(513)。处理还可通知装置本身读取/写入被启用(515)。这将有助于确保进入远程信息处理模块的写入请求被正确处理且未拒绝。这还将让装置知道现在可通过双向数据的通信来执行对车辆模块、软件和/或硬件的任何期望的改变(517)。可通过该处理执行的更新之一是对允许的消息以及针对这些消息的对应的目的地或起点的更新。这允许对网关模块的简单更新以确保消息的传送，而不必为了改变消息传送的路径和性质而参与特定车辆控制器的复杂操纵。

尽管上面描述了示例性实施例，但并不意在这些实施例描述本发明的所有可能形式。更确切地，说明书中使用的词语为描述性词语而非限制性词语，并且应理解，可在不脱离本发明的精神和范围的情况下作出各种改变。此外，可组合各种实现的实施例的特征以形成本发明进一步的实施例。