提供用于车辆的安全策略的设备和方法与流程

相关申请的交叉引用

本申请要求保护于2018年11月16日提交给韩国知识产权局的韩国专利申请号10-2018-0142017的优先权的权益，通过引用将其全部内容结合在此。

本公开内容涉及一种用于在车辆中提供连接服务时提供安全策略的技术。

背景技术：

随着汽车工业的发展，不断开发用于使用无线通信技术提供各种服务的系统，以为驾驶员提供便利。例如，车辆可以通过无线通信提供连接(或连接汽车)服务。当车辆提供连接服务时，各种外部设备可以连接至车辆，各种数据可以流入和流出，并且可以存储要求安全性的数据。因此，需要重新考虑车辆的安全性。

技术实现要素：

可以将用于检测外部入侵的技术应用于车辆。然而，当检测到相对于车辆的外部入侵时，不可以向车辆提供对系统应用适当限制的技术。当在提供链接服务的车辆中未保持安全性时，可能出现车辆故障或个人信息泄露。

本公开内容已解决现有技术中出现的上述问题，同时保持现有技术所实现的优点。

本公开内容是检测车辆中的外部入侵并且提供适合于检测到的入侵的安全策略。

本发明构思所解决的技术问题并不局限于上述所述问题，并且本公开内容所属领域技术人员从下列描述中将能够清晰地理解此处未提及的任意其他技术问题。

根据本公开内容的一方面，车辆的安全策略提供设备可以包括通信电路、电力控制器、以及电连接至通信电路和电力控制器的至少一个控制电路。至少一个控制电路可被配置为：检测外部设备的连接或外部数据的流入；基于外部设备的连接或外部数据的流入的检测结果至少阻止由车辆提供的功能的一部分、至少由电力控制器供应的电力的一部分、或者至少功能的一部分和至少电力的一部分。

根据示例性的实施方式，外部设备可以包括外部诊断装置、外部存储器、外部终端、或外部控制器中的至少一个。

根据示例性的实施方式，至少一个控制电路可以检测未被认证或未被注册的外部设备的连接。

根据示例性的实施方式，至少一个控制电路可以检测未被认证或未被注册的外部数据的流入。

根据示例性的实施方式，至少一个控制电路可以被进一步配置为基于所连接的外部设备或传入的外部数据的特征确定至少阻止功能的一部分、至少电力的一部分、或至少功能的一部分和至少电力的一部分的级别。

根据示例性的实施方式，当检测未被认证或未被注册的外部设备的连接时，至少一个控制电路至少可以阻止功能的一部分。

根据示例性的实施方式，当检测未被认证或未被注册的外部诊断装置或外部存储器的连接时，至少一个控制电路可以阻止由车辆提供的连接服务的功能。

根据示例性的实施方式，当检测未被认证或未被注册的外部终端的连接或外部控制器的连接时，至少一个控制电路可以阻止由车辆提供的连接服务的功能和与通信电路相关联的功能。

根据示例性的实施方式，当检测未被认证或未被注册的外部数据的流入时，至少一个控制电路可以控制电力控制器切断至少供应至通信电路的一部分或至少一个控制电路的一部分的电力。

根据示例性的实施方式，当未被认证或未被注册的外部数据的传入量小于指定值时，至少一个控制电路可以控制电力控制器切断供应至通信电路的电力。

根据示例性的实施方式，当未被认证或未被注册的外部数据的传入量大于指定值时，至少一个控制电路可以控制电力控制器切断供应至至少一个控制电路和通信电路的一部分的电力。

根据本公开内容的另一方面，提供用于车辆的安全策略的方法可以包括下列步骤：检测外部设备的连接或外部数据的流入；并且基于检测步骤的结果至少阻止由车辆提供的功能的一部分、至少由电力控制器供应的电力的一部分、或者至少功能的一部分和至少电力的一部分。

根据示例性的实施方式，检测步骤可以包括：检测未被认证或未被注册的外部设备的连接或者未被认证或未被注册的外部数据的流入。

根据示例性的实施方式，阻止步骤可以包括：当检测未被认证或未被注册的外部设备的连接时，至少阻止功能的一部分。

根据示例性的实施方式，阻止步骤可以包括：当检测未被认证或未被注册的外部数据的流入时，控制电力控制器切断至少供应至通信电路的一部分或至少一个控制电路的一部分的电力。

附图说明

从结合所附附图展开的下列细节描述中，本公开内容的上述及其他目标、特征、以及优点将更为显而易见：

图1是示出根据本公开内容的示例性实施方式的车辆的安全策略提供设备的配置的框图；

图2是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图；

图3是示出根据本公开内容的示例性实施方式的用于确定提供车辆的安全策略的设备中的功能限制级别的示例性标准的图表；

图4是示出根据本公开内容的示例性实施方式的依据车辆的安全策略提供设备的功能限制级别的示例性阻止功能的图表；

图5是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图；

图6是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图；

图7是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图；

图8是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图；

图9是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供方法的流程图；并且

图10示出了根据本公开内容的示例性实施方式的计算系统。

具体实施方式

在下文中，将参考所附附图详细描述本公开内容的示例性实施方式。在附图中，将始终使用相同的参考标号表示相同或等同的元件。此外，为了不使本公开内容的实质不必要的模糊，将排除对熟知特征或功能的细节描述。

在描述本公开内容的示例性实施方式的元件时，此处可以使用术语第一、第二、a、b、(a)、(b)等。这些术语仅用于区分一个元件与另一个元件，而不限制对应的元件，无论对应元件的性质、顺序、或优先级如何。进一步地，除非另有限定，否则，此处使用的包括技术和科技术语的所有术语应被解释为本发明所属领域的惯用手法。应当理解的是，此处使用的术语应被解释为具有与其在本公开内容及相关领域的上下文中的含义一致的含义并且不得以理想化或过度形式化的含义进行解释，除非此处明确如此限定。

图1是示出根据本公开内容的示例性实施方式的车辆的安全策略提供设备的配置的框图。

参考图1，根据示例性实施方式的车辆的安全策略提供设备100可以包括通信电路110、电力控制器120以及控制电路130。图1中的安全策略提供设备100可以安装在车辆中。

通信电路110可以被配置为与外部进行通信。通信电路110可以支持各种方案的无线通信，并且可以从服务器接收数据。通过通信电路110可以向车辆提供连接服务。根据本公开内容的示例性实施方式的通信电路110可以是利用各个电子电路实现的硬件设备，以经由无线或陆线连接发送和接收信号。

电力控制器120可以控制供应至车辆中包括的各个部件的电力。例如，电力控制器120可以控制供应至通信电路110的电力和供应至控制电路130的电力。

控制电路130可以电连接至通信电路110和电力控制器120。控制电路130可以控制通信电路110和电力控制器120并且可以执行各种数据的处理和计算。例如，控制电路130可以是安装在车辆中的通信控制单元(ccu)、电子控制单元(ecu)、或其他子控制器。图1中作为控制电路130例证的实施方式是单个配置，但并不局限于此。例如，控制电路130可以实现为分成两个或多个部分。

根据本公开内容的示例性实施方式的电力控制器120和控制电路130均可以是处理器(例如，计算机、微处理器、cpu、asic、电路等)。电力控制器120和控制电路130均可以通过非易失性存储器和处理器实现，即该非易失性存储器被配置为相对于被配置为控制车辆中的各个部件的操作的算法或使算法再现的软件指令存储数据，并且处理器被配置为通过使用存储在存储器中的数据而执行下面描述的操作。此处，存储器和处理器可以实现为独立的半导体电路。可替代地，存储器和处理器可以实现为单个集成的半导体电路。所述处理器可以包含一个或多个处理器。

根据示例性实施方式，控制电路130可以检测外部设备的连接或外部数据的流入。控制电路130可以检测外部设备的连接和/或外部数据的流入作为防止外部入侵的方式。例如，外部设备可以包括外部诊断装置、外部存储器、外部终端、或外部控制器的至少一部分。控制电路130可以检测未被认证或未注册的外部设备的连接。控制电路130可以检测未被认证或未注册的外部数据的流入。

根据示例性的实施方式，控制电路130基于检测结果可以阻止由车辆提供的功能的至少一部分和/或由电力控制器120供应的电力的至少一部分。当通过外部设备或外部数据不能保证安全性时，控制电路130可以通过适当地阻止连接服务或电力的功能而提高安全性。

根据示例性的实施方式，控制电路130可以基于所连接的外部设备或传入的外部数据的特征确定阻止级别。控制电路130可以根据阻止级别确定所阻止的功能或阻止电力的配置。

根据示例性实施方式，当检测到未被认证或未注册的外部设备的连接时，控制电路130可以阻止由车辆提供的连接服务的功能的至少一部分。例如，当检测到未被认证或未被注册的外部诊断装置或外部存储器的连接时，控制电路130可以阻止由车辆提供的连接服务的功能。再例如，当检测到未被认证或未被注册的外部终端或外部存储器的连接时，控制电路130可以阻止由车辆提供的连接服务的功能和与通信电路110相关联的功能。当安全性因外部设备的连接而降低时，控制电路130可以使用软件阻止连接服务的功能和/或通信电路110的功能。如此，可以防止外部设备入侵或安全数据的泄露。

根据示例性的实施方式，当检测到未被认证或未被注册的外部数据的流入时，控制电路130可以控制电力控制器120切断供应至通信电路110和/或控制电路130的一部分的电力。例如，当未被认证或未被注册的外部数据的流入量小于指定值时，控制电路130可以控制电力控制器120切断供应至通信电路110的电力。再例如，当未被认证或未被注册的外部数据的流入量大于指定值时，控制电路130可以控制电力控制器120切断供应至控制电路130和通信电路110的一部分(例如，与连接服务相关联的部分)的电力。当安全性优于外部数据的流入而降低时，控制电路130可以切换供应至相关联的硬件的电力，以从外部阻止硬件自身。因此，可以更为可靠地防止外部数据入侵或安全数据泄露。

图2是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图。

参考图2，车辆信息传输装置可以将车辆有线通信的信息发送至阻止确定装置。车辆安全检测装置可以检测车辆有线通信(例如，can、以太网、lin、拐射线(flexray)等)和车辆无线通信的入侵。车辆安全检测装置可以限定入侵级别并且可以将限定级别发送至阻止确定装置。通信阻止请求装置可以通过用户请求将通信阻止级别发送至阻止确定装置。

第一处理器可以包括阻止确定装置和控制器电力控制设备。阻止确定装置可以确定要限制的功能。阻止确定装置可以通过组合输入信息(例如，车辆信息、安全检测、通信阻止请求等)来确定阻止级别和要限制的功能。控制器电力控制设备可以控制被发送至第二处理器和通信模块的电力。

第二处理器可以提供连接服务。第一处理器和第二处理器可以被称为图1中的“控制电路”130。连接服务可以包括个人信息链接服务和个人信息解除链接服务。

无线通信模块可以包括无线通信控制器，并且可以提供诸如ecall、lte通信、基带传输等无线通信功能。有线通信模块可以包括车辆有线通信控制器，并且可以在车辆中提供有线通信功能。

软件控制器可以基于由阻止确定装置确定的结果来控制软件。软件控制器可以将连接服务的功能或通信模块的功能限制为软件。例如，当阻止级别是‘1’时，软件控制器可以停用连接服务的个人信息链接服务；当阻止级别是‘2’时，软件控制器可以停用连接服务的个人信息解除链接服务；当阻止级别是‘3’时，软件控制器可以停用通信模块的功能。

硬件控制器可以基于由阻止确定装置确定的结果强制控制供应至硬件的电力。例如，硬件控制器可以控制供应至第一处理器、第二处理器、以及通信模块的电力。硬件控制器可以通过切断所供应的电力而限制第二处理器的功能或无线通信模块的功能。例如，当阻止级别是‘4’时，硬件控制器可以切断供应至通信模块的电力；当阻止级别是‘5’时，硬件控制器可以切断供应至第二处理器的电力。

图3是示出根据本公开内容的示例性实施方式的用于确定提供车辆的安全策略的设备的功能限制级别的示例性标准的图表。

参考图3，车辆可以检测外部终端的连接。当外部终端是认证终端时，因为安全性风险低，所以不可以执行单独的动作。当连接未批准的诊断设备或未授权的存储器时，车辆可以确定功能限制级别是1或2。当检测到未注册终端的数据监测时，车辆可以确定功能限制级别是3。当输入未定义的数据或未注册的数据时，车辆可以确定功能限制级别是4。当未定义的数据或未注册的数据的量大于指定值时，车辆可以确定功能限制级别是5。由于功能限制级别高，车辆可以执行更强的阻止策略。

图4是示出根据本公开内容的示例性实施方式的依据车辆的安全策略提供设备的功能限制级别的示例性阻止功能的图表。

参考图4，车辆可以根据级别1阻止连接服务之间的个人信息链接服务。车辆可以根据级别2阻止个人信息解除链接服务，即，所有连接服务。车辆可以根据级别3阻止使用通信电路的ecall功能。在级别1至级别3中，车辆可以使用软件阻止各种功能。

车辆可以根据级别4切断通信模块的电力。车辆可以根据级别5切断应用处理器(ap)的电力。在级别4和级别5中，车辆可以通过控制电力从外部阻止硬件配置。

图5是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图。

参考图5，车辆信息传输装置可以收集与车辆相关联的各种信息(例如，车辆以太网信息、车辆can信息、无线信息、以及存储信息)。车辆信息传输装置可以将所收集的信息发送至阻止确定装置。例如，当发生违反隐私法的情况时，阻止确定装置可以阻止由第二处理器执行的连接服务中的个人信息链接服务，以根据关于各个国家对个人信息的保护法规来支持功能。可以提前存储关于个人信息法律的信息。

图6是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图。

参考图6，车辆安全检测装置可以收集与车辆相关联的各种信息。车辆安全检测装置可以将所收集的信息发送至阻止确定装置。例如，阻止确定装置可以确定未批准的诊断设备的连接或未认证的存储器的识别。基于提前存储在车辆的存储器中的信息可以执行未批准的诊断设备的连接或未认证的存储器的识别。可以确定除了提前认证的诊断设备或存储器之外的诊断设备或存储器是未批准的诊断设备或未认证的存储器。可以提前存储关于认证诊断设备或存储器的信息。例如，当检测到未批准的诊断设备的连接或未认证的存储器的识别时，阻止确定装置可以阻止包括由第二处理器执行的个人信息链接服务和个人信息解除链接服务的连接服务。

图7是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图。

参考图7，车辆信息传输装置、车辆安全检测装置、以及通信阻止请求装置可以将所收集的信息发送至阻止确定装置。例如，阻止确定装置可以确定未注册的控制器或未注册的终端的连接。可以基于提前存储在车辆的存储器中的信息来执行未注册的控制器或未注册的终端的连接。可以确定除了注册的控制器或终端之外的控制器或终端是未注册的控制器或未注册的终端。可以提前存储关于注册控制器或终端的信息。阻止确定装置可以视为未注册的控制器或未注册的终端的连接是通过未注册的控制器或未注册的终端进行监测。例如，当检测到未注册的控制器或未注册的终端的连接时，阻止确定装置可以阻止通过无线通信模块和有线通信模块执行的功能。之后，无线通信模块和有线通信模块可以通过安全性消息执行通信。

图8是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供设备的示例性操作的示图。

参考图8，车辆信息传输装置、车辆安全检测装置、以及通信阻止请求装置可以将所收集的信息发送至阻止确定装置。例如，阻止确定装置可以确定未定义或未注册的数据的流入。当在网络上输入未定义或未注册的数据时，阻止确定装置可以根据传入数据的量控制供应至通信模块和/或第二处理器的电力。例如，当传入数据的量小于指定值时，阻止确定装置可以通过控制器电力控制设备控制硬件控制器，以切断供应至通信模块的电力。再例如，当传入数据的量大于指定值时，阻止确定装置可以通过控制器电力控制设备控制硬件控制器，以切断供应至第二处理器的电力。

图9是用于描述根据本公开内容的示例性实施方式的车辆的安全策略提供方法的流程图。

在下文中，假设图1中的安全策略提供设备100执行图9中的过程。此外，在图9的描述中，可以理解为，通过安全策略提供设备100的控制电路130或子控制器控制被描述为由设备执行的操作。

参考图9，在操作910中，车辆可以检测外部设备的连接或外部数据的流入。例如，车辆可以检测未注册的外部设备的连接或未注册的外部数据的流入。

在操作920中，车辆可以基于检测结果至少阻止由车辆提供的功能的一部分和/或至少由电力控制器供应的电力的一部分。例如，车辆可以基于检测结果确定安全策略的级别。车辆可以根据安全策略的级别阻止连接服务的功能、通信电路的功能、和/或供应至车辆的各个部件的电力。当检测到未注册的诊断设备或存储器的连接时，车辆可以通过限制软件而阻止连接服务的功能。当检测到未注册的控制器或终端的连接时，车辆可以通过限制软件而阻止连接服务和通信电路的功能。当检测到未注册的数据的流入时，车辆可以通过限制软件而根据传入数据的量切断供应至通信电路和/或控制电路的电力。

图10示出了根据本公开内容的示例性实施方式的计算系统。

参考图10，通过计算系统可以实现根据本公开内容的示例性实施方式的设备。计算系统1000可以包括通过系统总线1200而彼此连接的至少一个处理器1100、存储器1300、用户接口输入设备1400、用户接口输出设备1500、储存器1600、以及网络接口1700。

处理器1100可以是处理存储在存储器1300和/或储存器1600中的指令的中央处理单元(cpu)或半导体设备。存储器1300和储存器1600中的每个可以包括各种类型的易失性或非易失性存储介质。例如，存储器1300可以包括只读存储器(rom)和随机访问存储器(ram)。

相应地，利用由处理器1100执行的硬件模块、软件模块、或硬件模块和软件模块的组合可以直接实现结合本说明书中公开的示例性实施方式描述的方法或算法的操作。软件模块可以寄存在存储介质(即，存储器1300和/或储存器1600)上，诸如，随机访问存储器(ram)、闪存存储器、只读存储器(rom)、可擦除和可编程rom(eprom)、电eprom(eeprom)、寄存器、硬盘驱动、可移除盘、或压密盘rom(cd-rom)等。示例性的存储介质可以耦合至处理器1100。处理器1100可以从存储介质读出信息并且可以将信息写入存储介质中。可替代地，存储介质可以与处理器1100集成。处理器和存储介质可以寄存在专用集成电路(asic)中。asic可以寄存在用户终端中。可替代地，利用用户终端中的独立部件可以实现处理器和存储介质。

在上文中，尽管已经参考示例性实施方式和所附附图描述了本公开内容，然而，本公开内容并不局限于此，而是在不背离下列权利要求要求保护的本公开内容的实质和范围的情况下，本公开内容所属领域技术人员可以进行各种改造和更改。

因此，本公开内容的示例性实施方式并不旨在限制本公开内容的技术实质，而是仅出于示出性之目的而提供。本公开内容的保护范围应由所附权利要求限定，并且其所有等同物应被解释为包括在本公开内容的范围内。

根据本公开内容的示例性实施方式，提供车辆的安全战略的设备与方法根据外部设备的连接或外部数据的流入至少可以阻止功能或电力的一部分，由此提高提供连接服务的车辆的安全性。

此外，可以提供通过本公开内容直接或间接地理解的各种效果。

在上文中，尽管已经参考示例性实施方式及所附附图描述了本公开内容，然而，本公开内容并不局限于此，而是在不背离下列权利要求要求保护的本公开内容的实质和范围的情况下，本公开内容所属领域技术人员可以做出各种改造和更改。