СПОСОБ И СИСТЕМА ДЛЯ ЗАЩИТЫ ТРАНСПОРТНОГО СРЕДСТВА
ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ
[0001] Настоящее раскрытие, в общем, относится к шине данных транспортного средства и, конкретнее, защите сети шлюза транспортного средства.
УРОВЕНЬ ТЕХНИКИ
[0002] Современные транспортные средства включают в себя одну или более шин данных, которые содействуют связи между электронными блоками управления (ECU), которые контролируют и управляют различными подсистемами транспортного средства. Бортовая диагностика (OBD) содействует ECU, выполняющим диагностику и сообщающим результаты с помощью шин данных. Транспортные средства включают в себя разъемы, такие как разъемы OBD-II, которые позволяют соединять внешние диагностические инструменты с шинами данных транспортного средства для взаимодействия с диагностикой ECU. Например, пункт ремонта транспортных средств может подключаться к порту OBD-II для получения информации для определения, почему загорается лампа проверки двигателя.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[0003] Приложенная формула изобретения определяет эту заявку. Настоящее описание обобщает аспекты вариантов выполнения и не должно быть использовано для ограничения формулы изобретения. Другие варианты осуществления предусмотрены в соответствии с технологиями, описанными здесь, как будет ясно специалисту в области техники при изучении следующих чертежей и подробного описания, и эти варианты осуществления предназначены для включения в объем этой заявки.
[0004] Раскрыты примерные варианты выполнения для защиты сети шлюза транспортного средства. Примерный раскрытый способ защиты транспортного средства включает в себя управление переходами состояний шлюза, отделяющего телематический электронный ключ и шину данных транспортного средства. Примерный способ также включает в себя, когда шлюз находится в состоянии поля, блокировку первых запросов от телематического электронного ключа. Дополнительно, примерный способ включает в себя, в ответ на переход шлюза в состояние поля, блокировку первых запросов и вторых запросов от телематического электронного ключа в течение некоторого периода времени.
[0005] Примерная система для защиты транспортного средства включает в себя энергонезависимую защищенную память и арбитр состояния. Примерная энергонезависимая защищенная память сохраняет значение, указывающее на состояние. Примерный арбитр состояния управляет переходами состояний шлюза, отделяющего телематический электронный ключ и шину данных транспортного средства. Примерный арбитр сессии также, когда шлюз находится в состоянии поля, блокирует первые запросы от телематического электронного ключа. В ответ на переход шлюза в состояние поля примерный арбитр сессии блокирует первые запросы и вторые запросы от телематического электронного ключа в течение некоторого периода времени.
В частности, в одном аспекте настоящего изобретения раскрывается способ защиты транспортного средства, причем способ содержит: управление, с помощью процессора, переходами состояний шлюза, отделяющего телематический электронный ключ и шину данных транспортного средства; когда шлюз находится в состоянии поля, блокировку первых запросов от телематического электронного ключа; и в ответ на переход шлюза в состояние поля, блокировку первых запросов и вторых запросов от телематического электронного ключа в течение некоторого периода времени.
В одном из вариантов осуществления способ включает в себя, когда шлюз находится в состоянии поля, разрешение вторых запросов от телематического электронного ключа.
В одном из вариантов осуществления состояния шлюза включают в себя состояние поля, переходное состояние и диагностическое состояние.
В одном из вариантов осуществления способ включает в себя: в ответ на питание, подаваемое на шлюз, получение значения статуса признака из энергонезависимой защищенной памяти; когда значение статуса признака указывает на «включен», переход шлюза в переходное состояние; и когда значение статуса признака указывает на «отключен», переход шлюза в диагностическое состояние.
В одном из вариантов осуществления, когда шлюз находится в диагностическом состоянии, разрешают первые запросы и вторые запросы от телематического электронного ключа.
В одном из вариантов осуществления способ включает в себя, когда шлюз находится в переходном состоянии: контроль скорости транспортного средства; когда скорость транспортного средства удовлетворяет пороговому значению, переход шлюза в состояние поля; и когда скорость транспортного средства не удовлетворяет пороговому значению, переход шлюза в диагностическое состояние.
В одном из вариантов осуществления способ включает в себя, когда шлюз находится в диагностическом состоянии: контроль скорости транспортного средства; и когда скорость транспортного средства удовлетворяет пороговому значению, и значение статуса признака в энергонезависимой защищенной памяти указывает на «включен», переход шлюза в состояние поля.
В одном из вариантов осуществления первые запросы предписывают электронным блокам управления, соединенным с возможностью связи с шиной данных транспортного средства, перезапускаться или переходить к диагностической сессии, и в котором вторые запросы предписывают электронным блокам управления, соединенным с возможностью связи с шиной данных транспортного средства, сообщать информацию о статусе.
В одном из вариантов осуществления способ включает в себя: сохранение значения, указывающего на установку статуса признака, в энергонезависимой защищенной памяти; и в ответ на запрос на изменение значения, указывающего на статус признака в энергонезависимой защищенной памяти, для указания на установку «отключен»: запрос маркера аутентификации; и в ответ на маркер аутентификации, являющийся допустимым, изменение значения в энергонезависимой защищенной памяти для указания на установку «отключен».
В другом аспекте настоящего изобретения раскрывается система для защиты транспортного средства, причем система содержит: энергонезависимую защищенную память для хранения значения, указывающего на статус признака; и арбитр сессии для: управления переходами состояний шлюза, отделяющего телематический электронный ключ и шину данных транспортного средства; когда шлюз находится в состоянии поля, блокировки первых запросов от телематического электронного ключа; и в ответ на переход шлюза в состояние поля, блокировки первых запросов и вторых запросов от телематического электронного ключа в течение некоторого периода времени.
В одном из вариантов осуществления система включает в себя, когда шлюз находится в состоянии поля, разрешение вторых запросов от телематического электронного ключа.
В одном из вариантов осуществления состояния шлюза включают в себя состояние поля, переходное состояние и диагностическое состояние.
В одном из вариантов осуществления арбитр сессии выполнен с возможностью: в ответ на питание, подаваемое на шлюз, получать значение статуса признака из энергонезависимой защищенной памяти; когда значение статуса признака указывает на «включен», переводить шлюз в переходное состояние; и когда значение статуса признака указывает на «отключен», переводить шлюз в диагностическое состояние.
В одном из вариантов осуществления арбитр сессии выполнен с возможностью, когда шлюз находится в диагностическом состоянии, разрешать первые запросы и вторые запросы от телематического электронного ключа.
В одном из вариантов осуществления, когда шлюз находится в переходном состоянии, арбитр сессии выполнен с возможностью: контролировать скорость транспортного средства; когда скорость транспортного средства удовлетворяет пороговому значению, переводить шлюз в состояние поля; и когда скорость транспортного средства не удовлетворяет пороговому значению, переводить шлюз в диагностическое состояние.
В одном из вариантов осуществления, когда шлюз находится в диагностическом состоянии, арбитр сессии выполнен с возможностью: контролировать скорость транспортного средства; и когда скорость транспортного средства удовлетворяет пороговому значению, и значение статуса признака указывает на «включен», переводить шлюз в состояние поля.
В одном из вариантов осуществления первые запросы предписывают электронным блокам управления, соединенным с возможностью связи с шиной данных транспортного средства, перезапускаться или переходить к диагностической сессии, и в которой вторые запросы предписывают электронным блокам управления, соединенным с возможностью связи с шиной данных транспортного средства, сообщать информацию о статусе.
В одном из вариантов осуществления, в ответ на запрос на изменение значения статуса признака в энергонезависимой защищенной памяти для указания на установку «отключен», арбитр сессии выполнен с возможностью: запрашивать маркер аутентификации; и в ответ на маркер аутентификации, являющийся допустимым, изменять значение статуса признака в энергонезависимой защищенной памяти для указания на установку «отключен».
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0006] Для лучшего понимания изобретения может быть сделана ссылка на варианты выполнения, показанные на следующих чертежах. Компоненты на чертежах необязательно выполнены в масштабе, и соответствующие элементы могут быть исключены или, в некоторых случаях, пропорции могут быть преувеличены так, чтобы подчеркивать и ясно иллюстрировать новые признаки, описанные здесь. В дополнение, компоненты системы могут быть расположены различным образом, как известно в уровне техники. Дополнительно, на чертежах одинаковые ссылочные позиции обозначают соответствующие части на всех нескольких видах.
[0007] Фиг. 1 представляет собой блок-схему системы защиты сети шлюза транспортного средства, которая работает в соответствии с идеями этого раскрытия.
[0008] Фиг. 2 представляет собой блок-схему таблицы переходов состояний.
[0009] Фиг. 3 представляет собой блок-схему таблицы контекстов.
[0010] Фиг. 4 представляет собой блок-схему последовательности операций примерного способа защиты сети шлюза транспортного средства на Фиг. 1.
ПОДРОБНОЕ ОПИСАНИЕ ПРИМЕРНЫХ ВАРИАНТОВ ВЫПОЛНЕНИЯ
[0011] Несмотря на то, что изобретение может быть выполнено в различных формах, на чертежах показаны и будут далее описаны некоторые примерные и неограничивающие варианты выполнения с пониманием того, что настоящее раскрытие должно рассматриваться как иллюстративный пример изобретения и не предназначено для ограничения изобретения конкретными проиллюстрированными вариантами выполнения.
[0012] Все больше телематические блоки управления (TCU), устанавливаемые на транспортные средства после их продажи, доступны для множества целей. В данном контексте TCU иногда называются «телематическими электронными ключами». TCU подключается к диагностическому порту (например, порту OBD-II и т.д.) для доступа к диагностическим процедурам электронных блоков управления (ECU), которые контролируют и управляют различными подсистемами транспортного средства. Например, некоторые TCU предлагаются страховыми компаниями для отслеживания манер вождения и определения стоимости страхования соответственно. Эти TCU включают в себя программное обеспечение и аппаратное обеспечение для (а) связи с ECU по шине данных транспортного средства и (b) часто имеют аппаратное обеспечение для подключения (например, по сотовой сети, с помощью подключения Bluetooth®, с помощью беспроводного подключения по локальной сети и т.д.) к внешней сети для передачи диагностической информации. Однако TCU может создавать слабые места, которые позволяют непредвиденный и/или несанкционированный доступ к признакам ECU. Например, TCU стороннего производителя, купленный в интернет-магазине, может неправильно функционировать или удаленно управляться с возможностью использования диагностических запросов для содействия несанкционированному управлению подсистемами транспортного средства с помощью ECU. В качестве другого примера, когда транспортное средство заперто, и его периметровая сигнализация поставлена на охрану, плохо запрограммированный TCU стороннего производителя может обеспечивать доступ к блоку управления кузовным оборудованием, который представляет собой ECU, который управляет замками дверей и периметровой сигнализацией. В данном контексте термин «сторонний производитель» относится к производителю, отличному от производителя транспортного средства, в котором установлен TCU.
[0013] ECU на транспортном средстве поддерживают различные диагностические сессии (например, сессию по умолчанию, расширенную диагностическую сессию и сессию программирования и т.д.), которые обеспечивают доступ к различным диагностическим функциям. Как раскрыто более подробно ниже, ECU со шлюзом (иногда называемый «шлюз» здесь) поддерживает различные рабочие состояния для содействия в предотвращении приема электронными блоками управления (ECU) особо важных диагностических запросов в неидеальные времена. Состояния шлюза включают в себя (а) состояние поля, (b) особо важное диагностическое состояние и (с) переходное состояние. Состояние поля представляет собой состояние по умолчанию, когда транспортное средство работает. В некоторых примерах шлюз находится в состоянии поля, когда оно находится в движении со скоростью свыше пяти километров в час (км/ч). Особо важные диагностические запросы (такие как запросы на переход ECU к другой диагностической сессии, запросы на перезапуск ECU и т.д.) блокируются, когда шлюз находится в состоянии поля. Переходы в состояние поля в то время, как транспортное средство находится в движении, не создают небезопасное условие. Однако обеспечение доступа к определенным особо важным диагностическим функциям в то время, как транспортное средство находится в движении, может приводить к тому, что транспортное средство будет проявлять нежелательное поведение. Помещение шлюза в особо важное диагностическое состояние позволяет передавать особо важные диагностические запросы на внутренние сети транспортного средства. В большинстве случаев транспортное средство не находится в движении, когда шлюз находится в особо важном диагностическом состоянии. Переходное состояние содействует транспортному средству, определяющему, в какое состояние (например, состояние поля или особо важное диагностическое состояние) оно должно войти после включения зажигания транспортного средства. Любые особо важные диагностические запросы также блокируются, когда шлюз находится в переходном состоянии.
[0014] Шлюз подсоединен с возможностью связи между точкой входа в шины данных (например, порт OBD-II) и шины данных транспортного средства. В связи с этим шлюз отделяет TCU от шин данных транспортного средства. Шлюз управляет запросами на переход ECU в различные сессии. Например, шлюз разрешает или блокирует достижение электронных блоков управления (ECU) запросами на переход к другой сессии. Диагностические запросы могут требовать времени для обработки электронными блоками управления (ECU). В связи с этим некоторые ECU могут обрабатывать диагностические запросы, когда сессия переходит от, например, диагностической сессии к сессии по умолчанию. Как описано здесь, шлюз блокирует доступ к особо важным диагностическим запросам, когда шлюз находится в состоянии поля. Дополнительно, как описано здесь, шлюз блокирует диагностические запросы в течение некоторого периода времени (например, десять секунд) после перехода из особо важного диагностического состояния в состояние поля так, что ECU переходит к сессии по умолчанию до обработки еще большего количества диагностических запросов.
[0015] Фиг. 1 представляет собой блок-схему системы 100 защиты сети шлюза транспортного средства транспортного средства 102, которая работает в соответствии с идеями этого раскрытия. В проиллюстрированном примере телематический блок 104 управления (TCU) подключен к диагностическому порту 106 транспортного средства 102. Транспортное средство 102 может представлять собой стандартное транспортное средство с бензиновым двигателем, гибридное транспортное средство, электрическое транспортное средство, транспортное средство на топливных элементах или любой другой тип осуществления подвижности транспортного средства. Транспортное средство 102 может быть неавтономным, полуавтономным или автономным. Транспортное средство 102 включает в себя части, относящиеся к подвижности, такие как силовой агрегат с двигателем, трансмиссия, подвеска, приводной вал и/или колеса и т.д. В проиллюстрированном примере транспортное средство 102 включает в себя диагностический порт 106, электронные блоки 108a-108g управления (ECU), одну или более шин 110 данных транспортного средства и шлюз 112.
[0016] TCU 104 представляет собой устройство с аппаратным обеспечением и программным обеспечением для связи с ECU 108a-108g. В некоторых примерах TCU 104 включает в себя аппаратное обеспечение и программное обеспечение для подключения к другому устройству (например, смартфону, планшету, портативному компьютеру, диагностическому инструменту и т.д.) или внешней сети (например, Интернет, частной сети интранет и т.д.) с помощью проводного (например, универсальной последовательной шины (USB), Firewire (IEEE 1394) и т.д.) или беспроводного (например, беспроводной локальной вычислительной сети, сотовой сети, сети Bluetooth®, связи малого радиуса действия (NFC) и т.д.) подключения. TCU 104 выдает диагностические запросы в ECU 110a-110g. Дополнительно, TCU 104 принимает диагностическую информацию от ECU 110a-110g с помощью шин 110 данных транспортного средства.
[0017] Диагностический порт 106 представляет собой разъем, выполненный с возможностью приема, например, кабеля или TCU 104. В некоторых примерах диагностический порт 106 осуществлен в соответствии со спецификацией бортовой диагностики II (OBD-II) (например, SAE J1962 и SAE J1850), поддерживаемой Обществом автомобильных инженеров (SAE). В некоторых примерах диагностический порт 106 находится ниже или вблизи щитка панели приборов транспортного средства 102.
[0018] ECU 108a-108g контролируют и управляют подсистемами транспортного средства 102. ECU 108a-108g передают свойства (такие как статус ECU 108a-108g, показания датчиков, состояние управления, коды ошибок и диагностические коды и т.д.) и/или принимают запросы от других ECU 108a-108g и/или TCU 104 с помощью шин 110 данных транспортного средства. Некоторые транспортные средства 102 могут иметь семьдесят или больше ECU 108a-108g, расположенных в различных местоположениях вокруг транспортного средства 102, соединенных с возможностью связи с помощью шин 110 данных транспортного средства. ECU 108a-108g представляют собой дискретные наборы электронных устройств, которые включают в себя свою собственную схему (схемы) (такие как интегральные схемы, микропроцессоры, память, хранилище и т.д.) и аппаратно-программное обеспечение, датчики, исполнительные механизмы и/или монтажное аппаратное обеспечение. В проиллюстрированном примере ECU 108a-108g включают в себя одометр 108с, управление 108е зажиганием и датчик 108f скорости. Одометр 108с контролирует расстояние, пройденное транспортным средством 102. Управление 108е зажиганием контролирует положение выключателя зажигания. Датчик 108f скорости контролирует скорость транспортного средства 102. В некоторых примерах датчик 108f скорости может включать в себя один или более датчиков скорости колеса и/или датчиков скорости на оси.
[0019] ECU 108a-108g имеют диагностические возможности. Диагностические способности включают в себя, например, (а) сообщение статуса и информации датчиков (b) перезагрузку ECU 108a-108g и (с) проверку подключений к соответственной подсистеме. Например, ECU кузовным оборудованием может сообщать статус передних фар, проверять передние фары (например, предписывать передним фарам циклически работать по конкретной схеме) и/или перезапускать (что может предписывать передним фарам выключаться в то время, как ECU кузовным оборудованием перезагружается). В ответ на диагностический запрос (например, от TCU 104) ECU 108a-108g выполняют запрашиваемую диагностическую процедуру. На основе возможностей ECU 108a-108g и сложности запрашиваемой диагностической процедуры диагностические запросы могут требовать времени для обработки ECU 108a-108g. В некоторых примерах ECU 108a-108g отвечают по-разному в различных сессиях. В некоторых таких примерах ECU 108a-108g могут отвечать на запросы на перезагрузку или запросы на проверку подключений, когда ECU 108a-108g находится в расширенной диагностической сессии, но не когда ECU 108a-108g находится в сессии по умолчанию.
[0020] Шины 110 данных транспортного средства соединяют с возможностью связи ECU 108a-108g. ECU 108a-108g могут быть организованы на отдельных шинах 110 данных транспортного средства для управления, например, безопасностью, скоплением данных, управления данными и т.д. Например, особо важные ECU 108a-108g (например, блок управления тормозами, блок управления двигателем и т.д.) могут находиться на отдельной шине от других ECU 108a-108g (например, блока управления кузовным оборудованием, информационно-развлекательного головного блока и т.д.). TCU 104 связывается с ECU 108a-108g с помощью шин данных транспортного средства, когда TCU 104 подключен к диагностическому порту 106. Шины 110 данных транспортного средства могут быть осуществлены в соответствии с протоколом шины локальной сети контроллеров (CAN), который определен Международной организацией по стандартизации (ISO) 11898-1, протоколом шины передачи данных мультимедийных систем (MOST), протоколом гибкой шины данных CAN (CAN-FD) и/или протоколом шины К-линии (ISO 9141 и ISO 14230-1) и/или протоколом шины Ethernet и т.д.
[0021] Шлюз 112 содействует связи между ECU 108a-108g на различных шинах 110 данных транспортного средства. Дополнительно, шлюз 112 арбитражирует связь между TCU 104 и ECU 108a-108g. В проиллюстрированном примере шлюз 112 включает в себя шинные интерфейсы 114 и контроллер 116 шлюза. Шинные интерфейсы 114 включают в себя аппаратное обеспечение и аппаратно-программное обеспечение для связи с шинами 110 данных транспортного средства.
[0022] В проиллюстрированном примере контроллер 116 шлюза включает в себя процессор или контроллер 118, память 120 и арбитр 122 сессии. Процессор или контроллер 118 может представлять собой любое подходящее устройство обработки или набор устройств обработки, таких как, но не ограниченных ими: микропроцессор, платформа на базе микроконтроллера, подходящая интегральная схема, одна или более специализированных интегральных схем (ASIC) и/или одна или более программируемых пользователем вентильных матриц (FPGA). В проиллюстрированном примере процессор или контроллер 118 структурирован так, чтобы включать в себя арбитр 122 сессии. Память 120 может представлять собой энергозависимую память (например, RAM, которая может включать в себя энергонезависимую RAM, магнитную RAM, ферроэлектрическую RAM и любые другие подходящие формы); энергонезависимую память (например, дисковую память, флэш-память, EPROM, EEPROM, энергонезависимую твердотельную память на базе мемристора и т.д.), неизменную память (например, EPROM) и память только для чтения. В некоторых примерах память 120 включает в себя множество видов памяти, особенно энергозависимую память и энергонезависимую память. Память 120 может также включать в себя любое устройство хранения большой емкости, такое как накопитель на жестком диске и/или твердотельный накопитель. В проиллюстрированном примере память 120 включает в себя энергонезависимую защищенную память 124.
[0023] Память 120 представляют собой считываемый компьютером носитель, в который могут быть внедрены один или более наборов инструкций, таких как программное обеспечение для осуществления способов настоящего раскрытия. Инструкции могут выполнять один или более из способов или логику, которые описаны здесь. В особом варианте выполнения инструкции могут находиться полностью или по меньшей мере частично в любом одном или более из памяти 120, считываемого компьютером носителя и/или в процессоре 118 во время исполнения инструкций.
[0024] Термины «невременный считываемый компьютером носитель» и «считываемый компьютером носитель» следует понимать включающими в себя один носитель или множество носителей, таких как централизованная или распределенная база данных и/или связанные кэши и серверы, которые хранят один или более наборов инструкций. Термины «невременный считываемый компьютером носитель» и «считываемый компьютером носитель» также включают в себя любой материальный носитель, который способен хранить, кодировать или переносить набор инструкций для исполнения процессором, или которые предписывают системе выполнять любой один или более из способов или операций, раскрытых здесь. В данном контексте термин «считываемый компьютером носитель» точно определен как включающий в себя любой тип считываемого компьютером устройства хранения и/или диска для хранения и как исключающий распространение сигналов.
[0025] Арбитр 122 сессии управляет (i) статусом признака, (ii) триггером остановки и триггером запуска и (iii) состояниями шлюза 112. Статус признака представляет собой двоичное значение (например, включен или отключен), которое управляет особо важными диагностическими запросами, достигающими ECU 108a-108g. Арбитр 122 сессии сохраняет значение, характеризующее статус признака, в энергонезависимой защищенной памяти 124 так, что арбитр 122 сессии поддерживает текущий статус признака шлюза 112 при событии отключения питания. Когда арбитр 122 сессии должен определять статус признака шлюза 112, арбитр 122 сессии использует значение в энергонезависимой защищенной памяти 124. Дополнительно, арбитр 122 сессии не изменяет значение, характеризующее текущий статус признака, записанное в энергонезависимой защищенной памяти 124, на «отключен» до безопасного квитирования аутентификации с использованием, в некоторых примерах, процесса случайного числа/ключа. В некоторых примерах диагностические инструменты запрашивают изменение статуса признака с «включен» на «отключен». Для этого в таких примерах диагностические инструменты включают в себя аутентификатор для квитирования со шлюзом 112. Например, диагностические инструменты могут вычислять ключ разблокировки для контроллера 116 шлюза непосредственно от контроллера 116 шлюза, выдавшего случайное число. В качестве другого примера, диагностические инструменты могут вычислять ключ разблокировки для контроллера 116 шлюза путем подключения к безопасной онлайн-базе данных, которая хранит случайные числа аутентификации, которые являются уникальными для особого контроллера 116 шлюза, на основе идентификатора особого контроллера 116 шлюза. Наоборот, арбитр 122 сессии может записывать значение, характеризующее «включен», в энергонезависимую защищенную память 124 без аутентификации, когда статус признака «отключен». Если недопустимое значение (например, значение, не связанное с «включен» или «отключен») находится в энергонезависимой защищенной памяти 124, арбитр 122 сессии записывает значение, указывающее на статус признака, представляющий собой «включен», в энергонезависимую защищенную память 124.
[0026] В некоторых примерах арбитр 122 сессии поддерживает таймер статуса признака, который устанавливается, когда статус признака изменяется с «включен» на «отключен». В таких примерах, когда время таймера статуса признака истекает, арбитр 122 сессии устанавливает значение в энергонезависимой защищенной памяти 124 на «включен». Таймер статуса признака может быть основан на времени (например, пять минут, десять минут, час и т.д.), основан на цикле зажигания (например, два цикла зажигания, десять циклов зажигания и т.д.) или основан на пробеге (например, десять миль (16,0934 км), двадцать миль (32,1869 км) и т.д.). Например, если таймер статуса признака основан на времени, арбитр 122 сессии может устанавливать значение в энергонезависимой защищенной памяти 124 на «включен» по истечении тридцати минут.
[0027] Триггер запуска включается, когда транспортное средство 102 приводится в движение. В некоторых примерах триггер запуска включается, когда скорость транспортного средства 102 удовлетворяет (например, больше или равна) пороговому значению скорости. Наоборот, в таких примерах триггер скорости отключается, когда скорость транспортного средства 102 не удовлетворяет пороговому значению скорости. В некоторых таких примерах пороговое значение скорости составляет 5 км/ч. Триггер остановки включается, когда транспортное средство не приводится в движении. В некоторых примерах триггер остановки включается, когда выключатель зажигания находится (например, физически или логически) в положении ACC (вспомогательное оборудование) или положении OFF (выключено). Наоборот, в таких примерах триггер остановки отключается, когда выключатель зажигания находится (например, физически или логически) в положении ON (включено).
[0028] Как рассмотрено более подробно ниже в связи с Фиг. 2 и 3, арбитр 122 сессии контролирует диагностические запросы, выполняемые TCU 104, и блокирует определенные диагностические запросы на основе текущего состояния шлюза 112. Примерные состояния арбитра 122 сессии включают в себя {переход, поле, диагностика}. Арбитр 122 сессии контролирует диагностические запросы, отправляемые TCU 104. Арбитр 122 сессии блокирует особо важные диагностические запросы (например, диагностические запросы на переход сессии, диагностические запросы на перезапуск и т.д.), когда шлюз 112 находится в состоянии поля или переходном состоянии. В состоянии поля или переходном состоянии арбитр 122 сессии отправляет не особо важные диагностические запросы (например, запросы на сбор информации и т.д.) от TCU 104 на запрашиваемую шину 110 данных транспортного средства. Когда шлюз 112 находится в состоянии, отличном от состояния поля или переходного состояния (например, диагностическом состоянии), арбитр 122 сессии передает диагностические запросы (например, особо важные и не особо важные) от TCU 104 на запрашиваемую шину 110 данных транспортного средства. Дополнительно, после перехода состояния шлюза 112 в состояние поля из другого состояния арбитр 122 сессии блокирует все диагностические запросы в течение некоторого периода времени (например, пять секунд, десять секунд и т.д.).
[0029] В некоторых примерах арбитр 122 сессии распознает контекст производства и/или контекст расширенной диагностики. Когда диагностический инструмент запрашивает, чтобы статус признака был установлен на «отключен», диагностический инструмент также может включать в себя один из контекстов. Контексты определяют условия, в которых арбитр 122 сессии должен устанавливать статус признака обратно на «включен». В таких примерах арбитр 122 сессии отслеживает условие времени ожидания. Когда условие времени ожидания удовлетворено, арбитр 122 сессии устанавливает статус признака на «включен». В контексте расширенного обслуживания условие времени ожидания представляет собой пороговое число циклов зажигания (например, переходов выключателя зажигания из физического или логического выключенного положения во включенное положение). Альтернативно или дополнительно, условие времени ожидания представляет собой период времени (например, тридцать минут, шестьдесят минут и т.д.). В некоторых примерах арбитр 122 сессии находится в контексте производства, когда транспортное средство 102 производится (например, контекст производства представляет собой контекст по умолчанию). В контексте производства арбитр 122 сессии отслеживает условие времени ожидания. Когда условие времени ожидания удовлетворено, арбитр 122 сессии устанавливает статус признака на «включен». В некоторых таких примерах условие времени ожидания представляет собой пороговое расстояние, которое измеряется, например, одометром 108с. В таких примерах арбитр 122 сессии игнорирует контекст производства после установки статуса признака на «включен». То есть шлюз 112 не входит повторно в контекст производства после установки статуса признака на «включен».
[0030] Фиг. 2 представляет собой блок-схему таблицы 200 переходов состояний. В проиллюстрированном примере таблица 200 переходов состояний включает в себя переходное состояние 202, диагностическое состояние 204 и состояние 206 поля. Первоначально, когда шлюз 112 перезапускается (например, выключатель зажигания выполняет цикл), арбитр 122 сессии считывает энергонезависимую защищенную память 124 для определения статуса признака шлюза 112 и, таким образом, переводить ли шлюз в переходное состояние 202 или диагностическое состояние 204.
[0031] В переходном состоянии 202 арбитр 122 сессии блокирует особо важные диагностические запросы, отправляемые TCU 104. Арбитр 122 сессии остается в переходном состоянии, когда (а) статус признака шлюза 112 «включен» (например, значение в энергонезависимой защищенной памяти 124 характеризует «включен») и (b) скорость транспортного средства 102 неизвестна (например, значение не было принято от датчика 108f скорости). Из переходного состояния 202 арбитр 122 сессии переходит в состояние поля, когда (а) статус признака шлюза 112 «включен» (например, значение в энергонезависимой защищенной памяти 124 характеризует «включен») и (b) триггер запуска включен. Арбитр 122 сессии переходит в диагностическое состояние, когда (а) статус признака шлюза 112 «отключен» (например, значение в энергонезависимой защищенной памяти 124 характеризует «отключен») или (b) триггер запуска не включен.
[0032] В диагностическом состоянии 204 арбитр 122 сессии разрешает отправлять особо важные диагностические запросы, отправляемые TCU 104, на запрашиваемую шину 110 данных транспортного средства. Арбитр 122 сессии остается в диагностическом состоянии 204, когда (а) статус признака «отключен» (например, значение в энергонезависимой защищенной памяти 124 характеризует «отключен») или (b) триггер запуска отключен. Арбитр 122 сессии переходит в состояние 206 поля, когда (а) статус признака «включен» (например, значение в энергонезависимой защищенной памяти 124 характеризует «включен») и (b) триггер запуска включен. Когда арбитр 122 сессии переходит из диагностического состояния 204 в состояние 206 поля, арбитр сессии 122 блокирует диагностические запросы от TCU 104. Таким образом, арбитр 122 сессии разрешает ECU 108a-108g завершать обработку любых текущих диагностических запросов и переходить к сессии по умолчанию до приема еще большего количества диагностических запросов от TCU 104.
[0033] В состоянии 206 поля арбитр 122 сессии блокирует особо важные диагностические запросы, отправляемые TCU 104. Арбитр 122 сессии остается в состоянии 206 поля, когда (а) статус признака «включен» (например, значение в энергонезависимой защищенной памяти 124 характеризует «включен») и (b) триггер остановки отключен. Арбитр 122 сессии переходит в диагностическое состояние 204, когда (а) статус признака «отключен» (например, значение в энергонезависимой защищенной памяти 124 характеризует «отключен» (например, арбитр 122 сессии установил значение в энергонезависимой защищенной памяти 124 для представления «включен» после успешного квитирования аутентификации) или (b) триггер остановки включен.
[0034] Фиг. 3 представляет собой блок-схему таблицы 300 контекстов. Таблица 300 контекстов включает в себя примерный контекст 302 производства, примерный контекст 304 расширенного обслуживания и состояние 206 поля. В контексте 302 производства и контексте 304 расширенного обслуживания арбитр 122 сессии не блокирует диагностические запросы от TCU 104. В проиллюстрированном примере арбитр 122 сессии входит в контекст производства после производства транспортного средства 102. Арбитр 122 сессии остается в контексте 302 производства, когда пробег (например, который измеряется одометром 108с) транспортного средства 102 не удовлетворяет (например, меньше) пороговому значению расстояния. Арбитр 122 сессии переходит в состояние 206 поля, когда (а) пробег транспортного средства 102 удовлетворяет (например, больше или равен) пороговому значению расстояния. В некоторых примерах, когда арбитр 122 сессии переходит из контекста 302 производства в состояние 206 поля, арбитр 122 сессии (а) устанавливает статус признака на «включен» (например, устанавливает значение, указывающее на «включен», в энергонезависимой защищенной памяти) и (b) блокирует диагностические запросы от TCU 104 в течение некоторого периода времени.
[0035] В проиллюстрированном примере арбитр 122 сессии переходит в состояние расширенного обслуживания, когда арбитр 122 сессии принимает запрос от, например, диагностического инструмента на установку статуса признака на «отключен» (например, после успешного квитирования аутентификации). Арбитр 122 сессии остается в контексте 304 расширенного обслуживания, когда число циклов зажигания не удовлетворяет (например, меньше) пороговому значению циклов зажигания. В некоторых примерах пороговое значение циклов зажигания находится между двумя и десятью. Арбитр 122 сессии переходит в состояние 206 поля, когда число циклов зажигания удовлетворяет (например, больше или равно) пороговому значению циклов зажигания. В некоторых примерах, когда арбитр 122 сессии переходит из контекста 304 расширенного обслуживания в состояние 206 поля, арбитр 122 сессии (а) устанавливает статус признака на «включен» (например, устанавливает значение, указывающее на «включен», в энергонезависимой защищенной памяти) и (b) блокирует диагностические запросы от TCU 104 в течение некоторого периода времени.
[0036] Фиг. 4 представляет собой блок-схему последовательности операций примерного способа защиты сети 100 шлюза транспортного средства на Фиг. 1. Первоначально в блоке 402 после перезапуска шлюза арбитр 122 сессии определяет статус признака шлюза 112. Значение, характеризующее статус признака шлюза 112, сохраняют в энергонезависимой защищенной памяти 124. Если значение характеризует «включен», способ продолжается до блока 404. В противном случае, если значение характеризует «отключен», способ продолжается до блока 418.
[0037] В блоке 404 арбитр 122 сессии блокирует запросы на переход сессии и запросы на перезапуск от TCU 104. В блоке 406 арбитр 122 сессии определяет, изменился ли статус признака (например, значение, сохраненное в энергонезависимой защищенной памяти 124). Если статус признака изменился, способ продолжается до блока 418. В противном случае, если статус признака не изменился, способ продолжается до блока 408. В блоке 408 арбитр 122 сессии определяет, известна ли скорость транспортного средства 102. Если скорость транспортного средства известна, способ продолжается до блока 410. В противном случае, если скорость транспортного средства не известна, способ возвращается к блоку 404. В блоке 410 арбитр 122 сессии определяет, включен ли триггер запуска. Если триггер запуска включен, то способ продолжается до блока 412. В противном случае, если триггер запуска отключен, способ продолжается до блока 418.
[0038] В блоке 412 арбитр 122 сессии блокирует запросы на переход сессии и запросы на перезапуск от TCU 104. В блоке 414 арбитр 122 сессии определяет, изменился ли статус признака. Если статус признака изменился, способ продолжается до блока 418. В противном случае, если статус признака не изменился, способ продолжается до блока 416. В блоке 416 арбитр 122 сессии определяет статус триггера остановки. Если триггер остановки включен, способ продолжается до блока 418. В противном случае, если триггер остановки отключен, способ возвращается к блоку 412.
[0039] В блоке 418 арбитр 122 сессии разрешает запросы на переход сессии и запросы на перезапуск от TCU 104. В блоке 420 арбитр 122 сессии определяет значение статуса признака, сохраненное в энергонезависимой защищенной памяти 124. Если статус признака «включен», способ продолжается до блока 422. В противном случае, если статус признака «отключен», способ возвращается к блоку 418. В блоке 422 арбитр 122 сессии определяет статус триггера запуска. Если триггер запуска включен, то способ продолжается до блока 424. В противном случае, если триггер запуска отключен, способ возвращается к блоку 418. В блоке 424 арбитр 122 сессии блокирует диагностические запросы от TCU 104 в течение некоторого периода времени.
[0040] Блок-схема последовательности операций на Фиг. 4 представляет собой способ, который может быть осуществлен с помощью машиночитаемых инструкций, которые содержат одну или более программ, которые, при исполнении процессором (например, процессором 118 на Фиг. 1), предписывают контроллеру 116 шлюза осуществлять арбитр 122 сессии на Фиг. 1. Дополнительно, несмотря на то, что примерная программа (программы) описана/описаны со ссылкой на блок-схемы последовательности операций, проиллюстрированные на Фиг. 4, многие другие способы осуществления примерного арбитра 122 сессии могут быть альтернативно использованы. Например, порядок исполнения блоков может быть изменен и/или некоторые из описанных блоков могут быть изменены, исключены или объединены.
[0041] В этой заявке использование разделительного союза предназначено для включения соединительного союза. Дополнительно, союз «или» может быть использован для передачи признаков, которые присутствуют одновременно, вместо взаимоисключающих альтернатив. Другими словами, союз «или» следует понимать включающим в себя «и/или». Термины «включает в себя», «включающий в себя» и «включают в себя» являются включительными и имеют такой же объем, что и «содержит», «содержащий» и «содержат» соответственно.
[0042] Вышеописанные варианты выполнения и особенно любые «предпочтительные» варианты выполнения представляют собой возможные примеры вариантов осуществления и изложены всего лишь для ясного понимания принципов изобретения. Могут быть выполнены многие изменения и модификации вышеописанного варианта (вариантов) выполнения без существенного отклонения от замысла и принципов технологий, описанных здесь. Все модификации предназначены для включения здесь в объем этого раскрытия и для защиты следующей формулой изобретения.
название | год | авторы | номер документа |
---|---|---|---|
ЭФФЕКТИВНАЯ ВЫГРУЗКА ТЕЛЕМАТИЧЕСКИХ ДАННЫХ | 2015 |
|
RU2693266C2 |
БЕСПРОВОДНАЯ СИСТЕМА И СПОСОБ ОБЕСПЕЧЕНИЯ ИНДИКАЦИИ ПРОФИЛЯ НА БРЕЛОКЕ ДЛЯ КЛЮЧЕЙ И СООТВЕТСТВУЮЩИЙ БРЕЛОК ДЛЯ КЛЮЧЕЙ | 2017 |
|
RU2699743C2 |
ТРАНСПОРТНОЕ СРЕДСТВО И СПОСОБ ПРЕДОТВРАЩЕНИЯ КРАЖИ КОЛЕС ТРАНСПОРТНОГО СРЕДСТВА | 2017 |
|
RU2693591C2 |
Система и способ создания правил | 2018 |
|
RU2725033C2 |
Система и способ блокирования компьютерной атаки на транспортное средство | 2018 |
|
RU2706887C2 |
СИСТЕМА И СПОСОБ ПСЕВДОНАВИГАЦИОННОЙ ПОМОЩИ В ТРАНСПОРТНОМ СРЕДСТВЕ | 2015 |
|
RU2695037C1 |
СОЗДАНИЕ СЦЕНАРИЯ В ТЕЛЕМАТИЧЕСКОМ БЛОКЕ УПРАВЛЕНИЯ | 2017 |
|
RU2728813C2 |
СПОСОБ ОКАЗАНИЯ ПОМОЩИ ПО МЕНЬШЕЙ МЕРЕ ОДНОМУ ПОСТРАДАВШЕМУ ПРИ АВАРИИ ТРАНСПОРТНОГО СРЕДСТВА И СООТВЕТСТВУЮЩАЯ СИСТЕМА ОКАЗАНИЯ ПОМОЩИ | 2015 |
|
RU2701299C2 |
СИСТЕМА И СПОСОБ ИНДИВИДУАЛЬНОЙ ЗВУКОИЗОЛЯЦИИ В АКУСТИЧЕСКИХ ЗОНАХ ТРАНСПОРТНОГО СРЕДСТВА | 2017 |
|
RU2722106C2 |
ОБНАРУЖЕНИЕ КОНДЕНСАТА ДЛЯ ПОВЕРХНОСТЕЙ ТРАНСПОРТНОГО СРЕДСТВА ЧЕРЕЗ ПЕРЕДАТЧИКИ И ПРИЁМНИКИ СВЕТА | 2018 |
|
RU2692299C1 |
Предложен способ защиты транспортного средства. Перехватывают сообщения, отправляемые телематическим электронным ключом, с помощью шлюза (112), который физически отделяет телематический электронный ключ от шины данных (110) транспортного средства (102). Когда шлюз (112) находится в состоянии поля, блокируют сообщения, отправляемые посредством телематического электронного ключа на шину данных (110) транспортного средства (102), которые включают в себя запросы первого типа. В ответ на переход шлюза (112) в состояние поля блокируют сообщения, отправляемые посредством телематического электронного ключа на шину данных (110) транспортного средства (102), которые включают в себя запросы первого типа и запросы второго типа, в течение некоторого периода времени. Предложена также система для защиты транспортного средства. Достигается защита сети шлюза транспортного средства. 2 н. и 16 з.п. ф-лы, 4 ил.
1. Способ защиты транспортного средства, причем способ содержит:
перехватывают сообщения, отправляемые телематическим электронным ключом, с помощью шлюза, который физически отделяет телематический электронный ключ от шины данных транспортного средства;
когда шлюз находится в состоянии поля, блокируют сообщения, отправляемые посредством телематического электронного ключа на шину данных транспортного средства, которые включают в себя запросы первого типа; и
в ответ на переход шлюза в состояние поля блокируют сообщения, отправляемые посредством телематического электронного ключа на шину данных транспортного средства, которые включают в себя запросы первого типа и запросы второго типа, в течение некоторого периода времени.
2. Способ по п. 1, включающий в себя этап, на котором, когда шлюз находится в состоянии поля, разрешают сообщениям, которые включают в себя запросы второго типа, отправляемые посредством телематического электронного ключа, достигать шины данных транспортного средства.
3. Способ по п. 1, в котором состояния шлюза включают в себя состояние поля, переходное состояние и диагностическое состояние.
4. Способ по п. 1, включающий в себя этапы, на которых:
в ответ на питание, подаваемое на шлюз, получают значение статуса признака из энергонезависимой защищенной памяти;
когда значение статуса признака указывает на «включен», осуществляют переход шлюза в переходное состояние; и
когда значение статуса признака указывает на «отключен», осуществляют переход шлюза в диагностическое состояние.
5. Способ по п. 4, в котором, когда шлюз находится в диагностическом состоянии, разрешают сообщениям, которые включают в себя запросы первого типа и запросы второго типа, отправляемые посредством телематического электронного ключа, достигать шины данных транспортного средства.
6. Способ по п. 4, включающий в себя этапы, на которых, когда шлюз находится в переходном состоянии:
контролируют скорость транспортного средства;
когда скорость транспортного средства удовлетворяет пороговому значению, осуществляют переход шлюза в состояние поля; и
когда скорость транспортного средства не удовлетворяет пороговому значению, осуществляют переход шлюза в диагностическое состояние.
7. Способ по п. 4, включающий в себя этапы, на которых, когда шлюз находится в диагностическом состоянии:
контролируют скорость транспортного средства; и
когда скорость транспортного средства удовлетворяет пороговому значению, и значение статуса признака в энергонезависимой защищенной памяти указывает на «включен», осуществляют переход шлюза в состояние поля.
8. Способ по п. 1, в котором запросы первого типа предписывают электронным блокам управления, соединенным с возможностью связи с шиной данных транспортного средства, перезапускаться или переходить к диагностической сессии, и в котором запросы второго типа предписывают электронным блокам управления, соединенным с возможностью связи с шиной данных транспортного средства, сообщать информацию о статусе.
9. Способ по п. 1, включающий в себя этапы, на которых:
сохраняют значение, указывающее на установку статуса признака, в энергонезависимой защищенной памяти; и
в ответ на запрос на изменение значения, указывающего на статус признака в энергонезависимой защищенной памяти, для указания на установку «отключен»:
запрашивают маркер аутентификации и
в ответ на маркер аутентификации, являющийся допустимым, изменяют значение в энергонезависимой защищенной памяти для указания на установку «отключен».
10. Система для защиты транспортного средства, причем система содержит:
шлюз в транспортном средстве, электрически соединенный с диагностическим портом, причем шлюз физически отделяет диагностический порт и телематический электронный ключ, подключенный к диагностическому порту, от шины данных транспортного средства, причем шлюз включает в себя энергонезависимую защищенную память и процессор;
причем энергонезависимая защищенная память хранит значение, указывающее на статус признака; и
причем процессор выполнен с возможностью:
когда шлюз находится в состоянии поля, блокировки сообщений, которые включают в себя диагностические запросы первого типа, отправляемые посредством телематического электронного ключа на электронные блоки управления; и
в ответ на переход шлюза в состояние поля, блокировки, в течение некоторого периода времени, сообщений, которые включают в себя диагностические запросы первого типа и диагностические запросы второго типа, отправляемые посредством телематического электронного ключа на электронные блоки управления.
11. Система по п. 10, включающая в себя, когда шлюз находится в состоянии поля, разрешение сообщениям, которые включают в себя диагностические запросы второго типа, отправляемые посредством телематического электронного ключа, достигать электронных блоков управления.
12. Система по п. 10, в которой состояния шлюза включают в себя состояние поля, переходное состояние и диагностическое состояние.
13. Система по п. 10, в которой процессор выполнен с возможностью:
в ответ на питание, подаваемое на шлюз, получать значение статуса признака из энергонезависимой защищенной памяти;
когда значение статуса признака указывает на «включен», переводить шлюз в переходное состояние; и
когда значение статуса признака указывает на «отключен», переводить шлюз в диагностическое состояние.
14. Система по п. 13, в которой процессор выполнен с возможностью, когда шлюз находится в диагностическом состоянии, разрешать сообщениям, которые включают в себя диагностические запросы первого типа, и сообщениям, которые включают в себя диагностические запросы второго типа, отправляемые посредством телематического электронного ключа, достигать электронных блоков управления.
15. Система по п. 13, в которой, когда шлюз находится в переходном состоянии, процессор выполнен с возможностью:
контролировать скорость транспортного средства;
когда скорость транспортного средства удовлетворяет пороговому значению, переводить шлюз в состояние поля; и
когда скорость транспортного средства не удовлетворяет пороговому значению, переводить шлюз в диагностическое состояние.
16. Система по п. 13, в которой, когда шлюз находится в диагностическом состоянии, процессор выполнен с возможностью:
контролировать скорость транспортного средства; и
когда скорость транспортного средства удовлетворяет пороговому значению и значение статуса признака указывает на «включен», переводить шлюз в состояние поля.
17. Система по п. 10, в которой диагностические запросы первого типа предписывают электронным блокам управления, соединенным с возможностью связи с шиной данных транспортного средства, перезапускаться или переходить к диагностической сессии, и в которой диагностические запросы второго типа предписывают электронным блокам управления, соединенным с возможностью связи с шиной данных транспортного средства, сообщать информацию о статусе.
18. Система по п. 10, в которой, в ответ на запрос на изменение значения статуса признака в энергонезависимой защищенной памяти для указания на установку «отключен», процессор выполнен с возможностью:
запрашивать маркер аутентификации и
в ответ на маркер аутентификации, являющийся допустимым, изменять значение статуса признака в энергонезависимой защищенной памяти для указания на установку «отключен».
US 20130345903 A1, 26.12.2013 | |||
US 20140213238 A1, 31.07.2014 | |||
US 20140350772 A1, 27.11.2014. |
Авторы
Даты
2019-05-28—Публикация
2017-06-22—Подача