技术领域
本发明涉及控制对车辆电子设备的访问,并且更具体地涉及对车辆电子设备未授权访问做出响应的机制。
背景技术:
车辆是用调节车辆功能的一系列电子硬件制造成的。电子硬件包括传感器、电子控制单元(ECU、也称为车辆系统模块)、车辆远程信息处理单元,以及通过通信总线彼此通信的其他设备。电子硬件内所包括的设备不仅完成了车内通信,还可以从车辆的外部接收指令。例如,车辆通常包括可以被用于提供指令到电子硬件或者从电子硬件接收数据的车上诊断(OBD)输入。车辆还可以使用由车辆远程信息处理单元和如此装配的其他ECU实现的无线通信技术远程接收指令和传送数据。通过维护对电子硬件提供访问的入口,可能的是该入口可以被用于对电子硬件的恶意或其他未授权访问。但车辆可以检测到未授权的电子硬件的输入。然而,一旦车辆检测到有害输入的存在,则确定如何改善有害输入可以是具有挑战性的。
技术实现要素:
根据本发明的实施例,提供了一种对于对车辆的未授权电子访问做出响应的方法。所述方法包括接收表明对所述车辆中的电子硬件的未授权电子访问的数据;响应所述未授权电子访问,启动电子硬件对策;生成指示所述电子硬件的至少一部分实现所述电子硬件对策的命令集;以及将所述命令集传送给所述电子硬件的所述部分。
根据本发明的另一个实施例,提供了一种对于对车辆的未授权电子访问做出响应的方法。所述方法包括检测所述车辆中的电子硬件的异常状态;确定由对所述电子硬件的未授权访问导致所述异常状态;响应所述异常状态,启动电子硬件对策;生成指示所述电子硬件的至少一部分实现所述电子硬件对策的命令集;以及将所述命令集传送给所述电子硬件的所述部分。
根据本发明的另一个实施例,提供了一种对于对车辆的未授权电子访问做出响应的方法。所述方法包括检测所述车辆中的电子硬件的异常状态;识别异常状态的原因;基于所述异常状态的所述原因选择电子硬件对策;生成指示所述电子硬件的至少一部分实现所述电子硬件对策的命令集;以及将所述命令集传送给所述电子硬件的所述部分。
本发明还公开了以下方案。
方案1.一种对于对车辆的未授权电子访问做出响应的方法,包括步骤:
(a)接收表明对所述车辆中的电子硬件的未授权电子访问的数据;
(b)响应所述未授权电子访问而启动电子硬件对策;
(c)生成指示所述电子硬件的至少一部分实现所述电子硬件对策的命令集;以及
(d)将所述命令集传送给所述电子硬件的所述部分。
方案2.如方案1所述的方法,其中,所述命令集进一步包括指示所述电子硬件的一部分用于:依靠内部值而不是通过车辆总线接收的那些值、降低控制增益以对通过车辆总线接收的信息变得较不敏感,或者实现不依赖于传入数据提供服务的简化功能模式。
方案3.如方案1所述的方法,其中,所述电子硬件对策进一步包括用数据消息填充车辆总线。
方案4.如方案1所述的方法,其中,所述电子硬件对策进一步包括在预定量的时间内指示车辆电子设备的元件忽略所有传入消息的步骤。
方案5.如方案1所述的方法,其中,所述电子硬件对策进一步包括忽略与特定的功能相关的消息。
方案6.如方案1所述的方法,其中,所述命令集指示数据网关选择性地允许数据消息通过车辆总线的通信。
方案7.如方案1所述的方法,其中,所述命令集指示数据网关向通过第一车辆总线通信的所述电子硬件的一部分报警:所接收的数据表明未授权电子访问在通过第二车辆总线通信的所述电子硬件的另一个部分处。
方案8.如方案1所述的方法,其中,所述命令集被加密认证。
方案9.一种对于对车辆的未授权电子访问做出响应的方法,包括步骤:
(a)检测所述车辆中的电子硬件的异常状态;
(b)确定由对所述电子硬件的未授权访问导致所述异常状态;
(c)响应所述异常状态而启动电子硬件对策;
(d)生成指示所述电子硬件的至少一部分实现所述电子硬件对策的命令集;以及
(e)将所述命令集传送给所述电子硬件的所述部分。
方案10.如方案9所述的方法,其中,所述命令集进一步包括指示所述电子硬件的一部分用于:依靠内部值而不是通过车辆总线接收的那些值、降低控制增益以对通过车辆总线接收的信息变得较不敏感,或者实现不依赖于传入数据提供服务的简化功能模式。
方案11.如方案9所述的方法,其中,所述电子硬件对策进一步包括用数据消息填充车辆总线。
方案12.如方案9所述的方法,其中,所述电子硬件对策进一步包括在预定量的时间内指示车辆电子设备的元件忽略所有传入消息的步骤。
方案13.如方案9所述的方法,其中,所述电子硬件对策进一步包括忽略与特定的功能相关的消息。
方案14.如方案9所述的方法,其中,所述命令集指示数据网关选择性地允许数据消息通过车辆总线的通信。
方案15.如方案9所述的方法,其中,所述命令集指示数据网关向通过第一车辆总线通信的所述电子硬件的一部分报警:所接收的数据表明未授权电子访问在通过第二车辆总线通信的所述电子硬件的另一个部分处。
方案16.一种对于对车辆的未授权电子访问做出响应的方法,包括步骤:
(a)检测所述车辆中的电子硬件的异常状态;
(b)识别异常状态的类型;
(c)基于所述异常状态的所述类型选择电子硬件对策;
(d)生成指示所述电子硬件的至少一部分实现所述电子硬件对策的命令集;以及
(e)将所述命令集传送给所述电子硬件的所述部分。
方案17.如方案16所述的方法,其中,所述命令集进一步包括指示所述电子硬件的一部分用于:依靠内部值而不是通过车辆总线接收的那些值、降低控制增益以对通过车辆总线接收的信息变得较不敏感,或者实现不依赖于传入数据提供服务的简化功能模式。
方案18.如方案16所述的方法,其中,所述电子硬件对策进一步包括停止通过车辆总线的通信。
方案19.如方案16所述的方法,其中,所述电子硬件对策进一步包括用数据消息填充车辆总线。
方案20.如方案16所述的方法,其中,所述电子硬件对策进一步包括忽略与特定的功能相关的消息。
方案21.如方案16所述的方法,其中,所述命令集指示数据网关向通过第一车辆总线通信的所述电子硬件的一部分报警:所接收的数据表明未授权电子访问在通过第二车辆总线通信的所述电子硬件的另一个部分处。
附图说明
在下文中,将结合附图描述本发明的一个或多个实施例,其中相同的附图标记指代相同的元件,并且其中:
图1是描绘能够利用本文所公开的方法的通信系统的实施例的方框图;以及
图2是描绘对于对车辆的未授权电子访问做出响应的方法的实施例的流程图。
具体实施方式
下面描述的系统和方法检测对车辆中的电子硬件的未授权访问,并且以电子硬件对策的形式对未授权访问部署合适的车内响应。车辆可以实现入侵检测系统,入侵检测系统监控电子硬件以识别对电子硬件的未授权访问或者对访问该硬件的未授权尝试。作为响应,车辆可以使用经设计以使未授权访问的影响最小化的一个或多个对策保护电子硬件。入侵检测系统可以识别电子硬件的一部分或由受未授权访问影响的电子硬件调节的车辆功能,并且基于电子硬件、车辆功能或两者选择特定的对策。该对策还可以与表明对未授权访问负责的实体的身份和/或在未来有助于防止这种未授权行为的数据收集机制一起使用。
参考图1,这里示出了包括移动车辆通信系统10且可以被用于实现本文所公开的方法的操作环境。通信系统10一般包括车辆12、一个或多个无线载波系统14、陆地通信网络16、计算机18和呼叫中心20。应当理解,所公开的方法可以使用任意数量的不同系统,并且并不具体限制于这里所示的操作环境。另外,系统10的架构、结构、设置和操作以及它的各个部件在本领域中一般是已知的。因此,以下段落简单地提供了一个这样的通信系统10的简要概述;然而,这里未示出的其他系统也可以采用所公开的方法。
在所例示的实施例中车辆12被描绘为客车,但应当理解,也可以使用任何其他车辆,所述其他车辆包括摩托车、卡车、运动型多功能车(SUV)、休闲车(RV)、船舶、飞机等。在图1中大体示出了一些车辆电子设备28,并且所述一些车辆电子设备28包括远程信息处理单元30、麦克风32、一个或多个按钮或其他控制输入34、音频系统36、视觉显示器38和GPS模块40以及大量车辆系统模块(VSM)42。这些设备中的一些诸如麦克风32和(一个或多个)按钮34可以被直接连接到远程信息处理单元,然而其他诸如通信总线44或娱乐总线46使用一个或多个网络连接被间接连接。合适的网络连接的示例包括控制器区域网络(CAN)、面向媒体的系统传输(MOST)、本地互联网络(LIN)、局域网(LAN)和其他合适的连接诸如符合已知的ISO、SAE以及IEEE标准和规范的以太网或其他情况,等等。
远程信息处理单元30可以是安装在车辆中且通过无线载波系统14和经过无线联网能够无线语音和/或数据通信的OEM安装的(嵌入式的)或售后设备。这使车辆能够与呼叫中心20、其他远程信息处理使能的车辆或一些其他实体或设备进行通信。远程信息处理单元优选使用无线电传输建立与无线载波系统14的通信通道(语音通道和/或数据通道),使得语音和/或数据传输可以通过通道进行发送和接收。通过提供语音和数据通信两者,远程信息处理单元30能够使车辆提供许多不同的服务,所述许多不同的服务包括与导航、电话、紧急援助、诊断、信息娱乐等相关的那些。数据可以或者通过数据连接诸如通过在数据通道上的分组数据传输,或者通过使用本领域已知的技术通过语音通道进行发送。对于包括语音通信(举例说,与在呼叫中心20处的现场顾问或语音响应单元)和数据通信(举例说,将GPS位置数据或车辆诊断数据提供给呼叫中心20)两者的综合服务,系统可以利用语音通道上的单个呼叫,并且根据需要在语音通道上的语音和数据传输之间切换,并且这可以使用对于本领域中的技术人员来说已知的技术来完成。
根据一个实施例,远程信息处理单元30根据或者GSM或者CDMA标准利用蜂窝通信,并且因此包括用于语音通信如免提通话的标准蜂窝芯片组50、数据传输的无线调制解调器、电子处理设备52、一个或多个数字存储器设备54和双天线56。应当理解,调制解调器或者可以通过存储在远程信息处理单元中且由处理器52执行的的软件实现,或者它可以是位于远程信息处理单元30的内部或外部的单独的硬件部件。调制解调器可以使用任何数量的不同标准或协议诸如EVDO、CDMA、GPRS和EDGE进行操作。还可以使用远程信息处理单元30实现车辆和其他网络设备之间的无线联网。为了这个目的,远程信息处理单元30可以经配置用于根据一个或多个无线协议诸如IEEE802.11协议、WiMAX或蓝牙中的任一个进行无线通信。当被用于分组交换数据通信诸如TCP/IP,远程信息处理单元可以经配置具有静态IP地址,或者可以设置以自动地从网络上的另一个设备(诸如路由器)或者从网络地址服务器接收分配的IP地址。
处理器52可以是包括微处理器、微控制器、主机处理器、控制器、车辆通信处理器和专用集成电路(ASIC)的能够处理电子指令的任何类型的设备。它可以是仅用于远程信息处理单元30的专用处理器,或者可以与其他车辆系统共享。处理器52执行各种类型的数字存储指令,诸如存储在存储器54中的软件或固件程序,其能够使远程信息处理单元提供各种各样的服务。比如,处理器52可以执行程序或处理数据以完成本文所讨论的方法的至少一部分。
远程信息处理单元30可以被用于提供包括到和/或来自车辆的无线通信的不同范围的车辆服务。这些服务包括:逐向(turn-by-turn)引导和连同基于GPS车辆导航模块40一起提供的其他导航相关服务;安全气囊部署通知和连同一个或多个碰撞传感器接口模块诸如车身控制模块(未示出)一起提供的其他紧急援助或路边援助相关服务;使用一个或多个诊断模块的诊断报告;以及信息娱乐相关服务,其中由信息娱乐模块(未示出)下载音乐、网页、电影、电视节目、视频游戏和/或其他信息,并且音乐、网页、电影、电视节目、视频游戏和/或其他信息被存储用于当前或以后回放。上面所列出的服务并不是远程信息处理单元30的所有能力的穷举的列表,但仅仅是远程信息处理单元能够提供的服务中的一些的枚举。此外,应当理解,可以以存储在远程信息处理单元30的内部或外部的软件指令的形式实现上述模块中的至少一些,上述模块中的至少一些可以是位于远程信息处理单元30的内部或外部的硬件部件,或者上述模块中的至少一些可以彼此或与位于整个车辆的其他系统集成和/或共享,仅举几个可能的例子。在模块被实现为位于远程信息处理单元30的外部的VSM42的情况下,模块可以利用车辆总线44以与远程信息处理单元交换数据和命令。
GPS模块40从GPS卫星的星座60接收无线电信号。从这些信号,模块40可以确定被用于将导航和其他位置相关服务提供给车辆驾驶员的车辆位置。导航信息可以被呈现在显示器38(或车辆内的其他显示器)上,或者可以被口头地呈现诸如当提供逐向导航时完成。可以使用专用车载导航模块(其可以是GPS模块40的一部分)提供导航服务,或者一些或全部导航服务可以通过远程信息处理单元30完成,其中为了提供给车辆导航地图、地图注释(兴趣点、餐厅等)、路线计算等,位置信息被发送给远程位置。位置信息可以被提供给呼叫中心20或其他远程计算机系统,诸如计算机18,为了其他目的,诸如车队管理。另外,新的或更新的地图数据可以从呼叫中心20通过远程信息处理单元30被下载到GPS模块40。
除了音频系统36和GPS模块40,车辆12可以包括以位于整个车辆的电子硬件部件的形式并且通常从一个或多个传感器接收输入且使用感测的输入实行诊断、监控、控制、报告和/或其他功能的其他车辆系统模块(VSM)42。VSM42中的每个优选地通过通信总线44被连接到其他VSM,以及连接到远程信息处理单元30,并且可以被编程以运行车辆系统和子系统诊断测试。作为示例,一个VSM42可以是控制发动机操作的各个方面诸如燃料点火和点火定时的发动机控制模块(ECM),另一个VSM42可以是调节车辆动力传动系的一个或多个部件的操作的动力传动系控制模块,并且另一个VSM42可以是管理位于整个车辆的各种电气部件(像车辆的电动门锁和前照灯)的车身控制模块。根据一个实施例,发动机控制模块配备有车上诊断(OBD)特征,所述车上诊断(OBD)特征提供诸如从包括车辆排放传感器的各种传感器接收的数据的无数实时数据并且提供一系列标准化的诊断故障代码(DTC),让技术员能够迅速识别和纠正车辆内的故障。如由本领域中的技术人员理解的,上述VSM仅是可以被用于车辆12中的模块中的一些的示例,像许多其他的也是可能的。可以从被硬线连接到车辆12的数据插件48获得DTC以及其他数据。在一个实施方式中,数据插座48可以是如本领域中的技术人员已知的OBD插座。或者在另一个实施方式中,数据插座48可以是能够接收有线数据连接的通用串行总线(USB)插座。
车辆电子设备28还包括用提供和/或接收信息的手段(包括麦克风32、(一个或多个)按钮34、音频系统36和视觉显示器38)提供车辆乘坐者的许多车辆用户界面。如本文所使用的术语‘车辆用户界面’广义地包括电子设备的任何合适的形式,包括硬件和软件部件两者,电子设备位于车辆上并且能够使车辆用户与车辆的部件通信,或者通过车辆的部件通信。麦克风32将音频输入提供给远程信息处理单元以使驾驶员或其他乘坐者能够通过无线载波系统14提供语音命令且完成免提通话。为了这个目的,它可以被连接到利用本领域中已知的人-机界面(HMI)技术的车上自动语音处理单元。(一个或多个)按钮34允许用户手动输入到远程信息处理单元30以启动无线电话呼叫,并且提供其他数据、响应,或者控制输入。单独的按钮可以被用于启动到呼叫中心20的与常规服务援助呼叫相对的紧急呼叫。音频系统36将音频输出提供给车辆乘坐者,并且可以是专用、独立系统或主要车辆音频系统的一部分。根据这里所示的特定的实施例,音频系统36可操作地被耦接到车辆总线44和娱乐总线46两者,并且可以提供AM、FM和卫星广播、CD、DVD和其他多媒体功能。可以连同上面所描述的信息娱乐模块一起提供该功能,或者独立于上面所描述的信息娱乐模块提供该功能。音频系统36还可以包括管理车辆总线44和娱乐总线46之间的数据的通信的数据网关。然而,应当理解,可以使用不止一个网关,并且可以在除了音频系统36之外的其他位置处实现该网关。视觉显示器38优选地是图形显示器,诸如仪表盘上的触摸屏或被挡风玻璃反射出去的平视显示器,并且可以被用于提供大量的输入和输出功能。还可以利用各种其他车辆用户界面,如图1的界面仅是一个特定的实施方式的示例。
无线载波系统14优选地是包括多个基塔70(仅示出一个)、一个或多个移动交换中心(MSC)72,以及连接无线载波系统14和陆地网络16所需的任何其他联网部件的蜂窝电话系统。每个基塔70包括发送和接收天线以及基站,其中来自不同基塔的基站或直接地或通过诸如基站控制器的中间设施被连接到MSC72。蜂窝系统14可以实现任何合适的通信技术,包括例如,诸如AMPS的模拟技术或诸如CDMA(举例说,CDMA2000)或GSM/GPRS的较新的数字技术。如将由本领域中的技术人员理解的,各种基塔/基站/MSC布置是可能的,并且可以和无线系统14一起使用。比如,基站和基塔可以共同位于同一位点,或者它们可以彼此远离,每个基站可以负责单个基塔,或者单个基站可以服务各种基塔,并且各种基站可以被耦接到单个MSC,仅列举了几个可能的布置。
除了使用无线载波系统14之外,以卫星通信的形式的不同的无线载波系统可以被用于提供与车辆的单向或双向通信。这可以使用一个或多个通信卫星62和上行链路发射台64来完成。例如,单向通信可以是卫星广播服务,其中节目内容(新闻、音乐等)被发射台64接收、打包上传,并且然后发送到卫星62,卫星62向订户广播节目。例如,双向通信可以是使用卫星62中继车辆12和发射台64之间的电话通信的卫星电话服务。如果使用,则或者可以除了无线载波系统14之外附加使用卫星电话,或者可以用该卫星电话代替无线载波系统14。
陆地网络16可以是被连接到一个或多个固定电话的传统的基于陆地的远程通信网络,并且陆地网络16将无线载波系统14连接到呼叫中心20。例如,陆地网络16可以包括公共交换电话网(PSTN)诸如被用于提供硬连接电话、分组交换数据通信和互联网基础设施。可以通过使用标准有线网络、光纤或其他光网络、电缆网、电力线、其他无线网络诸如无线局域网(WLAN)或提供宽带无线接入(BWA)的网络、或其任何组合来实现陆地网络16的一个或多个段。此外,呼叫中心20不需要通过陆地网络16进行连接,但可以包括无线电话设施,以便它可以直接与无线网络诸如无线载波系统14通信。
计算机18可以是通过私人或公共网络诸如互联网可访问的许多计算机中的一个。每个这样的计算机18可以被用于一个或多个目的,诸如通过远程信息处理单元30和无线载波14由车辆可访问的网页(web)服务器。例如,其他这样的可访问的计算机18可以是服务中心计算机,其中诊断信息和其他车辆数据可以通过远程信息处理单元30从车辆进行上传;客户端计算机,由车主或其他订户使用用于这样的目的如访问或接收车辆数据,或设置或配置订户偏好,或控制车辆功能;或者第三方仓库,无论是通过与车辆12通信,还是与呼叫中心20通信,还是与两者通信,车辆数据或其他信息被提供给第三方仓库,或者从第三方仓库提供车辆数据或其他信息。计算机18还可以被用于提供互联网连通性诸如DNS服务,或如使用DHCP或其他适合的协议以给车辆12分配IP地址的网络地址服务器。
呼叫中心20被设计用于提供具有许多不同的系统后端功能的车辆电子设备28,并且根据这里所示的示例性实施例,呼叫中心20一般包括一个或多个交换机80、服务器82、数据库84、现场顾问86,以及自动语音响应系统(VRS)88,所有这些在本领域中都是已知的。这些不同的呼叫中心部件优选地通过有线或无线局域网90彼此耦接。可以是专用交换分机(PBX)交换机的交换机80路由传入信号,以便语音传输通常或者通过普通电话被发送到现场顾问86,或者使用VoIP被发送到自动语音响应系统88。如由图1中的虚线所示,现场顾问电话还可以使用VoIP。通过在交换机80和网络90之间连接的调制解调器(未示出)实现通过交换机80的VoIP和其他数据通信。数据传输通过调制解调器被传递到服务器82和/或数据库84。数据库84可以存储账户信息诸如订户认证信息、车辆标识符、配置文件记录、行为模式和其他相关订户信息。还可以由诸如802.11x、GPRS等的无线系统进行数据传输。虽然所例示的实施例已经被描述为其将连同使用现场顾问86的载人呼叫中心20一起使用,但应当理解,呼叫中心还可利用VRS88作为自动化顾问,或者可以使用VRS88和现场顾问86的组合。
现在回到图2,示出了对车辆12的未授权电子访问做出响应的方法200的实施例。方法200通过检测车辆12中的电子硬件的异常状态开始于步骤210。车辆12可以使用入侵检测系统监控对电子硬件诸如车辆电子设备28的未授权访问。在一个实施方式中,车辆远程信息处理单元30的处理器52可以访问存储在存储器设备54中的计算机可读指令,存储在存储器设备54中的计算机可读指令引导处理器52监控车辆电子设备28的操作方面。通过为电子设备的不同方面建立特征行为的范围且为了在建立的范围之外实行的指示监控电子设备,车辆可以检测未授权访问或者尝试访问车辆电子设备28。
车辆电子设备28的操作方面可以包括频率,消息类型用该频率通过车辆总线44进行传输。例如,处理器52可以监控在单位时间内多少消息被传输到发动机控制模块。在一个可能的实例中,处理器52在1毫秒(ms)中可以检测超过三条消息通过车辆总线44被发送。消息传输的速率可以与表明存储在存储器设备54中的正常操作的阈值相比较。如果该速率高于阈值(举例说,一个消息/毫秒(ms)),则处理器52可以确定对车辆电子设备28的未授权访问已发生。或者在另一个示例中,处理器52可以通过车辆总线44识别没有与车辆功能相关的消息。车辆功能可以包括车辆操作的方面像制动、油门控制和转向以及音频系统36的控制和其他信息娱乐特征,仅列举几个例子。应当理解,除了处理器52之外,可以使用连接到车辆总线44且致力于监控车辆电子设备28的操作方面的单独的VSM42实现入侵检测系统。在这种情况下,处理器52可以从VSM42接收表明对车辆12中的车辆电子设备28的未授权电子访问已发生的数据。它还有助于识别尝试的未授权访问,以及已最终成功的未授权访问。方法200进入到步骤220。
在步骤220,识别未授权访问的类型。根据检测到的异常行为,确定车辆电子设备28的哪些部分受到未授权访问的影响或者被未授权访问作为目标是可能的。比如,处理器52可以确定与车辆功能相关的未授权访问的类型。使用车辆制动作为可受到影响的车辆功能的示例,处理器52可以检测到针对负责车辆制动的VSM42的异常高的消息数量。基于检测到的与车辆制动相关的消息数量,处理器52可以确定未授权访问的类型是车辆制动相关的。然后,处理器52可以选择对策以部署作为VSM42的目标的和/或负责车辆制动的车辆电子设备28的一部分。这将在下面更详细地进行讨论。方法200进入步骤230。
在步骤230,响应异常状态可以启动电子硬件对策。可以使用一系列技术实现电子硬件对策。在一个示例中,对策可以被启动以停止在车辆总线44和/或娱乐总线46上的入侵通信。这可以通过使受影响的总线的终端短路(shorting)来完成。当在包括在系统或多个总线中的一个部分或一个总线上检测异常状态时,这可以更容易地实现。在另一个示例中,车辆总线44和/或娱乐总线46可以被在车辆12处生成的消息填充(flood,或表示洪泛/泛洪)以防止恶意消息造成损害。电子硬件对策的其他实施方式包括启动通过车辆总线44或娱乐总线46发送的对策消息(也被称为命令集),对策消息指示接收它的车辆电子设备28的元件(诸如VSM42)用特定的方式处理通过任一总线接收的传入消息。
对策消息可以在预定量的时间内指示车辆电子设备28忽略所有传入消息。或者对策消息可以指示车辆电子设备28忽略与特定主题相关的消息。比如,对策消息可以指示车辆电子设备28忽略安全相关的、超过特定的重要性级别的安全相关的消息或来自车辆电子设备28的可识别部分的消息。对策消息可以指示车辆电子设备28的元件仅忽略携带特定消息标识符的消息。对策消息限定个别车辆功能或过程也是可能的。即,对策消息可以被发送给车辆电子设备28的元件,并且引导电子设备28停止实行一个功能(诸如车辆诊断)而允许其他的功能。进一步地,对策消息可以引导车辆电子设备28或那些电子设备的一些部分实现随着时间的推移在阶段中将电子设备28从全功能过渡到一些较小的功能状态的分级或分层性能模式集。这可以有助于使车辆电子设备28从全功能平滑过渡到有限的功能。
可以设计对策消息,使得对策消息的内容不会被由攻击者发送的覆盖对策消息的“全清(allclear)”消息所覆盖。确保对策消息不被覆盖的一个方式是对车辆电子设备28的元件编程,对策消息的存在表明未授权访问。然后,仅由车辆的外部诸如计算机18或呼叫中心20生成的消息可以去除由对策消息的存在创建的高度警戒状态。车辆电子设备28的个别元件(举例说,VSM42)可以包括尽管无法通过总线接收通信但要引导电子设备28实现对策的计算机可读指令。在一些实施方式中,对策可以涉及指示车辆电子设备28或包括那些电子设备的个别元件响应于对策消息按照使车辆电子设备28不容易受未授权访问损害的方式改变它们的功能。例如,车辆电子设备28可以被编程以使用默认值而不是从总线接收的值、降低控制增益值以对通过总线接收的信息不那么敏感,或切换到提供有限的功能的备份模式,只要该功能不需要可能受到攻击者破坏的外部输入。
实现认证对策消息也是可能的。例如,当车辆电子设备28接收表明存在威胁或不存在威胁的对策消息,可以使用各种技术对对策消息进行加密认证。比如,在接收对策消息之后,车辆电子设备28可以通过验证使用附加消息认证码(MAC)发送它的实体对该消息的内容进行认证。
还可以通过活动帧消除以清除通过车辆总线44、娱乐总线46或两者传送的数据帧来实现电子硬件对策。可以使用包括在车辆电子设备28中的设备中的一个清除确定代表未授权访问的数据帧,或者车辆电子设备28中的每个设备被指示清除代表未授权访问的数据帧。
网关可以使用电子硬件对策以控制与电子硬件的未授权访问有关的数据的传输,并且实现活动帧消除。在一个实施方式中,网关可以是调节车辆总线44和娱乐总线46之间的数据消息的流动的CAN总线数据网关模块。可以在车辆远程信息处理单元30中实现网关模块,或者网关模块可以被实现为独立设备。当检测与未授权访问相关的消息时,网关可以使用它的安全政策阻止消息,并且然后更新它的安全政策以防止类似的消息通过总线进行发送。在检测到与未授权访问相关的数据之后,然后网关可以向车辆电子设备28中的其他设备和/或不受未授权访问影响的其他网络报警。虽然相对于车辆和娱乐总线已描述了且在车辆远程信息处理单元30处实现了网关,但应当理解,可以在包括在车辆电子设备28中的设备中的其他地方实现网关,并且该网关可以相对于其他类型的总线调节数据传输。
可以在预定的一段时间内实现对策,并且这段时间可以以不同的方式定义。比如,可以在直到另行通知之前实现该对策,但还可以在直到车辆12被“电源循环”或关闭且然后再次打开之前实现该对策。在预定的电源循环百分比中确定是否检测到入侵,并且当检测到的入侵的数量高于该百分比时,保持该对策也是可能的。或者在预定量的时间内(举例说,3天、10秒等)保持该对策是可能的。可以基于异常状态的类型来选择电子硬件对策。然而,在没有首先确定已发生的未授权访问的类型的情况下对车辆电子设备28部署电子硬件对策也是可能的。方法200进入步骤240。
在步骤240,生成指示电子硬件的至少一部分实现电子硬件对策的命令。然后,该命令被传送到电子硬件的一部分。车辆电子设备28的任何部分可以以本方法200以分布式方式实现的方式用于生成指示命令。识别作为负责生成实现电子硬件对策的指示命令的车辆电子设备28的一个部分也是可能的。应当理解,生成的命令不需要通过车辆总线进行发送。例如,响应接收的表明未授权访问已发生的数据,VSM42可以启动电子硬件对策。然后,VSM42可以内部地生成和传送将VSM42置于减少的功能状态的命令集,以使它对外部影响(举例说,依靠内部值而不是通过总线接收的那些值、降低控制增益以对通过总线接收的信息不那么敏感,和/或者实现不依赖于外部信息提供服务的简化功能模式)不那么敏感。
该命令还可以引起通知车辆乘坐者已在车辆12处检测到未授权访问的视觉和/或听觉报警的展示。电子硬件对策和/或报警可以跟随或伴随着车辆限制各种车辆功能的使用或操作。比如,响应该命令,车辆远程信息处理单元30可以禁用无线通信或者限制对车辆控制的访问。将车辆12的身份诸如车辆识别号码(VIN)或移动拨号(MDN)传输到中心设施也是可能的,在中心设施处,可以更密切地监控未经许可已被访问的车辆12。车辆可以允许车辆乘坐者对由车辆电子设备28生成的输出或问题做出响应,其可以引导电子设备28重新评估入侵且加快返回到全功能。然后方法200结束。
应当理解,上述是本发明的一个或多个实施例的描述。本发明不局限于本文所公开的特定的实施例,而是仅由所附的权利要求书定义。此外,在上述描述中包括的陈述与特定的实施例有关,并且不被解释为对本发明的保护范围或对权利要求书中使用的术语的定义的限制,除非在上面对术语或措辞进行了明确地定义。对于本领域中的技术人员来说,各种其他实施例和对所公开的(一个或多个)实施例的各种改变和修改将变得显而易见。所有这样的其他实施例、改变和修改旨在在随附权利要求书的保护范围内。
当与一个或多个部件或其他项目的列表结合使用时,如在本说明书和权利要求书中所使用的术语“举例说”、“例如”、“比如”、“诸如”和“像”,以及动词“包括”、“具有”、“包含”和它们的其他动词形式,每个被解释为开放式的,意味着该列表不被认为排除其他、额外的部件或项目。使用它们的最广泛的合理含义解释其他术语,除非它们被使用在需要不同解释的上下文中。