IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > HUAWEI TECHNOLOGIES CO.,LTD.

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 華為技術有限公司の特許一覧

<>
  • 特表-データ処理方法及び関連装置 図1
  • 特表-データ処理方法及び関連装置 図2
  • 特表-データ処理方法及び関連装置 図3
  • 特表-データ処理方法及び関連装置 図4
  • 特表-データ処理方法及び関連装置 図5
  • 特表-データ処理方法及び関連装置 図6
  • 特表-データ処理方法及び関連装置 図7
  • 特表-データ処理方法及び関連装置 図8
  • 特表-データ処理方法及び関連装置 図9
  • 特表-データ処理方法及び関連装置 図10
  • 特表-データ処理方法及び関連装置 図11
  • 特表-データ処理方法及び関連装置 図12
  • 特表-データ処理方法及び関連装置 図13
  • 特表-データ処理方法及び関連装置 図14
  • 特表-データ処理方法及び関連装置 図15
  • 特表-データ処理方法及び関連装置 図16
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-09-05
(54)【発明の名称】データ処理方法及び関連装置
(51)【国際特許分類】
   G06F 21/60 20130101AFI20240829BHJP
   B60W 40/00 20060101ALI20240829BHJP
   G06F 21/64 20130101ALI20240829BHJP
【FI】
G06F21/60
B60W40/00
G06F21/64
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024513008
(86)(22)【出願日】2022-05-25
(85)【翻訳文提出日】2024-04-09
(86)【国際出願番号】 CN2022094994
(87)【国際公開番号】W WO2023024618
(87)【国際公開日】2023-03-02
(31)【優先権主張番号】202110983634.3
(32)【優先日】2021-08-25
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】503433420
【氏名又は名称】華為技術有限公司
【氏名又は名称原語表記】HUAWEI TECHNOLOGIES CO.,LTD.
【住所又は居所原語表記】Huawei Administration Building, Bantian, Longgang District, Shenzhen, Guangdong 518129, P.R. China
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100229448
【弁理士】
【氏名又は名称】中槇 利明
(72)【発明者】
【氏名】ツァオ,ジエンローン
(72)【発明者】
【氏名】シャーン,ユイ
(72)【発明者】
【氏名】マー,ワンワーンイーン
(72)【発明者】
【氏名】リー,ジアーンチイ
(72)【発明者】
【氏名】ファーン,ゥルイ
【テーマコード(参考)】
3D241
【Fターム(参考)】
3D241BA49
3D241BA63
(57)【要約】
本発明は、インテリジェント車両技術の分野で使用されるデータ処理方法を開示する。
本方法は、コントローラ及び複数の電子制御ユニットECUを備える車両に適用される。
本方法は以下を含む:
コントローラは、第1ECUからデータ要求メッセージを受信し、第1ECUは、複数のECUのうちのいずれか1つであり、データ要求メッセージは、センサデータを取得することを要求するために使用される。
コントローラは、第1ECUに応答メッセージを送信し、応答メッセージは、センサデータを取得するように第1ECUに示す。
コントローラは、データ要求メッセージに基づいてマーク情報を生成し、マーク情報は、センサデータに対する要求情報を記録する。
車両が第1ECU内の前記センサデータの削除をトリガした場合、コントローラは、前記マーク情報に基づいて第1ECUに第1データ削除命令を送信し、第1データ削除命令は、第1ECUに前記センサデータを削除するように示す。
本方法に基づいて、車両内の構成要素に対してデータのきめ細かな管理を実施することができ、その結果、車両内の特定のデータを好適に削除することができ、車両内のプライベートデータの漏洩が回避される。
【特許請求の範囲】
【請求項1】
コントローラ及び複数の電子制御ユニット(複数のECU)を備える車両に適用される、データ処理方法であって:
前記コントローラによって、第1ECUからデータ要求メッセージを受信するステップであって、前記第1ECUは、前記複数のECUのうちのいずれか1つであり、前記データ要求メッセージは、センサデータを取得することを要求するために使用される、ステップと;
前記コントローラによって、前記第1ECUに応答メッセージを送信するステップであって、前記応答メッセージは、前記センサデータを取得するように前記第1ECUに示す、ステップと;
前記コントローラによって、前記データ要求メッセージに基づいてマーク情報を生成するステップであって、前記マーク情報は、前記センサデータに対する要求情報を記録する、ステップと;
前記車両が前記第1ECU内の前記センサデータの削除をトリガした場合、前記コントローラによって、前記マーク情報に基づいて前記第1ECUに第1データ削除命令を送信するステップであって、前記第1データ削除命令は、前記第1ECUに前記センサデータを削除するように示す、ステップと;
を含む方法。
【請求項2】
前記センサデータに対する前記要求情報は、前記センサデータの要求者、前記センサデータの要求時間及び前記センサデータの内容を含む、
請求項1記載の方法。
【請求項3】
インテリジェントな前記車両が前記第1ECU内の前記センサデータの削除をトリガすることは:
前記コントローラによって、前記マーク情報及び予め設定されたデータ保持期間に基づいて、前記第1ECU内の前記センサデータが期限切れであると決定するステップ;又は
前記コントローラによって、ユーザによってトリガされた第2データ削除命令を取得するステップであって、前記第2データ削除命令は、前記第1ECU内の前記センサデータを削除することを示す、ステップと、を含む、
請求項1又は2記載の方法。
【請求項4】
前記応答メッセージは、センサに関する情報を含み、前記センサに関する前記情報は、前記第1ECUが前記センサから前記センサデータを取得するように、前記センサとの通信接続を確立するために前記第1ECUによって使用される、
請求項1乃至3いずれか1項記載の方法。
【請求項5】
前記第1データ削除命令は、前記第1ECUに、前記センサとの前記通信接続を切断するようにさらに示す、
請求項4記載の方法。
【請求項6】
前記コントローラによって、前記第1ECUに応答メッセージを送信する前記ステップの前に、前記方法はさらに:
前記コントローラによって、予め設定された許可構成ポリシーにしたがって、前記第1ECUが前記センサデータにアクセスする許可を有すると決定するステップを含む、
請求項1乃至5いずれか1項記載の方法。
【請求項7】
前記方法はさらに:
前記コントローラにより、信頼できないデバイスにより送信されたアドレス情報を受信するステップであって、前記信頼できないデバイスは第2ECU又はサーバを含み、前記第2ECUは前記複数のECUのうちの信頼できないECUであり、前記アドレス情報は、前記信頼できないデバイス内にある、送信されるべきデータを記憶するために使用されるアドレス空間を示し、前記アドレス情報は、前記送信されるべきデータのサイズに基づいて前記信頼できないデバイスにより決定される、ステップと;
前記コントローラによって、前記アドレス情報及び前記送信されるべきデータに基づいて第1データ証明書を生成するステップであって、前記第1データ証明書は、前記送信されるべきデータを一意に示す、ステップと ;
前記コントローラによって、前記第1データ証明書を前記信頼できないデバイスに送信するステップと;
前記コントローラによって、前記信頼できないデバイスによって送信された第1署名結果を受信するステップであって、前記第1署名結果は、前記信頼できないデバイスによって前記第1データ証明書に署名することによって取得される、ステップと;
前記コントローラによって、前記信頼できないデバイスへの前記送信されるべきデータの送信を制御するステップと;
請求項1乃至6いずれか1項記載の方法。
【請求項8】
前記第1データ証明書は、前記アドレス情報と、前記送信されるべきデータのダイジェスト値、前記送信されるべきデータのファイルロケータ、及び前記送信されるべきデータのタイムスタンプのうちの1つ以上とを含む、
請求項7記載の方法。
【請求項9】
前記方法はさらに:
前記コントローラによって、削除されるべきデータに基づいて第2データ証明書を生成するステップと;
前記コントローラにより、第3データ削除命令を信頼できないデバイスに送信するステップであって、前記信頼できないデバイスは第3ECU又はサーバを含み、前記第3ECUは前記複数のECUのうちの信頼できないECUであり、前記第3データ削除命令は、前記第2データ証明書を含み、前記第3データ削除命令は、前記削除されるべきデータを削除することを示す、ステップと;
前記コントローラにより、前記信頼できないデバイスにより返された第2署名結果を取得するステップであって、前記第2署名結果は、前記サーバにより前記第2データ証明書に署名することにより取得され、前記第2署名結果は、前記信頼できないデバイスが前記削除されるべきデータを削除したことを示す、ステップと;
請求項1乃至8いずれか1項記載の方法。
【請求項10】
コントローラ及び複数の電子制御ユニット(複数のECU)を備える車両に適用される、データ処理方法であって:
前記コントローラによって、第1ECUからデータ要求メッセージを受信するステップであって、前記第1ECUは、前記複数のECUのうちのいずれか1つであり、前記データ要求メッセージは、センサデータを取得することを要求するために使用される、ステップと;
前記コントローラによって、前記第1ECUに応答メッセージを送信するステップであって、前記応答メッセージは、前記センサデータを取得するように前記第1ECUに示す、ステップと;
前記第1ECUによって、前記応答メッセージに基づいて前記センサデータを取得する前記ステップと:
前記車両が第1ECU内のセンサデータの削除をトリガすると、第1ECUは、コントローラから第1データ削除命令を受信し、第1データ削除命令に基づいて第1ECU内のセンサデータを削除する、ステップと、を含む、
方法。
【請求項11】
前記第1ECUによって、前記応答メッセージに基づいて前記センサデータを取得する前記ステップは:
前記第1ECUによって、センサに関する情報に基づいて、前記センサとの通信接続を確立するステップであって、応答情報が前記センサに関する前記情報を含む、ステップと;
前記第1ECUによって、前記通信接続に基づいて前記センサから前記センサデータを取得するステップと、を含む、
請求項10記載の方法。
【請求項12】
前記第1データ削除命令は、前記第1ECUに、前記センサとの前記通信接続を切断するようにさらに示す、
請求項11記載の方法。
【請求項13】
前記方法はさらに:
前記第1ECUが信頼できないデバイスである場合、前記第1ECUによって、アドレス情報を前記コントローラに送信するステップであって、前記アドレス情報は、前記第1ECU内にあり、送信されるべきデータを記憶するために使用されるアドレス空間を示し、前記アドレス情報は、前記送信されるべきデータのサイズに基づいて前記第1ECUによって決定される、ステップと;
前記第1ECUによって、前記コントローラによって送信された第1データ証明書を受信するステップであって、前記第1データ証明書は、前記アドレス情報及び前記送信されるべきデータに基づいて生成される、ステップと;
前記第1ECUによって、前記第1データ証明書に署名して第1署名結果を取得するステップと;
前記第1ECUによって、前記第1署名結果を前記コントローラに送信するステップと;
前記第1ECUによって、前記コントローラによって送信された前記送信されるべきデータを受信するステップと、を含む
請求項10乃至12いずれか1項記載の方法。
【請求項14】
前記第1データ証明書は、前記アドレス情報と、前記送信されるべきデータのダイジェスト値、前記送信されるべきデータのファイルロケータ、及び前記送信されるべきデータのタイムスタンプのうちの1つ以上と、を含む、
請求項13記載の方法。
【請求項15】
前記方法はさらに:
前記第1ECUが信頼できないデバイスである場合、前記第1ECUによって、前記コントローラによって送信された第3データ削除命令を受信するステップであって、前記第3データ削除命令は第2データ証明書を含み、前記第2データ証明書は削除されるべきデータに基づいて前記コントローラによって生成される、ステップと;
前記第1ECUによって、前記第2データ証明書に署名して、第2署名結果を取得する、ステップと;
前記第1ECUによって、前記第2署名結果を前記コントローラに送信し、前記削除すべきデータを削除するステップであって、前記第2署名結果は、前記信頼できないデバイスが前記削除すべきデータを削除したことを示す、ステップと
請求項10乃至14いずれか1項記載の方法。
【請求項16】
メモリとプロセッサとを備えるコントローラであって、
前記メモリはコードを記憶し、前記プロセッサは前記コードを実行するように構成されており、前記コードが実行されると、前記コントローラは請求項1から9のいずれか一項に記載の方法を実行する、
コントローラ。
【請求項17】
メモリとプロセッサとを備えるECUであって、
前記メモリはコードを記憶し、前記プロセッサは前記コードを実行するように構成されており、前記コードが実行されると、前記ECUは請求項10乃至15いずれか1項記載の方法を実行する、
ECU。
【請求項18】
コントローラと複数のECUとを備える車両であって、
コントローラは、複数のECUに別々に接続されており、
前記コントローラは請求項16記載のコントローラであり、
前記複数のECUのうちの任意のECUは、請求項17記載のECUである、
車両。
【請求項19】
コンピュータ可読命令を含むコンピュータ可読記憶媒体であって、前記コンピュータ可読命令がコンピュータ上で実行されると、前記コンピュータは、請求項1乃至15いずれか1項記載の方法を実行することが可能になる、
コンピュータ可読記憶媒体。
【請求項20】
コンピュータ可読命令を含むコンピュータプログラム製品であって、前記コンピュータ可読命令がコンピュータ上で実行されると、前記コンピュータは、請求項1乃至15いずれか1項記載の方法を実行することが可能になる、
コンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2021年8月25日に中国国家知的所有権庁に出願された「DATA PROCESSING METHOD AND RELATED APPARATUS」と題された中国特許出願第202110983634.34号に対する優先権を主張しており、その全体が参照により本明細書に組み込まれている。
【0002】
[技術分野]
本出願は、インテリジェント車両技術の分野に関し、特に、データ処理方法及び関連装置に関する。
【背景技術】
【0003】
現代の情報技術の発展に伴い、車両内の電子製品の量が増加しており、車両の複雑さが増している。車両分野における開発傾向に適合するために、車両は、より多くの機能を実装する必要があり、車両内の電子制御機能を実装するためのシステム内の電子制御要素、特に車両構成要素内に配置された電子制御ユニット(electronic control unit、ECU)の数も増加している。
【0004】
一般に、車両には、電子制御機能を有する車両構成要素毎に1つ以上のECUが配置され、各ECUは、制御機能や演算機能等の機能を有する。車両の通常の運転プロセスにおいて、車両内のECUは、通常、運転プロセスにおける車両の様々なタイプのデータ、例えば、車両の運転速度及び運転位置などのデータを取得する必要がある。
【0005】
車両が一定期間走行した後、車両内のECUは、通常、車両の運転プロセスにおいて生成された様々なタイプのデータを格納し、車両内のECUに格納されたデータは、車両所有者のプライベートデータである。場合によっては、車両所有者は、通常、プライバシーの漏洩を回避するために、車両に格納されたいくつかのプライベートデータを削除することを望む。しかしながら、現在の車両は、車両所有者による車両内の各ECU内のデータの細粒度削除をサポートしていない。車両所有者は、車両フォーマット方式のみで車両全体の構成要素のデータを削除することができ、車両全体の構成要素のデータの削除は、車両所有者による車両の通常運転に影響を及ぼす。
【0006】
したがって、現在、車両内データを効果的に管理することができる方法が緊急に必要とされている。
【発明の概要】
【0007】
本発明は、データ処理方法を提供し、したがって、車両内の構成要素に対してデータのきめ細かな管理を実施することができ、したがって、車両内の特定のデータを好適に削除することができ、車両内のプライベートデータの漏洩が回避される。
【0008】
本発明の第1態様は、データ処理方法を提供する。本発明は、コントローラと複数のECUとを備える車両に適用される。車両は、例えば、インテリジェント車両であり得る。方法は、以下を含む:コントローラは、第1ECUからデータ要求メッセージを受信し、第1ECUは、複数のECUのうちのいずれか1つであり、データ要求メッセージは、センサデータを取得することを要求するために使用される。コントローラは、第1ECUに応答メッセージを送信し、応答メッセージは、センサデータを取得するように第1ECUに示す。応答メッセージに基づいて、第1ECUは、対応するセンサデータを取得することができる。
【0009】
コントローラは、データ要求メッセージに基づいてマーク情報を生成し、マーク情報は、センサデータに対する要求情報を記録する。例えば、センサデータに対する要求情報は、センサデータの要求者、センサデータの要求時間及びセンサデータの内容を含む。例えば、センサデータの要求情報は、以下のようなものであり得る:第1ECUは、xx/xx(月/日)のxx:xxにカメラデータを要求する。
【0010】
車両が第1ECU内の前記センサデータの削除をトリガした場合、コントローラは、マーク情報に基づいて第1ECUに第1データ削除命令を送信し、第1データ削除命令は、第1ECUに前記センサデータを削除するように示す。
【0011】
この解決策では、車両内の複数のECUがセンサデータを取得する必要があるとき、複数のECUは、データ要求をコントローラに送信し、コントローラは、ECUによるセンサデータの要求に関する情報を記録する。このようにして、特定のセンサデータの削除がトリガされると、コントローラは、記録された情報に基づいて、センサデータを取得するECUを決定し、データ削除命令をそのECUに送信し得、それにより、車両内データのきめ細かな管理を実現する。
【0012】
可能な実施形態において、車両が前記第1ECU内のセンサデータの削除をトリガすることは以下を含む:コントローラが、マーク情報及び予め設定されたデータ保持期間に基づいて、第1ECU内のセンサデータが期限切れであると決定する。予め設定されたデータ保持期間は、車内データの格納期間であり得る。データの角の時間が格納期間に達するとき(すなわち、データは、期限切れになるとき)、データは削除されることを必要とする。
【0013】
あるいは、コントローラは、ユーザによってトリガされた第2データ削除命令を取得し、第2データ削除命令は、第1ECU内のセンサデータを削除することを示す。例えば、ユーザは、車両のヒューマンマシンインタフェース上で、削除される必要があるデータを選択して、第2データ削除命令をトリガしてよい。
【0014】
この解決策では、ECU内のデータが期限切れになるか、又はユーザがECU内のデータの削除をトリガしたとき、コントローラは、データ削除命令をECUに送信し、データ削除を実施し、車両内データのきめ細かな管理を実施するようにトリガされる。
【0015】
可能な実施形態において、応答メッセージは、センサに関する情報を含み、センサに関する前記情報は、第1ECUがセンサからセンサデータを取得するように、センサとの通信接続を確立するために第1ECUによって使用される。
【0016】
この解決策では、ECUとセンサとの間の接続がコントローラによって管理及び制御され、したがって、コントローラは、センサデータを取得するようにECUを管理及び制御することができ、それによって、車両内データのきめ細かな管理を実施する。
【0017】
可能な実施態様では、第1ECUがセンサとの通信接続を確立することによってセンサデータを取得するとき、第1データ削除命令は、センサとの通信接続を切断するように第1ECUに示し得る。
【0018】
例えば、ユーザがアプリケーションの許可を変更し、第1ECUがセンサデータにアクセスする許可をもはや有しない場合、コントローラは、第1データ削除命令を第1ECUに送信し得る。
第1データ削除指示は、第1 ECUに対して、センサデータを削除することを指示するとともに、センサとの通信接続を切断することを指示する。
【0019】
この解決策では、ECUの許可が変更されてECUがセンサデータにアクセスできない場合、第1データ削除命令は、ECUとセンサとの間の通信接続を切断するようにECUに指示し、したがって、ECUはもはやセンサデータを取得することができず、それによって、車両内データの正確な管理及び制御を実施する。
【0020】
可能な実施態様では、コントローラが応答メッセージを第1ECUに送信する前に、方法は以下を含む。コントローラは、予め設定された許可構成ポリシーにしたがって、第1ECUがセンサデータにアクセスする許可を有すると決定する。可構成ポリシーは、車両内のヒューマンマシンインタフェース又はリモート端末を介してユーザによって設定され得る。あるいは、許可構成ポリシーは、車両が配達される前に予め設定されてもよい。
【0021】
可能な実装形態では、車両内のコントローラについて、車両内の信頼できないECU、サードパーティデバイス、及びクラウドサーバはすべて、信頼できないデバイス、すなわち、コントローラによって信頼されないデバイスである。信頼できないデバイスとのデータ相互作用を実行するプロセスにおいて、コントローラは、データ相互作用の信頼性を保証するために、データ相互作用の証拠を格納する必要がある。
【0022】
方法はさらに以下を含む:コントローラは、信頼できないデバイスにより送信されたアドレス情報を受信し、信頼できないデバイスは第2ECU又はサーバを含み、第2ECUは複数のECUのうちの信頼できないECUであり、アドレス情報は、信頼できないデバイス内にある、送信されるべきデータを格納するために使用されるアドレス空間を示し、アドレス情報は、送信されるべきデータのサイズに基づいて信頼できないデバイスにより決定される。
【0023】
コントローラは、アドレス情報及び送信されるべきデータに基づいて第1データ証明書を生成し、第1データ証明書は、送信されるべきデータを一意に示す。コントローラは、第1データ証明書を信頼できないデバイスに送信する。コントローラは、信頼できないデバイスによって送信された第1署名結果を受信し、第1署名結果は、信頼できないデバイスによって第1データ証明書に署名することによって取得される。コントローラによって、信頼できないデバイスへの送信されるべきデータの送信を制御する。
【0024】
この解決策では、データが信頼できないデバイスに送信される前に、コントローラは、信頼できないデバイスによって返され、送信されるべきデータを格納するために使用されるアドレス情報を取得し、アドレス情報及び送信されるべきデータに基づいてデータ証明書を生成する。データは、信頼できないデバイスを使用することによってデータ証明書が署名された後に、信頼できないデバイスに送信される。コントローラは、信頼できないデバイスを使用することによって署名されたデータ証明書を格納し、その結果、信頼できないデバイスへのデータ送信の証拠を提供することができ、それによって、信頼できないデバイスが、データを受信した後に、信頼できないデバイスがデータを受信していないことを否認する(repudiates, ...that the untrusted device does not receive the data,)脅威を排除し、データ送信の信頼性を改善する。
【0025】
コントローラが、信頼できないデバイスへの送信されるべきデータの送信を制御し得る複数の実装が存在し得る。
【0026】
可能な実装形態では、信頼できないデバイスが第2ECUであり、第2ECUがコントローラからセンサデータを取得することを要求する場合、コントローラは、センサに関する情報を第2ECUに返すことによって、センサからセンサデータを取得するように第2ECUに指示し得る。
すなわち、コントローラは、センサとの確立に関する情報を信頼できないデバイスに返すことによって、信頼できないデバイスへの送信されるべきデータの送信を制御する。
【0027】
別の可能な実装形態では、信頼できないデバイスが第2ECU又はサーバであり、送信されるべきデータがコントローラの格納空間に位置する場合、コントローラは、信頼できないデバイスへの送信されるべきデータの送信を制御するために、コントローラの格納空間のデータを第2ECU又はサーバに送信し得る。
【0028】
さらに別の可能な実装形態では、信頼できないデバイスがサーバであり、送信されるべきデータがコントローラ以外の構成要素上に位置する場合、コントローラは、送信されるべきデータを格納する構成要素と通信して、送信されるべきデータをサーバに送信するように構成要素に示し得る。
【0029】
可能な実施態様では、第1データ証明書は、アドレス情報と、送信されるべきデータのダイジェスト値、送信されるべきデータのファイルロケータ、及び送信されるべきデータのタイムスタンプのうちの1つ以上と、を含む。
【0030】
可能な実装形態では、方法はさらに以下を含む:コントローラは、削除されるべきデータに基づいて第2データ証明書を生成する。コントローラは、第3データ削除命令を信頼できないデバイスに送信し、信頼できないデバイスは第3ECU又はサーバを含み、第3ECUは複数のECUのうちの信頼できないECUであり、第3データ削除命令は第2データ証明書を含み、第3データ削除命令は削除されるべきデータを削除することを示す。コントローラは、信頼できないデバイスにより返された第2署名結果を取得し、第2署名結果は、サーバにより第2データ証明書に署名することにより取得され、第2署名結果は、信頼できないデバイスが削除されるべきデータを削除したことを示す。
【0031】
この解決策では、コントローラが信頼できないデバイスにデータを削除するように指示する前に、コントローラは、削除されるべきデータに基づいてデータ証明書を生成する。信頼できないデバイスにデータを削除するように指示するとき、コントローラは信頼できないデバイスにデータ証明書を送信し、その結果、コントローラは信頼できないデバイスによってデータ証明書に署名することによって得られた結果を取得することができる。
【0032】
コントローラは、信頼できないデバイスによってデータ証明書に署名することによって得られた結果を格納し、結果として、信頼できないデバイスがデータ削除を確認したという証拠を提供でき、それによって、データ削除命令が受信されないことを信頼できないデバイスが拒否する(the untrusted device repudiates that no data deletion instruction is received)という脅威を排除し、データ送信の信頼性を向上させる。
【0033】
本発明の第2態様は、データ処理方法を提供する。本方法は、コントローラ及び複数の電子制御ユニットECUを備える車両に適用される。方法は、以下を含む:第1ECUはコントローラにデータ要求メッセージを送信し、第1ECUは、複数のECUのうちのいずれか1つであり、データ要求メッセージは、センサデータを取得することを要求するために使用される。第1ECUはコントローラから応答メッセージを受信し、応答メッセージは、第1ECUにセンサデータを取得するように指示する。第1ECUは、応答メッセージに基づいてセンサデータを取得する。車両が第1ECU内のセンサデータの削除をトリガした場合、第1ECUは、コントローラから第1データ削除命令を受信し、第1データ削除命令に基づいて第1ECU内のセンサデータを削除する。
【0034】
可能な実装形態では、第1ECUが応答メッセージに基づいてセンサデータを取得することは以下を含む:第1ECUは、センサに関する情報に基づいて、センサとの通信接続を確立し、応答情報が前記センサに関する情報を含む。第1ECUは、通信接続に基づい記センサからセンサデータを取得する。
【0035】
可能な実施態様では、第1データ削除命令は、第1ECUに、センサとの通信接続を切断するよに指示する。
【0036】
ありうる実現において、方法は、以下を更に含む:第1ECUが信頼できないデバイスである場合、第1ECUは、アドレス情報をコントローラに送信し、アドレス情報は、第1ECU内にある、送信されるべきデータを格納するために使用されるアドレス空間を示し、アドレス情報は、送信されるべきデータのサイズに基づいて第1ECUによって決定される。第1ECUは、コントローラによって送信された第1データ証明書を受信し、第1データ証明書は、アドレス情報及び送信されるべきデータに基づいて生成される。第1ECUは、第1データ証明書に署名して第1署名結果を取得する。第1ECUは、第1署名結果をコントローラに送信する。第1ECUは、コントローラによって送信された送信されるべきデータを受信する。
【0037】
可能な実施態様では、第1データ証明書は、アドレス情報と、送信されるべきデータのダイジェスト値、送信されるべきデータのファイルロケータ、及び送信されるべきデータのタイムスタンプのうちの1つ以上と、を含む。
【0038】
可能な実施態様では、方法は以下をさらにに含む:第1ECUが信頼できないデバイスである場合、第1ECUは、コントローラによって送信された第3データ削除命令を受信し、第3データ削除命令は第2データ証明書を含み、第2データ証明書は削除されるべきデータに基づいてコントローラによって生成される。第1ECUは、第2データ証明書に署名して、第2署名結果を取得する。第1ECUは、第2署名結果をコントローラに送信し、削除されるべきデータを削除し、第2署名結果は、信頼できないデバイスが削除されるべきデータを削除したことを示す。
【0039】
本発明の第3態様は、コントローラを提供する。コントローラは、車両内に配置される。車両は、複数のECUをさらに備える。コントローラは、送受信ユニットと処理ユニットとを含む。
【0040】
送受信ユニットは、第1ECUからデータ要求メッセージを受信するように構成され、第1ECUは複数のECUのうちのいずれか1つであり、データ要求メッセージはセンサデータを取得することを要求するために使用される。
【0041】
送受信ユニットは、第1ECUに応答メッセージを送信するようにさらに構成されており、応答メッセージは、センサデータを取得するように前記第1ECUに示す。
【0042】
処理ユニットは、データ要求メッセージに基づいてマーク情報を生成するように構成されており、マーク情報は、センサデータに対する要求情報を記録する。
【0043】
車両が第1ECU内のセンサデータの削除をトリガする場合、送受信ユニットは、マーク情報に基づいて第1ECUに第1データ削除命令を送信するようにさらに構成されており、第1データ削除命令は、第1ECUにセンサデータを削除するように示す。
【0044】
可能な実装形態では、センサデータに対する要求情報は、前記センサデータの要求者、センサデータの要求時間及びセンサデータの内容を含む。
【0045】
可能な実装形態では、処理ユニットは、マーク情報及び予め設定されたデータ保持期間に基づいて、第1ECU内のセンサデータが期限切れであると決定するようにさらに構成されている;又は、送受信ユニットは、ユーザによってトリガされた第2データ削除命令を取得するようにさらに構成されており、第2データ削除命令は、第1ECU内のセンサデータを削除することを指示する。
【0046】
可能な実装形態では、応答メッセージはセンサに関する情報を含み、センサに関する情報は、第1ECUがセンサからセンサデータを取得するように、センサとの通信接続を確立するために第1ECUによって使用される。
【0047】
可能な実装形態では、第1データ削除命令は、第1ECUに、センサとの通信接続を切断するようにさらに指示する。
【0048】
可能な実装形態では、処理ユニットは、予め設定された許可構成ポリシーにしたがって、第1ECUがセンサデータにアクセスする許可を有すると決定するようにさらに構成されている。
【0049】
可能な実装形態では、送受信ユニットは、信頼できないデバイスにより送信されたアドレス情報を受信するようにさらに構成されており、信頼できないデバイスは第2ECU又はサーバを含み、第2ECUは前記複数のECUのうちの信頼できないECUであり、アドレス情報は、信頼できないデバイス内にある、送信されるべきデータを格納するために使用されるアドレス空間を示し、アドレス情報は送信されるべきデータのサイズに基づいて信頼できないデバイスにより決定される。処理ユニットは、アドレス情報及び送信されるべきデータに基づいて第1データ証明書を生成するようにいさらに構成されておりあって、第1データ証明書は、送信されるべきデータを一意に示す。送受信ユニットは、信頼できないデバイスに第1データ証明書を送信するようにさらに構成されている。送受信ユニットは、信頼できないデバイスによって送信された第1署名結果を受信するようにさらに構成されており、第1署名結果は、信頼できないデバイスによって第1データ証明書に署名することによって取得される。送受信ユニットは、信頼できないデバイスへの送信されるべきデータの送信を制御するようにさらに構成されている。
【0050】
可能な実施態様では、第1データ証明書は、アドレス情報と、送信されるべきデータのダイジェスト値、送信されるべきデータのファイルロケータ、及び送信されるべきデータのタイムスタンプのうちの1つ以上と、を含む。
【0051】
可能な実装形態では、処理ユニットは、削除されるべきデータに基づいて第2データ証明書を生成するようにさらに構成される。送受信ユニットは、第3データ削除命令を信頼できないデバイスに送信するようにさらに構成されており、信頼できないデバイスは第3ECU又はサーバを含み、第3ECUは複数のECUのうちの信頼できないECUであり、第3データ削除命令は第2データ証明書を含み、第3データ削除命令は削除されるべきデータを削除することを示す。送受信ユニットは、信頼できないデバイスにより返された第2署名結果を取得するようにさらに構成されており、第2署名結果はサーバにより第2データ証明書に署名することにより取得され、第2署名結果は、信頼できないデバイスが削除されるべきデータを削除したことを示す。
【0052】
本発明の第4の態様は第1ECUを提供する。第1ECUは車両内に配置される。車両は、コントローラと、複数のECUとを備える。第1ECUは、複数のECUのうちのいずれか1つである。第1ECUは、送受信ユニットと、処理ユニットとを備える。送受信ユニットは、データ要求メッセージをコントローラに送信するように構成されており、データ要求メッセージは、センサデータを取得することを要求するために使用される。送受信ユニットは、コントローラから応答メッセージを受信するように構成されており、応答メッセージは、第1ECUにセンサデータを取得することを示す。処理ユニットは、応答メッセージに基づいてセンサデータを取得するように構成されている。車両が第1ECU内のセンサデータの削除をトリガした場合、送受信ユニットは、コントローラから第1データ削除命令を受信し、第1データ削除命令に基づいて第1ECU内のセンサデータを削除するようにさらに構成されている。
【0053】
可能な実装形態では、送受信ユニットは、センサに関する情報に基づいて、センサとの通信接続を確立するようにさらに構成されており、応答情報は、センサに関する情報を含む。送受信ユニットは、通信接続に基づいてセンサからセンサデータを取得するようにさらに構成さていれる。
【0054】
可能な実施態様では、第1データ削除命令は、第1ECUに、センサとの通信接続を切断するようにさらに示す。
【0055】
可能な実施態様では、第1ECUが信頼できないデバイスである場合、送受信ユニットは、アドレス情報をコントローラに送信するようにさらに構成されており、アドレス情報は、第1ECU内にある、送信されるべきデータを格納するために使用されるアドレス空間を示し、アドレス情報は、送信されるべきデータのサイズに基づいて第1ECUによって決定される。送受信ユニットは、コントローラによって送信された第1データ証明書を受信するようにさらに構成されており、第1データ証明書は、アドレス情報及び送信されるべきデータに基づいて生成される。処理ユニットは、第1署名結果を取得するために第1データ証明書に署名するようにさらに構成されている。送受信ユニットは、第1署名結果をコントローラに送信するようにさらに構成されている。送受信ユニットは、コントローラによって送信された送信されるべきデータを受信するようにさらに構成されている。
【0056】
可能な実施態様では、第1データ証明書は、アドレス情報と記送信されるべきデータのダイジェスト値、送信されるべきデータのファイルロケータ、及び送信されるべきデータのタイムスタンプのうちの1つ以上と、を含む。
【0057】
可能な実施態様では、第1ECUが信頼できないデバイスである場合、送受信ユニット、コントローラによって送信された第3データ削除命令を受信するように構成されており、第3データ削除命令は第2データ証明書を含み、第2データ証明書は削除されるべきデータに基づいてコントローラによって生成される。処理ユニットは、第2署名結果を取得するために第2データ証明書に署名するようにさらに構成されている。送受信ユニットは、以下のようにさらに構成されている:第2署名結果をコントローラに送信し、削除されるべきデータを削除し、第2署名結果は、信頼できないデバイスが削除されるべきデータを削除したことを示す。
【0058】
本発明の第5の態様は、コントローラを提供する。コントローラは、メモリとプロセッサとを備える。メモリは、コードを格納する。プロセッサは、コードを実行するように構成されている。コードが実行されると、コントローラは、第1態様の実装形態のうちのいずれか1つによる方法を実行する。
【0059】
本発明の第6の態様は、ECUを提供する。ECUは、メモリとプロセッサとを含む。メモリはコードを格納する。プロセッサは、コードを実行するように構成される。コードが実行されると、ECUは、第1態様の実施態様のいずれか1つによる方法を実行する。
【0060】
本発明の第7態様によれば、コントローラと、複数のECUとを備える車両が提供される。コントローラは、複数のECUに個別に接続されている。コントローラは、第5態様に係る制御装置であり、複数のECUのうちのいずれかのECUは、第6態様に係るECUである。
【0061】
本発明の第8態様は、コンピュータ可読記憶媒体又はコンピュータ読み出し可能格納媒体を提供する。コンピュータ可読記憶媒体は、コンピュータプログラムを記憶する。コンピュータプログラムがコンピュータ上で実行されるとき、コンピュータは、第1態様又は第2態様の実装形態のいずれか1つによる方法を実行することが可能になる。
【0062】
本発明の第9態様は、コンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータ上で実行されるとき、コンピュータは、第1態様又は第2態様の実装形態のいずれか1つによる方法を実行することが可能にされる。
【0063】
本発明の第10態様は、1つ以上のプロセッサを含むチップを提供する。プロセッサの一部又は全部は、メモリに格納されたコンピュータプログラムを読み出して実行し、前述の態様のいずれか1つの任意の可能な実装形態による方法を実行するように構成される。
【0064】
任意選択で、チップはメモリを含み、メモリ及びプロセッサは、回路又はワイヤを使用することによってメモリに接続される。任意選択で、チップは通信インタフェースをさらに含み、プロセッサは通信インタフェースに接続される。通信インタフェースは、処理される必要があるデータ及び/又は情報を受信するように構成される。プロセッサは、通信インタフェースからデータ及び/又は情報を取得し、データ及び/又は情報を処理し、通信インタフェースを介して処理結果を出力する。通信インタフェースは、入力/出力インタフェースであってもよい。本出願による方法は、1つのチップによって実施されてもよく、又は複数のチップによって協働して実施されてもよい。
【図面の簡単な説明】
【0065】
図1図1は、本発明の実施形態に係る車両100の構成を模式的に示す図である。
【0066】
図2図2は、本発明の実施形態に係る車両の構造の別の概略図である。
【0067】
図3図3は、本出願の実施形態による車両内のコンピュータシステム101の構造を模式的に示す図である。
【0068】
図4図4は、本出願の実施形態によるデータ処理方法400のフローチャートを模式的に示す図である。
【0069】
図5図5は、本発明の実施形態による車両のヒューマンマシンインタフェースを模式的に示す図である。
【0070】
図6図6は、本発明の一実施形態によるデータ処理方法600のフローチャートを模式的に示す図である。
【0071】
図7図7は、本発明の実施形態による車両のシステムアーキテクチャを模式的に示す図である。
【0072】
図8図8は、本発明の実施形態による、コントローラとECUとの間の相互作用を模式的に示す図である。
【0073】
図9図9は、本発明の実施形態によるデータ処理センタの構造を模式的に示す図である。
【0074】
図10図10は、本発明の一実施形態によるデータ処理方法1000のフローチャートを模式的に示す図である。
【0075】
図11図11は、本発明の一実施形態による、コントローラと信頼できないデバイスとの間の相互作用を模式的に示す図である。
【0076】
図12図12は、本発明の実施形態による、ECUとコントローラとの間でデータ証明書1を交換するフローチャートを模式的に示す図である。
【0077】
図13図13は、本発明の実施形態によるデータ証明書1の構造を模式的に示す図である。
【0078】
図14図14は、本発明の実施形態によるコントローラ1400の構造を模式的に示す図である。
【0079】
図15図15は、本発明の実施の形態に係る第1ECU1500の構成を模式的に示す図である。
【0080】
図16図16は、本発明の実施形態によるコンピュータ読み出し可能格納媒体1600の構造を模式的に示す図である。
【発明を実施するための形態】
【0081】
以下では、本発明の実施形態における添付の図面を参照して、本発明の実施形態における技術的解決策を説明する。説明される実施形態は、本発明の実施形態の全てではなく、その一部にすぎないことは明らかである。創造的な努力なしに本発明の実施形態に基づいて当業者によって得られるすべての他の実施形態は、本発明の保護範囲内に入るものとする。
【0082】
本発明の実施形態において提供されるデータ処理方法は、様々な車両関連シナリオ、例えば、車両が通常、車両のための運転経路を計画し、車両状態を監視し、又は車両を遠隔制御するシナリオに適用されてよい。
【0083】
以下、図面を参照して、本発明の実施形態を説明する。当業者は、技術の発展及び新しいシナリオの出現とともに、本出願の実施形態において提供される技術的解決策が同様の技術的問題にも適用可能であることを知ることができる。
【0084】
この解決策の理解を容易にするために、本発明の実施形態では、本明細書で提供される車両の構造が、まず図1を参照して説明される。図1は、本発明の実施形態に係る車両100の構成を模式的に示す図である。
【0085】
一実施形態において、車両100は、完全に又は部分的に自律運転モードにあるように構成されてもよい。例えば、自律走行モードの車両100は、車両100を制御し、手動操作を通じて車両の現在状態及び車両の周辺環境を決定し、周辺環境の少なくとも1つの他の車両の可能な挙動を決定し、他の車両が可能な挙動を行う可能性に対応する信頼度を決定し、決定された情報に基づいて車両100を制御する。車両100が自動運転モードにあるとき、車両100は、人と相互作用することなく動作するように設定され得る。
【0086】
車両100は、走行システム102、センサシステム104、制御システム106、1つ以上の周辺デバイス108、電源110、コンピュータシステム112、及びユーザインタフェース116などの様々なサブシステムを含み得る。任意選択的に、車両100は、より多くの又はより少ないサブシステムを含んでもよく、各サブシステムは、複数の要素を含み得る。例えば、各サブシステムは、複数のECUを含む。また、車両100の各サブシステム及び構成要素は、有線又は無線で相互接続されて得る。
【0087】
走行システム102は、車両100が移動するための動力を提供する構成要素を含み得る。一実施形態において、走行システム102は、エンジン118、エネルギー源119、トランスミッション装置120、及び車輪/タイヤ121を含み得る。エンジン118は、内燃機関、モータ、空気圧縮エンジン、又は他のタイプのエンジンの組み合わせであり得、例えば、ガソリンエンジン及びモータを含むハイブリッドエンジン、又は内燃機関及び空気圧縮エンジンを含むハイブリッドエンジンであり得る。エンジン118は、エネルギー源119を機械的エネルギーに変換する。
【0088】
エネルギー源119の例は、ガソリン、ディーゼル、他の油ベースの燃料、プロパン、他の圧縮ガスベースの燃料、無水アルコール、ソーラーパネル、バッテリ、又は他の電源を含む。エネルギー源119はまた、車両100の別のシステムにエネルギーを提供し得る。
【0089】
トランスミッション装置120は、エンジン118からの機械的動力を車輪121に伝達する。トランスミッション装置120は、ギアボックス、差動装置及びドライブシャフトを含むことができる。一実施形態において、トランスミッション装置120は、別の構成要素、例えばクラッチをさらに含み得る。駆動シャフトは、1つ以上の車輪121に結合され得る1つ以上のシャフトを含み得る。
【0090】
センサシステム104は、車両100の周囲環境に関する情報を感知することができるいくつかのセンサを含むことができる。例えば、センサシステム104は、測位システム122(測位システムは、GPSシステム、BeiDouシステム、又は別の測位システムであってもよい)、慣性測定ユニット(inertial measurement unit、IMU)124、レーダ126、レーザ距離測定器128、及びカメラ130を含んでみ得る。センサシステム104は、監視対象車両100の内部システムのセンサ(例えば、車内空気品質モニタ、燃料計、又はエンジン油温度計)を更に含み得る。これらのセンサのうちの1つ以上からのセンサデータは、オブジェクト及びオブジェクトの対応する特徴(位置、形状、方向、速度など)を検出するために使用され得る。このような検出及び認識は、自動運転車両100の安全運転のための重要な機能である。
【0091】
測位システム122は、車両100の地理的位置を推定するように構成され得る。IMU 124は、慣性加速度に基づいて車両100の位置及び向きの変化を感知するように構成されている。一実施形態では、IMU 124は、加速度計とジャイロスコープとの組み合わせであり得る。
【0092】
レーダ126は、無線信号を用いて車両100の周辺環境内のオブジェクトを感知する。いくつかの実施形態では、オブジェクトを感知することに加えて、レーダ126は、オブジェクトの速度及び/又は移動方向を感知するようにさらに構成されてもよい。
【0093】
レーザ距離測定器128は、レーザを使用することによって、車両100が位置する環境内のオブジェクトを感知することができる。いくつかの実施形態では、レーザ距離測定器128は、1つ以上のレーザ源、レーザスキャナ、1つ以上の検出器、及び別のシステム構成要素を含み得る。
【0094】
カメラ130は、車両100の周囲環境の複数の画像を取り込むように構成され得る。カメラ130は、静的カメラ又はビデオカメラでり得る。
【0095】
制御システム106は、車両100及び車両100の構成要素の動作を制御する。制御システム106は、ステアリングシステム132、スロットル134、ブレーキユニット136、センサ融合アルゴリズム138、コンピュータビジョンシステム140、ルート制御システム142、及び障害物回避システム144を含む様々な構成要素を含み得る。
【0096】
ステアリングシステム132は、車両100の移動方向を調節するために作動することができる。例えば、一実施形態では、ステアリングシステム132は、ステアリングホイールシステムであり得る。
【0097】
スロットル134は、エンジン118の動作速度を制御し、さらに車両100の速度を制御するように構成されている。
【0098】
ブレーキユニット136は、車両100を減速させるように制御するように構成される。ブレーキユニット136は、摩擦を使用して車輪121を減速させることができる。他の実施形態において、ブレーキユニット136は、車輪121の運動エネルギーを電流に変換し得る。ブレーキユニット136は、代替的に、車両100の速度を制御するために、車輪121の回転速度を低減するための別の形態を使用し得る。
【0099】
コンピュータビジョンシステム140は、カメラ130によって捕捉された画像を処理及び分析して、車両100の周囲環境内のオブジェクト及び/又は特徴を識別するように動作し得る。オブジェクト及び/又は特徴は、交通信号、道路境界、及び障害物を含み得る。コンピュータビジョンシステム140は、オブジェクト認識アルゴリズム、ストラクチャフロムモーション(Structure from Motion、SFM)アルゴリズム、ビデオ追跡、及び別のコンピュータビジョン技術を使用し得る。いくつかの実施形態では、コンピュータビジョンシステム140は、環境のマップを描画し、オブジェクトを追跡し、オブジェクトの速度を推定する等を行うように構成され得る。
【0100】
ルート制御システム142は、車両100の走行ルートを決定するように構成されている。いくつかの実施形態では、ルート制御システム142は、センサ138、GPS 122、及び1つ以上の所定のマップからのデータを参照して車両100の走行ルートを決定してもよい。
【0101】
障害物回避システム144は、車両100の環境内の潜在的な障害物を認識し、評価し、別の方法で回避又は迂回するように構成されている。
【0102】
当然ながら、一例では、制御システム106は、図示及び説明されたもの以外の構成要素を追加してもよく、又は代替的に含んでもよい。あるいは、制御システム106は、前述の構成要素のうちのいくつかを削除してもよい。
【0103】
車両100は、周辺デバイス108を使用することによって、外部センサ、別の車両、別のコンピュータシステム、又はユーザと相互作用する。周辺デバイス108は、無線通信システム146、車載コンピュータ148、マイクロフォン150、及び/又はスピーカ152を含むことができる。
【0104】
いくつかの実施形態では、周辺デバイス108は、車両100のユーザがユーザインタフェース116と相互作用するための手段を提供する。例えば、車載コンピュータ148は、車両100のユーザに情報を提供してもよい。ユーザインタフェース116は、ユーザ入力を受信するように車両搭載コンピュータ148をさらに動作させ得る。また、車載コンピュータ148は、タッチパネルを介して操作を行い得る。別の場合には、周辺デバイス108は、車両100が車両内に位置する別のデバイスと通信するための手段を提供し得る。例えば、マイクロフォン150は、車両100のユーザから音声(例えば、音声コマンド又は別の音声入力)を受信し得る。同様に、スピーカ152は、車両100のユーザに音声を出力し得る。
【0105】
無線通信システム146は、直接的に又は通信ネットワークを介して、1つ以上のデバイスと無線通信し得る。例えば、無線通信システム146は、CDMA、EVD0、GSM(登録商標)/GPRSなどの3Gセルラーネットワークを介して通信を行ってもよく、LTEなどの4Gセルラーネットワークを介して通信を行ってもよく、5Gセルラーネットワーク通信を行ってもよい。無線通信システム146は、Wi-Fiを介して無線ローカルエリアネットワーク(wireless local area network、WLAN)と通信してもよい。いくつかの実施形態では、ワイヤレス通信システム146は、赤外線リンク、Bluetooth(登録商標)、又はZigBee(登録商標)を使用することによって、デバイスと直接通信し得る。他のワイヤレスプロトコル、例えば、ワイヤレス通信システム146などの様々な車両通信システムは、1つ以上の専用短距離通信(dedicated short-range communications、DSRC)デバイスを含み得、これらのデバイスは、車両及び/又は路側局の間のパブリック及び/又はプライベートデータ通信を含み得る。
【0106】
電源110は、車両100の様々な構成要素に電力を供給することができる。一実施形態では、電源110は、充電式リチウムイオン電池又は鉛蓄電池であり得る。そのようなバッテリの1つ以上のバッテリパックは、車両100の構成要素に電力を供給するための電源として構成され得る。いくつかの実施形態では、電源110及びエネルギー源119は、たとえば、いくつかの純粋な電気車両において一緒に実装され得る。
【0107】
車両100の機能の一部又は全部は、コンピュータシステム112によって制御される。コンピュータシステム112は、少なくとも1つのプロセッサ113を含み得る。プロセッサ113は、データ格納装置又はデータ記憶装置(data storage apparatus)114などの非一時的コンピュータ可読媒体に格納又は記憶された(stored)命令115を実行する。コンピュータシステム112は、代替的に、車両100の個々の構成要素又はサブシステムを分散して制御する複数のコンピューティングデバイスであり得る。
【0108】
プロセッサ113は、任意の従来のプロセッサ、例えば、市販のCPUであり得る。あるいは、プロセッサは、ASIC又は別のハードウェアベースのプロセッサなどの専用デバイスであり得る。図1は、コンピュータ110のプロセッサ、メモリ、及び他の構成要素を同じブロック内に機能的に示しているが、当業者は、プロセッサ、コンピュータ、又はメモリが、実際には、同じ物理的筐体内に格納されてもされなくてもよい複数のプロセッサ、コンピュータ、又はメモリを含み得ることを理解すべきである。
【0109】
例えば、メモリは、ハードディスクドライブ、又はコンピュータ110の筐体とは異なる筐体内に位置する別の格納媒体であり得る。したがって、プロセッサ又はコンピュータへの言及は、並列に動作してもしなくてもよいプロセッサ又はコンピュータ又はメモリのセットへの言及を含むことが理解される。本明細書に記載されたステップを実行するために単一のプロセッサを使用することとは異なり、ステアリングコンポーネント及び減速コンポーネントなどのいくつかのコンポーネントは、それぞれのプロセッサを含み得る。プロセッサは、コンポーネント固有の機能に関連する計算のみを実行する。
【0110】
本明細書に記載される様々な態様では、プロセッサは、車両から遠く離れて位置し、車両と無線通信し得る。別の態様では、本明細書に記載されるいくつかのプロセスは、車両内に配置されたプロセッサ上で実行され、他のプロセスは、単一の操作に必要なステップを実行することを含む、遠隔プロセッサによって実行される。
【0111】
いくつかの実施形態では、データ格納装置114は、命令115(例えば、プログラムロジック)を含み得、命令115は、上述の機能を含む車両100の様々な機能を実行するためにプロセッサによって実行されて得る。データ格納装置114は、追加の命令、例えば、走行システム102、センサシステム104、制御システム106、及び/又は周辺機器108のうちの1つ以上に、データを送信し、それらからデータを受信し、それらと相互作用し、及び/又はそれらを制御するための命令も含み得る。
【0112】
命令115に加えて、データ格納装置114は、道路地図、ルート情報、車両の位置、方向、速度、及び他の車両データ、ならびに他の情報などのデータをさらに格納し得る。そのような情報は、車両100が自律モード、半自律モード、及び/又は手動モードで動作するときに、車両100及びコンピュータシステム112によって使用され得る。
【0113】
ユーザインタフェース116は、車両100のユーザに情報を提供するか、又は車両100のユーザから情報を受信するように構成される。任意選択で、ユーザインタフェース116は、周辺デバイス108のセット内の1つ以上の入力/出力デバイス、例えば、ワイヤレス通信システム146、車両搭載コンピュータ148、マイクロフォン150、及びスピーカ152を含み得る。
【0114】
コンピュータシステム112は、様々なサブシステム(例えば、走行システム102、センサシステム104、及び制御システム106)から、及びユーザインタフェース116から受信された入力に基づいて、車両100の機能を制御し得る。例えば、コンピュータシステム112は、制御システム106からの入力にアクセスしてこれを使用し、センサシステム104及び障害物回避システム144によって検出された障害物を回避するようにステアリングユニット132を制御することができる。いくつかの実施形態では、コンピュータシステム112は、多くの態様において、車両100及び車両100のサブシステムに対する制御を提供するように動作し得る。
【0115】
任意選択的に、前述の構成要素のうちの1つ以上は、車両100とは別個に設置されてもよく、又は車両100に関連付けられてもよい。例えば、データ格納装置114は、車両1100から部分的に又は完全に分離されてもよい。前述のコンポーネントは、有線及び/又は無線の方法で通信可能に一緒に結合され得る。
【0116】
任意選択で、前述の構成要素は例にすぎない。実際の適用中に、前述のモジュール内の構成要素は、実際の要件に基づいて追加又は除去され得る。図1は、本発明のこの実施形態に対する限定として解釈されるべきではない。
【0117】
道路上を走行する自動運転車両、例えば、車両100は、自動運転車両の周囲環境内のオブジェクトを識別して、現在の速度を調整することを決定し得る。オブジェクトは、別の車両、交通制御デバイス、又は別のタイプのオブジェクトであり得る。いくつかの例において、各識別されたオブジェクトは、独立して考慮されてもよく、オブジェクトの現在の速度、オブジェクトの加速度、及びオブジェクトと車両との間の間隔などの各オブジェクトの特徴に基づいて、自律運転車両によって調整されるべき速度を決定するために使用され得る。
【0118】
任意選択的に、自律運転車両100又は自動運転車両100に関連付けられたコンピューティングデバイス(図1のコンピュータシステム112、コンピュータビジョンシステム140、及びデータ格納装置114など)は、識別された物体の特性及び周囲環境の状態(例えば、交通、雨、又は道路上の氷)に基づいて、識別された物体の挙動を予測し得る。任意選択で、すべての識別されたオブジェクトは、互いの挙動に依存し、したがって、すべての識別されたオブジェクトは、単一の識別されたオブジェクトの挙動を予測するために一緒に考慮され得る。車両100は、識別されたオブジェクトの予測された挙動に基づいて車両100の速度を調整し得る。
【0119】
すなわち、自律車両は、オブジェクトの予測された挙動に基づいて、車両を調整すべき安定状態(例えば、加速、減速、停止)を決定することができる。このプロセスでは、車両100の速度を決定するために、別の要因、例えば、車両が走行する道路上の車両100の水平位置、道路の曲率、及び静的オブジェクトと動的オブジェクトとの間の近接性も考慮され得る。
【0120】
自律車両の速度を調整するための命令を提供することに加えて、コンピューティングデバイスは、車両100のステアリング角を修正するための命令をさらに提供することができ、したがって、自律車両が所与の軌道を追従するように、及び/又は自律車両と自律車両の近くのオブジェクト(たとえば、道路上の隣接車線内の車)との間の安全な横方向及び縦方向の距離が維持される。
【0121】
車両100は、セダン、トラック、オートバイ、バス、娯楽車両、アミューズメントパーク車両、建設デバイス、トラム、ゴルフカート、列車などであり得る。これは、本発明の実施形態において特に限定されない。
【0122】
図2は、本発明の実施形態による車両の構造を模式的に示す別の図である。図2に示すように、車両は、コントローラと、複数のモジュールとを含む。コントローラは複数のモジュールに別々に接続され、各モジュールは1つ以上のECUを含む。例えば、複数のモジュールは、例えば、ボディコントロールモジュール(body control module、BCM)、ヒューマンマシンインタフェース(human-machine interface、HMI)モジュール、及び先進運転支援システム(advanced driver-assistance system、ADAS)モジュール、スマートコックピットドメインコントローラ(cockpit domain controller、CDC)モジュール等を含んでもよい。
【0123】
1つのコントローラが1つ以上のECUを管理又は制御し得ることも理解され得る。ECUは、図1に記載されたシステム内のECUであり得る。車両は複数の制御モジュールを含み得ることが理解され得る。各モジュールは、例えば、走行システム102、センサシステム104、ステアリングシステム132、スロットル134、及びブレーキユニット136等の1つ以上のECUを含むか、又はそれらに接続される。各モジュールは、車両のエンジン、車輪、ステアリング、スロットル、ブレーキなどを制御するように構成された1つ以上のECUを含む。
【0124】
図3は、本出願の実施形態による車両内のコンピュータシステム101の構造の概略図である。コンピュータシステム101はプロセッサ103を含み、プロセッサ103はシステムバス105に結合される。プロセッサ103は、図2のコントローラの機能を実装するように構成され得る。プロセッサ103は、1つ以上のプロセッサであってもよく、各プロセッサは、1つ以上のプロセッサコアを含んでもよい。ビデオアダプタ(video adapter)107がさらに含まれ、ビデオアダプタはディスプレイ109を駆動することができ、ディスプレイ109はシステムバス105に結合されている。システムバス105は、バスブリッジ111を介して入力/出力(I/O)バス113に結合される。I/Oインタフェース115は、I/Oバスに結合される。I/Oインタフェース115は、複数のI/Oデバイス、例えば、入力デバイス117(例えば、キーボード、マウス、及びタッチスクリーン)、メディアトレイ(media tray)121(例えば、CD-ROM及びマルチメディアインタフェース)、送受信器123(無線通信信号を送信及び/又は受信し得る)、ビデオカメラ155(動的デジタルビデオ画像をキャプチャし得る)、及び外部USBポート125と通信する。任意選択で、I/Oインタフェース115に接続されるインタフェースは、USBポートであってもよい。
【0125】
プロセッサ103は、縮小命令セットコンピューティング(「RISC」)プロセッサ、複合命令セットコンピューティング(「CISC」)プロセッサ、又はそれらの組合せを含む、任意の従来のプロセッサであってもよい。任意選択で、プロセッサは、特定用途向け集積回路(「ASIC」)などの専用装置であってもよい。任意選択で、プロセッサ103は、ニューラルネットワークプロセッサ、又はニューラルネットワークプロセッサと前述の従来のプロセッサとの組合せであってもよい。
【0126】
任意選択で、本明細書に記載された様々な実施形態では、コンピュータシステム101は、自律車両から離れて位置してもよく、自律車両と無線で通信してもよい。他の態様では、本明細書に記載されたプロセスのうちのいくつかは、自律車両の内部に配置されたプロセッサ上で実行され、他のプロセスは、単一の動作を実行するために必要とされるアクションを含めて、リモートプロセッサによって実行される。
【0127】
コンピュータシステム101は、ネットワークインタフェース129を介してソフトウェア配備サーバ149と通信してもよい。ネットワークインタフェース129は、ハードウェアネットワークインタフェース、例えば、ネットワークインタフェースカードである。ネットワーク127は、インターネットなどの外部ネットワークであってもよいし、イーサネット(登録商標)やVPN(Virtual Private Network)などの内部ネットワークであってもよい。任意選択で、ネットワーク127は、無線ネットワーク、例えば、Wi-Fiネットワーク又はセルラーネットワークである。
【0128】
ハードディスクドライブインタフェースは、システムバス105に結合される。ハードウェアドライブインタフェースはハードディスクドライブに接続される。システムメモリ135は、システムバス105に結合される。システムメモリ135内で実行されるデータは、コンピュータ101のオペレーティングシステム137及びアプリケーション143を含むことができる。
【0129】
オペレーティングシステムは、シェル139とカーネル(kernel)141とを含む。シェル139は、ユーザとオペレーティングシステムのカーネル(kernel)との間のインタフェースである。シェルは、オペレーティングシステムの最外層である。シェルは、ユーザとオペレーティングシステムとの間の相互作用、すなわち、ユーザの入力を待つこと、オペレーティングシステムのためにユーザの入力を解釈すること、及びオペレーティングシステムの様々な出力を処理することを管理する。
【0130】
カーネル141は、オペレーティングシステム内にあり、メモリ、ファイル、周辺機器、及びシステムリソースを管理するために使用される部分を含み、ハードウェアと直接相互作用する。オペレーティングシステムのカーネルは、通常、プロセスを実行し、プロセス間の通信を提供し、CPUタイムスライス管理、割り込み管理、メモリ管理、I/O管理などを提供する。
【0131】
アプリケーション143は、データ処理に関するプログラム147と、車両の自動運転制御に関するプログラムとを含む。データ処理に関するプログラム147は、複数のECUのデータを個別に管理するように構成されている。コンピュータシステム101は、データ処理に関するプログラム147を実行することにより、図2で説明したコントローラの機能を実現し、複数のECUのデータを管理し、例えば、ECUに格納されたデータを削除する。
【0132】
車両の自律運転制御に関するプログラムは、例えば、自律運転車両と道路上の障害物との相互作用を管理するためのプログラム、自律運転車両の経路又は速度を制御するためのプログラム、自律運転車両と道路上の他の自動運転車両との相互作用を制御するためのプログラムを含み得る。アプリケーション143は、展開サーバ149のシステム内にも存在する。
【0133】
センサ153は、コンピュータシステム101に関連付けられる。センサ153は、コンピュータシステム101の周囲環境を検出するように構成される。例えば、センサ153は、動物、車両、障害物、横断歩道などを検出することができる。また、センサは、動物、車両、障害物又は横断歩道の周辺環境を検出することができる。例えば、センサは、周囲環境内の他の動物などの動物の周囲環境、天候状態、及び周囲環境の明るさを検出することができる。
【0134】
一般に、車両には、電子制御機能を有する車両構成要素毎に1つ以上のECUが配置され、各ECUは、制御機能や演算機能等の機能を有する。車両の通常の運転プロセスにおいて、車両内のECUは、通常、運転プロセスにおける車両の様々なタイプのデータ、例えば、車両の運転速度及び運転位置などのデータを取得する必要がある。
【0135】
車両が一定期間走行した後、車両内のECUは、通常、車両の運転プロセスにおいて生成された様々なタイプのデータを格納し、車両内のECUに格納されたデータは、車両所有者のプライベートデータである。場合によっては、車両所有者は、通常、プライバシーの漏洩を回避するために、車両に格納されたいくつかのプライベートデータを削除することを望む。しかしながら、現在の車両は、車両所有者による車両内の各ECU内のデータのきめ細かい削除をサポートしていない。車両所有者は、車両フォーマット方式のみで車両全体の構成要素のデータを削除することができ、車両全体の構成要素のデータの削除は、車両所有者による車両の通常運転に影響を及ぼす。
【0136】
これに鑑みて、本発明の実施例は、データ処理方法を提供し、該方法は、コントローラと複数のECUとを含む車両に適用される。本発明の実施形態において提供されるデータ処理方法に基づいて、車両内の複数のECUがセンサデータを取得する必要があるとき、複数のECUは、データ要求をコントローラに送信し、コントローラは、ECUによるセンサデータの要求に関する情報を記録する。このようにして、特定のセンサデータの削除がトリガされると、コントローラは、記録された情報に基づいて、センサデータを取得するECUを決定して、データ削除命令をECUに送信することができ、それにより、車両内データのきめ細かな管理を実現することができる。
【0137】
本発明の実施形態において提供されるデータ処理方法が、以下で詳細に説明される。本発明において提供されるデータ処理方法は、車両に適用され得ることに留意されたい。車両は、コントローラと、複数のECUとを備え、コントローラは、複数のECUと通信可能に接続されている。複数のECUのうちのいずれか1つについて、コントローラは、本出願の実施形態において提供されるデータ処理方法に基づいてECUのデータを管理し得る。一般に、車両には通常数百のECUが存在する。コントローラは、車両内のECUに対してきめ細かい管理を実施するために、本発明の実施形態において提供されるデータ処理方法に基づいて、数百のECUのそれぞれのデータを管理してもよい。
【0138】
説明を容易にするために、本発明の実施形態において提供されるデータ処理方法は、一例として第1ECUを使用することによって以下に説明される。第1ECUは、複数のECUのうちのいずれかのECUである。図4は、本発明の一実施形態によるデータ処理方法400の概略的フローチャートである。図4に示すように、データ処理方法400は、以下のステップ401~406を含む。
【0139】
ステップ401:コントローラは、第1ECUからデータ要求メッセージを受信し、第1ECUは、複数のECUのうちのいずれか1つであり、データ要求メッセージは、センサデータを取得することを要求するために使用される。
【0140】
この実施形態では、第1ECUの実行中に、第1ECUは、関連する車両サービスを提供するために、センサデータを取得する必要があり得る。第1ECUがセンサデータを取得する必要があるとき、第1ECUは、必要なセンサデータを取得することを要求するために、データ要求メッセージをコントローラに送信する。
【0141】
例えば、第1ECUが位置測定システムにおけるECUであると仮定する。位置測定サービスを提供するために、第1ECUは、位置測定に使用される関連センサによって取得されたセンサデータを取得する必要がある。したがって、この場合、第1ECUは、位置測定に使用される関連センサによって取得されたセンサデータを要求するために、データ要求メッセージをコントローラに送信し得る。
【0142】
別の例では、第1ECUは、自動ブレーキシステム内のECUであると仮定される。自動ブレーキサービスを提供するために、第1ECUは、測距に使用されるセンサによって取得されたセンサデータを取得し、センサデータに基づいて車両と障害物との間の距離を決定する必要があり、それによって、リアルタイムで自動ブレーキサービスを提供する。例えば、第1ECUは、カメラ、ライダ、超音波レーダなどのセンサによって取得されたセンサデータを取得する必要がある。この場合、第1ECUは、測距に使用されるセンサによって取得されたセンサデータを要求するために、データ要求メッセージをコントローラに送信し得る。
【0143】
任意選択で、第1ECUによって送信されるデータ要求メッセージは、直接指示方式で、第1ECUによって要求されたセンサデータを示し得る。例えば、データ要求メッセージは、カメラの識別子、ライダの識別子、又は超音波レーダの識別子を搬送すし、カメラデータ、ライダデータ、又は超音波レーダデータが要求されていることを示す。
【0144】
第1ECUによって送信されるデータ要求メッセージは、間接的指示方式で、第1ECUによって要求されたセンサデータを示し得る。例えば、データ要求メッセージは、第1ECUが自動ブレーキサービスを提供するためにセンサデータを要求する必要があることを示す。データ要求メッセージが、第1ECUが自動ブレーキサービスを提供するために使用されるセンサデータを要求する必要があることを示すとき、コントローラは、データ要求メッセージに基づいて、第1ECUによって要求されたセンサデータがカメラデータ、ライダデータ、又は超音波レーダデータであると決定してもよい。
【0145】
すなわち、コントローラに関して、第1ECUによって送信されるデータ要求メッセージの目的は、センサデータを要求することであり、データ要求メッセージは、要求されたセンサデータの内容を搬送してもよく、又は搬送しなくてもよい。データ要求メッセージで搬送される内容は、この実施形態では限定されない。
【0146】
ステップ402:コントローラは、第1ECUに応答メッセージを送信し、応答メッセージは、センサデータを取得するように第1ECUに示す。
【0147】
コントローラが第1ECUによって送信されたデータ要求メッセージを取得した後、コントローラは、第1ECUがデータ要求メッセージに示されたセンサデータにアクセスする許可を有するかどうかを決定し得る。コントローラが、第1ECUがデータ要求メッセージに示されたセンサデータにアクセスする許可を有すると決定した場合、コントローラは、第1ECUに応答メッセージを送信して、データ要求メッセージに示されたセンサデータを取得するように第1ECUに指示する。
【0148】
簡単に言えば、第1ECUがセンサデータにアクセスする許可を有するとき、コントローラは、第1ECUに応答メッセージを返し、応答メッセージは、第1ECUがセンサデータをどのように取得するかを示すことができる。第1ECUがセンサデータにアクセスする許可を有していない場合、コントローラは、第1ECUに応答メッセージを返信しなくてもよく、その結果、第1ECUは、正確なデータ管理を実施するために、必要なセンサデータを取得することができない。
【0149】
任意選択で、許可構成ポリシーが車両内に予め設定されてもよく、許可構成ポリシーは、各ECUのデータアクセス許可を示すことができる。許可構成ポリシーは、車両内のヒューマンマシンインタフェース又はリモート端末を介してユーザによって設定されてもよい。あるいは、許可構成ポリシーは、車両が配達される前に予め設定されてもよい。コントローラは、予め設定された許可構成ポリシーにしたがって、第1ECUがセンサデータにアクセスする許可を有すると決定する。
【0150】
例えば、ユーザは、車両内のヒューマンマシンインタフェースを介して許可構成ポリシーを設定し、許可構成ポリシーは、測位システム及びナビゲーションシステム内のECUのみが測位に使用されるセンサのデータにアクセスできることを示す。この場合、第1ECUが測位システム又はナビゲーションシステムのECUである場合に、第1ECUによって要求されるセンサデータが測位に使用されるセンサのデータであるとき、コントローラは、第1ECUが測位のために使用されるセンサのデータにアクセスする許可を有すると決定し得る。第1ECUが測位システム又はナビゲーションシステム内のECUではない場合に、第1ECUによって要求されるセンサデータが測位に使用されるセンサのデータであるとき、コントローラは、第1ECUが測位に使用されるセンサのデータにアクセスする許可を有しないと決定し得る。
【0151】
任意選択的に、コントローラによって第1ECUに送信される応答メッセージは、代替的に、第1ECUが取得されたセンサデータをどのように処理するかを示し得る。例えば、コントローラによって送信される応答メッセージは、取得されたセンサデータを格納するように第1ECUに指示してもよく、又はさらに、コントローラによって送信される応答メッセージは、第1ECU内にあり、取得されたセンサデータを格納するために使用される格納空間又は格納スペースの容量をさらに指示する。例えば、コントローラによって送信される応答メッセージは、第1ECUが取得されたセンサデータを格納する必要があり、第1ECUが10メガバイト(Megabyte、MB)の容量を有する格納空間にセンサデータを格納する必要があることを示し得る。
【0152】
例えば、コントローラによって送信された応答メッセージは、取得されたセンサデータを読み出すだけで、取得されたセンサデータを格納しないように第1ECUに指示してもよい。例えば、第1ECUが後退画像システム内のECUである場合、第1ECUは、カメラデータを取得し、カメラデータを処理して、後退画像サービスを提供するように構成されている。この場合、第1ECUは、リアルタイムで後退画像サービスを提供し、第1ECUは、取得されたカメラデータを格納する必要はない。したがって、コントローラによって送信される応答メッセージは、第1ECUに、取得されたカメラデータを読み出すだけで、カメラデータを格納しないように指示し得る。
【0153】
ステップ403:コントローラは、データ要求メッセージに基づいてマーク情報を生成し、マーク情報は、センサデータに対する要求情報を記録する。
【0154】
コントローラが第1ECUのデータ要求メッセージを取得した後、コントローラは、第1ECUがセンサデータを要求していることを記録するために、データ要求メッセージに基づいてマーク情報を生成する。コントローラは、データ要求メッセージに基づいてマーク情報を生成することによって、各ECUによるセンサデータの要求に関する情報を記録することができ、その結果、コントローラは、その後、各ECUに格納されたデータを効果的に決定することができ、それによって、特定のECU上のセンサデータを迅速に削除し得る。
【0155】
具体的には、制御部が生成したマーク情報は、センサデータに対する要求情報を記録する。センサデータに対する要求情報は、センサデータの要求者、センサデータの要求時間及びセンサデータの内容を含む。例えば、センサデータの要求情報は、以下のようなものであり得る:第1ECUは、xx/xx(月/日)のxx:xxにカメラデータを要求する。あるいは、第1ECUは、xx/xx(月/日)のxx:xxにカメラデータ、ライダデータ、及び超音波レーダデータを要求する。
【0156】
ステップ402とステップ403との間の実行順序は、この実施形態において限定されないことに留意されたい。コントローラは、最初にステップ402を実行し、その後ステップ403を実行してもよい。あるいは、コントローラは、最初にステップ403を実行し、その後ステップ402を実行してもよい。代替的に、コントローラは、ステップ402及びステップ403を並行して実行してもよい。
【0157】
また、コントローラは、第1ECUが要求されたセンサデータにアクセスする権限を有すると決定した後に、マーク情報を生成し得る。第1ECUが要求されたセンサデータにアクセスする許可を有していない場合、コントローラは、第1ECUに応答メッセージを返さない。このため、第1ECUは、マーク情報を生成しなくてもよい。
【0158】
ステップ404:第1ECUは、応答メッセージに基づいてセンサデータを取得する。
【0159】
コントローラによって返された応答メッセージを取得した後、第1ECUは、応答メッセージに基づいてセンサデータを取得し得る。
【0160】
任意選択で、応答メッセージが、第1ECUが取得されたセンサデータをどのように処理するかをさらに示す場合、第1ECUは、応答メッセージの指示に基づいて、取得された応答メッセージを処理し得る。例えば、応答メッセージが、第1ECUが取得されたセンサデータを格納する必要があることを示し、第1ECUが10 MBの容量を有する格納空間にセンサデータを格納する必要がある場合、第1ECUは、応答メッセージの指示に基づいて、第1ECUに対応する格納ハードウェアに10 MBの格納空間を割り当て、取得されたセンサデータを割り当てられた10 MBの格納空間に格納する。
【0161】
加えて、第1ECUが取得されたセンサデータを格納した後、第1ECUはさらに、コントローラにフィードバックメッセージを送信することができ、センサデータを格納するために使用される格納空間のアドレスをコントローラにフィードバックすることができる。例えば、第1ECUは、フィードバックメッセージをコントローラに送信することができ、フィードバックメッセージは、格納空間の開始アドレス及び終了アドレスを示す。
【0162】
ステップ405:車両が第1ECU内の前記センサデータの削除をトリガした場合、コントローラは、前記マーク情報に基づいて第1ECUに第1データ削除命令を送信し、第1データ削除命令は、第1ECUに前記センサデータを削除するように示す。
【0163】
本実施形態では、車両は、複数の方式で第1ECUにおけるセンサデータの削除をトリガすることができる。
【0164】
可能な実施態様では、コントローラは、マーク情報及び事前設定されたデータ保持期間に基づいて、第1ECU内のセンサデータが期限切れになったと決定して、第1ECU内のセンサデータの削除をトリガする。予め設定されたデータ保持期間は、車両内データの格納期間であり得る。データの格納時間が格納期間に達した(すなわち、データが期限切れになった)とき、データは削除される必要がある。予め設定されたデータ保持期間は、ユーザによって設定されてもよく、又は業界で指定されてもよい。例えば、予め設定されたデータ保持期間は、10日又は15日であってもよい。
【0165】
例えば、コントローラによって生成されたマーク情報が、第1ECUが1月10日にカメラデータを要求していることを示し、予め設定されたデータ保持期間が10日であると仮定する。この場合、コントローラは、1月20日に、マーク情報及び予め設定されたデータ保持期間に基づいて、第1ECUによって要求されたカメラデータが期限切れであると決定し得る。したがって、コントローラは、第1ECUにカメラデータを削除するように指示するために、第1ECUに第1データ削除命令を送信する。
【0166】
他の可能な実施において、コントローラは、ユーザによってトリガされた第2データ削除命令を取得し、第2データ削除命令は第1ECU内のセンサデータを削除することを示す。コントローラが第2データ削除命令を取得した後、コントローラは、マーク情報に基づいて第1データ削除命令を第1ECUに送信して、センサデータを削除するように第1ECUに指示する。
【0167】
任意選択で、ユーザは、複数の方式で第2データ削除命令をトリガしてもよい。例えば、ユーザは、車両のヒューマンマシンインタフェース上で、削除される必要があるデータを選択して、第2データ削除命令をトリガしてよい。例えば、ユーザは、車両のヒューマンマシンインタフェース上の特定のアプリケーションを選択し、アプリケーションに対応するデータを削除して、第2データ削除命令をトリガする。コントローラは、第2データ削除命令に基づいて、ユーザによって選択されたアプリケーションに対応するECU(すなわち、第1ECU)を決定して、第1データ削除命令をアプリケーションに対応するECUに送信してもよい。
【0168】
図5は、本発明の一実施形態による車両のヒューマンマシンインタフェースの概略図である。図5に示すように、車両にインストールされたアプリケーションは、車両のヒューマンマシンインタフェースに表示され、各アプリケーションは、異なるデータに対応する。ユーザは、ヒューマンマシンインタフェース上で特定のアプリケーションを選択し、アプリケーション内の特定のデータを削除してもよい。
【0169】
例えば、ユーザは、車両のヒューマンマシンインタフェース上でナビゲーションアプリケーションを選択してもよく、ナビゲーションアプリケーションは、測位データ、ナビゲーション音声データ、及びユーザ構成データなどのデータを含む。ユーザは、第2データ削除命令をトリガするために、ナビゲーションアプリケーション内の測位データを削除することをさらに選択してもよい。このようにして、コントローラが第2データ削除命令を取得した後、コントローラは、第2データ削除命令に基づいて、ナビゲーションアプリケーションに対応するナビゲーションシステム内のECU上の測位データが削除される必要があると決定する。ナビゲーションシステムは、例えば、車両内の全地球測位システム(Global Positioning System、GPS)に基づくナビゲーションシステムであってもよい。したがって、コントローラは、第1データ削除命令をナビゲーションシステム内のECU(例えば、前述の第1ECU)に送信してもよい。第1データ削除命令は、ECUに測位関連センサデータを削除するように指示する。
【0170】
加えて、ユーザは、車両に遠隔接続された端末(例えば、スマートフォン)上で、削除される必要があるデータを選択して、第2データ削除命令をトリガしてもよい。車両に遠隔接続された端末は、車両にインストールされたアプリケーションを表示してもよく、各アプリケーションは異なるデータに対応することが理解され得る。ユーザは、端末から特定のアプリケーションを選択し、アプリケーション内の特定のデータを削除することができる。
【0171】
あるいは、ユーザは、車両のヒューマンマシンインタフェース上の、又は、車両に遠隔接続された端末上の、アプリケーションの許可を変更して、第2データ削除命令をトリガしてもよい。具体的には、ユーザがアプリケーションの許可を変更する前に、アプリケーションは、センサデータにアクセスする許可を有し、すなわち、アプリケーションに対応するシステム内のECUも、センサデータにアクセスする許可を有する。ユーザがアプリケーションの許可を変更した後、アプリケーションはセンサデータにアクセスする許可をもはや有さず、すなわち、アプリケーションに対応するシステム内のECUは、センサデータにアクセスする許可を有さない。したがって、コントローラは、以前に取得されたセンサデータを削除するようにECUに指示するために、データ削除命令をECUに送信する必要がある。
【0172】
例えば、ユーザがナビゲーションアプリケーションの許可を変更する前に、ナビゲーションアプリケーションは、測位データにアクセスする許可を有し、すなわち、ナビゲーションアプリケーションに対応するナビゲーションシステム内のECUは、測位関連センサデータにアクセスする許可を有する。したがって、ナビゲーションシステム内のECUは、コントローラにデータ要求メッセージを送信し、測位関連センサデータを要求し、取得されたセンサデータをECU内の格納ハードウェア内に格納することができる。ユーザがナビゲーションアプリケーションの許可を変更した後、ナビゲーションアプリケーションは、もはや測位データにアクセスする許可を有さず、すなわち、ナビゲーションアプリケーションに対応するナビゲーションシステム内のECUも、測位関連センサデータにアクセスする許可を有さない。したがって、コントローラは、以前に取得された測位関連センサデータを削除するようにECUに指示するために、ナビゲーションシステム内のECUにデータ削除命令を送信し得る。
【0173】
なお、複数のECUが全てセンサのデータを取得した場合、ユーザがセンサのデータを削除するための命令を配信したときは、コントローラは、複数のECUがセンサデータを要求したときに生成されるマーク情報に基づいて、センサのデータを取得した複数のECUを決定し、複数のECUにデータ削除指示を別々に送信し、複数のECUの各々にセンサのデータを削除するように指示してもよい。
【0174】
例えば、ECU1とECU2の両方が、コントローラからカメラ1のデータを要求し、ユーザがヒューマンマシンインタフェースを介してデータ削除命令1を配信すると仮定する。データ削除指示1は、カメラ1のデータを削除することを示す。コントローラは、マーク情報1とマーク情報2とに基づいて、ECU1にデータ削除指示2を送信し、ECU2にデータ削除指示3を送信する。マーク情報1はECU1がカメラ1のデータを要求することを示し、マーク情報2はECU2がカメラ1のデータを要求することを示し、データ削除指示2はECU1に格納されているカメラ1のデータを削除することを示し、データ削除指示3はECU2に格納されているカメラ1のデータを削除することを示す。
【0175】
換言すれば、コントローラは、取得された第2データ削除命令に基づいて、複数のECUによるセンサデータの削除がトリガされる必要があると決定することができ、第1ECUは、センサデータが削除される必要がある、複数のECUのうちの1つである。続いて、コントローラは、第2データ削除命令に基づいて、対応するデータ削除命令を複数のECUに別々に送信して、各ECUに対応するセンサデータを削除するように指示する。例えば、コントローラは、第1ECUに第1データ削除命令を送信して、第1ECUに第1ECU内のセンサデータを削除するように指示する。
【0176】
ステップ406:第1ECUは、第1データ削除命令に基づいて第1ECU内のセンサデータを削除する。
【0177】
任意選択で、第1ECUがセンサデータを格納するために使用される格納空間のアドレスをフィードバックする場合、コントローラは、格納空間のアドレスに基づいて、格納空間に格納されたセンサデータを削除するように第1ECUに指示するために、センサデータを格納するために使用される格納空間のアドレスを第1データ削除命令に追加してもよい。したがって、第1データ削除命令が格納空間のアドレスを示す場合、第1ECUは、第1データ削除命令によって示される格納空間のアドレスに基づいて、格納空間内のセンサデータを削除してもよい。
【0178】
本実施形態において、車両内の複数のECUがセンサデータを取得する必要があるとき、複数のECUは、データ要求をコントローラに送信し、コントローラは、ECUによるセンサデータの要求に関する情報を記録する。このようにして、特定のセンサデータの削除がトリガされると、コントローラは、記録された情報に基づいて、センサデータを取得するECUを決定して、データ削除命令をECUに送信することができ、それにより、車両内データのきめ細かな管理を実現することができる。
【0179】
以上、制御部が第1ECUに対してセンサデータの取得及び削除を指示する処理について説明した。第1ECUがセンサデータを取得する具体的な処理については後述する。図6は、本発明の一実施形態によるデータ処理方法600のフローチャートを模式的に示す図である。図6に示すように、データ処理方法600は、以下のステップ601~606を含む。
【0180】
ステップ601:センサが、コントローラにサービスを登録する。
【0181】
この実施形態では、車両に設置されたセンサは、車両内の別の構成要素にデータサービスを提供するために、コントローラにサービスを登録してもよい。センサがサービスを登録した後、コントローラは、センサの関連する構成情報、例えば、センサのポート情報及びセンサの識別(Identity document、ID)情報を取得してもよい。
【0182】
ステップ602:コントローラは、第1ECUからデータ要求メッセージを受信し、第1ECUは、複数のECUのうちのいずれか1つであり、データ要求メッセージは、センサデータを取得することを要求するために使用される。
【0183】
この実施形態では、ステップ602はステップ401と同様である。詳細については、ステップ401を参照されたい。詳細は、本明細書では再び説明されない。
【0184】
ステップ603:コントローラは、第1ECUに応答メッセージを送信し、応答メッセージは、センサデータを取得するように第1ECUに示す。
【0185】
本実施形態において、コントローラによって送信された応答メッセージはセンサに関する情報を含み、センサに関する情報は、第1ECUがセンサからセンサデータを取得するように、センサとの通信接続を確立するために第1ECUによって使用され、したがって、第1ECUはセンサからのセンサデータを取得する。例えば、コントローラは、第1ECUによって送信されたデータ要求メッセージに基づいて、第1ECUによって取得されるセンサデータが属するセンサを決定し、その後、コントローラは、センサによってコントローラで登録されたサービスに基づいて、センサに関する情報を応答メッセージに含める。センサに関する情報は、例えば、センサのポート情報、センサのID情報などを含むことができる。
【0186】
ステップ604:コントローラは、データ要求メッセージに基づいてマーク情報を生成し、マーク情報は、センサデータに対する要求情報を記録する。
【0187】
この実施形態では、ステップ604はステップ403と同様である。詳細については、ステップ403を参照されたい。詳細は、本明細書では再び説明されない。
【0188】
ステップ605:第1ECUは、センサに関する情報に基づいて、センサとの通信接続を確立し、応答情報が前記センサに関する情報を含む。
【0189】
第1ECUがコントローラによって返された応答メッセージを取得した後、第1ECUは、応答メッセージ内のセンサに関する情報に基づいてセンサとの通信接続を確立する。すなわち、第1ECUは、センサのポート情報に基づいて、第1ECUとセンサとの間の通信パイプラインを確立して、センサとの通信接続を確立してもよい。
【0190】
ステップ606:第1ECUは、通信接続に基づい記センサからセンサデータを取得する。
【0191】
センサとの通信接続を確立した後、第1ECUは、センサによって生成されたセンサデータをセンサからリアルタイムで取得してもよい。
【0192】
車両が第1ECU内のセンサデータの削除をトリガする場合、コントローラは、第1ECUに第1データ削除命令を送信し、第1データ削除命令は、第1ECUにセンサデータを削除するように示す。
【0193】
任意選択で、第1ECUがセンサとの通信接続を確立することによってセンサデータを取得する場合、第1データ削除命令は、センサとの通信接続を切断するように第1ECUに示し得る。例えば、ユーザがアプリケーションの許可を変更し、第1ECUがセンサデータにアクセスする許可をもはや有しない場合、コントローラは、第1データ削除命令を第1ECUに送信し得る。第1データ削除指示は、第1 ECUに対して、センサデータを削除することを指示するとともに、センサとの通信接続を切断することを指示する。第1データ削除命令に基づいて、第1ECUは、格納されたセンサデータを削除し、第1ECUとセンサとの間の通信パイプラインを削除して、第1ECUとセンサとの間の通信接続を切断してもよい。
【0194】
理解を容易にするために、本出願の実施形態において提供されるデータ処理方法は、特定の例を参照して以下に詳細に説明される。図7は、本発明の実施形態による車両のシステムアーキテクチャを模式的に示す図である。
【0195】
図7に示される車両において、車両は、車両ドメインコントローラ(Vehicle Domain Controller、VDC)、モバイルデータセンタ(Mobile Data Center、MDC)、スマートコックピットドメインコントローラ(Chock-Head-Domain Controller、CDC)、及び複数の車両インタフェースユニット(Vehicle Interface Unit、VIU)を含む。また、車両内のVIUは、車両内の通信モジュールによって、例えばクラウドサーバに通信可能に接続される。VDC、MDC、CDC、及びVIUの各々は、1つ以上のECUを含み得る。
【0196】
この実施形態では、複雑なオペレーティングシステム、例えば、車両オープンシステムアーキテクチャ適応プラットフォーム(Auto motive Open System Architecture、AUTOSAR)が、車両内の複雑なコンピューティング能力を有する構成要素上に展開され得る。単純なオペレーティングシステム、例えば、車両オープンシステムアーキテクチャのクラシックプラットフォーム(Classic Auto motive Open System Architecture、Classic AutoSAR)は、車両内の弱いコンピューティング能力を有する構成要素上に配備され得る。例えば、図7において、AutoSARはVDC上に配置されてもよく、MDC、CDC、及びClassic AutoSARはVIU上に配置されてもよい。VDC上に配置されたAUTOSARに基づいて、車両内データを管理するために使用されるソフトウェアが、VDC上にさらに配置されてもよい。このソフトウェアは、図7に示すデータ処理センタである。
【0197】
Classic AutoSARが配置されるMDC、CDC、及びVIUについて、コンポーネント、すなわち、図7に示されるデータ実行エンドにおいてデータを処理するために使用されるソフトウェアが、MDC、CDC、及びVIU上にさらに配置され得る。加えて、データ実行エンドは、クラウドサーバ上に配置されてもよく、VDCの指示に従ってデータ処理を実行するように構成される。
【0198】
具体的には、VDCは、配備されたデータ処理センタを使用することによって、MDC、CDC、及びVIU内の各ECU上のデータを管理してもよく、MDC、CDC、及びVIUは、配備されたデータ実行エンドを使用することによって、VDCによって配信されたデータ処理命令を取得して、センサデータを取得又は削除してもよい。
【0199】
さらに、この実施形態では、本出願の実施形態において提供されるデータ処理方法は、VDCをコントローラとして、MDC、CDC、又はVIUの任意のECUをコントローラと対話するECUとして使用することによって詳細に説明される。
【0200】
図8は、本発明の実施形態による、コントローラとECUとの間の相互作用を模式的に示す図である。図8に示すように、コントローラは、プロセス、データ処理センタ、ミドルウェア、格納空間、及び通信ユニットを含む。
【0201】
コントローラ内のプロセスは、車両によって提供されるいくつかの機能を実装するために使用される。ミドルウェアは、アプリケーションとシステムソフトウェアとの間の一種のソフトウェアである。ミドルウェアは、システムソフトウェアによって提供される基本サービスを使用して、アプリケーションの様々な部分又は異なるアプリケーションを接続し、リソース共有及び機能共有を実施する。
【0202】
コントローラ内の格納空間は、実行中にプロセスによって使用される必要がある様々なタイプのデータを格納するために使用される。コントローラ内の通信ユニットは、車両内の通信モジュールに通信可能に接続するように構成され、それにより、コントローラは、車両内の別の構成要素(例えば、ECU)と通信する。
【0203】
コントローラでは、プロセス及びミドルウェアは、格納空間のデータにアクセスする前にデータ処理センタを通過する必要がある。換言すると、データ処理センタは、データアクセス及び格納を管理及び制御するための新しいリソースマネージャエントリになる。
【0204】
さらに、図9は、本発明の一実施形態によるデータ処理センタの構造の概略図である。図9に示すように、データ処理センタは、データマーキングモジュール、ポリシーエンジン、及びストレージサービスモジュールを含む。データマーキングモジュールは、ECUによって要求されたセンサデータをマークするために、ECU内のデータ実行エンドによって送信されたデータ要求メッセージに基づいてマーク情報を生成するように構成される。ポリシーエンジンは、予め設定されたデータ保持期間及びマーク情報に基づいて、ECU内のデータが失効しているかどうかを判定するように構成される。ストレージサービスモジュールは、コントローラ内のプロセスによってデータにアクセスするか又はデータを格納する挙動を管理及び制御するように構成される。
【0205】
さらに、ECUは、プロセス、データ実行端、格納空間、及び通信ユニットを含む。ECU内のプロセスは、ECUによって提供される機能を実装するために使用され、ECU内の格納空間にアクセスするとき、ECU内のプロセスは、ECU内のデータ実行エンドを通過する必要がある。ECU内のデータ実行エンドは、コントローラ内のデータ処理センタのサービスに加入し、データ処理センタから命令を受信し、データの書き込み及び削除を制御する。ECU内の通信ユニットは、車両内の通信モジュールに通信可能に接続するように構成され、それにより、ECUは、車両内の別の構成要素(例えば、コントローラ又はセンサ)と通信する。
【0206】
実際の適用において、ECUにおけるプロセスがセンサデータを取得する必要があるとき、データ実行エンドは、コントローラにおけるデータ処理センタにデータ要求メッセージを送信する。コントローラ内のデータ処理センタは、データ要求メッセージを取得し、ECUがセンサデータにアクセスする許可を有するかどうかを決定し、ECUがセンサにアクセスする許可を有する場合、応答メッセージをデータ実行エンドに返す。応答メッセージを取得した後、データ実行エンドは、応答メッセージに基づいてセンサとの通信接続を確立して、センサからセンサデータを取得し、センサデータをECU内の格納空間に格納する。
【0207】
さらに、データ処理センタがECUによって送信されたデータ要求メッセージを取得した後、データ処理センタのデータマーキングモジュールは、ECUが特定の時間にセンサデータを要求していることを記録するためのマーク情報を生成する。データ処理センタ内のポリシーエンジンが、マーク情報及び事前設定されたデータ保持期間に基づいて、ECU内のセンサデータが期限切れになったと決定した後、データ処理センタは、ECU内のデータ実行エンドにデータ削除命令を送信して、ECUの格納空間内のセンサデータを削除するようにデータ実行エンドに指示する。最後に、データ実行端は、データ削除命令に基づいて、ECUの格納空間内のセンサデータを削除する。コントローラのデータ処理センタによって送信されたデータ削除命令が、センサとの通信接続を切断するようにECUにさらに指示するとき、データ実行エンドは、ECUとセンサとの間の通信パイプラインを削除する。
【0208】
以下、本発明の実施形態において、コントローラが車両内のECU内のデータを管理する手順を説明する。以下、コントローラが信頼できないデバイス内のデータを管理する手順を説明する。
【0209】
車両内の信頼できるECUと相互作用することに加えて、コントローラは、別の信頼できないデバイスとさらに相互作用することができることが理解され得る。例えば、コントローラは、車両内の信頼できないECU又はサードパーティデバイスと相互作用し、その結果、信頼できないECU又はサードパーティデバイスは、対応するデータを取得することができる。代替的に、コントローラは、クラウドサーバと相互作用して、車両内データをサーバにアップロードし、又は車両関連データを削除するようにサーバに指示してもよい。信頼できないECUは、不正な製造者によって製造されたECUである可能性があり、ECUのセキュリティを確保することができない。第三者デバイスは、例えば、車両内にユーザによって設置されたデバイス、例えば、音響デバイス、ナビゲーションデバイス、又はマルチメディアデバイスであってもよい。
【0210】
車両内のコントローラに関して、車両内の信頼できないECU、サードパーティデバイス、及びクラウドサーバは、信頼できないデバイス、すなわち、コントローラによって信頼されないデバイスである。信頼できないデバイスとのデータ相互作用を実行するプロセスにおいて、コントローラは、データ相互作用の信頼性を保証するために、データ相互作用の証拠を格納する必要がある。
【0211】
図10は、本発明の一実施形態によるデータ処理方法1000のフローチャートを模式的に示す図である。図10に示すように、データ処理方法1000は、以下のステップ1001~1006を含む。
【0212】
ステップ1001:コントローラが、データ指示メッセージを信頼できないデバイスに送信し、データ指示メッセージは、送信されるべきデータのサイズを示す。
【0213】
データが信頼できないデバイス又は不信用デバイス(untrusted device)に送信される必要があるとき、コントローラは、信頼できないデバイスに送信される必要がある送信されるべきデータのサイズに基づいて、データ指示メッセージを信頼できないデバイスに送信する。データ指示メッセージは、送信対象データのサイズを示し、送信対象データは、信頼できないデバイスに送信される必要があるデータである。
【0214】
非トラステッド装置は、第2ECU又はサーバを含み、第2ECUは、複数のECUのうちの非トラステッドECUである。換言すると、信頼できないデバイスは、車両内のコンポーネントであってもよく、又はクラウドサーバであってもよい。
【0215】
実際の適用中に、データが信頼できないデバイスに送信される必要がある複数のシナリオが存在し得る。
【0216】
可能なシナリオでは、信頼できないデバイスは第2ECUであり、第2ECUはコントローラからセンサデータを取得するように要求し、第2ECUはセンサデータにアクセスする許可を有する。このシナリオでは、コントローラは、第2ECUにデータを送信するようにセンサを制御する必要がある。したがって、コントローラは、送信されるべきセンサデータのサイズを示すために、データ指示メッセージを第2ECUに送信する。
【0217】
別の可能なシナリオでは、信頼できないデバイスは第2ECUであり、第2ECUは、コントローラに格納されたデータを取得するようにコントローラに要求する。このシナリオでは、コントローラは、コントローラの格納空間に格納されたデータを第2ECUに送信する必要がある。したがって、コントローラは、送信されるべきデータのサイズを示すために、データ指示メッセージを第2ECUに送信する。
【0218】
さらに別の可能なシナリオでは、信頼できないデバイスはサーバであり、サーバは、コントローラから車両内データを取得するように要求する。サーバが取得することを要求するデータがコントローラ上に位置するとき、コントローラは、送信されるべきデータのサイズに基づいて、データ指示メッセージをサーバに送信し得る。サーバが取得することを要求するデータがコントローラの外部のコンポーネントに位置するとき、コントローラは、コンポーネントと対話し、送信されるべきデータのサイズを決定し、その後、データ指示メッセージをサーバに送信し得る。
【0219】
ステップ1002:コントローラは、信頼できないデバイスによって送信されたアドレス情報を受信し、アドレス情報は、信頼できないデバイス内にあり、送信されるべきデータを格納するために使用されるアドレス空間を示し、アドレス情報は、送信されるべきデータのサイズに基づいて信頼できないデバイスによって決定される。
【0220】
信頼できないデバイスがデータ指示メッセージを取得した後、信頼できないデバイスは、送信されるべきデータのサイズに基づいて、送信されるべきデータに格納空間を割り当て、送信されるべきデータを格納するために後で使用される格納空間のアドレス情報をコントローラに送信し得る。簡単に言えば、信頼できないデバイスによってコントローラに送信されるアドレス情報は、送信されるべきデータのために信頼できないデバイスによって予約された格納空間のアドレスを示す。
【0221】
ステップ1003:コントローラは、アドレス情報及び送信されるべきデータに基づいて第1データ証明書を生成し、第1データ証明書は、送信されるべきデータを一意に示す。
【0222】
コントローラは、送信対象データと、信頼できないデバイスによって返されたアドレス情報とに基づいて、第1データ証明書を生成してもよく、第1データ証明書は、送信対象データを一意に示すことができる。
【0223】
任意選択で、第1データ証明書は、アドレス情報と、送信されるべきデータのダイジェスト値、送信されるべきデータのファイルロケータ、及び送信されるべきデータのタイムスタンプのうちの1つ以上とを含む。具体的には、送信されるべきデータのダイジェスト値は、送信されるべきデータのハッシュ値であってよく、コントローラは、ハッシュアルゴリズムを使用することによって、送信されるべきデータのハッシュ値を計算してよい。送信されるべきデータのファイルロケータは、例えば、ユニフォームリソースロケータ(Uniform Resource Locator、URL)であってよく、ファイルロケータは、送信されるべきデータの位置を示すことができる。送信されるべきデータのタイムスタンプは、送信されるべきデータの生成時間であってもよい。
【0224】
ステップ1004:コントローラは、第1データ証明書を信頼できないデバイスに送信する。
【0225】
ステップ1005:コントローラは、信頼できないデバイスによって送信された第1署名結果を受信し、第1署名結果は、信頼できないデバイスによって第1データ証明書に署名することによって取得される。
【0226】
この実施形態では、コントローラが第1データ証明書を信頼できないデバイスに送信した後、信頼できないデバイスは、第1データ証明書に対して署名検証を実行して、すなわち、第1データ証明書に対してデジタル署名を実行して、信頼できないデバイスが第1データ証明書を取得し、後続のデータ送信を確認応答したことを示してもよい。
【0227】
ステップ1006:コントローラによって、信頼できないデバイスへの送信されるべきデータの送信を制御する。
【0228】
コントローラが信頼できないデバイスによって返された第1署名結果を取得した後、コントローラは、信頼できないデバイスが第1データ資格情報に対して署名検証を実行したと決定してもよい。したがって、コントローラは、信頼できないデバイスへの送信されるべきデータの送信を制御してよい。
【0229】
コントローラが、信頼できないデバイスへの送信されるべきデータの送信を制御し得る複数の実装が存在し得る。
【0230】
一実施態様では、信頼できないデバイスが第2ECUであり、第2ECUがコントローラからセンサデータを取得することを要求する場合、コントローラは、センサに関する情報を第2ECUに返すことによって、センサからセンサデータを取得するように第2ECUに指示することができる。すなわち、コントローラは、センサとの確立に関する情報を信頼できないデバイスに返すことによって、信頼できないデバイスへの送信されるべきデータの送信を制御する。
【0231】
別の実施態様では、信頼できないデバイスが第2ECU又はサーバであり、送信されるべきデータがコントローラの格納空間に位置する場合、コントローラは、信頼できないデバイスへの送信されるべきデータの送信を制御するために、コントローラの格納空間におけるデータを第2ECU又はサーバに送信してもよい。
【0232】
さらに別の可能な実装形態では、信頼できないデバイスがサーバであり、送信されるべきデータがコントローラ以外の構成要素上に位置する場合、コントローラは、送信されるべきデータを格納する構成要素と通信して、送信されるべきデータをサーバに送信するように構成要素に示し得る。
【0233】
本実施形態において、データが信頼できないデバイスに送信される前に、コントローラは、信頼できないデバイスによって返された、送信されるべきデータを格納するために使用されるアドレス情報を取得し、アドレス情報及び送信されるべきデータに基づいてデータ証明書を生成する。データは、信頼できないデバイスを使用することによってデータ証明書が署名された後に、信頼できないデバイスに送信される。コントローラは、信頼できないデバイスを使用することによって署名されたデータ証明書を格納し、その結果、信頼できないデバイスへのデータ送信の証拠を提供することができ、それによって、信頼できないデバイスが、データを受信した後に、信頼できないデバイスがデータを受信していないことを否認する(repudiates, ...that the untrusted device does not receive the data,)脅威を排除し、データ送信の信頼性を改善する。
【0234】
以上が、コントローラが信頼できないデバイスにデータを送信する手順である。コントローラが、信頼できないデバイスにデータを削除するように指示する手順は、上で説明されている。具体的には、方法1000は、以下のステップ1007~1009をさらに含む。
【0235】
ステップ1007:コントローラは、削除されるべきデータに基づいて第2データ証明書を生成する。
【0236】
コントローラが、信頼できないデバイス内のデータが削除される必要があると判定した場合、コントローラは、削除されるべきデータに基づいて第2データ証明書を生成する。第2データ証明書は、削除されるべきデータのダイジェスト値、削除されるべきデータのファイルロケータ、及び削除されるべきデータのタイムスタンプのうちの1つ又は複数を含み得る。
【0237】
任意選択で、コントローラは、信頼できないデバイス上のデータが削除される必要があると決定するために、ユーザによって配信されたデータ削除命令を取得してもよい。あるいは、コントローラは、信頼できないデバイス上のデータが削除される必要があると決定するために、信頼できないデバイス上のデータが期限切れになることを計算を通じて学習してもよい。具体的には、コントローラによって信頼できないデバイス内のデータの削除をトリガする方式は、ステップ405において説明された方式と同様である。詳細については、ステップ405を参照されたい。詳細は、本明細書では再び説明されない。
【0238】
ステップ1008:コントローラは、第3データ削除命令を信頼できないデバイスに送信し、信頼できないデバイスは第3ECU又はサーバを含み、第3ECUは複数のECUのうちの信頼できないECUであり、第3データ削除命令は第2データ証明書を含み、第3データ削除命令は削除されるべきデータを削除することを示す。
【0239】
第3ECUと第2ECUとは、同一のECUであってもよいし、異なるECUであってもよい。コントローラは、第2データ証明書に署名するときに第3データ削除命令において示されるデータを削除するように信頼できないデバイスに示すために、第3データ削除命令に第2データ証明書を含めてよい。
【0240】
ステップ1009:コントローラは、信頼できないデバイスにより返された第2署名結果を取得し、第2署名結果は、サーバにより第2データ証明書に署名することにより取得され、第2署名結果は、信頼できないデバイスが削除されるべきデータを削除したことを示す。
【0241】
この実施形態では、コントローラによって送信された第3データ削除命令を取得した後、信頼できないデバイスは、第3データ削除命令内で搬送された第2データ証明書に署名して、第2署名結果を取得する。次に、信頼できないデバイスは、第2署名結果をコントローラに送信し、第3データ削除命令において示されるデータを削除する。
【0242】
第2署名結果を取得した後、コントローラは、第2署名結果を格納してもよく、第2署名結果は、信頼できないデバイスがデータを削除することを示す命令を取得し、信頼できないデバイスが示されたデータを削除することに同意したことを証明することができる。
【0243】
この実施形態では、コントローラが信頼できないデバイスにデータを削除するように指示する前に、コントローラは、削除されるべきデータに基づいてデータ証明書を生成する。信頼できないデバイスにデータを削除するように指示するとき、コントローラは信頼できないデバイスにデータ証明書を送信し、その結果、コントローラは信頼できないデバイスによってデータ証明書に署名することによって得られた結果を取得することができる。コントローラは、信頼できないデバイスがデータ削除を確認したという証拠を提供できるように、信頼できないデバイスによってデータ証明書に署名することによって得られた結果を格納し、それによって、データ削除命令が受信されないことを信頼できないデバイスが否認する脅威を排除し、データ送信の信頼性を向上させる。
【0244】
理解を容易にするために、コントローラが信頼できないデバイスとデータを交換するプロセスが、特定の例を参照して以下で詳細に説明される
【0245】
図11は、本発明の一実施形態による、コントローラと信頼できないデバイスとの間の相互作用を模式的に示す図である。図11に示すように、コントローラと信頼できないデバイスとの間の相互作用の手順は、以下のステップS1~S5を含む。
【0246】
S1:ECUは、コントローラからのセンサデータを要求する。
【0247】
ECUがセンサデータを取得する必要があるとき、ECUは、必要なセンサデータを取得することを要求するために、データ要求メッセージをコントローラに送信する。ECUがセンサデータにアクセスする許可を有すると決定した後、コントローラは、送信されるべきセンサデータのサイズをECUにフィードバックする。
【0248】
S2:ECUはコントローラとデータ証明書1を交換する。
【0249】
具体的には、図12は、本発明の実施形態による、ECUとコントローラとの間でデータ証明書1を交換するフローチャートを模式的に示す図である。
【0250】
図12に示すように、送信されるセンサデータのサイズを取得した後、ECUは、アドレス情報をコントローラに送信し、アドレス情報は、ECUによって予約されたアドレス空間のアドレスを示す。ECUによって予約されたアドレス空間は、送信されるべきセンサデータを格納するために使用される。コントローラは、送信されるべきセンサデータに基づいて、送信されるべきセンサデータに対応するハッシュ値、ファイルロケータ、及びタイムスタンプを生成する。さらに、コントローラは、送信されるべきセンサデータに対応するハッシュ値、ファイルロケータ、及びタイムスタンプ、ならびにECUから取得されたアドレス情報に基づいて、データ証明書1を生成する。次に、コントローラは、生成されたデータ証明書1をECUに送信する。データ証明書1に署名した後、ECUは、データ証明書1に署名することによって取得された署名結果をコントローラに返し、その結果、コントローラは、ECUによってデータ証明書1に署名することによって取得された署名結果を格納する。
【0251】
図13は、本発明の実施形態によるデータ証明書1の構造を模式的に示す図である。図13に示すように、センサについて、センサは、センサデータをリアルタイムで送信してもよい。信頼できないデバイス(例えば、この実施形態におけるECU及びサーバ)について、信頼できないデバイスは、コントローラによって送信されたデータ証明書を受信し、データ証明書は、センサデータに対応するファイルロケータ(URI)、タイムスタンプ(Timestamp)、ハッシュ値(Hash)、及びアドレス情報(Address)を含む。コントローラについて、コントローラは、信頼できないデバイスによって返された署名結果を受信してもよく、署名結果は、前述のデータ証明書と信頼できないデバイスの署名(Sign)とを含む。
【0252】
S3:ECUは、センサとの通信接続を確立し、センサからセンサデータを受信する。
【0253】
コントローラがECUによって返された署名結果を取得した後、コントローラは、応答メッセージをECUに送信し、応答メッセージは、センサに関する情報を含む。センサに関する情報は、例えば、センサのポート情報を含むことができる。ECUは、センサに関する情報を取得した後、センサに関する情報に基づいてセンサとの通信接続を確立し、センサからセンサデータを受信する。
【0254】
S4:コントローラは、データ証明書2をサーバと交換する。
【0255】
サーバが、ECU上のセンサデータを要求するためにデータ要求メッセージをコントローラに送信するとき、サーバがセンサデータにアクセスする許可を有すると決定した後、コントローラは、アップロードされるべきデータのサイズをサーバにフィードバックする。アップロードされるべきデータのサイズを取得した後、サーバは、アドレス情報をコントローラに送信し、アドレス情報は、サーバによって予約されたアドレス空間のアドレスを示す。サーバによって予約されたアドレス空間は、アップロードされるべきデータを格納するために使用される。コントローラは、アップロードされるべきデータに基づいて、アップロードされるべきデータに対応するハッシュ値、ファイルロケータ、及びタイムスタンプを生成する。
【0256】
さらに、コントローラは、アップロードされるべきデータに対応するハッシュ値、ファイルロケータ、及びタイムスタンプ、ならびにサーバから取得されたアドレス情報に基づいて、データ証明書2を生成する。次に、コントローラは、生成されたデータ証明書2をサーバに送信する。データ証明書2に署名した後、サーバは、データ証明書2に署名することによって取得された署名結果をコントローラに返し、その結果、コントローラは、サーバによってデータ証明書1に署名することによって取得された署名結果を格納する。
【0257】
S5:ECUは、コントローラの指示に基づいて、センサデータをサーバにアップロードする。
【0258】
コントローラがサーバによって返された署名結果を取得した後、コントローラは、ECUにデータアップロード命令を送信して、センサデータをサーバにアップロードするようECUに指示する。
【0259】
図1から図13に対応する実施形態によれば、本出願の実施形態における前述の解決策をより良く実施するために、以下では、前述の解決策を実施するように構成された関連デバイスをさらに提供する。
【0260】
図14は、本発明の実施形態によるコントローラ1400の構造を模式的に示す図である。コントローラ1400は、車両内に配置される。車両は、複数のECUをさらに備える。コントローラ1400は、送受信ユニット1401と処理ユニット1402とを含む。
【0261】
送受信ユニット1401は、第1ECUからデータ要求メッセージを受信するように構成され、第1ECUは複数のECUのうちのいずれか1つであり、データ要求メッセージはセンサデータを取得することを要求するために使用される。
【0262】
送受信ユニット1401は、第1ECUに応答メッセージを送信するようにさらに構成されており、応答メッセージは、センサデータを取得するように前記第1ECUに示す。
【0263】
処理ユニット1402は、データ要求メッセージに基づいてマーク情報を生成するように構成されており、マーク情報は、センサデータに対する要求情報を記録する。
【0264】
車両が第1ECU内のセンサデータの削除をトリガする場合、送受信ユニット1401は、マーク情報に基づいて第1ECUに第1データ削除命令を送信するようにさらに構成されており、第1データ削除命令は、第1ECUにセンサデータを削除するように示す。
【0265】
可能な実装形態では、センサデータに対する要求情報は、前記センサデータの要求者、センサデータの要求時間及びセンサデータの内容を含む。
【0266】
可能な実装形態では、処理ユニット1402は、マーク情報及び予め設定されたデータ保持期間に基づいて、第1ECU内のセンサデータが期限切れであると決定するようにさらに構成されている;又は、送受信ユニット1401は、ユーザによってトリガされた第2データ削除命令を取得するようにさらに構成されており、第2データ削除命令は、第1ECU内のセンサデータを削除することを指示する。
【0267】
可能な実装形態では、応答メッセージはセンサ情報を含み、センサ情報は、センサとの通信接続を確立するために第1ECUによって使用され、したがって、第1ECUがセンサからセンサデータを取得するよ。
【0268】
可能な実施態様では、第1データ削除命令は、第1ECUに、センサとの通信接続を切断するようにさらに示す。
【0269】
可能な実装形態では、処理ユニット1402は、予め設定された許可構成ポリシーにしたがって、第1ECUがセンサデータにアクセスする許可を有すると決定するようにさらに構成されている。
【0270】
可能な実装形態では、送受信ユニット1401は、信頼できないデバイスにより送信されたアドレス情報を受信するようにさらに構成されており、信頼できないデバイスは第2ECU又はサーバを含み、第2ECUは前記複数のECUのうちの信頼できないECUであり、アドレス情報は、信頼できないデバイス内にある、送信されるべきデータを格納するために使用されるアドレス空間を示し、アドレス情報は送信されるべきデータのサイズに基づいて信頼できないデバイスにより決定される。処理ユニット1402は、アドレス情報及び送信されるべきデータに基づいて第1データ証明書を生成するようにいさらに構成されておりあって、第1データ証明書は、送信されるべきデータを一意に示す。送受信ユニット1401は、信頼できないデバイスに第1データ証明書を送信するようにさらに構成されている。送受信ユニット1401は、信頼できないデバイスによって送信された第1署名結果を受信するようにさらに構成されており、第1署名結果は、信頼できないデバイスによって第1データ証明書に署名することによって取得される。送受信ユニット1401は、信頼できないデバイスへの送信されるべきデータの送信を制御するようにさらに構成されている。
【0271】
可能な実施態様では、第1データ証明書は、アドレス情報と記送信されるべきデータのダイジェスト値、送信されるべきデータのファイルロケータ、及び送信されるべきデータのタイムスタンプのうちの1つ以上と、を含む。
【0272】
可能な実装形態では、処理ユニット1402は、削除されるべきデータに基づいて第2データ証明書を生成するようにさらに構成される。送受信ユニット1401は、第3データ削除命令を信頼できないデバイスに送信するようにさらに構成されており、信頼できないデバイスは第3ECU又はサーバを含み、第3ECUは複数のECUのうちの信頼できないECUであり、第3データ削除命令は第2データ証明書を含み、第3データ削除命令は削除されるべきデータを削除することを示す。送受信ユニット1401は、信頼できないデバイスにより返された第2署名結果を取得するようにさらに構成されており、第2署名結果はサーバにより第2データ証明書に署名することにより取得され、第2署名結果は、信頼できないデバイスが削除されるべきデータを削除したことを示す。
【0273】
図15は、本発明の実施の形態に係る第1ECU1500の構成を概略的に示す図である。第1ECU1500は車両内に配置される。車両は、コントローラと、複数のECUとを備える。第1ECU1500は、複数のECUのうちのいずれか1つである。第1ECU1500は、送受信ユニット1501と、処理ユニット1502とを備える。送受信ユニット1501は、データ要求メッセージをコントローラに送信するように構成されており、データ要求メッセージは、センサデータを取得することを要求するために使用される。送受信ユニット1501は、コントローラから応答メッセージを受信するように構成されており、応答メッセージは、第1ECUにセンサデータを取得することを示す。処理ユニット1502は、応答メッセージに基づいてセンサデータを取得するように構成されている。車両が第1ECU内のセンサデータの削除をトリガした場合、送受信ユニット1501は、コントローラから第1データ削除命令を受信し、第1データ削除命令に基づいて第1ECU内のセンサデータを削除するようにさらに構成されている。
【0274】
可能な実装形態では、送受信ユニット1501は、センサに関する情報に基づいて、センサとの通信接続を確立するようにさらに構成されており、応答情報は、センサに関する情報を含む。送受信ユニット1501は、通信接続に基づいてセンサからセンサデータを取得するようにさらに構成さていれる。
【0275】
可能な実施態様では、第1データ削除命令は、第1ECUに、センサとの通信接続を切断するようにさらに示す。
【0276】
可能な実施形態において、第1ECUが信頼できないデバイスである場合、送受信ユニット1501は、アドレス情報をコントローラに送信するようにさらに構成されており、アドレス情報は、第1ECU内にある、送信されるべきデータを格納するために使用されるアドレス空間を示し、アドレス情報は、送信されるべきデータのサイズに基づいて第1ECUによって決定される。送受信ユニット1501は、コントローラによって送信された第1データ証明書を受信するようにさらに構成され、第1データ証明書は、アドレス情報及び送信されるべきデータに基づいて生成される。処理ユニット1502は、第1署名結果を取得するために第1データ証明書に署名するようにさらに構成されている。送受信ユニット1501は、第1署名結果をコントローラに送信するようにさらに構成されている。送受信ユニット1501は、コントローラによって送信された送信されるべきデータを受信するようにさらに構成されている。
【0277】
可能な実施形態において、第1データ証明書は、アドレス情報と、送信されるべきデータのダイジェスト値、送信されるべきデータのファイルロケータ、及び、送信されるべきデータのタイムスタンプのうちの1つ以上と、を含む。
【0278】
可能な実施態様では、第1ECUが信頼できないデバイスである場合、送受信ユニット1501は、コントローラによって送信された第3データ削除命令を受信するようにさらに構成されており、第3データ削除命令は第2データ証明書を含み、第2データ証明書は削除されるべきデータに基づいてコントローラによって生成される。処理ユニット1502は、第2署名結果を取得するために第2データ証明書に署名するようにさらに構成されている。送受信ユニット1501は、以下のようにさらに構成されている:第2署名結果をコントローラに送信し、削除されるべきデータを削除し、第2署名結果は、信頼できないデバイスが削除されるべきデータを削除したことを示す。
【0279】
本発明の実施形態において提供されるデータ処理方法は、具体的には、電子デバイス内のチップによって実行され得る。チップは、処理ユニットと通信ユニットとを含む。処理ユニットは、例えば、プロセッサであってよく、通信ユニットは、例えば、入力/出力インタフェース、ピン、又は回路であってよい。処理ユニットは、格納ユニットに格納されたコンピュータ実行可能命令を実行してよく、その結果、サーバ内のチップは、図1から図13に示された実施形態において説明されたデータ処理方法を実行する。任意選択で、格納ユニットは、チップ内の格納ユニット、例えば、レジスタ又はキャッシュである。あるいは、格納ユニットは、無線アクセスデバイス端にあり、チップの外部に位置する格納ユニット、例えば、リードオンリメモリ(read-only memory、ROM)、静的情報及び命令を格納することができる別のタイプの静的格納デバイス、又はランダムアクセスメモリ(random access memory、RAM)であってもよい。
【0280】
図16は、本発明の実施形態によるコンピュータ読み出し可能格納媒体又はコンピュータ可読記憶媒体1600の構造の概略図である。本発明の実施形態は、コンピュータ可読記憶媒体をさらに提供する。いくつかの実施形態では、図4に開示された方法は、コンピュータ可読記憶媒体上の機械可読フォーマットで符号化された、又は別の非一時的媒体もしくは製品に符号化されたコンピュータプログラム命令として実装され得る。
【0281】
図16は、本明細書に示される少なくともいくつかの実施形態に従って配置された例示的なコンピュータ読み出し可能格納媒体の概念的な部分図を概略的に示す。例示的なコンピュータ読み出し可能格納媒体は、コンピューティングデバイス上でコンピュータプロセスを実行するためのコンピュータプログラムを含む。
【0282】
一実施形態では、コンピュータ読み出し可能格納媒体1600は、信号搬送媒体1601を使用することによって提供される。信号搬送媒体1601は、1つ以上のプログラム命令1602を含むことができ、1つ以上のプロセッサによって実行されるとき、プログラム命令1602は、図7について上記で説明した機能又はいくつかの機能を提供することができる。さらに、図16のプログラム命令1602は、例示的な命令も記述する
【0283】
いくつかの例では、信号搬送媒体1601は、コンピュータ読み出し可能媒体1603、たとえば、限定はしないが、ハードディスクドライブ、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、デジタルテープ、メモリ、ROM、又はRAMを含み得る。
【0284】
いくつかの実装形態では、信号搬送媒体1601は、コンピュータ記録可能媒体1604、たとえば、限定はしないが、メモリ、読取り/書込み(R/W)CD、及びR/W DVDを含み得る。いくつかの実装形態では、信号搬送媒体1601は、通信媒体1605、たとえば、限定はしないが、デジタル及び/又はアナログ通信媒体(たとえば、光ファイバケーブル、導波管、ワイヤード通信リンク、又はワイヤレス通信リンク)を含み得る。したがって、例えば、信号搬送媒体1601は、無線通信媒体1605(例えば、IEEE 802.9規格又は別の伝送プロトコルに準拠する無線通信媒体)によって搬送されてもよい。
【0285】
1つ以上のプログラム命令1602は、例えば、コンピュータ実行可能命令又は論理実装命令であってもよい。
いくつかの例では、コンピューティングデバイスは、コンピュータ可読媒体1603、コンピュータ記録可能媒体1604、及び/又は通信媒体1605のうちの1つ又は複数を使用することによってコンピューティングデバイスに送信されたプログラム命令1602に応答して、様々な動作、機能、又はアクションを提供するように構成され得る。
【0286】
本明細書に記載された構成は、単に例として使用されることを理解されたい。したがって、他の配置及び他の要素(例えば、機械、インタフェース、機能、シーケンス、及び機能のグループ)が代わりに使用され得ること、及び、いくつかの要素が、期待される結果に基づいて一緒に省略され得ることが、当業者によって理解され得る。加えて、記載された要素の多くは、個別の又は分散された構成要素として実装され得る、又は別の構成要素と組み合わせて任意の適切な位置で任意の適切な組み合わせで実装され得る機能的なエンティティである。
【0287】
当業者であれば、説明を簡便にするために、前述のシステム、装置、及びユニットの詳細な動作プロセスについては、前述の方法の実施形態における対応するプロセスを参照することが明確に理解されよう。詳細は、本明細書では再び説明されない。
【0288】
本明細書において提供されるいくつかの実施形態において、開示されるシステム、装置及び方法は、他の方式で実装され得ることを理解されたい。例えば、説明された装置の実施形態は単なる例である。例えば、ユニットへの分割は単なる論理関数の分割であり、実際の実装では他の分割となることがある。例えば、複数のユニットやコンポーネントを組み合わせたり、別のシステムに統合したり、一部の機能を無視したり、実行しなかったりすることがある。さらに、表示又は検討される相互結合又は直接結合又は通信接続は、いくつかのインタフェースを介して実装されてもよい。装置又はユニット間の間接的な結合又は通信接続は、電気的、機械的、又は他の形態で実装されてもよい。
【0289】
別個の部分として説明されたユニットは、物理的に別個であってもなくてもよく、ユニットとして表示された部分は、物理的なユニットであってもなくてもよく、1つの位置に配置されてもよく、又は複数のネットワークユニット上に分散されてもよい。ユニットの一部又は全部は、実施形態の解決策の目的を達成するために実際の要件に基づいて選択され得る。
【0290】
さらに、本発明の実施形態における機能ユニットは、1つの処理ユニットに統合されてもよく、又はユニットの各々は、物理的に単独で存在してもよく、又は2つ以上のユニットが1つのユニットに統合されてもよい。統合されたユニットは、ハードウェアの形態で実装されてもよく、又はソフトウェア機能ユニットの形態で実装されてもよい。
【0291】
統合されたユニットがソフトウェア機能ユニットの形態で実装され、独立した製品として販売又は使用されるとき、統合されたユニットは、コンピュータ可読記憶媒体に記憶され得る。そのような理解に基づいて、本質的に本出願の技術的解決策、又は従来技術に寄与する部分、又は技術的解決策のすべてもしくは一部は、ソフトウェア製品の形態で実装され得る。コンピュータソフトウェア製品は、記憶媒体に記憶され、コンピュータデバイス(パーソナルコンピュータ、サーバ、ネットワークデバイスなどであり得る)に、本出願の実施形態において説明される方法のステップのすべて又はいくつかを実行するように命令するためのいくつかの命令を含む。上記の記憶媒体は、プログラムコードを記憶できる媒体、例えば、USBフラッシュドライブ、リムーバブルハードディスク、リードオンリメモリ、ランダムアクセスメモリ、磁気ディスク、又は光ディスクなどの、プログラムコードを記憶することができる任意の媒体を含む。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
【手続補正書】
【提出日】2024-04-25
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
コントローラ及び複数の電子制御ユニット(複数のECU)を備える車両に適用される、データ処理方法であって:
前記コントローラによって、第1ECUからデータ要求メッセージを受信するステップであって、前記第1ECUは、前記複数のECUのうちのいずれか1つであり、前記データ要求メッセージは、センサデータを取得することを要求するために使用される、ステップと;
前記コントローラによって、前記第1ECUに応答メッセージを送信するステップであって、前記応答メッセージは、前記センサデータを取得するように前記第1ECUに示す、ステップと;
前記コントローラによって、前記データ要求メッセージに基づいてマーク情報を生成するステップであって、前記マーク情報は、前記センサデータに対する要求情報を記録する、ステップと;
前記車両が前記第1ECU内の前記センサデータの削除をトリガした場合、前記コントローラによって、前記マーク情報に基づいて前記第1ECUに第1データ削除命令を送信するステップであって、前記第1データ削除命令は、前記第1ECUに前記センサデータを削除するように示す、ステップと;
を含む方法。
【請求項2】
前記センサデータに対する前記要求情報は、前記センサデータの要求者、前記センサデータの要求時間及び前記センサデータの内容を含む、
請求項1記載の方法。
【請求項3】
インテリジェントな前記車両が前記第1ECU内の前記センサデータの削除をトリガすることは:
前記コントローラによって、前記マーク情報及び予め設定されたデータ保持期間に基づいて、前記第1ECU内の前記センサデータが期限切れであると決定するステップ;又は
前記コントローラによって、ユーザによってトリガされた第2データ削除命令を取得するステップであって、前記第2データ削除命令は、前記第1ECU内の前記センサデータを削除することを示す、ステップと、を含む、
請求項記載の方法。
【請求項4】
前記応答メッセージは、センサに関する情報を含み、前記センサに関する前記情報は、前記第1ECUが前記センサから前記センサデータを取得するように、前記センサとの通信接続を確立するために前記第1ECUによって使用される、
請求項記載の方法。
【請求項5】
前記第1データ削除命令は、前記第1ECUに、前記センサとの前記通信接続を切断するようにさらに示す、
請求項4記載の方法。
【請求項6】
前記コントローラによって、前記第1ECUに応答メッセージを送信する前記ステップの前に、前記方法はさらに:
前記コントローラによって、予め設定された許可構成ポリシーにしたがって、前記第1ECUが前記センサデータにアクセスする許可を有すると決定するステップを含む、
請求項記載の方法。
【請求項7】
前記方法はさらに:
前記コントローラにより、信頼できないデバイスにより送信されたアドレス情報を受信するステップであって、前記信頼できないデバイスは第2ECU又はサーバを含み、前記第2ECUは前記複数のECUのうちの信頼できないECUであり、前記アドレス情報は、前記信頼できないデバイス内にある、送信されるべきデータを記憶するために使用されるアドレス空間を示し、前記アドレス情報は、前記送信されるべきデータのサイズに基づいて前記信頼できないデバイスにより決定される、ステップと;
前記コントローラによって、前記アドレス情報及び前記送信されるべきデータに基づいて第1データ証明書を生成するステップであって、前記第1データ証明書は、前記送信されるべきデータを一意に示す、ステップと ;
前記コントローラによって、前記第1データ証明書を前記信頼できないデバイスに送信するステップと;
前記コントローラによって、前記信頼できないデバイスによって送信された第1署名結果を受信するステップであって、前記第1署名結果は、前記信頼できないデバイスによって前記第1データ証明書に署名することによって取得される、ステップと;
前記コントローラによって、前記信頼できないデバイスへの前記送信されるべきデータの送信を制御するステップと;
請求項記載の方法。
【請求項8】
前記第1データ証明書は、前記アドレス情報と、前記送信されるべきデータのダイジェスト値、前記送信されるべきデータのファイルロケータ、及び前記送信されるべきデータのタイムスタンプのうちの1つ以上とを含む、
請求項7記載の方法。
【請求項9】
前記方法はさらに:
前記コントローラによって、削除されるべきデータに基づいて第2データ証明書を生成するステップと;
前記コントローラにより、第3データ削除命令を信頼できないデバイスに送信するステップであって、前記信頼できないデバイスは第3ECU又はサーバを含み、前記第3ECUは前記複数のECUのうちの信頼できないECUであり、前記第3データ削除命令は、前記第2データ証明書を含み、前記第3データ削除命令は、前記削除されるべきデータを削除することを示す、ステップと;
前記コントローラにより、前記信頼できないデバイスにより返された第2署名結果を取得するステップであって、前記第2署名結果は、前記サーバにより前記第2データ証明書に署名することにより取得され、前記第2署名結果は、前記信頼できないデバイスが前記削除されるべきデータを削除したことを示す、ステップと;
請求項1記載の方法。
【請求項10】
コントローラ及び複数の電子制御ユニット(複数のECU)を備える車両に適用される、データ処理方法であって:
前記コントローラによって、第1ECUからデータ要求メッセージを受信するステップであって、前記第1ECUは、前記複数のECUのうちのいずれか1つであり、前記データ要求メッセージは、センサデータを取得することを要求するために使用される、ステップと;
前記コントローラによって、前記第1ECUに応答メッセージを送信するステップであって、前記応答メッセージは、前記センサデータを取得するように前記第1ECUに示す、ステップと;
前記第1ECUによって、前記応答メッセージに基づいて前記センサデータを取得する前記ステップと:
前記車両が第1ECU内のセンサデータの削除をトリガすると、第1ECUは、コントローラから第1データ削除命令を受信し、第1データ削除命令に基づいて第1ECU内のセンサデータを削除する、ステップと、を含む、
方法。
【請求項11】
前記第1ECUによって、前記応答メッセージに基づいて前記センサデータを取得する前記ステップは:
前記第1ECUによって、センサに関する情報に基づいて、前記センサとの通信接続を確立するステップであって、応答情報が前記センサに関する前記情報を含む、ステップと;
前記第1ECUによって、前記通信接続に基づいて前記センサから前記センサデータを取得するステップと、を含む、
請求項10記載の方法。
【請求項12】
前記第1データ削除命令は、前記第1ECUに、前記センサとの前記通信接続を切断するようにさらに示す、
請求項11記載の方法。
【請求項13】
前記方法はさらに:
前記第1ECUが信頼できないデバイスである場合、前記第1ECUによって、アドレス情報を前記コントローラに送信するステップであって、前記アドレス情報は、前記第1ECU内にあり、送信されるべきデータを記憶するために使用されるアドレス空間を示し、前記アドレス情報は、前記送信されるべきデータのサイズに基づいて前記第1ECUによって決定される、ステップと;
前記第1ECUによって、前記コントローラによって送信された第1データ証明書を受信するステップであって、前記第1データ証明書は、前記アドレス情報及び前記送信されるべきデータに基づいて生成される、ステップと;
前記第1ECUによって、前記第1データ証明書に署名して第1署名結果を取得するステップと;
前記第1ECUによって、前記第1署名結果を前記コントローラに送信するステップと;
前記第1ECUによって、前記コントローラによって送信された前記送信されるべきデータを受信するステップと、を含む
請求項10記載の方法。
【請求項14】
前記第1データ証明書は、前記アドレス情報と、前記送信されるべきデータのダイジェスト値、前記送信されるべきデータのファイルロケータ、及び前記送信されるべきデータのタイムスタンプのうちの1つ以上と、を含む、
請求項13記載の方法。
【請求項15】
前記方法はさらに:
前記第1ECUが信頼できないデバイスである場合、前記第1ECUによって、前記コントローラによって送信された第3データ削除命令を受信するステップであって、前記第3データ削除命令は第2データ証明書を含み、前記第2データ証明書は削除されるべきデータに基づいて前記コントローラによって生成される、ステップと;
前記第1ECUによって、前記第2データ証明書に署名して、第2署名結果を取得する、ステップと;
前記第1ECUによって、前記第2署名結果を前記コントローラに送信し、前記削除すべきデータを削除するステップであって、前記第2署名結果は、前記信頼できないデバイスが前記削除すべきデータを削除したことを示す、ステップと
請求項10記載の方法。
【請求項16】
メモリとプロセッサとを備えるECUであって、
前記メモリはコードを記憶し、前記プロセッサは前記コードを実行するように構成されており、前記コードが実行されると、前記ECUは請求項10記載の方法を実行する、
ECU。
【請求項17】
コントローラと複数のECUとを備える車両であって、
コントローラは、複数のECUに別々に接続されており、
記複数のECUのうちの任意のECUは、請求項16記載のECUである、
車両。
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.