用於藉助於機動車操縱行動裝置的方法

2023-09-16 23:39:35

用於藉助於機動車操縱行動裝置的方法
【專利摘要】本發明提供了一種用於藉助於機動車的帶有顯示和操縱裝置的電子裝置操縱不與車輛相關聯的行動裝置的方法。程序包括用於用戶界面和用於操作順序的程序塊，數字證書與該程序塊相關聯。用戶界面包括用於示出可變的內容的固定區域。程序塊與數字證書一起被傳輸給機動車的電子裝置並且在成功驗證證書時被實施。數據的未通過數字證書防護的傳輸局限於用於在用戶界面的固定區域中示出的可變的內容。
【專利說明】用於藉助於機動車操縱行動裝置的方法
【技術領域】
[0001]本申請涉及一種用於藉助於機動車的帶有顯示和操縱裝置的電子裝置顯示信息以及操縱不與機動車直接相關聯的行動裝置的方法。
【背景技術】
[0002]在現有技術中行動裝置(例如行動電話或可攜式MP3播放器)連接到機動車的電子裝置處是已知的。因此，行動電話可連接到在機動車中存在的免提通話裝置處；可移動的MP3播放器可連接到機動車的音頻設備處以播放存儲在行動裝置上的音樂。這種連接例如可無線地藉助於藍牙來實現。同樣已知設置有用於操縱行動裝置(例如接聽呼入的電話或調節播放音量)的操縱元件。操縱元件例如可布置在中控臺上或者布置在方向盤上。
[0003]此外，在現有技術中已知行動裝置(例如智慧型手機或PDA)以所謂的「終端模式」連接到機動車的顯示和操縱裝置處的連接方案(工業標準「Terminal Mode TechnicalArchitecture (終端模式技術架構)」,發布版本1.0, www.terminalmode, org)。在所提到的類型的行動裝置上可實施許多程序(經常被稱為「應用(Apps) 」)。如果行動裝置在終端模式中與機動車的操縱和顯示裝置相聯結，那麼程序本身將繼續在行動裝置上實施。然而，顯示系統藉助於機動車的顯示裝置來實現，而程序的操縱藉助於機動車的操縱裝置來實現。為了將機動車的顯示內容傳輸給行動裝置以及為了將機動車的藉助於操縱裝置產生的指令傳輸給行動裝置而使用合適的數據傳輸方法，例如USB、WLAN或藍牙。
[0004]此外，已知程序(其不適合於在行駛期間在終端模式中實施和示出，因為其可分散機動車駕駛員的注意力)的實施以相應的特徵來標識並且在行駛期間禁止程序在終端模式中的示出。
[0005]從美國專利申請12/`966 802中已知一種方法，在其中，程序在終端模式中的實施依賴於與該程序相關聯的數字證書的成功的驗證，其中，該方法包括下列步驟:
?在行動裝置中存儲可在行動裝置上執行的程序和與該程序相關聯的數字證書；
?將數字證書從行動裝置發送至機動車；
?在機動車中驗證數字證書；
?在成功驗證數字證書的情況下:藉助於機動車的顯示器示出與可在行動裝置上執行的程序相關聯的信息；以及
?藉助於機動車的與顯示器相關聯的操縱組件操縱可在行動裝置上執行的程序。
[0006]在有利的實施方案中，證書由認證伺服器籤發。伺服器的運行者通過證書的數字籤名來授權程序適合於在終端模式中實施。
[0007]在文件US 12/966 802中公開的方法關於本發明被看作是最接近的現有技術。對於在文件US 12/966 802中說明的方法，在終端模式中在成功驗證與程序相關聯的數字證書之後允許藉助於機動車的顯示和操縱裝置示出和操縱可在行動裝置上執行的程序。由此保證僅可實施經認證的程序。然而存在機動車的顯示和操縱裝置的不當使用的可能性，即通過在成功驗證與經認證的程序相關聯的程序之後未經認證的程序相對於顯示和操縱裝置冒充自己是經認證的程序。如果未經認證的程序阻止將認證的程序的數據傳輸給顯示和操縱裝置，那麼不存在識別出不當地使用顯示和操縱裝置的可能性。在此不僅可想到未經認證的程序在相同的行動裝置上如認證的程序那樣來實施，而且可想到未經認證的程序在第二行動裝置上來實施，第二行動裝置位於在第一行動裝置與機動車的顯示和操縱裝置之間的通訊路徑中，其中，第二行動裝置阻止在第一行動裝置與機動車的顯示和操縱裝置之間的直接通訊，並且在與第一行動裝置通訊時作為機動車的顯示和操縱裝置輸出，反之亦然(所謂的「中間人」攻擊)。

【發明內容】

[0008]由此技術目的為開發一種用於藉助於機動車的帶有顯示和操縱裝置的電子裝置顯示信息和/或操縱不與機動車直接相關聯的行動裝置的方法，其允許通過示出和/或操縱程序進行經改善的控制。
[0009]根據本發明，該目的利用權利要求1的特徵來實現。從屬權利要求示出了所主張權利的方法的有利的構造方案。
[0010]根據本發明，可在行動裝置上執行的程序包括程序的用於用戶界面和用於操作順序(bedienablauf)的程序塊(Programmteil)。針對包括用戶界面和操作順序的總體,下面使用了一般常用的術語「圖形用戶界面」(GUI)。在藉助於機動車的帶有顯示和操縱裝置的電子裝置操縱程序時，行動裝置與機動車的電子裝置相連接(例如在上面所說明的終端的模式中)。因此CTI的用戶界面的示出藉助於機動車的顯示裝置來實現，並且CTI的操作順序的控制藉助於機動車的操縱裝置來實現。
[0011]此外，根據本發明設置成數字證書與⑶I相關聯。將用於用戶界面和用於操作順序的程序塊與相關的證書一起從行動裝置傳輸給機動車的電子裝置。在機動車的電子裝置中驗證該證書。在驗證的結果成功時在電子裝置中實施程序的用於用戶界面和用於操作順序的程序塊。現在在機動車的顯示裝置中示出用戶界面，並且用戶界面可通過機動車的操縱裝置來控制。
[0012]根據本發明，在用戶界面中設置有用於示出可變的內容的固定區域。以這種方式可在用戶界面中在所限制的範圍中顯示可變的內容，其未由相關的數字證書證實為是可靠的。因此，機動車的顯示裝置的不當使用的上面所說明的危險(例如通過所提到的中間人攻擊)限於在用戶界面的固定區域中的信息的顯示。
[0013]在本發明的有利的設計方案中，數字證書由認證伺服器籤發。證書與用於用戶界面和用於操作順序的程序塊的關聯同樣藉助於認證伺服器來進行。
[0014]優選地，為了認證⑶I，即為了籤發數字證書且使數字證書關聯於⑶I，認證伺服器使用非對稱的籤名方法，即這樣的方法，其使用私人密鑰以用於對內容進行籤名，並且使用與私人密鑰相匹配的公開密鑰以用於驗證籤名。為此，伺服器具有一個或多個密鑰對，其中，每對密鑰對中的公開密鑰相應地存儲在機動車的電子裝置中，或者通過確定的數據連接從認證伺服器或從其他可靠的源頭傳輸到機動車的電子裝置處。就此而言，可靠的源頭的特徵在於，其由伺服器(其對於機動車的電子裝置而言已經已知為是可靠的)藉助於證書標識為可靠。以這種方式例如可行的是認證伺服器為另一伺服器籤發數字證書，另一伺服器可利用該數字證書相對於機動車的電子裝置證實為是可靠的。[0015]優選地，證書尤其包括數字指紋(所謂的散列值)，其由認證伺服器藉助於所使用的密鑰對的私人密鑰基於GUI生成。該方法可根據ITU-T標準X.509的協議來設置證書的生成。
[0016]適宜的是將可在行動裝置上執行的程序和與⑶I相關聯的證書從認證伺服器發送至行動裝置。傳輸可通過英特網來實現。可考慮其它的傳輸類型。
[0017]在本發明的其他設計方案中將可變的內容(為了其示出，設置有CTI的固定區域)從行動裝置傳輸到機動車的電子裝置處。這種內容不僅可由在行動裝置上實施的程序在運行時間中產生，而且可在行動裝置上以數據形式存在。在另一實施方式中，電子裝置與機動車的數據總線系統相連接，並且涉及來自數據總線系統的數據，其或者直接地或者在通過電子單元合適地轉換、處理或格式化之後作為可變的內容適合於示出。
[0018]該方法可包括附加的步驟，在其中，將從機動車的至少一個總線系統得到的數據首先從機動車的電子裝置發送至行動裝置。在此對其進行處理並且接下來以處理過的形式重新發送到電子裝置處。在程序的用於用戶界面和用於操作順序的程序塊中確定電子裝置應從機動車的數據總線系統獲得哪些數據並且哪些數據應傳輸到行動裝置處。因此，數據訪問通過可靠的認證伺服器來授權並且防止錯誤使用。
[0019]在本發明的其他設計方案中，該方法包括將藉助於操縱裝置產生的至少一個指令傳輸給行動裝置。優選地，取決於至少一個指令來控制可在行動裝置上執行的程序。
【專利附圖】

【附圖說明】
[0020]接下來參考附圖藉助於實施例來進一步闡述本發明。其中:
圖1以原理圖示顯示了機動車的實施例；
圖2顯示了在認證伺服器、行動裝置和在機動車中的電子裝置之間的數據交換的實施
例；
圖3藉助於機動車的顯示裝置顯示了用戶界面的示例性的圖示。
【具體實施方式】
[0021]接下來參考附圖詳細闡述本發明的實施例。要注意的是這些實施例僅僅用作示例並且不可作為限制性地來解釋。尤其不可如下面那樣來解釋帶有多個特徵的實施例的說明，即，為了實施本發明，所有的這些特徵都是必需的，因為其他實施例可具有更少的特徵和/或備選的特徵。此外，要注意的是不同實施例的特徵可彼此相組合，只要沒有其它說明。
[0022]在圖1中示出了適合於轉化根據本發明的方法的機動車I。機動車包括帶有顯示裝置12和操縱裝置13的電子裝置11。此外，示出了存在的行動裝置2，其不與機動車I相關聯。這意指行動裝置2不是機動車I的組成部分。行動裝置2通過合適的數據連接21與電子裝置11相連接。這種數據連接例如可以無線的方式來實施，例如實施為藍牙連接，或者例如可以有線的方式來實施，例如實施為USB連接。在圖1的原理圖示中，電子裝置11包括在機動車中同樣可通過分開的但是彼此相連接的器具、單元和裝置來實現的多個功能塊。因此，電子裝置11可包括和/或綜合有:用於控制顯示和操縱裝置的一個或多個控制器、用於與和機動車相連接的一個或多個行動裝置進行數據交換的一個或多個裝置、用於藉助於機動車的至少一個數據總線系統14、14』與機動車的至少一個其他的裝置15、15』進行數據通訊的一個或多個裝置、以及其他裝置和控制器16、16』，例如導航儀、音頻設備、信息娛樂設備。
[0023]圖2示例性地顯示了數據傳輸，其按照根據本發明的方法以有利的方式在認證伺服器3、行動裝置2和機動車的電子裝置11之間運行。
[0024]在所顯示的實施例中，認證伺服器3將可在行動裝置上執行的程序4 (其包括程序(GUI)的用於用戶界面和用於操作順序的程序塊41)與數字證書5—起發送到行動裝置處。這種傳輸例如可通過寬帶的無線的英特網連接(UMTS, LTE) 22來實現。
[0025]數字證書5可尤其包括下列信息:
籤證方的名稱或其他的明確的標識；
用於控制和處理的信息，該信息中給出證書5;
證書5的有效期限的信息；
公開密鑰31，證書5對其進行說明；
公開密鑰31的擁有方的名稱(或者其他的明確的標識)；
關於公開密鑰31的擁有方的其他信息；
關於公開密鑰31的允許的應用範圍和適用範圍的說明；
籤證方的關於程序(GUI)的用於用戶界面和用於操作順序的程序塊41的數字籤
名；
籤證方的關於所有的其他信息的數字籤名。
[0026]利用其使證書5明確地與⑶I相關聯的數字籤名可通過直接應用認證伺服器3的私人密鑰32生成到用於用戶界面和用於操作順序的程序塊41上。在機動車11的電子裝置中可將認證伺服器3的與私人密鑰32相匹配的公開密鑰31應用到數字籤名上，並且因此驗證用於用戶界面和用於操作順序的已傳輸的程序塊41的可信性。然而，有利地，首先從程序塊41中計算出數字指紋(散列值)。其以明確的方式(即，不同的兩個消息以極大的可能性產生不同的兩個散列值)標識了程序塊41，但是具有明顯更小的數據量(例如160位元組)。然後通過應用認證伺服器3的私人密鑰32將數字籤名生成到散列值上。由於散列值與程序塊41的已提及的明確的關聯確保證書5與GUI 41相關聯。
[0027]行動裝置2通過數據連接21將程序的用於用戶界面和用於操作順序的程序塊41與數字證書5 —起傳輸到機動車I的電子單元11處。在此藉助於已經提及的將公開密鑰31應用到數字籤名上獲取程序塊41的散列值。此外，在電子裝置11中由傳輸到的程序塊41計算出散列值。如果兩個散列值一致，驗證成功結束且實施程序塊41。一旦實施程序塊41，就可通過數據連接21交換數據和內容。
[0028]程序4自成功驗證證書的時刻起根據所主張權利的方法的實施應接下來藉助於MP3播放程序的示例來進一步闡述。為此，圖3藉助於機動車13的顯示裝置12顯示了用戶界面的示例性的圖示。在所示出的示例中，顯示裝置為觸控螢幕，即為對觸摸有反應的顯示面。因此，圖3同時顯示了機動車I的操縱裝置13。要注意的是:操縱裝置13的實施方式僅可示例性地來理解。所說明的方法同樣適合於操縱裝置13的其他的實施方式。操縱還可尤其藉助於轉壓調節器和/或按鍵來實現。所示出的用戶界面除了用於示出可變內容的固定區域43之外是不可變的。區域43包括用於輸出當前的MP3數據的演奏者的文本區域、用於輸出標題的文本區域、用於示出作為圖形的唱片封面的區域以及背景(其應僅在其顏色方面是可變的)。此外，示出了操縱元件，用戶可藉助於該操縱元件控制程序(上一個(Titel zuriick)、停止、暫停、下一個(Titel zuriick))。
[0029]當前選取的標題與內容「演奏者」、「標題」、「封面圖片」和「背景顏色」一起由行動裝置2通過數據連接21傳輸至電子裝置11。音頻信息由電子裝置11傳輸到機動車I的音頻輸出裝置16處。演奏者、標題、封面圖片和背景顏色在顯示器12上顯示出。如果用戶通過操縱裝置給予指令，那麼用戶例如在觸控螢幕上輕擊到「下一個」按鈕上，該指令通過數據連接21傳輸到行動裝置2處。在此選取下一個標題，並且如說明的那樣以所屬的內容傳輸到電子裝置11處。
[0030]此外，在所顯示的示例中，現在應設置成顯示器的背景顏色取決於環境亮度來改變。可考慮的是行動裝置2具有光傳感器；在該情況下可無問題地確定背景顏色且將其傳輸到電子裝置11處。在另一示例中，機動車具有光傳感器15，其通過數據總線14發送其當前的測量值。電子裝置11通過數據總線14接收相應地當前的測量值並且將其通過數據連接21傳輸到行動裝置處。在此藉助於當前的測量值確定合適的背景顏色，並且如所說明的那樣傳輸到電子裝置11處以用於示出。用於數據(其可從數據總線系統14中獲取，並且或者可直接地示出，或者可首先將其傳輸到行動裝置2處以進行再處理)的其他的示例視程序4的目的而定包括機動車參數(例如瞬時速度、油箱液面高度)、導航系統的涉及行駛的數據(例如位置、路線走向)或環境參數(例如外部溫度、亮度)。如所說明的那樣，在由數字證書5標識為可靠的程序塊41中必須確定程序4應可訪問哪些機動車數據。
[0031]通過根據本發明的方法，通過中間人攻擊的錯誤使用的可能性保持局限於改變用於示出可變的內容的固定區域43的顯示。在介紹的示例中，可設想的是操縱例如標題區域、封面圖片或背景顏色。而實施未經認證的功能(例如，實施完全不同的程序)或者未經認證地訪問機動車數據是不可能的。
[0032]參考標號列表 I機動車
2行動裝置 11機動車的電子裝置 12顯示裝置 13操縱裝置
14機動車的數據總線系統
15，15』機動車的聯接到數據總線處的其他構件
16，16』機動車的聯接到電子裝置處的其他裝置(例如導航儀、信息娛樂系統等)
21用於在行動裝置與電子裝置之間傳輸數據的裝置(例如USB、藍牙等)
3認證伺服器
22數據連接，例如通過英特網，例如無線的英特網，例如UMTS 4可在行動裝置上執行的程序
41程序(GUI)的用於用戶界面和用於操作順序的程序塊 5數字證書
31認證伺服器3的公開密鑰32認證伺服器3的私人密鑰42內容
43用於示出可變的內容的區域。
【權利要求】
1.一種用於藉助於機動車(I)的帶有顯示裝置(12)和操縱裝置(13)的電子裝置(11)顯示信息和/或操縱不與機動車(I)相關聯的行動裝置(2)的方法，帶有下列的特徵: 存儲可在行動裝置(2)上執行的程序(4)，其包括程序(4)的用於用戶界面和用於操作順序的程序塊(41)，其中，用戶界面具有用於示出可變的內容的固定區域(43)； 存儲數字證書(5)，其與可在行動裝置(2)上執行的程序(4)的用於用戶界面和用於操作順序的程序塊(41)相關聯； 將用於用戶界面和用於操作順序的程序塊(41)與相關的證書(5) —起從行動裝置(2)傳輸至機動車⑴的電子裝置(11)； 在機動車⑴的電子裝置(11)中驗證傳輸到的數字證書(5)且取決於傳輸到的證書(5)的驗證實施從行動裝置(2)傳輸的程序塊(41)； 在用戶界面的固定區域(43)中示出可變的內容。
2.根據權利要求1所述的方法，其特徵在於，證書(5)首先由認證伺服器(3)籤發，其中，藉助於認證伺服器(3)使證書(5)與用於用戶界面和用於操作順序的程序塊(41)相關聯。
3.根據權利要求2所述的方法，其特徵在於，用於內容的認證的認證伺服器(3)具有相應包括私人密鑰(32)和公開密鑰(31)的至少一對密鑰對，其中，在機動車(I)的電子裝置(11)中使用至少一個公開密鑰(31)以用於驗證，其中，至少一個公開密鑰(31)存儲在機動車⑴的電子裝置(11)中，或者通過安全的數據連接從認證伺服器⑶或者從其他可靠的源頭傳輸到機動車(I)的電子裝置(11)處。
4.根據權利要求3所述的方法，其特徵在於，證書(5)包括數字指紋，其中，數字指紋由認證伺服器(3)藉助於私人密鑰(32)基於可在行動裝置(2)上執行的程序(4)的用於用戶界面和用於操作順序的程序塊(41)生成。
5.根據權利要求4所述的方法，其特徵在於，認證伺服器(3)根據ITU-T標準X.509的協議籤發證書(5)。
6.根據權利要求2至5中任一項所述的方法，其特徵在於，可在行動裝置(2)上執行的程序(4)和與可在行動裝置(2)上執行的程序(4)的用於用戶界面和用於操作順序的程序塊(41)相關聯的證書(5)由認證伺服器(2)來發送。
7.根據上述權利要求中任一項所述的方法，其特徵在於，將可變的內容從行動裝置(2)傳輸至機動車(I)的電子裝置(11)。
8.根據權利要求1至6中任一項所述的方法，其特徵在於，機動車(I)的電子裝置(11)與機動車(I)的至少一個數據總線系統(14)相連接，並且可變的內容從來自至少一個數據總線系統(14)的數據中獲取。
9.根據權利要求7和8所述的方法，其特徵在於，將從至少一個總線系統(14)獲取的數據從機動車(I)的電子裝置(11)傳輸至行動裝置(2)以便通過可在行動裝置(2)上執行的程序(4)進行處理，並且將已處理的數據從行動裝置(2)傳輸給機動車(I)的電子裝置(11)。
10.根據上述權利要求中任一項所述的方法，其特徵在於，將藉助於操縱裝置(13)產生的至少一個指令傳輸給行動裝置(2)。
11.根據權利要求10所述的方法，其特徵在於，取決於至少一個指令來控制可在移動設 備⑵上執行的程序⑷。
【文檔編號】G06F3/00GK103687744SQ201280036568
【公開日】2014年3月26日 申請日期:2012年6月26日 優先權日:2011年7月23日
【發明者】F.許格, H.諾伊納, M.米爾特申克 申請人:大眾汽車有限公司