[0001] 本公开的示例实施例总体涉及计算机领域，特别地一种用于自动驾驶网络安全的设备及车辆。

[0002] 自动驾驶汽车主要是通过加装的激光雷达、毫米波雷达、车载摄像头等硬件来感知交通环境，在智能网联技术的加持下，获得更多交通信息。软件系统对获得的交通信息进行分析并决策，让自动驾驶汽车可以自主完成出行任务。其中软件作为决策层，相当于人类的大脑，对自动驾驶汽车能否安全行驶起着非常重要的作用，在自动驾驶框架下，软件定义汽车的概念也被越来越多人所认同。

[0003] 然而软件系统在对交通信息进行分析并决策的过程中，也存在着数据暴露或数据被窃取等风险。实用新型内容

[0004] 在本公开的第一方面，提供了一种用于自动驾驶网络安全的设备。该设备包括：控制器，耦合在车辆的网络端口，并且包括第一数据端口，控制器至少部分间接地耦合至车辆的多个功能设备以与多个功能设备通信；以及交换机，耦合在第一数据端口与多个功能设备之间，并包括：多个设备侧接口，分别耦合至多个功能设备；控制侧接口，耦合至第一数据端口，以及转发器；布置在多个设备侧接口与控制侧接口之间，以从多个设备侧接口向控制侧接口转发数据。

[0005] 在一些实施例中，交换机还包括至少一个备份接口，耦合在控制器上，以传输与设备侧接口相同的数据。

[0006] 在一些实施例中，交换机还包括硬件安全模块，耦合至转发器，被配置为用于提高车辆的网络安全。

[0007] 在一些实施例中，交换机还包括存储模块，存储模块耦合至转发器。

[0008] 在一些实施例中，控制器还包括第二数据端口，耦合至车辆的外部诊断设备。

[0009] 在一些实施例中，第一数据端口为数据包转发引擎端口。

[0010] 在一些实施例中，第二数据端口为千兆网媒体访问控制端口。

[0011] 通过在车辆的网络端口和多个功能设备之间布置用于自动驾驶网络安全的设备，使设备可以在车辆的网络端口与多个功能设备中的至少一个功能设备通信期间，转发数据并对数据进行监控，当数据在经过交换机时，通过交换机内部安全防火墙等安全协议对数据进行加密、监控等措施，并拒绝可疑信息的访问，从而提高了车辆的功能设备与数据接口通信期间数据的安全性。

[0012] 在本公开的第二方面，提供了一种车辆，该车辆包括：多个功能设备；数据接口；以及根据本公开第一方面提供的设备，布置在多个功能设备与数据接口之间，并被配置为对多个功能设备与数据接口之间的数据通信提供保护。

[0013] 应当理解，本内容部分中所描述的内容并非旨在限定本公开的实施例的关键特征或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的描述而变得容易理解。

[0017] 下面将参照附图更详细地描述本公开的实施例。虽然附图中示出了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反，提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。

[0018] 需要注意的是，本文中所提供的任何节/子节的标题并不是限制性的。本文通篇描述了各种实施例，并且任何类型的实施例都可以包括在任何节/子节下。此外，在任一节/子节中描述的实施例可以以任何方式与同一节/子节和/或不同节/子节中描述的任何其他实施例相结合。

[0019] 在本公开的实施例的描述中，术语“包括”及其类似用语应当理解为开放性包含，即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“一些实施例”应当理解为“至少一些实施例”。下文还可能包括其他明确的和隐含的定义。术语“第一”、“第二”等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。

[0020] 本公开的实施例中可能涉及用户的数据、数据的获取和/或使用等。这些方面均遵循相应的法律法规及相关规定。在本公开的实施例中，所有数据的采集、获取、处理、加工、转发、使用等，都是在用户知晓并且确认的前提下进行的。相应地，在实现本公开的各实施例时，均应根据相关法律法规通过适当的方式，将可能所涉及的数据或信息的类型、使用范围、使用场景等告知用户并获得用户的授权。具体的告知和/或授权方式可以根据实际情况和应用场景而变化，本公开的范围在此方面不受限制。

[0021] 此外，在此使用的术语“响应于”表示相应的事件发生或者条件得以满足的状态。将会理解，响应于该事件或者条件而被执行的后续动作的执行时机，与该事件发生或者条件成立的时间，二者之间未必是强关联的。例如，在某些情况下，后续动作可在事件发生或者条件成立时立即被执行；而在另一些情况下，后续动作可在事件发生或者条件成立后经过一段时间才被执行。

[0022] 如前文所简要提及的，自动驾驶汽车主要是通过加装的激光雷达、毫米波雷达、车载摄像头等硬件来感知交通环境，在智能网联技术的加持下，获得更多交通信息。车辆在与外界联网(例如车辆的多个功能设备与外界的诊断设备连接)期间，车辆的通信数据更容易暴露在环境中，从而增大了数据入侵泄露的风险。另一方面，车辆在于外界通过网络通信时，缺少数据冗余传输的功能。当某一数据传输线故障，容易造成数据丢失等严重后果。

[0023] 根据本公开实施例提出了一种用于自动驾驶网络安全的设备，以解决或至少部分地解决传统方案中所存在的上述问题和其他潜在问题。根据本公开的各种实施例，通过在车辆的网络端口和多个功能设备之间布置用于自动驾驶网络安全的设备，使设备可以在车辆的网络端口与多个功能设备中的至少一个功能设备通信期间，转发数据并对数据进行监控，当数据在经过交换机时，通过交换机内部安全防火墙等安全协议对数据进行加密、监控等措施，并拒绝可疑信息的访问，从而提高了车辆的功能设备与数据接口通信期间数据的安全性。

[0024] 图1示出了根据本公开实施例网络安全设备的简易性示意图。如图1所示，本公开的设备总体上包括控制器110以及耦合至控制器110的交换机120。控制器110耦合至车辆的网络端口，并且包括第一数据端口111。交换机120布置在第一数据端口111与车辆的多个功能设备130之间，并且包括多个设备侧接口121、控制侧接口122以及耦合在设备侧接口121与控制侧接口122之间的转发器123。多个设备侧接口121分别与车辆的多个功能设备130对应，并且每个设备侧接口121耦合在对应的功能设备130上。控制侧接口122耦合至控制器110的第一数据端口111。在一些实施例中第一数据端口111可以是数据包转发引擎(PFE)端口。

[0025] 当车辆中多个功能设备130中的至少一个功能设备130与车辆的数据接口通信时，数据可以经由交换机120和控制器110传递。以实现功能设备130与数据接口间数据的传输。

[0026] 交换机120从多个设备侧接口121获取到来自车辆的多个的功能设备130的数据，并且对这些数据进行诸如加密等形式的处理后，经由控制侧接口122转发至设备的控制器110。

[0027] 在一些实施例中，车辆的数据接口可以包括网络模块端口，例如与5G模块相关联的端口。数据端口还可以包括定位端口。定位端口是与卫星信号模块，例如全球定位系统(GPS)模块或全球导航卫星系统(GNSS)模块相关联的端口。数据接口还可以包括车联网(V2X)端口。车联网端口与例如V2X模块相关联。

[0028] 交换机120可以搭载有多种安全功能，例如，媒体访问控制安全(MACsec)、拒绝服务(DoS)引擎、利用三态内容寻址存储器(TCAM)进行的深度数据包检查(DPI)以及确保车辆网络安全的可信启动功能等。

[0029] 媒体访问控制安全可以基于802.1AE协议对数据进行加密，使数据无法通过网络监听而获取，同时媒体访问控制安全还有认证以及校验功能。由于媒体访问控制安全可以基于硬件层面实现，因此也具有更低的延时以及更高的性能。从而提高交换机120对多种数据的处理效率。

[0030] 拒绝服务(DoS)引擎可以在交换机120受到拒绝服务攻击时为交换机120所处理的数据提供保护。

[0031] 深度数据包检测基于应用层的流量检测和控制技术，可以通过它来识别和阻止网络攻击、跟踪用户行为、阻止恶意软件和监控网络流量。深度数据包检测能够查找、识别、分类和重新路由或阻止包含特定数据或代码有效负载的数据包。当数据包接近检查点时，深度数据包检测会拦截任何协议违规、病毒、垃圾邮件和其他异常情况，并阻止数据包继续通过检查点，由此来提高通过交换机120的数据的安全性。

[0032] 在一些实施例中，交换机120还可以包括硬件安全模块。硬件安全模块通过支持安全和加密启动以及管理MACsec等高级安全功能来增强设备的安全性能。

[0033] 在一些实施例中，转发器123包括中央处理器(CPU)，中央处理器包括多颗运算核心，多颗运算核心以锁步的方式同步运行，从而保证处理结果的可靠性。

[0034] 在一些实施例中，交换机120还可以包括存储模块125。存储模块125耦合至转发器123。例如，存储模块125可以是片上存储器。通过存储模块125来支持时间敏感网络(TSN)协议、精确时间协议(PTP)和安全防火墙，从而有效地防止外部的恶意攻击。

[0035] 在一些实施例中，交换机120还包括至少一个备份接口124。备份接口124耦合在设备侧接口121与控制器110之间，并且适于在多个设备侧接口121的至少一个设备侧接口121获取数据期间，控制器从至少一个备份接口124处接收与从至少一个设备侧接口121所获取的数据至少部分相同的备份数据，以实现数据传输的冗余和备份。避免由于设备侧接口121至控制器110的连接故障，而造成的数据丢失等情况。

[0036] 在一些实施例中，控制器110还可以包括第二数据端口112。在一些实施例中，第二数据端口112可以包括千兆网媒体访问控制(GMAC)端口。第二数据端口112耦合在车辆的外部诊断设备140上。当车辆的外部诊断设备140可以通过第二数据端口112连接到车辆，从而使得外部诊断设备140与控制器110可以直接通过第二数据端口112来进行通信，而不经过交换机120。由于第二控制端口与功能设备130之间通过交换机120进行隔离，从而可以避免外部诊断设备140与车辆的功能设备130之间通信而获取到车辆功能设备130内的数据的风险。以此方式，进一步地提高了车辆的网络安全，减少了其他网络设备被攻击的可能性。

[0037] 下面来具体描述如何通过根据本公开实施例的设备来提高车辆的网络安全。具体而言，在进行数据传输时，交换机从多个设备侧接口获取来自车辆的多个功能设备的数据。在一些实施例中，交换机可以对获取到的多个功能设备的数据进行诸如加密、监控等措施，从而避免多个功能设备的数据暴露在环境中。

[0038] 然后，交换机将所述数据经由控制侧接口转发至所述设备的控制器。在一些实施例中，控制器接收到数据后，将数据发送至对应的网络设备接口。并通过网络设备接口与外界设备，例如云端的服务器通信。

[0039] 图2示出了适于实施本公开内容的实施例的电子设备300的示意性框图。该电子设备300可以是前文中所提到的与交通工具通信的服务器或交通工具本身的控制系统或者其他适当的设备。如图2所示，电子设备300包括至少一个转发器和至少一个存储器，至少一个转发器可以采用中央处理器(CPU)301，其可以根据存储在只读存储器(ROM)302中的计算机程序指令或者从存储单元加载到随机访问存储器(RAM)303中的计算机程序指令，来执行各种适当的动作和处理。在RAM 303中，还可存储设备操作所需的各种程序和数据。CPU 301、ROM 302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。

[0040] 电子设备300中的多个部件连接至I/O接口305，包括：输入单元306，例如触控屏、按钮等；输出单元307，例如各种类型的显示器、扬声器等；存储单元308，例如磁盘、光盘等；以及通信单元309，例如网卡、调制解调器、无线通信收发机等。通信单元309允许电子设备
300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

[0041] 上文所描述的各个过程和处理，例如前文中所提到的过程，可由处理单元301执行。例如，在一些实施例中，过程210和220可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元308。在一些实施例中，计算机程序的部分或者全部可以经由ROM 302和/或通信单元309而被载入和/或安装到电子设备300上。当计算机程序被加载到RAM 303并由CPU 301执行时，可以执行上文描述的过程210和220的一个或多个动作。

[0042] 本公开的实施例涉及电子设备和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于执行本公开的各个方面的计算机可读程序指令。

[0043] 计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是(但不限于)电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD‑ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

[0044] 这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

[0045] 用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

[0046] 这里参照根据本公开实施例的装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

[0047] 这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

[0048] 也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

[0049] 附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

[0050] 以上已经描述了本公开的各实现，上述说明是示例性的，并非穷尽性的，并且也不限于所公开的各实现。在不偏离所说明的各实现的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实现的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其他普通技术人员能理解本文公开的各个实现方式。