本發(fā)明涉及通過(guò)用戶終端(諸如蜂窩電話)控制車輛的功能。

更具體地，本發(fā)明涉及一種注冊(cè)至通過(guò)用戶終端控制車輛功能的服務(wù)的方法。

本發(fā)明可以特別有利的方式適用于這一功能是解鎖車門的情況中。

背景技術(shù)：

已經(jīng)提出了通過(guò)用戶終端(例如車輛用戶通常使用的蜂窩電話)來(lái)控制機(jī)動(dòng)車輛的某些功能(諸如解鎖車門)。

為了將這一控制限制于實(shí)際被授權(quán)的人員，使用存儲(chǔ)在用戶終端中的虛擬密鑰，在命令解鎖車門之前，通過(guò)車輛的電子控制單元驗(yàn)證該虛擬密鑰的有效性。

這種虛擬密鑰僅被分配給已經(jīng)注冊(cè)至通過(guò)用戶終端控制功能的服務(wù)的人員。

技術(shù)實(shí)現(xiàn)要素：

在本文中，本發(fā)明提出了一種用于將用戶注冊(cè)至通過(guò)用戶終端控制車輛的至少一個(gè)功能的服務(wù)的方法，其特征在于，該方法包括如下步驟：

-將所述用戶的標(biāo)識(shí)符和與所述車輛相關(guān)聯(lián)的標(biāo)識(shí)符傳送到服務(wù)器；

-使車輛的電子單元由服務(wù)器認(rèn)證；

-如果認(rèn)證成功，則在服務(wù)器處相關(guān)聯(lián)地注冊(cè)用戶的標(biāo)識(shí)符和與車輛相關(guān)聯(lián)的標(biāo)識(shí)符。

因此，只有在由所傳送的標(biāo)識(shí)符指定的車輛的電子單元已經(jīng)在服務(wù)器處被認(rèn)證時(shí)，車輛才能與用戶標(biāo)識(shí)符(例如，用戶標(biāo)識(shí)符可以是其用戶終端的標(biāo)識(shí)符)相關(guān)聯(lián)地注冊(cè)到所述服務(wù)中。

可選且非限制性的其他特征如下：

-該認(rèn)證包括服務(wù)器使用與電子單元的參考相關(guān)聯(lián)存儲(chǔ)的加密密鑰的步驟；

-該認(rèn)證包括經(jīng)由用戶終端在服務(wù)器和電子單元之間進(jìn)行數(shù)據(jù)交換；

-該認(rèn)證步驟構(gòu)成服務(wù)器與電子控制單元之間相互認(rèn)證過(guò)程的一部分；

-該注冊(cè)方法包括檢測(cè)由用戶對(duì)鏈接到車輛的物理對(duì)象執(zhí)行動(dòng)作的步驟；

-該注冊(cè)不僅以成功認(rèn)證為條件，還以上述檢測(cè)為條件；

-僅在已經(jīng)認(rèn)證成功時(shí)執(zhí)行檢測(cè)步驟；

-如果檢測(cè)成功，則注冊(cè)方法包括電子單元向服務(wù)器發(fā)送服務(wù)開始消息的步驟，所述注冊(cè)在由服務(wù)器接收到服務(wù)開始消息時(shí)執(zhí)行；

-該方法包括：在所述注冊(cè)之后，將虛擬密鑰發(fā)送到終端的步驟；

-物理對(duì)象是能夠控制解鎖車門的物理按鍵；

-物理對(duì)象是車輛的手動(dòng)控件；

-用戶標(biāo)識(shí)符是用戶終端的標(biāo)識(shí)符；

-該方法還包括如果認(rèn)證成功則初始化在服務(wù)器和電子單元中的計(jì)數(shù)器的步驟；

-在初始化步驟中，計(jì)數(shù)器被初始化，其初始值存儲(chǔ)在服務(wù)器和電子單元中；

-計(jì)數(shù)器周期性遞增，周期被存儲(chǔ)在服務(wù)器和電子單元中；

-通過(guò)經(jīng)由用戶終端例如發(fā)送用戶標(biāo)識(shí)符和與車輛相關(guān)聯(lián)的標(biāo)識(shí)符來(lái)執(zhí)行通信步驟；

-通過(guò)在服務(wù)器處獲取用戶標(biāo)識(shí)符和與車輛相關(guān)聯(lián)的標(biāo)識(shí)符來(lái)執(zhí)行通信步驟。

該注冊(cè)方法還可以包括以下步驟：

-將包含意在用于對(duì)應(yīng)于與車輛相關(guān)聯(lián)的標(biāo)識(shí)符的電子控制實(shí)體的特定消息的(例如預(yù)定制的)應(yīng)用程序從服務(wù)器下載到終端；

-作為在終端上執(zhí)行應(yīng)用程序的結(jié)果，向車輛的控制單元發(fā)送特定消息。

該功能例如是解鎖或鎖定車門、或者鎖定或解鎖車輛的行李箱、或者鎖定或解鎖車輛的手套箱、或者替代地啟動(dòng)或停止車輛發(fā)動(dòng)機(jī)。

附圖說(shuō)明

參考以非限制性示例的方式提供的附圖，以下描述將闡明本發(fā)明的本質(zhì)和應(yīng)用。

在附圖中：

圖1示出了可以應(yīng)用本發(fā)明的場(chǎng)景的示例，具體包括車輛和用戶終端；

圖2示意示出了有助于理解本發(fā)明的圖1中的機(jī)動(dòng)車輛和用戶終端的部件；

圖3示出了注冊(cè)至通過(guò)用戶終端控制車輛功能的服務(wù)的方法的主要步驟；

圖4示出了注冊(cè)至通過(guò)用戶終端控制車輛功能的服務(wù)的示例方法的主要步驟；和

圖5示出了注冊(cè)至通過(guò)用戶終端控制車輛功能的服務(wù)的另一示例方法的主要步驟。

具體實(shí)施方式

圖1示出了可以應(yīng)用本發(fā)明的場(chǎng)景的示例。

在該場(chǎng)景中，車輛10包括能夠經(jīng)由無(wú)線鏈路與用戶終端20(例如可能是“智能電話”類型的蜂窩電話(或移動(dòng)電話)，常用英文名稱為“smartphone”(智能手機(jī)))進(jìn)行通信的電子控制單元(ecu)11，以便與該用戶終端20交換數(shù)據(jù)，例如以便通過(guò)用戶終端20控制機(jī)動(dòng)車輛10的功能(這樣的功能可能是例如解鎖車輛10的門)，如下所解釋的。

例如，用于在電子控制單元11和用戶終端20之間通信的無(wú)線鏈路是藍(lán)牙類型的。

用戶終端20還被設(shè)計(jì)為連接到蜂窩電話網(wǎng)絡(luò)30，該蜂窩電話網(wǎng)絡(luò)30具體包括經(jīng)由無(wú)線電鏈路與用戶終端20通信的基站32和用于連接到公共網(wǎng)絡(luò)40(例如互聯(lián)網(wǎng))的網(wǎng)關(guān)34。

服務(wù)器50還連接到公共網(wǎng)絡(luò)40，以使得用戶終端20和服務(wù)器50經(jīng)由蜂窩電話網(wǎng)絡(luò)30和公共網(wǎng)絡(luò)40進(jìn)行通信和交換數(shù)據(jù)。在這種情況下，服務(wù)器50由電子控制單元11的制造商管理。

圖2示意示出了有助于理解本發(fā)明的車輛10和用戶終端20的某些部件。

機(jī)動(dòng)車輛10具體包括前述的電子控制單元11、致動(dòng)器15(在該情況下設(shè)計(jì)用于解鎖車輛10的門)、致動(dòng)器17(設(shè)計(jì)用于啟動(dòng)車輛)、無(wú)線通信模塊16和用戶界面18。

標(biāo)識(shí)碼vid被分配給車輛10，并且序列號(hào)n被分配給電子控制單元11。車輛10的標(biāo)識(shí)碼vid與安裝至車輛10的電子控制單元11的序列號(hào)n之間的關(guān)聯(lián)被存儲(chǔ)在由服務(wù)器50(其可以是車輛10的制造商或供應(yīng)商)管理的數(shù)據(jù)庫(kù)d中。

電子控制單元包括處理器12和存儲(chǔ)單元14(例如可重寫的非易失性存儲(chǔ)器或硬盤)。

存儲(chǔ)單元14具體存儲(chǔ)包括指令的計(jì)算機(jī)程序，其中，通過(guò)處理器12執(zhí)行該指令使得電子控制單元11能夠執(zhí)行下述方法。

存儲(chǔ)單元14還存儲(chǔ)在下面描述的方法的場(chǎng)景中使用的數(shù)據(jù)，具體是如下文所述使用的加密密鑰prk(例如，私鑰)和根密鑰(或主密鑰)mk。

在該電子控制單元11安裝在機(jī)動(dòng)車輛10中之前，加密密鑰prk和/或根密鑰mk例如在電子控制單元11的制造期間被寫入存儲(chǔ)單元14。

加密密鑰prk和根密鑰mk與電子控制單元11的序列號(hào)n相關(guān)聯(lián)地存儲(chǔ)在服務(wù)器50(如所述的，其由電子控制單元11的制造商管理)中。

在下面描述的一些應(yīng)用中，存儲(chǔ)單元14還存儲(chǔ)用于構(gòu)建多樣化計(jì)數(shù)器的信息，例如計(jì)數(shù)器的初始值i和步驟持續(xù)時(shí)間p。該信息還可以在電子控制單元11安裝在機(jī)動(dòng)車輛10之前在電子控制單元11制造期間被寫入存儲(chǔ)單元14，并且可以額外地與電子控制單元11的序列號(hào)n相關(guān)聯(lián)地存儲(chǔ)在服務(wù)器50處。

這一計(jì)數(shù)器是“多樣化”(diversified)的，意指用于構(gòu)建計(jì)數(shù)器的信息(在該情況下是初始值i和步驟持續(xù)時(shí)間p)從一個(gè)電子控制單元到另一個(gè)電子控制單元是不同的，且因此從一個(gè)車輛到另一個(gè)車輛也是不同的。換句話說(shuō)，每個(gè)電子控制單元(并且因此每個(gè)車輛)存儲(chǔ)其自己的計(jì)數(shù)器構(gòu)建信息。因此，如上所述，服務(wù)器s存儲(chǔ)與每個(gè)電子控制單元的序列號(hào)相關(guān)聯(lián)的該計(jì)數(shù)器構(gòu)建信息。

用戶終端20包括處理器22、存儲(chǔ)器24(例如可重寫非易失性存儲(chǔ)器)、無(wú)線通信模塊26和用于在蜂窩電話網(wǎng)絡(luò)30上進(jìn)行通信的模塊28。

用戶終端20的無(wú)線通信模塊26使得可以與車輛10的無(wú)線通信模塊16建立(上述藍(lán)牙類型的)無(wú)線鏈路。通過(guò)該無(wú)線通信模塊16和26，電子控制單元11的處理器12和用戶終端20的處理器22可以交換數(shù)據(jù)，具體如下所述。

如上所提到的通信模塊28允許用戶終端20(或更準(zhǔn)確地說(shuō)是安裝在該用戶終端20中的處理器22)能夠與連接到蜂窩電話網(wǎng)絡(luò)30或公共網(wǎng)絡(luò)40的其他設(shè)備交換數(shù)據(jù)，特別是與服務(wù)器50交換數(shù)據(jù)。在一些實(shí)施例中，通信模塊可以包括智能卡，其存儲(chǔ)與蜂窩電話服務(wù)的訂閱相關(guān)聯(lián)的連接數(shù)據(jù)，并使得可以建立在蜂窩電話網(wǎng)絡(luò)30上的連接。

圖3示出了注冊(cè)(或登記)到通過(guò)用戶終端20控制車輛10的功能的服務(wù)的方法的主要步驟。

應(yīng)當(dāng)注意，在執(zhí)行該方法之前，用戶終端20沒(méi)有特別準(zhǔn)備用以控制車輛10的功能，并且不包括與車輛10相關(guān)聯(lián)的數(shù)據(jù)。因此，終端可以是例如由車輛10的所有者當(dāng)前使用的蜂窩電話。

類似地，在執(zhí)行該方法之前，用戶終端20對(duì)于車輛10是未知的，因此車輛10不知道與該用戶終端20相關(guān)聯(lián)的任何數(shù)據(jù)。

假設(shè)為了執(zhí)行圖3的方法，用戶u(在一個(gè)實(shí)施例中，該用戶是車輛10的所有者，而在另一實(shí)施例中，其是負(fù)責(zé)將車輛10投入運(yùn)行的人員)通過(guò)常規(guī)手段(例如物理按鍵)使得可以訪問(wèn)車輛10(在圖3中還被標(biāo)記為“v”)。

在此處描述的實(shí)施例中，用戶u攜帶并使用如上所述的用戶終端20，一方面用戶終端20經(jīng)由(例如藍(lán)牙類型的)無(wú)線鏈路與電子控制單元11通信，且另一方面，經(jīng)由到基站32的無(wú)線電鏈路然后經(jīng)由蜂窩電話網(wǎng)絡(luò)30和公共網(wǎng)絡(luò)40與服務(wù)器50(在圖3中標(biāo)記為“s”)通信。

因此，在此處描述的實(shí)施例中，用戶終端20可以用作車輛v(更準(zhǔn)確地說(shuō)是電子控制單元11)和服務(wù)器s之間用于交換數(shù)據(jù)的網(wǎng)關(guān)，如下所述。

在一個(gè)變型中，可以使用車輛v(即電子控制單元11)和服務(wù)器s之間的其他通信裝置，例如安裝在車輛v中并且被設(shè)計(jì)成在車輛v和蜂窩電話網(wǎng)絡(luò)30之間建立(直接)通信的通信模塊(有時(shí)稱為“遠(yuǎn)程通信控制單元”)。

圖3的方法從步驟e2處開始，在步驟e2處，用戶u向服務(wù)器s(圖1中被標(biāo)記為“50”)傳送用戶標(biāo)識(shí)符uid和車輛v(圖1中被標(biāo)記為“10”)的標(biāo)識(shí)符vid。在可行的實(shí)施例中，為此，用戶u連接至服務(wù)器s(例如通過(guò)將服務(wù)器s的http地址輸入到由用戶終端20的處理器22執(zhí)行的瀏覽器中)，并且例如將上述標(biāo)識(shí)符uid、vid輸入至一個(gè)表格，然后該表格被傳送到服務(wù)器s。在另一個(gè)可行的實(shí)施例中，事先安裝在用戶終端20上的應(yīng)用程序請(qǐng)求用戶u輸入標(biāo)識(shí)符并將它們傳送到服務(wù)器50。

在一個(gè)變型中，例如在購(gòu)買車輛v時(shí)，可以在服務(wù)器s處事先輸入用戶標(biāo)識(shí)符uid和車輛v的標(biāo)識(shí)符vid。

用戶標(biāo)識(shí)符uid包括例如用戶的姓和名，并且如果需要，包括其出生日期。然而，在一個(gè)變型中，可以使用另一類型的數(shù)據(jù)來(lái)識(shí)別用戶；如此，用戶標(biāo)識(shí)符可以是電子郵件地址、電話號(hào)碼(例如在訂閱蜂窩電話服務(wù)時(shí)被分配的號(hào)碼，諸如msisdn號(hào)碼)或用戶u的用戶終端的標(biāo)識(shí)符(諸如imei號(hào)碼)。

車輛標(biāo)識(shí)符vid例如具有被認(rèn)為“車輛識(shí)別碼”的類型。但是，在一個(gè)變型中，將可能使用與車輛10相關(guān)聯(lián)的其他標(biāo)識(shí)符，尤其是車輛10的電子控制單元11的序列號(hào)n。

服務(wù)器s在步驟e4中接收用戶標(biāo)識(shí)符uid和車輛標(biāo)識(shí)符vid，并且在這一步驟中將這些標(biāo)識(shí)符存儲(chǔ)在專用于車輛的區(qū)域中，對(duì)此，注冊(cè)通過(guò)用戶終端控制車輛功能的服務(wù)的過(guò)程開始進(jìn)行。

在步驟e2中，電子控制單元11的序列號(hào)n例如由用戶u通信至服務(wù)器s。為此，序列號(hào)n預(yù)先提供給用戶：例如，它被打印在粘貼在車輛的用戶手冊(cè)中的標(biāo)簽上，和/或通過(guò)用戶界面18由用戶可訪問(wèn)。

服務(wù)器s因此可以在步驟e10中確定已經(jīng)存儲(chǔ)的與該序列號(hào)n相關(guān)聯(lián)的加密密鑰prk(如上所述)。

服務(wù)器s然后生成“挑戰(zhàn)”(英文challenge)，例如隨機(jī)數(shù)rnd(步驟e12)。

服務(wù)器s然后在步驟e14中通過(guò)使用加密密鑰prk應(yīng)用加密函數(shù)f來(lái)計(jì)算與該挑戰(zhàn)相關(guān)聯(lián)的響應(yīng)resp，其被寫成：resp＝f(rnd,prk)。

服務(wù)器s因此可以在步驟e16中將挑戰(zhàn)rnd和響應(yīng)resp的一部分發(fā)送到車輛v，或更準(zhǔn)確地說(shuō)發(fā)送到電子控制單元11，在該情況下，最低有效字節(jié)(leastsignificantbyte,lsb)構(gòu)成響應(yīng)resp的一部分。

如上所提到的，服務(wù)器s(圖1中標(biāo)記為“50”)經(jīng)由用戶終端20與電子控制單元11通信。

電子控制單元11接收挑戰(zhàn)rnd和響應(yīng)lsb部分，并且然后通過(guò)使用如上所提到的已被存儲(chǔ)在存儲(chǔ)單元14中的加密密鑰prk對(duì)所接收的挑戰(zhàn)應(yīng)用加密函數(shù)f而在步驟e18中計(jì)算預(yù)期響應(yīng)resp'：resp'＝f(rnd,prk)。

電子控制單元11然后在步驟e20中驗(yàn)證在步驟e18中計(jì)算的響應(yīng)resp'的lsb'部分(對(duì)應(yīng)于所接收的響應(yīng)resp的部分，在這種情況下為最低有效字節(jié))實(shí)際上等于從服務(wù)器s接收的響應(yīng)的lsb部分。

如果沒(méi)有驗(yàn)證這種相等性，則電子控制單元11進(jìn)入終止注冊(cè)過(guò)程的步驟e21。實(shí)際上，這意味著用在步驟e14中的計(jì)算中的加密密鑰與用在步驟e18的計(jì)算中的加密密鑰不同，并且因此意味著已經(jīng)發(fā)生了錯(cuò)誤(例如由于在步驟e2中發(fā)送了不正確的車輛標(biāo)識(shí)符)。例如，然后可以在車輛v的用戶界面18上顯示錯(cuò)誤消息。

如果驗(yàn)證了相等性，則在步驟e22中，電子控制單元11將在步驟e18中計(jì)算的響應(yīng)resp'的另一部分(在該情況下是最高有效字節(jié)msb'(最高有效字節(jié)))發(fā)送到服務(wù)器s。

服務(wù)器s接收響應(yīng)resp'的該另一部分msb'，并且在步驟e24中驗(yàn)證在步驟e14中計(jì)算的響應(yīng)resp的部分msb(對(duì)應(yīng)于接收到的響應(yīng)resp'的msb'部分，在這種情況下是最高有效字節(jié))實(shí)際上等于從電子控制單元11接收的響應(yīng)的msb'部分。

如果沒(méi)有驗(yàn)證該相等性，則服務(wù)器進(jìn)行到終止注冊(cè)過(guò)程的步驟e25。這意味著通信中的服務(wù)器s的合作伙伴已經(jīng)不能計(jì)算預(yù)期的響應(yīng)，這可能是由于該合作伙伴不是預(yù)期的車輛，并且因此不持有加密密鑰prk。

在正常操作中，相等性得以驗(yàn)證，并且因此在服務(wù)器s和電子控制單元11之間相互證實(shí)。

服務(wù)器s然后通過(guò)向電子控制單元11發(fā)送命令cmd以驗(yàn)證車輛v中的用戶u的存在來(lái)繼續(xù)注冊(cè)方法(步驟e26)。

在接收到命令cmd時(shí)，電子控制單元11在步驟e28中使用戶界面18產(chǎn)生請(qǐng)求用戶u執(zhí)行一個(gè)或多個(gè)動(dòng)作act的指示。

該指示可以是視覺(jué)指示(例如，光信號(hào)或用戶界面18的屏幕上的顯示)和/或可聽(tīng)見(jiàn)的指示(例如具體的聲音或語(yǔ)音消息)。所請(qǐng)求的一個(gè)或多個(gè)動(dòng)作可以包括使用物理鍵(例如可能同時(shí)地按壓物理按鍵上的一個(gè)或多個(gè)按鈕，或者利用物理按鍵啟動(dòng)和/或停止發(fā)動(dòng)機(jī))和/或由車輛v上的用戶u執(zhí)行的動(dòng)作，例如按壓用戶界面18上的按鈕、打開和/或關(guān)閉門、和/或啟動(dòng)和/或停止發(fā)動(dòng)機(jī)。

用戶在步驟e30中執(zhí)行所請(qǐng)求的動(dòng)作(多個(gè)動(dòng)作)act。

電子控制單元11在步驟e32中檢測(cè)由用戶u執(zhí)行的動(dòng)作是否實(shí)際上對(duì)應(yīng)于所請(qǐng)求的動(dòng)作act(例如，在允許用戶完成動(dòng)作的預(yù)定時(shí)間段期間)。

在失敗的情況下(也就是說(shuō)，如果用戶u在所允許的時(shí)間間隔內(nèi)沒(méi)有執(zhí)行所請(qǐng)求的動(dòng)作)，則電子控制單元11進(jìn)行到終止注冊(cè)過(guò)程的步驟e34。還可以在車輛v的用戶界面18上顯示錯(cuò)誤消息。

另一方面，如果用戶在所允許的時(shí)間內(nèi)正確地執(zhí)行了所請(qǐng)求的動(dòng)作act，則認(rèn)為已經(jīng)滿足了執(zhí)行注冊(cè)的所有條件，并且可以開始通過(guò)用戶終端控制車輛的功能的服務(wù)。

應(yīng)當(dāng)注意，用于驗(yàn)證注冊(cè)的其他條件可能是可行的：例如，由用戶終端20接收和顯示的一次性代碼輸入至車輛10的用戶界面18中。如上所提到的，在一些實(shí)施例中，例如在執(zhí)行能夠在步驟e2中輸入標(biāo)識(shí)符的應(yīng)用程序期間，這樣的一次性代碼可以由服務(wù)器50經(jīng)由公共網(wǎng)絡(luò)40發(fā)送到用戶終端20。在一個(gè)變型中，可以使用與由用戶終端20使用的訂閱相關(guān)聯(lián)的電話號(hào)碼(msisdn號(hào)碼)向用戶終端20發(fā)送(例如，以短消息或短消息系統(tǒng)(sms)的形式的)一次性代碼，特別是在這個(gè)號(hào)碼形成用戶標(biāo)識(shí)符的情況下，如上所述。在后一種情況下，服務(wù)器50被設(shè)計(jì)為在電話網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)。

在一些實(shí)施例中，使用如上所述的存儲(chǔ)在存儲(chǔ)單元14中的構(gòu)建信息，可以繼續(xù)至啟動(dòng)電子控制單元11內(nèi)的計(jì)數(shù)器：在此處描述的實(shí)施例中，計(jì)數(shù)器被初始化為初始值i并且以周期p周期性地增加(步驟e36)。當(dāng)計(jì)數(shù)器以給定的位數(shù)存儲(chǔ)時(shí)，當(dāng)增加引起超出(由計(jì)數(shù)器的位數(shù)確定的)最大值的溢出(有時(shí)使用英文術(shù)語(yǔ)為overflow)發(fā)生時(shí)，計(jì)數(shù)器重置為零。

電子控制單元11還向服務(wù)器s發(fā)送消息，該消息指示已經(jīng)檢測(cè)到用戶的存在，(根據(jù)在電子控制單元11的請(qǐng)求時(shí)由用戶執(zhí)行的動(dòng)作act)，并且因此可以開始該服務(wù)(步驟e38)。

服務(wù)器s接收該消息，并且如果使用計(jì)數(shù)器，則也啟動(dòng)其內(nèi)部計(jì)數(shù)器(步驟e40)，該消息與車輛標(biāo)識(shí)符vid相關(guān)聯(lián)，并且基于與電子控制單元11的序列號(hào)n相關(guān)聯(lián)地存儲(chǔ)的構(gòu)建信息，在這種情況下是計(jì)數(shù)器的累加的初始值i和周期p。

因此，計(jì)數(shù)器在控制單元11內(nèi)和服務(wù)器s內(nèi)并行運(yùn)行，可能在存儲(chǔ)在電子控制單元11中的計(jì)數(shù)器與存儲(chǔ)在服務(wù)器50中的計(jì)數(shù)器之間具有非常小的偏移(具體地由于步驟e36和e40之間的短時(shí)間間隔)；然而，這并不是有害的。

服務(wù)器s然后可以決定執(zhí)行用戶u到服務(wù)的最終注冊(cè)，并且為此，其將該用戶標(biāo)識(shí)符uid、車輛標(biāo)識(shí)符vid、以及計(jì)數(shù)器的當(dāng)前值(如果使用計(jì)數(shù)器的話，該當(dāng)前值將以周期p周期性地增加)和序列號(hào)n(如果需要的的話)相關(guān)聯(lián)地存儲(chǔ)在用于服務(wù)的用戶的存儲(chǔ)區(qū)域中(步驟e42)。相關(guān)聯(lián)存儲(chǔ)的用戶標(biāo)識(shí)符uid和車輛識(shí)別符vid可以被認(rèn)為是用于所提出的服務(wù)的車輛的所有權(quán)的電子證書。

服務(wù)器s然后可以例如通過(guò)向用戶終端20發(fā)送授權(quán)用戶終端20控制車輛的功能(諸如打開車門)的虛擬密鑰vk而向用戶u通信控制車輛功能的服務(wù)的訪問(wèn)權(quán)限，如下面所述示例。虛擬密鑰vk被存儲(chǔ)在用戶終端20中(步驟e44)。實(shí)際上，虛擬密鑰vk可以從服務(wù)器50發(fā)送到先前下載到用戶終端20的存儲(chǔ)器24并可由用戶終端20的處理器22執(zhí)行的應(yīng)用程序，例如用于執(zhí)行如上所述的步驟e2的應(yīng)用程序。在一個(gè)變型中，虛擬密鑰vk可以通過(guò)使用與由用戶終端20使用的訂閱相關(guān)聯(lián)的電話號(hào)碼(msisdn號(hào)碼)發(fā)送到用戶終端20，具體是在這個(gè)號(hào)碼形成用戶標(biāo)識(shí)符的情況下，仍如上所述。

圖4示出了通過(guò)用戶終端t(具有圖1中標(biāo)記為“20”的類型)控制車輛v(圖1中被標(biāo)記為“10”)的功能的方法的示例的主要步驟。

當(dāng)然，實(shí)際上，可以執(zhí)行如下描述的步驟之外的步驟，特別是事先地，以便建立車輛10的電子控制單元11和用戶終端20之間的通信信道。

本文描述的控制方法特別適于用戶在預(yù)定時(shí)間段內(nèi)租賃車輛v的情況。

為此，使用臨時(shí)虛擬密鑰vk，該密鑰通過(guò)考慮計(jì)數(shù)器(并行安裝在車輛v的電子控制單元11中和服務(wù)器s中，如上所提到的)在租賃期起始時(shí)的值nb1和計(jì)數(shù)器在租賃期結(jié)束時(shí)的值nb2而派生。

為了生成虛擬密鑰vk，服務(wù)器s例如從車輛租賃公司接收車輛識(shí)別符vid、租賃起始時(shí)間和租賃結(jié)束時(shí)間，并且基于從存儲(chǔ)單元14讀取的計(jì)數(shù)器構(gòu)建信息，確定安裝在有關(guān)的電子控制單元11(例如遵循圖3的方法，其序列號(hào)n與所接收的車輛標(biāo)識(shí)符vid相關(guān)聯(lián))中的計(jì)數(shù)器的對(duì)應(yīng)于租賃起始時(shí)間的值nb1和該計(jì)數(shù)器的對(duì)應(yīng)于租賃結(jié)束時(shí)間的值nb2。

然后使用(如上所述的與序列號(hào)n相關(guān)聯(lián)地存儲(chǔ)的)根密鑰mk、起始值nb1和結(jié)束值nb2，例如通過(guò)使用具有這些元素的派生函數(shù)g：vk＝g(mk,nb1,nb2)生成虛擬密鑰vk。

例如在驗(yàn)證用戶終端t實(shí)際上對(duì)于服務(wù)是符合條件的步驟之后(該驗(yàn)證基于終端的標(biāo)識(shí)符，例如imei號(hào)碼、和/或與該終端相關(guān)聯(lián)的用戶號(hào)碼，例如msisdn號(hào)碼)，服務(wù)器s隨后將虛擬密鑰vk和值nb1、nb2發(fā)送給用戶(例如車輛租賃者)的用戶終端t(例如蜂窩電話)；虛擬密鑰vk和值nb1、nb2然后被存儲(chǔ)在終端t。(應(yīng)當(dāng)注意，此處使用的終端t因此不是通常在圖3的場(chǎng)景中使用的終端t。)

然后可以通過(guò)終端t控制車輛v的功能。

為此，在步驟e102中，終端t向車輛v的電子控制單元11發(fā)送用于執(zhí)行功能的請(qǐng)求，連同發(fā)送起始值nb1和結(jié)束值nb2(步驟e102)。

然后，電子控制單元11在步驟e104中驗(yàn)證其執(zhí)行的計(jì)數(shù)器的當(dāng)前值實(shí)際上在值nb1和值nb2之間(根據(jù)如上所述的值nb1和nb2的構(gòu)建，這意味著該當(dāng)前時(shí)刻包括在該租期以內(nèi))。

如果不是這種情況，則電子控制單元11在步驟e106處終止方法，而不執(zhí)行所請(qǐng)求的功能(即，在這種情況下為解鎖車輛v的門)。如果有必要，可以將故障消息發(fā)送到終端t，以使得可以在終端t上顯示相應(yīng)的指示。

如果在步驟e104中存在肯定的驗(yàn)證，則該方法繼續(xù)到步驟e108，在步驟e108中，電子控制單元11基于根密鑰mk(如上所述其存儲(chǔ)在存儲(chǔ)單元14中)、起始值nb1和結(jié)束值nb2，根據(jù)如上所述的與服務(wù)器s中執(zhí)行的相同的計(jì)算，將這些元素應(yīng)用于派生函數(shù)g，在這種情況下，電子控制單元11計(jì)算vk＝g(mk,nb1,nb2)。

然后，在步驟e110中，電子控制單元11生成挑戰(zhàn)(例如隨機(jī)數(shù)rnd')并將該挑戰(zhàn)發(fā)送到用戶終端t。

用戶終端t在步驟e112中接收該挑戰(zhàn)。

在步驟e114中，用戶終端t(換言之，實(shí)際上是用戶終端t的處理器)使用(如上所述事先從服務(wù)器s接收的)虛擬密鑰vk將所接收的挑戰(zhàn)rnd'應(yīng)用至加密函數(shù)h，并且因此獲得響應(yīng)r:r＝h(rnd’,vk)。如果有必要，可以在本步驟中執(zhí)行的計(jì)算中使用其他數(shù)據(jù)，例如車輛識(shí)別符vid。

并行地，電子控制單元在步驟e115中執(zhí)行相同的計(jì)算(在正常操作中)，以在這一側(cè)獲得預(yù)期響應(yīng)，在這種情況下，該計(jì)算的結(jié)果表示為r’：r’＝h(rnd’,vk)。

用戶終端t將(在步驟e114中計(jì)算的)預(yù)期響應(yīng)r發(fā)送到電子控制單元11(步驟e116)。

然后，電子控制單元11在步驟e118中驗(yàn)證從用戶終端t接收的響應(yīng)r實(shí)際上等于預(yù)期響應(yīng)r'，在這種情況下，電子控制單元11可以認(rèn)為用戶終端t實(shí)際上持有賦予對(duì)車輛的訪問(wèn)權(quán)的虛擬密鑰vk。

如果在步驟e118中驗(yàn)證失敗(不是如上所述的正常操作中的情況，而可能是在懷有惡意的人員在不知道虛擬密鑰vk的情況下試圖訪問(wèn)車輛時(shí)的情況)，則電子控制單元11在步驟e120中終止該方法，而不執(zhí)行所請(qǐng)求的功能(也就是說(shuō)，在這種情況下不解鎖車輛v的門)。如果有必要，可以將故障消息發(fā)送到終端t，以使得可以在終端t上顯示相應(yīng)的指示。

如果在步驟e118中驗(yàn)證了從用戶終端t接收到的響應(yīng)r與由電子控制單元11計(jì)算出的預(yù)期響應(yīng)r'之間的相等性，則該方法進(jìn)行到步驟e122，在步驟e122中，電子控制單元通過(guò)向致動(dòng)器15發(fā)送相應(yīng)的命令而執(zhí)行所請(qǐng)求的功能，在這種情況下為解鎖車門(或者向致動(dòng)器17發(fā)送相應(yīng)的命令執(zhí)行所請(qǐng)求的功能，在這種情況下為啟動(dòng)車輛)。

在如上所述的示例中，使用簡(jiǎn)單的認(rèn)證，然而，在變型中，可以提供使用相互認(rèn)證，例如當(dāng)期望的功能是啟動(dòng)車輛時(shí)。

此外，在如上所述情況中，使用特別適用于車輛租賃的臨時(shí)虛擬密鑰vk。

在其他實(shí)施例中，可能使用固定虛擬密鑰vk(例如存儲(chǔ)在存儲(chǔ)單元14中的密鑰)代替根密鑰mk。然后可以使用該固定虛擬密鑰來(lái)執(zhí)行用于利用用戶終端控制車輛的功能的如上所述的步驟e102和e110至e122。在這種情況下，存儲(chǔ)虛擬密鑰vk的用戶終端可以是在圖3的方法中使用的用戶終端。也可能不使用上述計(jì)數(shù)器，在這種情況下，步驟e36、e40和e104至e108將被省略，并且步驟e102將是執(zhí)行該功能的簡(jiǎn)單請(qǐng)求，而不增加計(jì)數(shù)器值。

圖5示出了注冊(cè)至通過(guò)用戶終端20控制車輛10的功能的服務(wù)的方法的另一示例的主要步驟。

該方法從步驟e200開始，在步驟e200中，用戶u(通常為車輛v的所有者)將電子控制單元11的序列號(hào)n和他的標(biāo)識(shí)符uid(例如用戶終端20的標(biāo)識(shí)符，例如imei號(hào)碼或相關(guān)聯(lián)的msisdn訂閱號(hào)碼)傳送至服務(wù)器s。

顯然，在本實(shí)施例中，使用序列號(hào)n作為與車輛10相關(guān)聯(lián)的標(biāo)識(shí)符。

為了將該信息傳送到服務(wù)器s，用戶u例如連接到與服務(wù)器s相關(guān)聯(lián)的網(wǎng)站，并且然后可以將信息n、uid輸入到隨后發(fā)送到服務(wù)器s的表格內(nèi)。如果有必要，這些操作可以通過(guò)使用終端20來(lái)執(zhí)行，但還可以使用用戶u的個(gè)人計(jì)算機(jī)來(lái)執(zhí)行。

服務(wù)器s在步驟e202中接收信息n、uid，并將其存儲(chǔ)在例如專用于車輛的存儲(chǔ)區(qū)域中，對(duì)此，開始注冊(cè)至通過(guò)用戶終端控制車輛功能的服務(wù)。

應(yīng)當(dāng)注意，在一個(gè)變型中，可以在購(gòu)買車輛v時(shí)將該信息n、uid輸入到服務(wù)器s中(在這種情況下，用戶u將向管理服務(wù)器s的機(jī)構(gòu)提供與他有關(guān)的信息)。

然后服務(wù)器s在步驟e204中準(zhǔn)備意在用于終端20的應(yīng)用程序app，該應(yīng)用程序包含特定消息msg(被設(shè)計(jì)成僅由電子控制單元11讀取，其中電子控制單元11的序列號(hào)n在步驟e202中已經(jīng)接收到)和專用于應(yīng)用程序app的派生密鑰k。服務(wù)器s具體與先前存儲(chǔ)的信息n、uid相關(guān)聯(lián)地存儲(chǔ)派生密鑰k。

在步驟e206中，應(yīng)用程序app被下載且被安裝在終端20(以下稱為“終端t”)上。為此，服務(wù)器s例如向終端20發(fā)送https鏈接(例如，通過(guò)使用在步驟e200中提供的msisdn訂閱號(hào)碼作為標(biāo)識(shí)符uid，或者使用在步驟e200中提供的msisdn訂閱號(hào)碼作為標(biāo)識(shí)符uid的互補(bǔ))，該鏈接隨后由用戶u使用，用于下載應(yīng)用程序app到終端t。

在隨后的步驟e208(其可以與步驟e206間隔更長(zhǎng)或更短的時(shí)間間隔)中，用戶u開始在終端t上執(zhí)行應(yīng)用程序app。

在車輛v的無(wú)線通信模塊16和終端t的無(wú)線通信模塊26之間的無(wú)線鏈路的初始化階段之后，應(yīng)用程序app將特定消息msg發(fā)送到車輛v的電子控制單元11。

在步驟e210中，電子控制單元11接收特定消息msg，該電子控制單元11驗(yàn)證該特定消息msg實(shí)際上意在用于該電子控制單元。如果此驗(yàn)證沒(méi)有正確進(jìn)行，則終止該注冊(cè)過(guò)程。

如果電子控制單元11實(shí)際上是特定消息msg的預(yù)期接收者，則電子控制單元11在步驟e210中向服務(wù)器s發(fā)送認(rèn)證請(qǐng)求，例如連同發(fā)送電子控制單元11的序列號(hào)n(或電子控制單元11的其他標(biāo)識(shí)符)。這樣的請(qǐng)求例如經(jīng)由終端t從電子控制單元11傳送到服務(wù)器s(如上面關(guān)于圖3的實(shí)施例所解釋的)。為此，應(yīng)用程序app例如包含服務(wù)器50的ip地址，并且向該地址傳送其從電子控制單元11接收的響應(yīng)。在一個(gè)變型中，該請(qǐng)求可以通過(guò)車輛v的通訊模塊來(lái)傳送。

服務(wù)器s接收認(rèn)證請(qǐng)求和序列號(hào)n，并且然后在步驟e212中向終端t發(fā)送挑戰(zhàn)x(如上所述，終端的標(biāo)識(shí)符(在這種情況下是序列號(hào)n)或相關(guān)聯(lián)的訂閱號(hào)碼已經(jīng)與車輛相關(guān)聯(lián)的標(biāo)識(shí)符相關(guān)聯(lián)地存儲(chǔ)在服務(wù)器s處)。

終端t接收挑戰(zhàn)x，并且使用先前利用應(yīng)用程序app(參見(jiàn)如上所述的步驟e206)接收的派生密鑰k對(duì)挑戰(zhàn)x應(yīng)用加密函數(shù)d(步驟e214)，以獲得派生的數(shù)據(jù)元素y:y＝d(x,k)。

派生的數(shù)據(jù)元素y經(jīng)由如上所述的在步驟e208中建立的無(wú)線鏈路從終端t發(fā)送到車輛v的電子控制單元11。

電子控制單元11接收派生的數(shù)據(jù)元素y，并且通過(guò)使用如上所述的已經(jīng)存儲(chǔ)在存儲(chǔ)單元14中的加密密鑰prk對(duì)該派生的數(shù)據(jù)元素y應(yīng)用加密函數(shù)f，在步驟e216中計(jì)算響應(yīng)z：z＝f(y,prk)。

電子控制單元11例如經(jīng)由如上所述的終端t(或者在一個(gè)變型中，通過(guò)安裝在車輛v中的通信模塊)將在步驟e216中計(jì)算的響應(yīng)z發(fā)送到服務(wù)器s。

服務(wù)器s接收響應(yīng)z，并且因此可以在步驟e218中驗(yàn)證該響應(yīng)z實(shí)際上是預(yù)期的響應(yīng)f(d(x，k)，prk)。這是因?yàn)榉?wù)器s關(guān)聯(lián)電子控制單元11的序列號(hào)n地存儲(chǔ)加密密鑰prk(如上參照?qǐng)D2所述的)和派生密鑰k(參見(jiàn)如上步驟e204)；服務(wù)器s還知道在步驟e212中發(fā)送的挑戰(zhàn)x。

如果從電子控制單元11接收的響應(yīng)z不符合預(yù)期的響應(yīng)f(d(x，k)，prk))，則終止該注冊(cè)過(guò)程。

如果從電子控制單元11接收到的響應(yīng)z符合期望的響應(yīng)f(d(x，k)，prk)，這意味著終端t和車輛v的電子控制單元11各自已經(jīng)參與了響應(yīng)z的生成(其中每個(gè)使用專用于他們的信息)，并且實(shí)際上是分別與用戶u(由用戶的標(biāo)識(shí)符uid識(shí)別)和車輛v(此處由序列號(hào)n識(shí)別)相關(guān)聯(lián)的用戶和車輛，因此服務(wù)器s已經(jīng)能夠認(rèn)證終端t和電子控制單元11。

服務(wù)器s然后決定執(zhí)行用戶u至通過(guò)終端t控制車輛v的功能的服務(wù)的最終注冊(cè)，并且為此，在步驟e220中，服務(wù)器將用戶標(biāo)識(shí)符uid(例如，如上所述的與終端t相關(guān)聯(lián)的標(biāo)識(shí)符)和與車輛相關(guān)聯(lián)的車輛標(biāo)識(shí)符(在這種情況下，標(biāo)識(shí)符為序列號(hào)n)存儲(chǔ)在服務(wù)用戶的存儲(chǔ)區(qū)域中。

服務(wù)器s然后可以例如通過(guò)向終端t傳送授權(quán)終端t控制這些功能的虛擬密鑰vk而向用戶u通信用于控制車輛的功能的服務(wù)的訪問(wèn)權(quán)限(在步驟e222中)，如上所述的示例中。因此，虛擬密鑰vk可以存儲(chǔ)在用戶終端t中(步驟e224)。

在一些實(shí)施例中，可以不是在最終注冊(cè)之后立即發(fā)送訪問(wèn)權(quán)限，而是隨后地提供訪問(wèn)權(quán)限，例如在將電子郵件消息傳送給用戶u之后(例如，在步驟e200中輸入的電子郵件地址)以及在用戶u響應(yīng)于該電子郵件信息確認(rèn)激活服務(wù)之后，例如通過(guò)將在電子郵件消息中提到的代碼輸入到終端t中。