通过控制设备来和汽车通信的认证方法及其系统与流程

本发明总体说来涉及与汽车进行通信的领域，更具体地讲，涉及一种通过控制设备来和汽车通信的认证方法及其系统。

背景技术：

随着车联网的快速发展，实现了用户通过控制设备(例如，手机、平板电脑等)来向汽车发送用于控制汽车的指令，从而使汽车执行该指令的愿望，极大地提高了汽车用户的用户体验。

随着汽车与控制设备的通信方式(例如，蓝牙、wifi、2G、3G和4G等)的多样化，当通过控制设备控制汽车时，汽车会面临被黑客攻击、控制的危险，而由于汽车的安全性直接影响到用户的生命安全，因此，当通过控制设备来控制汽车时，控制设备与汽车之间通信的安全性受到人们的广泛重视。

然而，在现有的通过控制设备和汽车通信的方案中，安全保护不够完善，从而可能导致用户资料被盗用，使汽车处于被黑客操纵的危险之中。特别是，对通信过程的安全性的保护存在缺陷，从而导致攻击者能够使用汽车已经接收过的合法请求来欺骗车联网，进而非法控制汽车，从而使汽车的安全甚至是用户的生命安全面临重大风险。

因此，现有的通过控制设备来和汽车通信的认证方法安全性不高。

技术实现要素：

本发明的示例性实施例在于提供一种通过控制设备来和汽车通信的认证方法和系统。所述方法和系统能够克服现有技术中联网的汽车存在的安全隐患。

根据本发明示例性实施例的一方面，提供一种通过控制设备来和汽车通信的认证方法，包括：(A)由注册服务器验证控制设备的用户是否为合法用户，其中，所述用户经由所述控制设备请求汽车执行用于控制汽车的指令；(B)在控制设备的用户被验证为合法用户的情况下，控制设备向服务处理器发送预先存储在控制设备中的证书、控制设备的标识信息、汽车的车辆序列号或车载设 备序列号、所述用于控制汽车的指令，其中，证书在用户与汽车和控制设备首次绑定后由认证服务器生成并发送给控制设备；(C)由服务处理器将证书和控制设备的标识信息提供给认证服务器，并由认证服务器根据证书和控制设备的标识信息来验证控制设备是否为合法控制设备；(D)在控制设备被验证为合法控制设备的情况下，由服务处理器将车辆序列号或车载设备序列号以及所述用于控制汽车的指令提供给安全服务器，并由安全服务器根据车辆序列号或车载设备序列号来验证汽车是否为合法认证的汽车；(E)在汽车被验证为合法认证的汽车的情况下，由安全服务器采用通信会话超时机制和随机数加密的方式验证控制设备与汽车之间的通信是否合法和安全；(F)在控制设备与汽车之间的通信被验证为安全的情况下，安全服务器将所述用于控制汽车的指令发送到汽车，以控制汽车执行所述指令。

可选地，步骤(A)包括：(A1)控制设备接收用户输入的登录信息，并向服务处理器发送接收的登录信息，其中，所述登录信息包括用户名和密码；(A2)服务处理器将所述登录信息提供给注册服务器，由注册服务器将服务处理器提供的登录信息与可信数据库中存储的合法用户的登录信息进行比较以验证控制设备的用户是否为合法用户。

可选地，步骤(C)包括：(C1)由服务处理器将证书和控制设备的标识信息作为控制设备信息提供给认证服务器；(C2)由认证服务器将服务处理器提供的控制设备信息与存储在可信数据库中的合法控制设备信息进行比较来验证控制设备是否为合法控制设备。

可选地，步骤(D)包括：(D1)在控制设备被验证为合法控制设备的情况下，由服务处理器将车辆序列号或车载设备序列号以及所述用于控制汽车的指令提供给安全服务器；(D2)安全服务器在接收到车辆序列号或车载设备序列号以及所述用于控制汽车的指令的情况下，向汽车发送与汽车建立预定时长的会话的连接请求；(D3)汽车在接收到连接请求时与安全服务器建立所述预定时长的会话，并将车辆序列号或车载设备序列号发送到安全服务器；(D4)安全服务器通过比较服务处理器提供的车辆序列号或车载设备序列号与汽车发送的车辆序列号或车载设备序列号是否一致来验证汽车是否为合法认证的汽车。

可选地，在步骤(D3)中，汽车还在建立会话的同时生成随机数和建立会话时的时间戳，将生成的随机数和时间戳发送到安全服务器，并使用预定加密算法对生成的随机数和时间戳进行加密，以生成汽车加密数据；其中，步骤(E) 包括：(E1)在汽车被验证为合法认证的汽车的情况下，安全服务器在所述预定时长的会话期间，将接收的随机数和时间戳发送到控制设备，并使用所述预定加密算法对接收的随机数和时间戳进行加密，以生成服务器加密数据；(E2)控制设备使用所述预定加密算法对接收的随机数和时间戳进行加密，以生成控制设备加密数据，并将生成的控制设备加密数据发送到安全服务器；(E3)安全服务器通过比较服务器加密数据与控制设备加密数据是否一致来验证移动控制设备与汽车之间的通信是否合法和安全。

可选地，步骤(F)包括：(F1)在控制设备与汽车之间的通信被验证为安全的情况下，安全服务器将服务器加密数据和所述用于控制汽车的指令发送到汽车；(F2)汽车比较服务器加密数据与汽车加密数据是否一致；(F3)当服务器加密数据与汽车加密数据一致时，汽车执行所述指令。

可选地，所述方法还包括：(G)在汽车执行完所述指令时，汽车将所述指令的执行结果、所述随机数和时间戳发送到安全服务器；(H)安全服务器将所述指令的执行结果，所述随机数和时间戳发送到控制设备，以使所述随机数失效。

根据本发明示例性实施例的另一方面，提供一种通过控制设备来和汽车通信的认证系统，包括：注册服务器、控制设备、服务处理器、认证服务器、安全服务器、汽车，其中，由注册服务器验证控制设备的用户是否为合法用户，其中，所述用户经由所述控制设备请求汽车执行用于控制汽车的指令；在控制设备的用户被验证为合法用户的情况下，控制设备向服务处理器发送预先存储在控制设备中的证书、控制设备的标识信息、汽车的车辆序列号或车载设备序列号、所述用于控制汽车的指令，其中，证书在用户与汽车和控制设备首次绑定后由认证服务器生成并发送给控制设备；由服务处理器将证书和控制设备的标识信息提供给认证服务器，并由认证服务器根据证书和控制设备的标识信息来验证控制设备是否为合法控制设备；在控制设备被验证为合法控制设备的情况下，由服务处理器将车辆序列号或车载设备序列号以及所述用于控制汽车的指令提供给安全服务器，并由安全服务器根据车辆序列号或车载设备序列号来验证汽车是否为合法认证的汽车；在汽车被验证为合法认证的汽车的情况下，由安全服务器采用通信会话超时机制和随机数加密的方式验证控制设备与汽车之间的通信是否合法和安全；在控制设备与汽车之间的通信被验证为安全的情况下，安全服务器将所述用于控制汽车的指令发送到汽车，以控制汽车执行所述指令。

在本发明示例性实施例的通过控制设备来和汽车通信的认证方法和系统中，应用了授权最小化原则，使用对用户、控制设备、汽车、控制设备与汽车之间的通信的安全性进行多层安全验证的方式，在上一项验证通过的情况下才能进入下一项的验证，使得即使某一项的验证被黑客攻破，汽车也不会被攻击，从而确保了汽车的安全。并且通过采用随机数加密的方式，能够有效防止攻击者使用已接收的合法请求来控制汽车，从而进一步确保了汽车的安全。

附图说明

通过下面结合示例性地示出实施例的附图进行的描述，本发明示例性实施例的上述和其他目的和特点将会变得更加清楚，其中：

图1示出根据本发明示例性实施例的通过控制设备来和汽车通信的认证方法的示图；

图2示出根据本发明示例性实施例的通过移动终端来和汽车通信的认证方法中提供序列号和指令并验证汽车步骤的示例；

图3示出根据本发明示例性实施例的通过移动终端来和汽车通信的认证方法中验证通信步骤的示例；

图4示出根据本发明示例性实施例的通过移动终端来和汽车通信的认证方法中发送指令步骤的示例。

具体实施方式

以下，将参照附图更充分地描述本发明的示例性实施例，示例性实施例在附图中示出。然而，可以以许多不同的形式实施示例性实施例，并且不应被解释为局限于在此阐述的示例性实施例。相反，提供这些实施例从而本公开将会彻底和完整，并将完全地将示例性实施例的范围传达给本领域的技术人员。

图1示出根据本发明示例性实施例的通过控制设备来和汽车通信的认证方法的示图。

根据本发明示例性实施例的通过控制设备来和汽车通信的认证方法可由图1所示的系统来执行。图1所示的系统包括：控制设备、注册服务器、服务处理器、认证服务器、安全服务器和汽车。这里，控制设备可以是移动终端(手机、平板电脑(PAD)、计算机(例如，台式计算机)、服务器(例如，设置在云端的 服务器)、汽车(即，除将被控制的汽车之外的汽车)等可以发送和接收信息的控制设备；注册服务器可以是能够对用户的合法性进行验证的服务器；服务处理器可以是能够将控制设备发送的信息提供给注册服务器、认证服务器和安全服务器的处理器；认证服务器可以是能够对控制设备的合法性进行验证的服务器；安全服务器可以是能够与汽车进行会话的服务器；汽车可包括车载设备以执行用于控制汽车的指令，作为示例，车载设备可以是车载娱乐系统控制单元、车载调制解调器等。这里，注册服务器、服务处理器、认证服务器和安全服务器中的至少一个可设置在云端。

为了便于理解本发明，以下，以移动终端作为控制设备为例，来说明本发明的通过控制设备(移动终端)来和汽车通信的认证方法。

具体说来，在步骤S100，由注册服务器验证移动终端(即，控制设备)的用户是否为合法用户，其中，所述用户经由所述移动终端请求汽车执行用于控制汽车的指令。

这里，移动终端的用户为已注册的用户。作为示例，可通过双重认证的方式通过移动终端(例如，手机)和计算机来进行注册。具体说来，首先，可使用计算机访问相关注册页面，在注册页面中填写用户名、密码和手机号码等信息。之后，由注册服务器生成发送到所述手机号码对应的手机的随机密码(OTP(One Time Password))，生成认证服务器的URI(统一资源标识符)地址，并将填写的信息(例如，用户名和密码组成的登录信息)保存在可信数据库(trusted zone)中。此后，可使用计算机访问认证服务器的URI地址，并填写手机收到的随机密码来完成注册。这里，可信数据库可为单独的数据库，或者可信数据库可为注册服务器的可信数据库。

应该理解，以上注册方式仅为示例，可通过其他任何方式来完成注册。

在注册完成后，每当用户登录移动终端时，注册服务器可验证用户是否为合法用户。

作为示例，首先，移动终端可接收用户输入的登录信息，并向服务处理器发送接收的登录信息，其中，所述登录信息包括用户名和密码。

应该理解，登录信息不限于用户名和密码，还可包括其他信息，例如，登录信息还可包括注册时使用的邮箱、手机号码等。这里，当登录信息包括手机号码时，用户可输入用户名、密码和发送到手机的验证码来进行登录。

之后，服务处理器可将所述登录信息提供给注册服务器，由注册服务器将服务处理器提供的登录信息与可信数据库中存储的合法用户的登录信息进行比较以验证移动终端的用户是否为合法用户。例如，当在可信数据库中存储的合法用户的登录信息中存在与服务处理器提供的登录信息一致的登录信息时，注册服务器可确定所述用户是合法用户，否则，确定所述用户不是合法用户。这里，当注册服务器确定所述用户不是合法用户时，可向移动终端发送关于所述用户不合法的信息(例如，登录失败的信息)，并且，移动终端可为用户显示接收到的信息。

在步骤S200，在移动终端的用户被验证为合法用户的情况下，移动终端向服务处理器发送预先存储在移动终端中的证书、移动终端的标识信息、汽车的车辆序列号或车载设备序列号、所述用于控制汽车的指令，其中，证书在用户与汽车和移动终端首次绑定后由认证服务器生成并发送给移动终端。这里，在移动终端的用户被验证为合法用户的情况下，接收用户控制汽车的请求(例如，开、关车门等)，并根据用户的请求生成用于控制汽车的指令。

作为示例，在用户完成注册后，首次控制汽车前，可认证用户希望控制的汽车和用户的移动终端，即，绑定用户与汽车和移动终端。

作为示例，注册服务器验证用户的身份后(例如，用户在移动终端通过用户名和密码成功登陆)，可绑定用户与汽车和移动终端。具体说来，首先，移动终端可接收用户输入的汽车的车辆序列号或车载设备序列号，并将接收的汽车的车辆序列号或车载设备序列号发送到注册服务器；之后，注册服务器可将接收到的汽车的车辆序列号或车载设备序列号存储在上述提到的可信数据库中，可信数据库将之前存储的注册信息与汽车的车辆序列号或车载设备序列号相对应来完成用户和汽车的绑定。在用户与汽车进行绑定的同时，移动终端可将移动终端的标识信息(例如，IMEI(移动设备国际身份码)、IMSI(国际移动用户识别码)、移动终端型号等)发送到注册服务器；之后，注册服务器可将移动终端发送的移动终端的标识信息存储在上述提到的可信数据库中，可信数据库将之前存储的注册信息与移动终端的标识信息相对应来完成用户和移动终端的绑定。

在完成用户与汽车和移动终端首次绑定后，认证服务器可为用户生成证书，将生成的证书发送到移动终端，并将证书存储在可信数据库中。移动终端在接收到证书后可存储证书，例如，移动终端可使用128位密钥AES(高级加密标准) 加密算法来加密证书，并存储加密后的证书。作为示例，证书可包括以下项中的至少一个：用户名、注册时间、用户权限、证书有效期、移动终端型号等。这里，可信数据库可为上述提到的可信数据库，或者可信数据库可为认证服务器的可信数据库。

在步骤S300，由服务处理器将证书和移动终端的标识信息提供给认证服务器，并由认证服务器根据证书和移动终端的标识信息来验证移动终端是否为合法移动终端。

这里，为了防止用户的注册信息被盗用，而在其他未绑定的不合法的移动终端上利用被盗的注册信息来控制汽车，可进一步验证移动终端的合法性。

作为示例，首先，可由服务处理器将证书和移动终端的标识信息作为移动终端信息提供给认证服务器。这里，由于证书中包括用户名等信息，而移动终端的标识信息与注册信息(用户名和密码)相对应，因此可通过由证书和移动终端的标识信息组成的移动终端信息来验证移动终端的合法性。

之后，可由认证服务器将服务处理器提供的移动终端信息与存储在可信数据库中的合法移动终端信息进行比较来验证移动终端是否为合法移动终端。例如，当可信数据库中存储的合法移动终端信息中存在与服务处理器提供的移动终端信息一致的移动终端信息时，认证服务器可确定所述移动终端是合法移动终端，否则，确定所述终端不是合法移动终端。这里，当认证服务器确定所述移动终端不是合法移动终端时，可向移动终端发送关于移动终端不合法的信息(例如，移动终端验证失败的信息)，移动终端可为用户显示接收到的信息。

在步骤S400，在移动终端被验证为合法移动终端的情况下，由服务处理器将车辆序列号或车载设备序列号以及所述用于控制汽车的指令提供给安全服务器，并由安全服务器根据车辆序列号或车载设备序列号来验证汽车是否为合法认证的汽车。

这里，为了验证将被控制的汽车与用户和移动终端的对应关系，从而确保被控汽车的安全，可进一步验证汽车的安全性。作为示例，可通过验证移动终端发送的汽车的车辆序列号或车载设备序列号是否与被控制汽车的实际车辆序列号或车载设备序列号相一致来验证汽车是否合法。

图2示出根据本发明示例性实施例的通过移动终端来和汽车通信的认证方法中提供序列号和指令并验证汽车步骤S400的示例。

具体说来，在步骤S410，在移动终端被验证为合法移动终端的情况下，由服务处理器将车辆序列号或车载设备序列号以及所述用于控制汽车的指令提供给安全服务器。

这里，安全服务器是可以与汽车建立会话的服务器，因此，为了验证汽车是否合法，需要将车辆序列号或车载设备序列号提供给安全服务器。

在步骤S420，安全服务器在接收到车辆序列号或车载设备序列号以及所述用于控制汽车的指令的情况下，向汽车发送与汽车建立预定时长的会话的连接请求。这里，为了确保通信的安全性，可控制安全服务器与汽车的会话时长，例如，可将所述预定时长设置为10分钟。

在步骤S430，汽车在接收到连接请求时与安全服务器建立所述预定时长的会话，并将车辆序列号或车载设备序列号发送到安全服务器。

在步骤S440，安全服务器通过比较服务处理器提供的车辆序列号或车载设备序列号与汽车发送的车辆序列号或车载设备序列号是否一致来验证汽车是否为合法认证的汽车。这里，当服务处理器提供的车辆序列号或车载设备序列号与汽车发送的车辆序列号或车载设备序列号不一致，即，确定汽车不是合法认证的汽车时，安全服务器可向移动终端发送关于汽车不合法的信息(例如，汽车拒绝被控制的信息)，移动终端可为用户显示接收的信息。

再次参照图1，在步骤S500，在汽车被验证为合法认证的汽车的情况下，由安全服务器采用通信会话超时机制和随机数加密的方式验证移动终端与汽车之间的通信是否合法和安全。

这里，为了防止攻击者使用已接收的合法请求来控制汽车，可采用随机数加密的方式来验证移动终端与汽车之间的通信是否合法和安全。作为示例，当安全服务器为设置在云端的服务器时，可通过验证云端与移动终端之间、云端与汽车之间的通信是否合法和安全来验证移动终端与汽车之间的通信是否合法和安全。

作为优选示例，在图2的步骤S430中，汽车可还在建立会话的同时生成随机数和建立会话时的时间戳，将生成的随机数和时间戳发送到安全服务器，并使用预定加密算法对生成的随机数和时间戳进行加密，以生成汽车加密数据。例如，所述预定加密算法可以是256位密钥AES加密算法。

图3示出根据本发明示例性实施例的通过移动终端来和汽车通信的认证方 法中验证通信步骤S500的示例。

具体说来，在步骤S510，在汽车被验证为合法认证的汽车的情况下，安全服务器在所述预定时长的会话期间，将接收的随机数和时间戳发送到移动终端，并使用所述预定加密算法对接收的随机数和时间戳进行加密，以生成服务器加密数据。这里，当汽车使用256位密钥AES加密算法生成汽车加密数据时，安全服务器也使用256位密钥AES加密算法生成服务器加密数据。

在步骤S520，移动终端使用所述预定加密算法对接收的随机数和时间戳进行加密，以生成移动终端加密数据，并将生成的移动终端加密数据发送到安全服务器。这里，当汽车使用256位密钥AES加密算法生成汽车加密数据时，移动终端也使用256位密钥AES加密算法生成移动终端加密数据。

在步骤S530，安全服务器通过比较服务器加密数据与移动终端加密数据是否一致来验证移动移动终端与汽车之间的通信是否合法和安全。这里，当安全服务器确定移动移动终端与汽车之间的通信不安全时，可向移动终端发送关于通信不安全的信息(例如，拒绝执行指令的信息)，移动终端可为用户显示接收到的信息。

再次参照图1，在步骤S600，在移动终端与汽车之间的通信被验证为安全的情况下，安全服务器将所述用于控制汽车的指令发送到汽车，以控制汽车执行所述指令。

这里，为了进一步确保汽车的安全，汽车在执行所述指令前，可先从安全服务器接收服务器加密数据，通过将服务器加密数据与汽车加密数据进行比较而获得的比较结果来确定是否执行所述指令。

图4示出根据本发明示例性实施例的通过移动终端来控制汽车的方法中发送指令步骤S600的示例。

具体说来，在步骤S610，在移动终端与汽车之间的通信被验证为安全的情况下，安全服务器将服务器加密数据和所述用于控制汽车的指令发送到汽车。

在步骤S620，汽车比较服务器加密数据与汽车加密数据是否一致。这里，当服务器加密数据与汽车加密数据不一致时，汽车可向安全服务器发送拒绝执行指令的信息。

在步骤S630，当服务器加密数据与汽车加密数据一致时，汽车执行所述指令。例如，汽车可执行开、关门等指令。

通过在每次传输指令时使用不同的随机数,可有效防止攻击者使用已接收的合法请求来控制汽车，从而确保汽车的安全。

此外，为了使在执行所述指令前使用的验证移动终端与汽车之间的通信是否安全的随机数失效，作为示例，在汽车执行完所述指令时，汽车可将所述指令的执行结果、所述随机数和时间戳发送到安全服务器；之后，安全服务器将所述指令的执行结果，所述随机数和时间戳发送到移动终端，以使所述随机数失效。

应该理解，以上以移动终端作为控制设备仅为示例，控制设备不限于上述示例中的移动终端，还可以是其他设备，例如，计算机(例如，台式计算机)、服务器(例如，设置在云端的服务器)、汽车(即，除将被控制的汽车之外的汽车)等。用于控制汽车的请求也不限于上述示例中的开、关车门请求，还可以是其他用于控制汽车的请求。例如，当移动终端、计算机、服务器、汽车等作为控制设备时，用于控制汽车的请求还可以是启动汽车引擎、开关车门，开关汽车空调的请求；此外，当设置在云端的用于更新操作系统的更新服务器作为控制设备时，用于控制汽车的请求还可以是用于远程升级被控制的汽车的车载娱乐系统、汽车内部控制单元，汽车车载系统内安装的移动应用版本，连接到被控制的汽车的终端等的操作系统的请求等。

在本发明示例性实施例的通过移动终端来和汽车通信的认证方法和系统中，应用了授权最小化原则，使用对用户、移动终端、汽车、移动终端与汽车之间的通信的安全性进行多层安全验证的方式，在上一项验证通过的情况下才能进入下一项的验证，使得即使某一项的验证被黑客攻破，汽车也不会被攻击，从而确保了汽车的安全。并且通过采用随机数加密的方式，能够有效防止攻击者使用已接收的合法请求来控制汽车，从而进一步确保了汽车的安全。

尽管已经参照其示例性实施例具体显示和描述了本发明，但是本领域的技术人员应该理解，在不脱离权利要求所限定的本发明的精神和范围的情况下，可以对其进行形式和细节上的各种改变。