一种用于电动汽车的安全远程控制系统及其方法与流程
本发明涉及电动汽车领域,特别是一种用于电动汽车的安全远程控制系统及其方法。
背景技术:
随着能源危机日益加深,电动汽车与互联网产业的蓬勃发展和不断融合,节能环保的电动汽车愈来愈受到人们的关注,成为汽车工业发展的热点之一。
近年来带远程控制功能的电动汽车更是得到广泛推广并受到好评。例如,在烈日炎炎的夏季,大多车主倾向于先启动空调,将车内预冷后再开车,于是带远程空调控制功能的电动汽车受到厂商的推崇和车主的青睐。当然,远程控制功能远不止于此,还有远程大灯控制功能、远程解锁车门功能、远程启动车辆功能等等,远程控制功能由于其能满足客户的个性化需求而受到追捧。
目前,电动汽车的远程控制功能主要由远程控制系统实现,系统主要包含非车载部件和车载部件。车载部件包括的电子控制单元数目繁多,系统结构复杂;各控制单元间通过CAN总线连接,总线负载率高;且数据通信为明码传输,安全性差。在传输过程中,远程控制系统由有线/无线网络、移动数据网络、CAN总线网络及线束接线网络串联组成,链路结构复杂,系统容易失效和出错;系统数据传输环节烦多,安全性差,容易被恶意劫持和篡改。
技术实现要素:
针对上述现有技术存在的问题,本发明提供一种用于电动汽车的安全远程控制系统及其方法。
一种用于电动汽车的安全远程控制系统,包括:车载单元和非车载单元,车载单元与非车载单元通过移动数据网络进行连接;其中,非车载单元包括:远程平台服务器以及与其相连的若干用户终端,车载单元包括:数据终端以及与其相连的集中控制器,数据终端与远程服务平台相连,集中控制器还连有若干动作执行单元;
集中控制器包括:整车控制单元以及与其相连的若干动作控制单元,并且动作控制单元与其对应的动作执行单元相连,整车控制单元还与数据终端相连。
进一步地,远程平台服务器为TSP远程平台服务器,数据终端为T-BOX数据终端。
进一步地,数据终端与集中控制器通过CAN总线相连,整车控制单元与动作控制单元通过内部总线(SPI,IIC)相连。
基于上述的一种用于电动汽车的安全远程控制系统的控制方法,步骤如下:
步骤一:用户通过用户终端发出命令至远程平台服务器;
步骤二:远程平台服务器收到命令后对其进行加密、打包,并将打包好的报文传送至数据终端;
步骤三:数据终端对报文进行解析和解密,然后对解密后的报文进行二次打包,并发送给整车控制单元,再由整车控制单元对二次打包的报文进行解析;
步骤四:整车控制单元得到解析后的控制请求命令后,对控制命令的合法性进行判断,若合法,则保存控制命令后进入步骤五,若非法,则不保存控制命令并进入步骤六;
步骤五:动作执行单元执行控制命令;
步骤六:动作执行单元不执行控制命令。
进一步地,步骤四和步骤五中,判断为合法并执行控制命令的具体步骤如下:
4.1.1 :整车控制单元将动态生成的随机码返回给数据终端;
4.1.2 :数据终端将随机码加密和打包后返回给远程平台服务器,并由远程平台服务器进行解析和解密;
4.1.3 :远程平台服务器调用加密算法生成密钥,然后将密钥经加密、打包处理后发送给数据终端;
4.1.4 :数据终端将接收到的密钥报文进行解析和解密后,转发至整车控制单元,并由整车控制单元对密钥进行验证;
4.1.5 :若密钥验证成功,则整车控制单元生成正确码,并将保存的控制命令转发至对应的动作控制单元,进而由该动作控制单元操作对应的动作执行单元,若验证失败,动作执行单元不响应。
进一步地,若密钥验证成功,整车控制单元将生成的正确码,经数据终端、远程平台服务器逐步返回至对应的用户终端并显示。
进一步地,若密钥验证失败,则执行以下步骤;
4.1.6 :判断验证时间是否超时或尝试次数是否超限,若是,则密钥验证失败,进入步骤六,若否,则整车控制单元响应错误码,并由数据终端加密、打包后发送给远程平台服务器,要求重新进行密钥验证,进入步骤4.1.3。
进一步地,步骤四中和步骤六中,判断为非法且不执行控制命令的具体步骤如下;
4.2.1 :整车控制单元对非法的命令作出负响应,同时生成错误码,由数据终端加密、打包后发送给远程平台服务器;
4.2.2 :远程平台服务器接收到错误码后,进行解析和解密,并返回给用户终端进行显示,动作执行单元不响应。
进一步地,远程平台服务器和数据终端均遵循相应的加密、解密算法进行打包和解析,并采用OTA协议对数据报文进行封装和传输。
进一步地,所述的随机码和密钥均为32位的十六进制代码。
与现有技术相比,本发明具有以下有益效果:
1. 本发明所提出的控制系统,通过精简并集成车载控制单元,使其成为一个单独的集中控制器,这不仅减化了远程控制系统结构和链路的复杂性,也减少了失效环节,既简单又可靠。
2. 通过取消分散的车载控制单元间的CAN总线连接,减小了由于车载控制单元间CAN总线的明码传输带来的安全风险,提高了远程控制系统的可靠性。
3. 通过对数据终端与集中控制器间的数据传输加入32位的十六进制动态随机码和密钥验证,提高了远程控制系统的安全性,有效地防止了数据被恶意劫持和篡改。
4. 采用一问一答的“请求/应答”握手传输机制,有效地降低了CAN总线负载率,减少了TSP远程平台服务器与数据终端间通过移动数据网络传输的通信流量,在保障远程控制功能正常的情况下,节约数据通信资费,使用户使用经济性得到显著提高。
附图说明
图1为本发明的系统框图。
图2为集中控制器的内部结构框图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
实施例一
如图1和图2所示的一种用于电动汽车的安全远程控制系统,包括:车载单元和非车载单元,车载单元与非车载单元通过移动数据网络进行连接;其中,非车载单元包括:远程平台服务器以及与其相连的若干用户终端,车载单元包括:数据终端以及与其相连的集中控制器,数据终端与远程服务平台相连,集中控制器还连有若干动作执行单元;
集中控制器包括:整车控制单元以及与其相连的若干动作控制单元,并且动作控制单元与其对应的动作执行单元相连,整车控制单元还与数据终端相连。
本实施例中,远程平台服务器为TSP远程平台服务器,数据终端为T-BOX数据终端。
本实施例中,数据终端与集中控制器通过CAN总线相连,整车控制单元与动作控制单元通过内部总线相连,内部总线可以为SPI或IIC,也可以使用其他适用的类型。
实施例二
本实施例基于上述的一种用于电动汽车的安全远程控制系统的控制方法,步骤如下:
步骤一:用户通过用户终端发出命令至远程平台服务器;
步骤二:远程平台服务器收到命令后对其进行加密、打包,并将打包好的报文传送至数据终端;
步骤三:数据终端对报文进行解析和解密,然后对解密后的报文进行二次打包,并发送给整车控制单元,再由整车控制单元对二次打包的报文进行解析;
步骤四:整车控制单元得到解析后的控制请求命令后,对控制命令的合法性进行判断,若合法,则保存控制命令后进入步骤五,若非法,则不保存控制命令并进入步骤六;
步骤五:动作执行单元执行控制命令;
步骤六:动作执行单元不执行控制命令。
本实施例的步骤四和步骤五中,判断为合法并执行控制命令的具体步骤如下:
4.1.1 :整车控制单元将动态生成的随机码返回给数据终端;
4.1.2 :数据终端将随机码加密和打包后返回给远程平台服务器,并由远程平台服务器进行解析和解密;
4.1.3 :远程平台服务器调用加密算法生成密钥,然后将密钥经加密、打包处理后发送给数据终端;
4.1.4 :数据终端将接收到的密钥报文进行解析和解密后,转发至整车控制单元,并由整车控制单元对密钥进行验证;
4.1.5 :若密钥验证成功,则整车控制单元生成正确码,并将保存的控制命令转发至对应的动作控制单元,进而由该动作控制单元操作对应的动作执行单元,若验证失败,动作执行单元不响应。
本实施例中,若密钥验证成功,整车控制单元将生成的正确码,经数据终端、远程平台服务器逐步返回至对应的用户终端并显示。
本实施例中,若密钥验证失败,则执行以下步骤;
4.1.6 :判断验证时间是否超时或尝试次数是否超限,若是,则密钥验证失败,进入步骤六,若否,则整车控制单元响应错误码,并由数据终端加密、打包后发送给远程平台服务器,要求重新进行密钥验证,进入步骤4.1.3。
步骤四和步骤六中,判断为非法且不执行控制命令的具体步骤如下;
4.2.1 :整车控制单元对非法的命令作出负响应,同时生成错误码,由数据终端加密、打包后发送给远程平台服务器;
4.2.2 :远程平台服务器接收到错误码后,进行解析和解密,并返回给用户终端进行显示,动作执行单元不响应。
本实施例中,远程平台服务器和数据终端均遵循相应的加密、解密算法进行打包和解析,并采用OTA协议对数据报文进行封装和传输。
本实施例中,所述的随机码和密钥均为32位的十六进制代码。
实施例三
本实施例结合实施例一与实施例二,并以电动汽车的充电功能为例,对本发明的控制方法进行举例说明。
正常充电时,首先由用户终端提交远程充电控制请求命令,TSP远程平台服务器接收到请求命令后,对命令进行加密处理并按照OTA协议打包,并由远程平台服务器将打包的报文发送至T-BOX数据终端;数据终端遵循OTA协议及加密算法解析报文,报文解析完成后,还需要按照CAN总线协议及应用协议二次打包,然后将打包的控制命令报文转发至整车控制单元,当整车控制单元接收到报文后再进行解析。
若整车控制单元检测到接收的控制命令,则会将当前解析的请求控制命令进行合法性判断,若合法,则整车控制单元会保存该控制命令,并将动态生成的32位十六进制随机码返回给数据终端;再由数据终端返回给远程平台服务器,远程平台服务器接收到随机码后会调用加密算法生成对应的32位十六进制密钥,然后将密钥经加密、打包处理后,经数据终端转发至整车控制单元,由整车控制单元再对接收到的密钥进行解析和验证,验证成功后会将充电请求命令转发至充电控制器,再由充电控制器控制执行部件打开充电功能;充电功能开启成功的状态再经整车控制单元、数据终端、远程平台服务器逐步返回至对应的用户终端并进行显示。
- 还没有人留言评论。精彩留言会获得点赞!