用于安全配对的方法和设备与流程

说明性实施例总体上涉及一种用于安全配对的方法和设备。

背景技术：

对于各种智能电话平台的移动应用以及用于与车辆功能进行通信并控制车辆功能的移动应用的使用是机动车领域内迅速增长的客户需求。因为车辆已经被设置有与智能电话交互、从智能电话接收命令以及将功能的控制授权给智能电话的能力，所以必须采取安全措施来防止经由智能电话或其它移动装置对车辆进行未授权的访问。先前的解决方案已经包括经由车辆屏幕直接在屏幕上访问以对装置进行配对，但是这可允许限时用户(例如，借用车辆的某个人)与车辆配对。另一先前的选项包括用于验证目的的请求之后且用于防止其访问可能不被期望的一方的立即访问的某种形式的时间延迟。然而，这可能是麻烦的。

在另一说明性的现有示例中，系统和方法可提供：确定第一移动装置相对于车辆的第一接近状态，并且确定第二移动装置相对于车辆的第二接近状态。另外，车辆的一个或更多个功能的可访问性(accessibility)可至少部分基于所述第一接近状态和所述第二接近状态而被配置。在一示例中，与第一移动装置和第二移动装置中的一个或更多个关联的策略可被识别，其中，所述可访问性基于所述策略被进一步配置。

技术实现要素：

在第一说明性实施例中，一种系统包括处理器，所述处理器被配置为：从移动装置接收用于利用车辆资源的请求。所述处理器还被配置为：确定第一钥匙是否已被用于第一次启动车辆并且第二钥匙是否已被用于第二次启动车辆，并且如果第一钥匙和第二钥匙两者分别被用于第一次启动车辆和第二次启动车辆，则准许所述请求。

在第二说明性实施例中，一种计算机实现的方法包括：如果先前已经第一次使用第一钥匙启动车辆且第二次使用第二钥匙启动车辆，并且如果所述第一次和第二次满足预定标准，则响应于由车辆处理器从移动装置接收到的请求，由车辆处理器提供对车辆资源的访问。

根据本发明的一个实施例，所述预定标准包括：确定第一钥匙和第二钥匙是否在预定时间窗内被用于启动车辆。

根据本发明的一个实施例，所述方法还包括：向用户产生指示，以使用户首先使用第一钥匙启动车辆且随后使用第二钥匙启动车辆。

根据本发明的一个实施例，所述方法还包括：当第一钥匙和第二钥匙分别被用于启动车辆时，存储与第一钥匙关联的标识符和启动时间以及与第二钥匙关联的标识符和启动时间，所述标识符由车辆发送并且由远离车辆的计算机接收。

在第三说明性实施例中，一种系统包括移动装置处理器，所述移动装置处理器被配置为：向车辆处理器发送用于利用车辆资源的请求。所述移动装置处理器还被配置为：基于先前第一次使用第一钥匙启动车辆且第二次使用第二钥匙启动车辆，从车辆处理器接收用于访问车辆资源的授权，所述第一次和第二次满足预定车辆标准。

附图说明

图1示出了说明性的车辆计算系统；

图2示出了说明性的装置或应用配对的流程；

图3示出了说明性的配对处理。

具体实施方式

根据需要，在此公开具体实施例；然而，应当理解的是，所公开的实施例仅为说明性的，其可以以多种替代形式实施。附图无需按比例绘制；可夸大或最小化一些特征以示出特定组件的细节。因此，此处所公开的具体结构和功能细节不应被解释为具有限制性，而仅仅作为教导本领域技术人员以多种形式实施要求保护的主题的代表性基础。

图1示出了用于车辆31的基于车辆的计算系统(VCS)1的示例框式拓扑图。这种基于车辆的计算系统1的示例为由福特汽车公司制造的SYNC系统。设置有基于车辆的计算系统的车辆可包含位于车辆中的可视前端界面4。如果所述界面设置有例如触摸敏感屏幕，则用户还能够与所述界面进行交互。在另一说明性实施例中，通过按钮按压、具有自动语音识别以及语音合成的口语会话系统来进行交互。

在图1所示的说明性实施例1中，处理器3控制基于车辆的计算系统的至少一部分操作。设置在车辆内的处理器允许对命令和例程进行车载处理。另外，处理器连接到非持久性存储器5和持久性存储器7两者。在该说明性实施例中，非持久性存储器是随机存取存储器(RAM)，持久性存储器是硬盘驱动器(HDD)或闪存。一般来说，持久性(非暂时性)存储器可包括当计算机或其它装置掉电时保持数据的所有形式的存储器。这些存储器包括但不限于：HDD、CD、DVD、磁带、固态驱动器、便携式USB驱动器和任何其它适当形式的持久性存储器。

处理器还设置有允许用户与处理器进行交互的若干不同的输入。在该说明性实施例中，麦克风29、辅助输入25(用于输入33)、USB输入23、GPS输入24、屏幕4(可为触摸屏显示器)和蓝牙输入15全部被设置。还设置输入选择器51，以允许用户在各种输入之间进行切换。对于麦克风和辅助连接器两者的输入在被传送到处理器之前，由转换器27对所述输入进行模数转换。尽管未示出，但是与VCS进行通信的众多车辆组件和辅助组件可使用车辆网络(诸如，但不限于，CAN总线)向VCS(或其组件)传送数据并传送来自VCS(或其组件)的数据。

系统的输出可包括但不限于可视显示器4以及扬声器13或立体声系统输出。扬声器被连接到放大器11，并通过数模转换器9从处理器3接收其信号。还可分别沿19和21所示的双向数据流产生到远程蓝牙装置(诸如，个人导航装置54)或USB装置(诸如，车辆导航装置60)的输出。

在一说明性实施例中，系统1使用蓝牙收发器15与用户的移动装置53(例如，蜂窝电话、智能电话、PDA或具有无线远程网络连接能力的任何其它装置)进行通信(17)。移动装置随后可被用于通过例如与蜂窝塔57的通信(55)来与车辆31外部的网络61进行通信(59)。在一些实施例中，蜂窝塔57可以是WiFi接入点。

移动装置与蓝牙收发器之间的示例性通信由信号14表示。

可通过按钮52或类似的输入来指示移动装置53与蓝牙收发器15进行配对。相应地，指示CPU使得车载蓝牙收发器将与移动装置中的蓝牙收发器进行配对。

可利用例如与移动装置53关联的数据计划、话上数据或DTMF音在CPU3与网络61之间传送数据。可选地，可期望包括具有天线18的车载调制解调器63，以便在CPU 3与网络61之间通过语音频带传送数据(16)。移动装置53随后可用于通过例如与蜂窝塔57的通信(55)来与车辆31外部的网络61进行通信(59)。在一些实施例中，调制解调器63可与蜂窝塔57建立通信(20)，以与网络61进行通信。作为非限制性示例，调制解调器63可以是USB蜂窝调制解调器，并且通信20可以是蜂窝通信。

在一说明性实施例中，处理器设置有包括用于与调制解调器应用软件进行通信的应用程序接口(API)的操作系统。调制解调器应用软件可访问蓝牙收发器上的嵌入式模块或固件，以完成与(诸如设置在移动装置中的)远程蓝牙收发器的无线通信。蓝牙是IEEE 802PAN(个域网)协议的子集。IEEE802LAN(局域网)协议包括WiFi并与IEEE 802PAN具有相当多的交叉功能。两者都适合于车辆内的无线通信。可在这一范围使用的另一通信方式是自由空间光通信(诸如IrDA)和非标准化消费者红外协议。

在另一实施例中，移动装置53包括用于语音频带或宽带数据通信的调制解调器。在话上数据的实施例中，当移动装置的所有者可在数据被传送的同时通过装置说话时，可实施已知为频分复用的技术。在其它时间，当所有者没有在使用装置时，数据传送可使用整个带宽(在一示例中是300Hz至3.4kHz)。尽管频分复用对于车辆与互联网之间的模拟蜂窝通信而言会是常见的并仍在被使用，但其已经很大程度上被用于数字蜂窝通信的码分多址(CDMA)、时分多址(TDMA)、空分多址(SDMA)的混合体所替代。这些都是ITU IMT-2000(3G)兼容的标准，为静止或行走的用户提供高达2mbs的数据速率，并为在移动的车辆中的用户提供高达385kbs的数据速率。3G标准现在正被IMT-Advanced(4G)所替代，其中，所述IMT-Advanced(4G)为在车辆中的用户提供100mbs的数据速率，并为静止的用户提供1gbs的数据速率。如果用户具有与移动装置关联的数据计划，则所述数据计划可允许宽带传输且系统可使用宽得多的带宽(加速数据传送)。在另一实施例中，移动装置53被安装至车辆31的蜂窝通信装置(未示出)所替代。在另一实施例中，移动装置53可以是能够通过例如(而非限制)802.11g网络(即WiFi)或WiMax网络进行通信的无线局域网(LAN)装置。

在一实施例中，传入数据可经由话上数据或数据计划穿过移动装置，穿过车载蓝牙收发器，并进入车辆的内部处理器3。例如，在某些临时数据的情况下，数据可被存储在HDD或其它存储介质7上，直至不再需要所述数据时为止。

可与车辆进行交互的另外的源包括：具有例如USB连接56和/或天线58的个人导航装置54、具有USB 62或其它连接的车辆导航装置60、车载GPS装置24、或具有与网络61连接的能力的远程导航系统(未示出)。USB是一类串行联网协议中的一种。IEEE 1394(火线^TM(苹果)、i.LINK^TM(索尼)和Lynx^TM(德州仪器))、EIA(电子工业协会)串行协议、IEEE 1284(Centronics端口)、S/PDIF(索尼/飞利浦数字互连格式)和USB-IF(USB开发者论坛)形成了装置-装置串行标准的骨干。多数协议可针对电通信或光通信来实施。

此外，CPU可与各种其它的辅助装置65进行通信。这些装置可通过无线连接67或有线连接69来连接。辅助装置65可包括但不限于个人媒体播放器、无线保健装置、便携式计算机等。

此外或可选地，可使用例如WiFi (IEEE 802.11)收发器71将CPU连接到基于车辆的无线路由器73。这可允许CPU在本地路由器73的范围内连接到远程网络。

除了由位于车辆中的车辆计算系统执行示例性处理之外，在某些实施例中，还可由与车辆计算系统进行通信的计算系统来执行示例性处理。这样的系统可包括但不限于：无线装置(例如，而非限制，移动电话)或通过无线装置连接的远程计算系统(例如，而非限制，服务器)。这样的系统可被统称为与车辆关联的计算系统(VACS)。在某些实施例中，VACS的特定组件可根据系统的特定实施而执行处理的特定部分。通过示例而并非限制的方式，如果处理具有与配对的无线装置发送或者接收信息的步骤，则很可能由于无线装置不会与自身进行信息的“发送和接收”，而使得无线装置不执行该处理的所述部分。本领域的普通技术人员将理解何时不适合对给定解决方案应用特定计算系统。

在此讨论的说明性实施例中的每一个实施例中，示出了可由计算系统执行的处理的示例性的、非限制的示例。针对每个处理，执行处理的计算系统可能出于执行处理的限制目的而变成被配置为专用处理器以执行处理。所有的处理不需要全部执行，并且被理解为可被执行以实现本发明的要素的处理类型的示例。可根据需要向示例性处理添加额外的步骤或从示例性处理去除额外的步骤。

如上所述，用于将装置/应用/账号与车辆进行配对的很多现有解决方案仍有不足之处。通过车辆界面进行配对可能是方便的，但是其可能允许非预期的用户与车辆进行配对并获得控制功能。需要长时间延迟的配对既可能激怒授权用户，又可能限制在该时间延迟期间针对这些用户的功能。随着车辆功能控制通过智能电话进行结合以及临时租赁车辆或共用车辆的越来越普遍的趋势，用于配对装置或认证应用以控制车辆功能的高效方式是所期望的。

在说明性实施例中，连同配对请求一起的多个授权的车辆钥匙的存在，允许智能电话的配对或应用的授权。由于可能只有车辆所有者或授权的请求者将可使用多于一个钥匙，所以这可提供用于验证请求的高效机制，与此同时，限制对于将最有可能被授权提出请求的那些当事方的请求。

图2示出了说明性的装置或应用配对的流程。针对该附图中描述的说明性实施例，注意到的是，通用处理器可被临时用作专用处理器，以用于执行在此示出的示例性方法中的部分或全部。当执行提供用于执行所述方法的部分或全部步骤的指令的代码时，处理器可被临时改变目的作为专用处理器，直到方法被完成时为止。在另一示例中，在适当的程度上，根据预配置的处理器执行的固件可使处理器充当被提供用于执行所述方法或它的一些合理变型的专用处理器。

在该说明性示例中，存在四个参与配对的执行实体。具体地，存在请求授权的移动应用或请求配对的装置、服务传送网络(SDN)、嵌入式调制解调器和远程无钥匙进入系统(或其它车辆钥匙)。这里，所有者正在请求授权移动应用接收用于控制车辆功能的许可(201)。另外或可选地，可发起移动装置配对请求。所有者首先利用移动装置(这里是装置上的应用)来请求配对(203)。请求被发送到SDN，在SDN配对模式基于请求而被激活(205)。在该示例中，配对模式随后寻找用于启动车辆的两个不同钥匙的存在(207)，这指示所有者有很大可能性结合配对请求来启动车辆。

在请求配对之后，所有者可利用第一钥匙来启动车辆(215)。这会产生第一钥匙被用于启动车辆的消息(217)。随后，当该处理完成时，所有者可关闭车辆并使用第二钥匙来启动车辆(219)。这会产生第二钥匙被用于启动车辆的消息(221)。在一些情况下，远程用户可被提供车辆的临时钥匙(例如，数字钥匙或代码)，正因为如此，“使用钥匙来启动车辆”的标记可能需要最初的OEM发放的钥匙被用于启动车辆，而不是数字钥匙。这可用于防止具有两个不同的临时数字钥匙的一方不适当地对应用或装置进行配对。

假如两个钥匙均被用于启动车辆并且两个成功启动的标记在超时(209)之前均被发送，则配对将是成功的，并且可产生成功消息(223)。配对随后可在移动装置上或者在请求配对的应用处被确认(225)。诸如，在一个钥匙在第一天被使用而另一钥匙在第二天被使用的情况下，超时可被用于帮助防止疏忽的配对。适当短的窗可被应用到超时，使得多钥匙启动有意地在所述窗内被完成。时间窗的流逝可导致配对处理退出装置的配对(211)并取消装置的配对(213)。

图3示出了说明性的配对处理。针对该附图中描述的说明性实施例，注意到的是，通用处理器可被临时用作专用处理器，以用于执行在此示出的示例性方法中的部分或全部。当执行提供用于执行所述方法的部分或全部步骤的指令的代码时，处理器可被临时改变目的作为专用处理器，直到方法被完成时为止。在另一示例中，在适当的程度上，根据预配置的处理器执行的固件可使处理器充当被提供用于执行所述方法或它的一些合理变型的专用处理器。

这是可运行以确定配对请求和被请求的后续操作(在该示例中，双钥匙启动处理)是否已经在适当的时间段被执行的基于车辆或基于云端的处理的示例。

处理接收配对请求(301)。所述配对请求可以是直接被发送到车辆的请求，或者被发送到云端以用于装置、应用或用户账户的授权的请求(例如，而非限制，使用装置、应用或账户来利用车辆功能的请求)。处理随后进入配对模式(303)，在该示例中，配对模式开启超时时钟并开始寻求利用第一钥匙来启动车辆(305)。例如，车辆已经用特定的钥匙被启动以及该处理将在配对请求之前基于启动来记录或报告使用了第一钥匙也是可行的。

例如，如果车辆尚未被启动，则移动装置可与后台网络(backend network)传送请求，后台网络可从车辆接收启动信息并向移动装置发送指令以有助于配对/请求许可。这避免了车辆与装置之间的直接通信，尽管在此描述的处理也可在车辆上运行并通过车辆与装置之间的直接通信来促进所述处理。

在该示例中，使得用户知晓用于配对的协议，处理随后指示用户使用不同的钥匙来重新启动车辆(307)。在该示例中，所述指示持续直到车辆被关闭为止(309)。一旦车辆被关闭且被重新启动(311)，则处理可查看是否使用了不同的钥匙(313)。利用两个不同的钥匙两次启动车辆的指示可被发送到正在进行请求的移动装置或应用以用于显示，或者可在车辆界面上被显示。根据特定实施在请求之后是否需要双启动，或者在作为双启动中的第一启动的请求之前是否对第一启动进行“计数”，处理可发出定制的指示(tailored instruction)。

如果第二次被用于启动车辆的钥匙是适当的替代钥匙(315)，则处理可报告用于启动车辆的第二钥匙的使用(或者，在许可对于处理都是本地的情况下，记录该使用)(317)。在该处理期间的任意时间点，如果超时到期，则处理可退出。

一旦第二钥匙已经被许可且被记录或报告，则处理可确认对于初始请求的许可(319)。这可能取决于被请求的访问的级别而需要来自远程源的二次许可。此外，如果后台参与，则后台可验证两个被使用的钥匙是出于配对目的与许可的钥匙对应的钥匙。两个钥匙的使用可确认存在授权用户，但是请求装置或应用可能需要其它许可(例如，以确保制造商已经许可装置或应用以被请求的方式进行使用，以避免错误或故障)。一旦被请求的许可的确认被接收(321)，则处理可对应用进行配对(或者，以其他方式提供被请求的资源/功能/控制)(323)。否则，处理可警告用户已经发生错误(325)，在这种情况下，因为此时两个钥匙都已经被正确地用于启动车辆，所以错误可能由错误的请求应用或装置导致。车辆资源包括但不限于：车辆系统的控制、车辆输入/输出的使用以及收集来自车辆系统的数据。

通过使用在此描述的多钥匙启动系统，可以以对于授权的车辆所有者或对所有钥匙具有使用权的用户来说以相对简单的方式来获得快速配对。错误的配对可被避免，并且当正确的请求被发送时，授权用户可以以相当简单的方式继续进行。

尽管上面描述了示例性实施例，但这些实施例并不意在描述本发明的所有可能形式。更确切地，说明书中使用的词语为描述性词语而非限制，并且应理解的是，可在不脱离本发明的精神和范围的情况下做出各种改变。此外，可将各种执行实施例的特征进行组合以形成本发明进一步的实施例。