车辆安全通信方法、装置、车辆多媒体系统及车辆与流程

本发明涉及车联网领域，具体地，涉及一种车辆安全通信方法、装置、车辆多媒体系统及车辆。

背景技术：

随着车载多媒体的大屏化的发展和车联网以及4g、wifi热点的普及，车载多媒体逐渐成为车主的另一个重要的移动终端系统，原有小屏幕的传统车机封闭式系统渐渐无法满足用户越来越多的娱乐化和多媒体化需求。目前，许多车载多媒体都开始搭载4g模块和wifi模块，可以接入互联网，并允许客户自行安装偏好的app应用。另外，随着大数据和云服务的发展，出现了远程控制车机的技术，车载多媒体是接受云服务的载体，但是这样会给客户带来很大的安全隐患，因为车载多媒体和整车其他部件存在通信和互联，车载多媒体会发出很多控制整车其他部件的指令，一旦联网之后，车载多媒体就像电脑和手机一样，容易遭到恶意程序的入侵，不法分子会远程模拟云服务器给汽车发送错误指令。一旦被恶意入侵，可能会在车主进行驾驶时远程控制车载多媒体发出错误指令给其他部件，影响车主安全驾驶，所以对车载多媒体接入互联网时进行必要的信息安全保障是很有必要的。

技术实现要素：

本发明的目的是提供一种车辆安全通信方法、装置、车辆多媒体系统及车辆，以提高车辆联网通信时的安全性。

为了实现上述目的，根据本发明的第一方面，提供了一种车辆安全通信方法，所述车辆包括开放式系统、安全芯片和封闭式系统，所述开放式系统 与所述封闭式系统之间通过所述安全芯片连接，所述方法应用于所述安全芯片，并且所述方法包括：接收来自所述开放式系统的第一控制指令，其中，所述第一控制指令包括加密控制数据；对所述第一控制指令中的所述加密控制数据进行解密；当解密成功时，得到解密控制数据；将所述第一控制指令中的所述加密控制数据替换为所述解密控制数据，形成第二控制指令，并将所述第二控制指令发送至所述封闭式系统，以使所述封闭式系统根据所述第二控制指令控制所述车辆执行目标操作。

根据本发明的第二方面，提供了一种车辆安全通信方法，所述车辆包括开放式系统、安全芯片和封闭式系统，所述开放式系统与所述封闭式系统之间通过所述安全芯片连接，所述开放式系统与服务器连接，所述方法应用于所述服务器，并且所述方法包括：接收来自用户终端的原始控制数据，其中，所述原始控制数据用于指示所述车辆要执行的目标操作；对所述原始控制数据进行加密，得到相对应的加密控制数据；将所述加密控制数据发送至所述开放式系统。

根据本发明的第三方面，提供了一种车辆安全通信装置，所述车辆包括开放式系统、安全芯片和封闭式系统，所述开放式系统与所述封闭式系统之间通过所述安全芯片连接，所述装置配置于所述安全芯片，并且所述装置包括：第一接收模块，被配置为接收来自所述开放式系统的第一控制指令，其中，所述第一控制指令包括加密控制数据；第一解密模块，被配置为对所述第一控制指令中的所述加密控制数据进行解密，当解密成功时，得到解密控制数据；第一发送模块，被配置为将所述第一控制指令中的所述加密控制数据替换为所述解密控制数据，形成第二控制指令，并将所述第二控制指令发送至所述封闭式系统，以使所述封闭式系统根据所述第二控制指令控制所述车辆执行目标操作。

根据本发明的第四方面，提供了一种车辆安全通信装置，所述车辆包括 开放式系统、安全芯片和封闭式系统，所述开放式系统与所述封闭式系统之间通过所述安全芯片连接，所述开放式系统与服务器连接，所述装置配置于所述服务器，并且所述装置包括：第三接收模块，被配置为接收来自用户终端的原始控制数据，其中，所述原始控制数据用于指示所述车辆要执行的目标操作；第二加密模块，被配置为对所述原始控制数据进行加密，得到相对应的加密控制数据；第四发送模块，被配置为将所述加密控制数据发送至所述开放式系统。

根据本发明的第五方面，提供了一种车辆多媒体系统，所述系统包括：开放式系统，用于车辆联网，并与服务器进行通信，所述开放式系统用于接收来自所述服务器的加密控制数据，并发送包括所述加密控制数据的第一控制指令；安全芯片，该安全芯片包括根据本发明的第三方面所提供的车辆安全通信装置；封闭式系统，所述封闭式系统与所述开放式系统之间通过所述安全芯片通信，所述封闭式系统用于接收来自所述安全芯片的所述第二控制指令，并根据所述第二控制指令控制车辆执行目标操作。

根据本发明的第六方面，提供了一种车辆，该车辆包括根据本发明的第五方面提供的车辆多媒体系统。

在上述技术方案中，通过服务器向车辆的开放式系统发送经过加密处理的控制数据，该经过加密处理的控制数据能够由开放式系统转发给安全芯片，由安全芯片进行解密处理，只有在解密成功时，经解密得到的控制数据才会被发送至封闭式系统，此时，封闭式系统才会根据该控制数据控制车辆执行相应操作。由此，能够提高车辆联网通信时的安全性，确保只有合法的控制数据才会被发送至封闭式系统，防止因恶意程序的入侵导致对车辆进行错误的控制，从而确保车辆远程控制的安全性。

本发明的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1是根据一示例性实施例示出的一种实施环境的示意图。

图2是根据一示例性实施例示出的一种配置在车辆中的双系统的结构框图。

图3是根据一示例性实施例示出的一种车辆安全通信方法的流程图。

图4是根据一示例性实施例示出的另一种车辆安全通信方法的流程图。

图5是根据一示例性实施例示出的一种在车辆通信过程中，用户终端、服务器、开放式系统、安全芯片、以及封闭式系统之间的信令交互图。

图6a是一种示例第一控制指令的组成示意图。

图6b是另一种示例第一控制指令的组成示意图。

图6c是一种示例第二控制指令的组成示意图。

图7是根据另一示例性实施例示出的一种车辆安全通信方法的流程图。

图8是一种示例第一执行结果指令的组成示意图。

图9是根据另一示例性实施例示出的另一种车辆安全通信方法的流程图。

图10是根据另一示例性实施例示出的一种在车辆通信过程中，用户终端、服务器、开放式系统、安全芯片、以及封闭式系统之间的信令交互图。

图11a是另一种示例第一执行结果指令的组成示意图。

图11b是一种示例第二执行结果指令的组成示意图。

图11c是另一种示例第一执行结果指令的组成示意图。

图12是根据一示例性实施例示出的一种车辆安全通信装置的框图。

图13是根据另一示例性实施例示出的一种车辆安全通信装置的框图。

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

图1是根据一示例性实施例示出的一种实施环境的示意图。如图1所示，该实施环境可以包括用户终端100、服务器200和车辆300。

在本发明中，服务器200可以是为车辆300提供服务的电子设备，其可以由车辆300的服务提供商所有。用户能够通过用户终端100在服务器200上进行注册，使用户终端100与车辆300相关联，这样，用户终端100能够经由服务器200与车辆300进行通信，从而实现用户对车辆300的远程控制。另外，车辆300也可以将车辆相关的数据反馈给服务器200，以便服务提供商对车辆300进行远程维护，并且如果需要，服务器200还可以将该车辆相关的数据反馈给用户终端100，从而使用户能够随时掌握车辆状况。

在本发明中，用户终端100可以是能够联网、与服务器200进行通信的电子设备。用户终端100可以例如是智能手机、平板电脑、pc机、笔记本电脑等等。图1中以用户终端100是智能手机来示意。

为了提高车辆300在联网时的安全性，在本发明的实施例中，在车辆300中配置了具有双系统的车辆多媒体系统，图2是根据一示例性实施例示出的一种配置在车辆中的车辆多媒体系统的结构框图。如图2所示，该车辆多媒体系统可以包括：开放式系统301和封闭式系统302。其中，开放式系统301用于车辆300联网、与外部设备(例如，服务器200)进行通信，并且允许用户根据喜好安装各种app应用。示例地，开放式系统301中可以配置有开放式核心板303和联网模块304(该联网模块304可以例如为wifi模块、gps模块、3g模块、4g模块等等)，其中，开放式核心板303与联网模块304连接，能够通过该联网模块304进行联网操作，以与外部设备(例如， 服务器200)通信。

封闭式系统302不被允许接入互联网，其用于与整车进行交互通信。示例地，封闭式系统302中可以配置有车辆300的微控制单元mcu305，该mcu305能够与整车can总线连接，通过can总线，mcu305能够控制整车操作，以及从can总线获取车辆数据。开放式系统301和封闭式系统302间能保持独立运行。此外，开放式系统301与封闭式系统302之间可以通过安全芯片306连接，示例地，开放式核心板303与mcu305之间通过安全芯片306连接。其中，开放式核心板303与安全芯片306之间可以通过sdio(安全数字输入输出)接口连接，安全芯片306与mcu305之间可以通过spi(串行外设接口)标准口连接。在本发明的一个示例实施方式中，该安全芯片306可以选用ssx1207型安全芯片，其可提供数据加密、身份认证、有限安全存储等服务。通过该安全芯片306，可以提升车辆联网时的安全性。

图3是根据一示例性实施例示出的一种车辆安全通信方法的流程图，其中，该方法可以应用于服务器中，例如，图1所示的服务器200。如图3所示，该方法可以包括以下步骤。

在步骤s301中，接收来自用户终端的原始控制数据，其中，该原始控制数据用于指示车辆要执行的目标操作。

在本发明中，目标操作可以例如包括但不限于以下：解锁、启动、加速、减速、熄火、锁车、车窗升降、多媒体设备控制(启动、音量调节、切换多媒体文件等)等等。

在步骤s302中，对原始控制数据进行加密，得到相对应的加密控制数据。

服务器可以预先与安全芯片约定一加密协议，这样，服务器可以按照该加密协议，对接收到的原始控制数据进行加密处理，并得到加密控制数据。

在步骤s303中，将加密控制数据发送至开放式系统。

开放式系统在接收到该加密控制数据后，可以生成第一控制指令，并且将所接收到的加密控制数据包含在该第一控制指令中。之后，开放式系统将该第一控制指令发送至安全芯片，以由安全芯片对该加密控制数据进行安全性认证。

图4是根据一示例性实施例示出的另一种车辆安全通信方法的流程图，其中，该方法可以应用于安全芯片中，例如，图2所示的安全芯片306。如图4所示，该方法可以包括以下步骤。

在步骤s401中，接收来自开放式系统的第一控制指令，其中，该第一控制指令包括加密控制数据。

在步骤s402中，对第一控制指令中的加密控制数据进行解密。

如前所述，服务器可以预先与安全芯片约定一加密协议，这样，安全芯片可以按照该加密协议，对接收到的第一控制指令中的加密控制数据进行解密处理。

在步骤s403中，当解密成功时，得到解密控制数据。

在步骤s404中，将第一控制指令中的加密控制数据替换为解密控制数据，形成第二控制指令，并将该第二控制指令发送至封闭式系统，以使封闭式系统根据该第二控制指令控制车辆执行目标操作。

例如，假设服务器接收到的来自用户终端的原始控制数据用于指示车辆要进行的目标操作为解锁操作，那么，如果安全芯片解密成功，则其向封闭式系统发送的第二控制指令同样可以指示车辆要进行的目标操作为解锁操作。当封闭式系统(例如，mcu)接收到第二控制指令后，通过对第二控制指令进行解析，能够得知目标操作为解锁操作，之后，封闭式系统能够将解锁指令发送至can总线中，车辆中的解锁部件能够从can总线中获取到这一解锁指令，并根据该解锁指令来执行解锁操作，由此，完成对车辆的解锁 操作。

图5是根据一示例性实施例示出的一种在车辆通信过程中，用户终端、服务器、开放式系统、安全芯片、以及封闭式系统之间的信令交互图。其中，用户终端例如为图1所示的用户终端100，服务器例如为图1所示的服务器200，开放式系统例如为图2所示的开放式系统301，安全芯片例如为图2所示的安全芯片306，封闭式系统例如为图2所示的封闭式系统302。图5涉及以上用于服务器和用于安全芯片的车辆安全通信方法中的步骤，因而，其具体的信令交互过程此处不再详细描述。

此外，虽然在图4中未示出，但是以上应用于安全芯片的车辆安全通信方法还可以包括：当解密失败时，不向封闭式系统发送任何控制指令。也就是说，一旦解密失败，安全芯片就可以将来自开放式系统的指令拦截。例如，当开放式系统被恶意程序入侵而冒充该开放式系统发送控制指令时，由于安全芯片的防护作用，该控制指令不会被发送至封闭式系统，从而确保封闭式系统及整车的安全性。

在上述技术方案中，通过服务器向车辆的开放式系统发送经过加密处理的控制数据，该经过加密处理的控制数据能够由开放式系统转发给安全芯片，由安全芯片进行解密处理，只有在解密成功时，经解密得到的控制数据才会被发送至封闭式系统，此时，封闭式系统才会根据该控制数据控制车辆执行相应操作。由此，能够提高车辆联网通信时的安全性，确保只有合法的控制数据才会被发送至封闭式系统，防止因恶意程序的入侵导致对车辆进行错误的控制，从而确保车辆远程控制的安全性。

在一些可选的实施方式中，安全芯片可以对解密失败的次数进行计数。当解密失败的次数达到预设次数(例如，≥1)时，则表明开放式系统此时可能存在很大的安全隐患。在这种情况下，安全芯片可以向开放式系统发送重启指令和/或杀毒指令，其中，该重启指令可以用于控制开放式系统进行重 启操作，该杀毒指令可以用于控制开放式系统进行杀毒操作。这样，可以在一定程度上解除开放式系统的安全隐患，防止恶意程序长时间威胁开放式系统的安全。

另外，在一些可选的实施方式中，服务器还可以在接收到原始控制数据之后，计算该原始控制数据的奇偶校验码。随后，将该奇偶校验码发送至开放式系统。开放式系统在接收到原始控制数据的奇偶校验码之后，可以将其与加密控制数据一同包含在第一控制指令中，例如，此时的第一控制指令的组成可以如图6a所示。安全芯片在接收到这一第一控制指令后，可以首先对其中的加密控制数据进行解密，如果解密成功，则能够得到解密控制数据。之后，安全芯片可以计算该解密控制数据的奇偶校验码。理论上，解密控制数据应当与原始控制数据相同，因此，二者的奇偶校验码应当一致。当第一控制指令中包括的奇偶校验码与解密控制数据的奇偶校验码相一致时，此时，安全芯片可以进一步确定接收到的第一控制指令为合法指令，因此，可以将第一控制指令中的加密控制数据替换为解密控制数据，形成第二控制指令，并将第二控制指令发送至封闭式系统。当第一控制指令中包括的奇偶校验码与解密控制数据的奇偶校验码不一致时，此时，安全芯片可以确定接收到的第一控制指令为非法指令，此时，可以拦截该指令，不向封闭式系统发送任何指令，从而确保整车安全性。

通过以上实施方式，可以进一步提高对合法指令识别的准确性，降低将非法指令错误地识别为合法指令的可能性，从而进一步提高整车安全性。

如前所述，用户可以通过用户终端向服务器发送原始控制数据，该原始控制数据可以用于指示车辆要执行的目标操作。在本发明的一些实施方式中，不同的目标操作可以具有不同的安全等级，目标操作的安全等级能够用于表示该目标操作是否为敏感操作。

在一个实施方式中，服务器可以不管原始控制数据所指示的目标操作的 安全等级如何，都直接将原始控制数据进行加密。或者，在另一个实施方式中，服务器可以根据原始控制数据所指示的目标操作是否为敏感操作，来选择性地对原始控制数据进行加密。

例如，服务器在接收到原始控制数据后，可以根据该原始控制数据所指示的目标操作，确定该原始控制数据的安全等级信息，其中，该安全等级信息可以用于表示原始控制数据是否为敏感数据。例如，在服务器中可以预先存储有敏感操作列表，这样，服务器在接收到原始控制数据后，通过对该原始控制数据进行解析，能够获悉目标操作信息。之后，服务器可以查询敏感操作列表。如果在敏感操作列表中查询到目标操作信息，则表明该目标操作为敏感操作。相应地，原始控制数据为敏感数据。而如果在敏感操作列表中没有查询到目标操作信息，则表明该目标操作为非敏感操作。相应地，原始控制数据为非敏感数据。

当原始控制数据的安全等级信息表示原始控制数据为敏感数据时，服务器才对该原始控制数据进行加密，得到相对应的加密控制数据。也就是说，加密处理操作仅针对敏感数据。而当原始控制数据的安全等级信息表示原始控制数据为非敏感数据时，服务器可以不对该原始控制数据进行加密，直接将原始控制数据发送至开放式系统。

在服务器向开放式系统发送加密控制数据或者原始控制数据时，还可以同时将原始控制数据的安全等级信息发送至开放式系统。例如，将原始控制数据的安全等级信息附加到加密控制数据或者原始控制数据的头部，形成一条信令，然后将该信令发送至开放式系统。这样，开放式系统在接收到该信令之后，通过对头部信息进行解析，能够确定出信令中包括的控制数据是经过加密处理的还是未经过加密处理的(即，原始的)。当原始控制数据的安全等级信息表示原始控制数据为敏感数据时，开放式系统生成并向安全芯片发送第一控制指令，其中，该第一控制指令可以包括：原始控制数据的安全 等级信息和加密控制数据。当原始控制数据的安全等级信息表示原始控制数据为非敏感数据时，开放式系统可以生成并向安全芯片发送第三控制指令，其中，该第三控制指令可以包括：原始控制数据的安全等级信息和原始控制数据。安全芯片在接收到来自开放式系统的控制指令后，可以通过其中包括的安全等级信息来获悉该指令中包括的控制数据是否是加密的。如果是，则确定所接收到的是第一控制指令，并按照图4所示的方法进行解密处理，如果不是，则确定所接收到的是第三控制指令，此时，可以不进行解密处理，而是直接将该第三控制指令发送至封闭式系统。

当第二控制指令或第三控制指令被发送至封闭式系统之后，封闭式系统中的mcu能够通过多种方式来获悉该指令中的控制数据是意图用于控制车辆执行何种目标操作。例如，在一个实施方式中，在封闭式系统中的mcu接收到来自安全芯片的第二控制指令后，其可以从其中提取出解密控制数据。在mcu中可以预先存储有控制数据-操作映射表，在该映射表中记录有至少一种操作以及每种操作相对应的控制数据。mcu可以利用提取出的解密控制数据来查询该映射表，以从该映射表中获悉相对应的操作，该操作即为车辆要执行的目标操作。

或者，在另一个实施方式中，服务器可以在通过对原始控制数据进行解析得出目标操作之后，生成第一映射指令数据，其中，该第一映射指令数据可以用于标识该目标操作。之后，服务器能够将该第一映射指令数据发送至开放式系统。这样，开放式系统可以将该第一映射指令数据包含在第一控制指令中，例如，此时所形成的第一控制指令的组成如图6b所示。这样，在安全芯片解密成功时，在所形成的第二控制指令中，可以保留该第一映射指令数据，例如，此时所形成的第二控制指令的组成如图6c所示。当封闭式系统中的mcu接收到该第二控制指令后，其可以从其中提取出第一映射指令数据，并由此获悉车辆要执行的目标操作。

在获悉车辆要执行的目标操作之后，mcu能够将第二控制指令中包括的解密控制数据发送至can总线中，以由相应的执行部件从can总线中获取该解密控制数据，并随后执行相应的目标操作。

在开放式系统与安全芯片之间的交互过程中，有时可能会受到干扰，这就导致安全芯片接收到的第一控制指令可能不完整，从而导致后续的安全认证失败。为了防止这一情况发生，在本发明的一个可选的实施方式中，安全芯片可以在对第一控制指令中的加密控制数据进行解密之前，首先判断第一控制指令的传输是否正常。当确定第一控制指令的传输正常时，才对第一控制指令中的加密控制数据进行解密。

示例地，开放式系统在向安全芯片发送第一控制指令之前，首先计算该第一控制指令的奇偶校验码，并将该奇偶校验码附加到第一控制指令的尾部，形成一条信令，并发送至安全芯片。安全芯片在接收到该信令之后，可以提取出除尾部信息之外的信息，并计算该信息的奇偶校验码。当所计算出的奇偶校验码与尾部信息中包含的奇偶校验码相一致时，表示第一控制指令的传输正常。否则，表示第一控制指令的传输异常。

当确定第一控制指令的传输异常时，安全芯片可以向开放式系统发送第一重传指令，其中，该第一重传指令可以用于指示开放式系统重新传输第一控制指令。

通过这一实施方式，可以避免原本是合法的第一控制指令因传输干扰而导致安全芯片解密失败的情况发生，从而可以进一步提高安全认证的准确性和可靠性。

以上描述了当用户意图通过用户终端远程控制车辆操作时，用户终端、服务器、开放式系统、安全芯片以及封闭式系统之间的交互过程。在本发明的其他实施方式中，封闭式系统也可以通过安全芯片和开放式系统，向服务器反馈车辆信息，例如，针对目标操作的执行结果数据，如下面描述的。

图7是根据另一示例性实施例示出的一种车辆安全通信方法的流程图，其中，该方法可以应用于安全芯片中，例如，图2所示的安全芯片306。如图7所示，在图4所示的方法的基础上，该方法还可以包括以下步骤。

在步骤s701中，接收封闭式系统(例如，图2所示的封闭式系统302)在执行目标操作后发送的第一执行结果指令，其中，该第一执行结果指令可以包括针对目标操作的原始执行结果数据。

封闭式系统中的mcu可以从can总线上获取原始执行结果数据，该原始执行结果数据可以为相应的执行部件在执行目标操作后向mcu反馈的执行结果数据。例如，当原始控制数据指示车辆进行解锁操作时，则在车辆解锁后，解锁部件可以将解锁结果反馈至can总线。此时，mcu可以从can总线上监听到这一数据，并生成第一执行结果指令，之后，将该数据作为原始执行结果数据包含在第一执行结果指令当中，并将其发送给安全芯片。

可选地，mcu还可以在监听到数据之后，生成第二映射指令数据，其中，该第二映射指令数据可以用于标识原始执行结果数据的类型。例如，假设mcu监听到的是来自解锁部件的解锁结果数据，则mcu生成的第二映射指令数据可以用于标识该原始执行结果数据的类型为解锁结果。mcu可以将第二映射指令数据包含在第一执行结果指令当中，如图8所示的第一执行结果指令，以便日后传输到服务器中时，服务器能够通过该第二映射指令数据，得知该原始执行结果数据的类型，从而进行相应处理。

在步骤s702中，对第一执行结果指令中的原始执行结果数据进行加密，得到相对应的加密执行结果数据。

如前所述，服务器可以预先与安全芯片约定一加密协议，这样，安全芯片可以按照该加密协议，对接收到的第一执行结果指令中的原始执行结果数据进行加密处理，并得到加密执行结果数据。

在步骤s703中，将第一执行结果指令中的原始执行结果数据替换为加密执行结果数据，形成第二执行结果指令，并将该第二执行结果指令发送至开放式系统。

开放式系统在接收到来自安全芯片的第二执行结果指令后，可以将其转发至服务器，以由服务器进行解密处理。

图9是根据另一示例性实施例示出的另一种车辆安全通信方法的流程图，其中，该方法可以应用于服务器中，例如，图1所示的服务器200。如图9所示，在图3所示的方法的基础上，该方法还可以包括以下步骤。

在步骤s901中，接收来自开放式系统的第二执行结果指令，其中，该第二执行结果指令是由开放式系统从安全芯片转发的，并且该第二执行结果指令包括加密执行结果数据。

在步骤s902中，对第二执行结果指令中的加密执行结果数据进行解密。

如前所述，服务器可以预先与安全芯片约定一加密协议，这样，服务器可以按照该加密协议，对接收到的第二执行结果指令中的加密执行结果数据进行解密处理。

在步骤s903中，当解密成功时，得到解密执行结果数据。

在步骤s904中，将解密执行结果数据发送至用户终端，以告知所述用户终端有关目标操作的执行结果。

图10是根据另一示例性实施例示出的一种在车辆通信过程中，用户终端、服务器、开放式系统、安全芯片、以及封闭式系统之间的信令交互图。其中，用户终端例如为图1所示的用户终端100，服务器例如为图1所示的服务器200，开放式系统例如为图2所示的开放式系统301，安全芯片例如为图2所示的安全芯片306，封闭式系统例如为图2所示的封闭式系统302。图10涉及以上用于服务器和用于安全芯片的车辆安全通信方法中的步骤，因而，其具体的信令交互过程此处不再详细描述。

在上述技术方案中，通过安全芯片对来自封闭式系统的执行结果数据进行加密处理，并通过开放式系统将经过加密处理的执行结果数据发送至服务器，由服务器进行解密处理，只有在解密成功时，服务器才能获取到来自封闭式系统的执行结果数据。由此，能够避免非法的服务器所有者获悉车辆信息，从而确保车辆信息的安全性。

在一些可选的实施方式中，封闭式系统中的mcu可以在获取到原始执行结果数据之后，计算该原始执行结果数据的奇偶校验码。随后，封闭式系统可以将其与原始执行结果数据一同包含在第一执行结果指令中，例如，此时的第一执行结果指令的组成可以如图11a所示。安全芯片在接收到这一第一执行结果指令后，可以首先对其中的原始执行结果数据进行加密，得到加密执行结果数据。随后，将第一执行结果指令中的原始执行结果数据替换为加密执行结果数据，形成第二执行结果指令，例如，此时的第二执行结果指令的组成可以如图11b所示，并将第二执行结果指令发送至开放式系统。当开放式系统将第二执行结果指令转发至服务器后，服务器可以首先对其中的加密执行结果数据进行解密，如果解密成功，则能够得到解密执行结果数据。理论上，解密执行结果数据应当与原始执行结果数据相同，因此，二者的奇偶校验码应当一致。当第二执行结果指令中包括的奇偶校验码与解密执行结果数据的奇偶校验码相一致时，此时，服务器可以确定接收到的第二执行结果指令为合法的，其中的解密执行结果数据是来自于车辆的真实整车数据。

此外，在一些可选的实施方式中，封闭式系统中的mcu所获取到的原始执行结果数据可以具有不同的安全等级，其中，该安全等级信息可以用于表示该原始执行结果数据是否为敏感数据。在这种情况下，mcu在生成第一执行结果指令后，可以将原始执行结果数据的安全等级信息包含在第一执行结果指令中，例如，此时的第一执行结果指令的组成可以如图11c所示。这样，当安全芯片接收到第一执行结果指令后，可以通过该安全等级信息， 判断原始执行结果数据是否为敏感数据。在一个实施方式中，安全芯片可以不管原始执行结果数据的安全等级如何，都对该原始执行结果数据进行加密处理。或者，在另一个实施方式中，当安全等级信息表示原始执行结果数据为敏感数据时，安全芯片才对第一执行结果指令中的原始执行结果数据进行加密，得到相对应的加密执行结果数据。也就是说，加密处理操作仅针对敏感数据。而当原始执行结果数据安全等级信息表示原始执行结果数据为非敏感数据时，安全芯片可以不对该原始执行结果数据进行加密。

当原始执行结果数据的安全等级信息表示原始执行结果数据为敏感数据时，安全芯片可以生成第二执行结果指令，其中，该第二执行结果指令中可以包括原始执行结果数据的安全等级信息、以及加密执行结果数据。当原始执行结果数据的安全等级信息表示原始执行结果数据为非敏感数据时，安全芯片可以直接将第一执行结果指令转发给开放式系统。服务器在接收到由开放式系统转发的指令后，可以通过对其中的安全等级信息进行解析，确定出指令中包括的数据是经过加密处理的还是未经过加密处理的(即，原始的)。当安全等级信息表示原始执行结果数据为敏感数据时，则服务器能够确定接收到的是第二执行结果指令，并对其中的加密执行结果数据进行解密。当安全等级信息表示原始执行结果数据为非敏感数据时，则服务器能够确定接收到的是第一执行结果指令，并可以直接将其中的原始执行结果数据发送给用户终端。

此外，在服务器与开放式系统之间的交互过程中、在开放式系统与安全芯片之间的交互过程中、以及在安全芯片与封闭式系统中的mcu之间的交互过程中，有时可能会受到干扰，这就导致安全芯片接收到的第一执行结果指令可能不完整，或者服务器接收到的第二执行结果指令不完整，从而导致后续的解密失败。为了防止这一情况发生，在本发明的一个可选的实施方式中，安全芯片可以在对第一执行结果指令中的原始执行结果数据进行加密处 理之前，先判断第一执行结果指令的传输是否正常。当确定第一执行结果指令的传输正常时，才对第一执行结果指令中的原始执行结果数据进行加密。

示例地，封闭式系统在向安全芯片发送第一执行结果指令之前，首先计算该第一执行结果指令的奇偶校验码，并将该奇偶校验码附加到第一执行结果指令的尾部，形成一条信令，并发送至安全芯片。安全芯片在接收到该信令之后，可以提取出除尾部信息之外的信息，并计算该信息的奇偶校验码。当所计算出的奇偶校验码与尾部信息中包含的奇偶校验码相一致时，表示第一执行结果指令的传输正常。否则，表示第一执行结果指令的传输异常。

当确定第一执行结果指令的传输异常时，安全芯片可以向封闭式系统发送第二重传指令，其中，该第二重传指令可以用于指示封闭式系统重新传输第一执行结果指令。

另外，在服务器侧，其可以在对接收到的第二执行结果指令中的加密执行结果数据进行解密之前，先判断该第二执行结果指令的传输是否正常。当确定第二执行结果指令的传输正常时，才对该第二执行结果指令中的加密执行结果数据进行解密。

示例地，安全芯片可以在向开放式系统发送第二执行结果指令之前，首先计算该第二执行结果指令的奇偶校验码，并将该奇偶校验码附加到第二执行结果指令的尾部，形成一条信令，并发送至开放式系统。开放式系统在接收到该信令之后，可以提取出除尾部信息之外的信息，并计算该信息的奇偶校验码。当所计算出的奇偶校验码与尾部信息中包含的奇偶校验码相一致时，表示在安全芯片与开放式系统之间，第二执行结果指令的传输正常。否则，表示在安全芯片与开放式系统之间，第二执行结果指令的传输异常。

当在安全芯片与开放式系统之间，第二执行结果指令的传输正常时，开放式系统可以直接将该信令转发至服务器。服务器在接收到该信令之后，可以提取出除尾部信息之外的信息，并计算该信息的奇偶校验码。当所计算出 的奇偶校验码与尾部信息中包含的奇偶校验码相一致时，表示在服务器与开放式系统之间，第二执行结果指令的传输正常。否则，表示在服务器与开放式系统之间，第二执行结果指令的传输异常。

当在安全芯片与开放式系统之间，第二执行结果指令的传输异常时，开放式系统可以向安全芯片发送第三重传指令，其中，该第三重传指令用于指示安全芯片重新传输第二执行结果指令。当在服务器与开放式系统之间，第二执行结果指令的传输异常时，服务器可以向开放式系统发送第四重传指令，其中，该第四重传指令用于指示开放式系统重新传输第二执行结果指令。

通过这一实施方式，可以避免原本是合法的执行结果指令因传输干扰而导致服务器解密失败的情况发生，从而可以进一步提高安全认证的准确性和可靠性。

图12是根据一示例性实施例示出的一种车辆安全通信装置1200的框图，其中，该装置1200可以配置于安全芯片中，例如，例如，图2所示的安全芯片306。如图12所示，该装置1200可以包括：第一接收模块1201，被配置为接收来自开放式系统的第一控制指令，其中，第一控制指令包括加密控制数据；第一解密模块1202，被配置为对第一控制指令中的加密控制数据进行解密，当解密成功时，得到解密控制数据；第一发送模块1203，被配置为将第一控制指令中的加密控制数据替换为解密控制数据，形成第二控制指令，并将第二控制指令发送至封闭式系统，以使封闭式系统根据第二控制指令控制车辆执行目标操作。

可选地，所述装置1200还可以包括：第二发送模块，被配置为当解密失败的次数达到预设次数时，向开放式系统发送重启指令和/或杀毒指令，其中，重启指令用于控制开放式系统进行重启操作，杀毒指令用于控制开放式系统进行杀毒操作。

可选地，第一控制指令还包括与加密控制数据在加密之前所对应的原始 控制数据相关联的奇偶校验码。所述装置1200还可以包括：第一计算模块，被配置为计算解密控制数据的奇偶校验码；以及所述第一发送模块1203，被配置为当第一控制指令中包括的奇偶校验码与解密控制数据的奇偶校验码相一致时，将第一控制指令中的加密控制数据替换为解密控制数据，形成第二控制指令，并将第二控制指令发送至封闭式系统。

可选地，所述装置1200还可以包括：第一判断模块，被配置为判断第一控制指令的传输是否正常；所述第一解密模块1202，被配置为当第一判断模块确定第一控制指令的传输正常时，对第一控制指令中的加密控制数据进行解密。

可选地，所述装置1200还可以包括：第二接收模块，被配置为接收封闭式系统在执行目标操作后发送的第一执行结果指令，其中，第一执行结果指令包括针对目标操作的原始执行结果数据；第一加密模块，被配置为对原始执行结果数据进行加密，得到相对应的加密执行结果数据；第三发送模块，被配置为将第一执行结果指令中的原始执行结果数据替换为加密执行结果数据，形成第二执行结果指令，并将第二执行结果指令发送至开放式系统。

可选地，第一执行结果指令还包括原始执行结果数据的安全等级信息，其中，安全等级信息用于表示原始执行结果数据是否为敏感数据；所述第一加密模块，被配置为当安全等级信息表示原始执行结果数据为敏感数据时，对原始执行结果数据进行加密，得到相对应的加密执行结果数据。

可选地，所述装置1200还可以包括：第二判断模块，被配置为判断第一执行结果指令的传输是否正常；所述第一加密模块，被配置为当第二判断模块确定第一执行结果指令的传输正常时，对原始执行结果数据进行加密，得到相对应的加密执行结果数据。

图13是根据另一示例性实施例示出的一种车辆安全通信装置1300的框图，其中，该装置1300可以配置于服务器中，例如，例如，图1所示的服 务器200。如图13所示，该装置1300可以包括：第三接收模块1301，被配置为接收来自用户终端的原始控制数据，其中，所述原始控制数据用于指示所述车辆要执行的目标操作；第二加密模块1302，被配置为对所述原始控制数据进行加密，得到相对应的加密控制数据；第四发送模块1303，被配置为将所述加密控制数据发送至所述开放式系统。

可选地，所述装置1300还可以包括：第二计算模块，被配置为计算所述原始控制数据的奇偶检验码；第五发送模块，被配置为将所述原始控制数据的奇偶检验码发送至所述开放式系统。

可选地，所述装置1300还可以包括：安全等级信息确定模块，被配置为确定所述原始控制数据的安全等级信息，其中，所述安全等级信息用于表示所述原始控制数据是否为敏感数据；所述第二加密模块1302，被配置为当所述安全等级信息表示所述原始控制数据为敏感数据时，对所述原始控制数据进行加密，得到相对应的加密控制数据。

可选地，所述装置1300还可以包括：第四接收模块，被配置为接收来自所述开放式系统的执行结果指令，其中，所述执行结果指令是由所述开放式系统从所述安全芯片转发的，并且所述执行结果指令包括加密执行结果数据；第二解密模块，被配置为对所述执行结果指令中的所述加密执行结果数据进行解密，当解密成功时，得到解密执行结果数据；以及第六发送模块，被配置为将所述解密执行结果数据发送至所述用户终端，以告知所述用户终端有关所述目标操作的执行结果。

可选地，所述执行结果指令还包括与所述加密执行结果数据在加密之前所对应的原始执行结果数据相关联的奇偶校验码；所述装置1300还可以包括：第三计算模块，被配置为计算所述解密执行结果数据的奇偶校验码；所述第六发送模块，被配置为当所述执行结果指令中包括的奇偶校验码与所述解密执行结果数据的奇偶校验码相一致时，将所述解密执行结果数据发送至 所述用户终端。

可选地，所述装置1300还可以包括：第三判断模块，被配置为判断所述执行结果指令的传输是否正常；所述第二解密模块，被配置为当所述第三判断模块确定所述执行结果指令的传输正常时，对所述执行结果指令中的所述加密执行结果数据进行解密。

在上述技术方案中，通过服务器向车辆的开放式系统发送经过加密处理的控制数据，该经过加密处理的控制数据能够由开放式系统转发给安全芯片，由安全芯片进行解密处理，只有在解密成功时，经解密得到的控制数据才会被发送至封闭式系统，此时，封闭式系统才会根据该控制数据控制车辆执行相应操作。由此，能够提高车辆联网通信时的安全性，确保只有合法的控制数据才会被发送至封闭式系统，防止因恶意程序的入侵导致对车辆进行错误的控制，从而确保车辆远程控制的安全性。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

以上结合附图详细描述了本发明的优选实施方式，但是，本发明并不限于上述实施方式中的具体细节，在本发明的技术构思范围内，可以对本发明的技术方案进行多种简单变型，这些简单变型均属于本发明的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本发明对各种可能的组合方式不再另行说明。

此外，本发明的各种不同的实施方式之间也可以进行任意组合，只要其不违背本发明的思想，其同样应当视为本发明所公开的内容。