用于动态车辆密匙生成和处理的方法和设备与流程

示意性实施例总体上涉及用于动态车辆密匙生成和处理的方法和设备。

背景技术

无钥匙进入和启动的概念已开始成为汽车工业的规范。许多车辆配备有按键启动，其仅仅需要在按下按钮时具有应答器的车辆遥控钥匙存在于车辆中。以类似的方式，遥控钥匙的存在可以是无钥匙接触进入的基础。

虽然当前模型依赖主要为制造商控制的装置的遥控钥匙，但是，已经针对依赖于包括在诸如电话的移动装置中的数字密匙的方法提出许多建议。

技术实现要素：

在第一示意性实施例中，一种系统包括处理器，处理器被配置为响应于车辆状态变化而生成新访问密匙。处理器还被配置为：连接到先前识别的用户无线装置。处理器还被配置为：响应于连接到用户无线装置而将新访问密匙传递给用户无线装置，并且将新访问密匙的副本本地存储在被指定为供下次访问尝试参考的文件中。

在第二示意性实施例中，一种系统包括处理器，处理器被配置为从车辆接收第一新生成的车辆访问密匙。处理器还被配置为：获得装置识别参数。处理器还被配置为：尝试与通过装置识别参数识别的装置进行连接，并且响应于成功的连接，将第一新生成的车辆访问密匙的副本传递给所述装置。

在第三示意性实施例中，一种系统包括处理器，处理器被配置为响应于检测到车辆电容构件的接合而将轮询信号发送给用户无线装置。处理器还被配置为：从用户无线装置接收对轮询信号的响应，所述响应包括加密密匙和可用于检测用户无线装置与车辆的接近度的信号两者。此外，处理器还被配置为：响应于将加密密匙验证为有效并且检测到的用户无线装置的接近度在预定阈值以内，提供对车辆的请求水平的访问。

附图说明

图1示出了示意性车辆计算系统；

图2a示出了代码检测处理的示意性示例；

图2b示出了解锁信号流的示意性示例；

图3a示出了车辆关闭序列和密匙生成处理的示意性示例；

图3b示出了车辆启动处理信号流的示意性示例；

图3c示出了关闭信号流处理的示意性示例；

图4示出了云端的密匙排队处理的示意性示例；

图5示出了本地密匙备份传递处理的示意性示例。

具体实施方式

根据需要，在此公开具体实施例；然而，应当理解的是，所公开的实施例仅为示意性的并且可以以各种可替代形式实施。附图无需按比例绘制；可夸大或最小化一些特征以示出特定组件的细节。因此，此处所公开的具体结构和功能细节不应被解释为限制，而仅仅作为用于教导本领域技术人员以多种形式实施要求保护的主题的代表性基础。

图1示出用于车辆31的基于车辆的计算系统(vcs)1的示例框式拓扑图。这种基于车辆的计算系统1的示例为由福特汽车公司制造的sync系统。设置有基于车辆的计算系统的车辆可包含位于车辆中的可视前端界面4。如果该界面设置有例如触摸敏感屏幕，则用户还能够与该界面进行交互。在另一示意性实施例中，通过按钮按压、具有自动语音识别和语音合成的口语对话系统进行交互。

在图1示出的示意性实施例1中，处理器3控制基于车辆的计算系统的至少一部分操作。设置在车辆内的处理器允许对命令和程序进行车载处理。另外，处理器连接到非持久性存储器5和持久性存储器7两者。在该示意性实施例中，非持久性存储器是随机存取存储器(ram)，持久性存储器是硬盘驱动器(hdd)或闪存。通常，持久性(非暂时性)存储器可包括当计算机或其它装置掉电时保持数据的所有形式的存储器。这些存储器包括但不限于：hdd、cd、dvd、磁带、固态驱动器、便携式usb驱动器和任何其它适当形式的持久性存储器。

处理器还设置有允许用户与处理器进行交互的若干不同的输入。在该示意性实施例中，麦克风29、辅助输入25(用于输入33)、usb输入23、gps输入24、屏幕4(可以是触摸屏显示器)和蓝牙输入15全部被设置。还设置有输入选择器51，以允许用户在各种输入之间进行切换。对麦克风和辅助连接器两者的输入在被传送到处理器之前，由转换器27对所述输入进行模数转换。尽管未示出，但是与vcs进行通信的众多车辆组件和辅助组件可使用车辆网络(诸如但不限于can总线)向vcs(或其组件)传送数据并传送来自vcs(或其组件)的数据。

系统的输出可包括但不限于可视显示器4以及扬声器13或立体声系统输出。扬声器连接到放大器11，并通过数模转换器9从处理器3接收其信号。还可分别沿19和21所示的双向数据流产生到远程蓝牙装置(诸如pnd54)或usb装置(诸如车辆导航装置60)的输出。

在一个示意性实施例中，系统1使用蓝牙收发器15与用户的移动装置53(例如，蜂窝电话、智能电话、pda或具有无线远程网络连接能力的任何其它装置)进行通信(17)。移动装置53随后可用于通过例如与蜂窝塔57的通信(55)来与车辆31外部的网络61进行通信(59)。在一些实施例中，蜂窝塔57可以是wifi接入点。

移动装置与蓝牙收发器之间的示例性通信由信号14表示。

可通过按钮52或类似的输入来指示将移动装置53与蓝牙收发器15进行配对。相应地，cpu被指示车载蓝牙收发器将与移动装置中的蓝牙收发器进行配对。

可利用例如与移动装置53相关联的数据计划、话上数据或dtmf音调在cpu3与网络61之间传送数据。可选地，可期望包括具有天线18的车载调制解调器63，以便在cpu3与网络61之间通过语音频带传送数据(16)。移动装置53随后可用于通过例如与蜂窝塔57的通信(55)来与车辆31外部的网络61进行通信(59)。在一些实施例中，调制解调器63可与蜂窝塔57建立通信(20)，以与网络61进行通信。作为非限制性示例，调制解调器63可以是usb蜂窝调制解调器，并且通信20可以是蜂窝通信。

在示意性实施例中，处理器设置有包括用于与调制解调器应用软件进行通信的api的操作系统。调制解调器应用软件可访问蓝牙收发器上的嵌入式模块或固件，以完成与(诸如在移动装置中发现的)远程蓝牙收发器的无线通信。蓝牙是ieee802pan(个域网)协议的子集。ieee802lan(局域网)协议包括wifi并与ieee802pan具有相当多的交叉功能。两者都适合于车辆内的无线通信。可在本领域使用的另一通信方式是自由空间光通信(诸如irda)和非标准化消费者ir协议。

在另一实施例中，移动装置53包括用于语音频带或宽带数据通信的调制解调器。在话上数据的实施例中，当移动装置的拥有者可在数据被传送的同时通过装置说话时，可实施已知为频分复用的技术。在其它时间，当拥有者没有在使用装置时，数据传送可使用整个带宽(在一个示例中是300hz至3.4khz)。尽管频分复用对于车辆与互联网之间的模拟蜂窝通信而言会是常见的并仍在被使用，但其已经很大程度上被用于数字蜂窝通信的码域多址(cdma)、时域多址(tdma)、空域多址(sdma)的混合体所替代。如果用户具有与移动装置关联的数据计划，则所述数据计划可允许宽带传输且系统可使用宽得多的带宽(加速数据传送)。在另一实施例中，移动装置53被安装至车辆31的蜂窝通信装置(未示出)所替代。在另一实施例中，移动装置(nd)53可以是能够通过例如(并且不受限制)802.11g网络(即，wifi)或wimax网络进行通信的无线局域网(lan)装置。

在一个实施例中，传入数据可经由话上数据或数据计划通过移动装置、通过车载蓝牙收发器，进入车辆的内部处理器3。例如，在某些临时数据的情况下，数据可被存储在hdd或其它存储介质7上，直至不再需要所述数据时为止。

其它的可与车辆进行接口连接的源包括：具有例如usb连接56和/或天线58的个人导航装置54、具有usb62或其它连接的车辆导航装置60、车载gps装置24、或与网络61连接的远程导航系统(未示出)。usb是一类串行联网协议中的一种。ieee1394(火线^tm(苹果)、i.link^tm(索尼)和lynx^tm(德州仪器))、eia(电子工业协会)串行协议、ieee1284(centronics端口)、s/pdif(索尼/飞利浦数字互连格式)和usb-if(usb开发者论坛)形成了装置至装置串行标准的骨干。多数协议可针对电通信或光通信来实施。

此外，cpu可与各种其它的辅助装置65进行通信。这些装置可通过无线连接67或有线连接69进行连接。辅助装置65可包括但不限于个人媒体播放器、无线保健装置、便携式计算机等。

此外或可选地，可使用例如wifi(ieee803.11)收发器71将cpu连接到基于车辆的无线路由器73。这可允许cpu在本地路由器73的范围中连接到远程网络。

除了由位于车辆中的车辆计算系统执行示例性处理之外，在某些实施例中，还可由与车辆计算系统通信的计算系统来执行示例性处理。这样的系统可包括但不限于：无线装置(例如但不限于移动电话)或通过无线装置连接的远程计算系统(例如但不限于服务器)。总体上，这样的系统可被称为与车辆关联的计算系统(vacs)。在某些实施例中，vacs的特定组件可根据系统的特定实施而执行处理的特定部分。通过示例而并非限制的方式，如果处理具有与配对的无线装置进行发送或者接收信息的步骤，则很可能由于无线装置不会与自身进行信息的“发送和接收”，因此无线装置不执行该处理。本领域的普通技术人员将理解何时不适合对给定解决方案应用特定的vacs。

在此处讨论的每个示出的实施例中，示出了可由计算系统执行的处理的示意性、非限制性示例。关于每个处理，执行该处理的计算系统出于执行该处理的受限制的目的而被配置为执行该处理的专用处理器。所有处理不需要全部执行，并且被理解为可被执行以实现本发明的要素的处理类型的示例。可根据期望而添加额外的步骤或从示例性处理中移除额外的步骤。

对于在示出示意性处理流程的附图中描述的示意性实施例，应该注意的是，出于执行由这些附图示出的示例性方法中的一些或全部的目的，通用处理器可临时用作专用处理器。当执行提供用于执行所述方法的一些或全部步骤的代码的指令时，处理器可临时改变用途作为专用处理器，直到所述方法完成时为止。在另一示例中，在适当程度上，根据预配置处理器运行的固件可以使处理器用作为了执行所述方法或它的一些合理变型而设置的专用处理器。

示意性实施例提出的系统和方法利用存在的可穿戴装置和近距离无线通信两者以创建解锁和点火范例。除了检测近距离的可穿戴(或其它移动)装置，(例如)在处理解锁请求时，系统还使用持续的代码生成处理，该处理以每个周期为基础对解锁代码和/或启动代码进行刷新。这有助于防止可能被用于不恰当地控制车辆的再现攻击(replayattack)和其它进程。

图2a示出了代码检测处理的示意性示例。在该示意性示例中，在步骤201，处理检测用户的手已接触到电容门把手(或以其它方式物理地接合车辆)。响应于检测到门把手接触，在步骤203，处理将查询发送给用户可穿戴装置，在该示例中，用户可穿戴装置存储着由先前处于关闭状态的车辆生成的认证代码。

在步骤205，所述处理从用户可穿戴装置接收包括由用户可穿戴装置存储的代码的响应。所述处理还包括安全措施，用于确保接触门把手的用户也是穿戴该装置的用户(以防止在实际用户仍在50英尺以外时被接触车辆的人员访问)，并且在步骤207，所述处理确定装置相对于可穿戴装置的接近度。这可包括(例如)检测从可穿戴装置接收的信号强度指示(rssi)，rssi指示由可穿戴装置检测到的查询信号的强度。确定接近度的其它合适手段(nfc/rfid、ble等)也是合理的。

在步骤209，如果可穿戴装置足够接近(例如，在预定的接近度内)，则在步骤211，所述处理将确定接收到的装置代码是否正确。如果可穿戴装置在预定范围之外，或装置代码不正确，则所述处理将退出，但在步骤213，所述处理还可将文本或其它消息发送给用户装置，以向用户通知无效的进入尝试被尝试。如果可穿戴装置在所述接近度内并且代码有效，则在步骤215，所述处理可解锁车辆。

在该示例中，所述处理基于本地存储的在先前关闭时生成的代码验证来自所述装置的代码。因此，所述装置和本地存储器两者均保留相同的代码(该代码已传输给所述装置)。如果所述装置具有无效的代码，则超驰步骤是可能的，如参照下面的附图讨论的。

图2b示出了解锁信号流的示意性示例。在该示例中，用户221利用用户的手231接合车辆表面(诸如电容门把手)。这使在智能门把手235处生成接触识别信号。智能门把手通知车身控制模块(bcm)237，bcm237将验证请求发送给车辆收发器模块233。收发器模块将对加密代码的请求发送给可穿戴装置225的收发器模块229。

响应于所述请求，可穿戴装置收发器模块访问存储的加密代码227，在本示例中，加密代码227在先前的车辆关闭时被存储。可穿戴装置收发器模块将该代码发送回车辆收发器模块，并且还发送可用于确定车辆与可穿戴装置之间的距离的密匙id代码。车辆收发器模块能够验证可穿戴装置处于适合的距离内(例如，基于预定阈值)，并且能够对比车辆上本地存储的代码来验证接收到的加密代码。车辆收发器模块将验证发送给bcm，bcm响应于两项代码的验证而将解锁信号发送给车辆锁定机构239。

图3a示出了车辆关闭序列和密匙生成处理的示意性示例。在该示例中，每当车辆关闭(和/或驻车)时，车辆生成新的秘密代码，所述新的秘密代码可至少用于启动车辆。相同的代码可用于进入和启动，或者不同的代码可以被对应的处理使用。在一些实施例中，为了防止在用户装置在上次车辆关闭时未启动(并且因此不接收新代码)的情况下被锁在车辆外面，进入代码可以是固定代码，并且新代码可仅用于启动。这样至少可以允许用户在恶劣天气时进入车辆，同时任何启动代码问题已被解决(如参照图4所讨论的)。

在该示例中，车辆在关闭时生成代码，但还可基于其它状态变化(诸如但不限于，驻车事件、接近目的地、其它行驶事件等)而生成代码。另一替代选择是一旦旧密匙被使用、成为无效(在使用后)以及合适的无线装置(用于接收新代码)被连接就立即生成新代码。

在该示例中，在步骤301，所述处理检测车辆关闭(和/或驻车状态)并在步骤303，响应地生成新代码。由于代码将被传输给用户无线装置以备稍后使用，因此，在步骤305，所述处理还确定用户可穿戴装置是否存在并被连接。如果所述装置存在并被连接，则所述处理将在步骤307将新代码传输)给所述装置并在步骤309本地存储新生成的代码的副本。

如果由于(例如)装置未连接或由于装置未启动而未检测到该装置，则所述处理将在步骤311尝试将新代码的副本发送到云。许多可穿戴装置具有云入口(3g直连或经由bt连接到父母蜂窝装置)，并且能够由此获得与云账号的连接。因此，(例如)如果可穿戴装置未启动或电池耗尽，则用户能够在远离车辆时对所述装置充电，并且所述装置能够连接到云以获得新代码。如果在步骤313车辆成功地将密匙发送到云，则在步骤315所述处理能够本地存储代码的副本。如果车辆未成功连接，则所述处理在步骤317能够设置内部备份标识并在步骤319本地存储代码。

能够在车辆未成功将代码传输给用户装置的任何时候设置备份标识，而不管车辆是否能够连接到云。该标识(或类似的指示)指示车辆“获知”用户装置可能不具有正确的代码。如果在用户已经离开一段时间之后接近车辆时用户装置启动，则除非用户装置已从云获得代码，否则通信处理将不会引起认证。然而，车辆可“预期”该结果，并且能进行二次超驰处理以允许用户直接进入车辆或在用户接近时将代码传输给所述装置。这可包括(例如)在所述装置连接时仅直接传输代码，或者其可包括输入pin或密码来认证所述切换。

图3b示出了车辆启动处理信号流的示意性示例。在该示例中，用户221用他们的手231接合车辆按钮启动323。该启动按钮将启动信号发送给车身控制模块237。

响应于启动信号，bcm向车辆主收发器模块233请求启动代码(启动代码可与进入代码相同或不同)。车辆收发器模块233将请求发送给可穿戴装置收发器模块229，以请求存储在车辆存储器中的加密启动代码227。可穿戴装置上的收发器模块利用启动代码进行响应，并且(在该示例中)，收发器模块还广播密匙id，密匙id可用于确定从接收密匙id的收发器到可穿戴装置的距离。

在该示例中，系统将确保可穿戴装置在启动车辆之前位于车厢内，使得主收发器模块和一个或更多个次收发器模块321从可穿戴装置接收密匙id。基于rssi和相对定位，或其它类似的装置定位技术，所述处理能够确定可穿戴装置是否位于车辆内。如果加密密匙正确并且可穿戴装置位于车辆内，则系统将相关信息发送给bcm。关于代码和装置位置的有效性的确定也可在bcm处进行。如果一切都符合，则bcm启动车辆发动机。

图3c示出了关闭信号流处理的示意性示例。在该示意性示例中，用户221用他们的手231接合启动/停止323。该按钮将关闭信号发送给bcm237。响应于关闭(和/或驻车)，bcm生成新的加密代码并将代码发送给车辆收发器模块233。如先前提到的，用于密匙生成的触发器可包括多种车辆状态变化、或者甚至应用请求或其它外部触发器。

车辆收发器模块将代码发送给连接的可穿戴装置225，在可穿戴装置225中，代码由装置收发器模块227接收。可穿戴装置本地存储新代码227，并利用接收验证来对车辆收发器模块作出响应。该验证传递至bcm，因此车辆“获知”用户可穿戴装置接收到新生成的代码。

图4示出了云端的密匙排队处理的示意性示例。在该示例中，车辆无法成功地将新生成的密匙传输给用户可穿戴装置，因此在请求车辆重启之前车辆请求将密匙存储在云中以用于由可穿戴装置远程访问。

在步骤401，云服务器接收密匙以及任何相关的装置识别数据和/或车辆识别数据。在步骤403，云随后尝试与可穿戴装置进行连接。在其它模型中，云可等待可穿戴装置尝试连接，或者检测出于另一目的而创建的连接并且随后将请求发送给可穿戴装置。

在步骤405，一旦系统被连接或者顺利地对连接请求作出响应，则在步骤407，所述处理将把密匙推送给已知装置。例如，装置id可能已连同新生成的密匙一起被发送到云。在其它示例中，可穿戴装置或蜂窝装置(可将密匙传输给可穿戴装置)可与用户账号相关联，密匙也与该用户账号相关联，并且这可以是密匙传递的基础。在又一示例中，可能需要一些形式的认证(pin、密码)。

如果未创建连接，则在步骤409云可继续尝试传递密匙，直到在步骤411达到超时为止(或者，例如，新密匙被传递)。一旦旧密匙因超时或新密匙传递而无效，则在步骤413所述处理可删除旧密匙，以避免将无效密匙推送给电话。超时可以是数天时间，例如，用于在未接收到新密匙时将新生成的密匙的有效性保留一段时间。将来，如果车辆生成新密匙，则车辆可通知云或将新密匙传递到云，使旧密匙无效并被删除。

图5示出了本地密匙备份传递处理的示意性示例。在该示例中，在车辆关闭时，用户可穿戴装置或其它密匙存储装置未连接，且装置无法从云接收密匙。为了防止用户被永久地锁在车辆外面，当用户试图利用存储无效的旧密匙的装置进入车辆时，所述处理将尝试将当前密匙的本地存储版本传递给已知装置。在该示例中，所述处理检测车辆门把手的接合(步骤201)并将典型查询发送给请求密匙的用户装置(步骤203)。

情况可能是车辆“知道”密匙未被成功传递，但是车辆可尝试标准连接，以防在用户远离车辆时用户装置能够从云获得密匙。在步骤501，如果所述处理未接收到响应，则在步骤505，所述处理可将指示可穿戴装置应被打开并且通信应被启用的消息发送给用户可穿戴装置，和/或发送给用户次级装置(例如，蜂窝电话)。在等待一段时间之后，所述处理随后能够重复所述尝试。

在步骤503，如果所述处理接收到响应，并且接收到的加密代码/密匙有效，则所述处理可进行至图2的步骤207。如果密匙无效，则在步骤507，所述处理可发送用于所述装置尝试从云获得密匙的指令。在该示例中，本地密匙检索需要pin，而云密匙检索不需要pin，因此系统首先指示所述装置尝试从云检索密匙，以尽量减少用户参与。在步骤509，如果所述装置利用从云获得的有效密匙作出响应，则所述处理进行至步骤207。

如果所述装置无法从云获得密匙，则所述装置可发出本地密匙请求。在步骤511，如果所述处理接收到用于本地密匙传递的请求，则在等待有效密匙传递的同时，所述处理可请求用户pin或密码。在步骤513，所述处理接收用户pin或密码(在所述装置上或诸如车门触摸板的车辆界面上输入的pin或密码)。在步骤515，如果pin或密码有效，则在步骤517，所述处理可将密匙本地传输给预期的装置。如果密码或pin无效，则在步骤519，所述处理可将指示进行过获得本地密匙的无效尝试的消息发送给可穿戴装置和/或蜂窝电话。

通过使用示意性实施例，获得了用于密匙生成和使用的安全可重复的处理。系统对再现攻击具备回弹性，并且能够持续提供新密匙并且使用那些密匙作为进入和/或车辆启动的基础。

尽管上面描述了示例性实施例，但并不意在这些实施例描述本发明的所有可能形式。更确切地，说明书中使用的词语为描述性词语而非限制，并且应理解，可在不脱离本发明的精神和范围的情况下作出各种改变。此外，可按照逻辑方式组合各种实现的实施例的特征以形成在此描述的实施例的情境适合的变型。