用于控制对机动车辆的至少一个功能的访问的方法与流程

本发明总体上涉及借助于移动终端对机动车辆的功能的控制。

更具体地，本发明涉及用于控制对机动车辆的至少一个功能的访问的方法，包括：

-动作步骤，其中所述机动车辆的车载电子控制单元检测用户与所述机动车辆的相互作用，

-验证步骤，其中所述电子控制单元验证所述用户被授权访问所述功能，以及

-授权步骤，其中如果所述电子控制单元检测到所述相互作用并且所述电子控制单元已经验证所述用户被授权访问所述功能，则所述电子控制单元授权对所述功能的访问，

在所控制的功能是解锁车辆的门或车辆起动的情况下，本发明可以以特别有利的方式应用。

背景技术：

已知一种控制机动车辆的某些功能的方法，例如通过用作非接触式钥匙的磁卡形式的遥控器，解锁车门或起动车辆。

然后，通过用户执行的动作，例如按下磁卡上的按钮或者接触机动车辆的一个门把手来启动对机动车辆的功能的请求。

当此访问请求启动时，规定车辆中的车载电子控制单元验证磁卡的携带者是否位于机动车辆的紧邻附近。

为此，解决方案是采用低频技术启动磁卡检测操作。这种低频技术的优点是只有当卡在车辆附近(其范围小于2米)时才能检测磁卡。该技术的另一个优点是它允许磁卡的携带者位于车辆的内部或外部。

因此，如果用户离开他的车辆并且恶意的人试图通过触摸其中一个门把手来进入它，则由于车辆与磁卡携带者之间的距离，这种访问将被拒绝。

该解决方案的缺点是用户必须配备能够通过低频技术与机动车辆通信的卡。这是因为大多数使用的通信技术(例如在手机中)具有超过2米的距离，使得无法充分保证地验证用户是否处于车辆附近。

技术实现要素：

本发明提出允许对拥有不具备低频通信装置的移动终端的人员进行车辆功能的访问，而不妨碍对车辆的访问的安全性。

更具体地，本发明提出了一种如在引述中限定的控制方法，其中：

-所述验证步骤包括由所述电子控制单元向所述用户或伴随所述用户的人员携带的移动终端发送询问消息，并且

-所述授权步骤仅在所述电子控制单元接收到响应于所述询问消息的来自所述移动终端的访问权验证消息时执行。

因此，用户获取对机动车辆功能的访问所采取的任何动作必须由移动终端的携带者进行确认。

因此，由于本发明，可以确保发起动作的人是携带移动终端的人，或者由他们授权他人访问机动车辆的功能。

因此，本发明提出的解决方案是完全安全的，即使移动终端不一定包括能够使机动车辆验证移动终端处于车辆附近的装置。

根据本发明的控制方法的其它有利和非限制性特征如下：

-在发送所述询问消息之前，提供由所述电子控制单元对所述移动终端的验证步骤，在该步骤期间，所述电子控制单元查询所述移动终端以验证所述移动终端携带有用于访问所述机动车辆的虚拟钥匙，和/或验证所述移动终端在所述电子控制单元中被记录为有权访问所述机动车辆；

-在发送所述询问消息之前，提供检查步骤，在该步骤之间，所述电子控制单元检查所述移动终端是否位于距所述机动车辆的短距离或中距离的位置处；

-在所述检查步骤中，如果所述电子控制单元经由根据中等或短距离通信协议与所述移动终端通信的通讯工具检测到所述移动终端，则所述移动终端被认为是处于距所述机动车辆的短距离或中距离的位置处；

-所述询问消息和所述验证消息在所述移动终端和所述电子控制单元之间经由能够根据中等或短距离通信协议彼此通信的通讯工具而交换；

-在所述动作步骤期间，所述电子控制单元检测所述移动终端到接近于所述机动车辆的区域中的进入，其中所述移动终端和所述电子控制单元能够经由根据中等或短距离通信协议操作的通讯工具彼此通信；

-所述通信协议是蓝牙；

-在所述动作步骤期间，所述电子控制单元检测用户在所述机动车辆的一部分上施加的压力；

-在接收所述询问消息时，所述移动终端对于所述用户或伴随所述用户的所述人员发出声音或产生可知觉的振动；

-所述授权步骤包括通过电子控制单元传输门解锁信号或车辆起动信号；

-所述移动终端是配备有显示屏的手机，在所述验证步骤期间，所述询问消息由所述电子控制单元直接传输到所述手机以使消息显示在手机的显示屏上，以及在所述授权步骤期间，所述验证消息由所述手机直接传输到所述电子控制单元；

-所述移动终端是配备有显示屏的移动手表，在所述验证步骤期间，所述询问消息由所述电子控制单元直接传输到所述移动手表以使消息显示在移动手表的显示屏上，以及在所述授权步骤期间，所述验证消息由所述移动手表直接传输到所述电子控制单元；

-所述移动终端是能够与配备显示屏的连接的手表通信的手机，在所述验证步骤期间，所述询问消息由所述电子控制单元经由所述手机直接传输到所述连接的手表，以使消息显示在连接的手表的显示屏上；

-在所述授权步骤期间，所述验证消息由所述连接的手表直接传输到所述电子控制单元；或者

-在所述授权步骤期间，所述验证消息由所述连接的手表经由所述手机直接传输到所述电子控制单元。

附图说明

参考以非限制性示例提供的附图的以下描述将使得本发明的性质和应用变得清楚。

-图1示出了可以应用本发明的上下文的示例，其包括机动车辆和移动终端；

-图2示意性地示出了可用于理解本发明的、图1的机动车辆和移动终端的部件；以及

-图3示出了根据本发明的控制方法的主要步骤。

具体实施方式

图1示出了其中可以应用本发明的上下文的示例。

在这种情况下，机动车辆10包括能够控制机动车辆10的功能并且可以经由无线链路与移动终端20进行通信的电子控制单元11(或ecu)。

根据常用的英文术语，终端可以是手机(或蜂窝电话)，优选地称为“智能化手机”或“智能手机”。它同样可以是连接的手表(与手机相关联)、移动手表(可以独立于任何手机与其他装置通信)、一对连接的眼镜，或其他装置。

电子控制单元11能够与该移动终端20通信，以交换数据，例如以便借助于移动终端20控制机动车辆10的功能(这种功能可以例如是解锁机动车辆10的门或者起动机动车辆10的发动机)，如稍后说明的。

用于电子控制单元11和移动终端20之间的通信的无线链路通过低频技术以外的技术进行操作。因此，电子控制单元11不能精确地确定机动车辆10与移动终端20之间的距离。

所使用的无线链路可以是任何其他类型的。例如，它可以使用wi-fi协议(通常是由ieee802.11标准管理的协议)或3g或4g类型的移动电话协议。

然而，在这种情况下，优选地，用于电子控制单元11和移动终端20之间的通信的无线链路是超高频型。更准确地说，这是一种蓝牙链接。

与上述技术相比，该技术的优点在于其具有低能量消耗，并且其正确的操作不依赖于广域网络架构(通常为移动电话网络的架构)的正确操作。

图2示意性地示出了可用于理解本发明的、图1的机动车辆10和移动终端20的部件。

这里可以看出，机动车辆10特别包括上述电子控制单元11、致动器15(在这种情况下设计用于解锁机动车辆10的门)、无线通信模块16和用户接口18。

电子控制单元11包括处理器12和存储单元14，例如可重写的非易失性存储器或硬盘。

特别地，存储单元14存储包括指令的计算机程序，其中处理器12的执行使得电子控制单元11执行下述方法。存储单元14还存储在下面描述的方法的上下文中使用的数据，特别是根密钥(或主密钥)vk0和密码函数(在本说明书中以下表示为f)，如下文所述地使用的。

例如，在将电子控制单元11安装在机动车辆10中之前，根密钥vk0和密码函数f在制造电子控制单元11期间被写入存储单元14。

在这种情况下，手机形式的移动终端20包括处理器22、存储器24(例如可重写非易失性存储器)、无线通信模块26、用于在移动电话网络上进行通信的模块28，以及用户接口29。

移动终端20的无线通信模块26能够与机动车辆10的无线通信模块16建立无线链路(在这种情况下为上述蓝牙类型)，电子控制单元11的处理器12和移动终端20的处理器22可以通过该无线链路交换数据，特别地如下所述。

存储器24存储包括有指令的应用程序，处理器22对应用程序的执行使得移动终端20执行下面描述的方法。

存储器24还存储在下面描述的方法的上下文中使用的数据。

在这种情况下，用户接口29采用触摸屏的形式，用户可以以此方式输入信息或按下按钮。在一个变体中，它也可以采取另一种形式(例如，与屏幕相关联的小键盘)。

图3示出了使用移动终端20来控制对机动车辆10的至少一个功能的访问的方法的主要步骤。

为了更清楚，在说明书中的其余部分中，假设携带移动终端20并希望访问机动车的功能的人是被称为“用户”的同一个人。

在一个变型中，可以为希望将机动车辆的功能与移动终端携带者作为不同的人员的人做出规定，在这种情况下，该人必须被移动终端携带者授权才能访问机动车辆的功能。

这里将假设所需的功能是解锁门的功能。

还将假定，在执行控制方法之前，移动终端20将被专门准备用于控制机动车辆10的功能。

因此，假设移动终端20包括其中存储有密码函数f的物理安全元件(sim卡，ese模块等)和用于访问机动车辆10的虚拟密钥vk。

还将假设移动终端20与用户应用一起具有嵌入其存储器24中的公共推导参数dp。公共推出参数dp是可以用于从根密钥vk0计算虚拟密钥vk的参数。就其而言，用户应用被设计为使得用户能够与电子控制单元11通信，如本说明书的以下部分所述。

根据本发明的特别有利的特征，用于控制对机动车辆的功能的访问的方法包括三个主要步骤，包括：

-动作步骤，其中所述机动车辆的车载电子控制单元11检测用户与所述机动车辆10的相互作用，

-验证步骤，其中电子控制单元11通过向移动终端20发送询问消息im来验证用户被授权访问所述功能，以及

-授权步骤，其中，如果电子控制单元11接收到响应于询问消息im的来自移动终端20的验证消息vm，则电子控制单元授权访问所述功能。

优选地，这三个步骤以该顺序执行。

电子控制单元11和移动终端20之间的消息im、vm的交换使得机动车辆10能够在检测到与人的相互作用时确保用户确实希望解锁车辆的门。

因此，为了说明这个概念，我们可以起始地考虑用户是汽车的所有者和移动终端20的携带者的情况。在这种情况下，当他与车辆相互作用时(例如通过触摸门把手)，电子控制单元11向他的移动终端20发送他必须确认以允许门解锁的消息。

我们现在可以考虑与汽车相互作用的人员没有权限访问的情况。在这种情况下，当他与车辆(例如通过触摸门把手)相互作用时，电子控制单元11向车主的移动终端20发送或尝试发送后者未通过验证的消息，因此门保持锁定。

消息的交换可以使用不同的通信方式进行。然而，在这种情况下，如上所述，所使用的协议是蓝牙类型。

这一控制方法的示例性实施例在图3详细列出。

在该图3中，步骤e2表示上述动作步骤，也就是说电子控制单元11检测到与用户u的相互作用的步骤。

就其而言，步骤e1表示由用户u引起的相互作用。

在这种情况下，这种互动可能采取各种形式。

这里将假设当用户u接触机动车辆10的一部分(例如车辆的门把手)时，建立这种相互作用，为此目的配备有连接到电子控制单元11的检测器的车辆门把手。

在一个变体中，可以规定当配备有他的移动终端20的用户u进入充分靠近机动车辆10的区域时，这种相互作用被建立，以使得电子控制单元11能够经由蓝牙链路(在这种情况下，步骤e3以后将不再执行)来检测和建立与移动终端20的通信。其他交互(例如通过安装在车辆上的照相机对用户的面部识别)也是可行的。

在任何情况下，在步骤e2中，电子控制单元11检测该相互作用。

在向用户的移动终端20发送消息之前，在这种情况下，电子控制单元11进行各种初步测试，这些初步测试在本发明的上下文中不是必须的，但是为了提供访问机动车辆10的最佳安全性，其执行是优选的。

因此，在用户已经触摸门把手之后，提供步骤e3，用于检查移动终端20在距机动车辆10的短距离或中等距离的位置处的存在。

如果电子控制单元11没有检测到移动终端20，则该步骤将可以避免发送询问消息im。

在该步骤中，电子控制单元11尝试与移动终端20建立蓝牙链路。

如上所述，根据所使用的蓝牙技术，这种类型的链路具有短范围(小于10米)或中等范围(小于100米)。

如果不能与已知的移动终端建立蓝牙链路，则该方法被中断(步骤e4)。这里应该指出的是，已知的移动终端是蓝牙配置文件(例如其蓝牙标识符)已经被已知并存储在电子控制单元11的存储单元14中的终端。

反过来，如果与移动终端20建立蓝牙链路，电子控制单元11假设用户u在机动车辆10附近，因此继续使用该方法。

在这里，由于下面详细说明的原因，为移动终端20提供利用该蓝牙链路向电子控制单元11发送推导参数dp(将记住，这些推导参数用于基于存储在电子控制单元11的存储单元14中的根密钥vk0来计算虚拟密钥vk)。

还提供了由电子控制单元11对移动终端20进行验证的操作，在该操作期间，电子控制单元11询问移动终端20以核实其具有访问机动车辆10的权限。

该验证操作可以包括验证移动终端20的蓝牙配置文件已经被存储在电子控制单元11的存储单元14中。因此，可以结合前述步骤e3来进行验证操作。然而，在这种情况下，为了更大的安全性，该验证操作与上述步骤e3不同。其由此采取多个步骤e5至e14的形式，用于验证移动终端20携带有用于访问机动车辆10的虚拟键vk。这些步骤如下。对于电子控制单元11，第一步骤e5包括生成“口令”(如英文已知的)，例如随机数rnd。

然后，电子控制单元11通过使用虚拟键vk应用加密函数f来计算与该口令rnd相关联的响应resp(步骤e6)，这可能是这样写的：

resp＝f(rnd,vk).

这是因为，电子控制单元11能够预先计算虚拟键vk，因为它具有存储器中的根密钥vk0并且已经接收到推导参数dp。

然后，机动车辆的电子控制单元11通过所建立的蓝牙链路向移动终端20发送口令rnd(步骤e7)。

移动终端20接收到口令rnd(步骤e8)，然后通过将加密函数f应用于接收到的口令rnd(步骤9)而反过来计算预期的响应resp'(步骤9)，其由此可以写成为：

resp’＝f(rnd,vk).

在步骤e10中，移动终端20通过蓝牙链路将该预期的响应resp'返回到电子控制单元11。

然后，机动车辆10的电子控制单元11接收该预期的响应resp'(步骤11)，并将其与响应resp进行比较，验证这两个响应是否相同(步骤12)。

如果相等未得到验证，则电子控制单元11终止验证过程(步骤e13)。这是因为这意味着移动终端20使用的虚拟键vk与电子控制单元11所使用的不同。然后，例如，可以在移动终端20的屏幕上显示错误消息。

如果相等得到验证，电子控制单元11确认对移动终端20的验证(步骤e14)，然后控制方法可以继续。

在下一步骤e15中，电子控制单元11向移动终端20发送询问消息im，使得可以在移动终端20的触摸屏29上显示消息(步骤e16)。

这种询问消息im将被创建，使得它可以由存储在移动终端20的存储器24中的用户应用程序来解释，使得该用户应用可以引起“弹出”窗口(如英语中已知的)或通知(在通知栏中以图标形式显示的信息)显示在触摸屏29上。

用户应用程序将被编程，以便该项弹出窗口或通知导致出现：一方面，询问用户是否希望解锁其车辆的门的信息；另一方面，两个按钮，以使其可以接受或拒绝。作为替代，通知可能导致按钮的出现，向用户询问他希望执行的功能(例如，解锁门、解锁行李箱、启动警告装置等)。

优选地，用户应用程序还在接收询问消息im时引起声音或用户可感知的振动的发射，以引起后者的注意。

当按下其中一个按钮时(步骤e17)，移动终端20也通过蓝牙链路将响应消息返回给电子控制单元11(步骤e18)。

将以如下方式创建该响应消息：如果用户已经验证了请求，或者作为相反情况下的无效消息，则电子控制单元11可以将其解释为验证消息vm。

在接收到该响应消息(步骤e19)之后，电子控制单元11如下进行处理。

如果消息是验证消息vm，则向致动器15发送门解锁信号(步骤e20)。

然而，如果消息是无效消息，则该过程被中断(步骤e21)。

如果电子控制单元11在预定时间间隔(例如10秒)之后没有从移动终端20接收到响应消息，它也中断这个过程。在一个变型中，可以规定其重新尝试向移动终端20发送询问消息。

本发明决不限于所描述和表示的实施例。

特别地，用户可能需要以不同的方式来动作，以验证在他的移动终端上接收到的询问消息。举个例子，他可以通过简单地解锁他的移动终端来验证该消息，或者用他的手指在他的移动终端的屏幕上绘制预定的形状(这将防止窃取移动终端的任何人验证该消息)。

根据本发明的另一变型实施例，可以规定移动终端和电子控制单元通过公共网络、例如经由移动电话网络(而不是通过蓝牙)彼此通信。在这个变体中，所使用的协议是长距离类型，使得不可能执行包括验证移动终端位于机动车辆附近的步骤e3。在这个变体中，如果希望执行该步骤e3，必须使用安装在移动终端中的其他方法，例如其gps芯片，如果其已安装。

在又一变型中，要控制进入的机动车辆的功能可以是机动车辆的发动机的起动。在该变型中，对于用户来说，动作步骤可以包括按下机动车辆的起动器按钮。然而，其他步骤将与上述相同。当将其应用于软顶(或“可转换”)车辆时，该变型将是特别有利的。

因此，在上面参考图1至图3描述的实施例中，移动终端是配备有显示屏的手机。然后，询问消息im由电子控制单元11直接发送到手机，以使得在手机的显示屏幕上显示消息，并且验证消息vm由手机通过蓝牙链路直接发送到电子控制单元11。

在另一个实施例中，可以规定移动终端是配备有显示屏的移动手表。术语“移动手表”被认为是指能够独立于蜂窝电话，例如经由蓝牙链路与其他装置(特别是与电子控制单元11)通信的手表。

在本实施例中，询问消息im可以由电子控制单元11直接发送到移动手表，并且验证消息vm可以由移动手表直接发送到电子控制单元11。

在又一实施例中，可以规定移动终端是适于与由手机的携带者所携带的连接的手表通信的手机。术语“连接的手表”被认为是指能够与手机通信的手表，并且为了与其他装置(特别是与电子控制单元11)进行通信，必须至少暂时地通过手机建立网关。

在本实施例中，询问消息im可以由电子控制单元11通过手机发送给连接的手表。然而，验证消息vm可以由连接的手表直接发送到电子控制单元11，或者经由蜂窝电话发送给它。