本發(fā)明涉及電動汽車領(lǐng)域，特別是一種用于電動汽車的安全遠(yuǎn)程控制系統(tǒng)及其方法。

背景技術(shù)：

隨著能源危機(jī)日益加深，電動汽車與互聯(lián)網(wǎng)產(chǎn)業(yè)的蓬勃發(fā)展和不斷融合，節(jié)能環(huán)保的電動汽車愈來愈受到人們的關(guān)注，成為汽車工業(yè)發(fā)展的熱點(diǎn)之一。

近年來帶遠(yuǎn)程控制功能的電動汽車更是得到廣泛推廣并受到好評。例如，在烈日炎炎的夏季，大多車主傾向于先啟動空調(diào)，將車內(nèi)預(yù)冷后再開車，于是帶遠(yuǎn)程空調(diào)控制功能的電動汽車受到廠商的推崇和車主的青睞。當(dāng)然，遠(yuǎn)程控制功能遠(yuǎn)不止于此，還有遠(yuǎn)程大燈控制功能、遠(yuǎn)程解鎖車門功能、遠(yuǎn)程啟動車輛功能等等，遠(yuǎn)程控制功能由于其能滿足客戶的個性化需求而受到追捧。

目前，電動汽車的遠(yuǎn)程控制功能主要由遠(yuǎn)程控制系統(tǒng)實現(xiàn)，系統(tǒng)主要包含非車載部件和車載部件。車載部件包括的電子控制單元數(shù)目繁多，系統(tǒng)結(jié)構(gòu)復(fù)雜；各控制單元間通過CAN總線連接，總線負(fù)載率高；且數(shù)據(jù)通信為明碼傳輸，安全性差。在傳輸過程中，遠(yuǎn)程控制系統(tǒng)由有線/無線網(wǎng)絡(luò)、移動數(shù)據(jù)網(wǎng)絡(luò)、CAN總線網(wǎng)絡(luò)及線束接線網(wǎng)絡(luò)串聯(lián)組成，鏈路結(jié)構(gòu)復(fù)雜，系統(tǒng)容易失效和出錯；系統(tǒng)數(shù)據(jù)傳輸環(huán)節(jié)煩多，安全性差，容易被惡意劫持和篡改。

技術(shù)實現(xiàn)要素：

針對上述現(xiàn)有技術(shù)存在的問題，本發(fā)明提供一種用于電動汽車的安全遠(yuǎn)程控制系統(tǒng)及其方法。

一種用于電動汽車的安全遠(yuǎn)程控制系統(tǒng)，包括：車載單元和非車載單元，車載單元與非車載單元通過移動數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行連接；其中，非車載單元包括：遠(yuǎn)程平臺服務(wù)器以及與其相連的若干用戶終端，車載單元包括：數(shù)據(jù)終端以及與其相連的集中控制器，數(shù)據(jù)終端與遠(yuǎn)程服務(wù)平臺相連，集中控制器還連有若干動作執(zhí)行單元；

集中控制器包括：整車控制單元以及與其相連的若干動作控制單元，并且動作控制單元與其對應(yīng)的動作執(zhí)行單元相連，整車控制單元還與數(shù)據(jù)終端相連。

進(jìn)一步地，遠(yuǎn)程平臺服務(wù)器為TSP遠(yuǎn)程平臺服務(wù)器，數(shù)據(jù)終端為T-BOX數(shù)據(jù)終端。

進(jìn)一步地，數(shù)據(jù)終端與集中控制器通過CAN總線相連，整車控制單元與動作控制單元通過內(nèi)部總線（SPI，IIC）相連。

基于上述的一種用于電動汽車的安全遠(yuǎn)程控制系統(tǒng)的控制方法，步驟如下：

步驟一：用戶通過用戶終端發(fā)出命令至遠(yuǎn)程平臺服務(wù)器；

步驟二：遠(yuǎn)程平臺服務(wù)器收到命令后對其進(jìn)行加密、打包，并將打包好的報文傳送至數(shù)據(jù)終端；

步驟三：數(shù)據(jù)終端對報文進(jìn)行解析和解密，然后對解密后的報文進(jìn)行二次打包，并發(fā)送給整車控制單元，再由整車控制單元對二次打包的報文進(jìn)行解析；

步驟四：整車控制單元得到解析后的控制請求命令后，對控制命令的合法性進(jìn)行判斷，若合法，則保存控制命令后進(jìn)入步驟五，若非法，則不保存控制命令并進(jìn)入步驟六；

步驟五：動作執(zhí)行單元執(zhí)行控制命令；

步驟六：動作執(zhí)行單元不執(zhí)行控制命令。

進(jìn)一步地，步驟四和步驟五中，判斷為合法并執(zhí)行控制命令的具體步驟如下：

4.1.1 ：整車控制單元將動態(tài)生成的隨機(jī)碼返回給數(shù)據(jù)終端；

4.1.2 ：數(shù)據(jù)終端將隨機(jī)碼加密和打包后返回給遠(yuǎn)程平臺服務(wù)器，并由遠(yuǎn)程平臺服務(wù)器進(jìn)行解析和解密；

4.1.3 ：遠(yuǎn)程平臺服務(wù)器調(diào)用加密算法生成密鑰，然后將密鑰經(jīng)加密、打包處理后發(fā)送給數(shù)據(jù)終端；

4.1.4 ：數(shù)據(jù)終端將接收到的密鑰報文進(jìn)行解析和解密后，轉(zhuǎn)發(fā)至整車控制單元，并由整車控制單元對密鑰進(jìn)行驗證；

4.1.5 ：若密鑰驗證成功，則整車控制單元生成正確碼，并將保存的控制命令轉(zhuǎn)發(fā)至對應(yīng)的動作控制單元，進(jìn)而由該動作控制單元操作對應(yīng)的動作執(zhí)行單元，若驗證失敗，動作執(zhí)行單元不響應(yīng)。

進(jìn)一步地，若密鑰驗證成功，整車控制單元將生成的正確碼，經(jīng)數(shù)據(jù)終端、遠(yuǎn)程平臺服務(wù)器逐步返回至對應(yīng)的用戶終端并顯示。

進(jìn)一步地，若密鑰驗證失敗，則執(zhí)行以下步驟；

4.1.6 ：判斷驗證時間是否超時或嘗試次數(shù)是否超限，若是，則密鑰驗證失敗，進(jìn)入步驟六，若否，則整車控制單元響應(yīng)錯誤碼，并由數(shù)據(jù)終端加密、打包后發(fā)送給遠(yuǎn)程平臺服務(wù)器，要求重新進(jìn)行密鑰驗證，進(jìn)入步驟4.1.3。

進(jìn)一步地，步驟四中和步驟六中，判斷為非法且不執(zhí)行控制命令的具體步驟如下；

4.2.1 ：整車控制單元對非法的命令作出負(fù)響應(yīng)，同時生成錯誤碼，由數(shù)據(jù)終端加密、打包后發(fā)送給遠(yuǎn)程平臺服務(wù)器；

4.2.2 ：遠(yuǎn)程平臺服務(wù)器接收到錯誤碼后，進(jìn)行解析和解密，并返回給用戶終端進(jìn)行顯示，動作執(zhí)行單元不響應(yīng)。

進(jìn)一步地，遠(yuǎn)程平臺服務(wù)器和數(shù)據(jù)終端均遵循相應(yīng)的加密、解密算法進(jìn)行打包和解析，并采用OTA協(xié)議對數(shù)據(jù)報文進(jìn)行封裝和傳輸。

進(jìn)一步地，所述的隨機(jī)碼和密鑰均為32位的十六進(jìn)制代碼。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果：

1. 本發(fā)明所提出的控制系統(tǒng)，通過精簡并集成車載控制單元，使其成為一個單獨(dú)的集中控制器，這不僅減化了遠(yuǎn)程控制系統(tǒng)結(jié)構(gòu)和鏈路的復(fù)雜性，也減少了失效環(huán)節(jié)，既簡單又可靠。

2. 通過取消分散的車載控制單元間的CAN總線連接，減小了由于車載控制單元間CAN總線的明碼傳輸帶來的安全風(fēng)險，提高了遠(yuǎn)程控制系統(tǒng)的可靠性。

3. 通過對數(shù)據(jù)終端與集中控制器間的數(shù)據(jù)傳輸加入32位的十六進(jìn)制動態(tài)隨機(jī)碼和密鑰驗證，提高了遠(yuǎn)程控制系統(tǒng)的安全性，有效地防止了數(shù)據(jù)被惡意劫持和篡改。

4. 采用一問一答的“請求/應(yīng)答”握手傳輸機(jī)制，有效地降低了CAN總線負(fù)載率，減少了TSP遠(yuǎn)程平臺服務(wù)器與數(shù)據(jù)終端間通過移動數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)耐ㄐ帕髁?，在保障遠(yuǎn)程控制功能正常的情況下，節(jié)約數(shù)據(jù)通信資費(fèi)，使用戶使用經(jīng)濟(jì)性得到顯著提高。

附圖說明

圖1為本發(fā)明的系統(tǒng)框圖。

圖2為集中控制器的內(nèi)部結(jié)構(gòu)框圖。

具體實施方式

下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步說明，本發(fā)明的實施方式包括但不限于下列實施例。

實施例一

如圖1和圖2所示的一種用于電動汽車的安全遠(yuǎn)程控制系統(tǒng)，包括：車載單元和非車載單元，車載單元與非車載單元通過移動數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行連接；其中，非車載單元包括：遠(yuǎn)程平臺服務(wù)器以及與其相連的若干用戶終端，車載單元包括：數(shù)據(jù)終端以及與其相連的集中控制器，數(shù)據(jù)終端與遠(yuǎn)程服務(wù)平臺相連，集中控制器還連有若干動作執(zhí)行單元；

集中控制器包括：整車控制單元以及與其相連的若干動作控制單元，并且動作控制單元與其對應(yīng)的動作執(zhí)行單元相連，整車控制單元還與數(shù)據(jù)終端相連。

本實施例中，遠(yuǎn)程平臺服務(wù)器為TSP遠(yuǎn)程平臺服務(wù)器，數(shù)據(jù)終端為T-BOX數(shù)據(jù)終端。

本實施例中，數(shù)據(jù)終端與集中控制器通過CAN總線相連，整車控制單元與動作控制單元通過內(nèi)部總線相連，內(nèi)部總線可以為SPI或IIC，也可以使用其他適用的類型。

實施例二

本實施例基于上述的一種用于電動汽車的安全遠(yuǎn)程控制系統(tǒng)的控制方法，步驟如下：

步驟一：用戶通過用戶終端發(fā)出命令至遠(yuǎn)程平臺服務(wù)器；

步驟二：遠(yuǎn)程平臺服務(wù)器收到命令后對其進(jìn)行加密、打包，并將打包好的報文傳送至數(shù)據(jù)終端；

步驟三：數(shù)據(jù)終端對報文進(jìn)行解析和解密，然后對解密后的報文進(jìn)行二次打包，并發(fā)送給整車控制單元，再由整車控制單元對二次打包的報文進(jìn)行解析；

步驟四：整車控制單元得到解析后的控制請求命令后，對控制命令的合法性進(jìn)行判斷，若合法，則保存控制命令后進(jìn)入步驟五，若非法，則不保存控制命令并進(jìn)入步驟六；

步驟五：動作執(zhí)行單元執(zhí)行控制命令；

步驟六：動作執(zhí)行單元不執(zhí)行控制命令。

本實施例的步驟四和步驟五中，判斷為合法并執(zhí)行控制命令的具體步驟如下：

4.1.1 ：整車控制單元將動態(tài)生成的隨機(jī)碼返回給數(shù)據(jù)終端；

4.1.2 ：數(shù)據(jù)終端將隨機(jī)碼加密和打包后返回給遠(yuǎn)程平臺服務(wù)器，并由遠(yuǎn)程平臺服務(wù)器進(jìn)行解析和解密；

4.1.3 ：遠(yuǎn)程平臺服務(wù)器調(diào)用加密算法生成密鑰，然后將密鑰經(jīng)加密、打包處理后發(fā)送給數(shù)據(jù)終端；

4.1.4 ：數(shù)據(jù)終端將接收到的密鑰報文進(jìn)行解析和解密后，轉(zhuǎn)發(fā)至整車控制單元，并由整車控制單元對密鑰進(jìn)行驗證；

4.1.5 ：若密鑰驗證成功，則整車控制單元生成正確碼，并將保存的控制命令轉(zhuǎn)發(fā)至對應(yīng)的動作控制單元，進(jìn)而由該動作控制單元操作對應(yīng)的動作執(zhí)行單元，若驗證失敗，動作執(zhí)行單元不響應(yīng)。

本實施例中，若密鑰驗證成功，整車控制單元將生成的正確碼，經(jīng)數(shù)據(jù)終端、遠(yuǎn)程平臺服務(wù)器逐步返回至對應(yīng)的用戶終端并顯示。

本實施例中，若密鑰驗證失敗，則執(zhí)行以下步驟；

4.1.6 ：判斷驗證時間是否超時或嘗試次數(shù)是否超限，若是，則密鑰驗證失敗，進(jìn)入步驟六，若否，則整車控制單元響應(yīng)錯誤碼，并由數(shù)據(jù)終端加密、打包后發(fā)送給遠(yuǎn)程平臺服務(wù)器，要求重新進(jìn)行密鑰驗證，進(jìn)入步驟4.1.3。

步驟四和步驟六中，判斷為非法且不執(zhí)行控制命令的具體步驟如下；

4.2.1 ：整車控制單元對非法的命令作出負(fù)響應(yīng)，同時生成錯誤碼，由數(shù)據(jù)終端加密、打包后發(fā)送給遠(yuǎn)程平臺服務(wù)器；

4.2.2 ：遠(yuǎn)程平臺服務(wù)器接收到錯誤碼后，進(jìn)行解析和解密，并返回給用戶終端進(jìn)行顯示，動作執(zhí)行單元不響應(yīng)。

本實施例中，遠(yuǎn)程平臺服務(wù)器和數(shù)據(jù)終端均遵循相應(yīng)的加密、解密算法進(jìn)行打包和解析，并采用OTA協(xié)議對數(shù)據(jù)報文進(jìn)行封裝和傳輸。

本實施例中，所述的隨機(jī)碼和密鑰均為32位的十六進(jìn)制代碼。

實施例三

本實施例結(jié)合實施例一與實施例二，并以電動汽車的充電功能為例，對本發(fā)明的控制方法進(jìn)行舉例說明。

正常充電時，首先由用戶終端提交遠(yuǎn)程充電控制請求命令，TSP遠(yuǎn)程平臺服務(wù)器接收到請求命令后，對命令進(jìn)行加密處理并按照OTA協(xié)議打包，并由遠(yuǎn)程平臺服務(wù)器將打包的報文發(fā)送至T-BOX數(shù)據(jù)終端；數(shù)據(jù)終端遵循OTA協(xié)議及加密算法解析報文，報文解析完成后，還需要按照CAN總線協(xié)議及應(yīng)用協(xié)議二次打包，然后將打包的控制命令報文轉(zhuǎn)發(fā)至整車控制單元，當(dāng)整車控制單元接收到報文后再進(jìn)行解析。

若整車控制單元檢測到接收的控制命令，則會將當(dāng)前解析的請求控制命令進(jìn)行合法性判斷，若合法，則整車控制單元會保存該控制命令，并將動態(tài)生成的32位十六進(jìn)制隨機(jī)碼返回給數(shù)據(jù)終端；再由數(shù)據(jù)終端返回給遠(yuǎn)程平臺服務(wù)器，遠(yuǎn)程平臺服務(wù)器接收到隨機(jī)碼后會調(diào)用加密算法生成對應(yīng)的32位十六進(jìn)制密鑰，然后將密鑰經(jīng)加密、打包處理后，經(jīng)數(shù)據(jù)終端轉(zhuǎn)發(fā)至整車控制單元，由整車控制單元再對接收到的密鑰進(jìn)行解析和驗證，驗證成功后會將充電請求命令轉(zhuǎn)發(fā)至充電控制器，再由充電控制器控制執(zhí)行部件打開充電功能；充電功能開啟成功的狀態(tài)再經(jīng)整車控制單元、數(shù)據(jù)終端、遠(yuǎn)程平臺服務(wù)器逐步返回至對應(yīng)的用戶終端并進(jìn)行顯示。