本發(fā)明涉及電動汽車領域，特別是一種用于電動汽車的安全遠程控制系統(tǒng)及其方法。

背景技術：

隨著能源危機日益加深，電動汽車與互聯(lián)網(wǎng)產(chǎn)業(yè)的蓬勃發(fā)展和不斷融合，節(jié)能環(huán)保的電動汽車愈來愈受到人們的關注，成為汽車工業(yè)發(fā)展的熱點之一。

近年來帶遠程控制功能的電動汽車更是得到廣泛推廣并受到好評。例如，在烈日炎炎的夏季，大多車主傾向于先啟動空調(diào)，將車內(nèi)預冷后再開車，于是帶遠程空調(diào)控制功能的電動汽車受到廠商的推崇和車主的青睞。當然，遠程控制功能遠不止于此，還有遠程大燈控制功能、遠程解鎖車門功能、遠程啟動車輛功能等等，遠程控制功能由于其能滿足客戶的個性化需求而受到追捧。

目前，電動汽車的遠程控制功能主要由遠程控制系統(tǒng)實現(xiàn)，系統(tǒng)主要包含非車載部件和車載部件。車載部件包括的電子控制單元數(shù)目繁多，系統(tǒng)結(jié)構復雜；各控制單元間通過CAN總線連接，總線負載率高；且數(shù)據(jù)通信為明碼傳輸，安全性差。在傳輸過程中，遠程控制系統(tǒng)由有線/無線網(wǎng)絡、移動數(shù)據(jù)網(wǎng)絡、CAN總線網(wǎng)絡及線束接線網(wǎng)絡串聯(lián)組成，鏈路結(jié)構復雜，系統(tǒng)容易失效和出錯；系統(tǒng)數(shù)據(jù)傳輸環(huán)節(jié)煩多，安全性差，容易被惡意劫持和篡改。

技術實現(xiàn)要素：

針對上述現(xiàn)有技術存在的問題，本發(fā)明提供一種用于電動汽車的安全遠程控制系統(tǒng)及其方法。

一種用于電動汽車的安全遠程控制系統(tǒng)，包括：車載單元和非車載單元，車載單元與非車載單元通過移動數(shù)據(jù)網(wǎng)絡進行連接；其中，非車載單元包括：遠程平臺服務器以及與其相連的若干用戶終端，車載單元包括：數(shù)據(jù)終端以及與其相連的集中控制器，數(shù)據(jù)終端與遠程服務平臺相連，集中控制器還連有若干動作執(zhí)行單元；

集中控制器包括：整車控制單元以及與其相連的若干動作控制單元，并且動作控制單元與其對應的動作執(zhí)行單元相連，整車控制單元還與數(shù)據(jù)終端相連。

進一步地，遠程平臺服務器為TSP遠程平臺服務器，數(shù)據(jù)終端為T-BOX數(shù)據(jù)終端。

進一步地，數(shù)據(jù)終端與集中控制器通過CAN總線相連，整車控制單元與動作控制單元通過內(nèi)部總線（SPI，IIC）相連。

基于上述的一種用于電動汽車的安全遠程控制系統(tǒng)的控制方法，步驟如下：

步驟一：用戶通過用戶終端發(fā)出命令至遠程平臺服務器；

步驟二：遠程平臺服務器收到命令后對其進行加密、打包，并將打包好的報文傳送至數(shù)據(jù)終端；

步驟三：數(shù)據(jù)終端對報文進行解析和解密，然后對解密后的報文進行二次打包，并發(fā)送給整車控制單元，再由整車控制單元對二次打包的報文進行解析；

步驟四：整車控制單元得到解析后的控制請求命令后，對控制命令的合法性進行判斷，若合法，則保存控制命令后進入步驟五，若非法，則不保存控制命令并進入步驟六；

步驟五：動作執(zhí)行單元執(zhí)行控制命令；

步驟六：動作執(zhí)行單元不執(zhí)行控制命令。

進一步地，步驟四和步驟五中，判斷為合法并執(zhí)行控制命令的具體步驟如下：

4.1.1 ：整車控制單元將動態(tài)生成的隨機碼返回給數(shù)據(jù)終端；

4.1.2 ：數(shù)據(jù)終端將隨機碼加密和打包后返回給遠程平臺服務器，并由遠程平臺服務器進行解析和解密；

4.1.3 ：遠程平臺服務器調(diào)用加密算法生成密鑰，然后將密鑰經(jīng)加密、打包處理后發(fā)送給數(shù)據(jù)終端；

4.1.4 ：數(shù)據(jù)終端將接收到的密鑰報文進行解析和解密后，轉(zhuǎn)發(fā)至整車控制單元，并由整車控制單元對密鑰進行驗證；

4.1.5 ：若密鑰驗證成功，則整車控制單元生成正確碼，并將保存的控制命令轉(zhuǎn)發(fā)至對應的動作控制單元，進而由該動作控制單元操作對應的動作執(zhí)行單元，若驗證失敗，動作執(zhí)行單元不響應。

進一步地，若密鑰驗證成功，整車控制單元將生成的正確碼，經(jīng)數(shù)據(jù)終端、遠程平臺服務器逐步返回至對應的用戶終端并顯示。

進一步地，若密鑰驗證失敗，則執(zhí)行以下步驟；

4.1.6 ：判斷驗證時間是否超時或嘗試次數(shù)是否超限，若是，則密鑰驗證失敗，進入步驟六，若否，則整車控制單元響應錯誤碼，并由數(shù)據(jù)終端加密、打包后發(fā)送給遠程平臺服務器，要求重新進行密鑰驗證，進入步驟4.1.3。

進一步地，步驟四中和步驟六中，判斷為非法且不執(zhí)行控制命令的具體步驟如下；

4.2.1 ：整車控制單元對非法的命令作出負響應，同時生成錯誤碼，由數(shù)據(jù)終端加密、打包后發(fā)送給遠程平臺服務器；

4.2.2 ：遠程平臺服務器接收到錯誤碼后，進行解析和解密，并返回給用戶終端進行顯示，動作執(zhí)行單元不響應。

進一步地，遠程平臺服務器和數(shù)據(jù)終端均遵循相應的加密、解密算法進行打包和解析，并采用OTA協(xié)議對數(shù)據(jù)報文進行封裝和傳輸。

進一步地，所述的隨機碼和密鑰均為32位的十六進制代碼。

與現(xiàn)有技術相比，本發(fā)明具有以下有益效果：

1. 本發(fā)明所提出的控制系統(tǒng)，通過精簡并集成車載控制單元，使其成為一個單獨的集中控制器，這不僅減化了遠程控制系統(tǒng)結(jié)構和鏈路的復雜性，也減少了失效環(huán)節(jié)，既簡單又可靠。

2. 通過取消分散的車載控制單元間的CAN總線連接，減小了由于車載控制單元間CAN總線的明碼傳輸帶來的安全風險，提高了遠程控制系統(tǒng)的可靠性。

3. 通過對數(shù)據(jù)終端與集中控制器間的數(shù)據(jù)傳輸加入32位的十六進制動態(tài)隨機碼和密鑰驗證，提高了遠程控制系統(tǒng)的安全性，有效地防止了數(shù)據(jù)被惡意劫持和篡改。

4. 采用一問一答的“請求/應答”握手傳輸機制，有效地降低了CAN總線負載率，減少了TSP遠程平臺服務器與數(shù)據(jù)終端間通過移動數(shù)據(jù)網(wǎng)絡傳輸?shù)耐ㄐ帕髁?，在保障遠程控制功能正常的情況下，節(jié)約數(shù)據(jù)通信資費，使用戶使用經(jīng)濟性得到顯著提高。

附圖說明

圖1為本發(fā)明的系統(tǒng)框圖。

圖2為集中控制器的內(nèi)部結(jié)構框圖。

具體實施方式

下面結(jié)合附圖和實施例對本發(fā)明作進一步說明，本發(fā)明的實施方式包括但不限于下列實施例。

實施例一

如圖1和圖2所示的一種用于電動汽車的安全遠程控制系統(tǒng)，包括：車載單元和非車載單元，車載單元與非車載單元通過移動數(shù)據(jù)網(wǎng)絡進行連接；其中，非車載單元包括：遠程平臺服務器以及與其相連的若干用戶終端，車載單元包括：數(shù)據(jù)終端以及與其相連的集中控制器，數(shù)據(jù)終端與遠程服務平臺相連，集中控制器還連有若干動作執(zhí)行單元；

集中控制器包括：整車控制單元以及與其相連的若干動作控制單元，并且動作控制單元與其對應的動作執(zhí)行單元相連，整車控制單元還與數(shù)據(jù)終端相連。

本實施例中，遠程平臺服務器為TSP遠程平臺服務器，數(shù)據(jù)終端為T-BOX數(shù)據(jù)終端。

本實施例中，數(shù)據(jù)終端與集中控制器通過CAN總線相連，整車控制單元與動作控制單元通過內(nèi)部總線相連，內(nèi)部總線可以為SPI或IIC，也可以使用其他適用的類型。

實施例二

本實施例基于上述的一種用于電動汽車的安全遠程控制系統(tǒng)的控制方法，步驟如下：

步驟一：用戶通過用戶終端發(fā)出命令至遠程平臺服務器；

步驟二：遠程平臺服務器收到命令后對其進行加密、打包，并將打包好的報文傳送至數(shù)據(jù)終端；

步驟三：數(shù)據(jù)終端對報文進行解析和解密，然后對解密后的報文進行二次打包，并發(fā)送給整車控制單元，再由整車控制單元對二次打包的報文進行解析；

步驟四：整車控制單元得到解析后的控制請求命令后，對控制命令的合法性進行判斷，若合法，則保存控制命令后進入步驟五，若非法，則不保存控制命令并進入步驟六；

步驟五：動作執(zhí)行單元執(zhí)行控制命令；

步驟六：動作執(zhí)行單元不執(zhí)行控制命令。

本實施例的步驟四和步驟五中，判斷為合法并執(zhí)行控制命令的具體步驟如下：

4.1.1 ：整車控制單元將動態(tài)生成的隨機碼返回給數(shù)據(jù)終端；

4.1.2 ：數(shù)據(jù)終端將隨機碼加密和打包后返回給遠程平臺服務器，并由遠程平臺服務器進行解析和解密；

4.1.3 ：遠程平臺服務器調(diào)用加密算法生成密鑰，然后將密鑰經(jīng)加密、打包處理后發(fā)送給數(shù)據(jù)終端；

4.1.4 ：數(shù)據(jù)終端將接收到的密鑰報文進行解析和解密后，轉(zhuǎn)發(fā)至整車控制單元，并由整車控制單元對密鑰進行驗證；

4.1.5 ：若密鑰驗證成功，則整車控制單元生成正確碼，并將保存的控制命令轉(zhuǎn)發(fā)至對應的動作控制單元，進而由該動作控制單元操作對應的動作執(zhí)行單元，若驗證失敗，動作執(zhí)行單元不響應。

本實施例中，若密鑰驗證成功，整車控制單元將生成的正確碼，經(jīng)數(shù)據(jù)終端、遠程平臺服務器逐步返回至對應的用戶終端并顯示。

本實施例中，若密鑰驗證失敗，則執(zhí)行以下步驟；

4.1.6 ：判斷驗證時間是否超時或嘗試次數(shù)是否超限，若是，則密鑰驗證失敗，進入步驟六，若否，則整車控制單元響應錯誤碼，并由數(shù)據(jù)終端加密、打包后發(fā)送給遠程平臺服務器，要求重新進行密鑰驗證，進入步驟4.1.3。

步驟四和步驟六中，判斷為非法且不執(zhí)行控制命令的具體步驟如下；

4.2.1 ：整車控制單元對非法的命令作出負響應，同時生成錯誤碼，由數(shù)據(jù)終端加密、打包后發(fā)送給遠程平臺服務器；

4.2.2 ：遠程平臺服務器接收到錯誤碼后，進行解析和解密，并返回給用戶終端進行顯示，動作執(zhí)行單元不響應。

本實施例中，遠程平臺服務器和數(shù)據(jù)終端均遵循相應的加密、解密算法進行打包和解析，并采用OTA協(xié)議對數(shù)據(jù)報文進行封裝和傳輸。

本實施例中，所述的隨機碼和密鑰均為32位的十六進制代碼。

實施例三

本實施例結(jié)合實施例一與實施例二，并以電動汽車的充電功能為例，對本發(fā)明的控制方法進行舉例說明。

正常充電時，首先由用戶終端提交遠程充電控制請求命令，TSP遠程平臺服務器接收到請求命令后，對命令進行加密處理并按照OTA協(xié)議打包，并由遠程平臺服務器將打包的報文發(fā)送至T-BOX數(shù)據(jù)終端；數(shù)據(jù)終端遵循OTA協(xié)議及加密算法解析報文，報文解析完成后，還需要按照CAN總線協(xié)議及應用協(xié)議二次打包，然后將打包的控制命令報文轉(zhuǎn)發(fā)至整車控制單元，當整車控制單元接收到報文后再進行解析。

若整車控制單元檢測到接收的控制命令，則會將當前解析的請求控制命令進行合法性判斷，若合法，則整車控制單元會保存該控制命令，并將動態(tài)生成的32位十六進制隨機碼返回給數(shù)據(jù)終端；再由數(shù)據(jù)終端返回給遠程平臺服務器，遠程平臺服務器接收到隨機碼后會調(diào)用加密算法生成對應的32位十六進制密鑰，然后將密鑰經(jīng)加密、打包處理后，經(jīng)數(shù)據(jù)終端轉(zhuǎn)發(fā)至整車控制單元，由整車控制單元再對接收到的密鑰進行解析和驗證，驗證成功后會將充電請求命令轉(zhuǎn)發(fā)至充電控制器，再由充電控制器控制執(zhí)行部件打開充電功能；充電功能開啟成功的狀態(tài)再經(jīng)整車控制單元、數(shù)據(jù)終端、遠程平臺服務器逐步返回至對應的用戶終端并進行顯示。