车厢访问管理的方法和系统
相关申请的交叉引用
本申请要求于2018年11月15日提交的美国专利申请16/192,569的优先权,该申请的全部内容通过引用整体结合于此。
背景技术
现代车辆包括许多组件,例如发动机和变速器,以及电子电路,例如传感器和处理模块、LiDAR模块、电子控制模块等。这些组件中许多都容纳在车厢内。车厢通常具有活动盖,例如引擎盖或门,可以通过激活执行器(例如,物理按钮、软件按钮等)打开,打开活动盖可以接触到容纳在车厢中的组件。在正常操作下(例如,当车辆行驶时),车厢被锁定,即使激活了执行器,活动盖仍保持关闭。当车辆静止时,用户(例如,驾驶员、乘客、技术人员或任何可以进入客舱的人)可以从客舱内解锁车厢以访问车厢的内部。
通常,可以进入驾驶室的人可以无限制地完全进入车厢。但是,这样的安排可能会带来安全风险。例如,入侵者可能闯入客舱并进入车厢。而且,在共乘和自动驾驶的情况下,自动驾驶车辆的乘客可以在缺少车主在场的情况下进入车厢。在这两种情况下,容纳在车厢中的组件都可能受到未经授权的访问,这可能会损害车辆的安全性。另一方面,限制访问车厢会给车辆的维护工作带来不便。
发明内容
在一些实施例中,提供了一种方法。该方法包括:接收来自请求者的访问车辆的车厢的请求;基于车辆的操作确定请求者对车厢的访问范围;并基于访问范围配置车厢的锁紧机构。
在一些方面,该车厢的访问范围包括以下之一:不允许访问该车厢、一次临时访问该车厢,或无限制地访问该车厢。
在一些方面,该访问范围基于请求者是否已经在管理服务器上执行了登记过程确定,该登记过程包括请求者提供凭证信息以认证请求者是特权用户。在一些方面,该方法还包括:基于确定请求者尚未在管理服务器上执行登记过程,不允许请求者访问车厢。在一些方面,该方法还包括:接收,通过车辆的访问控制模块并从管理服务器接收登记通知,该登记通知还包括车厢的访问范围的指示;以及并基于指示配置车厢的锁紧机构。
在一些方面,该方法还包括:由可信实体接收来自请求者访问车厢的请求;基于与车辆事件有关的信息由可信实体准予请求;由可信实体向管理服务器发送命令以提供对车厢的访问;由管理服务器向车辆的访问控制模块传发送访问令牌,该访问令牌包括对车厢的访问范围的指示;并响应于接收访问令牌,访问控制模块基于指示禁用锁紧机构。在一些方面,请求包括车辆的车辆标识符和请求者的请求者标识符。访问令牌包括车辆的车辆标识符和请求者标识符。
在一些方面,访问范围包括访问令牌的到期时间。通过访问控制模块对锁紧机构的禁用是基于当前时间再到期时间之前。在一些方面,访问范围包括序列号。访问控制模块对锁紧机构的禁用是基于该序列号高于存储在访问控制模块中的参考序列号。该方法还包括在启用锁紧机构之后基于序列号更新参考序列号。
在一些方面,访问令牌包括车辆标识符。访问控制模块对锁紧机构到的禁用是基于访问令牌的车辆标识符与车辆的参考标识符匹配。
在一些方面,该方法还包括:由管理服务器向访问控制模块发送指示访问范围的访问令牌。访问令牌由管理服务器的私人管理密钥签名。该方法还包括:使用管理服务器的公共管理密钥通过访问控制模块来验证访问令牌的签名。
在一些方面,访问令牌也经由访问控制模块的公钥加密。该方法还包括:在验证签名之后,由访问控制模块使用访问控制模块的私钥对访问令牌进行解密。
在一些方面,该方法进一步包括:响应于拒绝请求者访问车厢,监测对车厢的未经授权的访问;并响应于检测到未经授权的访问,执行一个或以上操作。在一些方面,对车厢的未经授权的访问的监测基于以下至少一项:检测车厢的活动盖运动、检测车厢中一个或以上组件运动、或检测车厢中的光强度变化。在一些方面,一个或以上操作包括:输出警报信号、向执法部门发送信号,或向管理服务器发送信号。
在一些实施例中,提供了一种装置。该装置包括存储一组指令和一个硬件处理器被配置为执行该组指令以接收来自请求者访问车辆的车厢的请求。基于车辆的操作确定请求者对车厢的访问范围;并基于访问范围配置车厢的锁紧机构。
在一些方面,硬件处理器被配置为执行该组指令以基于请求者是否已在管理服务器上执行了登记过程来确定访问范围,该登记过程包括请求者提供凭证信息,以验证请求者是特权用户。
在一些方面,硬件处理器被配置为执行该组指令以:从管理服务器接收访问令牌,该访问令牌包括对车厢的访问范围的指示,并且由管理服务器基于来自可信实体的命令发送该访问令牌;响应于接收访问令牌,基于指示禁用锁紧机构。
在一些实施例中,提供了一种非暂时性计算机可读介质。非暂时性计算机可读介质存储的指令在由硬件处理器执行时会促使硬件处理器执行上述方法。例如,硬件处理器可以接收来自请求者访问车辆的请求。基于车辆的操作确定请求者对车厢的访问范围;并基于访问范围配置车厢的锁紧机构。在一些方面,硬件处理器可以从管理服务器接收访问令牌,该访问令牌包括对车厢的访问范围的指示,并且由管理服务器基于来自可信实体的命令来发送该访问令牌;并响应于接收访问令牌,基于指示禁用锁紧机构。
附图说明
参照附图阐述详细描述。
图1示出了利用本文描述的所披露技术的一些实施例的安保和安全平台。
图2示出了根据本申请一些实施例所示的车辆电子系统的示例性框图。
图3A-图3C示出了根据所披露技术的一些实施例的车厢安全系统的示例。
图4A至图7示出了根据一些实施例的用于控制对车厢的访问的示例方法的流程图。
图8示出了可用于实现本文披露的技术的示例计算机系统。
具体实施方式
根据本申请的一些实施例,本申请的各方面总体上涉及外围设备,并且特别涉及无线外围设备控制器。
在下面的描述中,将描述车辆安全系统的各种示例。为了说明的目的,阐述了具体的配置和细节以便提供对实施例的透彻理解。然而,对于本领域的技术人员将显而易见的是,可以在不披露每个细节的情况下实践或实施一些实施例。此外,可以省略或简化众所周知的特征,以防止混淆本文所述的新颖特征。
关严车厢对于增强整个车辆的安全性保护至关重要。如上所述,车厢可以容纳关键的机械和电子组件。关严车厢可以防止这些组件被未经授权的访问,否则会损害车辆的安全性。例如,车厢中的电子组件可以通过控制器局域网(CAN总线)连接到车辆的其他电子组件(例如,信息娱乐系统、导航系统等)。恶意乘客可以访问车辆,并篡改车辆内的电子组件(例如,电子控制单元(ECU)),以通过CAN总线对其他电子组件进行攻击。例如,恶意乘客可以向ECU发送命令以控制车辆。又例如,恶意乘客可以通过篡改ECU来修改车辆的使用记录或获得对车辆提供的其他服务的访问,而这些服务是用户无权访问的等。又例如,恶意乘客可以篡改安装在车厢内的自动驾驶控制系统,这会损害车辆的安全运行。
在一些实施例中,可以通过限制对车厢的锁紧机构的访问来减轻这些类型的安全风险。例如,解锁操作可能仅限于所有者与车辆在一起或车辆在所有者所在场所的情况。但是,这种安排对于在没有所有者在场的情况下有访问车辆的合法需要的第三方可能会带来不便。例如,车辆可能在车主没在场的情况上被拖到维修店。在这种情况下,维修人员可能无法打开活动盖并无法访问车厢以执行必要的维修工作。
一些实施例的概念概述
本申请的实施例及可以解决上述问题的车厢安全系统。车厢安全系统包括车辆上的访问控制模块(ACM),例如图2的ACM 242,以及远程管理服务器,例如图2的管理服务器302。ACM与车厢的锁紧机构相连。ACM可以接收请求者发出的访问车厢的请求。基于操作条件,包括,例如车辆是否被请求者执行的登记过程激活、请求者是否为拥有完全且无限制访问车厢的特权用户、ACM是否收到了临时解锁指令(例如,临时访问令牌)等,ACM可以确定请求者对车厢的访问范围。访问范围可以包括,例如,拒绝访问、完全且无限制访问、一次具有到期时间的临时访问等。ACM可以根据访问范围配置锁紧机构(例如,启用或禁用它),以向请求者提供对车厢的访问。在一些情况下,ACM可以根据远程管理服务器提供的信息来确定操作条件。
车厢安全系统可以使车厢的访问范围适应不同的场景。作为说明性示例,请求者可以是试图访问被拖到维修店的车辆的车厢的维修人员。维修人员可以将请求发送到由可信实体(例如,公司、个人等)运营的客户服务服务器,以访问车厢。在独立地确认请求是合法的之后(例如,基于指示车辆由维修人员或实体拥有的事故日志),客户服务服务器可以向管理服务器发送指令以准予该请求。管理服务器可以将解锁指令(例如,访问令牌)发送到ACM。解锁指令可以包括无限制访问令牌或临时访问令牌。ACM从管理服务器收到解锁指令后,便可以禁用锁紧机构,从而使维修人员可以打开活动盖并访问车厢的内部以执行维护工作。可以根据是否接收到无限制访问令牌或临时访问令牌来确定锁紧机构的禁用操作。
作为第二个示例,ACM可能会丢失与管理服务器的远程通信(例如,蜂窝通信),但ACM可以通过短程通信(例如,蓝牙、近场通信(NFC))等与请求者的移动设备进行通信,以接受来自请求者的有限访问请求。有限访问请求可以包括临时访问令牌,该临时访问令牌指示有限访问范围。有限访问范围可以包括,例如,该访问是仅一次的、有时间限制的等。请求者(和移动设备)可以通过远程通信从管理服务器接收到ACM无法获得的临时访问令牌。一种示例情况是,当车辆在维修中心时,蜂窝信号非常弱并且车辆无法连接到服务器(例如,维修中心在地下室)。请求者(例如,维修人员)可以使用自己的手机通过Wi-Fi连接获得临时访问令牌,或者在蜂窝接收能力强的地方获得临时访问令牌。然后,请求者可以返回到车辆,通过短程通信将访问令牌发送到车辆。在从移动设备接收到临时访问令牌并确认该临时访问令牌由管理服务器生成后,ACM可以禁用锁紧机构。在一些实施例中,ACM可以在到期时间指示的持续时间内禁用锁紧机构。在一些实施例中,ACM可以限制锁紧机构可禁用(启用后)的次数。在这两种情况下,都可以提供对车厢临时和有限的访问。
又例如,ACM可以确定请求者是特权用户,并配置锁紧机构,以向请求者提供对车厢的完全且无限制访问。请求者可以是例如车辆的所有者、车辆的管理者等。ACM可以通过多种方式确定请求者是特权用户。在一实施例中,车辆安全系统可以通过管理服务器的登记过程(例如,通过请求者提供的凭证来认证其作为特权用户的身份)检测到请求者已激活车辆,该服务器可以向ACM发送登记通知以及执行登记的人是特权用户的指示。基于接收到登记通知和特权指示,ACM可以禁用锁紧机构以提供对车厢的完全且无限制访问。在另一个实施例中,ACM(或车辆的其他组件)可以存储特权用户及其凭据的列表。用户可以在车辆上执行登记过程并提供其凭据,以允许ACM将用户身份验证为特权用户,并向经过身份验证的用户提供车厢的完全且无限制访问的权限。
在本申请的实施例中,车厢安全系统可以考虑各种操作条件来设置对车厢的访问范围。例如,车辆安全系统可以允许在安全风险低并且存在需要访问车厢的情况下(例如,在维修店中、特权人员等)访问。而且,车辆安全系统可以依靠远程管理服务器(可以选择与可信实体运营的客户服务服务器对接)和请求者之间的单独交互,以确认请求的访问几乎没有安全风险,这可以最小化恶意用户或入侵者访问车厢的风险。所有这些都允许车厢在有正当需要时被访问,同时减少了对车辆造成的安全风险。
一些实施例的典型系统环境
图1示出了可以在其中实现所披露的技术的安保和安全平台100。安保和安全平台100可以管理包括车队102在内的车队的安全性。安保和安全平台100可以收集车队102的各种操作数据,以及来自与车队在其中工作的环境有关的其他来源的环境数据。安保和安全平台100可以处理数据以检测和响应事故/异常,并确定相应的风险情景。然后,安保和安全平台100可以基于风险情景确定一个或以上控制操作。安保和安全平台100还可以考虑其他信息,例如管理策略、预先配置的安全操作、访问控制规则等,以制定控制操作。然后,安保和安全平台100可以向车辆102的车队发出指令,执行控制操作以减轻风险。车队102可以包括在不同操作环境中操作并提供不同服务的各种类型的车辆。例如,车队102可以包括提供私人交通、公共交通、共享汽车等的车辆。车队102可以包括自动驾驶(AD)车辆、手动驾驶车辆等。
安保和安全平台100还可以包括安全数据收集接口104,以从车队102收集各种操作数据。操作数据可以包括例如位置数据、速度数据、传感器数据(例如,来自车门传感器、引擎盖传感器、轮胎压力传感器等的传感器数据)、来自车辆的各种电子组件的状态数据等。为了保护隐私并避免操作数据被拦截,安全数据收集接口104可以与车队的每辆车建立安全无线通道,并通过安全无线通道实时接收来自车辆的操作数据。安保和安全平台100还包括信任度感知模块106,其可以提供凭证信息(例如,公钥证书等)以与车队102进行相互认证,以认证安保和安全平台100并利用安全数据收集接口104建立安全无线信道。信任度感知模块106还可以对实时操作数据执行一些后处理操作,如识别提供传感器数据的车辆和传感器,从实时操作数据中提取时间信息等,并将后处理的实时操作数据提供给实时感知模块108。定位系统110还可以处理来自安全数据收集接口104的位置和速度数据,以生成和/或更新车队102的每辆车的位置信息。如下所述,车辆的位置信息可以与车辆提供的实时操作数据的其他方面相关以检测安全和/或安保风险。
除了来自车队102的实时操作数据(由信任度感知模块106提供)之外,实时感知模块108还可以获得与车队在其中运行的环境有关的实时环境数据。如图1所示,可以从移动设备112和其他感知资源114等获得实时环境数据。实时环境数据可以包括例如由移动设备112提供的报告,该移动设备可以由车辆102的车队的乘客、其他道路使用者、行人、维修服务人员等操作。这些报告可以包括例如交通状况报告、道路状况报告(例如,道路是否封闭或不适合驾驶)等。移动设备112还可以发送访问请求,以由乘客、维修服务人员等访问车辆102的一些特征和资源。另外,其他感知资源114可以包括作为城市基础设施的一部分安装的固定和/或移动传感器,以提供环境感官数据,包括例如天气状况、交通状况等。实时感知模块108可以将实时环境数据(例如,来自移动设备112的报告、来自其他感知资源114的环境感官数据等)以及实时操作数据(来自信任度感知模块106)提供给异常/事故检测和响应模块116,其也可以被配置为从定位系统110接收车队102的位置信息。在一些实施例中,可以将实时感知模块108配置为接收实时数据、实时环境数据以及实时操作数据(包括位置信息)以检测安全和/或安保风险。
除了实时环境数据和实时操作数据之外,异常/事故检测和响应模块116还可以从其他来源接收附加信息/数据,以执行安全和/或安保风险检测,并提供响应。例如,异常/事故检测和响应模块116可以从事件警报模块118接收在不同位置和时间的一些公共事件(可以预先计划,或者基于实时报告,例如危险的天气情况、交通事故等)的警报/报告,并提供响应。异常/事故检测和响应模块116还可以监测网络活动并检测潜在的网络安全攻击。异常/事故检测和响应模块116还可以从威胁情报源120接收在不同位置和时间的潜在安全威胁的警告,例如潜在的犯罪、恐怖或其他敌对行动。另外,生态系统状况122还可以提供例如来自由其他供应商运营的其他车队的环境和操作数据。所有这些数据可以由异常/事故检测和响应模块116集成以执行安全和/或安保风险检测和响应。
异常/事故检测和响应模块116可以包括逻辑以分析实时环境数据和实时操作数据(来自实时感知模块108)、车队102的位置信息(来自定位系统110)、公共事件警报/报告(来自事件警报模块118)、潜在安全威胁的警告(来自威胁情报源120),和生态系统数据(来自生态系统状况122),并识别潜在的安全和/或保障风险。该分析可以基于例如将操作数据与车队102的时间和位置信息相关联、检测操作模式等,同时考虑关于已知事件和威胁的警告和警报。异常/事故检测和响应模块116还可以生成风险评估,包括:例如,安全和/或安保风险的识别、风险的时间和位置、风险的严重程度等,并将分析结果发送给控制操作调度模块140。
作为说明性示例,实时感知模块108可以从车队102的车辆接收传感器数据。传感器数据可以由容纳了车辆的电子控制单元(ECU)的车厢处的传感器产生。异常/事故检测和响应模块116可以从实时感知模块108接收传感器数据,并且确定存在当前(或者在某个预定时间)访问车厢的尝试。异常/事故检测和响应模块116可以确定这样的事件是否指示潜在的安全或安保风险。为了做出确定,异常/事故检测和响应模块116可以从其他源,例如位置系统110、威胁情报源120等,以及尝试访问车队102的用户提供的登录数据和访问请求中获取其他数据,并将其他数据与事件相关联。例如,异常/事故检测模块和响应模块116可以基于来自定位系统110的车辆的位置信息来确定车辆是否处于车厢门不期望打开的位置。如果位置信息指示在检测到尝试访问车厢门时,车辆在修理店、车主的住所等,并且收到了对车厢的临时访问请求,异常/事故检测和响应模块116可以确定尝试的访问不构成安全风险,并且可以准予访问车厢。又例如,如果威胁情报源120提供的信息与来自定位系统110的位置信息一起指示车辆位于盗车猖獗的区域,并且检测到对车厢没有访问权限的用户的访问尝试,则异常/事故检测和响应模块116可以确定企图进行的访问构成更高的安全风险,并且可以提供适当的响应(例如,通过禁止对车厢的访问、通过向执法机构发出警报等)
控制操作调度模块140可以从异常/事故检测模块116接收车辆的风险评估(例如,所识别的风险、风险的严重性等),并根据风险评估确定要在车辆上执行的操作以减轻安全/安保风险。该确认可以基于一组规则判别风险和风险的严重性,并且规则可以来自各种来源。例如,如图1所示,控制操作调度模块140可以接收在风险管理策略存储器126和运输资产管理策略存储器132中定义的规则,并应用该规则来确定动作。回到上面的车厢访问实施例,运输资产管理策略存储器132可以提供指定车辆的车厢存储关键电子组件和在准许访问车厢之前需要授权的规则,。风险管理策略存储器126可以定义一组操作以确定是否授权访问车厢(例如,从请求者请求凭证信息)。例如,在访问车厢的请求者是车队102的注册用户(例如,驾驶员、乘客等)的情况下,控制操作调度模块140可以与身份管理和访问控制模块134一起操作以认证请求者的身份,并确定请求者相对于车厢的访问权。在异常/事故检测模块和响应模块116确定风险的严重性高的情况下,控制操作调度模块140可以基于存储在安全操作存储器136中的定义来执行安全操作以减轻安全风险。例如,威胁情报源120可以指示整个车队102可能受到网络攻击。当网络攻击的风险很高时,安全操作存储器136可以定义控制操作调度模块140应禁止车队中的每辆车的乘客访问互联网(同时保持车辆与安保和安全平台100之间的网络连接)。然后,控制操作调度模块140可以配置车队102(或向其发送指令)以禁用乘客的互联网访问。
图2示出了其中可以实现所披露的技术的车辆电子系统200的实施例的框图。车辆电子系统200可以是图1的安保和安全平台100的一部分。车辆电子系统200也可以是自动驾驶(AD)车辆的一部分,并且可以包括各种电子组件,包括:例如,AD控制器202、信息娱乐系统204、外部传感器206、内部传感器208、至少两个电子控制单元(ECU)210、至少两个执行器212和无线接口214。电子组件耦合到网络216。经由网络216,电子组件可以彼此通信。在一些实施例中,网络216可以包括CAN总线。在一些实施例中,一些组件也可以直接连接,而不是通过网络216连接。例如,外部传感器206、内部传感器208和执行器212直接连接到AD控制器202,以便AD控制器202即使在网络216不工作时也可以检测和控制对车辆的未经授权的访问。
AD控制器202可以包括支持与自动驾驶有关的各种操作的组件,包括例如导航和控制,安全和保护等。在一些实施例中,AD控制器202的模块和子系统可以以在通用计算机上执行的软件指令的形式实现。在一些实施例中,AD控制器202的模块和子系统可以在诸如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、片上系统(SoC)等集成电路(IC)上实现。在一些实施例中,AD控制器202可以包括AD导航子系统220和AD安全子系统222。AD导航子系统220可以从外部传感器206获得传感器数据,其可以包括例如LiDAR数据、RADAR数据、相机图像数据等,基于传感器数据执行导航操作,并控制车辆的速度和转向以将车辆带到目的地。如图2所示,AD导航子系统220可以包括感知模块232、定位模块234和规划模块236。感知模块232可以分析来自外部传感器206的传感器数据以生成关于车辆在操作时所处环境的感知数据以确定车辆的位置。例如,感知模块232可以分析LiDAR和RADAR数据以确定例如障碍物(例如,地标、建筑物等)与车辆之间的距离。感知模块232还可以分析来自摄像机的图像数据以提取例如地标、建筑物等的图像。定位模块234可以从感知模块232获取感知数据,并确定例如车辆的行驶方向、车辆的位置等。例如,定位模块234可以存储场所内的地标的一组位置。定位模块234可以基于从图像数据识别出的地标,以及基于LiDAR和/或RADAR数据到识别出的地标的距离,来确定车辆在场所内的当前位置。规划模块236可以基于车辆的当前位置和车辆的目的地来确定车辆的一个或以上控制决定(例如,车辆的行进方向、车辆的速度等)。规划模块236可以基于控制决策经由网络216将控制信号发送至电子控制单元210以控制车辆的转向角、车辆的发动机的节气门(以控制其速度)等。规划模块236还可以将控制决策发送到信息娱乐系统204以进行输出。例如,信息娱乐系统204可以向乘客提供导航输出(例如,音频和/或视频反馈),以使他们知道车辆的位置以及车辆的前进方向。
另外,AD安全子系统222可以通过调节对车辆的各种特征和功能的访问并且通过执行使安保和安全威胁最小化的操作来向车辆提供安全和保护。如图2所示,AD安全子系统222可以包括访问控制模块(ACM)242、监测模块244、威胁减轻模块246和空中(OTA)更新模块248。ACM 242可以控制车辆的各种软件和硬件组件的访问。例如,ACM 242可以调节对客舱、车厢等的访问,以调节对车辆的物理访问。ACM 242还可以调节由车辆的其他电子组件(例如,信息娱乐系统204)提供的软件特征和功能的访问。例如,信息娱乐系统204可以提供对一些内容的访问(例如,娱乐、新闻、导航信息等),并且对那些内容的访问可以限于一些特权用户/乘客。访问限制可以由ACM 242强制执行。如将在下面更详细描述的,ACM 242可以与访问者的请求者和/或与远程受信任平台(例如,管理服务器)进行通信,以认证请求者并确定请求者的访问权限。
另外,监测模块244可以基于以下信息监测车辆的运行状况:例如,获得来自外部传感器206(例如,LiDAR、RADAR、相机等的传感器数据)、来自内部传感器208(例如,引擎盖传感器、门传感器、速度传感器、光线传感器等)的传感器数据,用户对车辆电子组件的输入(例如,信息娱乐系统204、ACM 242)等。威胁减轻模块246可以从操作状况中检测安保和/或安全风险,并执行一个或以上操作以减轻安保和/或安全风险。例如,威胁减轻模块246可以基于速度传感器数据和LiDAR数据,确定车辆与当前轨迹上的障碍物发生碰撞的风险很高,并且可以控制ECU 210自动在车辆上施加制动。又例如,威胁减轻模块246可以基于ACM 242和乘客舱门传感器数据来确定检测到打开舱门的尝试,并且试图打开舱门的人未被授权访问舱室在这样的情况下,威胁减轻模块246可以控制执行器212以例如锁定机舱门。OTA更新模块248可以从远程服务器(例如,管理服务服务器)接收更新信息,以更新例如用于安保/安全威胁检测的规则和模式。
另外,车辆电子系统200可以包括无线接口214,以执行远程和短程通信以支持安全和/或安保管理操作。例如,无线接口214可以包括远程通信接口,例如蜂窝调制解调器,以将操作数据(例如,由监测模块244收集的)发送到远程管理服务器,并从远程管理服务器接收指令以启用或禁用对车辆各个组件的访问。又例如,无线接口214可以包括短程通信接口,例如蓝牙、近场通信(NFC)等,以接收来自移动设备的访问请求,以访问车辆的软件和/或硬件组件(例如,车厢,信息娱乐系统204等),并将访问请求以及凭证信息转发给ACM242。
车厢安全系统的实施例
图3A、3B和3C示出了根据一些实施例的车厢安全系统300的实施例。车辆安全系统300可以是安保和安全平台100的一部分,以控制对车辆314的车厢312的访问,车辆314可以是自动驾驶车辆。车厢312容纳车辆314的各种机械和硬件组件,包括例如ECU 210,访问控制模块(ACM)242、发动机(图3A中未示出)等。车厢312可与客舱316和行李箱318分开,并且车辆314的乘客通常可以不需要访问车厢312以使用车辆314进行运输。车厢312可以被活动罩320覆盖。在正常操作期间(例如,当车辆314正在移动时),活动罩320关闭车厢312,以保护容纳在车厢312内的组件免受外部试剂(例如水、灰尘等)的影响。在正常操作期间,活动罩320可以由锁紧机构322锁定,以防止活动罩320打开。锁紧机构322可以包括各种机械结构以执行锁定功能。例如,如图2所示,锁紧机构322可以包括闩锁324以锁住附接在发动机罩320上的卡勾326,并且闩锁324可以在正常操作期间锁定在固定位置以防止活动罩320打开。锁紧机构322可以被禁用以解锁闩锁324,并且活动罩320可以通过执行器(例如,活塞)移动以暴露车厢312。执行器可以由按钮(图3A中未显示)打开,该按钮可以是客舱316内的物理按钮、信息娱乐系统204显示的软件按钮等。如下面将更详细描述的,锁紧机构322的禁用可以由车厢安全系统300调节,以为有限的人群(例如,特权用户,例如车辆314的所有者和/或经理)和/或在有限的情况下(例如,当车辆314需要维修时)提供对车厢312的有限访问。
如图3A所示,车厢安全系统300可以包括访问控制模块(ACM)242、管理服务器332和可信实体334。ACM 242可以从管理服务器332接收针对请求者(例如,乘客、所有者、维修技术人员等)的访问范围的信息,并且基于访问范围的信息来配置锁紧机构322。管理服务器332可以存储指示车辆314的当前状态、车辆314的用户的特权状态等信息。车辆314的当前状态可以指示车辆314是否已经在登记过程中被激活。特权状态可以包括基于预定特权策略被指定为车辆314或包括车辆314的一组车辆的特权用户的车辆314(和其他车辆)的用户列表的凭证信息。另一方面,作为车辆租赁者314或作为维修技术员执行登记过程的用户可能没有特权。管理服务器332可以基于请求者提供的凭证信息和存储在管理服务器332中的特权用户列表的凭证信息,确定请求者是否为特权用户。在另一个实施例中,ACM(或车辆的其他组件)可以存储特权用户及其凭证的列表。用户可以在车辆上执行登记过程并提供其凭证,以允许ACM将用户身份验证为特权用户,并向经过身份验证的用户提供车厢的完全且无限制访问的权限。
管理服务器332可以基于当前状态和特权来确定访问范围的信息。例如,如果未激活车辆314,则管理服务器332可以确定禁止访问。如果访问的请求者是特权用户,并且车辆314被激活,则管理服务器332还可以确定要提供完全且无限制访问。管理服务器332可以向ACM 242发送完全访问令牌,ACM 242可以基于对完全访问令牌的接收来禁用锁紧机构322。在这种情况下,请求者可以通过激活一个按钮(例如,客舱316内)访问车厢312,而无需生成禁用锁紧机构322的请求。
在一些情况下,管理服务器332还可以从可信实体334接收访问范围的信息。可信实体334可以包括例如客户服务、管理服务器332的管理员(和/或经理)等,可信实体334可以存储操作信息,以验证对访问车厢312的请求是否合法,是否应对非特权用户的请求者授权。该操作信息可以包括例如车辆314的事件日志(例如,车辆是否已被拖到修理厂)、车辆的当前状态(例如,车辆是否处于禁用状态)、访问策略等。在一些情况下,可信实体334可以基于操作信息来确定请求者的访问范围,并将访问范围的信息发送到管理服务器332,然后管理服务器332可以将访问范围的信息转发到ACM 242。
例如,维修技术人员可以寻求访问车厢312进行维修工作。维修技术人员可以将包括车辆314的车辆识别符的请求发送到可信实体304,以访问车厢。可信实体304可以基于车辆标识符搜索事件日志,并基于事件日志和从修理厂接收的请求确定车辆314在修理厂。然后,可信实体304可以确定该请求是合法的,并且可以向车厢312授予完全且无限制访问的权限。可信实体304可以指示管理服务器332生成指示对车辆314的车厢312进行完全且无限制访问的数据(例如,以完全访问令牌的形式)。该数据还可以包括车辆314的车辆标识符。管理服务器332可以生成无限制访问令牌,并将包括车辆314的车辆标识符的完全访问令牌传发送到ACM 242,ACM 242可以基于接收到的完全访问令牌并且基于验证了完全访问令牌是针对车辆314的(例如,基于令牌随附的车辆标识符)来禁用锁紧机构322。ACM 242可以将锁紧机构322保持在禁用状态,直到例如从管理服务器332接收到第二条指令以撤消请求者完全且无限制访问的授权(例如,修复工作完成时)。
另外,移动设备336可以由请求者(例如,车辆312的所有者和/或经理、车辆的乘客、维修技术员等)操作,并可以存储请求者的凭证信息,例如,请求者的标识符、密码等。移动设备336可以将凭证信息提供给管理服务器332,管理服务器332可以基于ACM 242的凭证信息来确定访问范围的信息。此外,移动设备336还可以向ACM 242提供请求者的凭证信息,ACM 242还可以基于本地存储的凭证信息和特权用户列表来确定请求者的访问范围。在这两种情况下,ACM 242都可以配置锁紧机构322,以将车厢312的访问范围提供给请求者,而无需与管理服务器332进行通信。
作为说明性示例,ACM 242可能无法与管理服务器332远程通信(例如,由于车辆的蜂窝调制解调器的故障),但是ACM 242可以使用短程通信协议例如蓝牙和NFC)与移动设备336(和App 338)进行通信。在与ACM 242通信之前,应用338可以将访问车辆314的车厢312的请求发送到管理服务器332。该请求可以包括请求者的凭证信息(例如,与乘客请求者相关联的用户名,指示该请求者是维修技术员的指示等)以及车辆314的车辆标识符。管理服务器332可以基于凭证信息以及车辆的当前状态来确定访问范围。例如,如果凭证信息指示请求者是特权用户(例如,车辆314的所有者和/或经理,等等),并且车辆由登记过程激活,管理服务器332可以确定请求者可以完全且无限制访问车厢312。此外,在凭证信息指示请求者不是特权用户(例如,乘客、维修技术员等)的情况下,管理服务器332可以与可信实体334进行通信以确定访问范围。例如,在请求者是维修技术员的情况下,并且基于事件日志确定请求是合法的之后,可信实体334可以确定将车厢312的完全且无限制访问的权限授予请求者。在两种情况下,管理服务器332都可以将包括车辆标识符的完全访问令牌发送到App 338,App 338可以通过短程通信将完全访问令牌发送到ACM 242。ACM 242可以基于接收到完全访问令牌并且基于验证了完全访问令牌是针对车辆314(例如,基于车辆标识符)的来禁用锁紧机构322。
此外,在请求者是维修人员(或其他非特权用户)的情况下,可信实体334可以确定该请求几乎没有安全隐患和/或安保隐患,并且可以向请求者授予对车厢312的一次和限时访问。在这种情况下,管理服务器332可以生成包括访问范围信息的临时访问令牌。访问信息可以指示,例如,访问仅是一次,以及访问的到期时间。管理服务器332可以将包括车辆标识符的临时访问令牌发送到App 338,App 338可以将临时访问令牌发送到ACM 242(例如,通过短程通信)。ACM 242可以基于接收临时访问令牌来禁用锁紧机构322,直到到达到期时间。另一方面,如果可信实体334从例如图1的威胁情报源120接收到指示车辆314受到威胁的信息,则可信实体334还可以拒绝非特权用户对车厢312的访问。
在ACM 242使锁紧机构322拒绝请求者访问车厢312的情况下,ACM 242可以执行其他操作来保护车厢312。例如,ACM 242可以检测到对车厢312内部未经授权的的物理访问。ACM 242还可以检测到对容纳在车厢312中的组件的未经授权的物理访问。然后,ACM 242可以执行一个或以上操作以阻止未经授权的访问,或者至少减轻由未授权访问导致的损失。在一些实施例中,可以基于图1的安保和安全平台100的风险管理策略存储器126、运输资产管理策略存储器132、安全操作存储模块136等中包括的策略来定义操作。在一些实施例中,策略以及操作的定义也可以被本地存储在ACM 242中,即使安保和安全平台100的通信丢失,ACM 242也可以确定操作。
ACM 242可以通过多种方式来检测对车厢312的未经授权的物理访问。例如,活动罩320可包括运动传感器。车厢312还可包括光传感器。当活动罩320移动以暴露车厢312时。活动罩320的运动可以由运动传感器检测,而车厢312的曝光量可以由光传感器检测。如果ACM 242启用锁紧机构322但基于运动传感器和/或光传感器的输出检测到车厢312暴露,则ACM 242可以确定对车厢312正在进行未经授权的物理访问。此外,安装在车厢312中的一些或全部组件(例如,ECU 210)可以包括运动传感器。ACM 242可以基于运动传感器数据来检测组件的运动,并确定正在对车厢312进行未经授权的物理访问。
ACM 242可以基于对未经授权的物理访问的检测来执行一个或以上操作。例如,ACM 242可以控制安装在车辆中并面向车厢312的相机捕获访问车厢的入侵者的照片。又例如,ACM 242还可将未经授权的访问通知其他实体(例如,管理层、当地执法部门等)。此外,ACM 242还可以控制车辆的警报以输出响亮的警报声音以阻止入侵者。
图3B示出了管理服务器332与访问控制模块(ACM)242之间的临时访问令牌的生成和处理的实施例。管理服务器332可以包括令牌生成模块342,其可以生成临时访问令牌344。管理服务器332可以响应于从移动设备336接收车厢访问请求,将临时访问令牌344发送到移动设备336,如上所述,当例如ACM 242与管理服务器332失去通信时,移动设备336可以将临时访问令牌344发送到ACM 242以访问车厢312。
如图3B所示,临时访问令牌344可以包括车辆标识符346(车辆ID)和可选的序列号348,以强制执行一次临时访问。临时访问令牌344还可以包括其他信息,例如,一组车厢标识符及其关联的访问范围(例如,完全访问、有限制访问、一次或有限时间访问等),其中可以包含到期时间信息350车辆标识符允许ACM 242验证其是否是临时访问令牌的预期接收者,例如,通过将车辆标识符346与包含ACM 242的车辆的参考车辆标识符进行比较。另外,到期时间信息350指示临时访问令牌344何时到期,到期时间信息350可以是各种格式。例如,到期时间信息350可以包括到期日期和时间。ACM 242可以维持一个时钟,以跟踪车辆314的当前日期和当前时间。ACM 242可以禁用锁紧机构322,直到时钟指示的当前日期和时间与到期日期和时间匹配为止。又例如,到期时间信息350也可以包括到期计数值。当禁用锁紧机构322时,ACM 242可以启动第一计数器。当计数器值达到到期计数值时,可以停止禁用锁紧机构322。在一些实施例中,ACM 242可以维持第二计数器,该第二计数器对已经达到到期计数值的次数进行计数,该次数指示已向特定车厢授予访问的次数。第二计数器可用于执行有限时间的访问,允许用户有限次数地访问车厢,每次访问的持续时间均受到期时间信息350的控制,并由第一计数器进行监控。
另外,如上所述,临时访问令牌344可以用于一次访问。当前临时访问令牌到期或使用后,请求者必须再次出示新的临时访问令牌以访问车厢312。ACM 242可以通过多种方式实施一次性访问策略。例如,ACM 242可以维持安全的时钟,该时钟不仅跟踪当前日期和时间,而且还可以防止篡改。仅当当前日期和时间早于临时访问令牌的到期日期和时间时,ACM 242才能接受临时访问令牌并禁用锁紧机构322。当令牌过期时,ACM 242还可以删除临时访问令牌。通过这种布置,可以减轻ACM 242基于接受过期令牌而提供访问车厢312的风险。
在一些实施例中,ACM 242还可以通过跟踪临时提供的车厢访问状态来实施一次性访问策略。可以基于临时访问令牌344中包含的序列号348来跟踪状态。更具体地说,管理服务器332可以存储包括在最近的临时访问令牌(例如,临时访问令牌344)中的序列号348,并且可以为下一个临时访问令牌增加序列号348。此外,ACM 242可以存储从ACM 242接收到的最后一个临时访问令牌中提取的参考序列号360。ACM 242还包括序列号验证模块362,以验证是否已经接收到新的临时访问令牌。例如,序列号验证模块362可以将参考序列号360与从临时访问令牌344提取的序列号348进行比较。如果参考序列号360在序列号348以下,则ACM 242可以确定临时访问令牌344是新的访问令牌,而不是过期的访问令牌,并且可以控制锁紧机构配置模块364禁用锁紧机构322。在临时访问令牌344过期后,ACM 242删除临时访问令牌344,并增加参考序列号360以匹配序列号348,以使参考序列号360反映从ACM242接收的最后一个临时访问令牌中提取的序列号,在这种情况下,最后一个临时访问令牌为临时访问令牌344。
在一些实施例中,为了进一步提高安全性,可以在车厢安全系统300的不同组件之间建立安全通信通道,以安全地传输访问令牌。例如,可以在ACM 242与管理服务器332之间以及在移动设备336与ACM 242之间建立安全通信通道,例如传输层安全性(TLS)会话。在建立相应的安全通信通道之前,可以在ACM 242与管理服务器332之间以及在移动设备336与ACM 242之间进行相互认证。相互认证使得移动设备336和ACM 242能够验证它们正在从访问令牌的受信任发行者接收访问令牌。此外,管理服务器332还可以验证移动设备336和ACM242是受信任的设备,并被允许从管理服务器332接收访问令牌。另外,管理服务器332可以使用管理服务器332所拥有的管理密钥来对访问令牌进行签名,并且可选地,使用签名来对访问令牌进行加密。可以使用例如ACM 242的公钥、共享的对称密钥等来执行可选加密。可以将访问令牌发送到ACM 242,ACM 242可以包含相应的私钥或共享对称密钥以执行对访问令牌的解密。所有这些可以减少例如使用不能从管理服务器332获得的伪造访问令牌或从管理服务器332截获的访问令牌的恶意用户获得未经授权的对车厢312的访问的风险。
图3C根据一些实施例示出了从管理服务器332向访问控制模块(ACM)242的访问令牌的安全传输的示例。如图3C所示,管理服务器332包括管理服务器密钥存储装置370,其存储包括公共管理密钥374的公钥证书372和私人管理密钥376,所有这些都与管理服务器332相关联。管理服务器密钥存储装置370还存储可验证ACM 242证书的根证书颁发机构证书380A。在一些实施例中,在使车辆312可用于运输操作之前,管理服务器332可以在供应过程中接收密钥。
另外,ACM 242包括存储ACM 242的公钥证书384的ACM密钥存储器382。公钥证书384还包括公共ACM密钥378。此外,ACM密钥存储器382还存储私人ACM密钥386和可用于验证管理服务器332的证书的根证书颁发机构证书380B。管理服务器332还包括签名模块390和加密模块392,而ACM 242包括解密模块394和签名验证模块396。
作为建立安全通信通道(例如TLS会话)的相互认证过程的一部分,管理服务器332可以将其公钥证书372发送到ACM 242,而ACM 242可以将其公钥证书384发送到管理服务器332。可以通过ACM 242的根证书颁发机构证书380B中包含的公钥来验证管理服务器332的公钥证书372,而ACM 242的公钥证书384可以通过管理服务器332的根证书颁发机构证书380A中包含的公钥进行验证。例如,管理服务器332可基于验证公用密钥证书384是否已用根证书颁发机构证书380A中定义的ACM根证书颁发机构的密钥签名,并且基于公开密钥证书384的内容(例如,公开密钥证书384包括可信ACM的标识符)来认证ACM 242。此外,ACM242可以基于验证公用密钥证书372是否已用根证书颁发机构证书380B中定义的管理服务器根证书颁发机构的密钥签名,并且基于公开密钥证书372的内容(例如,公开密钥证书372包括可信管理服务器的标识符)来认证管理服务器332。在成功认证之后,管理服务器332可以从公钥证书384中提取公共ACM密钥378。此外,ACM 242可以从公钥证书372中提取公共管理密钥374。
为了执行访问令牌398(其可以包括例如车辆标识符,并且在一些情况下,包括范围序列信息,到期时间信息等的访问范围信息)的安全传输,管理服务器332可以控制签名模块390使用私人管理密钥376对访问令牌398进行签名。管理服务器332还可以控制加密模块392使用公共ACM密钥378(从公钥证书384中提取)或对称密钥对签名的访问令牌进行加密。然后,管理服务器332可以将签名和加密的访问令牌398发送到ACM 242。ACM 242可以控制解密模块394使用私人ACM密钥386对接收到的访问令牌进行解密。ACM 242还可以控制签名验证模块396使用公共管理密钥374(从公钥证书372中提取)或使用对称密钥来验证解密的访问令牌398的签名,以确保从认证的管理服务器332接收到访问令牌398。ACM 242还基于包含在访问令牌中的车辆标识符,验证访问令牌是否打算用于ACM 242。在验证签名、车辆标识符和其他信息(例如,车厢标识符)后,ACM 242可以基于包括在访问令牌398中的访问范围信息来控制锁紧机构配置模块364(图3C中未示出)以向车厢312提供访问。
尽管图3C示出了从管理服务器332到ACM 242的安全访问令牌的安全传输的示例,但是应当理解,也可以在管理服务器332和移动设备336之间执行安全传输的示例。例如,移动设备336还可以存储包括移动设备336的公钥的公钥证书,以及管理服务器根证书授权证书380A。管理服务器332和移动设备336可以基于上述技术执行相互认证,并且移动设备336可以从管理服务器332接收经过加密和签名的访问令牌398。移动设备336可以解密访问令牌,然后将解密(但已签名)的访问令牌398发送到ACM 242,后者可以使用管理服务器332的证书来验证访问令牌398的签名并提供给车厢312。在一些实施例中,移动设备336可以接收或生成管理密钥,并使用该管理密钥与ACM 242执行相互认证。移动设备336还可以使用管理密钥对访问令牌进行签名,并将已签名的访问令牌发送到ACM 242,以获得对车厢312的访问。
方法
图4A和图4B示出了根据一些实施例的用于控制对车厢(例如,车厢312)的访问的方法400的简化流程图。方法400可以通过处理逻辑来执行,该处理逻辑可以包括硬件(电路、专用逻辑等),在适当的硬件上运行的软件(例如通用计算系统或专用机器)、固件(嵌入式软件)或其任意组合。在一些实施例中,方法400可以由图3A至图3C的车厢安全系统300执行。
参照图4A,在操作402处,该系统可以接收来自请求者访问车厢的请求。该系统可以通过多种方式接收请求。例如,车辆上的访问控制模块(例如,ACM 242)可以基于检测到执行器(例如,物理按钮、软件按钮等)的打开来接收请求,以打开覆盖车厢的引擎盖。又例如,系统的管理服务器(例如,管理服务器332)也可以从由可信实体操作的移动设备、客户服务服务器等接收请求。请求者可以包括例如车辆的所有者/经理、车辆的乘客、维修技术员或任何人。
在操作404处,系统可以基于操作条件来确定请求者对车厢的访问范围。操作条件的实施例可以包括,例如,车辆是否被请求者执行的登记过程激活,请求者是否是拥有对该车厢完全且无限制访问权限的特权用户,是否收到临时解锁指令等。访问范围的示例可以包括,例如,拒绝访问、完全且无限制访问、具有到期时间的一次临时访问等。
图4B示出了根据一些实施例的,包括在操作404中的操作的示例,以基于操作条件来确定请求者对车厢的访问范围。如图4B所示,在操作406处,系统可以通过管理服务器上的登记过程来确定请求者是否已经激活了车辆。如果未执行登记过程,则在操作408处,系统可以拒绝请求者访问车厢312。
另一方面,如果已执行登记过程,则系统可以在操作410处确定请求者是否为特权用户。该确定可以是基于将请求者提供的凭证信息与被指定为特权用户的用户列表进行比较,该用户列表包括例如车辆的所有者和/或管理者。如果请求者是特权用户,则在操作412处,系统可以提供对车厢312完全且无限制访问。
此外,在操作414处,如果请求者不是特权用户,则系统(例如,ACM)可以确定是否已经接收到(例如,来自管理服务器的)临时访问令牌。如上所述,管理服务器可以基于来自可信实体的指令向请求者发布临时访问令牌,并且该临时访问令牌可以启用具有到期时间的一次临时访问。如果ACM接收到临时访问令牌,则在操作416处,系统可以提供对车厢312一次临时访问。如果ACM未接收到临时访问令牌,则在操作408处,系统可以拒绝请求者访问车厢312。
返回参考图4A,在操作420中,系统可以基于在操作404中确定的访问范围来配置车厢的锁紧机构。该配置可以包括,例如启用锁紧机构以拒绝请求者访问、禁用锁紧机构以提供对请求者的完全且无限制访问,或者禁用锁紧机构直到到期时间到达以向请求者提供临时访问。如上面关于图3A和图3B所描述的,该系统可以执行附加操作以强制一次临时访问和/或检测对车厢的未经授权的访问。
图5示出了根据一些实施例的用于控制对车厢(例如,车厢312)的访问的方法500的简化流程图。方法500可以由处理逻辑来执行,该处理逻辑可以包括硬件(电路、专用逻辑等)、在适当的硬件上运行的软件(例如通用计算系统或专用机器)、固件(嵌入式软件)或其任意组合。在一些实施例中,方法500可以由图3A至图3C的车厢安全系统300执行,该系统包括移动设备336、ACM 242、管理服务器332和可信实体334。在该示例中,移动设备336可以由维修技术员来操作,而可信实体334可以由客户服务来操作。
在操作502处,如图3C所示,ACM 242和管理服务器332可基于例如交换公钥证书来建立安全通信通道。作为公钥证书交换的一部分,管理服务器332还可以将其公共管理密钥(例如,图3C的公共管理密钥374)发送到ACM 242。管理服务器332还接收ACM 242的公钥。安全通信通道可以包括例如TLS会话。ACM 242和管理服务器332之间的相互认证也发生在操作502处。
在操作504处,由维修技术员操作的移动设备336可以将对车厢的访问请求发送到可信实体334。该请求可以包括具有车厢的车辆的车辆标识符。
在操作506处,可信实体334可以基于请求中包括的车辆标识符来准予该请求。例如,如上所述,可信实体334可以参考事故日志并确定具有车辆标识符的车辆被拖到修理厂,并确定访问车厢的请求是合法的。
在操作508处,基于确定在操作506处的访问请求是合法的,可信实体334可以向管理服务器332发送指令以向ACM 242发送无限制访问令牌。
在操作510处,管理服务器332可以生成包括车辆标识符的无限制访问令牌。管理服务器332还可以使用其私人管理密钥对无限制访问令牌进行签名,并使用ACM 242的公钥对签名的访问令牌进行加密,如关于图3C所描述的。
在操作512处,管理服务器332可以经由在操作502处建立的安全通信通道将加密并签名的访问令牌发送到ACM 242。
在操作514处,ACM 242可以解密令牌并验证签名和车辆标识符以及无限制访问令牌中包含的其他信息(例如,到期或序列号),并基于验证为请求者提供对车厢的完全且无限制访问的权限。
图6示出了根据一些实施例的用于控制对车厢(例如,车厢312)的访问的方法600的简化流程图。方法600可以通过处理逻辑来执行,该处理逻辑可以包括硬件(电路、专用逻辑等),在适当的硬件上运行的软件(例如通用计算系统或专用机器)、固件(嵌入式软件)或其任意组合。在一些实施例中,方法600可以由图3A至图3C的车厢安全系统300的一些组件执行,包括移动设备336、ACM 242、管理服务器332和可信实体334。在此实施例中,ACM 242可能暂时无法与管理服务器332通信(例如,无蜂窝访问),但可以使用短程通信协议与移动设备336通信,包括例如,蓝牙、NFC、Wi-Fi、ZigBee、未经许可的LTE、红外通信、快速响应(QR)代码扫描、图像扫描等。
在操作602处,ACM 242和移动设备336可以基于例如交换公钥证书来建立安全通信通道,如图3C中所述。安全通信通道可以包括例如TLS会话。ACM 242和移动设备336之间的相互认证也发生在操作602处。
在操作604处,由请求者(例如,所有者、乘客等)操作的移动设备336可以将对车厢的访问请求发送到管理服务器332。该请求可以包括具有车厢的车辆的车辆标识符以及请求者的凭证信息。
在操作606处,管理服务器332可以确定请求者的特权状态。该确定可以是基于例如将请求中的凭证信息与特权用户列表的凭证信息进行比较。
在操作608处,管理服务器332可以基于特权状态生成访问令牌。如果请求者是特权用户,则管理服务器332可以生成无限制访问令牌。如果请求者不是特权用户,则管理服务器332可以与可信实体334(图6中未示出)通信以确定请求者的访问范围。基于来自可信实体334的输入,管理服务器332可以生成包括访问范围信息的临时访问令牌。如图3B所示,访问范围信息可以包括例如确保一次访问的序列号和到期时间信息。使用管理服务器332的专用管理密钥对访问令牌进行签名,并使用ACM242的公钥对其进行加密。管理服务器332可以通过ACM 242的先前的通信会话来获得ACM 242的公钥。
在操作610处,管理服务器332可以将加密并签名的访问令牌发送到可以存储访问令牌的移动设备336。在一些实施例中,管理服务器可以将加密的访问令牌发送到移动设备336,该移动设备可以用私人管理密钥对访问令牌进行签名。
在操作612处,移动设备336可以发送访问车厢312的请求,该请求包括从管理服务器332获得的访问令牌。
在操作614处,ACM 242可以验证签名和包括在无限制访问令牌中的车辆标识符,并且如果签名通过验证,则根据访问范围信息向请求者提供对车厢的访问。例如,如果接收到无限制访问令牌,则ACM 242可以提供完全且无限制访问。如果接收到临时访问令牌,则ACM 242可以提供一次临时访问令牌。
图7示出了根据一些实施例的用于控制对车厢(例如,车厢312)的访问的方法700的简化流程图。方法600可以通过处理逻辑来执行,该逻辑可以包括硬件(电路、专用逻辑等),在适当的硬件上运行的软件(例如通用计算系统或专用机器)、固件(嵌入式软件)或其任意组合。在一些实施例中,方法700可以由图3A-图3C的车厢安全系统300的一些组件执行,包括移动设备336、ACM 242和管理服务器332。在该实施例中,用户可以使用其移动设备与管理服务器332执行登记过程以激活车辆。
在操作702a处,ACM 242和移动设备336可以基于例如交换公钥证书来建立安全通信通道,如图3C中所述。而且,在操作702b处,ACM 242和管理服务器332还可以基于例如交换公钥证书来建立安全通信通道,如图3C所示。每个安全通信通道可以包括例如TLS会话。
在操作704处,由用户(例如,所有者、乘客等)操作的移动设备336可以发送执行登记操作以激活车辆的请求。该请求可以包括用户的凭证信息。
在操作706处,管理服务器332可以确定用户的特权状态。该确定可以是基于例如比较特权用户列表的凭证信息与用户中的凭证信息。
在操作708处,管理服务器332可以基于登记过程的完成来生成登记通知。登记通知可以包括该用户是特权用户并且具有对车厢312的完全且无限制访问的指示。
在操作710处,管理服务器332可以将登记通知发送到ACM 224,ACM 224可以存储登记通知。
在操作712处,管理服务器332可以基于指示用户是特权用户并且具有对车厢312的完全且无限制访问的登记通知,提供对车厢的完全访问。
计算机系统
本文提到的任何计算机系统都可以利用任何合适数量的子系统。这样的子系统的实施例在计算机系统10中的图8中示出。在一些实施例中,计算机系统包括单个计算机装置,其中子系统可以是计算机装置的组件。在其他实施例中,计算机系统可以包括多个计算机装置,每个计算机装置都是子系统,具有内部组件。计算机系统可以包括台式计算机和膝上型计算机、平板电脑、移动电话和其他移动设备。在一些实施例中,云基础设施(例如Amazon Web Services)、图形处理单元(GPU)等可以实现所披露的技术,包括图1至图7中描述的技术。
图8所示的子系统通过系统总线75互连。示出了耦合到显示适配器82的附加的子系统,例如打印机74、键盘78、存储设备79、监视器76,以及其他子系统。耦合到I/O控制器71的外围设备和输入/输出(I/O)设备可以通过许多本领域已知的方式连接到计算机系统,例如输入/输出(I/O)端口77(例如,USB、
计算机系统可以包括至少两个相同的组件或子系统,例如,通过外部接口81或内部接口连接在一起。在一些实施例中,计算机系统、子系统或装置可以通过网络进行通信。在这种情况下,一台计算机可以被视为客户端,另一台计算机可以被视为服务器,其中每台计算机都可以被视为同一计算机系统的一部分。客户端和服务器可以各自包含多个系统、子系统或组件。
实施例的各方面可以使用硬件(例如,专用集成电路或现场可编程门阵列)和/或使用具有一般可编程处理器的计算机软件以模块化或集成方式以控制逻辑的形式来实现。如本文所使用的,处理器包括单核处理器,同一集成芯片上的多核处理器,或单电路板上或联网的多个处理单元。基于本文提供的本申请和教导,本领域普通技术人员将知道并理解使用硬件以及硬件和软件的组合来实现本发明的实施例的其他方式和/或方法。
本申请中描述的任何软件组件或功能都可以实现为将由处理器使用任何适当的诸如Java,C,C++,C#,Objective-C,Swift的计算机语言或诸如Perl或Python的脚本语言使用常规或面向对象技术执行的软件代码。可以将软件代码作为一系列指令或命令存储在计算机可读介质上,以进行存储和/或传输。合适的非暂时性计算机微观介质可以包括随机访问内存(RAM)、只读内存(ROM),诸如硬盘驱动器或软盘之类的磁性介质,或诸如光盘(CD)或DVD(数字通用磁盘)、闪存等之类的光学介质。计算机弹性介质可以是这种存储或传输设备的任何组合。
还可以使用载波信号来编码和发送这样的程序,该载波信号适于经由符合包括因特网的各种协议的有线、光学和/或无线网络进行发送。这样,可以使用用这样的程序编码的数据信号来创建计算机分辨率介质。用程序代码编码的计算机可读介质可以与兼容设备打包在一起,也可以与其他设备分开提供(例如,通过Internet下载)。任何此类计算机干涉介质都可以驻留在单个计算机产品(例如,硬盘驱动器、CD或整个计算机系统)上或内部,并且可以存在于系统或网络内的不同计算机产品上或内部。计算机系统可以包括监视器、打印机或其他合适的显示器,用于向用户提供本文提到的任何结果。
本文描述的任何方法可以用包括一个或以上处理器的计算机系统完全或部分执行,该计算机系统可以被配置为执行这些步骤。因此,实施例可以涉及被配置为执行本文描述的任何方法的步骤的计算机系统,潜在地具有执行相应步骤或相应步骤组的不同组件。尽管以编号的步骤表示,但是本文的方法的步骤可以同时或以不同顺序执行。另外,这些步骤的一部分可以与来自其他方法的其他步骤的一部分一起使用。而且,步骤的全部或部分可以是可选的。另外,任何方法的任何步骤都可以用用于执行这些步骤的模块、单元、电路或其他装置来执行。
其他变化在本申请的精神范围内。因此,尽管所披露的技术易于进行各种修改和替代构造,但是其一些示出的实施例在附图中示出并且已经在上面进行了详细描述。但是,应该理解,无意将本申请限制为所披露的一种或多种特定形式,但是相反,其意图是涵盖落入所附权利要求书所限定的本申请的精神和范围内的所有修改、替代构造和等同形式。例如,任何实施例、替代实施例等及其概念可以是描述的和/或在本申请的精神和范围内的任何其他实施例。
在描述所披露的实施例的上下文中(尤其是在以下权利要求的上下文中),术语“一个”和“一种”和类似指代的使用应被解释为涵盖单数和复数,除非本文另外指出或与上下文明显矛盾。除非另外指出,否则术语“包括”、“具有”、“包含”和“含有”应被解释为开放式术语(即,意思是“包括但不限于”)。术语“连接”应理解为部分或全部包含在,附加到或连接在一起,即使存在某种介入。短语“基于”应理解为开放式的,而不以任何方式进行限制,并且在适当的情况下应解释为或以其他方式解读为“至少部分基于”。除非另有说明,否则本文中数值范围的引用仅旨在用作分别指代落入该范围内的每个单独值的速记方法,并且将每个单独值并入说明书中,如同其在本文中被单独引用一样。除非本文另外指出或与上下文明显矛盾,否则本文描述的所有方法可以以任何合适的顺序执行。本文提供的任何和所有示例或示例性语言(例如“诸如”)的使用仅旨在更好地阐明本申请的实施例,并且除非另外要求,否则不构成对本申请范围的限制。说明书中的任何语言都不应解释为指示任何未要求保护的要素对于实施本申请至关重要。
