WO2024124387A1 - 一种服务调用方法、通信装置、服务调用系统以及车辆 - Google Patents

Abstract

本申请提供了一种服务调用方法、通信装置、服务调用系统以及车辆，在该方法中，服务调用方将第一行为信息作为第一控制命令的验证信息与第一控制命令一起发送给服务提供方，以使得服务提供方能够基于第一行为信息确定该第一控制命令是由用户的行为触发的，而不是攻击者伪造的。因此，基于第一行为信息对第一控制命令进行合法性校验，有利于提高车身控制服务调用的安全性。

Description

一种服务调用方法、通信装置、服务调用系统以及车辆 技术领域

本申请涉及安全领域，尤其涉及一种服务调用方法、通信装置、服务调用系统以及车辆。

背景技术

随着智能汽车的迅速发展，车载软件越来越丰富。用户可通过智能汽车的服务调用方(例如，智能座舱)中的车载软件发布控制命令(例如，开车门锁、开车窗、调节座椅靠背、开空调等车身控制命令)。当智能汽车中的服务提供方(例如，整车控制域)收到控制命令后，服务提供方先验证该控制命令是否来自前述服务调用方。若服务提供方确定该控制命令来自服务调用方，则服务提供方确定该控制命令合法，并向该控制命令对应的执行设备发送该控制命令，以使得该执行设备执行该控制命令。

目前，传统技术中的服务提供方通过服务应用的标识信息(例如，身份标识号(identity document，ID))来识别并验证控制命令。具体地，智能车辆提供的每一项服务具有一个整车级的全局ID。当服务提供方(例如，整车控制域)收到来自服务调用方(例如，智能座舱)的控制命令时，服务提供方基于该控制命令携带的服务ID和基于该服务ID的访问控制策略，决策该控制命令是否合法，进而决策是否向执行设备发送该控制命令。

然而，当服务调用方被入侵时，服务ID容易被获取或伪造。因此，仅靠服务ID进行鉴权不足以保证车辆中服务调用的安全性。寻求一种能够保证服务安全调用的方案是亟待解决的问题。

发明内容

本申请提供了一种服务调用方法、通信装置、服务调用系统以及车辆，用于提高服务调用的安全性。

第一方面，本申请提供了一种服务调用方法，该服务调用方法可以由服务提供方执行，也可以由服务提供方的部件(例如，处理器、芯片或芯片系统等部件)执行。示例性的，该服务提供方可以是整车控制域(也被称为车身域控制(vehicle domain control，VDC)或车辆域控制)，也可以是车辆中的通信盒子(Telematics Box，T-Box)，还可以是T-Box和整车控制域的组合。在该方法中，服务提供方接收来自服务调用方的第一控制命令和该第一控制命令的验证信息。其中，该第一控制命令用于调用第一服务，该第一控制命令的验证信息用于验证该第一控制命令。此外，该第一控制命令的验证信息包括第一行为信息，该第一行为信息用于指示用户触发生成该第一控制命令的行为。然后，该服务提供方基于该第一控制命令的验证信息验证该第一控制命令；若验证该第一控制命令通过，则该服务提供方向执行设备发送该第一控制命令，该执行设备用于执行该第一控制命令。

本实施方式中，服务提供方接收的用于验证第一控制命令的验证信息包括第一行为信息，该第一行为信息用于指示用户触发生成该第一控制命令的行为。服务提供方能够基于第一行为信息确定该第一控制命令是由用户的行为触发的，而不是攻击者伪造的。因此，基于第一行为信息对第一控制命令进行合法性校验，有利于提高车身控制服务调用的安全性。

在一种可能的实施方式中，该服务提供方基于该第一控制命令的验证信息验证该第一控制命令，包括：该服务提供方基于该第一行为信息和第一映射规则确定该第一行为信息对应的第二控制命令，该第一映射规则包括至少一种行为信息以及每种行为信息对应的控制命令；若该第一控制命令与该第二控制命令相同，则该服务提供方确定验证该第一控制命令通过。

本实施方式中，服务提供方接收的用于验证第一控制命令的验证信息包括第一行为信息，服务提供方能够基于第一行为信息在第一映射规则中查找到第二控制命令。当服务提供方确定第一控制命令与基于第一行为信息确定的第二控制命令相同时，服务提供方确定该第一控制命令是由用户触发且未被篡改的，才触发向执行设备发送该第一控制命令。因此，有利于提高车身控制服务调用的安全性。

在一种可能的实施方式中，该第一控制命令的验证信息还包括该第一执行流信息，该第一执行流信息用于指示调用第一服务的过程信息；该第一映射规则还包括调用每个服务的执行流信息。此时，服务提供方既要比对第一行为信息对应的控制命令，又要比对该控制命令对应的服务的执行流信息。具体地，若该第一控制命令与该第二控制命令相同，则该服务提供方基于该第二控制命令和该第一映射规则确定与该第二控制命令对应的第二执行流信息；若该第一执行流信息与该第二执行流信息相同，则该服务提供方确定验证该第一控制命令通过。

可选的，该第一执行流信息为调用第一服务的执行流或调用第一服务的执行流的哈希值。其中，该服务调用的执行流是服务调用方在基于行为信息生成控制命令过程中执行的指令或跳转指令的集合。因此，该服务调用的执行流能够反映该服务调用过程的完整性。若该服务调用过程有攻击者的篡改行为发生，则服务调用方收集的执行流必定有反应篡改行为的指令。因此，由用户触发生成控制命令的服务调用的执行流和经过攻击者篡改的服务调用的执行流是不同的。因此，采用服务调用的执行流作为控制命令的验证信息有利于服务提供方识别出是否遭受攻击，有利于提高服务调用过程的安全性。

在一种可能的实施方式中，该第一行为信息包括第一坐标，该第一坐标为该用户的操作对应的坐标；该第一映射规则中的至少一种行为信息中的每种行为信息包括至少一个坐标区域。该服务提供方基于该第一行为信息和第一映射规则确定该第一行为信息对应的第二控制命令，包括：该服务提供方确定该第一坐标所在的坐标区域；该服务提供方基于该第一映射规则确定该第一坐标所在的坐标区域对应的控制命令为该第二控制命令。

示例性的，若用户通过触屏输入指令，则该第一行为信息包括第一坐标，该第一坐标为该用户在触屏上的操作对应的坐标。需要说明的是，该第一坐标可以是触屏上某一个点击位置的坐标值。例如，用户仅点击触屏上某一个按键便能够触发生成第一控制命令。此外，该第一坐标也可以是触屏上某几个点击位置的坐标值。例如，用户连续点击触屏上某几个按键才能够触发生成第一控制命令。此外，该第一坐标还可以是连续的坐标范围。例如，用户在触屏上连续滑动以做出特定的滑动手势(例如，手指在触屏向左滑动或者手指在触屏向右滑动)，该特定的手势能够触发生成第一控制命令。在实际应用中，还可以是用户的其他行为使得服务调用方检测到一个或多个坐标。

本实施方式中，提出将用户的操作对应的坐标作为第一行为信息。由于，用户在触屏上进行了操作才会生成前述坐标，因此，采用前述坐标作为第一行为信息能够体现用户的行为， 有利于服务提供方基于该坐标确定该第一控制命令是由用户的行为触发的，而不是攻击者伪造的，进而有利于提高车身控制服务调用的安全性。

在一种可能的实施方式中，该第一行为信息包括第一语义信息，该第一语义信息为基于该用户输入的语音指令生成的语义；该第一映射规则中的至少一种行为信息中的每种行为信息包括一个语义信息；该服务提供方基于该第一行为信息和第一映射规则确定该第一行为信息对应的第二控制命令，包括：该服务提供方基于该第一映射规则确定该第一语义信息对应的控制命令为该第二控制命令。

本实施方式中，提出将用户发出的语音指令转换而成的第一语义信息作为第一行为信息。由于，用户对麦克风发出语音指令才会生成前述第一语义信息，因此，采用前述第一语义信息作为第一行为信息能够体现用户的行为，有利于服务提供方基于该第一语义信息确定该第一控制命令是由用户的行为触发的，而不是攻击者伪造的，进而有利于提高车身控制服务调用的安全性。

在一种可能的实施方式中，该第一行为信息包括第一时间信息，该第一时间信息为该服务调用方检测到用户触发生成该第一控制命令的行为的时间。例如，若该第一行为信息包括第一坐标，则该第一时间信息指示的第一时间为该用户在该触屏上点击该坐标的时间。又例如，若该第一行为信息包括第一语义信息，则该第一时间信息指示的第一时间为服务调用方检测到该语音指令的时间。具体地，若该服务提供方确定该第一时间信息指示的时刻与当前时刻的差值位于第一阈值范围之外，则该服务提供方确定验证第一控制命令不通过。

本实施方式中，服务提供方基于第一时间信息确定该第一控制命令是否为重放攻击，有利于识别重放攻击，有利于提高服务调用过程的安全性。

在一种可能的实施方式中，该第一控制命令的验证信息经过服务调用方签名。该服务提供方基于该第一行为信息和第一映射规则确定该第一行为信息对应的第二控制命令之前，该方法还包括：该服务提供方验证该第一控制命令的验证信息的签名。若该服务提供方验证该第一控制命令的验证信息的签名通过，则该服务提供方基于该第一行为信息和第一映射规则确定该第一行为信息对应的第二控制命令；若该服务提供方验证该第一控制命令的验证信息的签名不通过，则服务提供方确定验证第一控制命令不通过。

本实施方式中，若第一控制命令的验证信息具有签名，该服务提供方需要验证该第一控制命令的验证信息的签名是否来自与服务调用方。通过签名验证过程，服务提供方能够识别该第一控制命令的验证信息是否为经过服务调用方签名的验证信息，有利于提高服务调用过程的安全性。

在一种可能的实施方式中，该方法还包括：若该第一控制命令与该第二控制命令不相同，则该服务提供方确定验证第一控制命令不通过。

本实施方式中，当第一控制命令与基于第一映射规则和第一行为信息确定的第二控制命令不相同，说明该第一控制命令与第一行为信息不匹配，进而确定验证第一控制命令不通过，即该第一控制命令不是合法的命令。因此，有利于服务提供方识别出伪造的控制命令，进而有利于提高服务调用过程的安全性。

在一种可能的实施方式中，该方法还包括：若该第一执行流信息与该第二执行流信息不相同，则该服务提供方确定验证第一控制命令不通过。

本实施方式中，当第一执行流信息与基于第一映射规则和第一控制命令确定的第二执行流信息不相同，说明该第一执行流信息与第一控制命令不匹配，进而识别出伪造的或被篡改的执行流信息。此时，该服务提供方将确定该第一控制命令验证不通过，因此，有利于服务提供方识别出伪造的控制命令，进而有利于提高服务调用过程的安全性。

在一种可能的实施方式中，该方法还包括：若服务提供方确定验证第一控制命令不通过，则服务提供方向用户提示告警信息，该告警信息用于指示验证该第一控制命令不通过；或者，若服务提供方确定验证第一控制命令不通过，则所述服务提供方向所述服务调用方发送告警信息，所述服务调用方用于向用户提示所述告警信息。

本实施方式中，服务提供方在验证第一控制命令不通过的情况下还将直接或间接地向用户提示告警信息。有利于用户快速察觉异常，进而为用户的行车决策提供参考，提升用户的行车体验。

在一种可能的实施方式中，该第一执行流信息由该服务调用方中的可信模块获取。

其中，可信模块是权限高于操作系统(即内核)的处理模块，即服务调用方中的可信模块的权限高于服务调用方中的内核的权限。也可以理解为，可信模块的运行环境的权限高于内核的运行环境的权限。由于，可信模块的权限高于内核的权限，因此，攻击者不容易攻破可信模块而篡改可信模块中的数据。因此，由可信模块获取的第一行为信息的方案相比于由传统技术中的内核获取第一行为信息的方案，能够使得第一行为信息更不容易被窃取或篡改，提高了服务调用方获取第一行为信息的准确性和安全性。

第二方面，本申请提供了一种服务调用方法，该服务调用方法可以由服务调用方执行，也可以由服务调用方的部件(例如，处理器、芯片或芯片系统等部件)执行。示例性的，该服务调用方可以是智能座舱或智能终端设备(例如，智能手机、智能手表或者其他的智能穿戴设备等)。在该方法中，服务调用方获取第一行为信息，该第一行为信息用于指示用户触发了生成第一控制命令的行为；该服务调用方基于该第一行为信息生成该第一控制命令，该第一控制命令用于调用第一服务；该服务调用方发送该第一控制命令和该第一控制命令的验证信息，该第一控制命令的验证信息包括该第一行为信息，该第一控制命令的验证信息用于验证该第一控制命令。

本实施方式中，服务调用方将第一行为信息作为第一控制命令的验证信息与第一控制命令一起发送给服务提供方，以使得服务提供方能够基于第一行为信息确定该第一控制命令是由用户的行为触发的，而不是攻击者伪造的。因此，基于第一行为信息对第一控制命令进行合法性校验，有利于提高车身控制服务调用的安全性。

在一种可能的实施方式中，该服务调用方获取第一行为信息，包括：该服务调用方中的可信模块获取该第一行为信息。其中，可信模块是权限高于操作系统(即内核)的处理模块，即服务调用方中的可信模块的权限高于服务调用方中的内核的权限。也可以理解为，可信模块的运行环境的权限高于内核的运行环境的权限。由于，可信模块的权限高于内核的权限，因此，攻击者不容易攻破可信模块而篡改可信模块中的数据。因此，由可信模块获取的第一行为信息的方案相比于由传统技术中的内核获取第一行为信息的方案，能够使得第一行为信息更不容易被窃取或篡改，提高了服务调用方获取第一行为信息的准确性和安全性。

在一种可能的实施方式中，该可信模块的运行环境与该内核的运行环境相互独立。当内核遭受攻击者攻击时，可信模块不会受影响。因此，即使内核中的数据被攻击者篡改，可信模块中的数据不会受影响，该可信模块中的数据仍然是准确且安全的。

在一种可能的实施方式中，可信模块具有对存储模块的读权限和写权限，该内核没有对该存储模块的访问权限，该存储模块用于存储该第一行为信息。其中，所述存储模块包括寄存器和/或内存。由于，传统技术中的内核具有对存储模块的读权限和/或写权限，因此，传统技术中位于内核中的数据容易被攻击篡改。将本申请中的服务调用方中的内核配置为没有对存储模块的访问权限，因此，能够避免攻击者通过内核对存储模块中的数据进行窃取或篡改。此外，将本申请中的服务调用方中的可信模块配置为具有对存储模块的读权限和写权限，由于可信模块的权限本就高于内核的权限而相比于内核不容易被攻击者攻破，因此，能够保证可信模块获取的第一行为信息的准确性和安全性。

在一种可能的实施方式中，该服务调用方向服务提供方发送该第一控制命令和该第一控制命令的验证信息之前，该方法还包括：该服务调用方获取该第一执行流信息，该第一执行流信息用于指示调用该第一服务的过程信息。

可选的，该第一执行流信息为调用第一服务的执行流或调用第一服务的执行流的哈希值。其中，该服务调用的执行流是服务调用方在基于行为信息生成控制命令过程中执行的指令或跳转指令的集合。因此，该服务调用的执行流能够反映该服务调用过程的完整性。若该服务调用过程有攻击者的篡改行为发生，则服务调用方收集的执行流必定有反应篡改行为的指令。因此，由用户触发生成控制命令的服务调用的执行流和经过攻击者篡改的服务调用的执行流是不同的。因此，采用服务调用的执行流作为控制命令的验证信息有利于服务提供方识别出是否遭受攻击，有利于提高服务调用过程的安全性。

在一种可能的实施方式中，该服务调用方获取该第一执行流信息，包括：该服务调用方中的可信模块获取该第一执行流信息。

本实施方式中，由于，该第一执行流信息是由该服务调用方中的可信模块获取的，因此，能够保证作为验证信息的第一执行流信息是安全且可靠的。又由于，第一执行流信息是服务调用方在基于第一行为信息生成第一控制命令时必然会产生的信息，因此，将第一执行流信息作为验证信息之一，能够保证第一控制命令是由用户触发的，而不是攻击者伪造的。因此，将第一执行流信息和第一行为信息作为第一控制命令的验证信息有利于提高车身控制服务的安全性和可靠性。

在一种可能的实施方式中，该第一控制命令的验证信息经过服务调用方密钥签名；该服务调用方向服务提供方发送该第一控制命令和该第一控制命令的验证信息之前，该方法还包括：该服务调用方采用密钥对该第一控制命令的验证信息进行签名处理。

本实施方式中，提出对第一控制命令的验证信息进行签名处理，有利于提升攻击者伪造第一控制命令的验证信息的难度，进而有利于提高服务调用过程的安全性。

在一种可能的实施方式中，该第一行为信息包括第一坐标，该第一坐标为用户的操作对应的坐标；或者，该第一行为信息包括第一语义信息，该第一语义信息为基于用户的输入的语音指令生成的语义。

本实施方式中，提出将用户的操作对应的坐标作为第一行为信息。由于，用户在触屏上 进行了操作才会生成前述坐标，因此，采用前述坐标作为第一行为信息能够体现用户的行为，有利于服务提供方基于该坐标确定该第一控制命令是由用户的行为触发的，而不是攻击者伪造的，进而有利于提高车身控制服务调用的安全性。

在一种可能的实施方式中，该第一行为信息包括第一时间信息，该第一时间信息为该服务调用方检测到用户触发生成该第一控制命令的行为的时间。例如，若该第一行为信息包括第一坐标，则该第一时间信息指示的第一时间为该用户在该触屏上点击该坐标的时间。又例如，若该第一行为信息包括第一语义信息，则该第一时间信息指示的第一时间为服务调用方检测到该语音指令的时间。

本实施方式中，提出将用户发出的语音指令转换而成的第一语义信息作为第一行为信息。由于，用户对麦克风发出语音指令才会生成前述第一语义信息，因此，采用前述第一语义信息作为第一行为信息能够体现用户的行为，有利于服务提供方基于该第一语义信息确定该第一控制命令是由用户的行为触发的，而不是攻击者伪造的，进而有利于提高车身控制服务调用的安全性。

在一种可能的实施方式中，该可信模块包括如下至少一项：虚拟机监视器、可信内核或可信执行环境TEE。

本实施方式中，提供了多种可信模块的具体实施方式，有利于提高可信模块在具体实现的多样性。

需要说明的是，本方面的具体实施方式和有益效果与前文第一方面中的部分实施方式类似，具体可参见第一方面的具体实施方式和其有益效果，在此不再赘述。

第三方面，本申请提供了一种通信装置，该通信装置可以是服务提供方，也可以是服务提供方的部件(例如，处理器、芯片或芯片系统等部件)。该通信装置包括：收发模块和处理模块。其中，收发模块用于接收来自服务调用方的第一控制命令和该第一控制命令的验证信息，该第一控制命令用于调用第一服务，该第一控制命令的验证信息用于验证该第一控制命令，该第一控制命令的验证信息包括第一行为信息，该第一行为信息用于指示用户触发生成该第一控制命令的行为。处理模块用于基于该第一控制命令的验证信息验证该第一控制命令，以及，当验证该第一控制命令通过时，控制收发模块向执行设备发送该第一控制命令，该执行设备用于执行该第一控制命令。

在一种可能的实施方式中，处理模块，具体用于基于该第一行为信息和第一映射规则确定该第一行为信息对应的第二控制命令，该第一映射规则包括至少一种行为信息以及每种行为信息对应的控制命令；以及，当该第一控制命令与该第二控制命令相同时，确定验证该第一控制命令通过。

在一种可能的实施方式中，该第一控制命令的验证信息还包括该第一执行流信息，该第一执行流信息用于指示调用第一服务的过程信息；该第一映射规则还包括每个服务的执行流信息。

处理模块，具体用于当该第一控制命令与该第二控制命令相同时，基于该第二控制命令和该第一映射规则确定与该第二控制命令对应的第二执行流信息；以及，当该第一执行流信息与该第二执行流信息相同时，确定验证该第一控制命令通过。

可选的，该第一执行流信息为调用第一服务的执行流或调用第一服务的执行流的哈希值。

在一种可能的实施方式中，该第一行为信息包括第一坐标，该第一坐标为该用户的操作对应的坐标；该第一映射规则中的至少一种行为信息中的每种行为信息包括至少一个坐标区域。该处理模块，具体用于确定该第一坐标所在的坐标区域；以及，基于该第一映射规则确定该第一坐标所在的坐标区域对应的控制命令为该第二控制命令。

在一种可能的实施方式中，该第一行为信息包括第一语义信息，该第一语义信息为基于该用户输入的语音指令生成的语义；该第一映射规则中的至少一种行为信息中的每种行为信息包括一个语义信息。该处理模块，具体用于基于该第一映射规则确定该第一语义信息对应的控制命令为该第二控制命令。

在一种可能的实施方式中，该第一行为信息包括第一时间信息，该第一时间信息为该服务调用方检测到用户触发生成该第一控制命令的行为的时间。处理模块，具体用于在该服务提供方确定该第一时间信息指示的时刻与当前时刻的差值位于第一阈值范围之外的情况下，确定验证所述第一控制命令不通过。

在一种可能的实施方式中，该第一控制命令的验证信息经过服务调用方签名。处理模块，还用于验证该第一控制命令的验证信息的签名；以及，在验证该第一控制命令的验证信息的签名成功的情况下，基于该第一行为信息和第一映射规则确定该第一行为信息对应的第二控制命令。

在一种可能的实施方式中，处理模块，还用于在该服务提供方验证该第一控制命令的验证信息的签名不通过的情况下，确定验证该第一控制命令不通过。

在一种可能的实施方式中，处理模块，还用于在该第一控制命令与该第二控制命令不相同的情况下，确定验证第一控制命令不通过。

在一种可能的实施方式中，处理模块，还用于在该第一执行流信息与该第二执行流信息不相同的情况下，确定验证第一控制命令不通过。

在一种可能的实施方式中，处理模块，还用于在确定验证第一控制命令不通过时，控制输入输出模块向用户提示告警信息，所述告警信息用于指示验证所述第一控制命令不通过；或者，处理模块，还用于在确定验证第一控制命令不通过时，控制收发模块向服务调用方发送告警信息，所述服务调用方用于向用户提示所述告警信息。

在一种可能的实施方式中，其特征在于，该第一执行流信息由该服务调用方中的可信模块获取。

需要说明的是，本方面的具体实施方式和有益效果与前文第一方面中的部分实施方式类似，具体可参见第一方面的具体实施方式和其有益效果，在此不再赘述。

第四方面，本申请提供了一种通信装置，该通信装置可以是服务调用方，也可以是服务调用方的部件(例如，处理器、芯片或芯片系统等部件)。该通信装置包括：收发模块和处理模块。其中，处理模块用于获取第一行为信息，该第一行为信息用于指示用户触发了生成第一控制命令的行为；以及，基于该第一行为信息生成该第一控制命令，该第一控制命令用于调用第一服务。收发模块，用于发送该第一控制命令和该第一控制命令的验证信息，该第一控制命令的验证信息包括该第一行为信息，该第一控制命令的验证信息用于验证该第一控制命令。

在一种可能的实施方式中，该处理模块包括可信模块。该通信装置中的可信模块获取该 第一行为信息，该可信模块的权限高于该服务调用方中的内核的权限。

可选的，该可信模块的运行环境与该内核的运行环境相互独立。

可选的，该可信模块具有对存储模块的读权限和写权限，该内核没有对该存储模块的访问权限，该存储模块用于存储该第一行为信息。

在一种可能的实施方式中，该处理模块还用于获取该第一执行流信息，该第一执行流信息用于指示调用该第一服务的过程信息。可选的，该第一执行流信息为调用第一服务的执行流或调用第一服务的执行流的哈希值。

在一种可能的实施方式中，该通信装置中的可信模块获取该第一执行流信息。

在一种可能的实施方式中，该第一控制命令的验证信息经过服务调用方签名。该处理模块，还用于采用密钥对该第一控制命令的验证信息进行签名处理。

在一种可能的实施方式中，该第一行为信息包括第一坐标，该第一坐标为用户的操作对应的坐标；或者，该第一行为信息包括第一语义信息，该第一语义信息为基于用户输入的语音指令生成的语义。

在一种可能的实施方式中，该第一行为信息包括第一时间信息，该第一时间信息为该服务调用方检测到用户触发生成该第一控制命令的行为的时间。

在一种可能的实施方式中，该可信模块包括如下至少一项：虚拟机监视器、可信内核或可信执行环境TEE。

需要说明的是，本方面的具体实施方式和有益效果与前文第二方面中的部分实施方式类似，具体可参见第二方面的具体实施方式和其有益效果，在此不再赘述。

第五方面，本申请实施例提供了一种通信装置，该通信装置可以是前述实施方式中的服务提供方，也可以是该服务提供方内的芯片。该通信装置可以包括处理模块和收发模块。当该通信装置是服务提供方时，该处理模块可以是处理器，该收发模块可以是收发器；该服务提供方还可以包括存储模块，该存储模块可以是存储器；该存储模块用于存储指令，该处理模块执行该存储模块所存储的指令，以使该服务提供方执行第一方面或第一方面的任一种实施方式中的方法。当该通信装置是服务提供方内的芯片时，该处理模块可以是处理器，该收发模块可以是输入/输出接口、管脚或电路等；该处理模块执行存储模块所存储的指令，以使该服务提供方执行第一方面或第一方面的任一种实施方式中的方法。该存储模块可以是该芯片内的存储模块(例如，寄存器、缓存等)，也可以是该服务提供方内的位于该芯片外部的存储模块(例如，只读存储器、随机存取存储器等)。

第六方面，本申请实施例提供了一种通信装置，该通信装置可以是前述实施方式中的服务调用方，也可以是该服务调用方内的芯片。该通信装置可以包括处理模块和收发模块。当该通信装置是服务调用方时，该处理模块可以是处理器，该收发模块可以是收发器；该服务调用方还可以包括存储模块，该存储模块可以是存储器；该存储模块用于存储指令，该处理模块执行该存储模块所存储的指令，以使该服务调用方执行第二方面或第二方面的任一种实施方式中的方法。当该通信装置是服务调用方内的芯片时，该处理模块可以是处理器，该收发模块可以是输入/输出接口、管脚或电路等；该处理模块执行存储模块所存储的指令，以使该服务调用方执行第二方面或第二方面的任一种实施方式中的方法。该存储模块可以是该芯片内的存储模块(例如，寄存器、缓存等)，也可以是该服务调用方内的位于该芯片外部的存 储模块(例如，只读存储器、随机存取存储器等)。

第七方面，本申请提供了一种通信装置，该装置可以是集成电路芯片。该集成电路芯片包括处理器。该处理器与存储器耦合，该存储器用于存储程序或指令，当该程序或指令被该处理器执行时，使得该通信装置执行如前述各个方面的中的任一种实施方式所介绍的方法。

第八面，本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得该计算机执行如前述各个方面中的任一种实施方式所介绍的方法。

第九方面，本申请实施例提供了一种计算机可读存储介质，包括指令，当该指令在计算机上运行时，以使得计算机执行如前各个方面中的任一种实施方式所介绍的方法。

第十方面，本申请实施例提供了一种服务调用系统，该服务调用系统包括执行前述第一方面以及第一方面的任一种实施方式中的服务提供方；或者，该服务调用系统包括执行前述第二方面以及第二方面的任一种实施方式中的服务调用方。

第十一方面，本申请实施例提供了一种车辆，该车辆包括执行前述第一方面以及第一方面的任一种实施方式中的服务提供方；或者，该车辆包括执行前述第二方面以及第二方面的任一种实施方式中的服务调用方。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例。

图1A为本申请提出的服务调用方法适用的一个系统架构图；

图1B为本申请提出的服务调用方法适用的一个系统架构图；

图1C为本申请的服务调用方法适用的处理器架构的一种示例图；

图1D为本申请的服务调用方法适用的处理器架构的另一种示例图；

图2为本申请中服务调用方法的一个流程图；

图3为本申请中服务调用方法的另一个流程图；

图4为本申请中通信装置的一个实施例示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

为便于理解，下面先对本申请的服务调用方法适用的系统架构和应用场景进行介绍：

本申请提供的服务调用方法主要应用于用户触发生成控制命令以调用车辆中的服务的场景。例如，用户通过车辆的软件或硬件输入控制命令以调用该控制命令对应的服务。

如图1A和图1B所示，本申请提供的服务调用方法适用的系统主要包括服务调用方、服务提供方和执行设备。

其中，服务调用方是响应用户的指令而生成控制命令以调用该控制命令对应的服务的设备或功能模块。而服务提供方是车辆中基于控制命令提供服务的设备或功能模块。此外，执行设备用于执行控制命令以实现该控制命令对应的服务。其中，前述服务可以是开关车门、开关车窗、开关雨刮器、调整座椅等车身控制服务，也可以是空中下载技术(over the air technology，OTA)通常是指升级、诊断等服务，还可以是其他的车辆服务，本申请不限制。

示例性的，以该服务为车身控制服务为例。该车身控制服务可以是门窗控制服务、雨刮控制服务、座椅控制服务或车灯控制服务等。若用户想打开车窗，用户可以通过服务调用方触发生成指示打开车窗的控制命令，该服务提供方在收到该控制命令后将对该控制命令进行合法性校验。若服务提供方确定该控制命令是合法的命令，则该服务提供方将该控制命令发送至该控制命令对应的执行设备。

示例性的，服务调用方可以是智能座舱或智能终端设备(例如，智能手机、智能手表或者其他的智能穿戴设备等)。该服务提供方可以是整车控制域(也被称为车身域控制(vehicle domain control，VDC)或车辆域控制)，也可以是车辆中的通信盒子(Telematics Box，T-Box)，还可以是T-Box和整车控制域的组合。该执行设备可以是驱动车身硬件的电机或控制器。例如，若控制命令为打开车窗，则该执行设备为车窗相关的控制电机，通过启动该控制电机控制打开车窗。需要说明的是，本申请中，当前述服务调用方为智能座舱时，前述服务提供方为整车控制域。例如，在如图1A所示示例中，用户可以通过点击智能座舱上的触摸屏上的按键触发生成控制命令。该整车控制域在收到该控制命令后对该控制命令进行合法性校验，以决策是否将该控制命令发送至该控制命令对应的执行设备。当前述服务调用方为终端设备时，服务提供方包括通信盒子和/或整车控制域。例如，在如图1B所示示例中，用户通过智能终端触发生成控制命令。该通信盒子在收到该控制命令后可以对该控制命令进行合法性校验，也可以该通信盒子将控制命令透传给整车控制域，由该整车控制域对该控制命令进行合法性校验。

此外，前述服务调用方的处理架构包括内核和可信模块。其中，可信模块的权限高于内核的权限，可信模块相比与内核更不容易被攻击。为便于理解，下面将结合常见的两种处理器架构的示例进行介绍：

如图1C所示，为本申请的服务调用方法适用的一种处理器架构的示例，该示例为进阶精简指令集机器(Advanced RISC Machine，ARM)架构。在该架构中，服务调用方包括多个特权级别(exception levels，EL)，从特权级别0(EL0)、特权级别1(EL1)到特权级别2(EL2)权限逐渐提高，即软件的执行权限相应的增加。其中，EL0被称为无特权执行，用于 运行车身控制应用；EL1用于运行操作系统(即内核(Kernel))；EL2提供了对虚拟化的支持，用于运行虚拟机监视器(Hypervisor)。可选的，EL1还用于可信内核(Trusted Kernel)。此外，基于硬件隔离技术的ARM架构还可以运行可信执行环境(trusted execution environment，TEE)。在如图1C所示的架构中，虚拟机监视器(Hypervisor)、可信内核和可信执行环境任意一项均可以作为可信模块执行后文将介绍的服务调用方法。

如图1D所示，为本申请的服务调用方法适用的另一种处理器架构的示例，该示例为X86_64架构。在该架构中，服务调用方包括多个权限级别(Rings)。从权限级别0(Ring0)到权限级别3(Ring3)权限逐渐降低，即软件的执行权限相应的减少。其中，Ring3的权限最低，用于运行车身控制应用；Ring0的权限高于Ring3的权限，通常用于运行操作系统(即内核(Kernel))。此外，虚拟机器扩展根模块式(virtual-machine extensions root mode，VMX root mode)(也被称为硬件虚拟化技术下的特权模式)的权限高于虚拟机器扩展非根模块式(virtual-machine extensions non-root mode，VMX non-root mode)(也被称为硬件虚拟化技术下的非特权模式)的权限，用于运行虚拟机监视器(virtual-machine monitors，VMM)，虚拟机监视器通过配置虚拟控制结构(virtual-machine control data structure，VMCS)来控制虚拟机的执行。在如图1D所示的架构中，虚拟机监视器VMM和虚拟控制结构VMCS均可以作为可信模块执行后文将介绍的服务调用方法。

在该系统中，传统技术中的服务提供方是基于服务调用方发送的ID对控制命令进行合法性校验。当服务调用方被入侵时，服务ID容易被获取或伪造。因此，仅靠服务ID对控制命令进行合法性校验不足以保证车辆中服务调用的安全性。

对此，本申请提供了一种服务调用方法，主要应用于基于软件的车身控制场景。该方法中基于用户的行为对收到的控制命令进行验证，能够识别出由攻击者伪造的控制命令，进而能够提高车身控制服务的调用的安全性。

下面将结合图2对本申请的服务调用方法的一种实施例的主要流程进行介绍。该方法中，服务调用方和服务提供方主要执行如下步骤：

步骤201，服务调用方获取第一行为信息。

其中，第一行为信息用于指示用户触发生成第一控制命令的行为。其中，第一控制命令用于调用第一服务。示例性的，若第一控制命令为车身控制命令，则第一服务为车身控制服务。例如，若第一控制命令为开车门命令，则第一服务为开车门服务；若第一控制命令为开车窗命令，则第一服务为开车窗服务；若第一控制命令为开雨刮器命令，则第一服务为开雨刮器服务。该第一行为信息也可以理解为服务调用方检测到的用户发出的能够触发生成第一控制命令而调用第一服务的行为。

具体地，用户输入指令时使用的输入输出硬件不同，服务调用方检测到的第一行为信息的具体实现方式不同。

在一种可能的实施方式中，若用户通过触屏输入指令，则该第一行为信息包括第一坐标，该第一坐标为该用户的操作对应的坐标。可选的，该第一行为信息还包括第一时间信息，该第一时间信息指示的第一时间为基于用户的操作而产生该坐标的时间。

需要说明的是，该第一坐标可以是用户在触屏(例如，车载中控屏)上的点击、滑动等 操作对应的坐标。具体地，该第一坐标可以是触屏上某一个点击位置的坐标值。例如，用户仅点击触屏上某一个按键便能够触发生成第一控制命令。此外，该第一坐标也可以是触屏上某几个点击位置的坐标值。例如，用户连续点击触屏上某几个按键才能够触发生成第一控制命令。此外，该第一坐标还可以是连续的坐标范围。例如，用户在触屏上连续滑动以做出特定的滑动手势(例如，手指在触屏向左滑动或者手指在触屏向右滑动)，该特定的手势能够触发生成第一控制命令。在实际应用中，还可以是用户的其他行为使得服务调用方检测到一个或多个坐标。

在另一种可能的实施方式中，若用户通过麦克风输入语音指令，则该第一行为信息包括第一语义信息，该第一语义信息为基于该用户的输入的语音指令生成的语义。可选的，该第一行为信息还包括第一时间信息，该第一时间信息指示的第一时间为服务调用方检测到该语音指令的时间。

在实际应用中，生成第一行为信息的行为除了可以是点击智能座舱的触摸屏和说出语音指令之外，还可以是其他的能够实现人机交互的行为。例如，通过传感器检测用户做出的特定手势等，此处不做限定。在后续实施例中，以第一行为信息包括第一坐标和第一时间为例进行详细介绍。

可选的，服务调用方中的可信模块获取第一行为信息。具体地，用户通过服务调用方中的硬件(例如，输入输出硬件)产生电信号并传输至可信模块，由该可信模块对该电信号打上时间戳，得到该第一行为信息。

其中，可信模块是权限高于操作系统(即内核)的处理模块，即服务调用方中的可信模块的权限高于服务调用方中的内核的权限。也可以理解为，可信模块的运行环境的权限高于内核的运行环境的权限。由于，可信模块的权限高于内核的权限，因此，攻击者不容易攻破可信模块而篡改可信模块中的数据。因此，由可信模块获取的第一行为信息的方案相比于由传统技术中的内核获取第一行为信息的方案，能够使得第一行为信息更不容易被窃取或篡改，提高了服务调用方获取第一行为信息的准确性和安全性。

需要说明的是，在不同的处理器架构中，可信模块的具体实现形式不同。示例性的，在如图1C所示的ARM架构中，可信模块可以由可信内核(Trusted Kernel)、虚拟机监视器(Hypervisor)和可信执行环境TEE中的任意一项实现。示例性的，在如图1D所示的X86_64架构中，可信模块可以是虚拟机监视器VMM或虚拟控制结构VMCS。

可选的，可信模块的运行环境与该内核的运行环境相互独立。当内核遭受攻击者攻击时，可信模块不会受影响。因此，即使内核中的数据被攻击者篡改，可信模块中的数据不会受影响，该可信模块中的数据仍然是准确且安全的。

可选的，可信模块具有对存储模块的读权限和写权限，该内核没有对该存储模块的访问权限，该存储模块用于存储该第一行为信息。其中，所述存储模块包括寄存器和/或内存。由于，传统技术中的内核具有对存储模块的读权限和/或写权限，因此，传统技术中位于内核中的数据容易被攻击篡改。将本申请中的服务调用方中的内核配置为没有对存储模块的访问权限，因此，能够避免攻击者通过内核对存储模块中的数据进行窃取或篡改。此外，将本申请中的服务调用方中的可信模块配置为具有对存储模块的读权限和写权限，由于可信模块的权 限本就高于内核的权限而相比于内核不容易被攻击者攻破，因此，能够保证可信模块获取的第一行为信息的准确性和安全性。

需要说明的是，用户采用的输入输出硬件不同，传输给可信模块的电信号不同。下面分别进行介绍：

在一种可能的实施方式中，若用户通过触屏输入指令，则该第一行为信息包括第一坐标和第一时间。例如，当用户点击智能座舱上的触屏时，触屏的寄存器将检测到的电信号进行数字化处理，然后将该电信号传输至可信模块。

为便于理解，以图1C所示的处理器架构为例。若可信模块为虚拟机监视器(Hypervisor)，则触屏检测到用户的点击操作并将点击的坐标记录在存储模块之后，虚拟机监视器能够从该存储模块获取用户点击的坐标，即可信模块获取到第一坐标。可信的，虚拟机监视器(Hypervisor)在拿到第一坐标之后打上时间戳，得到包含第一坐标和第一时间的第一行为信息。需要说明的是，图1C和图1D所示示例中的其他的可信模块(例如，可信内核、TEE或VMM)获取第一行为信息的过程与虚拟机监视器获取第一行为信息的过程类似，此处不予赘述。

在另一种可能的实施方式中，若用户通过麦克风输入语音指令，则该第一行为信息包括第一语义信息和第一时间。例如，当用户发出语音指令时，麦克风将检测到的模拟信号转换为电信号，进而传输给语义识别模块识别出语义信息，然后将该语义信息传输至可信模块。

为便于理解，仍旧以图1C所示的处理器架构为例。若可信模块为虚拟机监视器(Hypervisor)，则麦克风检测到用户的语音指令并将该语义指令转换为语义信息并记录在存储模块之后，虚拟机监视器能够从该存储模块获取该语义信息，即可信模块获取到第一语义信息。可信的，虚拟机监视器(Hypervisor)在拿到第一语义信息之后打上时间戳，得到包含第一语义信息和第一时间的第一行为信息。

步骤202，服务调用方基于第一行为信息生成第一控制命令。

具体地，以第一行为信息包括第一坐标和第一时间为例。服务调用方基于第一坐标确定该第一坐标相对于触屏界面所在的区域，进而基于该区域生成第一控制命令。可选的，可以是服务调用方中的内核基于第一行为信息生成第一控制命令。

示例性的，若第一坐标对应在触屏上的按键为“开车门”，则服务调用方基于第一坐标生成用于开车门的控制命令，以使得该用于开车门的控制命令在发送到服务提供方后能够调用开车门的服务。

需要说明的是，第一控制命令的具体实现方式可能是一串命令代码，也可能是一个命令标识，具体本申请不对控制命令的具体实现方式进行限定。

步骤203，服务调用方对第一控制命令的验证信息进行签名处理。

本实施例中，步骤203为可选的步骤。若服务调用方执行了步骤203，则服务提供方在收到第一控制命令的验证信息之后将执行步骤205。若服务调用方没有执行步骤203，则服务提供方在收到第一控制命令的验证信息之后不执行步骤205，而是执行步骤206。

其中，第一控制命令的验证信息用于服务提供方验证第一控制命令，该第一控制命令的验证信息包括第一行为信息，即步骤201中服务调用方获取的第一行为信息。

可选的，服务调用方中的可信模块采用密钥对第一控制命令的验证信息(即第一行为信 息)进行签名处理。例如，服务调用方中的可信模块在获取第一行为信息之后，采用前述密钥对应第一控制命令的验证信息(即第一行为信息)进行签名处理。

为便于理解，以图1C所示的处理器架构为例。若可信模块由2个模块实现(例如，可信模块为虚拟机监视器和TEE)，则虚拟机监视器获取到第一行为信息之后，该虚拟机监视器将第一行为信息传输至TEE，然后，TEE对第一行为信息进行签名处理，然后，TEE向虚拟机监视器返回经过签名处理的第一行为信息；或者，虚拟机监视器在获取到第一行为信息之后，将第一行为信息存储在可信内存中，然后，TEE从虚拟机监视器的可信内存中获取第一行为信息，进而对该第一行为信息进行签名处理，并向虚拟机监视器的可信内存中写入经过签名处理的第一行为信息。若可信模块由1个模块实现(例如，可信模块为虚拟机监视器)，则虚拟机监视器获取到第一行为信息之后，该虚拟机监视器对第一行为信息进行签名处理，得到经过签名处理的第一行为信息。本申请不限定具体由哪个可信模块实现签名处理的功能。

本实施方式中，由于，第一行为信息是由可信模块获取的，该可信模块的权限较高，攻击者不容易攻破可信模块而篡改可信模块中的信息，因此，该第一行为信息是安全可靠的，采用该可信模块获取的第一行为信息作为第一控制命令的验证信息也是安全可靠的。相比于传统技术中采用车身控制服务的应用标识作为验证信息的方案，由可信模块获取的第一行为信息相比于应用标识更不容易被篡改伪造，因此，采用第一行为信息作为第一控制命令的验证信息的方案更具有可靠性和安全性。

此外，本实施例还提出采用密钥对第一控制命令的验证信息进行签名，有利于进一步防止攻击者伪造第一控制命令的验证信息，有利于提高第一控制命令的验证信息的可靠性和安全性。

步骤204，服务调用方向服务提供方发送第一控制命令和第一控制命令的验证信息；相应地，该服务提供方从服务调用方接收第一控制命令和第一控制命令的验证信息。

可选的，该第一控制命令的验证信息具有该服务调用方的密钥签名，即该第一控制命令的验证信息经过服务调用方的签名处理。该第一控制命令的验证信息包括第一行为信息。

步骤205，服务提供方验证第一控制命令的验证信息的签名。

本实施例中，步骤205为可选的步骤。若服务调用方执行了步骤203，则服务提供方在收到第一控制命令的验证信息之后将执行步骤205。若服务调用方没有执行步骤203，则服务提供方在收到第一控制命令的验证信息之后不执行步骤205，而是执行步骤206。

具体地，服务提供方采用密钥验证该第一控制命令的验证信息的签名。前述密钥可以是对称密钥，也可以是非对称密钥，此处不做限定。例如，若服务调用方采用服务调用方的私钥对第一控制命令的验证信息进行签名处理，则服务提供方需要采用服务调用方的公钥对第一控制命令的验证信息进行验证处理。又例如，若服务调用方采用对称密钥对第一控制命令的验证信息进行签名处理，则服务提供方需要采用该对称密钥对第一控制命令的验证信息进行验证处理。

还需要说明的是，服务提供方能够通过运维人员预配置的信息确定收到的控制命令是否都经过了签名。例如，若运维人员针对服务调用方和服务提供方都配置了与签名验证相关的步骤，即运维人员配置服务调用方需要执行步骤203，且，服务提供方需要执行步骤205，则服务提供方会对每个收到的控制命令(例如，第一控制命令)进行验证，以确定收到的控制 命令(例如，第一控制命令)是否为经过合法签名的控制命令。

以第一控制命令为例，若该服务提供方采用该服务调用方的公钥验证该第一控制命令的验证信息的签名通过，说明该第一控制命令上的签名是来自于服务调用方，即第一控制命令是经过合法签名的命令，则该服务提供方执行步骤206；若该服务提供方采用该服务调用方的公钥验证该第一控制命令的验证信息的签名不通过，说明该第一控制命令上的签名不是来自于服务调用方，即该第一控制命令可能是攻击者伪造的，则该服务提供方执行步骤208b。

可选的，若第一行为信息包括第一时间信息，则该服务提供方在执行步骤206之前，还需要基于第一时间信息确定该第一控制命令是否遭受重放攻击。具体地，该服务提供方可以判断该第一时间信息指示的时刻与当前时刻的差值是否位于第一阈值范围之外。若第一时间信息指示的时刻与当前时刻的差值位于第一阈值范围之内，说明该第一控制命令的验证信息不是由攻击者拦截后进行重发的，则该服务提供方触发执行步骤206；若第一时间信息指示的时刻与当前时刻的差值位于第一阈值范围之外，说明该第一控制命令的验证信息可能由攻击者拦截后进行重发的，则该服务提供方停止触发执行步骤206，而触发执行步骤208b。

步骤206，服务提供方基于第一行为信息和第一映射规则确定第一行为信息对应的第二控制命令。

其中，第一映射规则是预配置在服务提供方的用于校验第一控制命令的验证信息的映射规则。该第一映射规则包括至少一种行为信息以及每种行为信息对应的控制命令。服务提供方从第一映射规则中的至少一种行为信息中查找第一行为信息，进而确定该第一行为信息对应的控制命令为第二控制命令。

需要说明的是，当第一行为信息的实现方式不同时，该第一映射规则中包含的行为信息也不同。下面分别进行介绍：

在一种可能的实施方式中，该第一行为信息包括第一坐标和第一时间；该第一映射规则中的至少一种行为信息中的每种行为信息包括至少一个坐标区域。具体地，服务提供方先确定该第一坐标所在的坐标区域，然后，服务提供方基于该第一映射规则确定该第一坐标所在的坐标区域对应的控制命令为该第二控制命令。

示例性的，若行为信息包括坐标区域，则该第一映射规则可以如下表1-1所示：

表1-1

坐标区域	每种行为信息对应的控制命令
a 0<X<b 0；c 0<Y<d 0；	开车门命令
a 1<X<b 1；c 1<Y<d 1；	开车窗命令
e 0<X<f 0；c 2<Y<d 2；	开雨刮器命令

表1-1所示示例中，X表示横坐标，Y表示纵坐标，X和Y的取值范围确定的坐标区域对应触屏上的某一个按键。例如，由a ₀<X<b ₀和c ₀<Y<d ₀确定的坐标区域对应的按键是“开车门按键”，因此，该坐标区域对应的控制命令为“开车门命令”。又例如，由a ₁<X<b ₁和c ₁<Y<d ₁确定的坐标区域对应的按键是“开车窗按键”，因此，该坐标区域对应的控制命令为“开车窗命令”。

示例性的，若第一坐标为X＝a ₃且Y＝b ₃，并且，a ₀<a ₃<b ₀且c ₀<b ₃<d ₀，则服务提供方基于第一坐标和第一映射规则确定与第一行为信息对应的第二控制命令为“开车门命令”。

在另一种可能的实施方式中，该第一行为信息包括第一语义信息和第一时间；该第一映射规则中的至少一种行为信息中的每种行为信息包括一个语义信息。具体地，该服务提供方基于该第一映射规则确定该第一语义信息对应的控制命令为该第二控制命令。

示例性的，若行为信息包括语义信息，则该第一映射规则可以如下表1-2所示：

表1-2

语义信息	每种行为信息对应的控制命令
“开车门”	开车门命令
“开车窗”	开车窗命令
“开雨刮器”	开雨刮器命令

表1-2所示示例中，若服务提供方收到的第一行为信息包含的语义信息为“开车门”，则服务提供方基于语义信息和第一映射规则确定与第一行为信息对应的第二控制命令为“开车门命令”。

需要说明的是，第一映射规则(例如，表1-1或表1-2)中的控制命令的具体实现方式可能是一串命令代码，也可能是一个命令标识，具体本申请不对控制命令的具体实现方式进行限定。

步骤207，服务提供方判断第一控制命令与第二控制命令是否相同。

若第一控制命令与第二控制命令相同，说明该第一控制命令是由用户发起的合法命令，则服务提供方执行步骤208a；若第一控制命令与第二控制命令不相同，说明该第一控制命令不是由用户发起的合法命令，则服务提供方执行步骤208b。

步骤208a，服务提供方向执行设备发送第一控制命令。

当第一控制命令与第二控制命令相同时，服务提供方确定该第一控制命令验证通过，即第一控制命令是由用户发起的合法命令，则服务提供方向执行设备发送第一控制命令，以使得执行设备执行第一控制命令。

步骤208b，服务提供方确定第一控制命令验证不通过。

当第一控制命令与第二控制命令不相同时，服务提供方确定该第一控制命令验证不通过，即第一控制命令不是由用户发起的合法命令。此时，该服务提供方不会向执行设备发送前述第一控制命令。可选的，该服务提供方还将触发告警流程。具体地，该服务提供方将执行步骤210a或执行步骤210b。

步骤209，执行设备执行第一控制命令。

执行设备在收到来自服务提供方的第一控制命令之后，该执行设备将执行第一控制命令以实现第一服务的调用。例如，若该第一控制命令为开车门命令，则执行设备为与车门相关的控制器或驱动设备，该执行设备控制车门打开。又例如，若第一控制命令为开车窗命令，则执行设备为与车窗相关的控制器或驱动设备，该执行设备控制车窗打开。

步骤210a，服务提供方向用户提示告警信息。

步骤210a为可选的步骤。

其中，该告警信息用于指示验证该第一控制命令不通过。也可以理解为，该告警信息用于指示验证该第一控制命令不合法。

可选的，该服务提供方能够控制车辆的输入输出设备通信，进而能够通过输入输出设备 向用户提示告警信息。例如，若服务提供方能够控制车辆的扬声器，则该服务提供方可以控制该扬声器通过语音播报的方式向用户播报告警信息。又例如，若服务提供方能够控制车辆的中控显示屏，则该服务提供方可以控制该中控显示屏以文字和/或图像的方式向用户展示告警信息。本申请不限制服务提供方能够进行通信或控制的输入输出设备，此处不再一一列举。

步骤210b，服务提供方向服务调用方发送告警信息；相应地，服务调用方从服务提供方接收告警信息，进而该服务调用方向用户提示告警信息。

步骤210b为可选的步骤。

当该服务调用方收到前述告警信息之后，该服务调用方将向用户提示告警信息。

在一种可能的示例中，服务调用方是位于车辆中设备，例如，该服务调用方是车辆中的智能座舱；服务提供方是整车控制域。整车控制域向智能座舱发送告警信息，该智能座舱通过连接的输入输出设备向用户提示告警信息。例如，该智能座舱可以控制该扬声器通过语音播报的方式向用户播报告警信息。又例如，智能座舱可以控制该中控显示屏以文字和/或图像的方式向用户展示告警信息。又例如，智能座舱可以控制抬头显示器(head up display，HUD)以文字和/或图像的方式向用户展示告警信息。在实际应用中，智能座舱还可以与其他输出输入设备进行通信，此处不再一一列举。

在另一种可能的示例中，服务调用方是能够与车辆进行通信的设备。例如，该服务调用方是智能终端设备(例如，智能手机、智能手表或者其他的智能穿戴设备等)。服务提供方是整车控制域，或者，服务提供方是车辆中的通信盒子T-Box和整车控制域的组合。本示例中，智能终端设备能够通过车辆中的通信盒子T-Box从整车控制域接收告警信息，进而该终端设备能够通过语音播报的方式提示告警信息，或者，以文字和/或图像的方式向用户展示告警信息。

本实施例中，服务调用方将获取第一行为信息的权限从权限较低的内核(例如，特权级别1(EL1)中的内核(Kernel))下放到权限较高的可信模块(例如，特权级别2(EL2)中的虚拟机监视器(Hypervisor))。由于，由于权限较高的可信模块中的数据相比于权限较低的内核中的数据更不容易被篡改，因此，服务调用方通过可信模块获取的第一行为信息而不是通过内核获取第一行为信息，有利于防止服务调用方获得的第一行为信息被篡改或伪造，进而有利于保证发送给服务提供方的第一控制命令的验证信息的安全性。

此外，服务提供方接收的用于验证第一控制命令的验证信息包括第一行为信息，服务提供方能够基于第一行为信息确定该第一控制命令是否由用户的行为触发的。当服务提供方确定第一控制命令与基于第一行为信息确定的第二控制命令相同时，服务提供方确定该第一控制命令是由用户触发且未被篡改的，才触发向执行设备发送该第一控制命令。因此，有利于提高车身控制服务调用的安全性。

下面将结合图3对本申请的服务调用方的另一种实施例的主要流程进行介绍。该方法中，服务调用方和服务提供方主要执行如下步骤：

步骤301，服务调用方获取第一行为信息。

可选的，服务调用方中的可信模块获取第一行为信息。

步骤302，服务调用方基于第一行为信息生成第一控制命令。

步骤301和步骤302与前文步骤201和步骤202类似，具体请参阅前文步骤201和步骤202中的相关描述，此处不予赘述。

步骤303，服务调用方获取第一执行流信息。

其中，执行流(也被称为控制流(control flow))是服务调用方在基于行为信息生成控制命令过程中执行的指令的集合。因此，一项服务调用的执行流能够反映该服务调用过程的完整性。若该服务调用过程有攻击者的篡改行为发生，则服务调用方收集的执行流必定有反应篡改行为的指令。因此，由用户触发生成控制命令的服务调用的执行流和经过攻击者篡改的服务调用的执行流是不同的。因此，采用服务调用的执行流作为控制命令的验证信息有利于服务提供方识别出是否遭受攻击，有利于提高服务调用过程的安全性。

前述第一执行流信息用于指示调用第一服务的过程信息。例如，该第一执行流信息是服务调用方在基于第一行为信息生成第一控制命令过程中产生的信息。因此，该第一执行流信息能够指示该第一服务调用过程的完整性。可选的，前述第一执行流信息为调用第一服务的执行流或调用第一服务的执行流的哈希值。例如，该服务调用方在生成第一控制命令时直接将获取的调用第一服务的执行流确定为第一控制命令的验证信息。又例如，该服务调用方在生成第一控制命令并收集到调用第一服务的执行流之后，采用哈希算法对调用第一服务的执行流进行哈希计算得到调用第一服务的执行流的哈希值，将调用第一服务的执行流的哈希值作为第一控制命令的验证信息。

可选的，服务调用方中的可信模块获取第一执行流信息。可选的，服务调用方中的可信模块可以基于硬件(例如，ARM架构上的硬件模块(例如，coresight等片上调试模块)，Intel架构的处理器跟踪(processor trace，PT)模块，性能监督单元(performance monitoring unit，PMU)等)收集执行流，也可以基于软件插桩的方式收集执行流，具体此处不做限定。

在一种可能的示例中，服务调用方中的内核基于第一行为信息生成第一控制命令，与此同时，该服务调用方中可信模块收集内核在生成第一控制命令时产生的第一服务的执行流。然后，该服务调用方中的可信模块将第一行为信息和第一服务的执行流确定为第一控制命令的验证信息。

在另一种可能的示例中，服务调用方中的内核在基于第一行为信息生成第一控制命令时，该服务调用方中可信模块收集内核在生成第一控制命令时产生的第一服务的执行流。然后，该服务调用方中的可信模块计算该第一服务的执行流的哈希值。然后，该服务调用方中的可信模块将第一行为信息和第一服务的执行流的哈希值确定为第一控制命令的验证信息。

本步骤中，由于，该第一执行流信息是由该服务调用方中的可信模块获取的，因此，能够保证作为验证信息的第一执行流信息是安全且可靠的。又由于，第一执行流信息是服务调用方在基于第一行为信息生成第一控制命令时必然会产生的信息，因此，将第一执行流信息作为验证信息之一，能够保证第一控制命令是由用户触发的，而不是攻击者伪造的。因此，将第一执行流信息和第一行为信息作为第一控制命令的验证信息有利于提高车身控制服务的安全性和可靠性。

步骤304，服务调用方对第一控制命令的验证信息进行签名处理。

本实施例中，步骤304为可选的步骤。若服务调用方执行了步骤304，则服务提供方在收到第一控制命令的验证信息之后将执行步骤306。若服务调用方没有执行步骤304，则服务 提供方在收到第一控制命令的验证信息之后不执行步骤306，而是执行步骤307。

其中，第一控制命令的验证信息用于验证第一控制命令。该第一控制命令的验证信息包括第一行为信息(即步骤301中服务调用方获取的第一行为信息)和第一执行流信息(即步骤303中服务调用方获取的第一执行流信息)。

具体地，服务调用方中的可信模块在获取第一行为信息和第一执行流信息之后，该服务调用方将采用密钥对应第一控制命令的验证信息(即第一行为信息和第一执行流信息)进行签名处理。

为便于理解，以图1C所示的处理器架构为例。若可信模块由2个模块实现(例如，可信模块为虚拟机监视器和TEE)，则虚拟机监视器获取到第一行为信息和第一执行流信息之后，该虚拟机监视器将第一行为信息和第一执行流信息一起传输至TEE，然后，TEE对第一行为信息和第一执行流信息一起进行签名处理，然后，TEE向虚拟机监视器返回经过签名处理的第一控制命令的验证信息；或者，虚拟机监视器在获取到第一行为信息和第一执行流信息之后，将第一行为信息和第一执行流信息存储在可信内存中，然后，TEE从虚拟机监视器的可信内存中获取第一行为信息和第一执行流信息，进而对该第一行为信息和第一执行流信息进行签名处理，并向虚拟机监视器的可信内存中写入经过签名处理的第一行为信息和第一执行流信息。若可信模块由1个模块实现(例如，可信模块为虚拟机监视器)，则虚拟机监视器获取到第一行为信息和第一执行流信息之后，该虚拟机监视器对第一行为信息和第一执行流信息一起进行签名处理，得到经过签名处理的第一控制命令的验证信息。本申请不限定具体由哪个可信模块实现签名处理的功能。

本实施例中，提出采用密钥对第一控制命令的验证信息进行签名，有利于进一步防止攻击者伪造第一控制命令的验证信息，有利于提高第一控制命令的验证信息的可靠性和安全性。

步骤305，服务调用方向服务提供方发送第一控制命令和第一控制命令的验证信息；相应地，该服务提供方从服务调用方接收第一控制命令和第一控制命令的验证信息。

可选的，该第一控制命令的验证信息具有该服务调用方的密钥签名。该第一控制命令的验证信息包括第一行为信息和第一执行流信息。

步骤306，服务提供方验证第一控制命令的验证信息的签名。

本实施例中，步骤306为可选的步骤。若服务调用方执行了步骤304，则服务提供方在收到第一控制命令的验证信息之后将执行步骤306。若服务调用方没有执行步骤304，则服务提供方在收到第一控制命令的验证信息之后不执行步骤306，而是执行步骤307。

具体地，服务提供方采用密钥验证第一控制命令的验证信息的签名。其中，前述密钥可以是对称密钥，也可以是非对称密钥，此处不做限定。具体请参阅前文步骤205中的相关介绍，此处不予赘述。

以第一控制命令为例，若该服务提供方采用该服务调用方的公钥验证该第一控制命令的验证信息的签名通过，说明该第一控制命令上的签名是来自于服务调用方，即第一控制命令是经过合法签名的命令，则该服务提供方执行步骤307；若该服务提供方采用该服务调用方的公钥验证该第一控制命令的验证信息的签名不通过，说明该第一控制命令上的签名不是来自于服务调用方，即该第一控制命令可能是攻击者伪造的，则该服务提供方执行步骤311b。

可选的，若第一行为信息包括第一时间信息，则该服务提供方在执行步骤307之前，还 需要基于第一时间信息确定该第一控制命令是否遭受重放攻击。具体地，该服务提供方可以判断该第一时间信息指示的时刻与当前时刻的差值是否位于第一阈值范围之外。若第一时间信息指示的时刻与当前时刻的差值位于第一阈值范围之内，说明该第一控制命令的验证信息不是由攻击者拦截后进行重发的，则该服务提供方触发执行步骤307；若第一时间信息指示的时刻与当前时刻的差值位于第一阈值范围之外，说明该第一控制命令的验证信息可能由攻击者拦截后进行重发的，则该服务提供方停止触发执行步骤307，而触发执行步骤311b。

步骤307，服务提供方基于第一行为信息和第一映射规则确定第一行为信息对应的第二控制命令。

其中，该第一映射规则包括至少一种行为信息以及每种行为信息对应的控制命令。

具体地，步骤307与前文步骤206类似，具体请参阅前文步骤206中的相关描述，此处不予赘述。

步骤308，服务提供方判断第一控制命令与第二控制命令是否相同。

若第一控制命令与第二控制命令相同，则服务提供方执行步骤309；若第一控制命令与第二控制命令不相同，说明该第一控制命令不是由用户发起的合法命令，则服务提供方执行步骤311b。

步骤309，服务提供方基于第二控制命令和该第一映射规则确定与该第二控制命令对应的第二执行流信息。

本实施例中，该第一映射规则除了包括至少一种行为信息以及每种行为信息对应的控制命令之外，该第一映射规则还包括每个控制命令对应的服务的执行流信息。服务提供方不仅能够从第一映射规则中查找第一行为信息对应的第二控制命令，还能够基于该第二控制命令查找到与该第二控制命令对应的第二执行流信息。

需要说明的是，当第一行为信息的实现方式不同时，该第一映射规则中包含的行为信息也不同。下面分别进行介绍：

在一种可能的实施方式中，该第一行为信息包括第一坐标和第一时间；该第一映射规则中的至少一种行为信息中的每种行为信息包括至少一个坐标区域。

示例性的，若行为信息包括坐标区域，则该第一映射规则可以如下表2-1所示：

表2-1

具体地，服务提供方先确定该第一坐标所在的坐标区域，然后，服务提供方基于该第一映射规则确定该第一坐标所在的坐标区域对应的控制命令为该第二控制命令，然后，服务提供方基于该第一映射规则确定该第二控制命令。

在另一种可能的实施方式中，该第一行为信息包括第一语义信息和第一时间；该第一映射规则中的至少一种行为信息中的每种行为信息包括一个语义信息。

示例性的，若行为信息包括语义信息，则该第一映射规则可以如下表2-2所示：

表2-2

具体地，该服务提供方基于该第一映射规则确定该第一语义信息对应的控制命令为该第二控制命令，然后，服务提供方基于该第一映射规则确定该第二控制命令。

步骤310，判断第一执行流信息与第二执行流信息是否相同。

若第一执行流信息与第二执行流信息相同，则服务提供方执行步骤311a；若第一执行流信息与第二执行流信息不相同，说明该第一控制命令不是由用户发起的合法命令，则服务提供方执行步骤311b。

步骤311a，服务提供方向执行设备发送该第一控制命令。

步骤311b，服务提供方确定第一控制命令验证不通过。

步骤312，执行设备执行第一控制命令。

步骤313a，服务提供方向用户提示告警信息。

步骤313b，服务提供方向服务调用方发送告警信息，以使得服务调用方向用户提示告警信息。

本实施例中，步骤311a、步骤311b、步骤312、步骤313a以及步骤313b与前述图2对应实施例中的步骤208a、步骤208b、步骤209、步骤210a以及步骤210b类似，具体请参阅前述图2对应实施例中各步骤中的相关描述，此处不予赘述。

本实施例中，服务调用方能够基于第一行为信息生成第一控制命令，并获取在生成第一控制命令过程中产生的第一执行流信息，然后，将第一行为信息和第一执行流信息作为第一控制命令的验证信息发送给服务提供方，以使得服务提供方基于第一行为信息和第一执行流信息对第一控制命令进行验证。因此，有利于提高车身控制服务调用的安全性。

此外，服务提供方接收的用于验证第一控制命令的验证信息包括第一行为信息和第一执行流信息。服务提供方基于第一映射规则和第一行为信息确定与第一映射规则中与第一行为信息对应的第二执行流信息，当第一执行流信息与第二执行流信息相同时，服务提供方确定该第一控制命令是合法的，才触发向执行设备发送该第一控制命令。由于，服务提供方能够基于第一行为信息确定第一控制命令由用户触发，能够基于第一执行流信息确定第一控制命令未被篡改，因此，有利于提高车身控制服务调用的安全性。

如图4所示，本申请提供了一种通信装置40。该通信装置40可以是服务调用方，也可以是服务调用方中的部件(例如，集成电路、芯片等)。该通信装置40可以是服务提供方，也可以是服务提供方中的部件(例如，集成电路、芯片等)。该通信装置40也可以是其他用于实现本申请方法实施例中的方法的通信模块。

该通信装置40可以包括处理模块401(或称为处理单元)。可选的，该通信装置40还可以包括接口模块402(或称为收发单元或收发模块)和存储模块403(或称为存储单元)。接 口模块402用于实现与其他设备进行通信。例如，接口模块402可以是收发模块或输入输出模块。

在一种可能的设计中，如图4中的一个或者多个模块可能由一个或者多个处理器来实现，或者由一个或者多个处理器和存储器来实现；或者由一个或多个处理器和收发器实现；或者由一个或者多个处理器、存储器和收发器实现，本申请实施例对此不作限定。前述处理器、存储器、收发器可以单独设置，也可以集成于一体。当该通信装置40用于实现服务调用方的功能时，该通信装置40中的处理模块401的架构可以参阅图1C或图1D所示的示例。

在一种设计中，该通信装置40具备实现前述图2或图3对应实施例中服务调用方的功能。例如，通信装置40包括服务调用方执行本申请实施例描述的服务调用方涉及步骤所对应的模块或单元或手段(means)，所述功能或单元或手段(means)可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现，还可以通过软件和硬件结合的方式实现。例如，通信装置40中的接口模块402用于接收来自服务调用方的第一控制命令和该第一控制命令的验证信息，该第一控制命令用于调用第一服务，该第一控制命令的验证信息用于验证该第一控制命令，该第一控制命令的验证信息包括第一行为信息，该第一行为信息用于指示用户触发生成该第一控制命令的行为。处理模块401用于基于该第一控制命令的验证信息验证该第一控制命令，以及，当验证该第一控制命令通过时，控制接口模块402向执行设备发送该第一控制命令，该执行设备用于执行该第一控制命令。

在一种可能的实施方式中，处理模块401，具体用于基于该第一行为信息和第一映射规则确定该第一行为信息对应的第二控制命令，该第一映射规则包括至少一种行为信息以及每种行为信息对应的控制命令；以及，当该第一控制命令与该第二控制命令相同时，确定验证该第一控制命令通过。

在一种可能的实施方式中，该第一控制命令的验证信息还包括该第一执行流信息，该第一执行流信息用于指示调用该第一服务的过程信息。该第一映射规则还包括每个服务的执行流信息。处理模块401，具体用于当该第一控制命令与该第二控制命令相同时，基于该第二控制命令和该第一映射规则确定与该第二控制命令对应的第二执行流信息；以及，当该第一执行流信息与该第二执行流信息相同时，确定验证该第一控制命令通过。可选的，该第一执行流信息为调用第一服务的执行流或调用第一服务的执行流的哈希值。

在一种可能的实施方式中，该第一行为信息包括第一坐标，该第一坐标为该用户的操作对应的坐标；该第一映射规则中的至少一种行为信息中的每种行为信息包括至少一个坐标区域。该处理模块401，具体用于确定该第一坐标所在的坐标区域；以及，基于该第一映射规则确定该第一坐标所在的坐标区域对应的控制命令为该第二控制命令。

在一种可能的实施方式中，该第一行为信息包括第一语义信息，该第一语义信息为基于该用户输入的语音指令生成的语义；该第一映射规则中的至少一种行为信息中的每种行为信息包括一个语义信息。该处理模块401，具体用于基于该第一映射规则确定该第一语义信息对应的控制命令为该第二控制命令。

在一种可能的实施方式中，该第一行为信息包括第一时间信息，该第一时间信息为该服务调用方检测到用户触发生成该第一控制命令的行为的时间。处理模块401，具体用于在该服务提供方确定该第一时间信息指示的时刻与当前时刻的差值位于第一阈值范围之外的情况 下，确定验证所述第一控制命令不通过。

在一种可能的实施方式中，该第一控制命令的验证信息经过服务调用方签名。处理模块401，还用于验证该第一控制命令的验证信息的签名；以及，在验证该第一控制命令的验证信息的签名成功的情况下，基于该第一行为信息和第一映射规则确定该第一行为信息对应的第二控制命令。

在一种可能的实施方式中，处理模块401，还用于在该服务提供方验证该第一控制命令的验证信息的签名不通过的情况下，确定验证该第一控制命令不通过。

在一种可能的实施方式中，处理模块401，还用于在该第一控制命令与该第二控制命令不相同的情况下，确定验证该第一控制命令不通过。

在一种可能的实施方式中，处理模块401，还用于在该第一执行流信息与该第二执行流信息不相同的情况下，确定验证该第一控制命令不通过。

在一种可能的实施方式中，处理模块401，还用于在确定验证第一控制命令不通过时，控制输入输出模块向用户提示告警信息，所述告警信息用于指示验证所述第一控制命令不通过；或者，处理模块401，还用于在确定验证第一控制命令不通过时，控制接口模块402向服务调用方发送告警信息，所述服务调用方用于向用户提示所述告警信息。

需要说明的是，本实施例的具体实施方式和有益效果可参考上述实施例中服务提供方的方法，此处不再赘述。

在一种设计中，通信装置40用于执行前述图2或图3对应实施例中服务调用方的方法。通信装置40中的处理模块401用于获取第一行为信息，该第一行为信息用于指示用户触发了生成第一控制命令的行为；以及，基于该第一行为信息生成该第一控制命令，该第一控制命令用于调用第一服务。接口模块402，用于发送该第一控制命令和该第一控制命令的验证信息，该第一控制命令的验证信息包括该第一行为信息，该第一控制命令的验证信息用于验证该第一控制命令。

在一种可能的实施方式中，该处理模块401包括可信模块。该通信装置中的可信模块获取该第一行为信息，该可信模块的权限高于该服务调用方中的内核的权限。可选的，该可信模块的运行环境与该内核的运行环境相互独立。可选的，该可信模块具有对存储模块的读权限和写权限，该内核没有对该存储模块的访问权限，该存储模块用于存储该第一行为信息。

在一种可能的实施方式中，该处理模块401还用于获取该第一执行流信息，该第一执行流信息用于指示调用第一服务的过程信息。可选的，该第一执行流信息为调用第一服务的执行流或调用第一服务的执行流的哈希值。

在一种可能的实施方式中，该通信装置中的可信模块获取该第一执行流信息。

在一种可能的实施方式中，该第一控制命令的验证信息经过服务调用方签名。该处理模块401，还用于采用密钥对该第一控制命令的验证信息进行签名处理。

在一种可能的实施方式中，该第一行为信息包括第一坐标，该第一坐标为用户的操作对应的坐标；或者，该第一行为信息包括第一语义信息，该第一语义信息为基于用户的输入的语音指令生成的语义。

在一种可能的实施方式中，该第一行为信息包括第一时间信息，该第一时间信息为该服务调用方检测到用户触发生成该第一控制命令的行为的时间。

在一种可能的实施方式中，该可信模块包括如下至少一项：虚拟机监视器、可信内核或可信执行环境TEE。

需要说明的是，本实施例的具体实施方式和有益效果可参考上述实施例中服务调用方的方法，此处不再赘述。

此外，本申请提供了一种计算机程序产品，该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本申请实施例该的流程或功能。例如，实现如前述图2或图3中的服务调用方相关的方法。又例如，实现如前述图2或图3中的服务提供方相关的方法。该计算机可以是通用计算机、专用计算机、计算机网络或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如，同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如，红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，数字通用光盘(digital versatile disc，DVD))、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

此外，本申请还提供了一种计算机可读存储介质，该存储介质存储有计算机程序，该计算机程序被处理器执行以实现如前述图2或图3中的服务调用方相关的方法。

此外，本申请还提供了一种计算机可读存储介质，该存储介质存储有计算机程序，该计算机程序被处理器执行以实现如前述图2或图3中的服务提供方相关的方法。

此外，本申请还提供了一种服务调用系统，该服务调用系统包括前述图2或图3对应实施例中的服务提供方和前述图2或图3对应实施例中的服务调用方。

此外，本申请还提供了一种车辆，该车辆包括前述图2或图3对应实施例中的服务提供方和前述图2或图3对应实施例中的服务调用方。此外，该车辆还包括执行设备。此外，该车辆还包括触摸屏、麦克风等人机交互外部设备。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

Claims (30)

1. 一种服务调用方法，其特征在于，包括：

   服务提供方接收来自服务调用方的第一控制命令和所述第一控制命令的验证信息，所述第一控制命令用于调用第一服务，所述第一控制命令的验证信息用于验证所述第一控制命令，所述第一控制命令的验证信息包括第一行为信息，所述第一行为信息用于指示用户触发生成所述第一控制命令的行为；

   所述服务提供方基于所述第一控制命令的验证信息验证所述第一控制命令；

   若验证所述第一控制命令通过，则所述服务提供方向执行设备发送所述第一控制命令，所述执行设备用于执行所述第一控制命令。
2. 根据权利要求1所述的方法，其特征在于，所述服务提供方基于所述第一控制命令的验证信息验证所述第一控制命令，包括：

   所述服务提供方基于所述第一行为信息和第一映射规则确定所述第一行为信息对应的第二控制命令，所述第一映射规则包括至少一种行为信息以及每种行为信息对应的控制命令；

   若所述第一控制命令与所述第二控制命令相同，则所述服务提供方确定验证所述第一控制命令通过。
3. 根据权利要求2所述的方法，其特征在于，所述第一控制命令的验证信息还包括第一执行流信息，所述第一执行流信息用于指示调用所述第一服务的过程信息；所述第一映射规则还包括调用每个服务的执行流信息；

   所述方法还包括：

   若所述第一控制命令与所述第二控制命令相同，则所述服务提供方基于所述第二控制命令和所述第一映射规则确定与所述第二控制命令对应的第二执行流信息，所述第二执行流信息用于指示调用第二服务的过程信息；

   所述服务提供方确定验证所述第一控制命令通过，包括：

   若所述第一执行流信息与所述第二执行流信息相同，则所述服务提供方确定验证所述第一控制命令通过。
4. 根据权利要求3所述的方法，其特征在于，所述第一执行流信息为调用所述第一服务的执行流或调用所述第一服务的执行流的哈希值。
5. 根据权利要求2至4中任意一项所述的方法，其特征在于，所述第一行为信息包括第一坐标，所述第一坐标为所述用户的操作对应的坐标；所述第一映射规则中的至少一种行为信息中的每种行为信息包括至少一个坐标区域；

   所述服务提供方基于所述第一行为信息和第一映射规则确定所述第一行为信息对应的第二控制命令，包括：

   所述服务提供方确定所述第一坐标所在的坐标区域；

   所述服务提供方基于所述第一映射规则确定所述第一坐标所在的坐标区域对应的控制命令为所述第二控制命令。
6. 根据权利要求2至4中任意一项所述的方法，其特征在于，所述第一行为信息包括第一语义信息，所述第一语义信息为基于所述用户输入的语音指令生成的语义；所述第一映射规则中的至少一种行为信息中的每种行为信息包括一个语义信息；

   所述服务提供方基于所述第一行为信息和第一映射规则确定所述第一行为信息对应的第二控制命令，包括：

   所述服务提供方基于所述第一映射规则确定所述第一语义信息对应的控制命令为所述第二控制命令。
7. 根据权利要求2至6中任意一项所述的方法，其特征在于，所述第一行为信息包括第一时间信息，所述第一时间信息为所述服务调用方检测到用户触发生成所述第一控制命令的行为的时间；

   所述方法还包括：

   若所述服务提供方确定所述第一时间信息指示的时刻与当前时刻的差值位于第一阈值范围之外，则所述服务提供方确定验证所述第一控制命令不通过。
8. 根据权利要求2至7中任意一项所述的方法，其特征在于，所述第一控制命令的验证信息经过所述服务调用方签名；

   所述服务提供方基于所述第一行为信息和第一映射规则确定所述第一行为信息对应的第二控制命令之前，所述方法还包括：

   所述服务提供方验证所述第一控制命令的验证信息的签名；

   所述服务提供方基于所述第一行为信息和第一映射规则确定所述第一行为信息对应的第二控制命令，包括：

   若所述服务提供方验证所述第一控制命令的验证信息的签名通过，则所述服务提供方基于所述第一行为信息和第一映射规则确定所述第一行为信息对应的第二控制命令。
9. 根据权利要求8所述的方法，其特征在于，所述方法还包括：

   若所述服务提供方验证所述第一控制命令的验证信息的签名不通过，则所述服务提供方确定验证所述第一控制命令不通过。
10. 根据权利要求2所述的方法，其特征在于，所述方法还包括：

    若所述第一控制命令与所述第二控制命令不相同，则所述服务提供方确定验证所述第一控制命令不通过。
11. 根据权利要求3所述的方法，其特征在于，所述方法还包括：

    若所述第一执行流信息与所述第二执行流信息不相同，则所述服务提供方确定验证所述第一控制命令不通过。
12. 根据权利要求7、9、10或11所述的方法，其特征在于，所述方法还包括：

    若所述服务提供方确定验证所述第一控制命令不通过，则所述服务提供方向所述用户提示告警信息，所述告警信息用于指示验证所述第一控制命令不通过；

    或者，

    若所述服务提供方确定验证所述第一控制命令不通过，则所述服务提供方向所述服务调用方发送告警信息，所述服务调用方用于向用户提示所述告警信息。
13. 根据权利要求3至12中任意一项所述的方法，其特征在于，所述第一执行流信息由所述服务调用方中的可信模块获取。
14. 一种服务调用方法，其特征在于，包括：

    服务调用方获取第一行为信息，所述第一行为信息用于指示用户触发了生成第一控制命 令的行为；

    所述服务调用方基于所述第一行为信息生成所述第一控制命令，所述第一控制命令用于调用第一服务；

    所述服务调用方发送所述第一控制命令和所述第一控制命令的验证信息，所述第一控制命令的验证信息包括所述第一行为信息，所述第一控制命令的验证信息用于验证所述第一控制命令。
15. 根据权利要求14所述的方法，其特征在于，所述服务调用方获取第一行为信息，包括：

    所述服务调用方中的可信模块获取所述第一行为信息，所述可信模块的权限高于所述服务调用方中的内核的权限。
16. 根据权利要求15所述的方法，其特征在于，所述可信模块的运行环境与所述内核的运行环境相互独立。
17. 根据权利要求15或16所述的方法，其特征在于，所述可信模块具有对存储模块的读权限和写权限，所述内核没有对所述存储模块的访问权限，所述存储模块用于存储所述第一行为信息。
18. 根据权利要求14至17中任意一项所述的方法，其特征在于，所述服务调用方向服务提供方发送所述第一控制命令和所述第一控制命令的验证信息之前，所述方法还包括：

    所述服务调用方获取第一执行流信息，所述第一执行流信息用于指示调用所述第一服务的过程信息。
19. 根据权利要求18所述的方法，其特征在于，所述第一执行流信息为调用所述第一服务的执行流或调用所述第一服务的执行流的哈希值。
20. 根据权利要求18或19所述的方法，其特征在于，所述服务调用方获取所述第一执行流信息，包括：

    所述服务调用方中的可信模块获取所述第一执行流信息。
21. 根据权利要求14至20中任意一项所述的方法，其特征在于，所述第一控制命令的验证信息经过所述服务调用方签名；

    所述服务调用方向服务提供方发送所述第一控制命令和所述第一控制命令的验证信息之前，所述方法还包括：

    所述服务调用方采用密钥对所述第一控制命令的验证信息进行签名处理。
22. 根据权利要求14至21中任意一项所述的方法，其特征在于，所述第一行为信息包括第一坐标，所述第一坐标为用户的操作对应的坐标；

    或者，

    所述第一行为信息包括第一语义信息，所述第一语义信息为基于用户输入的语音指令生成的语义。
23. 根据权利要求22所述的方法，其特征在于，所述第一行为信息包括第一时间信息，所述第一时间信息为所述服务调用方检测到用户触发生成所述第一控制命令的行为的时间。
24. 根据权利要求15至23中任意一项所述的方法，其特征在于，所述可信模块包括如下至少一项：

    虚拟机监视器、可信内核或可信执行环境TEE。
25. 一种通信装置，其特征在于，包括处理器和存储器；

    其中，存储器存储有计算机程序；

    所述处理器调用所述计算机程序以使得所述通信装置执行如权利要求1至13中任意一项所述的方法。
26. 一种通信装置，其特征在于，包括处理单元和存储单元；

    其中，存储单元存储有计算机程序；

    所述处理单元调用所述计算机程序以使得所述通信装置执行如权利要求14至24中任意一项所述的方法。
27. 一种服务调用系统，其特征在于，包括：

    如权利要求25所述的通信装置和如权利要求26所述的通信装置。
28. 一种车辆，其特征在于，包括：

    如权利要求25所述的通信装置和如权利要求26所述的通信装置。
29. 一种计算机可读存储介质，存储有指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1至13中任意一项所述的方法；或者，执行如权利要求14至24中任意一项所述的方法。
30. 一种计算机程序产品，存储有指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1至13中任意一项所述的方法；或者，执行如权利要求14至24中任意一项所述的方法。

Images