具体实施方式

图1是示出车辆105的示例性认证系统100的框图。车辆105包括车辆计算机110，该车辆计算机被编程为通过确定用户输入(a)与标识符字符串匹配并且有效或者(b)与所述标识符字符串不匹配并且无效来确定该用户输入的有效性。车辆计算机110还被编程为基于用户输入有效来授权对车辆的访问。车辆计算机110还被编程为基于用户输入无效来确定无效尝试的数量。车辆计算机110还被编程为基于所述无效尝试的数量少于锁定数量，评估所述用户输入的风险等级以调整所述锁定数量。车辆计算机110还被编程为然后在确定二次用户输入的有效性时进行以下操作：(a)基于所述二次用户输入有效而授权对所述车辆的访问，或者(b)基于所述二次用户输入无效并且无效尝试的数量等于调整后的锁定数量而激活对所述车辆的锁定。

车辆计算机110可以防止未授权用户访问和/或操作车辆105。例如，车辆计算机110可以将标识符字符串(诸如个人识别号码(PIN))存储在例如存储器中。在接收到用户输入时，车辆计算机110然后可以分别基于用户输入有效或无效来授权或拒绝用户访问车辆105。另外，如下面所讨论，车辆计算机110可以基于接收到等于锁定数量的数量的无效用户输入来阻止对车辆105的访问。有利地，车辆计算机110可以确定无效用户输入的风险等级，并且可以基于风险等级来调整锁定数量，这可以为未授权用户提供更少的尝试来猜测标识符字符串并获得对车辆105的访问。

车辆105包括车辆计算机110、传感器115、致动器120、车辆部件125以及车辆通信模块130。通信模块130允许车辆计算机110例如经由消息传递或广播协议(诸如专用短程通信(DSRC)、蜂窝和/或可支持车辆对车辆、车辆对基础设施、车辆对云通信等的其他协议)和/或经由分组网络135来与一个或多个基础设施元件140和计算机150通信。

车辆计算机110包括诸如已知的处理器和存储器。所述存储器包括一种或多种形式的计算机可读介质，并且存储指令，所述指令可由车辆计算机110执行以用于执行包括如本文所公开的各种操作。

车辆计算机110可以自主模式、半自主模式或非自主(或手动)模式来操作车辆105。出于本公开的目的，自主模式被定义为其中车辆105的推进、制动和转向中的每一者都由车辆计算机110控制的模式；在半自主模式中，车辆计算机110控制车辆105的推进、制动和转向中的一者或两者；在非自主模式中，人类操作员控制车辆105的推进、制动和转向中的每一者。

车辆计算机110可包括用于操作车辆105制动、推进(例如，通过控制内燃发动机、电动马达、混合动力发动机等中的一者或多者来控制车辆105的加速度)、转向、变速器、气候控制、内部和/或外部灯等中的一者或多者以及用于确定车辆计算机110(而非人类操作员)是否以及何时控制此类操作的编程。另外，车辆计算机110可被编程为确定人类操作员是否以及何时控制此类操作。

车辆计算机110可包括一个以上处理器或例如经由如下面进一步描述的车辆通信网络(诸如，通信总线)通信地耦接到所述一个以上处理器，所述一个以上处理器例如包括在车辆105中所包括的用于监测和/或控制各种车辆部件125的电子控制器单元(ECU)等中，例如变速器控制器、制动控制器、转向控制器等。车辆计算机110通常布置用于在车辆通信网络上进行通信，所述车辆通信网络可包括车辆105中的总线，诸如控制器局域网(CAN)等，和/或其他有线和/或无线机制。

经由车辆通信网络，车辆计算机110可向车辆105中的各种装置(例如，传感器115、致动器120、ECU等)传输消息和/或从各种装置接收消息(例如，CAN消息)。替代地或另外，在车辆计算机110实际上包括多个装置的情况下，车辆通信网络可用于在本公开中表示为车辆计算机110的装置之间的通信。此外，如下所述，各种控制器和/或传感器115可以经由车辆通信网络向车辆计算机110提供数据。

车辆105的传感器115可包括诸如已知的用于向车辆计算机110提供数据的多种装置。例如，传感器115可包括设置在车辆105的顶部上、在车辆105的前挡风玻璃后面、在车辆105周围等的一个或多个光探测和测距(LIDAR)传感器115等，所述传感器提供车辆105周围的对象的相对位置、大小和形状。作为另一示例，固定到车辆105保险杠的一个或多个雷达传感器115可提供数据来提供对象、第二车辆105等相对于车辆105的位置的位置。替代地或另外，传感器115还可以例如包括一个或多个相机传感器115(例如，前视、侧视等)，所述相机传感器提供来自车辆105周围的区域的图像。在本公开的上下文中，对象是可以通过可由传感器115检测到的物理现象(例如，光或其他电磁波或声音等)来表示的物理(即，物质)物品。因此，车辆105以及包括如下面所讨论的其他物品都落在本文的“对象”的定义内。

车辆105致动器120经由电路、芯片或可根据如已知的适当控制信号来致动各种车辆子系统的其他电子和/或机械部件来实施。致动器120可用于控制部件125，包括车辆105的制动、加速和转向。

在本公开的上下文中，车辆部件125是适于执行机械或机电功能或操作(诸如使车辆105移动、使车辆105减速或停止、使车辆105转向等)的一个或多个硬件部件。部件125的非限制性示例包括推进部件(其包括例如内燃发动机和/或电动马达等)、变速器部件、转向部件(例如，其可包括方向盘、转向齿条等中的一者或多者)、制动部件(如下所述)、停车辅助部件、自适应巡航控制部件、自适应转向部件、一个或多个约束系统(例如，气囊、安全带等)、可移动座椅等。

另外，车辆计算机110可被配置用于经由车辆对车辆通信模块130或接口与车辆105外部的装置通信，例如，通过车辆对车辆(V2V)或车辆对基础设施(V2X)无线通信与另一车辆和/或其他计算机(通常经由直接射频通信)通信。通信模块130可包括车辆105的计算机110可通过其进行通信的一种或多种机制，包括无线(例如，蜂窝、无线、卫星、微波和射频)通信机制的任何期望组合以及任何期望网络拓扑(或当利用多种通信机制时的多种拓扑)。经由通信模块130提供的示例性通信包括提供数据通信服务的蜂窝、IEEE 802.11、专用短程通信(DSRC)和/或包括因特网的广域网(WAN)。

网络135表示车辆计算机110可以借此来与远程计算机(例如，主装置140、服务器145、另一个车辆计算机等)进行通信的一种或多种机制。因此，网络135可以是各种有线或无线通信机制中的一者或多者，包括有线(例如，电缆和光纤)和/或无线(例如，蜂窝、无线、卫星、微波和射频)通信机制的任何期望的组合以及任何期望的网络拓扑(或利用多种通信机制时的多种拓扑)。示例性通信网络包括提供数据通信服务的无线通信网络(例如，使用低功耗(BLE)、IEEE 802.11、超宽带(UWB)、车辆对车辆(V2V)诸如专用短程通信(DSRC)等)、局域网(LAN)和/或广域网(WAN)，包括互联网。

主装置140可以是被编程为提供诸如本文公开的操作的常规计算装置，即，包括一个或多个处理器和一个或多个存储器。主装置140可以是便携式装置。便携式装置是可以在由人携带时使用的各种计算机中的任何一种，例如智能电话、平板电脑、个人数字助理、钥匙扣、智能手表等。主装置140通常包括用于向用户提供输出的一个或多个元件，例如显示器和/或扬声器，以及用于接收输入的一个或多个元件，例如触摸屏显示器、键盘、传声器、相机等。主装置140可以由授权用户(例如，车辆105的所有者)维护。主装置140可包括识别主装置140的标识符。在该上下文中，“标识符”是对应于主装置140的字母数字数据串。也就是说，标识符识别特定的主装置140。

主装置140从授权用户(例如，车辆105的所有者)接收输入。输入可以例如指定授权访问车辆105的标识符字符串，诸如PIN等。也就是说，授权用户(例如，车辆105的所有者)指定标识符字符串。标识符字符串(例如，PIN)是数据串，例如字母数字串、数字串等。在这种示例中，主装置140可以将标识符字符串存储在例如主装置140的存储器中。另外，主装置140例如经由网络135将输入(例如，PIN)传输到车辆计算机110。作为另一个示例，输入可以授权访问车辆105，如下面所讨论。

服务器145可以是被编程为提供诸如本文所公开的操作的常规计算装置，即，包括一个或多个处理器和一个或多个存储器。替代地，服务器145可以是基于云的服务器。此外，服务器145可经由网络135(例如，互联网或某一其他广域网)访问。服务器145可以被编程为例如使用常规的随机或伪随机数生成器程序(诸如FIPS 186-4标准算法、NIST SP 800-90A算法、流密码、Yarrow算法、Fortruna算法、ANSI X9.17标准算法等)来生成临时标识符字符串。然后，服务器145可以将临时标识符字符串传输到车辆计算机110。服务器145可以基于例如临时标识符字符串的激活、车辆计算机110基于临时标识符字符串授权对车辆105的访问、确定车辆105到达目的地(例如，基于从车辆计算机110接收的传感器115数据)、来自主装置140的请求等来更新临时标识符字符串，即，生成新的临时标识符字符串。

车辆计算机110被编程为例如经由车辆105上的界面来接收用户输入。所述界面可以是例如小键盘。界面可以在车辆105上的任何合适的位置，例如邻近车门把手。在这种背景下，用户输入是由用户例如经由界面指定的字符串。车辆计算机110可以基于例如用户选择“输入”键等、用户输入的字符串中的字符数等于预定数量、循环缓冲(例如，在接收到用户输入的字符串时，将用户输入的字符串中的字符数与固定数量(例如，五个)先前接收的用户输入的字符串中的字符数进行比较)等来识别用户输入的字符串的最后一个字符。除了用户输入之外，车辆计算机110还可以例如经由诸如光学数字相机的图像传感器115接收提供用户输入的用户的图像数据。图像传感器115可以例如基于在车辆105的距离(例如，界面)内检测到用户来捕获图像数据。

车辆计算机110被编程为确定用户输入的有效性。例如，车辆计算机110可以将用户输入与标识符字符串进行比较。车辆计算机110可以例如经由网络135从主装置140接收标识符字符串，并且例如将标识符字符串存储在车辆计算机110的存储器中。例如，车辆计算机110可以基于用户输入的每个字符与标识符字符串的对应字符相同来确定用户输入与标识符字符串匹配。作为另一个示例，车辆计算机110可以将用户输入和标识符字符串输入到加密算法，诸如哈希函数、加密函数、基于密码的密钥派生函数(PBKDF)等，并且分别接收第一输出和第二输出。在这种示例中，车辆计算机110然后可以基于第一输出与第二输出匹配来确定用户输入与标识符字符串匹配。在用户输入与标识符字符串匹配的情况下，车辆计算机110确定用户输入有效。在用户输入与标识符字符串不匹配的情况下，车辆计算机110确定用户输入无效。

车辆计算机110被编程为基于用户输入有效来授权对车辆105的访问。例如，车辆计算机110可致动一个或多个车辆部件125(例如，门、锁、窗口等)，以允许用户基于用户输入有效来物理访问车辆105。作为另一个示例，车辆计算机110可以基于用户输入有效来授权用户操作车辆105。

车辆计算机110被编程为记录无效用户输入的数量。也就是说，在确定用户输入无效时，车辆计算机110对无效用户输入的该实例进行计数。例如，车辆计算机110可以将无效用户输入的数量存储在存储器中。在确定用户输入无效的每个实例时，车辆计算机110将无效用户输入的数量增加例如一。车辆计算机110通常记录连续的无效用户输入的数量。也就是说，在确定用户输入有效时，车辆计算机110将无效用户输入的数量重置为零。然后，车辆计算机110确定来自提供无效用户输入的用户的行为数据并将其存储在例如存储器中。如本文所使用的，“行为数据”是从用户的一个或多个物理特性或状态的一个或多个测量结果得到的数据，其指示与提供用户输入的用户的行为模式相关的特性。行为数据包括偏移误差、输入持续时间、输入时间和输入位置中的至少一者。

偏移误差是指定用户输入的字符与标识符字符串的对应字符之间的差异的数字。车辆计算机110可以基于将用户输入与标识符字符串进行比较以确定偏移误差来确定偏移误差。例如，可以基于汉明(Hamming)距离来确定偏移误差。两个数据串的汉明距离是对应字符不同的多个位置。例如，“1234”和“1237”的汉明距离为1(即，第四个字符不同)。又如，“1234”和“1432”的汉明距离为2(即，第二和第四个字符不同)。

另外或替代地，可以基于用户输入和标识符字符串中的对应字符的曼哈顿(Manhattan)距离的和来确定偏移误差。曼哈顿距离是用户输入和标识符字符串的对应字符的笛卡尔坐标的绝对差之和。在这样的示例中，界面可以是三乘三数字小键盘(例如，底部行包括对应于字符1-3的键，中间行包括对应于字符4-6的键，并且顶部行包括对应于字符7-9的键)。车辆计算机110可以基于在界面处具有原点的坐标系来确定每个键的笛卡尔坐标(x,y)。例如，对于原点在对应于“5”的键处，界面上对应于“1”的键可以具有笛卡尔坐标(-1,-1)，并且对应于“9”的键可以具有笛卡尔坐标(1,1)。在这样的示例中，“1”与“9”之间的曼哈顿距离为四。在这些情况下，车辆计算机110可以确定用户输入的每个字符相对于标识符字符串的曼哈顿距离。在确定用户输入中的每个字符的曼哈顿距离时，车辆计算机110可以对每个字符的曼哈顿距离求和以确定偏移误差。作为另一个示例，可以基于用户输入和标识符字符串之间的对应字符的绝对差的和来确定偏移误差。例如，“1234”和“2341”的偏移误差为六。

输入持续时间是从用户输入的第一个字符的输入到最后一个字符的输入的时间量，例如毫秒、秒等。车辆计算机110可以基于标识符字符串的字符数来确定用户输入的最后一个字符。例如，在标识符字符串是四个字符的情况下，最后一个字符是第四个字符输入。车辆计算机110可以例如在接收到第一字符的用户输入时启动计时器，并且在接收到最后一个字符的用户输入时停止计时器。然后，车辆计算机110可以记录计时器的运行时间。

输入时间是用户输入被提供给车辆计算机110的当日时间，例如上午7:54、下午2:16等。也就是说，车辆计算机110可以在接收到用户输入时记录当日时间。输入位置是当用户输入被提供给车辆计算机110时车辆105的位置。也就是说，车辆计算机110可以在接收到用户输入时记录车辆105的位置。位置数据可以为已知形式，例如经由已知的使用全球定位系统(GPS)的导航系统获得的地理坐标，诸如纬度和经度坐标。

车辆计算机110被编程为将锁定数量存储在例如存储器中。锁定数量是整数。车辆计算机110被编程为比较无效用户输入的数量与锁定数量。在无效用户输入的数量低于锁定数量的情况下，车辆计算机110继续接受附加用户输入并基于有效的用户输入授权对车辆105的访问。相反，在无效用户输入的数量等于锁定数量的情况下，车辆计算机110激活锁定。在锁定期间，车辆计算机110阻止对车辆105的访问，例如，车辆计算机110可以维持对一个或多个车辆部件125(诸如车门、车门锁等)的致动，并且阻止附加用户输入的传输。在这些情况下，车辆计算机110可以被编程为向主装置140传输指示锁定的激活的消息。另外或替代地，车辆计算机110可以例如通过与消息相同或分开的传输来传输例如经由车辆105上的图像传感器115获得的提供用户输入的用户的图像数据。车辆计算机110可以基于例如预定时间量、来自主装置140的消息(如下面所讨论)、来自服务器145的消息等来停用锁定。

车辆计算机110被编程为确定无效用户输入的风险等级。如本文所使用的，“风险等级”是车辆计算机110可以用来确定提供用户输入的用户是被授权还是未被授权的数字，通常是0和1之间的标量值，或百分比。风险等级指示来自提供无效用户输入的用户的行为数据与来自授权用户的存储的行为数据之间的差异。例如，车辆计算机110可以根据下面的方程式1确定风险等级。

R_L＝Ex₁+Sx₂+Tx₃+Lx₄

方程式1

其中“R_L”是风险等级，“E”是偏移误差，“S”是输入持续时间，“T”是输入时间，“L”是输入位置，并且x₁、x₂、x₃和x₄是基于来自提供用户输入的授权用户的行为数据的经验测试以经验确定的系数。例如，可以确定系数x₁、x₂、x₃和x₄以指定偏移误差、输入持续时间、输入时间和输入位置中的哪一个对应于较高风险等级以及所述偏移误差、所述输入持续时间、所述输入时间和所述输入位置中的哪一个对应于较低风险等级。也就是说，系数x₁、x₂、x₃和x₄可以指定偏移误差、输入持续时间、输入时间和输入位置相对于风险等级的相应权重。

在方程式1中，“E”、“S”、“T”和“L”可以各自是二进制值，例如0或1。例如，车辆计算机110可以将来自提供无效用户输入的用户的行为数据与来自授权用户的存储的行为数据进行比较，以确定“E”、“S”、“T”和“L”的相应值，如下：

作为另一个示例，车辆计算机110可以基于来自主装置140的消息来确定风险等级。例如，在检测到无效用户输入时，车辆计算机110可以将例如经由图像传感器115获得的提供用户输入的用户的图像数据传输到主装置140。在这种情况下，授权用户(例如，车辆105所有者)可以向主装置140提供指示用户授权的输入。然后主装置140可将输入传输到车辆计算机110。在输入指示用户被授权的情况下，则车辆计算机110可以确定风险等级为0。在输入指示用户未被授权的情况下，车辆计算机110可以确定风险等级为1。

作为另一个示例，车辆计算机110可以使用机器学习程序(诸如卷积神经网络(CNN))来确定风险等级，所述机器学习程序被编程为接受来自提供无效用户输入的用户的行为数据(例如偏移误差、输入持续时间、输入时间和输入位置)和来自授权用户的存储的行为数据作为输入并输出无效用户输入的风险等级。卷积神经网络(CNN)包括一系列层，其中每一层使用前一层作为输入。每个层包含多个神经元，所述神经元各自接收由前一层的神经元的子集生成的数据作为输入，并且生成发送给下一层中的神经元的输出。层的类型包括：卷积层，其计算权重和小区域的输入数据的点积；池化层，其沿着空间维度执行下采样操作；以及全连接层，其基于前一层的所有神经元的输出而生成。卷积神经网络的最后一层可例如为每个潜在风险等级生成分数，并且最终输出是具有最高分数的风险等级。作为另一个示例，卷积神经网络的最后一层可以是分类矢量，即，Softmax层，其生成并输出每个潜在风险等级的概率。

车辆计算机110可以被编程为将风险等级提供给强化学习程序。强化学习程序是一种形式的目标导向的机器学习。例如，代理(即，车辆计算机110)可从与其环境的直接交互中学习，而无需依赖明确的监督和/或完整的环境模型。强化学习是一个框架，其根据状态、动作和奖励对学习代理与其环境之间的交互进行建模。在每个时间步长处，代理接收状态，基于策略选择动作，接收标量奖励，并且转变到下一个状态。所述状态可基于指示风险等级的一个或多个用户输入。所述代理的目标是使预期的累积奖励最大化。所述代理可为积极动作接收积极的标量奖励，并且为消极动作接收消极的标量奖励。因此，所述代理通过尝试使预期的累积奖励最大化来“学习”。

代理可以基于来自车辆计算机110的输出来确定动作是积极动作还是消极动作。例如，当车辆计算机110在接收到有效用户输入后授权提供用户输入的用户访问车辆105时，动作可以是积极动作。作为另一个示例，当车辆计算机110验证了用户的身份时，例如，通过分析由车辆105上的一个或多个传感器115获得的用户的图像数据(例如，使用图像分析技术)，所述动作可以是积极动作。例如，当车辆计算机110激活锁定时，动作可以是消极动作。作为另一个示例，动作可以是消极动作，并且车辆计算机110未验证用户的身份。作为另一个示例，当车辆计算机110基于随后的无效用户输入而拒绝用户访问车辆105时，动作可以是消极动作。

每个标量奖励是数字，通常是标量值。例如，积极的标量奖励和消极的标量奖励各自可以是正数，即，大于0的标量值。替代地，积极的标量奖励可以是正数，并且消极的标量奖励可以是负数，即小于0的标量值。标量奖励可以例如是预定值，例如，被编程到强化学习程序中，存储在车辆计算机110的存储器中并提供给强化学习程序等。作为另一个示例，标量奖励可以是来自强化学习程序的输出风险等级、风险等级和来自车辆计算机110的输出的函数。例如，可以基于下面的方程式2来确定标量奖励。

其中“R”是标量奖励，“R_o”是输出风险等级，“R_L”是风险等级，例如，来自CNN的输出，并且“A”是数字，通常是标量值，其指示来自车辆计算机110的输出，例如，车辆计算机110授权用户访问车辆105，车辆计算机110激活锁定，车辆计算机110基于随后的用户输入无效而拒绝对车辆105的访问，用户输入的无效数量等。“A”对于来自车辆计算机110的每个输出可以具有不同的值，例如，被编程到强化学习程序中，存储在车辆计算机110的存储器中并提供给强化学习程序等。

基于标量奖励，代理然后可以在后续时间步长处调整风险等级。例如，代理可以基于动作将风险等级调整为等于代理所接收的标量奖励。也就是说，调整后的风险等级可以是接收到的标量奖励。在这种示例中，积极的标量奖励和消极的标量奖励各自是正数。积极的标量奖励可小于风险等级。也就是说，基于积极动作(例如，车辆计算机110授权用户访问车辆105)，代理将风险等级降低为等于积极的标量奖励。另外，消极的标量奖励可大于风险等级。也就是说，基于消极动作(例如，车辆计算机110激活锁定或车辆计算机110拒绝用户访问车辆105)，代理将风险等级提高为等于消极的标量奖励。作为另一个示例，代理可以基于标量奖励的函数来调整风险等级。在这种示例中，代理可以基于接收到积极的标量奖励而降低风险等级，并且可以基于接收到消极的标量奖励而提高风险等级。例如，代理可以基于下面的方程式3来调整风险等级。

R_o+1＝R_o ^R+1

方程式3

其中“R_o+1”是强化学习程序在随后的时间步长(例如，在随后的无效用户输入之后)输出的风险等级。在这种示例中，“R”(即，标量奖励)可以是正数，即在代理确定积极动作的情况下大于0的标量值，以及负数，即在所述代理确定消极动作的情况下小于0的标量值。

车辆计算机110将风险等级与例如存储在存储器中的阈值进行比较。阈值可以指定风险等级，例如0.7，高于所述风险等级，车辆计算机110确定用户输入指示风险。阈值可以基于经验测试数据和/或无效用户输入的模拟数据来确定。然后，车辆计算机110可以基于风险等级来调整锁定数量。在风险等级高于阈值的情况下，车辆计算机110减少锁定数量。相反，在风险等级低于阈值的情况下，车辆计算机110可增加锁定数量。

车辆计算机110可以例如基于基于锁定数量(例如，预定数量(例如2)、锁定数量的百分比(例如10％、20％)等)分别指定增加量或减少量的表等来调整(即，增加或减少)锁定数量。作为另一个示例，车辆计算机110可以基于风险等级的函数来调整(即，增加或减少)锁定数量。例如，车辆计算机110可以基于下面的方程式4来减少锁定数量，并且可以基于下面的方程式5来增加锁定数量。

L_a＝L-(R_Lx₅)

方程式4

L_a＝L+(R_Lx₆)

方程式5

其中“L_a”是调整后的锁定数量，“L”是锁定数量，并且x₅和x₆是基于经验测试数据以经验确定的系数，所述经验测试数据指示由授权用户在提供有效用户输入之前提供的无效用户输入的数量。例如，可以确定x₅以将L_a减少到低于由授权用户在提供有效用户输入之前提供的无效用户输入的数量。另外，可以确定x₆以将L_a增加到高于由授权用户在提供有效用户输入之前提供的无效用户输入的数量。

当无效用户输入的数量少于调整后的锁定数量时，车辆计算机110例如经由车辆上的界面接收二次用户输入。如本文所使用的，“二次用户输入”是在调整锁定数量之后由车辆计算机110接收的用户输入。车辆计算机110被编程为确定二次用户输入的有效性，即，将二次用户输入与标识符字符串进行比较。在二次用户输入有效(即，与标识符字符串匹配)的情况下，车辆计算机110被编程为授权对车辆105的访问。在二次用户输入无效(即，与标识符字符串不匹配)的情况下，车辆计算机110被编程为拒绝对车辆105的访问并记录该无效用户输入。在无效用户输入的数量等于调整后的锁定数量时，车辆计算机110被编程为激活锁定并向主装置140输出指示激活锁定的消息。

车辆计算机110可以被编程为基于来自主装置140的授权消息(例如，经由网络135)授权对车辆105的访问。例如，授权用户(例如，车辆105的所有者)可以基于锁定的激活来向主装置140输入授权消息。在这些情况下，主装置140向车辆计算机110传输指示车辆计算机110授权对车辆105的访问和主装置140的标识符的授权消息。也就是说，车辆计算机110可以基于接收到授权消息来停用锁定。车辆计算机110可以例如基于主装置140的标识符来评估授权消息以确定是接受还是拒绝授权消息。例如，车辆计算机110可维护可被授权的标识符的列表。车辆计算机110可要求由授权访问的主装置140提供出现在可被授权的标识符的列表上的标识符，并且仅接受来自提供这种标识符的主装置140的授权消息。

另外，车辆计算机110可以被编程为执行消息的认证。如本文所讨论的对数字通信或消息的认证意味着实施用于确定通信或消息(例如，从主装置140到车辆计算机110的授权对车辆105的访问的消息)的真实性(或其缺乏)的方案。诸如认证签名(或数字签名)、访问代码、密钥(例如，数字和/或字符的组合)等的各种已知技术可用于认证。包括在接收的消息中的有效认证签名可给车辆计算机110理由来得出结论：消息是由已知发送方(例如，已知主装置140)创建的。

车辆计算机110被编程为将临时标识符字符串存储在例如存储器中。例如，车辆计算机110可以从服务器145接收临时标识符字符串并存储临时标识符字符串。也就是说，车辆计算机110存储标识符字符串和临时标识符字符串。默认情况下，标识符字符串是活动的，而临时标识符字符串是不活动的。换句话说，车辆计算机110可以基于用户输入与临时标识符字符串匹配来拒绝对车辆105的访问。也就是说，在临时标识符字符串不活动的情况下，车辆计算机110确定与临时标识符字符串匹配的用户输入无效。

车辆计算机110可以基于来自主装置140的消息而激活临时标识符字符串。所述消息可包括激活临时标识符字符串和主装置140的标识符的请求。例如，授权用户可以例如经由主装置140上的界面来指定激活临时标识符字符串的请求。然后，主装置140可将消息传输到车辆计算机110。车辆计算机110可以例如基于匹配可被授权的标识符的列表上维护的标识符的主装置140的标识符来评估消息以确定是接受还是拒绝该消息。车辆计算机110可要求由请求激活临时标识符字符串的主装置140提供出现在可被授权的标识符的列表上的标识符，并且仅接受来自提供这种标识符的主装置140的激活临时标识符字符串的请求。另外，车辆计算机110可以被编程为执行请求激活临时标识符的消息的认证。

在接受该消息后，车辆计算机110激活临时标识符字符串并停用标识符字符串。在这些情况下，车辆计算机110确定与标识符字符串匹配的用户输入无效并且与临时标识符字符串匹配的用户输入有效。车辆计算机110可以激活临时标识符字符串持续一定时间段。例如，时间段可以是预定时间段，例如2分钟、5分钟等。作为另一个示例，授权用户(例如，车辆105的所有者)可以例如经由至主装置140的输入指定该时间段。在这些情况下，主装置140(例如，在与消息相同或不同的传输中)可以将时间段传输到车辆计算机110。

在所述时间段期间，车辆计算机110可以基于用户输入与临时标识符字符串匹配(例如，当无效用户输入的数量少于锁定数量时)来授权对车辆105的访问。另外，车辆计算机110基于用户输入与临时标识符字符串不匹配来拒绝对车辆105的访问。在这些情况下，车辆计算机110记录无效用户输入。然后，车辆计算机110可以调整锁定数量，如上所述。在该时间段期满时，车辆计算机110停用临时标识符字符串。在这些情况下，车辆计算机110可以激活标识符字符串。另外或替代地，在基于临时标识符字符串授权访问车辆105后，车辆计算机110停用临时标识符字符串，并且可以激活标识符字符串。

图2是用于认证对车辆105的访问的示例性过程200的图。过程200在框205中开始。

在框205中，车辆计算机110例如经由车辆105中或上的界面来接收用户输入。例如，用户向界面提供用户输入。车辆计算机110可以基于例如用户选择“输入”键等、用户输入的字符的数量等于预定数量等来识别用户输入的最后一个字符。在识别到用户输入的最后一个字符后，过程200在框210中继续。

在框210中，车辆计算机110确定用户输入的有效性。也就是说，车辆计算机110确定用户输入是有效还是无效。例如，车辆计算机110被编程为接收标识符字符串(例如，PIN)并将其存储在例如存储器中。车辆计算机110被编程为将用户输入与标识符字符串进行比较。在用户输入与标识符字符串匹配(例如，用户输入的每个字符与标识符字符串的对应字符相同)的情况下，车辆计算机110确定用户输入有效。在用户输入与标识符字符串不匹配(例如，用户输入的至少一个字符与标识符字符串的对应字符不同)的情况下，车辆计算机110确定用户输入无效。如果用户输入有效，则过程200在框215中继续。否则，过程200在框220中继续。

在框215中，车辆计算机110授权对车辆105的访问。例如，车辆计算机110可致动一个或多个车辆部件125(例如，门锁、门、窗户等)，以允许用户访问车辆105。另外，车辆计算机110可以授权用户操作车辆105。过程200在框215之后结束。

在框220中，车辆计算机110记录无效用户输入。具体地，车辆计算机110对无效用户输入的实例(一个或多个)进行计数。例如，车辆计算机110可以被编程为在框220中记录无效用户输入时将存储在存储器中的无效用户输入的数量增加例如1。无效用户输入的数量通常指定连续的无效用户输入。也就是说，在接收到有效用户输入后，车辆计算机110可将无效用户输入的数量重置为零。过程200在框225中继续。

在框225中，车辆计算机110将无效用户输入的数量与例如存储在存储器中的锁定数量进行比较。在无效用户尝试的数量低于锁定数量的情况下，过程200在框235中继续。否则，过程200在框230中继续。

在框230中，车辆计算机110阻止对车辆105的访问。例如，车辆计算机110可以被编程为激活锁定。也就是说，车辆计算机110阻止附加用户输入的传输并且维持一个或多个车辆部件125(例如，门、门锁等)的致动。另外或替代地，车辆计算机110可以被编程为向主装置140传输指示锁定的激活的消息。所述消息可包括提供用户输入的用户的图像数据。在这种示例中，可以基于临时标识符字符串的激活来停用锁定，如下面所讨论。替代地，可以在时间段期满时停用锁定，如上面所讨论。过程200在框230之后结束。

在框235中，车辆计算机110确定无效用户输入的风险等级。例如，车辆计算机110可以将来自提供无效用户输入的用户的行为数据与来自授权用户的存储的行为数据进行比较。在这样的示例中，车辆计算机110可以将行为数据(例如，偏移误差、输入持续时间、输入时间和输入位置)与存储的行为数据进行比较，以确定上述方程式1中的“E”、“S”、“T”和“L”的值。然后，车辆计算机110可以基于方程式1确定风险等级。

作为另一个示例，车辆计算机110可以基于将来自提供无效用户输入的用户的行为数据和来自授权用户的存储的行为数据输入到机器学习程序中来确定无效用户输入的风险等级，如上面所讨论。作为另一个示例，车辆计算机110可以基于来自主装置140的消息来确定无效用户输入的风险等级，如上面所讨论。过程200在框240中继续。

在框240中，车辆计算机110将风险等级与存储在车辆计算机110的存储器中的预定风险阈值进行比较。如上面所讨论，阈值是风险等级，高于所述风险等级，车辆计算机110确定用户输入指示风险。也就是说，当风险等级低于阈值时，车辆计算机110可以确定用户输入不指示风险，并且当风险等级高于阈值时，输入指示风险。在风险等级低于阈值的情况下，过程200在框245中继续。否则，过程200在框250中继续。

在框245中，车辆计算机110增加锁定数量。例如，车辆计算机110可以基于基于锁定数量(例如，预定数量(例如2)或锁定数量的百分比(例如10％))指定增加量的表等来增加锁定数量。作为另一个示例，车辆计算机110可以基于风险等级的函数(例如，方程式4)来增加锁定数量，如上面所讨论。过程200返回到框205。

在框250中，车辆计算机110减少锁定数量。例如，车辆计算机110可以基于基于锁定数量(例如，预定数量(例如4)或锁定数量的百分比(例如20％))指定减少量的表等来减少锁定数量。作为另一个示例，车辆计算机110可以基于风险等级的函数(例如，方程式5)来减少锁定数量，如上面所讨论。过程200返回到框205。

图3是用于激活临时标识符字符串的示例过程300的图。过程300在框305中开始。

在框305中，车辆计算机110例如经由网络135确定来自主装置140的消息的授权。所述消息可包括激活临时标识符字符串(如上所述生成的)和主装置140的标识符的请求。例如，授权用户可以例如经由主装置140上的界面来指定激活临时标识符字符串的请求。车辆计算机110可以例如基于匹配可被授权的标识符的列表上维护的标识符的主装置140的标识符来评估消息以确定是接受还是拒绝该消息。在主装置140的标识符与在可被授权的标识符的列表上维护的标识符匹配的情况下，过程300在框310中继续。另外，如上面所讨论，车辆计算机110可以例如基于数字签名来确定来自主装置140的消息的认证。否则，过程保持在框305中。

在框310中，车辆计算机110激活临时标识符字符串。也就是说，车辆计算机110被编程为基于用户输入与临时标识符字符串匹配来授权对车辆105的访问。另外，车辆计算机110停用标识符字符串。在这些情况下，车辆计算机110被编程为基于用户输入与标识符字符串匹配(即，不与临时标识符字符串匹配)来拒绝对车辆105的访问。过程300在框315中继续。

在框315中，车辆计算机110例如经由车辆105上的界面来接收用户输入。例如，用户向界面提供用户输入。车辆计算机110可以基于例如用户选择“输入”键等、用户输入的字符的数量等于预定数量等来识别用户输入的最后一个字符。在识别到用户输入的最后一个字符后，过程300在框320中继续。

在框320中，车辆计算机110确定是否在指定时间段内接收到用户输入。时间段可以是预定的，例如存储在存储器中，或者由授权用户例如经由来自主装置140的消息指定。在激活临时标识符字符串后，车辆计算机110可以被编程为启动计时器。在这些情况下，计时器的持续时间是时间段。在计时器期满之前接收到用户输入的情况下，过程300在框325中继续。否则，过程300在框340中继续。

在框325中，车辆计算机110确定用户输入的有效性，即，用户输入是有效或无效中的一者。车辆计算机110被编程为将用户输入与临时标识符字符串进行比较。在用户输入与临时标识符字符串匹配的情况下，车辆计算机110确定用户输入有效。在用户输入与临时标识符字符串不匹配的情况下，车辆计算机110确定用户输入无效。然后，车辆计算机110停用临时标识符字符串。也就是说，在临时标识符字符串为活动的时，车辆计算机110确定一个用户输入的有效性。如果用户输入有效，则过程300在框330中继续。否则，过程300在框340中继续。

在框330中，车辆计算机110授权对车辆105的访问。例如，车辆计算机110可致动一个或多个车辆部件125(例如，门锁、门、窗户等)，以允许用户访问车辆105。另外，车辆计算机110可以授权用户操作车辆105。另外或替代地，车辆计算机110可以被编程为基于用户输入有效来停用锁定。然后，车辆计算机110可以激活标识符字符串，即，基于用户输入与标识符字符串匹配来授权对车辆105的访问，或者例如经由主装置140请求用户提供新的标识符字符串。过程300在框335中继续。

在框335中，服务器145可以被编程为生成新的临时标识符字符串。例如，车辆计算机110可在基于用户输入与临时标识符字符串匹配来授权对车辆105的访问后向服务器145传输消息。在接收到消息时，服务器145可以生成新的临时标识符字符串，如上面所讨论。然后，服务器145可以将新的临时标识符字符串传输到车辆计算机110。然后，车辆计算机110可将新的临时标识符字符串存储在存储器中。过程300在框335之后结束。

在框340中，车辆计算机110阻止对车辆105的访问。例如，车辆计算机110可以被编程为激活锁定。也就是说，车辆计算机110阻止附加用户输入的传输并且维持一个或多个车辆部件125(例如，门、门锁等)的致动。另外或替代地，车辆计算机110可以被编程为向主装置140传输指示锁定的激活的消息。所述消息可包括提供用户输入的用户的图像数据。过程300在框340之后结束。

如本文所使用，副词“基本上”意指形状、结构、测量结果、数量、时间等因为材料、机加工、制造、数据传输、计算速度等的缺陷而可能偏离精确描述的几何形状、距离、测量结果、数量、时间等。

一般来讲，所描述的计算系统和/或装置可采用许多计算机操作系统中的任一者，包括但绝不限于以下版本和/或变型：Ford应用、AppLink/Smart Device Link中间件、Microsoft操作系统、Microsoft操作系统、Unix操作系统(例如，由加州红木海岸的Oracle Corporation发布的操作系统)、由纽约阿蒙克市的International Business Machines发布的AIX UNIX操作系统、Linux操作系统、由加州库比蒂诺的Apple Inc.发布的Mac OSX和iOS操作系统、由加拿大滑铁卢的Blackberry,Ltd.发布的BlackBerry OS以及由Google,Inc.和开放手机联盟开发的Android操作系统，或由QNX Software Systems供应的CAR信息娱乐平台。计算装置的示例包括但不限于车载计算机、计算机工作站、服务器、台式机、笔记本、膝上型计算机或手持计算机、或一些其他计算系统和/或装置。

计算机和计算装置一般包括计算机可执行指令，其中所述指令可能够由一个或多个计算装置(诸如以上所列出的那些)执行。可根据使用多种编程语言和/或技术创建的计算机程序编译或解译计算机可执行指令，所述编程语言和/或技术单独地或者组合地包括但不限于Java^TM、C、C++、Matlab、Simulink、Stateflow、Visual Basic、Java Script、Perl、HTML等。这些应用中的一些可在诸如Java虚拟机、Dalvik虚拟机等虚拟机上编译和执行。一般来说，处理器(例如，微处理器)例如从存储器、计算机可读介质等接收指令，并且执行这些指令，由此执行一个或多个过程，包括本文所述的过程中的一者或多者。可使用各种计算机可读介质来存储和传输此类指令和其他数据。计算装置中的文件一般是存储在诸如存储介质、随机存取存储器等计算机可读介质上的数据集合。

存储器可包括计算机可读介质(也称为处理器可读介质)，所述计算机可读介质包括参与提供可由计算机(例如，由计算机的处理器)读取的数据(例如，指令)的任何非暂时(例如，有形)介质。此类介质可采取许多形式，包括但不限于非易失性介质和易失性介质。非易失性介质可包括例如光盘或磁盘以及其他持久性存储器。易失性介质可包括例如通常构成主存储器的动态随机存取存储器(DRAM)。此类指令可以由一种或多种传输介质传输，所述一种或多种传输介质包括同轴电缆、铜线和光纤，包括构成联接到ECU的处理器的系统总线的电线。计算机可读介质的常见形式包括例如软盘、软磁盘、硬盘、磁带、任何其他磁性介质、CD-ROM、DVD、任何其他光学介质、穿孔卡片、纸带、任何其他具有孔图案的物理介质、RAM、PROM、EPROM、FLASH-EEPROM、任何其他存储器芯片或盒式磁带，或计算机可从中读取的任何其他介质。

数据库、数据存储库或本文所述的其他数据存储区可包括用于存储、访问和检索各种数据的各种机制，包括分层数据库、文件系统中的文件集、呈专用格式的应用数据库、关系数据库管理系统(RDBMS)等。每个此类数据存储区大体包括在采用计算机操作系统(诸如以上所提到的那些操作系统中的一个)的计算装置内，并且经由网络以多种方式中的任一种或多种来访问。文件系统可从计算机操作系统访问，并且可包括以各种格式存储的文件。除了用于创建、存储、编辑和执行已存储的程序的语言(诸如上述PL/SQL语言)之外，RDBMS还通常采用结构化查询语言(SQL)。

在一些示例中，系统元件可被实施为一个或多个计算装置(例如，服务器、个人计算机等)上、存储在与其相关联的计算机可读介质(例如，磁盘、存储器等)上的计算机可读指令(例如，软件)。计算机程序产品可包括存储在计算机可读介质上的用于执行本文所描述功能的此类指令。

关于本文描述的介质、过程、系统、方法、启发等，应理解，虽然此类过程等的步骤已被描述为按照某一有序的顺序发生，但是可以通过以与本文所述顺序不同的顺序执行所述步骤来实践此类过程。还应理解，可同时执行某些步骤，可添加其他步骤，或者可省略本文所描述的某些步骤。换句话说，本文中对过程的描述是出于说明某些实施例的目的而提供的，并且绝不应被解释为限制权利要求。

因此，应理解，以上描述旨在是说明性的而非限制性的。在阅读以上描述时，除了所提供的示例之外的许多实施例和应用对于本领域的技术人员将是明显的。不应参考以上描述来确定本发明的范围，而应参考所附权利要求连同这些权利要求赋予的等效物的全部范围来确定本发明的范围。预期并期望本文所讨论的领域未来将有所发展，并且所公开的系统和方法将结合到此类未来的实施例中。总之，应理解，本发明能够进行修改和变化，并且仅受所附权利要求限制。

除非本文做出明确的相反指示，否则权利要求中使用的所有术语意图给出如本领域技术人员所理解的普通和一般的含义。特别地，除非权利要求叙述相反的明确限制，否则对诸如“一个”、“该”、“所述”等单数冠词的使用应被解读为叙述所指示要素中的一者或多者。

根据本发明，提供了一种系统，所述系统具有：计算机，所述计算机包括处理器和存储器，所述存储器存储指令，所述指令可由所述处理器执行以：通过确定用户输入(a)与标识符字符串匹配并且有效或(b)与所述标识符字符串不匹配并且无效来确定所述输入的有效性；基于所述用户输入有效来授权对车辆的访问；基于所述用户输入无效来确定无效尝试的数量；基于所述无效尝试的数量少于锁定数量，评估所述用户输入的风险等级以调整所述锁定数量；以及然后，在确定二次用户输入的所述有效性后进行以下操作：(a)基于所述二次用户输入有效而授权对所述车辆的访问，或者(b)基于所述二次用户输入无效并且所述无效尝试的数量等于调整后的锁定数量而激活对所述车辆的锁定。

根据一个实施例，所述指令还包括用于基于所述风险等级高于阈值来减少所述锁定数量的指令。

根据一个实施例，所述指令还包括用于基于所述风险等级低于阈值来增加所述锁定数量的指令。

根据一个实施例，所述指令还包括用于基于将来自提供所述无效用户输入的所述用户的行为数据与存储的行为数据进行比较来确定所述风险等级的指令，行为数据包括偏移误差、输入速度、输入时间和所述车辆的位置中的至少一者。

根据一个实施例，评估所述风险等级包括获得所述风险等级作为来自机器学习程序的输出。

根据一个实施例，本发明的特征还在于：将来自提供所述无效用户输入的所述用户的行为数据和所述存储的行为数据输入到所述机器学习程序中，行为数据包括偏移误差、输入速度、输入时间和所述车辆的位置中的至少一者。

根据一个实施例，所述指令还包括用于在无效尝试的数量等于调整后的锁定数量时向主装置输出消息的指令。

根据一个实施例，所述指令还包括用于基于来自主装置的消息来授权对车辆的访问的指令。

根据一个实施例，所述指令还包括用于基于来自主装置的消息来停用所述锁定的指令。

根据一个实施例，所述指令还包括从服务器接收临时标识符字符串的指令，其中所述服务器被编程为生成所述临时标识符字符串并将所述临时标识符字符串传输到所述计算机。

根据一个实施例，所述指令还包括以下指令：在激活所述临时标识符字符串后，基于所述用户输入与所述临时标识符字符串匹配而授权对所述车辆的访问。

根据一个实施例，所述指令还包括用于基于来自主装置的消息而激活临时标识符字符串的指令。

根据一个实施例，所述指令还包括用于激活临时标识符字符串持续一定时间段的指令。

根据一个实施例，所述指令还包括以下指令：在激活所述临时标识符字符串后，基于所述用户输入与所述临时标识符字符串匹配而停用所述锁定。

根据本发明，一种方法包括：通过确定至界面的输入(a)与标识符字符串匹配并且有效或(b)与所述标识符字符串不匹配并且无效来确定所述输入的有效性；基于所述用户输入有效来授权对车辆的访问；基于所述用户输入无效来确定无效尝试的数量；基于所述无效尝试的数量少于锁定数量，评估所述用户输入的风险等级以调整所述锁定数量；以及然后，在确定二次用户输入的所述有效性后进行以下操作：(a)基于所述二次用户输入有效而授权对所述车辆的访问，或者(b)基于所述二次用户输入无效并且所述无效尝试的数量等于调整后的锁定数量而激活对所述车辆的锁定。

在本发明的一个方面，所述方法包括基于所述风险等级高于阈值而减少所述锁定数量，以及基于所述风险等级低于所述阈值而增加所述锁定数量。

在本发明的一个方面，所述方法包括基于将来自提供所述无效用户输入的所述用户的行为数据与存储的行为数据进行比较来确定所述风险等级，行为数据包括偏移误差、输入速度、输入时间和所述车辆的位置中的至少一者。

在本发明的一个方面，所述方法包括在无效尝试的数量等于调整后的锁定数量时向主装置计算机输出消息。

在本发明的一个方面，评估所述风险等级包括获得所述风险等级作为来自机器学习程序的输出。

在本发明的一个方面，本发明的特征还在于：将来自提供所述无效用户输入的所述用户的行为数据和所述存储的行为数据输入到所述机器学习程序中，行为数据包括偏移误差、输入速度、输入时间和所述车辆的位置中的至少一者。