1.一种安全控车方法，其特征在于，包括以下步骤：

S1，车辆在云平台处进行注册，密钥充注平台给注册成功的车辆灌装第一密钥包，并将第一密钥包同步至云平台；

S2，移动设备在云平台处进行注册后，车辆和云平台协商确定当前周期内所使用的第一密钥；

S3，车辆和云平台分别基于当前第一密钥，同步协商出当前周期内的各种密钥；

S4，有权限的移动设备向云平台请求当前周期内的各种密钥，并基于当前周期内的各种密钥生成数字钥匙，对目标车辆进行控车；

在S2中，还包括以下子步骤：

S21，车主在购买车辆V后，携带移动设备在云平台TSP处进行注册，注册成功后，云平台TSP获取移动设备识别码、移动设备账户、密码、账户权限、移动设备的私钥、移动设备所使用的哈希函数并与车辆V的初始车辆信息绑定后形成注册信息；注册成功后的移动设备中存储有自身账户权限、云平台TSP私钥、车辆V的车辆识别码，各移动设备内均存储有自身的一对公私钥；

TSP

S22，云平台TSP向车辆V发送密钥协商信息M0：M0=Pb [IDV||N1||FKN]，其中，||表示连接符，IDV表示车辆V的车辆识别码，N1表示云平台TSP发送密钥协商信息M0时生成的第一随机数，FKN表示云平台TSP从车辆V注册信息里的第一密钥包中随机抽取TSP TSP出的标识符，Pb [·]表示使用云平台TSP公钥Pb 进行非对称加密；

同时云平台TSP从对应的注册信息里调取与标识符FKN绑定的第一密钥FK，作为当前周期内车辆V所使用的第一密钥；

TSP

S23，车辆V调用云平台TSP私钥Pr 来非对称解密密钥协商信息M0后，得到车辆识别码第一副本IDV´、第一随机数第一副本N1´和标识符副本FKN´；

车辆V验证当前车辆识别码第一副本IDV´正确后，从第一密钥包中调用当前标识符副本FKN´所绑定的第一密钥FK´，来对称加密当前第一随机数第一副本N1´后形成第一密钥确认信息M1，车辆V将第一密钥确认信息M1发送至云平台TSP中；

若车辆V验证当前车辆识别码第一副本IDV´错误，或第一密钥包中不存在当前标识符副本FKN´，则车辆V丢弃当前密钥协商信息M0；

S24，云平台TSP使用当前周期内车辆V所使用的第一密钥FK来对称解密第一密钥确认信息M1后，得到第一随机数第二副本N1´´，若N1´´=N1则云平台TSP向车辆V发送“启用当前第一密钥”的报文信息，车辆V将第一密钥FK作为当前周期内车辆V所使用的第一密钥；若N1´´≠N1，则重新回到S22；

在S3中，还包括以下子步骤：

S31，车辆V使用自身的密钥分割算法，对当前周期内所使用的第一密钥进行分段化处理，得到当前周期内的车端主密钥KV1、通讯密钥KV2和保护密钥KV3；云平台TSP从车辆V的注册信息中调取车辆V所使用的密钥分割算法，对当前周期内车辆V使用的第一密钥进行分段化处理，同步得到车辆V当前周期内的车端主密钥KV1、通讯密钥KV2和保护密钥KV3；

S32，云平台TSP从车辆V注册信息中调取车辆V所使用的密钥派生函数KDFV、各移动设备账户及账户权限，再使用密钥派生函数KDFV基于车端主密钥KV1和各移动设备账户，分别派生出各移动设备对应车辆V在当前周期内的设备密钥后，更新车辆V的注册信息；同时，云平台TSP使用保护密钥KV3来对称加密各移动设备账户及账户权限后，生成设备账户信息M2并发送至车辆V中；

S33，车辆V使用当前周期内的保护密钥KV3对称解密设备账户信息M2后，得到若干个移动设备账户对应的账户权限，再使用自身的密钥派生函数KDFV基于当前周期内的车端主密钥KV1和各移动设备账户，派生出各移动设备对应车辆V在当前周期内的设备密钥，将当前周期内各移动设备账户与账户权限、对应的设备密钥绑定。

2.根据权利要求1所述的一种安全控车方法，其特征在于，在S4中还包括以下子步骤：

S41，当目标车辆为车辆V，需要对车辆V进行控车时，移动设备MCD开启蓝牙，在设定范围以内检测是否存在车辆V；

S42，若存在车辆V，则移动设备MCD向云平台TSP请求当前周期内的控车密钥，再基于控车密钥与车辆V进行蓝牙配对，蓝牙配对成功后的移动设备MCD得到数字钥匙，直接对车辆V进行控车，否则移动设备MCD不进行控车。

3.根据权利要求2中所述的一种安全控车方法，其特征在于，在S1中还存在以下子步骤：S11，车辆V出厂时在云平台TSP处进行注册，注册成功后，云平台TSP获取车辆V的初始车辆信息，初始车辆信息包括绑定在一起的车辆识别码、车辆所使用的哈希函数、车辆所使用的密钥分割算法、车辆所使用的密钥派生函数，注册成功的车辆V存储有云平台TSP私钥；

TSP TSP

云平台TSP内存储有自身的一对公私钥，记云平台TSP公钥为Pb ，记云平台TSP私钥为Pr ；

S12，注册成功的车辆V在密钥充注平台DKP处灌装第一密钥包，密钥充注平台DKP同时将第一密钥包同步至云平台TSP中。

4.根据权利要求3所述的一种安全控车方法，其特征在于，S42还包括以下子步骤：

S421，移动设备MCD内置的量子随机数芯片生成第二随机数N2后，向云平台TSP发送近控密钥请求信息M3：TSP MCD

M3={req(M3)||Pb [IDMCD||Pb (ACMCD||PWMCD||IDV||N2)]}，MCD

其中，req(·)为消息类型标识符，IDMCD表示移动设备MCD的移动设备识别码，Pb (·)表示使用移动设备MCD的公钥进行非对称加密，ACMCD表示移动设备MCD的账户，PWMCD表示移动设备MCD的密码；

TSP TSP MCD

S422，云平台TSP根据req(M3)，使用云平台TSP私钥Pr 对Pb [IDMCD||Pb (ACMCD||PWMCD||IDV||N2)]进行非对称解密，再根据非对称解密得到的IDMCD在注册信息里调取出移动MCD MCD MCD设备MCD的私钥Pr ，使用Pr 非对称解密Pb (ACMCD||PWMCD||IDV||N2)后得到移动设备账户、密码、目标车辆识别码和第二随机数副本N2´，验证移动设备账户、密码和目标车辆识别码是否存在于同一条注册信息中，若存在，则云平台TSP向移动设备MCD返回控车密钥信息M4：M4={req(M4)||TK[KV2||KMCD,V]}，TK=HMCD(PWMCD||N2´)，其中，req(M4)表示控车密钥信息M4的消息类型标识符，TK表示临时密钥，TK(·)表示使用临时密钥TK进行对称加密，HMCD表示移动设备MCD所使用的哈希函数，由云平台TSP从云平台TSP数据库内对应的注册信息中调取，KMCD,V表示移动设备MCD对应车辆V在当前周期内的设备密钥；

若云平台TSP的注册信息里不存在IDMCD，或从控车密钥请求信息M3中解密出的移动设备账户、密码和目标车辆识别码不在同一条注册信息中，则云平台TSP丢弃当前控车密钥请求信息M3；

S423，移动设备MCD收到控车密钥信息M4后，计算临时密钥副本TK´=(PWMCD||N2)后，使用临时密钥副本TK´对称解密TK[KV2||KMCD,V]后得到通讯密钥第一副本KV2´和设备密钥第一副本KMCD,V´；

S424，移动设备MCD生成第三随机数N3后，再生成设备认证信息M5并发送至车辆V中：M5=KV2´{ACMCD||KMCD,V´[IDV||N3||ACRMCD]}，其中，KV2´{·}表示使用通讯密钥第一副本KV2´进行对称加密，KMCD,V´[·]表示使用设备密钥第一副本KMCD,V´进行对称加密，ACRMCD表示移动设备MCD的账户权限；

S425，车辆V使用当前周期内的通讯密钥KV2对称解密设备认证信息M5后得到移动设备账户副本ACMCD´，再根据ACMCD´调取当前周期内对应的设备密钥来对称解密KMCD,V´[IDV||N3||ACRMCD]，得到第三随机数第一副本N3´、账户权限副本ACRMCD´和车辆识别码第二副本IDV´´，车辆V验证车辆识别码第二副本IDV´´是否与车辆V自身的车辆识别码相同、账户权限副本ACRMCD´是否正确，若均验证通过，则车辆V生成第四随机数N4后，再生成目标车辆认证信息M6并发送至移动设备MCD中：M6=KMCD,V[N4||KV2{N3´||N4}]，车辆V生成数字钥匙DK=KMCD,V[KV2]，其中，KV2{·}表示使用通讯密钥KV2进行对称加密，KMCD,V[·]表示使用设备密钥KMCD,V进行对称加密；

若车辆识别码第二副本IDV´´与车辆V自身的车辆识别码不相同和/或账户权限副本ACRMCD´不正确，则验证失败，车辆V向移动设备MCD发送“蓝牙配对错误”的报文信息，若移动设备MCD身份合法，则重新回到S41；

S426，移动设备MCD使用设备密钥第一副本KMCD,V´来对称解密目标车辆认证信息M6后得到第四随机数副本N4´和KV2{N3´||N4}，再使用通讯密钥第一副本KV2´对称解密KV2{N3´||N4}后得到第三随机数第二副本N3´´与第四随机数第二副本N4´´，若N3´´=N3´且N4´´=N4´，则移动设备MCD和车辆V之间双向认证鉴权成功，移动设备MCD和车辆V之间蓝牙配对成功，移动设备MCD生成数字钥匙DK=KMCD,V´[KV2´]；

S427，在当前数字钥匙DK的有效期内，移动设备MCD基于自身账户权限，使用数字钥匙DK来加密控车指令后形成控车信息，并通过蓝牙将控车信息送至车辆V中，车辆V使用数字钥匙DK解密近控信息并执行相应的控车指令；数字钥匙DK的有效期自车辆V发出目标车辆认证信息M6时刻起的Δt3时间段以内；

S428，超出数字钥匙DK的有效期时，或者移动设备MCD与车辆V之间的距离大于第一间距时，车辆V和移动设备MCD之间蓝牙连接自动断开，重新回到S41。

5.根据权利要求1‑4中任一所述的一种安全控车方法，其特征在于，进行第一密钥更新包括以下步骤：步骤1，将当前周期内的第一密钥和对应的标识符记为旧第一密钥和旧标识符FKNold，当前周期结束时，云平台TSP将旧第一密钥和旧标识符从车辆V注册信息的第一密钥包中移入黑名单内；

步骤2，云平台TSP随机确定车辆V的下一周期时长γ、生成第六随机数N6，并从车辆V当前注册信息里的第一密钥包中随机抽取出新标识符FKNnew后，生成密钥更新消息A1并发送至车辆V内，1天≤γ≤30天：TSP

A1={req(A1)||Pb [IDV||FKNold||N6||FKNnew||MAC]}，MAC=HV(KV3||N6||FKNnew)，其中，req(A1)表示密钥更新消息A1的消息类型标识符，MAC为校验码，HV(·)表示车辆V所使用的哈希函数；

TSP

步骤3，车辆V使用平台TSP私钥为Pr 非对称解密密钥更新消息A1后，得到车辆识别码、旧标识符、校验码、第六随机数第一副本N6´和新标识符副本FKNnew´，验证车辆识别码和旧标识符是否均正确，若均正确，则车辆V调取出当前周期的保护密钥KV3和哈希函数，计算验证码副本MAC´=HV(KV3||N6´||FKNnew´)，若MAC´=MAC，则车辆V根据新标识符副本FKNnew´，调取出对应的新第一密钥Knew，生成新密钥确认信息A2发送至云平台TSP中：A2={req(A2)||Kold(Knew||N6´)}，

其中，req(A2)表示新密钥确认信息A2的消息类型标识符，Kold表示与旧标识符FKNold所绑定的旧第一密钥，Kold(·)表示使用旧第一密钥Kold进行对称加密；

若车辆识别码和旧标识中任意一项验证错误，或是车辆V中不存在新标识符副本FKNnew´，则车辆V丢弃当前密钥更新消息A1；

步骤4，云平台TSP使用旧第一密钥对称解密新密钥确认信息A2后得到新第一密钥副本Knew´和第六随机数第二副本N6´´，云平台TSP根据步骤2中的新标识符FKNnew在车辆V注册信息调取出对应的新第一密钥，与第一密钥副本Knew´进行比对，同时云平台TSP将第六随机数N6与第六随机数第二副本N6´´进行比对，若两个比对结果均相同，则云平台TSP进入下一周期并开启下一周期倒计时，将新标识符FKNnew作为下一周期内的第一密钥，并向车辆V发送使用FKNnew对称加密的新密钥替换信息A3；

若两个比对结果中存在一个或两个不相同，则云平台TSP丢弃当前新密钥确认信息A2；

步骤5，车辆V使用新第一密钥Knew对称解密新密钥替换信息A3后，将旧标识符和旧第一密钥移入黑名单中，车辆V进入下一周期，并将新第一密钥Knew作为下一周期内的第一密钥。

6.根据权利要求5所述的一种安全控车方法，其特征在于：车辆V的第一密钥包内最后一个第一密钥被用作为下一周期内的第一密钥时，车辆V向车主的移动设备发送充注密钥的报文信息，车主将车辆V驶至密钥充注平台，给车辆V灌装新的第一密钥包，密钥充注平台将新的第一密钥包同步至云平台。

7.一种移动设备，其特征在于：采用如权利要求1‑6中任意一项所述的一种安全控车方法，对目标车辆进行控车。

8.一种安全控车系统，其特征在于，包括：移动设备、目标车辆、云平台、密钥充注平台，密钥充注平台用于对给目标车辆灌装第一密钥包，并将第一密钥包同步至云平台；云平台存储移动设备和目标车辆的注册信息，接收移动设备和目标车辆的信息，或给移动设备和目标车辆发送信息；移动设备用于对目标车辆进行控车；

各平台、车辆、移动设备被编程以执行如权利要求1‑6中任意一项所述的一种安全控车方法。