汪振興

（上海大眾汽車有限公司，上海 201805）

近年來(lái)，隨著移動(dòng)通信技術(shù)的發(fā)展以及家用轎車的普及，Telematics呈現(xiàn)出很強(qiáng)的發(fā)展勢(shì)頭。同時(shí)，無(wú)線通信帶寬的提升和智能手機(jī)的普及，也使移動(dòng)互聯(lián)網(wǎng)應(yīng)用得到了快速發(fā)展，而智能手機(jī)應(yīng)用程序作為用戶對(duì)移動(dòng)應(yīng)用服務(wù)的重要體驗(yàn)渠道，已經(jīng)越來(lái)越為廣大移動(dòng)終端用戶所接受［1-2］。

考慮中國(guó)市場(chǎng)的特點(diǎn)和消費(fèi)觀念，利用藍(lán)牙控制器和手機(jī)應(yīng)用程序進(jìn)行數(shù)據(jù)交互，可提供一種低成本的Telematics解決方案。保證數(shù)據(jù)傳輸安全，是該方案的一個(gè)核心問(wèn)題。

整車生產(chǎn)商在IT系統(tǒng)建設(shè)規(guī)劃中，也順應(yīng)當(dāng)前移動(dòng)應(yīng)用的發(fā)展趨勢(shì)，充分認(rèn)識(shí)到，智能手機(jī)應(yīng)用將會(huì)成為今后整車生產(chǎn)商企業(yè)信息化建設(shè)和車主客戶信息化服務(wù)的重要工具。因此，需要對(duì)建設(shè)自主開發(fā)的、高品質(zhì)的智能手機(jī)App應(yīng)用做好充分準(zhǔn)備。

本文將詳細(xì)討論整車廠對(duì)智能手機(jī)App應(yīng)用程序的安全性保障方案，可為后續(xù)自主建設(shè)以及指導(dǎo)供應(yīng)商進(jìn)行車輛相關(guān)App開發(fā)提供有益的參考。

1 方案介紹

本文介紹的Telematics方案是一種低成本的解決方案，整個(gè)系統(tǒng)包括車載的T-Box控制器、手機(jī)應(yīng)用程序和提供服務(wù)的后臺(tái)服務(wù)器。

T-Box控制器主要部件包括藍(lán)牙模塊、CAN收發(fā)器及電源管理模塊等。車輛CAN總線上的信息通過(guò)藍(lán)牙SPP協(xié)議發(fā)送至手機(jī)，T-Box與手機(jī)的藍(lán)牙數(shù)據(jù)傳輸具有完善的加密機(jī)制，保證了傳輸數(shù)據(jù)的安全。

本文所指的手機(jī)App程序是指需要和后臺(tái)以及T-Box有信息交互的App程序，具體功能基于整車的CAN信息進(jìn)行開發(fā)，可靈活地進(jìn)行擴(kuò)充升級(jí)。對(duì)于T-Box工作的模式、運(yùn)行參數(shù)，手機(jī)APP可以配置，并且將配置下發(fā)到T-Box生效，例如T-Box對(duì)CAN信息的采集頻率等。T-Box可通過(guò)后臺(tái)遠(yuǎn)程進(jìn)行激活、啟用或停用。啟用的時(shí)候，能夠上傳數(shù)據(jù)；停用的時(shí)候，不能上傳數(shù)據(jù)。

本方案的特點(diǎn)是將智能手機(jī)作為信息中樞，就是把車載終端、呼叫中心、個(gè)人門戶網(wǎng)站、車廠用戶數(shù)據(jù)庫(kù)、SP／CP服務(wù)器串聯(lián)在一起，為用戶提供前所未有的服務(wù)體驗(yàn)。其優(yōu)勢(shì)不言而喻，此種模式最大程度地發(fā)揮了智能手機(jī)的作用，緊密捆綁最終用戶，可以為車主提供最有吸引力的服務(wù)。其系統(tǒng)架構(gòu)靈活，極具拓展性。采用這種方案，車廠需要做的工作是，前瞻性地設(shè)計(jì)各個(gè)部分與智能手機(jī)間的功能接口和通信方式。一個(gè)重要影響因素是，今后藍(lán)牙智能手機(jī)的滲透率和功能將對(duì)整個(gè)服務(wù)體系產(chǎn)生影響。

在這種模式下，智能手機(jī)的作用明顯得到了提升，它是作為信息中樞的角色存在的。如此設(shè)計(jì)，基于兩點(diǎn)考慮。一是智能手機(jī)的CPU很少有低于1GHz的，其運(yùn)算能力強(qiáng)勁甚至超過(guò)車載終端。將眾多的應(yīng)用程序運(yùn)行在這個(gè)平臺(tái)上，充分挖掘了智能手機(jī)的潛力。另一方面，還是成本的考慮，提升車載終端的硬件運(yùn)算能力及安全設(shè)置，投入很大。

這里要提到一個(gè) “三屏一云”的概念，即車載終端屏、用戶手機(jī)屏及PC屏三屏，以及后臺(tái)服務(wù)器這個(gè)云。PC端與手機(jī)是控制中心，大部分的設(shè)定，通過(guò)計(jì)算機(jī)與手機(jī)完成，盡量解放車主，使其不用在車內(nèi)進(jìn)行更多類似于計(jì)算機(jī)與手機(jī)的復(fù)雜操作，而車載終端屏是結(jié)果中心，它會(huì)將用戶在PC與手機(jī)上所做的所有設(shè)定，經(jīng)過(guò)智能運(yùn)算之后，很好地表達(dá)出來(lái)。通過(guò)無(wú)線網(wǎng)絡(luò)連接的數(shù)據(jù)中心，里面放置了很多地圖、資訊、生活以及一些個(gè)人信息，這就是所謂的云計(jì)算概念。不僅僅依靠車內(nèi)單機(jī)設(shè)備及手機(jī)的運(yùn)算能力，而且同時(shí)有著上百臺(tái)服務(wù)器在幫助汽車變得更加智能，使得行車效率與車內(nèi)娛樂更如人所愿。這一設(shè)計(jì)的理念是，用戶所購(gòu)買的不是一個(gè)孤立的車輛，而是一整套體系嚴(yán)格的智能系統(tǒng)。用戶給車輛的信息越多，它反饋給用戶的智能化表現(xiàn)則越多，而且手機(jī)應(yīng)用程序可以不斷地升級(jí)，讓用戶領(lǐng)先體驗(yàn)最適合自己的汽車智能生活。

2 安全策略

1）認(rèn)證 需要對(duì)車載設(shè)備T-Box及手機(jī)，終端用戶及手機(jī)APP供應(yīng)商進(jìn)行認(rèn)證，以確保安全性。

使用T-Box的ID進(jìn)行配對(duì)后，可將T-Box設(shè)為認(rèn)證的設(shè)備。對(duì)于匹配的藍(lán)牙智能手機(jī)，手機(jī)的IMEI／UDID被用來(lái)進(jìn)行認(rèn)證。車輛的VIN碼在這個(gè)過(guò)程中也被使用。賬戶名和密碼可作為登錄憑證，在第一次登錄時(shí)，賬號(hào)和設(shè)備需要激活。同時(shí)，考慮到用戶的手機(jī)可能丟失或被盜，賬號(hào)和設(shè)備也可重新激活或注銷。整車廠提供的是一個(gè)開放的平臺(tái)，不僅是一個(gè)供應(yīng)商可以為其開發(fā)應(yīng)用程序，只要是整車廠授權(quán)，并獲得一個(gè)獨(dú)特的應(yīng)用程序key（供應(yīng)商ID／密碼），其他供應(yīng)商也可以。只有經(jīng)過(guò)整車廠授權(quán)的廠商能夠開發(fā)應(yīng)用程序，用以連接TBox并訪問(wèn)后臺(tái)服務(wù)。

2）加密 需要對(duì)藍(lán)牙通道 （T-Box至手機(jī)）、空中通道 （手機(jī)至后臺(tái)）以及本地敏感數(shù)據(jù)進(jìn)行加密。

T-Box和手機(jī)之間的通信使用非對(duì)稱的RSA及對(duì)稱的AES進(jìn)行加密，動(dòng)態(tài)的AES密鑰使用RSA進(jìn)行加密?？紤]到來(lái)源及效率，本文使用ECC方案。手機(jī)和后臺(tái)之間的通信使用HTTPS進(jìn)行加密。對(duì)于本地敏感數(shù)據(jù)，例如登錄憑證、后臺(tái)服務(wù)的IP／URL以及歷史服務(wù)數(shù)據(jù)，則使用AES強(qiáng)加密方案。系統(tǒng)架構(gòu)和安全策略如圖1所示。

3 加密機(jī)制

非對(duì)稱加密算法體制中，用作機(jī)密的密鑰不同于用于解密的密鑰，而其解密的密鑰不能根據(jù)加密密鑰計(jì)算出來(lái) （至少在合理假定的長(zhǎng)時(shí)間內(nèi)）。在公鑰密碼系統(tǒng)里，加密密鑰叫做公鑰，解密密鑰叫做私鑰。公鑰加密技術(shù)是針對(duì)對(duì)稱密碼體制的缺陷被提出來(lái)的。在公鑰加密系統(tǒng)中，加密和解密是相對(duì)獨(dú)立的，加密和解密會(huì)使用2把不同的密鑰，加密密鑰 （公開密鑰）向公眾公開，誰(shuí)都可以使用，解密密鑰 （秘密密鑰）只有解密人自己知道，非法使用者根據(jù)公開的加密密鑰無(wú)法推算出解密密鑰，故其可稱為公鑰密碼體制。如果一個(gè)人選擇并公布了他的公鑰，另外任何人都可以用這一公鑰來(lái)加密傳送給那個(gè)人的消息。私鑰是秘密保存的，只有私鑰的所有者才能利用私鑰對(duì)密文進(jìn)行解密。非對(duì)稱加密算法中最著名的代表是RSA算法。

對(duì)稱密碼算法有時(shí)又叫傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰中推算出來(lái)，反過(guò)來(lái)也成立。在大多數(shù)對(duì)稱算法中，加密解密密鑰是相同的。這些算法也叫秘密密鑰算法或單密鑰算法，它要求發(fā)送者和接收者在安全通信之前，商定一個(gè)密鑰。對(duì)稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對(duì)消息進(jìn)行加密解密。只要通信需要保密，密鑰就必須保密。對(duì)稱密碼術(shù)的優(yōu)點(diǎn)在于效率高，算法簡(jiǎn)單，系統(tǒng)開銷小，適合加密大量數(shù)據(jù)。典型的對(duì)稱密碼算法有AES算法［3］。

數(shù)字證書則是由證書認(rèn)證機(jī)構(gòu) （CA）對(duì)證書申請(qǐng)者真實(shí)身份驗(yàn)證之后，用CA的根證書對(duì)申請(qǐng)人的一些基本信息以及申請(qǐng)人的公鑰進(jìn)行簽名 （相當(dāng)于加蓋發(fā)證書機(jī)構(gòu)的公章）后形成的一個(gè)數(shù)字文件。CA完成簽發(fā)證書后，會(huì)將證書發(fā)布在CA的證書庫(kù) （目錄服務(wù)器）中，任何人都可以查詢和下載，因此數(shù)字證書和公鑰一樣是公開的。實(shí)際上，數(shù)字證書就是經(jīng)過(guò)CA認(rèn)證過(guò)的公鑰。

3.1 加密原則

1）一個(gè)公鑰對(duì)應(yīng)一個(gè)私鑰。

2）密鑰對(duì)中，讓大家都知道的是公鑰；不告訴大家，只有自己知道的，是私鑰。

3）如果用其中一個(gè)密鑰加密數(shù)據(jù)，則只有對(duì)應(yīng)的那個(gè)密鑰才可以解密。

4）如果用其中一個(gè)密鑰可以進(jìn)行解密數(shù)據(jù)，則該數(shù)據(jù)必然是對(duì)應(yīng)的那個(gè)密鑰進(jìn)行的加密。

5）非對(duì)稱密鑰密碼的主要應(yīng)用就是公鑰加密和公鑰認(rèn)證，而公鑰加密的過(guò)程和公鑰認(rèn)證的過(guò)程是不一樣的。

3.2 加密解密過(guò)程

基于公開密鑰的加密過(guò)程：比如有2個(gè)用戶Tom和John，Tom想把一段明文通過(guò)雙鑰加密的技術(shù)發(fā)送給John，John有一對(duì)公鑰和私鑰，那么加密解密的過(guò)程如下。

1）John將他的公開密鑰傳送給Tom。

2）Tom用John的公開密鑰加密他的消息，然后傳送給John。

3）John用他的私人密鑰解密Tom的消息。

3.3 身份認(rèn)證

基于公開密鑰的認(rèn)證過(guò)程：身份認(rèn)證和加密就不同了，主要用于鑒別用戶的真?zhèn)?。這里我們只要能夠鑒別一個(gè)用戶的私鑰是正確的，就可以鑒別這個(gè)用戶的真?zhèn)?。還是Tom和John這2個(gè)用戶，Tom想讓John知道自己是真實(shí)的Tom，而不是假冒的，因此Tom只要使用公鑰密碼將文件簽名發(fā)送給John，John使用Tom的公鑰對(duì)文件進(jìn)行解密，如果可以解密成功，則證明Tom的私鑰是正確的，因而就完成了對(duì)Tom的身份鑒別。整個(gè)身份認(rèn)證的過(guò)程如下。

1）Tom用他的私人密鑰對(duì)文件加密，從而對(duì)文件簽名。

2）Tom將簽名的文件傳送給John。

3）John用Tom的公鑰解密文件，從而驗(yàn)證簽名。

3.4 公鑰、私鑰、證書的生成

1）一個(gè)HTTPS服務(wù)器首先創(chuàng)建他自己的密鑰對(duì) （key pair），包含公鑰和私鑰。

2）通過(guò)網(wǎng)絡(luò)把他的公鑰送到CA中心，公鑰中包含了個(gè)人鑒別信息 （他的名字、地址、所用設(shè)備的序列號(hào)等）。

3）CA中心創(chuàng)建并簽署一個(gè)包含公鑰及個(gè)人信息的證書，從而保證密鑰的確實(shí)性。

4）使用該證書的人可以通過(guò)檢驗(yàn)CA中心的簽名 （檢驗(yàn)CA簽名需要CA的公鑰）來(lái)驗(yàn)證證書的確實(shí)性。

3.5 公鑰、私鑰、證書的使用

在HTTPS協(xié)議的握手階段是公鑰、私鑰、證書的典型使用場(chǎng)景。HTTPS握手的典型時(shí)序圖如圖2所示。

圖2中實(shí)線部分是必須的，虛線部分是可選的。該流程完成了2個(gè)任務(wù)：服務(wù)器身份的驗(yàn)證、加密傳輸對(duì)稱加密密鑰。虛線部分是服務(wù)器端要求驗(yàn)證客戶身份。

1）Client Hello和Server Hello表示雙方要建立一個(gè)加密會(huì)話。

2）服務(wù)器把數(shù)字證書傳輸給客戶端，證書中包含服務(wù)器公鑰，客戶端用公鑰解析證書中的數(shù)字簽名，可以驗(yàn)證服務(wù)器的身份。

3）Server Hello Done表示hello流程結(jié)束。

4）客戶端生成一個(gè)對(duì)稱加密密鑰，用于實(shí)際數(shù)據(jù)的加密傳輸，并用服務(wù)器的公鑰加密，把對(duì)生成的密鑰傳遞給服務(wù)器。同時(shí)攜帶一個(gè)用剛剛生成的加密密鑰加密的 “client finished”。

5）服務(wù)器收到對(duì)稱加密密鑰，并嘗試用該密鑰解密加密字段，如能得到明文 “client finished”，認(rèn)為該密鑰有效，可以用于之后的數(shù)據(jù)加密傳輸。同時(shí)用該密鑰加密 “server finished”，傳遞給客戶端。

6）客戶端用對(duì)稱機(jī)密密鑰解密，如能得到明文 “server finished”，客戶端認(rèn)為該服務(wù)器已經(jīng)正確地接收到對(duì)稱密鑰。

7）加密數(shù)據(jù)傳輸開始。

4 手機(jī)App安全方案

智能手機(jī)App從狀態(tài)上可以分解為以下2種狀態(tài)，在這2種狀態(tài)下，都要采取App安全性保障策略。

狀態(tài)1：運(yùn)行時(shí)狀態(tài)——App程序已經(jīng)啟動(dòng)的狀態(tài)。

狀態(tài)2：非運(yùn)行時(shí)狀態(tài)——App程序已下載或者已安裝，但是未啟動(dòng)的狀態(tài)。

4.1 狀態(tài)1——運(yùn)行時(shí)狀態(tài)安全性保障方案

App和后臺(tái)交互時(shí)，即空中通道 （手機(jī)至后臺(tái)），在網(wǎng)絡(luò)傳輸安全性方面，根據(jù)業(yè)界標(biāo)準(zhǔn)，App使用Https／SSL協(xié)議技術(shù)實(shí)現(xiàn)安全性保障。

超文本傳輸安全協(xié)議 （Hypertext Transfer Protocol Secure，縮寫：Https）是超文本傳輸協(xié)議和SSL／TLS的組合，用以提供加密通信及對(duì)網(wǎng)絡(luò)服務(wù)器身份的鑒定。Https連接被廣泛用于互聯(lián)網(wǎng)及移動(dòng)互聯(lián)網(wǎng)上的交易支付和企業(yè)信息系統(tǒng)中敏感信息的傳輸。Https能保障數(shù)據(jù)傳輸安全性，使用SSL協(xié)議保障安全。

手機(jī)應(yīng)用程序和車載模塊T-Box之間的數(shù)據(jù)傳輸通過(guò)SPP藍(lán)牙協(xié)議進(jìn)行，但會(huì)話過(guò)程是加密的。利用后臺(tái)服務(wù)器，使用非對(duì)稱的RSA加密算法加密對(duì)稱加密算法AES的密鑰，而車載信息模塊和手機(jī)應(yīng)用程序之間的數(shù)據(jù)傳輸采用AES的密鑰加密。具體過(guò)程如下。

1）藍(lán)牙SPP連接成功，手機(jī)給車載信息模塊一個(gè)消息，包括程序ID、進(jìn)程ID、手機(jī)藍(lán)牙MACP及初始化信息，同時(shí)也將這些信息發(fā)給后臺(tái)服務(wù)器。

2）車載信息模塊根據(jù)本身存儲(chǔ)的手機(jī)藍(lán)牙MACP及程序ID，對(duì)比該手機(jī)發(fā)來(lái)的信息，驗(yàn)證手機(jī)和程序的合法性，并給出相應(yīng)的握手信息給手機(jī)。同時(shí)，利用車載信息模塊ID及時(shí)間動(dòng)態(tài)生成AES密鑰 （KA）。

3）后臺(tái)服務(wù)器對(duì)比用戶賬戶，檢查手機(jī)號(hào)碼及程序ID，并給出相應(yīng)的握手信息給手機(jī)，若不匹配則斷開連接。

4）對(duì)于本地的數(shù)據(jù)，如慣導(dǎo)信息，僅使用藍(lán)牙進(jìn)行傳輸，無(wú)需額外加密處理。

5）車載信息模塊使用RSA的公鑰Kpub加密KA、車載信息模塊ID、藍(lán)牙MACP、藍(lán)牙MACT，并將該字串發(fā)送到后臺(tái)服務(wù)器。

6）后臺(tái)服務(wù)器使用RSA的私鑰解密該字串，得到AES密鑰KA，并使用KA加密程序&進(jìn)程ID、Ack／Nack。

7）車載信息模塊檢查程序&進(jìn)程ID，如果匹配，保留這些ID，否則斷開連接，同時(shí)使用AES密鑰KA加密Ack或Nack。

8）至此，加密的會(huì)話通道建立，此后所有傳輸?shù)臄?shù)據(jù)用AES加密，每次SPP連接都運(yùn)行此過(guò)程。

現(xiàn)在絕大部分App只在初次使用時(shí)，要求用戶必須輸入用戶名和密碼，以后都是啟動(dòng)程序就可以直接登錄App，本方案也采用這種方式，而這種方式背后，先進(jìn)的做法就是依靠AuthenToken機(jī)制在保證App與后臺(tái)交換的安全性。

AuthenToken數(shù)據(jù)交互機(jī)制，是指App與后臺(tái)之間均加上了自主設(shè)計(jì)的訪問(wèn)令牌方式保障數(shù)據(jù)傳輸安全。所謂訪問(wèn)令牌 （AuthenToken）是一種類似于服務(wù)器SESSION的方式，用于存儲(chǔ)用戶的狀態(tài)信息。用戶在登錄系統(tǒng)時(shí)會(huì)收到系統(tǒng)發(fā)了這樣一個(gè)令牌 （這個(gè)令牌不是簡(jiǎn)單的隨機(jī)產(chǎn)生，是系統(tǒng)根據(jù)用戶信息進(jìn)行部分技術(shù)處理而產(chǎn)生的一串字符碼，永遠(yuǎn)不會(huì)和其他用戶或者該用戶上一次登錄相重復(fù)），只有當(dāng)該令牌在有效期內(nèi)，用戶才能通過(guò)以加上該令牌的方式訪問(wèn)業(yè)務(wù)。任何一種登出都會(huì)使令牌失效。

如客戶首次使用App需要輸入密碼，我們要求用戶的密碼是用AES加密后再傳輸，以更好地保障密碼安全性，當(dāng)然這同樣要求后臺(tái)數(shù)據(jù)庫(kù)中的用戶密碼也是AES加密保存。

4.2 狀態(tài)2——非運(yùn)行時(shí)狀態(tài)安全性保障方案

對(duì)于手機(jī)App本身，為了保證安全，需要防御對(duì)其進(jìn)行的反編譯。因此在App代碼編譯時(shí)，需對(duì)其進(jìn)行混淆。IOS應(yīng)用程序不需要做混淆，其已經(jīng)編譯成機(jī)器碼了。

5 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，APP STORE的興起，以及中國(guó)汽車市場(chǎng)的繁榮，基于車輛的App應(yīng)用一定會(huì)有長(zhǎng)足的發(fā)展。本文所介紹的基于手機(jī)應(yīng)用程序的Telematics方案，是適應(yīng)當(dāng)前市場(chǎng)環(huán)境的一個(gè)快速有效方案，針對(duì)其所提供的一整套的安全加密策略，充分保證了整個(gè)系統(tǒng)的安全，經(jīng)過(guò)小批量裝車試運(yùn)行，結(jié)果證明該設(shè)計(jì)方案有效合理，效果令人滿意。對(duì)于其他類型的App設(shè)計(jì)同樣具有借鑒意義。

［1］ 余嶸. 車載Telematics系統(tǒng)研究［J］. 汽車電器， 2011 （7）：1-4.

［2］殷建紅.國(guó)內(nèi)車載娛樂系統(tǒng)發(fā)展現(xiàn)狀及趨勢(shì)［J］.汽車與配件， 2009 （11）： 40-42.

［3］俞經(jīng)善.基于ECC和AES相結(jié)合的加密系統(tǒng)的實(shí)現(xiàn)［J］.信息技術(shù)，2006 （2）：44-46.