信瑛南 劉靜 李琦 張瀛 董嵩松 丁靖

（長(zhǎng)城汽車股份有限公司）

目前市場(chǎng)上不斷涌現(xiàn)出手機(jī)數(shù)字鑰匙產(chǎn)品，手機(jī)數(shù)字鑰匙取代傳統(tǒng)的汽車鑰匙無疑將給人們帶來更佳的便利性。手機(jī)數(shù)字鑰匙將傳統(tǒng)車鑰匙的全部功能映射到手機(jī)中，通過操作手機(jī)鑰匙實(shí)現(xiàn)開關(guān)車門、啟停發(fā)動(dòng)機(jī)、開啟后備箱等功能，而手機(jī)數(shù)字鑰匙的“遠(yuǎn)程控制車輛”作為部分車鑰匙功能，其順應(yīng)了互聯(lián)網(wǎng)時(shí)代的發(fā)展需要[1]。然而，隨著電子智能化程度的加深，系統(tǒng)安全性是設(shè)計(jì)的基本保障?；谝陨咸攸c(diǎn)，文章以多角度、全方面的視角闡述了手機(jī)數(shù)字鑰匙遠(yuǎn)程控制車輛的設(shè)計(jì)方法。

1 現(xiàn)有產(chǎn)品分析

文章對(duì)不同廠商的手機(jī)數(shù)字鑰匙產(chǎn)品的技術(shù)方案進(jìn)行了分析并總結(jié)如下：

1）A類公司產(chǎn)品。屬于最早期市場(chǎng)出現(xiàn)的產(chǎn)品，各個(gè)指令傳輸環(huán)節(jié)均為單向傳輸，無反饋環(huán)節(jié)[2]，設(shè)計(jì)方案較簡(jiǎn)單且安全性較低。

2）B類公司產(chǎn)品。為了使人們適應(yīng)車鑰匙由有到無的應(yīng)用過渡，該類公司產(chǎn)品定義為手機(jī)加傳統(tǒng)車鑰匙的形態(tài)[3]，在便利性方面并未給用戶帶來更佳的體驗(yàn)。

3）C類公司產(chǎn)品。車主主動(dòng)發(fā)起授權(quán)或被授權(quán)者主動(dòng)發(fā)起授權(quán)，存在授權(quán)信息單一或不可變動(dòng)的問題，產(chǎn)品不夠全面、靈活性較差。

4）D類公司產(chǎn)品。信息傳輸均采用明文的方式，信息數(shù)據(jù)容易被盜取，給車主的財(cái)產(chǎn)安全帶來了一定的風(fēng)險(xiǎn)。

為了彌補(bǔ)上述產(chǎn)品的不足，同時(shí)為了打造一款全新的、安全的、體驗(yàn)性更好的數(shù)字鑰匙產(chǎn)品，文章設(shè)計(jì)了一款手機(jī)數(shù)字鑰匙遠(yuǎn)程控制車輛的系統(tǒng)，并闡述了全面的遠(yuǎn)程授權(quán)技術(shù)。

2 系統(tǒng)總體設(shè)計(jì)

手機(jī)、云服務(wù)器和車輛三者構(gòu)成了一個(gè)緊密的閉環(huán)系統(tǒng)，如圖1所示。手機(jī)端主要將云服務(wù)器發(fā)送的密鑰進(jìn)行存儲(chǔ)，對(duì)填寫的個(gè)人及車輛相關(guān)信息進(jìn)行加密；云服務(wù)器接收來自手機(jī)端的信息后進(jìn)行驗(yàn)證、存儲(chǔ)，生成數(shù)字鑰匙，并定期更新密鑰等；車主獲得服務(wù)器發(fā)送的數(shù)字鑰匙并存儲(chǔ)在手機(jī)端，車主持手機(jī)數(shù)字鑰匙與車輛終端控制單元內(nèi)的數(shù)字鑰匙進(jìn)行通訊認(rèn)證，認(rèn)證成功后可操作車輛，同時(shí)可以查看車輛的狀態(tài)信息，如油量等。

圖1 手機(jī)數(shù)字鑰匙遠(yuǎn)程控制車輛的系統(tǒng)結(jié)構(gòu)框圖

遠(yuǎn)程控制車輛系統(tǒng)各模塊的主要功能如下：

1）智能手機(jī)端。安裝了具有操控車輛功能的APP且適用于任何型號(hào)的手機(jī)，同時(shí)具備網(wǎng)絡(luò)連接功能。手機(jī)APP具備登錄、撤銷、密鑰存儲(chǔ)、信息加密、遠(yuǎn)程開啟空調(diào)、監(jiān)控車輛信息等軟件功能。

2）云服務(wù)器。具有密鑰生成、信息加密和解密、信息存儲(chǔ)及安全防護(hù)等功能。

3）車輛終端。主要包括無鑰匙進(jìn)入及啟動(dòng)（PEPS）控制單元、藍(lán)牙通訊模塊和T-box系統(tǒng)。其中，PEPS控制單元具備密鑰存儲(chǔ)和校驗(yàn)、識(shí)別移動(dòng)設(shè)備授權(quán)權(quán)限、發(fā)送執(zhí)行命令給BCM等功能；藍(lán)牙通訊模塊用于手機(jī)鑰匙的近距離通訊，這里不做過多說明；T-box用于接收遠(yuǎn)程控制車輛命令并發(fā)送命令給執(zhí)行機(jī)構(gòu)。

3 系統(tǒng)詳細(xì)設(shè)計(jì)

3.1 車主授權(quán)及車輛控制

車主初次使用手機(jī)鑰匙控制車輛時(shí)，車廠需對(duì)車主進(jìn)行授權(quán)，并給予其數(shù)字鑰匙從而實(shí)現(xiàn)遠(yuǎn)程控制車輛的目的，詳細(xì)授權(quán)機(jī)制，如圖2所示。

圖2 車主授權(quán)及操作車輛的遠(yuǎn)程控制系統(tǒng)

車主通過手機(jī)將手機(jī)號(hào)碼發(fā)送至云端服務(wù)器，服務(wù)器根據(jù)加密策略將加密密鑰R以暗文的形式發(fā)送給手機(jī)，手機(jī)將接收到的密鑰R存儲(chǔ)至手機(jī)安全芯片內(nèi)。用戶在手機(jī)上設(shè)置基本信息和個(gè)人驗(yàn)證信息，其中基本信息是指用戶的身份證號(hào)、車輛VIN碼、消息認(rèn)證碼（MAC）地址、住址等能證明手機(jī)、車輛與用戶身份的可行性信息，個(gè)人驗(yàn)證信息是指僅用于驗(yàn)證用戶身份的信息，如密保信息。用戶信息經(jīng)過安全芯片內(nèi)密鑰R加密后發(fā)送至服務(wù)器，服務(wù)器根據(jù)終端號(hào)碼生成的相應(yīng)密鑰進(jìn)行解密，若解密成功則將解密后的用戶信息存儲(chǔ)至服務(wù)器端，如用戶更換手機(jī)或手機(jī)丟失將作為信息認(rèn)證使用；若解密失敗則反饋無效信息給車主。經(jīng)解密成功后的信息證明該用戶為合法用戶，服務(wù)器將含有用戶個(gè)人信息的數(shù)據(jù)再次加密，生成鑰匙K發(fā)送給車主，手機(jī)將接收的加密鑰匙存儲(chǔ)至手機(jī)內(nèi)。

當(dāng)用戶操作手機(jī)試圖控制車輛時(shí)，手機(jī)向車輛終端發(fā)送操作請(qǐng)求命令，車輛終端接收到該命令后，首先檢測(cè)鑰匙K是否與車輛銷售時(shí)與客戶信息綁定的存儲(chǔ)密鑰信息一致，若不一致則該請(qǐng)求命令視為無效，并發(fā)送反饋信息給手機(jī)，此命令為無效指令；若鑰匙一致且車載控制器防盜認(rèn)證通過，執(zhí)行操作車輛的指令，如遠(yuǎn)程開啟發(fā)動(dòng)機(jī)。同時(shí)車輛終端可將車輛當(dāng)前狀態(tài)信息反饋至手機(jī)，手機(jī)可實(shí)時(shí)監(jiān)測(cè)車輛狀態(tài)信息，如：車內(nèi)溫度、空氣質(zhì)量、車輛位置及油量等情況，給用戶更好的用車體驗(yàn)。

3.2 特殊情況設(shè)計(jì)

在某些特殊場(chǎng)景下，用戶需要更改鑰匙來確保車輛的安全，圖3示出特殊場(chǎng)景的手機(jī)數(shù)字鑰匙設(shè)計(jì)方案。

圖3 特殊場(chǎng)景的手機(jī)數(shù)字鑰匙設(shè)計(jì)流程框圖

3.2.1 手機(jī)更換

美國(guó)某機(jī)構(gòu)的數(shù)據(jù)顯示，由于智能電子產(chǎn)品迭代更新的速度較快，51%的蘋果手機(jī)用戶、40%的安卓手機(jī)用戶、21%的其他手機(jī)用戶會(huì)選擇每2年換1次手機(jī)。由于每臺(tái)手機(jī)的MAC是唯一的，因此更換手機(jī)后需要更改用戶信息，從而確保車主的財(cái)產(chǎn)安全。

當(dāng)用戶需要更換手機(jī)時(shí)，舊手機(jī)發(fā)送修改信息請(qǐng)求給服務(wù)器，服務(wù)器接收到該請(qǐng)求后向舊手機(jī)發(fā)送輸入個(gè)人驗(yàn)證信息的要求，用戶輸入個(gè)人驗(yàn)證信息后發(fā)送至服務(wù)器進(jìn)行身份認(rèn)證，若認(rèn)證成功，用戶可修改個(gè)人信息，如：電話號(hào)碼、MAC等，然后云服務(wù)器將修改后的信息進(jìn)行重新存儲(chǔ)，同時(shí)將生成的新鑰匙KN發(fā)送到更新后的新手機(jī)上，并通過服務(wù)器將車輛終端存儲(chǔ)的密鑰進(jìn)行更新，用戶利用新鑰匙KN可對(duì)車輛進(jìn)行操作。

3.2.2 手機(jī)維修、丟失或被盜

為了避免手機(jī)在維修中個(gè)人信息（包括密鑰）被復(fù)制，系統(tǒng)每隔一定周期會(huì)將手機(jī)、服務(wù)器和車輛終端的鑰匙統(tǒng)一進(jìn)行密鑰滾動(dòng)更新。當(dāng)車主手機(jī)丟失或被盜時(shí)，可通過人工服務(wù)平臺(tái)進(jìn)行個(gè)人信息驗(yàn)證，認(rèn)證通過后服務(wù)器可更新存儲(chǔ)的車輛密鑰信息。由于丟失的手機(jī)存儲(chǔ)的是舊密鑰，故不能開啟新密鑰的車輛，從而可防止車輛被盜，確保車主財(cái)產(chǎn)安全。

3.3 鑰匙分享

3.3.1 車主主動(dòng)發(fā)起授權(quán)

車主主動(dòng)發(fā)起授權(quán)，請(qǐng)求服務(wù)器為被授權(quán)者頒發(fā)臨時(shí)數(shù)字鑰匙，詳細(xì)設(shè)計(jì)方案，如圖4所示。

圖4 手機(jī)數(shù)字鑰匙車主主動(dòng)發(fā)起授權(quán)流程圖

車主主動(dòng)在手機(jī)端填寫被授權(quán)者的信息，如：被授權(quán)者手機(jī)號(hào)、授權(quán)時(shí)間、授權(quán)權(quán)限、地理圍欄及車輛相關(guān)信息等。經(jīng)過加密后的信息發(fā)送至云端服務(wù)器，服務(wù)器經(jīng)過解密確認(rèn)車主身份，并將授權(quán)信息進(jìn)行存儲(chǔ)，同時(shí)生成授權(quán)碼以暗文的形式發(fā)送給被授權(quán)者手機(jī)。被授權(quán)者填寫個(gè)人相關(guān)信息加密后與授權(quán)碼一同發(fā)送至云端服務(wù)器進(jìn)行解密并驗(yàn)證。驗(yàn)證通過后，云端服務(wù)器將生成的授權(quán)鑰匙發(fā)送給被授權(quán)者，被授權(quán)者持授權(quán)鑰匙即可操控車輛。在授權(quán)時(shí)間內(nèi)車主有權(quán)監(jiān)控車輛狀態(tài)，如：被授權(quán)者是否處于設(shè)定的地理圍欄內(nèi)。

3.3.2 被分享者主動(dòng)發(fā)起授權(quán)

被分享者向服務(wù)器主動(dòng)發(fā)起授權(quán)請(qǐng)求是為了完善分享授權(quán)機(jī)制的另外一種授權(quán)機(jī)制，具體流程，如圖5所示。

圖5 手機(jī)數(shù)字鑰匙被授權(quán)者主動(dòng)發(fā)起授權(quán)流程圖

被授權(quán)者在手機(jī)端填寫個(gè)人相關(guān)信息和需求的車輛信息，如：被授權(quán)者姓名、身份證號(hào)、電話號(hào)碼、需要授權(quán)的車輛車牌號(hào)等，將加密后的信息發(fā)送至云端服務(wù)器。服務(wù)器根據(jù)被授權(quán)者發(fā)送的信息進(jìn)行查詢，并發(fā)送請(qǐng)求的授權(quán)信息給被授權(quán)者指定的車主手機(jī)上。若車主同意授權(quán)，則將加密后的授權(quán)相關(guān)信息發(fā)送給服務(wù)器，服務(wù)器解密信息、驗(yàn)證車主身份并進(jìn)行信息存儲(chǔ)，同時(shí)發(fā)送授權(quán)碼及相關(guān)信息給被授權(quán)者。授權(quán)者收到授權(quán)碼后確認(rèn)授權(quán)信息，信息確認(rèn)無誤后將授權(quán)碼發(fā)送至服務(wù)器，服務(wù)器驗(yàn)證通過后生成授權(quán)鑰匙發(fā)送給被授權(quán)者，被授權(quán)者持授權(quán)鑰匙即可操控車輛。

3.3.3 授權(quán)精細(xì)化

授權(quán)者進(jìn)行鑰匙分享時(shí)，首先確定需要分享的功能，逐步進(jìn)行開關(guān)車門、啟停車輛和開啟后備箱等功能的授權(quán)確認(rèn)。手機(jī)移動(dòng)設(shè)備存儲(chǔ)器中存儲(chǔ)了每一項(xiàng)車輛操控功能相對(duì)應(yīng)的代碼，手機(jī)系統(tǒng)根據(jù)用戶選擇的功能生成相應(yīng)的代碼（a，b，c，d……）。圖6示出手機(jī)數(shù)字鑰匙授權(quán)精細(xì)化邏輯框圖。

圖6 手機(jī)數(shù)字鑰匙授權(quán)精細(xì)化邏輯框圖

按照?qǐng)D6的設(shè)計(jì)方法，以開啟車門為例，進(jìn)行授權(quán)精細(xì)化的設(shè)計(jì)方案如下：

1）開啟車門。用戶操作手機(jī)鑰匙在開啟車門的功能欄中選擇“否”，系統(tǒng)將不會(huì)生成代碼a；如果用戶選擇“是”，手機(jī)后臺(tái)系統(tǒng)將開啟車門的功能轉(zhuǎn)換為代碼a；如果用戶所有的選項(xiàng)都是“否”，將不能進(jìn)行下一步操作。

2）授權(quán)時(shí)間。除過去的時(shí)間或者授權(quán)的時(shí)間值為負(fù)數(shù)外，用戶可自由選擇任意時(shí)刻，然后這些信息被發(fā)送到服務(wù)器，服務(wù)器加密后生成一組總的代碼G返回給授權(quán)者。授權(quán)者將代碼G發(fā)送給被授權(quán)者。被授權(quán)者將代碼G按照手機(jī)存儲(chǔ)的解密方式進(jìn)行解密，從而查看授權(quán)信息。

4 結(jié)論

文章設(shè)計(jì)了一款在手機(jī)端、云服務(wù)器、車端之間進(jìn)行指令傳輸?shù)娜娑踩氖謾C(jī)數(shù)字鑰匙遠(yuǎn)程控制車輛系統(tǒng)。按照該設(shè)計(jì)方案研發(fā)的數(shù)字鑰匙已在市場(chǎng)進(jìn)行了應(yīng)用，根據(jù)市場(chǎng)反應(yīng)結(jié)果，確定了該方案的安全可靠。同時(shí)，該設(shè)計(jì)方案可進(jìn)一步與其他物聯(lián)網(wǎng)功能進(jìn)行融合，如：智能家居與數(shù)字鑰匙的結(jié)合方案，從而給用戶帶來更優(yōu)質(zhì)的服務(wù)。