信瑛南 劉靜 李琦 張瀛 董嵩松 丁靖

（長城汽車股份有限公司）

目前市場上不斷涌現出手機數字鑰匙產品，手機數字鑰匙取代傳統(tǒng)的汽車鑰匙無疑將給人們帶來更佳的便利性。手機數字鑰匙將傳統(tǒng)車鑰匙的全部功能映射到手機中，通過操作手機鑰匙實現開關車門、啟停發(fā)動機、開啟后備箱等功能，而手機數字鑰匙的“遠程控制車輛”作為部分車鑰匙功能，其順應了互聯(lián)網時代的發(fā)展需要[1]。然而，隨著電子智能化程度的加深，系統(tǒng)安全性是設計的基本保障?；谝陨咸攸c，文章以多角度、全方面的視角闡述了手機數字鑰匙遠程控制車輛的設計方法。

1 現有產品分析

文章對不同廠商的手機數字鑰匙產品的技術方案進行了分析并總結如下：

1）A類公司產品。屬于最早期市場出現的產品，各個指令傳輸環(huán)節(jié)均為單向傳輸，無反饋環(huán)節(jié)[2]，設計方案較簡單且安全性較低。

2）B類公司產品。為了使人們適應車鑰匙由有到無的應用過渡，該類公司產品定義為手機加傳統(tǒng)車鑰匙的形態(tài)[3]，在便利性方面并未給用戶帶來更佳的體驗。

3）C類公司產品。車主主動發(fā)起授權或被授權者主動發(fā)起授權，存在授權信息單一或不可變動的問題，產品不夠全面、靈活性較差。

4）D類公司產品。信息傳輸均采用明文的方式，信息數據容易被盜取，給車主的財產安全帶來了一定的風險。

為了彌補上述產品的不足，同時為了打造一款全新的、安全的、體驗性更好的數字鑰匙產品，文章設計了一款手機數字鑰匙遠程控制車輛的系統(tǒng)，并闡述了全面的遠程授權技術。

2 系統(tǒng)總體設計

手機、云服務器和車輛三者構成了一個緊密的閉環(huán)系統(tǒng)，如圖1所示。手機端主要將云服務器發(fā)送的密鑰進行存儲，對填寫的個人及車輛相關信息進行加密；云服務器接收來自手機端的信息后進行驗證、存儲，生成數字鑰匙，并定期更新密鑰等；車主獲得服務器發(fā)送的數字鑰匙并存儲在手機端，車主持手機數字鑰匙與車輛終端控制單元內的數字鑰匙進行通訊認證，認證成功后可操作車輛，同時可以查看車輛的狀態(tài)信息，如油量等。

圖1 手機數字鑰匙遠程控制車輛的系統(tǒng)結構框圖

遠程控制車輛系統(tǒng)各模塊的主要功能如下：

1）智能手機端。安裝了具有操控車輛功能的APP且適用于任何型號的手機，同時具備網絡連接功能。手機APP具備登錄、撤銷、密鑰存儲、信息加密、遠程開啟空調、監(jiān)控車輛信息等軟件功能。

2）云服務器。具有密鑰生成、信息加密和解密、信息存儲及安全防護等功能。

3）車輛終端。主要包括無鑰匙進入及啟動（PEPS）控制單元、藍牙通訊模塊和T-box系統(tǒng)。其中，PEPS控制單元具備密鑰存儲和校驗、識別移動設備授權權限、發(fā)送執(zhí)行命令給BCM等功能；藍牙通訊模塊用于手機鑰匙的近距離通訊，這里不做過多說明；T-box用于接收遠程控制車輛命令并發(fā)送命令給執(zhí)行機構。

3 系統(tǒng)詳細設計

3.1 車主授權及車輛控制

車主初次使用手機鑰匙控制車輛時，車廠需對車主進行授權，并給予其數字鑰匙從而實現遠程控制車輛的目的，詳細授權機制，如圖2所示。

圖2 車主授權及操作車輛的遠程控制系統(tǒng)

車主通過手機將手機號碼發(fā)送至云端服務器，服務器根據加密策略將加密密鑰R以暗文的形式發(fā)送給手機，手機將接收到的密鑰R存儲至手機安全芯片內。用戶在手機上設置基本信息和個人驗證信息，其中基本信息是指用戶的身份證號、車輛VIN碼、消息認證碼（MAC）地址、住址等能證明手機、車輛與用戶身份的可行性信息，個人驗證信息是指僅用于驗證用戶身份的信息，如密保信息。用戶信息經過安全芯片內密鑰R加密后發(fā)送至服務器，服務器根據終端號碼生成的相應密鑰進行解密，若解密成功則將解密后的用戶信息存儲至服務器端，如用戶更換手機或手機丟失將作為信息認證使用；若解密失敗則反饋無效信息給車主。經解密成功后的信息證明該用戶為合法用戶，服務器將含有用戶個人信息的數據再次加密，生成鑰匙K發(fā)送給車主，手機將接收的加密鑰匙存儲至手機內。

當用戶操作手機試圖控制車輛時，手機向車輛終端發(fā)送操作請求命令，車輛終端接收到該命令后，首先檢測鑰匙K是否與車輛銷售時與客戶信息綁定的存儲密鑰信息一致，若不一致則該請求命令視為無效，并發(fā)送反饋信息給手機，此命令為無效指令；若鑰匙一致且車載控制器防盜認證通過，執(zhí)行操作車輛的指令，如遠程開啟發(fā)動機。同時車輛終端可將車輛當前狀態(tài)信息反饋至手機，手機可實時監(jiān)測車輛狀態(tài)信息，如：車內溫度、空氣質量、車輛位置及油量等情況，給用戶更好的用車體驗。

3.2 特殊情況設計

在某些特殊場景下，用戶需要更改鑰匙來確保車輛的安全，圖3示出特殊場景的手機數字鑰匙設計方案。

圖3 特殊場景的手機數字鑰匙設計流程框圖

3.2.1 手機更換

美國某機構的數據顯示，由于智能電子產品迭代更新的速度較快，51%的蘋果手機用戶、40%的安卓手機用戶、21%的其他手機用戶會選擇每2年換1次手機。由于每臺手機的MAC是唯一的，因此更換手機后需要更改用戶信息，從而確保車主的財產安全。

當用戶需要更換手機時，舊手機發(fā)送修改信息請求給服務器，服務器接收到該請求后向舊手機發(fā)送輸入個人驗證信息的要求，用戶輸入個人驗證信息后發(fā)送至服務器進行身份認證，若認證成功，用戶可修改個人信息，如：電話號碼、MAC等，然后云服務器將修改后的信息進行重新存儲，同時將生成的新鑰匙KN發(fā)送到更新后的新手機上，并通過服務器將車輛終端存儲的密鑰進行更新，用戶利用新鑰匙KN可對車輛進行操作。

3.2.2 手機維修、丟失或被盜

為了避免手機在維修中個人信息（包括密鑰）被復制，系統(tǒng)每隔一定周期會將手機、服務器和車輛終端的鑰匙統(tǒng)一進行密鑰滾動更新。當車主手機丟失或被盜時，可通過人工服務平臺進行個人信息驗證，認證通過后服務器可更新存儲的車輛密鑰信息。由于丟失的手機存儲的是舊密鑰，故不能開啟新密鑰的車輛，從而可防止車輛被盜，確保車主財產安全。

3.3 鑰匙分享

3.3.1 車主主動發(fā)起授權

車主主動發(fā)起授權，請求服務器為被授權者頒發(fā)臨時數字鑰匙，詳細設計方案，如圖4所示。

圖4 手機數字鑰匙車主主動發(fā)起授權流程圖

車主主動在手機端填寫被授權者的信息，如：被授權者手機號、授權時間、授權權限、地理圍欄及車輛相關信息等。經過加密后的信息發(fā)送至云端服務器，服務器經過解密確認車主身份，并將授權信息進行存儲，同時生成授權碼以暗文的形式發(fā)送給被授權者手機。被授權者填寫個人相關信息加密后與授權碼一同發(fā)送至云端服務器進行解密并驗證。驗證通過后，云端服務器將生成的授權鑰匙發(fā)送給被授權者，被授權者持授權鑰匙即可操控車輛。在授權時間內車主有權監(jiān)控車輛狀態(tài)，如：被授權者是否處于設定的地理圍欄內。

3.3.2 被分享者主動發(fā)起授權

被分享者向服務器主動發(fā)起授權請求是為了完善分享授權機制的另外一種授權機制，具體流程，如圖5所示。

圖5 手機數字鑰匙被授權者主動發(fā)起授權流程圖

被授權者在手機端填寫個人相關信息和需求的車輛信息，如：被授權者姓名、身份證號、電話號碼、需要授權的車輛車牌號等，將加密后的信息發(fā)送至云端服務器。服務器根據被授權者發(fā)送的信息進行查詢，并發(fā)送請求的授權信息給被授權者指定的車主手機上。若車主同意授權，則將加密后的授權相關信息發(fā)送給服務器，服務器解密信息、驗證車主身份并進行信息存儲，同時發(fā)送授權碼及相關信息給被授權者。授權者收到授權碼后確認授權信息，信息確認無誤后將授權碼發(fā)送至服務器，服務器驗證通過后生成授權鑰匙發(fā)送給被授權者，被授權者持授權鑰匙即可操控車輛。

3.3.3 授權精細化

授權者進行鑰匙分享時，首先確定需要分享的功能，逐步進行開關車門、啟停車輛和開啟后備箱等功能的授權確認。手機移動設備存儲器中存儲了每一項車輛操控功能相對應的代碼，手機系統(tǒng)根據用戶選擇的功能生成相應的代碼（a，b，c，d……）。圖6示出手機數字鑰匙授權精細化邏輯框圖。

圖6 手機數字鑰匙授權精細化邏輯框圖

按照圖6的設計方法，以開啟車門為例，進行授權精細化的設計方案如下：

1）開啟車門。用戶操作手機鑰匙在開啟車門的功能欄中選擇“否”，系統(tǒng)將不會生成代碼a；如果用戶選擇“是”，手機后臺系統(tǒng)將開啟車門的功能轉換為代碼a；如果用戶所有的選項都是“否”，將不能進行下一步操作。

2）授權時間。除過去的時間或者授權的時間值為負數外，用戶可自由選擇任意時刻，然后這些信息被發(fā)送到服務器，服務器加密后生成一組總的代碼G返回給授權者。授權者將代碼G發(fā)送給被授權者。被授權者將代碼G按照手機存儲的解密方式進行解密，從而查看授權信息。

4 結論

文章設計了一款在手機端、云服務器、車端之間進行指令傳輸的全面而安全的手機數字鑰匙遠程控制車輛系統(tǒng)。按照該設計方案研發(fā)的數字鑰匙已在市場進行了應用，根據市場反應結果，確定了該方案的安全可靠。同時，該設計方案可進一步與其他物聯(lián)網功能進行融合，如：智能家居與數字鑰匙的結合方案，從而給用戶帶來更優(yōu)質的服務。