鐘小敏，蘇國傳，程 登，張 亮，趙紫瑤

（上汽通用五菱汽車股份有限公司廣西汽車新四化重點實驗室，廣西 柳州 545007）

引言

汽車鑰匙的發(fā)展隨著現(xiàn)代化的發(fā)展而改變，從機(jī)械化到智能化，汽車數(shù)字鑰匙就是一個很大的飛躍，手機(jī)可以作為支付工具是引以為傲的進(jìn)步，手機(jī)作為汽車鑰匙也成了用戶的愿望，傳統(tǒng)的手機(jī)藍(lán)牙鑰匙已不能滿足用戶需求，基于低功耗藍(lán)牙、NFC 等技術(shù)已經(jīng)是目前數(shù)字鑰匙的開發(fā)方向，手機(jī)充當(dāng)鑰匙更方便、更安全。

數(shù)字鑰匙功能的工作原理是通過手機(jī)或智能穿戴設(shè)備使用短距離通信與車輛完成互信與身份認(rèn)證，幫助用戶實現(xiàn)車輛的進(jìn)入與啟動。同時數(shù)字化的身份認(rèn)證方式使得用戶可以靈活方便地復(fù)制多把數(shù)字鑰匙，并且能將數(shù)字鑰匙設(shè)定不同的控車權(quán)限、不同的使用時間，并定義用戶角色相關(guān)個性化參數(shù)，從而突破了物理鑰匙的局限性[1]。

數(shù)字鑰匙可視為以移動終端為載體的用于標(biāo)識用戶身份的一系列數(shù)據(jù)，可以通過智能手機(jī)發(fā)送到汽車進(jìn)行訪問控制。數(shù)字鑰匙通常由身份認(rèn)證信息與屬性定義信息兩部分組成，身份認(rèn)證信息由認(rèn)證密鑰和數(shù)字簽名等部分組成，內(nèi)容需符合數(shù)字鑰匙標(biāo)準(zhǔn)組織安全方案要求以實現(xiàn)功能兼容。屬性定義信息包含了車輛與用戶屬性、鑰匙使用權(quán)限、次數(shù)、有效期及其他數(shù)字鑰匙業(yè)務(wù)自定義內(nèi)容，如圖1 所示。

圖1 汽車鑰匙的發(fā)展

1 數(shù)字鑰匙應(yīng)用場景

汽車目前面向的群體越來越年輕化，出門只攜帶手機(jī)已然是目前的現(xiàn)狀，數(shù)字鑰匙的誕生是必然，這是一種便捷也是一種時尚，只需要攜帶手機(jī)出門，即可通過鑰匙解鎖啟動車輛，當(dāng)手機(jī)沒電時，照樣可以使用手機(jī)NFC 車鑰匙打開車門，解決了只帶手機(jī)出門最大的問題?，F(xiàn)在的住宅樓、大型商場、寫字樓里，停車場通常被設(shè)置在地下，而地下停車場一般來講信號都不好，甚至是沒有信號，這個時候，數(shù)字鑰匙就可以出場了，近場的數(shù)字鑰匙不受信號的影響，當(dāng)自己出差而家人要用車，或者是朋友要借車的時候，快遞傳統(tǒng)車鑰匙不但麻煩還費時間，APP 分享虛擬數(shù)字車鑰匙給家人或者朋友，不但快捷，還便于管理[2]。

當(dāng)然除了這些場景外、未來將會開發(fā)更多的應(yīng)用場景，在用車安全、便利、以及做更多的個性化設(shè)計，如果把車輛交給剛學(xué)會開車的孩子練手，或者將車給老人使用，可通過數(shù)字鑰匙App 實時觀察車輛行駛軌跡，甚至可以限速，保證安全；在傳統(tǒng)保養(yǎng)場景下，用戶需要等待很長的時間，即使有經(jīng)銷商上門提供服務(wù)，但是服務(wù)完成還車的時候也必須在家，以保證車鑰匙能按時送還。而擁有數(shù)字鑰匙，用戶就完全可以自由安排時間，只需要把車輛駕駛權(quán)授權(quán)給經(jīng)銷商即可，還能在App 上隨時監(jiān)測保養(yǎng)進(jìn)度、車輛軌跡、充電剩余時間等。而對于出行公司來說，數(shù)字鑰匙也會讓整體流程更為方便，類似共享充電寶，用芝麻信用分衡量租車人的信用值，一旦分?jǐn)?shù)達(dá)標(biāo)，企業(yè)可第一時間將數(shù)字鑰匙授權(quán)給租車者，甚至連押金都不需要。在數(shù)字鑰匙的控制下，車輛行駛路徑、活動范圍都能在出行公司掌控之下，如遇異常情況可以隨時凍結(jié)駕駛權(quán)限，如圖2 所示。

圖2 數(shù)字鑰匙的應(yīng)用場景

2 數(shù)字鑰匙系統(tǒng)架構(gòu)

數(shù)字鑰匙的便捷是基于功能安全的基礎(chǔ)，因此數(shù)字鑰匙應(yīng)建立在安全的系統(tǒng)架構(gòu)中，各模塊各司其職，相互隔離又相互制約，可隨時對每個環(huán)節(jié)進(jìn)行安全把控。數(shù)字鑰匙系統(tǒng)架構(gòu)包括數(shù)字鑰匙管理平臺、車廠TSP 后臺、手機(jī)廠商后臺、移動端數(shù)字鑰匙SDK 組件、車端藍(lán)牙主控節(jié)點與藍(lán)牙天線、車端NFC 讀卡器。

2.1 數(shù)字鑰匙管理平臺

數(shù)字鑰匙管理平臺主要用于管理數(shù)字鑰匙的生命周期，處理數(shù)字鑰匙業(yè)務(wù)請求如鑰匙申請、鑰匙分享、鑰匙撤銷、鑰匙凍結(jié)等；其通過對接手機(jī)廠商后臺實現(xiàn)對端側(cè)車鑰匙框架授信與認(rèn)證，對接車廠TSP 平臺完成車輛與設(shè)備信息獲取與導(dǎo)入；并通過統(tǒng)一的安全信任中心實現(xiàn)移動端、車端密鑰生成與安全管理；同時為系統(tǒng)管理員提供數(shù)字鑰匙管理、車輛管理、設(shè)備管理、審計日志等管理功能。

2.2 車廠TSP 后臺

車廠TSP 后臺，即網(wǎng)聯(lián)車輛管理與服務(wù)平臺，在數(shù)字鑰匙系統(tǒng)中負(fù)責(zé)車輛與設(shè)備信息導(dǎo)入，用戶賬戶管理，數(shù)字鑰匙用戶業(yè)務(wù)處理，數(shù)字鑰匙白名單同步、密鑰與證書下發(fā)與更新等業(yè)務(wù)；此外，車廠自主建設(shè)的PKI/CA 以及密鑰管理系統(tǒng)可為數(shù)字鑰匙業(yè)務(wù)提供統(tǒng)一的身份信任中心及安全能力。

2.3 手機(jī)廠商后臺

手機(jī)廠商后臺管理手機(jī)端車鑰匙框架及相關(guān)數(shù)字鑰匙業(yè)務(wù)服務(wù)，其作用包括但不限于移動智能終端生命周期管理，鑰匙業(yè)務(wù)合作對接管理、包括移動智能終端可信應(yīng)用管理相關(guān)，并提供終端車鑰匙在線吊銷服務(wù)，以應(yīng)對手機(jī)丟失或被盜等場景的緊急處理。

2.4 移動端數(shù)字鑰匙SDK 組件

手機(jī)App 是面向C 端用戶的車聯(lián)網(wǎng)服務(wù)應(yīng)用，其通過集成數(shù)字鑰匙SDK 組件實現(xiàn)向用戶提供數(shù)字鑰匙服務(wù)功能。數(shù)字鑰匙SDK 組件內(nèi)包含了短距離通信控制（藍(lán)牙、NFC 等）模塊、數(shù)字鑰匙業(yè)務(wù)服務(wù)模塊、輔助測距定位模塊、藍(lán)牙高可用模塊、手機(jī)車鑰匙框架對接模塊以及安全中間件模塊等；可支持Android、IOS 操作系統(tǒng)，并能適配智能手機(jī)和智能穿戴設(shè)備。

2.5 車端藍(lán)牙主控節(jié)點與藍(lán)牙天線

車端藍(lán)牙主控節(jié)點負(fù)責(zé)在閑時發(fā)送藍(lán)牙廣播，與手機(jī)建立藍(lán)牙通信，并支持與手機(jī)進(jìn)行藍(lán)牙配對、認(rèn)證鑒權(quán)、數(shù)字鑰匙業(yè)務(wù)處理、車控指令處理、車身數(shù)據(jù)同步等功能。車端藍(lán)牙主控節(jié)點通過其安全單元來保障數(shù)字鑰匙機(jī)密數(shù)據(jù)的安全存儲，以及數(shù)字鑰匙白名單管理；此外，主控節(jié)點負(fù)責(zé)基于各天線的信號強(qiáng)度（或相位角、飛行時間等）輸入對手機(jī)進(jìn)行定位，判斷用戶進(jìn)入、啟動請求合法性；車端可布置一個或多個藍(lán)牙天線，其通過監(jiān)聽或掃描獲取已連接手機(jī)的信號強(qiáng)度，并發(fā)送至主節(jié)點以幫助藍(lán)牙主模塊對手機(jī)進(jìn)行定位。

2.6 車端NFC 讀卡器

車輛端可在車輛外部和中控內(nèi)分別安裝NFC讀卡器，通過與手機(jī)建立NFC 會話完成設(shè)備合法性驗證，實現(xiàn)基于NFC 的車輛進(jìn)入和啟動功能。

3 數(shù)字鑰匙主要工作流程

1）車輛下線時需灌裝數(shù)字鑰匙業(yè)務(wù)根密鑰、證書等，并在下線完成后將相關(guān)信息導(dǎo)入至數(shù)字鑰匙管理平臺[3]。

2）用戶下載App 后，需依次完成賬戶注冊、車輛綁定、數(shù)字鑰匙功能開通申請等操作。后臺校驗人車關(guān)系及用戶權(quán)限，若驗證通過則生產(chǎn)數(shù)字鑰匙，并基于移動設(shè)備手機(jī)型號、操作系統(tǒng)版本、是否支持車鑰匙框架等特征將鑰匙安全下發(fā)到手機(jī)端。

3）用戶獲取到數(shù)字鑰匙后，攜帶手機(jī)到車輛端完成藍(lán)牙配對和鑰匙認(rèn)證后即可激活鑰匙，實現(xiàn)車輛進(jìn)入和啟動。

4）車主可通過App 將車輛授權(quán)給其他用戶，如親人、朋友、快遞員、維修保養(yǎng)人員等。并自定義車輛的的使用權(quán)限、有效期、使用次數(shù)等信息。后臺將基于鑰匙權(quán)限信息、被分享車輛信息、被分享用戶設(shè)備信息等生成數(shù)字鑰匙，并下發(fā)通知到被分享人手機(jī)。被分享人從后臺獲取車輛鑰匙后，即可控車和用車。

5）車主可通過App查看已授權(quán)車鑰匙狀態(tài)，并通過App撤銷已授權(quán)鑰匙，如圖3 所示。

圖3 數(shù)字鑰匙工作周期

4 數(shù)字鑰匙系統(tǒng)安全設(shè)計

數(shù)字鑰匙系統(tǒng)涉及到手機(jī)、后臺、車輛等多個子系統(tǒng)，并且關(guān)系到車輛生命周期和用戶使用的多個場景，如車輛下線、人車綁定、鑰匙開通、鑰匙使用、鑰匙注銷、鑰匙使用授權(quán)、撤銷、ECU 換件、手機(jī)更換、車主更換等。復(fù)雜的系統(tǒng)組成及多種使用場景使得該功能比物理鑰匙系統(tǒng)面臨更多的安全威脅。

1）通信安全，如對傳輸進(jìn)行數(shù)據(jù)加密，以及傳輸通道安全，使用VPN/APN/SSL 等進(jìn)行傳輸，從而實現(xiàn)以下安全功能：防請求重放攻擊、防官方接入應(yīng)用被篡改和注入惡意代碼、防中間人偵聽和破解分析、多重鑒權(quán)和身份驗證。

2）數(shù)據(jù)安全，如數(shù)據(jù)定期備份、數(shù)據(jù)恢復(fù)和數(shù)據(jù)冗余存儲（RAID）；同時系統(tǒng)平臺采用業(yè)界成熟的分布式文件系統(tǒng)和分布式數(shù)據(jù)庫，在重要數(shù)據(jù)單獨備份的基礎(chǔ)上，實現(xiàn)系統(tǒng)級的數(shù)據(jù)容災(zāi)等功能。同時在數(shù)據(jù)存儲時，將對敏感數(shù)據(jù)進(jìn)行加密存儲，比如：用戶密碼、用戶帳戶信息等。

3）應(yīng)用安全，增加防火墻；操作系統(tǒng)安全機(jī)制、數(shù)據(jù)庫系統(tǒng)安全機(jī)制、業(yè)務(wù)層應(yīng)用訪問權(quán)限控制；數(shù)字鑰匙服務(wù)業(yè)務(wù)的應(yīng)用備份機(jī)制，包括本地?zé)醾?，以及后期的?zāi)備機(jī)制。

4）平臺安全：負(fù)責(zé)數(shù)據(jù)傳輸網(wǎng)絡(luò)的安全、敏感數(shù)據(jù)進(jìn)行特別加密，如密碼、ID、郵箱等；任何后臺訪問都要認(rèn)證，每次服務(wù)都有token，每次只能使用一次，防止重發(fā)工具，來保證后臺服務(wù)器的安全；防止頁面注入攻擊后臺，很多用戶輸入的內(nèi)容，必須要經(jīng)過防止注入過濾，把可執(zhí)行語句全部過濾掉；手機(jī)初次使用需要激活，綁定手機(jī)硬件ID；針對用戶手機(jī)丟失，允許用戶注銷某手機(jī)，以防止手機(jī)App 為第三方惡意操作；車主身份鑒權(quán)認(rèn)證。根據(jù)不同定制需求，拒絕非車主登陸或允許非車主登陸但只使用受限功能；空中數(shù)據(jù)通道高強(qiáng)度非對稱加密；應(yīng)用層敏感數(shù)據(jù)高強(qiáng)度加密與哈希，如用戶名密碼不允許在空中信道明文傳輸；空中信道應(yīng)用層通信會話定期刷新。

5 結(jié)語

針對汽車鑰匙發(fā)展做的相應(yīng)改革，開發(fā)了一套數(shù)字鑰匙系統(tǒng)，在快捷、安全下利用手機(jī)作為汽車鑰匙，只帶手機(jī)或者手機(jī)沒電情況下，有效利用手機(jī)解鎖并且啟動車輛，提升了用戶體驗。該系統(tǒng)包含了數(shù)字鑰匙管理平臺、車廠TSP 后臺、手機(jī)廠商后臺、移動端數(shù)字鑰匙SDK 組件、車端藍(lán)牙主控節(jié)點與藍(lán)牙天線、車端NFC 讀卡器。軟硬件具備相應(yīng)的安全策略，具有良好的可靠性。