劉靜 李琦 張灜 信瑛南 李紀(jì)玄 董嵩松

（長城汽車股份有限公司）

汽車的EPS系統(tǒng)，一般可稱為無鑰匙系統(tǒng)或被動(dòng)式無鑰匙進(jìn)入系統(tǒng)，主要由車載通訊單元、控制系統(tǒng)及用戶隨身攜帶的用于合法身份識(shí)別的實(shí)體鑰匙組成[1]。智能鑰匙系統(tǒng)是在PEPS系統(tǒng)模塊中增加通訊模塊，可與移動(dòng)終端設(shè)備進(jìn)行互聯(lián)通訊，從而使鑰匙的形態(tài)從實(shí)體鑰匙轉(zhuǎn)變?yōu)橐苿?dòng)終端設(shè)備。該系統(tǒng)除了車主可以享受用車權(quán)限外，還賦予了車主分享給他人的權(quán)利。目前分享過程是采用明文發(fā)送或者短信驗(yàn)證等方式，直接將分享碼裸露，所以不法分子容易通過截獲明文或者短信碼的方式，盜取車輛或者車內(nèi)財(cái)物，造成車主財(cái)產(chǎn)損失和人身安全受到威脅[2]。如某知名車企的無線終端智能鑰匙的授權(quán)方法，采用的是通過服務(wù)器向被授權(quán)者發(fā)送授權(quán)證書的方式進(jìn)行授權(quán)，而授權(quán)證書在傳輸過程中可能存在截獲并被破解的風(fēng)險(xiǎn)[3]；另一個(gè)知名車企的藍(lán)牙智能鑰匙的授權(quán)方法，采用的是服務(wù)器向被分享者發(fā)送短信碼的形式，短信內(nèi)容為明文，截獲或者拷貝均可以作為鑰匙碼使用，安全性比較差。文章是基于加密通訊的方式，采用暗文發(fā)送進(jìn)行信息的傳輸，保證信息傳輸?shù)陌踩?。即便不法分子截獲信息，依然無法破譯，更大程度上提高了車輛的安全性。

1 車輛分享的安全性問題分析

1.1 現(xiàn)象與危害

目前汽車智能鑰匙分享時(shí)采用的是簡單的加解密，或者通過發(fā)送授權(quán)證書的方式，這些方案均存在安全隱患。而采用遠(yuǎn)程授權(quán)，通過授權(quán)平臺(tái)的方式，更是給了黑客攻擊的機(jī)會(huì)[4]。服務(wù)器數(shù)據(jù)很多，黑客攻擊將會(huì)帶來一批車輛的損失或者異常，給車廠和車主帶來很大的損失。

1.2 現(xiàn)有技術(shù)方案分析

目前市場上已經(jīng)出現(xiàn)了很多主機(jī)廠推出的智能鑰匙，現(xiàn)對(duì)3種主要方案進(jìn)行分析。

1）A公司的方案。未提及加密策略，僅僅用“加密”二字代表整個(gè)機(jī)制，系統(tǒng)安全性沒有保障。該方案提到了動(dòng)態(tài)加密和靜態(tài)加密，但沒有具體的策略，不法分子容易利用系統(tǒng)漏洞破壞或盜取加密信息，無法保障系統(tǒng)的安全性。

2）B公司的方案。信息傳輸方式為直接發(fā)送授權(quán)證書給被授權(quán)者，發(fā)送過程中信息容易被截獲。在服務(wù)器向被授權(quán)者發(fā)送授權(quán)證書這一關(guān)鍵環(huán)節(jié)沒有提及加密策略，對(duì)于用戶的信息安全和車輛安全存在安全隱患。

3）C公司的方案。信息傳輸直接為短信驗(yàn)證碼的方式，且驗(yàn)證碼為明文，其他人員如果直接將明文的短信碼拷貝或者抄寫，即可成功開啟車門進(jìn)入車輛，存在極大的安全隱患。

2 車輛授權(quán)機(jī)制方案

2.1 設(shè)計(jì)目標(biāo)

為了避免傳輸信息泄露，保障個(gè)人信息和財(cái)產(chǎn)安全，文章設(shè)計(jì)一種基于加密通訊的暗文發(fā)送的車輛授權(quán)機(jī)制。具體設(shè)計(jì)目標(biāo)有以下5點(diǎn)。

1）改變秘鑰信息傳輸?shù)男螒B(tài)，采用信息封裝和按鈕觸發(fā)，增大破解難度；

2）致力于解決現(xiàn)有虛擬鑰匙系統(tǒng)普遍存在的通訊安全問題；

3）結(jié)合虛擬鑰匙應(yīng)用于汽車，可以使車輛分享變得更加安全方便；

4）將秘鑰以暗文形式進(jìn)行傳輸，不展示在用戶面前，減少秘鑰代碼暴露的風(fēng)險(xiǎn)；

5）避免通過直接截獲或破譯的方式盜取車輛鑰匙的秘鑰信息，保護(hù)授權(quán)平臺(tái)的數(shù)據(jù)安全性，提高安全等級(jí)。

2.2 技術(shù)方案

本方案的硬件由移動(dòng)設(shè)備Ⅰ、移動(dòng)設(shè)備Ⅱ、服務(wù)器及車輛控制單元4個(gè)部分組成。軟件由2個(gè)移動(dòng)設(shè)備中的APP、車輛控制算法及服務(wù)器應(yīng)用程序4個(gè)部分組成。車輛授權(quán)機(jī)制工作原理，如圖1所示。

圖1 車輛授權(quán)機(jī)制工作原理圖

如圖1所示，車主通過移動(dòng)設(shè)備Ⅰ主動(dòng)發(fā)起分享請求，觸發(fā)APP中的“分享”功能，輸入信息，將信息發(fā)送給服務(wù)器。輸入信息應(yīng)包含分享者信息、授權(quán)的權(quán)限信息及被分享者信息等。當(dāng)服務(wù)器接收到移動(dòng)設(shè)備Ⅰ發(fā)出的信息后，進(jìn)行解碼工作，并將被分享者的信息單獨(dú)解析出來，向移動(dòng)設(shè)備Ⅱ發(fā)送命令，要求被分享者確認(rèn)分享信息，被分享者將反饋信息發(fā)送給服務(wù)器，此時(shí)服務(wù)器已經(jīng)收集了移動(dòng)設(shè)備Ⅰ和移動(dòng)設(shè)備Ⅱ的物理信息及分享的多維度信息參數(shù)，將這些信息通過應(yīng)用程序的后臺(tái)算法生成授權(quán)代碼，并將授權(quán)代碼通過服務(wù)器底層應(yīng)用程序發(fā)送給移動(dòng)設(shè)備Ⅱ；與此同時(shí)將該授權(quán)代碼發(fā)送給車輛控制單元。此時(shí)移動(dòng)設(shè)備Ⅱ已經(jīng)擁有了車輛鑰匙功能的權(quán)限，移動(dòng)設(shè)備Ⅱ在與車輛進(jìn)行通信連接后即可控制車輛。移動(dòng)設(shè)備Ⅰ和移動(dòng)設(shè)備Ⅱ與服務(wù)器之間的通訊采用暗文發(fā)送的形式，即授權(quán)碼只在系統(tǒng)內(nèi)傳輸，不會(huì)展示給用戶，用戶只需要根據(jù)提示進(jìn)行操作即可。

授權(quán)機(jī)制的秘鑰信息傳輸流程，如圖2所示。首先，車主觸發(fā)APP功能，設(shè)置分享的權(quán)限信息，例如：地域、時(shí)間及車輛功能的選擇等，輸入被分享者信息，然后點(diǎn)擊“確定”按鈕，此時(shí)服務(wù)器程序會(huì)將車主輸入的所有信息及車主本身設(shè)備的物理信息進(jìn)行加密，發(fā)送給服務(wù)器。服務(wù)器接收此信息后，進(jìn)行解密，并將被分享者的信息單獨(dú)示出，觸發(fā)被分享者的APP功能，被分享者收到核實(shí)信息內(nèi)容，并確認(rèn)。確認(rèn)后，被分享者的設(shè)備物理地址也發(fā)送給服務(wù)器，此時(shí)服務(wù)器會(huì)將所有信息融合并加密生成鑰匙的秘鑰信息，下發(fā)給車輛和被分享者，從而被分享者的終端設(shè)備即可作為車輛鑰匙使用。

圖2 車輛授權(quán)機(jī)制的秘鑰信息傳輸流程圖

為了更好地細(xì)化此分享過程，再從使用者的角度重點(diǎn)剖析此授權(quán)機(jī)制，將車主、被分享者及服務(wù)器的分享及觸發(fā)流程分別進(jìn)行詳細(xì)地說明，圖3示出車輛授權(quán)機(jī)制各單元流程圖。

圖3 車輛授權(quán)機(jī)制單元流程圖

如圖3所示，在整個(gè)車輛分享過程中采用暗文發(fā)送的形式，3個(gè)單元的所有操作均看不到明碼。

1）如圖3a所示，車主擁有車輛的控制權(quán)，為了保護(hù)分享過程中的安全性，分享車輛的這個(gè)功能由車主主動(dòng)觸發(fā)，這樣省卻了車主是否愿意分享的過程，車主與被分享人線下溝通意愿即可。一切操作均在APP端進(jìn)行，設(shè)置權(quán)限時(shí)為輸入信息給服務(wù)器的過程，車主需要輸入的信息包括車主身份信息、車輛身份信息分享的車輛操作功能（車門、發(fā)動(dòng)機(jī)、后備箱及空調(diào)等）、分享的限制（時(shí)限/地域/再次分享等）及被分享者聯(lián)系方式（電話號(hào)、微信號(hào)、郵箱號(hào)及注冊賬號(hào)等）等。當(dāng)點(diǎn)擊“分享”時(shí)，輸入的信息將被加密后發(fā)送給服務(wù)器。此時(shí)加密策略使用AES128策略，且為非對(duì)稱模式。

2）如圖3b所示，服務(wù)器接收到車主發(fā)送的分享車輛給他人的消息后，首先對(duì)該加密信息進(jìn)行對(duì)應(yīng)算法的解析，單獨(dú)識(shí)別被分享者的信息，然后將該分享信息加密并發(fā)送給被分享者。被分享者收到消息后，對(duì)信息進(jìn)行確認(rèn)，并反饋信息給服務(wù)器。此時(shí)的服務(wù)器已經(jīng)獲取到了車主的身份信息、分享權(quán)限參數(shù)及被分享者的身份信息等，并將所有的信息輸入算法庫，進(jìn)行加密并生成授權(quán)碼，即車輛的秘鑰信息。并將該秘鑰信息傳送給被分享者和車輛控制單元的秘鑰數(shù)據(jù)庫中。

3）如圖3c所示，接收來自服務(wù)器的確認(rèn)信息，例如：某車主愿意將牌照為××的車輛分享給您，是否接受？如果選擇“否”，流程直接結(jié)束；如果選擇“是”，被分享者終端設(shè)備的信息將會(huì)被傳輸?shù)椒?wù)器中，流程繼續(xù)。通過此過程的設(shè)備信息封裝、分享信息封裝及全過程無縫對(duì)接的形式防止了信息的外漏，增加了信息破解難度。服務(wù)器生成授權(quán)碼后，直接傳送給被分享者的終端設(shè)備，但是所有授權(quán)碼信息均為暗文，被分享者只需要查看APP端顯示的“分享成功”信息，即可獲知本終端設(shè)備是否具備了控制分享車輛的鑰匙功能。同時(shí)將分享的鑰匙功能權(quán)限進(jìn)一步解析，并使它與APP中的功能按鈕對(duì)應(yīng)，授權(quán)功能均高亮顯示。例如：車主只賦予了某個(gè)特殊角色（快遞員）打開后備箱的權(quán)限，那么通過此過程后，被分享者（快遞員）的手機(jī)APP端在使用車輛功能時(shí)，只“后備箱”功能為點(diǎn)亮狀態(tài)，其余均置灰色。這樣既提供了便利性，也增加了不法分子破解該秘鑰的難度，為車主的財(cái)產(chǎn)增設(shè)了一道保障。

當(dāng)服務(wù)器賦予被分享者車輛控制權(quán)限后，被分享者可以拿自己的終端設(shè)備（如手機(jī)）來到車輛附近，使該終端設(shè)備與車輛控制單元進(jìn)行通訊，當(dāng)車輛對(duì)設(shè)備進(jìn)行秘鑰的認(rèn)證通過后，即可對(duì)車輛進(jìn)行相關(guān)權(quán)限的控制操作。

系統(tǒng)生成的授權(quán)代碼用戶不可見，可以使用多樣化的加密策略。被分享者填寫好表單后，確認(rèn)分享，向服務(wù)器發(fā)送信息及服務(wù)器進(jìn)行授權(quán)的過程用戶不可見，系統(tǒng)均通過底層軟件自動(dòng)完成，保證了所有的秘鑰信息均為暗文，且進(jìn)行了層層加密，增大不法分子的破解難度，最大限度地保護(hù)了車主的財(cái)產(chǎn)安全。

3 結(jié)論

文章通過對(duì)車主、被分享者及服務(wù)器之間傳送的信息進(jìn)行加密封裝、按鈕觸發(fā)及服務(wù)器運(yùn)作的方式，更好地將明文傳送變?yōu)榘滴陌l(fā)送，極大地提高了信息傳輸過程中的安全性，讓汽車分享更加安全可靠。通過對(duì)該技術(shù)方案的分析及論證，確認(rèn)了該方案的技術(shù)可行性，并總結(jié)出該方案相對(duì)于傳統(tǒng)方案具有以下的優(yōu)勢。1）通過修改軟件的加密策略，實(shí)現(xiàn)通訊過程中采用暗文通訊方式，增加了系統(tǒng)的安全性，且成本不高，可操作性和可實(shí)施性強(qiáng)；2）簡化了用戶操作的步驟，使分享過程更加簡捷，增強(qiáng)了用戶體驗(yàn)；3）通過服務(wù)器與移動(dòng)設(shè)備Ⅱ之間的3次通信，確保被授權(quán)人身份的可靠性，使系統(tǒng)驗(yàn)證過程更加嚴(yán)謹(jǐn)。