基于汽車數字鑰匙系統架構設計與實現

鐘小敏，蘇國傳，程 登，張 亮，趙紫瑤

（上汽通用五菱汽車股份有限公司廣西汽車新四化重點實驗室，廣西 柳州 545007）

引言

汽車鑰匙的發展隨著現代化的發展而改變，從機械化到智能化，汽車數字鑰匙就是一個很大的飛躍，手機可以作為支付工具是引以為傲的進步，手機作為汽車鑰匙也成了用戶的愿望，傳統的手機藍牙鑰匙已不能滿足用戶需求，基于低功耗藍牙、NFC 等技術已經是目前數字鑰匙的開發方向，手機充當鑰匙更方便、更安全。

數字鑰匙功能的工作原理是通過手機或智能穿戴設備使用短距離通信與車輛完成互信與身份認證，幫助用戶實現車輛的進入與啟動。同時數字化的身份認證方式使得用戶可以靈活方便地復制多把數字鑰匙，并且能將數字鑰匙設定不同的控車權限、不同的使用時間，并定義用戶角色相關個性化參數，從而突破了物理鑰匙的局限性[1]。

數字鑰匙可視為以移動終端為載體的用于標識用戶身份的一系列數據，可以通過智能手機發送到汽車進行訪問控制。數字鑰匙通常由身份認證信息與屬性定義信息兩部分組成，身份認證信息由認證密鑰和數字簽名等部分組成，內容需符合數字鑰匙標準組織安全方案要求以實現功能兼容。屬性定義信息包含了車輛與用戶屬性、鑰匙使用權限、次數、有效期及其他數字鑰匙業務自定義內容，如圖1 所示。

圖1 汽車鑰匙的發展

1 數字鑰匙應用場景

汽車目前面向的群體越來越年輕化，出門只攜帶手機已然是目前的現狀，數字鑰匙的誕生是必然，這是一種便捷也是一種時尚，只需要攜帶手機出門，即可通過鑰匙解鎖啟動車輛，當手機沒電時，照樣可以使用手機NFC 車鑰匙打開車門，解決了只帶手機出門最大的問題?，F在的住宅樓、大型商場、寫字樓里，停車場通常被設置在地下，而地下停車場一般來講信號都不好，甚至是沒有信號，這個時候，數字鑰匙就可以出場了，近場的數字鑰匙不受信號的影響，當自己出差而家人要用車，或者是朋友要借車的時候，快遞傳統車鑰匙不但麻煩還費時間，APP 分享虛擬數字車鑰匙給家人或者朋友，不但快捷，還便于管理[2]。

當然除了這些場景外、未來將會開發更多的應用場景，在用車安全、便利、以及做更多的個性化設計，如果把車輛交給剛學會開車的孩子練手，或者將車給老人使用，可通過數字鑰匙App 實時觀察車輛行駛軌跡，甚至可以限速，保證安全；在傳統保養場景下，用戶需要等待很長的時間，即使有經銷商上門提供服務，但是服務完成還車的時候也必須在家，以保證車鑰匙能按時送還。而擁有數字鑰匙，用戶就完全可以自由安排時間，只需要把車輛駕駛權授權給經銷商即可，還能在App 上隨時監測保養進度、車輛軌跡、充電剩余時間等。而對于出行公司來說，數字鑰匙也會讓整體流程更為方便，類似共享充電寶，用芝麻信用分衡量租車人的信用值，一旦分數達標，企業可第一時間將數字鑰匙授權給租車者，甚至連押金都不需要。在數字鑰匙的控制下，車輛行駛路徑、活動范圍都能在出行公司掌控之下，如遇異常情況可以隨時凍結駕駛權限，如圖2 所示。

圖2 數字鑰匙的應用場景

2 數字鑰匙系統架構

數字鑰匙的便捷是基于功能安全的基礎，因此數字鑰匙應建立在安全的系統架構中，各模塊各司其職，相互隔離又相互制約，可隨時對每個環節進行安全把控。數字鑰匙系統架構包括數字鑰匙管理平臺、車廠TSP 后臺、手機廠商后臺、移動端數字鑰匙SDK 組件、車端藍牙主控節點與藍牙天線、車端NFC 讀卡器。

2.1 數字鑰匙管理平臺

數字鑰匙管理平臺主要用于管理數字鑰匙的生命周期，處理數字鑰匙業務請求如鑰匙申請、鑰匙分享、鑰匙撤銷、鑰匙凍結等；其通過對接手機廠商后臺實現對端側車鑰匙框架授信與認證，對接車廠TSP 平臺完成車輛與設備信息獲取與導入；并通過統一的安全信任中心實現移動端、車端密鑰生成與安全管理；同時為系統管理員提供數字鑰匙管理、車輛管理、設備管理、審計日志等管理功能。

2.2 車廠TSP 后臺

車廠TSP 后臺，即網聯車輛管理與服務平臺，在數字鑰匙系統中負責車輛與設備信息導入，用戶賬戶管理，數字鑰匙用戶業務處理，數字鑰匙白名單同步、密鑰與證書下發與更新等業務；此外，車廠自主建設的PKI/CA 以及密鑰管理系統可為數字鑰匙業務提供統一的身份信任中心及安全能力。

2.3 手機廠商后臺

手機廠商后臺管理手機端車鑰匙框架及相關數字鑰匙業務服務，其作用包括但不限于移動智能終端生命周期管理，鑰匙業務合作對接管理、包括移動智能終端可信應用管理相關，并提供終端車鑰匙在線吊銷服務，以應對手機丟失或被盜等場景的緊急處理。

2.4 移動端數字鑰匙SDK 組件

手機App 是面向C 端用戶的車聯網服務應用，其通過集成數字鑰匙SDK 組件實現向用戶提供數字鑰匙服務功能。數字鑰匙SDK 組件內包含了短距離通信控制（藍牙、NFC 等）模塊、數字鑰匙業務服務模塊、輔助測距定位模塊、藍牙高可用模塊、手機車鑰匙框架對接模塊以及安全中間件模塊等；可支持Android、IOS 操作系統，并能適配智能手機和智能穿戴設備。

2.5 車端藍牙主控節點與藍牙天線

車端藍牙主控節點負責在閑時發送藍牙廣播，與手機建立藍牙通信，并支持與手機進行藍牙配對、認證鑒權、數字鑰匙業務處理、車控指令處理、車身數據同步等功能。車端藍牙主控節點通過其安全單元來保障數字鑰匙機密數據的安全存儲，以及數字鑰匙白名單管理；此外，主控節點負責基于各天線的信號強度（或相位角、飛行時間等）輸入對手機進行定位，判斷用戶進入、啟動請求合法性；車端可布置一個或多個藍牙天線，其通過監聽或掃描獲取已連接手機的信號強度，并發送至主節點以幫助藍牙主模塊對手機進行定位。

2.6 車端NFC 讀卡器

車輛端可在車輛外部和中控內分別安裝NFC讀卡器，通過與手機建立NFC 會話完成設備合法性驗證，實現基于NFC 的車輛進入和啟動功能。

3 數字鑰匙主要工作流程

1）車輛下線時需灌裝數字鑰匙業務根密鑰、證書等，并在下線完成后將相關信息導入至數字鑰匙管理平臺[3]。

2）用戶下載App 后，需依次完成賬戶注冊、車輛綁定、數字鑰匙功能開通申請等操作。后臺校驗人車關系及用戶權限，若驗證通過則生產數字鑰匙，并基于移動設備手機型號、操作系統版本、是否支持車鑰匙框架等特征將鑰匙安全下發到手機端。

3）用戶獲取到數字鑰匙后，攜帶手機到車輛端完成藍牙配對和鑰匙認證后即可激活鑰匙，實現車輛進入和啟動。

4）車主可通過App 將車輛授權給其他用戶，如親人、朋友、快遞員、維修保養人員等。并自定義車輛的的使用權限、有效期、使用次數等信息。后臺將基于鑰匙權限信息、被分享車輛信息、被分享用戶設備信息等生成數字鑰匙，并下發通知到被分享人手機。被分享人從后臺獲取車輛鑰匙后，即可控車和用車。

5）車主可通過App查看已授權車鑰匙狀態，并通過App撤銷已授權鑰匙，如圖3 所示。

圖3 數字鑰匙工作周期

4 數字鑰匙系統安全設計

數字鑰匙系統涉及到手機、后臺、車輛等多個子系統，并且關系到車輛生命周期和用戶使用的多個場景，如車輛下線、人車綁定、鑰匙開通、鑰匙使用、鑰匙注銷、鑰匙使用授權、撤銷、ECU 換件、手機更換、車主更換等。復雜的系統組成及多種使用場景使得該功能比物理鑰匙系統面臨更多的安全威脅。

1）通信安全，如對傳輸進行數據加密，以及傳輸通道安全，使用VPN/APN/SSL 等進行傳輸，從而實現以下安全功能：防請求重放攻擊、防官方接入應用被篡改和注入惡意代碼、防中間人偵聽和破解分析、多重鑒權和身份驗證。

2）數據安全，如數據定期備份、數據恢復和數據冗余存儲（RAID）；同時系統平臺采用業界成熟的分布式文件系統和分布式數據庫，在重要數據單獨備份的基礎上，實現系統級的數據容災等功能。同時在數據存儲時，將對敏感數據進行加密存儲，比如：用戶密碼、用戶帳戶信息等。

3）應用安全，增加防火墻；操作系統安全機制、數據庫系統安全機制、業務層應用訪問權限控制；數字鑰匙服務業務的應用備份機制，包括本地熱備，以及后期的災備機制。

4）平臺安全：負責數據傳輸網絡的安全、敏感數據進行特別加密，如密碼、ID、郵箱等；任何后臺訪問都要認證，每次服務都有token，每次只能使用一次，防止重發工具，來保證后臺服務器的安全；防止頁面注入攻擊后臺，很多用戶輸入的內容，必須要經過防止注入過濾，把可執行語句全部過濾掉；手機初次使用需要激活，綁定手機硬件ID；針對用戶手機丟失，允許用戶注銷某手機，以防止手機App 為第三方惡意操作；車主身份鑒權認證。根據不同定制需求，拒絕非車主登陸或允許非車主登陸但只使用受限功能；空中數據通道高強度非對稱加密；應用層敏感數據高強度加密與哈希，如用戶名密碼不允許在空中信道明文傳輸；空中信道應用層通信會話定期刷新。

5 結語

針對汽車鑰匙發展做的相應改革，開發了一套數字鑰匙系統，在快捷、安全下利用手機作為汽車鑰匙，只帶手機或者手機沒電情況下，有效利用手機解鎖并且啟動車輛，提升了用戶體驗。該系統包含了數字鑰匙管理平臺、車廠TSP 后臺、手機廠商后臺、移動端數字鑰匙SDK 組件、車端藍牙主控節點與藍牙天線、車端NFC 讀卡器。軟硬件具備相應的安全策略，具有良好的可靠性。