手機數(shù)字鑰匙遠程控制車輛系統(tǒng)的設計

信瑛南 劉靜 李琦 張瀛 董嵩松 丁靖

（長城汽車股份有限公司）

目前市場上不斷涌現(xiàn)出手機數(shù)字鑰匙產(chǎn)品，手機數(shù)字鑰匙取代傳統(tǒng)的汽車鑰匙無疑將給人們帶來更佳的便利性。手機數(shù)字鑰匙將傳統(tǒng)車鑰匙的全部功能映射到手機中，通過操作手機鑰匙實現(xiàn)開關(guān)車門、啟停發(fā)動機、開啟后備箱等功能，而手機數(shù)字鑰匙的“遠程控制車輛”作為部分車鑰匙功能，其順應了互聯(lián)網(wǎng)時代的發(fā)展需要[1]。然而，隨著電子智能化程度的加深，系統(tǒng)安全性是設計的基本保障?；谝陨咸攸c，文章以多角度、全方面的視角闡述了手機數(shù)字鑰匙遠程控制車輛的設計方法。

1 現(xiàn)有產(chǎn)品分析

文章對不同廠商的手機數(shù)字鑰匙產(chǎn)品的技術(shù)方案進行了分析并總結(jié)如下：

1）A類公司產(chǎn)品。屬于最早期市場出現(xiàn)的產(chǎn)品，各個指令傳輸環(huán)節(jié)均為單向傳輸，無反饋環(huán)節(jié)[2]，設計方案較簡單且安全性較低。

2）B類公司產(chǎn)品。為了使人們適應車鑰匙由有到無的應用過渡，該類公司產(chǎn)品定義為手機加傳統(tǒng)車鑰匙的形態(tài)[3]，在便利性方面并未給用戶帶來更佳的體驗。

3）C類公司產(chǎn)品。車主主動發(fā)起授權(quán)或被授權(quán)者主動發(fā)起授權(quán)，存在授權(quán)信息單一或不可變動的問題，產(chǎn)品不夠全面、靈活性較差。

4）D類公司產(chǎn)品。信息傳輸均采用明文的方式，信息數(shù)據(jù)容易被盜取，給車主的財產(chǎn)安全帶來了一定的風險。

為了彌補上述產(chǎn)品的不足，同時為了打造一款全新的、安全的、體驗性更好的數(shù)字鑰匙產(chǎn)品，文章設計了一款手機數(shù)字鑰匙遠程控制車輛的系統(tǒng)，并闡述了全面的遠程授權(quán)技術(shù)。

2 系統(tǒng)總體設計

手機、云服務器和車輛三者構(gòu)成了一個緊密的閉環(huán)系統(tǒng)，如圖1所示。手機端主要將云服務器發(fā)送的密鑰進行存儲，對填寫的個人及車輛相關(guān)信息進行加密；云服務器接收來自手機端的信息后進行驗證、存儲，生成數(shù)字鑰匙，并定期更新密鑰等；車主獲得服務器發(fā)送的數(shù)字鑰匙并存儲在手機端，車主持手機數(shù)字鑰匙與車輛終端控制單元內(nèi)的數(shù)字鑰匙進行通訊認證，認證成功后可操作車輛，同時可以查看車輛的狀態(tài)信息，如油量等。

圖1 手機數(shù)字鑰匙遠程控制車輛的系統(tǒng)結(jié)構(gòu)框圖

遠程控制車輛系統(tǒng)各模塊的主要功能如下：

1）智能手機端。安裝了具有操控車輛功能的APP且適用于任何型號的手機，同時具備網(wǎng)絡連接功能。手機APP具備登錄、撤銷、密鑰存儲、信息加密、遠程開啟空調(diào)、監(jiān)控車輛信息等軟件功能。

2）云服務器。具有密鑰生成、信息加密和解密、信息存儲及安全防護等功能。

3）車輛終端。主要包括無鑰匙進入及啟動（PEPS）控制單元、藍牙通訊模塊和T-box系統(tǒng)。其中，PEPS控制單元具備密鑰存儲和校驗、識別移動設備授權(quán)權(quán)限、發(fā)送執(zhí)行命令給BCM等功能；藍牙通訊模塊用于手機鑰匙的近距離通訊，這里不做過多說明；T-box用于接收遠程控制車輛命令并發(fā)送命令給執(zhí)行機構(gòu)。

3 系統(tǒng)詳細設計

3.1 車主授權(quán)及車輛控制

車主初次使用手機鑰匙控制車輛時，車廠需對車主進行授權(quán)，并給予其數(shù)字鑰匙從而實現(xiàn)遠程控制車輛的目的，詳細授權(quán)機制，如圖2所示。

圖2 車主授權(quán)及操作車輛的遠程控制系統(tǒng)

車主通過手機將手機號碼發(fā)送至云端服務器，服務器根據(jù)加密策略將加密密鑰R以暗文的形式發(fā)送給手機，手機將接收到的密鑰R存儲至手機安全芯片內(nèi)。用戶在手機上設置基本信息和個人驗證信息，其中基本信息是指用戶的身份證號、車輛VIN碼、消息認證碼（MAC）地址、住址等能證明手機、車輛與用戶身份的可行性信息，個人驗證信息是指僅用于驗證用戶身份的信息，如密保信息。用戶信息經(jīng)過安全芯片內(nèi)密鑰R加密后發(fā)送至服務器，服務器根據(jù)終端號碼生成的相應密鑰進行解密，若解密成功則將解密后的用戶信息存儲至服務器端，如用戶更換手機或手機丟失將作為信息認證使用；若解密失敗則反饋無效信息給車主。經(jīng)解密成功后的信息證明該用戶為合法用戶，服務器將含有用戶個人信息的數(shù)據(jù)再次加密，生成鑰匙K發(fā)送給車主，手機將接收的加密鑰匙存儲至手機內(nèi)。

當用戶操作手機試圖控制車輛時，手機向車輛終端發(fā)送操作請求命令，車輛終端接收到該命令后，首先檢測鑰匙K是否與車輛銷售時與客戶信息綁定的存儲密鑰信息一致，若不一致則該請求命令視為無效，并發(fā)送反饋信息給手機，此命令為無效指令；若鑰匙一致且車載控制器防盜認證通過，執(zhí)行操作車輛的指令，如遠程開啟發(fā)動機。同時車輛終端可將車輛當前狀態(tài)信息反饋至手機，手機可實時監(jiān)測車輛狀態(tài)信息，如：車內(nèi)溫度、空氣質(zhì)量、車輛位置及油量等情況，給用戶更好的用車體驗。

3.2 特殊情況設計

在某些特殊場景下，用戶需要更改鑰匙來確保車輛的安全，圖3示出特殊場景的手機數(shù)字鑰匙設計方案。

圖3 特殊場景的手機數(shù)字鑰匙設計流程框圖

3.2.1 手機更換

美國某機構(gòu)的數(shù)據(jù)顯示，由于智能電子產(chǎn)品迭代更新的速度較快，51%的蘋果手機用戶、40%的安卓手機用戶、21%的其他手機用戶會選擇每2年換1次手機。由于每臺手機的MAC是唯一的，因此更換手機后需要更改用戶信息，從而確保車主的財產(chǎn)安全。

當用戶需要更換手機時，舊手機發(fā)送修改信息請求給服務器，服務器接收到該請求后向舊手機發(fā)送輸入個人驗證信息的要求，用戶輸入個人驗證信息后發(fā)送至服務器進行身份認證，若認證成功，用戶可修改個人信息，如：電話號碼、MAC等，然后云服務器將修改后的信息進行重新存儲，同時將生成的新鑰匙KN發(fā)送到更新后的新手機上，并通過服務器將車輛終端存儲的密鑰進行更新，用戶利用新鑰匙KN可對車輛進行操作。

3.2.2 手機維修、丟失或被盜

為了避免手機在維修中個人信息（包括密鑰）被復制，系統(tǒng)每隔一定周期會將手機、服務器和車輛終端的鑰匙統(tǒng)一進行密鑰滾動更新。當車主手機丟失或被盜時，可通過人工服務平臺進行個人信息驗證，認證通過后服務器可更新存儲的車輛密鑰信息。由于丟失的手機存儲的是舊密鑰，故不能開啟新密鑰的車輛，從而可防止車輛被盜，確保車主財產(chǎn)安全。

3.3 鑰匙分享

3.3.1 車主主動發(fā)起授權(quán)

車主主動發(fā)起授權(quán)，請求服務器為被授權(quán)者頒發(fā)臨時數(shù)字鑰匙，詳細設計方案，如圖4所示。

圖4 手機數(shù)字鑰匙車主主動發(fā)起授權(quán)流程圖

車主主動在手機端填寫被授權(quán)者的信息，如：被授權(quán)者手機號、授權(quán)時間、授權(quán)權(quán)限、地理圍欄及車輛相關(guān)信息等。經(jīng)過加密后的信息發(fā)送至云端服務器，服務器經(jīng)過解密確認車主身份，并將授權(quán)信息進行存儲，同時生成授權(quán)碼以暗文的形式發(fā)送給被授權(quán)者手機。被授權(quán)者填寫個人相關(guān)信息加密后與授權(quán)碼一同發(fā)送至云端服務器進行解密并驗證。驗證通過后，云端服務器將生成的授權(quán)鑰匙發(fā)送給被授權(quán)者，被授權(quán)者持授權(quán)鑰匙即可操控車輛。在授權(quán)時間內(nèi)車主有權(quán)監(jiān)控車輛狀態(tài)，如：被授權(quán)者是否處于設定的地理圍欄內(nèi)。

3.3.2 被分享者主動發(fā)起授權(quán)

被分享者向服務器主動發(fā)起授權(quán)請求是為了完善分享授權(quán)機制的另外一種授權(quán)機制，具體流程，如圖5所示。

圖5 手機數(shù)字鑰匙被授權(quán)者主動發(fā)起授權(quán)流程圖

被授權(quán)者在手機端填寫個人相關(guān)信息和需求的車輛信息，如：被授權(quán)者姓名、身份證號、電話號碼、需要授權(quán)的車輛車牌號等，將加密后的信息發(fā)送至云端服務器。服務器根據(jù)被授權(quán)者發(fā)送的信息進行查詢，并發(fā)送請求的授權(quán)信息給被授權(quán)者指定的車主手機上。若車主同意授權(quán)，則將加密后的授權(quán)相關(guān)信息發(fā)送給服務器，服務器解密信息、驗證車主身份并進行信息存儲，同時發(fā)送授權(quán)碼及相關(guān)信息給被授權(quán)者。授權(quán)者收到授權(quán)碼后確認授權(quán)信息，信息確認無誤后將授權(quán)碼發(fā)送至服務器，服務器驗證通過后生成授權(quán)鑰匙發(fā)送給被授權(quán)者，被授權(quán)者持授權(quán)鑰匙即可操控車輛。

3.3.3 授權(quán)精細化

授權(quán)者進行鑰匙分享時，首先確定需要分享的功能，逐步進行開關(guān)車門、啟停車輛和開啟后備箱等功能的授權(quán)確認。手機移動設備存儲器中存儲了每一項車輛操控功能相對應的代碼，手機系統(tǒng)根據(jù)用戶選擇的功能生成相應的代碼（a，b，c，d……）。圖6示出手機數(shù)字鑰匙授權(quán)精細化邏輯框圖。

圖6 手機數(shù)字鑰匙授權(quán)精細化邏輯框圖

按照圖6的設計方法，以開啟車門為例，進行授權(quán)精細化的設計方案如下：

1）開啟車門。用戶操作手機鑰匙在開啟車門的功能欄中選擇“否”，系統(tǒng)將不會生成代碼a；如果用戶選擇“是”，手機后臺系統(tǒng)將開啟車門的功能轉(zhuǎn)換為代碼a；如果用戶所有的選項都是“否”，將不能進行下一步操作。

2）授權(quán)時間。除過去的時間或者授權(quán)的時間值為負數(shù)外，用戶可自由選擇任意時刻，然后這些信息被發(fā)送到服務器，服務器加密后生成一組總的代碼G返回給授權(quán)者。授權(quán)者將代碼G發(fā)送給被授權(quán)者。被授權(quán)者將代碼G按照手機存儲的解密方式進行解密，從而查看授權(quán)信息。

4 結(jié)論

文章設計了一款在手機端、云服務器、車端之間進行指令傳輸?shù)娜娑踩氖謾C數(shù)字鑰匙遠程控制車輛系統(tǒng)。按照該設計方案研發(fā)的數(shù)字鑰匙已在市場進行了應用，根據(jù)市場反應結(jié)果，確定了該方案的安全可靠。同時，該設計方案可進一步與其他物聯(lián)網(wǎng)功能進行融合，如：智能家居與數(shù)字鑰匙的結(jié)合方案，從而給用戶帶來更優(yōu)質(zhì)的服務。