刘静 李琦 张灜 信瑛南 李纪玄 董嵩松

（长城汽车股份有限公司）

汽车的EPS系统，一般可称为无钥匙系统或被动式无钥匙进入系统，主要由车载通讯单元、控制系统及用户随身携带的用于合法身份识别的实体钥匙组成[1]。智能钥匙系统是在PEPS系统模块中增加通讯模块，可与移动终端设备进行互联通讯，从而使钥匙的形态从实体钥匙转变为移动终端设备。该系统除了车主可以享受用车权限外，还赋予了车主分享给他人的权利。目前分享过程是采用明文发送或者短信验证等方式，直接将分享码裸露，所以不法分子容易通过截获明文或者短信码的方式，盗取车辆或者车内财物，造成车主财产损失和人身安全受到威胁[2]。如某知名车企的无线终端智能钥匙的授权方法，采用的是通过服务器向被授权者发送授权证书的方式进行授权，而授权证书在传输过程中可能存在截获并被破解的风险[3]；另一个知名车企的蓝牙智能钥匙的授权方法，采用的是服务器向被分享者发送短信码的形式，短信内容为明文，截获或者拷贝均可以作为钥匙码使用，安全性比较差。文章是基于加密通讯的方式，采用暗文发送进行信息的传输，保证信息传输的安全。即便不法分子截获信息，依然无法破译，更大程度上提高了车辆的安全性。

1 车辆分享的安全性问题分析

1.1 现象与危害

目前汽车智能钥匙分享时采用的是简单的加解密，或者通过发送授权证书的方式，这些方案均存在安全隐患。而采用远程授权，通过授权平台的方式，更是给了黑客攻击的机会[4]。服务器数据很多，黑客攻击将会带来一批车辆的损失或者异常，给车厂和车主带来很大的损失。

1.2 现有技术方案分析

目前市场上已经出现了很多主机厂推出的智能钥匙，现对3种主要方案进行分析。

1）A公司的方案。未提及加密策略，仅仅用“加密”二字代表整个机制，系统安全性没有保障。该方案提到了动态加密和静态加密，但没有具体的策略，不法分子容易利用系统漏洞破坏或盗取加密信息，无法保障系统的安全性。

2）B公司的方案。信息传输方式为直接发送授权证书给被授权者，发送过程中信息容易被截获。在服务器向被授权者发送授权证书这一关键环节没有提及加密策略，对于用户的信息安全和车辆安全存在安全隐患。

3）C公司的方案。信息传输直接为短信验证码的方式，且验证码为明文，其他人员如果直接将明文的短信码拷贝或者抄写，即可成功开启车门进入车辆，存在极大的安全隐患。

2 车辆授权机制方案

2.1 设计目标

为了避免传输信息泄露，保障个人信息和财产安全，文章设计一种基于加密通讯的暗文发送的车辆授权机制。具体设计目标有以下5点。

1）改变秘钥信息传输的形态，采用信息封装和按钮触发，增大破解难度；

2）致力于解决现有虚拟钥匙系统普遍存在的通讯安全问题；

3）结合虚拟钥匙应用于汽车，可以使车辆分享变得更加安全方便；

4）将秘钥以暗文形式进行传输，不展示在用户面前，减少秘钥代码暴露的风险；

5）避免通过直接截获或破译的方式盗取车辆钥匙的秘钥信息，保护授权平台的数据安全性，提高安全等级。

2.2 技术方案

本方案的硬件由移动设备Ⅰ、移动设备Ⅱ、服务器及车辆控制单元4个部分组成。软件由2个移动设备中的APP、车辆控制算法及服务器应用程序4个部分组成。车辆授权机制工作原理，如图1所示。

图1 车辆授权机制工作原理图

如图1所示，车主通过移动设备Ⅰ主动发起分享请求，触发APP中的“分享”功能，输入信息，将信息发送给服务器。输入信息应包含分享者信息、授权的权限信息及被分享者信息等。当服务器接收到移动设备Ⅰ发出的信息后，进行解码工作，并将被分享者的信息单独解析出来，向移动设备Ⅱ发送命令，要求被分享者确认分享信息，被分享者将反馈信息发送给服务器，此时服务器已经收集了移动设备Ⅰ和移动设备Ⅱ的物理信息及分享的多维度信息参数，将这些信息通过应用程序的后台算法生成授权代码，并将授权代码通过服务器底层应用程序发送给移动设备Ⅱ；与此同时将该授权代码发送给车辆控制单元。此时移动设备Ⅱ已经拥有了车辆钥匙功能的权限，移动设备Ⅱ在与车辆进行通信连接后即可控制车辆。移动设备Ⅰ和移动设备Ⅱ与服务器之间的通讯采用暗文发送的形式，即授权码只在系统内传输，不会展示给用户，用户只需要根据提示进行操作即可。

授权机制的秘钥信息传输流程，如图2所示。首先，车主触发APP功能，设置分享的权限信息，例如：地域、时间及车辆功能的选择等，输入被分享者信息，然后点击“确定”按钮，此时服务器程序会将车主输入的所有信息及车主本身设备的物理信息进行加密，发送给服务器。服务器接收此信息后，进行解密，并将被分享者的信息单独示出，触发被分享者的APP功能，被分享者收到核实信息内容，并确认。确认后，被分享者的设备物理地址也发送给服务器，此时服务器会将所有信息融合并加密生成钥匙的秘钥信息，下发给车辆和被分享者，从而被分享者的终端设备即可作为车辆钥匙使用。

图2 车辆授权机制的秘钥信息传输流程图

为了更好地细化此分享过程，再从使用者的角度重点剖析此授权机制，将车主、被分享者及服务器的分享及触发流程分别进行详细地说明，图3示出车辆授权机制各单元流程图。

图3 车辆授权机制单元流程图

如图3所示，在整个车辆分享过程中采用暗文发送的形式，3个单元的所有操作均看不到明码。

1）如图3a所示，车主拥有车辆的控制权，为了保护分享过程中的安全性，分享车辆的这个功能由车主主动触发，这样省却了车主是否愿意分享的过程，车主与被分享人线下沟通意愿即可。一切操作均在APP端进行，设置权限时为输入信息给服务器的过程，车主需要输入的信息包括车主身份信息、车辆身份信息分享的车辆操作功能（车门、发动机、后备箱及空调等）、分享的限制（时限/地域/再次分享等）及被分享者联系方式（电话号、微信号、邮箱号及注册账号等）等。当点击“分享”时，输入的信息将被加密后发送给服务器。此时加密策略使用AES128策略，且为非对称模式。

2）如图3b所示，服务器接收到车主发送的分享车辆给他人的消息后，首先对该加密信息进行对应算法的解析，单独识别被分享者的信息，然后将该分享信息加密并发送给被分享者。被分享者收到消息后，对信息进行确认，并反馈信息给服务器。此时的服务器已经获取到了车主的身份信息、分享权限参数及被分享者的身份信息等，并将所有的信息输入算法库，进行加密并生成授权码，即车辆的秘钥信息。并将该秘钥信息传送给被分享者和车辆控制单元的秘钥数据库中。

3）如图3c所示，接收来自服务器的确认信息，例如：某车主愿意将牌照为××的车辆分享给您，是否接受？如果选择“否”，流程直接结束；如果选择“是”，被分享者终端设备的信息将会被传输到服务器中，流程继续。通过此过程的设备信息封装、分享信息封装及全过程无缝对接的形式防止了信息的外漏，增加了信息破解难度。服务器生成授权码后，直接传送给被分享者的终端设备，但是所有授权码信息均为暗文，被分享者只需要查看APP端显示的“分享成功”信息，即可获知本终端设备是否具备了控制分享车辆的钥匙功能。同时将分享的钥匙功能权限进一步解析，并使它与APP中的功能按钮对应，授权功能均高亮显示。例如：车主只赋予了某个特殊角色（快递员）打开后备箱的权限，那么通过此过程后，被分享者（快递员）的手机APP端在使用车辆功能时，只“后备箱”功能为点亮状态，其余均置灰色。这样既提供了便利性，也增加了不法分子破解该秘钥的难度，为车主的财产增设了一道保障。

当服务器赋予被分享者车辆控制权限后，被分享者可以拿自己的终端设备（如手机）来到车辆附近，使该终端设备与车辆控制单元进行通讯，当车辆对设备进行秘钥的认证通过后，即可对车辆进行相关权限的控制操作。

系统生成的授权代码用户不可见，可以使用多样化的加密策略。被分享者填写好表单后，确认分享，向服务器发送信息及服务器进行授权的过程用户不可见，系统均通过底层软件自动完成，保证了所有的秘钥信息均为暗文，且进行了层层加密，增大不法分子的破解难度，最大限度地保护了车主的财产安全。

3 结论

文章通过对车主、被分享者及服务器之间传送的信息进行加密封装、按钮触发及服务器运作的方式，更好地将明文传送变为暗文发送，极大地提高了信息传输过程中的安全性，让汽车分享更加安全可靠。通过对该技术方案的分析及论证，确认了该方案的技术可行性，并总结出该方案相对于传统方案具有以下的优势。1）通过修改软件的加密策略，实现通讯过程中采用暗文通讯方式，增加了系统的安全性，且成本不高，可操作性和可实施性强；2）简化了用户操作的步骤，使分享过程更加简捷，增强了用户体验；3）通过服务器与移动设备Ⅱ之间的3次通信，确保被授权人身份的可靠性，使系统验证过程更加严谨。