钟小敏，苏国传，程 登，张 亮，赵紫瑶

（上汽通用五菱汽车股份有限公司广西汽车新四化重点实验室，广西 柳州 545007）

引言

汽车钥匙的发展随着现代化的发展而改变，从机械化到智能化，汽车数字钥匙就是一个很大的飞跃，手机可以作为支付工具是引以为傲的进步，手机作为汽车钥匙也成了用户的愿望，传统的手机蓝牙钥匙已不能满足用户需求，基于低功耗蓝牙、NFC 等技术已经是目前数字钥匙的开发方向，手机充当钥匙更方便、更安全。

数字钥匙功能的工作原理是通过手机或智能穿戴设备使用短距离通信与车辆完成互信与身份认证，帮助用户实现车辆的进入与启动。同时数字化的身份认证方式使得用户可以灵活方便地复制多把数字钥匙，并且能将数字钥匙设定不同的控车权限、不同的使用时间，并定义用户角色相关个性化参数，从而突破了物理钥匙的局限性[1]。

数字钥匙可视为以移动终端为载体的用于标识用户身份的一系列数据，可以通过智能手机发送到汽车进行访问控制。数字钥匙通常由身份认证信息与属性定义信息两部分组成，身份认证信息由认证密钥和数字签名等部分组成，内容需符合数字钥匙标准组织安全方案要求以实现功能兼容。属性定义信息包含了车辆与用户属性、钥匙使用权限、次数、有效期及其他数字钥匙业务自定义内容，如图1 所示。

图1 汽车钥匙的发展

1 数字钥匙应用场景

汽车目前面向的群体越来越年轻化，出门只携带手机已然是目前的现状，数字钥匙的诞生是必然，这是一种便捷也是一种时尚，只需要携带手机出门，即可通过钥匙解锁启动车辆，当手机没电时，照样可以使用手机NFC 车钥匙打开车门，解决了只带手机出门最大的问题。现在的住宅楼、大型商场、写字楼里，停车场通常被设置在地下，而地下停车场一般来讲信号都不好，甚至是没有信号，这个时候，数字钥匙就可以出场了，近场的数字钥匙不受信号的影响，当自己出差而家人要用车，或者是朋友要借车的时候，快递传统车钥匙不但麻烦还费时间，APP 分享虚拟数字车钥匙给家人或者朋友，不但快捷，还便于管理[2]。

当然除了这些场景外、未来将会开发更多的应用场景，在用车安全、便利、以及做更多的个性化设计，如果把车辆交给刚学会开车的孩子练手，或者将车给老人使用，可通过数字钥匙App 实时观察车辆行驶轨迹，甚至可以限速，保证安全；在传统保养场景下，用户需要等待很长的时间，即使有经销商上门提供服务，但是服务完成还车的时候也必须在家，以保证车钥匙能按时送还。而拥有数字钥匙，用户就完全可以自由安排时间，只需要把车辆驾驶权授权给经销商即可，还能在App 上随时监测保养进度、车辆轨迹、充电剩余时间等。而对于出行公司来说，数字钥匙也会让整体流程更为方便，类似共享充电宝，用芝麻信用分衡量租车人的信用值，一旦分数达标，企业可第一时间将数字钥匙授权给租车者，甚至连押金都不需要。在数字钥匙的控制下，车辆行驶路径、活动范围都能在出行公司掌控之下，如遇异常情况可以随时冻结驾驶权限，如图2 所示。

图2 数字钥匙的应用场景

2 数字钥匙系统架构

数字钥匙的便捷是基于功能安全的基础，因此数字钥匙应建立在安全的系统架构中，各模块各司其职，相互隔离又相互制约，可随时对每个环节进行安全把控。数字钥匙系统架构包括数字钥匙管理平台、车厂TSP 后台、手机厂商后台、移动端数字钥匙SDK 组件、车端蓝牙主控节点与蓝牙天线、车端NFC 读卡器。

2.1 数字钥匙管理平台

数字钥匙管理平台主要用于管理数字钥匙的生命周期，处理数字钥匙业务请求如钥匙申请、钥匙分享、钥匙撤销、钥匙冻结等；其通过对接手机厂商后台实现对端侧车钥匙框架授信与认证，对接车厂TSP 平台完成车辆与设备信息获取与导入；并通过统一的安全信任中心实现移动端、车端密钥生成与安全管理；同时为系统管理员提供数字钥匙管理、车辆管理、设备管理、审计日志等管理功能。

2.2 车厂TSP 后台

车厂TSP 后台，即网联车辆管理与服务平台，在数字钥匙系统中负责车辆与设备信息导入，用户账户管理，数字钥匙用户业务处理，数字钥匙白名单同步、密钥与证书下发与更新等业务；此外，车厂自主建设的PKI/CA 以及密钥管理系统可为数字钥匙业务提供统一的身份信任中心及安全能力。

2.3 手机厂商后台

手机厂商后台管理手机端车钥匙框架及相关数字钥匙业务服务，其作用包括但不限于移动智能终端生命周期管理，钥匙业务合作对接管理、包括移动智能终端可信应用管理相关，并提供终端车钥匙在线吊销服务，以应对手机丢失或被盗等场景的紧急处理。

2.4 移动端数字钥匙SDK 组件

手机App 是面向C 端用户的车联网服务应用，其通过集成数字钥匙SDK 组件实现向用户提供数字钥匙服务功能。数字钥匙SDK 组件内包含了短距离通信控制（蓝牙、NFC 等）模块、数字钥匙业务服务模块、辅助测距定位模块、蓝牙高可用模块、手机车钥匙框架对接模块以及安全中间件模块等；可支持Android、IOS 操作系统，并能适配智能手机和智能穿戴设备。

2.5 车端蓝牙主控节点与蓝牙天线

车端蓝牙主控节点负责在闲时发送蓝牙广播，与手机建立蓝牙通信，并支持与手机进行蓝牙配对、认证鉴权、数字钥匙业务处理、车控指令处理、车身数据同步等功能。车端蓝牙主控节点通过其安全单元来保障数字钥匙机密数据的安全存储，以及数字钥匙白名单管理；此外，主控节点负责基于各天线的信号强度（或相位角、飞行时间等）输入对手机进行定位，判断用户进入、启动请求合法性；车端可布置一个或多个蓝牙天线，其通过监听或扫描获取已连接手机的信号强度，并发送至主节点以帮助蓝牙主模块对手机进行定位。

2.6 车端NFC 读卡器

车辆端可在车辆外部和中控内分别安装NFC读卡器，通过与手机建立NFC 会话完成设备合法性验证，实现基于NFC 的车辆进入和启动功能。

3 数字钥匙主要工作流程

1）车辆下线时需灌装数字钥匙业务根密钥、证书等，并在下线完成后将相关信息导入至数字钥匙管理平台[3]。

2）用户下载App 后，需依次完成账户注册、车辆绑定、数字钥匙功能开通申请等操作。后台校验人车关系及用户权限，若验证通过则生产数字钥匙，并基于移动设备手机型号、操作系统版本、是否支持车钥匙框架等特征将钥匙安全下发到手机端。

3）用户获取到数字钥匙后，携带手机到车辆端完成蓝牙配对和钥匙认证后即可激活钥匙，实现车辆进入和启动。

4）车主可通过App 将车辆授权给其他用户，如亲人、朋友、快递员、维修保养人员等。并自定义车辆的的使用权限、有效期、使用次数等信息。后台将基于钥匙权限信息、被分享车辆信息、被分享用户设备信息等生成数字钥匙，并下发通知到被分享人手机。被分享人从后台获取车辆钥匙后，即可控车和用车。

5）车主可通过App查看已授权车钥匙状态，并通过App撤销已授权钥匙，如图3 所示。

图3 数字钥匙工作周期

4 数字钥匙系统安全设计

数字钥匙系统涉及到手机、后台、车辆等多个子系统，并且关系到车辆生命周期和用户使用的多个场景，如车辆下线、人车绑定、钥匙开通、钥匙使用、钥匙注销、钥匙使用授权、撤销、ECU 换件、手机更换、车主更换等。复杂的系统组成及多种使用场景使得该功能比物理钥匙系统面临更多的安全威胁。

1）通信安全，如对传输进行数据加密，以及传输通道安全，使用VPN/APN/SSL 等进行传输，从而实现以下安全功能：防请求重放攻击、防官方接入应用被篡改和注入恶意代码、防中间人侦听和破解分析、多重鉴权和身份验证。

2）数据安全，如数据定期备份、数据恢复和数据冗余存储（RAID）；同时系统平台采用业界成熟的分布式文件系统和分布式数据库，在重要数据单独备份的基础上，实现系统级的数据容灾等功能。同时在数据存储时，将对敏感数据进行加密存储，比如：用户密码、用户帐户信息等。

3）应用安全，增加防火墙；操作系统安全机制、数据库系统安全机制、业务层应用访问权限控制；数字钥匙服务业务的应用备份机制，包括本地热备，以及后期的灾备机制。

4）平台安全：负责数据传输网络的安全、敏感数据进行特别加密，如密码、ID、邮箱等；任何后台访问都要认证，每次服务都有token，每次只能使用一次，防止重发工具，来保证后台服务器的安全；防止页面注入攻击后台，很多用户输入的内容，必须要经过防止注入过滤，把可执行语句全部过滤掉；手机初次使用需要激活，绑定手机硬件ID；针对用户手机丢失，允许用户注销某手机，以防止手机App 为第三方恶意操作；车主身份鉴权认证。根据不同定制需求，拒绝非车主登陆或允许非车主登陆但只使用受限功能；空中数据通道高强度非对称加密；应用层敏感数据高强度加密与哈希，如用户名密码不允许在空中信道明文传输；空中信道应用层通信会话定期刷新。

5 结语

针对汽车钥匙发展做的相应改革，开发了一套数字钥匙系统，在快捷、安全下利用手机作为汽车钥匙，只带手机或者手机没电情况下，有效利用手机解锁并且启动车辆，提升了用户体验。该系统包含了数字钥匙管理平台、车厂TSP 后台、手机厂商后台、移动端数字钥匙SDK 组件、车端蓝牙主控节点与蓝牙天线、车端NFC 读卡器。软硬件具备相应的安全策略，具有良好的可靠性。