基于加密通訊暗文發送的車輛授權機制設計

劉靜 李琦 張灜 信瑛南 李紀玄 董嵩松

（長城汽車股份有限公司）

汽車的EPS系統，一般可稱為無鑰匙系統或被動式無鑰匙進入系統，主要由車載通訊單元、控制系統及用戶隨身攜帶的用于合法身份識別的實體鑰匙組成[1]。智能鑰匙系統是在PEPS系統模塊中增加通訊模塊，可與移動終端設備進行互聯通訊，從而使鑰匙的形態從實體鑰匙轉變為移動終端設備。該系統除了車主可以享受用車權限外，還賦予了車主分享給他人的權利。目前分享過程是采用明文發送或者短信驗證等方式，直接將分享碼裸露，所以不法分子容易通過截獲明文或者短信碼的方式，盜取車輛或者車內財物，造成車主財產損失和人身安全受到威脅[2]。如某知名車企的無線終端智能鑰匙的授權方法，采用的是通過服務器向被授權者發送授權證書的方式進行授權，而授權證書在傳輸過程中可能存在截獲并被破解的風險[3]；另一個知名車企的藍牙智能鑰匙的授權方法，采用的是服務器向被分享者發送短信碼的形式，短信內容為明文，截獲或者拷貝均可以作為鑰匙碼使用，安全性比較差。文章是基于加密通訊的方式，采用暗文發送進行信息的傳輸，保證信息傳輸的安全。即便不法分子截獲信息，依然無法破譯，更大程度上提高了車輛的安全性。

1 車輛分享的安全性問題分析

1.1 現象與危害

目前汽車智能鑰匙分享時采用的是簡單的加解密，或者通過發送授權證書的方式，這些方案均存在安全隱患。而采用遠程授權，通過授權平臺的方式，更是給了黑客攻擊的機會[4]。服務器數據很多，黑客攻擊將會帶來一批車輛的損失或者異常，給車廠和車主帶來很大的損失。

1.2 現有技術方案分析

目前市場上已經出現了很多主機廠推出的智能鑰匙，現對3種主要方案進行分析。

1）A公司的方案。未提及加密策略，僅僅用“加密”二字代表整個機制，系統安全性沒有保障。該方案提到了動態加密和靜態加密，但沒有具體的策略，不法分子容易利用系統漏洞破壞或盜取加密信息，無法保障系統的安全性。

2）B公司的方案。信息傳輸方式為直接發送授權證書給被授權者，發送過程中信息容易被截獲。在服務器向被授權者發送授權證書這一關鍵環節沒有提及加密策略，對于用戶的信息安全和車輛安全存在安全隱患。

3）C公司的方案。信息傳輸直接為短信驗證碼的方式，且驗證碼為明文，其他人員如果直接將明文的短信碼拷貝或者抄寫，即可成功開啟車門進入車輛，存在極大的安全隱患。

2 車輛授權機制方案

2.1 設計目標

為了避免傳輸信息泄露，保障個人信息和財產安全，文章設計一種基于加密通訊的暗文發送的車輛授權機制。具體設計目標有以下5點。

1）改變秘鑰信息傳輸的形態，采用信息封裝和按鈕觸發，增大破解難度；

2）致力于解決現有虛擬鑰匙系統普遍存在的通訊安全問題；

3）結合虛擬鑰匙應用于汽車，可以使車輛分享變得更加安全方便；

4）將秘鑰以暗文形式進行傳輸，不展示在用戶面前，減少秘鑰代碼暴露的風險；

5）避免通過直接截獲或破譯的方式盜取車輛鑰匙的秘鑰信息，保護授權平臺的數據安全性，提高安全等級。

2.2 技術方案

本方案的硬件由移動設備Ⅰ、移動設備Ⅱ、服務器及車輛控制單元4個部分組成。軟件由2個移動設備中的APP、車輛控制算法及服務器應用程序4個部分組成。車輛授權機制工作原理，如圖1所示。

圖1 車輛授權機制工作原理圖

如圖1所示，車主通過移動設備Ⅰ主動發起分享請求，觸發APP中的“分享”功能，輸入信息，將信息發送給服務器。輸入信息應包含分享者信息、授權的權限信息及被分享者信息等。當服務器接收到移動設備Ⅰ發出的信息后，進行解碼工作，并將被分享者的信息單獨解析出來，向移動設備Ⅱ發送命令，要求被分享者確認分享信息，被分享者將反饋信息發送給服務器，此時服務器已經收集了移動設備Ⅰ和移動設備Ⅱ的物理信息及分享的多維度信息參數，將這些信息通過應用程序的后臺算法生成授權代碼，并將授權代碼通過服務器底層應用程序發送給移動設備Ⅱ；與此同時將該授權代碼發送給車輛控制單元。此時移動設備Ⅱ已經擁有了車輛鑰匙功能的權限，移動設備Ⅱ在與車輛進行通信連接后即可控制車輛。移動設備Ⅰ和移動設備Ⅱ與服務器之間的通訊采用暗文發送的形式，即授權碼只在系統內傳輸，不會展示給用戶，用戶只需要根據提示進行操作即可。

授權機制的秘鑰信息傳輸流程，如圖2所示。首先，車主觸發APP功能，設置分享的權限信息，例如：地域、時間及車輛功能的選擇等，輸入被分享者信息，然后點擊“確定”按鈕，此時服務器程序會將車主輸入的所有信息及車主本身設備的物理信息進行加密，發送給服務器。服務器接收此信息后，進行解密，并將被分享者的信息單獨示出，觸發被分享者的APP功能，被分享者收到核實信息內容，并確認。確認后，被分享者的設備物理地址也發送給服務器，此時服務器會將所有信息融合并加密生成鑰匙的秘鑰信息，下發給車輛和被分享者，從而被分享者的終端設備即可作為車輛鑰匙使用。

圖2 車輛授權機制的秘鑰信息傳輸流程圖

為了更好地細化此分享過程，再從使用者的角度重點剖析此授權機制，將車主、被分享者及服務器的分享及觸發流程分別進行詳細地說明，圖3示出車輛授權機制各單元流程圖。

圖3 車輛授權機制單元流程圖

如圖3所示，在整個車輛分享過程中采用暗文發送的形式，3個單元的所有操作均看不到明碼。

1）如圖3a所示，車主擁有車輛的控制權，為了保護分享過程中的安全性，分享車輛的這個功能由車主主動觸發，這樣省卻了車主是否愿意分享的過程，車主與被分享人線下溝通意愿即可。一切操作均在APP端進行，設置權限時為輸入信息給服務器的過程，車主需要輸入的信息包括車主身份信息、車輛身份信息分享的車輛操作功能（車門、發動機、后備箱及空調等）、分享的限制（時限/地域/再次分享等）及被分享者聯系方式（電話號、微信號、郵箱號及注冊賬號等）等。當點擊“分享”時，輸入的信息將被加密后發送給服務器。此時加密策略使用AES128策略，且為非對稱模式。

2）如圖3b所示，服務器接收到車主發送的分享車輛給他人的消息后，首先對該加密信息進行對應算法的解析，單獨識別被分享者的信息，然后將該分享信息加密并發送給被分享者。被分享者收到消息后，對信息進行確認，并反饋信息給服務器。此時的服務器已經獲取到了車主的身份信息、分享權限參數及被分享者的身份信息等，并將所有的信息輸入算法庫，進行加密并生成授權碼，即車輛的秘鑰信息。并將該秘鑰信息傳送給被分享者和車輛控制單元的秘鑰數據庫中。

3）如圖3c所示，接收來自服務器的確認信息，例如：某車主愿意將牌照為××的車輛分享給您，是否接受？如果選擇“否”，流程直接結束；如果選擇“是”，被分享者終端設備的信息將會被傳輸到服務器中，流程繼續。通過此過程的設備信息封裝、分享信息封裝及全過程無縫對接的形式防止了信息的外漏，增加了信息破解難度。服務器生成授權碼后，直接傳送給被分享者的終端設備，但是所有授權碼信息均為暗文，被分享者只需要查看APP端顯示的“分享成功”信息，即可獲知本終端設備是否具備了控制分享車輛的鑰匙功能。同時將分享的鑰匙功能權限進一步解析，并使它與APP中的功能按鈕對應，授權功能均高亮顯示。例如：車主只賦予了某個特殊角色（快遞員）打開后備箱的權限，那么通過此過程后，被分享者（快遞員）的手機APP端在使用車輛功能時，只“后備箱”功能為點亮狀態，其余均置灰色。這樣既提供了便利性，也增加了不法分子破解該秘鑰的難度，為車主的財產增設了一道保障。

當服務器賦予被分享者車輛控制權限后，被分享者可以拿自己的終端設備（如手機）來到車輛附近，使該終端設備與車輛控制單元進行通訊，當車輛對設備進行秘鑰的認證通過后，即可對車輛進行相關權限的控制操作。

系統生成的授權代碼用戶不可見，可以使用多樣化的加密策略。被分享者填寫好表單后，確認分享，向服務器發送信息及服務器進行授權的過程用戶不可見，系統均通過底層軟件自動完成，保證了所有的秘鑰信息均為暗文，且進行了層層加密，增大不法分子的破解難度，最大限度地保護了車主的財產安全。

3 結論

文章通過對車主、被分享者及服務器之間傳送的信息進行加密封裝、按鈕觸發及服務器運作的方式，更好地將明文傳送變為暗文發送，極大地提高了信息傳輸過程中的安全性，讓汽車分享更加安全可靠。通過對該技術方案的分析及論證，確認了該方案的技術可行性，并總結出該方案相對于傳統方案具有以下的優勢。1）通過修改軟件的加密策略，實現通訊過程中采用暗文通訊方式，增加了系統的安全性，且成本不高，可操作性和可實施性強；2）簡化了用戶操作的步驟，使分享過程更加簡捷，增強了用戶體驗；3）通過服務器與移動設備Ⅱ之間的3次通信，確保被授權人身份的可靠性，使系統驗證過程更加嚴謹。