手机数字钥匙远程控制车辆系统的设计

信瑛南 刘静 李琦 张瀛 董嵩松 丁靖

（长城汽车股份有限公司）

目前市场上不断涌现出手机数字钥匙产品，手机数字钥匙取代传统的汽车钥匙无疑将给人们带来更佳的便利性。手机数字钥匙将传统车钥匙的全部功能映射到手机中，通过操作手机钥匙实现开关车门、启停发动机、开启后备箱等功能，而手机数字钥匙的“远程控制车辆”作为部分车钥匙功能，其顺应了互联网时代的发展需要[1]。然而，随着电子智能化程度的加深，系统安全性是设计的基本保障。基于以上特点，文章以多角度、全方面的视角阐述了手机数字钥匙远程控制车辆的设计方法。

1 现有产品分析

文章对不同厂商的手机数字钥匙产品的技术方案进行了分析并总结如下：

1）A类公司产品。属于最早期市场出现的产品，各个指令传输环节均为单向传输，无反馈环节[2]，设计方案较简单且安全性较低。

2）B类公司产品。为了使人们适应车钥匙由有到无的应用过渡，该类公司产品定义为手机加传统车钥匙的形态[3]，在便利性方面并未给用户带来更佳的体验。

3）C类公司产品。车主主动发起授权或被授权者主动发起授权，存在授权信息单一或不可变动的问题，产品不够全面、灵活性较差。

4）D类公司产品。信息传输均采用明文的方式，信息数据容易被盗取，给车主的财产安全带来了一定的风险。

为了弥补上述产品的不足，同时为了打造一款全新的、安全的、体验性更好的数字钥匙产品，文章设计了一款手机数字钥匙远程控制车辆的系统，并阐述了全面的远程授权技术。

2 系统总体设计

手机、云服务器和车辆三者构成了一个紧密的闭环系统，如图1所示。手机端主要将云服务器发送的密钥进行存储，对填写的个人及车辆相关信息进行加密；云服务器接收来自手机端的信息后进行验证、存储，生成数字钥匙，并定期更新密钥等；车主获得服务器发送的数字钥匙并存储在手机端，车主持手机数字钥匙与车辆终端控制单元内的数字钥匙进行通讯认证，认证成功后可操作车辆，同时可以查看车辆的状态信息，如油量等。

图1 手机数字钥匙远程控制车辆的系统结构框图

远程控制车辆系统各模块的主要功能如下：

1）智能手机端。安装了具有操控车辆功能的APP且适用于任何型号的手机，同时具备网络连接功能。手机APP具备登录、撤销、密钥存储、信息加密、远程开启空调、监控车辆信息等软件功能。

2）云服务器。具有密钥生成、信息加密和解密、信息存储及安全防护等功能。

3）车辆终端。主要包括无钥匙进入及启动（PEPS）控制单元、蓝牙通讯模块和T-box系统。其中，PEPS控制单元具备密钥存储和校验、识别移动设备授权权限、发送执行命令给BCM等功能；蓝牙通讯模块用于手机钥匙的近距离通讯，这里不做过多说明；T-box用于接收远程控制车辆命令并发送命令给执行机构。

3 系统详细设计

3.1 车主授权及车辆控制

车主初次使用手机钥匙控制车辆时，车厂需对车主进行授权，并给予其数字钥匙从而实现远程控制车辆的目的，详细授权机制，如图2所示。

图2 车主授权及操作车辆的远程控制系统

车主通过手机将手机号码发送至云端服务器，服务器根据加密策略将加密密钥R以暗文的形式发送给手机，手机将接收到的密钥R存储至手机安全芯片内。用户在手机上设置基本信息和个人验证信息，其中基本信息是指用户的身份证号、车辆VIN码、消息认证码（MAC）地址、住址等能证明手机、车辆与用户身份的可行性信息，个人验证信息是指仅用于验证用户身份的信息，如密保信息。用户信息经过安全芯片内密钥R加密后发送至服务器，服务器根据终端号码生成的相应密钥进行解密，若解密成功则将解密后的用户信息存储至服务器端，如用户更换手机或手机丢失将作为信息认证使用；若解密失败则反馈无效信息给车主。经解密成功后的信息证明该用户为合法用户，服务器将含有用户个人信息的数据再次加密，生成钥匙K发送给车主，手机将接收的加密钥匙存储至手机内。

当用户操作手机试图控制车辆时，手机向车辆终端发送操作请求命令，车辆终端接收到该命令后，首先检测钥匙K是否与车辆销售时与客户信息绑定的存储密钥信息一致，若不一致则该请求命令视为无效，并发送反馈信息给手机，此命令为无效指令；若钥匙一致且车载控制器防盗认证通过，执行操作车辆的指令，如远程开启发动机。同时车辆终端可将车辆当前状态信息反馈至手机，手机可实时监测车辆状态信息，如：车内温度、空气质量、车辆位置及油量等情况，给用户更好的用车体验。

3.2 特殊情况设计

在某些特殊场景下，用户需要更改钥匙来确保车辆的安全，图3示出特殊场景的手机数字钥匙设计方案。

图3 特殊场景的手机数字钥匙设计流程框图

3.2.1 手机更换

美国某机构的数据显示，由于智能电子产品迭代更新的速度较快，51%的苹果手机用户、40%的安卓手机用户、21%的其他手机用户会选择每2年换1次手机。由于每台手机的MAC是唯一的，因此更换手机后需要更改用户信息，从而确保车主的财产安全。

当用户需要更换手机时，旧手机发送修改信息请求给服务器，服务器接收到该请求后向旧手机发送输入个人验证信息的要求，用户输入个人验证信息后发送至服务器进行身份认证，若认证成功，用户可修改个人信息，如：电话号码、MAC等，然后云服务器将修改后的信息进行重新存储，同时将生成的新钥匙KN发送到更新后的新手机上，并通过服务器将车辆终端存储的密钥进行更新，用户利用新钥匙KN可对车辆进行操作。

3.2.2 手机维修、丢失或被盗

为了避免手机在维修中个人信息（包括密钥）被复制，系统每隔一定周期会将手机、服务器和车辆终端的钥匙统一进行密钥滚动更新。当车主手机丢失或被盗时，可通过人工服务平台进行个人信息验证，认证通过后服务器可更新存储的车辆密钥信息。由于丢失的手机存储的是旧密钥，故不能开启新密钥的车辆，从而可防止车辆被盗，确保车主财产安全。

3.3 钥匙分享

3.3.1 车主主动发起授权

车主主动发起授权，请求服务器为被授权者颁发临时数字钥匙，详细设计方案，如图4所示。

图4 手机数字钥匙车主主动发起授权流程图

车主主动在手机端填写被授权者的信息，如：被授权者手机号、授权时间、授权权限、地理围栏及车辆相关信息等。经过加密后的信息发送至云端服务器，服务器经过解密确认车主身份，并将授权信息进行存储，同时生成授权码以暗文的形式发送给被授权者手机。被授权者填写个人相关信息加密后与授权码一同发送至云端服务器进行解密并验证。验证通过后，云端服务器将生成的授权钥匙发送给被授权者，被授权者持授权钥匙即可操控车辆。在授权时间内车主有权监控车辆状态，如：被授权者是否处于设定的地理围栏内。

3.3.2 被分享者主动发起授权

被分享者向服务器主动发起授权请求是为了完善分享授权机制的另外一种授权机制，具体流程，如图5所示。

图5 手机数字钥匙被授权者主动发起授权流程图

被授权者在手机端填写个人相关信息和需求的车辆信息，如：被授权者姓名、身份证号、电话号码、需要授权的车辆车牌号等，将加密后的信息发送至云端服务器。服务器根据被授权者发送的信息进行查询，并发送请求的授权信息给被授权者指定的车主手机上。若车主同意授权，则将加密后的授权相关信息发送给服务器，服务器解密信息、验证车主身份并进行信息存储，同时发送授权码及相关信息给被授权者。授权者收到授权码后确认授权信息，信息确认无误后将授权码发送至服务器，服务器验证通过后生成授权钥匙发送给被授权者，被授权者持授权钥匙即可操控车辆。

3.3.3 授权精细化

授权者进行钥匙分享时，首先确定需要分享的功能，逐步进行开关车门、启停车辆和开启后备箱等功能的授权确认。手机移动设备存储器中存储了每一项车辆操控功能相对应的代码，手机系统根据用户选择的功能生成相应的代码（a，b，c，d……）。图6示出手机数字钥匙授权精细化逻辑框图。

图6 手机数字钥匙授权精细化逻辑框图

按照图6的设计方法，以开启车门为例，进行授权精细化的设计方案如下：

1）开启车门。用户操作手机钥匙在开启车门的功能栏中选择“否”，系统将不会生成代码a；如果用户选择“是”，手机后台系统将开启车门的功能转换为代码a；如果用户所有的选项都是“否”，将不能进行下一步操作。

2）授权时间。除过去的时间或者授权的时间值为负数外，用户可自由选择任意时刻，然后这些信息被发送到服务器，服务器加密后生成一组总的代码G返回给授权者。授权者将代码G发送给被授权者。被授权者将代码G按照手机存储的解密方式进行解密，从而查看授权信息。

4 结论

文章设计了一款在手机端、云服务器、车端之间进行指令传输的全面而安全的手机数字钥匙远程控制车辆系统。按照该设计方案研发的数字钥匙已在市场进行了应用，根据市场反应结果，确定了该方案的安全可靠。同时，该设计方案可进一步与其他物联网功能进行融合，如：智能家居与数字钥匙的结合方案，从而给用户带来更优质的服务。