姚 俊

（上汽大眾汽車有限公司，上海 201805）

1 緒論

1.1 數(shù)字車鑰匙國內(nèi)外研究現(xiàn)狀

隨著汽車技術(shù)的發(fā)展，智能化的電子模塊和其他復(fù)雜功能也在汽車領(lǐng)域得到了廣泛的應(yīng)用。汽車電子技術(shù)的發(fā)展也帶來了汽車鑰匙的革新，汽車鑰匙經(jīng)歷了機械式鑰匙、芯片鑰匙、遙控鑰匙、智能鑰匙等發(fā)展階段，每個發(fā)展階段都是在朝著用戶使用便捷與智能方向發(fā)展。其中，基于汽車電子的遙控鑰匙、智能進入和智能啟動系統(tǒng)、數(shù)字鑰匙APP等使得車輛的使用越來越便捷，越來越智能。

現(xiàn)在已經(jīng)出現(xiàn)了基于手機和智能穿戴設(shè)備的數(shù)碼APP鑰匙，也可以稱為“云鑰匙”，將信息存儲在云端中，可以通過網(wǎng)絡(luò)獲取基本信息，實現(xiàn)物聯(lián)網(wǎng)以及車聯(lián)網(wǎng)。手機通過藍牙技術(shù)，數(shù)碼APP鑰匙既可以近距離鎖定和解鎖汽車、啟動車輛的發(fā)動機，還可以通過APP將車鑰匙共享給其他用戶，實現(xiàn)車輛的共享。在2016年西班牙巴塞羅那世界移動通信大會上，沃爾沃展示了首款無鑰匙汽車，以手機上的數(shù)碼鑰匙APP取代了實體鑰匙，BMW也展示了手機汽車鑰匙技術(shù)。比亞迪也是很早就開始研發(fā)手機APP藍牙鑰匙，通過藍牙啟動車輛，也可以實現(xiàn)異地授權(quán)駕駛。由于手機使用的便利性，使得手機APP車鑰匙成為未來汽車市場的一個選擇。

1.2 數(shù)字車鑰匙應(yīng)用場景分析

用戶A擁有一款裝有數(shù)字車鑰匙APP的智能手機，同時擁有一臺裝有移動互聯(lián)的汽車，該轎車支持手持設(shè)備的藍牙方式打開、移動互聯(lián)網(wǎng)通信方式打開與傳統(tǒng)機械式打開3種方式。

1）應(yīng)對不同環(huán)境的兩種汽車開啟方式 通過手機APP可以選擇喚醒汽車的方式，當(dāng)移動互聯(lián)網(wǎng)信號較弱時，通過藍牙無線載波方式喚醒汽車；當(dāng)移動互聯(lián)網(wǎng)信號較強時，直接可通過移動通信方式喚醒轎車。

2）汽車的授權(quán)與分享 用戶B想借用戶A的汽車出去旅游，只需要用戶B在手機上同時下載數(shù)字車鑰匙APP，用戶A作為該汽車的第一授權(quán)人有權(quán)利將汽車的幾日使用權(quán)交給用戶B，這樣用戶B也可以通過藍牙或者無線載波的方式喚醒汽車。

3）汽車的遠程控制 用戶A有快遞可是家中沒有人，快遞員可以直接通過聯(lián)系用戶A，告知他有快遞，用戶A可直接在其他地方通過數(shù)字車鑰匙APP將汽車的后備廂打開，方便快遞員將快遞放置在后備廂中，并且用戶A可以在數(shù)字車鑰匙APP上實時監(jiān)控汽車。

4）汽車的自我防盜安全性 當(dāng)汽車與數(shù)字車鑰匙被不法分子通過網(wǎng)絡(luò)攻擊的方式進行攻擊破解時，用戶手機端將收到報警并且汽車可以切斷所有電源，進入“凍結(jié)”模式 （防破解模式），汽車無法通過移動互聯(lián)或者藍牙方式啟動，只有當(dāng)用戶在手機端確認安全后汽車才能“解凍”。

5）汽車備用啟動方式 當(dāng)手機藍牙被干擾且周圍環(huán)境移動通信信號極差時，用戶不得已可以選擇備用方案，通過傳統(tǒng)機械式的方法打開汽車。

2 數(shù)字車鑰匙系統(tǒng)設(shè)計

2.1 數(shù)字車鑰匙軟件系統(tǒng)架構(gòu)

本文提出的數(shù)字車鑰匙及其安全防護系統(tǒng)，實現(xiàn)智能車虛擬鑰匙系統(tǒng)，該系統(tǒng)包含3個部分，即數(shù)字車鑰匙云端服務(wù)器、汽車端以及數(shù)字車鑰匙移動終端 （手機或智能手表為主的智能移動設(shè)備端）。

數(shù)字車鑰匙系統(tǒng)整體框架圖如圖1所示。其中，數(shù)字車鑰匙云端服務(wù)器與移動終端設(shè)備通過HTTPS協(xié)議實現(xiàn)超文本傳輸，移動終端設(shè)備與汽車端通過藍牙5.0或者SIM卡移動互聯(lián)方式 （根據(jù)實地情況進行選擇通信）實現(xiàn)數(shù)據(jù)安全的傳輸。

圖1 數(shù)字車鑰匙系統(tǒng)整體框架圖

2.1.1 數(shù)字車鑰匙汽車端系統(tǒng)架構(gòu)

1）方案1 汽車端數(shù)字車鑰匙設(shè)備主要由MCU主控芯片模塊、SE安全芯片模塊以及BLE藍牙模塊組成。其中藍牙模塊自底層向上分別是BLE藍牙模塊控制器、BLE藍牙模塊主機與BLE藍牙模塊應(yīng)用層。藍牙模塊應(yīng)用層為數(shù)字車鑰匙系統(tǒng)車輛端提供諸如車身控制、RSSI通信、OTA固件更新、數(shù)據(jù)采集、鑰匙認證等密鑰相關(guān)服務(wù)。BLE藍牙模塊與SE安全芯片模塊通過UART接口傳輸控制指令與數(shù)據(jù)，BLE藍牙模塊與MCU車載模塊通過SPI總線傳輸控制指令與數(shù)據(jù)。數(shù)字車鑰匙汽車端架構(gòu)如圖2所示。

圖2 數(shù)字車鑰匙汽車端系統(tǒng)架構(gòu)

2）方案2： 汽車端數(shù)字車鑰匙設(shè)備由方案1的3個模塊組成，并且加上了SIM卡移動通信模塊。移動通信模塊比藍牙模塊擁有更強大的安全性能與可靠性，但是在某些信號偏弱的地方無法正常開啟汽車。于是我們做到藍牙與SIM卡移動通信選擇性工作的方式，在信號正常的情況下使用SIM卡移動通信，在信號偏弱的地區(qū)使用藍牙通信開閉汽車。

2.1.2 數(shù)字車鑰匙云端服務(wù)器系統(tǒng)架構(gòu)

數(shù)字車鑰匙在云端服務(wù)器由TSP系統(tǒng)、數(shù)字車鑰匙安全管理平臺和數(shù)字鑰匙業(yè)務(wù)服務(wù)平臺3塊組成，數(shù)字鑰匙安全管理平臺包含了密碼機、PKI服務(wù)器、TAM管理服務(wù)平臺、數(shù)字車鑰匙安全管理服務(wù)，數(shù)字車鑰匙業(yè)務(wù)服務(wù)平臺包含了各項業(yè)務(wù)服務(wù)和API安全網(wǎng)關(guān)。數(shù)字車鑰匙云端服務(wù)器架構(gòu)如圖3所示。

TSP遠程信息處理服務(wù)提供系統(tǒng)是與車輛相關(guān)的云端基礎(chǔ)數(shù)據(jù)庫，由相應(yīng)汽車廠提供，為本文中的數(shù)字車鑰匙系統(tǒng)提供相關(guān)服務(wù)所需的數(shù)據(jù)。

數(shù)字車鑰匙安全管理服務(wù)器主要提供兩方面的功能。其中，作為數(shù)字車鑰匙系統(tǒng)后臺，通過密碼機為系統(tǒng)實現(xiàn)車機間相互認證的密鑰相關(guān)功能 （如密鑰生成模塊、密鑰加密服務(wù)、白盒密鑰服務(wù)等）的模塊稱為TAM（Trusted App Manager）管理服務(wù)平臺；通過PKI服務(wù)器對數(shù)字車鑰匙系統(tǒng)管理諸如數(shù)字證書、主密鑰、虛擬密鑰等關(guān)鍵信息的模塊是數(shù)字車鑰匙安全管理服務(wù)器。

圖3 數(shù)字車鑰匙云端服務(wù)器系統(tǒng)架構(gòu)

而數(shù)字車鑰匙業(yè)務(wù)服務(wù)器是云端服務(wù)器與智能設(shè)備端即用戶端的服務(wù)接口，其為數(shù)字車鑰匙系統(tǒng)智能設(shè)備端提供用戶注冊／設(shè)備綁定服務(wù)、用戶登錄鑒權(quán)服務(wù)、車輛綁定服務(wù)、鑰匙分享服務(wù)、鑰匙下載服務(wù)、鑰匙撤銷服務(wù)、尋車服務(wù)、短信服務(wù)、圖片驗證碼服務(wù)、消息推送服務(wù)以及JWT簽發(fā)／驗證服務(wù)等。

2.1.3 數(shù)字車鑰匙移動終端系統(tǒng)架構(gòu)

移動設(shè)備上的APP、手機安全SDK、數(shù)字車鑰匙安全組件TA，數(shù)字車鑰匙移動終端架構(gòu)如圖4所示。

圖4 數(shù)字車鑰匙移動終端系統(tǒng)架構(gòu)

數(shù)字車鑰匙智能移動設(shè)備前端為數(shù)字鑰匙UI組件模塊，是用戶與數(shù)字車鑰匙系統(tǒng)實現(xiàn)諸如用戶注冊／移動設(shè)備綁定、車輛綁定、車控、鑰匙查詢／下載／撤銷以及鑰匙在線分享等功能的主要接口。

數(shù)字鑰匙安全服務(wù)平臺又分為藍牙通信組件、移動通信組件與TA安全組件。其中，系統(tǒng)通過藍牙通信組件或者移動通信組件實現(xiàn)系統(tǒng)中的車控通信、RSSI通信、OTA通信與數(shù)據(jù)采集通信；TA安全服務(wù)組件又由PKI（公鑰基礎(chǔ)設(shè)備）服務(wù)器層、GP Internal APIs層以及TEE層組成。

2.2 數(shù)字車鑰匙硬件系統(tǒng)架構(gòu)

MCU主控芯片選用Renessa公司生產(chǎn)的RH850／F1L R7F70102X芯片，藍牙模塊采用CC2640R2F芯片通過UART與主芯片相連接，且與SE安全芯片通過SPI總線進行互聯(lián)，數(shù)字密鑰、安全簽名等關(guān)鍵信息需要存儲在安全芯片中。汽車端鑰匙設(shè)備主藍牙模塊芯片及其外圍電路如圖5所示。

由于每個藍牙模塊的實際覆蓋范圍有限，不能涵蓋車內(nèi)整體使用空間與車身附近使用區(qū)間，這就要求在汽車端藍牙模塊的實際布置中，增加藍牙節(jié)點，由STM8AF5288芯片作為節(jié)點芯片，在UART上連接CC2640R2F藍牙模塊與NFC模塊，以此來保障藍牙信號的可靠性，節(jié)點芯片與MCU通過LIN口的ATA6663相連接。藍牙節(jié)點芯片及外圍電路如圖6所示。

3 數(shù)字車鑰匙安全性設(shè)計

3.1 數(shù)字車鑰匙攻擊方式介紹

3.1.1 密碼捕獲攻擊

當(dāng)移動終端發(fā)送的數(shù)據(jù)加密比較簡單，例如KEELOQ算法和TIDST算法，黑客可通過破解算法的方式將信息破解。這些算法的漏洞一般是密鑰太短，加密算法強度不夠并且沒有公開以接受同行的評審等。

圖5 藍牙模塊芯片及其外圍電路

3.1.2 干擾上鎖指令

干擾攻擊是指攻擊者使用一些特別的手段來阻止閱讀器和標(biāo)簽之間的通信，使得雙方不能在一個良好的信道環(huán)境完成消息間的交換，從而使得數(shù)字車鑰匙系統(tǒng)在特定的環(huán)境下失去工作能力。當(dāng)環(huán)境因素存在無線電波干擾，導(dǎo)致移動終端發(fā)送的信號在傳播過程中發(fā)生變化，信號減弱或者遭到破壞，導(dǎo)致無法打開車門。

當(dāng)然，還有針對智能車鑰匙系統(tǒng)的一個著名的攻擊方式是采用一個簡單的無線電干擾機。在駕駛員按遙控器閉鎖鍵時，用433.92 MHz或315 MHz干擾設(shè)備進行干擾，使車輛接收不到閉鎖指令。

如果這個信號被阻塞了，汽車就不會收到鎖門信號，然后就會處于打開狀態(tài)。如果用戶沒有注意到車門沒鎖，盜賊就能進入汽車。當(dāng)然這種攻擊方式只適用于完全手動控制門鎖的方案，如果門鎖可以自動關(guān)閉，阻塞攻擊可能就無效了。

3.1.3 克隆攻擊

克隆攻擊也叫復(fù)制攻擊，攻擊者企圖使用電子復(fù)制的方法來制造出跟合法的標(biāo)簽一模一樣的克隆品，并利用這個復(fù)制出來的標(biāo)簽或者數(shù)字車鑰匙設(shè)備獲取自己想要的各種利益。這種攻擊所需的成本很低而且技術(shù)技巧不強，所以常常有這種攻擊發(fā)生。

3.1.4 中繼攻擊

中繼攻擊完全獨立于大多數(shù)安全加密協(xié)議，因此即使智能車鑰匙系統(tǒng)使用了完善的加密算法，例如AES算法、RSA算法等，也很容易受到中繼攻擊。中繼攻擊經(jīng)常依賴于一個假的閱讀器和一個假的RFID標(biāo)簽，這兩者會用來調(diào)制和解調(diào)無線信號，這種同樣的裝置也可用于重放攻擊和偽造攻擊。中繼攻擊的示意圖如圖7所示。

圖6 藍牙節(jié)點芯片及外圍電路

圖7 中繼攻擊示意圖

對智能車數(shù)字鑰匙系統(tǒng)進行中繼攻擊時，黑客可能通過軟硬件工具延長無線信號的通信距離，也可能會對鑰匙和汽車間的通信數(shù)據(jù)進行竊聽。在中繼攻擊中，消息會從一個位置中繼到另一個位置，這樣就能使得發(fā)送消息的實體看起來距離目標(biāo)更近。中繼攻擊的實例還有：針對RFID和NFC的攻擊，針對無線傳感器網(wǎng)絡(luò)的攻擊，針對藍牙的攻擊等。

3.2 數(shù)字車鑰匙安全性設(shè)計

數(shù)字鑰匙會存在安全性的問題，除了優(yōu)化加密算法以外，還有就是中繼攻擊，中繼攻擊的實現(xiàn)基礎(chǔ)是成功地誘導(dǎo)低頻信號，并通過延長低頻信號的通信距離進而誘導(dǎo)鑰匙的高頻信號。因此可以通過互聯(lián)網(wǎng)方式關(guān)閉掉本地智能車鑰匙子系統(tǒng)的低頻發(fā)射器和接收編碼器的射頻通信功能后，即使存在終端遺失后也無法通過觸摸傳感器觸發(fā)低頻信號進而誘導(dǎo)鑰匙的高頻解鎖信號，這就完全規(guī)避了中繼攻擊對智能車鑰匙系統(tǒng)的攻擊。

以往終端通過藍牙的方式將車上鎖以及打開，應(yīng)用互聯(lián)網(wǎng)復(fù)雜算法，關(guān)閉在手機與車體上的藍牙接收與發(fā)送裝置。由于網(wǎng)絡(luò)通信比藍牙載波通信更加安全，所以通過互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)的形式將極少存在被破壞截斷的可能性。

在汽車受到中繼攻擊時，數(shù)字車鑰匙與汽車同時關(guān)閉藍牙傳輸模塊，汽車通過互聯(lián)網(wǎng)運營商所使用的3G、4G網(wǎng)絡(luò)將數(shù)據(jù)傳送至運營商基站，用戶同時也通過手機端從基站讀取車輛資料并且通過移動網(wǎng)絡(luò)打開汽車。避免終端與汽車之間的無線載波交換信息數(shù)據(jù)，使用高安全強度的移動互聯(lián)網(wǎng)絡(luò)來交換傳輸數(shù)據(jù)。圖8為互聯(lián)網(wǎng)遠程控制車輛示意圖。

4 數(shù)字車鑰匙發(fā)展方向

區(qū)塊鏈最初作為比特幣的底層技術(shù)首先應(yīng)用于金融領(lǐng)域，其本質(zhì)是一種分布式的數(shù)據(jù)庫，通過分布式的共識算法完成網(wǎng)絡(luò)和加密算法。在區(qū)塊鏈中，節(jié)點都是匿名存在的，車聯(lián)網(wǎng)中，可以將車牌作為全網(wǎng)內(nèi)唯一的識別方式，同時利用標(biāo)識密碼算法等合適的密碼算法，滿足車聯(lián)網(wǎng)系統(tǒng)中的快速認證身份的需求，同時保證車輛之間共享信息的私密性。如圖9所示。

圖8 互聯(lián)網(wǎng)遠程控制車輛示意圖

圖9 車輛網(wǎng)-區(qū)塊鏈示意圖

可將用戶終端、車、可信中心 （云服務(wù)提供商）、RSU（通信基站）四者構(gòu)成區(qū)塊網(wǎng)絡(luò)，車輛上安裝唯一識別編碼SIM卡，通過移動互聯(lián)網(wǎng)的方式接收發(fā)送數(shù)據(jù)。車輛節(jié)點不承擔(dān)數(shù)據(jù)的計算工作，只進行數(shù)據(jù)的加密和傳輸，把數(shù)據(jù)作為區(qū)塊鏈交易向RSU進行傳輸，RSU對接收到的數(shù)據(jù)進行驗證，通過后將數(shù)據(jù)傳送給可信中心，可信中心再根據(jù)共識機制選取其中一個中心進行記賬，其余可信中心負責(zé)校驗賬本信息。

這樣不僅可以防止各種網(wǎng)絡(luò)攻擊，也可以進一步研究將數(shù)字鑰匙擴展為車聯(lián)網(wǎng)，進一步加大智能化。

一種可能的應(yīng)用場景為：通過Transaction產(chǎn)生對應(yīng)的行為，為每一個設(shè)備 （車輛）分配地址Address，給該地址注入一定的費用，可以執(zhí)行相關(guān)的動作，從而達到車聯(lián)網(wǎng)的應(yīng)用。類似于：汽車實時油量、胎壓數(shù)據(jù)獲取、攝像頭、數(shù)據(jù)調(diào)用等。

未來幾年，隨著DSRC、LTE、5G等技術(shù)的成熟及大范圍應(yīng)用，車-車通信、車-手機通信將得以大幅度的發(fā)展和提高。當(dāng)5G技術(shù)應(yīng)用于數(shù)字車鑰匙后，將能實現(xiàn)更大量的數(shù)據(jù)傳輸，實現(xiàn)數(shù)字車鑰匙的高速發(fā)展。

5 總結(jié)

汽車數(shù)字鑰匙具有很好的應(yīng)用前景，區(qū)塊鏈技術(shù)也與車聯(lián)網(wǎng)中的V2V通信存在許多相同點。所以數(shù)字車鑰匙可以基于區(qū)塊鏈-車聯(lián)網(wǎng)技術(shù)進一步優(yōu)化與改進，使其更適合于車聯(lián)網(wǎng)的具體場景。在未來5G技術(shù)的支持下，數(shù)字車鑰匙與車輛可以承載更巨大的數(shù)據(jù)交換與處理，汽車數(shù)字鑰匙將會有越來越廣泛的應(yīng)用。