一种针对远程指令的车载T‑Box信息安全防护系统及方法与流程

本发明涉及车辆信息安全防护领域，具体涉及针对远程指令的信息安全防护技术。本发明根据不同人车位置关系将车载T-Box分为多个模式进行远程指令的接受与执行，以防护通过漏洞进入车载T-Box的伪指令的威胁，保护车辆信息安全。

背景技术：

汽车联网技术使得人车路之间联系更为紧密，实现了车主远程定位、访问和控制车辆等功能，车间速度、位置、方向等信息共享功能，以及汽车运动位置、运动状态与云端服务器的实时共享功能，在便利人们出行的同时，提供给车辆与交通研究者大量数据，进而有效降低交通事故风险，促进了智能汽车与智能交通产业的发展。

在现有技术中，汽车通信通过车载T-Box负责，然而T-Box对车辆各部件的控制权限与联网功能使得车辆暴露在互联网带来的信息安全风险中。本发明曾提出一种车载T-Box与用户手机信息交互安全认证系统，其针对通信的信息安全方面提出了一种T-Box构架与认证方法，从而保护信息安全。虽然在该架构体系与认证机制下，能保证信息安全，但是尚有其他手段使车主账号、密码、指纹等信息泄露并暴露在黑客手中，从而导致伪造远程指令的可能性，影响行车安全与车辆信息安全。

技术实现要素：

本发明针对上述利用伪远程指令扰乱车辆安全等行为，在前述专利：一种车载T-Box与用户手机信息交互安全认证系统所述的架构上，增加了一种针对远程指令的车载T-Box信息安全防护系统，以保护行车安全与车辆信息安全。

由于车主的用网不慎导致的信息泄露，使得黑客能够伪造出与真实T-Box远程指令十分相似的伪指令，并且通过认证系统，进入T-Box中并执行，从而威胁到车辆信息安全。一般情况下，信息的泄露具体分为以下几类情形：

情形1、App账号密码的泄露：黑客登入账号时需要手机短信验证，所以账号密码的泄露不会造成严重威胁。

情形2、App账号密码以及短信验证内容的泄露：黑客可以登入App账号，但是车辆远程服务有指纹比对认证，虽然可以查看部分车辆状态参数，但是对车辆信息安全威胁不大。

情形3、汽车VIN码的泄露：黑客可以利用漏洞伪装其他T-Box账号的VIN码，使远程指令直接被送到待破解车辆。因为指令中的指纹数据无法匹配，所以车辆不予响应。

情形4、App账号密码、短信验证内容以及指纹数据的泄露：此时车辆的信息安全已被破解，车辆的行车安全已经无法保证。

情形5、汽车VIN码以及指纹数据的泄露：此时黑客可以在车主不知情的情况下完全调用车辆远程服务，此状况下，信息不具备任何安全性。

上述1、2、3情形对于本发明所基于的T-Box框架的信息安全威胁度较小，容易处理。但是4、5情形将严重威胁汽车的信息安全，使得车辆被他人远程控制，从而对车主造成不良影响，甚至威胁行车安全。为此，本发明提供了一种多模式的信息安全防护系统，以提供对上述4、5情形的车辆信息安全防护与行车安全保护。

本发明提出的信息安全防护系统通过以下技术方案实现：

该系统根据车主人身位置、车主手机位置以及远程控制指令发送位置，设置了不同的车辆远程服务模式，处于不同模式下的T-Box所开放的远程服务功能不同，通过对远程指令的控制权限限制，实现针对远程指令的信息安全防护。

其中，所述的手机App的远程指令包含但不限于：车辆状态信息查阅、车辆报位、车辆手机文字语音通信功能、娱乐设备控制、舒适性设备控制、车辆丢失模式等。其中，车辆信息查询功能一般不会对车辆信息安全产生威胁，但是对于能够进入车载T-Box并能够干涉车辆控制系统的指令则需要有一套严格限制措施，以保证信息安全。

其中，所述的车主人身位置分为车内与车外两种，通过车内驾驶员监测系统进行判断。当车主登入App后，App会自动在相同时间间隔内向云端服务器发送位置，以此作为所述的车主手机位置。车主手机位置与车辆位置的距离小于阈值k，则视为手机在车内，反之则在车外。此外，若手机App程序被移至后台或关闭，将取消发送位置信息至服务器，之后服务器将不再执行对该账号绑定的车载T-Box的指令传递任务。每当手机App发送指令的同时会附带将发送地点位置信息发送至服务器，服务器将会对比该指令的发送位置与手机位置间的距离是否小于阈值k，以此判断是否执行转发任务。其中，k的值为2米。

所述的车主判断过程如下：

步骤1、每次车钥匙插入后，驾驶员监测系统启动，开始采集驾驶员状态参数。

步骤2、监测系统能够采集驾驶员的相貌、声纹、体重等数据。其中，相貌通过摄像头装置采集，声纹通过车载麦克风采集，体重通过驾驶员座椅重量传感器采集。

步骤3、将采集得到的驾驶员相貌、声纹数据输入车载计算机，通过处理并与存储于T-Box硬件安全区域的车主数据进行比对，从而判断驾驶员是否为车主，并将结果输出。

步骤4、用车期间，驾驶员可能离开座椅，此时需要重新确认身份。因此，当传感器检测到数值产生变化并回复后，重新进行步骤1到步骤3过程，再次输出结果。

所述的车辆远程服务模式分类如下：

详细的车辆远程服务模式分类依据与防护机制如下：

1、当车主手机位置与远程指令发送位置不一致时，进入模式0，该模式下任何远程指令被完全忽视。

正常情况下，手机位置与指令发送位置应该相同，此类状况的出现，说明车辆信息安全受到威胁，极有可能是黑客伪造的远程指令，所以直接在服务器中忽略，以保证车辆信息安全。

2、当车主手机位置与远程控制指令发送位置一致时，本系统将根据车主人身位置与车主手机位置的异同进入以下4种模式：

模式1、当车内驾驶员监测系统检测到车主位于驾驶座上，车主手机位置与车辆位置的距离大于阈值k，此时是车主位于车内，手机位于车外的状况。该模式下只允许T-Box与App间进行文字与语音信息的交流。

该状况可能由于车主手机忘带、车主手机遗失、车主手机被窃甚至黑客是破解车主App账号并登入造成手机位置变更等原因引起。其中除了车主手机忘带其他原因都会造成信息安全威胁，手机持有者或者黑客可能利用App对车辆进行控制(获取指纹条件下)，因此需要限制远程指令的控制权限，以保证行车安全。然而上述状况发生概率较小，车主手机忘带发生的可能性更高，因而该模式下将会开启车辆T-Box与手机的文字与语音通信功能，以保证在其他状况下车主能够与手机取得联系。

模式2、当车内驾驶员监测系统检测到车主位于驾驶座上，车主手机位置与车辆位置的距离小于阈值k，此时是车主与手机都位于车内的情况。该模式下开放App远程控制车内娱 乐与舒适性设备功能。

该状况下车主携带手机并驾驶车辆，此时，车主直接控制车辆行驶，通常也会直接控制或者利用App控制车内娱乐与舒适性设备，基本不会利用App进行其他操作。此状况下，存在一种信息安全威胁，即黑客利用木马获取车主手机位置，发送附带位置的伪装远程指令，使其通过服务区与认证系统并进入T-Box，虽然该行为难度极高，但是成功破解后后果严重。基于驾驶员驾驶过程中操作App动作有限与行车安全的考虑，对于模式2下的T-Box系统，将开放App远程控制车内娱乐与舒适性设备功能，以保证车辆破解后的行车安全，同时此模式能够辅助车主进行车内娱乐设备的操作。

对于模式1、模式2，车主在察觉异常后，可以立即解绑App的远程服务，以保证车辆信息安全，并进行后续操作以排除这些威胁。

模式3、当车内驾驶员监测系统检测到车主不在驾驶座上，车主手机位置与车辆位置的距离小于阈值k，此时是车主位于车外，手机位于车内的情况。该模式下开放App车辆丢失模式功能。

该状况可能由于车主位于车辆其它座位、车主车辆被窃同时App账号丢失并在车内登入、车主车辆与手机同时被窃等原因引起，后两种情况是对车辆信息安全的严重威胁。因为车载T-Box只能通过车主解除绑定，所以车主取得手机以及取回账号后仍然能够调用车辆远程服务。在模式3下，App中的车辆丢失模式将可以使用，进入车辆丢失模式，由于车辆T-Box自动接入网络，其将实时汇报自身位置，同时T-Box将会对车辆内的人员进行警告，并进行限速，以实现车辆找回。

模式4、当车内驾驶员监测系统检测到车主不在驾驶座上，车主手机位置与车辆位置的距离大于阈值k，此时是车主与手机都位于车外的情况。该模式下不同情况将激活不同的远程服务。

导致该状况的原因可能包含：车辆借给熟人车主持有手机、车辆借给熟人车主不持有手机、车辆被窃车主持有手机、车辆被窃车主不持有手机以及车辆远程启动准备等。对于上述5种原因的分析如下：

①、车辆借给熟人并且车主持有手机；

②、车辆借给熟人但是车主不持有手机，车主不持有手机包含手机丢失，手机被窃等情况。

对于情况①、②，车主可以在借车时，通过T-Box验证后临时增加一个Guest身份，使借车的人成为临时性的车主，然后处理模式变更成模式1。

③、车辆被窃车主持有手机。此时车主需要用到手机App的车辆丢失模式；

④、车辆被窃车主不持有手机。该情况下情况可能为车主手机忘带或者被窃。

对于情况③、④，车载T-Box可以通过排除情况①、②、⑤判断，该情况下开放App车辆丢失模式功能。

⑤、车辆远程启动准备。

对于情况⑤，T-Box容易判断出车辆在进行远程启动准备，此时车主一般会执行车辆报位、车内空调启动、车内座椅加热等便利性功能，因此可以开放上述远程控制功能。由于车辆在无车钥匙的情况下不能启动，但是也需要考虑恶意远程指令的危害性，例如利用空调系统将蓄电池电量放完、或者鸣笛对周围产生噪声污染等，因此，需要对上述远程功能进行限制，可以通过增加电量限制与报位时间间隔限制实现。

本发明提供的一种针对远程指令的车载T-Box信息安全防护系统，有如下创新点与优势：

(1)本发明的对远程指令的信息安全防护系统，通过设置不同的车辆远程服务模式，进行信息安全防护。其根据不同人车位置中各种情况下指令的合理性与必要性，对远程服务能够访问的汽车设备进行不同层级的限制，能够有效避免单一化情况下，汽车T-Box全部接收远程指令而产生的信息安全威胁和行车安全威胁。

(2)本发明的远程指令防护系统，在云服务器上设置了指令过滤机制。在该机制下，通过比对指令来源位置和手机位置的一致性对指令进行过滤，同时，限制指令转发的时间必须在手机App登入期间，通过该机制可以甄别部分伪造的指令信息，有效减少伪装指令，保护车辆信息安全。

(3)本发明的识别车主环节，通过相貌和声纹进行，由于生物信息具有较高的唯一性，能够有效防伪。其中，相貌采用PCA+SVM进行人脸识别，声音采用MFCC+GMM进行声纹识别，有较高的准确率。对于相貌和声纹识别分别可能出现的错误，本发明通过合理分配权值进行优化。由于车主自身和识别方式的原因，不能进行连续不间断的识别，因此本发明通过其他传感器对车主在位状态进行确认，以实现实时监测。

附图说明

图1是本发明的不同远程服务模式分类图；

图2是本发明的车主人脸识别流程图；

图3是本发明的车主声纹识别流程图；

图4是本发明的限速模式中车速控制流程图。

图中：1.车辆，2.车主，3.手机。

具体实施方式

下面结合附图对本发明作进一步说明：

本发明提供了一种针对远程指令的车载T-Box信息安全防护系统。该防护系统是在前述专利：一种车载T-Box与用户手机信息交互安全认证系统所述的架构上建立的，用来对付利用伪远程指令扰乱车辆安全等行为。

信息安全防护系统的技术方案的详细说明如下所述：

该系统根据车主人身位置、车主手机位置以及远程控制指令发送位置，设置了不同的车辆远程服务模式，如图1所示，处于不同模式下的T-Box所开放的远程服务功能不同，通过对远程指令的控制权限限制，实现针对远程指令的信息安全防护。

其中，手机App的远程指令包含但不限于：车辆状态信息查阅、车辆报位、车辆手机文字语音通信功能、娱乐设备控制、舒适性设备控制、车辆丢失模式等。其中，车辆信息查询功能一般不会对车辆信息安全产生威胁，但是对于能够进入车载T-Box并能够干涉车辆控制系统的指令则需要有一套严格限制措施，以保证信息安全。

车主人身位置分为车内与车外两种，通过车内驾驶员监测系统进行判断。当车主2登入App后，App会自动在相同时间间隔内向云端服务器发送位置，以此作为车主手机位置。车主手机位置与车辆位置的距离小于阈值k，则视为手机3在车内，反之则在车外。此外，若手机App程序被移至后台或关闭，将取消发送位置信息至服务器，之后服务器将不再执行对该账号绑定的车载T-Box的指令传递任务。每当手机App发送指令的同时会附带将发送地点位置信息发送至服务器，服务器将会对比该指令的发送位置与手机位置间的距离是否小于阈值k，以此判断是否执行转发任务。其中，k的值为2米。

驾驶员监测系统判断过程包括步骤1到步骤4，下面详细对各步骤进行说明：

步骤1、每次车钥匙插入后，驾驶员监测系统启动，开始采集驾驶员状态参数。

步骤2、监测系统能够采集驾驶员的相貌、声纹、体重等数据。其中，相貌通过摄像头装置采集，声纹通过车载麦克风采集，体重通过驾驶员座椅重量传感器采集。

步骤3、将采集得到的驾驶员相貌、声纹数据输入车载计算机，通过处理并与存储于T-Box硬件安全区域的车主数据进行比对，从而判断驾驶员是否为车主2，并将结果输出。

处理与比对时：

①、对于相貌，如图2所示，车主2首次录入人脸数据时，需让驾驶员监测装置扫描从-10°到10°范围的正脸。其后车载计算机将生成训练样本集，通过PCA(主成分分析法)对训练样本降维，提取主要特征，用SVM分类器进行训练，以完成T-Box对车主人脸的机器学习，并将分类器数据存储于T-Box的硬件安全区域。其后，当需要对驾驶员相貌进行模式 识别时，驾驶员监测装置将会收集驾驶员相貌信息，然后对待检验数据进行降维与主要特征提取，然后用训练产生的分类函数进行分类判断，以判断是否为车主2。

②、对于声纹，声纹是人体特有的一种生物特征，不同人之间的声纹图谱都有差异。因此，声纹识别技术在身份认证领域具有安全性与可靠性。此外，成年的人的声音可保持长期的相对稳定性。因此，如图3所示，车主2最初在录入声纹时，T-Box处理器将提取每一帧声波频谱的MFCC(梅尔倒谱系数)参数，利用这些MFCC参数训练车主声音的GMM(高斯混合模型)，并将其存储于T-Box的硬件安全区域。其后，当需要进行声纹识别的时候，车载T-Box将会收集语音的MFCC参数提取带入车主GMM声纹模型运算函数，进行匹配运算，以判断输入话音是否与声纹匹配。

其中，基于PCA+SVM的人脸识别与基于MFCC+GMM的声纹分析准确率很高，但是仍然存在一定出错率，尤其是当车主生物特征发生变化后(例如车主2感冒或者带上口罩或墨镜)，容易造成误判。因此，本发明对人脸和声纹识别结果进行加权以提升准确率，该权值a₁，a₂可进行更改，有默认、自动、自定义三种模式。其中，自定义模式下，车主2根据其偏好与经验进行设置，以实现良好的识别结果。自动模式下，本发明预留了未来待开发的根据云服务器大数据分析结果自适应调整该权值算法的植入接口，预期在该模式下，通过大数据分析调整权值以实现良好的识别率(例如对通过分析气温等参数的突变，预测感冒率的上升，从而降低声纹识别的权值，以降低误检的可能性)。而在默认模式下，由于人脸识别的正确率比声纹识别高出10％，因此设定该权值比为a₁，a₂，其中a₁＝0.6，a₂＝0.4，假设人脸和声纹识别的判断结果概率分别为p₁，p₂，则加权过程中的计算公式如下：

通过计算从而得到最后的判断结果。

步骤4、用车期间，驾驶员可能离开座椅，此时需要重新确认身份。因此，当传感器检测到数值产生变化并回复后，重新进行步骤1到步骤3过程，再次输出结果。

车辆远程服务模式分类如下：

下面详细对车辆远程服务模式分类依据与防护机制进行说明：

1、当车主手机位置与远程指令发送位置不一致时，进入模式0，该模式下任何远程指令被完全忽视。

正常情况下，手机位置与指令发送位置应该相同，此类状况的出现，说明车辆信息安全受到威胁，极有可能是黑客伪造的远程指令，所以直接在服务器中忽略，以保证车辆信息安全。

2、当车主手机位置与远程控制指令发送位置一致时，本系统将根据车主人身位置与车主手机位置的异同进入以下4种模式：

模式1、当车内驾驶员监测系统检测到车主2位于驾驶座上，车主手机位置与车辆位置的距离大于阈值k，此时是车主2位于车内，手机3位于车外的状况。该模式下只允许T-Box与App间进行文字与语音信息的交流。

该状况可能由于车主手机忘带、车主手机遗失、车主手机被窃甚至黑客是破解车主App账号并登入造成手机位置变更等原因引起。其中除了车主手机忘带其他原因都会造成信息安全威胁，手机3持有者或者黑客可能利用App对车辆1进行控制(获取指纹条件下)，因此需要限制远程指令的控制权限，以保证行车安全。然而上述状况发生概率较小，车主手机忘带发生的可能性更高，因而该模式下将会开启车辆T-Box与手机3的文字与语音通信功能，以保证在其他状况下车主2能够与手机3取得联系。

模式2、当车内驾驶员监测系统检测到车主2位于驾驶座上，车主手机位置与车辆位置的距离小于阈值k，此时是车主2与手机3都位于车内的情况。该模式下开放App远程控制车内娱乐与舒适性设备功能。

该状况下车主2携带手机3并驾驶车辆1，此时，车主2直接控制车辆1行驶，通常也会直接控制或者利用App控制车内娱乐与舒适性设备，基本不会利用App进行其他操作。此状况下，存在一种信息安全威胁，即黑客利用木马获取车主手机位置，发送附带位置的伪装 远程指令，使其通过服务区与认证系统并进入T-Box，虽然该行为难度极高，但是成功破解后后果严重。基于驾驶员驾驶过程中操作App动作有限与行车安全的考虑，对于模式2下的T-Box系统，将开放App远程控制车内娱乐与舒适性设备功能，以保证车辆1破解后的行车安全，同时此模式能够辅助车主2进行车内娱乐设备的操作。

对于模式1、模式2，车主2在察觉异常后，可以立即解绑App的远程服务，以保证车辆信息安全，并进行后续操作以排除这些威胁。

模式3、当车内驾驶员监测系统检测到车主2不在驾驶座上，车主手机位置与车辆位置的距离小于阈值k，此时是车主2位于车外，手机3位于车内的情况。该模式下开放App车辆丢失模式功能。

该状况可能由于车主2位于车辆其它座位、车主车辆被窃同时App账号丢失并在车内登入、车主车辆与手机同时被窃等原因引起，后两种情况是对车辆信息安全的严重威胁。因为车载T-Box只能通过车主2解除绑定，所以车主2取得手机以及取回账号后仍然能够调用车辆远程服务。在模式3下，App中的车辆丢失模式将可以使用，进入车辆丢失模式，由于车辆T-Box自动接入网络，其将实时汇报自身位置，同时T-Box将会对车辆内的人员进行警告，车辆1进入限速模式，以实现车辆_1找回。

如图4所示，车辆1在限速模式下将对最高车速进行控制，车辆1将不断更新自身的最高限制车速v_max。进入车辆丢失模式后，车载计算机将以60s为单位不断记录并计算该时间段内的车辆平均车速v′_60s，同时在下一个记录周期开始时对v_max进行更新：

在更新最高限制车速v_max后，若当前车速v＞v_max，则T-Box将控制车速在45s内减低至v_max。此外，最高限制车速最小值min(v_max)＝20m/s，以确保车辆1的基础运动。通过上述自学习过程，限速模式能够实现在保证行车安全的条件下，阻止车辆逃离。

模式4、当车内驾驶员监测系统检测到车主2不在驾驶座上，车主手机位置与车辆位置的距离大于阈值k，此时是车主2与手机3都位于车外的情况。该模式下不同情况将激活不同的远程服务。

导致该状况的原因可能包含：车辆1借给熟人车主2持有手机3、车辆1借给熟人车主2不持有手机3、车辆1被窃车主2持有手机3、车辆1被窃车主2不持有手机3以及车辆_1 远程启动准备等。对于上述5种原因的分析如下：

①、车辆1借给熟人并且车主2持有手机；

②、车辆1借给熟人但是车主2不持有手机，车主2不持有手机3包含手机3丢失，手机_3被窃等情况。

对于情况①、②，车主2可以在借车时，通过T-Box验证后临时增加一个Guest身份，使借车的人成为临时性的车主，然后处理模式变更成模式1。其中，建立Guest身份时，车主2需要通过T-Box上的直接指纹认证授予建立Guest身份的权限，同时车主2可以设置该Guest身份的持续时长，当Guest身份超出时效后，T-Box将重新根据状况选择服务模式。

③、车辆1被窃车主2持有手机3。此时车主2需要用到手机App的车辆丢失模式；

④、车辆1被窃车主2不持有手机3。该情况下情况可能为车主手机忘带或者被窃。

对于情况③、④，车载T-Box可以通过排除情况①、②、⑤判断，该情况下开放App车辆丢失模式功能。

⑤、车辆1远程启动准备。

对于情况⑤，T-Box容易判断出车辆1在进行远程启动准备，此时车主2一般会执行车辆报位、车内空调启动、车内座椅加热等便利性功能，因此可以开放上述远程控制功能。由于车辆1在无车钥匙的情况下不能启动，但是也需要考虑恶意远程指令的危害性，例如利用空调系统将蓄电池电量放完、或者鸣笛对周围产生噪声污染等，因此，需要对上述远程功能进行限制，可以通过增加电量限制与报位时间间隔限制实现。