一种车载T‑Box与用户手机信息交互安全认证系统及方法与流程

本发明涉及车辆信息安全领域，具体涉及一种保护车辆T-Box与对应手机App通信过程信息安全的技术，通过指纹认证系统防止利用手机App入侵车辆T-Box进行恶意控制行为。

背景技术：

随着科技发展，汽车已经不再是单纯的代步工具。目前汽车工业正处于科技创新时代，汽车联网技术应景而生。汽车间的通信使得人车联系更为紧密，车主通过远程服务可以对车进行定位、访问以及控制等互动；此外，车间通信实现了速度、位置、方向以及刹车等行为信息的共享，促进汽车智能化，并有效降低交通事故风险。汽车与云端服务器的通信则可以为车厂在汽车研发、实验、生产、销售、售后各个阶段提供强有力的数据支撑；汽车的位置、运动状态也能够实时共享至服务器，加强车辆与道路间的联系，从而实现智能交通。

现有技术下，汽车通信功能由车载T-Box执行。最早的车载T-Box由微软公司开发，它包括一个处理器、一个内存、一个硬盘以及一套操作系统，并将不同车厂的车内导航、娱乐设备以及网络接口等与其连接。随后，T-Box与车载ECU连接，并开发了相应的云服务器和手机App，从而实现了车主使用手机对车辆远程进行监控、定位、控制、以及诊断并获得反馈等功能。

基于汽车互联技术的车辆T-Box架构给用户带来便利，但同时也将汽车系统暴露在互联网带来的信息安全风险中。现有的车辆T-Box技术中，基本上以便利性为设计核心，然而忽视了信息安全性，操作流程缺少严密的信息安全防护机制。甚至部分车厂的T-Box设备，赋予手机App的控制指令高级权限，可以直接控制车辆动力系统，却缺少相对安全的认证环节，信息防护也相对薄弱，这将直接导致该车辆极易在远程服务中通过网络被破解，从而遭遇丢失、盗窃、失控等安全威胁。

技术实现要素：

本发明针对现有车辆T-Box技术的信息安全不足方面，提供了一种新的车辆T-Box架构体系，在该架构体系下，汽车的信息安全性能够得到保障。同时，针对该架构体系，本文还提供了一种对车辆T-Box与手机信息交互过程中进行指纹认证的系统，能够有效防护在App层面上对车辆T-Box信息安全产生的威胁。

本发明的车辆T-Box架构体系通过以下技术方案实现：

该架构体系包括：车载T-Box、T-Box云服务器以及移动端App。

其中，所述车载T-Box内置有4G通信网卡，用于对T-Box云服务器通信；车载T-Box与空调、娱乐设备连接，其作为控制终端，可以对这些设备发送指令以实现控制功能；车载T-Box与汽车计算机控制系统连接，通过CAN总线协议进行沟通。汽车计算机控制系统与空调、娱乐系统在T-Box处隔离，T-Box与两套系统采用不同协议沟通，以防止通过娱乐系统近程网络接入从而对汽车计算机控制系统产生的威胁。

此外，T-Box的硬件架构中采用双虚拟区域处理硬件架构体系，这是一种能够保护敏感信息的硬件安全架构体系，它将T-Box从硬件与软件上分割成安全与普通两个区域，普通区域只能访问普通区域的系统资源，而安全区域能访问所有资源，这样使得普通区域第三方程序无法访问安全区中的敏感数据。这种架构体系要求T-Box的硬件资源是双份的，这样每个虚拟区域能够独享一份资源，因为两个虚拟区域采用不同语言运行，同时拥有各自的引导过程，这将简化软件设计。对于T-Box，其使用模式变为两种，其一是普通使用，其二是涉及敏感数据的安全使用。T-Box需要安全验证时，会自动切换到安全模式，保护数据不被其它程序访问，同时车主指纹、人脸等数据也会存储于安全区域对应的硬件中，此外安全区域硬件在车辆出厂时会在其内预置用于认证过程的私钥。T-Box进行安全验证行为之外的操作时，例如指令的收发、信号的传递以及信息的处理行为等，则停留在普通模式。这两种模式集成在一个内核中的，不采用双线程并行或者同步运行，只是根据不同的需要在两种模式中简单切换。其通过monitor模式进行切换，当普通区域的程序需要安全区域的服务时，通过调用SMC指令进入monitor模式，从而获取服务，并且只能获取服务，而不能获得其他信息。

所述T-Box云服务器负责收发与传递来源于车载T-Box与移动端App的信息，App账户会与车载T-Box的VIN码绑定，以便云服务器进行相应的信息传递；同时，云服务器上存储大量车辆位置、速度等信息，并实时更新，可以服务于智能交通系统；此外，云服务器还进行大数据计算，从而分析单车异常行为，判断其异常原因并提供警示信息与解决方案。

所述移动端App，用于实现对车主进行远程服务功能，移动端可以为手机或者平板电脑等设备。App的登入账号为手机号，一个账号绑定一个T-Box。账号不允许多设备登入，每次重新登入时需要手机短信验证，异常登入会通过手机号进行短信通知，使车主第一时间察觉异常。账号的绑定过程需要车主在移动端和车辆上进行验证，解绑过程可以是车主通过手机主动解绑，或者直接通过车载T-Box强制解绑移动端App。账号和车辆绑定时，云服务器会建立账号与汽车VIN号的链接，从而保证服务器传递信息时的准确性，以实现车辆T-Box和手机的信息交互。

此外，车载T-Box通过与车载屏幕、触控板、指纹识别等硬件设备连接，从而实现显示当前接收到的远程指令、车内操作以及车内认证等功能。车主对车载T-Box的直接操作(即车内操作)可以进行具有最高权限的控制，通过移动端App的远程服务无法对此进行变更，例如车辆近程网络(WIFI、蓝牙)的开启与关闭等操作。当车主关闭车载T-Box的远程服务功能或是解除了车载T-Box与移动端App的绑定，此时，车载T-Box将不再执行任何远程控制指令，但不中断与T-Box云服务器的通信，仍然会实时汇报自身的位置、速度等信息。

基于上述架构体系，本文还提供了一种T-Box与手机信息交互指纹认证系统，其通过以下技术方案实现：

每次移动端App发出控制指令时，发送者会被要求提供其指纹。发送操作执行前，手机在Secure Element内生成两个密钥m₁，m₂与随机数a₁，a₂，其中m₁与m₂中包含一对认证信息。然后，比较指令数据x₁与指纹数据y₁中字节数z₁，z₂，取较大的两倍记为z₃，将指令数据x₁与指纹数据y₁填充的字节数填充至z₃，并将指令数据x₁放在第a₁位，指纹数据y₁放在第a₂位，其他位的数据则随机生成。将填充后的指令数据x₂和指纹数据y₂分别用m₁，m₂加密得到指令数据x₃和指纹数据y₃，然后将两个秘钥m₁，m₂以及两个随机数a₁，a₂用公钥m₃加密得到M₁，M₂，A₁，A₂，最后将A₁M₁x₃，A₂M₂y₃随机打包发送至服务器。服务器根据指令来源账号链接的VIN码寻找对应的T-Box，然后将信息发往该T-Box。

T-Box接收到服务器发送的打包的数据后，处理器将先切换成安全模式，用于对数据中指纹信息的认证。在该模式下，处理器会根据预置私钥m₄(公钥m₃与私钥m₄为一对)解密A₁M₁x₃，A₂M₂y₃，得到a₁m₁x₂，a₂m₂y₂。然后根据标记拆分，比对m₁，m₂中的认证信息，检测其是否成对，成功认证后利用m₂解密y₃得到y₂，然后在y₂中的a₂位置处，截取数据y₁与之前录入的指纹数据比对，若配对成功，则处理器返回1，并切换成常规模式，进行指令的执行操作，否则不予理会。

本发明提供的车辆T-Box架构体系，以及车辆T-Box与手机信息交互指纹认证系统，有如下创新点与优势：

(1)本发明提供了一种车辆T-Box架构体系，在该架构体系下，以T-Box为核心，汽车联网通信服务通过T-Box进行，汽车控制指令经由T-Box传递，其作为云端服务器与汽车的连接节点，将汽车信息安全防护核心从多个方面集中至一点，从而简化了防护机制的设计，并能够防护多种威胁汽车信息安全的入侵手段。

(2)本发明的认证过程位于T-Box端，这样可以防护在App端漏洞所产生的威胁。大多数App的验证过程中，在发送远程指令时，通常采用二级密码或者短信验证，这使位于App层面的身份验证，通过认证后App就将数据发送T-Box执行操作。此验证方式有被黑客绕开的风险(例如黑客如采用其他T-Box账号发送指令，通过篡改伪装发送账号的VIN使得该指令发送到另一辆车)，从而威胁到车辆安全。而基于本发明T-Box架构，T-Box端的身份信息验证过程则可以有效避免以上危险行为的发生，同时还能过滤大量无效信息，从而保护信息安全。

(3)本发明的T-Box处理器的硬件架构采用双虚拟区域处理硬件架构体系，在T-Box与手机App通信时，指纹认证机制是防止恶意信息进入T-Box并干扰其性能的有效防护手段。双虚拟区域处理架构的硬件软件分离总线能够保证普通区域只能获得服务而无法访问内容，这将有效隔离认证过程与其他过程，防止认证过程中的恶意篡改；同时还能隔离指纹等安全认证信息与常规程序运行数据的存储，即使黑客入侵了T-Box，他也无法访问安全区域里保护的东西，只有生产者采用出厂预制写的信任代码模块才能访问，同时安全引导启动技术能够保证了别人无法篡改该代码。

(4)在指令传输过程中，加密是至关重要的一个环节。本发明对指令与指纹数据进行对称加密，因为这两条数据长度较长，采用对称加密可以节省加密时间，从而提高通信过程实时性；但是对密钥进行非对称加密，通过非对称加密使得密钥被严格保密。从而保证了数据传输的信息安全，同时减少解密的时间。此外，为了防止黑客直接截取加密密钥并使用，从而绕开密钥认证过程，本发明使用随机数隐藏了加密信息的位置，同时设置配对密钥组合，从而能够有效防止这种情况的发生。

附图说明

图1是本发明的车辆T-Box架构体系组成示意图；

图2是本发明的T-Box处理器硬件架构体系组成示意图；

图3是本发明的App通信数据加密解密过程流程示意图；

图中：1.车主，2.车辆，3.车载T-Box，4.T-Box云端服务器，5.移动端App，6.普通区域，7.安全区域。

具体实施方式

下面结合附图对本发明作进一步说明：

如图1所示，本发明提供了一种新的车辆T-Box架构体系，包括：车辆2、车载T-Box3、T-Box云服务器4以及移动端App5。

其中，车载T-Box3内置有4G通信网卡，用于对T-Box云服务器4通信；车载T-Box3与车辆2中的空调、娱乐设备连接，其作为控制终端，可以对这些设备发送指令以实现控制功能；车载T-Box3与汽车计算机控制系统连接，通过CAN总线协议进行沟通。汽车计算机控制系统与空调、娱乐系统在T-Box3处隔离，T-Box3与两套系统采用不同协议沟通，以防止通过娱乐系统近程网络接入从而对汽车计算机控制系统产生的信息安全威胁。

此外，T-Box3的硬件架构中采用双虚拟区域处理硬件架构体系，这是一种能够保护敏感信息的硬件安全架构体系，如图2所示它将T-Box从硬件与软件上分割成安全区域7与普通区域6，普通区域6内的程序只能访问在普通虚拟区域内的系统资源，而安全区域内7的程序能访问所有资源，这样使得普通区域6第三方程序无法访问安全区中的敏感数据。这种架构体系要求T-Box3的硬件资源是双份的，这样每个虚拟区域能够独享一份资源，因为两个虚拟区域采用不同语言运行，同时拥有各自的引导过程，这将简化软件设计。对于T-Box3，其使用模式变为两种，其一是普通使用模式，其二是涉及敏感数据的安全使用模式。当T-Box3需要安全验证时，会自动切换到安全模式，保护数据不被其它程序访问，同时车主指纹、人脸等数据也会存储于安全区域对应的硬件中，此外安全区域硬件在车辆出厂时会在其内预置用于认证过程的私钥。当T-Box3进行安全验证行为之外的操作时，例如指令的收发、信号的传递以及信息的处理行为等，则停留在普通模式。这两种模式集成在一个内核中的，不采用双线程并行或者同步运行，只是根据不同的需要在两种模式中简单切换，可以节省内核资源。

其具体的运行过程如下所述：

T-Box3启动后，两个区域同时进行引导启动，并运行在同一处理器核上，日常操作是在普通区域6中进行，此时T-Box3处理器进入普通模式。如图3所示，当普通区域6下的程序运行需要进行安全验证时，该程序首先从普通区域6下的用户模式中申请进入特权模式。进入特权模式后程序可以调用SMC指令，使得T-Box3处理器进入monitor模式。此时，T-Box3处理器环境从普通进入安全，在monitor模式下系统会备份之前程序在普通区域6中运行时的上下文，并收集验证信息(例如指纹、密码的录入)。对于monitor模式，其在安全区域7中运行，monitor模式中的数据，普通区域6中的程序无法访问。然后转到T-Box安全区域7中的限制模式，在限制模式下，验证信息会与安全区域7中安全数据比对，并返回一个0或1的值，然后T-Box处理器返回普通模式6，程序接受0或1数据，判断是否通过验证。

T-Box云服务器4负责收发与传递来源于车载T-Box3与移动端App5的信息，App账户5会与车载T-Box3的VIN码绑定，以便云服务器4进行相应的信息传递；同时，云服务器4上存储大量车辆位置、速度等信息，并实时更新，可以服务于智能交通系统；此外，云服务器4还进行大数据计算，从而分析单车异常行为，判断其异常原因并提供警示信息与解决方案。

移动端App5，用于实现对车主1进行远程服务，移动端可以为手机或者平板电脑等设备。App5的登入账号为手机号，一个账号绑定一个T-Box3。账号不允许多设备登入，每次重新登入时需要手机短信验证，异常登入会通过手机号进行短信通知，使车主1第一时间察觉异常。账号的绑定过程需要车主1在移动端5和车辆2上进行验证，解绑过程可以是车主1通过手机5主动解绑，或者直接通过车载T-Box3强制解绑移动端App5账号。账号和车辆T-Box3绑定时，云服务器4会建立账号与汽车2的VIN号链接，从而保证服务器4传递信息时的准确性，以实现车辆T-Box3和手机5的信息交互。

此外，车载T-Box3通过与车载屏幕、触控板、指纹识别等硬件设备连接，从而实现显示当前接收到的远程指令、车内操作以及车内认证等功能。车主1对车载T-Box3的直接操作(即车内操作)可以进行具有最高权限的控制，通过移动端App5的远程服务无法对此进行变更，例如车辆近程网络(WIFI、蓝牙)的开启与关闭等操作。当车主关闭车载T-Box3的远程服务功能或是解除了车载T-Box3与移动端App5的绑定，此时，车载T-Box3将不再执行任何远程控制指令，但不中断与T-Box云服务器4的通信，仍然会实时汇报自身的位置、速度等信息。

在该架构体系下，车载T-Box3作为云端服务器4与汽车2的连接节点，承担大多数远程通信任务，管控车辆娱乐设备、舒适性设备以及其他通信系统(WIFI、蓝牙)，能够改变车辆运行状态，是信息安全防护核心。因此，本发明提供一种T-Box与手机通信的认证方法，将远程通信身份认证过程从App5处移至T-Box3处，用于防护绕开App5认证手段的攻击，以及过滤大量其他信息(除远程服务信息外的其他信息)。

下面详细对该认证方法进行说明：

图3为该认证方法中通信数据加密的流程图，包括以下各步骤：

每次移动端App5发出控制指令时，发送者会被要求提供其指纹。发送操作执行前，手机在Secure Element内生成两个AES密钥m₁，m₂与随机数a₁，a₂，其中m₁与m₂中包含一对认证信息。然后，比较指令数据x₁与指纹数据y₁中字节数z₁，z₂，取较大的两倍记为z₃，将指令数据x₁与指纹数据y₁填充的字节数填充至z₃，并将指令数据x₁放在第a₁位，指纹数据y₁放在第a₂位，其他位的数据则随机生成，并在末位加入标记。将填充后的指令数据x₂和指纹数据y₂分别用m₁，m₂加密得到指令数据x₃和指纹数据y₃，然后将两个秘钥m₁，m₂以及两个随机数a₁，a₂末端填充标记后，用公钥m₃加密得到M₁，M₂，A₁，A₂，最后将加密后的数据A₁M₁x₃，A₂M₂y₃随机排序并打包发送至服务器4。服务器4根据指令来源账号链接的VIN码寻找对应的T-Box3，然后将信息发往该T-Box3。

随后，在接收过程中，T-Box3接收到服务器发送的打包的数据后，处理器将先切换成安全模式，用于对数据中指纹信息的认证。在minitor模式下，处理器会根据预置私钥m₄(公钥m₃与私钥m₄为一对RSA非对称加密算法的密钥)解密A₁M₁x₃，A₂M₂y₃，得到a₁m₁x₂，a₂m₂y₂。然后，根据标记拆分，比对m₁，m₂中的认证信息，检测其是否成对，成功认证后利用m₂解密y₃得到y₂，然后在y₂中的a₂位置处，截取数据y₁与之前录入的指纹数据比对，若配对成功，则处理器返回1，并切换成常规模式，进行指令的执行操作，否则不予理会。

此外，双虚拟区域处理架构从硬件与软件上将资源分割成安全区域7与普通区域6，除了能有效隔离认证过程与其他过程，同时还能隔离指纹、密码等安全认证信息与常规程序运行数据的存储，保证数据安全。