基于藍牙策略的車機安全認證機制的創(chuàng)新設(shè)計

郭巖松

（長城汽車股份有限公司HAVAL技術(shù)中心）

手機與智能鑰匙系統(tǒng)（PEPS）的結(jié)合是汽車鑰匙發(fā)展的智能化形態(tài)，手機智能鑰匙作為各大車企爭相研發(fā)的系統(tǒng)，已經(jīng)成為各種車型普及的趨勢，它的安全性也是備受爭議和關(guān)注。而目前的安全策略中，由于藍牙通訊的特性導(dǎo)致傳輸過程中會存在被盜和復(fù)制的風險，這樣不法分子就可以通過其他中端設(shè)備模擬手機鑰匙，從而盜取車輛或者盜取車內(nèi)財物，導(dǎo)致車主財產(chǎn)損失[1]?；诖?，該文提出了一種通過在秘鑰信息中增設(shè)時間戳進行安全認證的方法，解決了通過在車輛和移動手機附近用中繼模塊獲取鑰匙信息后非法盜取車輛的問題，提高了車輛的安全性。經(jīng)過驗證，可以達到預(yù)期的效果。

1 問題描述與分析

1.1 問題背景

傳統(tǒng)鑰匙的安全性認證機制，是密鑰信息在特定的高低頻段中，通過AES128加密策略或非對稱方式，實現(xiàn)車輛與實體鑰匙之間的傳送，從而保障數(shù)據(jù)信息傳輸安全。相比于傳統(tǒng)鑰匙，新型鑰匙的安全機制采用的是車機與手機的無線傳輸方式，車機僅需對收到的數(shù)據(jù)信息進行正確性認證，而不考慮信息的來源。此時，近距離藍牙通訊系統(tǒng)發(fā)送的信息一旦被中繼模塊獲取，該模塊便能遠距離輸出密鑰信息并進行認證，易導(dǎo)致車輛被盜，危害人身安全。

1.2 問題描述

目前手機智能鑰匙系統(tǒng)存在的安全問題主要體現(xiàn)在以下方面。

1）目前藍牙方案車機互聯(lián)的技術(shù)方案缺乏有效的防盜機制，不法分子利用多個中轉(zhuǎn)機即可將手機鑰匙的有效信號遠距離傳輸?shù)杰囕v，車輛由于無法判斷出鑰匙的距離而誤判為合法鑰匙的呼叫，于是執(zhí)行相關(guān)指令，造成財物丟失[2]；

2）藍牙方案將測距電路和判斷電路作為執(zhí)行命令之前的條件，但是測距電路主要應(yīng)用在短距離內(nèi)（1 cm左右），主要應(yīng)用于門鎖，車機互聯(lián)的藍牙有效區(qū)域達到10 m左右，如果采用測距方案不能正確識別鑰匙本身的合法性，依然存在盜車風險[3]；

3）藍牙技術(shù)、通信技術(shù)和無線監(jiān)控技術(shù)相結(jié)合，引入內(nèi)嵌軟件方式，并結(jié)合USSD和回鈴音控制的技術(shù)可以提高安全性，但是依然無法規(guī)避掉非合法分子利用中轉(zhuǎn)機破解來獲取合法信息的問題；

4）傳統(tǒng)藍牙解鎖方案需要人工觸發(fā)，且驗證碼為裸露的編碼，極易被截獲盜用，易造成非合法人員利用該漏洞截取車輛信息及車輛，造成車輛內(nèi)部財產(chǎn)乃至整個車輛失竊的嚴重后果[4]。

基于此，將設(shè)計目標定為：避免合法鑰匙信息被盜用，保護車主財產(chǎn)，提高安全等級。

1.3 問題分析

在目前移動設(shè)備解鎖車輛方案中，移動設(shè)備藍牙與PEPS控制器通信加密通常采用滾碼技術(shù)，這種動態(tài)密碼方式在一定程度上提高了通信安全性，但藍牙通信也屬于無線通信方式的一種，所使用的都是電磁波，均是開放發(fā)射的，所以這種開放性使得周圍的任何設(shè)備都可能截取并復(fù)制轉(zhuǎn)發(fā)出所截獲的電磁波波普。因此這種弊端使得非法用戶通過中繼模塊偽裝成合法鑰匙實現(xiàn)車輛解鎖。

1.4 問題確定

圖1示出通過中繼模塊偽造合法鑰匙的應(yīng)用場景圖。在PEPS模塊和合法鑰匙的有效認證區(qū)域內(nèi)放置2個無線中繼模塊，它們之間采用移動蜂窩網(wǎng)絡(luò)進行通訊傳輸，即可將合法鑰匙信息盜取。

2 解決方法

2.1 擬選用的技術(shù)創(chuàng)新方法

利用藍牙互配時間明顯比網(wǎng)絡(luò)互配時間短的特點，引入通信時間校驗機制來對移動設(shè)備和車輛系統(tǒng)通信過程進行監(jiān)控校驗，也就是對訪問請求的時間有效性進行驗證，增強認證過程安全性。

文章具體闡述了藍牙鑰匙防重發(fā)盜用加密過程。在本技術(shù)方案中，藍牙鑰匙系統(tǒng)的基本組成結(jié)構(gòu)，如圖2所示。

圖2 藍牙鑰匙系統(tǒng)結(jié)構(gòu)圖

移動通訊端與車輛系統(tǒng)之間通過藍牙進行通信交互。本技術(shù)方案中，藍牙鑰匙的認證解鎖不需要操作移動通訊端，因此設(shè)計其基本認證流程如下：第一，車輛系統(tǒng)周期性地向外發(fā)送身份探詢信號，等待移動通訊端的應(yīng)答；第二，移動通訊端身份驗證應(yīng)答，車輛控制系統(tǒng)對移動通訊端的身份標識進行認證；第三，車輛系統(tǒng)與移動通訊端進行密鑰認證，通過則執(zhí)行解鎖操作。

在本技術(shù)方案中，對認證過程中對發(fā)送方的通訊信息引入時間戳一并加密發(fā)送，這里時間戳就是發(fā)送方傳輸通訊信息時的時間。時間校驗加密機制如下:當A方給B方在Ts時刻發(fā)送信息，在這里一并將Ts作為該信息的附加內(nèi)容并加密成明文一并發(fā)出。當B方收到該明文，并通過約定好的解密方式獲得信息中的時間Ts，進一步地，B方讀取本地時間為Tr，如果Tr與Ts的時間間隔未在約定的時間間隔（ΔT）內(nèi)，則認為A方發(fā)送通信信息過期失效，否則進入下一步交互通信。

圖3示出車輛系統(tǒng)發(fā)送周期性身份探詢信號圖，在本技術(shù)方案中，每條身份探詢信號都會附加車輛本地系統(tǒng)時間戳（Tpeps_i），該時間戳同樣作為身份探詢信息的標志符。

為了進一步保證認證信息和時間戳的安全傳輸，在信息被發(fā)送之前對認證信息（如請求信息或移動通訊身份ID等信息進行加密得到的認證信息，同樣對相應(yīng)的時間戳信息進行加密得到的時間戳加密信息）進行二次加密得到傳輸用的明文信息。圖4示出移動通訊端與車輛系統(tǒng)進行身份認證的基本流程圖。

圖4 移動通訊端與車輛系統(tǒng)身份認證過程加密流程圖

在本技術(shù)方案實施過程中，移動通訊端對身份探詢信號進行應(yīng)答，為了保證應(yīng)答的時效性評估，車輛系統(tǒng)需要知道移動通訊端應(yīng)答的是哪個時刻的身份探詢信號，因此在移動通訊端對車輛系統(tǒng)發(fā)出的探詢信息進行解密，獲得系統(tǒng)發(fā)出的探詢信息的時間戳（Tpeps_i），此時間戳（Tpeps_i）就作為某條探詢信號的標志信息，隨后進行時鐘同步計算得出獲得的同步后的時間戳信息（Tmobile_sync），藍牙鑰匙將自己身份標識信息、所需握手通信信息以及對某個身份探詢信號的標志進行簽名，將這些信息加密封裝并發(fā)送給車輛系統(tǒng)。

進一步地，車輛系統(tǒng)對所接收地移動通訊端明文的時效性進行解密驗證。通過雙方約定的解密算法，從該消息中獲得身份探詢信號的標識信息（Tpeps_i），進而讀取系統(tǒng)本地時間（Tpeps_current），為了驗證該明文信息的時效性，車輛系統(tǒng)通過判斷當前明文接收時刻（Tpeps_current）與該探詢信號應(yīng)答明文的時間戳（Tpeps_i）之差是否在預(yù)定的藍牙對藍牙通信的時間閾值范圍（δt）內(nèi)，這里的時間閾值是基于藍牙通信的交互時間，通常很小，一般在200 ms內(nèi)。如果時效性驗證通過，車輛系統(tǒng)則發(fā)出下一步認證過程信息；如果超出預(yù)定的時間閾值范圍，則車輛認為該身份應(yīng)答明文失效，不做回應(yīng)，繼續(xù)發(fā)送身份探詢信號。

2.2 技術(shù)創(chuàng)新方法應(yīng)用過程

針對非合法分子通過設(shè)置多個中繼模塊獲取合法信號，并企圖冒充合法鑰匙進行信息重發(fā)盜用車輛的場景，本技術(shù)方案利用藍牙與移動蜂窩網(wǎng)絡(luò)3G/4G/5G的通訊時間存在的差異，當車輛系統(tǒng)發(fā)送帶有時間戳（Tpeps_i）標志的身份探詢信號時，經(jīng)過非合法分子攜帶的中繼模塊設(shè)備傳輸?shù)杰囕v的合法鑰匙（移動通訊端）期間肯定會造成中轉(zhuǎn)延遲（ΔTdely1），同樣作為車輛合法鑰匙的移動通訊端，對帶有時間戳（Tpeps_i）的身份探詢信號經(jīng)過中繼模塊后會進行相應(yīng)的應(yīng)答，這期間又會造成中轉(zhuǎn)延遲時間（ΔTdely2），因此PEPS系統(tǒng)接收到Tpeps_i標志的身份探詢信號的應(yīng)答信息一共會延遲ΔTdely1+ΔTdely2。經(jīng)過試驗證明，ΔTdely1+ΔTdely2的時間在2 s左右，而如果按照正常的邏輯，合法鑰匙和車輛之間是由藍牙通訊傳輸秘鑰信息的，2個藍牙模塊之間傳輸秘鑰信息的時間在200 ms左右。因為藍牙-藍牙模塊之間通訊延遲閾值（δt）一般小于基于遠距離無線移動蜂窩網(wǎng)絡(luò)3G/4G/5G的延遲時間，所以一旦探尋信息中增加了時間戳，并采用首先判斷時間戳的時效性進行校驗，車輛系統(tǒng)會認為該種情況通信失效，不予下一步認證回應(yīng)，從而避免了非法分子通過中繼重發(fā)盜用的行為。

圖5示出手機鑰匙解鎖認證流程圖，從此流程中可以看到如何通過設(shè)置時間戳來避免通過中繼端設(shè)備來盜取手機鑰匙的場景發(fā)生。

圖5 手機鑰匙解鎖認證基本流程圖

3 結(jié)論

目前虛擬車鑰匙與共享汽車快速發(fā)展，更需要保障車輛與車主自身的安全。文章提出在藍牙發(fā)出的身份探尋信號中增加時間戳的軟件算法，進一步核實身份認證的正確性，防止不法分子通過中繼模塊獲取合法鑰匙信息，車機端收到身份信息后，只有在符合時間戳機制的情況下，控制器才允許車輛進行相關(guān)指示的動作。此方案在保留原系統(tǒng)優(yōu)勢的基礎(chǔ)上，已消除原系統(tǒng)中的不足，并沒有引入新的缺陷；在軟件策略的算法上進行了更改和完善，并未增加成本，投入使用具備一定的實用性和可操作性。

之前的研究均為在秘鑰信息加密策略上，使信息層層包裹，以防止破解，但是并未對信息的來源進行過探究，而當每一條探尋消息中都加入時間戳后，就可以明確該消息來源于何時何地，能夠更加有效地評估信息的合法性，從而在很大程度上避免這種通過在車機和手機附近安置中繼模塊來偽裝成合法鑰匙進行盜竊或者傷害人身等行為，更好地保護了車主的安全。

此方案中，借鑒了藍牙和蜂窩網(wǎng)絡(luò)信息通訊的時間差作為合法信息的判決條件之一，但是藍牙傳輸?shù)姆€(wěn)定性會因藍牙版本的不同而有所偏差，此時間戳的具體定義時鐘仍需要進一步詳細標定，方可制定更加完美的方案。