郭巖松

（長城汽車股份有限公司HAVAL技術(shù)中心）

手機(jī)與智能鑰匙系統(tǒng)（PEPS）的結(jié)合是汽車鑰匙發(fā)展的智能化形態(tài)，手機(jī)智能鑰匙作為各大車企爭相研發(fā)的系統(tǒng)，已經(jīng)成為各種車型普及的趨勢，它的安全性也是備受爭議和關(guān)注。而目前的安全策略中，由于藍(lán)牙通訊的特性導(dǎo)致傳輸過程中會存在被盜和復(fù)制的風(fēng)險(xiǎn)，這樣不法分子就可以通過其他中端設(shè)備模擬手機(jī)鑰匙，從而盜取車輛或者盜取車內(nèi)財(cái)物，導(dǎo)致車主財(cái)產(chǎn)損失[1]。基于此，該文提出了一種通過在秘鑰信息中增設(shè)時間戳進(jìn)行安全認(rèn)證的方法，解決了通過在車輛和移動手機(jī)附近用中繼模塊獲取鑰匙信息后非法盜取車輛的問題，提高了車輛的安全性。經(jīng)過驗(yàn)證，可以達(dá)到預(yù)期的效果。

1 問題描述與分析

1.1 問題背景

傳統(tǒng)鑰匙的安全性認(rèn)證機(jī)制，是密鑰信息在特定的高低頻段中，通過AES128加密策略或非對稱方式，實(shí)現(xiàn)車輛與實(shí)體鑰匙之間的傳送，從而保障數(shù)據(jù)信息傳輸安全。相比于傳統(tǒng)鑰匙，新型鑰匙的安全機(jī)制采用的是車機(jī)與手機(jī)的無線傳輸方式，車機(jī)僅需對收到的數(shù)據(jù)信息進(jìn)行正確性認(rèn)證，而不考慮信息的來源。此時，近距離藍(lán)牙通訊系統(tǒng)發(fā)送的信息一旦被中繼模塊獲取，該模塊便能遠(yuǎn)距離輸出密鑰信息并進(jìn)行認(rèn)證，易導(dǎo)致車輛被盜，危害人身安全。

1.2 問題描述

目前手機(jī)智能鑰匙系統(tǒng)存在的安全問題主要體現(xiàn)在以下方面。

1）目前藍(lán)牙方案車機(jī)互聯(lián)的技術(shù)方案缺乏有效的防盜機(jī)制，不法分子利用多個中轉(zhuǎn)機(jī)即可將手機(jī)鑰匙的有效信號遠(yuǎn)距離傳輸?shù)杰囕v，車輛由于無法判斷出鑰匙的距離而誤判為合法鑰匙的呼叫，于是執(zhí)行相關(guān)指令，造成財(cái)物丟失[2]；

2）藍(lán)牙方案將測距電路和判斷電路作為執(zhí)行命令之前的條件，但是測距電路主要應(yīng)用在短距離內(nèi)（1 cm左右），主要應(yīng)用于門鎖，車機(jī)互聯(lián)的藍(lán)牙有效區(qū)域達(dá)到10 m左右，如果采用測距方案不能正確識別鑰匙本身的合法性，依然存在盜車風(fēng)險(xiǎn)[3]；

3）藍(lán)牙技術(shù)、通信技術(shù)和無線監(jiān)控技術(shù)相結(jié)合，引入內(nèi)嵌軟件方式，并結(jié)合USSD和回鈴音控制的技術(shù)可以提高安全性，但是依然無法規(guī)避掉非合法分子利用中轉(zhuǎn)機(jī)破解來獲取合法信息的問題；

4）傳統(tǒng)藍(lán)牙解鎖方案需要人工觸發(fā)，且驗(yàn)證碼為裸露的編碼，極易被截獲盜用，易造成非合法人員利用該漏洞截取車輛信息及車輛，造成車輛內(nèi)部財(cái)產(chǎn)乃至整個車輛失竊的嚴(yán)重后果[4]。

基于此，將設(shè)計(jì)目標(biāo)定為：避免合法鑰匙信息被盜用，保護(hù)車主財(cái)產(chǎn)，提高安全等級。

1.3 問題分析

在目前移動設(shè)備解鎖車輛方案中，移動設(shè)備藍(lán)牙與PEPS控制器通信加密通常采用滾碼技術(shù)，這種動態(tài)密碼方式在一定程度上提高了通信安全性，但藍(lán)牙通信也屬于無線通信方式的一種，所使用的都是電磁波，均是開放發(fā)射的，所以這種開放性使得周圍的任何設(shè)備都可能截取并復(fù)制轉(zhuǎn)發(fā)出所截獲的電磁波波普。因此這種弊端使得非法用戶通過中繼模塊偽裝成合法鑰匙實(shí)現(xiàn)車輛解鎖。

1.4 問題確定

圖1示出通過中繼模塊偽造合法鑰匙的應(yīng)用場景圖。在PEPS模塊和合法鑰匙的有效認(rèn)證區(qū)域內(nèi)放置2個無線中繼模塊，它們之間采用移動蜂窩網(wǎng)絡(luò)進(jìn)行通訊傳輸，即可將合法鑰匙信息盜取。

2 解決方法

2.1 擬選用的技術(shù)創(chuàng)新方法

利用藍(lán)牙互配時間明顯比網(wǎng)絡(luò)互配時間短的特點(diǎn)，引入通信時間校驗(yàn)機(jī)制來對移動設(shè)備和車輛系統(tǒng)通信過程進(jìn)行監(jiān)控校驗(yàn)，也就是對訪問請求的時間有效性進(jìn)行驗(yàn)證，增強(qiáng)認(rèn)證過程安全性。

文章具體闡述了藍(lán)牙鑰匙防重發(fā)盜用加密過程。在本技術(shù)方案中，藍(lán)牙鑰匙系統(tǒng)的基本組成結(jié)構(gòu)，如圖2所示。

圖2 藍(lán)牙鑰匙系統(tǒng)結(jié)構(gòu)圖

移動通訊端與車輛系統(tǒng)之間通過藍(lán)牙進(jìn)行通信交互。本技術(shù)方案中，藍(lán)牙鑰匙的認(rèn)證解鎖不需要操作移動通訊端，因此設(shè)計(jì)其基本認(rèn)證流程如下：第一，車輛系統(tǒng)周期性地向外發(fā)送身份探詢信號，等待移動通訊端的應(yīng)答；第二，移動通訊端身份驗(yàn)證應(yīng)答，車輛控制系統(tǒng)對移動通訊端的身份標(biāo)識進(jìn)行認(rèn)證；第三，車輛系統(tǒng)與移動通訊端進(jìn)行密鑰認(rèn)證，通過則執(zhí)行解鎖操作。

在本技術(shù)方案中，對認(rèn)證過程中對發(fā)送方的通訊信息引入時間戳一并加密發(fā)送，這里時間戳就是發(fā)送方傳輸通訊信息時的時間。時間校驗(yàn)加密機(jī)制如下:當(dāng)A方給B方在Ts時刻發(fā)送信息，在這里一并將Ts作為該信息的附加內(nèi)容并加密成明文一并發(fā)出。當(dāng)B方收到該明文，并通過約定好的解密方式獲得信息中的時間Ts，進(jìn)一步地，B方讀取本地時間為Tr，如果Tr與Ts的時間間隔未在約定的時間間隔（ΔT）內(nèi)，則認(rèn)為A方發(fā)送通信信息過期失效，否則進(jìn)入下一步交互通信。

圖3示出車輛系統(tǒng)發(fā)送周期性身份探詢信號圖，在本技術(shù)方案中，每條身份探詢信號都會附加車輛本地系統(tǒng)時間戳（Tpeps_i），該時間戳同樣作為身份探詢信息的標(biāo)志符。

為了進(jìn)一步保證認(rèn)證信息和時間戳的安全傳輸，在信息被發(fā)送之前對認(rèn)證信息（如請求信息或移動通訊身份ID等信息進(jìn)行加密得到的認(rèn)證信息，同樣對相應(yīng)的時間戳信息進(jìn)行加密得到的時間戳加密信息）進(jìn)行二次加密得到傳輸用的明文信息。圖4示出移動通訊端與車輛系統(tǒng)進(jìn)行身份認(rèn)證的基本流程圖。

圖4 移動通訊端與車輛系統(tǒng)身份認(rèn)證過程加密流程圖

在本技術(shù)方案實(shí)施過程中，移動通訊端對身份探詢信號進(jìn)行應(yīng)答，為了保證應(yīng)答的時效性評估，車輛系統(tǒng)需要知道移動通訊端應(yīng)答的是哪個時刻的身份探詢信號，因此在移動通訊端對車輛系統(tǒng)發(fā)出的探詢信息進(jìn)行解密，獲得系統(tǒng)發(fā)出的探詢信息的時間戳（Tpeps_i），此時間戳（Tpeps_i）就作為某條探詢信號的標(biāo)志信息，隨后進(jìn)行時鐘同步計(jì)算得出獲得的同步后的時間戳信息（Tmobile_sync），藍(lán)牙鑰匙將自己身份標(biāo)識信息、所需握手通信信息以及對某個身份探詢信號的標(biāo)志進(jìn)行簽名，將這些信息加密封裝并發(fā)送給車輛系統(tǒng)。

進(jìn)一步地，車輛系統(tǒng)對所接收地移動通訊端明文的時效性進(jìn)行解密驗(yàn)證。通過雙方約定的解密算法，從該消息中獲得身份探詢信號的標(biāo)識信息（Tpeps_i），進(jìn)而讀取系統(tǒng)本地時間（Tpeps_current），為了驗(yàn)證該明文信息的時效性，車輛系統(tǒng)通過判斷當(dāng)前明文接收時刻（Tpeps_current）與該探詢信號應(yīng)答明文的時間戳（Tpeps_i）之差是否在預(yù)定的藍(lán)牙對藍(lán)牙通信的時間閾值范圍（δt）內(nèi)，這里的時間閾值是基于藍(lán)牙通信的交互時間，通常很小，一般在200 ms內(nèi)。如果時效性驗(yàn)證通過，車輛系統(tǒng)則發(fā)出下一步認(rèn)證過程信息；如果超出預(yù)定的時間閾值范圍，則車輛認(rèn)為該身份應(yīng)答明文失效，不做回應(yīng)，繼續(xù)發(fā)送身份探詢信號。

2.2 技術(shù)創(chuàng)新方法應(yīng)用過程

針對非合法分子通過設(shè)置多個中繼模塊獲取合法信號，并企圖冒充合法鑰匙進(jìn)行信息重發(fā)盜用車輛的場景，本技術(shù)方案利用藍(lán)牙與移動蜂窩網(wǎng)絡(luò)3G/4G/5G的通訊時間存在的差異，當(dāng)車輛系統(tǒng)發(fā)送帶有時間戳（Tpeps_i）標(biāo)志的身份探詢信號時，經(jīng)過非合法分子攜帶的中繼模塊設(shè)備傳輸?shù)杰囕v的合法鑰匙（移動通訊端）期間肯定會造成中轉(zhuǎn)延遲（ΔTdely1），同樣作為車輛合法鑰匙的移動通訊端，對帶有時間戳（Tpeps_i）的身份探詢信號經(jīng)過中繼模塊后會進(jìn)行相應(yīng)的應(yīng)答，這期間又會造成中轉(zhuǎn)延遲時間（ΔTdely2），因此PEPS系統(tǒng)接收到Tpeps_i標(biāo)志的身份探詢信號的應(yīng)答信息一共會延遲ΔTdely1+ΔTdely2。經(jīng)過試驗(yàn)證明，ΔTdely1+ΔTdely2的時間在2 s左右，而如果按照正常的邏輯，合法鑰匙和車輛之間是由藍(lán)牙通訊傳輸秘鑰信息的，2個藍(lán)牙模塊之間傳輸秘鑰信息的時間在200 ms左右。因?yàn)樗{(lán)牙-藍(lán)牙模塊之間通訊延遲閾值（δt）一般小于基于遠(yuǎn)距離無線移動蜂窩網(wǎng)絡(luò)3G/4G/5G的延遲時間，所以一旦探尋信息中增加了時間戳，并采用首先判斷時間戳的時效性進(jìn)行校驗(yàn)，車輛系統(tǒng)會認(rèn)為該種情況通信失效，不予下一步認(rèn)證回應(yīng)，從而避免了非法分子通過中繼重發(fā)盜用的行為。

圖5示出手機(jī)鑰匙解鎖認(rèn)證流程圖，從此流程中可以看到如何通過設(shè)置時間戳來避免通過中繼端設(shè)備來盜取手機(jī)鑰匙的場景發(fā)生。

圖5 手機(jī)鑰匙解鎖認(rèn)證基本流程圖

3 結(jié)論

目前虛擬車鑰匙與共享汽車快速發(fā)展，更需要保障車輛與車主自身的安全。文章提出在藍(lán)牙發(fā)出的身份探尋信號中增加時間戳的軟件算法，進(jìn)一步核實(shí)身份認(rèn)證的正確性，防止不法分子通過中繼模塊獲取合法鑰匙信息，車機(jī)端收到身份信息后，只有在符合時間戳機(jī)制的情況下，控制器才允許車輛進(jìn)行相關(guān)指示的動作。此方案在保留原系統(tǒng)優(yōu)勢的基礎(chǔ)上，已消除原系統(tǒng)中的不足，并沒有引入新的缺陷；在軟件策略的算法上進(jìn)行了更改和完善，并未增加成本，投入使用具備一定的實(shí)用性和可操作性。

之前的研究均為在秘鑰信息加密策略上，使信息層層包裹，以防止破解，但是并未對信息的來源進(jìn)行過探究，而當(dāng)每一條探尋消息中都加入時間戳后，就可以明確該消息來源于何時何地，能夠更加有效地評估信息的合法性，從而在很大程度上避免這種通過在車機(jī)和手機(jī)附近安置中繼模塊來偽裝成合法鑰匙進(jìn)行盜竊或者傷害人身等行為，更好地保護(hù)了車主的安全。

此方案中，借鑒了藍(lán)牙和蜂窩網(wǎng)絡(luò)信息通訊的時間差作為合法信息的判決條件之一，但是藍(lán)牙傳輸?shù)姆€(wěn)定性會因藍(lán)牙版本的不同而有所偏差，此時間戳的具體定義時鐘仍需要進(jìn)一步詳細(xì)標(biāo)定，方可制定更加完美的方案。