基于藍牙策略的車機安全認證機制的創新設計

郭巖松

（長城汽車股份有限公司HAVAL技術中心）

手機與智能鑰匙系統（PEPS）的結合是汽車鑰匙發展的智能化形態，手機智能鑰匙作為各大車企爭相研發的系統，已經成為各種車型普及的趨勢，它的安全性也是備受爭議和關注。而目前的安全策略中，由于藍牙通訊的特性導致傳輸過程中會存在被盜和復制的風險，這樣不法分子就可以通過其他中端設備模擬手機鑰匙，從而盜取車輛或者盜取車內財物，導致車主財產損失[1]。基于此，該文提出了一種通過在秘鑰信息中增設時間戳進行安全認證的方法，解決了通過在車輛和移動手機附近用中繼模塊獲取鑰匙信息后非法盜取車輛的問題，提高了車輛的安全性。經過驗證，可以達到預期的效果。

1 問題描述與分析

1.1 問題背景

傳統鑰匙的安全性認證機制，是密鑰信息在特定的高低頻段中，通過AES128加密策略或非對稱方式，實現車輛與實體鑰匙之間的傳送，從而保障數據信息傳輸安全。相比于傳統鑰匙，新型鑰匙的安全機制采用的是車機與手機的無線傳輸方式，車機僅需對收到的數據信息進行正確性認證，而不考慮信息的來源。此時，近距離藍牙通訊系統發送的信息一旦被中繼模塊獲取，該模塊便能遠距離輸出密鑰信息并進行認證，易導致車輛被盜，危害人身安全。

1.2 問題描述

目前手機智能鑰匙系統存在的安全問題主要體現在以下方面。

1）目前藍牙方案車機互聯的技術方案缺乏有效的防盜機制，不法分子利用多個中轉機即可將手機鑰匙的有效信號遠距離傳輸到車輛，車輛由于無法判斷出鑰匙的距離而誤判為合法鑰匙的呼叫，于是執行相關指令，造成財物丟失[2]；

2）藍牙方案將測距電路和判斷電路作為執行命令之前的條件，但是測距電路主要應用在短距離內（1 cm左右），主要應用于門鎖，車機互聯的藍牙有效區域達到10 m左右，如果采用測距方案不能正確識別鑰匙本身的合法性，依然存在盜車風險[3]；

3）藍牙技術、通信技術和無線監控技術相結合，引入內嵌軟件方式，并結合USSD和回鈴音控制的技術可以提高安全性，但是依然無法規避掉非合法分子利用中轉機破解來獲取合法信息的問題；

4）傳統藍牙解鎖方案需要人工觸發，且驗證碼為裸露的編碼，極易被截獲盜用，易造成非合法人員利用該漏洞截取車輛信息及車輛，造成車輛內部財產乃至整個車輛失竊的嚴重后果[4]。

基于此，將設計目標定為：避免合法鑰匙信息被盜用，保護車主財產，提高安全等級。

1.3 問題分析

在目前移動設備解鎖車輛方案中，移動設備藍牙與PEPS控制器通信加密通常采用滾碼技術，這種動態密碼方式在一定程度上提高了通信安全性，但藍牙通信也屬于無線通信方式的一種，所使用的都是電磁波，均是開放發射的，所以這種開放性使得周圍的任何設備都可能截取并復制轉發出所截獲的電磁波波普。因此這種弊端使得非法用戶通過中繼模塊偽裝成合法鑰匙實現車輛解鎖。

1.4 問題確定

圖1示出通過中繼模塊偽造合法鑰匙的應用場景圖。在PEPS模塊和合法鑰匙的有效認證區域內放置2個無線中繼模塊，它們之間采用移動蜂窩網絡進行通訊傳輸，即可將合法鑰匙信息盜取。

2 解決方法

2.1 擬選用的技術創新方法

利用藍牙互配時間明顯比網絡互配時間短的特點，引入通信時間校驗機制來對移動設備和車輛系統通信過程進行監控校驗，也就是對訪問請求的時間有效性進行驗證，增強認證過程安全性。

文章具體闡述了藍牙鑰匙防重發盜用加密過程。在本技術方案中，藍牙鑰匙系統的基本組成結構，如圖2所示。

圖2 藍牙鑰匙系統結構圖

移動通訊端與車輛系統之間通過藍牙進行通信交互。本技術方案中，藍牙鑰匙的認證解鎖不需要操作移動通訊端，因此設計其基本認證流程如下：第一，車輛系統周期性地向外發送身份探詢信號，等待移動通訊端的應答；第二，移動通訊端身份驗證應答，車輛控制系統對移動通訊端的身份標識進行認證；第三，車輛系統與移動通訊端進行密鑰認證，通過則執行解鎖操作。

在本技術方案中，對認證過程中對發送方的通訊信息引入時間戳一并加密發送，這里時間戳就是發送方傳輸通訊信息時的時間。時間校驗加密機制如下:當A方給B方在Ts時刻發送信息，在這里一并將Ts作為該信息的附加內容并加密成明文一并發出。當B方收到該明文，并通過約定好的解密方式獲得信息中的時間Ts，進一步地，B方讀取本地時間為Tr，如果Tr與Ts的時間間隔未在約定的時間間隔（ΔT）內，則認為A方發送通信信息過期失效，否則進入下一步交互通信。

圖3示出車輛系統發送周期性身份探詢信號圖，在本技術方案中，每條身份探詢信號都會附加車輛本地系統時間戳（Tpeps_i），該時間戳同樣作為身份探詢信息的標志符。

為了進一步保證認證信息和時間戳的安全傳輸，在信息被發送之前對認證信息（如請求信息或移動通訊身份ID等信息進行加密得到的認證信息，同樣對相應的時間戳信息進行加密得到的時間戳加密信息）進行二次加密得到傳輸用的明文信息。圖4示出移動通訊端與車輛系統進行身份認證的基本流程圖。

圖4 移動通訊端與車輛系統身份認證過程加密流程圖

在本技術方案實施過程中，移動通訊端對身份探詢信號進行應答，為了保證應答的時效性評估，車輛系統需要知道移動通訊端應答的是哪個時刻的身份探詢信號，因此在移動通訊端對車輛系統發出的探詢信息進行解密，獲得系統發出的探詢信息的時間戳（Tpeps_i），此時間戳（Tpeps_i）就作為某條探詢信號的標志信息，隨后進行時鐘同步計算得出獲得的同步后的時間戳信息（Tmobile_sync），藍牙鑰匙將自己身份標識信息、所需握手通信信息以及對某個身份探詢信號的標志進行簽名，將這些信息加密封裝并發送給車輛系統。

進一步地，車輛系統對所接收地移動通訊端明文的時效性進行解密驗證。通過雙方約定的解密算法，從該消息中獲得身份探詢信號的標識信息（Tpeps_i），進而讀取系統本地時間（Tpeps_current），為了驗證該明文信息的時效性，車輛系統通過判斷當前明文接收時刻（Tpeps_current）與該探詢信號應答明文的時間戳（Tpeps_i）之差是否在預定的藍牙對藍牙通信的時間閾值范圍（δt）內，這里的時間閾值是基于藍牙通信的交互時間，通常很小，一般在200 ms內。如果時效性驗證通過，車輛系統則發出下一步認證過程信息；如果超出預定的時間閾值范圍，則車輛認為該身份應答明文失效，不做回應，繼續發送身份探詢信號。

2.2 技術創新方法應用過程

針對非合法分子通過設置多個中繼模塊獲取合法信號，并企圖冒充合法鑰匙進行信息重發盜用車輛的場景，本技術方案利用藍牙與移動蜂窩網絡3G/4G/5G的通訊時間存在的差異，當車輛系統發送帶有時間戳（Tpeps_i）標志的身份探詢信號時，經過非合法分子攜帶的中繼模塊設備傳輸到車輛的合法鑰匙（移動通訊端）期間肯定會造成中轉延遲（ΔTdely1），同樣作為車輛合法鑰匙的移動通訊端，對帶有時間戳（Tpeps_i）的身份探詢信號經過中繼模塊后會進行相應的應答，這期間又會造成中轉延遲時間（ΔTdely2），因此PEPS系統接收到Tpeps_i標志的身份探詢信號的應答信息一共會延遲ΔTdely1+ΔTdely2。經過試驗證明，ΔTdely1+ΔTdely2的時間在2 s左右，而如果按照正常的邏輯，合法鑰匙和車輛之間是由藍牙通訊傳輸秘鑰信息的，2個藍牙模塊之間傳輸秘鑰信息的時間在200 ms左右。因為藍牙-藍牙模塊之間通訊延遲閾值（δt）一般小于基于遠距離無線移動蜂窩網絡3G/4G/5G的延遲時間，所以一旦探尋信息中增加了時間戳，并采用首先判斷時間戳的時效性進行校驗，車輛系統會認為該種情況通信失效，不予下一步認證回應，從而避免了非法分子通過中繼重發盜用的行為。

圖5示出手機鑰匙解鎖認證流程圖，從此流程中可以看到如何通過設置時間戳來避免通過中繼端設備來盜取手機鑰匙的場景發生。

圖5 手機鑰匙解鎖認證基本流程圖

3 結論

目前虛擬車鑰匙與共享汽車快速發展，更需要保障車輛與車主自身的安全。文章提出在藍牙發出的身份探尋信號中增加時間戳的軟件算法，進一步核實身份認證的正確性，防止不法分子通過中繼模塊獲取合法鑰匙信息，車機端收到身份信息后，只有在符合時間戳機制的情況下，控制器才允許車輛進行相關指示的動作。此方案在保留原系統優勢的基礎上，已消除原系統中的不足，并沒有引入新的缺陷；在軟件策略的算法上進行了更改和完善，并未增加成本，投入使用具備一定的實用性和可操作性。

之前的研究均為在秘鑰信息加密策略上，使信息層層包裹，以防止破解，但是并未對信息的來源進行過探究，而當每一條探尋消息中都加入時間戳后，就可以明確該消息來源于何時何地，能夠更加有效地評估信息的合法性，從而在很大程度上避免這種通過在車機和手機附近安置中繼模塊來偽裝成合法鑰匙進行盜竊或者傷害人身等行為，更好地保護了車主的安全。

此方案中，借鑒了藍牙和蜂窩網絡信息通訊的時間差作為合法信息的判決條件之一，但是藍牙傳輸的穩定性會因藍牙版本的不同而有所偏差，此時間戳的具體定義時鐘仍需要進一步詳細標定，方可制定更加完美的方案。