基于UDS協(xié)議的PEPS系統(tǒng)安全認(rèn)證方法①

詹克旭

(博世華域轉(zhuǎn)向系統(tǒng)有限公司,上海 201821)

無鑰匙進(jìn)入及啟動(dòng)系統(tǒng),簡(jiǎn)稱PEPS (Passive Entry Passive Start)系統(tǒng),它采用先進(jìn)的RFID無線射頻技術(shù)和車輛身份編碼識(shí)別系統(tǒng),實(shí)現(xiàn)無需按動(dòng)遙控器即可進(jìn)入車內(nèi)以及一鍵啟動(dòng)發(fā)動(dòng)機(jī)等功能[1].當(dāng)駕駛員攜帶智能鑰匙進(jìn)入車輛附近的有效范圍內(nèi),車輛會(huì)自動(dòng)檢測(cè)鑰匙并進(jìn)行身份識(shí)別.如果身份識(shí)別成功,相應(yīng)門鎖會(huì)解除防盜并自動(dòng)打開.當(dāng)駕駛員進(jìn)入車內(nèi)時(shí),車輛會(huì)自動(dòng)檢測(cè)鑰匙是否位于主駕位置.如果檢測(cè)成功,駕駛員想要啟動(dòng)車輛,只需通過按下啟動(dòng)按鈕即可.在整個(gè)開門上車到啟動(dòng)車輛過程,駕駛員都無需拿出車鑰匙.PEPS系統(tǒng)的應(yīng)用,給用戶帶來更加舒適的體驗(yàn)以及更為安全的保障.與傳統(tǒng)的鑰匙相比,具有更高的防盜性能,并給駕駛員帶來了舒適、便利的全新駕車體驗(yàn).

1 PEPS系統(tǒng)構(gòu)成

無鑰匙進(jìn)入及啟動(dòng)系統(tǒng)由智能鑰匙、主控制器、一鍵啟動(dòng)、車門把手、電子轉(zhuǎn)向鎖( ESCL)等組成,主控制器采用LIN總線與其他模塊通訊[2,3].

1.1 LIN總線

LIN (Local Interconnect Network)是一種低成本的串行通訊網(wǎng)絡(luò),用于實(shí)現(xiàn)汽車中的分布式電子系統(tǒng)控制.LIN的目標(biāo)是為現(xiàn)有汽車網(wǎng)絡(luò)(例如CAN總線)提供輔助功能,因此LIN總線是一種輔助的總線網(wǎng)絡(luò).在不需要CAN總線的帶寬和多功能的場(chǎng)合,使用LIN總線可大大節(jié)省成本[4–6].

在PEPS系統(tǒng)中,主控制器有三路LIN,通過三路LIN實(shí)現(xiàn)相應(yīng)的控制功能.其系統(tǒng)構(gòu)成如圖1所示.

圖1 LIN網(wǎng)絡(luò)的構(gòu)成

LIN1: 實(shí)現(xiàn)主控制器與門鎖控制模塊(DCU)的通訊;

LIN2: 實(shí)現(xiàn)主控制器與電源管理單元(EBS)和發(fā)動(dòng)機(jī)防盜單元(IMMO)的通訊;

LIN3: 實(shí)現(xiàn)主控制器與低頻控制單元(LFU)和電子轉(zhuǎn)向鎖(ESCL)的通訊.

1.2 主控制器

當(dāng)拉動(dòng)車門把手時(shí),主控制器產(chǎn)生125 KHz低頻信號(hào),并通過射頻接收器接收智能鑰匙發(fā)送433 MHz的高頻認(rèn)證信號(hào)對(duì)智能鑰匙進(jìn)行身份識(shí)別.主控制器主要實(shí)現(xiàn)了對(duì)射頻響應(yīng)信號(hào)的接受及低頻詢問信號(hào)的產(chǎn)生和發(fā)送、CAN總線通信、發(fā)動(dòng)機(jī)防盜認(rèn)證、電源模塊和ESCL認(rèn)證等功能.

1.3 智能鑰匙

為了保證在任意角度智能鑰匙均能接收到的低頻信號(hào),智能鑰匙內(nèi)安裝三維全向125 KHz的低頻接收天線.智能鑰匙驗(yàn)證低頻信號(hào)合法后,為了完成身份識(shí)別,將產(chǎn)生433.92 MHz的高頻認(rèn)證信號(hào)向外發(fā)送.

1.4 一鍵啟動(dòng)

遙控鑰匙認(rèn)證后,通過按下啟停按鈕啟動(dòng)車輛.

1.5 門把手

門把手由一個(gè)低頻天線和微動(dòng)開關(guān)組成,當(dāng)駕駛員拉動(dòng)汽車門把時(shí),低頻天線產(chǎn)生低頻磁場(chǎng)在門把手周圍特定區(qū)域內(nèi)發(fā)射低頻信號(hào).

1.6 電子轉(zhuǎn)向鎖(ESCL)

電子轉(zhuǎn)向鎖通過LIN總線進(jìn)行學(xué)習(xí)和通訊,轉(zhuǎn)向鎖的解鎖和閉鎖通過內(nèi)置的小型電機(jī)通過驅(qū)動(dòng)鎖舌的伸縮動(dòng)作來實(shí)現(xiàn).

2 PEPS工作原理

2.1 無鑰匙進(jìn)入

當(dāng)駕駛員按下門把手上的按鍵后,會(huì)觸發(fā)主控制器驅(qū)動(dòng)門把手上的低頻天線發(fā)送125 KHz低頻認(rèn)證信號(hào),具有身份識(shí)別的智能鑰匙接收到低頻信號(hào)后,與智能鑰匙中保存的身份識(shí)別信息進(jìn)行比較,如果一致,智能鑰匙將被喚醒.為了保證車輛發(fā)出的喚醒信號(hào)在有效范圍內(nèi)的任何方位都能檢測(cè)到,智能鑰匙上采用三維全向天線能.為了提高安全性,智能鑰匙被喚醒后發(fā)送433 MHz高頻信號(hào),這些信號(hào)都經(jīng)過加密處理.車輛會(huì)將內(nèi)部保存的信息同接收到的信號(hào)相比較,若相同,則表明驗(yàn)證通過,進(jìn)行解鎖[7].駕駛員在無需掏出鑰匙的情況下,通過拉門把手上車.無鑰匙進(jìn)入工作原理見圖2所示.

圖2 無鑰匙進(jìn)入工作原理

2.2 無鑰匙啟動(dòng)

駕駛員進(jìn)入車內(nèi)后,按下啟停按鈕,主控制器驅(qū)動(dòng)低頻天線向外發(fā)送125 kHz低頻信號(hào).智能鑰匙將接收到的低頻信號(hào)與智能鑰匙保存的信息對(duì)比,識(shí)別通過后智能鑰匙發(fā)射433.92 MHz高頻加密信號(hào).主控制器將接收到的高頻加密信號(hào)進(jìn)行解密、認(rèn)證.如果與系統(tǒng)內(nèi)部的存儲(chǔ)信息相吻合,則表示鑰匙辨識(shí)成功.為了確保非法用戶無法使用車輛,只有當(dāng)識(shí)別成功后才能啟動(dòng)發(fā)動(dòng)機(jī),否則如果鑰匙識(shí)別錯(cuò)誤或使用了非法鑰匙,則發(fā)動(dòng)機(jī)將不能起動(dòng).再啟動(dòng)發(fā)動(dòng)機(jī)之前,還要進(jìn)行ESCL的加密通信來驅(qū)動(dòng)鎖舌至解鎖位置、EMS加密防盜通信,最后才能啟動(dòng)車輛.無鑰匙啟動(dòng)工作原理見圖3所示.

圖3 無鑰匙啟動(dòng)工作原理

3 PEPS學(xué)習(xí)匹配

由于PEPS系統(tǒng)通過低頻和射頻的雙向通信,汽車與智能鑰匙之間需要完成復(fù)雜的雙向身份認(rèn)證.為了保障系統(tǒng)的安全性,實(shí)現(xiàn)系統(tǒng)的雙向身份認(rèn)證,需要在車輛和遙控鑰匙交付之前進(jìn)行學(xué)習(xí)匹配工作.本系統(tǒng)采用基于UDS協(xié)議的診斷服務(wù)進(jìn)行學(xué)習(xí)匹配,通過一定的診斷流程,將主控制器與EMS(發(fā)動(dòng)機(jī)ECU)、智能鑰匙、ESCL進(jìn)行學(xué)習(xí)匹配.

3.1 UDS協(xié)議

UDS協(xié)議即ISO14229統(tǒng)一診斷服務(wù)(Unified Diagnostic Services),是診斷服務(wù)的規(guī)范化標(biāo)準(zhǔn),比如讀取故障碼應(yīng)該向汽車ECU發(fā)什么指令,讀數(shù)據(jù)流又是發(fā)什么指令.作為診斷儀與汽車ECU之間進(jìn)行診斷通信必不可少的一部分,一系列的診斷服務(wù)在診斷規(guī)范中被描述.診斷規(guī)范定義了診斷儀和汽車ECU之間的請(qǐng)求響應(yīng)規(guī)則、以及對(duì)于請(qǐng)求報(bào)文汽車ECU的處理行為.汽車CAN診斷遵循ISO15765標(biāo)準(zhǔn),其中應(yīng)用層遵循ISO15765-3標(biāo)準(zhǔn),作為CAN通訊軟件設(shè)計(jì)的一個(gè)重要部分,汽車ECU需要解析這些收到的報(bào)文,從而得出完整的診斷服務(wù)[8,9].

本系統(tǒng)診斷服務(wù)參考ISO 14229標(biāo)準(zhǔn)[10].為了讓汽車ECU能夠執(zhí)行相應(yīng)的操作,通過診斷儀(Tester)將診斷服務(wù)發(fā)送給汽車ECU.主控制器與遙控鑰匙匹配學(xué)習(xí)必須至少支持如表1所示的診斷服務(wù).

3.1.1 診斷會(huì)話控制(10)

診斷會(huì)話控制服務(wù)由Tester發(fā)起請(qǐng)求,ECU響應(yīng)請(qǐng)求,請(qǐng)求第一個(gè)字節(jié)為服務(wù)0x10,第二個(gè)字節(jié)為模式定義,表示ECU處于不同的診斷會(huì)話模式,在Tester請(qǐng)求不同模中,其中1代表默認(rèn)會(huì)話模式,2代表編程模式,3代表擴(kuò)展會(huì)話模式.對(duì)于本方案學(xué)習(xí)過程中使用到的安全訪問(27)和例程控制(31)必須在擴(kuò)展會(huì)話模式下才能進(jìn)行.

表1 診斷服務(wù)表

3.1.2 安全訪問(27)

安全訪問的引入,是為了對(duì)受限于訪問安全的一些功能進(jìn)行保護(hù),如例程控制、學(xué)習(xí)匹配等,避免對(duì)汽車的安全性造成風(fēng)險(xiǎn).安全訪問的概念使用“種子”和“密鑰”來實(shí)現(xiàn).

Tester請(qǐng)求ECU解鎖首先發(fā)送“RequestSeed”服務(wù)報(bào)文.ECU發(fā)送一個(gè)種子進(jìn)行響應(yīng),此種子是密鑰計(jì)算算法的輸入?yún)?shù).Tester使用該種子計(jì)算出相應(yīng)的密鑰.

第二步,Tester通過發(fā)送包含密鑰的“SendKey”服務(wù)報(bào)文給ECU來請(qǐng)求比較密鑰.ECU須將此密鑰與內(nèi)部存儲(chǔ)或計(jì)算的密鑰進(jìn)行比較,如果兩數(shù)相符,ECU啟動(dòng)(解鎖)Tester對(duì)特定服務(wù)和資料的訪問權(quán)限.如果兩數(shù)不相符,此訪問被認(rèn)為是一次錯(cuò)誤的訪問嘗試.安全訪問流程如圖4所示.

圖4 安全訪問流程

為了系統(tǒng)的安全性,一般采用兩級(jí)安全訪問策略,本系統(tǒng)匹配學(xué)習(xí)需要兩級(jí)安全進(jìn)入才可以實(shí)現(xiàn).

3.1.3 例程控制(31)

Tester使用本服務(wù)啟動(dòng)或停止ECU內(nèi)存中的例程和請(qǐng)求例程結(jié)果.例程由兩字節(jié)的例程標(biāo)識(shí)來確定,為啟動(dòng)例程,必須使用例程控制服務(wù)——啟動(dòng)例程(31 01).如果ECU支持停止例程的操作,則必須使用例程控制服務(wù)——停止例程(31 02),本方案中無需停止例程操作.

根據(jù)例程標(biāo)識(shí)的不同,對(duì)PEPS系統(tǒng)進(jìn)行不同的操作,以達(dá)到學(xué)習(xí)匹配的目的.本方案將會(huì)使用到發(fā)送VIN&SC、匹配EMS、學(xué)習(xí)遙控鑰匙、復(fù)位ESCL、學(xué)習(xí)ESCL等,為了方便理解,假定以上功能對(duì)應(yīng)的例程標(biāo)識(shí)分別為0x0001、0x0002、0x0003、0x0004、0x0005,具體設(shè)置根據(jù)OEM來設(shè)定.

3.2 匹配EMS

在匹配主控制器和EMS時(shí),需要學(xué)習(xí)以下數(shù)據(jù):

1) VIN: 汽車身份識(shí)別碼,OEM定義.主控制器將VIN存在EEPROM中,通過診斷服務(wù)($22/$2E)讀取或修改

2) SC: 由VIN碼產(chǎn)生,用于安全進(jìn)入使用.算法SC=f(VIN)由OEM控制.

3) SK: 主控制器與EMS認(rèn)證的密鑰,EMS學(xué)習(xí)過程中由Tester設(shè)備隨機(jī)產(chǎn)生,并學(xué)習(xí)給主控制器與EMS.

4) OUTCODE為主控制器產(chǎn)生的隨機(jī)數(shù),INCODE=f2(SC,OUTCODE),函數(shù) f1()和 f2()由OEM控制.

為了保證PEPS系統(tǒng)的安全性,本方案采用兩級(jí)安全進(jìn)入的工作方式,具體匹配EMS流程如圖5所示,具體步驟如下:

1) Tester設(shè)備一級(jí)解鎖;

2) Tester設(shè)備發(fā)送VIN碼和SC給主控制器;

3) Tester設(shè)備二級(jí)解鎖,主控制器隨機(jī)產(chǎn)生outcode并返回給Tester設(shè)備;

4) Tester設(shè)備根據(jù)接收到的outcode和SC計(jì)算incode,并將incode返回給主控制器;

5) 主控制器檢查incode是否合法,若不合法則此次安全進(jìn)入不成功,主控制器回復(fù)負(fù)響應(yīng),等待下次學(xué)習(xí)指令,Tester設(shè)備提示“安全進(jìn)入失敗”;

6) 主控制器檢查incode是否合法,若合法則此次安全進(jìn)入成功,主控制器回復(fù)負(fù)響應(yīng),Tester設(shè)備提示“主控制器安全解除狀態(tài)”;

7) Tester設(shè)備接收到“主控制器安全解除狀態(tài)”信息以后,隨機(jī)產(chǎn)生SK,進(jìn)行匹配EMS;

8) Tester設(shè)備向主控制器發(fā)匹配EMS指令,將SK信息寫入主控制器;

9) Tester設(shè)備向EMS發(fā)匹配EMS指令,將SC和SK信息寫入EMS;

10) EMS判斷SC和SK的合法性(非全0和全F),若合法則保存,并向Tester設(shè)備回復(fù)正響應(yīng).

圖5 匹配EMS

3.3 匹配鑰匙和ESCL

與匹配EMS方法相同,為了保證系統(tǒng)的安全性,匹配鑰匙和匹配ESCL同樣采用兩級(jí)安全進(jìn)入的工作方式,具體流程如圖6所示:

1) 二級(jí)解鎖成功后進(jìn)行鑰匙學(xué)習(xí);

2) 鑰匙學(xué)習(xí)成功后進(jìn)行ESCL復(fù)位命令,主控制器通過LIN總線進(jìn)行LIN診斷操作來復(fù)位ESCL.

3) 復(fù)位成功后,發(fā)送ESCL學(xué)習(xí)命令,ESCL的學(xué)習(xí)通過LIN診斷實(shí)現(xiàn).

圖6 匹配鑰匙和ESCL

4 實(shí)驗(yàn)分析

經(jīng)過UDS服務(wù)的診斷學(xué)習(xí)后,智能鑰匙已經(jīng)與PEPS系統(tǒng)匹配成功.為了驗(yàn)證經(jīng)過學(xué)習(xí)匹配的智能鑰匙的功能,測(cè)試人員對(duì)無鑰匙進(jìn)入和啟動(dòng)功能進(jìn)行了大量測(cè)試,以驗(yàn)證系統(tǒng)的穩(wěn)定性.

1) 無鑰匙進(jìn)入功能: 測(cè)試人員在車門鎖好的情況下,攜帶智能鑰匙到車門前并撥動(dòng)門把手,此時(shí)車門被打開.經(jīng)過數(shù)次測(cè)試均能正常開啟車門,沒有出現(xiàn)無法開啟車門的情況,符合無鑰匙進(jìn)入功能的要求;

2) 無鑰匙啟動(dòng)功能: 攜帶智能鑰匙的測(cè)試人員進(jìn)入車門后,按下一鍵啟動(dòng)按鈕,車輛可以正常啟動(dòng).經(jīng)反復(fù)多次啟動(dòng)測(cè)試,車輛均能正常啟動(dòng),沒有出現(xiàn)無法啟動(dòng)的情況,符合無鑰匙啟動(dòng)功能的要求.

由于具備PEPS功能的汽車只能識(shí)別與其配對(duì)成功的智能鑰匙,本系統(tǒng)設(shè)計(jì)的學(xué)習(xí)匹配有一套完善的安全機(jī)制,因此其他未學(xué)習(xí)匹配的職能鑰匙并不能開啟車輛,對(duì)整車的安全性提供了保障.

經(jīng)過驗(yàn)證,系統(tǒng)運(yùn)行穩(wěn)定、有效性好,正確率達(dá)到了百分之百.同時(shí),系統(tǒng)的安全性高,未經(jīng)過學(xué)習(xí)匹配的智能鑰匙無法開啟車門,進(jìn)入車輛后也無法啟動(dòng)車輛.此外,該系統(tǒng)可以根據(jù)需要增加智能鑰匙數(shù)量,最大匹配鑰匙數(shù)量為3,系統(tǒng)具有良好的易用性和可擴(kuò)展性等優(yōu)點(diǎn).

5 結(jié)論和展望

本文詳細(xì)介紹PEPS的工作原理和安全認(rèn)證方法.作為實(shí)現(xiàn)汽車與智能鑰匙之間可以完成復(fù)雜的雙向身份認(rèn)證的有效的前提,通過對(duì)UDS協(xié)議的診斷服務(wù)的詳細(xì)介紹,提供了一種有效的學(xué)習(xí)匹配方法.

UDS協(xié)議作為汽車ECU開發(fā)中必不可缺的組成部分,無論在汽車診斷、系統(tǒng)升級(jí)還是在學(xué)習(xí)匹配過程中,都發(fā)揮著重要的作用.一個(gè)完善的UDS協(xié)議學(xué)習(xí)匹配方法,提高了系統(tǒng)的易用性和安全性,對(duì)整個(gè)PEPS系統(tǒng)的開發(fā)有著重要的意義.基于UDS協(xié)議的PEPS系統(tǒng)安全認(rèn)證方法在國(guó)內(nèi)某平臺(tái)車型上已經(jīng)得到了較好的應(yīng)用,并具有高度可擴(kuò)展性和可維護(hù)性.相信隨著汽車產(chǎn)業(yè)的不斷發(fā)展,PEPS系統(tǒng)會(huì)進(jìn)一步的普及,本文介紹的安全性方案將會(huì)在越來越多的車型上應(yīng)用.