CN102469108A

CN102469108A - 用于汽车远程无钥匙进入系统和联网的传感器设备的安全应答确认协议

Info

Publication number: CN102469108A
Application number: CN201110356886XA
Authority: CN
Inventors: 布鲁斯·默里
Original assignee: Koninklijke Philips Electronics NV
Current assignee: Koninklijke Philips NV
Priority date: 2010-11-12
Filing date: 2011-11-11
Publication date: 2012-05-23
Anticipated expiration: 2031-11-11
Also published as: US20120124374A1; EP2453606A1; CN102469108B

Abstract

用于汽车远程无钥匙进入系统和联网的传感器设备的安全应答确认协议。一种用于产生安全确认消息的方法涉及：构建所述确认消息的明文；计算所述确认消息的明文的循环冗余校验(CRC)值；对所述确认消息的明文进行加密，以获得所述确认消息的密文；使用所述循环冗余校验值(CRC)的比特，根据所述密文来计算安全校验(CHK)值；以及将所述安全校验值(CHK)附加到所述确认消息的明文上。

Description

用于汽车远程无钥匙进入系统和联网的传感器设备的安全应答确认协议

技术领域

本发明涉及用于汽车远程无钥匙进入系统和联网的传感器设备的安全应答确认。

背景技术

汽车无钥匙进入系统一般使用远程控制设备来当按下按钮时解锁车辆，且在现代汽车中广泛地使用。一般的汽车无钥匙进入系统使用“滚动码(rolling code)”，其中，以如下形式的消息来发送命令信息(例如，解锁命令)：包括计数器值和对该计数器值的加密计算(即，加密)的结果以及其他信息(比如，定义命令和预期用于该命令的标识符的代码)的消息。

由于远程无钥匙进入设备基于电池电源进行工作，典型的考虑是最小化设备的功耗，特别是最小化所发送的消息的长度。该操作的射频发送部分一般消耗不成比例的使用功率量。因此，尽管在远程无钥匙进入设备中执行对“滚动码”的加密，一般不需要发送加密操作的整个结果。

包括主控制器/基站以及远程传感器或其他设备在内的安全有线和无线网络还可能需要将消息寻址到特定设备，且需要被寻址的设备以安全的方式用确认消息来进行响应。

发明内容

附图说明

图1示出了根据本发明的系统。

图2示出了根据本发明的实施例。

图3示出了根据本发明的实施例。

图4示出了根据本发明的实施例。

图5示出了根据本发明的实施例。

具体实施方式

图1示出了用于汽车的典型远程无钥匙进入(RKE)系统110，其具有钥匙部分120和车辆部分130。对于图1，“车辆130”可以指代位于汽车中的RKE系统。更一般地，根据本发明，钥匙120可以指代主控制器或基站，且车辆130可以表示在有线(例如，汽车总线)或无线网络上的传感器或设备。钥匙120和车辆130共享唯一的加密密钥150，该加密密钥150用于认证从钥匙120向车辆130发送的消息155。消息155一般包含命令CMD、车辆标识符VID以及计数器值CTR。在根据本发明的示例实施例中，从使用共享的加密密钥150对这些值加密所得结果的128个比特b(1)...b(128)中取出40个比特b(1)...b(40)，以作为消息认证码(MAC)170使用。这留下了88个比特未使用，且它们可用于保护响应消息。在车辆130接收到消息155时，车辆130中的AES(高级加密标准)加密电路161使用共享加密密钥150来执行对消息155中的CMD、VID和CTR的接收值的加密，并验证40个最低有效比特(5个最低有效字节)是否与MAC 170匹配。注意，AES加密电路160、161可以包括适当编程的微处理器。由于钥匙120和车辆130共享加密密钥150，如果车辆130发现已发送的40个比特b(1)...b(40)的值(即，MAC 170)与由车辆130根据本地加密导出的值一致，则存在很高的可能性出现以下情况：源自钥匙120的消息155意在用于车辆130。

AES加密电路160、161使用在RKE中使用的工业标准块密码(block cipher)，其一般使用可以是128、192或256比特长的加密密钥150对128比特或等价的16字节数据块进行加密。应当注意到根据本发明可以使用具有大于128比特的块大小的其他块密码。由于AES加密电路160、161使用128比特块密码大小，对于一般的RKE系统来说，大量的比特是未使用的。一般的RKE系统不需要发送比将攻击者猜出加密结果的概率保持为足够低所需的长度(例如40比特或5字节的长度)更长的MAC 170，在根据本发明的实施例中，该足够低的概率是2^-40。由于更长的消息长度和对应的需要更长的激活射频发射机的时间，因此发送加密结果的全部128比特(16字节)一般仅导致钥匙120的减少的电池寿命。

消息155中的计数器值CTR的目的是避免“重放(replay)”问题：当已接收到包含特定计数器值的有效命令时，更新位于车辆130中的对应计数器，之后不再接受具有更低计数器值的命令。这避免了攻击者将捕捉到的已发送命令进行重新发送，以获取对汽车的接入。一般的RKE系统提供了针对计数器值的“接受窗口”，使得如果新接收的计数器值小于上一次验证的值加上接受窗口的值，则依然接受该命令。接受窗口的存在允许：在汽车范围之外操作钥匙所导致的钥匙120中计数器增加，而车辆130未检测到该增加的发生。

除了花费在钥匙120的发送上的功率，AES加密电路160也消耗了大量的功率。如果RKE系统110要求车辆130向钥匙120发送回“确认”消息，则需要在钥匙120中执行第二次AES操作，这导致了大量的额外功率要求。这种确认消息可以用于例如触发钥匙120上的确认已锁定汽车的LED闪光或LCD显示。

确认消息需要是安全的。利用这种RKE系统中的确认消息进行攻击的典型形式涉及两个步骤的过程：1)攻击者首先破坏从钥匙120向车辆130传输“锁定”命令的消息155，使得验证失败，并且不执行汽车的锁定；2)攻击者尝试向钥匙120发送伪确认消息，以欺骗用户相信成功执行了“锁定”命令，并从而允许对汽车的接入。其他可能的攻击场景包括：在汽车实际上“未锁定”时，修改合法的确认消息以指示“锁定”状态。

根据本发明，在钥匙120中不需要大量的附加加密计算的情况下，对确认消息345(参见图3)进行加密保护。

根据本发明，将由AES加密电路161产生的未使用比特(例如比特b(41)...b(128))用于构建安全的确认消息。在已将车辆130接收到的消息155验证为有效时，未使用的88个比特(例如，比特 b(41)...b(128))对于钥匙120和车辆130都是已知的。未使用的比特b(41)...b(128)仅对于它们的产生所在的消息交易是有效的，且在下一个消息交易发生时，被新值所重写。因此，未使用的比特可以作为潜在攻击者所不知道的在钥匙120和车辆130之间的“一次性”共享秘密。应当注意到，根据本发明可以使用AES的任何备选的加密方案，只要该加密方案产生了未被放入在从钥匙120到车辆130的消息155中的未使用的密码文本字节。

图2示出了用于构建安全确认消息(比如，安全确认消息345，参见图3)的根据本发明的实施例。在步骤210中，构建确认消息的明文。例如，确认消息的明文可以由24比特构成(3个字节)，其中16比特(两个字节)用于车辆130标识符VID，且剩余8个比特(一个字节)用于如图3中确认消息345所示的状态字节STAT。状态字节STAT提供了与汽车状态相关的信息，比如汽车是“锁定”还是“未锁定”。在步骤220中，计算确认消息的明文的循环冗余校验(CRC)值。CRC值是一种有效且已知的、提供针对已发送数据的检错能力的过程，但其不是安全过程。攻击者可以容易地针对已修改的确认消息的数据内容计算新的CRC值。在步骤230中，对确认消息的明文进行加密，以获得确认消息的密文。在步骤240中，将CRC值的比特用于计算新的安全校验(CHK)值。例如，可以使用以下算法来计算新的CHK值：

CHK＝B(1)；

for j＝1 to k do

ifbit(j，CRC)＝1 then CHK＝CHK XOR B(j+1)； (1)

end

其中，bit(j，CRC)意味着从1数到k的CRC字节的第j个比特，其中，k是每个块B的比特大小。在根据本发明的示例实施例中，B(1)...B(k+1)是已将密文分为对应于比特b(41)...b(128)的块。在步骤250中，将CHK值附加在确认消息上。不知道共享秘密比特(例如，在使用128比特标准块密码时，在具有8比特的CRC值的情况下所使用的比特b(41)...b(112))的攻击者不能重新构建在步骤230中执行的计算。使用上述算法成功猜出CHK值的概率是2^k分之1(例如，如果使用8比特CRC值，就是256分之1)。在根据本发明的示例实施例中，可以使用模2^k加法(如果使用8比特CRC值，则是模256)，而不是XOR(异或)，使得代替XOR运算：

CHK＝B(1)；

for j＝1 to k do

if bit(j，CRC)＝1 then CHK＝CHK+B(j+1)modulo 2k； (2)

end

其中bit(j，CRC)和B(1)...B(k+1)与公式(1)中的定义一样。根据本发明，用于创建CHK值的其他运算也是可能的，只要该运算具有以下属性：在使用所选运算(例如XOR)将字节加以结合时，所有(例如256)可能的结果具有相等的产生概率。这意味着对于不知道秘密共享字节的攻击者来说，所有CHK值是相等可能的，且攻击者成功的概率不会大于猜测。

图3以概略的形式示出了根据本发明的实施例的针对8比特CRC值340和8比特CHK 355的情况来构建确认消息345。在该实施例中，确认消息345的VID0、VID1和STAT每个都是8比特/1字节大小。根据VID0、VID1和STAT字节来产生8比特CRC值340，且在本示例实施例中将8比特CRC值340示出为“10110011”。8比特CHK 355的计算无条件地在要被XOR到一起的块的集合中包括比特b(41)...b(48)(＝公式(1)和(2)中的B(1))。这避免了全零CRC映射到全零CHK值以及VID和STAT的特定组合将具有不取决于共享秘密的CHK 355的值的可能。如果CHK 355的值不取决于共享秘密，攻击者将可以容易地插入有效消息，并获取对车辆的接入。注意，CHK355的值仅对于一个消息有效，且在车辆130接受下一个消息时，产生比特b(41)...b(128)的新值(注意，实际上仅使用比特b(41)...b(112))。

一般而言，攻击者随机猜到CHK值的概率是2^L分之1(例如，参见图3，对于8比特长的CHK 355是256分之1)，其中，L是CHK值的比特长度。如果例如攻击者仅修改图3中的STAT字节的内容，她必须根据成功地猜出块B(1)至块B(9)的XOR(对应于CRC值340 的修改)，以维持有效的CHK值。对于根据图3所示的本发明的实施例来说，成功猜出的概率是256分之1(或一般而言2^L分之1，其中，L是CHK值的比特长度)。

尝试修改根据本发明的实施例的确认消息345的内容(即，VID0、VID1和STAT)且不改变CRC值340(以保持CHK字节有效)的攻击者不能仅通过修改STAT字节值来这么做。这是由CRC值340的属性产生的直接后果。CRC 340具有以下属性：使CRC值340保持一致的任何修改的长度(以比特为单位)必须长于受到保护的数据字段(例如，STAT字节字段)的比特长度。在数学上，CRC值340是在以下情况时的余数值：将消息字节VID0、VID1和STAT作为具有两个元素的伽罗华域(Galois Field)(GF(2))上的多项式，并将其除以定义了CRC值340的8次多项式。因此，仅可以将该8次多项式的整数倍数与消息335的字节进行XOR，且由于8次多项式占用9个比特(比一个字节的8个比特大小还大1个比特)，因此，任何修改不能仅修改STAT字节。这是由于在将原始确认消息345与CRC的明文进行级联时，将原始确认消息345构建为定义了CRC值340的8次多项式的严格的倍数。尝试保持确认消息345的该属性的攻击者将需要把定义了CRC值340的8次多项式的倍数与确认消息345进行XOR，该倍数必须占用至少9个比特，因为定义了CRC值340的8次多项式是9个比特长。因此，由于STAT字节字段仅有8个比特长，则修改后的确认消息不可能仅在STAT字节字段上不同。这意味着任何修改不能让VID0和/或VID1不改变，这确保了车辆130不接受响应消息。

根据本发明的CHK字节构建方法确保了攻击者的任何恶意修改仅以与猜测CHK字节值相同的概率来产生可接受的确认消息，还提供了用于检测无辜的发送错误的方法。根据本发明，可以使用更长的CRC字段和/或不同的消息长度，只要在使用的加密方法中存在充足的秘密字节，且CRC长度与在确认消息中携带的实质信息内容(即，STAT字节的等价物)的比特长度相同或更长。其它块密码的示例可以是具有192比特或256比特块大小的那些块密码。注意到，AES所基于的Rijndael密码具有最小128比特和最大256比特的块大小以及不受限制的密钥大小，且注意到块大小和密钥大小必须是32的倍数。如果例如使用256比特块大小而不是128比特块大小，则单个加密产生了256比特(32字节)，在消息中仅使用了其一小部分。在上述RKE系统中，对于MAC 170，仅使用了加密输出的40个比特，允许216个比特可用于保护确认消息。

根据本发明，针对上述128比特块大小的相同构造对于高达(k+1)个k比特块的k比特CRC以及XOR或模2^k加法是可能的，其中，都满足条件k(k+1)≤216。取k＝14且将由于发送而被攻击者已知的一般用于MAC的比特b(1)...b(40)排除在外，由剩余216比特(b(41)...b(256))构成的比特字符串可用于保护响应。可以将由216比特b(41)...b(256)构成的剩余比特串分为15个块，每个块是14比特大小，且剩余6个比特。图4示出了如何根据剩余的216比特b 410(以b(41)...b(256)来表示)导出15个块B 420(以B(0)...B(14)来表示)。

可以针对“确认”消息计算14比特CRC(循环冗余校验)，则：

CHK＝B(1)；

for j＝1 to 14 do

if bit(j，CRC)＝1 then CHK＝CHK XOR B(j+1)； (3)

end

其中，bit(j，CRC)意味着从1数到14的CRC字节的第j个比特，且如图4所示，根据比特b(41)...b(256)导出块B(0)...B(14)。再一次根据本发明，在公式(3)中，可以用加法模2¹⁴来替代XOR运算。使用更大的块大小(此处是14比特)的优点是将攻击者成功产生伪确认消息的概率从2^-8(即大约256分之1)减少到2^-14(即大约16,000分之1)。

尽管在根据本发明的实施例中，在原始发送的消息155上一般仅使用输出的40个字节用于MAC 170(参见图1)时，使用256比特块密码显得没有效率，然而应当注意到：消息认证码(MAC)所需的大小仅涉及猜测消息认证码的可接受概率。在RKE的上下文中，该概率一般必须足够低，使得攻击者不能例如将不受注意的设备留在汽车附近，以通过“暴力猜测所有可能性”攻击来尝试大量的消息认证码(MAC)。使用的密码的块大小确定了可以受到保护的原始发送消息155的大小，因为块密码具有相同大小的输入和输出块。因此，如果系统设计在构建MAC 170所针对的消息155中要包括大的地址字段或数据，则需要将所有数据包括在输入块中。在特定应用中，比如在使用互联网协议IPv6的且因此使用16字节IP地址的传感器网络中(16字节IP地址与其他数据一起要求至少32字节的块大小)，原始发送消息可以包含相对大量的信息。因此，还可以由应用到输入的消息的大小来确定密码的块大小，而不仅由MAC所需的所需输出比特的数目来确定。

根据本发明的其他应用包括汽车总线系统和无线传感器网络中的低复杂度确认系统，其中，确认消息需要由设备接收和验证，该设备需要最小化与加密计算相关的功耗。在这种应用中，将通信从在两个特定设备(如钥匙120和车辆130)之间扩展到多设备网络。此处，发送原始消息的设备将消息在无线或有线(例如，汽车总线)网络上定向到多个设备之一。原始消息并入了要被安全寻址的设备的标识符，且请求与一个或多个参数相关的响应数据(例如，如果在汽车总线上，进气压力、引擎速度)。

例如，车辆制造商一般试图确保引擎相关数据的安全性，以避免可能负面影响车辆性能或排气的篡改。根据本发明，引擎控制单元(ECU)或电子控制模块发送其与汽车总线相关的请求，且被寻址的传感器设备通过在返回数据上附加CHK值以产生安全确认消息来保护其返回数据(确认消息的明文)。传感器设备可以如上所述非常快速地计算其响应，且ECU或电子控制模块可以使用相对少的XOR或模加法或其他合适的数学运算来执行对响应的验证。这为返回的传感器设备数据提供了低的延迟，这是被并入汽车的ECU或电子控制模块(比如主动中止控制模块和刹车系统控制模块)的反馈控制系统的设计中的重要问题。

无线网络(例如，Bluetooth、Zigbee和802.11)在以下方面原则上是与有线网络类似的：要求将消息寻址到特定设备，且让被寻址的设备用确认消息来进行响应。然而，在一些无线网络中，网络上的设备通过转发消息作为“中继”工作。例如，如果由于传感器设备的发射功率电平过低以至于不能直接向主控制器发送信号，使得低功率传感器在主控制器的范围之外，则可以使用更接近传感器设备的另一设备来转发该消息。此外，如果主控制器需要接触在范围之外的传感器设备，则可以由更接近的传感器将信号中继到范围外的传感器。具体地参见图5，如果主控制器或基站B想要向传感器或设备E发送消息，且传感器E在基站B的发送范围之外，则可以对从基站B到传感器E的消息进行中继。如果例如基站B可以到达传感器C，传感器C可以到达传感器D且传感器D可以到达传感器E，则在基站B向传感器E发送消息X时，传感器C向传感器D发送消息X，传感器D向传感器E发送消息X。然后传感器E根据本发明产生安全确认消息Y，通过传感器D将该安全确认消息重新发送至传感器C，且传感器C将安全确认消息Y重新发送到基站B。

维护这种无线网络的安全性一般是重要的。根据如上所述的本发明，可以击败已插入无线网络中的攻击者设备的篡改尝试。

尽管已结合了特定实施例描述了本发明，对于本领域技术人员显而易见的是：根据前述描述，很多备选、修改和变化将是明显的。因此，本发明意在包含落入所附权利要求的精神和范围中的所有这种备选、修改和变化。

Claims

1.一种用于产生安全确认消息的方法，包括：

构建所述确认消息的明文；

计算所述确认消息的明文的循环冗余校验CRC值；

对所述确认消息的明文进行加密，以获得所述确认消息的密文；

使用所述循环冗余校验CRC值的比特，根据所述密文来计算安全校验CHK值；以及

将所述安全校验值CHK附加到所述确认消息的明文，以产生所述安全确认消息。

2.根据权利要求1所述的方法，其中，计算所述安全CHK值包括：使用所述CRC值的比特，以确定将所述密文中的哪些块异或XOR在一起，以形成所述CHK值。

3.根据权利要求1所述的方法，其中，计算所述安全CHK值包括：使用所述CRC值的比特，以确定将所述密文中的哪些块求和在一起模2k，以形成所述CHK值，其中k+1是所述密文的块的数目。

4.根据权利要求1所述的方法，其中，在计算所述安全CHK值中总是包括所述密文的选定块。

5.根据权利要求1所述的方法，其中，所述确认消息的明文由至少24个比特构成。

6.根据权利要求1所述的方法，其中，使用高级加密标准来执行对所述确认消息的明文的加密。

7.一种无线网络，包括主控制器和传感器设备，其中，响应于来自所述主控制器的已认证的消息，所述传感器设备发送根据权利要求1所述的方法产生的安全确认消息。

8.一种无线网络，包括主控制器和第一和第二传感器设备，其中，所述第二传感器设备在所述主控制器的范围之外，且所述第一传感器设备在所述主控制器的范围中，响应于来自所述主控制器的已认证的消息，所述第二传感器设备通过经由所述第一传感器设备进行的中继，向所述主控制器发送根据权利要求1所述的方法产生的安全确认消息。

9.一种远程无钥匙进入系统，包括钥匙部分和车辆部分，其中，响应于来自所述钥匙部分的已认证的命令，所述车辆部分发送根据权利要求1所述的方法产生的安全确认消息。

10.一种汽车总线网络，包括引擎控制单元和传感器设备，其中，响应于来自所述引擎控制单元的请求，所述传感器设备发送根据权利要求1所述的方法产生的安全确认消息。

11.一种汽车总线网络，包括电子控制模块和传感器设备，其中，响应于来自所述电子控制模块的请求，所述传感器设备发送根据权利要求1所述的方法产生的安全确认消息。