WO2021244589A1

WO2021244589A1 - 智能钥匙、防中继攻击方法及系统

Info

Publication number: WO2021244589A1
Application number: PCT/CN2021/098014
Authority: WO
Inventors: 陈枭雄; 卢静; 项康泰; 樊旭颖; 罗勇
Original assignee: 联合汽车电子有限公司
Priority date: 2020-06-05
Filing date: 2021-06-02
Publication date: 2021-12-09
Also published as: CN111775888B; CN111775888A

Abstract

一种智能钥匙、防中继攻击方法及系统，首先，钥匙端（01）与车辆端（02）以密钥协商的方式约定通讯密钥，从而在钥匙端（01）与车辆端（02）建立无线连接后，钥匙端（01）在接收到来自车辆端（02）的密文形式的控制编码时，能够利用通讯密钥对密文形式的控制编码进行解析以得到控制编码的明文，并利用明文对发送的无线信号的强度进行控制，而后，通过车辆端（02）对识别的信号强度进行编码还原，并判断还原得到的编码是否与明文一致，若是，则保持与钥匙端（01）的连接，若否，则断开与钥匙端（01）的连接，以达到阻止中继站攻击的目的。

Description

智能钥匙、防中继攻击方法及系统

技术领域

本发明涉及无线控制技术领域，特别涉及一种智能钥匙、防中继攻击方法及系统。

背景技术

现有智能钥匙系统PEPS(Passive Entry&Passive Start)，又称无钥匙系统、无钥匙启动系统，主要由车载通讯及控制系统和用户随身携带的用于合法身份识别的智能钥匙RFID(Radio Frequency Identification)，又称射频识别、Smart Key或Fob组成。当用户携带智能钥匙进入车辆的探测范围时，用户只需要直接拉动车门上的外开启手柄或者按动门把手上的开锁按钮，车辆便主动识别和认证智能钥匙的合法性，如认证通过，车辆就解除防盗并车辆车门；当用户进入车内时，只需要按下启动按钮，车辆便主动识别和认证处于车辆内部的智能钥匙，如认证通过，车辆就解除发动机防盗和其他防盗设备，如电子转向轴锁，用户可以直接启动或给车辆上电。车辆配备智能钥匙系统的好处是免去了用户使用车辆时找钥匙、操作钥匙的繁琐操作，提高车辆使用的便利性。目前智能钥匙系统已成为中高档轿车的标准配置，而且有向中低档车型普及的趋势。智能钥匙系统已经历10年的发展，技术已经成熟并得到广泛应用。智能钥匙作为智能钥匙系统的RFID设备，已经以多样化的形式存在，如卡片式智能钥匙、挂坠智能钥匙、手表智能钥匙、遥控智能钥匙以及基于蓝牙的钥匙汽车钥匙。

现有常规无钥匙启动系统主要利用智能钥匙和汽车之间的无线信号交互来实现车辆的控制，所述无线信号例如，LF-RF(低频-射频)信号、BLE(蓝牙)信号或Zigbee(紫蜂)信号等。然而，此类无线通讯信号均容易遭受中继站的攻击，从而导致安全性低的问题。基于收发点通信时间片的定位方式可以有效抵御中继攻击，但目前官方蓝牙协议暂尚未支持，因此，尤其是对于基于蓝牙的PEPS(BLE-PEPS)系统来说，其容易遭受中继攻击，从而导致被盗风险增加。

发明内容

本发明的目的在于提供一种智能钥匙、防中继攻击方法及系统，以解决现有PEPS系统容易遭受中继攻击的问题。

为解决上述问题，本发明提供一种防中继攻击方法，用于无钥匙启动系统，包括：

车辆端以密钥协商的方式与钥匙端约定通讯密钥；

所述车辆端在与所述钥匙端建立无线连接后，以密文形式向所述钥匙端发送控制编码，以触发所述钥匙端利用所述通讯密钥对密文形式的所述控制编码进行解析以得到所述控制编码的明文，并利用所述明文对发送的无线信号的强度进行控制；

所述车辆端对识别的信号强度进行编码还原，并判断还原得到的编码是否与所述明文一致，若是，则保持与所述钥匙端的连接，若否，则断开与所述钥匙端的连接。

可选的，在所述的防中继攻击方法中，所述控制编码由一串表示无线信号不同发射功率变化值的标识组成。

可选的，在所述的防中继攻击方法中，所述控制编码包括三个所述标识，三个所述标识表示的发射功率变化值依次相差20dB。

可选的，在所述的防中继攻击方法中，所述控制编码按设定时间间隔进行发送。

可选的，在所述的防中继攻击方法中，所述防中继攻击方法还包括：所述车辆端设定延迟判断窗口时间，当识别到不同信号强度的时间间隔超过所述延迟判断窗口时间，则断开与所述钥匙端的连接。

本发明还提供一种智能钥匙，用于无钥匙启动系统，包括：

第一密钥模块，用于以密钥协商的方式与车辆端约定通讯密钥；

控制编码接收模块，用于与所述车辆端建立无线连接后，接收来自所述车辆端的密文形式的控制编码；

控制编码解析模块，用于利用所述通讯密钥对密文形式的所述控制编码进行解析以得到所述控制编码的明文；

第一控制模块，用于利用所述明文对发送的无线信号的强度进行控制。

本发明还提供一种防中继攻击系统，设于车辆端，用于无钥匙启动系统，包括：

第二密钥模块，用于以密钥协商的方式与钥匙端约定通讯密钥；

控制编码发送模块，用于与钥匙端建立无线连接后，以密文形式向所述钥匙端发送控制编码，以触发所述钥匙端对密文形式的所述控制编码进行解析以得到所述控制编码的明文，并利用所述明文对发送的无线信号的强度进行控制；

第二控制模块，用于对识别的信号强度进行编码大小还原，并判断还原得到的编码是否与所述明文一致，若是，则保持与所述钥匙端的连接，若否，则断开与所述钥匙端的连接。

可选的，在所述的防中继攻击系统中，所述控制编码由一串表示无线信号不同发射功率变化值的标识组成。

可选的，在所述的防中继攻击系统中，所述控制编码包括三个所述标识，三个所述标识表示的发射功率变化值依次相差20dB。

可选的，在所述的防中继攻击系统中，所述第二控制模块还用于设定延迟判断窗口时间，并在识别到不同信号强度的时间间隔超过所述延迟判断窗口时间时，断开与所述钥匙端的连接。

在本发明提供的智能钥匙、防中继攻击方法及系统中，首先，钥匙端与车辆端以密钥协商的方式约定通讯密钥，从而在所述钥匙端在与所述车辆端建立无线连接后，所述钥匙端在接收到来自所述车辆端的密文形式的控制编码时，能够利用所述通讯密钥对密文形式的所述控制编码进行解析以得到所述控制编码的明文，并利用所述明文对发送的无线信号的强度进行控制，而后，通过所述车辆端对识别的信号强度进行编码还原，并判断还原得到的编码是否与所述明文一致，若是，则保持与所述钥匙端的连接，若否，则断开与所述钥匙端的连接，以达到阻止中继站攻击的目的。由于车辆端与钥匙端正常通信时，车辆端发射的无线信号的强度和接收的无线信号的强度基本呈线性特征，因此，当对识别到的无线信号的强度进行编码还原时，正常情况下，车辆可以还原出与所述明文一致的强度变化特性，如若不一致，则说明存在中继站攻击，因此断开连接，如此，便基于所传递的编码信息进行发射功率变化控制和检测，达到对中继攻击的识别。

附图说明

图1为本发明实施例提供的PEPS系统处于正常情况下的示意图；

图2为本发明实施例提供的PEPS系统受到中继站攻击情况下的示意图；

图3为本发明实施例提供的无线信号发送方法的流程图；

图4为本发明实施例提供的智能钥匙的组成框图；

图5为本发明实施例提供的防中继攻击方法的流程图；

图6为本发明实施例提供的防中继攻击系统的流程图；

图7为本发明实施例中车辆端接收的无线信号强度与钥匙端发射的无线信号强度的线性关系示意图；

其中，各附图标记说明如下：

01-钥匙段；02-车辆端；03-中继站；04-中继站；

11-第一密钥模块；12-控制编码接收模块；13-控制编码解析模块；14-第一控制模块；

21-第二密钥模块；22-控制编码发送模块；23-第二控制模块。

具体实施方式

以下结合附图和具体实施例对本发明提出的智能钥匙、防中继攻击方法及系统作进一步详细说明。根据下面说明，本发明的优点和特征将更清楚。需说明的是，附图均采用非常简化的形式且均使用非精准的比例，仅用以方便、明晰地辅助说明本发明实施例的目的。此外，附图所展示的结构往往是实际结构的一部分。特别的，各附图需要展示的侧重点不同，有时会采用不同的比例。

如图1所示，对于PEPS系统而言，正常情况下，钥匙端01可以和车辆端02通过无线控制信号的交互，来实现车辆控制功能。

具体而言，PEPS系统的工作逻辑一般如下：车辆端的PEPS模块实时无线广播，当被钥匙端扫描到后，向钥匙端发送身份认证信息，若认证通过，则建立连接，若认证不通过，则断开连接。

发明人发现，钥匙端01和车辆端02之间的无线信号具有可以截取和复制的可能性，所以容易遭受中继站的攻击，从而导致安全性低的问题。如图2所示，攻击者通过架设中继站03和中继站04来实现远程攻击。具体的，钥匙端01的无线控制信号经过中继站03和中继站04的路由之后，发送给车辆端02，亦可实现对车辆端02的控制功能。此种情况下的通讯距离通常可以达到百米甚至更长，而且钥匙端01发送给车辆端02的无线控制信号，不需进行任何篡改，只要通过两个中继站的信号路由，即可实现远程控制车辆端02的目的。因此攻击者通过中继站的攻击，可以在驾驶员完全无感知的情况下，实现对车辆端02的操控，威胁巨大，安全性低。

发明人进一步发现，当用户携带钥匙靠近车辆时，随着钥匙端01和车辆端02之间距离的减小，当减小到一定距离(一般为15m)范围内时，车辆端02发射的无线信号的强度和接收的无线信号的强度呈现线性特征。

基于上述发现，本发明实施例提供一种无线信号发送方法，所述无线信号发送方法包括如下步骤：

S11，钥匙端以密钥协商的方式与车辆端约定通讯密钥；

S12，所述钥匙端在与所述车辆端建立无线连接后，在接收到来自所述车辆端的密文形式的控制编码时，利用所述通讯密钥对密文形式的所述控制编码进行解析以得到所述控制编码的明文，并利用所述明文对发送的无线信号的强度进行控制。

对应于所述钥匙端，本发明实施例还提供一种智能钥匙，所述智能钥匙包括：

第一密钥模块11，用于以密钥协商的方式与车辆端约定通讯密钥；

控制编码接收模块12，用于与所述车辆端建立无线连接后，接收来自所述车辆端的密文形式的控制编码；

控制编码解析模块13，用于利用所述通讯密钥对密文形式的所述控制编码进行解析以得到所述控制编码的明文；

第一控制模块14，用于利用所述明文对发送的无线信号的强度进行控制。

本实施例中，所述钥匙侧/智能钥匙可为智能手机或可穿戴设备等。所述无线信号为蓝牙信号、射频信号和紫蜂信号中的一种。

另外，本发明还提供一种防中继攻击方法，所述防中继攻击方法包括如下步骤：

S21，车辆端以密钥协商的方式与钥匙端约定通讯密钥；

S22，所述车辆端在与所述钥匙端建立无线连接后，以密文形式向所述钥匙端发送控制编码，以触发所述钥匙端利用所述通讯密钥对密文形式的所述控制编码进行解析以得到所述控制编码的明文，并利用所述明文对发送的无线信号的强度进行控制；

S23，所述车辆端对识别的信号强度进行编码还原，并判断还原得到的编码是否与所述明文一致，若是，则保持与所述钥匙端的连接，若否，则断开与所述钥匙端的连接。

其中，所述控制编码由一串表示无线信号不同发射功率变化值的标识组成。所述标识可为数字，也可为字母、符号等。本实施例中，考虑到车辆对编码还原的难易程度，较佳的，各个标识统一为按某一数值降低或增加，且各所述标识按设定间隔进行发送。进一步的，为了容纳常规的人体干扰造成的异常偏差对攻击识别造成干扰，可将钥匙端的无线信号发送功率可控档位划分为3个等级，每个等级相差20dB，亦即，所述控制编码包括三个所述标识，三个所述标识表示的发射功率变化值依次相差20dB。

较佳的，所述防中继攻击方法还包括：所述车辆端设定延迟判断窗口时间，当识别到不同信号强度的时间间隔超过所述延迟判断窗口时间，则断开与所述钥匙端的连接。

相应的，本发明实施例还提供一种防中继攻击系统，所述防中继攻击系统设于车辆端，所述防中继攻击系统包括：

第二密钥模块21，用于以密钥协商的方式与钥匙端约定通讯密钥；

控制编码发送模块22，用于与钥匙端建立无线连接后，以密文形式向所述钥匙端发送控制编码，以触发所述钥匙端对密文形式的所述控制编码进行解析以得到所述控制编码的明文，并利用所述明文对发送的无线信号的强度进行控制；

第二控制模块23，用于对识别的信号强度进行编码大小还原，并判断还原得到的编码是否与所述明文一致，若是，则保持与所述钥匙端的连接，若否，则断开与所述钥匙端的连接。

较佳的，所述第二控制模块23还用于设定延迟判断窗口时间，并在识别到不同信号强度的时间间隔超过所述延迟判断窗口时间时，断开与所述钥匙端的连接。

通常，攻击者常规只会进行数据的转发，不会进行无线信号强度的监测和转发，即使攻击者想进行无线信号强度的监测和转发，由于无线信号判断的延迟特性，转译无线信号变化特性，首先会要求攻击者也对钥匙端的无线信号变化进行滤波识别，这样必然会造成无线信号变化的延时，故当车辆端根据标定设定延迟判断窗口时间时，可以消除攻击者转译无线信号变化的动作。

在本发明实施例提供的防中继攻击方法及系统中，所述无线连接为蓝牙连接、射频连接和紫蜂连接中的一种。

为了描述的方便，描述以上智能设备和防中继攻击系统时以功能分为各种模块分别描述。当然，在实施本发明时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

以下进行举例说明。

例如，可将钥匙端的无线信号发送功率可控档位划分为3个等级，每个等级相差20dB，以容纳常规的人体干扰造成的异常偏差对攻击识别造成干扰。其中，1代表降低20dB发送，2代表降低40dB发送，3代表降低60dB发送。如若对控制编码RCC1进行解密之后，得到RCC1＝31231，则代表钥匙端在进行无线信号的发送时，进行5次变功率动作，控制序列是降低60dB发送并持续CXms，随后降低20dB发送并持续CXms，随后降低40dB发送并持续CXms，随后降低60dB发送并持续CXms，随后降低20dB发送并持续CXms，其中，功率切换间隔时间CX可以进行配置。

如图7所示，车辆端接收的无线信号强度与所述钥匙端车辆端发射的无线信号基本呈现线性特性，因此，可基于该线性特性，对识别到的信号强度进行编码还原。正常情况下，车辆端可以还原出31231的强度变化特性。又因为车辆端已知RCC1的值，再根据接收到的强度的变化实测值，可以得出是否存在中继攻击的判断。

即，使用了本发明实施例提供的智能钥匙、防中继攻击方法及系统后，可以进行主动的编码防御，比较典型的防御场景是智能钥匙在运动且攻击者距离车主也比较近的情况下，常见的运动传感器防中继会失效，但本发明所提供的方法仍然可以识别出攻击状态，从而达到防中继攻击的目的。

综上所述，本实施例提供的智能钥匙、防中继攻击方法及系统解决了现有PEPS系统容易遭受中继攻击的问题。

需要说明的是，在本发明的描述中，PEPS系统为在车载无钥匙启动方面的应用，但需理解PEPS系统也可以应用在其它方面，例如可应用在门禁系统，当应用在门禁系统时，相应的车辆端即为门禁端，若应用在门禁系统，采用本发明提供的智能钥匙、防中继攻击方法及系统时同样可以降低中继攻击的可能性。

上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。

Claims

一种防中继攻击方法，用于无钥匙启动系统，其特征在于，包括：

车辆端以密钥协商的方式与钥匙端约定通讯密钥；

所述车辆端在与所述钥匙端建立无线连接后，以密文形式向所述钥匙端发送控制编码，以触发所述钥匙端利用所述通讯密钥对密文形式的所述控制编码进行解析以得到所述控制编码的明文，并利用所述明文对发送的无线信号的强度进行控制；

所述车辆端对识别的信号强度进行编码还原，并判断还原得到的编码是否与所述明文一致，若是，则保持与所述钥匙端的连接，若否，则断开与所述钥匙端的连接。
如权利要求1所述的防中继攻击方法，其特征在于，所述控制编码由一串表示无线信号不同发射功率变化值的标识组成。
如权利要求2所述的防中继攻击方法，其特征在于，所述控制编码包括三个所述标识，三个所述标识表示的发射功率变化值依次相差20dB。
如权利要求2或3所述的防中继攻击方法，其特征在于，各所述标识按设定时间间隔进行发送。
如权利要求1所述的防中继攻击方法，其特征在于，所述防中继攻击方法还包括：所述车辆端设定延迟判断窗口时间，当识别到不同信号强度的时间间隔超过所述延迟判断窗口时间，则断开与所述钥匙端的连接。
一种智能钥匙，用于无钥匙启动系统，其特征在于，包括：

第一密钥模块，用于以密钥协商的方式与车辆端约定通讯密钥；

控制编码接收模块，用于与所述车辆端建立无线连接后，接收来自所述车辆端的密文形式的控制编码；

控制编码解析模块，用于利用所述通讯密钥对密文形式的所述控制编码进行解析以得到所述控制编码的明文；

第一控制模块，用于利用所述明文对发送的无线信号的强度进行控制。
一种防中继攻击系统，设于车辆端，用于无钥匙启动系统，其特征在于，包括：

第二密钥模块，用于以密钥协商的方式与钥匙端约定通讯密钥；

控制编码发送模块，用于与钥匙端建立无线连接后，以密文形式向所述钥匙端发送控制编码，以触发所述钥匙端对密文形式的所述控制编码进行解析以得到所述控制编码的明文，并利用所述明文对发送的无线信号的强度进行控制；

第二控制模块，用于对识别的信号强度进行编码大小还原，并判断还原得到的编码是否与所述明文一致，若是，则保持与所述钥匙端的连接，若否，则断开与所述钥匙端的连接。
如权利要求7所述的防中继攻击系统，其特征在于，所述控制编码由一串表示无线信号不同发射功率变化值的标识组成。
如权利要求8所述的防中继攻击方法，其特征在于，所述控制编码包括三个所述标识，三个所述标识表示的发射功率变化值依次相差20dB。
如权利要求7所述的防中继攻击系统，其特征在于，所述第二控制模块还用于设定延迟判断窗口时间，并在识别到不同信号强度的时间间隔超过所述延迟判断窗口时间时，断开与所述钥匙端的连接。