示意性實施例總體上涉及一種用于無線車載訪問裝置認(rèn)證的方法和設(shè)備。

背景技術(shù)：

隨著個人裝置變得“更智能化”和互聯(lián)化，有機(jī)會將更多智能和感應(yīng)集成到車輛的內(nèi)部和外部組件?，F(xiàn)有的與對車輛內(nèi)的個人裝置定位的能力相結(jié)合的即插即用架構(gòu)允許一些非常強(qiáng)大的用戶交互體驗，諸如改進(jìn)的無鑰匙進(jìn)入的實現(xiàn)。

無鑰匙進(jìn)入系統(tǒng)在汽車oem(原始設(shè)備制造商)和售后制造商中正變得普遍化。當(dāng)駕駛員或擁有遙控鑰匙的某人接近車輛且足夠靠近時，來自遙控鑰匙的短程信號自動解鎖車門，而無需按壓任何按鈕。其他解決方案還提出當(dāng)駕駛員離開或接近車輛時車門、舉升式車門以及行李廂蓋的自動化鎖定-解鎖。這些解決方案依靠技術(shù)的混合，范圍涉及從傳統(tǒng)的遙控鑰匙到接近傳感器或個人裝置的使用。

現(xiàn)有的用于鎖定和解鎖車門的方法容易受到中繼攻擊的影響。中繼攻擊(也稱為中間人)是特別難以阻止的，這是因為他們可通過僅在認(rèn)證處理的兩端捕獲并重發(fā)信號來繞過任何加密。

在擁有遙控鑰匙的用戶接近車輛時車門解鎖的無鑰匙進(jìn)入系統(tǒng)是廣為人知的且在現(xiàn)今的汽車行業(yè)中是普遍的。允許通過同時檢測遙控鑰匙和特定姿勢(諸如，在后保險杠下面的傳感器附近晃動腳)來打開車輛行李廂或舉升式車門的系統(tǒng)也是普遍的。已經(jīng)提出的還有實現(xiàn)要求用戶僅走到并停在(無需“踢”或“擺姿勢”)舉升式車門的前方的電容傳感器陣列的解決方案。

一些提出的方法還描述了當(dāng)用戶離開該區(qū)域時舉升式車門或行李廂蓋也會如何自動關(guān)閉。一種甚至更包容的構(gòu)思提出視覺、接近度和射頻定位追蹤的結(jié)合，以識別某人接近并停在車輛的舉升式車門的前方的運動模式。如果此人也擁有遙控鑰匙，則舉升式車門自動打開。利用個人裝置來認(rèn)證用戶并根據(jù)接近和離開自動解鎖/鎖定車門的許多方法已被公開。這些方法中的大部分使用藍(lán)牙智能或類似的無線技術(shù)來檢測接近度，在一些情況下，檢測接近車輛的路線。

然而，這些解決方案存在一些限制。一些方法將僅能聯(lián)合遙控鑰匙工作。與大多數(shù)電容式實施方式類似的一些方法將在用戶離開車輛的后方時關(guān)閉舉升式車門：在物體從例如乘客座椅被轉(zhuǎn)移到行李廂的情況下，這會導(dǎo)致當(dāng)用戶在車輛的前方與后方之間移動時多次打開和關(guān)閉蓋。所有這些方法還以駕駛員為中心，且當(dāng)多個乘員一起同行時無法很好地權(quán)衡，但最重要的是，這些方法本質(zhì)上對于窺探來說是不安全的。有惡意意圖的人可以容易地“破解”當(dāng)前的無鑰匙進(jìn)入系統(tǒng)。

技術(shù)實現(xiàn)要素：

在第一示意性實施例中，一種系統(tǒng)包括處理器，所述處理器被配置為：從移動裝置接收用于激活識別序列的請求。所述處理器還被配置為：響應(yīng)于所述請求，向移動裝置發(fā)送多個帶有時間戳的識別碼。所述處理器還被配置為：在發(fā)送正確的識別碼之后，接收確認(rèn)。所述處理器還被配置為：計算正確的識別碼的發(fā)送與確認(rèn)被接收之間的時間延遲；在所述時間延遲低于預(yù)定義閾值的情況下，向移動裝置提供車輛系統(tǒng)訪問。

在第二示意性實施例中，一種系統(tǒng)包括移動裝置，移動裝置具有處理器，處理器被配置為：基于移動裝置位于距車輛的預(yù)定接近度內(nèi)，向具有處理器的車輛無線地發(fā)送訪問請求。移動裝置的處理器還被配置為：向車輛請求認(rèn)證碼。移動裝置的處理器還被配置為：從車輛無線地接收一系列認(rèn)證碼；當(dāng)確定來自所述一系列認(rèn)證碼的正確認(rèn)證碼已被接收時，利用確認(rèn)來回應(yīng)車輛。

在第三示意性實施例中，提供了一種計算機(jī)實現(xiàn)的方法，所述方法包括：從移動裝置接收用于激活識別序列的請求。所述方法還包括：響應(yīng)于所述請求，向移動裝置發(fā)送多個帶有時間戳的識別碼。所述方法還包括：在發(fā)送正確的識別碼之后，接收確認(rèn)。此外，所述方法包括：計算正確的識別碼的發(fā)送與確認(rèn)被接收之間的時間延遲。所述方法還包括：從移動裝置接收密鑰代碼；將所述密鑰代碼與當(dāng)移動裝置先前出現(xiàn)在車輛內(nèi)時與移動裝置交換的代碼進(jìn)行比較。此外，所述方法包括：測量從移動裝置成功接收到的多個無線信號的強(qiáng)度。另外，所述方法包括：在所述時間延遲低于預(yù)定義閾值、驗證了密鑰代碼以及測量的所述多個無線信號的信號強(qiáng)度與增強(qiáng)的信號強(qiáng)度的預(yù)定義模式相匹配的情況下，向移動裝置提供車輛系統(tǒng)訪問。

根據(jù)本發(fā)明的一個實施例，所述方法還包括：如果所述時間延遲不低于所述預(yù)定義閾值、所述密鑰代碼未被驗證或者測量的所述多個無線信號的信號強(qiáng)度與增強(qiáng)的信號強(qiáng)度的所述預(yù)定義模式不匹配，則向移動裝置發(fā)送警告。

附圖說明

圖1示出了示意性的車輛計算系統(tǒng)；

圖2示出了用于車輛側(cè)裝置認(rèn)證的示意性處理；

圖3示出了用于裝置側(cè)認(rèn)證的示意性處理。

具體實施方式

根據(jù)需要，在此公開本發(fā)明的具體實施例；然而，應(yīng)理解的是，所公開的實施例僅為本發(fā)明的示例，其可以以多種可替代形式實施。附圖無需按比例繪制；可夸大或最小化一些特征以示出特定組件的細(xì)節(jié)。因此，此處所公開的具體結(jié)構(gòu)和功能細(xì)節(jié)不應(yīng)被解釋為限制，而僅僅作為用于教導(dǎo)本領(lǐng)域技術(shù)人員以多種形式利用本發(fā)明的代表性基礎(chǔ)。

圖1示出了用于車輛31的基于車輛的計算系統(tǒng)(vcs)1的示例框式拓?fù)鋱D。這種基于車輛的計算系統(tǒng)1的示例為由福特汽車公司制造的sync系統(tǒng)。設(shè)置有基于車輛的計算系統(tǒng)的車輛可包含位于車輛中的可視前端界面4。如果所述界面設(shè)置有例如觸摸敏感屏幕，則用戶還能夠與所述界面進(jìn)行交互。在另一示意性實施例中，通過按鈕按壓或具有自動語音識別和語音合成的口語會話系統(tǒng)來進(jìn)行交互。

在圖1所示的示意性實施例1中，處理器3控制基于車輛的計算系統(tǒng)的至少一部分操作。設(shè)置在車輛內(nèi)的處理器允許對命令和例程進(jìn)行車載處理。另外，處理器連接到非持久性存儲器5和持久性存儲器7兩者。在此示意性實施例中，非持久性存儲器是隨機(jī)存取存儲器(ram)，持久性存儲器是硬盤驅(qū)動器(hdd)或閃存。一般說來，持久性(非暫時性)存儲器可包括當(dāng)計算機(jī)或其它裝置掉電時保持?jǐn)?shù)據(jù)的所有形式的存儲器。這些存儲器包括但不限于：hdd、cd、dvd、磁帶、固態(tài)驅(qū)動器、便攜式usb驅(qū)動器和任何其它適當(dāng)形式的持久性存儲器。

處理器還設(shè)置有允許用戶與處理器進(jìn)行交互的若干不同的輸入。在此示意性實施例中，麥克風(fēng)29、輔助輸入25(用于輸入33)、usb輸入23、gps輸入24、屏幕4(可為觸摸屏顯示器)和藍(lán)牙輸入15全部被提供。還提供輸入選擇器51，以允許用戶在各種輸入之間進(jìn)行切換。對于麥克風(fēng)和輔助連接器兩者的輸入在被傳送到處理器之前，由轉(zhuǎn)換器27對所述輸入進(jìn)行模數(shù)轉(zhuǎn)換。盡管未示出，但是與vcs進(jìn)行通信的眾多車輛組件和輔助組件可使用車輛網(wǎng)絡(luò)(諸如但不限于can總線)向vcs(或其組件)傳送數(shù)據(jù)并傳送來自vcs(或其組件)的數(shù)據(jù)。

系統(tǒng)的輸出可包括但不限于視覺顯示器4以及揚聲器13或立體聲系統(tǒng)輸出。揚聲器連接到放大器11，并通過數(shù)模轉(zhuǎn)換器9從處理器3接收其信號。還可分別沿19和21所示的雙向數(shù)據(jù)流產(chǎn)生到遠(yuǎn)程藍(lán)牙裝置(諸如個人導(dǎo)航裝置(pnd)54)或usb裝置(諸如車輛導(dǎo)航裝置60)的輸出。

在一示意性實施例中，系統(tǒng)1使用藍(lán)牙收發(fā)器15與用戶的移動裝置53(例如，蜂窩電話、智能電話、pda或具有無線遠(yuǎn)程網(wǎng)絡(luò)連接能力的任何其它裝置)進(jìn)行通信(17)。移動裝置隨后可被用于通過例如與蜂窩塔57的通信(55)來與車輛31外部的網(wǎng)絡(luò)61進(jìn)行通信(59)。在一些實施例中，蜂窩塔57可以是wifi接入點。

移動裝置與藍(lán)牙收發(fā)器之間的示例性通信由信號14表示。

可通過按鈕52或類似的輸入來指示移動裝置53與藍(lán)牙收發(fā)器15進(jìn)行配對。相應(yīng)地，cpu被指示使得車載藍(lán)牙收發(fā)器將與移動裝置中的藍(lán)牙收發(fā)器進(jìn)行配對。

可利用例如與移動裝置53關(guān)聯(lián)的數(shù)據(jù)計劃、話上數(shù)據(jù)或dtmf音在cpu3與網(wǎng)絡(luò)61之間傳送數(shù)據(jù)?？蛇x地，可期望包括具有天線18的車載調(diào)制解調(diào)器63以便在cpu3與網(wǎng)絡(luò)61之間通過語音頻帶傳送數(shù)據(jù)(16)。移動裝置53隨后可被用于通過例如與蜂窩塔57的通信(55)來與車輛31外部的網(wǎng)絡(luò)61進(jìn)行通信(59)。在一些實施例中，調(diào)制解調(diào)器63可與蜂窩塔57建立通信20，以與網(wǎng)絡(luò)61進(jìn)行通信。作為非限制性示例，調(diào)制解調(diào)器63可以是usb蜂窩調(diào)制解調(diào)器，并且通信20可以是蜂窩通信。

在一個示意性實施例中，處理器設(shè)置有包括用于與調(diào)制解調(diào)器應(yīng)用軟件進(jìn)行通信的api的操作系統(tǒng)。調(diào)制解調(diào)器應(yīng)用軟件可訪問藍(lán)牙收發(fā)器上的嵌入式模塊或固件，以完成與(諸如在移動裝置中發(fā)現(xiàn)的)遠(yuǎn)程藍(lán)牙收發(fā)器的無線通信。藍(lán)牙是ieee802pan(個域網(wǎng))協(xié)議的子集。ieee802lan(局域網(wǎng))協(xié)議包括wifi并與ieee802pan具有相當(dāng)多的交叉功能。兩者都適合于車輛內(nèi)的無線通信?？稍谠擃I(lǐng)域使用的另一通信方式是自由空間光通信(諸如irda)和非標(biāo)準(zhǔn)化消費者紅外(ir)協(xié)議。

在另一實施例中，移動裝置53包括用于語音頻帶或?qū)拵?shù)據(jù)通信的調(diào)制解調(diào)器。在話上數(shù)據(jù)的實施例中，當(dāng)移動裝置的所有者可在數(shù)據(jù)被傳送的同時通過裝置說話時，可實施已知為頻分復(fù)用的技術(shù)。在其它時間，當(dāng)所有者沒有在使用裝置時，數(shù)據(jù)傳送可使用整個帶寬(在一個示例中是300hz至3.4khz)。盡管頻分復(fù)用對于車輛與互聯(lián)網(wǎng)之間的模擬蜂窩通信而言會是常見的并仍在被使用，但其已經(jīng)很大程度上被用于數(shù)字蜂窩通信的碼域多址(cdma)、時域多址(tdma)、空域多址(sdma)的混合體所替代。這些都是ituimt-2000(3g)兼容的標(biāo)準(zhǔn)，為靜止或步行的用戶提供高達(dá)2mbps的數(shù)據(jù)速率，并為在移動的車輛中的用戶提供高達(dá)385kbps的數(shù)據(jù)速率。3g標(biāo)準(zhǔn)現(xiàn)在正被imt-advanced(4g)所替代，其中，所述imt-advanced(4g)為在車輛中的用戶提供100mbps的數(shù)據(jù)速率，并為靜止的用戶提供1gbps的數(shù)據(jù)速率。如果用戶具有與移動裝置53關(guān)聯(lián)的數(shù)據(jù)計劃，則所述數(shù)據(jù)計劃可允許寬帶傳輸且系統(tǒng)可使用寬得多的帶寬(加速數(shù)據(jù)傳送)。在另一實施例中，移動裝置53被安裝至車輛31的蜂窩通信裝置(未示出)所替代。在另一實施例中，移動裝置(nd)53可以是能夠通過例如(而不限于)802.11g網(wǎng)絡(luò)(即wifi)或wimax網(wǎng)絡(luò)進(jìn)行通信的無線局域網(wǎng)(lan)裝置。

在一個實施例中，傳入數(shù)據(jù)可經(jīng)由話上數(shù)據(jù)或數(shù)據(jù)計劃通過移動裝置，通過車載藍(lán)牙收發(fā)器，并進(jìn)入車輛的內(nèi)部處理器3。例如，在某些臨時數(shù)據(jù)的情況下，數(shù)據(jù)可被存儲在hdd或其它存儲介質(zhì)7上，直至不再需要所述數(shù)據(jù)時為止。

可與車輛進(jìn)行接口連接的其它的源包括：具有例如usb連接56和/或天線58的個人導(dǎo)航裝置54、具有usb62或其它連接的車輛導(dǎo)航裝置60、車載gps裝置24或具有與網(wǎng)絡(luò)61的連接的遠(yuǎn)程導(dǎo)航系統(tǒng)(未示出)。usb是一類串行聯(lián)網(wǎng)協(xié)議中的一種。ieee1394(火線^tm(蘋果)、i.link^tm(索尼)和lynx^tm(德州儀器))、eia(電子工業(yè)協(xié)會)串行協(xié)議、ieee1284(centronics端口)、s/pdif(索尼/飛利浦?jǐn)?shù)字互連格式)和usb-if(usb開發(fā)者論壇)形成了裝置-裝置串行標(biāo)準(zhǔn)的骨干。多數(shù)協(xié)議可針對電通信或光通信來實施。

此外，cpu可與各種其它的輔助裝置65進(jìn)行通信。這些裝置可通過無線連接67或有線連接69來連接。輔助裝置65可包括但不限于個人媒體播放器、無線保健裝置、便攜式計算機(jī)等。

此外或可選地，可使用例如wifi(ieee803.11)收發(fā)器71將cpu連接到基于車輛的無線路由器73。這可允許cpu在本地路由器73的范圍內(nèi)連接到遠(yuǎn)程網(wǎng)絡(luò)。

除了由位于車輛中的車輛計算系統(tǒng)執(zhí)行示例性處理之外，在某些實施例中，還可由與車輛計算系統(tǒng)通信的計算系統(tǒng)來執(zhí)行示例性處理。這樣的系統(tǒng)可包括但不限于：無線裝置(例如而非限制，移動電話)或通過無線裝置連接的遠(yuǎn)程計算系統(tǒng)(例如而非限制，服務(wù)器)。這樣的系統(tǒng)可被統(tǒng)稱為與車輛關(guān)聯(lián)的計算系統(tǒng)(vacs)。在某些實施例中，vacs的特定組件可根據(jù)系統(tǒng)的特定實施而執(zhí)行處理的特定部分。通過示例而并非限制的方式，如果處理具有與配對的無線裝置進(jìn)行發(fā)送或者接收信息的步驟，則很可能由于無線裝置不會與自身進(jìn)行信息的“發(fā)送和接收”而使得無線裝置不執(zhí)行該處理的這一部分。本領(lǐng)域的普通技術(shù)人員將理解何時不適合對給定解決方案應(yīng)用特定的計算系統(tǒng)。

在此討論的示意性實施例中的每一個實施例中，示出了可由計算系統(tǒng)執(zhí)行的處理的示例性的、非限制的示例。針對每個處理，執(zhí)行處理的計算系統(tǒng)可能出于執(zhí)行處理的有限目的而變成被配置為專用處理器以執(zhí)行處理。所有的處理不需要全部被執(zhí)行，并且被理解為可被執(zhí)行以實現(xiàn)本發(fā)明的要素的處理類型的示例?？筛鶕?jù)需要向示例性處理添加額外的步驟或從示例性處理去除額外的步驟。

示意性實施例提出了利用物理屬性、嚴(yán)格定時和電力簽名(powersignature)的改進(jìn)的遠(yuǎn)程訪問功能(例如，非限制性地，鎖定和解鎖)。這些示意性示例和類似示例更難以(如果并非不可能的話)利用中繼攻擊進(jìn)行復(fù)制。

示意性框架可被用于建立更安全的、更加用戶友好的交互范例，以用于無鑰匙進(jìn)入和車輛封閉結(jié)構(gòu)(諸如，車門、舉升式車門和行李廂蓋)的自動鎖定-解鎖：一次性認(rèn)證密鑰在駕駛員每次進(jìn)入車輛并駛離時被交換。但是，該方法仍然容易受到中繼攻擊。中繼攻擊(也稱為中間人)是特別難以阻止的，這是因為他們可通過僅在認(rèn)證過程處理的兩端捕獲并重發(fā)信號來繞過任何加密。

示意性示例描述了用于安全地認(rèn)證位于車輛外部的個人裝置的方法。安全認(rèn)證有益于使用個人裝置獲得對車輛的關(guān)鍵功能(諸如，解鎖車門、啟動發(fā)動機(jī)、降低車窗等(由于察覺到惡意復(fù)制會允許對車輛的訪問或者甚至是車輛的控制，所以這些功能是關(guān)鍵的))的訪問權(quán)。

示意性實施例采用下面的方法，一旦個人裝置被識別為位于車輛內(nèi)的特定座椅位置且車輛處于移動中，則所述方法使用在個人裝置與車輛之間進(jìn)行交換的一次性加密密鑰配對。系統(tǒng)很難“侵入”，這是因為其依賴于信號強(qiáng)度的物理測量，而不是依賴于可能更容易偽造的數(shù)字?jǐn)?shù)據(jù)包。然而，即使是一次性使用的加密密鑰也容易受到有效執(zhí)行的中繼攻擊的攻擊。

例如，考慮車主和車輛處在分離的位置的情況。車輛附近的盜賊捕獲來自車輛的通信信號并通過長距離通信鏈路將通信信號發(fā)送給車主附近的第二個盜賊。第二個盜賊將該信號發(fā)送給車主，捕獲車主的個人裝置響應(yīng)，并將個人裝置響應(yīng)發(fā)送回給第一個盜賊。第一個盜賊將個人裝置響應(yīng)發(fā)送到車輛，認(rèn)證完成，無需破解任何加密。有時候在兩個位置之間需要一次以上的循環(huán)，但是這不能彌補(bǔ)該問題的嚴(yán)重性。

破解中繼攻擊的穩(wěn)健方式是在認(rèn)證處理中嵌入用于“匹配”與數(shù)字加密無關(guān)的一些物理參數(shù)的要求。這種額外的物理信息可以是定時、信號強(qiáng)度或者其它參數(shù)。

示意性示例始于當(dāng)駕駛員被識別為在車輛內(nèi)時交換一次性加密代碼。除了交換一次性代碼，個人裝置和車輛安全模塊還交換識別令牌。由于被用于檢測個人裝置的位置的rssi信號在嘗試未被檢測到的情況下無法被偽造，所以這種交換是安全的。

當(dāng)駕駛員離開車輛時，認(rèn)證方法對于中間人攻擊來說容易受到攻擊。然而，示意性認(rèn)證方法可檢測中繼攻擊，并成功地阻止其完成。也可向駕駛員和/或警察警告失敗的嘗試。

當(dāng)個人裝置距車輛短距離時，個人裝置請求車輛發(fā)起識別序列。此時，車輛從休眠狀態(tài)喚醒并開始通過ble或者其他通信鏈路發(fā)送識別碼的帶時間戳的隨機(jī)序列。由于與經(jīng)過每個扇區(qū)時產(chǎn)生不同符號的紡車(spinningwheel)類似，因此這個階段可被稱作“紡車”。注意到的是，車輛可能被中繼攻擊“欺騙”而發(fā)起識別序列。

個人裝置掃描從車輛接收的令牌的識別序列，并且當(dāng)正確的令牌與一次性令牌匹配時，立即發(fā)送確認(rèn)(ack)。ack消息也可能被中間人攻擊捕獲。

當(dāng)車輛從個人裝置接收到ack時，車輛計算從正確的令牌最初被發(fā)送的時刻到接收到ack的時刻的延遲。該時間間隔必須小于閾值。中間人攻擊會導(dǎo)致可能使得該條件失敗的延遲，車輛安全模塊會知道有人曾試圖非法侵入系統(tǒng)，并且消息可被發(fā)送給車主和/或警察。

一次性代碼自動化訪問可被取消，且當(dāng)車主下一次需要訪問車輛時，他/她需要物理地按壓個人裝置上的按鈕。如果該階段成功完成，則車輛安全模塊向個人裝置發(fā)送其加密密鑰。個人裝置接收并匹配加密密鑰。如果成功，則一次性加密密鑰的再次配對被發(fā)送到車輛。如果交換的所有數(shù)據(jù)匹配，則個人裝置被認(rèn)證且被給予對車輛的特定功能的訪問權(quán)。

為了使得認(rèn)證過程甚至更加穩(wěn)健，從個人裝置到車輛上的多個模塊的消息的信號強(qiáng)度(rssi)可被要求匹配某人走向車輛的簽名模式。相反地，裝置也可使用從模塊發(fā)送的消息的電力簽名以識別中間人攻擊。rssi應(yīng)隨著帶有個人裝置的車主靠近車輛而增大。該增大應(yīng)隨裝置變得越靠近車輛而變得更強(qiáng)。如果發(fā)送到車輛安全模塊的/從車輛安全模塊接收的過濾的信號滿足下面三個屬性(例如如下)，則信號可被確認(rèn)：

1、信號應(yīng)在組合信道的均值上單調(diào)增大。

2、信號應(yīng)在小于預(yù)定時間間隔的時間間隔內(nèi)從閾值1增大到閾值2。

3、信道信號分布應(yīng)為這兩種模式之一：

a、同側(cè)的兩個信道比相對側(cè)的兩個信道具有一致更大的信號；或者

b、一個信道比兩個相鄰信道具有更大的信號，且甚至比相對信道具有更大的信號(當(dāng)以某角度接近時)。

這些rssi模式符合移動裝置接近車輛，這與駕駛員正接近的意圖是一致的，而與遠(yuǎn)程源試圖偽造信號相悖。

圖2示出了用于車輛側(cè)裝置認(rèn)證的示意性處理。針對該附圖中描述的示意性實施例，注意到的是，通用處理器可被臨時用作專用處理器，以用于執(zhí)行在此示出的部分或全部示例性方法。當(dāng)執(zhí)行提供用于執(zhí)行所述方法的部分或全部步驟的指令的代碼時，處理器可被臨時改變用途作為專用處理器，直到方法完成時為止。在另一示例中，在適當(dāng)?shù)某潭壬?，根?jù)預(yù)配置的處理器執(zhí)行的固件可使處理器充當(dāng)被提供用于執(zhí)行所述方法或它的一些合理變型的專用處理器。

在該示意性示例中，當(dāng)駕駛員接近車輛時處理開始。車輛可通常保持在休眠狀態(tài)，以防止電池因一直搜索駕駛員裝置而耗盡。然而，在該示例中，接收到來自駕駛員裝置的請求可使得車輛喚醒以開始認(rèn)證處理。駕駛員裝置可通過例如接收到車輛識別信號或者基于與駕駛員裝置坐標(biāo)比較的已知車輛gps坐標(biāo)來識別駕駛員裝置與車輛的接近度。

在201，當(dāng)車輛接收到令牌請求或者其他喚醒命令時，認(rèn)證處理可在車輛側(cè)開始。一旦請求開始，則在203，車輛側(cè)處理生成一系列令牌，將它們發(fā)送到車輛。這些令牌中的許多是無效的，用于抵御欺騙嘗試的目的而被發(fā)送。這些無效令牌將在被駕駛員裝置接收時被忽略。針對發(fā)送的每個令牌，在205，時間戳被記錄。這將用于下面描述的認(rèn)證處理步驟。

一旦駕駛員裝置接收到正確的令牌，而不是被設(shè)計為包裝攻擊者的虛假令牌，則在207駕駛員裝置可發(fā)送回確認(rèn)。如果車輛接收到確認(rèn)，則兩個事項可被考慮。首先是針對正確令牌的確認(rèn)。如果虛假令牌被確認(rèn)，則處理可將該確認(rèn)視為惡意訪問車輛的嘗試，且至少臨時禁用遠(yuǎn)程訪問。

然而，更復(fù)雜的黑客可能能夠例如通過將生成的令牌從車輛附近的裝置轉(zhuǎn)發(fā)到駕駛員附近的裝置來對正確的令牌做出回應(yīng)。這樣模仿了駕駛員在車輛附近，并可以使駕駛員裝置對正確的令牌做出回應(yīng)(正確的令牌隨后從駕駛員附近的裝置被轉(zhuǎn)發(fā)到車輛附近的黑客裝置，隨后回到車輛)。然而，所有的傳輸需要一定有限時間段。存在標(biāo)準(zhǔn)時間間隔，在標(biāo)準(zhǔn)時間間隔內(nèi)駕駛員裝置(如果確實在車輛附近)將會回應(yīng)請求。如果響應(yīng)于發(fā)送的令牌而發(fā)送的響應(yīng)令牌不正確，或者如果在211用于回應(yīng)正確令牌的時間間隔209太長，則在213，車輛可直接向駕駛員裝置、監(jiān)測服務(wù)、安全服務(wù)等發(fā)送警報。在215，處理還可隨后禁用嘗試被訪問的車輛服務(wù)的遠(yuǎn)程使用，以及其他服務(wù)(如果需要)。此時，通過物理地解鎖車輛，駕駛員將能夠進(jìn)入(或者使用超馳代碼或其他不可復(fù)制的安全措施)。

然而，處理不止使用時間間隔以及正確密鑰的選擇以用于認(rèn)證。下一個步驟是將第一密鑰發(fā)送到車輛(217)。這是當(dāng)移動裝置(駕駛員的移動裝置)曾在車輛中出現(xiàn)時交換的密鑰對的一部分。駕駛員裝置驗證第一密鑰，并且響應(yīng)地發(fā)送第二密鑰。在219，該第二密鑰被車輛接收，且在221被驗證以用于匹配。如果匹配失敗，或者如果密鑰從未被接收，則處理可假設(shè)進(jìn)行了惡意嘗試且采取適當(dāng)措施。這也可僅在錯誤的第二密鑰被接收到的情況下發(fā)生。

密鑰處理也可能容易受到中繼攻擊的影響，通過將第一密鑰中繼到駕駛員裝置附近的裝置，隨后中繼到駕駛員裝置，使響應(yīng)密鑰(由駕駛員裝置廣播的響應(yīng)密鑰)被發(fā)送到駕駛員附近的裝置，被發(fā)送到車輛附近的中繼裝置，隨后被發(fā)送到車輛本身。

相應(yīng)地，rssi信號認(rèn)證的第三安全措施也在該示例中被采用。由于響應(yīng)于各種安全措施而從移動裝置接收到消息，因此應(yīng)存在隨著駕駛員接近車輛而增大的消息信號強(qiáng)度的可確定模式。該范圍應(yīng)從當(dāng)喚醒被最初接收到時的非常低的信號變化到當(dāng)駕駛員接近時強(qiáng)度迅速增大。識別該增強(qiáng)的信號的失敗可指示用于訪問車輛的惡意嘗試正在進(jìn)行。

在223，如果rssi簽名匹配，則在225，處理可進(jìn)行到將裝置認(rèn)證為被允許訪問請求的車輛功能。在227，來自裝置的請求的動作可隨后由車輛進(jìn)行處理。

圖3示出了用于裝置側(cè)認(rèn)證的示意性處理。針對該附圖中描述的示意性實施例，注意到的是，通用處理器可被臨時用作專用處理器，以用于執(zhí)行在此示出的部分或全部示例性方法。當(dāng)執(zhí)行提供用于執(zhí)行所述方法的部分或全部步驟的指令的代碼時，處理器可被臨時改變用途作為專用處理器，直到方法被完成時為止。在另一示例中，在適當(dāng)?shù)某潭壬?，根?jù)預(yù)配置的處理器執(zhí)行的固件可使處理器充當(dāng)被提供用于執(zhí)行所述方法或它的一些合理變型的專用處理器。

示意性處理表示示意性認(rèn)證程序的裝置側(cè)處理。如注意到的，車輛可處于休眠，直到裝置發(fā)送用于喚醒車輛的信號。在該示例中，裝置可檢測車輛的存在(通過低強(qiáng)度信號)，基于gps坐標(biāo)、持續(xù)廣播低強(qiáng)度喚醒信號或者當(dāng)裝置位于車輛附近時建立車輛通信的其他適當(dāng)方法來“知曉”車輛在附近。

在301，一旦與車輛的初始通信已被建立，則在303，處理可向車輛請求令牌。如先前說明地，響應(yīng)于該請求，車輛可生成多個令牌，且裝置應(yīng)僅回應(yīng)正確的令牌。該主題的變型(發(fā)送用于響應(yīng)的虛假數(shù)據(jù)和有效數(shù)據(jù))也是可行的。在305，當(dāng)車輛接收到令牌時，在307，車輛將每一個令牌與已知的、正確的令牌進(jìn)行比較，查找匹配。

一旦合適的令牌已被匹配，則在309，處理立刻將確認(rèn)發(fā)送到車輛。這是車輛將結(jié)合時間戳使用的確認(rèn)，以確定請求是否在合適的時間段內(nèi)被接收。

在311，裝置隨后等待來自車輛的密鑰，所述密鑰將在車輛確認(rèn)令牌響應(yīng)的正確接收的情況下被發(fā)送。在313，如果接收到的密鑰與當(dāng)裝置在車輛中時由裝置先前接收到的密鑰匹配，則在319，處理還將在321發(fā)送回第二密鑰之前檢查rssi信號強(qiáng)度變化。這樣的話，即使更聰明的黑客正在緩慢接近車輛，同時中繼信號，以模擬中繼的信號的rssi信號強(qiáng)度，駕駛員裝置也不會接收到正確增大的rssi信號(由于中繼的消息將從中繼裝置被接收到，而不是從車輛被接收到)。因此，裝置將不會發(fā)送第二密鑰，從而阻止了認(rèn)證的最后步驟的發(fā)生。所述雙側(cè)的、多格式的加密使得使用中繼攻擊來偽造認(rèn)證處理變得異常困難(如果不是不可能的話)。在313，如果接收到的密鑰與當(dāng)裝置在車輛中時由裝置先前接收到的密鑰不匹配，則在315，處理警告用戶，并且在317，處理禁用系統(tǒng)。

示意性實施例提出了用于認(rèn)證位于車輛外部的個人裝置的改進(jìn)的方法。該認(rèn)證被用于訪問各種功能，諸如，允許訪問車輛、鎖定/解鎖車門、舉升式車門和行李廂蓋。該方法利用了在每次個人裝置被檢測到在車輛內(nèi)時的關(guān)于一次性訪問代碼的問題。這通過使用以下兩者阻止了中間人攻擊：1)對車輛安全模塊發(fā)出的輪換令牌進(jìn)行及時回應(yīng)，2)與某人接近車輛的簽名相匹配的發(fā)送的電力rssi。將物理簽名與數(shù)字加密進(jìn)行結(jié)合將使得系統(tǒng)更難被暴力和中間人的途徑破解。

盡管上面描述了示例性實施例，但并不意在這些實施例描述本發(fā)明的所有可能形式。更確切地，說明書中使用的詞語為描述性詞語而非限制性詞語，并且應(yīng)理解，可在不脫離本發(fā)明的精神和范圍的情況下做出各種改變。此外，可組合各種實現(xiàn)的實施例的特征以形成本發(fā)明進(jìn)一步的實施例。