基于UDS協議的PEPS系統安全認證方法①

詹克旭

(博世華域轉向系統有限公司,上海 201821)

無鑰匙進入及啟動系統,簡稱PEPS (Passive Entry Passive Start)系統,它采用先進的RFID無線射頻技術和車輛身份編碼識別系統,實現無需按動遙控器即可進入車內以及一鍵啟動發動機等功能[1].當駕駛員攜帶智能鑰匙進入車輛附近的有效范圍內,車輛會自動檢測鑰匙并進行身份識別.如果身份識別成功,相應門鎖會解除防盜并自動打開.當駕駛員進入車內時,車輛會自動檢測鑰匙是否位于主駕位置.如果檢測成功,駕駛員想要啟動車輛,只需通過按下啟動按鈕即可.在整個開門上車到啟動車輛過程,駕駛員都無需拿出車鑰匙.PEPS系統的應用,給用戶帶來更加舒適的體驗以及更為安全的保障.與傳統的鑰匙相比,具有更高的防盜性能,并給駕駛員帶來了舒適、便利的全新駕車體驗.

1 PEPS系統構成

無鑰匙進入及啟動系統由智能鑰匙、主控制器、一鍵啟動、車門把手、電子轉向鎖( ESCL)等組成,主控制器采用LIN總線與其他模塊通訊[2,3].

1.1 LIN總線

LIN (Local Interconnect Network)是一種低成本的串行通訊網絡,用于實現汽車中的分布式電子系統控制.LIN的目標是為現有汽車網絡(例如CAN總線)提供輔助功能,因此LIN總線是一種輔助的總線網絡.在不需要CAN總線的帶寬和多功能的場合,使用LIN總線可大大節省成本[4–6].

在PEPS系統中,主控制器有三路LIN,通過三路LIN實現相應的控制功能.其系統構成如圖1所示.

圖1 LIN網絡的構成

LIN1: 實現主控制器與門鎖控制模塊(DCU)的通訊;

LIN2: 實現主控制器與電源管理單元(EBS)和發動機防盜單元(IMMO)的通訊;

LIN3: 實現主控制器與低頻控制單元(LFU)和電子轉向鎖(ESCL)的通訊.

1.2 主控制器

當拉動車門把手時,主控制器產生125 KHz低頻信號,并通過射頻接收器接收智能鑰匙發送433 MHz的高頻認證信號對智能鑰匙進行身份識別.主控制器主要實現了對射頻響應信號的接受及低頻詢問信號的產生和發送、CAN總線通信、發動機防盜認證、電源模塊和ESCL認證等功能.

1.3 智能鑰匙

為了保證在任意角度智能鑰匙均能接收到的低頻信號,智能鑰匙內安裝三維全向125 KHz的低頻接收天線.智能鑰匙驗證低頻信號合法后,為了完成身份識別,將產生433.92 MHz的高頻認證信號向外發送.

1.4 一鍵啟動

遙控鑰匙認證后,通過按下啟停按鈕啟動車輛.

1.5 門把手

門把手由一個低頻天線和微動開關組成,當駕駛員拉動汽車門把時,低頻天線產生低頻磁場在門把手周圍特定區域內發射低頻信號.

1.6 電子轉向鎖(ESCL)

電子轉向鎖通過LIN總線進行學習和通訊,轉向鎖的解鎖和閉鎖通過內置的小型電機通過驅動鎖舌的伸縮動作來實現.

2 PEPS工作原理

2.1 無鑰匙進入

當駕駛員按下門把手上的按鍵后,會觸發主控制器驅動門把手上的低頻天線發送125 KHz低頻認證信號,具有身份識別的智能鑰匙接收到低頻信號后,與智能鑰匙中保存的身份識別信息進行比較,如果一致,智能鑰匙將被喚醒.為了保證車輛發出的喚醒信號在有效范圍內的任何方位都能檢測到,智能鑰匙上采用三維全向天線能.為了提高安全性,智能鑰匙被喚醒后發送433 MHz高頻信號,這些信號都經過加密處理.車輛會將內部保存的信息同接收到的信號相比較,若相同,則表明驗證通過,進行解鎖[7].駕駛員在無需掏出鑰匙的情況下,通過拉門把手上車.無鑰匙進入工作原理見圖2所示.

圖2 無鑰匙進入工作原理

2.2 無鑰匙啟動

駕駛員進入車內后,按下啟停按鈕,主控制器驅動低頻天線向外發送125 kHz低頻信號.智能鑰匙將接收到的低頻信號與智能鑰匙保存的信息對比,識別通過后智能鑰匙發射433.92 MHz高頻加密信號.主控制器將接收到的高頻加密信號進行解密、認證.如果與系統內部的存儲信息相吻合,則表示鑰匙辨識成功.為了確保非法用戶無法使用車輛,只有當識別成功后才能啟動發動機,否則如果鑰匙識別錯誤或使用了非法鑰匙,則發動機將不能起動.再啟動發動機之前,還要進行ESCL的加密通信來驅動鎖舌至解鎖位置、EMS加密防盜通信,最后才能啟動車輛.無鑰匙啟動工作原理見圖3所示.

圖3 無鑰匙啟動工作原理

3 PEPS學習匹配

由于PEPS系統通過低頻和射頻的雙向通信,汽車與智能鑰匙之間需要完成復雜的雙向身份認證.為了保障系統的安全性,實現系統的雙向身份認證,需要在車輛和遙控鑰匙交付之前進行學習匹配工作.本系統采用基于UDS協議的診斷服務進行學習匹配,通過一定的診斷流程,將主控制器與EMS(發動機ECU)、智能鑰匙、ESCL進行學習匹配.

3.1 UDS協議

UDS協議即ISO14229統一診斷服務(Unified Diagnostic Services),是診斷服務的規范化標準,比如讀取故障碼應該向汽車ECU發什么指令,讀數據流又是發什么指令.作為診斷儀與汽車ECU之間進行診斷通信必不可少的一部分,一系列的診斷服務在診斷規范中被描述.診斷規范定義了診斷儀和汽車ECU之間的請求響應規則、以及對于請求報文汽車ECU的處理行為.汽車CAN診斷遵循ISO15765標準,其中應用層遵循ISO15765-3標準,作為CAN通訊軟件設計的一個重要部分,汽車ECU需要解析這些收到的報文,從而得出完整的診斷服務[8,9].

本系統診斷服務參考ISO 14229標準[10].為了讓汽車ECU能夠執行相應的操作,通過診斷儀(Tester)將診斷服務發送給汽車ECU.主控制器與遙控鑰匙匹配學習必須至少支持如表1所示的診斷服務.

3.1.1 診斷會話控制(10)

診斷會話控制服務由Tester發起請求,ECU響應請求,請求第一個字節為服務0x10,第二個字節為模式定義,表示ECU處于不同的診斷會話模式,在Tester請求不同模中,其中1代表默認會話模式,2代表編程模式,3代表擴展會話模式.對于本方案學習過程中使用到的安全訪問(27)和例程控制(31)必須在擴展會話模式下才能進行.

表1 診斷服務表

3.1.2 安全訪問(27)

安全訪問的引入,是為了對受限于訪問安全的一些功能進行保護,如例程控制、學習匹配等,避免對汽車的安全性造成風險.安全訪問的概念使用“種子”和“密鑰”來實現.

Tester請求ECU解鎖首先發送“RequestSeed”服務報文.ECU發送一個種子進行響應,此種子是密鑰計算算法的輸入參數.Tester使用該種子計算出相應的密鑰.

第二步,Tester通過發送包含密鑰的“SendKey”服務報文給ECU來請求比較密鑰.ECU須將此密鑰與內部存儲或計算的密鑰進行比較,如果兩數相符,ECU啟動(解鎖)Tester對特定服務和資料的訪問權限.如果兩數不相符,此訪問被認為是一次錯誤的訪問嘗試.安全訪問流程如圖4所示.

圖4 安全訪問流程

為了系統的安全性,一般采用兩級安全訪問策略,本系統匹配學習需要兩級安全進入才可以實現.

3.1.3 例程控制(31)

Tester使用本服務啟動或停止ECU內存中的例程和請求例程結果.例程由兩字節的例程標識來確定,為啟動例程,必須使用例程控制服務——啟動例程(31 01).如果ECU支持停止例程的操作,則必須使用例程控制服務——停止例程(31 02),本方案中無需停止例程操作.

根據例程標識的不同,對PEPS系統進行不同的操作,以達到學習匹配的目的.本方案將會使用到發送VIN&SC、匹配EMS、學習遙控鑰匙、復位ESCL、學習ESCL等,為了方便理解,假定以上功能對應的例程標識分別為0x0001、0x0002、0x0003、0x0004、0x0005,具體設置根據OEM來設定.

3.2 匹配EMS

在匹配主控制器和EMS時,需要學習以下數據:

1) VIN: 汽車身份識別碼,OEM定義.主控制器將VIN存在EEPROM中,通過診斷服務($22/$2E)讀取或修改

2) SC: 由VIN碼產生,用于安全進入使用.算法SC=f(VIN)由OEM控制.

3) SK: 主控制器與EMS認證的密鑰,EMS學習過程中由Tester設備隨機產生,并學習給主控制器與EMS.

4) OUTCODE為主控制器產生的隨機數,INCODE=f2(SC,OUTCODE),函數 f1()和 f2()由OEM控制.

為了保證PEPS系統的安全性,本方案采用兩級安全進入的工作方式,具體匹配EMS流程如圖5所示,具體步驟如下:

1) Tester設備一級解鎖;

2) Tester設備發送VIN碼和SC給主控制器;

3) Tester設備二級解鎖,主控制器隨機產生outcode并返回給Tester設備;

4) Tester設備根據接收到的outcode和SC計算incode,并將incode返回給主控制器;

5) 主控制器檢查incode是否合法,若不合法則此次安全進入不成功,主控制器回復負響應,等待下次學習指令,Tester設備提示“安全進入失敗”;

6) 主控制器檢查incode是否合法,若合法則此次安全進入成功,主控制器回復負響應,Tester設備提示“主控制器安全解除狀態”;

7) Tester設備接收到“主控制器安全解除狀態”信息以后,隨機產生SK,進行匹配EMS;

8) Tester設備向主控制器發匹配EMS指令,將SK信息寫入主控制器;

9) Tester設備向EMS發匹配EMS指令,將SC和SK信息寫入EMS;

10) EMS判斷SC和SK的合法性(非全0和全F),若合法則保存,并向Tester設備回復正響應.

圖5 匹配EMS

3.3 匹配鑰匙和ESCL

與匹配EMS方法相同,為了保證系統的安全性,匹配鑰匙和匹配ESCL同樣采用兩級安全進入的工作方式,具體流程如圖6所示:

1) 二級解鎖成功后進行鑰匙學習;

2) 鑰匙學習成功后進行ESCL復位命令,主控制器通過LIN總線進行LIN診斷操作來復位ESCL.

3) 復位成功后,發送ESCL學習命令,ESCL的學習通過LIN診斷實現.

圖6 匹配鑰匙和ESCL

4 實驗分析

經過UDS服務的診斷學習后,智能鑰匙已經與PEPS系統匹配成功.為了驗證經過學習匹配的智能鑰匙的功能,測試人員對無鑰匙進入和啟動功能進行了大量測試,以驗證系統的穩定性.

1) 無鑰匙進入功能: 測試人員在車門鎖好的情況下,攜帶智能鑰匙到車門前并撥動門把手,此時車門被打開.經過數次測試均能正常開啟車門,沒有出現無法開啟車門的情況,符合無鑰匙進入功能的要求;

2) 無鑰匙啟動功能: 攜帶智能鑰匙的測試人員進入車門后,按下一鍵啟動按鈕,車輛可以正常啟動.經反復多次啟動測試,車輛均能正常啟動,沒有出現無法啟動的情況,符合無鑰匙啟動功能的要求.

由于具備PEPS功能的汽車只能識別與其配對成功的智能鑰匙,本系統設計的學習匹配有一套完善的安全機制,因此其他未學習匹配的職能鑰匙并不能開啟車輛,對整車的安全性提供了保障.

經過驗證,系統運行穩定、有效性好,正確率達到了百分之百.同時,系統的安全性高,未經過學習匹配的智能鑰匙無法開啟車門,進入車輛后也無法啟動車輛.此外,該系統可以根據需要增加智能鑰匙數量,最大匹配鑰匙數量為3,系統具有良好的易用性和可擴展性等優點.

5 結論和展望

本文詳細介紹PEPS的工作原理和安全認證方法.作為實現汽車與智能鑰匙之間可以完成復雜的雙向身份認證的有效的前提,通過對UDS協議的診斷服務的詳細介紹,提供了一種有效的學習匹配方法.

UDS協議作為汽車ECU開發中必不可缺的組成部分,無論在汽車診斷、系統升級還是在學習匹配過程中,都發揮著重要的作用.一個完善的UDS協議學習匹配方法,提高了系統的易用性和安全性,對整個PEPS系統的開發有著重要的意義.基于UDS協議的PEPS系統安全認證方法在國內某平臺車型上已經得到了較好的應用,并具有高度可擴展性和可維護性.相信隨著汽車產業的不斷發展,PEPS系統會進一步的普及,本文介紹的安全性方案將會在越來越多的車型上應用.