车载蓝牙数字钥匙系统的超宽带辅助测距与抗中继攻击框架

车载蓝牙数字钥匙系统的超宽带辅助测距与抗中继攻击框架

随着蓝牙低功耗（BLE）技术在汽车数字钥匙领域的普及，基于智能手机的被动无钥匙进入系统（Passive Keyless Entry, PKE）已成为主流。然而，经典的中继攻击（Relay Attack）能够通过延长通信链路欺骗车辆，使其认为合法钥匙就在附近。本文基于蓝牙技术联盟（SIG）的最新规范，结合超宽带（UWB）精确测距特性，提出一种抗中继攻击的混合测距框架。该框架利用BLE 6.0的信道探测（Channel Sounding）能力与UWB的飞行时间（ToF）测量，实现厘米级安全定位。

1. 威胁模型与中继攻击原理

中继攻击不依赖于破解加密协议，而是通过两个攻击设备（中继器）在合法钥匙与车辆之间建立双向物理层中继。攻击者将车辆侧的挑战信号放大并转发至远处的钥匙，再将钥匙的响应信号回传至车辆，从而欺骗车辆认为钥匙位于有效解锁范围内（通常为1-2米）。传统的BLE RSSI测距极易被此类攻击欺骗，因为RSSI受环境衰减影响大，无法区分信号是否经过中继。

为了对抗此类攻击，系统必须测量信号的绝对往返时间（Round-Trip Time, RTT）或单向飞行时间（One-Way Time, OWT），并验证信号传播路径的物理真实性。蓝牙6.0引入的信道探测（Channel Sounding）功能提供了基于相位测距（PBR）和RTT的安全测距基础，但其在复杂多径环境下的精度仍有局限。

2. 系统架构：BLE与UWB双模协同

本文提出的框架采用双模架构，将BLE作为控制与协商信道，UWB作为高精度安全测距信道。车辆端部署至少三个UWB锚点（Anchor），智能手机端集成BLE+UWB组合芯片（如Silicon Labs的SiBG301系列SoC）。SiBG301支持BLE 6.0与UWB双协议栈，其内置的硬件安全引擎可加速加密运算。

系统工作流程分为三个阶段：

• 阶段一：BLE链路建立与密钥协商 - 车辆广播BLE连接请求，手机响应后通过ECDH密钥交换建立安全会话。
• 阶段二：UWB测距初始化 - 车辆通过BLE向手机发送UWB测距参数（信道、脉冲重复频率、STS种子）。
• 阶段三：抗中继测距与验证 - 执行基于加密时间戳的UWB ToF测量，并利用BLE信道探测结果进行交叉校验。

3. 核心协议设计：加密时间戳与STS

抗中继攻击的关键在于确保测距请求与响应之间的时间差无法被攻击者伪造。本框架采用加扰时间戳序列（Scrambled Timestamp Sequence, STS）技术。每个UWB测距帧携带一个由共享密钥生成的伪随机时间戳，接收方必须能够正确解码该时间戳才能计算ToF。

以下为车辆端UWB测距请求帧的生成伪代码示例：

// 伪代码：车辆端UWB测距请求生成
#define STS_KEY_LEN 16
#define STS_SEED_LEN 4

bool generate_uwb_ranging_request(uint8_t *sts_key, uint32_t frame_seq) {
    uint8_t sts_seed[STS_SEED_LEN];
    uint8_t sts_value[STS_KEY_LEN];
    
    // 1. 基于帧序号和共享密钥生成STS种子
    hmac_sha256(sts_key, sizeof(sts_key), &frame_seq, sizeof(frame_seq), sts_seed);
    
    // 2. 扩展种子为完整的STS序列（用于UWB帧的加密时间戳）
    aes_ctr_encrypt(sts_seed, STS_SEED_LEN, sts_value, STS_KEY_LEN);
    
    // 3. 构造UWB帧：前导码 + STS字段 + 有效载荷
    uwb_frame_t frame;
    frame.preamble = UWB_PREAMBLE_STANDARD;
    frame.sts = sts_value;  // 将STS嵌入帧中
    frame.payload = NULL;   // 可选：携带挑战值
    
    return uwb_send_frame(&frame);
}

手机端收到该帧后，必须使用相同的sts_key和frame_seq计算预期的STS值，并与接收到的STS进行比对。如果匹配，则记录精确的接收时间戳t1；随后手机立即发送响应帧，并记录发送时间戳t2。车辆收到响应后记录接收时间戳t3。最终，往返时间RTT = (t3 - t1) - (t2 - t1) - 处理延迟。攻击者无法预知STS序列，因此无法在合法时间内构造虚假响应，从而阻止中继攻击。

4. 多径抑制与视线检测

UWB测距精度受多径传播影响严重。在停车场等密集反射环境中，非视线（NLOS）路径可能导致测距误差超过1米。本框架引入信道脉冲响应（Channel Impulse Response, CIR）分析来检测视线（LOS）条件。车辆端UWB接收器在每次测距后提取CIR波形，并计算以下指标：

• 峰值功率比（Peak Power Ratio）：首径功率与最强多径功率之比。若比值大于阈值（如6 dB），判定为LOS。
• 均方根时延扩展（RMS Delay Spread）：反映多径弥散程度。RMS值小于20 ns时通常为LOS。

实验数据表明，在LOS条件下，UWB ToF测距的均方根误差（RMSE）可控制在10 cm以内；而在NLOS条件下，误差可能增加至50 cm以上。系统在检测到NLOS时，应降低信任等级，并要求用户靠近车辆或使用备用BLE信道探测数据进行加权融合。

5. 性能分析与安全评估

我们使用Silicon Labs SiBG301开发板进行了实测。测试环境包括：空旷停车场（LOS）和地下车库（NLOS）。测距更新率为10 Hz，每次测距包含8个脉冲。

从性能数据可以看出，UWB在LOS环境下实现了厘米级精度，而BLE信道探测在NLOS环境下误差显著增大。抗中继攻击方面，UWB的加密STS机制从根本上阻止了时间戳伪造，而BLE 6.0的信道探测虽然引入了相位跳变检测，但仍可能被高级中继器通过相位补偿方式绕过。

综合来看，本框架通过BLE进行低功耗协商与密钥分发，利用UWB的物理层加密测距实现安全定位，并结合CIR分析进行多径抑制，能够有效抵御中继攻击。未来工作将聚焦于降低UWB功耗（目标：平均电流<50 mA @ 10 Hz）以及优化多锚点融合算法，以实现更鲁棒的室内外无缝定位。

💬 欢迎到论坛参与讨论： 点击这里分享您的见解或提问