示意性實施例總體上涉及一種用于無線車載訪問裝置認證的方法和設備。

背景技術：

隨著個人裝置變得“更智能化”和互聯(lián)化，有機會將更多智能和感應集成到車輛的內部和外部組件。現(xiàn)有的與對車輛內的個人裝置定位的能力相結合的即插即用架構允許一些非常強大的用戶交互體驗，諸如改進的無鑰匙進入的實現(xiàn)。

無鑰匙進入系統(tǒng)在汽車oem(原始設備制造商)和售后制造商中正變得普遍化。當駕駛員或擁有遙控鑰匙的某人接近車輛且足夠靠近時，來自遙控鑰匙的短程信號自動解鎖車門，而無需按壓任何按鈕。其他解決方案還提出當駕駛員離開或接近車輛時車門、舉升式車門以及行李廂蓋的自動化鎖定-解鎖。這些解決方案依靠技術的混合，范圍涉及從傳統(tǒng)的遙控鑰匙到接近傳感器或個人裝置的使用。

現(xiàn)有的用于鎖定和解鎖車門的方法容易受到中繼攻擊的影響。中繼攻擊(也稱為中間人)是特別難以阻止的，這是因為他們可通過僅在認證處理的兩端捕獲并重發(fā)信號來繞過任何加密。

在擁有遙控鑰匙的用戶接近車輛時車門解鎖的無鑰匙進入系統(tǒng)是廣為人知的且在現(xiàn)今的汽車行業(yè)中是普遍的。允許通過同時檢測遙控鑰匙和特定姿勢(諸如，在后保險杠下面的傳感器附近晃動腳)來打開車輛行李廂或舉升式車門的系統(tǒng)也是普遍的。已經(jīng)提出的還有實現(xiàn)要求用戶僅走到并停在(無需“踢”或“擺姿勢”)舉升式車門的前方的電容傳感器陣列的解決方案。

一些提出的方法還描述了當用戶離開該區(qū)域時舉升式車門或行李廂蓋也會如何自動關閉。一種甚至更包容的構思提出視覺、接近度和射頻定位追蹤的結合，以識別某人接近并停在車輛的舉升式車門的前方的運動模式。如果此人也擁有遙控鑰匙，則舉升式車門自動打開。利用個人裝置來認證用戶并根據(jù)接近和離開自動解鎖/鎖定車門的許多方法已被公開。這些方法中的大部分使用藍牙智能或類似的無線技術來檢測接近度，在一些情況下，檢測接近車輛的路線。

然而，這些解決方案存在一些限制。一些方法將僅能聯(lián)合遙控鑰匙工作。與大多數(shù)電容式實施方式類似的一些方法將在用戶離開車輛的后方時關閉舉升式車門：在物體從例如乘客座椅被轉移到行李廂的情況下，這會導致當用戶在車輛的前方與后方之間移動時多次打開和關閉蓋。所有這些方法還以駕駛員為中心，且當多個乘員一起同行時無法很好地權衡，但最重要的是，這些方法本質上對于窺探來說是不安全的。有惡意意圖的人可以容易地“破解”當前的無鑰匙進入系統(tǒng)。

技術實現(xiàn)要素：

在第一示意性實施例中，一種系統(tǒng)包括處理器，所述處理器被配置為：從移動裝置接收用于激活識別序列的請求。所述處理器還被配置為：響應于所述請求，向移動裝置發(fā)送多個帶有時間戳的識別碼。所述處理器還被配置為：在發(fā)送正確的識別碼之后，接收確認。所述處理器還被配置為：計算正確的識別碼的發(fā)送與確認被接收之間的時間延遲；在所述時間延遲低于預定義閾值的情況下，向移動裝置提供車輛系統(tǒng)訪問。

在第二示意性實施例中，一種系統(tǒng)包括移動裝置，移動裝置具有處理器，處理器被配置為：基于移動裝置位于距車輛的預定接近度內，向具有處理器的車輛無線地發(fā)送訪問請求。移動裝置的處理器還被配置為：向車輛請求認證碼。移動裝置的處理器還被配置為：從車輛無線地接收一系列認證碼；當確定來自所述一系列認證碼的正確認證碼已被接收時，利用確認來回應車輛。

在第三示意性實施例中，提供了一種計算機實現(xiàn)的方法，所述方法包括：從移動裝置接收用于激活識別序列的請求。所述方法還包括：響應于所述請求，向移動裝置發(fā)送多個帶有時間戳的識別碼。所述方法還包括：在發(fā)送正確的識別碼之后，接收確認。此外，所述方法包括：計算正確的識別碼的發(fā)送與確認被接收之間的時間延遲。所述方法還包括：從移動裝置接收密鑰代碼；將所述密鑰代碼與當移動裝置先前出現(xiàn)在車輛內時與移動裝置交換的代碼進行比較。此外，所述方法包括：測量從移動裝置成功接收到的多個無線信號的強度。另外，所述方法包括：在所述時間延遲低于預定義閾值、驗證了密鑰代碼以及測量的所述多個無線信號的信號強度與增強的信號強度的預定義模式相匹配的情況下，向移動裝置提供車輛系統(tǒng)訪問。

根據(jù)本發(fā)明的一個實施例，所述方法還包括：如果所述時間延遲不低于所述預定義閾值、所述密鑰代碼未被驗證或者測量的所述多個無線信號的信號強度與增強的信號強度的所述預定義模式不匹配，則向移動裝置發(fā)送警告。

附圖說明

圖1示出了示意性的車輛計算系統(tǒng)；

圖2示出了用于車輛側裝置認證的示意性處理；

圖3示出了用于裝置側認證的示意性處理。

具體實施方式

根據(jù)需要，在此公開本發(fā)明的具體實施例；然而，應理解的是，所公開的實施例僅為本發(fā)明的示例，其可以以多種可替代形式實施。附圖無需按比例繪制；可夸大或最小化一些特征以示出特定組件的細節(jié)。因此，此處所公開的具體結構和功能細節(jié)不應被解釋為限制，而僅僅作為用于教導本領域技術人員以多種形式利用本發(fā)明的代表性基礎。

圖1示出了用于車輛31的基于車輛的計算系統(tǒng)(vcs)1的示例框式拓撲圖。這種基于車輛的計算系統(tǒng)1的示例為由福特汽車公司制造的sync系統(tǒng)。設置有基于車輛的計算系統(tǒng)的車輛可包含位于車輛中的可視前端界面4。如果所述界面設置有例如觸摸敏感屏幕，則用戶還能夠與所述界面進行交互。在另一示意性實施例中，通過按鈕按壓或具有自動語音識別和語音合成的口語會話系統(tǒng)來進行交互。

在圖1所示的示意性實施例1中，處理器3控制基于車輛的計算系統(tǒng)的至少一部分操作。設置在車輛內的處理器允許對命令和例程進行車載處理。另外，處理器連接到非持久性存儲器5和持久性存儲器7兩者。在此示意性實施例中，非持久性存儲器是隨機存取存儲器(ram)，持久性存儲器是硬盤驅動器(hdd)或閃存。一般說來，持久性(非暫時性)存儲器可包括當計算機或其它裝置掉電時保持數(shù)據(jù)的所有形式的存儲器。這些存儲器包括但不限于：hdd、cd、dvd、磁帶、固態(tài)驅動器、便攜式usb驅動器和任何其它適當形式的持久性存儲器。

處理器還設置有允許用戶與處理器進行交互的若干不同的輸入。在此示意性實施例中，麥克風29、輔助輸入25(用于輸入33)、usb輸入23、gps輸入24、屏幕4(可為觸摸屏顯示器)和藍牙輸入15全部被提供。還提供輸入選擇器51，以允許用戶在各種輸入之間進行切換。對于麥克風和輔助連接器兩者的輸入在被傳送到處理器之前，由轉換器27對所述輸入進行模數(shù)轉換。盡管未示出，但是與vcs進行通信的眾多車輛組件和輔助組件可使用車輛網(wǎng)絡(諸如但不限于can總線)向vcs(或其組件)傳送數(shù)據(jù)并傳送來自vcs(或其組件)的數(shù)據(jù)。

系統(tǒng)的輸出可包括但不限于視覺顯示器4以及揚聲器13或立體聲系統(tǒng)輸出。揚聲器連接到放大器11，并通過數(shù)模轉換器9從處理器3接收其信號。還可分別沿19和21所示的雙向數(shù)據(jù)流產(chǎn)生到遠程藍牙裝置(諸如個人導航裝置(pnd)54)或usb裝置(諸如車輛導航裝置60)的輸出。

在一示意性實施例中，系統(tǒng)1使用藍牙收發(fā)器15與用戶的移動裝置53(例如，蜂窩電話、智能電話、pda或具有無線遠程網(wǎng)絡連接能力的任何其它裝置)進行通信(17)。移動裝置隨后可被用于通過例如與蜂窩塔57的通信(55)來與車輛31外部的網(wǎng)絡61進行通信(59)。在一些實施例中，蜂窩塔57可以是wifi接入點。

移動裝置與藍牙收發(fā)器之間的示例性通信由信號14表示。

可通過按鈕52或類似的輸入來指示移動裝置53與藍牙收發(fā)器15進行配對。相應地，cpu被指示使得車載藍牙收發(fā)器將與移動裝置中的藍牙收發(fā)器進行配對。

可利用例如與移動裝置53關聯(lián)的數(shù)據(jù)計劃、話上數(shù)據(jù)或dtmf音在cpu3與網(wǎng)絡61之間傳送數(shù)據(jù)?？蛇x地，可期望包括具有天線18的車載調制解調器63以便在cpu3與網(wǎng)絡61之間通過語音頻帶傳送數(shù)據(jù)(16)。移動裝置53隨后可被用于通過例如與蜂窩塔57的通信(55)來與車輛31外部的網(wǎng)絡61進行通信(59)。在一些實施例中，調制解調器63可與蜂窩塔57建立通信20，以與網(wǎng)絡61進行通信。作為非限制性示例，調制解調器63可以是usb蜂窩調制解調器，并且通信20可以是蜂窩通信。

在一個示意性實施例中，處理器設置有包括用于與調制解調器應用軟件進行通信的api的操作系統(tǒng)。調制解調器應用軟件可訪問藍牙收發(fā)器上的嵌入式模塊或固件，以完成與(諸如在移動裝置中發(fā)現(xiàn)的)遠程藍牙收發(fā)器的無線通信。藍牙是ieee802pan(個域網(wǎng))協(xié)議的子集。ieee802lan(局域網(wǎng))協(xié)議包括wifi并與ieee802pan具有相當多的交叉功能。兩者都適合于車輛內的無線通信?？稍谠擃I域使用的另一通信方式是自由空間光通信(諸如irda)和非標準化消費者紅外(ir)協(xié)議。

在另一實施例中，移動裝置53包括用于語音頻帶或寬帶數(shù)據(jù)通信的調制解調器。在話上數(shù)據(jù)的實施例中，當移動裝置的所有者可在數(shù)據(jù)被傳送的同時通過裝置說話時，可實施已知為頻分復用的技術。在其它時間，當所有者沒有在使用裝置時，數(shù)據(jù)傳送可使用整個帶寬(在一個示例中是300hz至3.4khz)。盡管頻分復用對于車輛與互聯(lián)網(wǎng)之間的模擬蜂窩通信而言會是常見的并仍在被使用，但其已經(jīng)很大程度上被用于數(shù)字蜂窩通信的碼域多址(cdma)、時域多址(tdma)、空域多址(sdma)的混合體所替代。這些都是ituimt-2000(3g)兼容的標準，為靜止或步行的用戶提供高達2mbps的數(shù)據(jù)速率，并為在移動的車輛中的用戶提供高達385kbps的數(shù)據(jù)速率。3g標準現(xiàn)在正被imt-advanced(4g)所替代，其中，所述imt-advanced(4g)為在車輛中的用戶提供100mbps的數(shù)據(jù)速率，并為靜止的用戶提供1gbps的數(shù)據(jù)速率。如果用戶具有與移動裝置53關聯(lián)的數(shù)據(jù)計劃，則所述數(shù)據(jù)計劃可允許寬帶傳輸且系統(tǒng)可使用寬得多的帶寬(加速數(shù)據(jù)傳送)。在另一實施例中，移動裝置53被安裝至車輛31的蜂窩通信裝置(未示出)所替代。在另一實施例中，移動裝置(nd)53可以是能夠通過例如(而不限于)802.11g網(wǎng)絡(即wifi)或wimax網(wǎng)絡進行通信的無線局域網(wǎng)(lan)裝置。

在一個實施例中，傳入數(shù)據(jù)可經(jīng)由話上數(shù)據(jù)或數(shù)據(jù)計劃通過移動裝置，通過車載藍牙收發(fā)器，并進入車輛的內部處理器3。例如，在某些臨時數(shù)據(jù)的情況下，數(shù)據(jù)可被存儲在hdd或其它存儲介質7上，直至不再需要所述數(shù)據(jù)時為止。

可與車輛進行接口連接的其它的源包括：具有例如usb連接56和/或天線58的個人導航裝置54、具有usb62或其它連接的車輛導航裝置60、車載gps裝置24或具有與網(wǎng)絡61的連接的遠程導航系統(tǒng)(未示出)。usb是一類串行聯(lián)網(wǎng)協(xié)議中的一種。ieee1394(火線^tm(蘋果)、i.link^tm(索尼)和lynx^tm(德州儀器))、eia(電子工業(yè)協(xié)會)串行協(xié)議、ieee1284(centronics端口)、s/pdif(索尼/飛利浦數(shù)字互連格式)和usb-if(usb開發(fā)者論壇)形成了裝置-裝置串行標準的骨干。多數(shù)協(xié)議可針對電通信或光通信來實施。

此外，cpu可與各種其它的輔助裝置65進行通信。這些裝置可通過無線連接67或有線連接69來連接。輔助裝置65可包括但不限于個人媒體播放器、無線保健裝置、便攜式計算機等。

此外或可選地，可使用例如wifi(ieee803.11)收發(fā)器71將cpu連接到基于車輛的無線路由器73。這可允許cpu在本地路由器73的范圍內連接到遠程網(wǎng)絡。

除了由位于車輛中的車輛計算系統(tǒng)執(zhí)行示例性處理之外，在某些實施例中，還可由與車輛計算系統(tǒng)通信的計算系統(tǒng)來執(zhí)行示例性處理。這樣的系統(tǒng)可包括但不限于：無線裝置(例如而非限制，移動電話)或通過無線裝置連接的遠程計算系統(tǒng)(例如而非限制，服務器)。這樣的系統(tǒng)可被統(tǒng)稱為與車輛關聯(lián)的計算系統(tǒng)(vacs)。在某些實施例中，vacs的特定組件可根據(jù)系統(tǒng)的特定實施而執(zhí)行處理的特定部分。通過示例而并非限制的方式，如果處理具有與配對的無線裝置進行發(fā)送或者接收信息的步驟，則很可能由于無線裝置不會與自身進行信息的“發(fā)送和接收”而使得無線裝置不執(zhí)行該處理的這一部分。本領域的普通技術人員將理解何時不適合對給定解決方案應用特定的計算系統(tǒng)。

在此討論的示意性實施例中的每一個實施例中，示出了可由計算系統(tǒng)執(zhí)行的處理的示例性的、非限制的示例。針對每個處理，執(zhí)行處理的計算系統(tǒng)可能出于執(zhí)行處理的有限目的而變成被配置為專用處理器以執(zhí)行處理。所有的處理不需要全部被執(zhí)行，并且被理解為可被執(zhí)行以實現(xiàn)本發(fā)明的要素的處理類型的示例?？筛鶕?jù)需要向示例性處理添加額外的步驟或從示例性處理去除額外的步驟。

示意性實施例提出了利用物理屬性、嚴格定時和電力簽名(powersignature)的改進的遠程訪問功能(例如，非限制性地，鎖定和解鎖)。這些示意性示例和類似示例更難以(如果并非不可能的話)利用中繼攻擊進行復制。

示意性框架可被用于建立更安全的、更加用戶友好的交互范例，以用于無鑰匙進入和車輛封閉結構(諸如，車門、舉升式車門和行李廂蓋)的自動鎖定-解鎖：一次性認證密鑰在駕駛員每次進入車輛并駛離時被交換。但是，該方法仍然容易受到中繼攻擊。中繼攻擊(也稱為中間人)是特別難以阻止的，這是因為他們可通過僅在認證過程處理的兩端捕獲并重發(fā)信號來繞過任何加密。

示意性示例描述了用于安全地認證位于車輛外部的個人裝置的方法。安全認證有益于使用個人裝置獲得對車輛的關鍵功能(諸如，解鎖車門、啟動發(fā)動機、降低車窗等(由于察覺到惡意復制會允許對車輛的訪問或者甚至是車輛的控制，所以這些功能是關鍵的))的訪問權。

示意性實施例采用下面的方法，一旦個人裝置被識別為位于車輛內的特定座椅位置且車輛處于移動中，則所述方法使用在個人裝置與車輛之間進行交換的一次性加密密鑰配對。系統(tǒng)很難“侵入”，這是因為其依賴于信號強度的物理測量，而不是依賴于可能更容易偽造的數(shù)字數(shù)據(jù)包。然而，即使是一次性使用的加密密鑰也容易受到有效執(zhí)行的中繼攻擊的攻擊。

例如，考慮車主和車輛處在分離的位置的情況。車輛附近的盜賊捕獲來自車輛的通信信號并通過長距離通信鏈路將通信信號發(fā)送給車主附近的第二個盜賊。第二個盜賊將該信號發(fā)送給車主，捕獲車主的個人裝置響應，并將個人裝置響應發(fā)送回給第一個盜賊。第一個盜賊將個人裝置響應發(fā)送到車輛，認證完成，無需破解任何加密。有時候在兩個位置之間需要一次以上的循環(huán)，但是這不能彌補該問題的嚴重性。

破解中繼攻擊的穩(wěn)健方式是在認證處理中嵌入用于“匹配”與數(shù)字加密無關的一些物理參數(shù)的要求。這種額外的物理信息可以是定時、信號強度或者其它參數(shù)。

示意性示例始于當駕駛員被識別為在車輛內時交換一次性加密代碼。除了交換一次性代碼，個人裝置和車輛安全模塊還交換識別令牌。由于被用于檢測個人裝置的位置的rssi信號在嘗試未被檢測到的情況下無法被偽造，所以這種交換是安全的。

當駕駛員離開車輛時，認證方法對于中間人攻擊來說容易受到攻擊。然而，示意性認證方法可檢測中繼攻擊，并成功地阻止其完成。也可向駕駛員和/或警察警告失敗的嘗試。

當個人裝置距車輛短距離時，個人裝置請求車輛發(fā)起識別序列。此時，車輛從休眠狀態(tài)喚醒并開始通過ble或者其他通信鏈路發(fā)送識別碼的帶時間戳的隨機序列。由于與經(jīng)過每個扇區(qū)時產(chǎn)生不同符號的紡車(spinningwheel)類似，因此這個階段可被稱作“紡車”。注意到的是，車輛可能被中繼攻擊“欺騙”而發(fā)起識別序列。

個人裝置掃描從車輛接收的令牌的識別序列，并且當正確的令牌與一次性令牌匹配時，立即發(fā)送確認(ack)。ack消息也可能被中間人攻擊捕獲。

當車輛從個人裝置接收到ack時，車輛計算從正確的令牌最初被發(fā)送的時刻到接收到ack的時刻的延遲。該時間間隔必須小于閾值。中間人攻擊會導致可能使得該條件失敗的延遲，車輛安全模塊會知道有人曾試圖非法侵入系統(tǒng)，并且消息可被發(fā)送給車主和/或警察。

一次性代碼自動化訪問可被取消，且當車主下一次需要訪問車輛時，他/她需要物理地按壓個人裝置上的按鈕。如果該階段成功完成，則車輛安全模塊向個人裝置發(fā)送其加密密鑰。個人裝置接收并匹配加密密鑰。如果成功，則一次性加密密鑰的再次配對被發(fā)送到車輛。如果交換的所有數(shù)據(jù)匹配，則個人裝置被認證且被給予對車輛的特定功能的訪問權。

為了使得認證過程甚至更加穩(wěn)健，從個人裝置到車輛上的多個模塊的消息的信號強度(rssi)可被要求匹配某人走向車輛的簽名模式。相反地，裝置也可使用從模塊發(fā)送的消息的電力簽名以識別中間人攻擊。rssi應隨著帶有個人裝置的車主靠近車輛而增大。該增大應隨裝置變得越靠近車輛而變得更強。如果發(fā)送到車輛安全模塊的/從車輛安全模塊接收的過濾的信號滿足下面三個屬性(例如如下)，則信號可被確認：

1、信號應在組合信道的均值上單調增大。

2、信號應在小于預定時間間隔的時間間隔內從閾值1增大到閾值2。

3、信道信號分布應為這兩種模式之一：

a、同側的兩個信道比相對側的兩個信道具有一致更大的信號；或者

b、一個信道比兩個相鄰信道具有更大的信號，且甚至比相對信道具有更大的信號(當以某角度接近時)。

這些rssi模式符合移動裝置接近車輛，這與駕駛員正接近的意圖是一致的，而與遠程源試圖偽造信號相悖。

圖2示出了用于車輛側裝置認證的示意性處理。針對該附圖中描述的示意性實施例，注意到的是，通用處理器可被臨時用作專用處理器，以用于執(zhí)行在此示出的部分或全部示例性方法。當執(zhí)行提供用于執(zhí)行所述方法的部分或全部步驟的指令的代碼時，處理器可被臨時改變用途作為專用處理器，直到方法完成時為止。在另一示例中，在適當?shù)某潭壬希鶕?jù)預配置的處理器執(zhí)行的固件可使處理器充當被提供用于執(zhí)行所述方法或它的一些合理變型的專用處理器。

在該示意性示例中，當駕駛員接近車輛時處理開始。車輛可通常保持在休眠狀態(tài)，以防止電池因一直搜索駕駛員裝置而耗盡。然而，在該示例中，接收到來自駕駛員裝置的請求可使得車輛喚醒以開始認證處理。駕駛員裝置可通過例如接收到車輛識別信號或者基于與駕駛員裝置坐標比較的已知車輛gps坐標來識別駕駛員裝置與車輛的接近度。

在201，當車輛接收到令牌請求或者其他喚醒命令時，認證處理可在車輛側開始。一旦請求開始，則在203，車輛側處理生成一系列令牌，將它們發(fā)送到車輛。這些令牌中的許多是無效的，用于抵御欺騙嘗試的目的而被發(fā)送。這些無效令牌將在被駕駛員裝置接收時被忽略。針對發(fā)送的每個令牌，在205，時間戳被記錄。這將用于下面描述的認證處理步驟。

一旦駕駛員裝置接收到正確的令牌，而不是被設計為包裝攻擊者的虛假令牌，則在207駕駛員裝置可發(fā)送回確認。如果車輛接收到確認，則兩個事項可被考慮。首先是針對正確令牌的確認。如果虛假令牌被確認，則處理可將該確認視為惡意訪問車輛的嘗試，且至少臨時禁用遠程訪問。

然而，更復雜的黑客可能能夠例如通過將生成的令牌從車輛附近的裝置轉發(fā)到駕駛員附近的裝置來對正確的令牌做出回應。這樣模仿了駕駛員在車輛附近，并可以使駕駛員裝置對正確的令牌做出回應(正確的令牌隨后從駕駛員附近的裝置被轉發(fā)到車輛附近的黑客裝置，隨后回到車輛)。然而，所有的傳輸需要一定有限時間段。存在標準時間間隔，在標準時間間隔內駕駛員裝置(如果確實在車輛附近)將會回應請求。如果響應于發(fā)送的令牌而發(fā)送的響應令牌不正確，或者如果在211用于回應正確令牌的時間間隔209太長，則在213，車輛可直接向駕駛員裝置、監(jiān)測服務、安全服務等發(fā)送警報。在215，處理還可隨后禁用嘗試被訪問的車輛服務的遠程使用，以及其他服務(如果需要)。此時，通過物理地解鎖車輛，駕駛員將能夠進入(或者使用超馳代碼或其他不可復制的安全措施)。

然而，處理不止使用時間間隔以及正確密鑰的選擇以用于認證。下一個步驟是將第一密鑰發(fā)送到車輛(217)。這是當移動裝置(駕駛員的移動裝置)曾在車輛中出現(xiàn)時交換的密鑰對的一部分。駕駛員裝置驗證第一密鑰，并且響應地發(fā)送第二密鑰。在219，該第二密鑰被車輛接收，且在221被驗證以用于匹配。如果匹配失敗，或者如果密鑰從未被接收，則處理可假設進行了惡意嘗試且采取適當措施。這也可僅在錯誤的第二密鑰被接收到的情況下發(fā)生。

密鑰處理也可能容易受到中繼攻擊的影響，通過將第一密鑰中繼到駕駛員裝置附近的裝置，隨后中繼到駕駛員裝置，使響應密鑰(由駕駛員裝置廣播的響應密鑰)被發(fā)送到駕駛員附近的裝置，被發(fā)送到車輛附近的中繼裝置，隨后被發(fā)送到車輛本身。

相應地，rssi信號認證的第三安全措施也在該示例中被采用。由于響應于各種安全措施而從移動裝置接收到消息，因此應存在隨著駕駛員接近車輛而增大的消息信號強度的可確定模式。該范圍應從當喚醒被最初接收到時的非常低的信號變化到當駕駛員接近時強度迅速增大。識別該增強的信號的失敗可指示用于訪問車輛的惡意嘗試正在進行。

在223，如果rssi簽名匹配，則在225，處理可進行到將裝置認證為被允許訪問請求的車輛功能。在227，來自裝置的請求的動作可隨后由車輛進行處理。

圖3示出了用于裝置側認證的示意性處理。針對該附圖中描述的示意性實施例，注意到的是，通用處理器可被臨時用作專用處理器，以用于執(zhí)行在此示出的部分或全部示例性方法。當執(zhí)行提供用于執(zhí)行所述方法的部分或全部步驟的指令的代碼時，處理器可被臨時改變用途作為專用處理器，直到方法被完成時為止。在另一示例中，在適當?shù)某潭壬希鶕?jù)預配置的處理器執(zhí)行的固件可使處理器充當被提供用于執(zhí)行所述方法或它的一些合理變型的專用處理器。

示意性處理表示示意性認證程序的裝置側處理。如注意到的，車輛可處于休眠，直到裝置發(fā)送用于喚醒車輛的信號。在該示例中，裝置可檢測車輛的存在(通過低強度信號)，基于gps坐標、持續(xù)廣播低強度喚醒信號或者當裝置位于車輛附近時建立車輛通信的其他適當方法來“知曉”車輛在附近。

在301，一旦與車輛的初始通信已被建立，則在303，處理可向車輛請求令牌。如先前說明地，響應于該請求，車輛可生成多個令牌，且裝置應僅回應正確的令牌。該主題的變型(發(fā)送用于響應的虛假數(shù)據(jù)和有效數(shù)據(jù))也是可行的。在305，當車輛接收到令牌時，在307，車輛將每一個令牌與已知的、正確的令牌進行比較，查找匹配。

一旦合適的令牌已被匹配，則在309，處理立刻將確認發(fā)送到車輛。這是車輛將結合時間戳使用的確認，以確定請求是否在合適的時間段內被接收。

在311，裝置隨后等待來自車輛的密鑰，所述密鑰將在車輛確認令牌響應的正確接收的情況下被發(fā)送。在313，如果接收到的密鑰與當裝置在車輛中時由裝置先前接收到的密鑰匹配，則在319，處理還將在321發(fā)送回第二密鑰之前檢查rssi信號強度變化。這樣的話，即使更聰明的黑客正在緩慢接近車輛，同時中繼信號，以模擬中繼的信號的rssi信號強度，駕駛員裝置也不會接收到正確增大的rssi信號(由于中繼的消息將從中繼裝置被接收到，而不是從車輛被接收到)。因此，裝置將不會發(fā)送第二密鑰，從而阻止了認證的最后步驟的發(fā)生。所述雙側的、多格式的加密使得使用中繼攻擊來偽造認證處理變得異常困難(如果不是不可能的話)。在313，如果接收到的密鑰與當裝置在車輛中時由裝置先前接收到的密鑰不匹配，則在315，處理警告用戶，并且在317，處理禁用系統(tǒng)。

示意性實施例提出了用于認證位于車輛外部的個人裝置的改進的方法。該認證被用于訪問各種功能，諸如，允許訪問車輛、鎖定/解鎖車門、舉升式車門和行李廂蓋。該方法利用了在每次個人裝置被檢測到在車輛內時的關于一次性訪問代碼的問題。這通過使用以下兩者阻止了中間人攻擊：1)對車輛安全模塊發(fā)出的輪換令牌進行及時回應，2)與某人接近車輛的簽名相匹配的發(fā)送的電力rssi。將物理簽名與數(shù)字加密進行結合將使得系統(tǒng)更難被暴力和中間人的途徑破解。

盡管上面描述了示例性實施例，但并不意在這些實施例描述本發(fā)明的所有可能形式。更確切地，說明書中使用的詞語為描述性詞語而非限制性詞語，并且應理解，可在不脫離本發(fā)明的精神和范圍的情況下做出各種改變。此外，可組合各種實現(xiàn)的實施例的特征以形成本發(fā)明進一步的實施例。