Startseite > Automotive > Infotainment > Bluetooth Channel Sounding für Automotive Smart Keys

Sicherheit bei modernen Zugangsmethoden

Bluetooth Channel Sounding für Automotive Smart Keys

10. März 2026, 16:30 Uhr | Autor: Rudi Latuske, Redaktion: Irina Hübner

Lokalisierung in Logistik, Industrie und Automobilindustrie erfordert genaue und sichere Lösungen. Dabei geht es auch um die Sicherheit. Nicht autorisierte Teilnehmer sollen keinen Zugriff auf Lokalisierungsdaten haben. Das gilt besonders für moderne Zugangsmethoden wie Smart Keys.

▶ Diesen Artikel anhören

In der Bluetooth Core Spezifikation V6.0 vom August 2024 wurde Bluetooth LE Channel Sounding (CS) vorgestellt. CS besitzt Funktionen für die Lokalisierung. Im Folgenden wird ein Überblick über die Arbeitsweise und die Anwendungen von CS gegeben.

Architektur und PHY-Layer

Mit CS ist eine genaue und sichere Lokalisierung möglich. Die Entfernungsmessung wird verbindungsorientiert zwischen zwei Geräten durchgeführt. Das Device, welches die Entfernung von sich zu einem anderen Gerät messen möchte, ist der Initiator, das andere Device ist der Reflektor. In der Topologie von Bluetooth können die CS-Device-Varianten vom Central oder vom Peripheral übernommen werden.

Für die Übertragung der CS-Signale gibt es 72 Kanäle mit 1 MHz Bandbreite. Zwischen Initiator und Reflektor wird eine Channel Map vereinbart, das heißt die Kanäle werden als geeignet, ungeeignet und reserviert markiert. Damit werden lokale Ausbreitungsbedingungen und Störungen des Funkkanals berücksichtigt. Für die Auswahl der Kanäle wurden drei Channel-Selection-Algorithmen (CSA 3a, 3b und 3c) definiert. Die Verwendung des jeweiligen CSA hängt vom CS Mode ab. Ausschließlich für CS wurde der LE PHY Layer 2M 2BT mit 2 Msym/s eingeführt. Die Signale sind damit schmaler und rechteckiger.

Pakete, Prozeduren, Modes und Tones

CS wird in Prozeduren ausgeführt. Jede Prozedur besteht aus einer Reihe von Events. Jedes Event besteht aus Subevents, diese wiederum aus Steps. Innerhalb der Steps werden die Sende- (Tx-) und Empfangs- (Rx-)Operationen ausgeführt. Ein Subevent muss mindestens zwei Steps haben. Der Maximalwert sind 160 Steps in einem Subevent. Eine Prozedur beinhaltet maximal 256 Steps. Bild 1 zeigt die Struktur der CS-Prozeduren. In einem Step werden CS-Sync-Pakete übertragen. Für Phase Based Ranging werden CS Tones übertragen. Die CS-Sync-Pakete werden mit dem LE 1M, LE 2M oder dem LE 2M PHY Layer und GFSK für Round Trip Timing übertragen. Der CS Tone verwendet Amplitude Shift Keying (ASK), um Symbole mit fester Frequenz für Phase Based Ranging zu generieren. Steps haben vier Modes. Jeder Mode steht für eine Messvariante bzw. die Kalibrierung.

Mode 0 Step (Mandatory) für die Kalibrierung
Mode 1 Step (Mandatory) für RTT
Mode 2 Step (Mandatory) für PBR
Mode 3 Step (Optional) für PBR und RTT

Der verwendete Step hängt von den definierten Regeln und Devices ab. Modes können miteinander kombiniert werden. Eine größere Anzahl von Prozeduren liefert mehr Messwerte und verbessert die Genauigkeit. Gleichzeitig verlängert sich aber die Dauer der Messung. Der Ablauf ist wie folgt:

Ein oder mehrere Mode 0 Steps starten das Subevent
Ausführung mehrerer Mode Steps
Ein einzelner Sub Mode Step wird ausgeführt

Entfernungsmessung

Für die Entfernungsmessung werden zwei Verfahren verwendet:

Phase-Based Ranging (PBR)
Round-Trip Timing (RTT)

Bevor CS angewendet werden kann, bauen Initiator und Reflektor eine verschlüsselte Verbindung auf. Einer der ersten Schritte ist die Ausführung der Security Start Prozedur inklusive Übertragung diverser Werte. Dabei werden Lower-Layer-Informationen über die Unterstützung von Features der Geräte übertragen. Die Schritte für die Vorbereitung von CS sind:

Start der Security Prozeduren
Austausch der Device Features
Konfiguration der Devices
Start von CS

Bei PBR wird die Phase (Winkel) zwischen 0 und 360 Grad zweier Funksignale verglichen. Der Ablauf von PBR ist wie folgt:

Der Initiator sendet ein Signal mit der Frequenz (f1) und Phase (p1) an den Reflektor.
Der Reflektor sendet ein Signal mit der Frequenz (f1) und Phase (p1) des empfangenen Signals an den Initiator.
Der Initiator misst die Phase (p1) des empfangenen Signals (f1).
Der Initiator sendet ein Signal mit der Frequenz (f2) und Phase (p2) an den Reflektor.
Der Reflektor sendet ein Signal mit der Frequenz (f2) und Phase (p2) des empfangenen Signals an den Initiator.
Dieser misst die Phase (p2) des empfangenen Signals (f2).

Der Initiator berechnet mit Hilfe der Frequenzdifferenz (f1 – f2 ), der Phasendifferenz (p1 – p2) und der Lichtgeschwindigkeit (c) die Entfernung beider Geräte. Die genannten Schritte werden mit unterschiedlichen Frequenzen mehrmals wiederholt. Bild 2 zeigt den Ablauf von PBR.

Es werden Pakete im Mode 2 oder Mode 3 Step geschickt. Der Phasenwert ändert sich, wenn sich die Entfernung zwischen Initiator und Reflektor ändert. Dabei kann der Phasenwert 0 betragen, ab diesem wieder ansteigen und wieder 0 betragen. Der gleiche Phasenwert kann also bei unterschiedlichen Entfernungen auftreten. Das nennt man Distance Ambiguity (DA). Wann DA auftritt, hängt von der Differenz der bei CS verwendeten Frequenzen ab. Je größer der Unterschied der verwendeten Frequenzen bei CS ist, desto »früher« (bei kürzeren Entfernungen) tritt DA auf. Bei CS werden Frequenzen mit einem Abstand von 1 MHz verwendet. Dabei kann DA nicht bei Entfernungen bis circa 150 Meter auftreten.

Das Problem der Distance Ambiguity kann mit dem RTT-Verfahren minimiert werden. Bei RTT werden Pakete im Mode 1 und/oder Mode 3 Step vom Initiator zum Reflektor und vom Reflektor wieder zum Initiator geschickt. Darin ähneln sich PBR und RTT. Bei RTT wird jedoch bei jeder Übertragung vom Initiator ein Zeitstempel (Time of Departure, ToD) aufgezeichnet. Wenn dieses Paket vom Reflektor durch den Initiator wieder empfangen wird, erfolgt die Speicherung eines anderen Zeitstempels (Time of Arrival, ToA).

Die Differenz von ToD und ToA multipliziert mit c (Lichtgeschwindigkeit) und geteilt durch 2 (zwei Richtungen!) ergibt – unter Berücksichtigung der vom Reflektor benötigten Zeit für den Empfang und das Rücksenden des Signals an den Initiator – die Entfernung. Die Verarbeitungszeit der Signale durch den Reflektor wird bei der Berechnung der Entfernung berücksichtigt. Die Bluetooth-Spezifikation erlaubt drei verschiedene Varianten der Messung und Speicherung der ToA Werte. Bild 3 zeigt den Ablauf von RTT.

Security und CS

Security-Anforderungen entstehen durch die Möglichkeit, dass in einem Remote-Keyless-Entry- (RKE-)System ein Angreifer Nähe zum Auto vortäuscht und die Öffnung des Fahrzeuges veranlasst. Für diese MITM- (Man in the Middle) oder auch Relay-Angriffe wird eine spezielle Hardware in die Nähe des Schlüssels gebracht. Die vom Schlüssel gesendeten Signale werden aufgenommen und können mit höherer Sendeleistung (das heißt mit größerer Entfernung) an das Fahrzeug weitergeleitet werden. Für diese Security-Angriffe gibt es Beispiele bei vielen Autoherstellern. Für die Lösung dieser Probleme wurden RKE-Systeme mit UWB für die sehr genaue Entfernungsmessung und Bluetooth LE für die RKE-Funktionen verwendet. CS beinhaltet Features, die eine Antwort auf Security-Angriffe, zum Beispiel bei RKE-Systemen sind. Diese sind:

Verwendung von PBR und RTT und Vergleich der mit PBR und RTT gemessenen Entfernungen. Größere Unterschiede werden von der Anwendung behandelt (erneute CS-Messungen).
Bei Verwendung des bei V6.0 definierten Deterministic Random Bit Generator (DRBG) haben Initiator und Reflektor identische Werte für die verschiedenen CS-Initialisierungsparameter. Angreifer, die die Daten nicht kennen, können sie nur erraten.
Schutz vor Symbol-Manipulationen mit der Steuerung der SNR und Verwendung des LE 2M 2BT PHY Layer. Die dabei verwendete Symbollänge erschwert die Manipulation der Signale erheblich.
Erkennen von Angriffen mit dem Attack-Detector-System. Dabei werden die empfangenen Signale auf die Wahrscheinlichkeit eines Angriffes hin überprüft, in einer Normalized Attack Detector Metric (NADM) klassifiziert und an die Anwendung gegeben. Tabelle 1 zeigt die NADM-Werte und deren Bedeutung.

Tabelle 1. Klassifizierung gemäß der Normalized Attack Detector Metric (NADM).

NADM-Wert	Beschreibung
0x00	Angriff ist extrem unwahrscheinlich
0x01	Angriff ist sehr unwahrscheinlich
0x02	Angriff ist unwahrscheinlich
0x03	Angriff ist möglich
0x04	Angriff ist wahrscheinlich
0x05	Angriff ist sehr wahrscheinlich
0x06	Angriff ist extrem wahrscheinlich
0xFF	Unbekannte NADM. Default für RTT ohne Random oder Sounding-Sequenz

Einige Bluetooth-Transceiver können die Signal-to-Noise Ratio (SNR) verändern. Beim Austausch der Features werden die unterstützten Werte übertragen und Initiator und Reflektor stimmen sich darauf ab. Dieses Feature erschwert die Möglichkeit von Man-in-the-Middle-Attacken bei RTT erheblich.

CS-Security-Daten werden auf einem LE-ACL Link verschlüsselt übertragen, das heißt beide Geräte sind gepaired. Host Stack und die Anwendung können zusätzliche Security-Funktionen umsetzen.

Antennen und CS (PBR)

Für PBR werden insgesamt bis zu vier Antennen in acht Varianten unterstützt. Antennenswitching ist – je nach Hardware – für Mode 2 und Mode 3 Steps möglich. Dabei kann der Initiator bis zu drei Antennen und der Reflektor bis zu zwei Antennen unterstützen. Antennenarrays erhöhen die Genauigkeit der Messung bei Mehrfachausbreitung.

CS, Host Stack und Anwendung

CS ist ein Controller und Host Feature, das heißt. es sind HCI- (Host Controller Interface) Kommandos und Events erforderlich. Der Controller überträgt über HCI die Daten der jeweiligen Messung an den Host. Der Host verwendet die gelieferten Messwerte und berechnet daraus die Entfernung. Die Qualität der verwendeten Signale ist vom Controller abhängig. Die für die Berechnung verwendeten Algorithmen sind nicht spezifiziert und unterscheiden sich je nach Hersteller bzw. Controller.

Die an den Host gelieferten Daten sind standardisiert, sind aber auch von den CS Modes und Prozeduren abhängig. Der Controller verwendet die HCI Events LE CS Subevent Result und LE CS Subevent Result Continue um die Daten an den Host zu liefern. Diese beinhalten Informationen über die Steps. Die gelieferten Daten sind abhängig vom Step Mode, dem Device (Initiator, Reflektor) und ob PBR oder RTT verwendet wird. PBR wird für die Genauigkeit und RTT für die Sicherheit verwendet.

CS und Genauigkeit

Die Genauigkeit der Entfernungsmessung liegt im Bereich von einigen Zentimetern und wird unter anderem beeinflusst von:

Stabilität der verwendeten Clocks im Controller
Mehrwegeausbreitung
Genauigkeit und Stabilität der Signale (f1, f2 usw.)

CS in Automotive-Anwendungen

Aktuell werden verschiedene Wireless-Technologien für RKE-Systeme verwendet. Tabelle 2 vergleicht CS und UWB/Bluetooth. Dabei wird UWB für die Lokalisierung/Sicherheit und Bluetooth für den Schlüssel verwendet.

Der Einsatz von Bluetooth CS in RKE-Systemen bietet eine Reihe von Vorteilen gegenüber Systemen mit UWB und Bluetooth. Das sind unter anderem:

Einfacheres HW Design (keine UWB HW)
Kostenvorteile bei HW/SW, Tests, Messungen und Zulassungen
Verfügbarkeit von Bluetooth-CS-Radios

Da kein UWB erforderlich ist, lassen sich wesentlich mehr Mobiltelefone für RKE einsetzen. Mit der Verfügbarkeit von Bluetooth-CS-Controllern sowie Host- und Anwendungssoftware vereinfacht sich die Entwicklung von RKE-Systemen für Automotive erheblich. Der Strombedarf des Bluetooth Controllers für CS hängt von der eingestellten Sendeleistung (z. B. 0 oder 10 dBm), den auszuführenden Prozeduren bzw. der Häufigkeit der Ausführung ab. RTT benötigt etwas mehr Strom als PBR. Die Kapazität handelsüblicher Knopfzellen – bei durchschnittlich zehn Lokalisierungsvorgängen pro Tag – ist dabei für mehr als ein Jahr ausreichend.

Zusammenfassend lässt sich sagen: Die Standardisierung von Key-Access-Systemen geht über den reinen Transport hinaus. Digital Keys mit Zertifikaten erlauben den Einsatz von Mobiltelefonen mit anpassten Zugangsrechten.

Tabelle 2. Vergleich von Bluetooth LE CS und UWB/Bluetooth.

	Bluetooth LE CS	UWB Bluetooth
Variante	PBR/RTT Entfernung	ToF Entfernung/Richtung
Verzögerung	100 ms (Controller)	<1 ms
Entfernung	typisch 20 m, maximal 150 m	typisch 30 bis 40 m
Genauigkeit	<1 m	10 bis 20 cm
Sicherheit	sehr sicher	sehr sicher
Zuverlässigkeit	kein Schutz vor Multi-Path, Interferenzen, etc.	sicher gegen Multi-Path, Interferenzen, etc.
Geräteanzahl	10	Tausende

Der Autor

Rudi Latuske

ist Softwareentwicklungsberater mit umfassender und langjähriger Erfahrung in den Bereichen Bluetooth, IrDA, WLAN und ZigBee. Er verfügt über mehr als 25 Jahre Erfahrung mit Bluetooth-Technologie und hat erfolgreich an zahlreichen kommerziellen Projekten und Produkten in den Bereichen Automobil, Mobilfunk, IoT, Industrie und Medizin mitgewirkt.