Zutritt per Bluetooth Low Energy (BLE) Türen per Smartphone öffnen

BLE-Spezifikation ist der Schlüssel für die Weiterentwicklung in den PEPS-Systemen.
Smartphone als Schlüssel: die BLE-Spezifikation sorgt für eine Weiterentwicklung der PEPS-Systeme (Passive Entry Passive Start).

Smartphones eigenen sich dank BLE als Schlüssel für PEPS-Systeme (Passive Entry Passive Start), um Phone-as-a-Key-Anwendungen zu realisieren. Kfz-Zugangsanwendungen stoßen die Weiterentwicklung der BLE-Spezifikation an, um Sicherheit und Genauigkeit dieser Anwendungen zu gewährleisten

Die Tatsache, dass Funkschnittstellen zu einem allgegenwärtigen Bestandteil von Fahrzeugen werden, führt die Automobilindustrie in einen enormen Transformationsprozess. In Verbindung mit dem zunehmenden Trend zum autonomen Fahren sorgt der Einzug der Funkkommunikation in unsere modernen Fahrzeuge dafür, dass Autos für Viele mehr sein werden als nur ein Verkehrsmittel. Denn die Konsumenten nutzen ihre Smartphones als Zentrale für die Organisation und das Management ihres digitalen Lebens auch im Automobil.

Die Verbraucher möchten, dass ihnen ihr Smartphone den Zugang zu ihrem Auto ermöglicht und eine Individualisierung des gesamten Fahrerlebnisses gestattet. Die Phone-as-a-Key-Funktion ist eine Alternative zum traditio­nellen Funkschlüssel in PEPS-Systemen. Die Benutzer müssen sich dann keinen zusätzlichen Schlüssel mehr mit  sich tragen. Wenn sie sich ihrem Fahrzeug nähern, entriegelt ihr Smartphone mithilfe eines digitalen Schlüssels die Türen.

Die mit diesen digitalen Schlüsseln verknüpften digitalen Profile der Anwender stellen daraufhin automatisch die Spiegel, die Sitze, das Lenkrad und das Head-up-Display richtig ein. Solche digitalen Schlüssel lassen sich auch für Freunde und Familienangehörige anlegen, und ebenso ist es möglich, temporäre digitale Schlüssel beispielsweise für den in den USA verbreiteten Parkservice (Valet Parking) zu konfigurieren. So wird die Phone-as-a-Key-Technik auch zu einer zweckmäßigen Funktion für das Car Sharing.

Bei den traditionellen Funkschlüsseln für PEPS-Systeme läuft die Funkkommunikation zwischen Schlüssel und Fahrzeug im LW- und UHF-Band ab. Alternativ dazu wird mit der UWB-Technik (Ultra Wideband) versucht, einige Nachteile der UHF-basierten PEPS-Systeme zu vermeiden, wie etwa die Anfälligkeit gegen die so genannten Relais-Angriffe. Allerdings sind in heutigen Smartphones weder UHF- noch UWB-Transceiver integriert, um Phone-as-a-Key zu realisieren. Anders ist es mit der Bluetooth-Technik, mit der neu ausgelieferte Smartphones nach Angaben der Bluetooth SIG zu 100 % ausgestattet sind [1].

Dank ihrer universellen Verbreitung in Smartphones ist also Bluetooth Low Energy die Technik, auf die Automobilhersteller bei der Umsetzung von Phone-as-a-Key für ihre Zugangssysteme setzen. Der geringe Leistungsbedarf und die Fähigkeiten zur Richtungsermittlung machen Bluetooth Low Energy zu einer attraktiven Technik für diesen Verwendungszweck.

Smartphone als Schlüssel

Bild 1 zeigt den Aufbau eines typischen Kfz-Zugangssystems mit Phone-as-a-Key-Technik. Ein Smart-Key-Modul im Fahrzeug kommuniziert darin mit einem vom Anwender autorisierten Smartphone.

Mehrere Satellitenknoten überwachen passiv die per Bluetooth Low Energy aufgebaute Verbindung zwischen dem Smart-Key-Modul und dem Smartphone. Als Zentrale fungiert das Smart-Key-Modul, das Smartphone übernimmt bei dieser Verbindung eine periphere Funktion. Das Smart-Key-Modul und die Satellitenknoten wiederum kommunizieren über den Kommunikations-Bus des Fahrzeugs mit einem elektronischen Steuergerät.

Informationen aus sämtlichen Satellitenmodulen werden einem Nachverarbeitungs-Algorithmus zugeführt, der die Position des Smartphones bezogen auf das Fahrzeug ermittelt. Eine größere Zahl passiver Knoten bewirkt, dass mehr Werte (Signale) für die Nachverarbeitung zur Verfügung stehen, wodurch die Betriebssicherheit steigt.

Ebenso wie ein traditioneller Funkschlüssel, muss auch ein Phone-as-a-Key-System bestimmte Genauigkeits- und Sicherheitsanforderungen erfüllen und gegen Attacken auf der Bitübertragungsschicht (Physical Layer, PHY) wie etwa Relais-Angriffe geschützt sein. Bei einem Relais-Angriff schaltet sich ein Angreifer als Relaisstation zwischen Funkschlüssel und PEPS-System, wenn der Funkschlüssel zu weit vom Fahrzeug entfernt ist, um Signale direkt empfangen zu können.

Der Angreifer leitet die Signale des Funkschlüssels an das Fahrzeug weiter, um diesem vorzuspiegeln, der Funkschlüssel befinde sich innerhalb der Reichweite, damit die Türen entriegelt werden. Angreifer sind unter Umständen sogar in der Lage, die abgefangenen Signale des Funkschlüssels aufzuzeichnen und wieder abzuspielen, um das Fahrzeug zu einem späteren Zeitpunkt erneut zu öffnen. Angriffe dieser Art spielten bei Fahrzeugdiebstählen in den letzten Jahren immer wieder eine Rolle.

Um das PEPS-System eines Autos vor Attacken dieser Art zu schützen, muss eine Phone-as-a-Key-Implementierung die Entfernung zwischen Schlüssel und Fahrzeug sicher ermitteln, damit Angreifer keinen Zugang zum Fahrzeug erhalten. Das PEPS-System muss deshalb bestimmte Genauigkeitsanforderungen erfüllen, damit die Entfernung sicher und zuverlässig ermittelt wird. Zu diesem Zweck muss das Phone-as-a-Key-System zum Ver- und Entriegeln des Fahrzeugs einen klar definierten Umkreis einhalten.

Zum Beispiel kann das PEPS-System des Fahrzeugs mit dem Verfolgen der Position des autorisierten Smartphones beginnen, sobald es sich in einem Umkreis von etwa 20 bis 30 m befindet. Dies würde Autofahrern zum Beispiel die Aktivierung der Klimaanlage oder des Infotainment-Systems aus der Ferne ermöglichen, noch bevor sie in ihr Fahrzeug steigen.

Die Türen würden jedoch erst dann entriegelt, wenn das Smartphone mit dem Schlüssel weniger als 3 m entfernt ist. Selbst wenn für einen autorisierten Benutzer die Türen entriegelt wurden, würde das PEPS-System das Anlassen des Motors erst dann freigeben, wenn sich das Smartphone mit dem Schlüssel im Innern des Fahrzeugs befindet. Die Phone-as-a-Key-Technik muss aus diesem Grund die Position des autorisierten Smartphones sowohl innerhalb als auch außerhalb des Fahrzeugs exakt ermitteln können.

Schutz gegen Angriffe

Eine der wichtigsten Anforderungen, die ein Kfz-Zugangssystem zu erfüllen hat, ist der Schutz vor reichweitensteigernden Attacken wie dem Relais-Angriff. Eine sichere Methode zur Reichweiteneingrenzung ist beispielsweise die Laufzeitmessung (Time-of-Flight, ToF), mit der die Zeit zwischen dem Aussenden eines Funksignals und dem Eintreffen der Antwort von der Gegenstelle gemessen wird. Damit sind Rückschlüsse auf die ungefähre Distanz zwischen Sender und dem antwortenden Empfänger möglich.

Bei digitalen Low-Power-Funkprotokollen lässt sich die Entfernung zwischen zwei Geräten abschätzen, indem die Zeit ermittelt wird, die ein Datenpaket für den Hin- und Rückweg benötigt.

Wie Bild 2 veranschaulicht, kann das Smart-Key-Modul eines PEPS-Systems eine Anfrage an das Smartphone oder den Funkschlüssel aussenden und die Zeit bis zum Eintreffen der Antwort messen.

Indem es mehrere Messungen durchführt, kann das anfragende Modul des PEPS-Systems die Authentizität des antwortenden Smartphones oder Funkschlüssels sicherstellen. Moderne Wireless-Mikrocontroller wie der CC2640R2F-Q1 von Texas Instruments unterstützen diese Funktion zusammen mit dem für die Verbindung mit Smartphones genutzten Bluetooth-Low-Energy-Protokoll.

Die Mehrzahl der Bluetooth-Geräte, darunter auch Smartphones, können das Bluetooth-Low-Energy-Protokoll anwenden, dessen Bestandteil die Funktion »LE Secure Connections« ist. Mit LE Secure Connections kann das Smart-Key-Modul des PEPS-Systems zur Schlüsselgenerierung den ECDH-Algorithmus (Elliptical Curve Diffie Hellman) nutzen, der den Federal Information Processing Standards (FIPS) entspricht.

Die Verbindung mit dem Phone-as-a-Key wird dagegen nach dem AES-Verfahren (Advanced Encryption Standard) verschlüsselt. Als zusätzliche Sicherheitsmaßnahme können das PEPS-System und das Smartphone die LE Secure Connections durch eine weitere Verschlüsselung auf der Applikationsebene ergänzen, um die Verbindung immun gegen jegliche Schnüffeleien durch Angreifer zu machen, die nach dem Man-in-the-Middle-Verfahren vorgehen. Zusammengenommen versetzen diese Eigenschaften das PEPS-System in die Lage, Fahrzeuge vor reichweitensteigernden Attacken wie etwa Relais-Angriffen zu schützen.

Genauigkeit der Positionsbestimmung

In einem PEPS-System auf der Basis von Bluetooth Low Energy können proprietäre Implementierungen in einem SoC mit Funktransceiver die passiven Satellitenknoten dazu befähigen, die Verbindung zwischen dem Smart-Key-Modul und dem Smartphone zu überwachen, indem sie die Empfangsfeldstärke (Received Signal Strength Indication, RSSI) der vom Smartphone empfangenen Signale messen.

Der Nachverarbeitungs-Algorithmus des Phone-as-a-Key kann daraufhin die RSSI-Informationen mehrerer Knoten kombinieren, um durch Triangulation die Position des Telefons zu ermitteln. Diese Technik wird schon seit Jahren zur Lokalisierung angewendet (Real-Time Location Service, RTLS). Einige der bei Bluetooth v5.1 neu hinzugefügten Funktionen zur Richtungsermittlung, wie etwa die Messung des Einfallswinkels (Angle of Arrival, AoA), können dazu beitragen, die Genauigkeit der Posi­tionsbestimmung zu verbessern.

Werden zwei oder mehr Antennen in einem bestimmten Abstand an einem Smart-Key-Modul platziert, werden diese Antennen sequenziell mit dem Empfänger verbunden. Bild 3 illustriert den Phasenwinkel Φ eines Quadratursignals von einer Antenne. Durch Erfassen des Quadratursignals der verschiedenen Antennen lässt sich die Phasendifferenz bestimmen, aus der wiederum der Einfallswinkel ermittelt werden kann.

Bluetooth Low Energy kann für Passive-Entry-Anwendungen die Position außerhalb des Fahrzeugs mit einer Genauigkeit von 1 m bestimmen. Im Fahrzeuginnern ist jedoch eine Genauigkeit im Zentimeterbereich notwendig, um die Passive-Start-Funktion eines PEPS-Systems zu implementieren. Für eine Funkschlüsselanwendung kann die Kombination von Bluetooth Low Energy mit einer weiteren Technik zur präzisen Entfernungsmessung für die Genauigkeit sorgen, die innerhalb des Autos notwendig ist.