前言：
在《针对现代轿车 PKES 系统的中继攻击（一）：简介》中，我们介绍了一些基本内容，比如汽车PKES系统易受攻击、PKES系统的兴起等。现在，我们继续介绍苏黎世联邦理工学院 Aurelien Francillon、Boris Danev 和 Srdjan Capkun 三人发表了一篇论文——《Relay Attacks on Passive Keyless Entry and Start Systems in Modern Cars》（针对现代轿车PKES系统的中继攻击）。在第二部分中，我们将介绍汽车进入系统（Car Entry Systems）的相关内容。

2.汽车进入系统

经过几代发展，汽车钥匙系统从简单的物理钥匙演变为更复杂的PKES系统。表1列出了汽车的钥匙系统类型。

2.1 远程打开和关闭

为了方便，物理钥匙增强了远程开启和关闭汽车的能力。这种钥匙在钥匙扣上有一个按钮，可以远程打开或关闭汽车。此功能通常需要有电池支持并依赖UHF（315或433 MHz）通信。有效的通信，为了节省电池寿命，典型的传输范围是从10米到100米。

2.2 使用防盗锁的钥匙

在具有防盗装置（也称应答器钥匙）的钥匙中，RFID芯片嵌入钥匙中。当钥匙插入点火锁时，汽车将查询RFID标签以验证钥匙是否被授权。这些防盗系统设计用于防止物理上应对钥匙以及通过绕过锁来偷车。只有具有先前配对的RFID标签才有权启动发动机。所涉及的RFID技术通常依赖于LF技术（从120到135KHz）。

它可以根据场景在被动和主动模式下运行。主动操作模式通常与PKES一起使用（参见第2.3节）。在被动操作模式中，钥匙中的RFID标签在向钥匙发送挑战之前通过感应耦合由汽车供电。 通过从汽车传输的电力，钥匙唤醒微控制器，解决挑战，计算响应消息并回复LF通道。

这种操作模式需要钥匙和汽车之间的紧密接近，因为钥匙必须将来自汽车的能量控制到功能并且磁场强度的减小与距离的立方成反比。

2.3 PKES系统

第一个描述PKES系统的方案出现在“46（T. Waraksa, K. Fraley, R. Kiefer, D. Douglas, and L. Gilbert.Passive keyless entry system. US patent 4942393, 1990.）”中。

在该方案中，作者提出一种系统，当揣着钥匙的用户接近车辆时，自动解锁车辆并在用户离开车辆时锁定车辆。

该系统被称为“被动式”，因为它无需用户有任何动作。钥匙和车辆之间的通信特征在于磁耦合的射频信号。在这个系统中，汽车确认钥匙在“汽车通信范围内”时非常接近。

PKES车钥匙使用LF RFID标签提供短程通信（有源模式下1-2米内，被动模式下几厘米）和一个成熟的UHF收发器，用于更远距离通信（10到100米之内）。LF通道用于检测钥匙扣是否在汽车区域内。

图2（b）显示了必须检测汽车附近区域，从而安全方便地使用PKES系统。区域如下：与汽车的远程距离（通常可达100米）。只允许按下钥匙扣上的按钮来打开或关闭汽车车外，但离门把手约1-2米，允许使用门把手打开/关闭汽车车内，允许启动引擎的PKES协议因制造商而有所不同。通常支持两种操作模式，即正常模式和备份模式。正常模式依赖充电和工作电池，而备用模式能在无电池的情况下运行（例如，当电池耗尽时）。

表2总结了这两种模式的位置和授权。图1显示了正常模式下，汽车开启的两个示例实现。汽车定期或在门把手操作时从LF通道上发送信标。这些信标可以是短唤醒消息，也可以是包含汽车标识符的较大挑战消息。当钥匙检测到LF通道上的信号时，它会唤醒微控制器，解调信号并解释它。在计算对挑战的响应后，密钥在UHF信道上回复。该响应由汽车接收并验证。在有效响应的情况下，汽车解锁门。随后，为了启动汽车发动机，钥匙必须存在于汽车内（图2（b）中的内部区域）。

在该区域中，钥匙接收不同类型的消息，当回复时将通知汽车正确的钥匙在汽车内。然后，汽车将允许启动发动机。应当注意，在正常模式下，LF通道仅用于从汽车到钥匙的通信，因为这样的操作需要大量的能量。

在备用模式中，例如，当电池耗尽时，用户仍然能打开并启动他的汽车。制造商通常在钥匙扣内嵌入备用物理钥匙来打开车门。这些情况如图2（a）所示。为了启动发动机，系统使用钥匙的无源LF RFID功能。给定如前所述的非常短的通信范围，用户需要将钥匙放置在汽车中的某个预订位置（例如，汽车启动按钮）附近。我们将在第6节讨论该操作模式的安全影响。

相关文章：
https://www.infoq.cn/article/iMytlF4bExuQW2w1akuF

创作场景

针对现代轿车 PKES 系统的中继攻击（二）：汽车进入系统