移动设备与车辆之间的低功耗蓝牙（BLE）通信的制作方法

本发明涉及在车辆与移动设备之间使用低功耗蓝牙(BLE)的通信。

背景技术：

低功耗蓝牙(BLE)协议的一个方面是设备在其使用期间消耗相对较少的能量。这在车辆点火可能关闭持续一段时间的车辆实施中可能是所需要的。因此，需要在车辆应用中使用BLE协议，同时还保持足够的无线安全性(例如，避免车辆盗窃等等)。

技术实现要素：

根据本发明的一个实施例，提供了一种在车辆中通过低功耗蓝牙(BLE)连接进行通信的方法。该方法包括以下步骤：在移动设备与车辆中的BLE系统之间建立低功耗蓝牙(BLE)连接，其中该建立步骤包括在BLE系统处接收移动设备的第一凭证；从车辆向移动设备提供第二凭证，其中第二凭证不同于第一凭证；并且接收来自移动设备的消息，该消息使用第一和第二凭证加密。

根据本发明的另一个实施例，提供了一种在车辆中通过低功耗蓝牙(BLE)连接进行通信的方法。该方法包括以下步骤：在移动设备与车辆中的BLE系统之间建立低功耗蓝牙(BLE)连接，其中该建立步骤包括在BLE系统处接收移动设备的第一凭证；从车辆向移动设备提供第二凭证；生成用于移动设备的第三凭证，其中第三凭证包括公钥和私钥；使用第二凭证向移动设备提供第三凭证；并且接收来自移动设备的第一消息，该第一消息使用第一和第三凭证加密。

附图说明

下文将结合附图描述本发明的一个或多个实施例，其中相同的附图标记表示相同的元件，并且其中：

图1是示出了能够使用本文所公开的方法的通信系统的实施例的框图；

图2是车辆低功耗蓝牙(BLE)系统的示意图；

图3A-3C示出了带外通信技术的示例；

图4是车辆传感器的示意图；以及

图5是示出了使用图2中的BLE系统的方法的流程图。

具体实施方式

下文所描述的通信系统涉及在车辆低功耗蓝牙(BLE)系统与移动设备之间的通信。操作中，BLE系统可以使移动设备能够远程命令车辆执行一个或多个功能。例如使用BLE，移动设备可以命令车辆点火事件，锁定和解锁车门，打开车门(例如，包括车辆行李箱，引擎盖等)。BLE是短距离无线通信(SRWC)协议，其消耗的能量少于其他SRWC协议，并因此适用于其中可能存在车辆电池电力有限的车辆应用。因此，例如，当车辆处于收听或信标发送模式时，特别需要使用BLE协议，例如，当车辆点火关闭时，可能正消耗功率—例如，等待具有移动设备的车辆用户返回。通过这种方式，车辆可以节省电池电力以在用户返回时再次启动车辆点火。

虽然BLE的低功耗特性可能是车辆应用所需的，但没有进一步的保护措施，在这种车辆应用中使用BLE协议使车辆和用户易受到与BLE密钥交换协议相关的安全问题导致的安全漏洞的影响。已经发现，根据由蓝牙技术联盟(Bluetooth Special Interest Group)开发并在他们的说明书版本4.0中发布的协议进行交换的BLE密钥可以在不到一秒钟内通过使用IntelCorei7CPU的强力法获得。此外，可以预期的是，使用其他技术(例如，并行强力法，使用处理器专用的AES扩展等)可以减少此时间。

因此，BLE的使用易受恶意方(例如，攻击者或黑客)的窃听、探嗅等的影响。如本领域技术人员将理解的，恶意方可以探嗅或以其他方式确定由BLE协议使用的凭证(例如，在两个设备之间)。因此，在车辆应用中，恶意攻击者可能潜在地获取BLE凭证以及—没有额外的安全措施的情况下—骗取移动设备传输，误导车辆中的BLE系统。基于被骗取的通信，车辆可能执行假设其被授权的车辆功能(例如，解锁车门和/或远程启动车辆)。虽然BLE协议有已知的安全缺陷，但下文所讨论的系统—及其相关的方法—提供了使车辆和移动设备彼此通信的安全方式。

下文所述的方法使用带外通信以向移动设备提供辅助凭证(即，非BLE凭证)。如下文将更详细讨论的，带外通信可能包括使用一个不同的SRWC协议来提供辅助凭证(或者提供印刷在车辆中的代码或者向车辆用户显示的代码，仅举几个例子)。一旦移动设备和车辆具有辅助凭证，两者都可以使用辅助凭证来加密未来通信，但仍然使用BLE协议—利用BLE的低功耗特性。例如，移动设备和BLE系统可以发送首先使用辅助凭证(例如，加密的有效负载)加密的消息，其也至少在一定程度上被BLE凭证保护(例如，使用BLE凭证进一步加密有效载荷)。通过这种方式，如果恶意攻击者获取或拦截该消息并且解密BLE凭证，那么该消息将仍然是加密的有效负载(例如，仍然由辅助凭证加密)。因此，因为任何拦截的通信对于恶意攻击者而言将是难以理解的，所以该方法提供了保密性。

下文将在描述通信系统和BLE系统之后，更详细地对该概述方法的一个或多个实施例进行描述。

通信系统–

参照图1，示出了操作环境，其包括移动车辆通信系统10并且可以用于实施本文所公开的方法。通信系统10通常包括：一个或多个无线载波系统12；陆地通信网络14；包括远程服务器18或数据服务中心20中的至少一个的后端系统16；移动设备22；辅助无线设备23(例如，钥匙遥控器)；以及车辆24。应当理解的是，所公开的方法可以与任意数量的不同系统一起使用，并且不特别限定于本文所示的操作环境。此外，系统10的架构、构造、设置和操作及其各个部件在本领域中通常是已知的。因此，以下段落简单地提供一个这种通信系统10的简要概述；然而，本文未示出的其他系统也可能采用所公开的方法。

无线载波系统12优选地是蜂窝电话系统，其包括多个发射塔(仅示出一个)，一个或多个移动交换中心(MSCs)(未示出)，以及将无线载波系统12与陆地网络14连接所需的任何其他网络部件。每个发射塔包括发射和接收天线和基站，来自不同发射塔的基站直接或通过诸如基站控制器等中间设备连接到MSC。蜂窝电话系统12可以实施任何合适的通信技术，包括例如诸如AMPS的模拟技术，或诸如LTE、CDMA(例如，CDMA 2000)或GSM/GPRS的新的数字技术。如本领域技术人员将理解的，可以有各种发射塔/基站/MSC布置，并且可以与无线系统12一起使用。例如，基站和发射塔可以共同定位于相同地点或者它们可以彼此远离地定位，每个基站可以负责单个发射塔或者单个基站可以服务各种发射塔，且各种基站可以耦接到单个MSC，仅列举几个可能的布置。

陆地网络14可以是常规的陆基电信网络，其连接到一个或多个固定电话并将无线载波系统12连接到后端系统16。例如，陆地网络14可以包括公共交换电话网(PSTN)，例如用于提供硬线电话、分组交换数据通信和互联网基础设施的公共交换电话网。陆地网络14的一个或多个区段可以通过使用标准有线网络、光纤或其他光网络、电缆网络、电力线、诸如无线局域网(WLANs)等其他无线网络、或提供宽带无线接入(BWA)的网络，或其任何组合来实施。此外，数据服务中心20不需要通过陆地网络14进行连接，而是可以包括无线电话设备，使其可以与诸如无线载波系统12等无线网络直接进行通信。

远程服务器18可以是可通过专用网络或诸如因特网等公共网络访问的多个计算机中的一个。每个这种服务器18可以用于一个或多个目的，例如可通过陆地网络14和/或无线载波12访问的网络服务器。其他这种可访问服务器18可以是，例如，其中可以从车辆24上传诊断信息和其他车辆数据的服务中心计算机；由车主或其他用户使用的客户计算机，其用于访问或接收车辆数据或用于设置或配置用户偏好或控制车辆功能的目的；或第三方储存库，通过与车辆24或与数据服务中心20或与两者通信向其或从其提供车辆数据或其他信息。远程服务器18还可以用于提供诸如DNS服务等因特网连接，或者作为使用DHCP或其他合适协议以给车辆24分配IP地址的网络地址服务器。

数据服务中心20被设计为向车辆24提供多个不同的系统后端功能，并且通常包括一个或多个交换机、服务器、数据库、现场顾问以及自动语音响应系统(VRS)，所有这些都是本领域公知的。这些各种数据服务中心部件优选地通过有线或无线局域网彼此耦接。交换机(可以是专用小交换机(PBX))路由输入信号，使得语音传输通常通过常规电话发送给现场顾问或发送给使用VoIP的自动语音响应系统。现场顾问电话也可以使用VoIP；通过交换机的VoIP和其他数据通信可以通过连接在交换机与网络之间的调制解调器实施。数据传输通过调制解调器传输到服务器和/或数据库。数据库可以存储帐户信息，例如用户认证信息、车辆标识符、简档记录、行为模式和其他相关用户信息。数据传输还可以通过诸如802.11x，GPRS等无线系统来进行。虽然已经描述了一个实施例，其将与使用现场顾问的由人操纵的数据服务中心20一起使用，但应当理解的是，数据服务中心可以使用VRS作为自动顾问，或者可以使用VRS和现场顾问的组合。

移动设备22可以是能够在广域地理区域上进行蜂窝语音和/或数据呼叫的任何电子设备，其中无线载波系统12使传输变得容易。它可以被配置为根据与诸如无线服务提供商(WSP)等第三方设施的认购协议提供蜂窝电话服务。此外，移动设备22可以以有线或无线方式通过短距离无线通信(SRWC)协议(例如，Wi-Fi直连，蓝牙，低功耗蓝牙(BLE)，近场通信(NFC)等)电子耦接到车辆24。

移动设备22包括耦接到处理器30的用户接口，处理器被配置为执行存储在移动设备存储器32上(例如，存储在设备的非暂时性计算机可读介质上)的操作系统(OS)。处理器30还可以执行也存储在设备存储器中的一个或多个软件应用34。使用这些应用，车辆用户可以远程控制或与车辆24、后端系统16或两者通信(例如，通过蜂窝通信，SRWC或两者)。例如，一个应用可以使用户能够远程锁定/解锁车门，打开/关闭车辆，检查车辆轮胎压力、燃料液位、润滑油寿命等。根据一个实施例，应用34可以执行至少一些本文所述的方法步骤，—例如，接收、存储和使用由车辆24、后端系统16等提供的凭证。下文将对此进行更详细的描述。

移动设备22的非限制性示例包括蜂窝电话、个人数字助理(PDA)、智能手机、具有双向通信能力的个人笔记本电脑或平板电脑、上网本电脑、笔记本电脑或其任何合适的组合。移动设备22可以由车辆用户在车辆24内部或外部使用，车辆用户可以是车辆驾驶员或乘客。应当理解的是，用户不需要具有移动设备22或车辆24的所有权(例如，车辆用户可以是所有者或被许可者之一或两者)。

辅助无线设备23可以是适于通过短距离无线通信(SRWC)协议与车辆24通信的任何合适的无线发射器或收发器。在至少一个实施例中，设备23包括与车辆24相关的钥匙遥控器—钥匙遥控器包括任何合适的软件、电路36或两者，以及适于与车辆24通信的天线37。合适的SRWC协议包括蓝牙、低功耗蓝牙(BLE)、Wi-Fi和近场通信(NFC)，仅举几个非限制性示例。在至少一个实施例中，辅助无线设备23通过蓝牙进行通信。如本领域技术人员将理解的，设备23可以将多个预配置的命令通信到车辆24(例如，锁门命令、解锁门命令、启动点火事件(起动车辆发动机)、终止点火事件(关闭发动机)等)。如下文将作出解释的，在至少一个实施例中，通过车辆24确定辅助无线设备23的接近度，用于增强在车辆(24)对移动设备(22)通信期间的安全性。

在所示实施例中，车辆24被示出为客车，但应当理解的是，也可以使用包括摩托车、卡车、运动型多用途车(SUVs)、休闲车(RVs)、船舶、飞机等在内的任何其他交通工具。车辆24可以包括多个电气部件，包括但不限于：车辆电源或电池38、车辆信息娱乐单元40和一个或多个车辆系统模块42。诸如VIS 40和VSM 42等一些部件可以耦接到一个或多个网络连接设备44(例如，如下文将描述的总线)。此外，至少一个VSM 42可以是车辆BLE系统46的一部分，其用于执行本文所述的方法的至少一部分。

在至少一个实施方式中，电源38可以是常规的车辆电池。在所示的实施例中，电池38耦接到BLE系统46(例如，以便即使在车辆24点火关闭时，仍直接向BLE系统46的一个或多个部件提供电力)。当然，电池38也可以耦接到车辆24中的其他设备和部件。

车辆信息娱乐系统(VIS)40可以包括用于输入/输出(I/O)50和显示器52(也参见图3A)的用户界面。VIS 40可以用于向车辆24的用户提供多个车辆服务(例如，非限制性示例包括音频数据、视频数据、多媒体数据等)。显示器52可以是车辆24中的多个显示器中的一个，并且旨在说明车辆中可用于向车辆用户提供信息的任何合适的显示器。如下文将描述的，在至少一个实施方式中，VIS 40的显示器52可以用于向移动设备22提供与辅助凭证相关的带外通信。

图1中，车辆系统模块(VSMs)42可以是车辆中被配置成执行一个或多个不同的车辆功能或任务的任何合适的硬件模块—每个VSM 42具有一个或多个处理器60和存储设备62，如图3B中示出的一个示例所说明的。图3B中的VSM是具有至少一个通信电路64和天线66的车辆远程信息处理单元。通信电路64可以包括一个或多个无线芯片组，并且可以使车辆能够执行经由无线载波系统12的蜂窝通信，借助诸如移动设备22或钥匙遥控器23等设备的短距离无线通信(SRWC)，或其任何组合。当然，远程信息处理单元仅仅是VSM的一个示例。应当理解的是，其他VSMs 42可以不具有通信电路64或天线66(且作为替代可以具有其他合适的特征)。VSMs的非限制性示例包括：控制发动机操作的各个方面(例如燃料点火和点火正时)的发动机控制模块(ECM)；调节车辆动力系统的一个或多个部件的操作的动力系控制模块(PCM)；以及控制位于整个车辆中的各种电气部件(类似车辆的电动门锁和前灯)的车身控制模块(BCM)。根据一个实施例，ECM配备有车载诊断(OBD)特征，其提供海量实时数据，例如从包括车辆排放传感器在内的各种传感器接收的数据，并且提供以一系列标准化的诊断故障代码(DTC)，其允许技术人员快速识别和修补车辆内的故障。

返回图1，网络连接设备44包括用于使VSMs 42和其他车辆电子设备彼此连接或耦接的任何有线车内通信系统。根据一个实施例，网络连接设备44包括数据总线(例如，通信总线、娱乐总线等)。合适的网络连接设备的非限制性示例包括控制器局域网(CAN)、面向媒体的系统传输(MOST)，局域互联网络(LIN)、局域互连网(LAN)、和其他合适的连接设备，例如以太网、视听桥接(AVB)或符合已知的ISO、SAE和IEEE标准和规范的其他设备，仅举几个例子。

BLE系统46可以包括用于通过低功耗蓝牙(BLE)协议与车内和车外设备进行通信的任何合适的部件。如图1-2中所示，在至少一个实施例中，BLE系统46包括BLE管理器70和一个或多个传感器72。BLE管理器70包括至少一个VSM 42和中央BLE模块或节点74。VSM 42和中央BLE模块74可以是单个硬件单元或者可以是两个单独的电耦接的硬件设备，它们协同一起工作以执行本文所述的方法的至少一些步骤。例如，BLE管理器70可以接收无线BLE数据(通过BLE模块74从传感器72接收数据)，解密所接收的数据(在BLE模块74或VSM 42处解密数据)，并且在适当的情况下，命令车辆24执行与所接收和解密的数据相关的命令(通过VSM 42或另一个VSM)。在至少一个实施方式中，VSM 42可以是前文所述的ECM或BCM—通过说明而非限制的方式，BCM在下文被描述为BLE管理器70的一部分。当然，应当理解的是，其他VSMs 42也可以与BLE管理器70一起使用(作为BCM的替代或补充)。

图2中所示的BCM 42耦接到总线44，并且包括处理器60'、存储器62'和操作指令78(其可以体现为软件程序、固件程序等等)。处理器60'可以是能够处理电子指令的任何类型的设备，包括微处理器、微控制器、主机处理器、控制器、车辆通信处理器和专用集成电路(ASICs)。它可以是仅用于BCM 42的专用处理器，或者它可以与其他车辆系统共享。处理器60'执行数字化存储的指令78，其可以存储在存储器62'中，使BCM 42能够执行一个或多个车辆功能(例如，在锁定和解锁状态之间启动车辆照明和电动门锁)。如下文将更详细解释的，处理器60'可以执行程序或处理数据，以执行本文所讨论的方法的至少一部分。

存储器62'可以包括任何非暂时性计算机可用或可读介质，其包括一个或多个存储设备或制品。示例性非暂时性计算机可用存储设备包括常规的计算机系统RAM(随机存取存储器)、ROM(只读存储器)、EPROM(可擦除可编程ROM)、EEPROM(电可擦除可编程ROM)和磁盘或光盘或磁带。

图2中，BLE模块74被示出为耦接到BCM 42和一个或多个传感器72。BLE模块74还可以包括处理器80、存储器82和数字化存储的指令88(例如，软件程序、固件程序等等)。处理器80和存储器82可以属于相似类型，并且可以具有与处理器60'和存储器62'相似的特性和质量，因此将不再赘述。例如，存储器82也可以是非暂时性计算机可读介质。然而，应当理解的是，处理器80和存储器82可以特别地适于执行与BLE模块74(而不是前文所述的BCM)相关的过程和方法。在至少一个实施例中，BLE模块74的计算或处理能力基本上低于BCM 42的计算能力或处理能力。此外，在至少一个实施例中，处理器80和存储器82可执行本文所构想的方法实施例的一个或多个步骤。例如，该方法可以作为可由BLE模块74的一个或多个计算设备执行或与BLE模块74进行通信的一个或多个计算机程序来执行，以使BLE模块和/或其相应的计算设备执行该方法，并且各种方法相关的数据可以存储在任何合适的存储器中。计算机程序可以以各种活动和非活动形式存在。例如，计算机程序可以作为软件程序存在，其包括以源代码、目标代码、可执行代码或其他格式的程序指令；固件程序；或硬件描述语言(HDL)文件。

此外，BLE模块74可以包括收发器84和天线86。收发器84和天线86可以适于与传感器72中的一个或多个进行无线通信。在一些实施方式中，收发器84适于从传感器72(以无线或有线方式)接收信号数据，然后将信号数据(例如，通过有线的方式)传送到BCM 42。在其他实施方式中，收发器84适于向传感器72(以无线或有线方式)传送信号数据，使得传感器72可以重新传送信号数据(例如，传送到移动设备22)。因此，尽管图1示出了以有线方式连接到BLE模块74的传感器72，但还存在其中传感器72与BLE模块74进行无线通信替代的实施例。

传感器72可以是车辆24中任何合适的传感器。每个传感器72可以包括发射器90及相关的天线92(参见图4)。在至少一个实施方式中，发射器90也是收发器(例如，既能传送又能接收无线数据的收发器)。在至少一个实施方式中，传感器72被配置为通过BLE协议进行通信。在其他实施方式中，传感器72还可以通过其他协议(例如，蓝牙)进行通信。例如，在一个实施方式中，传感器72定位在门面板中并且适于通过BLE、蓝牙或二者来感测辅助无线设备23的接近度。在另一实施方式中，传感器72可以适于通过BLE或另一SRWC协议与移动设备22进行通信。因此，在至少一个实施方式中，传感器72可以被配置为通过多个协议进行通信。

在至少一个车辆实施例中，多个传感器72分布在车辆的不同区域中。例如，传感器72可以定位位在前部和后部，驾驶员侧和乘客侧，和/或它们之间。传感器的这种分布可以提供冗余，使得BLE系统46能够确定用户的接近度或位置，或者两者。

应当理解的是，虽然BCM 42被示出为BLE系统46的一部分，但这仅仅是一个示例。例如，可选地ECM也可以是系统46的一部分(例如，用来实现远程车辆点火等)。或者BCM和ECM都可以是BLE系统46的一部分(例如，BLE管理器70的一部分)。同样，BCM和ECM仅仅是示例；其他VSMs 42也可作为BLE管理器70的一部分操作。

方法–

现在转到图5，示出了用于通过车辆24中的BLE连接进行通信的方法500。在一个实施例中，该方法从步骤510开始，其包括在移动设备22与BLE系统46之间建立BLE连接。步骤510可以包括多个部分；例如，步骤520(启动BLE连接)和步骤530(接收第一凭证)。

在步骤520中，车辆24可以处于能够实现新的BLE连接(即，与移动设备22的连接)的可发现模式。可发现模式可以由车辆用户提示(例如，通过例如VIS 40与车辆交互)，由处于数据服务中心20的计算机或现场顾问(例如，使用车辆远程信息处理单元)提示或执行，或诸如此类。一旦启动，该方法进行到步骤530。

在步骤530中，在与移动设备22建立BLE连接时，BLE管理器70(例如，更具体地，BLE模块74)通过一个或多个传感器72接收第一组凭证。这些第一凭证可以包括将要由BLE管理器70用来对从移动设备22接收的消息或通信进行解密的密钥(或者第一凭证可以用于加密将要从车辆24发送到移动设备22的消息)。在至少一个实施例中，BLE系统46将第一凭证存储在存储器82(BLE模块74的存储器)中。同样，任何相关的凭证也可以存储在移动设备存储器32中。在至少一个实施例中，第一凭证是共享密钥；然而，这仅仅是一个示例。通过这种方式，BLE系统46和移动设备22可以彼此配对或绑定–使得这两个设备能够根据常规的BLE加密技术通过BLE协议发送和接收信息(例如，用第一凭证或相关的第一凭证进行签名或加密)。步骤530之后，该方法可以进行到步骤550。

图5示出了步骤540可以在步骤510之前发生，在步骤510期间发生(例如，插在步骤520和530之间)，或者在步骤530之后发生(但在步骤550之前)。步骤540包括在BLE系统46处接收表示辅助无线设备23相对于车辆的接近度的指示(例如，车辆钥匙遥控器相对校近)。当钥匙遥控器23通过SRWC进行通信时，BLE系统46可以接收从钥匙遥控器23发出的表示无线信号的指示。这可能发生是因为BLE系统46直接接收通信(例如，通过BLE)。或者它可能发生是因为钥匙遥控器23通过另一协议(例如，蓝牙)与另一个车辆设备(例如，远程信息处理单元)进行通信。

不管BLE系统46是如何接收表示钥匙遥控器23的接近度的指示，当钥匙遥控器23的信号强度超过预定阈值时，可以确定的是钥匙遥控器23接近车辆24。在一些实施例中，BLE系统46在执行步骤510之前可能要求表示钥匙遥控器的接近度的指示—例如，在没有表示钥匙遥控器23接近度的并发指示的情况下，不启动与移动设备22的BLE通信。钥匙遥控器23的接近度可以满足如下假设：移动设备22的授权用户正在执行绑定(即，将移动设备22绑定到BLE系统46)。在具有钥匙点火的实施方式中，钥匙遥控器23可以提供有线信号(例如，在点火处)或无线信号(例如，通过钥匙遥控器中的芯片)。并且在具有无钥匙点火的实施方式中，钥匙遥控器23仅可以提供无线信号。

在其他实施例中，BLE系统46在执行步骤530之前可能要求表示钥匙遥控器23接近度的指示—例如，在没有先接收这种指示(或没有先接收并发指示)的情况下，不允许在移动设备22与BLE系统46之间传输第一凭证。

在其他实施例中，BLE系统46在执行步骤550之前可能要求表示钥匙遥控器23接近度的并发指示—例如，在没有表示移动设备22的用户被授权接收它们的指示的情况下，不提供额外的凭证(同样，当钥匙遥控器23在执行步骤550的同时接近车辆24时，可以暗示授权)。还应当理解的是，在一些实施例中，可以省略步骤540。然而，在包括步骤540的情况下，若没有表示钥匙遥控器23接近度的指示，方法500结束。

在上述示例中，步骤540被描述为在几个不同时间中的其中一个时间发生(例如，在步骤520之前，在步骤520和530之间，以及在步骤530之后)。应当理解的是，步骤540也可以在这些时间的任何组合下发生。在至少一个实施例中，在这些情况中的每个情况下，钥匙遥控器23接近车辆24。

返回到步骤550，车辆24向移动设备22提供第二组凭证。如前所述，第一或BLE凭证具有已知的缺点，如果其被单独使用，那么可能使车辆24和用户易受恶意攻击。第二凭证的使用使得未来消息的有效负载能够使用第一和第二凭证两者进行加密—使得任何恶意攻击者不太可能通过BLE成功地确定车辆BLE系统46与移动设备22之间任何消息或通信的内容。

在至少一个实施方式中，通过带外(OOB)通信来提供第二凭证。图3A、3B和3C至少部分地示出了这种OOB通信可能发生的几种方式。例如，在图3A中，与第二凭证相关的代码可以显示在VIS显示器52上(例如，数字、字母、字母数字等代码)。当然，代码可以以视觉或听觉指令(用于用户)提供。根据另一个实施例，可以通过后端系统16(例如，使用现场顾问或自动化交互式计算机)将代码提供给显示器52。在至少一个实施方式中，这可以是Just Works TM。在另一实施方式中，这可以是六位个人识别号(PIN)或诸如此类(具有在0与999,999之间的值)。这些当然都只是示例，可以提供其他代码或代码值。

图3B示出了具有通信能力的一个示例性VSM 42，例如，远程信息处理单元。因此，远程信息处理单元可以用于向移动设备22提供代码。这可以从车辆24直接(例如，通过安全的SRWC)或通过无线载波系统12(例如，通过蜂窝语音呼叫或数据呼叫)传送到移动设备22。或者远程信息处理单元42可以与后端系统16进行通信，并且后端系统16可以通过安全连接将代码或第二凭证传送到移动设备22。

图3C示出了代码可以作为传感器(例如，射频识别(RFID)标签)或可被用户的移动设备22解释的密码在车辆24中提供。在图3C的示例中，手册94可以包括具有代表辅助凭证的QR代码96的标记。当然，移动设备22可以扫描和读取QR代码96并确定辅助凭证。手册94当然是示例性的，同样QR码也是示例性的。例如，可以使用标记(例如，在手套箱内部的标记，通过安全的互联网网站所接收的标记等等)向用户提供任何合适的代码。

在至少一个实施例中，第二凭证包括可用于加密或解密移动设备22与车辆24(其可以拥有唯一的其他相同密钥)之间的通信的共享或对称密钥。本领域技术人员将理解共享(对称)密钥的构造以及可用来使用这些密钥来生成或解密数字消息的技术。在步骤550之后，方法500进行到步骤560。

在步骤560中，移动设备22向车辆24发送消息。使用第一和第二凭证两者对消息进行加密。在至少一个示例中，首先使用第二凭证(例如，共享密钥)对消息进行加密。然后，这个加密的消息作为将使用第一凭证(即，根据BLE协议生成的凭证)进行加密的有效负载。因此，如果恶意攻击者探嗅或窃听并由此拦截了消息，那么攻击者可能能够获取BLE消息的有效负载(已经破解了第一凭证)；然而，有效负载内容将仍是保密的，攻击者再努力也将无效—因为恶意攻击者将不能解密或确定由第二凭证加密的有效负载内容。

在方法500中，可以预料的是，BLE系统46可以解密使用第二凭证进行签名的消息；例如，这可以在BCM 42处发生(例如，(第二凭证的)共享密钥可以存储在存储器62'中并且由PCM 42用于加密/解密)。而且，可以预料的是，车辆24可以向移动设备22发送消息，并且移动设备将首先解密BLE凭证(第一凭证)，然后通过解密第二凭证(例如，与步骤560相反)来解密消息。当BLE系统46接收使用第一和第二凭证两者进行签名的消息时，BLE模块74可以提取有效负载。然后，仍然用第二凭证加密的消息可以被发送到BCM 42，BCM 42解密有效负载和/或执行与解密的消息相关的任何车辆命令。

在至少一个实施例中，方法500可以不从步骤550进行到步骤560；作为替代，方法500可以从步骤550进行到步骤570。例如，一旦BLE管理器70和移动设备22彼此交换或向彼此提供第二凭证，那么BLE系统46可以通过生成专用于移动设备22的第三组凭证来执行步骤570。在至少一个实施方式中，第三凭证符合公钥基础架构(PKI)—即，车辆24可以生成用于移动设备22的私钥和公钥。在步骤570之后，方法500进行到步骤580。

在步骤580中，使用第二凭证以无线方式向移动设备提供第三凭证。例如，BLE管理器70为移动设备22准备消息—有效负载至少包括私钥。有效负载也可以包括公钥(或者公钥可以在加密或不加密的情况下在稍晚的时间发送)。一旦使用第二凭证对有效负载进行加密，其可以进一步使用第一/BLE凭证进行加密。然后，通过BLE将消息发送到移动设备22。

接着，在步骤590中，消息被移动设备22接收并解密。私钥可以存储在存储器32中，并且当使用软件34(例如，在移动设备上)时，可以对其进行访问。步骤590包括移动设备22使用第三凭证向车辆24发送消息。更具体地，可以使用第三凭证(有效负载)对消息进行签名，然后可以使用第一/BLE凭证对有效负载进行签名。

当在车辆24处进行接收时，可以使用公钥(也由车辆24生成)来解密消息。车辆24还可以存储/使用不同的私钥。例如，VSM 42还可以为车辆24生成PKI对(第四凭证)—因此，车辆将具有它自己的私钥和相关的公钥。必要时，BLE系统46可以向移动设备22和其他实体提供公钥(第四凭证的)。通过这种方式，通过车辆24与移动设备22之间的BLE连接发送的所有消息流量可以具有两层加密：使用BLE凭证和第二凭证进行加密，使用BLE凭证和第三凭证进行加密，或者使用BLE凭证和第四凭证进行加密。因此，不管BLE凭证是否被破坏，恶意攻击者将看到另一层加密—而且恶意攻击者将无法确定BLE通信的内容。

在至少一个实施例中，一旦PKI基础架构被置于移动设备22与BLE系统46之间，那么可能不再使用共享密钥(第二凭证)。

还存在其他实施方式。例如，在使用共享密钥的实施方式(例如，步骤550-56)中，BLE或第一凭证和共享或第二凭证可以具有相同的加密构建块(或原语)。例如，共享密钥的原语可以与AES-CCM(具有密码分组链接消息认证代码的高级加密标准计数器)相关，其可以与BLE凭证相同。通过使用相同的原语，相同的特别配置的加密硬件可以用于第一(BLE)凭证和第二凭证(共享密钥)，当加密/解密时，可以实现相似或相同的计算速度，可以实现相似或相同的功耗。

在其他实施方式中，也可以使用其他加密协议(例如，除AES-CCM以外的加密协议)。例如，与传输安全层(TLS)或数据报TLS(DTLS)相关的协议。TLS和DTLS都将实现第一(BLE)凭证和第二凭证(共享密钥)的使用，并将支持带外密钥交换。这些仅仅是示例；还存在其他实施方式。

因此，已经描述了一种能够实现移动设备与车辆之间的安全BLE连接的通信系统。车辆和移动设备可以具有向BLE通信增加额外安全性的共享凭证。共享凭证可以由移动设备通过带外通信来获取。在另一个实施方式中，移动设备可以使用私钥对发送到车辆的消息进行数字签名—并且这个私钥可以在车辆处生成并且通过共享凭证提供给移动设备。在另一个实施方式中，车辆可以使用不同的私钥对发送到移动设备的消息进行数字签名。在所有实施方式中，车辆与移动设备之间的通信可以具有至少两层安全性—使用共享密钥或私钥进行签名的有效负载，其中还使用BLE凭证对有效负载进行加密。

应当理解的是，以上是对本发明的一个或多个实施例的描述。本发明不限于本文所公开的具体实施例，而是仅由以下权利要求书限定。而且，包括在以上描述中的陈述涉及具体的实施方案，并且不应被解释为对本发明的范围或权利要求中所使用的术语的定义进行限制，除非上文对术语或短语进行了明确定义。各种其他实施例以及对所公开的实施例的各种变型和修改对于本领域技术人员而言是显而易见的。所有这种其他实施例、变型和修改都应被理解为属于所附权利要求的保护范围内。

如本说明书和权利要求书中所使用的，当与一个或多个部件或其他零件的列表结合使用时，所有术语“例如”、“举例而言”、“比如”，“诸如”和“像”以及动词“包括”，“具有”，“包含”以及它们的其他动词形式都被理解为开放式的，意味着该列表不被理解为排除其他的附加组件或零件。其他术语将使用它们最广泛的合理含义来理解，除非它们在需要不同解释的上下文中使用。