-
Die Erfindung betrifft ein Verfahren zum Sichern eines Systems für passive Entriegelung eines Fahrzeugsystems, insbesondere einer Fahrzeugentriegelung, gegen einen Relaisstellenangriff (engl. Relay-Station-Attack), welches System ein fahrzeugseitiges, d. h. im Fahrzeug eingebautes Gerät, das auf einer ersten Funkfrequenz senden und auf einer zweiten Funkfrequenz, die üblicherweise (aber nicht notwendigerweise) sehr viel höher als die erste Funkfrequenz ist, empfangen kann, sowie ein fahrerseitiges Gerät in Form eines Funkschlüssels oder elektronischen Fahrzeugschlüssels umfasst, das auf der ersten Funkfrequenz empfangen und auf der zweiten Funkfrequenz senden kann, wobei das fahrzeugseitige Gerät und/oder das fahrerseitige Gerät auch auf der Funkfrequenz empfangen kann, die das jeweils andere Gerät empfangen kann, und betrifft außerdem eine entsprechende Vorrichtung gemäß den Oberbegriffen der unabhängigen Patentansprüche.
-
Bei dem zu entriegelnden Fahrzeugsystem handelt es sich insbesondere um die Fahrzeugentriegelung, d.h. die Entriegelung der Fahrzeugtüren und/oder des Kofferraums sowie der Tankklappe od. dgl., also die Entriegelung solcher Fahrzeugsysteme, auf die die klassische Zentralverriegelung Einfluss nimmt. Alternativ kann die Erfindung jedoch auch zur Entriegelung anderer Fahrzeugsysteme eingesetzt werden, wie z.B. zur Freigabe von Zündschlüsselfunktionen oder zur Freigabe von Fernsteuerungsfunktionen für autonomes oder teilautonomes Fahren.
-
Keyless Go® ist ein System, um ein Fahrzeug ohne aktive Benutzung eines Autoschlüssels zu entriegeln und durch das bloße Betätigen des Startknopfes zu starten, nämlich über einen Funkschlüssel, den der Fahrzeuglenker mit sich führt. Sofern nur passive Fahrzeugentriegelung möglich ist, spricht man von Keyless-Entry.
-
Wenn sich der Benutzer dem Fahrzeug nähert oder z. B. den Türgriff des Fahrzeugs berührt, wird das im Fahrzeug eingebaute Gerät aufgeweckt und sendet an den Funkschlüssel ein Funksignal mit einer ersten Frequenz, vorzugsweise (aber nicht notwendigerweise) eher niederfrequent mit typischerweise < 300 kHz,, welches ein codiertes Anfragesignal enthält. Der Funkschlüssel decodiert das Anfragesignal, versieht es mit einer neuen Codierung und sendet es als ein Antwortsignal auf einer zweiten, vorzugsweise höherfrequenten, beispielsweise im UHF-Bereich liegenden Frequenz wieder aus, wie in 1 veranschaulicht. Das im Fahrzeug eingebaute Gerät kennt das Codierschema des Funkschlüssels, und wenn das Antwortsignal mit dem zu erwartenden Antwortsignal übereinstimmt, wird das Fahrzeug entriegelt.
-
Die Reichweite des Funksignals mit der ersten, vorzugsweise niedrigeren Frequenz ist auf wenige Meter beschränkt, meist ungefähr 3 Meter, so dass nur ein nahe am Fahrzeug befindlicher Funkschlüssel durch das fahrzeugseitige Gerät aufgeweckt oder aktiviert werden kann..
-
Ein Relaisstellenangriff (RSA für engl. Relay-Station-Attack) verlängert primär die Reichweite des Funksignals mit der vorzugsweise niedrigeren Frequenz mittels zweier Relaisstellen, einer ersten in der Nähe der Fahrzeugtür und einer zweiten in der Nähe der Person, die den Funkschlüssel mit sich führt, wie nachfolgend anhand von 2 beschrieben wird.
-
Ein Angreifer, der die erste Relaisstelle mit sich führt, weckt das fahrzeugseitige Gerät auf, z. B. durch Berühren des Türgriffs, so dass dieses das Funksignal mit der ersten Frequenz sendet. Dieses wird von der ersten Relaisstelle empfangen und von dieser auf der zweiten (in der Regel, aber nicht notwendigerweise deutlich höheren) Frequenz zu der zweiten Relaisstelle gesendet, welche es wieder in das ursprüngliche Funksignal mit der ersten Frequenz umwandelt und an den Funkschlüssel sendet.
-
Das Antwortsignal des Funkschlüssels ist normalerweise stark genug, um die Distanz zurück zum Fahrzeug zu überbrücken, und öffnet das Fahrzeug (sog. kleine Variante des RSA). Ist das Antwortsignal des Funkschlüssels nicht stark genug, können die Relaisstellen einen Rückkanal bereitstellen, der die Reichweite des Funksignals mit der höheren Frequenz verlängert (sog. große Variante des RSA).
-
Die
DE 103 01 146 A1 offenbart ein Verfahren zum Sichern eines Systems für passive Fahrzeugentriegelung gegen Relaisstellenangriffe mit den Merkmalen des Oberbegriffs von Anspruch 1. Das fahrzeugseitige Gerät überwacht regelmäßig den von ihm empfangenen natürlichen HF-Signalpegel und erkennt eine Relaisstelle an Störungen des natürlichen HF-Signalpegels, die durch einen Rauschtest erkannt werden.
-
Die
US 2016/0200291 A1 offenbart ein Verfahren zum Sichern eines Systems für passive Fahrzeugentriegelung gegen Relaisstellenangriffe, das die Merkmale des Oberbegriffs von Anspruch 1 insofern aufweist, als eine niederfrequente unidirektionale und eine hochfrequente bidirektionale Funkverbindung vorgesehen ist. Damit können Rauschsignale erkannt werden, welche irgendwelche Relaisstellen den Funksignalen hinzugefügt haben.
-
Die
US 2013/0078906 A1 beschreibt ein Verfahren zum Sichern einer Funkverbindung zwischen einem Sender und einem Empfänger, auch zum ferngesteuerten Öffnen eines Fahrzeugs, gegen Relaisstellenangriffe, wobei die Intervention von Relaisstellen anhand von deren Wirkung auf das Rauschen des vom Empfänger empfangenen Signals erkannt wird. Dazu werden charakteristische Rauschparameter extrahiert und mit einem Referenz-Rauschsignal verglichen.
-
Die bekannten Verfahren zur Verhinderung von Relaisstellenangriffen sind nicht unverletzlich, und daher liegt der Erfindung die Aufgabe zu Grunde, ein noch zuverlässigeres Verfahren zum Sichern eines Systems für passive Fahrzeugentriegelung gegen Relaisstellenangriffe anzugeben.
-
Diese Aufgabe wird durch ein Verfahren und eine Vorrichtung zum Sichern eines Systems für passive Fahrzeugentriegelung gegen Relaisstellenangriffe mit den Merkmalen der unabhängigen Patentansprüche gelöst.
-
Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Patentansprüchen angegeben.
-
Gemäß der Erfindung empfangen die beiden Geräte auf der Funkfrequenz oder einer Funkfrequenz, auf der sie beide empfangen, jeweils ein Umgebungsrauschsignal. Eines der beiden Geräte sendet das von ihm empfangene Umgebungsrauschsignal oder wenigstens ein charakterisierendes Merkmal des Umgebungsrauschsignals an das andere Gerät, wo es mit dem hier empfangenen Umgebungsrauschsignal verglichen wird. Die aktuelle Situation wird als sicher erachtet, wenn die beiderseits empfangenen Umgebungsrauschsignale hinsichtlich vorgegebener Merkmale miteinander übereinstimmen, weil in diesem Fall die Entfernung zwischen Fahrzeug und Funkschlüssel tatsächlich klein ist und ein aktueller Relaisstellenangriff sinnlos bzw. kaum möglich ist, und das Fahrzeug wird entriegelt.
-
Die Erfindung basiert darauf, dass es praktisch überall ein ausreichendes und vielfrequentes Umgebungsrauschen von Radiowellen gibt, das meist aus einer Vielzahl von technischen Quellen stammt, aber auch natürliche Ursachen haben kann.
-
Dieses Umgebungsrauschen kann in einem Frequenzbereich, in dem das fahrzeugseitige Gerät und der Funkschlüssel beide über entsprechende Empfänger verfügen, von beiden Geräten empfangen werden, und eines der Geräte, vorzugsweise der Funkschlüssel, kann das von ihm empfangene Umgebungsrauschen an das andere Gerät senden, vorzugsweise an das fahrzeugseitige Gerät, wo es mit dem hier empfangenen Umgebungsrauschen verglichen wird.
-
Die Übertragung des Umgebungsrauschsignals kann entweder die Übertragung einer vollständigen Umgebungsrauschsignalsequenz umfassen, oder es können zur Verkürzung der Übertragungszeiten oder der Datenvolumina lediglich ein oder mehrere charakteristische Merkmale des Umgebungsrauschsignals, z.B. bestimmte Amplituden zu bestimmten Samplezeiten etc., übertragen werden.
-
Es ist zur Verkürzung der Kommunikationszeiten ferner denkbar, dass die Umgebungsrauschsignale sowohl von Sender als auch Empfänger bereits vor der Schlüsselaktivierung „präventiv“ laufend oder in bestimmten Zeitabschnitten erfasst werden und dass man dann bei Vorliegen des Schlüsselsignals auf die bereits gesammelten Umgebungssignalmuster in einem übereinstimmenden Zeitabschnitt zurückgreifen kann.
-
In einer bevorzugten Ausführungsform der Erfindung werden an verschiedenen Orten empfangene Umgebungsrauschsignalsequenzen mittels Kreuzkorrelation miteinander verglichen, welche die Korrelation zweier zeitverschobener Signale beschreibt. Ein Entriegelungsbefehl vom Funkschlüssel wird vom Fahrzeug nur dann befolgt, wenn die Kreuzkorrelation sowohl stark ist und damit eine hohe Ähnlichkeit zwischen den beiden Umgebungsrauschsignalsequenzen zeigt als auch nur eine kleine Phasenverschiebung zeigt, was anzeigt, dass sich der Funkschlüssel nahe am Fahrzeug befindet und die aktuelle Situation offensichtlich sicher ist.
-
Andererseits wird die aktuelle Situation als unsicher erachtet, wenn die Kreuzkorrelation schwach ist oder wenn die Kreuzkorrelation stark ist und ihre Phasenverschiebung groß ist, weil in diesem Fall die Entfernung zwischen Fahrzeug und Funkschlüssel groß ist und es möglich ist, dass gerade ein Relaisstellenangriff stattfindet, und das Fahrzeug bleibt verriegelt.
-
Bevorzugt wird die zweite Funkfrequenz höher als die erste Funkfrequenz gewählt. Niedrigere Frequenzen haben - zumindest bei vergleichbaren Sendeleistungen - in der Regel eine geringere Reichweite zur Folge, weshalb das erste Funksignal durch Verwendung von Niederfrequenz per se wie in gewissen Ausführungsformen gewünscht reichweitenbegrenzt ist, wohingegen, das zweite Funksignal mit höherer Frequenz (typischerweise im UHF-Bereich) eine höhere Reichweite besitzt und damit eine sicherere und leistungsfähigere Übertragungsstrecke bereitstellt.
-
Die Verwendung dieser unterschiedlichen Frequenzbereiche ist jedoch für die eigentliche Erfindung keineswegs zwingend. Grundsätzlich können die erste und die zweite Frequenz auch gleich oder nahezu gleich sein (z.B. als Teil eines bidirektionalen Funksendeprotokolls), wobei dann unterschiedlich gewünschte Reichweiten beispielsweise durch unterschiedliche Sendeleistungen erzielt werden können.
-
Es kann aber ggf. auch auf unterschiedliche Reichweiten ganz verzichtet werden, da die erfindungsgemäße Idee des Vergleichs der Umgebungsrauschmuster bereits eine hinreichend sichere Verifikation erlauben kann, ob sich der Funkschlüssel in der räumlichen Nähe des Fahrzeugs befindet oder nicht.
-
Mit der Erfindung erhält man von irgendwelchen Angreifern unabhängige Informationen über die tatsächliche Entfernung zwischen Fahrzeug und Funkschlüssel, die mit den bekannten Verfahren nicht feststellbar ist, weshalb das damit ausgerüstete System für passive Fahrzeugentriegelung besonders sicher ist.
-
Es folgt eine Beschreibung von Ausführungsbeispielen anhand der Zeichnungen. Darin zeigen:
- 1 eine Prinzipskizze eines Systems für passive Fahrzeugentriegelung;
- 2 eine Prinzipskizze des Systems von Fig. 1 während eines Relaisstellenangriffs;
- 3 Skizzen zur Veranschaulichung des Verfahrens zum Sichern des Systems von 1 gegen Relaisstellenangriffe; und
- 4 ein Flussdiagramm des Verfahrens zum Sichern des Systems von 1 gegen Relaisstellenangriffe.
-
Im Falle eines Relaisstellenangriffs auf ein System wie in 1 und 2 gibt es zwei Möglichkeiten:
-
Entweder werden die beiden Umgebungsrauschsignalsequenzen sehr verschieden sein, wie in 3 als Rauschen 1 und Rauschen 2 dargestellt, und es gibt eine schwache Kreuzkorrelation dazwischen.
-
Oder es werden der Funkschlüssel 2 und das im Fahrzeug eingebaute Gerät 1 beide ein dominantes Signal empfangen, so dass die Kreuzkorrelation hoch ist. Doch wird es eine Phasenverschiebung dazwischen geben, die wesentlich größer ist als ohne Relaisstellenangriff zu erwarten.
-
Das Verfahren zum Sichern eines Systems für passive Fahrzeugentriegelung wird nun anhand von 4 schrittweise beschrieben.
-
Wenn sich der Benutzer dem Fahrzeug 1 nähert, wird der Funkschlüssel durch das darin eingebaute Gerät aufgeweckt (S1), wobei das Gerät an den Funkschlüssel 2 ein relativ niederfrequentes Funksignal mit einem codierten Anfragesignal (S2) sendet, das vom Funkschlüssel 2 decodiert wird (S3).
-
Das im Fahrzeug 1 eingebaute Gerät und der Funkschlüssel 2 tasten nun beide das Rauschen in ihrer Umgebung ab (S4), wobei sie jeweils eine oder mehrere Umgebungsrauschsignalsequenzen gewinnen und aufzeichnen. Die Abtastfrequenz muss natürlich dieselbe sein und wird in der Praxis eher die bei Keyless-Entry verwendete UHF-Frequenz sein, doch kann es auch die niedrigere Frequenz sein, auf der das Anfragesignal gesendet wird, wenn beide Geräte über entsprechende Empfänger verfügen. Letztlich kann auch eine von den vorgegebenen Frequenzen abweichende Frequenz (denkbar wäre auch ein Frequenzbereich) verwendet werden; diese (oder dieser) muss lediglich durch die gegebene Hardware fahrzeug- und funkschlüsselseitig abtastbar sein.
-
Der Funkschlüssel 2 berechnet nun ein Antwortsignal (S5) und sendet dieses zusammen mit einer oder mehreren abgetasteten Umgebungsrauschsignalsequenzen auf der UHF-Frequenz an das Fahrzeug 1 zurück, wobei nicht nur das Antwortsignal codiert ist, sondern zweckmäßigerweise auch die Umgebungsrauschsignalsequenzen codiert sind (S6 und 2).
-
Das im Fahrzeug 1 eingebaute Gerät empfängt das Antwortsignal und das abgetastete Rauschen, decodiert das Antwortsignal und prüft, ob das Antwortsignal mit dem zu erwartenden Antwortsignal übereinstimmt (S7). Wenn nicht, lässt es das Fahrzeug 1 verriegelt (S11), und anderenfalls decodiert das im Fahrzeug 1 eingebaute Gerät auch die von dem Funkschlüssel 2 abgetasteten Umgebungsrauschsignalsequenzen (S8).
-
Das im Fahrzeug 1 eingebaute Gerät vergleicht nun die von ihm selbst und die von dem Funkschlüssel 2 empfangenen Umgebungsrauschsignalsequenzen mittels Kreuzkorrelation (S9) und bewertet deren Ergebnis, wobei es die folgenden drei Fälle unterscheidet:
-
Schwache Kreuzkorrelation, wie sie in den Graphen c) und d) in 3 veranschaulicht ist, bedeutet, dass sich der Funkschlüssel 2 nicht in der Nähe des Fahrzeugs 1 befindet und ein anderes Rauschen empfängt (S10), und das Fahrzeug 1 bleibt verriegelt (S11).
-
Starke Kreuzkorrelation und große Phasenverschiebung wie im Graphen b) in 3 bedeutet, dass der Funkschlüssel 2 und das im Fahrzeug 1 eingebaute Gerät ein dominantes Signal empfangen, doch zeigt die starke Phasenverschiebung, dass die Distanz zwischen Funkschlüssel 2 und Fahrzeug 1 groß ist (S12), und das Fahrzeug 1 bleibt auch in diesem Fall verriegelt (S11).
-
Starke Kreuzkorrelation mit kleiner Phasenverschiebung wie im Graphen a) in 3 bedeutet, dass der Funkschlüssel 2 und das im Fahrzeug 1 eingebaute Gerät dasselbe Signal empfangen, wobei die kleine Phasenverschiebung eine geringe Distanz zwischen Funkschlüssel 2 und Fahrzeug 1 anzeigt (S13), und das Fahrzeug 1 wird entriegelt (S14).
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 10301146 A1 [0009]
- US 2016/0200291 A1 [0010]
- US 2013/0078906 A1 [0011]