DE102019120207A1 - Passives schlüsselloses Zugangssystem - Google Patents

Passives schlüsselloses Zugangssystem Download PDF

Info

Publication number
DE102019120207A1
DE102019120207A1 DE102019120207.8A DE102019120207A DE102019120207A1 DE 102019120207 A1 DE102019120207 A1 DE 102019120207A1 DE 102019120207 A DE102019120207 A DE 102019120207A DE 102019120207 A1 DE102019120207 A1 DE 102019120207A1
Authority
DE
Germany
Prior art keywords
message
sequence
key fob
transmitter
parameters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102019120207.8A
Other languages
English (en)
Inventor
Xing Ping Lin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bcs Access Systems Us LLC
Original Assignee
Bcs Access Systems Us LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bcs Access Systems Us LLC filed Critical Bcs Access Systems Us LLC
Publication of DE102019120207A1 publication Critical patent/DE102019120207A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • B60R25/246Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user characterised by the challenge triggering
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • B60R25/248Electronic key extraction prevention
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B1/00Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
    • H04B1/69Spread spectrum techniques
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00317Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks keyless data carrier having only one limited data transmission range
    • G07C2009/00333Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks keyless data carrier having only one limited data transmission range and the lock having more than one limited data transmission ranges
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00365Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks in combination with a wake-up circuit
    • G07C2009/00373Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks in combination with a wake-up circuit whereby the wake-up circuit is situated in the lock
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00412Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal being encrypted
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00555Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks comprising means to detect or avoid relay attacks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • G07C2009/00769Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
    • G07C2009/00793Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means by Hertzian waves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B1/00Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
    • H04B1/69Spread spectrum techniques
    • H04B2001/6912Spread spectrum techniques using chirp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Lock And Its Accessories (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Ein passives schlüsselloses Zugangssystem für ein elektronisches Schloss weist eine Schlossanlage mit einer Schlosssteuerung und einem HF-Sender und einem HF-Empfänger; und einen Schlüsselanhänger mit einer Steuerung, einem HF-Sender und einem HF-Empfänger auf. Der Schlüsselanhänger erzeugt Nachrichten für die Entriegelung des Schlosses bei einem Entriegelungsereignis. Die Steuerungen nutzen gemeinsam ein Geheimnis, das Parameter für eine Folge von Nachrichten festlegt, die bidirektional zwischen der Anlage und dem Schlüsselanhänger ausgetauscht werden sollen, wobei sich die Parameter zwischen jedem Entriegelungsereignis und einem unmittelbar nachfolgenden Entriegelungsereignis ändern. Für jedes Entriegelungsereignis erzeugt und sendet eine der Steuerungen eine erste Nachricht der Nachrichtenfolge entsprechend den festgelegten Parametern. Die andere Steuerung führt dazu, dass in Reaktion auf den Empfang der ersten Nachricht eine zweite Nachricht der Folge entsprechend den festgelegten Parametern gesendet wird. Mindestens eine Nachricht der Folge umfasst mehrere Rahmen, wobei jeder Rahmen eine bestimmte Bitfolge umfasst, wobei benachbarte Rahmen durch ein Zwischenrahmenintervall getrennt sind. Benachbarte Nachrichten in der Folge sind durch ein Zwischennachrichtenintervall getrennt. Die festgelegten Parameter sind derart, dass eine vorgegebene Nachricht der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorgegebenen Nachricht der Folge und der unmittelbar vorangehenden oder unmittelbar nachfolgenden Nachricht nicht länger ist als das erste Zwischenrahmenintervall.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft ein passives schüsselloses Zugangssystem und insbesondere ein passives schlüsselloses Zugangssystem für ein Fahrzeug.
  • Hintergrund
  • Schlüssellose Zugangssysteme, in denen ein Schlüsselanhänger oder ein Schlüssel einen HF-Sender aufweist, der für die Kommunikation mit einem entsprechenden Empfänger im Fahrzeug verwendet wird, um die Fahrzeugtüren zu verriegeln oder zu entriegeln, haben sich als sehr beliebte Option für Kraftfahrzeuge erwiesen. Bei diesen Systemen war es zunächst erforderlich, eine Drucktaste oder ein anderes Stellglieds am Schlüsselanhänger zu betätigen, um die Türen des Fahrzeugs zu verriegeln oder zu entriegeln. In der Folge wurden jedoch sogenannte passive schlüssellose Zugangssysteme entwickelt, bei denen keine Interaktion des Benutzers mit dem Schlüsselanhänger erforderlich ist, um die Türen des Fahrzeugs zu entriegeln oder zu verriegeln, wenn sich der Benutzer in der Nähe des Fahrzeugs befindet. Derartige Systeme funktionieren entweder durch das Erfassen der Nähe des Schlüsselanhängers zum Fahrzeugsender und das Aussenden periodischer Bakensignale durch das Fahrzeug, die, wenn sie von einem Schlüsselanhänger erfasst werden, dazu führen, dass der Schlüsselanhänger aufwacht und eine Antwort gibt. Wenn die Antwort von einem damit gepaarten Schlüsselanhänger stammt, werden die Fahrzeugtüren entriegelt. Andere passive schlüssellose Zugangssysteme erfordern, dass der Benutzer einen Türgriff des Fahrzeugs berührt oder sich ihm nähert, wobei eine kapazitive Erfassung zur Erkennung der Anwesenheit verwendet wird, wodurch das Fahrzeug eine Weckmeldung an den Schlüsselanhänger sendet. Der Schlüsselanhänger liefert eine Antwort, und wenn es sich bei dem Schlüsselanhänger um einen gepaarten Schlüsselanhänger handelt, werden die Fahrzeugtüren entriegelt. Die Schlüsselanhänger derartiger Systeme können auch Drucktasten oder gleichwertige Stellglieder umfassen, damit der Benutzer veranlassen kann, dass der Schlüsselanhänger ein Signal aus größerer Entfernung an das Fahrzeug sendet, um das Fahrzeug zu verriegeln oder entriegeln - oder sogar das Fahrzeug aus der Ferne zu starten.
  • Obwohl schlüssellose Zugangssysteme im Allgemeinen die Fahrzeugsicherheit verbessert haben, hat sich herausgestellt, dass passive schlüssellose Zugangssysteme im Vergleich zur Verwendung herkömmlicher mechanischer Schlüssel eine Schwachstelle hinsichtlich der Sicherheit haben. Diese Schwachstelle wird als „Relais-Angriff“ (engl. Relais Attack“) bezeichnet. Bei einem Relais-Angriff arbeiten zwei potenzielle Diebe zusammen. Einer der Diebe steht in der Nähe des Fahrzeugs, während der andere Dieb sich in der Nähe des Fahrzeughalters positioniert, der den Schlüsselanhänger trägt. Jeder der Diebe hat eine Hochfrequenzvorrichtung, wobei die beiden Vorrichtungen entweder über ein physisches Kabel oder häufiger über eine andere Hochfrequenzverbindung verbunden sind. Der Dieb am Fahrzeug nähert sich dem Fahrzeug und hebt oder berührt bei Bedarf den Türgriff. Bei diesem Vorgang wird ein Niederfrequenzsender im Fahrzeuginneren so aktiviert, dass er ein Wecksignal aussendet. Die Hochfrequenzvorrichtung des Diebes empfängt das Wecksignal und leitet es an die Vorrichtung des anderen Diebes weiter. Das Wecksignal wird dann von der Hochfrequenzvorrichtung des zweiten Diebes übertragen, die sich in Reichweite des Schlüsselanhängers befindet. Der Schlüsselanhänger, der das weitergeleitete Wecksignal empfängt, reagiert, und das von dem Schlüsselanhänger ausgesendete Signal wird von der HF-Vorrichtung des zweiten Diebes empfangen und an die Vorrichtung des ersten Diebes weitergeleitet. Die Vorrichtung des ersten Diebes sendet die weitergeleitete Antwort von dem Schlüsselanhänger aus und bringt das im Fahrzeug montierte System durch Täuschung dazu zu glauben, dass sich der Schlüsselanhänger ausreichend nahe am Fahrzeug befindet, so dass die Türen des Fahrzeugs entriegelt werden. Der gleiche Vorgang ist wirksam, wenn die Fahrzeugsysteme durch Täuschung dazu gebracht werden zu glauben, dass der Schlüsselanhänger vorhanden ist, so dass das Fahrzeug gestartet und weggefahren werden kann.
  • Die vorliegende Erfindung zielt darauf ab, derartige Relay-Angriffe weniger erfolgreich zu machen.
  • Zusammenfassung der Erfindung
  • Bei einer ersten Ausführungsform stellt die vorliegende Erfindung ein passives schlüsselloses Zugangssystem für ein elektronisches Schloss bereit, wobei das System Folgendes aufweist: eine Schlossanlage mit einer ersten Steuerung, einem ersten HF-Sender und einem ersten HF-Empfänger; und einen Schlüsselanhänger mit einer Schlüsselanhängersteuerung, einem zweiten HF-Sender und einem zweiten HF-Empfänger, wobei der Schlüsselanhänger zur Erzeugung von Nachrichten für die Entriegelung des Schlosses bei einem Entriegelungsereignis ausgelegt ist; wobei: die erste Steuerung und die Schlüsselanhängersteuerung ein Geheimnis gemeinsam nutzen, das Parameter für eine Folge von Nachrichten festlegt, die bidirektional zwischen der Schlossanlage und dem Schlüsselanhänger unter Verwendung des ersten HF-Senders und des zweiten HF-Empfängers und des zweiten HF-Senders und des ersten HF-Empfängers ausgetauscht werden sollen, wobei sich die Parameter zwischen jedem Entriegelungsereignis und einem unmittelbar nachfolgenden Entriegelungsereignis ändern; wobei für jedes Entriegelungsereignis die erste Steuerung oder die Schlüsselanhängersteuerung so ausgelegt ist, dass sie eine erste Nachricht der Nachrichtenfolge entsprechend den festgelegten Parametern erzeugt und dazu führt, dass der erste oder zweite HF-Sender die erste Nachricht der Folge entsprechend den festgelegten Parametern überträgt; und wobei die jeweils andere der ersten Steuerung und der Schlüsselanhängersteuerung so ausgelegt ist, dass sie den jeweils anderen des ersten HF-Senders und des zweiten HF-Senders so steuert, dass er in Reaktion auf den Empfang der ersten Nachricht der Folge eine zweite Nachricht der Folge entsprechend den festgelegten Parametern überträgt; und wobei die erste Steuerung ferner so ausgelegt ist, dass sie nur dann das elektronische Schloss entriegelt, wenn die oder jede Nachricht, die wie durch die Folge gefordert von dem Schlüsselanhänger übertragen wurde, von dem ersten Empfänger korrekt empfangen wird; und wobei mindestens eine Nachricht der Nachrichtenfolge mehrere Rahmen umfasst, wobei jeder Rahmen eine bestimmte Bitfolge umfasst, wobei benachbarte Rahmen der mehreren Rahmen durch ein Zwischenrahmenintervall voneinander getrennt sind; wobei benachbarte Nachrichten in der Nachrichtenfolge durch ein Zwischennachrichtenintervall voneinander getrennt sind; und wobei die festgelegten Parameter derart sind, dass eine vorvorgegebene Nachricht der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorvorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden und/oder unmittelbar nachfolgenden Nachricht nicht länger ist als das erste Zwischenrahmenintervall.
  • Durch die Einführung von Zwischenrahmenintervallen in Nachrichten der Folge wird es für einen Angreifer schwieriger zu sagen, ob eine Übertragungslücke eine Änderung der Übertragungsrichtung bedeutet. Der Angreifer kann daher die Übertragungsrichtung seiner Ausrüstung nicht sicher umschalten, wenn er eine Übertragungslücke erkennt. Daher ist es wahrscheinlich, dass der Angreifer eine Rückkopplungsschleife erzeugt. Indem zumindest einige der Zwischenrahmen- und Zwischennachrichtenintervalle vergleichbar in der Dauer gemacht werden, wird die Aufgabe des Angreifers noch schwieriger.
  • Optional kann die vorgegebene Nachricht der Nachrichtenfolge mindestens drei Rahmen umfassen, und verschiedene Paare benachbarter Rahmen sind durch Zwischenrahmenintervalle mit unterschiedlichen Dauern getrennt. Dadurch werden die Schwierigkeiten erhöht, denen ein Angreifer gegenübersteht.
  • Optional hat ein Zwischennachrichtenintervall zwischen der vorvorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden oder unmittelbar nachfolgenden Nachricht der Folge eine Dauer zwischen den Dauern der Zwischenrahmenintervalle der vorvorgegebenen Nachricht der Nachrichtenfolge. Dadurch werden die Schwierigkeiten, denen ein Angreifer gegenübersteht, weiter erhöht.
  • Die erste Steuerung ist vorteilhafterweise so ausgelegt, dass das Geheimnis von der ersten Steuerung und der Schlüsselanhängersteuerung gemeinsam genutzt wird, indem der erste HF-Sender so gesteuert wird, dass er eine erste verschlüsselte Nachricht, die die Parameter für die Nachrichtenfolge festlegt, an den zweiten HF-Empfänger sendet. Die Bereitstellung oder Aktualisierung des gemeinsamen Geheimnisses auf diese Weise bedeutet, dass es für Angreifer wahrscheinlich schwieriger wird, die Geheimnisse, die die Nachrichtenfolgen steuern, aufzudecken. Dadurch wird die Sicherheit weiter verbessert.
  • Optional arbeiten der erste und der zweite HF-Sender mit derselben HF-Trägerfrequenz, wodurch es für Angreifer schwierig ist, zwischen Signalen, die von der Schlossanlage stammen, und solchen, die von dem Schlüsselanhänger stammen, zu unterscheiden.
  • Vorzugsweise ist die erste Steuerung so ausgelegt, dass sie für jeden Versuch der Entriegelung des elektronischen Schlosses einen anderen Parametersatz festlegt. Auf diese Weise wird es für Angreifer schwieriger, die Details der Folge vorherzusagen, und somit schwieriger, das System zu überwinden.
  • Optional umfassen die in der verschlüsselten Nachricht festgelegten Parameter zumindest eines der folgenden Elemente:
    • einen Hinweis, ob der erste oder der zweite HF-Sender eine erste Nachricht der Folge übertragen soll; eine Startzeit für jede Nachricht in der Folge; eine Dauer für jede Nachricht in der Folge; eine Dauer für ein Intervall zwischen benachbarten Nachrichten in der Folge. Dadurch, dass eine Auswahl zwischen diesen verschiedenen Parametern möglich ist, kann das System für einen Angreifer schwieriger zu überwinden sein.
  • Die in der verschlüsselten Nachricht festgelegten Parameter können einen Hinweis umfassen, ob der erste oder der zweite HF-Sender eine erste Nachricht der Folge übertragen soll, und eine Startzeit für jede Nachricht in der Folge und/oder eine Dauer für jede Nachricht in der Folge. Ein System zu haben, in dem die Quelle der ersten Nachricht der Folge variiert, und die Startzeit und/oder die Dauer jeder Nachricht der Folge zu verändern, kann auch die Schwierigkeit erhöhen, das System zu überwinden.
  • Die erste Steuerung kann so ausgelegt sein, dass sie den ersten HF-Sender so steuert, dass er die verschlüsselte Nachricht, die die Parameter für eine Nachrichtenfolge festlegt, nur dann an den zweiten HF-Empfänger sendet, nachdem die erste Steuerung erkannt hat, dass der Schlüsselanhänger mit der ersten Steuerung gepaart wurde. Ein derartiger Ansatz verbessert die Sicherheit des Systems, indem er die Übertragung der verschlüsselten Nachrichten verhindert, wenn kein gepaarter Schlüsselanhänger erkannt wird. Mit einer derartigen Anordnung kann die Schlossanlage zusätzlich einen NiederfrequenzSender umfassen, um eine Weckmeldung zum Schlüsselanhänger zu übertragen.
  • Der erste HF-Sender und der erste HF-Empfänger können als erster HF-Transceiver ausgebildet sein, der eine kompaktere Installation ermöglicht und die Kosten dadurch reduziert, dass eine Verdopplung einiger Komponenten vermieden wird. Ebenso können der zweite HF-Sender und der zweite HF-Empfänger als zweiter HF-Transceiver ausgebildet sein.
  • Durch die Verschlüsselung der Nachricht, die zur Übertragung der Parameter von der Schlossanlage zum Schlüsselanhänger verwendet wird, wobei der Schlüsselanhänger über einen Schlüssel verfügt, der es dem Schlüsselanhänger ermöglicht, die Nachricht zu entschlüsseln, kann die Sicherheit von Systemen gemäß Ausführungsformen der Erfindung verbessert werden, indem es Angreifern erschwert wird, das Verhalten des Systems vorherzusagen.
  • Das elektronische Schloss kann ein Schloss eines Fahrzeugs sein, aber ebenso ein Schloss eines Raumes, eines Gebäudes oder einer anderen Struktur oder Ausrüstung.
  • In einer weiteren Ausführungsform der Erfindung ist eine elektronische Schlossanlage vorgesehen, die für einen passiven schlüssellosen Zugang ausgelegt ist, wobei die Schlossanlage Folgendes aufweist:
    • ein elektronisches Schloss, einen HF-Sender und einen HF-Empfänger für die Kommunikation mit einem Schlüsselanhänger, der zur Erzeugung von Nachrichten für die Entriegelung des Schlosses bei einem Entriegelungsereignis ausgelegt ist, und eine Steuerung, die wirkungsmäßig an das Schloss, den HF-Sender und den HF-Empfänger gekoppelt ist, wobei die Steuerung und der Schlüsselanhänger ein Geheimnis gemeinsam nutzen, wobei das Geheimnis Parameter für eine Nachrichtenfolge festlegt, die bidirektional zwischen der Schlossanlage und dem Schlüsselanhänger unter Verwendung des HF-Senders und des HF-Empfängers ausgetauscht werden sollen, wobei sich die Parameter zwischen jedem Entriegelungsereignis und einem unmittelbar nachfolgenden Entriegelungsereignis ändern; das Steuern des HF-Senders, so dass er mindestens eine Nachricht der Folge entsprechend den festgelegten Parametern an den Schlüsselanhänger sendet; das Steuern des HF-Empfängers, so dass er mindestens eine von dem Schlüsselanhänger entsprechend den festgelegten Parametern übertragene Nachricht der Folge empfängt; und wobei mindestens eine Nachricht aus der Nachrichtenfolge mehrere Rahmen umfasst, wobei jeder Rahmen eine besondere Bitfolge umfasst, wobei benachbarte Rahmen der mehreren Rahmen durch ein Zwischenrahmenintervall voneinander getrennt sind; wobei benachbarte Nachrichten in der Nachrichtenfolge durch ein Zwischennachrichtenintervall voneinander getrennt sind; und wobei die festgelegten Parameter derart sind, dass eine vorvorgegebene Nachricht aus der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorvorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden und/oder unmittelbar nachfolgenden Nachricht nicht länger ist als das erste Zwischenrahmenintervall, und wobei die Steuerung ferner so ausgelegt ist, dass sie nur dann das elektronische Schloss entriegelt, wenn die oder jede Nachricht, die wie durch die Folge gefordert von dem Schlüsselanhänger übertragen wurde, von dem ersten Empfänger korrekt empfangen wird.
  • Bei einer derartigen Anlage kann das Geheimnis von der ersten Steuerung und der Schlüsselanhängersteuerung gemeinsam genutzt werden, indem die erste Steuerung den ersten HF-Sender so steuert, dass er eine verschlüsselte Nachricht, die die Parameter für die Nachrichtenfolge festlegt, an den zweiten HF-Empfänger sendet. Die Bereitstellung oder Aktualisierung des gemeinsamen Geheimnisses auf diese Weise bedeutet, dass es für Angreifer wahrscheinlich schwieriger ist, die Geheimnisse, die die Nachrichtenfolgen steuern, aufzudecken. Dadurch wird die Sicherheit weiter verbessert.
  • In einer derartigen Anlage kann die Steuerung so ausgelegt sein, dass sie eine neue verschlüsselte Nachricht sendet und für jeden Versuch, das elektronische Schloss zu entriegeln, einen anderen Parametersatz festlegt. Während eine Nachricht zur Aktualisierung von Parametern verwendet werden kann, die für eine Reihe von Versuchen zur Entriegelung des Schlosses verwendet werden können, wobei mehrere Parametersätze in einer einzelnen Nachricht bereitgestellt werden, ist es zumindest hinsichtlich der Nachrichtenlänge vorzuziehen, nur einen Parametersatz in einer einzelnen Nachricht bereitzustellen. Das Ändern der Parameter für jeden Entriegelungsversuch erschwert es einem Angreifer, einen erfolgreichen Relais-Angriff zu starten.
  • Bei einer derartigen Anlage kann die Steuerung so ausgelegt sein, dass sie für jeden Versuch einer Entriegelung des elektronischen Schlosses einen anderen Parametersatz festlegt. Auf diese Weise wird es für Angreifer schwieriger, die Details der Folge vorherzusagen, und somit schwieriger, die Sicherheit der Schlossanlage zu überwinden.
  • Optional können die in der verschlüsselten Nachricht festgelegten Parameter mindestens eines der folgenden Elemente umfassen: einen Hinweis, ob der Schlüsselanhänger oder der HF-Sender eine erste Nachricht der Folge übertragen soll; eine Startzeit für jede Nachricht in der Folge; eine Dauer für jede Nachricht in der Folge; eine Dauer für ein Intervall zwischen benachbarten Nachrichten in der Folge. Dadurch, dass eine Auswahl zwischen diesen verschiedenen Parametern möglich ist, kann die Anlage für einen Angreifer schwieriger zu überwinden sein.
  • Optional können die in der verschlüsselten Nachricht festgelegten Parameter einen Hinweis umfassen, ob der Schlüsselanhänger oder der HF-Sender eine erste Nachricht der Folge übertragen soll, und eine Startzeit für jede Nachricht in der Folge und/oder eine Dauer für jede Nachricht in der Folge. Eine Anlage zu haben, in der die Quelle der ersten Nachricht der Folge variiert, und die Startzeit und/oder die Dauer jeder Nachricht der Folge zu verändern, kann auch die Schwierigkeit erhöhen, das System zu überwinden.
  • Bei einer weiteren Ausführungsform der Erfindung wird ein Schlüsselanhänger für ein passives schlüsselloses Zugangssystem für ein elektronisches Schloss bereitgestellt, wobei der Schlüsselanhänger eine Schlüsselanhängersteuerung, einen Niederfrequenzempfänger, einen HF-Sender und einen HF-Empfänger aufweist, wobei der Schlüsselanhänger so ausgelegt ist, dass er Nachrichten zur Entriegelung des Schlosses bei einem Entriegelungsereignis erzeugt, wobei: die Schlüsselanhängersteuerung und eine Schlossanlage des elektronischen Schlosses ein Geheimnis gemeinsam nutzen, das Parameter für eine Folge von Nachrichten festlegt, die bidirektional zwischen der Schlossanlage und dem Schlüsselanhänger unter Verwendung des HF-Senders und des HF-Empfängers ausgetauscht werden sollen, wobei mindestens eine der Nachrichten der Folge als von dem Schlüsselanhänger stammend festgelegt ist, wobei sich die Parameter zwischen jedem Entriegelungsereignis und einem unmittelbar nachfolgenden Entriegelungsereignis ändern; wobei mindestens eine Nachricht der Nachrichtenfolge mehrere Rahmen umfasst, wobei jeder Rahmen eine besondere Bitfolge umfasst, wobei benachbarte Rahmen der mehreren Rahmen durch ein Zwischenrahmenintervall voneinander getrennt sind; wobei benachbarte Nachrichten in der Nachrichtenfolge durch ein Zwischennachrichtenintervall voneinander getrennt sind; wobei die festgelegten Parameter derart sind, dass eine vorvorgegebene Nachricht der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorvorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden und/oder unmittelbar nachfolgenden Nachricht nicht länger ist als das erste Zwischenrahmenintervall; wobei die Schlüsselanhängersteuerung so ausgelegt ist, dass sie aufwacht, wenn der Niederfrequenzempfänger eine Niederfrequenzwecknachricht von der Schlossanlage empfängt, und dazu führt, dass der HF-Sender eine Antwort zur Anlage überträgt, wobei die Antwort eine Schlüsselanhängerkennung umfasst; und wobei die Steuerung so ausgelegt ist, dass sie anschließend den HF-Sender so steuert, dass er die oder jede Nachricht der Folge, die als von dem Schlüsselanhänger stammend festgelegt wurde, entsprechend den festgelegten Parametern an die Schlossanlage sendet.
  • Indem sowohl der Schlüsselanhänger als auch die Schlossanlage Nachrichten in einer Folge entsprechend festgelegter Parameter übertragen, da die Schaltzeit der Kommunikationsrichtung den Angreifern unbekannt ist, können Angreifer gezwungen sein, Signale kontinuierlich an beiden Enden des Systems zu erfassen und weiterzuleiten - was wahrscheinlich zu Rückkopplungsschleifen führt, so dass es wahrscheinlich ist, dass die Rückmeldung Signale überlastet oder/und das Bitsymbol der Signale, die während des Relais-Angriffs von der Schlüsselanhänger- oder der Fahrzeugseite erhalten wurden, verzerrt. Dadurch ist wiederum ein erfolgreicher Relais-Angriff unwahrscheinlicher.
  • Optional kann der Schlüsselanhänger so ausgelegt sein, dass er die festgelegten Parameter in einer verschlüsselten Nachricht von der Schlossanlage empfängt. Die Bereitstellung oder Aktualisierung des gemeinsam genutzten Geheimnisses auf diese Weise bedeutet, dass es für Angreifer wahrscheinlich schwieriger ist, die Geheimnisse, die die Nachrichtenfolgen steuern, aufzudecken. Dadurch wird die Sicherheit weiter verbessert.
  • Die Schlüsselanhängersteuerung kann so ausgelegt sein, dass sie die in einer vorvorgegebenen verschlüsselten Nachricht bereitgestellten, festgelegten Parameter nur bei einem Entriegelungsereignis anwendet. Das Ändern der Parameter für jeden Entriegelungsversuch erschwert es einem Angreifer, einen erfolgreichen Relais-Angriff zu starten.
  • Optional kann die Steuerung so ausgelegt sein, dass sie eine Startzeit und/oder eine Dauer einer Nachricht steuert, die als Teil der Folge von dem HF-Sender übertragen werden soll. Dadurch, dass eine Auswahl zwischen diesen verschiedenen Parametern möglich ist, kann das System für einen Angreifer schwieriger zu überwinden sein.
  • Bei einer weiteren Ausführungsform der Erfindung wird ein Verfahren zum Verhindern eines erfolgreichen Relais-Angriffs auf ein passives schlüsselloses Zugangssystem für ein elektronisches Schloss einer Schlossanlage bereitgestellt, wobei das System einen Schlüsselanhänger aufweist, der dazu ausgelegt ist, Nachrichten zur Entriegelung des Schlosses bei einem Entriegelungsereignis zu erzeugen, wobei das Verfahren Folgendes umfasst:
    • Steuern, für jedes Entriegelungsereignis, eines ersten HF-Senders, der dem Schloss zugeordnet ist, oder eines zweiten HF-Senders des Schlüsselanhängers, um eine erste Nachricht einer Nachrichtenfolge entsprechend Parametern zu erzeugen, die in einem Geheimnis, das von einer Schlüsselanhängersteuerung und einer ersten Steuerung der Schlossanlage gemeinsam genutzt wird, festgelegt sind; Steuern des jeweils anderen des ersten HF-Senders und des zweiten HF-Senders, so dass eine zweite Nachricht der Folge entsprechend den festgelegten Parametern in Reaktion auf das Empfangen der ersten Nachricht der Folge übertragen wird; Ändern der Folge der Parameter der Folge bei jeder Iteration des Verfahrens, wobei jedoch jede Folge Übertragungen von dem ersten und dem zweiten HF-Sender verschachtelt; und Entriegeln des elektronischen Schlosses nur dann, wenn die oder jede Nachricht, die wie durch die Folge gefordert von dem Schlüsselanhänger übertragen wurde, korrekt von einem HF-Empfänger der Schlossanlage empfangen wird; wobei die festgelegten Parameter derart sind, dass eine vorvorgegebene Nachricht der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorvorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden und/oder unmittelbar nachfolgenden Nachricht nicht länger ist als das erste Zwischenrahmenintervall.
  • Indem sowohl der Schlüsselanhänger als auch die Schlossanlage Nachrichten übertragen und diese in einer Folge entsprechend den festgelegten Parametern verschachteln, können Angreifer gezwungen sein, Signale kontinuierlich an beiden Enden des Systems zu erfassen - was wahrscheinlich zu Rückkopplungsschleifen führt, so dass es wahrscheinlich ist, dass die Rückkopplung Signale überlastet oder/und das Bitsymbol der Signale, die während des Relais-Angriffs von dem Schlüsselanhänger erhalten wurden, verzerrt. Dadurch ist wiederum ein erfolgreicher Relais-Angriff unwahrscheinlicher.
  • Optional kann das Verfahren das Steuern des ersten HF-Senders umfassen, so dass er eine verschlüsselte Nachricht, die die Parameter für die Nachrichtenfolge festlegt, an den Schlüsselanhänger sendet. Die Bereitstellung oder Aktualisierung des gemeinsamen Geheimnisses auf diese Weise bedeutet, dass es für Angreifer wahrscheinlich schwieriger ist, die Geheimnisse, die die Nachrichtenfolgen steuern, aufzudecken. Dadurch wird die Sicherheit weiter verbessert.
  • Optional kann das Verfahren das Senden einer neuen verschlüsselten Nachricht und das Festlegen eines anderen Parametersatzes für jeden Versuch einer Entriegelung des elektronischen Schlosses umfassen. Das Ändern der Parameter für jeden Entriegelungsversuch erschwert es einem Angreifer, einen erfolgreichen Relais-Angriff zu starten.
  • Optional können die in der verschlüsselten Nachricht festgelegten Parameter mindestens eines der folgenden Elemente umfassen: einen Hinweis, ob der Schlüsselanhänger oder der HF-Sender eine erste Nachricht der Folge übertragen soll; eine Startzeit für jede Nachricht in der Folge; eine Dauer für jede Nachricht in der Folge; eine Dauer für ein Intervall zwischen benachbarten Nachrichten in der Folge.
  • Optional können die in der verschlüsselten Nachricht festgelegten Parameter einen Hinweis umfassen, ob der Schlüsselanhänger oder der HF-Sender eine erste Nachricht der Folge übertragen soll; und eine Startzeit für jede Nachricht in der Folge und/oder eine Dauer für jede Nachricht in der Folge. Dadurch, dass eine Auswahl zwischen diesen verschiedenen Parametern möglich ist, insbesondere indem es dem System ermöglicht wird, verschiedene Startzeiten für die bidirektionale Übertragung zu wählen, kann das System für einen Angreifer schwieriger zu überwinden sein.
  • Bei einer weiteren Ausführungsform stellt die vorliegende Erfindung ein passives schlüsselloses Zugangssystem für ein elektronisches Schloss bereit, wobei das System Folgendes aufweist:
    • eine Schlossanlage mit einer ersten Steuerung, einem ersten HF-Sender und einem ersten HF-Empfänger; und
    • einen Schlüsselanhänger mit einer Schlüsselanhängersteuerung, einem zweiten HF-Sender und einem zweiten HF-Empfänger, wobei:
      • die erste Steuerung so ausgelegt ist, dass sie den ersten HF-Sender so steuert, dass er eine erste Nachricht an den zweiten HF-Empfänger sendet, die Parameter für eine Folge von Nachrichten festlegt, die bidirektional zwischen der Schlossanlage und dem Schlüsselanhänger unter Verwendung des ersten HF-Senders und des zweiten HF-Empfängers und des zweiten HF-Senders und des ersten HF-Empfängers ausgetauscht werden sollen;
      • die Schlüsselanhängersteuerung so ausgelegt ist, dass sie auf das Empfangen der ersten Nachricht antwortet, indem der zweite HF-Sender so gesteuert wird, dass er mindestens eine Nachricht der Folge entsprechend den festgelegten Parametern an den ersten HF-Empfänger sendet;
      • die erste Steuerung so ausgelegt ist, dass sie den ersten HF-Sender so steuert, dass er mindestens eine Nachricht der Folge entsprechend den festgelegten Parametern an den zweiten HF-Empfänger sendet; und die erste Steuerung ferner so ausgelegt ist, dass sie das elektronische Schloss nur dann entriegelt, wenn die oder jede Nachricht, die wie durch die Folge gefordert von dem Schlüsselanhänger übertragen wurde, von dem ersten Empfänger korrekt empfangen wird;
      • mindestens eine Nachricht der Nachrichtenfolge mehrere Rahmen umfasst, wobei jeder Rahmen eine bestimmte Bitfolge umfasst, wobei benachbarte Rahmen der mehreren Rahmen durch ein Zwischenrahmenintervall voneinander getrennt sind;
      • benachbarte Nachrichten in der Nachrichtenfolge durch ein Zwischennachrichtenintervall voneinander getrennt sind;
      • wobei die festgelegten Parameter derart sind, dass eine vorvorgegebene Nachricht der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorgegebenen Nachricht der Folge und einer nachfolgenden Nachricht, die zu der vorgegebenen Nachricht der Folge benachbart ist, nicht länger ist als das erste Zwischenrahmenintervall.
  • Optional umfasst die erste Nachricht der Nachrichtenfolge mindestens drei Rahmen, und verschiedene Paare benachbarter Rahmen sind durch Zwischenrahmenintervalle mit unterschiedlichen Dauern getrennt. Optional hat das Zwischennachrichtenintervall zwischen der ersten Nachricht der Folge und der nachfolgenden Nachricht, die zu der ersten Nachricht der Folge benachbart ist, eine Dauer zwischen den Dauern der Zwischenrahmenintervalle der ersten Nachricht der Nachrichtenfolge.
  • Bei einer alternativen Ausführungsform stellt die vorliegende Erfindung ein passives schlüsselloses Zugangssystem für ein elektronisches Schloss bereit, wobei das System Folgendes aufweist: eine Schlossanlage mit einer ersten Steuerung, einem ersten HF-Sender und einem ersten HF-Empfänger; und einen Schlüsselanhänger mit einer Schlüsselanhängersteuerung, einem zweiten HF-Sender und einem zweiten HF-Empfänger, wobei: die erste Steuerung so ausgelegt ist, dass sie den ersten HF-Sender so steuert, dass er eine erste Nachricht an den zweiten HF-Empfänger sendet, die Parameter für eine Folge von Nachrichten festlegt, die bidirektional zwischen der Schlossanlage und dem Schlüsselanhänger unter Verwendung des ersten HF-Senders und des zweiten HF-Empfängers und des zweiten HF-Senders und des ersten HF-Empfängers ausgetauscht werden sollen;
    wobei die Schlüsselanhängersteuerung so ausgelegt ist, dass sie auf das Empfangen der ersten Nachricht antwortet, indem der zweite HF-Sender so gesteuert wird, dass er mindestens eine Nachricht der Folge entsprechend den festgelegten Parametern an den ersten HF-Empfänger sendet;
    wobei die erste Steuerung so ausgelegt ist, dass sie den ersten HF-Sender so steuert, dass er mindestens eine Nachricht der Folge entsprechend den festgelegten Parametern an den zweiten HF-Empfänger sendet; und die erste Steuerung ferner so ausgelegt ist, dass sie das elektronische Schloss nur dann entriegelt, wenn die oder jede Nachricht, die wie durch die Folge gefordert von dem Schlüsselanhänger übertragen wurde, von dem ersten Empfänger korrekt empfangen wird.
  • Indem sowohl der Schlüsselanhänger als auch die Schlossanlage Nachrichten in einer Folge entsprechend festgelegten Parametern übertragen, die potenziellen Relaisangreifern nicht bekannt sind, können die Angreifer gezwungen sein, Signale kontinuierlich an beiden Enden des Systems zu erfassen und weiterzuleiten - was wahrscheinlich zu Rückkopplungsschleifen führt und es wahrscheinlich macht, dass die Rückkopplung Signale überlastet oder/und das Bitsymbol der Signale, die während des Relais-Angriffs von dem Schlüsselanhänger erhalten werden, verzerrt. Dadurch ist wiederum ein erfolgreicher Relais-Angriff unwahrscheinlicher.
  • Figurenliste
  • Es werden nun Ausführungsformen der Erfindung lediglich beispielhaft mit Bezug auf die beigefügten Zeichnungen beschrieben. Darin zeigen:
    • 1 das klassische Relais-Angriffsverfahren;
    • 2 eine schematische Zeichnung, die die Hauptmerkmale des Systems gemäß einer ersten Ausführungsform der Erfindung zeigt;
    • 3 eine schematische Zeichnung, die ein mögliches Beispiel für die Kommunikationszeitsteuerung bei einem System gemäß einer Ausführungsform der Erfindung zeigt;
    • 4 eine schematische Zeichnung, die veranschaulicht, wie ein Relais-Angriff mit dem System gemäß einer Ausführungsform der Erfindung arbeiten könnten;
    • 5 eine schematische Zeichnung, die veranschaulicht, wie eine Rückkopplungsschleife mit dem in 4 gezeigten Relais-Angriff entstehen kann;
    • 6 eine schematische Zeichnung, die veranschaulicht, wie mehrere Rückkopplungsschleifen, wie sie bei einem Angriff gemäß 4 entstehen könnten, HF-Übertragungen von dem Schlüsselanhänger, die am Fahrzeug erfasst werden, verzerren könnten; und
    • 7 eine schematische Zeichnung, die ein weiteres Beispiel einer Kommunikationszeitsteuerung in einem System gemäß einer Ausführungsform der Erfindung zeigt.
  • Beschreibung von Ausführungsformen
  • 1 veranschaulicht schematisch den klassischen Relais-Angriff auf ein Fahrzeug, das mit einem passiven schlüssellosen Zugangssystem ausgestattet ist. Das Fahrzeug 10 umfasst einen Niederfrequenzsender 12 und einen Hochfrequenzempfänger 14. Ein Fahrer mit einem Schlüsselanhänger 20, der einen Niederfrequenzempfänger 22 und einen Hochfrequenzsender 24 umfasst, hat sich von dem Fahrzeug entfernt, so dass sich der Schlüsselanhänger und das Fahrzeug nicht mehr in Reichweite zueinander befinden. Zwei Diebe werden versuchen, das Fahrzeug zu stehlen. Der erste Dieb nimmt eine Position am Fahrzeug ein, während der zweite Dieb eine Position in der Nähe des Fahrzeughalters einnimmt, der den Schlüsselanhänger trägt. Wenn die beiden Diebe in Position sind, berührt der erste Dieb den Griff der Fahrertür des Fahrzeugs, was eine Steuerung im Fahrzeug dazu veranlasst, den Niederfrequenzsender zu aktivieren, der ein für den Schlüsselanhänger vorgesehenes Wecksignal sendet. Der erste Dieb hat eine Ausrüstung 30, die einen Niederfrequenzempfänger 32 umfasst, der das Wecksignal empfangen kann. Die Ausrüstung 30 des ersten Diebes umfasst auch einen HF-Transceiver 34 mit höherer Frequenz, um das Wecksignal an den zweiten Dieb weiterzuleiten. Der zweite Dieb hat eine Ausrüstung 40, die einen HF-Transceiver 44 für die Kommunikation mit dem HF-Transceiver 34 der ersten Ausrüstung umfasst. Die Ausrüstung 40 des zweiten Diebes umfasst auch einen Niederfrequenzsender 22. Die Ausrüstung des zweiten Diebes empfängt das weitergeleitete Wecksignal, wandelt es wieder in Niederfrequenz um und überträgt es dann so, dass es von dem Niederfrequenzempfänger 22 des Schlüsselanhängers empfangen wird. Der Schlüsselanhänger 20 reagiert auf das weitergeleitete Wecksignal, indem er die entsprechende Antwort von dem HF-Sender 24 ausgibt. Der HF-Transceiver 44 der Ausrüstung des zweiten Diebes 40 empfängt die Antwort des Schlüsselanhängers und überträgt diese dann erneut zum HF-Transceiver 34 des ersten Diebes und zur Steuerungsausrüstung. Der HF-Transceiver des ersten Diebes empfängt das weitergeleitete Befehlssignal und überträgt es erneut zum HF-Empfänger 14 im Fahrzeug. Der Empfänger des Fahrzeugs erkennt den Befehl und entriegelt die Fahrzeugtür. Der erste Dieb erhält dadurch einen erfolgreichen Zugang zum Fahrzeug.
  • 2 ist eine schematische Zeichnung, die die Hauptmerkmale eines Systems gemäß einer ersten Ausführungsform der Erfindung zeigt.
  • Ein Fahrzeug 10 umfasst ein elektronisches Schlosssteuerungssystem mit einem Niederfrequenzsender 12, einem Hochfrequenzsender und einem Hochfrequenzempfänger, die hier kombiniert als HF-Transceiver 16 gezeigt sind, und einer Steuerung oder ECU 18. Der Niederfrequenzsender wird typischerweise bei oder im Bereich von 125 kHz betrieben, obwohl andere geeignete Niederfrequenzen verwendet werden können, sofern sie den Funkvorschriften des Landes/Gebietes entsprechen, in dem das Fahrzeug genutzt wird. Die HF-Transceiver arbeiten üblicherweise mit einer geeigneten UHF-Trägerfrequenz, wie 315 MHz in den USA/Japan oder ungefähr 433/434 MHz (z.B. 433,92 MHz) in Europa. Signale können mittels Amplitudenumtastung (engl. Amplitude Shift Keying - ASK) auf diese Träger moduliert werden, und üblicherweise wird die Amplitude zwischen zwei Pegeln moduliert. Um Strom zu sparen, kann der untere Pegel des ASK-Modulationsschemas Null oder nahe Null sein, was zur sogenannten Ein-Aus-Tastung (engl. On-Off-Keying, OOK) führt. In einigen Ländern wie etwa in Japan kann es bevorzugt sein, eine Frequenzumtastung anstelle der ASK anzuwenden.
  • Der HF-Sender und -Empfänger, oder der Transceiver, wenn dieser anstelle von separaten Vorrichtungen verwendet wird, verwenden vorzugsweise einen quarzgesteuerten Oszillator anstelle beispielsweise einer SAW-Vorrichtung, da die Verwendung von quarzgesteuerten Oszillatoren tendenziell zu einer wesentlich besseren Frequenzstabilität führt, was in vielerlei Hinsicht vorteilhaft ist.
  • Das Fahrzeug weist auch Sensoren 17 für jeden der Türgriffe und einen Sensor 19 für den Griff des Kofferraums auf, die mit der Steuerung 18 verbunden sind. Die Sensoren können kapazitive Sensoren sein, die z.B. auf Berührungen oder die unmittelbare Nähe der Hand des Benutzers reagieren, oder sie können mechanisch sein und auf einen Vorgang reagieren, bei dem z.B. ein Griff ergriffen oder eine Taste gedrückt wird.
  • Ein Schlüsselanhänger 20, der mit dem Fahrzeug 10 gepaart ist, umfasst einen Niederfrequenzempfänger 22, einen HF-Sender und einen HF-Empfänger, die hier als HF-Transceiver 26 kombiniert dargestellt sind, und eine Schlüsselanhängersteuerung 28. Vorzugsweise arbeiten die HF-Sender im Schlüsselanhänger und im Fahrzeug mit der gleichen Frequenz, so dass Angreifer anhand der Frequenz nicht zwischen Signalen von dem Schlüsselanhänger und Signalen von dem Fahrzeug unterscheiden können. Auch hier wird es vorgezogen, quarzgesteuerte Oszillatoren im HF-Sender und HF-Empfänger oder Transceiver, sofern dieser anstelle eines Gerätepaares verwendet wird, zu verwenden.
  • Im Normalbetrieb, wenn sich der Fahrzeughalter dem Fahrzeug nähert und den Türgriff anhebt, reagiert der Türgriffsensor 17, indem er ein Signal an die Steuerung 18 sendet. Die Steuerung 18, die das Signal des Türsensors 17 als Auslöser für das Entriegeln der Tür erkennt, betätigt den Niederfrequenzsender 12, um ein Wecksignal zum Schlüsselanhänger 20 zu übertragen. Der Niederfrequenzempfänger 22 des Schlüsselanhängers empfängt das Wecksignal, das der Schlüsselanhängersteuerung 28 zugeführt wird. Beim Empfangen des Wecksignals schaltet die Steuerung des Schlüsselanhängers den HF-Transceiver 26 des Schlüsselanhängers ein, um eine Antwort zum Fahrzeug zu übertragen. Dieses Antwortsignal wird von dem Hochfrequenzempfänger des Fahrzeugs empfangen und an die Fahrzeugsteuerung 18 weitergeleitet. Ist der Schlüsselanhänger mit dem Fahrzeug gepaart, erkennt die Steuerung 18 eine Codefolge im Antwortsignal - und im Allgemeinen auch ein Zähler oder Rollingcode mit einem geeigneten Wert, und reagiert auf den Empfang des Antwortsignals des Schlüsselanhängers. Zu diesem Zeitpunkt entriegelt die Steuerung die Tür jedoch nicht.
  • Stattdessen sendet die Steuerung 18 des elektronischen Schlosses eine verschlüsselte Nachricht an die Steuerung 28 des Schlüsselanhängers unter Verwendung des HF-Senders des Fahrzeugs und des HF-Empfängers des Schlüsselanhängers. Diese verschlüsselte Nachricht legt Parameter für eine Zweiwege-HF-Kommunikationsfolge fest, die zwischen dem Schlüsselanhänger und dem Fahrzeug durchgeführt werden soll. Die Steuerung 28 des Schlüsselanhängers und die Steuerung 18 des Fahrzeugs besitzen jeweils geeignete Verschlüsselungscodes oder Geheimnisse, so dass sie verschlüsselte Nachrichten austauschen können. Vorzugsweise sind die Verschlüsselungscodes für ein vorgegebenes Fahrzeug spezifisch und werden nicht von vielen Fahrzeugen gemeinsam genutzt, da dies die Gesamtsicherheit erheblich verbessern kann.
  • Vor dem Entriegeln der Tür nimmt die Fahrzeugsteuerung an dieser Zweiwege-HF-Kommunikationsfolge teil. Nur wenn diese Kommunikationsfolge erfolgreich abgeschlossen ist, entriegelt die Fahrzeugsteuerung das elektronische Schloss einer Tür. Zum Zwecke der Beschreibung werden die Kommunikationen von dem Schlüsselanhänger zum Fahrzeug als Vorwärtskommunikationen, während Kommunikationen von dem Fahrzeug zum Schlüsselanhänger, wobei sich der Schlüsselanhänger im Empfangsmodus befindet, als Rückwärtskommunikation betrachtet werden. 3 veranschaulicht ein Beispiel für eine Schlüsselanhänger- und Fahrzeugkommunikationsfolge, nachdem der Schlüsselanhänger die verschlüsselten Anweisungen über die Parameter der Zweiwegekommunikationsfolge empfangen hat.
  • In 3 stellt der obere Teil das Verhalten des Schlüsselanhängers 20 dar, wobei die oberste Darstellung eine Zeitleiste ist und die benachbarte Darstellung Signale darstellt, die von dem Schlüsselanhänger 20 übertragen und empfangen werden. In der Signaldarstellung stellt die durchgezogene Linie Signale dar, die von dem Schlüsselanhänger übertragen werden, während die gestrichelte Linie Signale darstellt, die von dem Fahrzeug übertragen und von dem Schlüsselanhänger empfangen werden. Der untere Teil von 3 stellt das Verhalten des HF-Senders und des HF-Empfängers 16 des Fahrzeugs dar. Bei dem in 3 gezeigten Beispiel wird die erste Kommunikation als Kommunikation von dem Schlüsselanhänger zum Fahrzeug dargestellt, die erste Kommunikation der Folge kann jedoch ebenso gut von der Steuerung 18 des Schlosses stammen.
  • In 3 ist dargestellt, wie der Schlüsselanhänger eine Nachricht mit einem Rahmen überträgt, der eine bestimmte Bitfolge umfasst. In diesem Beispiel wird ASK verwendet, es können jedoch stattdessen andere Arten der Modulation verwendet werden. In diesem Beispiel wird die ASK-Modulation als An-Aus-Tastung (OOK) dargestellt, wobei die Bits binäre Einsen und Nullen darstellen und die Nullen durch eine Übertragungslücke signalisiert sind. Da die Nachricht in diesem Fall nur aus einem einzigen Rahmen besteht, bestimmt die Länge des Rahmens die Nachrichtendauer Tx1. Die Schlossanlage, hier als „Fahrzeug“ dargestellt, reagiert auf das Empfangen der ersten Nachricht der Folge mit der zweiten Nachricht der Folge - hier gezeigt als Satz von drei Rahmen T_fm1, T_fm2, T_fm3, getrennt durch die Zwischenrahmenintervalle T_int1 und T_int2. Bei diesem Beispiel sind die Zwischenrahmenintervalle ungleich, wobei das erste Intervall mehr als doppelt so lang ist wie das kürzere Intervall. Die Intervalle können gleich oder ähnlich lang sein, aber im Allgemeinen wird es bevorzugt, innerhalb einer vorgegebenen Nachricht Zwischenrahmenintervalle mit unterschiedlichen Längen zu verwenden, da es dadurch für Diebe schwieriger ist, einen effektiven Relais-Angriff durchzuführen. Es können mehr als drei Rahmen in einer Nachricht vorhanden sein, und die Zwischenrahmenintervalle können alle die gleiche Länge (Dauer) oder unterschiedliche Längen (Dauern) haben, oder die gleiche Länge (Dauer) kann für mehr als ein Zwischenrahmenintervall verwendet werden, wobei eine andere Länge, länger oder kürzer, für andere der Intervalle verwendet wird. Es kann auch das Starten eines effektiven Relais-Angriffs erschweren, wenn sich die Zwischenrahmenintervalle in verschiedenen Nachrichten der Folge ebenfalls unterscheiden.
  • Die Identität der Quelle der ersten Übertragung der Folge ist einer (F1) der Parameter, die definiert sind, wenn die Steuerung 18 des elektrischen Schlosses eine verschlüsselte Nachricht an die Steuerung 28 des Schlüsselanhängers sendet.
  • Weitere Parameter, die festgelegt werden können, umfassen:
    • F2: Startzeit der Übertragung: t0, t4 und t8. In 3 ermöglicht der fahrzeugseitige NF-Befehl bei einem passiven System das Starten des Taktgebers des Schlüsselanhängers, und der Schlüsselanhänger beginnt, eine erste Nachricht bei t0 zu übertragen. Bei einem normalen Zweiwege-RKE-System leitet ein Tastendruck die Folge ein und endet bei t1. Die erste Übertragungsnachrichtenlänge könnte verschlüsselte Informationen über die variable Zeitsteuerung enthalten, wie z.B. die Anfänge und Längen aller eingehenden Nachrichten, die Intervalle zwischen den Rahmen innerhalb jeder Einwegnachricht, die Schaltzeiten der Kommunikationsrichtungsänderungen. Diese erste Nachrichtenlänge ist als Tx1 gezeigt, und diese Länge kann zwischen verschiedenen Sitzungen variiert werden. Nach t1 wird der Schlüsselanhänger in den Empfangsmodus geschaltet und erwartet, dass das Signal von dem Fahrzeug nach Tgap1 ankommt. Es gibt eine Verzögerung von dem Beginn der schlüsselanhängerseitigen Übertragung t0 zur fahrzeugseitigen Ausgabe des Empfängers bei t2. Diese Verzögerung (t2-t0) ist auf die Signallaufzeit in der Luft und die empfängerseitige Hardwareverzögerung zurückzuführen (wenn man t0 als Beginn der Schlüsselanhängerübertragung an seinem Ausgang zählt). Gleiches gilt für die Verzögerung von t4 bis t6 (Fahrzeug zur Schlüsselanhängerseite).
  • F3: Schaltzeit T_sw und Lückenzeit T_gap: Die Fahrzeugseite beendet das Empfangen der ersten Schlüsselanhängernachricht Tx1 bei t3. Dann beginnt die fahrzeugseitige Vorrichtung mit der Übertragung zum Zeitpunkt t4. Die Differenz zwischen (t4-t3) wird als Kommunikationsrichtungsumschaltzeit T_sw1=(t4-t3) bezeichnet. Die Zeit Tgap1 bezieht sich auf (t4-t3). Tgap1 ist größer als T_sw1 aufgrund der Signallaufzeit in der Luft und der Hardware-Verarbeitungsverzögerung, doch ihre Differenz ist eine nahezu konstante Zahl, wenn der Schlüsselanhänger nicht zu weit vom Fahrzeug entfernt ist (sehr kurze Luftlaufzeit). Die Werte des Endzeitpunkts t3 und des Anfangszeitpunkts t4 bestimmen offensichtlich die Kommunikationsschaltzeit und Tgap1. Diese Zahlen sind Variablen für jedes Ereignis und bilden ein Geheimnis, das nur dem Schlüsselanhänger und dem Fahrzeug, die gepaart sind, durch Vorausbestimmung oder durch verschlüsselte Informationen, die in der Übertragung Tx1 oder einer vorherigen LF-Nachricht enthalten sind, bekannt ist. Dies soll verhindern, dass der Angreifer den Beginn der Umschaltzeit der Kommunikationsrichtung vorhersagt. T_sw1 kann so kurz wie möglich gestaltet sein, so dass Angreifern nicht zu viel Zeit bleibt, auf die Zeitsteuerung zuzugreifen. Dadurch muss der Angreifer wahrscheinlich innerhalb eines bestimmten Zeitfensters zwischen den beiden Seiten weiterleiten, was eine Signalverzerrung oder das Risiko mit sich bringt, dass ein Teil der Übertragung fehlt, wenn das Umschalten zu früh oder zu spät erfolgt.
  • F4: Übertragungsrahmenanzahl, Dauer und Intervalle zwischen den Rahmen: In der von dem Fahrzeug übertragenen Tx2-Nachricht gibt es drei Übertragungsrahmen: T_frm1, T_frm2 und Tfrm3 und zwei stille Intervalle (Zwischenrahmenintervalle) zwischen den Rahmen: T_int1 und T_int2. Die Längen dieser Rahmen und Intervalle ändern sich vorzugsweise ständig und unterscheiden sich von Ereignis zu Ereignis, so dass Angreifer anhand früherer Daten das Ende der aktuellen Übertragungsrichtung nicht vorhersagen können. Daher hat der Angreifer möglicherweise nicht genügend Zeit, die Richtung der Informationsübermittlung zu ändern. Die Intervalle zwischen verschiedenen Rahmen können unterschiedlich sein. Die Länge eines der Intervalle könnte so ausgelegt sein, dass sie mit der Kommunikationsrichtungsumschaltzeit T_sw vergleichbar ist, so dass der Angreifer anhand der Dauer der Ruhezeit nicht bestimmen kann, ob noch ein anderer Rahmen in der Übertragungsnachricht mit der gleichen Richtung kommt oder das System die Kommunikationsrichtung wechseln wird.
  • F5: Die Anzahl der Rahmen. In 3 gibt es nur einen Rahmen von der Schlüsselanhängerübertragung zum Fahrzeug (Tx1). Es gibt drei Rahmen von dem Fahrzeug zum Schlüsselanhänger während der Tx2-Zeit. Diese Zahlen können für verschiedene Ereignisse variiert werden. Auf diese Weise wird ein weiterer Schwierigkeitsgrad eingeführt, der es den Angreifern erschwert zu erraten, wann die Übertragung in eine Richtung enden wird und wann sie bereit sein sollten, die Übermittlungsrichtung zu wechseln.
  • Vorzugsweise wird in Ausführungsformen der Erfindung die Schaltzeit von einer Kommunikationsrichtung (z.B. von einem Schlüsselanhänger zum Fahrzeug) in die andere Richtung (z.B. vom Fahrzeug zu einem Schlüsselanhänger) für jedes Entriegelungsereignis geändert. Diese Zeitsteuerung ist nur dem Schlüsselanhänger und dem Fahrzeug, die gepaart sind, durch eine vorbestimmte Anordnung oder durch eine verschlüsselte Anfangskommunikation bekannt. Dies erschwert den Erfolg von Angreifern, wenn sie Informationen nur in eine Richtung nach der anderen übermitteln. Da die Kommunikationsumschaltzeit so eingerichtet ist, dass die Skala der Umschaltzeit mit dem Intervall zwischen den Rahmen in jeder Übertragungsnachricht vergleichbar ist, können ferner Angreifer nicht erkennen, ob die Ruhezeit von der Kommunikation auf einer Seite nur eine kurze Pause der Übertragung (ein Zwischenrahmenintervall) oder der Beginn der Umschaltung der Übertragungsrichtung (ein Zwischennachrichtenintervall) ist. Dies kann die Angreifer zwingen, Informationen von beiden Enden des Systems zu übermitteln, bis sie sicher sein können, dass sich die Übertragungsrichtung geändert hat.
  • Das System ist vorzugsweise so ausgelegt, dass das Schloss nur dann erfolgreich entriegelt wird, wenn die gesamte Schleifenkommunikation korrekt ist, d.h. die Fahrzeugseite die schlüsselanhängerseitigen Informationen korrekt empfängt und die Schlüsselanhängerseite die fahrzeugseitige Übertragung korrekt empfängt. Hier kann „korrekt“ ohne Erkennungsfehler oder mit einer ausreichend niedrigen Bitfehlerrate in beide Richtungen bedeuten, um zu bestätigen, dass es sich um einen legitimen Schlüsselanhänger handelt und es kein Relais oder eine sehr geringe Wahrscheinlichkeit eines Relais-Angriffs gibt. Bei einer derartigen Ausgestaltung kann das System bei einem Fehler in der Schleife den Prozess erneut versuchen. Nach einem weiteren Fehler kann das System in einen „eingefrorenen“ Zustand übergehen, in dem eine Entriegelung des Systems mit PKE für einen vorvorgegebenen Zeitraum - z.B. 10 Minuten - nicht möglich ist und/oder ein Alarm ausgelöst werden kann. Bei der Alarmauslösung kann es sich um das Hupen des Fahrzeugs, das Blinken der Lichter und/oder um einen stillen Alarm handeln, bei dem das Ereignis an einen Sicherheitsdienst gemeldet wird. In jedem Fällen können die fahrzeuginternen Informationssysteme so eingerichtet sein, dass sie eine „Einbruchsversuch“-Meldung anzeigen, wenn der Halter zurückkehrt und das Fahrzeug entriegelt.
  • (F5) die Anzahl der Übertragungen oder Nachrichten, die die Folge bilden - obwohl es sich bei einigen Ausführungsformen stattdessen um eine feste Anzahl handeln kann, die daher nicht in einer Nachricht angegeben werden muss.
  • Diese Funktionen, F1, F2, F3, F4 und F5, oder eine geeignete Teilmenge davon können in der verschlüsselten Anfgangsnachricht festgelegt werden, und eine oder mehrere von ihnen wechseln von einem Ereignis (einem Fahrzeugzugang) zu einem anderen. Um das Schloss zu betätigen und dadurch Zugang zum Fahrzeug zu erhalten, muss die Kommunikation zwischen dem Schlüsselanhänger und dem Fahrzeug entsprechend der festgelegten Kommunikationsfolge abgeschlossen sein. Jede Unterbrechung der Kommunikation führt dazu, dass kein Zugang zum Fahrzeug möglich ist (oder etwas Anderes durch das elektronische Schloss, das von dem Schlüsselanhänger gesteuert wird, geschützt ist).
  • Die Übertragungen von dem Fahrzeug können dazu verwendet werden, den erfolgreichen Empfang von Nachrichten von dem Schlüsselanhänger zu bestätigen. Wenn die Anfangsnachricht in der Folge der Nachrichten von dem Fahrzeug gesendet wird, kann die Anfangsnachricht als Handshake-Nachricht dienen, um den Schlüsselanhänger auszulösen und ihn auf den Beginn der Übertragung hinzuweisen. Die Schlüsselanhängersteuerung kann so ausgelegt sein, dass sie die Nachrichtenfolge anhält, wenn der Schlüsselanhänger die erwarteten Nachrichten von dem Fahrzeug nicht zum richtigen Zeitpunkt und mit einer ausreichend niedrigen Bitfehlerrate empfängt. Unter Bezugnahme auf 3 muss der Schlüsselanhänger beispielsweise nach der Zeit Tsw1 (Tgap1) für eine erfolgreiche Nachrichtenfolge die Fahrzeugübertragung Tx2, insbesondere den Beginn der Nachricht Tx2 korrekt empfangen. Die Nachricht Tx2 kann hier dazu dienen, zu bestätigen, dass das Fahrzeug den Schlüsselanhänger erkannt hat. Der Angreifer wird nicht wissen, wann das Fahrzeug mit der Übertragung beginnt, da er die Länge von Tx1 nicht kennt, und wann die Übertragung des Schlüsselanhängers endet. (F4: variable Rahmenlängen und F5: Anzahl der Rahmen. Tx1 könnte beim nächsten Ereignis 3 Rahmen umfassen). Folglich können die Angreifer (1) das Übermitteln von dem Schlüsselanhänger zur Fahrzeugseite zu früh beenden, um sich auf die Übermittlung von dem Fahrzeug zum Schlüsselanhänger vorzubereiten, und das Ende der ersten Übertragung des Schlüsselanhängers verpassen, oder (2) eine Übermittlung von dem Schlüsselanhänger zur Fahrzeugseite zu spät beenden und nicht für die fahrzeugseitige Übertragung bereit sein, was dazu führt, dass der erste Teil der Tx2-Nachricht fehlt, oder (3) die Übermittlung auf beiden Seiten gleichzeitig beginnen, was zu einer Verzerrung oder Überlastung des Signalsymbols führt.
  • Die Zeitsteuerungen können sich auf die absolute Zeit beziehen, wobei der Schlüsselanhänger und die Schlossanlage Takte haben, die periodisch synchronisiert sind - z.B. während des Weckvorgangs des Schlüsselanhängers. Die Zeitsteuerungen können sich auf relative Zeiten beziehen - z. B. kann der Schlüsselanhänger die Zeitsteuerungen seiner eigenen Aktionen unter Bezugnahme auf die Erkennung von Ereignissen oder Merkmalen in Nachrichten oder anderen Signalen, die von der Schlossanlage (Fahrzeug) empfangen werden, bestimmen.
  • Betrachten wir nun, wie Diebe einen Relais-Angriff auf das System versuchen könnten, wie in 2 dargestellt ist. 4 veranschaulicht eine Situation, in der ein Relais-Angriff versucht wird. Der Einfachheit halber wird die Ausrüstung des Angreifers ohne niederfrequente Komponente dargestellt, obwohl diese in der Praxis vorhanden ist, um das niederfrequente Wecksignal von dem Fahrzeug an den entfernten Schlüsselanhänger weiterleiten zu können, es sei denn, das niederfrequente Signal von dem Fahrzeug wird mittels Kabel an den zweiten Angreifer übertragen. Wieder einmal steht ein erster Angreifer in der Nähe des Fahrzeugs, um Signale von dem Fahrzeug zu erfassen und Signale von dem Schlüsselanhänger für das Fahrzeug bereitzustellen. Die Ausrüstung 30 des ersten Angreifers umfasst zwei Paare von Sendern und Empfängern (dargestellt als Transceiver 34 und 36), wobei ein Paar es ermöglicht, von dem Fahrzeug zu erfassende Signale an den zweiten Angreifer weiterzuleiten, und das andere Paar dazu verwendet wird, Signale zu empfangen, die von dem anderen Angreifer erfasst und erneut übertragen werden, und diese an das Fahrzeug zu übertragen. Die Ausrüstung 40 des zweiten Angreifers ist ähnlich, mit zwei Paaren von Sendern und Empfängern (dargestellt als Transceiver 44 und 46). Hätten die Angreifer Kenntnis darüber, wann das Fahrzeug und der Schlüsselanhänger jeweils senden, bräuchte die Ausrüstung jedes Angreifers nur ein Sender-Empfängerpaar, das in den entsprechenden Modus geschaltet werden müsste, je nachdem, ob Signale von dem Fahrzeug oder von dem Schlüsselanhänger stammen. Da sich jedoch die Reihenfolge der Vorwärts- und Rückwärtsübertragungen und ihre Zeitsteuerungen bei jedem Fahrzeugzugangsereignis ändern, müssen die Angreifer in der Lage sein, jederzeit Vorwärts- und Rückwärtsübertragungen zusammenzutragen und diese Übertragung weiterzuleiten, was bedeutet, dass ihre Ausrüstung komplizierter sein muss. Da die Angreifer nicht wissen, wann Vorwärts- und Rückwärtsübertragungen stattfinden, muss der erste Angreifer die von dem Fahrzeug übertragenen Signale erfassen und gleichzeitig auch von dem zweiten Angreifer empfangene Signale, die den von dem Schlüsselanhänger erfassten Vorwärtsübertragungen entsprechen, übertragen. Ebenso muss der zweite Angreifer von dem Schlüsselanhänger übertragene Signale, Vorwärtsübertragungen, erfassen und dabei auch von dem ersten Angreifer empfangene Signale übertragen, die Rückwärtsübertragungen darstellen. Die Folge ist, dass eine Rückkopplungsschleife entsteht.
  • 5 veranschaulicht schematisch die Erstellung eben einer derartigen Rückkopplungsschleife. Wenn der Schlüsselanhänger 20 ein Signal von seinem Transceiver 26, einer Vorwärtsübertragung, überträgt, empfängt der zweite Angreifer dieses Signal mit einem Empfänger-Sender-Paar 46 und sendet dann die Informationen von dem Schlüsselanhänger an den ersten Angreifer, der die Informationen über den Transceiver 36 empfängt. Der erste Angreifer empfängt das übertragene Signal von dem zweiten Angreifer und überträgt das empfangene Signal an das Fahrzeug, wobei er die Vorwärtsübertragung von dem Schlüsselanhänger 20 nachahmt. Der Transceiver 34 des ersten Angreifers, der auf Übertragungen aus dem Fahrzeug wartet, nimmt auch Übertragungen von dem anderen Transceiver 36 der Vorrichtung 30 des Angreifers auf. Da die Vorrichtung des ersten Angreifers den Unterschied zwischen den Übertragungen des eigenen Transceivers 36 und möglichen fahrzeugseitigen Übertragungen nicht erkennen kann, überträgt und übermittelt sie dieses Rückführungssignal an den Empfänger der Vorrichtung 44 des zweiten Angreifers zurück. Die Vorrichtung 40 des zweiten Angreifers kann nicht zwischen dem Rückführungssignal und einer rückwärtsgerichteten Fahrzeugübertragung unterscheiden und überträgt es daher erneut an den Schlüsselanhänger 20. Dieses von dem Sender der Vorrichtung 44 übertragene Rückführungssignal wird von dem Empfänger der Vorrichtung 46 empfangen, der auf Vorwärtsübertragungen von dem Schlüsselanhänger wartet. Dieser Prozess dauert so lange an, wie die Ausrüstung der beiden Angreifer zuhört und sendet. Die Wirkung dieser wiederholten Rückkopplung ist in 6 schematisch dargestellt.
  • In 6 überträgt der Schlüsselanhänger 20 einen Anfangsimpuls 60 und einen Folgeimpuls 62, wie in der oberen Zeile des Diagramms dargestellt ist. Die Ausrüstung 40 des zweiten Angreifers empfängt den Anfangsimpuls 60 und übermittelt ihn als Impuls 80 an die Ausrüstung 30 des ersten Angreifers. Die Ausrüstung 30 des ersten Angreifers überträgt dann den empfangenen Impuls als Impuls 90. Der Impuls 90 wird von der Ausrüstung 30 des ersten Angreifers an den zweiten Angreifer zurückgegeben, dessen Ausrüstung dann den Impuls, der von der Ausrüstung des zweiten Angreifers empfangen wird, als weitere Vorwärtsübertragung weiterleitet. Die Ausrüstung des zweiten Angreifers überträgt daher diesen Impuls als Impuls 82, der an die Ausrüstung des ersten Angreifers übermittelt wird, wo er als Impuls 92 wieder übertragen wird. Die Folge ist, dass der Fahrzeug-Empfänger einen zusammengesetzten Impuls sieht, der sich viel weiter ausbreitet als der ursprüngliche Impuls des Schlüsselanhängers, so dass die Fahrzeugsteuerung 18 die empfangenen Signale nicht als denjenigen entsprechend erkennt, die von der für dieses Ereignis festgelegten Folge gefordert sind. Infolgedessen wird die Steuerung 18 des elektronischen Schlosses das Schloss nicht entriegeln, und die Diebe erhalten keinen Zugang zum Fahrzeug.
  • Bei der Betrachtung der Dauern der Rahmen, Nachrichten, Zwischenrahmenintervallen und Übertragungsumschaltungen wird die Verarbeitung im Allgemeinen vereinfacht, wenn die verschiedenen Dauern jeweils aus einem bekannten Satz von Dauern ausgewählt werden - und nicht aus dem Kontinuum möglicher Zeiten frei ausgewählt werden. So kann z.B. in einem System gemäß einer Ausführungsform der Erfindung der schnellste Systemmoduswechsel in 1ms vorgenommen werden: so kann der Satz der möglichen Dauern von T_sw1 und/oder T_sw2 {1ms, 1, 1 ms, 1,2 ms, 1,3 ms} betragen - wobei jeder Satz von Folgeparametern für ein vorgegebenes Paar aus Schlüsselanhänger/ Schlossanlage T_sw1 und/oder T_sw2 als aus diesem Satz ausgewählte Werte festlegt.
  • Ebenso kann der Satz der Rahmenlängen so gewählt sein, dass er {2 ms, 2,2 ms, 2,5 ms, 3 ms, 4,2 ms, 4,5 ms, 5 ms, 7 ms, 10 ms} entspricht.
    Ebenso kann der Satz von Zwischenrahmenintervallen wie folgt sein
    T_int1 aus {1 ms; 1,2 ms, 1.3 s, 1,4 ms, 1,5 ms, 2,2 ms, 3 ms, 4 ms}
    T_int2 aus {1 ms; 1,2 ms, 1,3 s, 1,4 ms, 1,5 ms, 2,2 ms, 3 ms, 4 ms}
    obwohl beschlossen werden könnte, dass verschiedene Sätze von Dauern für verschiedene Zwischenrahmenintervalle gewählt werden können. Wie oben erwähnt, ist es im Allgemeinen vorzuziehen, dass die Dauern der Zwischenrahmenintervalle in einer Nachricht, die zwei oder mehr derartiger Intervalle enthält, unterschiedliche Werte umfassen.
  • Wie bereits angedeutet, ist das Starten eines erfolgreichen Relais-Angriffs viel schwieriger, wenn die für die Nachrichtenfolge festgelegten Parameter dazu führen, dass das Intervall zwischen den Nachrichten, das Zwischennachrichtenintervall, hinsichtlich der Länge mit den verwendeten Zwischenrahmenintervallen vergleichbar ist. Aus diesem Grund ist es vorzuziehen, dass die festzulegenden Parameter ein Zwischennachrichtenintervall angeben, das kleiner ist als mindestens eines der Zwischenrahmenintervalle in einer oder in mehreren der Nachrichten in der Folge.
  • Üblicherweise liegt die Übertragungsdatenrate im Bereich von 20 kbits/s (50 µs/bit)--- und die Steuerung des Schlüsselanhängers und der Schlossanlage können so eingestellt sein, dass sie einen maximalen Bitbreitenfehler von beispielsweise 10 % --- 55 µs akzeptieren. Wenn also eine empfangene Bitlänge länger als 55 µs beträgt, kann die entsprechende Steuerung so eingestellt sein, dass sie das empfangene Signal nicht als passend akzeptiert. Dies erfordert natürlich eine recht hohe Zeitgenauigkeit der Elektronik des Schlüsselanhängers und der Schlossanlage - da ein Zeitfehler in der Übertragung von mehr als 5 µs auch ohne Vorliegen eines Relais-Angriffs zu einem Nicht-Entriegeln führen würde. Die Kosten für die Bereitstellung von Hochgeschwindigkeitselektronik im Schlüsselanhänger und in der Schlossanlage, um diesen Genauigkeitsgrad zu gewährleisten, sind im Allgemeinen gerechtfertigt, da es durch diese zeitlichen Beschränkungen für Diebe erheblich schwerer ist, einen effektiven Relais-Angriff durchzuführen.
  • 7 entspricht im Allgemeinen 3, zeigt aber die erste Nachricht der Nachrichtenfolge, die von der Schlossanlage (Fahrzeug) und nicht von dem Schlüsselanhänger stammt. Es wird darauf hingewiesen, dass die erste Nachricht aus drei Rahmen besteht, die durch zwei Zwischenrahmenintervalle getrennt sind, wobei die Zeit Tx_mode (die Dauer einer Nachricht der Folge) durch die für die Folge festgelegten Parameter bestimmt und variabel und unvorhersehbar ist; das Zwischennachrichtenintervall T_sw_mode ist kleiner als das Zwischenrahmenintervall T_off_2.
  • Vorzugsweise umfasst die zwischen der Schlossanlage und dem Schlüsselanhänger auszutauschende Nachrichtenfolge in Ausführungsformen der Erfindung jeweils mindestens zwei Nachrichten von der Schlossanlage und dem Schlüsselanhänger. Ein zweiter Austausch von Nachrichten in der Nachrichtenfolge kann unter Verwendung einer anderen Trägerfrequenz als beim ersten Austausch von Nachrichten erfolgen - wobei es sich bei der Änderung der Trägerfrequenz um einen der für die Folge festgelegten Parameter handelt. Wenn mehr als zwei Nachrichtenaustauschvorgänge stattfinden, kann einer von ihnen bei einer anderen Leistung erfolgen als der andere (Änderung einer oder beider Leistungen des Schlüsselanhängers oder der Schlossanlage).
  • Im Allgemeinen wird, wie in Bezug auf die Figuren beschrieben, das Geheimnis, das die Parameter für die Folge der bidirektional zwischen der Schlossanlage und dem Schlüsselanhänger auszutauschenden Nachrichten festlegt, von der Schlossanlage an den Schlüsselanhänger in der ersten Nachricht der Folge der Schlossanlage oder in einer früheren Nachricht - die beispielsweise mit einem Niederfrequenzsender der Schlossanlage übermittelt wird - weitervorgegeben. Es ist jedoch möglich, ein System zu entwickeln, bei dem das Geheimnis in eine Schlossanlage und ihren gepaarten Schlüsselanhänger eingebracht wird, bevor sie installiert werden, z.B. als Teil des Herstellungsprozesses oder bei der Inbetriebnahme. Dies ist in der Regel eine weniger bevorzugte Option, erspart jedoch die Notwendigkeit, das Geheimnis bei jedem Entriegelungsereignis von der Schlossanlage zum Schlüsselanhänger zu übertragen.

Claims (29)

  1. Passives schlüsselloses Zugangssystem für ein elektronisches Schloss, wobei das System Folgendes aufweist: eine Schlossanlage mit einer ersten Steuerung, einem ersten HF-Sender und einem ersten HF-Empfänger; und einen Schlüsselanhänger mit einer Schlüsselanhängersteuerung, einem zweiten HF-Sender und einem zweiten HF-Empfänger, wobei der Schlüsselanhänger zur Erzeugung von Nachrichten für die Entriegelung des Schlosses bei einem Entriegelungsereignis ausgelegt ist; wobei: die erste Steuerung und die Schlüsselanhängersteuerung ein Geheimnis gemeinsam nutzen, das Parameter für eine Folge von Nachrichten festlegt, die bidirektional zwischen der Schlossanlage und dem Schlüsselanhänger unter Verwendung des ersten HF-Senders und des zweiten HF-Empfängers und des zweiten HF-Senders und des ersten HF-Empfängers ausgetauscht werden sollen, wobei sich die Parameter zwischen jedem Entriegelungsereignis und einem unmittelbar nachfolgenden Entriegelungsereignis ändern; wobei für jedes Entriegelungsereignis die erste Steuerung oder die Schlüsselanhängersteuerung so ausgelegt ist, dass sie eine erste Nachricht der Nachrichtenfolge entsprechend den festgelegten Parametern erzeugt und dazu führt, dass der erste oder zweite HF-Sender die erste Nachricht der Folge entsprechend den festgelegten Parametern überträgt; und wobei die jeweils andere der ersten Steuerung und der Schlüsselanhängersteuerung so ausgelegt ist, dass sie den jeweils anderen des ersten HF-Senders und des zweiten HF-Senders so steuert, dass er in Reaktion auf den Empfang der ersten Nachricht der Folge eine zweite Nachricht der Folge entsprechend den festgelegten Parametern überträgt; und wobei die erste Steuerung ferner so ausgelegt ist, dass sie das elektronische Schloss nur dann entriegelt, wenn die oder jede Nachricht, die wie durch die Folge gefordert von dem Schlüsselanhänger übertragen wurde, von dem ersten Empfänger korrekt empfangen wird; und wobei mindestens eine Nachricht der Nachrichtenfolge mehrere Rahmen umfasst, wobei jeder Rahmen eine bestimmte Bitfolge umfasst, wobei benachbarte Rahmen der mehreren Rahmen durch ein Zwischenrahmenintervall voneinander getrennt sind; wobei benachbarte Nachrichten in der Nachrichtenfolge durch ein Zwischennachrichtenintervall voneinander getrennt sind; und wobei die festgelegten Parameter derart sind, dass eine vorgegebene Nachricht der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden und/oder unmittelbar nachfolgenden Nachricht nicht länger ist als das erste Zwischenrahmenintervall.
  2. Passives schlüsselloses Zugangssystem nach Anspruch 1, wobei die vorgegebene Nachricht der Nachrichtenfolge mindestens drei Rahmen umfasst und verschiedene Paare benachbarter Rahmen durch Zwischenrahmenintervalle mit unterschiedlichen Dauern getrennt sind.
  3. Passives schlüsselloses Zugangssystem nach Anspruch 2, wobei ein Zwischennachrichtenintervall zwischen der vorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden oder unmittelbar nachfolgenden Nachricht der Folge eine Dauer zwischen den Dauern der Zwischenrahmenintervalle der vorgegebenen Nachricht der Nachrichtenfolge hat.
  4. Passives schlüsselloses Zugangssystem nach einem der vorhergehenden Ansprüche, wobei die erste Steuerung so ausgelegt ist, dass das Geheimnis von der ersten Steuerung und der Schlüsselanhängersteuerung gemeinsam genutzt wird, indem der erste HF-Sender so gesteuert wird, dass er eine erste verschlüsselte Nachricht, die die Parameter für die Nachrichtenfolge festlegt, an den zweiten HF-Empfänger sendet.
  5. Passives schlüsselloses Zugangssystem nach Anspruch 4, wobei die erste Steuerung dazu ausgelegt ist, für jeden Versuch einer Entriegelung des elektronischen Schlosses einen anderen Parametersatz festzulegen.
  6. Passives schlüsselloses Zugangssystem nach Anspruch 4, wobei die in der vorgegebenen Nachricht festgelegten Parameter zumindest eines der folgenden Elemente umfassen: einen Hinweis, ob der erste oder der zweite HF-Sender eine erste Nachricht der Folge übertragen soll; eine Startzeit für jede Nachricht in der Folge; eine Dauer für jede Nachricht in der Folge; eine Dauer für ein Zwischenrahmenintervall zwischen benachbarten Nachrichten in der Folge.
  7. Passives schlüsselloses Zugangssystem nach Anspruch 6, wobei die in der vorgegebenen Nachricht festgelegten Parameter einen Hinweis umfassen, ob der erste oder der zweite HF-Sender eine erste Nachricht der Folge übertragen soll; und eine Startzeit für jede Nachricht in der Folge und/oder eine Dauer für jede Nachricht in der Folge.
  8. Passives schlüsselloses Zugangssystem nach Anspruch 4, wobei die erste Steuerung so ausgelegt ist, dass sie den ersten HF-Sender so steuert, dass er die vorgegebene Nachricht, die die Parameter für eine Nachrichtenfolge, festlegt, nur dann an den zweiten HF-Empfänger sendet, nachdem die erste Steuerung erkannt hat, dass der Schlüsselanhänger mit der ersten Steuerung gepaart wurde.
  9. Passives schlüsselloses Zugangssystem nach Anspruch 8, wobei die Schlossanlage zusätzlich einen Niederfrequenzsender zum Übertrgagen einer Wecknachricht zum Schlüsselanhänger aufweist.
  10. Passives schlüsselloses Zugangssystem nach einem der vorhergehenden Ansprüche, wobei der erste HF-Sender und der erste HF-Empfänger als erster HF-Transceiver ausgebildet sind.
  11. Passives schlüsselloses Zugangssystem nach einem der vorhergehenden Ansprüche, wobei der zweite HF-Sender und der zweite HF-Empfänger als zweiter HF-Transceiver ausgebildet sind.
  12. Passives schlüsselloses Zugangssystem nach einem der vorhergehenden Ansprüche, wobei es sich bei dem elektronischen Schloss um ein Schloss eines Fahrzeugs handelt.
  13. Passives schlüsselloses Zugangssystem nach einem der vorhergehenden Ansprüche, wobei der erste und der zweite HF-Sender auf derselben HF-Trägerfrequenz arbeiten.
  14. Elektronische Schlossanlage, die für einen passiven schlüssellosen Zugang ausgelegt ist, wobei die Schlossanlage Folgendes aufweist: ein elektronisches Schloss, einen HF-Sender und einen HF-Empfänger für die Kommunikation mit einem Schlüsselanhänger, der zur Erzeugung von Nachrichten für die Entriegelung des Schlosses bei einem Entriegelungsereignis ausgelegt ist, und eine Steuerung, die wirkungsmäßig an das Schloss, den HF-Sender und den HF-Empfänger gekoppelt ist, wobei die Steuerung und der Schlüsselanhänger ein Geheimnis gemeinsam nutzen, wobei das Geheimnis Parameter für eine Nachrichtenfolge festlegt, die bidirektional zwischen der Schlossanlage und dem Schlüsselanhänger unter Verwendung des HF-Senders und des HF-Empfängers ausgetauscht werden sollen, wobei sich die Parameter zwischen jedem Entriegelungsereignis und einem unmittelbar nachfolgenden Entriegelungsereignis ändern; das Steuern des HF-Senders, so dass er mindestens eine Nachricht der Folge entsprechend den festgelegten Parametern an den Schlüsselanhänger sendet; das Steuern des HF-Empfängers, so dass er mindestens eine von dem Schlüsselanhänger entsprechend den festgelegten Parametern übertragene Nachricht der Folge empfängt; und wobei mindestens eine Nachricht aus der Nachrichtenfolge mehrere Rahmen umfasst, wobei jeder Rahmen eine besondere Bitfolge umfasst, wobei benachbarte Rahmen der mehreren Rahmen durch ein Zwischenrahmenintervall voneinander getrennt sind; wobei benachbarte Nachrichten in der Nachrichtenfolge durch ein Zwischennachrichtenintervall voneinander getrennt sind; und wobei die festgelegten Parameter derart sind, dass eine vorgegebene Nachricht der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorgegebenen Nachricht aus der Folge und einer unmittelbar vorangehenden und/oder unmittelbar nachfolgenden Nachricht nicht länger ist als das ersten Zwischenrahmenintervall, und wobei die Steuerung ferner so ausgelegt ist, dass sie das elektronische Schloss nur dann entriegelt, wenn die oder jede Nachricht, die wie durch die Folge gefordert von dem Schlüsselanhänger übertragen wurde, von dem ersten Empfänger korrekt empfangen wird.
  15. Elektronische Schlossanlage nach Anspruch 14, wobei das Geheimnis von der ersten Steuerung und der Schlüsselanhängersteuerung gemeinsam genutzt wird, indem die erste Steuerung den ersten HF-Sender so steuert, dass er eine verschlüsselte Nachricht, die die Parameter für die Nachrichtenfolge festlegt, an den zweiten HF-Empfänger sendet.
  16. Elektronische Schlossanlage nach Anspruch 15, wobei die Steuerung so ausgelegt ist, dass sie für jeden Versuch einer Entriegelung des elektronischen Schlosses einen anderen Parametersatz festlegt.
  17. Elektronische Schlossanlage nach Anspruch 15 oder Anspruch 16, wobei die Steuerung so ausgelegt ist, dass sie für jeden Versuch einer Entriegelung des elektronischen Schlosses eine neue verschlüsselte Nachricht sendet und einen anderen Parametersatz festlegt.
  18. Elektronische Schlossanlage nach einem der Ansprüche 15 bis 17, wobei die in der ersten Nachricht festgelegten Parameter mindestens eines der folgenden Elemente umfassen: einen Hinweis, ob der Schlüsselanhänger oder der HF-Sender eine erste Nachricht der Folge übertragen soll; eine Startzeit für jede Nachricht in der Folge; eine Dauer für jede Nachricht in der Folge; eine Dauer für ein Intervall zwischen benachbarten Nachrichten in der Folge.
  19. Elektronische Schlossanlage nach Anspruch 18, wobei die in der ersten Nachricht festgelegten Parameter einen Hinweis umfassen, ob der Schlüsselanhänger oder der HF-Sender eine erste Nachricht der Folge übertragen soll; und eine Startzeit für jede Nachricht in der Folge und/oder eine Dauer für jede Nachricht in der Folge.
  20. Schlüsselanhänger für ein passives schlüsselloses Zugangssystem für ein elektronisches Schloss, wobei der Schlüsselanhänger eine Schlüsselanhängersteuerung, einen Niederfrequenzempfänger, einen HF-Sender und einen HF-Empfänger aufweist, wobei der Schlüsselanhänger so ausgelegt ist, dass er Nachrichten zur Entriegelung des Schlosses bei einem Entriegelungsereignis erzeugt, wobei: die Schlüsselanhängersteuerung und eine Schlossanlage des elektronischen Schlosses ein Geheimnis gemeinsam nutzen, das Parameter für eine Folge von Nachrichten festlegt, die bidirektional zwischen der Schlossanlage und dem Schlüsselanhänger unter Verwendung des HF-Senders und des HF-Empfängers ausgetauscht werden sollen, wobei mindestens eine der Nachrichten der Folge als von dem Schlüsselanhänger stammend festgelegt ist, wobei sich die Parameter zwischen jedem Entriegelungsereignis und einem unmittelbar nachfolgenden Entriegelungsereignis ändern; mindestens eine Nachricht der Nachrichtenfolge mehrere Rahmen umfasst, wobei jeder Rahmen eine besondere Bitfolge umfasst, wobei benachbarte Rahmen der mehreren Rahmen durch ein Zwischenrahmenintervall voneinander getrennt sind; wobei benachbarte Nachrichten in der Nachrichtenfolge durch ein Zwischennachrichtenintervall voneinander getrennt sind; und wobei die festgelegten Parameter derart sind, dass eine vorgegebene Nachricht der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden und/oder unmittelbar nachfolgenden Nachricht nicht länger ist als das erste Zwischenrahmenintervall, wobei die Schlüsselanhängersteuerung so ausgelegt ist, dass sie aufwacht, wenn der Niederfrequenzempfänger eine Niederfrequenzwecknachricht von der Schlossanlage empfängt, und dazu führt, dass der HF-Sender eine Antwort an die Anlage sendet, wobei die Antwort eine Schlüsselanhängerkennung umfasst; und wobei die Steuerung so ausgelegt ist, dass sie anschließend den HF-Sender so steuert, dass er die oder jede Nachricht der Folge, die als von dem Schlüsselanhänger stammend festgelegt ist, entsprechend den festgelegten Parametern an die Schlossanlage sendet.
  21. Schlüsselanhänger nach Anspruch 20, wobei der Schlüsselanhänger so ausgelegt ist, dass er die festgelegten Parameter in einer verschlüsselten Nachricht von der Schlossanlage empfängt.
  22. Schlüsselanhänger nach Anspruch 21, wobei die Schlüsselanhängersteuerung so ausgelegt ist, dass sie die in einer vorgegebenen verschlüsselten Nachricht bereitgestellten, festgelegten Parameter bei nur einem Entriegelungsereignis anwendet.
  23. Verfahren zum Verhindern eines erfolgreichen Relais-Angriffs auf ein passives schlüsselloses Zugangssystem für ein elektronisches Schloss einer Schlossanlage, wobei das System einen Schlüsselanhänger aufweist, der dazu ausgelegt ist, Nachrichten zur Entriegelung des Schlosses bei einem Entriegelungsereignis zu erzeugen, wobei das Verfahren Folgendes umfasst: Steuern, für jedes Entriegelungsereignis, eines ersten HF-Senders, der dem Schloss zugeordnet ist, oder eines zweiten HF-Senders des Schlüsselanhängers, um eine erste Nachricht einer Nachrichtenfolge entsprechend Parametern zu erzeugen, die in einem Geheimnis, das von einer Schlüsselanhängersteuerung und einer ersten Steuerung der Schlossanlage gemeinsam genutzt wird, festgelegt sind; Steuern des jeweils anderen des ersten HF-Senders und des zweiten HF-Senders, so dass eine zweite Nachricht der Folge entsprechend den festgelegten Parametern in Reaktion auf das Empfangen der ersten Nachricht der Folge übertragen wird; Ändern der Folge der Parameter der Folge bei jeder Iteration des Verfahrens, wobei jedoch jede Folge Übertragungen von dem ersten und dem zweiten HF-Sender verschachtelt; und Entriegeln des elektronischen Schlosses nur dann, wenn die oder jede Nachricht, die wie durch die Folge gefordert von dem Schlüsselanhänger gesendet wurde, korrekt von einem HF-Empfänger der Schlossanlage empfangen wird; wobei die festgelegten Parameter derart sind, dass eine vorgegebene Nachricht der Folge ein erstes Zwischenrahmenintervall umfasst und das Zwischennachrichtenintervall zwischen der vorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden und/oder unmittelbar nachfolgenden Nachricht nicht länger ist als das erste Zwischenrahmenintervall.
  24. Verfahren nach Anspruch 23, wobei die vorgegebene Nachricht der Nachrichtenfolge mindestens drei Rahmen umfasst und verschiedene Paare benachbarter Rahmen durch Zwischenrahmenintervalle mit unterschiedlichen Dauern getrennt sind.
  25. Verfahren nach Anspruch 24, wobei ein Zwischennachrichtenintervall zwischen der vorgegebenen Nachricht der Folge und einer unmittelbar vorangehenden oder unmittelbar nachfolgenden Nachricht der Folge eine Dauer zwischen den Dauern der Zwischenrahmenintervalle der vorgegebenen Nachricht der Nachrichtenfolge hat.
  26. Verfahren nach einem der Ansprüche 23 bis 25, das Folgendes umfasst: Steuern des ersten HF-Senders, so dass er eine verschlüsselte Nachricht, die die Parameter für die Nachrichtenfolge festlegt, an den Schlüsselanhänger sendet.
  27. Verfahren nach Anspruch 26, das Folgendes umfasst: Senden einer neuen verschlüsselten Nachricht, die einen anderen Parametersatz für jeden Versuch einer Entriegelung des elektronischen Schlosses festlegt.
  28. Verfahren nach Anspruch 26, wobei die in der verschlüsselten Nachricht festgelegten Parameter mindestens eines der folgenden Elemente umfassen: einen Hinweis, ob der erste oder der zweite HF-Sender eine erste Nachricht der Folge übertragen soll; eine Startzeit für jede Nachricht in der Folge; eine Dauer für jede Nachricht in der Folge; eine Dauer für ein Intervall zwischen benachbarten Nachrichten in der Folge.
  29. Verfahren nach Anspruch 26, wobei die in der verschlüsselten Nachricht festgelegten Parameter einen Hinweis umfassen, ob der Schlüsselanhänger oder der HF-Sender eine erste Nachricht der Folge übertragen soll; und eine Startzeit für jede Nachricht in der Folge und/oder eine Dauer für jede Nachricht in der Folge.
DE102019120207.8A 2018-07-25 2019-07-25 Passives schlüsselloses Zugangssystem Withdrawn DE102019120207A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/044,647 US10486648B1 (en) 2018-07-25 2018-07-25 Passive keyless entry system
US16/044,647 2018-07-25

Publications (1)

Publication Number Publication Date
DE102019120207A1 true DE102019120207A1 (de) 2020-01-30

Family

ID=68617788

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019120207.8A Withdrawn DE102019120207A1 (de) 2018-07-25 2019-07-25 Passives schlüsselloses Zugangssystem

Country Status (5)

Country Link
US (1) US10486648B1 (de)
JP (1) JP2020045757A (de)
CN (1) CN110853188A (de)
DE (1) DE102019120207A1 (de)
FR (1) FR3084495A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018210684A1 (de) * 2018-06-29 2020-01-02 Bayerische Motoren Werke Aktiengesellschaft Verfahren, Vorrichtung, Computerprogramm und Computerprogrammprodukt zum Codieren eines Steuergerätes eines Fahrzeuges und zum Überprüfen eines Steuergerätes eines Fahrzeuges
US10984615B2 (en) * 2018-10-12 2021-04-20 Denso International America, Inc. Passive entry/passive start access systems with tone exchange sniffing
US11443038B2 (en) * 2019-04-18 2022-09-13 Toyota Motor North America, Inc. Systems and methods for countering security threats in a passive keyless entry system
US11217049B2 (en) * 2019-11-07 2022-01-04 Afero, Inc. Secure wireless key system and method with dynamically adjustable modulation
CN114423920B (zh) * 2020-08-13 2022-11-18 东屋世安物联科技(江苏)股份有限公司 无源电子锁及其使用方法
US11449691B2 (en) * 2020-08-20 2022-09-20 Assa Abloy Ab Relay attack detection for interfaces using command-response pair
CN112860128B (zh) * 2021-04-13 2024-02-27 多玛凯拔科技有限公司 一种智能锁抗误触发干扰控制方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2823167B1 (fr) * 2001-03-30 2005-06-24 Siemens Ag Dispositif pour commander un dispositif de securite
DE10255880A1 (de) * 2002-11-29 2004-06-09 Philips Intellectual Property & Standards Gmbh Elektronisches Kommunikationssystem und Verfahren zum Erkennen einer Relais-Attacke auf dasselbe
US9386181B2 (en) * 2014-03-31 2016-07-05 Google Inc. Device proximity detection
US20180288092A1 (en) * 2017-03-30 2018-10-04 Qualcomm Incorporated Protection from relay attacks in wireless communication systems

Also Published As

Publication number Publication date
US10486648B1 (en) 2019-11-26
FR3084495A1 (fr) 2020-01-31
CN110853188A (zh) 2020-02-28
JP2020045757A (ja) 2020-03-26

Similar Documents

Publication Publication Date Title
DE102019120207A1 (de) Passives schlüsselloses Zugangssystem
DE102016203297B4 (de) Drahtloses Fahrzeugkommunikationssystem, Fahrzeugsteuervorrichtung und tragbares Gerät
DE10341358B4 (de) Fernsteuersystem zur Steuerung eines Fahrzeugs mit Priorität des Steuerzugriffs, welche dem letzten Verwender des Fahrzeugs zugeordnet wurde
DE102014010668B4 (de) Passives schlüsselloses Ferneintrittssystem mit einer niveau-basierten Anti-Diebstahl-Eigenschaft
DE69919128T2 (de) Im fahrzeug installierte fernsteuerung
DE102006045217B4 (de) Funkschließsystem mit erhöhter Sendeleistung und reduziertem Ruhestrom
DE102014200444B4 (de) Kommunikationssystem und Kommunikationsvorrichtung
DE102017103187A1 (de) Verfahren für eine Aktivierung mindestens einer Sicherheitsfunktion eines Sicherheitssystems eines Fahrzeuges
DE112019001846T5 (de) Elektronisches fahrzeugschlüsselsystem
WO2017144346A1 (de) Verfahren für eine aktivierung mindestens einer sicherheitsfunktion eines sicherheitssystems eines fahrzeuges
EP3419862A1 (de) Verfahren für eine aktivierung mindestens einer sicherheitsfunktion eines sicherheitssystems eines fahrzeugs
DE112015005503B4 (de) Kommunikationssystem
DE102008013792A1 (de) Fahrzeuginternes Vorrichtungsfernsteuersystem und fahrzeuginternes Vorrichtungsfernsteuerverfahren
DE112018005903T5 (de) Verfahren und system zur verhinderung von relais-angriffen unter einbeziehung von bewegung
EP1041224A2 (de) Vorrichtung und Verfahren zur Freigabe einer Sicherungseinrichtung, insbesondere einer Zugangseinrichtung für ein Kraftfahrzeug
DE60310332T2 (de) Fernsteuerungssystem zum Schließen/Öffnen von Fahrzeugen
DE112014003366T5 (de) Frequenzspringen mit amplitudenpegelsteuerung nutzendes schlüsselloses anti-diebstahl-fernbedienungszugangssystem
DE102017120524A1 (de) Tragbarer ID-Geber für ein Authentifizierungssystem und Verfahren zum Betreiben eines Authentifizierungssystems
EP3569455A1 (de) Abwehr eines relayangriffs
EP3396640A1 (de) Tragbarer id-geber für ein authentifizierungssystem und verfahren zum betreiben eines authentifizierungssystems
DE60102616T2 (de) Handfreies Zugangs- und/oder Startsystem für Kraftfahrzeuge
EP1879774B1 (de) Kraftfahrzeugschliesssystem und verfahren zum erlangen des zugangs zu einem kraftfahrzeug mittels eines solchen systems
DE69916461T2 (de) Sicherheitssystem
DE10143203B4 (de) Elektonische Steuereinheit für eine variable Datenübertragung mit Impulsbreitenmodulation
DE19941350A1 (de) Vorrichtung und Verfahren zur Freigabe einer Sicherheitseinrichtung, insbesondere einer Zuganseinrichtung für ein Kraftfahrzeug

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee