-
Die Erfindung betrifft ein Verfahren zur Absicherung eines Zugangs zu einem zu entriegelnden Fahrzeug mittels Mehrfaktorautorisierung nach der im Oberbegriff von Anspruch 1 näher definierten Art.
-
Die Absicherung von zu entriegelnden Fahrzeugen spielt im Stand der Technik eine immer größer werdende Rolle. Dabei wird für das erfindungsgemäße Verfahren davon ausgegangen, dass die Entriegelung über eine Kommunikationsverbindung beispielsweise zwischen einem Identifikationsgeber, welcher häufig auch als elektronischer Schlüssel bezeichnet wird, einem Smartphone oder dergleichen und dem zu entriegelnden Fahrzeug. Dabei wird in der Praxis die Sicherheit derartiger Kommunikationsvorgänge so gestaltet, dass sich die Kommunikationspartner in örtlicher Nähe befinden, wenn entsprechende Kommunikationstechnologien mit kurzer Reichweite wie beispielsweise NFC, Bluetooth oder WLAN genutzt werden. Die örtliche Nähe der Partner wird als gegeben hingenommen, weil diese als technisch erzwungen angenommen wird.
-
Bei einem sogenannten Relay-Angriff wird genau diese Annahme auf bekannte Weise umgangen, indem zum Beispiel das Signal eines elektronischen Schüssels in der Nähe des Schlüssels aufgefangen und dann zu einem entfernt von dem Schlüssel befindlichen zu entriegelnden Fahrzeug weitergeleitet wird. Ein Verstärker gibt dort das Signal wieder ab, sodass dem System die Nähe des Schlüssels vorgegaukelt wird. Dabei ist es so, dass es bei solchen Relay-Angriffen auch nicht möglich ist, durch den konventionellen Einsatz kryptografischer Mechanismen zur Authentifizierung und/oder Verschlüsselung einen solchen Angriff abzuwenden, da der Angreifer das Signal weder verstehen noch manipulieren können muss, sondern dieses lediglich auffängt und entsprechend weitergibt. Dieses Problem ist insbesondere bei „Keyless Go“-Systemen bekannt, kann aber auch bei anderen Vorgängen eine Rolle spielen, beispielsweise bei kontaktlosen Bezahl- und/oder Autorisierungsvorgängen.
-
Zum Stand der Technik kann in diesem Zusammenhang auf das Patent
EP 3 313 105 B1 hingewiesen werden. Dort wird vorgeschlagen, dass ein Schlüssel seine eigene Position bestimmt und diese an das Fahrzeug überträgt um sie dort mit der vom Fahrzeug bestimmten Position entsprechend abzugleichen. Dafür wird eine Funkzellenabfrage vom Fahrzeug und dem digitalen Schlüssel genutzt, worin man bereits eine Mehrfaktorautorisierung sehen kann. Nachteilig bei diesem Verfahren ist jedoch die Beteiligung eines Dritten, nämlich des Anbieters eines Mobilfunknetzes, welcher die Funkzellenabfrage zur Verfügung stellt. Dadurch ist zwingend einer Weitergabe des Bewegungsprofils des Fahrzeugs an weitere Teilnehmer des Wirtschaftssystems notwendig, was zumindest im Hinblick auf Datenschutzanforderungen äußert kritisch zu sehen ist.
-
Eine vereinfachte Lösung ohne Mehrfaktorautorisierung beschreibt das Patent
EP 3 418 133 B1 . Die dort beschriebene Lösung basiert auf dem Einbeziehen von mindestens zwei mobilen Geräten in der Umgebung des Fahrzeugs und auf dem Aufbau mehrerer Funkverbindungen, auf denen ein sich veränderndes Identifikationsmerkmal ausgetauscht wird.
-
Die in den beiden EP-Patenten beschriebenen Verfahren sind dabei außerordentlich kompliziert und aufwändig.
-
Die Aufgabe der hier vorliegenden Erfindung besteht deshalb darin, ein verbessertes und gleichzeitig vereinfachtes Verfahren zur Absicherung eines Zugangs zu einem zu entriegelnden Fahrzeug anzugeben.
-
Erfindungsgemäß wird diese Aufgabe durch das Verfahren mit den Merkmalen im Anspruch 1, und hier insbesondere im kennzeichnenden Teil des Anspruchs 1, gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen ergeben sich aus den hiervon abhängigen Unteransprüchen.
-
Ähnlich wie bei dem zuerst genannten Stand der Technik wird bei dem erfindungsgemäßen Verfahren zumindest ein erstes Berechtigungskriterium in Form einer örtlichen Nähe zwischen den Kommunikationspartnern überprüft. Im Anschluss erfolgt dann als echte Mehrfaktorautorisierung das Erfassen zumindest eines Umgebungsparameters durch zumindest einen der Kommunikationspartner, wobei wenigstens ein anderer Kommunikationspartner wenigstens ein als Umgebungsparameter erfassbares Signal aussendet und/oder denselben Umgebungsparameter wie der andere Kommunikationspartner erfasst. Der erfasste Umgebungsparameter wird dann an den wenigstens einen anderen Kommunikationspartner übertragen, wobei zumindest ein Zugangsberechtigungssteuergerät des Fahrzeugs die erfassten oder ausgesendeten und die übermittelten Daten auf Plausibilität prüft und das Ergebnis als Freigabe für den Zugang zusammen mit dem ersten Berechtigungskriterium, nutzt.
-
Damit lässt sich sehr einfach ein echtes Mehrfaktorautorisierungsverfahren realisieren, das bei deutlich reduzierter Komplexität ohne jegliche Verringerung der Sicherheit auskommt.
-
Die Kernüberlegung hinter dem weiteren Umgebungsparameter, welcher neben der örtlichen Nähe der Kommunikationspartner zueinander erfasst wird, ist die Tatsache, dass physikalische Umgebungsparameter sich in der Regel nicht sprunghaft, sondern kontinuierlich verändern. Ist also eine große Nähe der beiden Kommunikationspartner zueinander gegeben, dann kann davon ausgegangen werden, dass beispielsweise die Temperatur, die Beleuchtungsverhältnisse, die Umgebungsgeräusche oder ähnliche aus der Umwelt einfach zu erfassende Parameter sich zumindest ähneln. Bei der Plausibilitätsprüfung wird dann entsprechend überprüft, ob eine solche Ähnlichkeit des jeweiligen Parameters vorliegt. Ist dies der Fall, lässt sich durch den Umgebungsparameter die örtliche Nähe der Kommunikationspartner zueinander verifizieren. Damit kann wirksam gegen Relay-Angriffe vorgegangen werden.
-
Gemäß einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens kann dabei die örtliche Nähe, welche dem ersten Berechtigungskriterium zugrunde liegt, in Form einer erfassten Position sowohl des einen als auch des anderen Kommunikationspartners, wie es prinzipiell aus dem Stand der Technik bekannt ist oder statt über die dort beschriebene Ortung über Funkwellen auch per GPS oder dergleichen erfolgen könnte ermittelt werden. Alternativ dazu kann auch aus der Art der Kommunikationsverbindung die Entfernung der Kommunikationspartner abgeschätzt werden. Eine solche Schätzung hat, wie es eingangs beschrieben worden ist, das Problem, dass sie über einen Relay-Angriff entsprechend verfälscht werden kann. Durch die Möglichkeit, die örtliche Nähe außerdem durch den Umgebungsparameter zusätzlich als zweiten Faktor zu autorisieren, spielt dies hier jedoch eine untergeordnete Rolle, sodass in vielen Fällen auf eine Kommunikation bezüglich der Position der beiden Kommunikationspartner von dem einen zum anderen, insbesondere von einem elektronischen Schlüssel zu dem Fahrzeug hin, verzichtet werden kann. Der Schlüssel kann somit auf eine Sensorik zur Ortung verzichten.
-
Gemäß einer weiteren außerordentlich günstigen Ausgestaltung des erfindungsgemäßen Verfahrens kann es nun ferner vorgesehen sein, dass mehr als zwei Kommunikationspartner, beteiligt sind, wobei einer der Kommunikationspartner Teil des Fahrzeugs ist und die anderen Kommunikationspartner durch mobile vernetzte Einheiten gebildet werden. So kann beispielsweise an der Kommunikation ein elektronischer Identifikationsgeber bzw. Schlüssel beteiligt sein, welcher beispielsweise mit einem Smartphone als zweiten Kommunikationspartner gekoppelt ist, während der dritte Kommunikationspartner durch das Zugangsberechtigungssteuergerät des Fahrzeugs gebildet wird.
-
Eine weitere außerordentlich günstige Ausgestaltung des erfindungsgemäßen Verfahrens sieht es dabei ferner vor, dass die Kommunikation zwischen den beteiligten Kommunikationspartnern innerhalb eines vorgegebenen Zeitintervalls nach dem Aufbau der Kommunikationsverbindung erfolgen muss, um die Freigabe des Zugangs zu ermöglichen. Hierdurch lassen sich langwierige Operationen, wie sie bei einem Relay-Angriff häufig auftreten, alleine durch ein entsprechendes knapp vorgegebenes Zeitfenster entsprechend unterbinden. Dieses kann typischerweise im Bereich von bis zu einigen Sekunden liegen.
-
Der Überlegung liegt prinzipiell die Tatsache zugrunde, dass auf einem niedrigen Energielevel das Zugangsberechtigungssteuergerät des Fahrzeugs ständig nach in der Nähe befindlichen Identifikationsgebern sucht. Erkennt es seinen eigenen Identifikationsgeber in der Nähe, baut es eine Kommunikationsverbindung zu diesem auf, um dann die Berechtigung einerseits anhand einer entsprechenden elektronischen Kodierung des Identifikationsgebers, also dessen Identifikation, zu prüfen. Alle anderen Maßnahmen des erfindungsgemäßen Verfahrens laufen dann ebenfalls über diese von einem der Partner aufgebaute Kommunikationsverbindung, welche unidirektional hin zu dem Fahrzeug gerichtet oder auch bidirektional ausgebildet sein kann. Durch eine zeitliche Begrenzung aller Kommunikationsvorgänge auf das vorgegebene Zeitintervall, nachdem diese Kommunikationsverbindung aufgebaut bzw. gestartet worden ist, lässt sich so also die Sicherheit ebenfalls steigern.
-
Gemäß einer außerordentlich günstigen Ausgestaltung des erfindungsgemäßen Verfahrens kann es dabei vorgesehen sein, dass als Umgebungsparameter passive Umgebungsparameter genutzt werden. Solche passiven Umgebungsparameter im Sinne der Erfindung sind alle Umgebungsparameter, welche nicht aktiv veränderbar sind. Solche Umgebungsparameter können beispielsweise die Umgebungshelligkeit, die Lautstärke in der Umgebung, die Temperatur in der Umgebung, der Luftdruck oder dergleichen sein.
-
Daneben lassen sich gemäß einer außerordentlich günstigen Weiterbildung des erfindungsgemäßen Verfahrens alternativ oder ergänzend auch aktive Umgebungsparameter nutzen, bei denen zumindest einer der Kommunikationspartner ein Signal aussendet, welches von wenigstens einem anderen der Kommunikationspartner erfasst und direkt oder mittelbar an den das Signal aussendenden Kommunikationspartner zurückgemeldet wird. Ein solches aktives Signal kann beispielsweise ein Lichtsignal, ein elektromagnetisches Signal oder insbesondere ein akustisches Signal sein. Insbesondere ein akustisches Signal lässt sich außerordentlich einfach und effizient durch ein Mikrofon in einem der Kommunikationspartner, beispielsweise in einem an der Kommunikation beteiligten Smartphone, welches ein Mikrofon ohnehin aufweist, erfassen. Sendet das Fahrzeug also eine kurze Tonfolge aus, welche beispielsweise entsprechend kurz ist oder in einem Frequenzbereich liegt, welcher für Menschen nicht oder kaum hörbar ist, um so die akustische Belästigung von Personen zu unterbinden, dann kann dieses Signal von dem Mikrofon des Smartphones aufgenommen werden, wenn dieses sich in der Nähe des Fahrzeugs befindet. Dieses selbst oder ein mit dem Smartphone fest gekoppelter Kommunikationspartner, welcher prinzipiell das Mikrofon natürlich auch selbst aufweisen kann, sendet dann das entsprechende Signal bzw. eine auf dem Signal basierende oder aus diesem rechnerisch ermittelte Information an den aussendenden Kommunikationspartner, insbesondere also an das Fahrzeug, zurück. Vorzugsweise wird die Information über eine digitale Kommunikationsverbindung übermittelt. Dort kann entsprechend überprüft werden, ob das Signal angekommen ist, was beispielsweise eine Entfernung von wenigen Metern zwischen den Kommunikationspartnern voraussetzt. Hierdurch lässt sich also die örtliche Nähe zwischen den Kommunikationspartnern verifizieren.
-
Eine außerordentlich günstige Weiterbildung des erfindungsgemäßen Verfahrens sieht es dabei ferner vor, dass zumindest die Übertragung der erfassten Umgebungsparameter über die Kommunikationsverbindung verschlüsselt und/oder authentifiziert erfolgt, um hier einen manipulativen Eingriff mit hoher Sicherheit auszuschließen.
-
Eine weitere Ausgestaltung des Verfahrens kann es ferner vorsehen, dass die Umgebungsparameter in Form eines zeitlichen und/oder örtlichen Verlaufs erfasst werden. Ein solcher Verlauf des Parameters ergibt sich bei einer Annäherung einer berechtigten Person, welche wenigstens einen der Kommunikationspartner bei sich trägt, an das Fahrzeug. Wird beispielsweise das oben beschriebene akustische Signal als aktiver Umgebungsparameter genutzt, wird es mit einer zunehmenden Annäherung immer lauter, was Messtechnisch erfasst werden kann.
-
Eine vorteilhafte Weiterbildung des erfindungsgemäßen Verfahrens kann es auch vorsehen, dass die Werte der Umgebungsparameter, bevor sie übertragen werden, einer mathematischen Transformation unterzogen werden. Die Parameter lassen also eine entsprechende Berechnung zu, welche die Ähnlichkeit nicht in Frage stellt, wenn in der gleichen Art und Weise die Berechnung in beiden Kommunikationspartnern stattfindet oder wenn die Berechnung beispielsweise das Integral oder einen Mittelwert eines zeitlichen und/oder örtlichen Verlaufs gemäß der eben beschriebenen Ausführungsvariante des erfindungsgemäßen Verfahrens ist. Insbesondere kann eine solche Mittelwertbildung beispielsweise über einen Zeitraum von einigen Sekunden bezüglich der Umgebungslautstärke oder auch der Helligkeit dazu führen, dass potenzielle Messfehler egalisiert werden können, um so die Qualität des erfindungsgemäßen Verfahrens entsprechend zu verbessern und seine Fehleranfälligkeit vorteilhaft zu reduzieren.
-
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens ergeben sich auch aus dem Ausführungsbeispiel, welches nachfolgend unter Bezugnahme auf die Figuren näher beschrieben ist.
-
Dabei zeigen:
- 1 eine schematische Darstellung der zentralen Komponenten des erfindungsgemäßen Verfahrens in einer ersten Ausführungsform mit zwei Kommunikationspartnern; und
- 2 eine schematische Darstellung der zentralen Komponenten des erfindungsgemäßen Verfahrens in einer zweiten Ausführungsform mit vier Kommunikationspartner
-
In der Darstellung der 1 sind zwei Kommunikationspartner 1, 2 dargestellt. Außerdem ist durch eine mit 3 bezeichnete Wolke eine physikalische Umgebung dieser Kommunikationspartner 1, 2 dargestellt. Der hier mit 1 bezeichnete Kommunikationspartner kann beispielsweise ein Identifikationsgeber bzw. ein elektronischer Schlüssel sein. Der mit 2 bezeichnete Kommunikationspartner kann von dem über den elektronischen Schlüssel entriegelbaren Fahrzeug gebildet werden, zu welchem über den elektronischen Schlüssel, als dem Kommunikationspartner 1, ein Zugang und eine Fahrberechtigung erreicht werden kann. Beide Kommunikationspartner 1, 2 verfügen in dem hier dargestellten Ausführungsbeispiel über mehrere Sensoren S_1 bis S_n beim Kommunikationspartner 1 bzw. S_1 bis S_m beim Kommunikationspartner 2. Die über die einzelnen Sensoren S erfassten Werte lassen sich dann einer optionalen Berechnung in dem jeweils mit 4 bezeichneten Block zuführen. Über eine mit 5 bezeichnete verschlüsselte und/oder authentifizierte Kommunikationsverbindung lassen sich Daten zumindest von dem Kommunikationspartner 1 zu dem Kommunikationspartner 2 übertragen und in einem mit 6 bezeichneten Block einer Prüfung zuführen. Bei Bedarf kann, wie es gestrichelt über die Kommunikationsverbindung 7 angedeutet ist, ein Ergebnis dieser Prüfung zurückgemeldet werden, wobei hier die Verschlüsselung und/oder Authentifizierung im Gegensatz zu der Kommunikationsverbindung 5 keine oder nur eine untergeordnete Rolle spielt.
-
In der physikalischen Umgebung sind über zwei Ovale zwei verschiedene Größen bzw. Umgebungsparameter A und B schematisch angedeutet. Es kann sich dabei um passive Größen A, B handeln, welche durch die örtliche Umgebung vorgegeben sind und ohne eine weitere Beeinflussung seitens der Kommunikationspartner 1, 2 von zumindest einem der Kommunikationspartner erfasst bzw. gemessen und dem anderen der Kommunikationspartner 2, 1 entsprechend mitgeteilt werden. Beispiele wären hier Umgebungsparameter A, B wie Lufttemperatur, Luftdruck, der Geräuschpegel in der Umgebung, die Helligkeit oder dergleichen. All diese Parameter in der physikalischen Umgebung 3 sind in der Regel stetig und unterliegen in Bezug auf Raum und Zeit keinen sprunghaften Veränderungen. Werden also beispielsweise Größen wie die Temperatur von beiden beteiligten Kommunikationspartnern 1, 2 über ihre Sensoren S erfasst, dann kann im Block Prüfung 6 ein Vergleich dieser Werte stattfinden. Da bei physikalischen Werten und Messungen geringe Abweichungen immer denkbar sind, auch wenn lediglich eine stetige Veränderung der Größen A, B zu erwarten ist, wird hier nicht auf absolute Gleichheit sondern auf eine Ähnlichkeit geprüft, sodass also die Plausibilität eines Übereinstimmens der Werte bei der Überprüfung geprüft wird. Zusammen mit einer zuvor bereits festgestellten örtlichen Nähe der Kommunikationspartner, welche ebenfalls gemessen oder anhand der über eine entsprechende Technologie aufgebauten Kommunikationsverbindung 5, 7 vermutet wird, lassen sich so also zwei Kriterien abprüfen bzw. bei der Verwendung von mehreren Umgebungsparametern A, B auch mehr Kriterien. Stimmen all diese Kriterien soweit überein, sodass die örtliche Nähe der beiden Kommunikationspartner 1, 2 plausibel ist, so kann mit relativ hoher Sicherheit ein Relay-Angriff ausgeschlossen werden. Es kann dann gefahrlos eine Freigabe des Zugangs und der Fahrberechtigung zu dem den Kommunikationspartner 2 umfassenden Fahrzeug erfolgen.
-
Neben solchen passiven Parametern in der physikalischen Umgebung 3 wären prinzipiell auch aktive Umgebungsparameter denkbar, welche von einem der Kommunikationspartner 1, 2 bewusst beeinflusst oder erzeugt werden. Beispiele hierfür könnten insbesondere akustische Signale sein, welche beispielsweise in der typischerweise für die Nähe der Kommunikationspartner 1, 2 stehenden Entfernung von 2 bis 3 Metern von einem Mikrofon des einen Kommunikationspartners 1, 2 wahrgenommen werden können, wenn ein Lautsprecher des anderen Kommunikationspartners 1, 2 sie aussendet. In einer größeren Entfernung von beispielsweise mehr als 10 bis 20 Metern wäre dies dann nicht mehr gewährleistet oder nicht mehr in der für die Überprüfung der Ähnlichkeit erforderlichen Qualität. Damit ließe sich ein Relay-Angriff bei einer Entfernung von mehr als 10 bis 20 Metern des Schlüssels zu dem Fahrzeug, und nur dann ist ein solcher Angriff sinnvoll, zuverlässig unterbinden.
-
Neben akustischen Signalen sind selbstverständlich auch andere Signale wie beispielsweise Lichtsignale oder elektromagnetische Signale prinzipiell denkbar, dies hängt lediglich von der Art des aussendenden Aktuators und von verfügbaren passenden Sensoren S im Bereich der Kommunikationspartner 1, 2 ab.
-
In der Darstellung der 2 ist ein weiteres Beispiel dargestellt, welches im Wesentlichen analog zu dem bisherigen Beispiel aufgebaut ist. In dem hier dargestellten Ausführungsbeispiel ist es so, dass zusätzlich zu den beiden Kommunikationspartnern 1, 2 jeweils zwei Drittgeräte als Kommunikationspartner 8, 9 mit ihren Sensoren Sx_1, Sx_2 beteiligt sind, wobei hier selbstverständlich auch ein einziges der beiden Drittgeräte in Kombination mit einem der Kommunikationspartner 1, 2 denkbar wäre. Bei den Drittgeräten kann es sich beispielsweise um Smartphones handeln, welche entweder mit dem Fahrzeug oder insbesondere mit dem Identifikationsgeber, hier also dem Kommunikationspartner 1, über eine Verbindung, welcher vertraut werden kann, gekoppelt sind. Sie können dabei Rechenleistung oder insbesondere Sensoren Sx zur Verfügung stellen, da in einem solchen Smartphone eine Vielzahl von einzelnen Sensoren vorhanden ist, sodass beispielsweise über ein Mikrofon Geräusche als aktive oder passive Umgebungsparameter A, B aufgenommen werden können und über die gesicherte und vertrauensvolle Verbindung an den Kommunikationspartner 1, 2, 8, 9 weitergegeben werden können, welcher diese dann beispielsweise mit dem anderen Kommunikationspartner 2, 1, 9, 8 zur Prüfung austauscht. Prinzipiell wäre dabei selbstverständlich auch eine direkte Kommunikation zwischen dem empfangenden Smartphone, welches seine Berechtigung durch die Verbindung mit dem Identifikationsgeber herleitet, und dem jeweils anderen Kommunikationspartner 2, 9 denkbar.
-
Neben Mikrofonen können auch andere Sensoren Sxp wie z.B. Temperatursensoren, GPS-Sensoren zum Bestimmen der örtlichen Nähe und dergleichen in solchen Smartphones effektiv für die hier durchgeführte Mehrfaktorautorisierung zur Verifikation der Zugangsberechtigung zu dem Fahrzeug genutzt werden.
-
Die weiteren Abläufe und Elemente sind dabei vergleichbar wie in der Darstellung der 1 zu verstehen, diese sind mit den jeweils selben Bezugszeichen bezeichnet und werden nicht nochmals im Detail erläutert.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- EP 3313105 B1 [0004]
- EP 3418133 B1 [0005]