-
Die
Erfindung betrifft ein Verfahren zum Betreiben eines elektronischen
Diebstahlschutzsystems, insbesondere für Kraftfahrzeuge, sowie ein elektronisches
Diebstahlschutzsystem.
-
Moderne
elektronische Diebstahlschutzsysteme umfassen ein Zugangsberechtigungssystem, beispielsweise
eine Zentralverriegelung, sowie eine Wegfahrsperreinrichtung und
Alarmanlage. Derartige Diebstahlschutzsysteme sind in den deutschen
Offenlegungsschriften
DE
199 24 081 A1 und
DE
197 56 341 A1 beschrieben.
-
Ein
modernes Zugangsberechtigungssystem für ein Kraftfahrzeug besteht
aus einem elektronischen Schloss eines Schließsystems, welches mit dem zugehörigen elektronischen
Schlüssel
kommuniziert. Dieses Schloss steht typischerweise mit einem zugehörigen Steuergerät, beispielsweise
dem Steuergerät
der Motorsteuerung, einer Wegfahrsperre, einer Alarmanlage oder
dergleichen in kommunikativer Verbindung. Dabei kann das Zugangsberechtigungssystem
nach positiver Überprüfung kodierter Daten
einer Bedienperson oder eines von dieser mitgeführten Datenträgers mit
im Fahrzeug gespeicherten kodierten Daten überwunden werden. Zu diesem Zweck
tauscht der in eine Aufnahme des Schlosses eingeführte Schlüssel zunächst mit
dem in einem Bereitschaftszustand befindlichen Schloss kodierte
Daten aus und nach positiver Auswertung wird einerseits das entsprechende
Schloss des Zugangsberechtigungssystems freigegeben. Gleichzeitig
mit dem Freigeben des Zugangsberechtigungssystems werden die entsprechenden
Schlösser
der Türen
entriegelt und die Wegfahrsperre und die Alarmanlage deaktiviert.
Die Bedienperson kann somit die Tür öffnen und das Kraftfahrzeug
in Betrieb nehmen.
-
Moderne
Zugangsberechtigungs- und Fahrberechtigungssysteme für Kraftfahrzeuge
ermöglichen
zusätzlich
oder alternativ einen schlüssellosen Zugang
in das Kraftfahrzeug. Ein solches System ist beispielsweise das
von der Firma Siemens VDO Automotive entwickelte PASE-System (PASE
= Passive Access Start and Entry). Eine Zugangsberechtigungsanfrage
kann hier beispielsweise durch ein Betätigen eines Schalters initiiert
werden. Dies wird auch als passive Zugangsanfrage bezeichnet.
-
Beim
Einsatz dieser passiven Zugangsberechtigungssysteme ist es besonders
wichtig, dass die Alarmanlage eben nur in solchen Fällen deaktiviert
wird, bei denen die Zugangsberechtigungsanfrage von einer berechtigten
Bedienperson stammt. Bei diesen Systemen wird, um ein unerwünschtes Deaktivieren
einer Alarmanlage zu verhindern, daher eine sehr umfangreiche kodierte
Datenkommunikation zwischen Schlüssel
und Steuergerät
vorgenommen. Dabei unterscheidet man eine Datenkommunikation zur
Authentifikation eines berechtigten Schlüssels und eine Datenkommunikation
zur Deaktivierung der Alarmanlage. Während für die Authentifikation des
berechtigten Schlüssels
zunächst
lediglich geringe Datenmengen ausgetauscht werden, ist zur Deaktivierung
des Alarmsystems ein außerordentlich umfangreiches
Datenprotokoll zwischen Schlüssel und
Steuergerät
erforderlich, welches im Vergleich zu der Authentifikation des ordnungsgemäßen Schlüssels sehr
viel mehr Zeit in Anspruch nimmt. Dabei werden kryptologisch kodierte
Daten zwischen Schlüssel
und Steuergerät
ausgetauscht und analysiert. Durch diese sogenannte Kryptologie
soll sichergestellt werden, dass ein Diebstahl bzw. ein Inaktivsetzen
eines Alarmsystems durch einen unberechtigten Benutzer weitestgehend
ausgeschlossen wird.
-
Mit
dem Bedarf, eine zunehmend höhere
Sicherheit beim Betrieb solcher passiver Zugangssystem zu gewährleisten,
steigt auch der Umfang der Kryptologie bzw. der zwischen Steuergerät und Schlüssel ausgetauschter
Daten. Dadurch wird aber die Zeitdauer für diese Datenkommunikation
länger. Es
ergibt sich dann das Problem, dass während dieser Zeitdauer die
Türen noch
verschlossen sind, obwohl vom Fahrzeugnutzer bereits eine freigegebene Zugangsanfrage
vorliegt. Die Bedienperson kann daher bei erstmaliger Betätigung eines
Türgriffs
oder eines Schalters die entsprechende Tür noch nicht öffnen und
muss somit den Türgriff
mitunter zwei- oder mehrmals betätigen.
Dies ist unter dem Aspekt eines hohen Komforts nicht wünschenswert.
-
Um
dies zu verhindern und um die Reaktionszeit für den passiven Zugang zu verkürzen, können die
kryptologischen Daten, die zwischen Schlüssel und Steuergerät ausgetauscht
werden, mit sehr hohen Datenübertragungsraten
sowie einer festgelegten Abfragestrategie ausgetauscht werden. Dadurch
kann zwar sichergestellt werden, dass unmittelbar im Anschluss einer
Zugangsberechtigungsanfrage die Türen entriegelt werden und somit
geöffnet werden
können.
Häufig
reicht dies aber nicht aus, um die Reaktionszeit derart zu verringern,
dass die Türen
auch innerhalb der entsprechenden Reaktionszeit entriegelt sind
und damit ein erneutes Betätigen der
Türgriffe
vermieden wird. Problematisch daran ist ferner, dass mit zunehmender
Erhöhung
der Übertragungsrate
auch der Energieverbrauch für
eine Zugangsberechtigungsanfrage steigt, was aber verhindert werden
soll.
-
Der
vorliegenden Erfindung liegt daher die Aufgabe zugrunde, die Reaktionszeit
für die
Entriegelung eines Zugangsberechtigungssystems zu verringern.
-
Erfindungsgemäß wird diese
Aufgabe durch ein Verfahren mit den Merkmalen des Patentanspruchs
1 sowie ein Diebstahlschutzsystem mit den Merkmalen des Patentanspruchs
10 gelöst.
-
Die
der vorliegenden Erfindung zugrunde liegende Idee besteht darin,
den Vorgang für
die Zugangsberechtigung hin sichtlich der Authentifikation eines
berechtigten Schlüssels
und hinsichtlich der Deaktivierung der Alarmanlage voneinander zu
entkoppeln. Der vorliegenden Erfindung liegt dabei die Erkenntnis
zugrunde, dass der Prozess zur Authentifikation eines Schlüssels im
Vergleich zu der Deaktivierung der Alarmanlage sehr viel kürzer ist.
Ursache dafür
ist, dass zum Entsichern der Fahrzeugtüre typischerweise sehr wenige
Daten ausgetauscht werden. Das Entschärfen der Alarmanlage bzw. das Deaktivieren
der Wegfahrsperre erfolgt im Unterschied zu der Zugangsberechtigung
mit voller Kryptologie, das heißt
hier werden umfangreiche codierte Daten, die einen berechtigten
Fahrzeugnutzer identifizieren sollen, zwischen Schlüssel und
Steuergerät ausgetauscht.
Hierbei wird vorteilhafterweise ein sogenanntes Challenge-Response-Kommunikationsverfahren
verwendet, bei der eine codierte Anfrage vom Steuergerät zum Schlüssel erfolgt.
Nach Auswertung dieser Anfrage innerhalb des Schlüssels wird
eine codierte Antwort vom Schlüssel
an das Steuergerät
gesendet.
-
Da
der mechanische Entriegelungsvorgang zum Entriegeln der Türschlösser ebenfalls
eine signifikante Zeit in Anspruch nimmt, kann eben dieser Vorgang
bereits unmittelbar nach dem Authentifikation eines berechtigten
Schlüssels
eingeleitet werden. Es muss also nicht erst gewartet werden, bis
die zeitaufwendige Datenkommunikation zwischen Schlüssel und
Steuergerät,
mittels der die Alarmanlage deaktiviert werden soll, abgeschlossen
ist. Dieser mechanische Entriegelungsvorgang läuft somit mehr oder weniger
parallel zu dem Deaktivieren der Alarmanlage ab und ist sehr häufig noch
vor dem Deaktivieren der Alarmanlage abgeschlossen. Der besondere
Vorteil besteht darin, dass die Fahrzeugtüren nun sehr schnell entriegelt
sind, so dass im Falle von schlüssellosen
so genannten passiven Zugangsberechtigungssystem ein mehrfaches
Betätigen
der Türgriffe zum Öffnen der
Türe entfällt bzw.
sehr viel seltener auftritt. Der Zugang zu dem Kraftfahrzeug gestaltet sich
damit komfortabler. Da die Alarmanlage zu diesem Zeitpunkt aber
noch nicht entschärft
ist, bleibt trotz des vorzeitigen Öffnens der Türen ein
hoher Sicherheitsstandard gewährleistet.
-
Da
während
dieser Datenkommunikation die Alarmanlage noch aktiviert ist, jedoch
die Möglichkeit besteht,
die Türen
zu öffnen,
ist vorteilhafterweise eine Zeitverzögerung vorgesehen, innerhalb
der eine möglicherweise
unerwünschte
Aktivierung der Alarmanlage verhindert wird. Erst wenn nach Ablauf dieser
Zeitverzögerung
die Alarmanlage nicht entschärft
wurde, dann wird die Alarmanlage aktiviert, wodurch eine unberechtigte
Benutzung des Kraftfahrzeuges angezeigt wird.
-
In
einer besonders vorteilhaften Variante wird das Auslösen der
Alarmanlage lediglich an derjenigen Tür verzögert, an der die Zugangsberechtigungsanfrage
detektiert wurde und ein entsprechender Schlüssel erkannt wurde. Damit bleiben
alle übrigen
Türen,
bei denen keine Zugangsberechtigungsanfrage vorliegt, voll funktionsfähig und
alarmgesichert.
-
Das
erfindungsgemäße Verfahren
ermöglicht
auch eine Kostenreduzierung bei den erfindungsgemäßen Diebstahlsicherungssystemen,
da hier vorteilhafterweise auf sogenannten Servo-Latches verzichtet werden kann.
-
Vorteilhafte
Ausgestaltungen und Weiterbildungen der Erfindung sind den Unteransprüchen sowie
der Beschreibung unter Bezugnahme auf die Zeichnung entnehmbar.
-
Die
Erfindung wird nachfolgend anhand der in den schematischen Figuren
der Zeichnung angegebenen Ausführungsbeispiele
näher erläutert. Es zeigen
dabei:
-
1 ein Blockschaltbild eines
erfindungsgemäßen Diebstahlschutzsystems;
und
-
2 ein schematisiertes Zeitdiagramm
zur Erläuterung
eines erfindungsgemäßen Verfahrens zum
Betreiben des Diebstahlschutzsystems.
-
In
den Figuren der Zeichnung sind gleiche bzw. funktionsgleiche Elemente
und Signale mit denselben Bezugszeichen versehen worden.
-
1 zeigt in allgemeiner Form
ein Blockschaltbild für
ein elektronisches Diebstahlschutzsystem in einem Kraftfahrzeug,
welches ein im nicht dargestellten Kraftfahrzeug angebrachtes Steuergerät aufweist.
Das Steuergerät 1 steht über bidirektional betreibbare
Leitungen 2 mit dem Kraftfahrzeugtürschlosssystem 3,
insbesondere eine Zentralverriegelung, dem Kraftfahrzeugzündschloss 4,
einem Alarmsystem 5 und/oder einer Wegfahrsperre 7 in
kommunikativer Verbindung. Das Türschlosssystem 3 und/oder
das Zündschlosssystem 4 ist
durch einen von einer Bedienperson des Kraftfahrzeuges getragenen
Schlüssel 6 betätigbar,
der mechanisch in eines der Schlösser 3, 4 zur
Betätigung
einführbar
ist. Darüber
hinaus ist zum Öffnen
der Türen
auch ein elektronisches Betätigen
des Schlosses, zum Beispiel mittels Fernbedienung, denkbar. Der
Schlüssel 6 kann
in herkömmlicher
Weise, das heißt
in bekanntem Schlüssel-Schloss-Prinzip,
oder auch als Scheckkarte oder Chipkarte ausgebildet sein.
-
Zusätzlich oder
alternativ weist das Zugangsberechtigungssystem auch ein sogenanntes PASE-System
auf, welches einen schlüssellosen
Zugang und Start des Kraftfahrzeuges ermöglicht. Zu diesem Zweck weist
ein dazu verwendeter elektronischer Schlüssel 6 einen Transponder 8 auf,
der mit einem im Kraftfahrzeug angeordneten Transceiver (nicht gezeigt)
in kommunikative Verbindung treten kann. Der Aufbau und die Funktionsweise
eines solchen in Transpondertechnologie ausgebildeten elektronischen
Schlüssels 6 ist
allgemein bekannt, so dass darauf nicht näher eingegangen wird.
-
Das
Steuergerät 1 kann
durch ein Steuergerät
für eine
Wegfahrsperre, ein Steuergerät
für ein Fahrberechtigungssystem
oder ein Steuergerät
für eine
Alarmanlage ausgebildet sein und alle Funktionen zum Entriegeln
und Verriegeln der Fahrzeugtüren,
der Fahrzeugfunktionen und Alarmfunktionen enthalten. Das Steuergerät 1 überprüft, ob ein
benutzter Schlüssel 6 autorisiert
ist oder nicht und entriegelt bei autorisiertem Schlüssel 6 die
entsprechenden Türen.
Darüber
hinaus wird bei autorisiertem Schlüssel 6 und bei Vorhandensein
der entsprechenden kryptologischen Daten die Alarmeinheit bzw. die Wegfahrsperre
deaktiviert.
-
2 zeigt anhand eines schematisierten Zeitdiagramms
den erfindungsgemäßen Ablauf
der Datenkommunikation zwischen Schlüssel und Steuergerät bei einem
erfindungsgemäßen Diebstahlschutzsystem.
-
Es
sei angenommen, dass es sich bei dem Diebstahlschutzsystem um ein
sogenanntes PASE-System handelt. Dieses PASE-System weist neben einer Alarmanlage
einen Schlüssel
zur passiven Zugangsberechtigungsanfrage sowie ein entsprechendes
Steuergerät
zur Verarbeitung dieser passiven Zugangsberechtigungsanfrage auf.
Bei einer passiven Zugangsberechtigungsanfrage wird der Schlüssel nicht
auf herkömmliche
Weise in das Schloss gesteckt, sondern zwischen dem Schlüssel und
dem Schloss bzw. dem diesem Schloss zugeordneten Steuergerät erfolgt
auf eine Zugangsberechtigungsanfrage des Kraftfahrzeugnutzers hin
eine Datenkommunikation. Bei dieser Datenkommunikation tauschen
Schlüssel
und Steuergerät
kodierte Daten aus, wobei mittels der codierten Daten überprüft wird, ob
der Kraftfahrzeugnutzer berechtigt ist oder nicht.
-
Gemäß dem zeitlichen
Ablaufdiagramm in 2 betätigt der
Kraftfahrzeugnutzer zum Zeitpunkt t = t0 einen Türgriff (10). Dieses
Betätigen
des Türgriffes
wird von dem Diebstahlsicherungssystem als Zugangsberechtigungsanfrage
interpretiert. In Folge dieser Zugangsberechtigungsanfrage wird zunächst das
Steuergerät
aktiviert (11). Das Steuergerät befindet sich typischerweise
in einem Niederenergiemodus – beispielsweise
einem Power-Down-Modus oder Sleep-Modus – , um in solchen Zeitintervallen,
in denen keine Zugangsberechtigungsanfrage bearbeitet werden muss,
nicht unnötig
Energie zu verbrauchen. Das Steuergerät kann allerdings durch ein
sogenanntes "Wake-up"-Signal sehr schnell
wieder aktiviert werden. Dieses Wake-up-Signal ist zum Beispiel
ein von der Zugangsberechtigungsanfrage abgeleitetes Signal.
-
Im
Anschluss daran erfolgt eine kurze erste Datenkommunikation (12, 13)
zwischen dem Steuergerät
und dem Schlüssel.
Während
dieser ersten Datenkommunikation (12, 13) wird
zunächst
eine kurze Anfrage des Steuergerätes
an den Schlüssel
gesendet (12), woraufhin der Schlüssel sofort antwortet (13).
Bei dieser ersten Datenkommunikation (12, 13) wird
zum Beispiel angefragt, ob der jeweilige Schlüssel auch zu dem vorliegenden
Fahrzeug gehört,
zum Beispiel durch Abgabe und Überprüfung der
Fahrzeugnummer oder der Schlüsselnummer
vorgenommen. Erfolgt auf diese Anfrage hin eine Antwort mit bzw.
auch ohne speziellen Dateninhalt, so geht das Steuergerät davon
aus, dass ein gültiger
Schlüssel vorhanden
ist. Diese Datenkommunikation ist vergleichbar mit einem Registrieren
(Registering) bzw. Authentifikation bei heutigen PASE-Systemen.
Unmittelbar im Anschluss dieser Datenkommunikation (12, 13)
gibt das Steuergerät
einen Befehl (14) aus, mittels dem das entsprechende Türschloss
bzw. alle Türschlösser des
Schließsystems
entriegelt werden. Zum Zeitpunkt t1 ist damit der Abschnitt für die erste Datenkommunikation
beendet.
-
Unmittelbar
im Anschluss an den Entsichern-Befehl (14) wird das entsprechende
Schloss bzw. alle Schlösser
der zentralen Verriegelungsanlage entriegelt (15). Der
Kraftfahrzeugnutzer kann im Anschluss an diesen mechanischen Entriegelungsprozess
(15), dass heißt
zum Zeitpunkt t2 > t1,
die entspre chende Tür, über die
die Zugangsberechtigungsanfrage (10) erfolgt ist, bzw.
je nach Auslegung auch alle Türen öffnen.
-
Wesentlich
dabei ist aber, dass nach der ersten Datenkommunikation (12, 13)
bzw. nach dem Entsichern (14) die Alarmanlage im Kraftfahrzeug
für die
Zeitdauer t ≥ t1
noch scharf geschaltet ist. Der Kraftfahrzeugnutzer kann lediglich
die entsprechende Tür öffnen. Trotz
aktivierter Alarmanlage sorgt dieses Öffnen allerdings nicht sofort
zum Auslösen
des Alarms. Erfindungsgemäß ist hier
vorgesehen, dass mit einem Öffnen
der Türen
die Alarmanlage – sofern sie
zwischenzeitlich nicht deaktiviert wird – erst mit einer entsprechenden
Zeitverzögerung
auslöst.
Diese Zeitverzögerung Δt = t4 – t0 ist
so bemessen, dass eine nachfolgende zweite Datenkommunikation, während der überprüft wird,
ob die Alarmanlage deaktiviert werden soll, noch innerhalb dieser
Zeitverzögerung Δt abgeschlossen
ist. Die zweite Datenkommunikation ist im Beispiel in 2 zum Zeitpunkt t3 > t2 abgeschlossen.
Der Zeitpunkt t4, an dem zum Beispiel die Alarmanlage dann auslöst (20),
und damit die Verzögerung Δt sollte
dabei so gelegt werden, dass gilt: t4 > t3.
-
Unmittelbar
im Anschluss an die erste Datenkommunikation (12, 13)
zwischen Steuergerät
und Schlüssel
bzw. gegebenenfalls auch erst nach dem Ausgeben des Entsichern-Befehls
(14) (t ≥ t1)
findet zwischen Steuergerät
und Schlüssel
die zweite Datenkommunikation (16, 17, 18)
statt. Im Unterschied zu der ersten Datenkommunikation (12, 13)
werden bei dieser zweiten Datenkommunikation (16, 17, 18) kryptologisch
codierte Daten zwischen Steuergerät und Schlüssel ausgetauscht. Diese Datenkommunikation
(16, 17, 18) zwischen Steuergerät und Schlüssel dauert
im Vergleich zu der ersten Datenkommunikation (12, 13),
bei der keine bzw. nur geringe kryptologisch codierte Daten ausgetauscht
werden, sehr viel länger.
-
Es
erfolgt hier zunächst
eine Anfrage (16) des Steuergerätes an den Schlüssel, zum
Beispiel über
den LF-Kanal (LF = low frequency). Diese Anfrage wird in einer integrierten
Schaltung, die in dem Schlüssel
vorhanden ist, bearbeitet und ausgewertet (17). Der Schlüssel erzeugt
ausgehend davon ein Antwortsignal, welches kryptologisch codierte
Daten aufweist, und sendet dieses Datensignal über den RF-Kanal (RF = radio
frequency) zurück
zu dem Steuergerät
(18). Ergibt die Auswertung sowohl der Anfrage (16)
als auch der Antwort (18), dass die Zugangsberechtigungsanfrage
ordnungsgemäß erfolgt ist
und der Kraftfahrzeugnutzer auch berechtigt ist, dann erzeugt das
Steuergerät
ein Steuersignal (19), mittels dessen die Alarmanlage entschärft wird
und eine gegebenenfalls vorhandene Wegfahrsperre deaktiviert wird.
-
Ergibt
hingegen die Datenkommunikation (16, 17, 18),
dass der Kraftfahrzeugnutzer unberechtigt ist, dann ist zwar die
Fahrzeugtür
offen, aber die Alarmanlage bleibt nach wie vor aktiviert. Das bedeutet
aber, dass nach dem Ablauf der Verzögerung Δt, die wie oben erwähnt erforderlich
ist, um die Türe
zu öffnen,
die Alarmanlage aktiv wird und entsprechende akustische bzw. optische
Signale ausgibt, die der Umgebung anzeigen, dass ein unberechtigter
Fahrzeugnutzer im Kraftfahrzeug ist. Zusätzlich oder alternativ kann
auch vorgesehen sein, dass unmittelbar Signale über Funk an eine zentrale Stelle übermittelt
werden, die an eine Polizeidienststelle weitergeleitet werden.
-
Nachfolgend
sei anhand eines Beispiels der Inhalt und die Zeitdauer der für die Datenkommunikation 12, 13, 16, 19 erforderlich
ist, dargestellt:
- 1. LF-Anfrage 12:
Insgesamt
4 Byte, davon 1 Byte Run-In (= Vorbereiten des jeweiligen Empfängers),
1 Byte Code-Violation (= bewußte
Code-Verletzung zur Vorbereitung des Wake-up), 2 Byte WUP (= Wake-up);
dafür benötigte Zeit
bei einer Datenübertragungsrate
von 4 kBd = 8 msec.
- 2. RF-Antwort 13:
Insgesamt 1,5 Byte, davon 1 Byte Run-In,
0,5 Byte für
den Code der Schlüsselnummer;
dafür benötigte Zeitdauer
bei einer Datenübertragungsrate
von 8 kBd = 1,5 msec.
- 3. LF-Anfrage 16:
Insgesamt 16 Byte, davon 1 Byte Run-In,
1 Byte Code-Violation,
4 Byte WUP, 10 Byte für
die Übermittlung
codierter Daten;
dafür
benötigte
Zeitdauer bei einer Datenübertragungsrate
von 4 kBd = 32 msec.
- 4. RF-Antwort 18:
Insgesamt 11 Byte, davon 1 Byte Run-In,
10 Byte für
die Übermittlung
codierter Daten;
dafür
benötigte
Zeitdauer bei einer Datenübertragungsrate
8 kBd = 11 msec.
- 5. Mechanische Entsicherungszeit 15:
benötigte Zeitdauer
zur mechanischen Entsicherung der Türe: ca. 50 msec.
-
Gemäß dem obigen
Zahlenbeispiel dauert die erste Datenkommunikation 12, 13,
bei der keine oder kaum kryptologische Daten ausgetauscht werden,
lediglich 9,5 msec. Im Unterschied dazu dauert die zweite Datenkommunikation 16, 17, 18,
bei der kryptologische Daten entsprechend einer Challenge-Response-Kommunikation
ausgetauscht werden, zumindest 43 msec und damit deutlich länger als
die erste Datenkommunikation 12, 13. Da für das mechanische
Entsichern 15 der Tür
ebenfalls eine signifikante Zeitdauer (etwa 50 msec) benötigt wird,
kann das Öffnen
der Türe
vorteilhafter Weise bereits nach der ersten Datenkommunikation 12, 13 initiiert
werden und parallel zu diesem mechanischen Entriegeln 15 kann
die zweite Datenkommunikation 16, 18 stattfinden.
Auf diese Weise wird die Reaktionszeit für den passiven Zugang und das
mechanische Entriegeln signifikant reduziert, ohne dass der Diebstahlschutz
signifikant eingeschränkt
wird.