-
Die
Erfindung bezieht sich auf eine (zusätzliche) Absicherung von drahtlos
arbeitenden Zugangssystemen, deren kryptologisch gesicherter Datenaustausch
zwischen einem zu sichernden Objekt (z.B. einem KFZ, einem Raum
o.ä. bzw.
dessen Türwächter) und
einem Schlüssel
(KeyFob) drahtlos erfolgt.
-
1 zeigt den Vorgang zum
Erreichen eines Zugangs unter Nutzung eines solchen Systems. Das
Tor (1) wird von einem „Torwächter" (2) gesichert. Dieser Torwächter ist
einfach eine Vorrichtung, z.B. eine Elektronik, die mit dem Schlüssel (5),
z.B. einem Transponder oder ebenfalls einer Elektronik, kommunizieren
kann und mittels entsprechender Aktuatoren das Tor freigeben oder
sogar aktiv öffnen kann.
Auf Anforderung (3), oder selbst aktiv werdend, sendet
der Schlüssel
einen Code (4) an den Torwächter, der diesen als gültig oder
ungültig
erkennen kann. (Die Kommunikation kann über Licht (z.B. IR (Infrarot)),
niederfrequent (z.B. LF auf Langwelle), hochfrequent (z.B. UHF)
aber auch Schall (z.B. Ultraschall) als Träger erfolgen).
-
In
einer solchen Anordnung ist allerdings eine implizite Funktion eingebunden,
die normalerweise – zumindest
in den Beschreibungen – nicht
explizit dargestellt wird: Es ist dies die eingeschränkte Reichweite
der drahtlos abgewickelten Kommunikation zwischen Torwächter und
Schlüssel.
-
Es
würde nämlich keinen
Sinn machen, den Zugang bereits dann zu aktivieren, wenn sich der Schlüsselinhaber
noch in großer
Entfernung befindet! Eine daher notwendigerweise vorhandene Reichweiteneinschränkung wird
i.a. bei der Entwicklung derartiger Systeme einfach als gegeben
angesehen, weil sich eine Reichweiteneinschränkung schon durch die Konstruktion
von selbst ergibt. (Der Batterieeinsatz erlaubt z.B. im Schlüssel nur
eine begrenzte Sendeenergie, eine eingeschränkte Empfangsempfindlichkeit
lässt sich
kostengünstiger
und leichter realisieren und ist zudem meist weniger störanfälliger).
-
Aber
eben das ist auch die Schwachstelle der derzeit bestehenden Systeme.
Selbst wenn eine solche Sensitivitätseinschränkung im Normalbetrieb an sich
sichergestellt ist, wird nämlich
der Austausch der Daten zwischen einem (legalen) Schlüssel bzw. Ausweis
und einem Torwächter
durch eine Signalwegverlängerung
oder Sensitivitätsverstärkung (je nach
eingesetzter Technik z.B. durch drahtgebundene oder drahtlose Relaisstationen)
auch außerhalb des
so vorgesehenen Rahmens möglich;
und somit wird ein unerlaubter Zugang denkbar.
-
Diese
neuartige Angriffsform wird hier als „Bypass-Angriff" bezeichnet. (Als
Bezug sei auf die medizinisch bekannten Bypassfunktionen verwiesen, wo
ein Gefäß dessen
Transportkapazität
nicht ausreichend ist, durch ein Gefäß mit größerem Durchlassvermögen als
Bypass überbrückt wird).
Die Möglichkeit
für einen
solchen Bypass-Angriff ergibt sich z.B. in Zugangssystemen immer
dann, wenn Lediglich durch eine einfache Sensitivitätsbegrenzung
eine funktionskreiseinschränkende
Sicherung des Objektes hergestellt worden ist (vgl. 2 bis 4).
-
Der
Austausch von Daten zwischen Schlüssel und Torwächter wird
bei den bestehenden Systemen zwar hochwertig kryptographisch gesichert,
damit Schlüssel
und Torwächter
aber nicht bereits in großen
Abständen
kommunizieren können,
wird die Reichweite einer funktionierenden Verbindung bisher ausschließlich durch
eine Sensitivitätseinschränkung begrenzt.
-
Die 2 bis 4 stellen das in diesem Umfeld mögliche Angriffszenarium
dar, das es abzuwehren gilt:
Wenn der Schlüssel (20) und Torwächter (16) über zwischengeschaltete
Verstärker
(in 2 werden einfache
Verstärker
(6), (7) angenommen, in 3 Relaisstationen (17), (19))
auch dann kommunizieren können,
wenn Schlüssel
und Torwächter
noch weit voneinander entfernt sind (in der 3 über
die vom Bypass überbrückte Strecke
(18)), dann ist Gefahr im Verzug.
-
In
diesen Fällen
erfolgt der unerlaubte Zugriff durch die in den Kommunikationsweg
geschalteten Verstärker-
bzw. Relaisstationen (17) und (19) einfach nur
dadurch, dass zwischen den beiden legalen Kommunikationspartnern
(3, (16) und
(20)) eine über
diese Distanz nicht vorgesehene, aber ganz normal ablaufende Kommunikation
möglich wird.
-
Unter
Umständen
genügt
dazu, wie in 2 gezeigt,
bereits einfach nur die Erhöhung
der Sensitivitäten
in der gegebenen Übertragungsstrecke. Wenn
der Angreifer eine schwache Sendeleistung des Torwächters empfängt und
dann verstärkt
wieder aussendet (6), und so einfach nur die Sendeleistung anhebt,
gleiches mit dem vielleicht sehr schwachen Signal vom Schlüssel (7),
dann hat er sein Ziel bereits erreicht. Dazu müssen die beiden Komponenten (6)
und (7) nicht notwendigerweise am gleichen Ort sein. Sind
nicht allzu große
Entfernungen zu überbrücken, dann
genügt
eine Anhebung der Reichweite durch Verstärkung jeweils am Ort der legalen
Teilnehmer, also des Torwächters
und des Schlüssels.
Die Konstruktion eines Angriff nach dem Muster der 3 ist aber wahrscheinlicher.
-
Daher
ist bei jedem derart auf drahtlosem Weg ablaufenden Datenaustausch
ein solcher Angriff unter bestimmten Bedingungen konstruierbar.
(Bei passiven Transpondern wird man abhängig vom Rückkopplungsmechanismus die
Kopplungstechnik geringfügig ändern müssen).
-
Und
das gilt
- – unabhängig von
den eingesetzten Frequenzen (125kHz, 13MHz, 433MHz, 2,45GHz, usw.),
- – unabhängig vom
eingesetzten Technikbereich (Bluetooth, WLAN, Zugangskontrolle,
RFID, usw.),
- – unabhängig vom
Einsatzgebiet (Eingabeterminals, Lesestationen, KFZ-Zugang, Keyless
Entry, Raumzugangskontrollen, Zeiterfassungssyteme, Zahlungssysteme
Ausweissysteme, Rechnerfunktionen, Warernkontroll- und laufsysteme,
in Zukunft wohl auch für
Geldschein-Identifikationen, usw.).
-
Dabei
braucht der Inhalt der Daten, die zwischen Schlüssel und Torwächter ausgetauscht
werden, dem Angreifer nicht einmal im Ansatz zugänglich zu sein. Er braucht
zur Realisation seines Angriffs einfach nur dafür zu sorgen, dass Torwächter und
Schlüsselausweis
als legale Partner sich überhaupt „unterhalten" können. Der
Torwächter
wird dann den unerlaubten Zugang schon ermöglichen.
-
Dazu
muss ein Angreifer lediglich wissen, in welchem Frequenzband die
Kommunikation abgewickelt wird; ein relativ leichtes Unterfangen,
weil nur wenige Frequenzbänder
genutzt werden.
-
Zudem
sind die Vorteile fast vollständig
auf der Seite des Angreifers; er braucht sich um eine „gute" Technik, um Kanalbandbreiten,
usw. kaum Gedanken zu machen und wird das wohl auch nicht tun, und
letztendlich wird er die gesetzlichen Vorschriften, die beim Betrieb
derartiger Funksysteme zu beachten sind, auch nicht unbedingt als
für ihn
verbindlich beachten. Er braucht nicht einmal die Kenntnis der exakten
Frequenz und braucht nicht zu wissen, auf welchem Kanal exakt die
Kommunikation erfolgt! Spread-Spektrum-Anwendungen sind bei entsprechender
Breitbandigkeit gleichermaßen
angreifbar!
-
Dieses
sind – ohne
Gegenmaßnahmen – durchaus
reale Angriffsszenarien, die den illegalen Zugang zu einem System
(KFZ, Raum, usw.) ermöglichen.
Bei schlüssellosen
Zugangs- und Kontrollsystemen, also bei Systemen, bei denen der
Zugangsberechtigte einfach nur einen Transponder oder einen, zum
Datenaustausch mit dem Torwächter
fähigen,
aktiven Ausweis zur Identifikation bei sich tragen muss, sind mittels
Relaisfunktionen derartig konstruierte, missbräuchliche Zugriffe möglich.
-
3 zeigt einen missbräuchlichen
Zugang zu einem Raum, wenn lediglich ein elektronischer Ausweis
oder Transponder den Zugang ermöglichen würde. Die Überbrückung einer
Distanz von 2km (18) durch einen Bypass liegt dabei durchaus
im Bereich des Möglichen.
-
Nachdem
der legale Inhaber des Schlüssels (21)
den Zugangsbereich verlassen hat und z.B. in einem relativ weit
entfernten Lokal beim Essen sitzt, hat ein erster Relaisstationsträger (19)
sich einfach nur in der Nähe
(innerhalb des – technisch
evtl. aufgedehnten – Bereichs
(23)) des Berechtigten niedergelassen, hält sich
also nur in dessen Nähe
auf, während
der zweite Relaisstationsträger
(17) vom Torwächter
(16) durch den erfolgreichen Datenaustausch mit dem Schlüssel als
berechtigt eingestuft wird und Einlass erhält.
-
4 zeigt als ein konkretes
Beispiel derartiger relaisgestützter
Bypassangriffe einen solchen Angriff auf ein KFZ (24),
um dieses zu stehlen: Die Kommunikation zwischen Schlüssel (27)
und Torwächter
(hier in der 4 nicht
dargestellt) mag gut verschlüsselt
abgelaufen sein und vielleicht braucht man wirklich viele Jahre
zum „knacken" der eingesetzten
Schlüssel
und zur Analyse der eingesetzten kryptographischen Technik.
-
In
diesem Beispiel hat der Schlüssel
(27) aber einfach nur korrekt auf den über die Relaisstationen (25)
und (26) einlaufenden Datenstrom des Torwächters (auf
die Challenge) reagiert und korrekt geantwortet; natürlich hat
er sehr gut verschlüsselt
geantwortet. Während
der Torwächter
aus dem erhaltenen, korrekten Datenstrom (aus der Response) schließt, dass
ein Berechtigter Einlass fordert und folgerichtig diesen auch gewährt, hat
der eigentliche Schlüsselträger u.U.
nicht einmal mitbekommen, dass über
seinen Schlüssel
ein derartiger Angriff gelaufen ist.
-
Der
Schlüssel
ist im verdrehten Sinne zur „Schlüsselfigur" des Angriffs geworden.
Die an sich sinnvolle Konstruktion für einen „Komfort-Zugang" ermöglichst
so den „Komfortdiebstahl".
-
In
diesem Zusammenhang wurden Methoden zur Abwehr derartiger Angriffe
gesucht und sind in dem erfindungsgemäßen Verfahren realisiert worden.
Grundsätzlicher
Ansatz der Erfindung ist, durch eine geeignete Signallaufzeitmessung,
hier im KFZ (28), sicherzustellen, dass die Entfernung
zwischen Schlüssel
(29) und dem Tor zum Zeitpunkt der Toröffnung eine bestimmte Grenze
(8) nicht über-
oder (je nach Anwendungsfall auch) unterschreitet. (5).
-
Ziel
ist, dass die Entfernungsmessung bzw. die Sicherstellung einer eingeschränkten Funktionsdistanz
als fester Bestandteil des Zugangsprotokolls zu sehen ist.
-
Dabei
sind sehr kurze Zeiten zu messen: Legt man einen „Funktionsbereich
für die
Berechtigung einer Kommunikation "(d.h. als maximal erlaubten Abstand
bei laufendem Datenaustausch zwischen Schlüssel und dem Tor während einer
Berechtigungsverifikation) von z.B. 6 m fest, dann beträgt die Signallaufzeit
der mit elektromagnetischen Wellen übertragenen Daten nur ca. 20ns.
-
Unter
Mitnahme des nützlichen
Nebeneffekt des mit einer solchen Lösung zugleich gelösten weiteren
Problems, nämlich
einer an sich wünschenswerten
(31), aber in der Realität meist nicht erreichten (30),
räumlich
genauen Funktionskreisfestlegung der Funkverbindung zum Schlüssel wurde
die Entwicklung einer distanzsensitiven Funkverbindung zwischen
beliebigen Funk- oder Signal-Komponenten als Abwehrstrategie gegen
Bypassanriffe auf eine Tor-Schlüsselfunktion
betrieben.
-
Bei
den dabei zunächst
zur Referenz herangezogenen Abstandsmessgeräten steht die Genauigkeit der
gemessenen Distanz im Vordergrund des Interesses. Diese Genauigkeit
und der dazu benötigte
Aufwand ist für
den hier angestrebten Einsatz unverhältnismäßig hoch. Die hier gegebenen
Genauigkeitsanforderungen sind wesentlich geringer, weil gewissermaßen nur
Bereiche (Nahbereich, mittlere Entfernung, weit entfernt) einzuschätzen sein
werden. Dazu ist eine Auflösung
der Entfernungsbestimmung im dm- oder sogar m-Bereich völlig ausreichend.
-
Daher
waren andere Lösungsansätze zu suchen:
Prinzipiell steht für
die Realisation die Messung von Signallaufzeiten und/oder die Messung
von Phasenlaufzeiten zur Verfügung.
Nach einer generellen Abschätzung
der Probleme, der möglichen
Lösungstechniken
und der mit diesen Techniken verbundenen Kosten wurde aus einer
Vielfalt möglicher
Anordnungen das Verfahren nach 6 als genereller
Lösungsansatz
im Rahmen einer Phasenlaufzeitmessung herangezogen. In 6 werden
mit den Generatoren G1 (73) und
G2 (74) zwei Sinussignale mit sehr
dicht benachbarten Frequenzen f und f + df (oder f – df) erzeugt.
Zur Vereinfachung werden diese zwei Generatoren als gegeben angesehen.
-
Eines
dieser Signale (in 6 das Signal mit der Frequenz
f + df) wird auf den Transmitter (z.B. eine Antenne) gegeben, ausgesendet, überbrückt die Strecke
(76), wird durch eine geeignete Anordnung bei (77)
empfangen, zur Auswertung (i.a. noch im Receiver) geeignet verstärkt und
wieder an den ursprünglichen
Sender zurückgeschickt
(80). Zwischen dem Signal, das vor der Aussendung bei (75)
vorliegt und dem Signal, das nach dem Empfang bei (81)
vorliegt, besteht eine laufzeitbedingte (zudem eine zusätzliche,
gerätebedingte)
Phasenverschiebung. Werden diese beiden Signale beide mit dem anderen Signal
(hier der Frequenz f) überlagert
(in (83)), dann entstehen zwei Überlagerungssignale ((84)
und (85)). Wegen der besonderen Eigenschaften trigonometrischer
Funktionen, dass die Phasenlage in einer Einzelkomponente (hier
die Phase des Hf-Signals) sich in einer Summen- oder Mischkomponente
wiederfindet, ist diese Phasenzeit der Hüllkurve (bezogen auf die ja
sehr viel niedrigere Hüllkurven-Frequenz)
um ein vielfaches größer geworden.
Mathematisch wird dies beschrieben durch die Additionstheoreme der
trigonometrischen Funktionen. Dies erlaubt (wie in 6 dargestellt),
die Messung der Phasenverschiebung im HF-Signal auf die viel leichtere
Phasenmessung in den Hüllkurven
zurückzuführen (z.B.
(86)).
-
Gleiches
kann man auch durch Mischen der beiden Signale mit einer anschließenden Tieffrequenzfilterung
erreichen. Die dazu benötigten
Techniken sind bekannt. Beim Einsatz ausschließlich sehr hoher Frequenzen
(z.B. UHF) wird dieses ohnehin notwendig sein. Das Heruntermischung
von zwei Signalen mit sehr hoher Trägerfrequenzen in einen niedrigeren
Zwischenfrequenzbereich erlaubt dies durchaus unter Beibehaltung
der Phaseninformation zwischen den Signalen.
-
Mit
der prinzipiellen Anordnung der 6 steht
die Basisanordnung der zu realisierenden Lösung bereit. Dies unter der
Voraussetzung, dass es gelingt, Sinusfunktionen mit ausreichend
dicht benachbarten Frequenzen (wenige Hz) zu erzeugen und zudem
die Phasenbeziehung zwischen den Überlagerungs- bzw. Hüllkurven
genau genug auszuwerten.
-
In
diesem Zusammenhang ist bekannt, dass eine dicht neben einer gegebenen
Frequenz liegenden Frequenz erzeugt werden kann, indem eine technische
Nachbildung der Additionstheoreme für Sinusfunktionen realisiert
wird (z.B.
DE 38 28
028 A1 ). Der Literatur ist ebenfalls zu entnehmen, wie
zu einem Sinussignal durch eine 90° Phasenverschiebung eine entsprechende
Cosinusfunktion ausgebildet werden kann, die für eine solche Nachbildung benötigt wird.
-
Alternative
Möglichkeiten
zur Erzeugung benachbarter Frequenzen auf dem veröffentlichten Stand
der Technik sind derzeit nicht bekannt; die normalerweise eingesetzten
Techniken, wie Mischung und Filtertrennung der entstehenden Komponenten erlauben
nicht, Frequenzdifferenzen von wenigen Hz für zwei hochfrequente Sinussignale
sicherzustellen. Lediglich Frequenzdifferenzen im Abstand der realisierbaren
Filterbandbreite (i.a. ist das für
den MHz-Bereich eine kHz-Bandbreite) sind mit diesen Techniken erreichbar
und schieden in diesem Fall daher aus.
-
Bei
der Nachbildung der Additionstheoreme besteht allerdings das Problem,
dass zwei Multiplikationen technisch nachzubilden sind. Dies ist
i.a. kein so ganz einfacher technischer (also kostenträchtiger),
aber dennoch ein beherrschbar und realisierbarer Aufwand. Die Nachbildung
der Multiplikation durch Schaltfunktionen erlaubt zudem in bestimmten Frequenzbereichen
kostengünstigere
Realisationen.
-
Die
Erzeugung und Verwendung von zwei dicht (d.h. hier nur wenige Herz
auseinanderliegende) benachbarte Frequenzen kann im hier zu sehenden
Zusammenhang aber als gegeben betrachtet werden.
-
Ebenso
ist bekannt, wie durch Phasenmessung zwischen zwei Sinussignalen
hochgenau wegbedingte Phasenverschiebungen gemessen werden können. Im
Falle sehr hochfrequenter Signale ist es u.U. nötig, zuvor eine frequenzmäßige Abwärtsmischung
auszuführen,
dies unter Beibehaltung der Phaseninformationen in den Zwischenfrequenzen, um
erst dann in diesen niederfrequenten Signalen die Phasenlage bestimmen
zu können.
-
Randbedingung
der zu entwickelnden Technik war zudem, dass die zwischen Schlüssel und
Torwächter
zur Distanzmessung ausgetauschten Signale gleichzeitig zu einem
Informationsaustausch geeignet sind und für die Kommunikation bzw. den
Datenaustausch zwischen Schlüssel
und Tor eingesetzt werden können
bzw. dass für
diesen Datenaustausch kein zweiter Kanal eingesetzt werden muss. Ein
Informationsaustausch zwischen den beiden Funkpartnern (Tor/Torwächter und
Schlüssel)
ist in einer solchen Anwendung ein essentieller Teil; dieser Informationstransfer
realisiert die eigentliche kryptologisch gesicherte Schlüsselfunktionen.
-
Unter
diesen Vorgaben und ausgehend vom Stand der Technik entstand das
neue, erfindungsgemäße Verfahren.
-
Dabei
war (als zusätzliche
Nebenbedingung der Entwicklung und auf das kryptographisch gesicherte
Zugangsystem selbst bezogen) von einem technisch weitgehend ausgereiften
System auszugehen, in dem die Kommunikationsmöglichkeit zwischen einem Torwächter und
dem Schlüssel
konstruktiv bereits besteht.
-
Im
Kfz-Bereich ist es nicht unüblich,
auf einem Langwellenkanal (z.B. bei 125kHz) die Kommunikation vom
KFZ zum Schlüssel
und auf einem hochfrequenten Kanal (z.B. UHF bei 433MHz oder 689MHz)
die Kommunikation vom Schlüssel
zum KFZ zu betreiben. Obwohl vom Ansatz her eine beidseitig betriebene
hochfrequente Kommunikation wesentlich geeigneter ist, eine Distanzmessung
zwischen den Funkpartnern – mit
höherer
Genauigkeit – zu
realisieren, war so also die bestehende Technik zu beachten.
-
Dies
vor allem auch deshalb, weil es eine Vielzahl von bestehenden und
ausgereiften Anwendungen gibt und für die jeweilige Anwendung nicht eine
völlige
Neuentwicklung lediglich unter einem neuen Gesichtspunkt notwendig
werden sollte, sondern die gegebene Anordnung durch geeignete Ergänzung kostengünstig nachgerüstet werden
sollten.
-
7 zeigt
die hier zu beachtende, also vorgegebene und nachzurüstende Technik:
Ein Mikroprozessor (10 erzeugt mittels einer PWM-Ansteuerung
ein 125 kHz Signal, das geeignet verstärkt wird (11) und über eine
Ferrit-Antenne (13) in Richtung Schlüssel abstrahlt (40).
-
Die
PWM-Ansteuerung wird dabei sowohl für eine Datenübertragung
(48) u.a. auch zur Intensitätsansteuerung bzw. zur Intensitätsregelung
genutzt. Das 125kHz-Signal wird durch geeignete Anordnungen auf
die, sich in einen abgestimmten Schwingkreis befindliche Spule (13)
gelegt.
-
Im
Schlüssel
(9) wird das vom KFZ so erzeugte elektromagnetische Feld
empfangen (14), das empfangene Signal sodann verstärkt (15),
demoduliert und evtl. vorverarbeitet (41) und der damit
sich ergebende Datenstrom (50) in einem Spezialprozessor
(42) ausgewertet.
-
Als
Reaktion auf die empfangene Nachricht vom KFZ erzeugt der Schlüsselprozessor
(42) einen eigenen Datenstrom (51) sowie einen
eigenen UHF-Träger
(43), meist durch eine geeignete PLL-Anordnung, in (43).
Die generierte Frequenz liegt i.a. auf den für diese Zwecke freigegebenen
und lizenzfreien Frequenzen, z.B. bei 433MHz/668MHz/2,45GHz.
-
Um
den kryptographisch verschlüsselten
Datenverkehr zu organisieren, befindet sich Empfängerseitig, hier im Schlüssel (9),
also selbst ein Prozessor (42). Am Markt erhältliche
Spezial-Prozessoren erlauben die Verschlüsselung der Daten, die Erzeugung
von Trägersignalen
zur Aussendung der Daten und enthalten meist auch bereits geeignete
Empfängerstrukturen.
-
Die
Verstärkung
des modulierten Trägers (44)
ist meist ebenfalls bereits integriert, so das ein bereits mit den
zu übertragenden
Daten moduliertes UHF-Signal direkt auf die UHF-Antenne (45)
gelegt werden kann.
-
Das
vom Schlüssel
in Richtung PKW übertragene
UHF-Signal (46) wird dort empfangen (47), verstärkt (12)
und demoduliert (49). Die so gewonnenen Daten werden vom
im KFZ befindlichen Prozessor (10) dann weiterverarbeitet
und ausgewertet; hier entscheidet der Torwächter über die Zugangsberechtigung
einer Anforderung.
-
Sowohl
die Technik zum Erzeugen der Trägersignale
als auch zum Erzeugen der Daten, sowie der Empfangs- und Sendetechnik
(meist nicht diskret, sondern durch kommerzielle Bausteine realisiert)
sind in diesem Zusammenhang also als gegebene Techniken anzusehen.
-
Möglichst
ohne diese bereits bestehende technische Anordnung (7)
zu stören,
sollte zusätzlich
die Möglichkeit
geschaffen werden, über
eine Messung der Signallaufzeit oder der Phasenlaufzeit die Distanz
zum Schlüssel
zu detektieren.
-
8 zeigt
das auf der Basis der Prinzipdarstellung der 6 in dieser
Anordnung zu realisierende Verfahren. Der Vergleich der Prinzipsanordnung
(6) und die Darstellung der 8 ist einfach.
-
Die
auf LF (125kHz) vom KFZ bei (66) abgestrahlte Information
erreicht den Schlüssel
bei (94). Der Schlüssel
dekodiert die Information (96) und gibt sie während einer
Distanzmesszeit lediglich direkt über (55), (98)
und (99) an den UHF-Kanal weiter. Dazu muss der Prozessor
(97) die in (96) demodulierten Daten (56)
lediglich vom Eingang direkt auf seinen Ausgang (55) schalten.
-
9 zeigt
diesen Lösungsansatz
noch einmal und stellt zugleich die zu diesem Zweck zur Schaltung
hinzuzufügenden
Komponenten dar.
-
Sowohl
im Schlüssel
als auch im KFZ sind alle Komponenten der in 9 gezeigten
Anordnung unverändert
beibehalten worden, so dass die Anordnung bezüglich der Kommunikationstechnik, auch
der eingesetzten Kryptographie unverändert funktionieren wird.
-
In
einer geeigneten Anordnung (57) wird aus dem 125kHz-Signal
und einem ca. 5Hz Sinussignal, eine um nur 2-5Hz neben dem 125kHz-Signal
(das zur Abstrahlung kommt (60)), liegende Signalfrequenz
erzeugt.
-
Schlüsselseitig
ist als zusätzlich
Funktionalität
die Möglichkeit
vorzusehen, dass der UHF-Träger mit
dem empfangenen Signal (hier entweder direkt mit einem aus dem 125kHz
abgeleiteten Taktsignal, oder mit dem empfangenen Datenstrom von
ca. 8 kHz) moduliert werden kann. Dies kann – wie gerade dargestellt – z.B. durch
eine einfache „Durchreichfunktion" des Prozessors (97)
geschehen, indem der demodulierte Datenstrom (61) einfach
weitergereicht wird (62) und so dem eigenen Träger aufgeprägt wird.
-
Das
kann aber z.B. auch dadurch geschehen, dass der UHF-Träger des
Schlüssels
mit dem empfangenen Signal (direkt oder nach Untersetzung der 125kHz-Frequenz)
neben der Datenmodulation noch einmal moduliert wird. Es entsteht
in diesem Sinne eine Doppelmodulation. In einer bevorzugten Anordnung
wurde dies dadurch realisiert, dass in Serie (oder auch parallel)
zum Quarz des Schlüssel-Prozessors
eine mit den Empfangsdaten angesteuerte Kapazitätsdiode gelegt wurde, die durch
das Ziehen des Quarzes erzeugte UHF leicht verstimmt wurde. Dabei
beträgt
der Frequenzhub dieser Signale nicht mehr als einige 100 Hz. Auf
der Kfz-Seite war dazu aber eine zweite Demodulationsstufe einzurichten.
-
Dieser
Aufwand ist allerdings nur dann notwendig, wenn die Distanzmessung
parallel zum eigentlichen Datenstrom zwischen den beiden kommunizierenden
Partnern erfolgen soll. Wird zwischen den beiden Zuständen „Messung
der Distanz" und „Datenaustausch
mit dem Schlüssel" die Datenherkunft
im Schlüssel
kontrolliert weitergeschaltet dann könnte die doppelte Modulation
und Demodulation erspart bleiben.
-
Die
mit der Anordnung nach 9 erreichbare Auflösung der
Distanzdetektion beträgt
zwar nur ca. einen halben Meter, ist aber durchaus geeignet, zu
unterscheiden ob der Schlüssel
sich in drei, vier oder fünf
Metern Entfernung vom KFZ befindet. Eine sichere Detektion, dass
sich der Schlüssel
nicht weiter als 20 Meter entfernt befand, war in jedem Fall gegeben.
-
Das
hier primäre
Ziel, einen möglichen
Bypass-Angriff abzuwehren, ist damit aber „im Nachrüstsatz" kostengünstig realisiert.
-
Als
einer der wichtigsten Schritte zum Verständnis dieser technischen Realisation
ist aber die Nachbildung einer Schwebung durch digitale Signale zu
sehen. Erst diese Lösung
erlaubt die Adaptation des Verfahrens auf eine Mikroprozessoranordnung wie
in 9 dargestellt.
-
12 zeigt
oben die Entstehung einer vollständigen
Schwebung: Diese beiden Signale mit der Frequenz f und f + df werden
bei (200) und (201) einer Additionsstufe (204)
zugeführt
und als Summe (oder als Differenz oder gemischt) bei (205)
bereitgestellt. Im Ergebnis ergibt sich die Schwebung (oder das Überlagerungssignal)
mit einem Maximum bei (222). Ziel für eine Phasenmessung wäre die möglichst
genaue zeitliche Feststellung des Minimums ((221) Nulldurchgang)
bzw. des Maximums (222) dieser Schwebung (Überlagerung),
um daraus die Phasenlage zu einer anderen Schwebung (oder Überlagerung) – so wie
dies z.B. in der Basisanordnung der 6 und in 8 dargestellt
ist – bestimmen
zu können.
-
Unterhalb
dieser Schwebung in 12 sind vier Einzelschwingungsrelationen
mit einer Positionszuordnung zu der Schwebung dargestellt (oberhalb
der Kennungen (206), (207), (208) und
(209):
Die Phasenlage der beiden Sinusschwingungen
im Bereich (206) ist so, dass sie sich (gleiche Amplituden
vorausgesetzt) praktisch gegenseitig ausheben; im Ergebnis ergibt
sich daher das Minimum der Schwebung bei (221).
-
Auf
Grund der unterschiedlichen Periode der beiden addierten Sinussignale
verschieden sich die Einzelschwingungen fortlaufend weiter gegeneinander.
(207) zeigt einen Zwischenzustand mit einer Zuordnung zur
dort ansteigenden Amplitude der Schwebung.
-
Die
Verschiebung zwischen den Sinussignalen läuft weiter, die Amplitude der
Summenfunktion nimmt kontinuierlich weiter zu und erreicht bei (222) durch
die bei (208) jetzt gleiche Lage der beiden Sinusfunktionen
das Maximum. Ab jetzt nimmt die Amplitude der Schwebung wieder ab
und erreicht über das
bei (209) dargestellte Zwischenstadium, bei abnehmender
Amplitude erneut das nächste
Minimum der Schwebung.
-
Dieselbe 12 zeigt
unten ein (fast) gleiches Verhalten von digitalen Signalen: Im Bereich (213)
bzw. (220) sind zwei digitale Signale dargestellt, wie
das vergleichbar in den Bereichen (202) bzw. (219)
mit den Sinusfunktionen gezeigt ist. Die Perioden dieser digitalen
Signale entsprechen den Perioden der oben dargestellten Sinussignale.
-
Diese
beiden digitalen Signale werden jetzt einmal – bei (211) – auf den
D-Eingang eines D-FlipFlops
(D-FFs) (214) gegeben, das andere digitale Signal (212)
zum anderen als Takt für
dieses D-FF genutzt (Diese Zuordnung kann auch getauscht werden).
Ausgang des D-FFs ist der Q-Ausgang (215) und liefert das
dort dargestellte digitale Signal (gekennzeichnet durch (216),
(217), (218) und (223)).
-
Oberhalb
dieser Darstellung dieses Signals (zum Q-Ausgang des D-FFs (215))
sind auch hier Einzelschwingungen der digitalen Signale gezeigt. Die
Kennzeichnungen (224) und (225) stellen die Zuordnung
zu den vergleichbaren Zeitkoordinaten der Darstellung her. Die Zuordnung
der beiden digitalen Signale zum D-FF sei jeweils so, wie am D-FF
(214) gezeigt: das jeweils untere Signal wird als Takteingang
verwendet, das jeweils obere liegt am D-Eingang des D-FFs.
-
Wie
man durch Vergleich sehen kann, sind die Phasenlagen der Signale
in den Abschnitten (206), (207), (208)
und (209) bei den Sinussignalen die gleichen, wie bei den
digitalen Signalen; das digitale Signal ist jeweils 1 (high), wenn
der Wert der Sinusfunktion > 0
ist und jeweils 0 (low), wenn der Sinuswert < 0 ist.
-
Die
Phasenlage der beiden digitalen Signale bei (206) ist so,
dass die positive Flanke am Takteingang (212) vom D-FF
(Trace zu (225) unten, Flankenzeitpunkt jeweils durch Pfeil
gekennzeichnet) gerade das High-Signal des am D-Eingang (211)
liegenden Signals „erwischt", dieses also auf
den Q-Ausgang (215) des D-FF (214) legen wird.
-
Dies
soll in der Darstellung gerade die Flanke (216) erzeugen.
-
Durch
die kleinere Periode des jeweils unteren Signals wandert die pos.
Taktflanke immer weiter in den High-Bereich des oberen Signals;
dieses bleibt also auf 1 (high). (207) zeigt dazu wieder
ein Zwischenstadium.
-
Die
Flanke des Taktzeitpunktes verzögert sich
durch die kleinere Periode fortlaufenden weiter gegenüber dem
Signal am D-Eingang (211) des D-FFs (214). Im
Bereich (208) ist die Phasenlage der beiden digitalen Signale – vergleichbar
mit den darüber
gezeigten Sinussignalen – so,
dass diese jetzt gerade die neg. Flanke (2l7) im Signal
am Ausgang (215) des D-FFs erzeugt.
-
So
geht das jetzt mit Low-Signal am D-Eingang – weiter, bei (218)
stellt sich die nächste
positive Flanke am Ausgabe des D-FFs ein.
-
Vergleicht
man den zeitlichen Verlauf der analogen Schwebung oben (222)
mit dem des unten dargestellten digitalen Signals des D-FFs-Ausgangs der „digitalen
Schwebung", dann
kann man erkennen:
- 1. Der Nulldurchgang der
Schwebung (221) (verursacht durch die Phasenlage der Sinussignale bei
(206)) entspricht der Flanke (216) im digitalen Signal
(verursacht durch die Phasenlage der digitalen Signale bei (206)).
- 2. Das Maximum der Schwebung (222) (verursacht durch
die Phasenlage der Sinussignale bei (208)) entspricht der
Flanke (217) im digitalen Signal (verursacht durch die
Phasenlage der digitalen Signale bei (208)).
- 3. Der nächste
Nulldurchgang der Schwebung, entspricht der Flanke (218)
im digitalen Signal.
- 4. Die Zeit in der Schwebung vom Nulldurchgang (221)
bis zum nächsten
Nulldurchgang entspricht einer halben Periode der Hüllkurve
in dieser Schwebung, aber einer vollen Periode in dem „digitalen
Schwebungssignal".
Verglichen mit der analogen Schwebung ist der zeitlichen Übersetzungsfaktor
in der digitalen Form also nur halb so groß.
-
Bis
auf diesen Faktor 2 unterscheidet sich die digital erzeugte Schwebung
nicht von einer mit Sinusfunktionen erzeugten. Dieses mittels D-FF
aus zwei hochfrequenten, digitalen Signalen erzeugte Ausgangssignal
(215) wird daher im folgenden als digitale Schwebung bezeichnet.
-
Vorteil
dieser digitalen Realisation ist, dass bei digitalen Signalen keine
Probleme durch unterschiedliche Amplituden der Signale entstehen
und ein Nulldurchgang durch die eine Form der Flanken in der digitalen
Schwebung (hier die pos. Flanke (216) bzw. (218))
direkt vorliegt, das jeweilige Maximum durch die andere Form (hier
die neg. Flanke (217)). Der operative Prozess der digitalen
Schwebungsbildung durch das D-FF liefert also direkt, eindeutig
und unmittelbar durch die Flankenzeitpunkte die Stelle eines Maximum-
bzw. des Minimum-Äquivalents.
-
Der
direkte Einsatz der leicht erzeugbaren, digitalen Signale im unteren
Frequenzbereich in der Messstrecke ist auf Grund der vorab zu treffenden Träger-Frequenzwahl
manchmal, aber nicht immer möglich.
Zur Realisation einer Anwendung wird man daher entweder die in einer
Messung eingesetzten Sinusfunktionen (z.B. des Trägers, z.B.
bei 433MHz), oftmals erst nach dem Heruntermischen digital abbilden
müssen
(z.B. durch Komparator- bzw. Schmitt-Trigger-Funktionen aus den Sinussignalen gewinnen)
oder bei vorgegebenen digitalen Signalen, die evtl. für die Messung
als solche benötigten
sinusförmigen
Signale aus den digitalen erst noch gewinnen müssen (z.B. durch Filterung
oder auch durch Aufwärtsmischung).
Dies ist je nach Einzellösung
unterschiedlich anzugehen.
-
An
sich ist die Zuordnung der Signale zum Taktsignal bzw. zum D-Eingang
der D-FFs austauschbar, zumindest dann, wenn diese ein exaktes 1:1-Pulspause:Pulsdauer-Verhältnis haben.
Sollte das nicht der Fall sein, kann eine zuvor mit einem D-FF auf
halbe Frequenz untersetzte Signalaufbereitung dieses 1:1-Verhältnis erzwingen.
-
Da
das D-FF nur auf die eine Taktflanke reagiert, reicht es für die Messung
also u.U., nur die Laufzeiteigenschaft einer Signalflanke des auf
Messstrecke geschickten Signals in die Betrachtungen einzubeziehen.
-
13 zeigt
die hier bevorzugt eingesetzte, einfache, digitale Aufbereitung
der Phaseninformation zwischen den beiden Schwebungssignalen durch einen
Start-Stop-Zählvorgang
durch die entsprechenden Signale und der dazu benötigten digitalen Logik.
-
Die
mit (252) und (253) gekennzeichneten Signale stellen
die digitalen Schwebungssignale dar. Da sich die interessierende
Phaseninformation in den Flankenabständen der digitalen Schwebungssignale
befindet, sind die entsprechenden Flankenabstände (13, (255)
bzw. (256)) zu messen.
-
Das
XOR-Gatter (258) erzeugt in diesem Beispiel bei Ungleichheit
ein High-Signal und daher liegt das Signal bei (251) immer
dann auf high, wenn auch Signal (253) auf high liegt. Wird
ein hochfrequenter Takt bei (254) angelegt, dann wird in
der Zeit des Abstandes (255) dieser Takt am Ausgang der AND-Gatter-Kombination
(257) bei (236) bereitgestellt.
-
Die
Anzahl dieser Takte liefert somit einen digitalen Wert für die Phasenlage
zwischen den Schwebungssignalen und kann beliebig weiter verarbeitet
werden. Mit den in 13 gezeigten Signalen ist jederzeit
eine direkte Mikroprozessoransteuerung möglich.
-
Alternativ
können
die Schwebungssignale (253) und (252) aber auch
direkt auf Eingänge
des Controllers gelegt werden. Z.B. kann mit einem Interruptgesteuerten
Start-Stop-Betrieb eine entsprechende Zählerfunktion im Prozessor direkt
nachgebildet werden. Im Ergebnis vereinfacht sich damit die Anordnung
noch einmal, weil dann die Gatterfunktionen überflüssig sind. Dies ist in der 10 zum
Vergleich gegenüber
der Anordnung nach 9 dargestellt.
-
Die
beiden D-FF-Ausgänge
gehen jetzt nicht auf eine Gatteranordnung, sondern direkt auf den Prozessor.
Dieser initiiert z.B. auf den Startauslösenden Interrupt intern eine
entsprechende Zählfunktion unter
Nutzung eines internen Takts. (Der in 9 noch nach
außen
gelegte Takt entfällt
hier also).
-
Vorbedingung
für die
Auslegung der Anordnung gemäß 14 ist,
dass der Mikrocontroller (440) zwei Digital-Analog-Wandler
(DAC-)Kanäle oder
(praktisch gleichwertig) zwei geeignet programmierte PWM-Ausgänge zur
Verfügung
stellen kann und dass eine Zählerfunktion
mit externem Takteingang (Eingang für die Leitung (404))
vorhanden ist. Die DAC-Ausgänge
erzeugen die beiden Signale b (445) und a (444)
die im Bereich (442) durch einfache invertierende Verstärker sowohl
positiv als auch negativ zur Verfügung stehen.
-
Die
Realisation der invertierten Spannungs-Äquivalente ist auch mit zwei
Invertern realisierbar. In diesem Fall werden die PWM-Signale invertiert,
sind dann allerdings getrennt zu filtern. Den in 9 und 10 gezeigten
dort benötigten
2 Filtern stehen unter diesem Bedingungen also 4 gegenüber. Der
jeweils größere Nutzen
ist von Fall zu Fall abzuschätzen.
-
Durch
Abtastung mittels (446) werden diese Spannungen auf den
virtuellen GND-Knoten (447) gelegt und bilden nach Filterung
(429) eine Frequenz aus, die dicht neben der durch die
Abtastfolgenperiode gegebenen Frequenz liegt. Die Abtastfolge selbst wird
durch die Frequenz des Generators (400) und die Ansteuerungsstufe
(452) zum Schalterblock (446) festgelegt; die
Abtastfolgenfrequenz beträgt hier,
bedingt durch die nacheinander anzusteuernden vier Schalter, 1/4
der Generatorfrequenz (400). Diese „Arbeitsfrequenz" steht bei (451)
zur Verfügung;
die benachbarte Frequenz liegt nach Filterung in (429)
als Messsignal vor.
-
Dieses
Signal wird in der Messung (425) eingesetzt und erfährt dadurch
in (425) – z.B.
eine Anordnung zur Laufzeitmessung – eine Phasenverschiebung.
Zwischen den Signalen bei (449) und (450) besteht
jetzt die zu messende Phasenverschiebung.
-
Dabei
sind einige Modifikationen bzw. Bedingungen zu beachten: Die Zählerfunktion
des DSPs bzw. Controllers muss die Taktgeschwindigkeit des Generators
G2 verarbeiten können; ist diese Generatorfrequenz
für den
Mikrocontroller zu hoch, dann muss in die Leitung (404)
zwischen AND-Gatter (424) und Kontrollereingang ein schneller
Zähler
zur Untersetzung geschaltet werden und zudem müsste dieser Zählerstand
vom Kontroller über
einen freien Port einlesbar sein.
-
In
einigen Fällen
wird man den Generator G2 (400)
aber auch einsparen können.
Moderne Kontroller arbeiten mit Frequenzen deutlich oberhalb von 10MHz;
das dazugehörige
Clock-Management
ist, unter Beschaltung des Prozessors mit einem Quarz (428),
selbst Teil der Kontrollerfunktionen und kann i.a. nach außen ausgekoppelt
werden. In einigen Anwendungsfällen
reicht diese Frequenz aus, kann also den Generator G2 ersetzen.
-
In
einigen Fällen
kann zudem die Ansteuerung des Schalterbausteins durch den Baustein
(452) direkt über
Portausgänge
des Controllers (440) ersetzt werden. In den Schaltungen
der 9 bis 11 ist dies so geschehen.
-
Die
Signale (441), (448) und (451) entsprechen
den Signalen die in den D-FFs (420) und (421) die
digitale Schwebung ausbilden.
-
Das
Signal (430) entspricht dem Signal (253); die
abfallende Flanke löst
hier einen IRQ (Interruptrequest) aus. Zu dem Zeitpunkt, wenn dieser Interrupt
ausgelöst
wird, sind der (im DSP/Controller oder auch in einem externen Zähler ablaufende) Zählvorgang
abgeschlossen, alle Einschwingvorgänge sind zur Ruhe gekommen
und, der interne Zählwert
des Zählers
(evtl. zusammen mit dem Wert des erwähnten externen, zusätzlich bei
(404) eingeschalteten Zählers)
steht als digitaler Wert der Phasenmessung bereit.
-
Das
Filter (429) ist nur dann nötig, wenn für die Messung auf der Messstrecke
(425) unbedingt eine Sinusfunktion benötigt wird. Die Signale, die
die (invertierenden, mit einer Schmitt-Triggerfunktion ausgestatteten)
Gatter (427) und (431) abgeben, sind jeweils auf
gleiche Art und Weise rekonstruierte Signale, einmal vor und einmal
nach dem Durchlauf durch die Messstrecke (425) abgegriffen.
-
Die
Phasendifferenz zwischen diesen Signalen ergibt (über die
digitale Schwebungsfunktion gemessen) den gerade beschriebenen,
durch den Mikrokontroller erfassten Phasendifferenzmesswert. 14 zeigt,
dass in dieser Anordnung nur sehr wenige Komponenten (außer dem
Kontroller oder einem DSP) notwendig sind. Der oben zur Entwicklungsdarstellung
beschriebene Aufwand ist also nur in den seltensten Fällen wirklich
notwendig.
-
Mit
der in 9, 10, 11 und 14 dargestellten
Anordnung gelingt die Distanzmessung zwischen zwei Funkpartnern
mit ausreichender Genauigkeit, so dass ein Bypassangriff abgewehrt
werden kann: Wenn sich der Schlüssel
in einer Reichweite zum KFZ von weniger als 6m befindet, dann ist
zwar prinzipiell ebenfalls der Einsatz einer Relaisstation möglich, ist
aber sinnlos.
-
Wenn
sich aber der Schüssel
in einer weiteren Entfernung als 10m befindet, wird dies sicher
erkannt. Wie auch immer eine Relaisstation konstruiert werden mag,
eine Signalwegverkürzung
wäre nur möglich, wenn
die Lichtgeschwindigkeit überschritten würde und
das dürfte
unmöglich
sein.
-
Durch
das realisierte Konzept einer Distanzmessung zwischen Funkpartnern
kann die Entfernung zwischen dem zu sichernden Objekt und einem zugehörigen Schlüssel als
Teil des gesamten Sicherheitskonzeptes aufgefasst werden.