-
Technisches Gebiet
-
Die vorliegende Erfindung bezieht sich auf PEPS-Systeme (Passive Entry Passive Start) und insbesondere auf die Erkennung und/oder Verhinderung von Relais-Angriffen auf PEPS-Systeme in Fahrzeugen, die zum Zutritt zum und/oder zum Starten des Fahrzeugs verwendet werden.
-
Hintergrund der Erfindung
-
PEPS-Systeme ermöglichen es autorisierten Benutzern (mit einem gültigen Schlüsselanhänger), ihr Fahrzeug zu verriegeln, zu entriegeln und zu starten, ohne mit der Fernbedienung (d. h. dem autorisierten Schlüsselanhänger) interagieren zu müssen. Das PEPS-System kann das Fahrzeug über eine manuell ausgelöste Eingabeanforderung (kapazitiver Sensor, Drucktaste usw.) entriegeln oder starten, wenn festgestellt wird, dass sich der Schlüsselanhänger in einem gültigen PEPS-Bereich befindet.
-
Ein typisches PEPS-System definiert Betriebsbereiche so, dass das Fahrzeug auf Ver-/Entriegelungs- und Startanforderungen reagiert, wenn sich ein autorisierter Schlüsselanhänger im richtigen Betriebsbereich befindet. PEPS-Bereiche können durch niederfrequente (NF) Signalfelder definiert werden, die von Antennen am Fahrzeug abgestrahlt werden. Ein Indikator für die empfangene Signalstärke (RSSI) ist typischerweise im autorisierten Schlüsselanhänger als eine Abstraktion der Magnetfeldstärke implementiert. Das PEPS-System kann unter Verwendung der RSSI-Signalpegel von den verschiedenen Antennen am Fahrzeug die externen Betriebsbereiche und internen Betriebsbereiche definieren. Befindet sich ein autorisierter Schlüsselanhänger innerhalb der richtigen Bereiche befindet, d.h. entsprechen die RSSI-Pegel einem definierten Bereich, dann reagiert das Fahrzeug auf Ver-/Entriegelungs- und Startanforderungen.
-
Ein Problem im Zusammenhang mit PEPS-Systemen besteht darin, dass Fahrzeugdiebe einen so genannten „Relais-Angriff“ nutzen können, um das Fahrzeug zu stehlen. Der Relais-Angriff täuscht dem PEPS-System vor, dass es sich bei dem Dieb um einen autorisierten Benutzer (in einem definierten Betriebsbereich) handelt.
-
Ein Relais-Angriff erfordert in der Regel, dass sich zwei Diebe („Dieb A“ und „Dieb B“) zusammen mit dem autorisierten Benutzer (d.h. dem Fahrzeugbesitzer oder einem anderen Besitzer des Schlüsselanhängers) in derselben Umgebung befinden. Bei einem Relais-Angriff wird die Reichweite des NF-Feldes so erweitert, dass ein autorisierter Schlüsselanhänger, der sich nicht in der Nähe des Fahrzeugs befindet, das NF-Anforderungssignal erhält. „Dieb A“ trägt einen Relais-Empfänger (zum Empfang des NF-Signals) und befindet sich in der Nähe des Fahrzeugs, während „Dieb B“ einen Relais-Sender (zur Weiterleitung des NF-Signals) trägt und sich in der Nähe des autorisierten Schlüsselanhängers befindet. Bei einem „Analogrelais“ empfängt der Relais-Empfänger das NF-Signal, wandelt die Frequenz dann in eine Hochfrequenz (HF) um und sendet sie über eine HF-Verbindung an den Relais-Sender. Der Relais-Sender empfängt das HF-Signal, wandelt das HF-Signal in NF um und sendet das NF-Signal an einen autorisierten Schlüsselanhänger weiter. Analogrelais sind unabhängig von der Modulation und Codierung des NF-Signals. Andere Relaiskonfigurationen sind möglich, z.B. ein „Digitalrelais“, bei dem der Relais-Empfänger das NF-Signal demoduliert und dann der Datenstrom über HF moduliert und übertragen wird. Der Relais-Sender demoduliert das HF-Signal und dann wird der Datenstrom über NF moduliert und erneut übertragen.
-
Ein Schlüsselanhänger sendet automatisch eine HF-Antwort, sobald er die NF-Anforderung erhält. Das HF-Antwortsignal wird normalerweise zwischen ca. 20-200 m zurück zum Fahrzeug übertragen. Empfängt das Fahrzeug diese Antwort, so geht es davon aus, dass sich der Schlüsselanhänger in der Nähe des Fahrzeugs befindet, und so wird die Anfrage authentifiziert. Darüber hinaus kann das Relais-Angriffsverfahren auch angewandt werden, um die Reichweite des HF-Antwortbereichs über den Sendebereich des Schlüsselanhängers hinaus zu erweitern.
-
Zusammenfassend lässt sich sagen, dass bei einem Relais-Angriff Diebe Zutritt zu einem Fahrzeug erlangen und es starten können, wenn sich der Schlüsselanhänger außerhalb seiner normalen Betriebsbereiche befindet, indem sie Nachrichten von einem Ort zum anderen weiterleiten, um das Fahrzeug näher am Schlüsselanhänger erscheinen zu lassen.
-
Es gibt Techniken, die darauf abzielen, durch Analyse der PEPS-NF- und UHF-Signale, z.B. Messung der Flugzeit, Signalvektorprüfungen und/oder Signalüberlagerung usw., Relaisangriffe zu verhindern. Diese Techniken sind im Allgemeinen kompliziert, ineffektiv oder teuer.
-
Ein weiteres Problem ist, dass das PEPS-System anfällig für einen „Zufahrtsangriff“ ist. Das Szenario, bei dem eine Person ihr Fahrzeug in ihrer Einfahrt (Zufahrt) parkt und dann den Schlüsselanhänger des Fahrzeugs im Haus in unmittelbarer Nähe der Außenwände liegen lässt, ist nicht schwer vorstellbar. Bei einem „Zufahrtsangriff“ muss der Dieb (Dieb A) lediglich die manuelle Eingabe-Entriegelungsanforderung (kapazitiver Sensor, Druckknopf usw. an einem Türgriff) auslösen und die NF-Signale an einen anderen Dieb (Dieb B) weiterleiten, der außerhalb der Hauswände steht. Dieb B kann dann die Signale in das Haus weiterleiten. Wenn sich der Schlüsselanhänger nahe genug an den Außenwänden befindet, z.B. hinter der Haustür des Fahrzeugbesitzers, kann der Schlüsselanhänger das Signal empfangen und eine HF-Antwort senden, um das Fahrzeug auf Anfrage zu entriegeln oder zu starten.
-
Um einen „Zufahrtsangriff“ zu verhindern, wurden Techniken entwickelt, die sich auf die Bewegung des Schlüsselanhängers relativ zum Fahrzeug konzentrieren, um festzustellen, ob ein Angriff stattfindet. So wird beispielsweise der NF-Empfänger des Schlüsselanhängers deaktiviert, wenn sich der Schlüsselanhänger für eine vorbestimmte Zeit nicht bewegt und somit einem Dieb der Zugang zum Fahrzeug verwehrt.
-
Ein Problem mit den Ansätzen des Standes der Technik ist, dass sie in der Komplexität der Bewegungen begrenzt sind. Beispielsweise beschreibt die
JP 2011052505A eine Relais-Angriffs-Gegenmaßnahme für ein PEPS-System, die einen Bewegungssensor in einem Schlüsselanhänger verwendet, um die Bewegung des Schlüsselanhängers von außen nach innen im Fahrzeug zu verfolgen. Eine Einschränkung bei dieser Anordnung besteht darin, dass sie keine Änderung der Schlüsselanhängerbewegung erkennt, z.B. von Bewegung zu Stillstand, sondern lediglich die Bewegung des Schlüsselanhängers an sich.
-
Die
US 2015/0302673 A1 beschreibt eine Relais-Angriffs-Gegenmaßnahme für ein PEPS-System, die einen Schlüsselanhänger mit einem Bewegungssensor verwendet, um die Bewegung des Schlüsselanhängers zu verfolgen und die zurückgelegte Entfernung anhand der Schlüsselanhängergeschwindigkeiten und der RSSI-Daten zu bestimmen.
-
Die
US 9002540 B2 beschreibt eine Relais-Angriffs-Gegenmaßnahme für ein PEPS-System, die einen Bewegungssensor verwendet, um die letzte Schlüsselanhängerbewegung (innerhalb eines vorgegebenen Zeitfensters) vor einer Zutrittsanforderung zu erkennen und zu speichern. Ein Zutritt zum Fahrzeugs ist nur zulässig, wenn die letzte aufgezeichnete Schlüsselanhängerbewegung innerhalb des vorgegebenen Zeitfensters erfolgt.
-
Die
US 2014/0375423 A1 beschreibt eine Relais-Angriffs-Gegenmaßnahme für ein PEPS-System, die einen Bewegungssensor verwendet, um zu erkennen, dass sich der Schlüsselanhänger vor einer Zutrittsanforderung bewegt. Zutritt zum Fahrzeugs wird nur dann gestattet, wenn sich der Schlüsselanhänger bei einer Zutrittsanforderung nicht mehr bewegt. Darüber hinaus ist das Starten eines Fahrzeugs nur dann gestattet, wenn der Schlüsselanhänger zum Zeitpunkt einer Startanforderung stillsteht.
-
Ein Problem bei all diesen Vorkehrungen nach dem Stand der Technik besteht darin, dass sie weder feststellen können, ob der Schlüsselanhänger beim Betreten des NF-Feldes in der Nähe des Fahrzeugs in Bewegung war, noch komplexe Bewegungen des Schlüsselanhängers erkennen können.
-
Bevor wir uns einem Überblick der vorliegenden Erfindung zuwenden, versteht es sich, dass die Erörterung des Hintergrunds der Erfindung einbezogen wird, um den Kontext der Erfindung zu erläutern. Dies soll nicht als Zugeständnis dahingehend verstanden werden, das erwähnte Material sei veröffentlicht, bekannt oder Teil des allgemeinen Wissens.
-
Überblick über die Erfindung
-
In einem ersten Aspekt bietet die vorliegende Erfindung ein Verfahren zur Erkennung, ob ein Relais in einem PEPS-System für ein Fahrzeug vorhanden ist, das die folgenden Schritte umfasst: (a) Bestimmen, ob die Bewegung einer Authentisierungsvorrichtung innerhalb einer vordefinierten Zeitspanne nach Zutritt der Authentisierungsvorrichtung in einen PEPS-Zutritts-Betriebsbereich erfasst wurde; und (b) Bestimmen, ob die Authentisierungsvorrichtung während eines PEPS-Zutritts-Auslöseereignisses für eine vorbestimmte Zeitspanne stationär war.
-
Nach einem zweiten Aspekt bietet die vorliegende Erfindung ein Verfahren zur Erkennung, ob ein Relais in einem PEPS-System für ein Fahrzeug vorhanden ist, umfassend die folgenden Schritte: (a) Bestimmen, ob eine Authentisierungsvorrichtung während eines PEPS-Zutritts-Auslöseereignisses für eine vorbestimmte Zeitdauer stationär war; und (b) bei Auslösung eines PEPS-Startsensors am Fahrzeug: (i) Bestimmen, ob eine Bewegung der Authentisierungsvorrichtung erkannt wurde, bevor der PEPS-Startsensor am Fahrzeug ausgelöst wurde; und (ii) Bestimmen, ob die Authentisierungsvorrichtung für eine vordefinierte Zeitdauer während des PEPS-Start-Auslöseereignisses als stationär erkannt wurde.
-
Als dritter Aspekt sieht die vorliegende Erfindung ein Verfahren vor, mit dem festgestellt werden kann, ob ein Relais in einem PEPS-System für ein Fahrzeug vorhanden ist, umfassend die folgenden Schritte: (a) Bestimmen, ob die Bewegung einer Authentisierungsvorrichtung innerhalb einer vordefinierten Zeitspanne, nachdem die Authentisierungsvorrichtung in einen PEPS-Zutritts-Betriebsbereich eingetreten ist, erkannt wurde; und (b) Bestimmen, ob die Authentisierungsvorrichtung während eines PEPS-Zutritts-Auslöseereignisses für eine vorbestimmte Zeitspanne stationär war; und (c) bei Auslösung eines PEPS-Startsensors am Fahrzeug: (i) Bestimmen, ob die Bewegung einer Authentisierungsvorrichtung erkannt wurde, bevor der PEPS-Startsensor am Fahrzeug ausgelöst wurde; und (ii) Bestimmen, ob die Authentisierungsvorrichtung für eine vorbestimmte Zeitdauer während des PEPS-Startauslöseereignisses als stationär erkannt wurde.
-
Vorzugsweise ist die Authentisierungsvorrichtung ein Schlüsselanhänger, ein mobiles Kommunikationsgerät oder ein HF-Gerät. Vorzugsweise werden die PEPS-Betriebsbereiche durch NF-Magnetfelder definiert, die von Antennen am Fahrzeug abgestrahlt werden. RSSI kann im Schlüsselanhänger verwendet werden, und das PEPS-System kann die externen und internen Betriebsbereiche mit Hilfe der RSSI-Signalpegel definieren, die von den verschiedenen Antennen am Fahrzeug gemessen werden. Befindet sich ein Schlüsselanhänger dann innerhalb der richtigen Bereiche, also Zutritts- oder Startbereiche (d.h. die RSSI-Pegel entsprechen einem definierten Betriebsbereich), so reagiert das Fahrzeug 105 auf die Ver-/Entriegelungs- und Startanforderung.
-
Vorzugsweise wird der PEPS-Betrieb eines Fahrzeugs durch einen dem Fahrzeug zugeordneten Sensor ausgelöst, der einen oder mehrere kapazitive Sensoren oder Druckknöpfe usw. enthalten kann.
-
Bevorzugt wird die vorgegebene Zeitspanne anhand der Systemanforderungen definiert, kann aber z.B. in der Größenordnung von Millisekunden liegen.
-
Nach einem vierten Aspekt sieht die vorliegende Erfindung ein System zur Erkennung, ob ein Relais in einem PEPS-System für ein Fahrzeug vorhanden ist, vor, das Folgendes umfasst: eine oder mehrere dem Fahrzeug zugeordnete Antennen zur Übertragung von Signalen von der einen oder den mehreren Antennen zu einer Authentisierungsvorrichtung, wobei die Authentisierungsvorrichtung einen Bewegungssensor umfasst, und eine oder mehrere Steuerungen, die eingerichtet sind: (a) zu bestimmen, ob die Bewegung einer Authentisierungsvorrichtung innerhalb einer vordefinierten Zeitspanne nach dem Zutritt der Authentisierungsvorrichtung in einen PEPS-Zutritts-Betriebsbereich erfasst wurde; und (b) zu bestimmen, ob die Authentisierungsvorrichtung während eines PEPS-Zutritts-Auslöseereignisses für eine vorbestimmte Zeitspanne stationär war.
-
Nach einem fünften Aspekt bietet die vorliegende Erfindung ein System zur Erkennung, ob ein Relais in einem PEPS-System für ein Fahrzeug vorhanden ist, das Folgendes umfasst: eine oder mehrere Antennen, die dem Fahrzeug zugeordnet sind, um Signale von der einen oder den mehreren Antennen an eine Authentisierungsvorrichtung zu übertragen, wobei die Authentisierungsvorrichtung einen Bewegungssensor umfasst, und eine oder mehrere Steuerungen, die eingerichtet sind: (a) zu bestimmen, ob die Authentisierungsvorrichtung während eines PEPS-Zutritts-Auslöseereignisses für eine vorbestimmte Zeitdauer stationär war; und (b) bei Auslösung eines PEPS-Startsensors am Fahrzeug: (i) zu bestimmen, ob eine Bewegung der Authentisierungsvorrichtung erkannt wurde, bevor der PEPS-Startsensor am Fahrzeug ausgelöst wurde; und (ii) zu bestimmen, ob die Authentisierungsvorrichtung für eine vorbestimmte Zeitdauer während des PEPS-Start-Auslöseereignisses als stationär erkannt wurde.
-
Nach einem sechsten Aspekt bietet die vorliegende Erfindung ein System zur Erkennung, ob ein Relais in einem PEPS-System für ein Fahrzeug vorhanden ist, das Folgendes umfasst: eine oder mehrere Antennen, die dem Fahrzeug zugeordnet sind, um Signale von der einen oder den mehreren Antennen an eine Authentisierungsvorrichtung zu übertragen, wobei die Authentisierungsvorrichtung einen Bewegungssensor umfasst, und eine oder mehrere Steuerungen, die eingerichtet sind: (a) zu bestimmen, ob die Bewegung einer Authentisierungsvorrichtung innerhalb einer vordefinierten Zeitspanne nach dem Zutritt der Authentisierungsvorrichtung in einen PEPS-Zutritts-Betriebsbereich erfasst wurde; (b) zu bestimmen, ob die Authentisierungsvorrichtung während eines PEPS-Zutritts-Auslöseereignisses für eine vorbestimmte Zeitspanne stationär war; und (c) bei Auslösung eines PEPS-Startsensors am Fahrzeug: (i) zu bestimmen, ob eine Bewegung der Authentisierungsvorrichtung erkannt wurde, bevor der PEPS-Startsensor am Fahrzeug ausgelöst wurde; und (ii) zu bestimmen, ob die Authentisierungsvorrichtung während eines PEPS-Start-Auslöseereignisses für eine vorbestimmte Zeitdauer als stationär erkannt wurde.
-
Es versteht sich, dass sich eine Steuerung lediglich im Fahrzeug oder in der Authentisierungsvorrichtung oder sowohl im Fahrzeug als auch in der Authentisierungsvorrichtung befinden kann.
-
Figurenliste
-
- 1 ist ein schematisches Diagramm, das ein PEPS-System veranschaulicht;
- 2 zeigt ein schematisches Diagramm, das einen Relaisangriff auf ein Fahrzeug mit einem PEPS-System veranschaulicht;
- 3 zeigt ein Flussdiagramm, das das erfindungsgemäße Verfahren zur Verhinderung eines Relaisangriffs auf ein Fahrzeug mit einem PEPS-System veranschaulicht; und
- 4 ist ein Flussdiagramm, das eine erfindungsgemäße Ausführungsform des Verfahrens zur Verhinderung eines Relaisangriffs auf das mit einem PEPS-System ausgerüstete Fahrzeug darstellt.
-
Detaillierte Beschreibung
-
Ein schematisches Diagramm, das ein Fahrzeug mit PEPS-System 100 zeigt, ist in 1 dargestellt. Das PEPS-System 100 ermöglicht es einem Fahrzeugbesitzer (oder Besitzer des Schlüsselanhängers), ein Fahrzeug 105 zu verriegeln, zu entriegeln und zu starten, ohne mit dem Schlüsselanhänger 110 interagieren zu müssen. Typische PEPS-Systeme definieren externe Zutritts-Betriebsbereiche und interne Start-Betriebsbereiche. Befindet sich ein Schlüsselanhänger 110 innerhalb eines Betriebsbereichs, so reagiert das Fahrzeug 105 auf Ver-/Entriegelungs- und Startanforderungen.
-
Die PEPS-Betriebsbereiche können durch niederfrequente (NF) Signalmagnetfelder definiert werden, die von Antennen am Fahrzeug abgestrahlt werden. Der Indikator für die empfangene Signalstärke (RSSI) kann im Schlüsselanhänger verwendet werden, und das PEPS-System kann die externen Betriebsbereiche und internen Betriebsbereiche unter Verwendung der RSSI-Signalpegel definieren, die von den verschiedenen Antennen am Fahrzeug gemessen werden. Befindet sich dann ein Schlüsselanhänger 110 innerhalb der richtigen Bereiche (d.h. die RSSI-Pegel entsprechen einem definierten Betriebsbereich), so reagiert das Fahrzeug 105 auf die Ver-/Entriegelungs- und Startanforderung.
-
PEPS-Systeme können so ausgelegt sein, dass eine manuell ausgelöste Entriegelungs- und Startanforderung (wie z.B. ein kapazitiver Sensor, Druckknopf o.ä., der sich z.B. am Griff des Fahrzeugs oder im Start/Stop des Fahrzeugs 105 befindet) das NF-Anforderungssignal 115 an den Schlüsselanhänger 110 überträgt. Als Teil des NF-Anforderungssignals 115 werden Signale von mehreren (oder allen) Fahrzeugantennen übertragen. Befindet sich ein Schlüsselanhänger 110 innerhalb der erwarteten Betriebsbereiche (basierend auf den von den Fahrzeugantennen gemessenen RSSI-Werten), sendet er nach Empfang des NF-Anforderungssignals 115 ein Authentisierungsantwortsignal auf einer Hochfrequenz (HF) 120, damit die Anfrage im Fahrzeug verarbeitet werden kann. Es versteht sich, dass auch bidirektionale HF-Kommunikation verwendet werden kann.
-
Einige PEPS-Systeme bieten auch permanente, periodisch übertragene NF-Anforderungssignale 115 vor der manuell ausgelösten Entriegelungsanforderung. Bei diesen Systemen weiß das Fahrzeug, wenn sich der Schlüsselanhänger 110 in der Nähe des Fahrzeugs befindet, bevor eine Entriegelungsanforderung gestellt wird. Dies hat den Vorteil, dass die Reaktionszeiten des Systems verbessert und zusätzliche Funktionen wie z.B. Komfortbeleuchtung bereitgestellt werden können, wenn sich der Besitzer dem Fahrzeug 105 nähert.
-
Wie in 2 dargestellt, ist das PEPS-System 200 aufgrund des so genannten „Relais-Angriffs“ diebstahlgefährdet. Die vorliegende Erfindung versucht zu verhindern, dass ein Relais-Angriff erfolgreich ist. In 2 umfasst der Relaisangriff die Erweiterung der Reichweite des NF-Feldes (in 1 dargestellt), so dass ein Schlüsselanhänger 110, der sich nicht in der Nähe des Fahrzeugs 105 befindet, das NF-Anforderungssignal empfängt. Der Relais-Angriff erfordert zwei Diebe, Dieb A und Dieb B, wobei Dieb A einen Relais-Empfänger (Relais RX) 125 trägt und sich in der Nähe des Fahrzeugs 105 befindet, während Dieb B einen Relais-Sender (Relais TX) 130 trägt und sich in der Nähe des Schlüsselanhängers 110 befindet.
-
Das Relais RX 125 empfängt ein NF-Signal vom Fahrzeug 105, wandelt die Frequenz dann in eine HF-Frequenz um und sendet sie über eine HF-Verbindung an das Relais TX 130. Relais TX 130 empfängt das HF-Signal, wandelt die Frequenz dann in eine NF-Frequenz herunter und sendet das NF-Signal wieder an den Schlüsselanhänger 110. Dieses Szenario betont das zuvor definierte „Analogrelais“, es können jedoch auch andere Relaistypen verwendet werden. Der Schlüsselanhänger 110 sendet bei Empfang der NF-Anforderung automatisch eine HF-Antwort. Das HF-Antwortsignal sendet typischerweise zwischen ca. 20 - 200 m zurück zum Fahrzeug 105. Empfängt das Fahrzeug 105 diese Antwort, so geht es davon aus, dass sich der Schlüsselanhänger 110 in der Nähe des Fahrzeugs 105 befindet, und die Anfrage wird authentifiziert. Zusätzlich kann das Relais-Angriffsverfahren auch angewandt werden, um die Reichweite des HF-Antwortbereichs über den Sendebereich des Schlüsselanhängers 110 hinaus zu erweitern.
-
Das PEPS-System ist auch anfällig für einen „Zufahrtsangriff“, bei dem es möglich ist, das Fahrzeug 105 zu entriegeln oder zu starten. Bei einem „Zufahrtsangriff“ muss der Dieb (Dieb A) lediglich die manuelle Zutritts-Entriegelungsanforderung (kapazitiver Sensor, Drucktaste usw. an einem Türgriff) am Fahrzeug 105 auslösen und die NF-Signale über den Relaisempfänger 125 an einen anderen Dieb (Dieb B) weiterleiten, der außerhalb der Außenwände des Hauses steht. Dieb B kann dann die Signale mit Hilfe des Relais-Senders 130 in das Haus weiterleiten. Befindet sich der Schlüsselanhänger 110 in unmittelbarer Nähe der Außenwände, z.B. hinter der Eingangstür des Hauses des Fahrzeugeigentümers, kann der Schlüsselanhänger 110 das NF-Signal empfangen und auf Anforderung eine HF-Antwort zum Entsperren oder Starten des Fahrzeugs 105 senden. Die vorliegende Erfindung verwendet NF-Signale, die von Antennen gesendet werden, die dem Fahrzeug 105 zugeordnet sind. Das erste Signal ist ein periodisch gesendetes Signal, um festzustellen, ob sich der Schlüsselanhänger 110 bewegt, wenn er in einen PEPS-Zutrittsbetriebsbereich eintritt, und das zweite und dritte Signal bestimmt, ob die Bewegung des Schlüsselanhängers 110 während und vor dem Eintreten erwartungsgemäß verläuft und Ereignisse auslöst. Die vorliegende Erfindung erfordert eine komplizierte Abfolge von Bewegungen, die erfüllt sein müssen, um Zutritt zu dem Fahrzeug 105 erlangen und es starten zu können. Zum Beispiel:
- 1. Das PEPS-System verwendet ein periodisch übertragenes NF-Anforderungssignal. Die Bewegung des Schlüsselanhängers 110 muss erkannt werden, wenn in das NF-Feld in der Umgebung eines Fahrzeugs 105 eingetreten wird.
- 2. Die Bewegung des Schlüsselanhängers 110 muss als „stationär“ erkannt werden, wenn die Eingabetaste (oder der Sensor) ausgelöst wird. Der Eingabeknopf muss vor Ablauf eines vorgegebenen Zeitfensters gedrückt werden, um die Wahrscheinlichkeit eines „Zufahrt“-Angriffs zu vermeiden.
Darüber hinaus können weitere Bewegungen genutzt werden:
- 3. Die Bewegung des Schlüsselanhängers 110 muss nach dem zweiten oben genannten Kriterium und vor dem Auslösen der Starttaste (oder des Sensors) erkannt werden.
- 4. Die Bewegung des Schlüsselanhängers 110 muss beim Auslösen der Starttaste (oder des Sensors) als „stationär“ erkannt werden.
-
Vorteilhafterweise ermöglicht die vorliegende Erfindung die Verwendung eines PEPS-Systems für ein Fahrzeug 105, bei dem ein kompliziertes Bewegungsmuster erkannt werden muss, um Zutritt zu dem Fahrzeug 105 zu erlangen und es starten zu können. Bei der vorliegenden Erfindung:
- 1. muss der Schlüsselanhänger 110 sich bewegen, wenn Dieb A über Relais 125 das erste NF-Signal weiterleitet, damit die erste Stufe des Relaisangriffs erfolgreich ist.
- 2. muss der Schlüsselanhänger 110 während der Auslösung des PEPS-Zutrittssensors am Fahrzeug 105 stationär sein, daher müssen die Diebe sicherstellen, dass sich der Schlüsselanhänger nicht bewegt, wenn der Dieb A den Sensor auslöst und das zweite Signal weiterleitet.
- 3. muss der Schlüsselanhänger nach Erfüllung des zweiten Kriteriums (oben) eine Bewegung erkennen, bevor ein Startsensor am Fahrzeug 105 ausgelöst wurde. Dies stellt die Situation dar, in der der Eigentümer die Fahrzeugtür geöffnet und sich dann zum Einsteigen in das Fahrzeug bewegt hat, bevor der Startknopf oder -sensor des Fahrzeugs ausgelöst wurde. Damit diese Phase des Relais-Angriffs erfolgreich ist, müssen die Diebe dafür sorgen, dass sich der Schlüsselanhänger nach Erfüllung des zweiten Kriteriums und bevor Dieb A den Startsensor auslöst, erneut bewegt.
- 4. muss der Schlüsselanhänger 110 als stationär erkannt werden, wenn der Startsensor am Fahrzeug 105 ausgelöst wird. Dies wäre eine Situation, in der der Besitzer auf dem Fahrersitz gesessen hat und der Schlüsselanhänger „stationär“ ist, wenn der Startknopf oder -sensor des Fahrzeugs 105 ausgelöst wird. Daher müssen die Diebe sicherstellen, dass sich der Schlüsselanhänger nicht bewegt, wenn Dieb A den Startsensor auslöst und das dritte Signal weiterleitet.
-
Ansätze nach dem Stand der Technik können nur feststellen, dass sich der Schlüsselanhänger 110 irgendwann vor der Zutrittsanforderung bewegt hat, nicht jedoch feststellen, wo dies geschah (d.h. ob es in der Nähe des Fahrzeugs 105 geschah oder nicht). Darüber hinaus kann die vorliegende Erfindung derart implementiert werden, dass die Bewegung vor einer Zutrittsanforderung erkannt wird (nachdem festgestellt wurde, dass der Schlüsselanhänger 110 während der Zutrittsanforderung stationär war). Dies bedeutet, dass ein Relais-Angriff für den Dieb von Natur aus schwieriger wird, da die Bewegung des Schlüsselanhängers 110 in einer Abfolge erfolgen muss und von zwei Parteien eingeleitet werden muss (Dieb A, der mit Relais 125 verbunden ist, und Dieb B, der mit Relais 130 verbunden ist, um einen Relais-Angriff erfolgreich durchzuführen).
-
Ein Flussdiagramm, welches das erfindungsgemäße Verfahren veranschaulicht, ist in 3 dargestellt. Allgemein ausgedrückt umfasst das Verfahren zur Erkennung, ob ein Relais in einem PEPS-System für ein Fahrzeug vorhanden ist, zunächst das Bestimmen, ob irgendeine Bewegung einer Authentisierungsvorrichtung innerhalb einer vordefinierten Zeitspanne nach Eintreten der Authentisierungsvorrichtung in einen PEPS-Zutritts-Betriebsbereich erkannt wurde; dann das Bestimmen, ob die Authentisierungsvorrichtung während eines PEPS-Zutritts-Auslöseereignisses für eine vorbestimmte Zeitspanne stationär war; dann bei Auslösung eines PEPS-Startsensors am Fahrzeug das Bestimmen, ob eine Bewegung der Authentisierungsvorrichtung erkannt wurde, bevor der PEPS-Startsensor am Fahrzeug ausgelöst wurde, und ob die Authentisierungsvorrichtung während des PEPS-Start-Auslöseereignisses für eine vorbestimmte Zeitspanne als stationär erkannt wurde. Dies kann auf verschiedene Weise erfolgen, u.a. durch Senden eines oder mehrerer Signale zwischen den dem Fahrzeug zugeordneten Antennen und der Authentisierungsvorrichtung, das die Form eines Schlüsselanhängers oder eines mobilen Kommunikationsgeräts oder dergleichen haben kann.
-
In der in 3 dargestellten Ausführungsform wird das Verfahren 300 vorzugsweise in Kombination mit dem zum Fahrzeug 105 gehörenden PEPS-System und einer Authentisierungsvorrichtung in Form eines Schlüsselanhängers 110 und einer Steuerung (oder mehrerer Steuerungen) durchgeführt. Es versteht sich, dass der Schlüsselanhänger eine Authentisierungsvorrichtung sein kann, die die Form eines mobilen Kommunikationsgeräts oder HF-Geräts oder dergleichen annehmen kann.
-
In Schritt 305 wird ein erstes Signal von einer oder mehreren dem Fahrzeug 305 zugeordneten Antennen gesendet und die Bewegung des Schlüsselanhängers 110 innerhalb der Reichweite des Fahrzeugs erfasst.
-
Bewegt sich der Schlüsselanhänger 110, so zeigt dies an, dass sich der mit dem Schlüsselanhänger verbundene Besitzer dem Fahrzeug 105 nähert. Es versteht sich, dass das erste Signal wiederholt gesendet werden kann, also in einer Abfrageanordnung zur Erkennung der Bewegung des Schlüsselanhängers 110.
-
Die Steuerung geht dann zu Schritt 310 über, wo ein zweites Signal von der einen oder mehreren Antennen, die mit dem Fahrzeug 105 verbunden sind, gesendet wird und zum Zeitpunkt der Auslösung eines Zutrittssensors am Fahrzeug 105 feststellt, ob der Schlüsselanhänger 110 vor Ablauf einer vorgegebenen Zeitspanne stillsteht oder nicht.
-
Die Steuerung geht dann zu Schritt 315 über, wo ein drittes Signal von der einen oder den mehreren Antennen, die dem Fahrzeug 105 zugeordnet sind, übertragen wird und zum Zeitpunkt der Auslösung eines Startsensors am Fahrzeug 105 feststellt, ob der Schlüsselanhänger 110 in Bewegung war (nach dem vorhergehenden stationären Zeitraum während des Zutritts) und während des Start-Auslöseereignisses vor Ablauf einer vorbestimmten Zeitspanne stationär ist oder nicht. Das erste Signal, das zweite Signal und das dritte Signal können je nach Authentisierungsvorrichtung (d.h. Schlüsselanhänger oder Mobilkommunikations-gerät) ein NF-Signal oder ein HF-Signal sein.
-
Während die vorliegende Erfindung lediglich die Schritte 305, 310 und 315 zur Zugangskontrolle und zur Vermeidung eines Relais-Angriffs vorsieht, ist es jedoch möglich, dass Systeme nur die Schritte 305 und 310 oder nur die Schritte 310 und 315 mit reduzierter Wirksamkeit der Gegenmaßnahme für den Relais-Angriff verwenden.
-
4 ist ein Flussdiagramm, das eine bevorzugte Ausführungsform der Erfindung im Betrieb zeigt. Das Verfahren 400 kann an dem Fahrzeug 105 durchgeführt werden, das über ein PEPS-System zusammen mit dem Schlüsselanhänger 110 und eine Steuerung (oder mehrere Steuerungen) verfügt, die dem PEPS-System 100 zugeordnet ist.
-
In Schritt 405 sendet das Fahrzeug 105 periodisch ein NF-Anforderungssignal (d.h. ein Abfragesignal). Die Steuerung geht dann zu Schritt 410 über, wo festgestellt wird, ob die periodisch gesendete NF-Nachricht vom Schlüsselanhänger 110 erkannt wurde oder nicht. Wurde sie nicht erkannt, so kehrt die Steuerung zu Schritt 405 zurück, wo die NF-Nachricht erneut gesendet wird, bis die NF-Nachricht durch den Schlüsselanhänger 110 erkannt wird, woraufhin die Steuerung zu Schritt 415 übergeht. In Schritt 415 wird bestimmt, ob während des Empfangs der NF-Meldung eine Bewegung im Schlüsselanhänger 110 erkannt wird oder nicht. Es versteht sich, dass der Schlüsselanhänger 110 einen Bewegungssensor oder ähnliches, wie z.B. einen Beschleunigungsmesser, enthält. Eine Bewegung des Schlüsselanhängers 110 muss beim Eintreten in das NF-Feld innerhalb einer bestimmten Zeitspanne in der Nähe des Fahrzeugs erkannt werden.
-
Es versteht sich, dass die Zeitlücke zwischen den periodisch gesendeten NF-Meldungen als Systemfehler zu betrachten ist, und wenn der Schlüsselanhänger 110 beim Empfang der ersten NF-Meldung stationär ist, muss auch die Bewegung während der Lückenzeitspanne berücksichtigt werden. Beträgt zum Beispiel die Zeit zwischen den periodisch übertragenen NF-Signalen 300 ms, ist es möglich, dass der Schlüsselanhänger 110 während dieser 300 ms in den NF-Feldbereich eintritt. Es ist zum Beispiel auch möglich, dass sich der Schlüsselanhänger 110 in einer Tasche befindet, die dem Besitzer zugeordnet ist, und innerhalb dieses Zeitrahmens von 300 ms stationär auf dem Boden abgestellt wird, es versteht sich insoweit, dass der Schlüsselanhänger 110 dann stationär ist, wenn er die erste NF-Nachricht erhält. Daher muss der Schlüsselanhänger 110 vor dem Empfang der NF-Meldung feststellen, ob er innerhalb einer vorgegebenen Zeitspanne (d.h. 300 ms) in Bewegung war.
-
Wie oben erwähnt, wird in Schritt 415 bestimmt, ob während des Empfangs der NF-Nachricht eine Bewegung des Schlüsselanhängers 110 stattfindet oder nicht; wenn dies nicht der Fall ist, geht die Steuerung zu Schritt 420 über, in dem der Schlüsselanhänger 110 deaktiviert werden kann, da es möglich ist, dass ein Relais-Angriff stattfindet. Andernfalls geht die Steuerung zu Schritt 425 über, wo der Schlüsselanhänger 110 eine Antwort an das Fahrzeug 105 sendet. Die Antwort kann eine UHF-Antwort sein und erfolgt vorzugsweise innerhalb einer vorgegebenen Zeitspanne.
-
Nach Eintreten in das NF-Feld sendet das Fahrzeug 105 weiterhin periodische NF-Meldungen. Wurde der Schlüsselanhänger 110 nach einer vorbestimmten Zeit als stillstehend (stationär) erkannt, so sendet der Schlüsselanhänger bei Schritt 430 keine Antwort (diese Funktion wird verwendet, um einen möglichen „Zufahrt“-Angriff zu verhindern). Das Fahrzeug 105 kann dem Fahrzeugeigentümer z.B. durch Blinken der Lichter, Hupen oder eine andere Methode anzeigen, dass das Zeitfenster abgelaufen ist, um den Fahrzeugeigentümer anzuweisen, den Schlüsselanhänger 110 durch Verlagerung zu reaktivieren. Wird bei Schritt 430 die PEPS-Zutritts-Taste nicht ausgelöst, bevor das vorgegebene Zeitfenster abgelaufen ist, geht die Steuerung zu Schritt 431 über, in welchem das Fahrzeug weiterhin periodisch abfragt und feststellt, ob sich der Schlüsselanhänger noch innerhalb des PEPS-Zutritts-Bereichs befindet. Wird er bei Schritt 432 nicht mehr in dem Bereich erkannt, so kehrt die Steuerung zu Schritt 405 zurück. Wird der Schlüsselanhänger jedoch bei Schritt 432 innerhalb des PEPS-Zutrittsbereichs erkannt, so geht die Steuerung zu Schritt 433 über, und wenn der Schlüsselanhänger 110 erneut eine Bewegung erkennt, kehrt die Steuerung zu Schritt 430 zurück.
-
Wenn die PEPS-Zutritts-Taste ausgelöst wird, bevor das vorgegebene Zeitfenster abgelaufen ist, geht die Steuerung zu Schritt 435 über, in welchem das Fahrzeug ein weiteres NF-Anforderungssignal sendet. Die Steuerung geht dann zu Schritt 440 über, wo bestimmt wird, ob der Schlüsselanhänger 110 während des auslösenden Ereignisses für eine vorbestimmte Zeitspanne stillgestanden hat, bevor der Schlüsselanhänger 110 bei Schritt 445 eine UHF-Antwort sendet. War der Schlüsselanhänger 110 während einer vorbestimmten Zeitspanne bei Schritt 440 nicht stationär, kehrt die Steuerung zu Schritt 430 zurück. Andernfalls geht die Steuerung zu Schritt 445 über, in welchem der Schlüsselanhänger 110 die UHF-Antwort sendet.
-
Die Steuerung geht dann zu Schritt 450 über, wo bestimmt wird, dass der Zutritt (Entsperrung Schritt 455) erlaubt wurde. Bei Schritt 460 wird bestimmt, ob zu diesem Zeitpunkt eine Bewegung des Schlüsselanhängers 110 vorliegt oder nicht. Die Bewegung des Schlüsselanhängers 110 muss erkannt werden, nachdem der Zutritt bei Schritt 450 und 455 erlaubt wurde und bevor die Starttaste bei Schritt 465 ausgelöst wird. Wird bei Schritt 465 der Startknopf ausgelöst, so sendet das Fahrzeug bei Schritt 470 ein weiteres NF-Anforderungssignal.
-
Die Steuerung geht dann zu Schritt 475 über, wobei der Schlüsselanhänger 110 für eine vorbestimmte Zeitspanne als stationär bestimmt werden muss, bevor die Steuerung zu Schritt 480 übergeht, andernfalls kehrt die Steuerung zu Schritt 465 zurück.
-
Bei Schritt 480 sendet der Schlüsselanhänger 110 eine UHF-Antwort und der Fahrzeugstartvorgang kann bei Schritt 485 und 490 durchgeführt werden.
-
Es versteht sich, dass der Schlüsselanhänger 110 nach dem Empfang des NF-Anforderungssignals nicht unbedingt eine Antwort an das Fahrzeug senden muss, d.h. der Schlüsselanhänger 110 kann einfach festhalten, dass er beim Betreten des NF-Feldes in Bewegung war. Empfängt der Schlüsselanhänger 110 die Zutritts-NF-Anforderung, so antwortet er nur dann (mit einer positiven Antwort), wenn zu Beginn der periodisch übertragenen NF-Nachricht eine Bewegung aufgezeichnet wurde.
-
Es versteht sich überdies, dass weitere Abfragebereiche hinzugefügt werden könnten. Wird beispielsweise festgestellt, dass sich der Schlüsselanhänger 110 in einem äußeren NF-Feldbereich bewegt, kann die NF-Sendeleistung der Fahrzeugantennen reduziert werden (oder die akzeptierten RSSI's für den Bereich können erhöht werden), um einen kleineren NF-Betriebsbereich innerhalb des äußeren Bereichs zu schaffen. Der Schlüsselanhänger 110 muss z.B. beim Eintritt in diese kleinere Region in Bewegung sein. Werden zusätzliche Abfragebereiche verwendet, dann muss die Entscheidung, ob der Schlüsselanhänger 110 beim Betreten der mehreren Abfrageregionen „stationär“ oder „in Bewegung“ ist, mehrfach durchgeführt werden, wodurch das Bewegungsmuster, das die Diebe wiederholen müssen, um einen erfolgreichen Relais-Angriff durchzuführen, noch komplizierter wird.
-
Es versteht sich auch, dass eine Beschränkung der Anzahl der Male, die ein Schlüsselanhänger 110 in den Bereich des NF-Feldes eintreten oder diesen verlassen darf, eingeführt werden kann, um die Anzahl der Male zu begrenzen, die ein Benutzer (oder Dieb) versuchen kann, Zutritt zu dem Fahrzeug 105 zu erlangen.
-
Während die vorliegende Erfindung in Bezug auf einen Schlüsselanhänger 110 und NF-Signale beschrieben wurde, könnte das Verfahren auch auf ein HF-System anwendbar sein, bei dem ein Mobiltelefon (oder ein anderes HF-Gerät) mit einem Bewegungssensor anstelle eines Schlüsselanhängers 110 verwendet wird. In diesem Fall kann das erste Signal von der Authentisierungsvorrichtung oder vom Fahrzeug übertragen werden. Das zweite und dritte Signal sollte während PEPS-Auslöseereignissen vom Fahrzeug übertragen werden.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- JP 2011052505 A [0011]
- US 2015/0302673 A1 [0012]
- US 9002540 B2 [0013]
- US 2014/0375423 A1 [0014]