WO2021111740A1

WO2021111740A1 - リレーアタック判定装置

Info

Publication number: WO2021111740A1
Application number: PCT/JP2020/038722
Authority: WO
Inventors: 雄樹森
Original assignee: マレリ株式会社
Priority date: 2019-12-06
Filing date: 2020-10-14
Publication date: 2021-06-10
Also published as: JP2021092018A; DE112020005999T5; CN114051467B; US20220417752A1; JP6653986B1; US11963011B2; CN114051467A

Abstract

リレーアタック判定装置の強度測定部３８は、携帯機３に設けられ、車載機１から受信したリクエスト信号Ｓ１およびリクエスト信号Ｓ２のそれぞれについて、複数回ずつ受信強度の測定を行う。比較部４４は、強度測定部３８が測定した受信強度の平均値Ｖ１、Ｖ２を用いて、リクエスト信号Ｓ１およびリクエスト信号Ｓ２の比較処理を行う。ばらつき演算部４２は、リクエスト信号Ｓ２について、強度測定部３８で複数回ずつ測定された受信強度のばらつきを演算する。比較部４４は、リクエスト信号Ｓ２において、受信強度のばらつきが、通信異常を示す閾値ＴＨ１を超えた場合、比較処理の結果によらず、リレーアタックを判定する。

Description

リレーアタック判定装置

　本発明は、リレーアタック判定装置に関する。

　キーレスエントリーシステムでは、車載機と携帯機が無線通信を行うことによって、車両のドアを施錠および開錠、またはエンジンの始動等の操作を行う。
　リレーアタックへの対策として、例えば、車載機から強度を異ならせた信号を２回送信し、携帯機側で受信した２つの信号の強度を比較する方法が提案されている（例えば、特許文献１参照）。携帯機が車載機から直接信号を受信した場合は、２つの信号の強度は異なるが、中継器が信号を中継した場合は、２つの信号の強度は同じとなるため、リレーアタックを判定することができる。

特開２００６－３４２５４５号公報

　しかしながら、中継器の性能によっては、強度の低い信号は、断続的に中継される可能性がある。携帯機では、１つの信号に対して複数回の強度の測定を行い、測定値の平均値を算出して比較処理に用いる。強度の低い信号が断続的に中継された場合、複数回の測定における測定値にばらつきがでる可能性がある。ばらつきが出た測定値から平均値を算出すると、中継器が中継したにも関わらず、２つの信号の強度が異なったものとなってしまい、適切にリレーアタックの判定が行えない可能性がある。

　リレーアタックの判定の精度を高め、キーレスエントリーシステムにおけるセキュリティを向上させることが求められている。

　本発明は、
　車載機と携帯機との無線通信が中継器によって中継されるリレーアタックを判定するリレーアタック判定装置であって、
　前記車載機に設けられ、第１の信号と、前記第１の信号と出力条件を異ならせた第２の信号を送信する送信部と、
　前記携帯機に設けられ、前記第１の信号および前記第２の信号を受信する受信部と、
　前記携帯機に設けられ、前記受信部が受信した前記第１の信号および前記第２の信号のそれぞれについて、複数回ずつ受信強度の測定を行う強度測定部と、
　前記強度測定部が測定した前記受信強度の平均値を用いて、前記第１の信号および前記第２の信号の比較処理を行う比較部と、
　当該比較処理の結果に基づいて、前記リレーアタックを判定する判定部と、
　前記第２の信号について、前記強度測定部で複数回ずつ測定された前記受信強度のばらつきを演算するばらつき演算部と、を備え、
　前記判定部は、前記第２の信号において、前記受信強度のばらつきが、通信異常を示す閾値を超えた場合、前記比較処理の結果によらず、前記リレーアタックを判定する。

　本発明によれば、リレーアタックの判定の精度を高め、キーレスエントリーシステムにおけるセキュリティとユーザの利便性を向上させることができる。

本発明の実施の形態に係るリレーアタック判定装置の概要図である。車載機の構成を示すブロック図である。リクエスト信号の構成を示す図である。携帯機の構成を示すブロック図である。ＬＦ受信部の構成を示す図である。（ａ）は、強度測定部による受信強度の測定の態様を説明する図であり、（ｂ）は、リクエスト信号の各回の受信強度の測定値の一例を示すグラフである。リレーアタックの仕組みを説明する図である。（ａ）は、リクエスト信号が中継器で断続的に中継される態様を示した図であり、（ｂ）は、断続的に中継されたリクエスト信号の受信強度の測定値を示す図である。車載機の処理を示すフローチャートである。携帯機の処理を示すフローチャートである。リクエスト信号の受信処理の詳細を示すフローチャートである。変形例１に係るリレーアタック判定装置のＬＦ受信部の構成を説明する図である。（ａ）は、携帯機が断続中継されたリクエスト信号を受信する際に、増幅器においてオーバーフローが起こる一例を示し、（ｂ）は、アンダーフローが起こる一例を示す図である。変形例１に係る携帯機の処理を示すフローチャートである。変形例２に係り、利得決定時と強度測定時の信号の入力状態の変化を示す図である。変形例２に係る携帯機の処理を示すフローチャートである。変形例３に係る携帯機の処理を示すフローチャートである。変形例３の処理を説明する図である。

　以下、本発明の実施の形態について、図面を参照して説明する。
　図１は、本発明の実施の形態に係るリレーアタック判定装置の概要図である。
　図１に示すように、キーレスエントリーシステムは、車両Ｖに設けられた車載機１と、車両Ｖの使用者が所持する携帯機３とを有する。車載機１と携帯機３は、無線通信を行って、車両Ｖと携帯機３の対応関係の認証を行う。車載機１と携帯機３はキーレスエントリーシステムを構成すると共に、車両Ｖに対するリレーアタックを判定する、リレーアタック判定装置を構成する。リレーアタックの詳細については後述する。

　車載機１は携帯機３にリクエスト信号Ｓを送信し、携帯機３はリクエスト信号Ｓに応答するアンサー信号を送信する。車載機１は、アンサー信号を用いて車両Ｖと携帯機３の対応関係の認証を行い、ドアロックの施錠または開錠の制御を行う。車載機１は、リクエスト信号Ｓを、例えば１２５－１３５ＫＨｚのＬＦ信号として送信する。携帯機３は、例えばＵＨＦ帯のＲＦ信号をアンサー信号として送信する。なお、キーレスエントリーシステムの制御対象としては、ドアロックに限られず、エンジン始動やステアリングロック等の他の車載機器が含まれるが、詳細な説明は省略する。実施の形態ではドアロックの制御について、特に開錠の制御について説明する。

　図２は車載機１の構成を示すブロック図である。
　図２に示すように、車載機１は、リクエストスイッチ５、キーレスコントローラ１０、送信アンテナ７、受信アンテナ８およびドアロックアクチュエータ９を備える。

　リクエストスイッチ５は車体のドアやトランクに設置され、使用者の開錠要求を受け付ける。例えば、図１に示すように、リクエストスイッチ５は、運転席ドア、助手席ドアおよびトランクにそれぞれ設置されたスイッチ５ａ、５ｂ、５ｃを備える。リクエストスイッチ５は、例えばスイッチボタンとすることができる。スイッチボタンは、使用者がプッシュするまたは触れる等の操作を行うことによって、開錠要求を受け付ける。

　送信アンテナ７はいずれかのリクエストスイッチ５ａ、５ｂ、５ｃが操作されると、リクエスト信号ＳをＬＦ信号として送信する。なお、図１の例では送信アンテナ７を車体の後部に配置しているが、送信アンテナ７の位置は特に限定されず、別の箇所に配置しても良い。

　受信アンテナ８は、携帯機３からアンサー信号を受信する。アンサー信号は、携帯機３がリクエスト信号Ｓへの返信として送信するものである。ドアロックアクチュエータ９は、運転席ドア、助手席ドアおよびバックドアを開錠および施錠する。

　キーレスコントローラ１０は、リクエストスイッチ５、送信アンテナ７、受信アンテナ８およびドアロックアクチュエータ９のそれぞれに接続する。キーレスコントローラ１０は、リクエストスイッチ５の操作に応じてリクエスト信号Ｓを生成し、送信アンテナ７から携帯機３に送信させる。キーレスコントローラ１０は、受信アンテナ８を介して、リクエスト信号Ｓに対するアンサー信号を受信して認証を行う。キーレスコントローラ１０は、アンサー信号の認証結果に応じて、ドアロックアクチュエータ９の駆動を制御して、ドアの開錠を行う。

　キーレスコントローラ１０は、ＣＰＵ１１、ＬＦ送信部１３、ＲＦ受信部１４、メモリ１２およびアクチュエータ駆動回路１５を備える。ＬＦ送信部１３は送信回路等から構成され、送信アンテナ７に接続し、ＣＰＵ１１で生成したリクエスト信号Ｓのデジタルアナログ変換等の処理を行い、ＬＦ電波として送信アンテナ７から送信させる。ＲＦ受信部１４は受信回路等から構成され、受信アンテナ８に接続し、アンサー信号を受信させ、受信したアンサー信号のアナログデジタル変換等の処理を行う。アクチュエータ駆動回路１５は、ＣＰＵ１１の入力に従って、ドアロックアクチュエータ９を駆動させる回路である。

　メモリ１２は、キーレスコントローラ１０の制御プログラムや、キーレスコントローラ１０の処理に必要な情報を格納する。メモリ１２はまた、ＣＰＵ１１の処理において生成される諸データを一時的に記憶する。メモリ１２は、一例として、携帯機３のＩＤを格納する。

　図２に示すように、ＣＰＵ１１は、制御部２０、スイッチ判別部２１、信号生成部２２、および暗号処理部２３を備える。制御部２０は、不図示のタイマを備える。
　特に記載しないが、ＣＰＵ１１の各部は、処理結果を一時的にメモリ１２に記憶させ、必要なデータや処理対象をメモリ１２から読み出し、処理終了後に一時的に記憶させたデータをリセットする。

　スイッチ判別部２１はリクエストスイッチ５ａ、５ｂ、５ｃのいずれが操作されたかを判別し、判別結果を制御部２０に入力する。
　制御部２０はＣＰＵ１１全体の制御を行う。制御部２０は、リクエスト信号Ｓの送信に関して、乱数などの暗号Ｃを生成する。制御部２０は、生成した暗号Ｃを処理指令と共に暗号処理部２３に入力する。制御部２０は、また、生成した暗号Ｃを信号生成指令と共に信号生成部２２に入力する。

　暗号処理部２３は、制御部２０の処理指令に従って、制御部２０が生成した暗号Ｃを、所定の計算プロセスで計算処理する。所定の計算プロセスは、メモリ１２に記憶させた携帯機３のＩＤを組み込んでいる。暗号処理部２３は、処理結果を車載機側処理結果としてメモリ１２に記憶させる。この車載機側処理結果は、携帯機３からアンサー信号を受信したときに使用する。

　信号生成部２２は、制御部２０の信号生成指令に従って、リクエスト信号Ｓを生成し、ＬＦ送信部１３に出力する。信号生成部２２は、ＬＦ送信部１３を制御して、送信アンテナ７からリクエスト信号Ｓを出力させる。

　ＬＦ送信部１３は、リクエスト信号Ｓにデジタルアナログ変換等の処理を行い、電磁波であるＬＦ送信波に変換して送信アンテナ７に出力する。送信アンテナ７が周囲に磁界を形成し、携帯機３が形成された磁界を検出することで、車載機１から携帯機３にリクエスト信号Ｓが送信される。

　実施の形態において、ＬＦ送信部１３は、２つのリクエスト信号を生成して送信アンテナ７から出力する。以降の説明においては、最初に送信するリクエスト信号Ｓを「リクエスト信号Ｓ１」とし、次に送信するリクエスト信号Ｓを「リクエスト信号Ｓ２」として区別する。ＬＦ送信部１３は、リクエスト信号Ｓ１、Ｓ２のそれぞれ磁界の強度を異ならせて出力する。ＬＦ送信部１３は、リレーアタックの判定のために出力強度を異ならせたリクエスト信号Ｓ１、Ｓ２を送信するが、リレーアタックの判定の詳細については後述する。なお、ここでは、リクエスト信号Ｓ２の出力強度をリクエスト信号Ｓ１の出力強度より低くする例を説明するが、リクエスト信号Ｓ２の出力強度をリクエスト信号Ｓ１の出力強度より高くしても良い。

　図３は、リクエスト信号Ｓ１、Ｓ２の構成を示す図である。
　図３に示すように、始めに送信するリクエスト信号Ｓ１は、ウエイクアップ信号Ｗ、データ信号Ｄおよびバースト信号Ｂを含む。データ信号Ｄは、たとえば、送信完了時間Ｔ１と暗号Ｃとを含む。送信完了時間Ｔは、リクエスト信号Ｓ１およびリクエスト信号Ｓ２の全ての送信の完了にかかる時間である。バースト信号Ｂは、携帯機３側でリレーアタック判定用の受信強度を測定するための信号である。２番目に送信されるリクエスト信号Ｓ２は、バースト信号Ｂのみを含む。なお、図３のリクエスト信号Ｓ１、Ｓ２の構成はあくまで一例であり、通信の目的に応じて適宜変更可能である。
　また、前記したような、リクエスト信号Ｓ１の出力強度をリクエスト信号Ｓ２の出力強度よりも低く設定するような場合には、ウエイクアップ信号Ｗおよびデータ信号Ｄの部分は出力強度を高くし、バースト信号Ｂのみ出力強度を低くするように、同じ信号内でも出力強度を調整しても良い。

　制御部２０（図２参照）は、携帯機３からのアンサー信号の受信に関して、アンサー信号の認証を行う。詳細は後述するが、アンサー信号は、リクエスト信号Ｓが含む暗号Ｃの、携帯機３での処理結果（以降、「携帯機側処理結果」という）を含む。制御部２０は、携帯機側処理結果を、メモリ１２に記憶させた車載機側処理結果と照合する。携帯機３は車載機１の暗号処理部２３と同じ計算プロセスで計算処理を行っているため、アンサー信号が対応する携帯機３から送信されたものであれば、処理結果は同一となる。携帯機側処理結果と車載機側処理結果が同一であれば、制御部２０はアンサー信号が対応する携帯機３からのものである旨を認証する。制御部２０はアンサー信号を認証すると、駆動指令をアクチュエータ駆動回路１５に出力する。アクチュエータ駆動回路１５はドアロックアクチュエータ９を駆動させてドアを開錠する。

　図４は携帯機３の構成を示すブロック図である。図４に示すように、携帯機３は、リモートコントローラ３０、受信アンテナ３２および送信アンテナ３３を備えている。

　受信アンテナ３２は、車載機１が送信するリクエスト信号Ｓを受信し、送信アンテナ３３は、アンサー信号をＲＦ信号として送信する。受信アンテナ３２は、ＬＦ送信波であるリクエスト信号Ｓの磁界を検出することで、リクエスト信号Ｓを受信する。前記したように、リクエスト信号Ｓ１、Ｓ２は、それぞれ順番に送信されるため、受信アンテナ３２もそれぞれの信号を順番に受信する。

　リモートコントローラ３０は、受信アンテナ３２を介して受信したリクエスト信号Ｓに対して後述する処理を行い、アンサー信号を生成する。リモートコントローラ３０は、生成したアンサー信号を送信アンテナ３３から車載機１に送信させる。

　リモートコントローラ３０は、ＣＰＵ３５、ＬＦ受信部３７、強度測定部３８、ＲＦ送信部３９、およびメモリ３６を備える。

　ＬＦ受信部３７は、受信アンテナ３２に接続した受信回路である。
　図５は、ＬＦ受信部３７の構成を示す図である。
　図５に示すように、ＬＦ受信部３７は、増幅器５１、５２、利得調整器５３、ピーク検出器５４およびＡ／Ｄ変換器５５を備えている。
　増幅器５１、５２は、受信アンテナ３２で受信したリクエスト信号Ｓを増幅する。使用する増幅器５１、５２を切り替えることで、リクエスト信号Ｓを増幅する際の利得を変更することができる。

　利得調整器５３は、後述するＣＰＵ３５の利得決定部４１からの制御信号に従って、増幅器５１、５２を制御することで、リクエスト信号Ｓの増幅を行う際の利得を調整する。
　ピーク検出器５４は、増幅器５１、５２から出力されたリクエスト信号Ｓの最大振幅を検出する。
　Ａ／Ｄ変換器５５は、増幅器５１、５２で増幅されたリクエスト信号Ｓを、アナログ信号からデジタル信号に変換する。

　強度測定部３８は、例えば、ＲＳＳＩ（Received Signal Strength Indication）回路等から構成される。強度測定部３８は、ＬＦ受信部３７のＡ／Ｄ変換器５５でデジタル信号に変換されたリクエスト信号Ｓの受信強度を測定する。具体的には、強度測定部３８は、リクエスト信号Ｓ１、Ｓ２のそれぞれに含まれるバースト信号Ｂの受信強度を測定する。強度測定部３８は、測定したリクエスト信号Ｓ１、Ｓ２の受信強度をメモリ３６に格納する。

　図６の（ａ）は、強度測定部３８による受信強度の測定の態様を説明する図であり、図６の（ｂ）は、リクエスト信号Ｓ１、Ｓ２の各回の受信強度の測定値の一例を示すグラフである。
　図６の（ａ）に示すように、強度測定部３８は、リクエスト信号Ｓ１、Ｓ２のそれぞれに対して、複数回ずつ測定を行う。測定回数および測定間隔は予め設定することができるが、例えば各信号に対して１ｍｓ間隔で２０回ずつ測定を行うようにしても良い。

　図４に戻り、ＲＦ送信部３９は、アンサー信号をＲＦ信号として送信アンテナ３３から出力させる。メモリ３６は、リモートコントローラ３０の制御プログラムや、リモートコントローラ３０の処理に必要な情報を格納する。メモリ３６は、一例として、携帯機３のＩＤを格納する。

　ＣＰＵ３５は、リモートコントローラ３０の統括的な制御を行うが、特にリクエスト信号Ｓに対する処理を行う機能構成として、利得決定部４１、ばらつき演算部４２、平均値算出部４３、比較部４４、暗号処理部４５、および信号生成部４６を備える。

　車載機１と同様に、ＣＰＵ３５の各部は、処理結果を一時的にメモリ３６に記憶させ、必要なデータや処理対象をメモリ３６から読み出し、処理終了後に一時的に記憶させたデータをリセットする。例えば、前記したようにメモリ３６には強度測定部３８が測定した受信強度が格納されるが、受信したリクエスト信号Ｓに応答するアンサー信号の送信が完了すると、ＣＰＵ３５は受信強度をメモリ３６から消去する。

　なお、詳細な説明は省略するが、携帯機３はコントロールスイッチを備えるようにしても良い。使用者がコントロールスイッチを操作することで、遠隔から車両のドアを施錠または開錠させたり、エンジンを始動させたりすることができる。

　利得決定部４１は、リクエスト信号Ｓ１、Ｓ２のそれぞれについて、ＬＦ受信部３７の増幅器５１、５２での利得を決定する。前記したように、ＬＦ受信部３７のピーク検出器５４は、リクエスト信号Ｓ１、Ｓ２を受信した際に、それぞれの最大振幅を検出する。利得決定部４１は、検出された最大振幅に基づいて、リクエスト信号Ｓ１、Ｓ２のそれぞれの利得を決定し、利得調整器５３に制御信号を入力する。利得決定部４１は、例えば、受信したリクエスト信号Ｓの最大振幅が小さければ利得を大きくし、最大振幅が大きければ利得を小さくする。なお、利得決定部４１が決定した利得によってリクエスト信号Ｓ１、Ｓ２が増幅された後に、前記した強度測定部３８において受信強度の測定が行われる。

　ばらつき演算部４２、平均値算出部４３および比較部４４は、リクエスト信号Ｓ１、Ｓ２に対してリレーアタックの判定処理を行う。
　ばらつき演算部４２は、リクエスト信号Ｓ２について、強度測定部３８で複数回ずつ測定された受信強度のばらつきを演算する。
　平均値算出部４３は、強度測定部３８で測定されたリクエスト信号Ｓ１、Ｓ２の各回の測定値を取得して、それぞれの平均値Ｖ１、Ｖ２を算出する。
　比較部４４は、平均値算出部４３が算出した、リクエスト信号Ｓ１の平均値Ｖ１とリクエスト信号Ｓ２の平均値Ｖ１、Ｖ２の比較を行う。
　ただし、比較部４４は、ばらつき演算部４２で演算したリクエスト信号Ｓ２のばらつきが、閾値ＴＨ１よりも大きかった場合には、比較を行わずに処理を終了する。

　前記したように、車載機１は、送信アンテナ７から、リクエスト信号Ｓ１、Ｓ２の出力強度を異ならせて送信している。そのため、車載機１から携帯機３に適切に信号が送信された場合は、携帯機３でのリクエスト信号Ｓ１、Ｓ２の受信強度も異なったものとなる。図６の（ｂ）に示すように、高い出力強度で送信されたリクエスト信号Ｓ１の受信強度の測定値は、低い出力強度で送信されたリクエスト信号Ｓ２の受信強度の測定値よりも高くなる。

　一方、リクエスト信号Ｓ１、Ｓ２がリレーアタックを行う中継器により中継された場合には、２つのリクエスト信号Ｓ１、Ｓ２の受信強度は同じとなる可能性が高い。
　図７は、リレーアタックの仕組みを説明する図である。
　図７に示すように、車両Ｖのドアの不正開錠を試みる第三者は、携帯機３を所持するユーザが車両Ｖの遠方に居るときに、リクエストスイッチ５ａを操作する。リクエストスイッチ５ａの操作に応じて車載機１はリクエスト信号Ｓを送信する。携帯機３と車両Ｖの間に設置され、それぞれにアンテナを備えた複数の中継器が、このリクエスト信号Ｓを中継して、遠方にある携帯機３に受信させる。

　このような中継器によって送信されたリクエスト信号Ｓに携帯機３がアンサー信号を返信すれば、ドアが不正開錠されてしまう。このようなリレーアタックの対策のため、車載機１は送信アンテナ７から出力強度を異ならせたリクエスト信号Ｓ１、Ｓ２を送信する。携帯機３はリクエスト信号Ｓ１、Ｓ２の受信強度の比較処理を行う。車載機１から携帯機３に直接的にリクエスト信号Ｓ１、Ｓ２が送信されていれば、図６の（ｂ）に示すようにそれぞれの受信強度は異なったものとなる。一方、中継器は中継するリクエスト信号Ｓ１、Ｓ２の出力強度に差をつけないため、図７に示すように、携帯機３側でのリクエスト信号Ｓ１、Ｓ２の受信強度は同じとなる。

　よって、比較部４４の比較処理の結果、リクエスト信号Ｓ１、Ｓ２の強度が同じと判断される場合はリレーアタックを判定し、携帯機３は車載機１にアンサー信号を返信しないようにすることで、車両Ｖのドアの不正解錠を防止する。
　なお、１回の測定では、ノイズ等の影響で実際の強度との誤差が出る可能性があるので、実際の強度に近い値となるように、複数回の測定を行い、その平均値Ｖ１、Ｖ２を算出する。
　また、同様にノイズ等の影響で、適切に送信された場合でも、リクエスト信号Ｓ１、Ｓ２の強度の平均値Ｖ１、Ｖ２の間にも、若干の差が生じることがあるため、比較部４４では、２つの強度の差が同じと判断できる程度のものであれば、リレーアタックを判定する。

　ただし、例えば、中継器の性能によっては、強度の低い信号は断続的に中継される可能性がある。
　図８の（ａ）は、リクエスト信号Ｓ２が中継器で断続的に中継される態様を示した図であり、図８の（ｂ）は、断続的に中継されたリクエスト信号Ｓ２の受信強度の測定値を示す図である。

　リクエスト信号Ｓ１のように強度の高い信号は、中継器は途切れさせることなく中継しやすい。一方、図８の（ａ）に示すように、リクエスト信号Ｓ２の強度が、中継器の検波範囲に入るか入らないかという強度であった場合、中継器はリクエスト信号Ｓ２を断続的に受信することになる。中継器は、断続的に受信したリクエスト信号Ｓ２を、そのまま携帯機３に送信する。これによって、携帯機３がリクエスト信号Ｓ２を受信する際には、信号の入力が有る状態と、信号の入力が途切れた状態が交互に繰り返される形となる。

　前記したように、携帯機３の強度測定部３８は、リクエスト信号Ｓ１、Ｓ２についてそれぞれ複数回ずつの受信強度の測定を行う。
　図８の（ｂ）に示すように、リクエスト信号Ｓ１については、各回の測定において信号の入力が途切れることが無いため、受信強度が適切に測定され、複数回の測定値に大きなばらつきはなく、均一的になる。

　一方、断続的に中継されたリクエスト信号Ｓ２については、信号の入力が有るときに測定が行われる場合と、信号の入力が途切れているときに測定が行われる場合がある。そのため、複数回の測定値は、大きなばらつきが生じることがある。

　もし、リクエスト信号Ｓ２の測定値にばらつきが生じたままの状態で、平均値Ｖ２を算出すると、平均値Ｖ２は、中継器が送信したリクエスト信号Ｓ２の実際の強度から乖離したものとなる可能性がある。これによって、リクエスト信号Ｓ１の平均値Ｖ１とリクエスト信号Ｓ２の平均値Ｖ２の比較処理が適切に行えなくなる可能性がある。

　この対策として、実施の形態では、ばらつき演算部４２が、リクエスト信号Ｓ２の受信強度の測定値のばらつきを演算する。そして、比較部４４は、ばらつきの大きさが、通信異常、すなわちリレーアタックによる断続中継の可能性を示す場合には、受信強度の比較処理によらずにリレーアタックを判定する。
　平均値算出部４３、ばらつき演算部４２および比較部４４の処理の詳細については、フローチャートを用いて後述する。

　図４に戻り、比較部４４の比較処理の結果、アンサー信号を送信可能と判定された場合は、暗号処理部４５がリクエスト信号Ｓ１のデータ信号Ｄに含まれる暗号Ｃ（図３参照）を、所定の計算プロセスで計算処理する。所定の計算プロセスは、携帯機３のＩＤを組み込んだものであり、車載機１の暗号処理部２３と同じ計算プロセスである。暗号処理部４５は、携帯機側処理結果を信号生成部４６に入力する。

　信号生成部４６は、携帯機側処理結果を含むアンサー信号を生成して、ＲＦ送信部３９に送る。ＲＦ送信部３９は、アンサー信号をＲＦ信号として送信アンテナ３３から出力する。

　以下、キーレスエントリーシステムの処理を、車載機１側と携帯機３側に分けて説明する。
　図９は、車載機１の処理を示すフローチャートである。
　図９に示すように、使用者によりリクエストスイッチ５ａ、５ｂ、５ｃのいずれかが操作されると（ステップＳ１１：Ｙｅｓ）、スイッチ判別部２１が、どのスイッチが操作されたのかを判別して、メモリ１２に記憶させる。

　制御部２０は、リクエスト信号Ｓに含ませる暗号Ｃを生成する（ステップＳ１２）。制御部２０は、生成した暗号Ｃと共に処理指令を暗号生成部に入力する。制御部２０は、暗号Ｃと共に、信号生成指令を信号生成部２２に入力する。

　暗号処理部２３は、処理指令に従い、暗号Ｃを所定の計算プロセスで計算処理し、車載機側処理結果をメモリ１２に記憶させる（ステップＳ１３）。

　信号生成部２２は、信号生成指令に従ってリクエスト信号Ｓを生成し、ＬＦ送信部１３を制御して、送信アンテナ７から、リクエスト信号Ｓ１、Ｓ２を送信させる（ステップＳ１４）。

　制御部２０は、リクエスト信号Ｓ１、Ｓ２の送信が完了すると、携帯機３からのアンサー信号を待ち受ける（ステップＳ１５）。なお、制御部２０は、タイマを参照して、予め設定した応答待ち時間が経過してもアンサー信号を受信しなかった場合は、処理を終了する。

　制御部２０は、アンサー信号を受信すると（ステップＳ１５：Ｙｅｓ）、アンサー信号が含む携帯機側処理結果をメモリ１２に記憶させておいた車載機側処理結果と照合する（ステップＳ１６）。制御部２０は、携帯機側処理結果と車載機側処理結果が一致しなかった場合は（ステップＳ１６：Ｎｏ）、処理を終了する。制御部２０は、携帯機側処理結果と車載機側処理結果が一致した場合（ステップＳ１６：Ｙｅｓ）、アクチュエータ駆動回路１５に駆動指令を出力する。アクチュエータ駆動回路１５はドアロックアクチュエータ９を駆動させ（ステップＳ１７）、ドアロックを開錠する。

　図１０は、携帯機３における処理を示すフローチャートである。
　携帯機３のリモートコントローラ３０は、コントロールスイッチが操作されたときを除き、リクエスト信号Ｓを受信するまではスリープモードにある。図１０に示すように、リモートコントローラ３０は、リクエスト信号Ｓ１に含まれウエイクアップ信号Ｗを受信すると（ステップＳ２１：Ｙｅｓ）、スリープモードを解除する。

　リモートコントローラ３０は、リクエスト信号Ｓ１のデータ信号Ｄに含まれる送信完了時間Ｔ１を参照して、送信完了時間Ｔ１内に送信されるリクエスト信号Ｓ１と、リクエスト信号Ｓ２の受信処理を行う（ステップＳ２２）。

　図１１は、リクエスト信号Ｓ１、Ｓ２の受信処理の詳細を示すフローチャートである。
　リクエスト信号Ｓ１が受信アンテナ３２において受信されると、ＬＦ受信部３７のピーク検出器５４（図５参照）が、リクエスト信号Ｓ１の最大振幅を検出する。
　図１１に示すように、ＣＰＵ３５の利得決定部４１は、リクエスト信号Ｓ１の最大振幅に基づいて、増幅器５１、５２の利得を決定する（ステップＳ２２１）。
　利得調整器５３は、利得決定部４１からの制御信号に応じて増幅器５１、５２を制御し、リクエスト信号Ｓ１を利得決定部４１で決定された利得で増幅させる。

　強度測定部３８は、増幅器５１、５２で増幅され、Ａ／Ｄ変換器５５でアナログ信号からデジタル信号に変換されたリクエスト信号Ｓ１の受信強度を測定する（ステップＳ２２２）。
　強度測定部３８は、予め設定した回数、リクエスト信号Ｓ１の受信強度を測定し、各回の測定値をメモリ３６に順次記憶させる。

　強度測定部３８は、設定回数の測定を終了すると（ステップＳ２２３：Ｙｅｓ）、続いて、リクエスト信号Ｓ２の受信処理を行う。

　リクエスト信号Ｓ２が受信アンテナ３２において受信されると、ピーク検出器５４が、リクエスト信号Ｓ２の最大振幅を検出する。
　ＣＰＵ３５の利得決定部４１は、リクエスト信号Ｓ２の最大振幅に基づいて、増幅器５１、５２の利得を決定し（ステップＳ２２４）、利得調整器５３に制御信号を入力する。
　利得調整器５３は、利得決定部４１からの制御信号に応じて増幅器５１、５２を制御し、リクエスト信号Ｓ２を利得決定部４１で決定された利得で増幅させる。

　強度測定部３８は、増幅器５１、５２で増幅され、Ａ／Ｄ変換器５５でアナログ信号からデジタル信号に変換されたリクエスト信号Ｓ２の受信強度を測定する（ステップＳ２２５）。
　強度測定部３８は、予め設定した回数、リクエスト信号Ｓ２の受信強度を測定するが、各回の測定値をメモリ３６に順次記憶させる。
　さらに、ばらつき演算部４２は、リクエスト信号Ｓ２の各回の測定値を取得するごとに、測定値の中の最大値ＭＡＸおよび最小値ＭＩＮの更新を行う（ステップＳ２２６）。

　前記したように、ばらつき演算部４２は、リレーアタックによって強度の低いリクエスト信号Ｓ２が断続中継された可能性を判断するために、測定値のばらつきを演算する。ばらつきの具体的な演算方法は特定のものに限定されないが、一例として、測定値の中の最大値ＭＡＸと最小値ＭＩＮの差は、測定値のばらつきの大きさを示す指標となる。そのため、実施の形態では、ばらつき演算部４２は、強度測定部３８の測定値を取得して、最大値ＭＡＸと最小値ＭＩＮの記録を行う。

　ばらつき演算部４２は、強度測定部３８によって新たな測定値がメモリ３６に記憶されると、その測定値を取得し、既に記録されている最大値ＭＡＸおよび最小値ＭＩＮと比較する。新たに取得した測定値が最大値ＭＡＸより大であれば、最大値ＭＡＸをその測定値に更新する。新たに取得した測定値が、最小値ＭＩＮより小であれば、最小値ＭＩＮをその測定値に更新する。

　なお、実施の形態の例では、ばらつき演算部４２は、出力強度が低く断続中継されやすいリクエスト信号Ｓ２のみばらつきを演算することで、処理効率を向上させているが、出力強度の高いリクエスト信号Ｓ１も断続中継される可能性はあるので、リクエスト信号Ｓ１についてもばらつき演算を行うようにしても良い。

　強度測定部３８は、設定回数の測定を終了すると（ステップＳ２２７：Ｙｅｓ）、リクエスト信号Ｓ２の受信処理を終了する。

　図１０に戻り、ばらつき演算部４２は、メモリ３６に記憶されているリクエスト信号Ｓ２の受信強度の測定値の最大値ＭＡＸおよび最小値ＭＩＮを取得し、これらの比ＭＡＸ／ＭＩＮを演算する（ステップＳ２３）。比ＭＡＸ／ＭＩＮは、測定値の最大値ＭＡＸと最小値ＭＩＮの差を示すものであり、すなわちリクエスト信号Ｓ２の測定値のばらつきの大きさを示す指標となる。比ＭＡＸ／ＭＩＮが大きければ、リクエスト信号Ｓ２がリレーアタックを行う中継器によって断続中継された可能性が高いと判断することができる。ばらつき演算部４２は、演算結果を比較部４４に入力する。

　なお、他のばらつきの演算方法として、例えば、測定値の最大値ＭＡＸと平均値Ｖ２の比を演算する方法、最小値ＭＩＮと平均値Ｖ２の比を演算する方法、測定値の二乗平均平方根σを演算する方法等を行っても良く、複数の演算方法を組み合わせても良い。

　比較部４４は、ばらつき演算部４２が演算した比ＭＡＸ／ＭＩＮを、閾値ＴＨ１と比較する（ステップＳ２４）。閾値ＴＨ１は、受信強度の測定値のばらつきが、通信異常、すなわちリレーアタックによる断続中継の可能性を示すものであるかを判断する基準値である。

　閾値ＴＨ１は、試験やシミュレーションによって適宜設定することができるが、例えば、携帯機３を所持するユーザがリクエストスイッチ５（図１参照）を操作する際の、携帯機３と車載機１の送信アンテナ７との距離に応じて設定することができる。この距離は、例えば車両が大きくなるほど長くなる傾向がある。距離が長くなるほど、適切に車載機１から携帯機３にリクエスト信号Ｓ１、Ｓ２が送信された場合でもばらつきが起きやすくなるため、閾値ＴＨ１を大きく設定する。

　比較部４４は、比ＭＡＸ／ＭＩＮが閾値ＴＨ１以上であれば（ステップＳ２４：Ｙｅｓ）、測定値のばらつきが大きく、リレーアタックの中継器によって断続中継された可能性が高いため、アンサー信号を返信せずに処理を終了する。

　比較部４４は、比ＭＡＸ／ＭＩＮが閾値未満であれば（ステップＳ２４：Ｎｏ）、比較結果を平均値算出部４３に入力する。
　平均値算出部４３は、リクエスト信号Ｓ１およびリクエスト信号Ｓ２の各測定値から、それぞれの平均値Ｖ１、Ｖ２を算出する（ステップＳ２５）。

　平均値算出部４３は、リクエスト信号Ｓ１およびリクエスト信号Ｓ２の各測定値から、それぞれの平均値Ｖ１、Ｖ２を算出する（ステップＳ２５）。平均値算出部４３は、算出結果を比較部４４に入力する。

　比較部４４は、比較処理として、リクエスト信号Ｓ１、Ｓ２の受信強度の差（Ｖ１－Ｖ２）を、閾値ＴＨ２と比較する（ステップＳ２６）。具体的には、比較部４４は、平均値算出部４３から入力された平均値Ｖ１、Ｖ２の差を、受信強度の差（Ｖ１－Ｖ２）として算出する。

　前記したように、リクエスト信号Ｓ１、Ｓ２が中継器によって中継された場合でも、ノイズ等の影響で、双方の強度に若干の誤差が生じる場合もある。さらに、リクエスト信号Ｓ１、Ｓ２が適切に車載機１から携帯機３に送信された場合でも、ノイズ等の誤差で、出力強度の差よりも受信強度の差が小さくなる場合がある。閾値ＴＨ２は、これらの誤差を考慮した値を設定すると良い。

　比較部４４は、差（Ｖ１－Ｖ２）が閾値ＴＨ２未満であれば（ステップＳ２６：Ｎｏ）、リレーアタックの中継器によって中継された可能性が高いため、アンサー信号を返信せずに処理を終了する。

　比較部４４は、差（Ｖ１－Ｖ２）が閾値ＴＨ２以上であれば（ステップＳ２６：Ｙｅｓ）、処理結果を暗号生成部に入力する。

　暗号処理部４５は、比較部４４から処理結果が入力されると、リクエスト信号Ｓ１のデータ信号Ｄに含まれる暗号Ｃを取得し、所定の計算プロセスで計算処理し（ステップＳ２７）、算出した携帯機側処理結果を信号生成部４６に入力する。信号生成部４６は、携帯機側処理結果を含むアンサー信号を生成する。信号生成部４６は、ＲＦ送信部３９を制御して、アンサー信号を送信アンテナ３３から送信させる（ステップＳ２８）。

　リモートコントローラ３０は、アンサー信号の返信後、通常動作状態からスリープ状態に戻り、処理を終了する。

　以上の通り、実施の形態のリレーアタック判定装置は、
（１）車載機１と携帯機３との無線通信が中継器によって中継される、いわゆるリレーアタックを判定するものである。
　リレーアタック判定装置は、車載機１に設けられ、リクエスト信号Ｓ１（第１の信号）と、リクエスト信号Ｓ１と出力強度（出力条件）を異ならせたリクエスト信号Ｓ２（第２の信号）を送信するＬＦ送信部１３（送信部）と、
　携帯機３に設けられ、リクエスト信号Ｓ１およびリクエスト信号Ｓ２を受信するＬＦ受信部３７（受信部）と、
　ＬＦ受信部３７が受信したリクエスト信号Ｓ１およびリクエスト信号Ｓ２のそれぞれについて、複数回ずつ受信強度の測定を行う強度測定部３８と、
　強度測定部３８が測定した受信強度の平均値Ｖ１、Ｖ２を用いて、リクエスト信号Ｓ１およびリクエスト信号Ｓ２の比較処理を行い、
　当該比較処理の結果に基づいて、リレーアタックを判定する比較部４４（比較部、判定部）と、
　リクエスト信号Ｓ１、Ｓ２のうち、受信強度の低い信号について、リクエスト信号Ｓ２について、強度測定部３８で複数回ずつ測定された受信強度のばらつきを演算するばらつき演算部４２と、を備える。
　比較部４４は、リクエスト信号Ｓ２において、受信強度のばらつきが、通信異常を示す閾値ＴＨ１を超えた場合、比較処理の結果によらず、リレーアタックを判定する。

　キーレスエントリーシステムにおいてリレーアタックを判定する一つの方法として、車載機１側で強度を異ならせたリクエスト信号Ｓ１、Ｓ２を送信し、携帯機３側で受信したリクエスト信号Ｓ１、Ｓ２のそれぞれの受信強度を測定して比較する。リクエスト信号Ｓ１、Ｓ２が車載機１から携帯機３に直接送信されたものであれば、リクエスト信号Ｓ１、Ｓ２の受信強度は異なったものとなる。一方、リクエスト信号Ｓ１、Ｓ２がリレーアタックの中継器を介して携帯機３に送信された場合には、２つのリクエスト信号Ｓ１、Ｓ２の受信強度は同じとなる。そこで、リレーアタック判定装置では、リクエスト信号Ｓ１、Ｓ２の受信強度の比較処理によってリレーアタックを判定することができる。

　ところが、中継器の性能によっては、強度の低いリクエスト信号Ｓ２が断続的に中継される可能性がある。携帯機３では、リクエスト信号Ｓ１、Ｓ２のそれぞれに対して複数回の強度の測定を行い、測定値の平均値Ｖ１、Ｖ２を算出して比較処理に用いる。ここで、強度の低いリクエスト信号Ｓ１、Ｓ２が断続中継された場合、複数回の測定において測定値にばらつきがでる可能性がある。ばらつきが出た測定値から平均値Ｖ１、Ｖ２を算出すると、中継器が中継したにも関わらず、平均値Ｖ１、Ｖ２の差が大きくなり、適切な比較処理が行えない可能性がある。

　そこで、実施の形態では、ばらつき演算部４２が、強度の低いリクエスト信号Ｓ２について、各回の測定値のばらつきを演算する。ばらつきが大きければ、通信異常、すなわちリレーアタックによる断続中継の可能性が高いため、比較部４４は比較処理の結果によらずリレーアタックを判定する。これによって、キーレスエントリーシステムのセキュリティを高めることができる。

（２）ＬＦ送信部１３は、リクエスト信号Ｓ１より出力強度を低くしたリクエスト信号Ｓ２を送信し、ばらつき演算部４２は、リクエスト信号Ｓ２の受信強度のばらつきを演算する。
　出力強度が低い方が断続中継されやすいため、ばらつきが出やすいため、出力強度を低く設定したリクエスト信号Ｓ２のみ受信強度のばらつきを演算することで、処理効率を向上させることができる。なお、リクエスト信号Ｓ１の方の出力強度を低く設定した場合には、リクエスト信号Ｓ１のばらつきを演算しても良い。

（３）ばらつき演算部４２は、
　強度測定部３８で複数回ずつ測定された受信強度の最大値ＭＡＸと最小値ＭＩＮの差を示す比ＭＡＸ／ＭＩＮを、受信強度のばらつきとして演算する。

　ばらつきの演算は様々な方法が考えられるが、最大値ＭＡＸと最小値ＭＩＮの比ＭＡＸ／ＭＩＮは、演算が容易で処理にかかる時間も少ない。さらに、測定値を取得するごとに最小値ＭＩＮと最大値ＭＡＸの更新処理を行えばメモリ３６の消費量も低減することができる。
　なお、実施の形態では、最大値ＭＡＸと最小値ＭＩＮの差を示すものとして、比ＭＡＸ／ＭＩＮを演算しているが、例えば、ＲＳＳＩ値を対数スケールで出力するＲＳＳＩ回路を用いる場合等は、最大値ＭＡＸと最小値ＭＩＮの差を直接的に受信強度のばらつきを示す指標として用いても良い。

［変形例１］
　実施の形態では、リクエスト信号Ｓ１、Ｓ２の受信強度の測定値のばらつきの大きさから、リレーアタックによる断続中継の可能性を判定する態様を説明した。変形例１では、この態様に加えて、増幅器５１、５２の出力を基準として断続中継の可能性を判定する。

　図１２は、変形例１に係るリレーアタック判定装置のＬＦ受信部３７の構成を説明する図である。
　図１２に示すように、変形例１において、ＬＦ受信部３７は、実施の形態と同じ構成に加えて、オーバーフロー／アンダーフロー検出器５６を備えている。オーバーフロー／アンダーフロー検出器５６は、増幅器５１、５２からの出力レベルが所定範囲の上限を飽和するオーバーフローと、下限を下回るアンダーフローを検出する。変形例１のその他の構成は実施の形態と同様であるため、詳細な説明は省略する。

変形例１では、携帯機３は、リクエスト信号Ｓ１、Ｓ２を受信する際に、オーバーフロー／アンダーフロー検出器５６が増幅器５１、５２からの出力のオーバーフローまたはアンダーフローを検出した場合は、リレーアタックによる断続中継を判定する。

　図１３の（ａ）は、携帯機３が断続中継されたリクエスト信号Ｓ２を受信する際に、増幅器５１、５２においてオーバーフローが起こる一例を示し、図１３の（ｂ）は、アンダーフローが起こる一例を示す図である。
　前記したように、携帯機３がリクエスト信号Ｓ１、Ｓ２を受信する際には、まず、ＣＰＵ３５の利得決定部４１（図４参照）が、ピーク検出器５４で検出した最大振幅に基づいて、増幅器５１、５２での利得を決定する。ところが、強度の低いリクエスト信号Ｓ２が中継器で断続中継された場合には、図１３の（ａ）に示すように、利得決定時にはリクエスト信号Ｓ２の入力が途切れた状態となることがある。

　このような場合、ピーク検出部が検出する最大振幅が小さくなるため、利得決定部４１は、リクエスト信号Ｓ２を増幅する利得を大きく設定する。しかしながら、利得決定後にリクエスト信号Ｓ２の入力があると、増幅器５１、５２によって、リクエスト信号Ｓ２は大きく設定された利得で増幅されるため、増幅器５１、５２からの出力レベルがオーバーフローとなる可能性がある。

　一方、図１３の（ｂ）に示すように、断続中継では、利得決定時にはリクエスト信号Ｓ２の入力が有るが、その後に入力が途切れた状態となることがある。この場合は、ピーク検出部が検出する最大振幅は大きくなるため、利得決定部４１は、リクエスト信号Ｓ２を増幅する利得を小さく設定する。しかしながら、利得決定後にリクエスト信号Ｓ２の入力が途切れると、増幅器５１、５２からの出力レベルがアンダーフローとなる可能性がある。

　このように、リクエスト信号Ｓ２がリレーアタックの中継器によって断続中継された場合に、利得決定時とその後で信号の入力状態が変化することで、増幅器５１、５２からの出力レベルがオーバーフローまたはアンダーフローとなる現象が発生することがある。そこで、変形例１では、ＬＦ受信部３７にオーバーフロー／アンダーフロー検出器５６を設け、増幅器５１、５２のオーバーフローまたはアンダーフローを検出することによって、リレーアタックによる断続中継の可能性を判定する。

　図１４は、変形例１に係る携帯機３の処理を示すフローチャートである。
　図１４に示すように、変形例１では、ウエイクアップ信号Ｗを受信すると（ステップＳ３１：Ｙｅｓ）、実施の形態と同様に、リクエスト信号Ｓ１、Ｓ２の受信処理を行う（ステップＳ３２）。変形例１では、オーバーフロー／アンダーフロー検出器５６が増幅器５１、５２のオーバーフローまたはアンダーフローを検出した場合（ステップＳ３３：Ｙｅｓ）、比較部４４は、ステップＳ３４～Ｓ３９を行わずに、処理を終了する。これによって、オーバーフローまたはアンダーフローが検出された場合には、ばらつき演算、平均値算出および強度の比較処理を行わずにリレーアタックを判定できるため、速やかな判定が可能となる。

　オーバーフロー／アンダーフロー検出器５６において、増幅器５１、５２のオーバーフローまたはアンダーフローが検出されなかった場合（ステップＳ３３：Ｎｏ）は、実施の形態と同様に、ステップＳ３４～Ｓ３９の処理を行う。なお、ステップＳ３４～Ｓ３９の処理は、実施の形態のステップＳ２３～Ｓ２８（図１０参照）と同じであるため、説明は省略する。

　以上の通り、変形例１のリレーアタック判定装置は、
（４）リクエスト信号Ｓ１及びリクエスト信号Ｓ２の最大振幅を検出するピーク検出器５４（ピーク検出部）と、
　最大振幅に基づいて、リクエスト信号Ｓ１およびリクエスト信号Ｓ２のそれぞれの利得を決定する利得決定部４１と、
　利得決定部４１が決定した利得でリクエスト信号Ｓ１及びリクエスト信号Ｓ２を増幅する増幅器５１、５２と、を備え、
　強度測定部３８は、増幅器５１、５２で増幅されたリクエスト信号Ｓ１およびリクエスト信号Ｓ２の受信強度を測定する。
　さらに、リレーアタック判定装置は、増幅器５１、５２の出力のオーバーフローまたはアンダーフローを検出するオーバーフロー／アンダーフロー検出器５６（検出部）を備える。比較部４４は、リクエスト信号Ｓ２の受信強度の測定時に、検出部によって増幅器５１、５２のオーバーフローまたはアンダーフローが検出された場合は、比較処理の結果によらず、リレーアタックを判定する。

　強度の低いリクエスト信号Ｓ２が中継器に断続中継され、利得決定時とその後の信号の入力状態が変化することによって、増幅器５１、５２の出力がオーバーフローまたはアンダーフローすることがある。そのような場合にはリレーアタックを判定することで、実施の形態の処理に加えて、キーレスエントリーシステムのセキュリティをさらに向上させることができる。また、ばらつき演算や比較処理を行う前にリレーアタックを判定して処理を終了させることができるため、携帯機３での処理負荷を低減することができる。

［変形例２］
　変形例２では、利得決定時とその後の強度測定時の信号の入力状態の変化によって、強度測定部３８の測定値が使用可能範囲を逸脱することに着目し、変形例１と同様に、リレーアタックの判定手法を実施の形態に追加する。

　図１５は、変形例２に係り、利得決定時と強度測定時の信号の入力状態の変化を示す図である。
　図１５の（ａ）は、強度の低いリクエスト信号Ｓ２が中継器で断続中継され、利得決定時にリクエスト信号Ｓ２の入力が途切れているが、利得決定後の強度測定時にはリクエスト信号Ｓ２の入力が有る状態を示している。

　変形例１でも説明したが、利得決定時に入力が途切れている場合、リクエスト信号Ｓ２の利得は大きい値に設定される。そして、強度測定部３８の測定時に入力されるリクエスト信号Ｓ２は、設定された利得によって大きく増幅される。

　ここで、ＲＳＳＩ回路等で構成される強度測定部３８は、平均値算出やばらつき演算に使用可能な、正確な受信強度を測定できる範囲（以下、「使用可能範囲」という）に限りがある。そのため、増幅器５１、５２から出力されたリクエスト信号Ｓ２の受信強度が使用可能範囲を逸脱していた場合、実際の受信強度に即した正確な測定値が示されない可能性がある。その場合、測定値は、例えば誤差のある値となったり、あるいは使用可能範囲の上限または下限に張り付いた状態となってしまう。

　図１５の（ａ）では、大きく増幅されたリクエスト信号Ｓ２の実際の受信強度が、使用可能範囲を上回ったため、測定値が使用可能範囲の上限に張り付いた状態を示している。

　一方、図１５の（ｂ）では、利得決定時にはリクエスト信号Ｓ２の入力が有るが、利得決定後の強度測定時にはリクエスト信号Ｓ２の入力が途切れた状態を示している。

このような場合、リクエスト信号Ｓ２の利得は小さく設定されるが、強度測定時にはリクエスト信号Ｓ２の入力が途切れている。そのため、増幅器５１、５２から出力されるリクエスト信号Ｓ２の受信強度は、強度測定部３８の使用可能範囲を下回るほど低くなることがある。この場合は、図１５の（ｂ）に示すように、測定値は使用可能範囲の下限に張り付いた状態となる。

　このように、リクエスト信号Ｓ２がリレーアタックの中継器によって断続中継された場合に、利得決定時と強度測定時で信号の入力状態が変化することで、強度測定部３８の測定値が、使用可能範囲を逸脱することがある。そこで、変形例２では、比較部４４は、強度測定部３８の測定値の中で使用可能範囲を逸脱するものがあれば、リレーアタックによる断続中継の可能性を判定する。測定値の使用可能範囲については、予め試験またはシミュレーションを行って設定し、メモリ３６に記憶させておく。例えば、強度測定部３８が、測定値として１０ビット分の０～１０２３を取得可能な場合、測定値の使用可能範囲を
１００～８００として設定することができる。

　図１６は、変形例２に係る携帯機３の処理を示すフローチャートである。
　図１６に示すように、変形例２では、ウエイクアップ信号Ｗを受信すると（ステップＳ４１：Ｙｅｓ）、実施の形態と同様に、リクエスト信号Ｓ１、Ｓ２の受信処理を行う（ステップＳ４２）。受信処理の終了後、比較部４４は、リクエスト信号Ｓ２の各測定値を参照して、使用可能範囲を逸脱するものがあれば（ステップＳ４３：Ｙｅｓ）、比較部４４は、リレーアタックを判定して、ステップＳ４４～Ｓ４９を行わずに、処理を終了する。

　測定値の「使用可能範囲の逸脱」を判定する具体的な処理は、強度測定部３８の性能または仕様に応じて決定される。例えば、受信強度が使用可能範囲を逸脱した場合、強度測定部３８の測定値が使用可能範囲の上限または下限に張り付く仕様であれば、比較部４４は、測定値が上限または下限を示していれば、リレーアタックを判定する。例えば、強度測定部３８の測定値の使用可能範囲が１００～８００である場合、測定値が１００または
８００を示していれば、リレーアタックを判定する。

　あるいは、強度測定部３８が、使用可能範囲外の値も出力するものであれば、比較部４
４は、測定値が使用可能範囲外の値を示していれば、リレーアタックを判定する。例えば、強度測定部３８の測定値の使用可能範囲が１００～８００である場合、比較部４４は測定値が使用可能範囲外の９５または９０１等の値を示していれば、リレーアタックを判定する。

　このように、リクエスト信号Ｓ２の参照処理を行うことによって、測定値が使用可能範囲を逸脱している場合には、ばらつき演算、平均値算出および強度の比較処理を行う前にリレーアタックを判定できるため、速やかな判定が可能となる。

　なお、ステップＳ４３では、強度の低く断続中継されやすいリクエスト信号Ｓ２の測定値のみを参照しているが、強度の高いリクエスト信号Ｓ１も断続中継される可能性はあるので、リクエスト信号Ｓ１の測定値も参照しても良い。

　ステップＳ４４～Ｓ４９の処理は、実施の形態のステップＳ２３～Ｓ２８（図１０参照
）と同じであるため、詳細な説明は省略する。

　以上の通り、変形例２のリレーアタック判定装置において、
（５）比較部４４は、強度測定部３８で測定されたリクエスト信号Ｓ２の受信強度の測定値が、使用可能範囲を逸脱する場合、比較処理の結果によらず、リレーアタックを判定する。

　強度の低いリクエスト信号Ｓ２が中継器に断続中継され、利得決定時とその後の強度測定時とで信号の入力状態が変化することによって、受信強度が使用可能範囲を逸脱することがある。そのような場合にはリレーアタックを判定することで、実施の形態の処理に加えて、セキュリティをさらに向上させることができる。また、ばらつき演算や比較処理を行う前にリレーアタックを判定して処理を終了させることができるため、携帯機３での処理負荷を低減することができる。

　なお、変形例２は、変形例１に適用しても良い。すなわち、変形例２のリレーアタック判定装置にオーバーフロー／アンダーフロー検出器５６を設ける。比較部４４は、増幅器５１、５２のオーバーフローまたはアンダーフローが検出されるか、測定値が使用可能範囲を逸脱した場合には、リレーアタックを判定するようにしても良い。

［変形例３］
　変形例２では、断続中継によってリクエスト信号Ｓ２の利得決定時と強度測定時の入力状態が変化した場合、測定値が使用可能範囲を逸脱することから、ばらつき演算および比較処理の前に、受信強度の測定値を参照する処理を行ってリレーアタックの判定を追加した。
　変形例３では、参照処理を別途行う代わりに、比較処理の際に用いる閾値を変更することで、測定値が使用可能範囲を逸脱した場合に、比較処理においてリレーアタックを判定することができる。

　図１７は、変形例３に係る携帯機３の処理を示すフローチャートである。
　変形例３の処理は、ステップＳ５６以外は、実施の形態と同じ処理を行うため、他の処理については説明を省略する。
　変形例３では、図１７に示すように、比較部４４は、比較処理として、受信強度の差（Ｖ１－Ｖ２）が、所定の数値範囲ＰＲ内であるかを判定する（ステップＳ５６）。
　所定の数値範囲ＰＲは、閾値ＴＨ２を下限とし、閾値ＴＨ３を上限とする範囲である。閾値ＴＨ２は実施の形態で用いた閾値ＴＨ２と同じとすることができ、車載機１側でのリクエスト信号Ｓ１、Ｓ２の送信時の出力強度の差に基づいて、誤差を考慮した値とすることができる。

　閾値ＴＨ３は、リクエスト信号Ｓ２の受信強度が測定範囲を逸脱し、測定値が上限または下限に張り付いた場合の、リクエスト信号Ｓ１との受信強度の差に基づいて設定される。

　図１８は、変形例３の処理を説明する図である。
　図１８は、様々なケースで送信されたリクエスト信号Ｓ２の、リクエスト信号Ｓ１との受信強度の差と、それぞれに応じた処理を説明したものである。図１８では、リクエスト信号Ｓ１を黒塗りの丸で示し、リレーアタック時に、非断続的に中継されたリクエスト信号Ｓ２を白抜きの三角で示している。正常に車載機１から携帯機３に送信されたリクエスト信号Ｓ２を黒塗りの三角で示している。さらに、リレーアタック時に断続中継され、測定値の使用可能範囲の下限に張り付いたリクエスト信号Ｓ２を白抜きの四角で示している。

　まず、リクエスト信号Ｓ２が正常に送信された場合、リクエスト信号Ｓ１との受信強度の差（Ｖ１－Ｖ２）は、出力強度の差に応じて決定された閾値ＴＨ２よりも大きくなる。　リクエスト信号Ｓ２が、リレーアタック時に、リクエスト信号Ｓ２が非断続的に中継された場合は、同じ中継器を介することによって、リクエスト信号Ｓ１との受信強度の差（Ｖ１－Ｖ２）は小さくなり、０から閾値ＴＨ２の間に位置する。この場合、比較部４４はリレーアタックを判定する。

　一方、リクエスト信号Ｓ２が、リレーアタック時に断続中継され、受信強度の測定値が使用可能範囲を逸脱した場合、正常に送信された場合よりも、受信強度の差（Ｖ１－Ｖ２）は大きくなる。
　そこで、変形例３では、閾値ＴＨ２より大きい閾値ＴＨ３を設定し、閾値ＴＨ２を下限とし閾値ＴＨ３を上限とする所定の数値範囲ＰＲを設定する。閾値ＴＨ３は、事前の試験またはシミュレーションで決定することができる。そして、比較部４４は、受信強度の差（Ｖ１－Ｖ２）が所定の数値範囲ＰＲ内の場合のみアンサー信号を生成し、所定の数値範囲ＰＲを逸脱する場合には、リレーアタックを判定する。

　これによって、リレーアタックの断続中継によって、利得決定時と強度測定時で入力状態が変化した場合でも、比較部４４が行う比較処理においてリレーアタックを判定することができる。

　以上の通り、変形例３において
（６）比較部４４は、比較処理として、リクエスト信号Ｓ１およびリクエスト信号Ｓ２のそれぞれの受信強度の平均値Ｖ１、Ｖ２の差（Ｖ１－Ｖ２）を演算し、差（Ｖ１－Ｖ２）を所定の数値範囲ＰＲと比較する。
　比較部４４は、差（Ｖ１－Ｖ２）が所定の数値範囲ＰＲを逸脱する場合は、リレーアタックを判定する。
　所定の数値範囲ＰＲの下限である閾値ＴＨ２は、車載機１のＬＦ送信部１３での送信時のリクエスト信号Ｓ１及びリクエスト信号Ｓ２の受信強度の差に基づいて決定され、
　所定の数値範囲ＰＲの上限である閾値ＴＨ３は、車載機１のＬＦ送信部１３での送信時のリクエスト信号Ｓ１の受信強度と、強度測定部３８における使用可能範囲の上限または下限との差に基づいて決定される。

　変形例３では、処理の追加や構成要素の追加を伴わず、比較処理における所定の数値範囲ＰＲの設定によってリレーアタックの判定精度を高めることができ、セキュリティをさらに向上させることができる。

　なお、前記した例では、リクエスト信号Ｓ１およびリクエスト信号Ｓ２の受信強度の差（Ｖ１－Ｖ２）を直接的に用いたが、受信強度の比Ｖ１／Ｖ２も、２つの信号の受信強度の差を示すものであるため、これを用いても良い。

［その他の変形例］
　前記した実施の形態では、リレーアタックの判定に相当する処理を携帯機３側で行う例を説明したが、これに限られず、車載機１側でリレーアタックの判定を行っても良い。
　例えば、携帯機３は、リクエスト信号Ｓ１、Ｓ２の受信強度の測定のみを行い、測定値をアンサー信号に含めて車載機１に送信しても良い。車載機１は、受信した測定値に基づいて、ばらつき演算、平均値算出および比較処理等行ってリレーアタックを判定し、判定結果に応じてドアロック等の車載機器の動作を制御しても良い。

　あるいは、携帯機３がばらつき演算まで行ったり、平均値算出までを行ったりしても良い。携帯機３は、演算結果等のデータをアンサー信号に含めて車載機１に送信し、車載機１が比較処理を行って最終的なリレーアタックの判定を行うようにしても良い。すなわち、比較部４４、判定部およびばらつき演算部４２の機能構成は、車載機１のＣＰＵ１１と携帯機３のＣＰＵ３５のいずれに実現しても良い。

　車載機１は、リレーアタックを判定した場合は、ドアロックの開錠は行わずに処理を終了しても良い。あるいは、車載機１にブザーやランプ等の警報装置を設け、リレーアタックを判定した場合はこれらの装置から警報を出力しても良い。

　前記した実施の形態では、車載機１の一つの送信アンテナ７から、出力強度を異ならせたリクエスト信号Ｓ１、Ｓ２を送信し、携帯機３側での受信強度を比較することで、リレーアタックを判定する例を説明した。しかしながら、リクエスト信号Ｓは、リレーアタックを判定できるように出力条件を異ならせたものを複数送信すれば良く、送信態様は適宜変更可能である。

　「出力条件を異ならせる」とは、例えば、実施の形態のように出力強度を異ならせることのほかに、「出力方向を異ならせる」ことや、「出力位置を異ならせる」ことや「出力タイミングを異ならせる」ことも含まれる。

　「出力方向を異ならせる」場合には、送信アンテナ７から、リクエスト信号Ｓ１とＳ２を、それぞれ磁界の向きを変えて送信しても良い。「出力位置を異ならせる」場合には、２つの送信アンテナを車両Ｖの異なる位置に配置し、それぞれからリクエスト信号Ｓ１、Ｓ２を送信しても良い。出力方向や出力位置を異ならせることによっても、携帯機３側での受信強度が２つの信号で異なったものとなるため、受信強度の比較処理を行うことでリレーアタックを判定することができる。

　なお、これらの送信態様では、携帯機３側でのリクエスト信号Ｓ１およびＳ２のいずれの受信強度が低くなるかは確定しないため、ばらつき演算部４２は、リクエスト信号Ｓ１およびＳ２の両方のばらつきを演算しても良く、あるいはそれぞれの受信強度を参照して、受信強度の低いリクエスト信号Ｓを選択してばらつきを演算しても良い。その際は、受信強度の最大値ＭＡＸまたは最小値ＭＩＮを参照しても良く、あるいは中央値を参照しても良い。

　また、リクエスト信号Ｓの送信回数は２回に限られず、３回以上送信しても良い。あるいは、リクエスト信号Ｓを連続して出力した状態で、途中で強度を異ならせたり磁界の向きを変えたりしても良い。

　また、近年では、リレーアタックの態様として、リクエスト信号Ｓを中継する際に中継器を振ることで出力方向を異ならせ、携帯機３での受信強度比を変えようとするものがある。そのような態様への更なる対策として、車載機１の送信アンテナ７ａ、７ｂからリクエスト信号Ｓ１、Ｓ２をそれぞれ送信した後に、送信アンテナ７ａからリクエスト信号Ｓ１と同じ強度のリクエスト信号Ｓ３をさらに出力する。すなわち、「出力タイミングを異ならせて」リクエスト信号Ｓを送信する。

　リクエスト信号Ｓが携帯機３に適切に受信された場合、リクエスト信号Ｓ１、Ｓ２の強度比は違ったものとなり、リクエスト信号Ｓ１、Ｓ３の強度比は同じとなる。一方、中継器を振りながら中継した場合、リクエスト信号Ｓ１、Ｓ２、Ｓ３の強度比全てが異なるため、リレーアタックを判定することができる。

　また、携帯機３の受信アンテナ３２を、異なる方向を向いた複数の軸を有するアンテナ、例えば３軸アンテナとし、各軸での受信強度を測定するようにしても良い。
　さらに、リレーアタックを判定するための比較処理は、前記した受信強度の比較処理に限定されず、他の比較処理を併せて行っても良い。例えば、受信アンテナ３２として３軸アンテナを用いた場合、各軸の受信強度からリクエスト信号Ｓのベクトルの向きを示す強度比を演算し、これらの比較処理を行っても良い。

　３軸アンテナを用いる場合には、各軸において受信強度のばらつきを演算し、いずれかの軸でばらつきが大きければ、通信異常であると判定しても良い。この場合、１軸でもばらつきが大きければ、リレーアタックの可能性があるとして処理を終了しても良い。
　あるいは、ばらつきの大きい軸を無効軸として除外し、有効軸のみで強度比を演算するようにしてもよい。その際、有効軸の数が強度比を演算可能な数を下回れば、リレーアタックの可能性があるとして処理を終了する。

　なお、前記した閾値ＴＨ１、ＴＨ２を用いた比較処理において、比較対象が「閾値以上」または「閾値未満」か、を基準としているが、閾値ＴＨ１、ＴＨ２の設定に応じて、比較対象が「閾値より大きい」または「閾値以下」か、を基準としても良い。すなわち、「閾値以上」または「閾値未満」は厳密に適用する必要は無く、設定によって閾値となる値を含まない場合または含む場合の両方を包含するものである。

　１　　車載機
　３　　携帯機
　５、５ａ、５ｂ、５ｃ　　リクエストスイッチ
　７　送信アンテナ
　８　　受信アンテナ
　９　　ドアロックアクチュエータ
　１０　　キーレスコントローラ
　１１　　ＣＰＵ
　１２　　メモリ
　１３　　ＬＦ送信部
　１４　　ＲＦ受信部
　１５　　アクチュエータ駆動回路
　２０　　制御部
　２１　　スイッチ判別部
　２２　　信号生成部
　２３　　暗号処理部
　３０　　リモートコントローラ
　３２　　受信アンテナ
　３３　　送信アンテナ
　３５　　ＣＰＵ
　３６　　メモリ
　３７　　ＬＦ受信部
　３８　　強度測定部
　３９　　ＲＦ送信部
　４１　　利得決定部
　４２　　ばらつき演算部
　４３　　平均値算出部
　４４　　比較部
　４５　　暗号処理部
　４６　　信号生成部
　５１、５２　増幅器
　５３　　利得調整器
　５４　　ピーク検出器
　５５　　Ａ／Ｄ変換器
　５６　　オーバーフロー／アンダーフロー検出器
　Ｖ　　　車両
　Ｓ、Ｓ１、Ｓ２　リクエスト信号

Claims

　車載機と携帯機との無線通信が中継器によって中継されるリレーアタックを判定するリレーアタック判定装置であって、
　前記車載機に設けられ、第１の信号と、前記第１の信号と出力条件を異ならせた第２の信号を送信する送信部と、
　前記携帯機に設けられ、前記第１の信号および前記第２の信号を受信する受信部と、
　前記携帯機に設けられ、前記受信部が受信した前記第１の信号および前記第２の信号のそれぞれについて、複数回ずつ受信強度の測定を行う強度測定部と、
　前記強度測定部が測定した前記受信強度の平均値を用いて、前記第１の信号および前記第２の信号の比較処理を行う比較部と、
　当該比較処理の結果に基づいて、前記リレーアタックを判定する判定部と、
　前記第１の信号および前記第２の信号のうち、受信強度の低い信号について、前記強度測定部で複数回ずつ測定された前記受信強度のばらつきを演算するばらつき演算部と、を備え、
　前記判定部は、前記受信強度のばらつきが、通信異常を示す閾値を超えた場合、前記比較処理の結果によらず、前記リレーアタックを判定することを特徴とするリレーアタック判定装置。
　前記送信部は、前記第１の信号より出力強度を低くした前記第２の信号を送信し、
　前記ばらつき演算部は、前記第２の信号の前記受信強度のばらつきを演算することを特徴とする請求項１記載のリレーアタック判定装置。
　前記ばらつき演算部は、
　前記強度測定部で複数回ずつ測定された前記受信強度の最大値と最小値の差を、前記受信強度のばらつきとして演算することを特徴とする請求項２記載のリレーアタック判定装置。
　前記第１の信号及び前記第２の信号の最大振幅を検出するピーク検出部と、
　前記最大振幅に基づいて、前記第１の信号および前記第２の信号のそれぞれの利得を決定する利得決定部と、
　前記利得決定部が決定した前記利得で前記第１の信号及び前記第２の信号を増幅する増幅器と、
　を備え、
　前記強度測定部は、前記増幅器で増幅された前記第１の信号および前記第２の信号の受信強度を測定することを特徴とする請求項２記載のリレーアタック判定装置。
　前記増幅器の出力のオーバーフローまたはアンダーフローを検出する検出部を備え、
　前記判定部は、前記第２の信号の前記受信強度の測定時に、前記検出部によって前記増幅器のオーバーフローまたはアンダーフローが検出された場合は、前記比較処理の結果によらず、前記リレーアタックを判定することを特徴とする請求項４記載のリレーアタック判定装置。
　前記判定部は、前記強度測定部で測定された前記第２の信号の受信強度の測定値が、使用可能範囲を逸脱する場合は、前記比較処理の結果によらず、前記リレーアタックを判定することを特徴とする請求項４記載のリレーアタック判定装置。
　前記比較部は、前記比較処理として、前記第１の信号および前記第２の信号のそれぞれの前記受信強度の平均値の差を演算し、前記差を所定の数値範囲と比較し、
　前記判定部は、前記差が前記所定の数値範囲を逸脱する場合は、前記リレーアタックを判定し、
　前記所定の数値範囲の下限は、前記送信部での送信時の前記第１の信号及び前記第２の信号の出力強度の差に基づいて決定され、
　前記所定の数値範囲の上限は、前記第１の信号の受信強度と、前記強度測定部における測定値の使用可能範囲の上限または下限との差に基づいて決定されることを特徴とする請求項４記載のリレーアタック判定装置。