WO2021244711A1 - Zugangssystem und verfahren zur zugangs- und startverifizierung - Google Patents

Zugangssystem und verfahren zur zugangs- und startverifizierung Download PDF

Info

Publication number
WO2021244711A1
WO2021244711A1 PCT/DE2021/200071 DE2021200071W WO2021244711A1 WO 2021244711 A1 WO2021244711 A1 WO 2021244711A1 DE 2021200071 W DE2021200071 W DE 2021200071W WO 2021244711 A1 WO2021244711 A1 WO 2021244711A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
electronic device
access
triggering event
authorization
Prior art date
Application number
PCT/DE2021/200071
Other languages
English (en)
French (fr)
Inventor
Ulrich Emmerling
Franz Plattner
Alexander Heinrich
Original Assignee
Continental Automotive Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive Gmbh filed Critical Continental Automotive Gmbh
Publication of WO2021244711A1 publication Critical patent/WO2021244711A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/209Remote starting of engine
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/2036Means to switch the anti-theft system on or off by using the door logic and door and engine unlock means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user

Definitions

  • the invention relates to an access and start system and a method for access and start verification, in particular in a vehicle.
  • Keyless vehicle entry and start systems such as the Passive Start Entry (PASE) system are automatic systems to unlock a vehicle without actively using a car key and to start it by simply pressing the start button.
  • a transmission unit which transmits signals is arranged in the vehicle. These are, for example, electromagnetic signals in the LF (Low Frequency) or HF (High Frequency) range. These signals are received by a transponder unit when it is in the vicinity of the vehicle and then evaluated and / or processed further. Following the evaluation and / or further processing in the transponder unit, corresponding response signals can be sent back to the transmitter unit in the vehicle. The response signals are sent, for example, in the UHF frequency band and can be evaluated by an evaluation unit in the vehicle. If a response signal is recognized as correct and thus the transponder unit is recognized as belonging to the vehicle, the vehicle can be unlocked. The same process can be repeated when the vehicle is to be started.
  • LF Low Frequency
  • HF High Frequency
  • the object of the invention is to provide an access system and a corresponding method for access verification which can reliably detect relay attacks and thereby have the lowest possible power consumption.
  • the access and start system has a control device arranged in a vehicle.
  • the control unit is designed to check an access authorization of an electronic device in response to a first triggering event, to carry out at least one method for detecting an unauthorized attack on the vehicle after the first triggering event or after successful checking of the access authorization, if no unauthorized attack the vehicle has been recognized and the electronic device has been recognized as authorized to access the vehicle, to enable access to the vehicle and to issue a start authorization for the vehicle, to check a start authorization of the electronic device for a second triggering event and, if the electronic device is recognized as authorized to start and there is a valid start authorization for the vehicle to allow the vehicle to be started without having to repeat at least one method to detect an unauthorized attack on the vehicle.
  • An issued start permit is deleted after a specified period of time and / or after the detection of a third triggering event.
  • control unit can also be designed to carry out at least one method for detecting an unauthorized attack on the vehicle and to allow the vehicle to be started if there is no unauthorized attack on the vehicle if there is no valid start authorization for the vehicle in response to the second triggering event recognized and the electronic device was recognized as authorized to start.
  • the control device can furthermore be designed to check an access authorization of the electronic device again and to carry out at least one method for detecting an unauthorized attack on the vehicle if there is no valid start authorization for the vehicle in response to the second triggering event.
  • the specified period of time after which an issued start permit is deleted can be at least one minute, at least five minutes or at least ten minutes.
  • the period is short enough to ensure sufficient safety and long enough to enable certain actions such as people getting into the vehicle and / or loading the vehicle without deleting the issued start permit and thereby increasing power consumption.
  • the third triggering event may include at least one of changing the status of at least one door of the vehicle from closed to open, and changing the status of at least one door of the vehicle from unlocked to locked.
  • the third triggering event can alternatively or additionally include the removal of the electronic device from the vehicle or from a defined area around the vehicle.
  • the electronic device can be recognized as being located within the defined area if there is a wireless data connection between the vehicle and the electronic device, or if the reception field strength of at least one signal sent between the vehicle and the electronic device exceeds a predetermined value.
  • the at least one method for detecting an unauthorized attack on the vehicle can include at least one of determining a transit time of at least one signal sent between the vehicle and the electronic device, and determining whether the electronic device has moved within a specific previous period of time.
  • a method for access and start verification in a vehicle has, on a first triggering event, checking an access authorization of an electronic device, on the first triggering event or after successful checking of the access authorization, performing at least one method for detecting an unauthorized attack the vehicle, if no unauthorized attack on the vehicle has been detected and the electronic device has been recognized as authorized to access the vehicle, enabling access to the vehicle and issuing a start permit for the vehicle in response to a second triggering event, checking a start authorization of the electronic device, and, if the electronic device has been recognized as authorized to start and there is a valid start authorization for the vehicle, allowing the vehicle to be started without repeating at least one method for detecting an unauthorized attack on the vehicle.
  • One granted Start authorization is deleted after a specified period of time and / or after detection of a third triggering event.
  • a vehicle has an access and start system with a control device arranged in the vehicle.
  • the control unit is designed to check an access authorization of an electronic device in response to a first triggering event, to carry out at least one method for detecting an unauthorized attack on the vehicle after the first triggering event or after successful checking of the access authorization, if no unauthorized attack the vehicle has been recognized and the electronic device has been recognized as authorized to access the vehicle, to enable access to the vehicle and to issue a start authorization for the vehicle, to check a start authorization of the electronic device for a second triggering event and, if the electronic device is recognized as authorized to start and there is a valid start authorization for the vehicle to allow the vehicle to be started without having to repeat at least one method to detect an unauthorized attack on the vehicle.
  • An issued start permit is deleted after a specified period of time and / or after the detection of a third triggering event.
  • Figure 1 is an example of a vehicle with an access system according to an embodiment of the invention
  • FIG. 2 shows the principle of an attack on a keyless vehicle entry and start system in a sketchy representation
  • FIG. 3 shows an example of a method according to an embodiment of the invention in a flowchart.
  • FIG. 1 shows a schematic representation of the basic principle of a device for access verification in a vehicle 10.
  • a control device 20 with a transmitter / receiver unit (transmitter / receiver unit not explicitly shown) which is designed to send out signals .
  • signals are, for example, electromagnetic signals in the LF (Low Frequency) or HF (High Frequency) range.
  • LF Low Frequency
  • HF High Frequency
  • the response signals are sent, for example, in the UHF frequency band and can be evaluated in vehicle 10 by an evaluation unit not shown in FIG. 1. If the electronic device 30 is recognized as belonging to the vehicle 10, the vehicle 10 can be unlocked or started. If, however, there is no correct answer from the electronic device 30 within a defined time, nothing happens.
  • electronic device 30 In order to receive the signals sent by control device 20, electronic device 30 must be located within a certain radius around control device 20. Depending on the communication standard used, this radius can be a few centimeters, for example 10 cm, up to several meters. Therefore, in the case of short ranges, it may be necessary to hold the electronic device 30 in the vicinity of the control device 20 or to insert it into a device provided for this purpose in the vehicle 10. This can ensure that the electronic device 30 is located close enough to the control device 20 and communication is possible.
  • the control device 20 can send out signals continuously or only in response to a specific event.
  • the power consumption of the control device 20 when sending signals is relatively high as a rule. If signals are only sent to a specific, triggering event, the power consumption can therefore be significantly reduced.
  • a triggering one An event can be, for example, pulling a door handle (to unlock the vehicle) or pressing a start button (to start the vehicle). This means that the control device 20 sends out one or more query signals as soon as, for example, the door handle or a start button of the vehicle 10 is actuated. If the electronic device 30 is in the vicinity of the control device 20 and if it sends back a correct response signal after receiving a request signal, the vehicle 10 can be unlocked or started.
  • Devices are also known which detect the approach of a user by means of sensors, for example by means of capacitive sensors in the door handle. The authorization process can then take place before the user actually operates the door handle. Many other triggering events are also possible.
  • FIG. 2 shows a schematic representation of the principle of such a relay attack on a keyless vehicle access and start system by extending the radio link of a communication channel.
  • the key with the electronic device 30 is outside the range of the request signals sent by the transmission unit 20.
  • a first device 40 which has an antenna is located in the vicinity of the vehicle 10 within the radius necessary for receiving the signals.
  • the distance between the first device 40 and the transmitter unit 20 in the vehicle 10 is denoted by b.
  • a second device 50 is arranged, which also has an antenna.
  • the distance between the second device 50 and the first device 40 is denoted by c
  • the distance between the second device 50 and the electronic device 30 is denoted by d.
  • the first device 40 in the vicinity of the vehicle 10 receives the signals that are sent out by the control device 20 and forwards them to the second device 50.
  • the signal is in turn sent from the second device 50 to the electronic device 30.
  • amplifiers are in the devices 40, 50, for example and transmission levels necessary. With this arrangement, a theoretically arbitrarily long distance can be bridged between the vehicle 10 and the electronic device 30.
  • the signal is received, evaluated and / or processed in the electronic device 30.
  • the response signal then sent out by the electronic device 30 can be transmitted back to the vehicle 10 via the same arrangement with the first and second devices 40, 50.
  • the evaluation electronics arranged in the vehicle 10 thus initially do not detect that the electronic device is not within range. Although the electronic device 30 is not within range, the vehicle 10 can still be opened and also started.
  • a vehicle 10 could, for example, also be opened and started without authorization if the electronic device 30 is within the required range. This can be the case, for example, if the vehicle 10 is parked before a user is waving and the electronic device 30 is in a position which is within range. In such a case, however, opening the vehicle 10 is also often not desirable.
  • the electronic device 30 (or at least one transponder unit in the electronic device 30, which is designed to communicate with the vehicle 10) can be activated or deactivated in certain situations. The electronic device 30 can only receive signals sent by the vehicle 10 and send a response if it is activated.
  • the electronic device 30 can either not receive any signals, or transmit no signals, or neither, so that the electronic device 30 cannot be authenticated and the vehicle 10 cannot be opened or started.
  • the corresponding function in the electronic device can be deactivated, for example, if it has been detected by means of suitable sensors or methods that the electronic device 30 has not moved for a certain predetermined period of time. Suitable algorithms can also be used, for example, to determine the times at which (for example, during working hours, during sport, or at night) the user never uses the vehicle 10. The corresponding function in the electronic device 30 can also be deactivated at such times.
  • Other methods use a measurement of the transit time of the signals sent between the vehicle 10 and the electronic device 30. If the route over which the signals are transmitted is extended, as in the case of a relay attack, the time after which the vehicle 10 receives a response from the electronic device 30 is also extended. If this time exceeds a predetermined limit value, it can be concluded that an unwanted attack on the vehicle 10 is taking place. Access to the vehicle 10 can then be denied and the vehicle 10 can be prevented from starting.
  • the active actuation of a button on the electronic device 30 can also be an indication that there is no relay attack.
  • a user could actively press a button on a vehicle key to unlock the vehicle. The user can either press a corresponding button on the vehicle key himself actuate and thereby trigger the authentication process (checking the access authorization).
  • Such systems are also known as remote keyless entry (RKE).
  • RKE remote keyless entry
  • the vehicle key is first authenticated and the user is then prompted to press a button on the vehicle key in order to be able to rule out a relay attack.
  • another electronic device such as the user's smartphone takes over the function of the vehicle key, any interaction between the user and the electronic device 30 that is suitable for unlocking the vehicle can be clearly recognized (e.g. by pressing a corresponding button on the Display of the electronic device) be an indication that there is no relay attack. If the user actively takes such an action, no further check for a relay attack is generally required.
  • relay attacks can also be detected in various other ways. In addition to the methods named above by way of example, many other methods are known here, but these are not described in further detail. Which method is used to detect a relay attack is not important here.
  • a check is always carried out twice to determine whether a relay attack is taking place. Namely once when the vehicle 10 is to be unlocked and a further time when the vehicle 10 is to be started. Each time such a relay attack test takes place, however, the power consumption increases both in the vehicle 10 and in the electronic device 30.
  • a second check for a possible relay attack when the vehicle 10 is started.
  • a triggering event eg user approaches vehicle 10 or pulls on the door handle
  • authorization of electronic device 30 is checked as described above, and one or more methods for detecting a relay attack are carried out.
  • One or more methods for detecting a relay attack can be carried out directly in response to the first triggering event or after a successful check of the access authorization. If the electronic device 30 is recognized as authorized and no unauthorized attack on the vehicle 10 is recognized at the same time, access to the vehicle 10 is released (vehicle 10 is unlocked) and a start authorization for the vehicle 10 is granted at the same time.
  • a second triggering event e.g. user presses the start button of vehicle 10
  • the authorization of electronic device 30 is checked again as described above. If the electronic device 30 is recognized as authorized and a valid start authorization is available, the vehicle 10 is allowed to start without one or more methods for recognizing an unauthorized attack on the vehicle 10 being carried out again. This means that in some cases there is no need to check again for an unauthorized attack.
  • a start permit Once a start permit has been issued, however, it can either be deleted after a specified period of time has elapsed or a third triggering event has been detected.
  • This period of time can be, for example, at least one minute, at least five minutes or at least ten minutes.
  • the period can either be specified by the vehicle manufacturer or set individually by the user.
  • the period of time can be selected to be long enough, for example, to enable several people to get into the vehicle 10. It could also be possible to carry out a short loading process within the period.
  • the mentioned periods are only exemplary. Any other suitable time period can in principle be selected. However, the longer the period selected, the more the security of the system is reduced. However, sufficient security is still guaranteed up to a certain length of the period.
  • the third triggering event can include, for example, changing the status of at least one door of the vehicle 10.
  • the issued start authorization can be deleted if a vehicle door (e.g. the driver's door) is opened again after the user has entered and closed it, before the user has tried to start the vehicle 10.
  • an issued start authorization can also be deleted again if one or more doors of the vehicle 10 were locked again after unlocking before the user tried to start the vehicle.
  • Various other third triggering events are also possible here in addition or as an alternative.
  • an issued start authorization can also be deleted if the electronic device 30 moves out of the vehicle 10 itself or out of a predetermined area around the vehicle 10 and moves away from the vehicle 10 before the user has attempted the vehicle 10 to start.
  • Various methods are known by means of which it can be recognized whether an electronic device 10 is located in the interior of a vehicle 10 or within a predetermined area around the vehicle 10. For example, the received field strength of one or more signals that are sent between the electronic device 30 and the vehicle 10 can be determined. If the received field strength falls below a predetermined value, it can be concluded that the electronic device 30 is no longer located inside the vehicle 10 or is no longer located within a defined area around the vehicle 10.
  • determining the transit time of signals it can be recognized, for example, whether the electronic device 30 is still inside the vehicle 10 or still within a defined area around the vehicle 10 is located. After unlocking the vehicle 10, signals can be sent out at regular intervals, for example, in order to determine whether the electronic device 30 is still in the vehicle 10 or within the specific area around the vehicle 10.
  • the wireless data connection can be, for example, a Bluetooth connection, a BLE connection (Bluetooth Low Energy), or a WLAN connection. Any other data connection that can exist between the vehicle 10 and the electronic device 30 is also possible here.
  • a start authorization of the electronic device 30 is deleted and thus at least one method for recognizing an unwanted attack is carried out again when the vehicle 10 is to be started.
  • the method includes checking an access authorization of an electronic device 30 for a first triggering event (step 301).
  • the procedure also indicates that towards the first triggering event or after a successful check of the access authorization, the implementation of at least one method for recognizing an unauthorized attack on the vehicle 10 (step 302). If no unauthorized attack on the vehicle 10 has been recognized and the electronic device 30 has been recognized as authorized, access to the vehicle 10 is released and a start authorization for the vehicle 10 is issued (step 303).
  • a start authorization of the electronic device 30 is checked (step 304) and, if the electronic device 30 has been recognized as authorized to start and a valid start authorization for the vehicle 10 is available, the vehicle 10 is allowed to start without at least renewed carry out a method for recognizing an unauthorized attack on the vehicle 10 (step 305).
  • An issued start permit is deleted after a specified period of time and / or after the detection of a third triggering event.
  • the portable electronic device 30 can be, for example, a vehicle key, mobile phone, smartphone, tablet, SmartWatch, laptop or personal digital assistant (PDA). Any other suitable portable electronic device is also possible.
  • PDA personal digital assistant
  • the invention has been described using the example of an access and start system for a vehicle 10.
  • vehicle 10 can be, for example, a car, truck, bus, tractor, airplane, ship or any other type of vehicle.

Abstract

Ein Zugangs- und Startsystem weist ein in einem Fahrzeug (10) angeordnetes Steuergerät (20) auf. Das Steuergerät (20) ist dazu ausgebildet, auf ein erstes auslösendes Ereignis hin eine Zugangsberechtigung eines elektronischen Gerätes (30) zu prüfen, auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) durchzuführen, wenn kein unberechtigter Angriff auf das Fahrzeug (10) erkannt und das elektronische Gerät (30) als zugangsberechtigt erkannt wurde, den Zugang zu dem Fahrzeug (10) freizugeben und eine Startgenehmigung für das Fahrzeug (10) zu erteilen, auf ein zweites auslösendes Ereignis hin eine Startberechtigung des elektronischen Gerätes (30) zu prüfen, und, wenn das elektronische Gerät (30) als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug (10) vorliegt, das Starten des Fahrzeugs (10) zu erlauben ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) durchzuführen. Eine erteilte Startgenehmigung wird nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht.

Description

Beschreibung
Zugangssystem und Verfahren zur Zugangs- und Startverifizierung
Die Erfindung betrifft ein Zugangs- und Startsystem und ein Verfahren zur Zugangs- und Startverifizierung, insbesondere in einem Fahrzeug.
Schlüssellose Fahrzeug-Zugangs- und Startsysteme wie beispielsweise das Passive Start Entry (PASE) System sind automatische Systeme, um ein Fahrzeug ohne aktive Benutzung eines Autoschlüssels zu entriegeln und durch das bloße Betätigen des Startknopfes zu starten. In dem Fahrzeug ist dabei eine Sendeeinheit angeordnet, welche Signale aussendet. Dies sind beispielsweise elektromagnetische Signale im LF (Low Frequency)- oder HF (High Frequency)- Bereich. Diese Signale werden von einer Transpondereinheit empfangen, wenn diese sich in der Nähe des Fahrzeugs befindet, und anschließend ausgewertet und/oder weiterverarbeitet. Im Anschluss an die Auswertung und/oder Weiterverarbeitung in der Transpondereinheit können entsprechende Antwortsignale wieder an die Sendeeinheit im Fahrzeug zurückgesendet werden. Die Antwortsignale werden beispielsweise im UHF-Frequenzband gesendet und können im Fahrzeug von einer Auswerteeinheit ausgewertet werden. Wird ein Antwortsignal als korrekt und somit die Transpondereinheit als zum Fahrzeug gehörig erkannt, kann das Fahrzeug entriegelt werden. Derselbe Vorgang kann erneut ausgeführt werden, wenn das Fahrzeug gestartet werden soll.
Solche Systeme können jedoch relativ leicht angegriffen werden, z.B. durch so genannte Relay-Angriffe.
Es gibt Verfahren, mit welchen Relay-Angriffe erkannt werden können. Derartige Verfahren werden grundsätzlich zwei Mal ausgeführt. Ein erstes Mal, wenn der Zugang zu dem Fahrzeug gewünscht wird, und ein zweites Mal, wenn das Fahrzeug gestartet werden soll. Dies erhöht die Sicherheit des Systems erheblich. Der Stromverbrauch sowohl in dem Fahrzeug als auch vor allem in der Transpondereinheit ist jedoch verhältnismäßig hoch. Aufgabe der Erfindung ist es, ein Zugangssystem und ein korrespondierendes Verfahren zur Zugangsverifizierung bereitzustellen, welche Relay-Angriffe zuverlässig erkennen können und dabei einen möglichst geringen Stromverbrauch aufweisen.
Diese Aufgabe wird gelöst durch ein Zugangssystem gemäß Anspruch 1, ein Verfahren gemäß Anspruch 9, beziehungsweise ein Fahrzeug gemäß Anspruch 10.
Das erfindungsgemäße Zugangs- und Startsystem weist ein in einem Fahrzeug angeordnetes Steuergerät auf. Das Steuergerät ist dazu ausgebildet, auf ein erstes auslösendes Ereignis hin eine Zugangsberechtigung eines elektronischen Gerätes zu prüfen, auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen, wenn kein unberechtigter Angriff auf das Fahrzeug erkannt und das elektronische Gerät als zugangsberechtigt erkannt wurde, den Zugang zu dem Fahrzeug freizugeben und eine Startgenehmigung für das Fahrzeug zu erteilen, auf ein zweites auslösendes Ereignis hin eine Startberechtigung des elektronischen Gerätes zu prüfen, und, wenn das elektronische Gerät als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug vorliegt, das Starten des Fahrzeugs zu erlauben ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen. Eine erteilte Startgenehmigung wird nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht.
Dadurch kann ein sicheres Zugangs- und Startsystem bereitgestellt werden, bei welchem der Stromverbrauch im Fahrzeug und im elektronischen Gerät jedoch verringert ist. Das Steuergerät kann weiterhin dazu ausgebildet sein, wenn auf das zweite auslösende Ereignis hin keine gültige Startgenehmigung für das Fahrzeug vorliegt, wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen, und das Starten des Fahrzeugs zu erlauben wenn kein unberechtigter Angriff auf das Fahrzeug erkannt und das elektronische Gerät als startberechtigt erkannt wurde.
Dadurch wird die Sicherheit des Systems erhöht.
Das Steuergerät kann weiterhin dazu ausgebildet sein, wenn auf das zweite auslösende Ereignis hin keine gültige Startgenehmigung für das Fahrzeug vorliegt, erneut eine Zugangsberechtigung des elektronischen Gerätes zu prüfen und wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen.
Auch dadurch kann die Sicherheit des Systems erhöht werden.
Der vorgegebene Zeitraum nach dem eine erteilte Startgenehmigung gelöscht wird kann wenigstens eine Minute, wenigstens fünf Minuten oder wenigstens zehn Minuten betragen.
Der Zeitraum ist dadurch kurz genug um ausreichend Sicherheit zu gewährleisten und lang genug um bestimmte Aktionen wie das Zusteigen von Personen zum Fahrzeug und/oder das Beladen des Fahrzeugs zu ermöglichen, ohne dass die erteilte Startgenehmigung gelöscht und dadurch der Stromverbrauch erhöht wird.
Das dritte auslösende Ereignis kann wenigstens eines aufweisen von Ändern des Status wenigstens einer Tür des Fahrzeugs von geschlossen zu offen, und Ändern des Status wenigstens einer Tür des Fahrzeugs von entriegelt zu verriegelt.
Das dritte auslösende Ereignis kann alternativ oder zusätzlich das Entfernen des elektronischen Geräts aus dem Fahrzeug oder aus einem definierten Bereich um das Fahrzeug herum aufweisen. Das elektronische Gerät kann als innerhalb des definierten Bereiches befindlich erkannt werden, wenn eine drahtlose Datenverbindung zwischen dem Fahrzeug und dem elektronischen Gerät besteht, oder wenn die Empfangsfeldstärke wenigstens eines zwischen dem Fahrzeug und dem elektronischen Gerät gesendeten Signals einen vorgegebenen Wert überschreitet.
Dies sind einfache Möglichkeiten zum Erkennen des elektronischen Geräts innerhalb des Fahrzeugs und/oder innerhalb eines bestimmten Bereiches um das Fahrzeug herum.
Das wenigstens eine Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug kann wenigstens eines aufweisen von dem Bestimmen einer Laufzeit von wenigstens einem zwischen dem Fahrzeug und dem elektronischen Gerät gesendeten Signal, und dem Bestimmen ob sich das elektronische Gerät innerhalb eines bestimmten vorangegangenen Zeitraumes bewegt hat.
Dies sind einfache Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug.
Ein Verfahren zur Zugangs- und Startverifizierung in einem Fahrzeug weist auf, auf ein erstes auslösendes Ereignis hin, Prüfen einer Zugangsberechtigung eines elektronischen Gerätes, auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung, Durchführen wenigstens eines Verfahrens zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug, wenn kein unberechtigter Angriff auf das Fahrzeug erkannt und das elektronische Gerät als zugangsberechtigt erkannt wurde, Freigeben des Zugangs zu dem Fahrzeug und Erteilen einer Startgenehmigung für das Fahrzeug, auf ein zweites auslösendes Ereignis hin, Prüfen einer Startberechtigung des elektronischen Gerätes, und, wenn das elektronische Gerät als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug vorliegt, Erlauben des Startens des Fahrzeugs ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen. Eine erteilte Startgenehmigung wird nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht.
Ein Fahrzeug weist ein Zugangs- und Startsystem mit einem in dem Fahrzeug angeordneten Steuergerät auf. Das Steuergerät ist dazu ausgebildet, auf ein erstes auslösendes Ereignis hin eine Zugangsberechtigung eines elektronischen Gerätes zu prüfen, auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen, wenn kein unberechtigter Angriff auf das Fahrzeug erkannt und das elektronische Gerät als zugangsberechtigt erkannt wurde, den Zugang zu dem Fahrzeug freizugeben und eine Startgenehmigung für das Fahrzeug zu erteilen, auf ein zweites auslösendes Ereignis hin eine Startberechtigung des elektronischen Gerätes zu prüfen, und, wenn das elektronische Gerät als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug vorliegt, das Starten des Fahrzeugs zu erlauben ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen. Eine erteilte Startgenehmigung wird nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht.
Die Erfindung wird nachfolgend anhand der in den Figuren der Zeichnung dargestellten Ausführungsbeispiele näher erläutert. Es zeigt:
Figur 1 beispielhaft ein Fahrzeug mit einem Zugangssystem gemäß einer Ausführungsform der Erfindung,
Figur 2 in einer skizzenhaften Darstellung das Prinzip eines Angriffs auf ein schlüsselloses Fahrzeug-Zugangs- und Startsystem, und
Figur 3 beispielhaft in einem Ablaufdiagramm ein Verfahren gemäß einer Ausführungsform der Erfindung. Figur 1 zeigt in schematischer Darstellung das grundsätzliche Prinzip einer Vorrichtung zur Zugangsverifizierung in einem Fahrzeug 10. In dem Fahrzeug 10 ist ein Steuergerät 20 mit einer Sende-/Empfangseinheit (Sende-/Empfangseinheit nicht explizit dargestellt) angeordnet, das dazu ausgebildet ist, Signale auszusenden. Dies sind beispielsweise elektromagnetische Signale im LF (Low Frequency)- oder HF (High Frequency)-Bereich. Diese Signale werden von einem elektronischen Gerät 30 empfangen, wenn dieses sich in der Nähe des Steuergerätes 20 befindet, und anschließend in dem elektronischen Gerät 30 decodiert, ausgewertet und/oder weiterverarbeitet. Im Anschluss an die Auswertung und/oder Weiterverarbeitung in dem elektronischen Gerät 30 können entsprechende Antwortsignale wieder an das Steuergerät 20 zurückgesendet werden. Die Antwortsignale werden beispielsweise im UHF-Frequenzband gesendet und können im Fahrzeug 10 von einer, in Figur 1 nicht dargestellten, Auswerteeinheit ausgewertet werden. Wird das elektronische Gerät 30 als zum Fahrzeug 10 gehörig erkannt, kann das Fahrzeug 10 entriegelt bzw. gestartet werden. Gibt es innerhalb einer definierten Zeit keine korrekte Antwort von dem elektronischen Gerät 30, passiert hingegen nichts.
Zum Empfangen der von dem Steuergerät 20 gesendeten Signale muss sich das elektronische Gerät 30 innerhalb eines bestimmten Radius um das Steuergerät 20 herum befinden. Dieser Radius kann, abhängig von dem verwendeten Kommunikationsstandard, wenige Zentimeter, zum Beispiel 10cm, bis zu mehreren Metern betragen. Daher kann es bei kurzen Reichweiten erforderlich sein, das elektronische Gerät 30 in die Nähe des Steuergerätes 20 zu halten oder im Fahrzeug 10 in eine dafür vorgesehene Vorrichtung einzuführen. Dadurch kann sichergestellt werden, dass sich das elektronische Gerät 30 nahe genug an dem Steuergerät 20 befindet und eine Kommunikation möglich ist.
Das Steuergerät 20 kann kontinuierlich Signale aussenden oder nur auf ein bestimmtes Ereignis hin. Der Stromverbrauch des Steuergerätes 20 beim Aussenden von Signalen ist in der Regel verhältnismäßig hoch. Werden Signale nur auf ein bestimmtes, auslösendes Ereignis hingesendet, kann der Stromverbrauch daher deutlich reduziert werden. Ein solches auslösendes Ereignis kann beispielsweise das Ziehen eines Türgriffs (zum Entriegeln des Fahrzeugs) oder das Betätigen eines Startknopfes (zum Starten des Fahrzeugs) sein. Das heißt, dass das Steuergerät 20 ein oder mehrere Anfragesignale aussendet, sobald beispielsweise der Türgriff oder ein Startknopf des Fahrzeugs 10 betätigt wird. Befindet sich das elektronische Gerät 30 in der Nähe des Steuergerätes 20 und sendet dieses nach dem Empfang eines Anfragesignals ein korrektes Antwortsignal zurück, kann das Fahrzeug 10 entriegelt bzw. gestartet werden. Es sind auch Vorrichtungen bekannt, welche die Annäherung eines Nutzers mittels Sensoren erfassen, z.B. mittels kapazitiver Sensoren im Türgriff. Der Autorisierungsvorgang kann dann stattfinden, noch bevor der Nutzer den Türgriff tatsächlich betätigt. Viele weitere auslösende Ereignisse sind ebenfalls möglich.
Solche Systeme können jedoch relativ leicht angegriffen werden, z.B. durch so genannte Relay-Angriffe. Dabei kann zum Beispiel unter Verwendung von zwei Geräten, von denen sich eines in der Nähe des Fahrzeuges 10 und das andere in der Nähe des elektronischen Gerätes 30 befindet, eine größere Distanz zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 überbrückt werden, indem die Funkstrecke des verwendeten Kommunikationskanals (z.B. LF (Low Frequency)- oder HF (High Frequency)- Kommunikationskanal) verlängert wird. Auf diese Weise kann ein Fahrzeug 10 geöffnet und gestartet werden, obwohl sich der Fahrzeugschlüssel (elektronisches Gerät 30) nicht innerhalb der notwendigen Reichweite befindet.
Figur 2 zeigt in schematischer Darstellung das Prinzip eines solchen Relay- Angriffes auf ein schlüsselloses Fahrzeug-Zugangs- und Startsystem durch Verlängerung der Funkstrecke eines Kommunikationskanals. Der Schlüssel mit dem elektronischen Gerät 30 befindet sich in der in Figur 2 gezeigten Darstellung außerhalb der Reichweite der von der Sendeeinheit 20 gesendeten Anfragesignale. Innerhalb des zum Empfangen der Signale notwendigen Radius befindet sich in der Nähe des Fahrzeugs 10 jedoch ein erstes Gerät 40, welches eine Antenne aufweist. Der Abstand des ersten Geräts 40 zu der Sendeeinheit 20 im Fahrzeug 10 wird mit b bezeichnet. Innerhalb der Reichweite des elektronischen Gerätes 30 ist ein zweites Gerät 50 angeordnet, welches ebenfalls eine Antenne aufweist. Der Abstand des zweiten Geräts 50 zum ersten Gerät 40 wird mit c, der Abstand des zweiten Geräts 50 zu dem elektronischen Gerät 30 wird mit d bezeichnet.
Das erste Gerät 40 in der Nähe des Fahrzeugs 10 empfängt die Signale, die von dem Steuergerät 20 ausgesendet werden, und sendet diese an das zweite Gerät 50 weiter. Von dem zweiten Gerät 50 wird das Signal wiederum an das elektronische Gerät 30 gesendet. Um die Signale über eine Distanz c zwischen dem ersten und zweiten Gerät 40, 50, die meist deutlich größer ist als die normale Reichweite von den häufig verwendeten LF- oder FIF-Signalen, übertragen zu können, sind in den Geräten 40, 50 z.B. Verstärker und Sendestufen notwendig. Mit dieser Anordnung kann somit eine theoretisch beliebig weite Strecke zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 überbrückt werden.
Im elektronischen Gerät 30 wird das Signal empfangen, ausgewertet und/oder verarbeitet. Das darauf von dem elektronischen Gerät 30 ausgesendete Antwortsignal kann über dieselbe Anordnung mit dem ersten und zweiten Gerät 40, 50 wieder an das Fahrzeug 10 zurück übertragen werden. Die im Fahrzeug 10 angeordnete Auswerteelektronik detektiert somit zunächst nicht, dass sich das elektronische Gerät nicht innerhalb der Reichweite befindet. Obwohl der das elektronische Gerät 30 nicht innerhalb der Reichweite ist, kann das Fahrzeug 10 somit trotzdem geöffnet und auch gestartet werden.
Ohne die Reichweite mittels einer oben beschriebenen Anordnung zu verlängern könnte ein Fahrzeug 10 beispielsweise auch dann unbefugt geöffnet und gestartet werden, wenn sich das elektronische Gerät 30 innerhalb der erforderlichen Reichweite befindet. Dies kann beispielsweise der Fall sein, wenn das Fahrzeug 10 vor dem Flaus eines Nutzers abgestellt wird und sich das elektronische Gerät 30 im Flaus an einer Stelle befindet, welche innerhalb der Reichweite liegt. Ein Öffnen des Fahrzeugs 10 ist in einem solchen Fall jedoch auch oft nicht erwünscht. Es sind verschiedene Verfahren bekannt um derartige Angriffe und ein unbefugtes Öffnen und Starten des Fahrzeugs 10 zu verhindern. Beispielsweise kann das elektronische Gerät 30 (oder wenigstens eine Transpondereinheit in dem elektronischen Gerät 30, die dazu ausgebildet ist mit dem Fahrzeug 10 zu kommunizieren) in bestimmten Situationen aktiviert, bzw. deaktiviert werden. Das elektronische Gerät 30 kann vom Fahrzeug 10 ausgesandte Signale nur dann empfangen und eine Antwort senden, wenn es aktiviert ist. Im deaktivierten (inaktiven) Zustand kann das elektronische Gerät 30 entweder keine Signale empfangen, oder keine Signale aussenden, oder keines von beidem, so dass keine Authentifizierung des elektronischen Gerätes 30 erfolgen kann und das Fahrzeug 10 nicht geöffnet oder gestartet werden kann. Die entsprechende Funktion im elektronischen Gerät kann beispielsweise dann deaktiviert werden, wenn mittels geeigneter Sensoren oder Verfahren detektiert wurde, dass sich das elektronische Gerät 30 für eine bestimmte vorgegebene Zeitdauer nicht bewegt hat. Mittels geeigneter Algorithmen kann beispielsweise auch bestimmt werden, zu welchen Zeiten (z.B. während der Arbeitszeit, beim Sport, oder nachts) der Nutzer das Fahrzeug 10 grundsätzlich nie nutzt. Auch zu solchen Zeiten kann die entsprechende Funktion im elektronischen Gerät 30 deaktiviert werden.
Andere Verfahren nutzen eine Messung der Laufzeit der Signale die zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 gesendet werden. Wird die Strecke, über welche die Signale übertragen werden wie bei einem Relay-Angriff verlängert, verlängert sich auch die Zeit nach welcher das Fahrzeug 10 eine Antwort von dem elektronischen Gerät 30 erhält. Übersteigt diese Zeit einen vorgegebenen Grenzwert, kann darauf geschlossen werden, dass ein ungewollter Angriff auf das Fahrzeug 10 erfolgt. Der Zugang zu dem Fahrzeug 10 kann dann verweigert und das Starten des Fahrzeugs 10 verhindert werden.
Gemäß einem weiteren Beispiel kann auch das aktive Betätigen einer Taste des elektronischen Gerätes 30 ein Hinweis darauf sein, dass kein Relay-Angriff vorliegt. Beispielsweise könnte ein Nutzer aktiv eine Taste auf einem Fahrzeugschlüssel betätigen, um das Fahrzeug zu entriegeln. Der Nutzer kann dabei entweder von sich aus eine entsprechende Taste des Fahrzeugschlüssels betätigen und dadurch den Authentifizierungsvorgang (Prüfung der Zugangsberechtigung) auslösen. Derartige Systeme sind auch als Remote- Keyless-Entry (RKE) bekannt. Es ist jedoch auch möglich, dass zunächst eine Authentifizierung des Fahrzeugschlüssels erfolgt und der Nutzer anschließend dazu aufgefordert wird, eine Taste des Fahrzeugschlüssels zu betätigen, um einen Relay-Angriff ausschließen zu können. Übernimmt ein anderes elektronisches Gerät wie beispielsweise ein Smartphone des Nutzers die Funktion des Fahrzeugschlüssels, so kann jegliche Interaktion des Nutzers mit dem elektronischen Gerät 30 die dazu geeignet ist den Wunsch des Nutzers das Fahrzeug zu entriegeln eindeutig zu erkennen (z.B. Betätigen einer entsprechenden Schaltfläche auf dem Display des elektronischen Gerätes) ein Flinweis darauf sein, dass kein Relay-Angriff vorliegt. Nimmt der Nutzer aktiv eine derartige Handlung vor, ist grundsätzlich keine weitere Prüfung auf einen Relay- Angriff erforderlich.
Neben den oben beschriebenen Verfahren können Relay-Angriffe auch noch auf verschiedene andere Art und Weise erkannt werden. Hier sind neben den oben beispielhaft genannten Verfahren grundsätzlich noch viele weitere Verfahren bekannt, welche jedoch nicht weiter im Detail beschrieben werden. Welches Verfahren zum Erkennen eines Relay-Angriffs zum Einsatz kommt ist vorliegend nicht von Bedeutung.
Dabei wird, um die Sicherheit des Systems zu erhöhen, eine Prüfung ob ein Relay-Angriff erfolgt grundsätzlich zwei Mal durchgeführt. Nämlich einmal, wenn das Fahrzeug 10 entriegelt werden soll, und ein weiteres Mal, wenn das Fahrzeug 10 gestartet werden soll. Jedes Mal, wenn eine solche Relay-Angriffsprüfung stattfindet erhöht sich jedoch der Stromverbrauch sowohl im Fahrzeug 10, als auch im elektronischen Gerät 30.
Um den Stromverbrauch zu reduzieren und gleichzeitig die Sicherheit nicht zu verringern, ist es gemäß einem Beispiel vorgesehen in manchen Fällen eine zweite Überprüfung auf einen möglichen Relay-Angriff beim Starten des Fahrzeugs 10 zu unterlassen. Dies wird im Folgenden beschrieben. Auf ein erstes auslösendes Ereignis hin (z.B. Nutzer nähert sich dem Fahrzeug 10 oder zieht am Türgriff) wird sowohl eine Berechtigung des elektronischen Gerätes 30 wie oben beschrieben überprüft, als auch ein oder mehrere Verfahren zum Erkennen eines Relay-Angriffs durchgeführt. Ein oder mehrere Verfahren zum Erkennen eines Relay-Angriffs können dabei direkt auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung durchgeführt werden. Wird das elektronische Gerät 30 als berechtigt erkannt und wird gleichzeitig kein unberechtigter Angriff auf das Fahrzeug 10 erkannt, wird der Zugang zu dem Fahrzeug 10 freigegeben (Fahrzeug 10 wird entriegelt) und gleichzeitig eine Startgenehmigung für das Fahrzeug 10 erteilt.
Auf ein zweites auslösendes Ereignis hin (z.B. Nutzer drückt den Startknopf des Fahrzeugs 10), wird erneut die Berechtigung des elektronischen Gerätes 30 wie oben beschrieben überprüft. Wird das elektronische Gerät 30 als berechtigt erkannt und liegt eine gültige Startgenehmigung vor, wird das Starten des Fahrzeugs 10 erlaubt, ohne dass erneut ein oder mehrere Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug 10 durchgeführt werden. Dadurch kann in einigen Fällen die erneute Prüfung auf einen unberechtigten Angriff entfallen. Eine erteilte Startgenehmigung kann jedoch entweder nach Ablauf eines vorgegebenen Zeitraums oder auf die Detektion eines dritten auslösenden Ereignisses hin wieder gelöscht werden.
Das heißt, wenn beispielsweise eine zu lange Zeit zwischen dem Entriegeln des Fahrzeugs 10 und dem zweiten auslösenden Ereignis (z.B. Betätigen des Startknopfes) liegt, wird die zuvor erteilte Startgenehmigung wieder gelöscht. In diesem Fall müsste dann auch beim Starten des Fahrzeugs 10 erneut geprüft werden, ob ein unberechtigter Angriff stattfindet. Dieser Zeitraum kann beispielsweise wenigstens eine Minute, wenigstens fünf Minuten oder wenigstens zehn Minuten betragen. Der Zeitraum kann entweder vom Fahrzeughersteller vorgegeben werden oder vom Nutzer individuell eingestellt werden. Der Zeitraum kann beispielsweise lang genug gewählt werden, um das Einsteigen mehrerer Personen in das Fahrzeug 10 zu ermöglichen. Ebenso könnte es möglich sein, innerhalb des Zeitraums einen kurzen Beladevorgang durchzuführen. Die genannten Zeiträume sind lediglich beispielhaft. Jegliche andere geeignete Zeiträume können grundsätzlich gewählt werden. Je länger der Zeitraum gewählt wird, umso mehr verringert sich jedoch die Sicherheit des Systems. Bis zu einer bestimmten Länge des Zeitraums ist eine ausreichende Sicherheit jedoch noch gewährleistet.
Das dritte auslösende Ereignis kann beispielsweise das Ändern des Status wenigstens einer Tür des Fahrzeugs 10 aufweisen. Beispielsweise kann die erteilte Startgenehmigung gelöscht werden, wenn eine Fahrzeugtür (z.B. die Fahrertür) nachdem der Nutzer eingestiegen ist und diese geschlossen hat erneut geöffnet wird, bevor der Nutzer versucht hat das Fahrzeug 10 zu starten.
Alternativ oder zusätzlich kann eine erteilte Startgenehmigung auch dann wieder gelöscht werden, wenn eine oder mehrere Türen des Fahrzeugs 10 nach dem Entriegeln erneut verriegelt wurden bevor der Nutzer versucht hat das Fahrzeug zu starten. Verschiedene weitere dritte auslösende Ereignisse sind hier zusätzlich oder alternativ ebenfalls möglich.
Beispielsweise kann eine erteilte Startgenehmigung auch dann gelöscht werden, wenn sich das elektronische Gerät 30 aus dem Fahrzeug 10 selbst, oder aus einem vorgegebenen Bereich um das Fahrzeug 10 herum wieder heraus bewegt und sich von dem Fahrzeug 10 entfernt bevor der Nutzer versucht hat das Fahrzeug 10 zu starten. Verschiedene Verfahren sind bekannt, mittels welcher erkannt werden kann, ob sich ein elektronisches Gerät 10 im Innenraum eines Fahrzeugs 10 oder innerhalb eines vorgegebenen Bereiches um das Fahrzeug 10 herum befindet. Beispielsweise kann die Empfangsfeldstärke eines oder mehrerer Signale bestimmt werden, welche zwischen dem elektronischen Gerät 30 und dem Fahrzeug 10 gesendet werden. Unterschreitet die Empfangsfeldstärke einen vorgegebenen Wert, kann darauf geschlossen werden, dass sich das elektronische Gerät 30 nicht mehr im Inneren des Fahrzeugs 10 oder nicht mehr innerhalb eines definierten Bereiches um das Fahrzeug 10 herum befindet. Auch durch das Bestimmen der Laufzeit von Signalen kann beispielsweise erkannt werden ob sich das elektronische Gerät 30 noch im Inneren des Fahrzeugs 10 oder noch innerhalb eines definierten Bereiches um das Fahrzeug 10 herum befindet. Nach dem Entriegeln des Fahrzeugs 10 können beispielsweise in regelmäßigen Abständen Signale ausgesendet werden, um zu bestimmen, ob sich das elektronische Gerät 30 noch im Fahrzeug 10 oder innerhalb des bestimmten Bereiches um das Fahrzeug 10 herum befindet.
Dass sich ein elektronisches Gerät 30 aus einem bestimmten Bereich um das Fahrzeug 10 herum entfernt hat kann beispielsweise auch daran erkannt werden, dass eine bestehende drahtlose Datenverbindung zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 komplett abbricht. Die drahtlose Datenverbindung kann beispielsweise eine Bluetooth-Verbindung, eine BLE-Verbindung (Bluetooth- Low-Energy), oder eine WLAN-Verbindung sein. Jegliche andere Datenverbindung welche zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 bestehen kann ist hier ebenfalls möglich.
In dem oben beschriebenen Beispiel wird nach Ablauf des vorgegebenen Zeitraumes und/oder nach Auftreten eines dritten auslösenden Ereignisses hin eine Startberechtigung des elektronischen Gerätes 30 gelöscht und somit erneut wenigstens ein Verfahren zum Erkennen eines ungewollten Angriffes durchgeführt wenn das Fahrzeug 10 gestartet werden soll. Alternativ dazu kann es jedoch nach Ablauf des vorgegebenen Zeitraumes bzw. nach Auftreten des dritten auslösenden Ereignisses und dem entsprechenden Löschen der Startberechtigung hin auch erforderlich sein zunächst erneut zu prüfen ob das elektronische Gerät zugangsberechtigt ist. Gleichzeitig würde auch erneut geprüft werden, ob ein ungewollter Angriff auf das Fahrzeug 10 vorliegt. In diesem Fall würde dann, wenn das elektronische Gerät 30 als berechtigt erkannt wird und kein ungewollter Angriff erkannt wurde, erneut eine Startgenehmigung erteilt werden. Solange die Startgenehmigung gültig ist, würde dann im Weiteren wieder nur die Startberechtigung des elektronischen Gerätes 30 geprüft werden.
Nun Bezug nehmend auf Figur 3, wird ein Verfahren zur Zugangs- und Startverifizierung in einem Objekt 10 beschrieben. Das Verfahren weist das Prüfen einer Zugangsberechtigung eines elektronischen Gerätes 30 auf ein erstes auslösendes Ereignis hin auf (Schritt 301 ). Das Verfahren weist weiterhin, auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung, das Durchführen wenigstens eines Verfahrens zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug 10 auf (Schritt 302). Wenn kein unberechtigter Angriff auf das Fahrzeug 10 erkannt und das elektronische Gerät 30 als zugangsberechtigt erkannt wurde, wird der Zugang zu dem Fahrzeug 10 freigegeben und eine Startgenehmigung für das Fahrzeug 10 erteilt (Schritt 303). Auf ein zweites auslösendes Ereignis hin, wird eine Startberechtigung des elektronischen Gerätes 30 geprüft (Schritt 304) und, wenn das elektronische Gerät 30 als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug 10 vorliegt, wird das Starten des Fahrzeugs 10 erlaubt ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug 10 durchzuführen (Schritt 305). Eine erteilte Startgenehmigung wird nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht.
Das tragbare elektronische Gerät 30 kann beispielsweise ein Fahrzeugschlüssel, Mobiltelefon, Smartphone, Tablet, SmartWatch, Laptop oder Personal Digital Assistant (PDA) sein. Jegliche andere geeignete tragbare elektronische Geräte sind ebenfalls möglich.
Die Erfindung wurde am Beispiel eines Zugangs- und Startsystems für ein Fahrzeug 10 beschrieben. Bei dem Fahrzeug 10 kann es sich beispielsweise um einen PKW, LKW, Bus, Traktor, Flugzeug, Schiff oder um jegliche andere Art von Fahrzeug handeln.

Claims

Patentansprüche
1. Zugangs- und Startsystem mit einem in einem Fahrzeug (10) angeordneten Steuergerät (20), wobei das Steuergerät (20) dazu ausgebildet ist: auf ein erstes auslösendes Ereignis hin eine Zugangsberechtigung eines elektronischen Gerätes (30) zu prüfen; auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) durchzuführen; wenn kein unberechtigter Angriff auf das Fahrzeug (10) erkannt und das elektronische Gerät (30) als zugangsberechtigt erkannt wurde, den Zugang zu dem Fahrzeug (10) freizugeben und eine Startgenehmigung für das Fahrzeug (10) zu erteilen; auf ein zweites auslösendes Ereignis hin eine Startberechtigung des elektronischen Gerätes (30) zu prüfen; und wenn das elektronische Gerät (30) als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug (10) vorliegt, das Starten des Fahrzeugs (10) zu erlauben ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) durchzuführen, wobei eine erteilte Startgenehmigung nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht wird.
2. Zugangs- und Startsystem nach Anspruch 1 , wobei das Steuergerät (20) weiterhin dazu ausgebildet ist, wenn auf das zweite auslösende Ereignis hin keine gültige Startgenehmigung für das Fahrzeug (10) vorliegt, wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) durchzuführen, und das Starten des Fahrzeugs (10) zu erlauben wenn kein unberechtigter Angriff auf das Fahrzeug (10) erkannt und das elektronische Gerät (30) als startberechtigt erkannt wurde.
3. Zugangs- und Startsystem nach Anspruch 1 , wobei das Steuergerät (20) weiterhin dazu ausgebildet ist, wenn auf das zweite auslösende Ereignis hin keine gültige Startgenehmigung für das Fahrzeug (10) vorliegt, erneut eine Zugangsberechtigung des elektronischen Gerätes (30) zu prüfen und wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) durchzuführen.
4. Zugangs- und Startsystem nach einem der Ansprüche 1 bis 3, wobei der vorgegebene Zeitraum nach dem eine erteilte Startgenehmigung gelöscht wird wenigstens eine Minute, wenigstens fünf Minuten oder wenigstens zehn Minuten beträgt.
5. Zugangs- und Startsystem nach einem der Ansprüche 1 bis 4, wobei das dritte auslösende Ereignis wenigstens eines aufweist von
Ändern des Status wenigstens einer Tür des Fahrzeugs (10) von geschlossen zu offen; und
Ändern des Status wenigstens einer Tür des Fahrzeugs (10) von entriegelt zu verriegelt.
6. Zugangs- und Startsystem nach einem der Ansprüche 1 bis 5, wobei das dritte auslösende Ereignis das Entfernen des elektronischen Geräts (30) aus dem Fahrzeug (10) oder aus einem definierten Bereich um das Fahrzeug (10) herum aufweist.
7. Zugangs- und Startsystem nach Anspruch 6, wobei das elektronische Gerät (30) als innerhalb des definierten Bereiches befindlich erkannt wird, wenn eine drahtlose Datenverbindung zwischen dem Fahrzeug (10) und dem elektronischen Gerät (30) besteht, oder wenn die Empfangsfeldstärke wenigstens eines zwischen dem Fahrzeug (10) und dem elektronischen Gerät (30) gesendeten Signals einen vorgegebenen Wert überschreitet.
8. Zugangs- und Startsystem nach einem der Ansprüche 1 bis 7, wobei das wenigstens eine Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) wenigstens eines aufweist von Bestimmen einer Laufzeit von wenigstens einem zwischen dem Fahrzeug (10) und dem elektronischen Gerät (30) gesendeten Signal;
Bestimmen, ob sich das elektronische Gerät (30) innerhalb eines bestimmten vorangegangenen Zeitraumes bewegt hat.
9. Verfahren zur Zugangs- und Startverifizierung in einem Fahrzeug (10), wobei das Verfahren aufweist: auf ein erstes auslösendes Ereignis hin, Prüfen einer Zugangsberechtigung eines elektronischen Gerätes (30); auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung, Durchführen wenigstens eines Verfahrens zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10); wenn kein unberechtigter Angriff auf das Fahrzeug (10) erkannt und das elektronische Gerät (30) als zugangsberechtigt erkannt wurde, Freigeben des Zugangs zu dem Fahrzeug (10) und Erteilen einer Startgenehmigung für das Fahrzeug (10); auf ein zweites auslösendes Ereignis hin, Prüfen einer Startberechtigung des elektronischen Gerätes (30); und wenn das elektronische Gerät (30) als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug (10) vorliegt, Erlauben des Startens des Fahrzeugs (10) ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) durchzuführen, wobei eine erteilte Startgenehmigung nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht wird.
10. Fahrzeug (10) das ein Zugangs- und Startsystem mit einem in einem Fahrzeug (10) angeordneten Steuergerät (20) aufweist, wobei das Steuergerät (20) dazu ausgebildet ist: auf ein erstes auslösendes Ereignis hin eine Zugangsberechtigung eines elektronischen Gerätes (30) zu prüfen; auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) durchzuführen; wenn kein unberechtigter Angriff auf das Fahrzeug (10) erkannt und das elektronische Gerät (30) als zugangsberechtigt erkannt wurde, den Zugang zu dem Fahrzeug (10) freizugeben und eine Startgenehmigung für das Fahrzeug (10) zu erteilen; auf ein zweites auslösendes Ereignis hin eine Startberechtigung des elektronischen Gerätes (30) zu prüfen; und wenn das elektronische Gerät (30) als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug (10) vorliegt, das Starten des Fahrzeugs (10) zu erlauben ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug (10) durchzuführen, wobei eine erteilte Startgenehmigung nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht wird.
PCT/DE2021/200071 2020-06-05 2021-05-27 Zugangssystem und verfahren zur zugangs- und startverifizierung WO2021244711A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020207098.9 2020-06-05
DE102020207098.9A DE102020207098B3 (de) 2020-06-05 2020-06-05 Zugangssystem und Verfahren zur Zugangs- und Startverifizierung

Publications (1)

Publication Number Publication Date
WO2021244711A1 true WO2021244711A1 (de) 2021-12-09

Family

ID=76421898

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2021/200071 WO2021244711A1 (de) 2020-06-05 2021-05-27 Zugangssystem und verfahren zur zugangs- und startverifizierung

Country Status (2)

Country Link
DE (1) DE102020207098B3 (de)
WO (1) WO2021244711A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011116157A1 (de) * 2011-10-14 2013-04-18 Audi Ag Verfahren zum Betreiben einer Berechtigungseinrichtung für schlüssellosen Zugang und Start eines Fahrzeugs
DE102017200380A1 (de) * 2017-01-11 2018-07-12 Ford Global Technologies, Llc Verfahren zum Verriegeln, Entriegeln und Starten eines Fahrzeugs

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011050160B4 (de) 2011-05-06 2021-10-28 HELLA GmbH & Co. KGaA Identifikationsgeber mit verringertem Stromverbrauch
DE102016219135B4 (de) 2016-10-04 2020-04-09 Volkswagen Aktiengesellschaft Verfahren zum sicheren Entriegeln und/oder Verriegeln eines Fahrzeugs

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011116157A1 (de) * 2011-10-14 2013-04-18 Audi Ag Verfahren zum Betreiben einer Berechtigungseinrichtung für schlüssellosen Zugang und Start eines Fahrzeugs
DE102017200380A1 (de) * 2017-01-11 2018-07-12 Ford Global Technologies, Llc Verfahren zum Verriegeln, Entriegeln und Starten eines Fahrzeugs

Also Published As

Publication number Publication date
DE102020207098B3 (de) 2021-10-28

Similar Documents

Publication Publication Date Title
EP3419866B1 (de) Verfahren für eine aktivierung mindestens einer sicherheitsfunktion eines sicherheitssystems eines fahrzeuges
EP2766884B1 (de) Verfahren zum betreiben einer berechtigungseinrichtung für schlüssellosen zugang und start eines fahrzeugs
DE10202330B4 (de) Schließsystem, insbesondere für ein Kraftfahrzeug
DE102016213608A1 (de) Fahrzeugeigenes Vorrichtungssteuersystem, fahrzeugeigene Steuervorrichtung und tragbare Maschine
DE102016203290A1 (de) Drahtloses Fahrzeugkommunikationssystem, Fahrzeugsteuervorrichtung und tragbares Gerät
WO2012119681A1 (de) Mobile sendevorrichtung eines zugangssystems eines fahrzeugs
EP0673003A1 (de) Schlüssellose Zugangskontrolleinrichtung
DE102017200378B4 (de) Verfahren und Vorrichtung zum Sichern eines Systems für passive Entriegelung eines Fahrzeugsystems gegen Relaisstellenangriffe
EP1808344A1 (de) Vorrichtung zur Ansteuerung einer Fahrzeugtürverriegelung
DE102016211070A1 (de) Steuersystem für ein fahrzeugseitiges Gerät und fahrzeugseitige Steuervorrichtung
DE102016224746A1 (de) Zugangs- und/oder Startvorrichtung für ein Fahrzeug
EP3064404B1 (de) Funktionsabschaltung für ein fahrzeugzugangssystem
DE202013103554U1 (de) Vorrichtung zur Dualbereichsdetektion in einem Fahrzeug
DE102015226631B4 (de) Verfahren zur Freigabe einer oder mehrerer Funktionen in einem Fahrzeug
EP3347246B1 (de) Verfahren und anordnung zum lokalisieren einer tragbaren funkeinheit
WO2019072897A1 (de) Zugangssystem und verfahren zur zugangsverifizierung
DE102014226925A1 (de) Verfahren und Vorrichtung zur Zugangsverifizierung in einem Fahrzeug
DE102017203054A1 (de) Zugangs- und Startsystem und Verfahren zur Zugangs- und Startverifizierung
EP2629269B1 (de) Verfahren zur kontrolle des zugangs zu einem fahrzeug oder des starts eines fahrzeuges
DE112018005902T5 (de) Verfahren und system zur verhinderung von relais-angriffen mit vektorprüfung
DE10160964B4 (de) Verfahren und Vorrichtung zum Diebstahlschutz von Kraftfahrzeugen
DE102020207098B3 (de) Zugangssystem und Verfahren zur Zugangs- und Startverifizierung
DE102016225284B4 (de) Verfahren zum Steuern eines Funkschlüssels sowie Funkschlüssel für ein Kraftfahrzeug
DE102004036920B4 (de) Schließsystem, insbesondere für ein Kraftfahrzeug
EP2125451B1 (de) Mobiler identifikationsgeber eines sicherheitssystemes

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21731919

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 21731919

Country of ref document: EP

Kind code of ref document: A1