用于提高应答器系统－尤其是针对接近汽车的应答器系统的安全性的方法和装置

摘要

提出一种用在接近识别过程的环境中的被动式无线应答器系统，为该系统提供了人可以察觉的信号通知。这样就可以检测到正在实施并且难以防止的中继攻击。此外，还可以注意到与通信相关的其它类型的操作干扰，以及与高频传输相关的某些问题。这种对用于接近目的的识别过程的准同时的察觉，通过使用相对廉价以及高度可靠的装置，会有效减小这种对该系统安全性的威胁。其他简单的措施可以具有与之相关的有益效果。此外，所述信号通知还可以帮助人机操作过程。举例来说，可以对名为被动式免持钥匙进入系统的汽车进入或接近系统加以改进，所述系统并不是以特定方式启动的。

说明书

本发明基于主权利要求中限定的方法和装置，并且涉及利用了小型设备与基站之间的高频消息传输的应答器(transponder)系统或遥控系统，至少就某些功能而言，所述系统是在没有明确及有意启动的情况下工作的。该系统仅仅处于导致通信发生并能触发所关注的特定动作的通信范围以内。

这种系统称为被动式的。在准许出入汽车的系统的特定情况下，术语“被动式免持钥匙进入系统”得到了广泛使用。作为被动式系统实例的系统不但是准许出入汽车、准许出入其他物理对象和区域、准许利用电子设备、机器、车辆、装配和设施以及对IT和电信功能给予授权的系统，而且还可以是用于识别人员、记录工作时间以及为执行检票和付费功能的对象和系统提供物流作业的系统。

被动式进入或者接近系统以其过程特别便利用户而著称，按照所述过程以电子方式授权接近。在此类系统中，授权接近的人员通常会在衣物中或者衣物上携带或佩带一个用于识别目的的小型设备。这个小型设备可以用不同的方式制造，例如芯片卡、钥匙、遥控器、钥匙链(key fob)或徽章。在下文中，这种小型设备简称为应答器。在当前环境中，应答器自身是否具有能源(通常是电池)并不重要。

当应答器处于接近区域时，基站可以在从几分米到几米的距离上与应答器进行通信。在接近汽车的情况下，这个区域是在车门的前面。

在通信过程中，在现代设计中使用加密过程来实现安全和难以模仿的识别。如果识别过程成功，则在不对应答器佩带者或携带者实施任何附加工作的情况下就准许出入。例如，汽车的电子中央门锁系统被打开。

可以预期的是，在可见的未来，被动式进入系统将会在汽车领域中得到广泛推广，并且这种设备目前已可用于某些车辆模型。在本文中则一般使用的是术语“被动式免持钥匙进入”或是其缩写PKE。

已知的被动式应答器系统很难阻止通过中继攻击(relayattack)方式而非法进入。在这种情况下，假设电子攻击针对的是这样一个系统，在该系统中，即使应答器一进而是授权接近的人员一处于接近区域之外，在基站与应答器之间也还是会传送信号。

目前已知的是已经提出了多种解决方案来克服这个问题。这其中作为实例引用的是DE4020445C2、WO00/12846、EP0823520A2、DB19949970A1、DE19728761C1、DE19824528C1、WO00/12848、WO01/25060A2、DE19939064A1、EP1136955A2、US2001033222A1以及JP2001342758AA。

在这里将要引证的一种用于防御中继攻击的方法是专为公众审查所公开的德国申请DE10008989A1。在这份专利文献中利用的是可以从雷达技术中了解的FMCW(调频连续波)调制方法。在其他解决方案中，有人建议应该限制或测量无线电传输路径上的转移时间。由于转移时间仅有几纳秒，因此，要想用现今可以在应答器技术领域得到的装置来对其加以测定并不是一件非常简单的事情。

这些已知提议的共同点在于：它们的目的都是使攻击变得困难或者消除这些攻击。为此目的，通常会需要用到相当多的专业电路和费用。目前常提出的都是只在采取特殊措施的时候才会变得足够健壮的测量方法。

对依照本发明的方法来说，可以依靠这样一个事实来提高安全性，那就是人可察觉的信号通知作为在基站与小型设备之间的通信过程的一部分而发生。

使用依照本发明的方法，并未排除不正当接近，而是只在初期阶段防止其在不为授权接近的人所察觉的情况下发生。这样做至少提高了将检测和识别或认识到电子攻击以及潜在入侵者的风险，这将会具有威慑的效果。照此则会在很大程度上直接注意到这种风险。

如果授权接近的人员注意到攻击，那么他可以开始着手采取将能够阻挠不正当进入本身或是有意目的、后果或反复的措施。

与大多数先前已知的用于进行保护以避免中继攻击的解决方案相比，本发明能够以相当少的费用以及相当少的电路加以实现。此外，与先前公开的众多解决方案相比，本发明的可靠性明显会高出一些。在这里并不要求组件、频率等等非常精确。由此，廉价和已被证明可行的装置是可以使用的。

依照本发明的解决方案不要求任何可能需要得到批准或需要其他基础设施(例如移动无线电网络或GPS)的附加无线通信。本发明可以在不作变动的情况下在国际上得到应用，这对某些已知的方法而言是不可能的，这是因为对于无线电传输而言存在不同的频率段和带宽。

可以特别通过发出声音和/或光作为信号通知来产生这种觉察。在使用光的情况下，应答器必须作为徽章、身份证标签或臂章而被佩戴或携带在显露的位置，抑或是处于衣物表面。

为了辅助觉察，还可以添加其他措施，这些措施包括可察觉的振动、显然可注意到的形状方面的机械变化或触觉刺激(通过控制器所设定的作用力或反作用力的效果)或是电/热刺激，在特殊的情况下，所述措施还包括芳香或难闻气味的物质的散发。

可察觉的信号通知可以来自应答器和/或接近系统(例如汽车)，并且可以由在另一端的任何设备来接收和分析。在下文描述的实施例中，这种信号通知是作为实例并且参考接近汽车而被阐述的。

在本发明的第一实施例中，可察觉的信号通知是由基站发射的。在这种情况下，可以规定：小型设备接收并分析至少一部分信号通知。在这个实施例中，基站也就是汽车，发射可察觉的信号通知。当这样做时，信号通知被人注意到，并且被应答器所接收，并且还包含在专为接近过程所执行的分析中。

照此，已经作为应答器标准的唤醒功能例如可以通过声音信号而不是高频信号(通常使用的是长波传输)来执行。然而，还可以规定：所述信号通知只在已经完成了至少一部分识别的情况下才开始，以便使得信号通知仅仅在一个或多个应答器是一个相关应答器或者基站相匹配的相关应答器的情况下才发生，这可能和这个例子的事实情况一样。为此目的，可以规定：如果也接收到了信号通知，那么该小型设备会采用一种安全的方式来结束该通信。

即使在通过中继攻击进行的不正当接近的情况下，所述信号通知也仍旧是需要的。因此，这种接近将是可察觉的，并且不会像先前那样不引人注意。

在第二实施例中，可察觉的信号通知是由小型设备发射的。在这种情况下，可以规定：基站接收并分析至少一部分信号通知。应答器设备具有一个信号通知装置，用于每当存在接近过程一也就是说，即使存在不正当的接近过程时而发射可察觉的消息。

这个消息例如可以是由压电音频发射器发出的特有音调序列。这个音调序列的效果可以通过其他类型的信号通知(例如脉冲振动性消息)很好地加以增强。

此外，这两个实施例可以组合在一起，这意味着应答器和汽车都发射信号。

在其他从属权利要求中描述的措施可以对主权利要求中规定的发明进行有益细化和改进。别的权利要求涉及的则是依照本发明的装置。

还可以发信号通告那些还未结束、未完成或是已被中断的接近过程。某些情况下，这种现象可以理解成是有尝试的不正当接近的指示。授权接近的人员可以根据实际情况做出反应。如果他期望要重复进行，那么应答器并且进而被动式进入功能可以被关闭，和/或采用措施来进行检查，在某些情况下甚至可以采取逮捕行动。

应答器也可以具有输入功能(例如按键)，用于把汽车设定到一种挡住入侵者的状态。这可以包括触发警报系统或是锁定车辆。特别地，可以采用这样一种方式来锁定车尾行李箱盖、加油口盖、汽车仪表板上的贮物箱以及所有的门(可以包括或不包括进入门)，在所述方式中，仅仅通过只能由授权接近的人员或安全人员可执行的明确动作(使用钥匙，输入代码)，才可以再次解锁这些物件。

在这种报警状态下，可以想到的是：可以使用染料或是有臭味物质来给入侵者做上标记，例如在控制器或把手上的这种物质的散发。

还可以规定：在一定时段(例如15分钟)中可以保持这种锁定或者报警状态，这样将对入侵者产生震慑。在使用了二氧化碳麻醉槽或者阻断贵重设备、装置和附件的情况下，某些相似的措施也可以应用。这样一来，在解锁之前可以阻止导航系统、车载计算机、娱乐和信息系统(无线电广播、视频、互联网)运行，并且可以关闭车窗升降器以及皮带锁，而且可以阻止泵送燃料或是引擎点火，此外还可以阻断制动装置和驾驶盘。

借助于切断开关，授权接近的人员可以临时禁用被动式接近功能。这在信号通知会令人感到不便、例如前往剧场的时候是非常有用的。同样的情况在个人因没有随身携带应答器设备而无法注意到信号通知的时候也是适用的。切断开关的位置既可以通过高频传输无法穿过的应答器覆盖物、外壳或箱体来获取，也可以通过车辆中的控制功能来获取，例如特殊的长期停泊或假日安全设施。

还可以设置搜索或测试模式，在所述模式中不允许接近，但是一旦发生通信，就触发所述信号通知。这例如可以采用未完成或变更的接近数据的通信的形式来实现。

这种模式可以用于在足够短的距离中找到应答器或车辆。此外，举例来说，特殊的搜索设备可以只在官方查寻或是检查的时候才会引发信号通知。这个功能可以成为针对潜在窃贼的一个主要威慑。

在常规的日常使用中，信号通知主要用于帮助进行人机控制过程。由于可以察觉到附加事物，因此用户可以更快捷地了解被动式进入功能。由于存在可察觉的反馈，所以有助于那些必须执行的行动。在很多情况下，例如对提供附加音频信号或是具有指示灯的瞬时接触开关而言，相似的措施已被证实是奏效的。

如果没有执行信号通知、没有完成信号通知或者信号通知不同于它的常规过程，则表明在高频传输路径上出现了问题(传输频带中的干扰，阴影效应)，并且可以例如使得随着应答器位置的变化而进一步尝试接近。信号通知装置还可以负责执行用于其他目的的诊断功能，例如，该装置可以给出了一个电池电量耗尽的指示。

借助信号通知，对抗其他电子攻击的安全性也可以得到提高。此类攻击特别包括：目的在于以不引人注意的方式接进应答器和/或基站的信号来了解它们的参数、密码操作或代码的攻击。借助该信息，则可以尝试模拟这些信号或操作，以便再次发射这些信号或是执行密码攻击(解密)。当前，专家采纳的观点一般来说是这种类型的风险相对较小，这是因为所有的制造商都使用了经过恰当设计的加密过程、用于确保安全性的措施、以及其他组组织上和技术上的安全措施。有鉴于被动式进入系统预期比它们所构成的设备具有更长的使用寿命以及更广泛的应用，因此，某些类型的完整性损失是无法完全排除的。毫无疑问，除了它所具有的已被说明的主要优点之外，借助于本发明，在预防方面还具有保护措施，并且在就长期系统设计现今正在做出的决策中也应该对这一点作为预防措施加以关注。

本发明还极大帮助其他那些对抗电子攻击的防御措施。通过与此类方法结合使用，已知方法的不利之处将会显著减少。这样则可以允许较高的差错率以及较低的精确度。信号通知失败或攻击受挫的可能性会提高防护措施的效果。

本发明的实现可以提高用户对于新功能的关注，并且使用户更加易于习惯每天使用这种没有启动功能的方便的被动式过程。

对车辆的购买者而言，他没有必要详细了解电子攻击所造成的威胁的确切性质。即使并不理解，信号通知的成慑效应也会发挥作用。可以假设，潜在的攻击者具有认识到最终被发现的风险以及提供安全措施的其他要点所需要的恰当的专业知识。

假如仍旧存在威胁，那么用户也可以快速了解恰当的行为准则和对策。如果在存在风险的国家或区域旅行，那么也可以选择不使用被动式功能。为此目的，可以规定：在依照本发明的装置中，在小型设备上存在有用于至少临时地禁用无线传输的控制器。

借助本发明，还能够改进对使用无线标识并不必采取谨慎主动的动作的接近、识别、记录、检票和支付系统。还在这种情况下，通过使用本发明能够以少量电路和费用来达到(从安全和操作角度来看)相当多的优点。

通过参考下文中描述的实施例，可以清楚理解本发明的这些及其他方面，并且本发明是参考这些实施例而被阐述的。

在附图中：

图1是在信号通知由基站(在这种情况下是汽车)发射时的示意表示。

图2是在信号通知由应答器发射时的示意表示。

图3是在信号通知由基站(在这种情况下是汽车)和应答器这二者发射时的示意表示。

图4显示的是虚构的中继攻击以及信号通知所具有的有利的威慑效果，以及

图5是在特定空间接近区域中使用了信号通知的实施例的示意表示。

图1是第一实施例的示意表示。从车辆1发射可察觉的信号通知4，诸如像音调序列或光信号。该信号通知由信号发射器3发射。授权接近的人员5-即应答器的携带者或佩带者-来察觉这个信号通知，同时，应答器6接收并分析这个信号通知。为此目的，应答器6可以配备合适的接收机，例如像光电接收机声学接收机。

在应答器6与基站8之间还实施无线通信7。该通信使用了不同频段中的交变场，并且该通信不能够被察觉到。

为了节省能量，可以规定：在操作门把手2之前并不打开所有功能。也可以使用其他那些用于表明已经进入接近区域的点(挡光板，运动传感器，场分析)。

信号发射器3与基站8可以安装在车辆上的不同位置，也可以作为例如门镜中或门把手2上的组合子配件。

图2是第二实施例的示意图。从应答器11发射可察觉的信号通知10，诸如像音调序列或光信号。这个信号通知由集成在应答器11中的信号发射器发射。该信号通知由授权接近的人员5所察觉，该人员在他的口袋中携带着该应答器，同时，该信号通知由车辆1中的信号传感器9接收和分析。此外，在应答器11与基站8之间继续进行不能察觉到的无线通信7。

在本实施例中，即使在省去了信号传感器9的情况下，也极大地提高了安全性。然后，该信号通知可以仅仅单独地或者作为补充来通过应答器设备或类似措施的振动和/或应答器设备或类似措施产生的触觉刺激(形状变化)来执行。如果确实有信号传感器9，那么所用的信号主要是声音或光信号。如果在门把手2上以同步或以匹配节奏的方式给出触觉、视觉或听觉刺激，则可以进一步提高注意力以及人机操作效果。此外，所述把手还可以执行接通开关的功能。

图3是第三实施例的示意表示。从应答器6发射可察觉的信号通知14，诸如像音调序列或光信号。这个信号通知由集成在应答器11中的信号发射器发射。授权接近的人员5来察觉这个信号通知，同时，处于车辆1内部或其上的组合信号发射器和传感器12接收并分析这个信号通知。

组合信号发射器和传感器12也可以发射信号通知13，然后，这个信号通知再次由应答器6察觉，并对其进行接收和分析。为此目的，应答器6不但具有所提及的信号发射器，而且还具有信号传感器。

这两个信号13和14可以属于相同的类型，也可以存在差别。特别地，由于与它们临时关联的进一步的刺激，来自应答器6和车辆1的信号13和14可以非常引人注意。

图4描述的是虚构的电子中继攻击以及该信号通知的有利效果。

在中继攻击中所使用的扩展无线电传输路径19的两端中的一端位于该车辆边。在这里将这一端示意性地显示为中继站17，并且它隐藏在潜在入侵者15携带的手提箱内。现在，在应答器与基站之间正常交换的信号21被传递到扩展无线电传输路径19的另一端，并且将会经由中间点而被再次发送回来。举例来说，该扩展路径的另一端采用中继站18的形式，所述中继站伪装成一个由入侵者的帮凶16携带的手提箱。在授权接近的人员5不再能看到他的车辆的时候，所述帮凶16就足够近地靠近人员5。

已经经由中间点发射的无线电信号22从这一端被重新发射，并且在另一个方向上被拾取到。这样，就模拟最接近应答器23的基站，并且诱骗应答器23以恰当的方式动作起来。从该应答器进行的发射被向回传送到实际的基站。这样一来，即使授权接近的人员5远离了接近区域，车辆1也能够在不被授权的情况下打开。在这里，介于10米与50千米之间的距离都被考虑进来了。该扩展无线电传输路径可以使用任何具有必要带宽的预期传输介质(无线电链路、同轴电缆、电话)。

到目前为止，这种类型的电子攻击已经成为了一种特殊的威胁，因为该过程能够在完全不被注意的情况下发生，也即，无论对入侵者15还是对帮凶16，都没有能够很显然地就被发现的风险。

然而，依照与电子攻击相关的本发明，由也发出信号通知的潜在入侵者15执行的假定尝试将几乎不可避免地就会被发现。信号通知20可能必须在车辆1与中继站17之间传送。此外，中继站18还可能必须向授权接近的人员5以及应答器23传送信号通知24。

在上述实例中，如果信号是由中继站18发射的，那么帮凶16将被暴露出来。此外，授权接近的人员5的注意力会被应答器23对信号的发射25所吸引而去，并且所述人员将能够着手实施多种对策。

相反，如果入侵者认识到被发现的风险(通过抢劫或盗窃来获取应答器，武力闯入)，那么他将几乎不会选择执行复杂的电子攻击。这种类型的风险不得不通过其他手段来减小。

图5是在人员进入或处于特定空间接近区域的情况下信号通知功能运作的实施例的示意表示。

基站26或多个天线可以围绕汽车而被安装在门的区域以内(侧面或后面)。依据应答器范围，形成范围大约在1米到最大5米左右的接近区域。

作为第二实施例的变体，一旦进入这些接近区域28，就会发生信号通知。可以通过发信号通知方式来向授权接近的人员给出一个有利的提醒：他正在被默许地进行识别。他可以操作门把手26而不用采用进一步的动作，如果作为识别的一部分，他被圆满地识别出来了，那么所述把手26就解锁。

如果没有以这种方式来提醒授权接近的人员，那么被动式功能就一直被停用，或者存在操作故障。在这两种情况下，他必须采取一些主动的措施。

然而，如果授权接近的人员在他的车辆的接近区域之外很好地接收到了信号通知，那么这时，未授权的接近就要发生了或者正在发生。通过简单地操作控制器，就可以停用应答器所执行的被动式识别功能。取而代之的是，可以触发报警功能或是着手实施其他对策。可以规定：在信号通知成功地激活了启动过程之后的整个时间但是仅仅在给定的时隙之内，门把手是不可操作的。无论如何，门把手的永久性操作应该是不被允许的。从人机操作的角度来看，这种信号通知应该与兼顾门启动的时段的期满圆满地匹配。