(19)
(11) EP 0 675 249 B1

(12) EUROPÄISCHE PATENTSCHRIFT

(45) Hinweis auf die Patenterteilung:
18.07.2001  Patentblatt  2001/29

(21) Anmeldenummer: 95101016.4

(22) Anmeldetag:  26.01.1995
(51) Internationale Patentklassifikation (IPC)7E05B 49/00, G07C 9/00

(54)

Verfahren zum Steuern der Benutzung eines Kraftfahrzeugs mit Hilfe eines aus zwei Teilen bestehenden Codesignals

Process to control the use of a vehicle by using a two parts coded signal

Procédé pour contrôler l'utilisation d'un véhicule à l'aide d'un signal codé comportant deux composantes

(84) Benannte Vertragsstaaten:
DE ES FR GB IT SE

(30) Priorität: 31.03.1994 DE 4411435

(43) Veröffentlichungstag der Anmeldung:
04.10.1995  Patentblatt  1995/40

(73) Patentinhaber: Bayerische Motoren Werke Aktiengesellschaft
80788 München (DE)

(72) Erfinder:
  • Griessbach, Robert
    D-85635 Höhenkirchen-Siegertsbrunn (DE)


(56) Entgegenhaltungen: : 
EP-A- 0 372 285
US-A- 4 209 782
 DE-A- 3 927 024
   
       
    Anmerkung: Innerhalb von neun Monaten nach der Bekanntmachung des Hinweises auf die Erteilung des europäischen Patents kann jedermann beim Europäischen Patentamt gegen das erteilte europäischen Patent Einspruch einlegen. Der Einspruch ist schriftlich einzureichen und zu begründen. Er gilt erst als eingelegt, wenn die Einspruchsgebühr entrichtet worden ist. (Art. 99(1) Europäisches Patentübereinkommen).


    Beschreibung


    [0001] Die Erfindung bezieht sich auf ein Verfahren nach dem Oberbegriff des Patentanspruchs 1.

    [0002] Der Aufbau des Codesignals aus zwei Teilen ist grundsätzlich aus dem Deutschen Patent 29 28 913 bekannt. Dabei sind die beiden Teil-Codesignale in der Regel ohne besondere Sicherheiten auslesbar. Dadurch ergibt sich das Problem, daß der Inhalt des Codesignals unberechtigterweise kopiert werden kann und damit für den Unberechtigten die Möglichkeit besteht, das Kraftfahrzeug zu benutzen.

    [0003] Zwar wird versucht, dieser Gefahr dadurch zu begegnen, daß zumindest ein Teil-Codesignal bei jeder Benutzung des Kraftfahrzeugs geändert wird und das Kopieren der für die letzte Benutzung des Kraftfahrzeugs maßgeblichen Codesignals aufgrund des für den nächste Benutzung maßgeblichen geänderten Codesignals keine Möglichkeit eröffnet, das Kraftfahrzeug mit dem "alten" Codesignal zu benutzen. Diese Lösung ist jedoch einerseits aufwendig, da sie im Codespeicher und im Codevergleicher eine Synchronisation der Code-Änderung erfordert. Besteht beispielsweise die Möglichkeit, für den Codespeicher einen Benutzungsvorgang zu simulieren und entsprechend das Codesignal zu ändern, so können sich Probleme bei der Synchronisation ergeben.

    [0004] Hinzu kommt die prinzipielle Möglichkeit, den für die Änderung des Codesignals in der Regel verwendeten Algorithmus in Erfahrung zu bringen und aus dem bei der letzten Benutzung gültigen Codesignal auf den für die nächste Benutzung erwarteten Code zu schließen.

    [0005] Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art zu schaffen, das eine verbesserte Sicherheit bei der Benutzung des Kraftfahrzeugs mit einfachen Mitteln erreicht. Diese Aufgabe wird durch die kennzeichnenden Merkmale des Patentanspruchs 1 gelöst.

    [0006] Von den beiden Teil-Codesignalen ist jeweils nur eines auslesbar. Auch dann, wenn der Codespeicher in die Hände eines Unberechtigten gerät, kann das zweite Teil-Codesignal nicht ausgelesen werden, da dies nur mit Hilfe des Codevergleichers gesteuert möglich ist. Voraussetzung hierfür ist, daß der Codevergleicher die Übereinstimmung des ersten Teil-Codesignals erkennt. Da die beiden Teil-Codesignale voneinander unabhängig sind, läßt sich aus der Kenntnis nur eines Teil-Codesignals keinerlei Aussage über das andere Teil-Codesignal treffen. Damit aber ist ein wirksamer Schutz vor einem Kopieren des gesamten Codesignals erzielt.

    [0007] Verbesserungen und weitere Ausgestaltungen der Erfindung sind Gegenstand der Patentansprüche 2 bis 5. Die erzielten Vorteile und Verbesserungen bestehen für den Patentanspruch

    2 in der Möglichkeit, mit Hilfe von mehreren Codespeichern das Kraftfahrzeug zu benutzen,

    3 darin, auch dann, wenn es gelingen sollte, die durch die Zugangskontrolleinrichtung gegebene Sicherheit aufzubrechen und die beiden Teil-Codesignale auszulesen, für das Kraftfahrzeug anschließend an eine Benutzung durch den berechtigten Benutzer die Benutzung durch den Unberechtigten zu verhindern,

    4 darin, die Änderung des zweiten Teil-Codesignals mit großer Variationsbreite vornehmen zu können -die Verwendung eines Änderungs-Algorithmus ist dabei nicht erforderlich-, es genügt vielmehr die Eingabe einer Zufallszahl, und

    5 die Absicherung des dann geänderten zweiten Teilcodes während und nach der Änderung des Codespeicherinhalts.



    [0008] Die Erfindung ist anhand der Zeichnung weiter erläutert. Diese zeigt nach Art eines Ablaufschemas den Dialog zwischen einem tragbaren Codespeicher und einem fahrzeugfesten Codevergleicher. Der in den Diagrammen a bis f dargestellte Ablauf dieses Dialogs erfolgt vorzugsweise drahtlos.

    [0009] Der Codespeicher S sitzt in einem tragbaren Gehäuse Z (svw. Zündschlüssel). Er besitzt eine Blockstruktur, wie sie im Prinzip aus der DE 42 05 567 A1 bekannt ist. Die mit Ziffern 1 bis 7 bezeichneten Blöcke sind im Rahmen der Erfindung nur hinsichtlich der Blöcke 1 bis 3 von Interesse. Der Block 1 ist Teil einer nicht im einzelnen dargestellten Zugangskontrolleinrichtung für die Blöcke 1 bis 7, die durch einen mit dem Speicher S zusammenwirkenden Mikroprozessor (nicht dargestellt) im Gehäuse Z vorgesehen ist. Die Zugangskontrolleinrichtung wird gesteuert durch Anzeiger RFB für die Nummer des als erstes auslesbaren Speicherblocks und RLB für die Nummer des als letztes auslesbaren Speicherblocks. Der Zugang zu der Zugangskontrolleinrichtung kann zusätzlich passwortgeschützt sein. Wesentlich ist, daß die Zugangskontrolleinrichtung nur von einem im Kraftfahrzeug vorgesehenen oder enthaltenen Codevergleicher V gesteuert werden kann. Der Codevergleicher ist nicht im einzelnen dargestellt. Er sitzt im Kraftfahrzeug und nimmt die vom Speicher S auslesbaren Inhalte der Speicherblöcke auf.

    [0010] Der im folgenden und anhand der Diagramme a bis f erläuterte Dialog soll beispielsweise bei Einführen und Betätigen des mechanischen Zündschlüssels in einem Zündschloß erfolgen. Es ist aber genauso gut auch möglich, diesen Dialog ergänzend oder stattdessen bei Aufschließen des Kraftfahrzeugs vorzunehmen. Der Speicher S sitzt hierzu in einem Zündschlüssel Z, der in ein nicht dargestelltes Schloß eingeführt wird und dabei eine Abfrage durch den Codevergleicher V auslöst. Der Dialog erfolgt vorzugsweise drahtlos mit Hilfe einer Spule Sp, die durch ein Transmitter-IC gesteuert wird.

    [0011] Als erstes (Diagramm a) wird das im Block 3 enthaltene erste Teil-Codesignal ausgelesen und über die Spule Sp in den Codevergleicher V eingegeben. Der Anzeiger RFB enthält die Bezeichnung des ersten Blocks (3), der auslesbar ist. Dieses erste Teil-Codesignal enthält eine Information, die speicher- bzw. schlüsselspezifisch individualisiert ist und die nicht verändert wird. Damit wird es für den Codevergleicher V möglich, einen von mehreren berechtigten Benutzer anhand der im Block 3 enthaltenen Schlüsselidentifikation zu erkennen.

    [0012] Stimmt das erste Teil-Codesignal mit dem im Vergleicher V vorhandenen und von diesem erwarteten Referenz-Teil-Codesignal überein, so steuert der Vergleicher über das Transmitter-IC und die Spule Sp die Anzeiger RFB und RLB (Block 1) in der im Diagramm b dargestellten Weise. Die Information RFB''2 und RLB''2 bezeichnet damit nur den Block 2, der allein auslesbar ist.

    [0013] Die im Block 2 enthaltene Information stellt das zweite Teil-Codesignal dar, das nunmehr ausgelesen und im Vergleicher V mit dem entsprechenden Referenz-Teil-Codesignal verglichen wird. Liegt auch hier Übereinstimmung vor, d.h. ist das Gesamte aus den beiden Teil-Codesignalen gebildete Codesignal identisch mit dem erwarteten Codesignal, so schaltet der Vergleicher ein Antriebs-Steuergerät M frei.

    [0014] Im Anschluß daran wird vom Vergleicher V ein neues zweites Teil-Codesignal zurückgeschrieben. Es kann sich dabei um eine Zufallszahl handeln. Diese gelangt auf dem durch einen Pfeil dargestellten Weg zum Speicher S und wird als neuer Wechselcode im Block 2 gespeichert. Dieser Vorgang ist im Diagramm d dargestellt.

    [0015] Um sicherzustellen, daß der Wechselcode tatsächlich richtig gespeichert wurde, wird er erneut ausgelesen und im Vergleicher mit dem in der vorangegangenen Verfahrensstufe (Diagramm d) ausgesandten Wechselcode verglichen (Diagramm e). Stimmt der Wechselcode überein, so wird durch den Vergleicher V der Inhalt des Blocks 1 wieder verändert und der ursprüngliche (Diagramm a) vorhandene Zustand eingestellt. Die Information im Feld RFB (= 3) bedeutet, daß jetzt wieder der Block 3 als erstes auslesbar ist, während der Inhalt des Blocks 2, d.h. der Wechselcode, zugriffsgeschützt ist.

    [0016] Der Inhalt des Speichers S in der Stufe f unterscheidet sich von dem in der Stufe a somit hinsichtlich des Inhalts des Blocks 2. Dieser Inhalt ist nicht mehr auslesbar, er ist andererseits aber gegenüber dem zunächst (Diagramm a) vorliegenden Inhalt verändert. Damit wird der Wechselcode vor Auslesen geschützt. Andererseits ist auch dann, wenn es gelingen sollte, den Wechselcode trotzdem zu "knacken" sichergestellt, daß nach der nächsten Benutzung des Kraftfahrzeugs durch den dann wiederum geänderten Wechselcode ein Schutz vor einer mißbräuchlichen Benutzung des Kraftfahrzeugs erreicht ist.


    Ansprüche

    1. Verfahren zum Steuern der Benutzung eines Kraftfahrzeugs mit Hilfe eines aus zwei Teilen bestehenden Codesignals, das in einem vom Benutzer getragenen Codespeicher (S) enthalten ist, mit einem im Kraftfahrzeug enthaltenen Codevergleicher (V), in den das Codesignal eingegeben wird und der bei Übereinstimmung mit einem Referenz-Codesignal die Benutzung freigibt, dadurch gekennzeichnet, daß mittels einer durch den Codevergleicher (V) gesteuerten Zugangskontrolleinrichtung nur jeweils ein Teil-Codesignal für einen Auslesevorgang freigegeben wird und daß die Freigabe für ein zweites Teil-Codesignal (2) nur dann vorgenommen wird, wenn ein erstes ausgelesenes Teil-Codesignal (3) mit dem entsprechenden Referenz-Teil-Codesignal übereinstimmt.
     
    2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das zuerst ausgelesene Teil-Codesignal speicherspezifisch individualisiert ist und nicht verändert wird.
     
    3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß das zweite Teil-Codesignal bei jeder Benutzung des Kraftfahrzeugs verändert wird.
     
    4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß das zweite Teil-Codesignal während einer vorangegangenen Benutzung des Kraftfahrzeugs eingeschrieben wird.
     
    5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, daß das zweite Teil-Codesignal nach dem Einschreiben erneut ausgelesen wird und daß bei Übereinstimmung mit dem eingeschriebenen Teil-Codesignal durch die Zugangskontrolleinrichtung das erste Teil-Codesignal allein zum Lesen freigegeben wird.
     


    Claims

    1. A process for controlling the use of a motor vehicle with the aid of a code signal comprising two parts, which is contained in a code store (S) carried by the user, with a code comparator (V) which is contained in the vehicle and into which the code signal is entered and which releases the use on agreement with a reference code signal, characterised in that by means of an access control device controlled by the code converter (V) in each case only a part code signal is released for a read-out process and that the release for a second part code signal (2) is only provided when a first read-out code signal (3) agrees with the corresponding reference part code signal.
     
    2. A process according to Claim 1, characterised in that the first part code signal read out is individualised and specific to the store and is not changed.
     
    3. A process according to Claim 1 or Claim 2, characterised in that the second part code signal is changed on each use of the motor vehicle.
     
    4. A process according to Claim 3, characterised in that the second part code signal is written in during a previous use of the vehicle.
     
    5. A process according to Claim 3 or Claim 4, characterised in that the second part code signal is read afresh after being written in and that on agreement with the part code signal written in, only the first part code signal is released to be read by the access control device.
     


    Revendications

    1. Procédé de commande de l'utilisation d'un véhicule à l'aide d'un signal de code formé de deux parties contenues dans une mémoire de code (S) porté par l'utilisateur, un comparateur de code (V) étant intégré au véhicule pour recevoir le signal de code et libérer l'utilisation du véhicule en cas de concordance avec un signal de code de référence,
    caractérisé en ce qu'
    une installation de contrôle d'accès commandée par le comparateur de code (V) ne libère chaque fois que la lecture d'une partie du signal de code, et la libération de la seconde partie du signal de code (2) n'est faite que si une première partie lue du signal de code (3) correspond à la partie de référence du signal de code.
     
    2. Procédé selon la revendication 1,
    caractérisé en ce que
    la partie du signal de code qui est lue en premier lieu est individualisée de manière spécifique à la mémoire et n'est pas modifiée.
     
    3. Procédé selon la revendication 1 ou 2,
    caractérisé en ce que
    la seconde partie du signal de code est modifiée à chaque utilisation du véhicule.
     
    4. Procédé selon la revendication 3,
    caractérisé en ce que
    la seconde partie du signal de code est enregistrée pendant une utilisation antérieure du véhicule.
     
    5. Procédé selon la revendication 3 ou 4,
    caractérisé en ce que
    la seconde partie du signal de code est de nouveau lue après son enregistrement et, en cas de concordance avec la partie enregistrée du signal de code, l'installation de contrôle d'accès libère seulement en lecture la première partie du signal de code.
     




    Zeichnung