Vorrichtung zum verifizieren einer Zugangsberechtigung

Abstract

 Die Erfindung betrifft eine Vorrichtung 1 zum verifizieren einer Zugangsberechtigung, insbesondere fuer ein Kraftfahrzeug, mit jeweils mindestens einer fahrzeugseitigen elektronischen Baueinheit 2 und mindestens einer benutzerseitigen elektronischen Baueinheit 4, welche fuer eine gegenseitige Identifizierung, auf drahtlosem Wege, verschluesselte elektronische Botschaften (Signale 6,8) austauschen.
Es besteht das Beduerfnis, bekannte Vorrichtungen sicherer gegen unbefugte Benutzung zu machen.
Diese Aufgabe wird dadurch geloest, dass wenigstens einer der Baueinheiten 2,4 Mittel zum Erfassen der Signallaufzeit zugeordnet sind, dass wenigstens ein Speicher 22,24 mit wenigstens einer eingespeicherten Soll-Signallaufzeit vorgesehen ist, und dass ein Vergleich zwischen der ermittelten Signallaufzeit und der eingespeicherten Soll-Signallaufzeit erfolgt.

Beschreibung

[0001] Die Erfindung betrifft eine Vorrichtung zum verifizieren einer Zugangsberechtigung, insbesondere fuer ein Kraftfahrzeug, mit jeweils mindestens einer fahrzeugseitigen elektronischen Baueinheit und mindestens einer benutzerseitigen elektronischen Baueinheit, welche fuer eine gegenseitige Identifizierung, auf drahtlosem Wege, verschluesselte elektronische Botschaften (Signale) austauschen. Derartige Systeme werden oftmals auch als keyless car (kc) systems bezeichnet.

[0002] Es ist beispielsweise eine Vorrichtung bekannt geworden, welche eine Art elektronische ID-Karte (auch CID = customer identification devic) fuer den autorisierten Benutzer umfasst. Die ID-Karte wird bevorzugt in einer koerpernahen Tasche getragen. Beispielsweise eine Oeffnungsbewegung eines Tuergriff oder irgendeine andere Betaetigungsaktion loest bei der fahrzeugseitigen elektronischen Baueinheit das drahtlose Aussenden eines Identifizierungsprotokoll (Fragesignal) aus. Anschliessend wird die fahrzeugseitige Baueinheit auf Empfang fuer ein Antwortprotokoll (Antwortsignal) der benutzerseitigen elektronischen Baueinheit geschaltet. Nachdem die benutzerseitige Baueinheit das genannte Protokoll empfangen und verarbeitet hat, wird ein Antwortprotokoll an die fahrzeugseitige Baueinheit uebersandt. Auf diesem Wege wird in jeder der beiden Baueinheiten eine autarke Identifizierung der jeweils anderen zugeordneten Baueinheit durchgefuehrt. Sofern ein Vergleich der uebersandten Protokolle in zumindest einer der beiden Baueinheiten nicht zu einem positiven Ergebnis fuehrt, wird die Benutzung des gesamten Fahrzeug oder nur die nachgefragte Funktion (beispielsweise Fahrzeug oeffnen, Motor starten oder aehnliches) gesperrt. Mit anderen Worten liegt dann nicht die erforderliche Zugangsberechtigung vor. Ganz grundsaetzlich ist die Reichweite bei der drahtlosen Uebertragung der genannten Protokolle aus technischen Gruenden begrenzt. Beispielsweise kann die Reichweite des von der fahrzeugseitigen Baueinheit ausgesendeten Protokolls mehrere Meter betragen. Die Antwortbotschaft der benutzerseitigen Baueinheit besitzt eine groessere Reichweite als die fahrzeugseitige Baueinheit. Aus Sicherheitsgruenden ist die Signalreichweite insgesamt eingeschraenkt, um einen Missbrauch zu vermeiden.

[0003] < Diese Eigenschaften machen sich auch Fahrzeugdiebe zu Nutze. Beispielsweise ist es denkbar, dass sich ein autorisierter Benutzer (mit benutzerseitiger elektronischer Baueinheit) ueber die Reichweite einer der beiden Baueinheiten hinaus von dem Fahrzeug entfernt hat. Nun ist es denkbar, dass mittels entsprechend plazierter Massnahmen (Transceiver) die wechselweise emittierten Signale derart verstaerkt werden, dass sie dennoch die andere Baueinheit erreichen. Mit anderen Worten wird der Transceiver derart in der Naehe des autorisierten Benutzers plaziert, dass er zumindest die Reichweite des Antwortsignal einer benutzerseitigen Baueinheit (oder die Reichweite aller uebertragenen Signale) verlaengert.

[0004] Somit erfolgt eine Uebertragung eines, von der benutzerseitigen Baueinheit erzeugten, Antwortsignals ueber eine viel weitere Strecke als konstruktiv vorgesehen, so dass die nachgefragte Fahrzeugfunktion von der fahrzeugseitigen Baueinheit freigegeben werden kann, obwohl dies nicht dem Wunsch des rechtmaessigen Benutzers entspricht. Mit anderen Worten wird der Anschein erweckt, dass ein autorisierter Fahrzeugbenutzer innerhalb der Systemreichweite eine bestimmte Fahrzeugfunktion nachfragt, was zu dem entsprechenden Ergebnis (Fahrzeugoeffnung, Motorstarten oder aehnlichem) fuehrt. Fuer diese Vorgehensweise muss ein Dieb noch nicht einmal die Botschaft oder den kryptologischen Code entschluesseln.

[0005] Es ist eine Aufgabe der vorliegenden Erfindung, eine Vorrichtung der genannten Art sicherer zu machen, und die oben beschriebenen Nachteile zu vermeiden.

[0006] Diese Aufgabe wird dadurch geloest, dass wenigstens einer der Baueinheiten Mittel zum Erfassen der Signallaufzeit zugeordnet sind, dass ein Speicher mit wenigstens einer eingespeicherten Soll-Signallaufzeit vorgesehen ist, und dass ein Vergleich zwischen der ermittelten Signallaufzeit und der eingespeicherten Soll-Signallaufzeit erfolgt.

[0007] Die abgespeicherte Soll-Signallaufzeit korreliert dabei mit einer Signaluebertragung im unmittelbaren Nahfeld des Fahrzeugs innerhalb der normalen Signalreichweite. Somit kann eine unzulaessige Reichweitenverlaengerung identifiziert und der Zugriff auf die nachgefragte Fahrzeugfunktion versagt werden.

[0008] Weitere Einzelheiten der Erfindung gehen aus Unteranspruechen im Zusammenhang mit der Beschreibung und der Zeichnung hervor. In der Zeichnung zeigt jeweils stark schematisiert:

Fig. 1: eine Vorrichtung nach dem Stand der Technik

Fig. 2: eine Ausfuehrungsform gemaess der Erfindung.

[0009] Eine Vorrichtung zum verifizieren einer Zugangsberechtigung 1 umfasst wenigstens eine fahrzeugseitige elektronische sowie mikroprozessorgesteuerte Baueinheit 2 (erste Baueinheit) und eine benutzerseitige elektronische sowie mikroprozessorgesteuerte Baueinheit 4 (zweite Baueinheit), welche auf drahtlosem Wege verschluesselte Botschaften 6,8 miteinander austauschen. Der strukturelle Aufbau einer jeder dieser Botschaften 6,8 ist prinzipiell gleich, und umfasst grundsaetzlich ein oder mehrere Startbit zu Beginn des Signals, ein oder mehrere Adressbit, ein oder mehrere Nachrichtenbit in verschluesselter Form, und ein Endbit zum Signalende. Es sind desweiteren nicht zeichnerisch dargestellte Sende- und Empfangsmittel fuer einen wechselseitigen drahtlosen Botschaftsaustausch vorgesehen. In bevorzugter Weise sendet die erste Baueinheit 2 Signale in einem Frequenzbereich um 125 kHz. Die zweite Baueinheit 4 besitzt einen Frequenzbereich um etwa 433 MHz. Der Figur 1 ist schematisiert und mit durchgezogener Linie jeweils eine in Richtung auf die zweite Baueinheit 4 ausgesendete Fragebotschaft 6, sowie eine in Richtung auf die erste Baueinheit 2 ausgesendete Antwortbotschaft 8 zu entnehmen.

[0010] Grundsaetzlich wird angestrebt, den gegenseitigen Identifizierungsprozess der beiden Baueinheiten zu beschleunigen, um unnoetige benutzerseitige Wartezeiten zu vermeiden.

[0011] Die nachfolgende Beschreibung bezieht sich beispielhaft auf eine Kraftfahrzeugtuerverriegelungsvorrichtung. Die Erfindung ist allerdings bei beliebigen Anwendungsfaellen im Automobilbereich oder auch bei anderen Zugangskontrollen (bespielsweise bei der Immobilienueberwachung) einsetzbar. Die Vorrichtung funktioniert und kommuniziert ferner auch im Zusammenhang mit einer Kraftfahrzeuginnenraumueberwachungsvorrichtung. Dies gilt vor allem auch vor dem Hintergrund, dass bei modernen Kraftfahrzeugen gewissermassen alle elektronischen Baueinheiten ueber ein Datenbussystem verbunden sind und miteinander Daten kommunizieren.

[0012] Im folgenden wird die Arbeitsweise insbesondere in Hinblick auf Datenuebertragung und Verschluesselung stark vereinfacht geschildert. Die erste Baueinheit 2 sendet auf eine Benutzernachfrage hin (beispielsweise durch manuellen Tuergriffkontakt) eine auf Basis einer Zufallszahl und einem bestimmten Algorithmus kalkulierte Fragebotschaft 6 an eine zweite Baueinheit 4 aus. Nach dem Aussenden erwartet die erste Baueinheit 2 eine Antwortbotschaft 8. Nach Empfang der Fragebotschaft 6 indentifiziert die zweite Baueinheit 4 auf Basis der uebermittelten Zufallszahl sowie dem Algortihmus die erste

[0013] Baueinheit 2 und errechnet sowie emittiert ferner eine Antwortbotschaft 8. Diese dient wiederum der ersten Baueinheit 2 fuer die Identifizierung der zweiten Baueinheit 4. Auf dieser Basis emittiert die erste oder die zweite Baueinheit 2,4 jeweils ein positives Zugangssignal z oder ein Sperrsignal s. Ganz grundsaetzlich belaeuft sich die Reichweite von Signalen 6 der ersten Baueinheit 2 auf beispielsweise 2 Meter. Die Signalreichweite der zweiten Baueinheit 4 liegt in jedem Fall ueber der Leistung der ersten Baueinheit 2 und betraegt beispielsweise 5 Meter. Die Signalreichweite steht in unmittelbarem Zusammenhang zur Sendeleistung. Soweit der Abstand zwischen den beiden Baueinheiten 2,4 groesser ist, als die Signalreichweite der zweiten Baueinheit 4, erfolgt keine Kommunikation der Baueinheiten 2,4. Folglich wuerde die nachgefragte Funktion nicht freigegeben werden, weil auf ein Fragesignal 6 das entsprechende Antwortsignal 8 ausbleibt. An dieser Stelle kann ein Transceiver 10 eingreifen, welcher die Reichweite aufgrund einer Verstaerkung derart vergroessert, dass das Signal 16 von der ersten Baueinheit 2 entgegengenommen werden kann. Derselbe Zusammenhang gilt auch fuer den Fall, dass das Signal 6 der ersten Baueinheit 2 nicht von der zweiten Baueinheit 4 empfangen werden kann (Distanz von beispielsweise 100 Metern). Die betreffenden, mittels Transceivern 10,12 bearbeiteten Botschaften 14,16, sind in den Figuren 1,2 strichpunktiert gekennzeichnet.

[0014] Es ist ferner wie dargestellt moeglich, mehrere Transceiver 10,12 gewissermassen in Serie zu schalten um die Reichweite zu vergroessern. Ferner ist es denkbar, dass ein einziger der

[0015] Transceiver 10,12 die parallele Verarbeitung von mehreren Frage- und Antwortsignalen uebernimmt.Es bestehen folglich vielfaeltige Moeglichkeiten, um die Vorrichtung 1 irrezufuehren.

[0016] Die Vorrichtung 1 wird erheblich sicherer, wenn gemaess Figur 2 Mittel 18,20 vorgesehen sind, welche die Signallaufzeit zwischen den beiden Baueinheiten 2,4 erfassen. Wenn in einem Speicher 22,24 eine gewissermassen maximale Signallaufzeit oder ein Zeitbereich (Soll-Signallaufzeitbereich) abgelegt ist, erfolgt ein Vergleich zwischen der gemessenen Signallaufzeit und der gespeicherten Sollsignallaufzeit. Sofern der gemessene Wert den Sollwert ueberschreitet, wird zumindest die nachgefragte Funktion oder beispielsweise das gesamte Fahrzeug gesperrt. Mit anderen Worten wird ein Manipulierungsversuch mit Transceivern 10,12 erkannt und unschaedlich gemacht.

[0017] Als Mittel 18,20 fuer die Erfassung der Signallaufzeit ist vorzugsweise in jeder der beiden Baueinheiten eine interne Uhr 26,28 vorgesehen. Diese Uhr 26,28 kann in Gestalt eines Oszillators mit einem Quarz unter Nutzung einer bestimmten Frequenz vorgesehen sein. Die Schwingkreisfrequenz bestimmt die Ganggenauigkeit, welche wiederum von der Sendefrequenz abhaengt. Besonders gute Ergebnisse lassen sich mit Schwingkreisen mit einer Frequenz im Bereich um 500 MHz erreichen. Fuer genauere Anwendungen ist die Frequenz grundsaetzlich steigerungsfaehig. Ganz wesentlich ist fuer alle Verwendungen, dass die beiden Uhren 26,28 synchron zueinander laufen. Daneben bedarf es einer hohen Ganggenauigkeit. Dies liegt darin begruendet, dass die Signallaufzeiten eines derartigen Systems naturgemaess sehr gering sind, und beispielsweise im Nanosekundenbereich liegen. Um die Uhren 26,28 aufeinander abzustimmen, kann es vorgesehen sein, diese periodisch, beispielsweise bei jedem Verlassen des Fahrzeug, bei jedem Motorstartvorgang oder gemaess einem anderen Rhythmus mittels einem Funksignal zu synchronisieren. Ein solches Synchronisiersignal kann beispielsweise von dem Fahrzeug ausgesendet werden. Bei besonders synchronen, ganggenauen Uhren 26,28 kann auch eine seltenere Synchronisierung ausreichen.

[0018] In weiterer Ausgestaltung der Erfindung weist jede ausgesendete Botschaft, insbesondere eine Antwortbotschaft der zweiten Baueinheit 4, eine Zeitinformation betreffend die interne Uhrzeit zu Beginn einer Datenuebermittlung auf. Die Signallaufzeit wird dadurch ermittelt, dass der (von der beispielsweise zweiten Baueinheit 4) uebermittelte Zeitwert von einem in der ersten Baueinheit 2 vorliegenden internen Zeitwert beim Eintreffen der Botschaft abgezogen wird, so dass die Differenz die reine Signallaufzeit zwischen Sendebeginn und Empfangsbeginn beschreibt.

[0019] Generell ist es je nach Wunsch moeglich, lediglich die nachgefragte Teilfunktion, mehrere Teilfunktionen oder aber alle Fahrzeugfunktionen zu sperren, falls die tatsaechliche Signallaufzeit ueber der eingespeicherten Signallaufzeit liegt (mit anderen Worten eine Manipulierungsversuch detektiert wurde). In grundsaetzlich gleicher Weise ist es moeglich, die Sperrfunktion mit einer Alarmfunktion zu koppeln. Gemaess einer Ausfuehrungsform erfolgt mittels einer Alarmeinrichtung 30 ein Alarmsignal an dem Fahrzeug. Gemaess einer anderen Ausfuehrungsform erfolgt ein Alarmsignal an der zweiten Baueinheit 4 (ID-Karte), um den autorisierten Benutzer zu alarmieren. Gegebenenfalls erfolgt ergaenzend ein Alarm an dem Fahrzeug.

[0020] Schliesslich koennen Mittel zum Programmieren 32,34 der Vorrichtung 1 vorgesehen sein, um verschiedene Einstellungen, beispielsweise die Alarmfunktionen, an die Wuensche des Benutzers anzupassen. Zu diesem Zweck sind (Software) Schalter empfehlenswert, mit denen der Fahrzeugalarm oder andere Optionen abschaltbar oder programmierbar sind (beispielsweise Alarmsirene, Lichthupe, Lichthupe zusammen mit Sirene oder Alarm aus).

[0021] Weil die zweite Baueinheit 4 grundsaetzlich als Mobilgeraet ausgebildet ist, welches von einem Benutzer mitzufuehren ist, weist dieses Geraet bei miniaturisierter Bauweise sehr stromsparende Schaltkreise auf. Gleichzeitig sind Hochleistungsbatterien vorgesehen, welche bei geringer Baugroesse eine hohe Kapazitaet aufweisen. Die Entladerate ist dabei derart gering ausgefuehrt, dass je nach Gebrauchsgewohnheiten ein wartungsfreier Betrieb auch ueber Jahre hinweg moeglich ist.

Ansprüche

1. Vorrichtung (1) zum verifizieren einer Zugangsberechtigung, insbesondere fuer ein Kraftfahrzeug, mit jeweils mindestens einer fahrzeugseitigen elektronischen Baueinheit (2) und mindestens einer benutzerseitigen elektronischen Baueinheit (4), welche fuer eine gegenseitige Identifizierung, auf drahtlosem Wege, verschluesselte elektronische Botschaften (Signale 6,8) austauschen, dadurch gekennzeichnet, dass wenigstens einer der Baueinheiten (2,4) Mittel (18,20) zum Erfassen der Signallaufzeit zugeordnet sind, dass wenigstens ein Speicher (22,24) mit wenigstens einer eingespeicherten Soll-Signallaufzeit vorgesehen ist, und dass ein Vergleich zwischen der ermittelten Signallaufzeit und der eingespeicherten Soll-Signallaufzeit erfolgt.

2. Vorrichtung zum verifizieren einer Zugangsberechtigung nach Patentanspruch 1, dadurch gekennzeichnet, dass jeder der Baueinheiten (2,4) eine Uhr (26,28) zugeordnet ist, welche der Erfassung der Signallaufzeit dient.

3. Vorrichtung zum verifizieren einer Zugangsberechtigung nach Patentanspruch 2, dadurch gekennzeichnet, dass die beiden Uhren (26,28) miteinander synchronisiert sind, und dass Mittel zum periodischen Synchronisieren der beiden Uhren (26,28) vorgesehen sind.

4. Vorrichtung zum verifizieren einer Zugangsberechtigung nach Patentanspruch 3, dadurch gekennzeichnet, dass fuer die Synchronisierung der Uhren (26,28) ein fahrzeugseitig ausgesendetes Funksignal herangezogen wird.

5. Vorrichtung zum verifizieren einer Zugangsberechtigung nach einem der Patentansprueche 2 bis 4, dadurch gekennzeichnet, dass die Uhren (26,28) einen Oszillator aufweisen.

6. Vorrichtung zum verifizieren einer Zugangsberechtigung nach Patentanspruch 5, dadurch gekennzeichnet, dass die Frequenz der Oszillatoren gleich ist, und dass die Frequenz mindestens 500 MHz oder mehr betraegt.

7. Vorrichtung zum verifizieren einer Zugangsberechtigung nach einem oder mehreren der vorhergehenden Patentansprueche, dadurch gekennzeichnet, dass wenigstens die von der benutzerseitigen Baueinheit (4) ausgesendeten elektronischen Botschaften (8) eine Zeitinformation (interne Uhrzeit) aufweisen.

8. Vorrichtung zum verifizieren einer Zugangsberechtigung nach einem oder mehreren der vorhergehenden Patentansprueche, dadurch gekennzeichnet, dass jede der ausgesendeten Botschaften (6,8) eine Zeitinformation (interne Uhrzeit) aufweist.

9. Vorrichtung zum verifizieren einer Zugangsberechtigung nach einem oder mehreren der vorhergehenden Patentansprueche, dadurch gekennzeichnet, dass eine Funktionssperrung vorgenommen wird, wenn die tatsaechlich ermittelte Signallaufzeit groesser ist, als die gespeicherte Soll-Signallaufzeit.

10. Vorrichtung zum verifizieren einer Zugangsberechtigung nach Patentanspruch 9, dadurch gekennzeichnet, dass eine Alarmvorrichtung (30) vorgesehen ist, und dass zusaetzlich zu der Funktionssperrung ein Alarmsignal emittiert wird.

11. Vorrichtung zum verifizieren einer Zugangsberechtigung nach einem oder mehreren der vorhergehenden Patentansprueche, dadurch gekennzeichnet, dass wenigstens einer der beiden Baueinheiten (2,4) Mittel zum Programmieren (32,34) zugeordnet sind.

12. Vorrichtung zum verifizieren einer Zugangsberechtigung nach wenigstens einem der vorhergehenden Patentansprueche, dadurch gekennzeichnet, dass zumindest die zweite Baueinheit (4) mit stromsparenden Schaltkreisen und einer Hochleistungsbatterie vesehen ist.

Zeichnung