図面 (/)

技術 車両盗難防止システム

出願人 ヘラ・ゲーエムベーハー・ウント・コムパニー・カーゲーアーアー
発明者 ウェグハウス、ラジャージークマン、ダニエル
出願日 2016年6月2日 (3年10ヶ月経過) 出願番号 2018-563045
公開日 2019年8月29日 (8ヶ月経過) 公開番号 2019-523866
状態 不明
技術分野
  • -
主要キーワード 空間表面 RFIDトランスポンダー 超音波モジュール 加速度条件 空間内位置 超音波エミッター 距離評価値 扇形領域
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2019年8月29日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (2)

課題・解決手段

UIDトランスポンダー(20)と車両(10)との間のデータ交換によりトランスポンダーを認証し、車両の3つの異なる第一位置に配置された少なくとも3つのアンテナを用いて車両に対するトランスポンダーの位置を三角測量し、第一認証条件においてトランスポンダーが権限のあるものと確認され、且つ、三角測量位置が第二認証条件(60)を満たすときに、車両へのアクセス許可する。さらに、三角測量位置に基づいて、車両の第二位置に配置された少なくとも一の第二アンテナ(14)からトランスポンダーに対して、またはその逆に、所定の強度で送信される信号の受信強度についての評価値を決定し、これを実際の受信強度測定値と所定の精度範囲内で合致するか否かを決定することにより、第三認証条件を満たすか否かを決定し、第一および第二認証条件を満たすが第三認証条件を満たさないときにリレーアタックがあることを推認する。

概要

背景

自動車盗難防止は過去数十年にわたる問題である。当初は、純粋に機械的な自動車キーによって作動する純粋に機械的なスターターロックシステムであったが、1990年代には、いわゆる電子イモビライザーと組み合わされた。イモビライザーは、ユーザを電子的に識別する装置(いわゆるUID)と、自動車、特に自動車のECU(エンジン制御ユニット)に統合された通信手段とを有する。UIDと通信手段は、既存のトランスポンダー技術を用いてIDデータ交換し、UIDが自動車に適合した場合に限ってECUがユーザによるエンジン始動許容する。

UIDとECUとの間の通信は近年ますます洗練されると共に安全性の高いものとなり、自動車キーの機械部分を単純に省略し、ユーザはポケットバッグに入れて持ち運んだUIDでドアを開け、エンジン始動させることができるようになっている。もはや、キー鍵穴に入れる必要はなく、自動車とUIDとの間のワイヤレス通信確立すると同時にエンジン始動が許容される。このようなシステムは一般にPEPSシステムと呼ばれる。PEPSはパッシブエントリー/パッシブスタートを表している。一般に入手可能なUIDの典型は、アクティブ式および/またはパッシブ式RFIDトランスポンダーである。本明細書において我々はUIDトランスポンダーという語句を用いる。UIDトランスポンダーはワイヤレス認証を可能にし、したがって、UIDトランスポンダーを取りに行ったり、あるいはUIDトランスポンダーを何かの容器に入れたりする必要なしに、トランスポンダーをズボンのポケットやハンドバックなどに入れて携帯するユーザが自動車に入り込んでスタートさせることを可能にする。

しかしながら、この快適さにおける利点は、反面、盗難に対する保護を低下させる欠点を伴う。自動車のドアをアンロックしてエンジンをスタートさせるためには、UIDトランスポンダーと自動車との間の無線通信を可能にすれば十分である。自動車とUIDトランスポンダーとの間に配置された単純なリレー(または一連のリレー)は、自動車とUIDトランスポンダーとの間の通信を可能にし、盗難者が自動車の室内に入り込んでエンジンを始動させ、そのまま走り去ってしまうことを可能にする。この現象は「リレーアタック」として知られている。一見するとこれは中間者攻撃(man in the middle attack)に似ているが、中間者攻撃とは異なり、UIDトランスポンダーと自動車または対応する暗号化キーとの間の通信暗号化の種類が何であるかの知識を必要としない。リレーは単純に自動車からUIDトランスポンダーに、またはその逆に、信号を送るにすぎない。したがって、自動車は、自身の無線信号応答して受信した無線信号が正規のUIDトランスポンダーから直接送信されてきたものであるか、あるいは権限を持たないリレーを経由したものであるかを識別することができない。一旦始動されたエンジンは、自動車がリレーの近接領域から離れてしまうと、安全性の理由から強制停止させることができず、盗難者が自動車を運転して、セキュリティシステムを交換または更新できる場所まで走り去ったり、単純に自動車を部品ごとに分解して売却することを阻止することができない。

リレーアタックを回避するための試みが多くの文献に公表されている。一つの試みは、米国特許公開第2014/0067161A1、米国特許第8930045B2に記述されるように、自動車に対するUIDトランスポンダーの相対位置を決定して、ドアをアンロックし、UIDトランスポンダーが自動車から所定の距離内に止まっている場合のみにドアのアンロックおよびエンジン始動を可能にするような制御を行うことである。距離は、UIDトランスポンダーと自動車との間の通信に用いられる無線信号の信号強度に基づいて三角法で測定することができる。しかしながら、信号強度は、自動車に近いUIDトランスポンダー(および/またはUIDトランスポンダーに近い自動車)をシミュレートするリレーによっても容易に変動し得る。さらに別の試みの一つが米国特許公開第2015/302673A1に開示されており、加速度計によってUIDトランスポンダーの加速度データを測定し、この加速度データを信号強度変化と比較することを提案している。加速度データが信号強度の変化にマッチしたときにのみ、自動車のアンロックおよび始動が許容される。

ドイツ特許公開第102009014975A1は、自動車から受信した信号に応答してUIDトランスポンダーの超音波エミッターを作動させることを提案している。自動車は超音波信号を評価し、これにより自動車に近接した位置にあるUIDトランスポンダーを特定する。自動車は、超音波信号にエンコードされる情報と通信して、超音波信号が権限のあるUIDトランスポンダーに由来するものであるか単純にリレーに由来するものであるかを特定することができる。この手法は、単純なリレーではもはや自動車を盗難することができなかうなるので、盗難防止レベルを向上させる。欠点は、追加的に必要となる超音波エミッターおよびレシーバーに要するコストが嵩むことである。

概要

UIDトランスポンダー(20)と車両(10)との間のデータ交換によりトランスポンダーを認証し、車両の3つの異なる第一位置に配置された少なくとも3つのアンテナを用いて車両に対するトランスポンダーの位置を三角測量し、第一認証条件においてトランスポンダーが権限のあるものと確認され、且つ、三角測量位置が第二認証条件(60)を満たすときに、車両へのアクセス許可する。さらに、三角測量位置に基づいて、車両の第二位置に配置された少なくとも一の第二アンテナ(14)からトランスポンダーに対して、またはその逆に、所定の強度で送信される信号の受信強度についての評価値を決定し、これを実際の受信強度測定値と所定の精度範囲内で合致するか否かを決定することにより、第三認証条件を満たすか否かを決定し、第一および第二認証条件を満たすが第三認証条件を満たさないときにリレーアタックがあることを推認する。

目的

本発明が解決しようとする課題は、高レベルの盗難防止を低コストで実現するPEPSシステムを提供する

効果

実績

技術文献被引用数
- 件
牽制数
- 件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

該当するデータがありません

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

車両(10)に無線アクセスする方法であって、UIDトランスポンダー(20)と車両(10)との間でデータ交換することにより、UIDトランスポンダー(20)の一般認証を第一認証条件(50)として認証し、車両(10)の3つの異なる第一位置に配置された少なくとも3つのアンテナ(11,12,13)を用いて、車両(10)に対するUIDトランスポンダー(20)の位置を三角測量により決定し、第一認証条件(50)においてUIDトランスポンダー(20)が権限のあるUIDトランスポンダー(20)であると確認され、且つ、前記三角測量による位置が第二認証条件(60)を満たすときに、車両(10)へのアクセス許可する方法において、前記三角測量による位置に基づいて、車両(10)の第二位置に配置された少なくとも一の第二アンテナ(14)からUIDトランスポンダー(20)に対して、またはその逆に、所定の強度で送信される信号の受信強度についての第一評価値を決定し、一のUIDトランスポンダー(20)または前記少なくとも一の第二アンテナから所定の強度で送信された信号の受信強度を測定し、受信信号強度についての前記評価値が受信信号強度の測定値と所定の精度範囲内で合致するか否かを決定することにより、第三認証条件(80)を満たすか否かを決定し、第一および第二認証条件を満たすが第三認証条件を満たさないときにリレーアタックの試みがあると判定することを特徴とする方法。

請求項2

さらに、車両(10)に対するUIDトランスポンダー(20)の位置を繰り返し三角測量することによりUIDトランスポンダー(20)の軌跡を決定し、この軌跡がさらに別の認証条件を満たすときにのみアクセスを許可することを特徴とする、請求項1または2の方法。

請求項3

さらに、車両(10)に対するUIDトランスポンダー(20)の位置を繰り返し三角測量することにより、および/または、UIDトランスポンダー(20)と前記少なくとも一の第二アンテナ(14)との間で送受信される信号の強度を測定することにより、車両(10)に対するUIDトランスポンダー(20)の時間関数として速度を決定し、この速度がさらに別の認証条件を満たすときにのみアクセスを許可することを特徴とする、請求項1または2の方法。

請求項4

さらに、UID装置の空間内の加速度を測定し、この加速度が前記軌跡および/または前記速度に対応するか否かをテストし、これによりさらに別の認証条件を定義することを特徴とする、請求項2または3の方法。

請求項5

さらに、UIDトランスポンダー(20)により第一および第二アンテナ(11,12,13,14)のうちの少なくとも2つのアンテナから送信された信号の磁場ベクトル方位を検出し、この磁場ベクトルの方位がさらに別の認証条件を満たすときにのみアクセスを許可することを特徴とする、請求項1ないし4のいずれか一の方法。

請求項6

さらに、UIDトランスポンダー(20)により第一および第二アンテナ(11,12,13,14)のうちの少なくとも2つのアンテナから発信された信号の磁場ベクトルの方位を検出し、この磁場ベクトルの方位に基づいて車両(10)に対するUIDトランスポンダー(20)の方位を決定し、この決定された方位がさらに別の認証条件(90)を満たすときにのみアクセスを許可することを特徴とする、請求項1ないし5のいずれか一の方法。

請求項7

さらに、第一および第二認証条件(50,60)を満たすが第三認証条件(80)を満たさない場合であっても、少なくとも一のさらに別の認証条件(90)を満たすときには車両(10)へのアクセスを許可することを特徴とする、請求項1ないし6のいずれか一の方法。

請求項8

さらに、第三認証条件(80)を満たさないが、車両(10)との機械的および/または電気的接触を介してUIDトランスポンダー(20)の存在を認証し、および/または、UIDトランスポンダー(20)に取り付けたセンサー手動による作動に応答してUIDトランスポンダー(20)によって与えられる信号に基づいて、第一および第二認証条件(50,60)を満たすことが確認されたときには、車両(10)へのアクセスを許可することを特徴とする、請求項1ないし7のいずれか一の方法。

請求項9

さらに、第一および第二認証条件(50,60)は満たしているが第三条件(80)を満たさないという状況に基づいて、車両(10)に対するアクセスを所定時間の間拒否することを特徴とする、請求項1ないし8のいずれか一の方法。

請求項10

第一および第二認証条件(50,60)のみを満たすことにより車両(10)にアクセスしようとする試みの回数に応じて前記所定時間を増大させることを特徴とする、請求項9の方法。

請求項11

一連のアンテナ(11,12,13,14)から信号を受信し、および/またはこれらのアンテナ(11,12,13,14)の少なくとも一を介して信号を発信するように設計されたメインコントローラと、少なくとも一のUIDコントローラを備えるUIDトランスポンダー(20)とを有してなり、請求項1ないし10のいずれか一の方法にしたがって車両(10)へのアクセスを許可または拒否するように設計されたことを特徴とするシステム

技術分野

0001

本発明は、自動車およびボート航空機などの車両のハンズフリーアクセスおよび始動のシステムについてのセキュリティを高める方法に関する。

背景技術

0002

自動車の盗難防止は過去数十年にわたる問題である。当初は、純粋に機械的な自動車キーによって作動する純粋に機械的なスターターロックシステムであったが、1990年代には、いわゆる電子イモビライザーと組み合わされた。イモビライザーは、ユーザを電子的に識別する装置(いわゆるUID)と、自動車、特に自動車のECU(エンジン制御ユニット)に統合された通信手段とを有する。UIDと通信手段は、既存のトランスポンダー技術を用いてIDデータ交換し、UIDが自動車に適合した場合に限ってECUがユーザによるエンジン始動許容する。

0003

UIDとECUとの間の通信は近年ますます洗練されると共に安全性の高いものとなり、自動車キーの機械部分を単純に省略し、ユーザはポケットバッグに入れて持ち運んだUIDでドアを開け、エンジンを始動させることができるようになっている。もはや、キー鍵穴に入れる必要はなく、自動車とUIDとの間のワイヤレス通信確立すると同時にエンジン始動が許容される。このようなシステムは一般にPEPSシステムと呼ばれる。PEPSはパッシブエントリー/パッシブスタートを表している。一般に入手可能なUIDの典型は、アクティブ式および/またはパッシブ式RFIDトランスポンダーである。本明細書において我々はUIDトランスポンダーという語句を用いる。UIDトランスポンダーはワイヤレス認証を可能にし、したがって、UIDトランスポンダーを取りに行ったり、あるいはUIDトランスポンダーを何かの容器に入れたりする必要なしに、トランスポンダーをズボンのポケットやハンドバックなどに入れて携帯するユーザが自動車に入り込んでスタートさせることを可能にする。

0004

しかしながら、この快適さにおける利点は、反面、盗難に対する保護を低下させる欠点を伴う。自動車のドアをアンロックしてエンジンをスタートさせるためには、UIDトランスポンダーと自動車との間の無線通信を可能にすれば十分である。自動車とUIDトランスポンダーとの間に配置された単純なリレー(または一連のリレー)は、自動車とUIDトランスポンダーとの間の通信を可能にし、盗難者が自動車の室内に入り込んでエンジンを始動させ、そのまま走り去ってしまうことを可能にする。この現象は「リレーアタック」として知られている。一見するとこれは中間者攻撃(man in the middle attack)に似ているが、中間者攻撃とは異なり、UIDトランスポンダーと自動車または対応する暗号化キーとの間の通信暗号化の種類が何であるかの知識を必要としない。リレーは単純に自動車からUIDトランスポンダーに、またはその逆に、信号を送るにすぎない。したがって、自動車は、自身の無線信号応答して受信した無線信号が正規のUIDトランスポンダーから直接送信されてきたものであるか、あるいは権限を持たないリレーを経由したものであるかを識別することができない。一旦始動されたエンジンは、自動車がリレーの近接領域から離れてしまうと、安全性の理由から強制停止させることができず、盗難者が自動車を運転して、セキュリティシステムを交換または更新できる場所まで走り去ったり、単純に自動車を部品ごとに分解して売却することを阻止することができない。

0005

リレーアタックを回避するための試みが多くの文献に公表されている。一つの試みは、米国特許公開第2014/0067161A1、米国特許第8930045B2に記述されるように、自動車に対するUIDトランスポンダーの相対位置を決定して、ドアをアンロックし、UIDトランスポンダーが自動車から所定の距離内に止まっている場合のみにドアのアンロックおよびエンジン始動を可能にするような制御を行うことである。距離は、UIDトランスポンダーと自動車との間の通信に用いられる無線信号の信号強度に基づいて三角法で測定することができる。しかしながら、信号強度は、自動車に近いUIDトランスポンダー(および/またはUIDトランスポンダーに近い自動車)をシミュレートするリレーによっても容易に変動し得る。さらに別の試みの一つが米国特許公開第2015/302673A1に開示されており、加速度計によってUIDトランスポンダーの加速度データを測定し、この加速度データを信号強度変化と比較することを提案している。加速度データが信号強度の変化にマッチしたときにのみ、自動車のアンロックおよび始動が許容される。

0006

ドイツ特許公開第102009014975A1は、自動車から受信した信号に応答してUIDトランスポンダーの超音波エミッターを作動させることを提案している。自動車は超音波信号を評価し、これにより自動車に近接した位置にあるUIDトランスポンダーを特定する。自動車は、超音波信号にエンコードされる情報と通信して、超音波信号が権限のあるUIDトランスポンダーに由来するものであるか単純にリレーに由来するものであるかを特定することができる。この手法は、単純なリレーではもはや自動車を盗難することができなかうなるので、盗難防止レベルを向上させる。欠点は、追加的に必要となる超音波エミッターおよびレシーバーに要するコストが嵩むことである。

0007

本発明が解決しようとする課題は、高レベルの盗難防止を低コストで実現するPEPSシステムを提供することである。

0008

この課題を解決する手段が独立請求項に記述されている。従属請求項は本発明の更なる改善・改良に関する。

0009

この解決手段は、車両および関連システム無線アクセスする方法によって提供され、詳細は下記に記述される。「アクセス」または「アクセス提供」は、車両をアンロックしてその室内に入り込むことを可能にし、および/または、たとえば単純にスタートボタンを押すことによって燃焼エンジン(あれば)を始動させることによって車両をスタートさせ、および/または、たとえば電気モーター制御などの他の制御を動作させることを可能にすることを意味する。「無線」の語は、直接的な電気接触を必要としないあらゆる種類の通信を意味し、すなわちあらゆる種類の無新通信を意味する。無線通信は特定の周波数帯に限定されない。RFIDトランスポンダーについての典型的な周波数は、125kHz、134kHz、250kHz、375kHz、500kHz、625kHz、750kHz、875kHzなどの長波から、13.56MHzの短波や、865〜869MHz(欧州)および950MHz(米国およびアジア)、更には2.45GHzや5.8GHzなどのギガヘルツ帯域の周波数に至る。

0010

UIDトランスポンダー、およびトランスポンダーが権限を持つトランスポンダーであることを特定するための方法は公知であり市販されている。UIDトランスポンダーは既述したようにRFIDトランスポンダーとも呼ばれる。これは、無線信号を受信するために一または複数のアンテナを備える。一般に、いわゆるアクティブ式のトランスポンダーとパッシブ式のトランスポンダーとに分類される。アクティブ式のUIDトランスポンダーは、UIDトランスポンダーからの無線送信を可能にするためのエネルギー源(一般にバッテリ)を有する。対してパッシブ式のトランスポンダーは、車両の少なくとも一のアンテナによって供給される電磁場から必要なエネルギー入手するので、バッテリを必ずしも必要としない。パッシブ式のトランスポンダーはまた、トランスポンダーのアンテナに供給される負荷を単純に変えることにより車両にデータ送信することができる。この変化は電磁場に影響を与えるので検出可能である。きわめて大雑把に言えば、UIDトランスポンダーは、一般的には通信を制御するように設計されたマイクロコントローラーであるコントローラを備えて、車両(より厳密に言えばコントローラ)との遠隔通信を可能にするための手段を有する。

0011

本発明の方法は、UIDトランスポンダーと車両との間のデータ交換を含み、これによりUIDトランスポンダーの権限を立証する。UIDトランスポンダーが権限あるものと特定されたときに、少なくとも3つの認証状態のうちの最初の一つを満足する。

0012

この方法は、更に、車両の第一の位置に対して少なくとも3つの異なる位置に配置された少なくとも3つのアンテナを用いて、車両に対するUIDトランスポンダーの相対位置を三角法で測定する工程を含む。この三角測量は、UIDトランスポンダー間で送受信される信号の通常の測定法に基づいて、または単純な信号強度測定に基づいて行うことができる。現時点で入手可能なトランスポンダーの多くは、既にデフォルトで、RSSI(受信信号強度インジケータ)の測定値を表示する機能を備えている。たとえば、UIDトランスポンダーは、それぞれ第一のアンテナの一つから送信された3つの信号の信号強度を決定することができる。理論的に言えばUIDトランスポンダーの空間内位置を特定するためには4つの第一アンテナが必要であるが、3つのアンテナで2つの可能性のある位置が特定され、そのうちの一つはプロ—ジビリティチェック尤度チェック)で除外することができるので、実際上は3つの第一アンテナで十分である。UIDトランスポンダーは、これらの信号強度を車両に返す通信を行い、各信号についてUIDトランスポンダーが存在するであろう空間の表面を決定することができる。この決定は、対応する放出信号の強度(および設計によるアンテナのジオメトリーおよび車両のジオメトリー)に基づいて行うことができる。これらの空間表面はISO表面(等値面)と呼ばれ、これらの表面上には(特定の第一アンテナから放出される)一つの所定の放出信号について該表面上のあらゆる位置において同じ受信信号強度が得られる。これらのISO表面は交差しているので、ISO表面同士の交点近くにUIDトランスポンダーが位置するものと決定することができる。あるいは、UIDトランスポンダーはその位置を同様にして決定することができる。この場合、車両の座標系システムにおける第一アンテナの位置についての情報やアンテナの特性および放出信号強度などの情報を格納し、および/またはUIDトランスポンダーに送信することが好ましい。代替的または追加的に、少なくとも3つの第一アンテナでUIDトランスポンダーからの無線信号の信号強度を決定し、UIDトランスポンダーの位置を三角測量しても良い。

0013

三角測量によって獲得した位置を用いて、UIDトランスポンダーが所定範囲内に位置するか否かを判定する。これは第二認証条件と考えることができ、UIDトランスポンダーが所定範囲内に位置するときに第二認証条件が満たされることになる。所定の位置範囲は、たとえば車両のドアハンドル直前(たとえば半径数メートル)の扇形領域や、車両に囲まれたスペースなどとすることができる。所定位置に基づいて、UIDトランスポンダーを所持する人が車両近く車室内にいることを推測できる。このようにして、第二認証条件により、(UIDトランスポンダーを通常の権限をもって使用されている場合には)UIDトランスポンダーを携帯している権限者が車両を間近に捉えていることを推測できる。

0014

このようにして第一および第二認証条件が共に満たされている場合に、アクセスコントロールユニットは、通常の場合、車両に対するアクセスを許容する。しかしながら、リレーアタックを確実に排除するために、本発明方法は、好ましくは、三角測量により決定された位置に基づいて、少なくとも一の第二アンテナからUIDトランスポンダーに送信され、または第二アンテナが車両の第二位置に設置されている場合はその反対に送信される所定強度の信号の受信強度の第一評価値を決定する。信号強度の第一評価値は、所定の一連の状況における受信信号強度についての予測値と考えることができる。この予測値は、ひな形やルックアップテーブルに格納された測定値(またはこれらの組み合わせ)に基づいて決定することができる。

0015

さらに、所定の強度で一のUIDトランスポンダーまたは少なくとも一の第二アンテナから送信され、他方で受信された信号の実際の受信信号強度を測定する。言い換えれば、予測信号強度を測定し、より形式的に言えば、予測値が得られるとの想定の下で測定が行なわれる。これにより予測値と実際の測定信号強度とが比較される。

0016

次に、受信信号強度の評価値が測定受信信号強度の所定精度範囲内であるか否かを決定する。範囲内であるときは、第三認証条件が満たされている。受信信号強度の評価値が測定受信信号強度の所定精度範囲から外れるときは、第三認証条件を満たしていない。第一および第二認証条件を満たすが第三認証条件を満たさない場合は、リレーアタックの可能性があると考えられる。

0017

たとえば、UIDトランスポンダーと少なくとも一の第一第二アンテナとの間の距離についての第一評価値を、ルックアップテーブルおよび/または(理論上または経験則上の)モデルに基づいて決定することができる。さらに、UIDトランスポンダーと少なくとも一の第一第二アンテナとの間の距離についての少なくとも一の第二評価値を決定することができる。この少なくとも一の第二評価値は、好ましくは、UIDトランスポンダーと少なくとも一の第二アンテナとの間で送受信される信号の信号強度測定および/または慣習的測定に基づく。これにより、リレーアタックの場合のように、第一と第二の距離評価値が等値にならないことを第三認証条件で評価することができる。

0018

第二認証条件で既にリレーアタックに対するある程度の保護が提供されているが、リレーアタックの場合、盗難者がリレーによって少なくとも3つの第一アンテナの全ての信号をシミュレートして、一連の許容信号強度を既に見つけ出している可能性がある。これは、一つの信号の信号強度を(他の2つの信号強度についての典型的な初期値に基づいて)繰り返し変えていくことによって行うことができ、せいぜい数秒間で可能である。第三認証条件は、追加的なハードウェアに加えて第二アンテナ(群)とUIDトランスポンダーの位置および第二評価値に基づく送信信号強度を知っていることが要求されるので、第三認証条件をリレーを用いてシミュレートすることは非常に困難である。オーソライズされた領域内のどこかに3つが位置することを単純に特定するだけでは不十分であり、さらに第四の値が既定の三角測量地点と厳密にマッチする必要がある。このことは、UIDトランスポンダーが第四のアンテナからの信号を受信し、第二の評価値がUIDトランスポンダーによる第二アンテナからの信号の受信強度に基づくものであるとしても、UIDトランスポンダーの実際の位置を知らない限り、第二アンテナの信号をシミュレートできないことを意味している。何故ならば、シミュレートされた第二アンテナの信号強度を単純に比例計算しても、第一および第二の距離評価値について要求されるマッチングを与えることができないからである。第二アンテナの信号強度を正確にシミュレートするためには、UIDトランスポンダーの実際の位置についての正確な情報が要求される。この情報はリレーには与えられない。したがって、第三認証条件を満たさないときは、リレーアタックが検出されたと考えることができる。このようにして、(他のテストによってリレーアタックが排除されない限り)アクセスは許可されない。

0019

リレーアタックを認識するための従来技術による提案に対して本発明が大きな利点とするところは、超音波モジュールなどの追加的なハードウェアを必要とせず、加速度計のようなものも必要としないことである。近代の車両は既に多数のアンテナを備えており、UIDトランスポンダーの位置を厳密に決定することができる。本発明は、単に既存のハードウェアをより効率的に使用するだけで実行可能である。

0020

たとえば車両に対するUIDトランスポンダーの空間内の軌跡を決定することによってセキュリティをより一層向上させることができる。これは、車両に対するUIDトランスポンダーの位置を繰り返し三角測量することによって実行可能である。少なくとも第一および第二認証条件に加えてさらに別の認証条件(軌跡条件)を満たすときに、アクセスが許可される。軌跡条件は、決定された軌跡が、一連の所定ユースケースにおけるUIDトランスポンダーの軌跡の所定範囲内にあるか否かをテストする。このようにして、信号強度を任意に変えて異なるUIDトランスポンダーの位置をシミュレートすることによりリレーが許可された位置に対応する信号設定を見出したときに、起動条件テストが終了する。

0021

追加的または代替的に、車両に対するUIDトランスポンダーの位置を繰り返し三角測量することにより、および/または、UIDトランスポンダーと少なくとも一の第二アンテナとの間で送受信される信号の強度測定に基づいて、車両に対する時間関数としてUIDトランスポンダー速度を決定することができる。少なくとも第一および第二認証条件に加えて、速度がさらに別の認証条件(速度条件)を満たす場合にのみ、アクセスが許可される。リレーが第一アンテナについて許容される一連の信号強度を実質的に任意に探索すれば、速度条件テストによってもリレーアタックを検出することが可能である。このときに、速度条件テストが終了する。

0022

さらに、従来技術と同様に加速度計(ジャイロスコープMEMS加速度センサーなど)により、および/またはUIDトランスポンダーの位置および/または速度を上述したようにして繰り返し決定することに基づいて、空間内でのUID装置加速度を決定することができる。この加速度は、たとえば加速度が軌跡および/または速度および/または所定の境界および/または許可されたユースケースに一致するか否かをテストすることにより、さらに別の認証条件(加速度条件)を設定することができる。

0023

さらに好適にには、この方法は、UIDトランスポンダーにより第一/第二アンテナの少なくとも2つから送信された信号の磁場ベクトルの向きを測定し、磁場ベクトル方向がさらに別の認証条件(方位条件)をも満たす場合にのみアクセスを許可するようにしても良い。たとえば、UIDトランスポンダーの少なくとも一のパラメータに関連付けて基準方位値をルックアップテーブルに格納しておき、測定された方位が格納された方位と所定の精度で一致したときにのみ、方位条件を満たすものとする。パラメータは、たとえば、UIDトランスポンダーの少なくとも一の位置とすることができる。磁場ベクトルの方位は、空間内で3つの独立した直線の向きを持つ3つのアンテナによって測定することができる。かくして、リレーアタックが成功するためには、リレーが信号強度を適切にシミュレートしなければならないだけでなく、磁場ベクトルをもシミュレートしなければならず、これはさらに困難であり費用が嵩む。したがって、リレーアタックは(全くもって)非経済的なものとなる。

0024

UIDトランスポンダーにより第一/第二アンテナの少なくとも2つから送信される信号の磁場ベクトルの方位を測定することは、磁場ベクトルの方位に基づいて車両に対するUIDトランスポンダーの方位を決定することを可能にする。この方位はUIDトランスポンダーの承認されたユースケースに基づく基準として用い、測定された方位および/または方位の変化を所定の方位および/または所定の方位変化と比較することができる。測定された方位および/または方位変化が対応する所定値と所定の範囲内で合致したときに、その方位基準が満たされ、少なくとも第一認証基準を満たしていることを条件として、アクセスが許可される。

0025

リレーアタックが検知されたとき、すなわち、少なくとも第一条件を満たすが第三認証条件を満たさないときであっても、UIDトランスポンダーの存在が機械的接触機械的キーロックテスト)を通じて車両によって認証され、またはUIDトランスポンダーを特定する電子接続が確立しているときは、UIDトランスポンダーが明らかに車両の近くに存在する場合と同様に、アクセスを許可する。言い換えれば、この方法は、第三認証条件を満たさない場合であっても、車両との機械的および/または電気的接触を介してUID装置の存在を認証したことに基づいて、および/または、UIDトランスポンダーに取り付けたセンサー手動による作動に応答してUIDトランスポンダーによって与えられる信号に基づいて、第一および第二認証条件が満たされている場合には、車両に対するアクセスを許可する。

0026

リレーアタックが成功する可能性をさらに低減するために、第一および第二認証条件が満たされているが第三認証条件または上述の他の条件の一つが満たされていないときは、所定時間(第一、第二および第三認証条件のテストに要するサイクルより長い時間)の間、車両へのアクセスを拒否するようにすることができる。この所定時間すなわち遅延は、引き続いて検知されるリレーアタックの数に応じて長時間にすることが好ましく、これにより時間単位ごとアテンプト数を限定することができる。たとえば、最初のアタック後の遅延時間が1秒であり、アタックが不成功に終わるごとに遅延時間が倍になるように設定した場合、リレーは、第二および/または第三認証条件にマッチする距離をシミュレートするために必要な一連の信号強度を見出そうとする9回目と10回目の試みの間に約17分間待たなければならない。

0027

この方法を実行するためのシステムは、たとえば車両のECUに一体化されたメインコントローラ(アクセスコントロールユニットとも呼ばれる)を有する。このシステムは、更に、メインコントローラに接続された一連のアンテナを有する。上記においては常に車両に一体化されたものとして記述しているが、このシステムは当然のことながら別々に販売されるものであっても良い。ここにおいて「車両」の語は、UIDトランスポンダーの三角測量を可能にするように設計された第一アンテナ群(第一アンテナ)と、第二アンテナ群(少なくとも一のアンテナ、第二アンテナ)とにグループ分けされる一連のアンテナに接続される車両のアクセスコントロールユニットに置き換えることができる。一連のアンテナは少なくとも一の第二アンテナを有する。メインコントローラは第一および第二アンテナに接続され、第一および第二アンテナが受信した信号を処理し、および/または、第一および第二アンテナを介して信号を送出することによりデータ送信するように設計されている。

0028

このシステムは、更に、アクセスコントロールユニットと無線通信できるように設計された少なくとも一のUIDトランスポンダーを有する。UIDトランスポンダーは、第一および第二アンテナに無線信号を送信し、および/またはこれらから無線信号を受信できるように設計されている。UIDトランスポンダーは、少なくとも一のトランスポンダーアンテナと、アンテナを介してアクセスコントロールユニットすなわちメインコントローラとの間でデータ交換できるように設計されたトランスポンダーコントローラとを有する。このシステムは、トランスポンダー認証をテストする第一認証プロトコルに基づいて、上記に詳述した本発明方法を実行するように設計されている。UIDトランスポンダーが認証されたものであるとして特定されたとき、UIDトランスポンダーと第一アンテナとの間の送受信に基づく三角測量によってトランスポンダーの位置が測定される。実際にはメインコントローラが各第一アンテナを制御して所定の強度で(初期)信号を発信する。UIDトランスポンダーはこの信号を検出し、各第一アンテナについて受信信号強度を測定する。ISO表面、すなわち各信号強度が各初期信号に応答し測定されるものと予測される表面は、各受信信号強度に関連付けられる。

0029

ISO表面は、UIDトランスポンダーの位置に関連して該位置を定義する一点で(最適には)交差する。この位置決定は、UIDトランスポンダーおよび/またはメインコントローラによって実行することができる。メインコントローラがUIDトランスポンダーの位置を決定するように設計される場合、UIDトランスポンダーは、トランスポンダーアンテナを介して情報を伝送することにより受信信号強度を表す値をメインコントローラに送信するように設計される。メインコントローラは少なくとも一の第一アンテナまたは第二アンテナから信号強度情報を受信するように設計される。さらに、メインコントローラは少なくとも一の第二アンテナを介して第二の初期信号を送信するように設計され、UIDトランスポンダーは第二信号の受信信号強度すなわち第二信号強度を測定するように設計される。ここで、少なくとも一のコントローラが、第二信号強度が既に決定された位置を有するISO表面に対応することを証明するように設計される。ISO表面が球面である(実際にはそうではないが)との仮定の下で、これは、決定されたUIDトランスポンダーの位置と演繹的に知られる第二アンテナの位置とに基づいて、UIDトランスポンダーと第二アンテナとの間の距離についての第一評価を決定し、受信した第二信号強度に基づいて当該距離についての第二評価を決定することを意味する。これら2つの評価値が所定の精度範囲内で等値であれば、第三認証条件を満たしている。

図面の簡単な説明

0030

下記において本発明を例示として記述するが、本発明の一杯概念を限定するものではなく、あくまでも一実施例として図面を参照して記述するものである。
車両に対するアクセスを許可または拒否するための方法のフロー図である。

実施例

0031

図1は車両へのアクセスを与えるためのUIDトランスポンダー10を示す。図示のUIDトランスポンダー10は、車両10に対してヒーター始動、トランク開放ドアアンロックなどの命令を能動的に送信するためのボタン1,2,3を有する。車両10は、フロー図に示されるようにして車両へのアクセスを許可または拒否するためのコントローラすなわちアクセスコントロールユニット15を有する。初期設定ではアクセスが拒否されている(ボックス40)が、UIDトランスポンダー20が車両のアンテナ11〜14(アンテナの数は必要に応じて変更可能)の範囲内にあると認識されると、直ちにある種のハンドシェイク機構によって通信プロトコルがスタートする(ボックス45)。次いで、ボックス50に進み、第一認証条件を実行する。このステップ50において、UIDトランスポンダー20と車両との間でデータ交換が行われ、UIDトランスポンダー20が車両へのアクセスを許可する権限を持っていると認められるか、あるいは単にUIDトランスポンダー20が車両に合致するだけであるかを判定する。これは通常の「キーロック」認証である。第一認証条件を満たさないとき(ボックス50:No)は、アクセスが拒否された状態(ボックス40)が維持され、車両10は他のトランスポンダーがハンドシェイク機構をスタートさせるのを待つ。

0032

第一認証条件を満たすとき(ボックス50:Yes)、ボックス55に進み、車両10に対するUIDトランスポンダー20の位置を決定する。この位置決定は、たとえば、UIDトランスポンダーと第一アンテナ群、たとえば第一アンテナ11,12,13との間で送受される信号の強度測定に基いて三角測量することによって行うことができる。この位置によって第二認証条件の判定、すなわちUIDトランスポンダーの位置が有効な位置であるか否かの判定を行う。有効な位置とは、一般に、車両に対するアクセスを許可することが端的に意味を持つような位置であり、たとえば、車両に近接する位置または車室内である。第二認証条件を満たさないとき(ボックス60:No)は、アクセスが許可されず、ボックス40に戻り、アクセスが拒否された状態(ボックス40)が維持され、車両はトランスポンダーがアンテナ11,12,13,14の領域に入るのを待つ。第二認証条件を満たすとき(ボックス:Yes)は、ステップ65および70に進む。ステップ65で、もう一つのアンテナ14の信号の受信強度についての第一評価値を決定する。これは、該アンテナ14(いわゆる第二アンテナ14)から送信され、UIDトランスポンダー20で受信される信号、またはその反対に送受信される信号について理論的に予測される信号強度を決定することを意味する。この決定において、UIDトランスポンダー20がステップ55で測定された場所に位置することを推論し、第二アンテナ14の位置を設計によって演繹的に知ることができる。ステップ70で、該アンテナ(いわゆる第二アンテナ14)から送信され、UIDトランスポンダー20によって受信される信号またはその反対に送受信される信号の実際の信号強度を測定する。自明なように、ステップ65とステップ70は順序を逆にして実行しても良いが、これらの両方が、ステップ80での第三認証条件判定、すなわち、予測信号強度と測定信号強度とが所定の精度範囲内において同等であるか否かの判定のために必須である。その答えがNOであるとき(ボックス80:No)、リレーアタックの可能性があると考えられ、ステップ90に進む。ステップ90において、少なくとも一の追加認証条件をテストしてリレーアタックを排除する。この追加認証条件を満たさないとき(ボックス90:No)はボックス40に戻る。ステップ90は任意である。ステップ90を実行しない場合は、第三認証条件を満たさないとき(ボックス80:No)に直ちにボックス40に戻る。実際のところ、これは、追加認証条件を設定しないことと同じであるから、追加認証条件を満たさないとき(ボックス90:No)と同様に扱われる。

0033

第三認証条件を満たすとき(ボックス80:Yes)、リレーアタックの可能性はほぼないものと考えられるので、コントローラ15は車両に対するアクセスを許可する。

0034

任意に設定されるボックス90に戻って、追加認証条件は、たとえば、UIDトランスポンダーの位置を繰り返し三角測量することに基づいてUIDトランスポンダーの軌跡を決定し、該軌跡が既述したような所定の軌跡条件と合致するときにアクセスを許可するものであって良い。他の採用可能な追加認証条件としては、たとえば、既述したような速度条件、加速度条件および/または方位条件などを挙げることができる。

0035

スイッチボタン
2 スイッチボタン
3 スイッチボタン
10 車両
11アンテナ(第一アンテナ)
12 アンテナ(第一アンテナ)
13 アンテナ(第一アンテナ)
14 アンテナ(第二アンテナ)
15コントローラ
20 UIDトランスポンダー
40初期状態アクセス拒否、通信の開始を待つ
45通信開始(ハンドシェイク)
50 第一認証条件テスト:UIDトランスポンダーの認証が証明されたか?
51 新たなトランスポンダーが車両のアクセスコントロールユニットとの通信を開始するのを待つ
55 UIDトランスポンダー位置の三角測量
60 第二認証条件テスト:三角測量されたUIDトランスポンダー位置は有効な位置か?
65 三角測量位置に基づいて(予測信号強度値を決定する)信号の受信信号強度の第一評価値を決定する
70 予測信号強度値に対応する信号の受信信号強度を測定する
80 第三認証条件テスト:受信信号強度の評価値が受信信号強度の測定値と所定の精度範囲内で同一であるか?
85 車両アクセス許可
90リレーアタックを排除することを可能にする他の認証条件を満たすか?

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

該当するデータがありません

関連する公募課題

該当するデータがありません

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

該当するデータがありません

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

この 技術と関連性が強い技術

該当するデータがありません

この 技術と関連性が強い法人

該当するデータがありません

この 技術と関連性が強い人物

該当するデータがありません

この 技術と関連する社会課題

該当するデータがありません

この 技術と関連する公募課題

該当するデータがありません

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ