安全被動無鑰匙進(jìn)入和啟動系統(tǒng)的移動歷史確保的制作方法
【專利摘要】一種被動無鑰匙系統(tǒng)�,包括基本體����,基本體配置為通過以下元件選擇性地允許訪問受限環(huán)境:基本體收發(fā)機(jī),在第一頻率和第二頻率上利用加密鏈路工作����;以及基本體記錄元件�����,配置為存儲基本體測量移動歷史信息��。此外�����,被動無鑰匙設(shè)備具有:至少一個傳感器,檢測設(shè)備的移動特性���;設(shè)備記錄元件�����,存儲與設(shè)備有關(guān)的移動歷史信息���,所述移動歷史信息反映了檢測到的移動特性;設(shè)備收發(fā)機(jī)��,與基本體收發(fā)機(jī)通信��,并向基本體收發(fā)機(jī)發(fā)送移動歷史信息和/或根據(jù)被動無鑰匙協(xié)議對設(shè)備進(jìn)行標(biāo)識的加密安全信息���;以及訪問請求元件�����,使設(shè)備收發(fā)機(jī)請求訪問基本體�。基本體在允許訪問受限環(huán)境時使用基本體測量移動歷史信息和移動歷史信息��。
【專利說明】安全被動無鑰匙進(jìn)入和啟動系統(tǒng)的移動歷史確保
【技術(shù)領(lǐng)域】
[0001]本公開的方面涉及包含無鑰匙進(jìn)入和啟動(PKES)系統(tǒng)的裝置���、設(shè)備和方法�����。更具體地�����,本發(fā)明涉及其中可以保護(hù)與至少一個可移動節(jié)點(diǎn)的通信的通信系統(tǒng)�����。這種系統(tǒng)的示例是家用的無鑰匙進(jìn)入系統(tǒng)�。
【背景技術(shù)】
[0002]被動(passive)無鑰匙進(jìn)入和啟動系統(tǒng)易受諸如中繼攻擊之類的攻擊���。在中繼攻擊中��,“中介(intervening) ”發(fā)送方將來自合法系統(tǒng)用戶(如���,交通工具的操作者或建筑物的居住者(下文中稱作“操作者/所有者”)的消息中繼到消息的有效接收機(jī)����,如����,交通工具��?��!爸薪椤卑l(fā)送方所進(jìn)行的通信通常經(jīng)由備用通信信道(如���,典型地由中繼攻擊者使用的線纜)而發(fā)生。發(fā)生這種攻擊的距離大于用戶攜帶的PKES發(fā)射機(jī)與交通工具中的基本單元能夠正常交互的距離����。“中介”發(fā)送方意味著該發(fā)送方是與有效接收機(jī)要從其接收消息的一方不同的一方�,或者換言之����,“中介”發(fā)送方是“未授權(quán)的”發(fā)送方����。在Francillon等人的“Relay Attacks on Passive Keyless Entry and Start Systems in ModernCars^idgenossische Technische Hochshule Zurich,Dept, of Computer Science(2011)中可以找到這種中繼攻擊的論述。
[0003]例如�,當(dāng)攜帶PKES設(shè)備的汽車所有者在與其汽車相距一定的距離等待電梯下降到地面時,中繼攻擊可能發(fā)生在高架停車場中�。在中繼攻擊中,盜賊對汽車與等待電梯的所有者攜帶的PKES設(shè)備之間的信號進(jìn)行中繼以使汽車打開和/或啟動��。由于用戶與汽車之間的距離���,用戶察覺不到汽車已打開和/或啟動�����,從而使盜賊能夠駕車逃跑���。
[0004]出于說明的目的,“接近”意思是PKES設(shè)備和汽車分開的距離小于由于經(jīng)認(rèn)證的交通工具用戶察覺到交通工具已被打開和/或啟動而使中繼攻擊方案無法實(shí)施的距離�����,例如,1-5米�����。當(dāng)前的商業(yè)實(shí)踐是“接近”更優(yōu)選地被解釋為大約2米����。
[0005]為了阻遏中繼攻擊,可以向PKES系統(tǒng)添加接近度測量���。在這種方案中�����,僅在確定兩個設(shè)備(例如�,鑰匙和門/汽車)確實(shí)彼此接近的情況下認(rèn)為兩個PKES系統(tǒng)設(shè)備之間的鏈路是可信任的(即�,合法的)����;中繼攻擊典型地僅發(fā)生在以下情況下:鑰匙足夠遠(yuǎn)離汽車,使得攜帶鑰匙的合法用戶沒有檢測到汽車由于這樣的攻擊而打開/啟動和/或看到中繼攻擊所涉及的人/設(shè)備�。因此,如果可以確定鑰匙遠(yuǎn)離汽車��,則可以推斷正在發(fā)生中繼攻擊。如果可以確定鑰匙在汽車附近����,則可以假定沒有正在發(fā)生中繼攻擊。
[0006]僅作為示例��,大帶寬無線電信號(例如�,至少10MHz)可以是一種測量鑰匙與交通工具的接近度的方式。被動無鑰匙進(jìn)入和啟動系統(tǒng)通常工作在較低頻率下����,這也實(shí)現(xiàn)了與汽車之間的一些更遠(yuǎn)距離的通信服務(wù)。然而為了實(shí)現(xiàn)精確的接近度測量���,更高的頻率是優(yōu)選的���,因?yàn)檫@種測量所需的大帶寬在這些頻率下可用。因此����,出于實(shí)踐原因,通常利用與系統(tǒng)正常操作所采用的低頻鏈路分離的附加鏈路(優(yōu)選地��,更高的帶寬)并且使用飛行時間(“T0F”)原理來執(zhí)行精確的接近度測量�。
[0007]然而��,如果附加鏈路沒有被保護(hù)����,那么附加鏈路也易受到中繼攻擊�����,其中信號從模擬附近設(shè)備的偽發(fā)射機(jī)返回��。對這種附加鏈路加密產(chǎn)生了附加的技術(shù)問題���,因?yàn)檫@增加了系統(tǒng)的復(fù)雜度��,并且可能折衷接近度測量的精度��。
[0008]例如,如在共同轉(zhuǎn)讓給Leong等人的美國專利申請n0.13/344��,838 (未公開)中教導(dǎo)的�,已知在PKES型系統(tǒng)中使用傳感器來進(jìn)行鑰匙喚醒�,該專利申請的內(nèi)容通過引用合并于此�。然而這種使用并不涉及本發(fā)明。
【發(fā)明內(nèi)容】
[0009]一個示例實(shí)施例涉及一種被動無鑰匙設(shè)備���,用于選擇性地訪問基本體(base)的受限環(huán)境(這里“被動無鑰匙設(shè)備”指的是可以打開和/或控制諸如汽車或建筑物等安全位置的設(shè)備��,“設(shè)備”指的是諸如鑰匙鏈(key fob)或智能電話之類的便攜式手持機(jī))��。設(shè)備包括:至少一個傳感器���,配置為檢測設(shè)備的移動特性�����;記錄元件�����,配置為存儲與設(shè)備有關(guān)的移動歷史信息����,所述移動歷史信息反映了傳感器在一段時間內(nèi)檢測到的移動特性�;收發(fā)機(jī),配置為與基本體通信����,并向基本體發(fā)送移動歷史信息和根據(jù)被動無鑰匙協(xié)議對被動無鑰匙設(shè)備進(jìn)行標(biāo)識的加密安全信息中的至少一個;以及訪問請求元件,配置為使收發(fā)機(jī)發(fā)送訪問基本體的請求�����。
[0010]在這種被動無鑰匙設(shè)備中��,傳感器可以包括加速度計(jì)���、陀螺儀和羅盤中的至少一個�����。
[0011]此外�,被動無鑰匙設(shè)備具有散列值產(chǎn)生器���,散列值產(chǎn)生器配置為從移動歷史信息中導(dǎo)出散列值�����,收發(fā)機(jī)配置為向基本體發(fā)送散列值����。
[0012]散列值產(chǎn)生器可以采用MD5密碼散列函數(shù)和SHA-256密碼散列函數(shù)中的至少一個����。
[0013]在被動無鑰匙設(shè)備中,收發(fā)機(jī)還配置為從基本體接收針對被動無鑰匙設(shè)備的基本體測量移動歷史信息和與基本體測量移動歷史信息相對應(yīng)的基本體散列值中的至少一個���。在這種情況下���,設(shè)備可以具有:控制器,如果基本體測量移動歷史信息和從基本體接收到的散列值中的至少一個與所述移動歷史信息和散列值相差多于預(yù)定的量�,則禁止訪問請求元件。散列值應(yīng)當(dāng)在移動歷史之前被交換�����。
[0014]在被動無鑰匙設(shè)備中�����,可以在收發(fā)機(jī)發(fā)送移動歷史之前由收發(fā)機(jī)發(fā)送散列值����。
[0015]在被動無鑰匙設(shè)備中,選擇性地訪問受限環(huán)境可以包括以下之中的至少一個:打開交通工具門�、啟動交通工具引擎和打開建筑物門。
[0016]另一示例實(shí)施例可以涉及一種被動無鑰匙系統(tǒng)�����,包括:基本體,配置為選擇性地允許訪問受限環(huán)境�。基本體可以具有:基本體收發(fā)機(jī)�,配置為在與安全信息相關(guān)聯(lián)的第一頻率以及與距離測量信息相關(guān)聯(lián)的第二頻率上,使用加密鏈路來工作��,以及基本體記錄元件���,配置為基于距離測量信息來存儲基本體測量移動歷史信息�����。系統(tǒng)還可以具有被動無鑰匙設(shè)備��,所述被動無鑰匙設(shè)備具有:至少一個傳感器��,配置為檢測設(shè)備的移動特性�,設(shè)備記錄元件�����,配置為存儲與設(shè)備有關(guān)的移動歷史信息����,所述移動歷史信息反映了傳感器在一段時間內(nèi)檢測到的移動特性�;設(shè)備收發(fā)機(jī)�,配置為與基本體收發(fā)機(jī)通信�,并向基本體收發(fā)機(jī)發(fā)送移動歷史信息和根據(jù)被動無鑰匙協(xié)議對被動無鑰匙設(shè)備進(jìn)行標(biāo)識的加密安全信息中的至少一個;以及訪問請求元件�����,配置為使設(shè)備收發(fā)機(jī)發(fā)送訪問基本體的請求��?��;倔w可以配置為在允許訪問受限環(huán)境時使用基本體測量移動歷史信息和移動歷史信息��。
[0017]在這種被動無鑰匙系統(tǒng)中����,傳感器可以包括加速度計(jì)��、陀螺儀和羅盤中的至少一個����。
[0018]被動無鑰匙系統(tǒng)還可以包括:基本體散列值產(chǎn)生器�����,是基本體的一部分��;設(shè)備散列值產(chǎn)生器�,是設(shè)備的一部分����。基本體散列值產(chǎn)生器配置為從基本體測量移動歷史導(dǎo)出基本體散列值�;設(shè)備散列值產(chǎn)生器可以配置為從移動歷史信息中得到設(shè)備散列值。設(shè)備收發(fā)機(jī)可以配置為向基本體收發(fā)機(jī)發(fā)送設(shè)備散列值和移動歷史信息中的至少一個���,基本體配置為當(dāng)允許訪問受限環(huán)境時使用接收到的設(shè)備散列值和移動歷史信息中的至少一個�����。散列值應(yīng)當(dāng)在移動歷史之前被交換�。
[0019]在這種被動無鑰匙系統(tǒng)中����,如果基本體測量移動歷史信息和基本體散列值中的至少一個與移動歷史信息和設(shè)備散列值相差多于預(yù)定的量,則基本體可以拒絕訪問請求�。散列值應(yīng)當(dāng)在移動歷史之前被交換����。
[0020]在被動無鑰匙系統(tǒng)中���,基本體散列值產(chǎn)生器和設(shè)備散列值產(chǎn)生器均采用MD5密碼散列函數(shù)和SHA-256密碼散列函數(shù)中的至少一個�。
[0021]在被動無鑰匙進(jìn)入系統(tǒng)中����,可以在設(shè)備收發(fā)機(jī)發(fā)送移動歷史之前由設(shè)備收發(fā)機(jī)發(fā)送設(shè)備散列值����。
[0022]被動無鑰匙系統(tǒng)還可以包括:控制器,是被動無鑰匙設(shè)備的一部分��,配置為如果基本體測量移動歷史信息和基本體散列值中的至少一個與移動歷史信息和散列值相差多于預(yù)定的量�����,則禁止所述訪問請求元件����。
[0023]在這種被動無鑰匙系統(tǒng)中,允許選擇性地訪問受限環(huán)境可以包括以下之中的至少一個:打開交通工具門、啟動交通工具引擎和打開建筑物門���。
[0024]另一示例實(shí)施例涉及一種利用被動無鑰匙設(shè)備和位于受限環(huán)境附近的基本體來控制對受限環(huán)境的訪問的方法��。所述方法包括:檢測設(shè)備的移動特性��;在設(shè)備處存儲與設(shè)備有關(guān)的設(shè)備移動歷史�,所述設(shè)備移動歷史反映了在一段時間內(nèi)檢測到的移動特性����;在基本體處測量設(shè)備在所述一段時間內(nèi)的移動;在基本體處存儲設(shè)備的基本體測量移動歷史�,所述基本體測量移動歷史反映了設(shè)備在所述一段時間內(nèi)的移動;從設(shè)備向基本體發(fā)送設(shè)備移動歷史和根據(jù)被動無鑰匙協(xié)議對設(shè)備進(jìn)行標(biāo)識的加密安全信息中的至少一個��;以及在基本體處使用基本體測量移動歷史和設(shè)備移動歷史來控制對受限環(huán)境的訪問��?����;倔w和設(shè)備在第一無線電頻率上使用加密鏈路來交換訪問安全信息�����,在基本體處,所述測量使用第二無線電頻率���。
[0025]方法還可以包括:在基本體處使用基本體測量移動歷史導(dǎo)出基本體散列值��;在設(shè)備處�����,使用設(shè)備移動歷史導(dǎo)出設(shè)備散列值����;向基本體發(fā)送設(shè)備散列值和設(shè)備移動歷史中的至少一個��;以及使用設(shè)備散列值和設(shè)備移動歷史中的至少一個來控制對受限環(huán)境的訪問�����。
[0026]方法還可以包括:如果基本體測量移動歷史和基本體散列值中的至少一個與設(shè)備移動歷史和設(shè)備散列值相差多于預(yù)定的量���,則禁止訪問受限環(huán)境。
[0027]在該方法中���,可以在發(fā)送設(shè)備移動歷史信息之前發(fā)送設(shè)備散列值���。
[0028]在該方法中��,選擇性地訪問基本體可以包括以下之中的至少一個:打開交通工具門���、啟動交通工具引擎和打開建筑物門。
【專利附圖】
【附圖說明】
[0029]下文將參考附圖中示出的示例實(shí)施例來更詳細(xì)描述本發(fā)明��,以下描述了這些示例實(shí)施例�,這些示例實(shí)施例是說明性的,本發(fā)明不限于此����。
[0030]圖1是示出了根據(jù)本發(fā)明實(shí)施例的被動無鑰匙進(jìn)入和啟動系統(tǒng)的示意圖;
[0031]圖2是示出了圖1所示系統(tǒng)的操作的其他方面的示意圖�����;
[0032]圖3是示出了根據(jù)本發(fā)明方面的檢測中繼攻擊的系統(tǒng)的操作的流程圖��;以及
[0033]圖4是示出了圖3的操作的其他方面的流程圖����,據(jù)此來驗(yàn)證沒有正在發(fā)生中繼攻擊。
[0034]圖5是示出了根據(jù)本發(fā)明實(shí)施例的鑰匙的構(gòu)造���。
【具體實(shí)施方式】
[0035]例如�,以下對示例實(shí)施例的描述僅僅是示例,而不限于適合于用在機(jī)動車中的PKES系統(tǒng)����。盡管該系統(tǒng)對于機(jī)動車門和/或啟動訪問系統(tǒng)尤其有用,然而可以想到其他的使用領(lǐng)域(如�����,建筑物安全��、航空���、航天和航海使用)�。其訪問受限制的交通工具或空間可以被看作是受限環(huán)境����。
[0036]本文描述了使用附加鏈路用于接近度確保的系統(tǒng)體現(xiàn)鏈路安全而無需鏈路加密的方式�,其中鏈路的加密可能降低使用該鏈路進(jìn)行的接近度測量的精度。這種簡化的接近度測量鏈路還可以減少系統(tǒng)的成本和/或鑰匙所消耗的功率���,二者均是重要的考慮����。
[0037]此外,如果對用于接近度確保的附加鏈路加密�,本發(fā)明通過檢測機(jī)動車附近鑰匙的物理移動(其可以被看作是物理上不可復(fù)制(unclonable)的功能)提供了進(jìn)一步的安全級別。
[0038]本發(fā)明的具體方面包括以下內(nèi)容:
[0039]根據(jù)本發(fā)明����,在被動無鑰匙系統(tǒng)中采用接近度檢驗(yàn),以使用本地認(rèn)證來提供可靠的接近度確保�����。通過在訪問系統(tǒng)的一側(cè)在被看做可移動部件的一方(例如���,鑰匙)中引入諸如MEMS加速度計(jì)�、陀螺儀和/或羅盤等附加的傳感器(并且使用多于一個這樣的傳感器)�����,可以實(shí)現(xiàn)這種接近度確保�����。這種傳感器用于測量鑰匙的空間移動歷史����,以確定鑰匙是否在想要進(jìn)入的位置(“基本體通信側(cè)”)附近���。
[0040]空間移動歷史涉及在可移動部件改變位置的情況下可移動部件(例如,鑰匙)的隨時間變化的至少一個功能�。例如,空間移動歷史可以包含鑰匙沿特定方向的加速度��、所有加速度的矢量和或鑰匙相對于特定方向(如����,北)的取向。
[0041]在例如汽車或門等基本體通信側(cè)使用無線電鏈路�,以使用例如飛行時間測量來測量鑰匙的移動歷史?���?梢砸砸阎姆绞接苫倔w通信側(cè)設(shè)備來處理飛行時間測量,以得到鑰匙相對于基本體通信側(cè)的距離和/或加速度��。
[0042]因此���,基本體通信側(cè)設(shè)備可以檢驗(yàn)由鑰匙測量的鑰匙移動歷史與由基本體通信側(cè)確定的鑰匙移動歷史之間的匹配,作為防止中繼攻擊的附加安全措施(備選地���,系統(tǒng)的第三方�,如,遠(yuǎn)程管理實(shí)體可以執(zhí)行這種檢驗(yàn))��。這種檢驗(yàn)起作用是因?yàn)楫?dāng)發(fā)生中繼攻擊時這兩個不同的移動歷史將會不同��。
[0043]更具體地�,典型地通過測量汽車與鑰匙之間的距離并尋找“足夠接近”以至于能夠使汽車打開車門的距離(例如,小于2m)�,來觸發(fā)移動歷史的交換。當(dāng)發(fā)生這種情況時���,交換歷史以檢查“足夠接近”的結(jié)論是否是真實(shí)的而不是由中繼攻擊所偽造的���。換言之,鑰匙與汽車之間的距離可以用于打開汽車�����,而移動歷史用于檢驗(yàn)以驗(yàn)證該距離沒有被中繼攻擊所偽造�����。這種驗(yàn)證起作用是因?yàn)?隨著拿著鑰匙的人接近汽車��,鑰匙的移動歷史始終是唯一的并且不同的。
[0044]根據(jù)本發(fā)明�,可以保護(hù)系統(tǒng)中的通信鏈路以免受諸如中繼攻擊之類的攻擊,在系統(tǒng)中��,給定系統(tǒng)的至少一側(cè)(如���,鑰匙或其他便攜式設(shè)備)正在隨用戶移動并與靜態(tài)設(shè)施(infrastructure)通信���。獨(dú)立地利用兩個通信側(cè)來測量一側(cè)的移動提供了移動歷史,所述移動歷史可以用作附加的物理不可復(fù)制安全措施�����,從而阻止中繼攻擊��。
[0045]圖1示出了上述系統(tǒng)的各種元件�����,圖2示出了系統(tǒng)的所提出的操作的方面�����。以下將更詳細(xì)描述這一點(diǎn)�。盡管以下示例描述了汽車駕駛員者和汽車���,然而應(yīng)認(rèn)識到�����,這僅僅是說明���,實(shí)施例可以用在許多其他情況下��,包括建筑物訪問�、航海和航空應(yīng)用�����。
[0046]該系統(tǒng)有兩個方面���,第一����,測量鑰匙的移動�����,然后執(zhí)行安全檢驗(yàn)以驗(yàn)證鑰匙是否確實(shí)接近基本體單元并且來自鑰匙的信息沒有通過中繼攻擊而正在被轉(zhuǎn)發(fā)?�;締卧挥谒Wo(hù)的交通工具和建筑物處�,從而保護(hù)對交通工具或建筑物的受限環(huán)境的訪問(受限環(huán)境可以指的是交通工具或建筑物的內(nèi)部和/或交通工具或建筑物的起始操作)。
[0047]測量移動:
[0048]參考圖1�����,該系統(tǒng)的起始點(diǎn)包含:在兩個通信側(cè)(可移動側(cè)(鑰匙5)和相對固定的基本體側(cè)(交通工具I))測量這些側(cè)中的至少一個的移動歷史�����。優(yōu)選地�,測量可移動側(cè)鑰匙(sidekey)5的移動。在汽車訪問系統(tǒng)的環(huán)境中�����,可以通過以下方式來實(shí)現(xiàn)這一點(diǎn):為車鑰匙5提供一個或多個加速度計(jì)����、陀螺儀和/或羅盤(未示出),使得鑰匙5可以測量和記錄自身移動����。同時�,汽車I使用無線電鏈路7來獨(dú)立測量鑰匙5的移動���,無線鏈路7優(yōu)選地與實(shí)現(xiàn)交通工具訪問和操作的加密低頻鏈路3分離����。通過非限制性示例���,無線電鏈路7可以是適合于超寬帶(UWB)測距(ranging)的UWB鏈路。
[0049]通信安全檢查:
[0050]當(dāng)鑰匙5想要與汽車I通信以打開汽車門和/或啟動汽車時����,與汽車I交換鑰匙5的移動歷史以確認(rèn)汽車I直接與鑰匙5對話。這種驗(yàn)證可以防止中繼攻擊����。
[0051]當(dāng)汽車I需要驗(yàn)證鑰匙5在汽車I附近時,鑰匙5可以通過加密的無線電鏈路3來發(fā)送由鑰匙5收集的鑰匙移動歷史數(shù)據(jù)����。然后汽車I可以確認(rèn)所接收的數(shù)據(jù)并確定鑰匙5是否實(shí)際上與汽車I物理接近。
[0052]參考圖1和圖3����,可以通過以下步驟來執(zhí)行由汽車I做出的這種確認(rèn):
[0053]1.首先�����,如在步驟SlOl中��,汽車I和鑰匙5建立通信連接(由“握手”操作發(fā)起)���,使得可以在加密的低頻無線電鏈路3上交換數(shù)據(jù)。在步驟102���,檢驗(yàn)鑰匙是否足夠接近汽車(例如�,2m)���,例如通過汽車的高頻測量頻帶使用來定位鑰匙(圖1和圖2)��。如果回答是否����,則系統(tǒng)等待直到鑰匙足夠接近�。
[0054]2.如在步驟S103和S105中,一旦鑰匙足夠接近汽車����,在完成握手之后汽車I和鑰匙5都開始(獨(dú)立地)記錄鑰匙移動歷史數(shù)據(jù)9�。汽車I產(chǎn)生針對使用無線鏈路7的鑰匙5的移動歷史數(shù)據(jù)9��,這適于精確測量鑰匙相對于汽車I的位置��,例如���,通過UWB測距��。僅作為示例而非限制性地,圖1示出了由鑰匙記錄的移動歷史數(shù)據(jù)9�,其中示出了隨時間(X軸)變化的加速度(y軸);還可以使用其他移動參數(shù)�,如,位置����、速度或沿特定方向的加速度、或環(huán)境亮度�����、或環(huán)境聲音��。
[0055]3.在建立了加密的通信鏈路3之后的特定時刻,在步驟S107����,汽車I向鑰匙5發(fā)送信號(“獲取命令”),使得汽車I可以從鑰匙5獲取移動歷史數(shù)據(jù)9���。
[0056]4.在步驟S109��,當(dāng)鑰匙5從汽車I接收到獲取命令時�,鑰匙5停止記錄其移動歷史(鑰匙5保持記錄其移動歷史直到鑰匙5接收到獲取命令為止)����。
[0057]5.然后在步驟S111,鑰匙5將其移動歷史數(shù)據(jù)9發(fā)送至汽車I����。
[0058]在該階段,汽車I可以在步驟SI 15中將鑰匙5發(fā)送的移動歷史數(shù)據(jù)9 (步驟SI 13)與汽車單獨(dú)確定的移動歷史相比較����。如果在步驟S117中歷史過度不同(過度意思是歷史的不同導(dǎo)致這些歷史不對應(yīng)于(或反映)鑰匙5的相同移動歷史),則斷定鑰匙5實(shí)際上沒有在汽車I附近�,意味著可能正在發(fā)生中繼攻擊。在這種情況下�����,汽車I不應(yīng)解鎖車門或啟動引擎?�?蛇x地����,汽車I可以引起向交通工具所有者或警察發(fā)送警報,例如通過電子郵件或文本消息通知他們有折衷交通工具安全性的嘗試�����。
[0059]作為非限制性示例��,圖2示出了兩個不同的移動歷史9和11����,這些歷史的比較將表明盡管這些歷史相似�����,但這些歷史并不相同�����。
[0060]在步驟115,如果汽車I和鑰匙5獨(dú)立示出了鑰匙5的相同移動歷史�����,“相同”意味著歷史不過度不同(可以采用合適的數(shù)據(jù)分析方案來做出這種確定)����,那么理論上汽車可以打開/啟動,如在步驟S119中����。然而,該步驟中示出相同的移動歷史并不足以確保鑰匙確實(shí)在汽車I附近���,因?yàn)榭赡苷诎l(fā)生成功的中繼攻擊(相反���,如果鑰匙移動歷史的比較結(jié)果體現(xiàn)了足以表明中繼攻擊正在發(fā)生的歷史差異,那么該結(jié)論可以是可信的并且可以采取相應(yīng)的行動)�����。因此��,如在步驟S121中��,可以采用附加的步驟來確定鑰匙5是否確實(shí)緊鄰汽車1,引向圖4��。
[0061]例如����,參考圖1和圖2,在中繼攻擊期間�,任何一側(cè)(鑰匙5或汽車1,最有可能是鑰匙5)都可以從另一側(cè)拷貝移動歷史數(shù)據(jù)9���,這可以通過以下方式來實(shí)現(xiàn):向這樣的鑰匙移動歷史數(shù)據(jù)9添加一些噪聲����,假裝改變的數(shù)據(jù)是其自己的移動歷史數(shù)據(jù)�����。在典型場景中���,嘗試效仿鑰匙5的未經(jīng)授權(quán)者最有可能改變由鑰匙5向汽車I發(fā)送的鑰匙移動歷史9,以欺騙汽車5認(rèn)為未經(jīng)授權(quán)者就在附近���。為了防止這種“電子欺騙(spoofing) ”攻擊�����,可以相對于以上步驟5替代地(意味著始終執(zhí)行)或附加地(意味著僅在特定情況下執(zhí)行)采用圖2和圖4所示的以下其他相互認(rèn)證步驟:
[0062]5 '.在步驟S203,鑰匙5使用預(yù)定的密碼散列函數(shù)(cryptographic hashfunct1n)(例如����,MD5或SHA-256)產(chǎn)生針對鑰匙5檢測到的鑰匙移動歷史數(shù)據(jù)9的散列值。然后在步驟S207�����,鑰匙5將該散列值發(fā)送至汽車I��。這可以在加密的低頻無線電鏈路上進(jìn)行(圖2)��。
[0063]6.在步驟S201���,汽車同樣使用測量無線電鏈路來計(jì)算汽車I檢測到的鑰匙移動歷史數(shù)據(jù)9的散列值�����,并在步驟S205中將該散列值發(fā)送至鑰匙5 ;這可以在加密的低頻無線電鏈路3上進(jìn)行(圖2)�����。
[0064]7.在步驟S209�,一旦鑰匙5從汽車I接收到散列值,鑰匙5就存儲該散列值并將自己的數(shù)據(jù)發(fā)送至汽車��;這可以在加密的低頻無線電鏈路3上進(jìn)行(圖2)��。
[0065]8.然后汽車在步驟S211將從鑰匙I接收到的散列值與汽車I導(dǎo)出的散列值相比較�����,如果在步驟S213這兩個散列值一致�,則汽車I在步驟S217將其移動歷史數(shù)據(jù)發(fā)送至鑰匙;這可以在加密的低頻無線電鏈路3上進(jìn)行(圖2)�����。通過使汽車將其移動歷史數(shù)據(jù)發(fā)送至鑰匙�����,鑰匙可以驗(yàn)證其正在與汽車而不是未經(jīng)授權(quán)的實(shí)體通信���。在一些示例中��,為了節(jié)省時間和/或電力,可以省略該操作�����。
[0066]應(yīng)當(dāng)在移動歷史之前交換散列值以提高安全性,這是因?yàn)榫哂幸苿託v史的一側(cè)能夠?qū)С鱿鄳?yīng)的散列值并從而偽造散列值匹配��,從而阻遏系統(tǒng)的安全性��。僅在發(fā)送和接收了散列值之后才交換實(shí)際移動歷史���。當(dāng)接收到移動歷史時���,在接收側(cè)重新計(jì)算接收到的移動歷史的散列值,并在接收側(cè)將其與先前接收到的散列值相比較����。如果這些散列值不同,則應(yīng)當(dāng)拒絕移動歷史�����。僅當(dāng)散列值相同時�,才比較移動歷史(散列值稱作密碼“承諾”,其防止改變在后續(xù)階段發(fā)送的數(shù)據(jù)���。
[0067]步驟S219中的汽車I和步驟S221中的鑰匙5均驗(yàn)證接收到的散列值與接收到的移動歷史數(shù)據(jù)匹配�����。如果在步驟S223接收到的散列值不匹配���,則在步驟S227汽車I和鑰匙5推斷汽車和鑰匙沒有物理上接近�����。從汽車接收到的散列值的鑰匙側(cè)驗(yàn)證是幫助使系統(tǒng)難以擊敗(defeat)的附加安全措施(意味著可以存在這樣的應(yīng)用�,在該應(yīng)用中省略了來自基站的散列值的鑰匙側(cè)驗(yàn)證)�。
[0068]如果汽車和鑰匙散列值與移動歷史數(shù)據(jù)匹配,則在步驟S225���,汽車和鑰匙繼續(xù)批準(zhǔn)這兩組數(shù)據(jù)并據(jù)此推斷汽車和鑰匙是否物理上接近���。
[0069]可以如圖5所示構(gòu)造上述鑰匙,其中鑰匙301使用分立電子組件���,例如�,天線303�、收發(fā)機(jī)305���、傳感器307 (可以包括加速度計(jì)309、羅盤311和陀螺儀313中的至少一個)����、存儲器315 (可以分為ROM程序存儲器317和RAM工作存儲器319)����、處理器/控制器321以及用作電源的電池323,所有這些都經(jīng)由諸如總線325(由于不同組件的不同工作參數(shù)����,如供電和電力方案,必要時可以使用不同的總線)等合適的結(jié)構(gòu)來互連����。ROM程序存儲器317可以包括指令,所述指令在由處理器/控制器321來執(zhí)行時使鑰匙301如上所述操作���。圖5的架構(gòu)僅僅是示例性的而非限制性的��,也可以采用任何其他合適的架構(gòu)�。
[0070]備選地�����,鑰匙可以包括:專用集成電路(ASIC)(未示出),其具有本發(fā)明所需的所有組件和功能�����;以及用于驅(qū)動ASIC的電池����。
[0071]參考特定說明性實(shí)施例描述了多個示例實(shí)施例。說明性示例用于幫助本領(lǐng)域技術(shù)人員清楚地理解和實(shí)現(xiàn)各個實(shí)施例�。然而可以構(gòu)造為具有一個或多個實(shí)施例的系統(tǒng)、結(jié)構(gòu)和設(shè)備的范圍以及可以根據(jù)一個或多個實(shí)施例而實(shí)現(xiàn)的方法的范圍絕不限于以上給出的特定說明性示例��。相反�����,相關(guān)領(lǐng)域普通技術(shù)人員基于本描述容易理解�,可以實(shí)現(xiàn)根據(jù)各個實(shí)施例的許多其他配置、布置和方法���。
[0072]至于在描述本發(fā)明時使用的諸如頂部��、底部��、上部��、下部等廣義的位置設(shè)計(jì)�,將理解這些設(shè)計(jì)是參考相應(yīng)附圖給出的,如果在制造或操作期間設(shè)備的取向改變�,可以取而代之地采用其他位置關(guān)系。如上所述�����,描述這些位置關(guān)系是為了清楚起見����,而并非限制�����。
[0073]關(guān)于具體實(shí)施例參考特定附圖描述了本發(fā)明����,然而本發(fā)明不限于此,而是僅由權(quán)利要求來限定�。附圖僅僅是示意性的而非限制性的。在圖中�����,出于說明的目的,各個元件的尺寸可以放大而不是繪制成特定的尺寸���。本發(fā)明旨在涵蓋組件及其操作模式的相關(guān)容差和特性方面的微小變化��。本發(fā)明的非優(yōu)選實(shí)現(xiàn)方式也旨在被涵蓋在內(nèi)�����。
[0074]在本說明書和權(quán)利要求書中使用術(shù)語“包括”時��,該術(shù)語“包括”并不排除其他元件或步驟��。除非另外特別指出����,否則指代單數(shù)名詞的非限定性或限定性冠詞(例如���,“一種”或“該”)包括該名詞的復(fù)數(shù)形式�。因此����,術(shù)語“包括”不應(yīng)解釋為限于該詞后面所列的項(xiàng)目����,該術(shù)語并不排除其他元件和步驟���,因此表述“一種包括項(xiàng)目A和B的設(shè)備”的范圍不應(yīng)限于該設(shè)備僅由組件A和B構(gòu)成�����。這種表述意味著對于本發(fā)明而言僅設(shè)備的相關(guān)組件是A和B�����。
【權(quán)利要求】
1.一種被動無鑰匙設(shè)備,用于選擇性地訪問基本體的受限環(huán)境��,所述被動無鑰匙設(shè)備包括: 至少一個傳感器���,配置為檢測設(shè)備的移動特性���; 記錄元件,配置為存儲與設(shè)備有關(guān)的移動歷史信息�����,所述移動歷史信息反映了傳感器在一段時間內(nèi)檢測到的移動特性; 收發(fā)機(jī)����,配置為與基本體通信,并向基本體發(fā)送移動歷史信息和根據(jù)被動無鑰匙協(xié)議對被動無鑰匙設(shè)備進(jìn)行標(biāo)識的加密安全信息中的至少一個��;以及訪問請求元件,配置為使收發(fā)機(jī)發(fā)送訪問基本體的請求���。
2.根據(jù)權(quán)利要求1所述的被動無鑰匙設(shè)備���,其中,傳感器包括加速度計(jì)�����、陀螺儀和羅盤中的至少一個���。
3.根據(jù)權(quán)利要求1所述的被動無鑰匙設(shè)備���,還包括: 散列值產(chǎn)生器; 其中�,散列值產(chǎn)生器配置為從移動歷史信息中導(dǎo)出散列值,并且收發(fā)機(jī)配置為向基本體發(fā)送散列值。
4.根據(jù)權(quán)利要求3所述的被動無鑰匙設(shè)備�����,其中�,散列值產(chǎn)生器采用MD5密碼散列函數(shù)和SHA-256密碼散列函數(shù)中的至少一個。
5.根據(jù)權(quán)利要求3所述的被動無鑰匙設(shè)備�����,其中�,收發(fā)機(jī)還配置為從基本體接收針對被動無鑰匙設(shè)備的基本體測量移動歷史信息和與基本體測量移動歷史信息相對應(yīng)的基本體散列值中的至少一個,所述被動無鑰匙設(shè)備還包括: 控制器�,如果基本體測量移動歷史信息和從基本體接收到的散列值中的至少一個與所述移動歷史信息和散列值相差多于預(yù)定的量,則禁止訪問請求元件����。
6.根據(jù)權(quán)利要求5所述的被動無鑰匙設(shè)備����,其中,在收發(fā)機(jī)發(fā)送移動歷史之前���,收發(fā)機(jī)發(fā)送散列值�����。
7.根據(jù)權(quán)利要求1所述的被動無鑰匙設(shè)備���,其中��,選擇性地訪問受限環(huán)境包括以下之中的至少一個:打開交通工具門��、啟動交通工具引擎和打開建筑物門��。
8.一種被動無鑰匙系統(tǒng)����,包括: 基本體����,配置為選擇性地允許訪問受限環(huán)境,所述基本體具有: 基本體收發(fā)機(jī)���,配置為在與安全信息相關(guān)聯(lián)的第一頻率以及與距離測量信息相關(guān)聯(lián)的第二頻率處�����,使用加密鏈路來工作���,以及 基本體記錄元件���,配置為基于距離測量信息來存儲基本體測量移動歷史信息;以及 被動無鑰匙設(shè)備��,具有: 至少一個傳感器����,配置為檢測設(shè)備的移動特性, 設(shè)備記錄元件�,配置為存儲與設(shè)備有關(guān)的移動歷史信息,所述移動歷史信息反映了傳感器在一段時間內(nèi)檢測到的移動特性�����, 設(shè)備收發(fā)機(jī)�,配置為與基本體收發(fā)機(jī)通信,并向基本體收發(fā)機(jī)發(fā)送移動歷史信息和根據(jù)被動無鑰匙協(xié)議對被動無鑰匙設(shè)備進(jìn)行標(biāo)識的加密安全信息中的至少一個�����,以及訪問請求元件��,配置為使設(shè)備收發(fā)機(jī)發(fā)送訪問基本體收發(fā)機(jī)的請求���; 其中�����,基本體配置為在允許訪問受限環(huán)境時使用基本體測量移動歷史信息和移動歷史信息��。
9.根據(jù)權(quán)利要求8所述的被動無鑰匙系統(tǒng)����,其中�,傳感器包括加速度計(jì)、陀螺儀和羅盤中的至少一個�。
10.根據(jù)權(quán)利要求8所述的被動無鑰匙系統(tǒng),還包括: 基本體散列值產(chǎn)生器�����,是基本體的一部分���; 設(shè)備散列值產(chǎn)生器���,是設(shè)備的一部分; 其中�, 基本體散列值產(chǎn)生器配置為從基本體測量移動歷史中導(dǎo)出基本體散列值���; 設(shè)備散列值產(chǎn)生器配置為從移動歷史信息中導(dǎo)出設(shè)備散列值;并且設(shè)備收發(fā)機(jī)配置為向基本體收發(fā)機(jī)發(fā)送設(shè)備散列值和移動歷史信息中的至少一個�,基本體配置為當(dāng)允許訪問受限環(huán)境時使用接收到的設(shè)備散列值和移動歷史信息中的至少一個。
11.根據(jù)權(quán)利要求10所述的被動無鑰匙系統(tǒng)��,其中���,如果基本體測量移動歷史信息和基本體散列值中的至少一個與移動歷史信息和設(shè)備散列值相差多于預(yù)定的量�,則基本體拒絕訪問請求�����。
12.根據(jù)權(quán)利要求10所述的被動無鑰匙系統(tǒng)�,其中, 基本體散列值產(chǎn)生器和設(shè)備散列值產(chǎn)生器均米用MD5密碼散列函數(shù)和SHA-256密碼散列函數(shù)中的至少一個��。
13.根據(jù)權(quán)利要求10所述的被動無鑰匙系統(tǒng)�����,其中�����,在設(shè)備收發(fā)機(jī)發(fā)送移動歷史之前�,設(shè)備收發(fā)機(jī)發(fā)送設(shè)備散列值。
14.根據(jù)權(quán)利要求8所述的被動無鑰匙系統(tǒng)��,還包括: 控制器�,是被動無鑰匙設(shè)備的一部分,配置為如果基本體測量移動歷史信息和基本體散列值中的至少一個與移動歷史信息和散列值相差多于預(yù)定的量��,則禁止所述訪問請求元件��。
15.根據(jù)權(quán)利要求8所述的被動無鑰匙系統(tǒng)���,其中����,允許選擇性地訪問受限環(huán)境包括以下之中的至少一個:打開交通工具門���、啟動交通工具引擎和打開建筑物門����。
16.一種利用被動無鑰匙設(shè)備和位于受限環(huán)境附近的基本體來控制對受限環(huán)境的訪問的方法��,所述方法包括: 檢測設(shè)備的移動特性��; 在設(shè)備處存儲與設(shè)備有關(guān)的設(shè)備移動歷史,所述設(shè)備移動歷史反映了在一段時間內(nèi)檢測到的移動特性�; 在基本體處測量設(shè)備在所述一段時間內(nèi)的移動; 在基本體處存儲設(shè)備的基本體測量移動歷史�����,所述基本體測量移動歷史反映了設(shè)備在所述一段時間內(nèi)的移動���; 從設(shè)備向基本體發(fā)送設(shè)備移動歷史和根據(jù)被動無鑰匙協(xié)議對設(shè)備進(jìn)行標(biāo)識的加密安全信息中的至少一個�;以及 在基本體處使用基本體測量移動歷史和設(shè)備移動歷史來控制對受限環(huán)境的訪問�����, 其中����,基本體和設(shè)備在第一無線電頻率上使用加密鏈路來交換訪問安全信息,在基本體處的測量使用第二無線電頻率�。
17.根據(jù)權(quán)利要求16所述的方法,還包括: 在基本體處使用基本體測量移動歷史導(dǎo)出基本體散列值���; 在設(shè)備處�����,使用設(shè)備移動歷史導(dǎo)出設(shè)備散列值���; 向基本體發(fā)送設(shè)備散列值和設(shè)備移動歷史中的至少一個;以及 使用設(shè)備散列值和設(shè)備移動歷史中的至少一個來控制對受限環(huán)境的訪問�。
18.根據(jù)權(quán)利要求17所述的方法,還包括:如果基本體測量移動歷史和基本體散列值中的至少一個與設(shè)備移動歷史和設(shè)備散列值相差多于預(yù)定的量����,則禁止訪問受限環(huán)境。
19.根據(jù)權(quán)利要求17所述的方法�,其中,在發(fā)送設(shè)備移動歷史信息之前發(fā)送設(shè)備散列值�。
20.根據(jù)權(quán)利要求16所述的方法,其中��,選擇性地訪問基本體包括以下之中的至少一個:打開交通工具門����、啟動交通工具引擎和打開建筑物門。
【文檔編號】G07C9/00GK104183036SQ201410213214
【公開日】2014年12月3日 申請日期:2014年5月20日 優(yōu)先權(quán)日:2013年5月20日
【發(fā)明者】佐蘭·茲科維克, 讓·瑞內(nèi)·布朗德, 弗蘭克·哈拉爾德·埃里克·何·中·萊昂, 史蒂芬·德魯?shù)? 申請人:Nxp股份有限公司