本申请要求2009年6月18日提交的序列号为61/218,169的美国临时申请的权益和2009年12月21日提交的序列号为12/643,189的美国申请的优先权,其全部内容通过引用的方式并入本申请中。
优选实施方式的详细描述
图1示出了根据本发明的一个非限制性方面的用于确定和防止中继攻击的系统10。主要是关于防止对包含在交通工具内以被动地控制一个或更多的交通工具系统的交通工具被动进入系统(PES)的中继攻击来对系统10进行了描述。除非另作说明,本发明不必仅限于防止对交通工具PES的中继攻击,也可相似地用于阻挠对任意易受攻击影响的系统例如但不限于家庭安全系统、商业建筑标记卡通行系统等的中继攻击,该攻击为了欺骗想要接收中继信号的设备附近的发送实体,通过简单地从一个设备到另一个设备的中继信号获得进入权。
本发明的系统10设想带有PES控制器12的交通工具,PES控制器12配置成根据从智能钥匙14接收的信号被动地控制一个或更多的交通工具系统。PES控制器12可以是包括在交通工具内以支持一个或更多本发明设想的操作功能的独立的控制器或其他逻辑执行零件。PES控制器12可以根据本发明被配置成执行通常在交通工具内执行的被动操作,按照阻挠中继攻击的方式(如果没有防止中继攻击)来如此执行。为此,交通工具可包括位于交通工具重要区域内的大量PES天线16、18、20、22、26、28、30,以支持各种PES相关操作。与包含在智能钥匙14内的超高频(UHF)天线(未示出)相比,天线16、18、20、22、26、28、30可以是低频(LF)天线。
图2示出了根据本发明的一个非限制性方面的防止中继攻击的方法的流程图40。尽管该流程以一定数量的顺序步骤说明,在不偏离本发明的范围和意图的情况下可以省略和/或以另一方式执行一个或更多步骤。该方法通常涉及评估智能钥匙14到交通工具的距离和根据智能钥匙14的距离允许对一个或更多交通工具系统的被动访问/控制。该方法可包括根据智能钥匙14相对于交通工具的距离和位置应用被开发来评估该智能钥匙的授权的一个或更多测试。
本方法以块42开始:基于以前由PES控制器12发送至智能钥匙的、作为PES触发事件的一部分的询问信号确定智能钥匙14的位置。例如,在驱动门把手,例如当窃贼为了驱使门/行李箱/尾门/尾门窗户的解锁操作提升门把手时;窃贼如果进入解锁的汽车并试图发动交通工具而驱动交通工具开启按钮时;和/或利用之前建立的智能钥匙通信确定错误或其他中断,例如如果用于支持之前授权的被动事件的通信在事件结束之前丢失时,PES控制器12可以发送询问信号。
PES触发事件可促使PES控制器12根据被期望被动控制的特定系统分发一个或更多询问消息。例如,这可能包括从与期望的操作相关联的即例如与被动发动、被动进入(解锁)和被动装载(行李箱访问)相关联的天线16、18、20、22、26、28、30发送询问消息。对于被动发动,天线16、28和30可用于估计智能钥匙14相对于包含在交通工具内的两天线(16和30)和包含在交通工具的门20上的天线的位置。对被动进入,与提升的门把手相应的门上的天线(即18、20、26和28)可使用最佳支持三角测量该门的其他两个天线发送信号。对被动装载,天线23、24和26可用于估计智能钥匙相对于交通工具的尾部的位置。
对于任意数量的可能的PES触发事件中的每一个,依赖触发事件和需要对智能钥匙的位置做近似三角测量的合适的天线配置,任意数量的询问消息可从任意数量的天线16、18、20、22、26、28、30发送信号。为了示例,本发明设想一个非限制性的排列,其中,考虑到特定的触发事件,给定智能钥匙14将可能处于的位置,三个询问消息分别从三个可能是最接近的且支持对智能钥匙14进行三角测量的天线16、18、20、22、26、28、30发送信号。
图3示出了可响应触发事件发生的消息通信的时间线46。时间线44可包括第一询问部分48,其中,PES控制器12选择三个天线16、18、20、22、26、28、30分发询问消息50、52、54;和第二询问部分56,其中,(如果接收到询问消息的话)智能钥匙14用相应的响应消息58、60、62回应每条消息。可从多个天线16、18、20、22、26、28、30顺次发送询问消息50、52、54并在每次发送中间带有小间隙,以便三角测量智能钥匙14的位置,而智能钥匙14对每条消息的响应58、60、62可被相似地分隔开。依赖于将受被动控制的特定操作,询问消息50、52、54可包括对信息的请求和其他命令。
根据本发明的一个非限制性方面,询问消息50、52、54可包括数据部分66和非数据部分68。数据部分66可包括信息请求和其他命令,非数据部分68可包括连续波(CW)部分/信号。CW部分可用于提供具有固定振幅和频率的信号以便于对智能钥匙14正在接收的信号进行评估。CW部分68随被传送的距离可自然减弱,以致它的振幅随着它被传送得离交通工具的距离更远而降低。可发送具有提醒智能钥匙14关于将被包含在消息58、60、62内的信息的内容和任意相关操作的指令的数据部分66,任意相关操作例如但不限于,包括请求智能钥匙14测量或用别的方法记录与每个信号的CW部分68相关的值。
如图4所示,如果之前的消息50包括了对于智能钥匙14的足够的指令,部分第一阶段消息52、54可不包括数据部分66。在一些情况下,每个数据部分66包括加密和要求由智能钥匙14处理的其他安全措施。如果足够的安全性由以消息58、60、62之一发送的数据提供,为了限制智能钥匙14的处理需求,相关的安全性可从其他消息58、60、62排除。在第一阶段发送的消息58、60、62中可包括足够的指令以指示智能钥匙14产生每个CW信号的标识,该指令在一个或更多的消息16、18、20、22、26、28、30中。
智能钥匙14可包括三轴线圈天线(未示出),以便于和PES控制器12通信。三线圈被排列成在每个线圈上的感应到的电流可被取平均,且用于便于接收PES信号。另外,在每个轴上接收的电流可被一起平均以对所说明的振幅表示进行取样。智能钥匙14也可计算其他关于已接收的PES消息的信息,例如对每个消息50、52、54的每个轴电流的差异,即对每个消息而言,智能钥匙可比较在三个轴中的每个轴上的轴电流,以基于对交通工具内发送天线的被识别位置(该位置可提前被知道或在第一阶段的数据部分中被标识)的预期轴差异来确定到交通工具的方向。当然,智能钥匙14可被指示对第一阶段接收到的信号执行任意数量的其他计算。
可选地,由智能钥匙14响应于询问消息而确定的振幅值和其他信息由智能钥匙14在第二阶段56的响应消息58、60、62中发送。一旦从智能钥匙14接收该信息,本方法继续块70:确定三个发送天线16、18、20、22、26、28、30中待被用在挑战阶段的“最好”天线,在挑战阶段,作为确定中继攻击可能性过程的一部分,PES控制器12向智能钥匙14发送挑战询问。最好或优选的天线16、18、20、22、26、28、30可被确定为最靠近智能钥匙14的天线16、18、20、22、26、28、30,这一点由包含在从智能钥匙14接收的响应消息58、60、62中的信息所指示。上述确定过程可由智能钥匙14和/或PES控制器12计算。
在块72中,这些一个或更多的响应消息58、60、62然后可用于确定智能钥匙14是在近场还是远场。这个参数可基于智能钥匙天线相对于交通工具天线16、18、20、22、26、28、30的发送范围的饱和点。如果每个交通工具天线16、18、20、22、26、28、30对于每次发送以近似相同的信号强度即相同振幅的CW发送信号,取决于智能钥匙14相对于交通工具的位置,如果智能钥匙天线相对于交通工具太近,它可能是饱和的,如果它离交通工具距离有些远,它可能是不饱和的。判断智能钥匙在近场还是远场的一个方法可以是基于智能钥匙14是否可探测到相对于在询问阶段48发送的CW振幅的振幅增量。如果智能钥匙14在有更大振幅的后续信号中可探测到振幅变化,那么智能钥匙14可被认为在远场,如果不能,那么智能钥匙14可被认为在近场。
如果智能钥匙14被认为离交通工具足够远而被当作远场,块72设置远场标志。图5示出了根据本发明的一个非限制性方面的远场挑战测试。接着在块74、76中,远场测试可被作为挑战询问阶段78的部分发送,其中,发送具有第一CW部分82和第二CW部分84的挑战消息询问80,第二CW部分84比第一82更大。这可包括从“最好”的天线发送挑战询问80和接收来自智能钥匙14的第二响应消息88。挑战消息80可与第一阶段48的消息50、52、54相似,其中,消息80的一部分86包括指示智能钥匙14采取某些行动的数据,而部分82、部分84包括第一CW信号和第二CW信号(CW1和CW2)。
远场测试示出第二CW部分84比第一CW部分82更大。可根据智能钥匙天线的敏感度和/或从包含在第一响应中的信息所确定的智能钥匙14离交通工具的感知距离确定偏移度。图6示出了根据本发明的一个非限制性方面的近场挑战测试。近场测试示出第二CW部分84小于第一CW部分82,与智能钥匙天线的敏感度和/或从包含在第一响应中的信息所确定的智能钥匙14离交通工具的感知距离相称。
CW信号82、84可被分离成标注的第一振幅和第二振幅,以便让智能钥匙14自身确定振幅的差异或让PES控制器12计算第二响应内提供的不同读数的差异。然后在块92中,振幅差异可在从智能钥匙14发送的响应消息中被发送到PES控制器12。如果智能钥匙的响应不能指示足够接近CW1和CW2信号间的振幅差异的振幅差异,则中继攻击情景成为可能。这种方法可能基于一种假定,即中继攻击系统不能重发/转播CW1和CW2振幅差异。
相对于支持TOF或加密分析技术所要求的成本和复杂性,安全水平可能是可接收的风险。当然,如果需要提供更强的中继攻击防御,这些技术可结合上述技术使用。如果中继攻击系统只是重发包含在挑战阶段消息80中的数据而不发CW振幅差异,则如果智能钥匙的响应不能指示振幅差异,则中继攻击可被认为是可能的。这种策略可能不是最终的,因为有可能智能钥匙的线圈可能是饱和的或接近饱和,以致智能钥匙的响应不能指示期望的振幅差异。
可选地,在块94中发起垂直性测试,以进一步测试中继攻击的存在。这可能包括PES控制器12向智能钥匙14发送垂直性询问96。图7示出了一接收到智能钥匙14对挑战询问80的第二响应88则发送该询问。垂直性询问96可能要求智能钥匙14评估它相对于包含在从另一个交通工具天线发送的非数据部分98中的CW3信号的垂直性,该另一个交通工具天线与用于发送CW1和CW2信号的“最好”天线垂直(或成其他足够的角度)。
垂直性估计可用于基于智能钥匙的三轴线圈所检测到的CW1和CW3信号间的振幅差异来评估智能钥匙是否处于期望位置内。更具体地,依赖于发送CW3信号的天线16、18、20、22、26、28、30相对于“最好”的天线的角度关系,对于CW1和CW3信号中的每一个,期望智能钥匙14在三轴线圈上感测到特定的电流模式。如果该模式不能反映在智能钥匙响应中,那么它可能表明中继攻击的可能性,因为中继攻击系统不能够转播与天线16、18、20、22、26、28、30相对于交通工具的垂直空间关系相关联的振幅变化。为了限制饱和的可能性,在近场处理中使用的CW3信号可能小于在远场处理中使用的CW3信号。
垂直性估计可结合振幅变化查询使用以进一步改进中继攻击评估。尽管相关信号中的两个信号都可能使智能钥匙的线圈饱和,但是,考虑到在结合的响应不能指示期望的振幅变化情况下的中继攻击,在非中继攻击情况中两个测试都引起饱和的可能性可能足够低。在从智能钥匙14发送的信息指示的三轴线圈内的电流模式代表了在没有中继攻击的情况下所期望见到的通过线圈的模式的情况下,垂直性测试可通过。然而,有可能智能钥匙14非常靠近近场,或处于将近场与远场分开的边界,使得随后的挑战消息在智能钥匙14进入近场之后才到达智能钥匙14。因此,在块96中可进行饱和测试,以减少饱和干扰估计的可能性。
饱和测试可包括针对与非“最好”天线相关联的消息50、52、54中的每个消息评估由智能钥匙14所采取的询问阶段测量,非“最好”天线即为发送第一阶段消息50、52、54的三个天线中未被用于在挑战阶段发送CW1和CW2信号的两个天线。由于天线16、18、20、22、26、28、30位于交通工具内以及它们有限的发送范围,智能钥匙14仅能测量到来自辅助天线(如果有的话)的轻微的振幅。然而,如果智能钥匙在近场,来自相邻天线导线和贴近的辐射的固有交叉耦合可能引起信号看起来比正常更强。因此,块98、100、102可能包括将辅助天线的振幅值量化为X和Y。
如上所述,饱和状态可发生在近场状态或远场状态中的一个(即使智能钥匙未跨越远场到近场的边界)。如果饱和状态被确定,需要确定X和Y的值是否在可接收的范围。X和Y的值分别代表从两辅助天线读取的振幅值。只要信号不是在中继攻击中转播的,这些值可能小于饱和,在中继攻击的情况下,转播将引起信号值过强。因此,如果这些值中的至少一个超出范围,则确定有中继攻击,如果这两个值都在范围内,确定为有效的发送。可选地,较低范围的值可被忽略。
如果未确定有饱和状态,则在块104中确定上面做出的近场和远场评估的结果。在垂直性测试和饱和测试之后,该评估可以所述的方式发生,以致它的结果在其他结果之后获得。只要适当的振幅变化在块106、108中被确定,在块110中,发送被认为是有效的,否则,在块112中确定中继攻击。一旦PES控制器12从智能钥匙接收到期望的信息且执行一个或更多上述的测试,它可以确定智能钥匙是否能够被动地控制所期望的交通工具系统。
如上面所支持的,本发明的一个非限制性方面涉及被动进入系统。该系统可能要求电池供电的RF无线智能钥匙被放在试图进入锁着的交通工具内的人身上或附近,而锁着的交通工具包含用于被动进入系统的固定的主要控制器。为了交换私有安全钥匙和其他信息,被动进入系统可与智能钥匙安全设备匹配。在有多个用户的情况下,多个智能钥匙可与该系统相匹配。智能钥匙可包含双向无线电电路以与被动进入系统相通信。到达智能钥匙的数据可通过短距离的LF接收,而来自智能钥匙的数据可通过远距离的UHF发送。UHF电路可能包含多个UHF信道,UHF信道可被选择来确保最清晰的通信。
当在物理地拉动进入把手试图进入过程中被动进入系统被激活时,可能引起成功的授权处理,该授权处理涉及对智能钥匙的无线通信。作为授权处理的一部分,被动进入系统可能期望智能钥匙物理地位于期望的区域,以获得进入具体的进入点权限。智能钥匙的位置可由被动进入系统使用初始的通信询问阶段来确定,初始的通信询问阶段在其中战略性地处于位于交通工具上的三个不同的天线上首先发送三个LF数据脉冲串。所有智能钥匙在分立时间步骤接收这些LF脉冲串。当脉冲串被接收到时,它们的信号振幅可被采样。这些信号振幅可立即按每智能钥匙单个信号UHF数据脉冲串的方式在分立的时间帧内发送回被动进入系统,以防止冲突。然后,举例来说,智能钥匙的位置可由被动进入系统使用三角测量方法来估计,三角测量方法将接收的信号振幅与以前制定的标准做比较。该标准可事先靠经验确定以建立授权区域的边界,该授权区域的边界由基于最多三个绝对信号振幅阈值的组合限定的包含区和排除区组成。当确定智能钥匙包含在限定的授权区域中时,可用辅助通信阶段加以证实,辅助通信阶段使用挑战/响应协议明确地校验安全凭证。
由于到智能钥匙的通信是基于无线电的,无线电信号可能被记录且随后被任意重发。目前,有防止接收简单重发的安全措施,例如随机数、高水平的加密和滚动代码。这些对策可使对下一个预期的发送模式进行预测几乎是不可能的。尽管这样灵巧的设备存在的可能性确实存在,且如果真的存在,这将是不切实际的,因为发送天线的物理位置在上述对策中起到重要的作用。安全风险的第二种形式可能涉及以比正常距离更大的距离进行LF和UHF发送的转播。这种攻击形式被称为中继攻击,其中,短距离的LF信号被中继设备接收且以更远的距离重发到另一个发送器/接收器,然后该发送器/接收器重发原始的LF信号的伪副本到附近不明真相的智能钥匙。智能钥匙的远距离UHF发送可能被捕获且如果需要可以相似的方式重发。或者,远距离UHF发送的自身强度可能足以单独到达被动进入系统。转播过程可实时发生,对被动进入系统而言,看上去好像智能钥匙物理上位于授权区域,而实际上并不是。本发明的一个非限制性方面可用于提供防止这样的攻击的对策。
为了防止中继攻击,在正常的LF数据发送过程中,两个分立的LF CW脉冲串间的变化可生成可测量的和可检测的信号振幅差异,用于区别合法的信号和伪造的信号。可对发送源的相对邻近区建立限定的阈值,以确定信号振幅变化类型。对于远场距离,发送变化可较大以确保较好信噪比。相反,对于近场距离,发送信号振幅变化可以较低,以防止饱和状态。
在信号振幅估计过程中,特殊的条件可能被执行以确认非常接近的情况,在非常接近的情况下,由于饱和状态不可能测量信号振幅变化。在这种情况下,必须有一些来自两个在挑战阶段未使用的天线的可检测的信号。这些信号可从前面的智能钥匙询问阶段采样。这些信号可能是来自相邻天线导线的LF辐射的固有交叉耦合的结果,由于非常接近,看上去好像要比位于正常工作距离的正常信号振幅更强。可能要求信号电平落入预定的接收窗中才被认为是合法的。
其他类型的估计可能在智能钥匙自身内执行。在一定类型的协议期间,可使用不同的天线发送第三LF CW脉冲串。该其他的天线可旨在物理地垂直于发送最初两个LF CW脉冲串的天线。因为智能钥匙使用三轴LF天线,它可以分析和确定哪个当前轴对于最初两个LF CW脉冲串有最强的信号。由于第三LF CW脉冲串可以从不同的且物理上垂直的天线发送,因此可以推想第三脉冲串可被预期来自哪个轴。如果第三LF CW脉冲串在预期的轴上被测量到是最强的,它可被认为是合法的。此信息可在正常的数据响应内被发送回被动进入系统供拒绝或接收。估计算法可如下所示:
A=(轴1上的LF CW 1振幅/轴1上的LF CW 2振幅)
B=(轴2上的LF CW 1振幅/轴2上的LF CW 2振幅)
C=(轴3上的LF CW 1振幅/轴3上的LF CW 2振幅)
K=%检定常量
如果(|A-B|<=K)且(|B-C|<=K)且(|A-C|<=K)则是不合法的,否则,合法,结束。
按需要,本发明详细的实施方式在此处被公开,然而,易于理解的是所公开的实施方式仅仅是本发明的示例,该示例可能表现为各种形式和可选形式。附图不是必须是按比例的,一些特征可被放大或最小化以显示特定组件的细节。因此,此处所公开的特定结构和功能细节不能作为限制被解释,而仅仅作为权利要求的代表性基础和/或作为指导本领域的技术人员多方面地使用本发明的代表性基础。不同实现的实施方案的特征可以结合,以形成本发明的更多的实施方案。
尽管解释和描述了本发明的实施方案,但是,这些实施方案并不旨在解释和描述本发明所有可能的形式。相反,在说明书中使用的词语是描述性词语而不是限制性词语,易于理解的是,在不脱离本发明的精神和范围的情况下,可进行各种变化。