安全无缝进入控制的制作方法

本申请要求2017年12月8日提交的美国临时申请第62/596,139号的优先权权益，所述美国临时申请的公开内容以全文引用的方式并入本文。

本文公开的主题一般来说涉及进入控制系统的领域，并且更具体地涉及用于建立安全无缝进入控制的设备和方法。

背景技术：

现有锁系统可允许人们启动进入控制装置以通过移动装置将锁解锁。无线协议如蓝牙可在移动装置没有紧挨着进入控制装置(例如，例如，在约10米的半径内)的情况下使得实现移动装置与进入控制装置之间的无线通信。使用无线通信而不需要直接交互或确认步骤的进入控制系统可易受中继攻击，其中当移动装置并未物理上接近于进入控制装置(例如，在移动装置与进入控制装置之间的正常直接通信范围以外)时，装置对用来在移动装置与进入控制装置之间转播通信。执行中继的攻击者和/或同谋随后可在无需移动装置的用户知道或同意的情况下进入先前锁定的区域。

技术实现要素：

根据一个实施方案，一种通过无线连接提供安全进入的方法包括通过移动装置无线地检测进入控制装置的可用性。确定所述移动装置的用户使所述进入控制装置打开锁的预测意图。所述方法确定是否检测到中继攻击。基于检测到所述中继攻击，确定用以确认所述移动装置的所述用户使所述进入控制装置打开锁的意图的提示。基于未检测到所述中继攻击，基于肯定地确认所述意图或所述预测意图，响应于凭证而通过所述进入控制装置启动锁致动器以打开所述锁。

除了以上或以下所描述的特征中的一个或多个之外，或作为替选方案，进一步实施方案可包括其中确定是否检测到所述中继攻击包括通过执行以下中的一项或多项来确认所述进入控制装置与所述移动装置的物理接近度：核实在所述移动装置处检测到如由所述进入控制装置传输的至少两个不同信号功率电平，以及通过所述移动装置确认所述进入控制装置的通信地址匹配预期地址值。

除了以上或以下所描述的特征中的一个或多个之外，或作为替选方案，进一步实施方案可包括其中确定是否检测到所述中继攻击包括核实所述移动装置与所述进入控制装置之间的往返通信延迟是否处于或低于预定延迟限值。

除了以上或以下所描述的特征中的一个或多个之外，或作为替选方案，进一步实施方案可包括其中确定是否检测到所述中继攻击包括将所述进入控制装置的当前位置与所述进入控制装置的预期位置进行比较。

除了以上或以下所描述的特征中的一个或多个之外，或作为替选方案，进一步实施方案可包括其中所述进入控制装置的所述预期位置是基于以下中的一项或多项确定的：所述进入控制装置的位置信号和最近已知位置。

除了以上或以下所描述的特征中的一个或多个之外，或作为替选方案，进一步实施方案可包括其中确定是否检测到所述中继攻击包括核实由所述移动装置的麦克风检测到所述进入控制装置的预期音频信号输出。

除了以上或以下所描述的特征中的一个或多个之外，或作为替选方案，进一步实施方案可包括其中确定是否检测到所述中继攻击包括确定所述移动装置处的所接收信号强度指标，以及核实所述移动装置处的所述所接收信号强度指标是否在信号电平容差内匹配所述进入控制装置的所接收信号强度指标。

除了以上或以下所描述的特征中的一个或多个之外，或作为替选方案，进一步实施方案可包括其中确定是否检测到所述中继攻击包括从所述进入控制装置接收寻求进入的人员的生物计量指标，以及确认所述生物计量指标是否匹配所述移动装置的所述用户。

除了以上或以下所描述的特征中的一个或多个之外，或作为替选方案，进一步实施方案可包括其中确定是否检测到所述中继攻击包括利用具有不同的通信范围距离的多个通信信道来确认接近度并且传输数据。

除了以上或以下所描述的特征中的一个或多个之外，或作为替选方案，进一步实施方案可包括其中所述进入控制装置是车辆的部件，并且所述方法包括核实所述移动装置的位置和所述车辆的位置在所述车辆移动时是否仍然对准，在所述车辆移动时执行周期性重新认证，以及周期性地确认所述车辆与所述移动装置之间的通信是否仍然有效。

根据另一个实施方案，一种进入控制系统包括：进入控制装置，其能操作来控制锁致动器以打开锁；以及移动装置应用程序，其能由移动装置执行。所述进入控制系统被配置来通过所述移动装置无线地检测所述进入控制装置的可用性，确定所述移动装置的用户使所述进入控制装置打开所述锁的预测意图，以及确定是否检测到中继攻击。基于检测到所述中继攻击，输出用以确认所述移动装置的所述用户使所述进入控制装置打开所述锁的意图的提示。基于未检测到所述中继攻击，基于肯定地确认所述意图或所述预测意图，响应于凭证而通过所述进入控制装置启动所述锁致动器以打开所述锁。

根据一个实施方案，一种通过进入控制装置提供无缝进入的方法包括基于位置信号和信标信号通过移动装置检测所述进入控制装置的可用性。在所述移动装置处监视所述进入控制装置的所接收信号强度指标。基于确定所述所接收信号强度指标超过阈值来确认所述移动装置的用户使所述进入控制装置打开锁的意图。基于肯定地确认所述意图，响应于凭证而通过所述进入控制装置启动锁致动器以打开所述锁。

本公开的实施方案的技术效应包括增强进入控制系统的安全性特征以防止/检测未授权进入尝试。

前述特征和元件可以用各种组合方式来组合而无排他性，除非另外明确指示。鉴于以下描述内容和附图，这些特征和元件以及其操作将变得更加显而易见。然而应了解，希望以下描述内容和附图本质上是说明性和阐释性的并且是非限制性的。

附图说明

以下描述不应视为以任何方式进行限制。参考附图，相似的元件的编号相同：

图1例示根据本公开的一个实施方案的用户认证系统的一般示意性系统图；

图2例示根据本公开的一个实施方案的用户认证系统的框图；

图3是例示根据本公开的一个实施方案的由用户认证系统执行的凭证管理方法的流程图；

图4是例示根据本公开的一个实施方案的凭证管理方法的流程图；

图5例示中继攻击情形的框图；并且

图6是例示根据本公开的一个实施方案的移动装置与进入控制装置之间的安全通信过程的流程图。

具体实施方式

参考附图，本文通过举例而非限制的方式呈现所公开的设备和方法的一个或多个实施方案的详细描述。

图1示意性地例示进入控制系统10。系统10通常包括移动装置12、服务器14和示意性地例示为16a、16b，......，16n的多个进入控制装置16。应了解，尽管特定的系统是在示意性框图中单独地界定，但系统中的每个或任一个可通过硬件和/或软件被另外组合或分离。在一个实施方案中，进入控制装置16可通过门来控制对安全区域如建筑物的房间的进入。在另一个实施方案中，进入控制装置16可通过车辆门或存储隔室控制进入。

移动装置12是能操作以与服务器14和进入控制装置16通信的无线能力手持式装置如智能电话或平板计算机。服务器14可向移动装置12提供凭证和其它数据，如将要传达给进入控制装置16中的一个或多个的固件或软件更新。尽管服务器14在本文中描绘为单个装置，但应了解，服务器14可替代地体现为许多系统，移动装置12从所述许多系统接收凭证和其它数据。

每个进入控制装置16是无线能力、受限访问，或受限使用装置如无线锁、用于建筑物入口的进入控制阅读器、电子银行控制装置、数据传递装置、钥匙分配器装置、工具分配装置，和其它受限使用机器。移动装置12将凭证提交给进入控制装置16，借此选择性地容许用户进入或启动进入控制装置16的功能。用户可例如将凭证提交给电动机械锁以将所述电动机械锁解锁，并且借此获得对受限区域的进入。在另一个实例中，用户可将凭证提交给电子银行控制装置以取出存款。在仍然另一个实例中，用户可将凭证提交给分配具有与所述凭证相关联的数据或从所述凭证检索的数据的钥匙卡的单元。

移动装置12可存储用于以上所述实例中的一个或全部或其它实例的凭证，并且另外可同时存储用于每个类型的应用的多个凭证。一些凭证可用于多个进入控制装置16。例如，设施中的多个电子锁可响应于同一凭证。其它凭证可特定于单个进入控制装置16。

参考图2，示例性电子锁系统20的框图包括进入控制装置16a、移动装置12，和服务器14。进入控制装置16a通常包括锁致动器22、锁控制器24、锁天线26、锁收发器28、锁处理器30、锁存储器32、锁电源供应器34、锁读卡器90和凭证模块36。进入控制装置16a可实质上具有两个阅读器，用来读取物理钥匙卡92的一个阅读器90和用来通过锁处理器30和收发器28和天线26与移动装置12通信的凭证模块36。进入控制装置16a响应来自移动装置12的凭证，并且可例如为门锁。尽管本公开主要集中在用于进入控制的凭证，但应了解，其中将凭证从移动装置传输到进入控制装置以便向在线系统识别用户或在离线系统中验证用户进入权或许可的其它系统将受益于本公开。此类系统包括虚拟或电子银行系统、机器操作系统、分配系统，和数据访问系统。

在使用凭证模块36接收和认证来自移动装置12的适当凭证时，或在从锁读卡器90接收卡数据之后，锁控制器24命令锁致动器22以锁定或解锁机械或电子锁。锁控制器24和锁致动器22可为单个电子或电动机械锁单元的部分，或可为单独地出售或安装的部件。

锁收发器28能够将数据传输到至少移动装置12和从所述移动装置12接收数据。锁收发器28可例如是近场通信(nfc)、蓝牙，或wi-fi收发器，或另一个适当的无线收发器。锁天线26是对于锁收发器28适当的任何天线。锁处理器30和锁存储器32分别是数据处理和存储装置。锁处理器30可例如为微处理器，所述微处理器可处理指令以验证凭证并且确定凭证中所包含的进入权或将来自收发器的消息传送到凭证模块36并从凭证模块36接收回响应指示。锁存储器32可为ram、eeprom，或其它存储介质，其中锁处理器30可以读取并写入数据，所述数据包括但不限于锁配置选项和锁审查跟踪。锁审查跟踪可为统一审查跟踪，所述统一审查跟踪包括通过经由移动装置12访问锁引发的事件。锁电源供应器34为电源如线路功率连接、功率收集(scavenging)系统，或对锁控制器24供电的电池。在其他实施方案中，锁电源供应器34可仅对锁控制器24供电，并且锁致动器22主要或完全由另一个源供以动力，所述另一个源如用户工作(例如，转动门栓)。

虽然图2示出连接至处理器30的锁天线26和收发器28，但这将不限制可具有直接连接至凭证模块36的额外天线26和收发器28的其它实施方案。凭证模块36可包含收发器28和天线26作为凭证模块36的部分。或者凭证模块36可与处理器30相分离地具有收发器28和天线26，所述处理器30也具有相同类型或不同类型的单独收发器28和天线26。在一些实施方案中，处理器30可将通过收发器28接收的通信路由到凭证模块36。在其他实施方案中，凭证模块可通过收发器28直接传达给移动装置12。在其他实施方案中，凭证模块36可为全部在处理器30内执行的软件模块。

移动装置12通常包括钥匙天线40、钥匙收发器42、钥匙处理器44、钥匙存储器46、全球定位系统(gps)接收器48、输入装置50、输出装置52，和钥匙电源供应器54。钥匙收发器42为对应于锁收发器28的类型的收发器，并且钥匙天线40为对应的天线。在一些实施方案中，钥匙收发器42和钥匙天线40还可以用来与服务器14通信。在其他实施方案中，可包括一个或多个单独收发器和天线来与服务器14通信。钥匙存储器46具有用来将多个凭证本地地存储在移动装置12上的类型。在其他实施方案中，移动装置12在其传达到进入控制装置16a的同时与服务器14通信。这是在线配置，并且在这个实施方案中，移动凭证被实时检索并传送到凭证模块36而无需首先存储在移动装置12上的钥匙存储器46中。移动装置12还可包括移动装置应用程序80。本文所公开的实施方案可以通过安装在移动装置12上的移动装置应用程序80操作。

参考图3，方法100用来促进通信凭证，所述凭证表示将正常地被物理编码在钥匙卡92上的数据，所述数据以数字形式被检索(步骤110)，封装在加密的凭证中(步骤112)，下载到移动装置12(步骤114)，安全地传送到凭证模块36(步骤116)，所述凭证模块36解密并且验证凭证(步骤118)，提取虚拟卡数据(步骤120)，然后将虚拟卡数据传送到锁控制器24中作为“虚拟卡读取”(步骤122)。这例如容许用户绕过酒店的前台并且直接去往他们的房间，如将进一步描述。可使用如aes、ecc、rsa等的密码算法，使用用于数字证书创建和加密的众所周知的技术，通过服务器14生成加密的凭证。例如，凭证可包含但不限于包括凭证标识符、唯一进入控制装置16标识符、唯一凭证模块36标识符、与多个进入控制装置共享的标识符、指示凭证的类型或格式的参数，其可包含加密的数据如虚拟卡数据，并且其可包含数字签名。加密的数据可用可为凭证模块36已知的aes-128加密密钥进行加密。或者其可用可根据凭证中所包含的信息确定的导出加密密钥进行加密。此外，数字签名可为cbc-mac类型的签名，所述cbc-mac类型的签名基于例如凭证模块36可已知的aes-128加密密钥。或者，其可为基于服务器14已知的私有密钥的数字签名，并且可通过凭证模块36已知的公共密钥验证。

参考图4，一个示例性绕过前台方法200由用户发起，所述用户首先通过酒店支持的任何过程如移动预订、网站、旅行代理等预订酒店房间(步骤210)。稍后，登记入住手续确认他们的停留(步骤212)。再次，这可通过酒店支持的任何过程执行。

接下来，在登记入住时基于客人偏好(或房间选择)和房间可用性在酒店财产管理系统60中指派房间(步骤214)。酒店财产管理系统60可使用由前台应用程序62提供的软件到软件应用程序编程接口(api)来请求呈数字形式的卡数据(步骤216)。前台应用程序62的范围可从独立编码器64到在云中运行的完整软件包，所述完整软件包能操作以编码用于被选择的房间的虚拟卡并且将虚拟卡数据返回到酒店系统(步骤218)。

接着，在酒店系统已经认证用户并且已经指定房间停留预订之后，酒店财产管理系统60可向凭证服务70做出另一个软件到软件api呼叫(步骤220)。相关信息是用包括例如用于停留的什么酒店财产、什么房间、什么客人(例如用户id)、什么日期以及虚拟卡数据的指示传达给凭证服务70。

与将虚拟卡数据发送到凭证服务70同时或顺序地，酒店财产管理服务60将登记入住被确认并且房间被指派(步骤222)的指示传达给用户(再次，通过任何常规方法)。

接下来，基于移动装置12的移动应用程序80可利用移动库82中的软件到软件api(步骤224)以从凭证服务70下载凭证(步骤226)。移动库82可用早先建立的共享秘密向凭证服务70安全地认证，所述早先建立的共享秘密可在每一个成功连接时改变。

一旦认证，凭证服务70可在来自移动库82的通信时生成用于用户的凭证，并且将在步骤220中针对与移动库的这个实例相关联的客人接收的虚拟卡数据加密到凭证中。可针对每个门或进入点生成一个凭证，并且虚拟卡数据将在这些单独凭证中的每一个中是相同的，但是可用用于特定的门或进入点的唯一密钥进行加密。加密方法可为aes、3des，或其它这样的加密方法。所使用的方法和凭证的类型可为压缩数字证书或基于标准的证书如x.509或本领域已知的其他证书格式。也就是说，例如，虚拟卡数据是用凭证模块36已知并且凭证服务70知道或能确定的唯一密钥加密到凭证中。

移动库82可使用具有装置特定的信息例如udid、imei、imsi、mac地址等的数据的本机os保护和额外加密来将凭证的列表下载并且存储在移动装置12上。既然登记入住完成并且加密的移动凭证(具有虚拟卡数据)常驻于移动装置12(图2)上，用户可在任何稍后时间以离线模式操作进入控制装置16而不需要移动装置12连接至凭证服务70。例如，在用户希望进入他们的房间的同时，额外实施方案可使移动装置12在移动装置正传达给进入控制装置16的同时下载凭证。

当用户希望进入他们的房间(步骤228)时，用户的意图可被确定为预测意图而不需要额外步骤如做出手势、点击按钮、在屏幕上轻敲、读取指纹、需要口令输入等。在一些条件下，可向用户提示意图并且用户可根据信号意图响应以获得进入。意图预测可用于防止用户在进入时必须与移动装置12直接接口的“无缝”进入。无缝进入可包括在移动装置12上的“背景”中运行的移动应用程序80，其中所述移动应用程序80与连续地或周期性地确定意图预测一起连续地或周期性地扫描信号通告，如来自范围内进入控制装置16的蓝牙低功耗(btle)通告。当在附近存在装置并且做出意图预测时，然后移动应用程序80可自动地引发到进入控制装置16的凭证传递。可通过移动装置12检测信号通告(例如，来自进入控制装置16的通告或来自图1-6中未示出的一些其它装置的信标信号(例如，ibeacon信号))并使移动应用程序80在背景中运行并且开始扫描，在一些移动装置12上促进背景扫描。或者，可通过移动装置12基于例如gps或其它定位系统检测地理位置，并且基于使移动应用程序80在背景中运行并开始扫描的位置检测来促进背景扫描。除扫描之外，应用程序80可自动地开始预测意图。例如，当检测到与门把手的接触时，可通过移动装置12与锁的接近度推断意图预测。接近度可通过如通过移动装置12测量并向移动应用程序80指示的信号通告的所接收信号强度(rssi)指标来确定。当意图预测指示用户应认证时，移动应用程序80可再次呼叫移动库82中的软件到软件api以引发加密的移动凭证到进入控制装置16的安全传递(步骤230)。当应用程序80引发传递时，移动库82可以在下一步骤中单独地实现安全传递。

凭证的安全传递(步骤232)可从移动库82收听信号通告的过程开始，所述信号通告如来自范围内进入控制装置16的btle通告。也就是说，进入控制装置16用指示进入控制装置16的标识符的通告数据以周期速率通告它们的存在，并且移动装置12可收听且自动地连接而无需人员按下按钮以唤醒睡眠的电池供电锁16或走出车辆以与车库门或其它装置上的阅读器接入点交互。阅读器接入点是另一种类型的锁16。另一个实施方案将使用近场通信(nfc)并且用户朝向锁16“轻敲”他们的移动装置12，并且安全凭证交换将移动凭证传递到进入控制装置16(步骤232)。可使用标准技术如建立会话密钥、加密通信消息，和验证消息发送器和接收器的真实性来进行安全凭证交换。移动库82可引发无线连接，并且执行加密的移动凭证的安全传递(步骤232)。安全传递可以利用唯一会话加密密钥以及标准密码算法和技术。应了解，数据可以通过任何无线链路安全地传输，所述任何无线链路包括但不限于btle、zigbee、近场通信等。

凭证模块36可接收加密的移动凭证，然后验证并且解密加密的移动凭证以检索虚拟卡数据。解密和验证可包括但不限于验证数字签名、验证凭证的类型、验证凭证标识符匹配锁存储器32中的标识符、验证凭证的开始日期和到期日期、验证凭证的源等(步骤118；图3)。一旦验证并且解密，提取虚拟卡数据(步骤120；图3)。

虚拟卡数据然后可取决于实施方案而通过硬件和软件接口传达到锁控制器24，所述锁控制器24可进一步解密虚拟卡数据，基于锁供应商规则处理数据，然后如果容许进入则打开锁(步骤234)。值得注意的是，虚拟卡数据被传达到锁控制器24中作为呈等效于物理钥匙卡的那个数据格式的数据格式的“虚拟卡读取”。这因而容许传统客人钥匙卡92如家庭成员，或仅想要物理钥匙卡92的拷贝的客人的那个钥匙卡的使用，以及移动装置12的使用。

由移动装置12上载的审查跟踪可仅仅是由移动装置12自身生成的审查，或者可为统一审查包括客人使用物理钥匙卡打开。另外，当锁16被打开时，其电池状态或其它维护信息可从移动装置12到凭证服务70上载到审查跟踪中，使得可通知酒店低电池条件并且酒店可主动改变电池，或执行其它维护。与审查跟踪相关联的其它信息可包括例如失败的打开或失败的尝试或未通过验证的凭证。

“虚拟卡读取”的使用维持相连的审查跟踪并且也维持已经编码到传统卡数据中的用于进入控制的所有已知使用情况。此外，凭证模块36是锁供应商不可知的，使得任何锁供应商的数据可被一直传送以允许每个锁供应商独立地刷新卡数据。此外，凭证模块36可由相比于锁16的不同公司供应。并且，除了像将要编码、加密、传递、检索并输送的数据对象一样处置卡数据以外，服务器14、移动装置12，和凭证模块36没有办法进一步解密或验证卡数据。另外，可离线使用“虚拟卡读取”而无需移动装置12使用连接到凭证服务的wi-fi连接或实时连接而为在线的。也就是说，用于“虚拟卡读取”的数据存储在移动装置12上并且是以离线模式安全地传送到凭证模块36。这将不限制也以在线模式发送“虚拟卡读取”的能力。额外利益在于，除了使用凭证模块36之外，任何进入控制装置16可以使用任何卡类型，其中卡类型包括但不限于磁条、rfid、接近度等。

在另一个公开的非限制实施方案中，凭证模块36可用于许多目的，包括但不限于将数据传送到自助硬钥匙分配器单元98，所述自助硬钥匙分配器单元98产生物理钥匙卡92。硬钥匙分配器单元98具有凭证模块36，所述凭证模块36接收虚拟卡数据，解密、提取并且发送到锁控制器24，所述锁控制器24被配置来将数据编码到物理钥匙卡92上。也就是说，移动装置12上的虚拟卡数据通过单元98写入到物理钥匙卡92并且以自动方式分配钥匙卡92。单元98除用于钥匙卡92的分配元件和单元电源之外不需要任何用户接口，包括但不限于电池、主线功率、能量采集等。用于单元98的用户接口实际上是移动装置12的接口。当单元98开始耗尽空白钥匙卡92时，移动装置12可上载到凭证服务器70，作为可被变成通知酒店单元98需要被重新填满的报告的状态的指示。

在其他公开的非限制实施方案中，虚拟卡数据可为用于标记访问系统的标准访问控制卡数据(即，识别数据)，或整合到自动售货机中并且虚拟卡数据作为信用卡信息、令牌、采购参考标识符等。

现在参考图5，同时参考图1-4。图5出于解释的目的描绘中继攻击情形300的实例。中继攻击可发生在移动装置12与进入控制装置16a之间，在图5的实例中通过攻击者装置312a发生，所述攻击者装置312a跨于中继网络310将预期用于进入控制装置16a的通信转播到同谋装置312b，所述同谋装置312b在本地与进入控制装置16a通信。在没有直接提示移动装置12的用户以确认使进入控制装置16a打开锁的意图的无缝通信系统中，移动装置12的用户可能不知道关于装置312a、312b和进入控制装置16a发生的中继通信。为了防止中继攻击情形300成功，实施方案可确保进入尝试受移动装置12与进入控制装置16a之间的紧密物理接近度的约束并且尝试检测中继攻击在通信期间的发生。

图6描绘根据本公开的一个实施方案的在移动装置12与进入控制装置16之间的安全通信过程的方法400的流程图。方法400的步骤可通过移动装置12上的移动装置应用程序80执行。将理解，当检测到用户的意图时，移动装置12的用户的意图被传递到移动装置应用程序80，并且因而用户的意图变成移动装置应用程序80的意图。

在框402处，移动装置12无线地检测进入控制装置16a的可用性。可基于收听来自进入控制装置16a的通告和/或发送请求并等待进入控制装置16a的可用性的响应来检测可用性。

在框404处，移动装置12确认进入控制装置16a与移动装置12的物理接近度。例如，移动装置12可通过核实在移动装置12处检测到如由进入控制装置16a传输的至少两个不同信号功率电平(例如，作为在不同功率电平处传输的多个btle信号)来确认物理接近度。例如，第一通告可由进入控制装置16a在非常高的功率电平处传输并且第二通告可在低得多的功率电平处。第一通告和第二通告将具有相同数据。攻击者装置312a可仅复制第一通告。因此，移动装置12可检测通告之间的信号电平模式丢失并且确定其并未接近于进入控制装置16。用于接近度确认的通信和/或数据传输可利用具有不同的通信范围距离的多个通信信道，如用于接近度的nfc和用于数据传输的蓝牙。不同的通信信道类型的使用可以与信号功率电平模式组合来进一步增强系统稳健性。作为另一个实例，可通过由移动装置12核实进入控制装置16a的通信地址(例如，蓝牙地址)匹配预期地址值来确认物理接近度。可通过检查通告中所包含的数据来确定预期地址。数据可包括进入控制装置16的唯一标识符。根据从这个标识符，移动装置12可检索预期通信地址。可从一个或多个位置，如例如从服务器14、从凭证，和/或从用凭证下载的数据检索预期通信地址。如果预期地址不匹配实际地址，则移动装置可以确定其并未接近于进入控制装置16。

在框406处，当进入控制装置16在附近时，移动装置12开始与进入控制装置16通信，并且意图预测(图4中的步骤228)被确定。

在框408处，移动装置12可在与进入控制装置16通信期间确定是否检测到中继攻击。可通过核实移动装置12与进入控制装置16a之间的往返通信延迟是否处于或低于预定延迟限值来检测中继攻击。如果超过延迟限值(例如，其费时太久而不能往返发送消息)，则检测到攻击，因为其花费额外的时间在攻击者装置312a与同谋装置312b之间跳跃。也可以通过将进入控制装置16a的当前位置(例如使用gps数据)与进入控制装置16a的预期位置进行比较加以来检测中继攻击。可例如基于进入控制装置16a的位置信号(例如，gps或ibeacon)和/或最近已知位置来确定预期位置。可通过核实由移动装置12的麦克风检测到进入控制装置16a的预期音频信号输出(例如，音频“啁啾声”)来检测中继攻击。可通过移动装置12和进入控制装置16a两者确定相应的所接收信号强度指标并交换相应的信号强度指标并且核实信号强度指标在信号电平容差内彼此相关来检测中继攻击。例如，如果攻击者装置312a远离移动装置12但同谋装置312b非常靠近进入控制装置16a，则移动装置12所接收信号强度非常低但进入控制装置16a信号强度非常高。这个失配将被检测为中继攻击。也可以通过从进入控制装置16a接收寻求进入的人员的生物计量指标如照片图像来检测中继攻击。通过自动匹配或用户辅助的检查，移动装置12可用来确认生物计量指标是否匹配移动装置12的用户。当将用装置312b的同谋的图片与用移动装置12的用户的预期图片相比较时，失配将被检测为中继攻击。用以上实例中的任一实例，如果预期信息或核对未通过，则已检测到中继攻击。

如果在框408处检测到中继攻击，则可引发框410处的用于意图的提示。框410处的提示可包括展示在移动装置12的屏幕上的消息。提示可包括由移动装置12发出的音频声音。提示可包括移动装置12的振动。可要求用户在提示之后信号传输意图。在一个实施方案中，在移动装置应用程序80被认证之后，检测移动装置应用程序80的用户占用特定进入控制装置16a的意图。在另一个实施方案中，在移动装置应用程序80被认证之前，检测移动装置应用程序80的用户占用特定进入控制装置16a的意图。意图可通过各种方法来展示。在一个实施方案中，可通过朝向希望进入的进入控制装置16移动来展示意图，所述进入控制装置16可通过移动装置12与进入控制装置16之间的距离确定。距离可通过所接收信号强度推断。例如，如果信号强度上升，则包含移动装置应用程序80的移动装置12可正移动得更近。在一个实施方案中，rssi必须越过阈值以信号传输意图。在另一个实施方案中，可通过朝着特定进入控制装置16a或可操作地连接至特定进入控制装置16a的另一个阅读器轻敲包含移动装置应用程序80的移动装置12来展示意图。轻敲可通过移动装置12中的加速度计检测并且还与非常高的rssi耦合，所述非常高的rssi展示正朝着哪个进入控制装置16轻敲。在另一个实施方案中，还可以基于过去行为来推断意图，如例如包含移动装置应用程序80的移动装置12通常通过具有对应的进入控制装置16的特定入口进入建筑物。在又一个实施方案中，可由用户通过移动装置应用程序80在移动装置12的屏幕上做出选择来展示意图。例如，一个或多个进入控制装置16的名称的列表可以显示在屏幕上并且用户可以选择进入控制装置16中的一个。

如果在框408处未检测到中继攻击，则可跳过用于意图的提示410，并且可在框412处使用来自框406的意图预测。在框412处，如果意图在框410处被信号传输或意图在框406处被预测，则可执行框414；否则，流程可一直返回到框402以继续监视。在框414处，启动进入控制装置16a内的锁致动器22。

在进入控制装置16是车辆的部件的部分的实施方案中，移动装置12可核实移动装置12的位置和车辆的位置在车辆移动时是否仍然对准(例如，使用gps信息)。如果它们不对准，则中继攻击可能已发生并且车辆正在移动而没有用户和移动装置12存在于车辆内。在车辆移动时可执行周期性重新认证。移动装置12可周期性地确认车辆的进入控制装置16与移动装置12之间的通信是否仍然有效。如果通信不是有效的，则中继攻击可能已发生并且车辆正在移动而没有用户和移动装置12存在于车辆内。

在一个实施方案中，锁致动器22仅可在包含移动装置应用程序80的移动装置12在远离特定进入控制装置16a的选定的距离处时被启动。距离可通过许多不同方法来确定，所述方法包括但不限于通过rssi检测所接收信号强度的电平以确定距离；可以或可不利用蓝牙(除wifi外)的室内定位系统；gps系统；以及通过确定从移动装置到另一个装置的距离的领域中的技术人员已知的任何其它方式。

虽然以上描述已经以特定顺序描述了图3-6的流程过程，但是应当理解，除非对所附权利要求书另有特别要求，否则步骤顺序可改变。

如以上所描述，实施方案可呈处理器实现过程和用于实践这些过程的装置(如处理器)的形式。实施方案还可呈包含体现在有形介质中的指令的计算机程序代码的形式，所述有形介质如网络云存储、sd卡、快闪驱动器、软盘、cdrom、硬盘驱动器或任何其它计算机可读存储介质，其中当计算机程序代码被加载到计算机中并由其执行时，所述计算机成为实践实施方案的装置。实施方案还可呈计算机程序代码的形式，例如，不管所述计算机程序代码存储在存储介质中、加载到计算机中且/或由其执行，或者通过某种传输介质传输、加载到计算机中且/或由其执行，或者通过某种传输介质如通过电线或电缆、通过光纤或通过电磁辐射传输，其中当计算机程序代码被加载到计算机中并由其执行时，所述计算机成为实践实施方案的装置。当实现在通用微处理器上时，所述计算机程序代码段配置微处理器以创建特定的逻辑电路。

术语“约”意图包括基于提交申请时可用的设备的与测量特定的量相关联的误差度。例如，“约”可包括给定值的±8％或5％或2％的范围。

本文所用的术语仅出于描述特定实施方案的目的并且不意图限制本公开。如本文所使用，除非上下文另外明确指示，否则单数形式“一(a/an)”和“所述(the)”也意图包括复数形式。还应理解，术语“包括(comprises)”和/或“包括(comprising)”在本说明书中使用时，规定所陈述的特征、整数、步骤、操作、元件和/或部件的存在，但是并不排除一个或更个其他特征、整数、步骤、操作、元件部件和/或其群组的存在或增添。

虽然已经参考一个或多个示范性实施方案描述了本公开，但是本领域技术人员将理解，在不脱离本公开的范围的情况下，可以进行各种改变并且可以用等效物替代其元件。此外，在不脱离本公开的基本范围的情况下，可以进行许多修改以使特定情况或材料适应本公开的教义。因此，预期本公开不限于作为设想来用于执行本公开的最佳模式而公开的特定实施方案，而是本公开将包括属于权利要求范围内的所有实施方案。