具有中继攻击防止的被动进入被动启动（PEPS）系统的制作方法

本公开涉及被动进入被动启动(PEPS)系统。

背景

被动进入被动启动(PEPS)系统和远程无钥匙进入(PKE)系统包括便携式远程控制单元和基站。远程控制单元(例如智能钥匙(“FOB”))由用户携带。基站在目标设备(例如交通工具)处。智能钥匙和基站彼此无线地进行通信以用于目标设备的远程控制。

由交通工具PEPS系统提供的被动进入功能包括当经授权的智能钥匙被带到交通工具的附近区域内时将车门自动解锁。PEPS系统可响应于车门把手被触摸而检测经授权的智能钥匙。由交通工具PEPS系统提供的被动启动功能包括当拥有经授权的智能钥匙的用户按下在驾驶员的座椅附近的启动按钮时自动启动交通工具。

“中继攻击”是用于欺骗交通工具PEPS系统的过程。当交通工具用户远程位于远离交通工具时，中继攻击通常由两个贼执行。每个贼具有收发器。第一贼站在交通工具附近。第二贼站在携带经授权的智能钥匙的交通工具用户附近。中继攻击以第一个贼触摸门把手或按下启动按钮开始。PEPS系统的基站通过依据普通认证过程传输短距离通信来做出响应。与第一贼的收发器不同，智能钥匙太遥远而不能接收到短距离通信。第一贼的收发器将短距离通信中继到第二贼的收发器。第二贼的收发器将短距离通信重新传输到智能钥匙。智能钥匙通过用授权信息回复来做出响应。第二贼的收发器将授权信息中继到PEPS系统的基站。基站转而使车门被解锁或交通工具被启动。简而言之，中继攻击包括在没有交通工具用户的允许的情况下在相对长的距离上中继短距离PEPS 通信。

概述

方法包括在便携式控制器和在目标处的基站之间同时传输授权信号和飞行时间(ToF)测距信号以根据授权信号确认控制器是否被授权用于控制目标功能并根据ToF测距信号确认控制器是否在目标的范围内。该方法还包括当控制器不在目标的范围内时防止目标功能被控制。

该方法还可包括当控制器在目标的范围内且控制器被授权控制目标功能时使目标功能能够被控制。

该方法还可包括在控制器和基站之间传输授权信号之前在控制器和基站之间传输唤醒信号以唤醒控制器并向基站确认控制器是醒着的。在这种情况下，该方法还可包括检测用户与目标的交互，且在用户交互被检测到后开始在控制器和基站之间传输唤醒信号。

可在控制器和基站之间使用低频(LF)和超高频(UHF)通信来传输授权信号，并且可在控制器和基站之间使用超宽带(UWB)通信来传输ToF测距信号。

可在控制器和基站之间使用超宽带(UWB)通信来传输授权信号和ToF测距信号。

该方法还可包括在将授权信号从基站传输到控制器时和在根据授权信号确认控制器是否被授权用于控制目标功能时使用基站的第一微控制器，以及在将ToF测距信号从基站传输到控制器时和在根据ToF测距信号确认控制器是否在目标的范围内时使用基站的第二微控制器。

该方法还可包括在将授权信号从控制器传输到基站时使用控制器的原电池以及在将ToF测距信号从控制器传输到基站时使用控制器的二次电池，其是可再充电的(利用来自原电池的能量)。

系统包括远程控制单元和在目标处的基站。控制单元和基站被配置成在彼此之间同时传输授权信号和ToF测距信号。基站还被配置成根据授权 信号确认控制单元是否被授权用于控制目标功能并根据ToF测距信号确认控制单元是否在目标的范围内。基站还被配置成当控制单元不在目标的范围内时防止目标功能由控制单元控制。

附图简述

图1示出具有便携式远程控制单元和基站的远程控制系统的框图；

图2更详细地示出远程控制单元的框图；

图3更详细地示出基站的卫星单元的框图；

图4示出在远程控制单元和基站之间的唤醒、授权/认证和飞行时间通信信号的时序图；

图5示出在远程控制单元与基站的第一卫星单元和第二卫星单元之间的飞行时间通信信号的时序图；

图6示出还被配置成提供接近检测特征的、远程控制单元和基站的卫星单元的框图；

图7A示出在被编程到基站的多个远程控制单元之一和基站之间的唤醒、授权/认证和飞行时间通信信号的时序图；以及

图7B示出在被编程到基站的多个远程控制单元中的两个和基站之间的唤醒、授权/认证和飞行时间通信信号的时序图。

详细描述

在本文公开了本发明的详细实施方式；然而应理解，所公开的实施方式仅仅是可被以各种和可选形式来体现的本发明的示例。附图不一定按比例绘制；一些特征可放大或最小化以示出特定部件的细节。因此，本文公开的特定结构和功能细节不应被解释为限制性的，而是仅仅作为用于教导本领域中的技术人员多方面地采用本发明的代表性基础。

现在参考图1，示出远程控制系统10的框图。远程控制系统10包括便携式远程控制单元12和基站14。基站14在目标设备处。目标设备被假 设是交通工具。在其它实施方式中，目标设备是房子、车库、大门(gate)、建筑物、门(door)、照明系统等。基站14被配置成能够控制交通工具的功能。远程控制单元12和基站14可操作来无线地将信号传输到彼此/从彼此接收信号以使远程控制单元能够经由基站远程地控制交通工具。

远程控制系统10被配置成执行被动进入被动启动(PEPS)功能。PEPS能力使远程控制单元12能够在没有远程控制单元的用户致动的情况下远程地自动(或“被动地”)控制交通工具。作为被动进入功能的例子，基站14响应于被带到正被检测的交通工具的附近区域内的远程控制单元12的存在而将车门解锁。当携带远程控制单元的用户触摸交通工具的门把手时，基站14可检测被带到交通工具的附近区域内的远程控制单元12的存在。作为被动启动功能的例子，当拥有远程控制单元12的用户按下在交通工具仪表板上的启动按钮时基站14启动交通工具。

远程控制系统10还可被配置成执行远程无钥匙进入(RKE)功能。RKE能力使远程控制单元12能够响应于远程控制单元的按钮或类似物的用户致动而远程地控制交通工具。作为RKE功能的例子，基站14响应于从远程控制单元12接收到车门解锁命令而将车门解锁。远程控制单元12响应于远程控制单元的相应的用户致动而将车门解锁命令传输到基站14。

远程控制单元12是将由用户携带的便携式设备。远程控制单元12被假设为智能钥匙(“fob”)。在其它实施方式中，远程控制单元12是智能电话、平板电脑、穿戴式设备(例如智能手表)等等。

一般而言，关于PEPS能力，智能钥匙12和基站14参与一系列通信：(i)唤醒、(ii)授权/认证(“授权”)和(iii)飞行时间(“ToF”)通信。授权通信接着唤醒通信发生。ToF通信与授权通信同时发生，并可与唤醒通信同时发生。

在智能钥匙12和基站14之间的唤醒通信涉及“唤醒”智能钥匙。当检测到用户行动(例如触摸门把手或按下交通工具启动按钮)时，唤醒通信开始。

一旦智能钥匙被唤醒，则在智能钥匙12和基站14之间的授权通信就 发生。授权通信涉及授权相应于检测到的用户行动的交通工具功能(例如将车门解锁或启动交通工具)的启用。授权通信旨在证实智能钥匙12被授权用于远程地控制交通工具。

在智能钥匙12和基站14之间的ToF通信用于确认智能钥匙在交通工具的附近区域内。ToF通信用于防止中继攻击。ToF通信涉及测量信号在智能钥匙12和基站14之间行进的时间。信号在其行进的时间的速率是已知的。因此，信号在智能钥匙12和基站14之间行进的时间是在智能钥匙和基站之间的距离的函数。因此，如果信号在智能钥匙12和基站14之间行进的时间太长，则智能钥匙不能在交通工具的附近区域内。在这种情况下，即使当授权通信授权交通工具功能的启用时，交通工具功能的启用也被防止。交通工具功能的启用被防止，因为授权交通工具功能的启用的授权通信是中继攻击的对象。

从检测到在智能钥匙12和基站14之间的ToF太长辨别出授权通信受到中继攻击的事实。例如，如上面所述的，在背景部分中，在中继攻击期间，过多的时间延迟通过由两个贼使用的收发器作为延长的往返时间的结果而发生。

因此，每当ToF通信指示智能钥匙12不在交通工具的附近区域内时，基站14不执行相应的交通工具功能(例如将车门解锁、启动交通工具)。也就是说，当ToF通信提供否定结果时，基站14不执行相应的交通工具功能。

当授权通信和ToF通信两者都提供肯定结果时，基站14执行相应的交通工具功能。也就是说，当(i)授权通信证实智能钥匙12被授权用于远程地控制交通工具以及(ii)ToF通信证实智能钥匙在交通工具的附近区域内时，基站14执行相应的交通工具功能。

如所指示的，在智能钥匙12和基站14之间的授权通信和ToF通信同时发生。以这种方式，授权通信和ToF通信两者一被执行(假设两者都是肯定的)，基站14就执行相应的交通工具功能。设想的是，ToF通信将比授权通信更快地结束。因此，假设ToF通信是肯定的，授权通信一以肯定的结果结束，基站14就执行相应的交通工具功能。ToF通信从而不将任何 延迟添加到唤醒/授权通信过程。

如图1所示，智能钥匙12包括低频(LF)接收器16、超宽带(UWB)收发器(发射器/接收器)18和超高频(UHF)发射器20。LF接收器16、UWB收发器18和UHF发射器20具有其自己的天线，如在图1中指示的。LF接收器16可操作来从基站14接收LF信号。UWB收发器18可操作来将UWB信号传输到基站14/从基站14接收UWB信号。UHF发射器20可操作来将UHF信号传输到基站14。

作为例子，LF操作频率范围在20到300kHz之间；UWB操作频率范围在3到10GHz之间，包括3.5到6.5GHz操作范围；以及UHF操作频率范围在300MHz到3GHz之间，包括300MHz到1GHz操作范围。

如在图1中进一步示出的，基站14包括远程功能致动器(FRA)(“控制器”)22和第一卫星单元24a。基站14可包括另外的卫星单元(例如第二卫星单元24b)。控制器22和卫星单元24a以及24b位于交通工具处。卫星单元24a和24b位于交通工具的相应位置(例如右交通工具侧面和左交通工具侧面)处。

控制器22包括LF发射器26和UHF接收器28。LF发射器26与一个或多个天线(例如天线30a、30b和30c)相关。天线30a、30b和30c位于交通工具的相应位置(例如中央控制台、右车门和左车门)处。LF发射器26可操作来经由天线30a、30b和30c将LF信号传输到智能钥匙12。UHF接收器28具有其自己的天线并可操作来从智能钥匙12接收UHF信号。卫星单元24a和24b包括相应的UWB收发器32a和32b。UWB收发器32a和32b可操作来将UWB信号传输到智能钥匙12/从智能钥匙12接收UWB信号。

在智能钥匙12和基站14之间的唤醒、授权和ToF通信使用智能钥匙的LF接收器16、UWB收发器18和UHF发射器20、控制器22的LF发射器26和UHF接收器28以及第一卫星单元24a的UWB收发器32a而发生。现在将描述在智能钥匙12、控制器22和第一卫星单元24a的接收器、发射器和收发器之间的唤醒、授权和ToF通信。(第二卫星单元24b的UWB收发器32b也可用于ToF通信，但为了简单起见它的描述将被省略。)

控制器22响应于检测到用户行动(例如触摸门把手或按下交通工具启动按钮)而发起唤醒通信过程。在这个方面中，控制器22包括门把手检测输入端34和交通工具启动按钮检测输入端36。当用户行动被检测到时，控制器22的LF发射器26沿着LF通信链路38传输LF唤醒信号用于由智能钥匙12接收。智能钥匙12响应于智能钥匙的LF接收器16接收到LF唤醒信号而醒来。智能钥匙12的UHF发射器20转而沿着UHF通信链路40传输UHF确认信号用于由控制器22接收。

当控制器22的UHF接收器28接收到UHF确认信号时，控制器22开始授权通信。授权通信以控制器22的LF发射器26沿着LF通信链路38传输LF加密的挑战信号用于由智能钥匙12接收开始。当智能钥匙的LF接收器16接收到LF挑战信号时，智能钥匙12产生响应于挑战信号的响应。智能钥匙12的UHF发射器20转而沿着UHF通信链路40传输UHF加密的响应用于由控制器22接收。

控制器22的UHF接收器28接收UHF加密的响应。控制器22分析来自智能钥匙12的响应以确定该响应是否满足挑战信号。如果来自智能钥匙12的响应满足挑战信号，则控制器22确定智能钥匙被授权用于远程控制交通工具。当确定智能钥匙12被授权时，控制器22授权相应于检测到的用户行动的交通工具功能(例如将车门解锁或启动交通工具)的启用。

ToF通信与在智能钥匙12和控制器22之间的授权通信同时发生。通过智能钥匙12的UWB收发器18沿着UWB通信链路42a传输UWB初始ping信号用于由第一卫星24a接收，ToF通信开始。第一卫星24a的UWB收发器32a响应于接收到UWB ping信号而沿着UWB通信链路42a传输UWB请求信号(例如UWB测距确认信号)用于由智能钥匙12接收。当接收到UWB测距确认信号时，智能钥匙12的UWB收发器18沿着UWB通信链路42a传输UWB回复信号(例如UWB测距数据信号)用于由第一卫星单元24a接收。

在第一卫星单元24a的UWB收发器32a接收到UWB回复信号之后，控制器22测量从由第一卫星单元24a传输UWB请求信号到由第一卫星单元接收UWB回复信号的持续时间。如果持续时间比相应于预定距离的预 定持续时间长，则控制器22确定智能钥匙12不在交通工具的附近区域内(或更准确地，不在第一卫星单元24a的附近区域内)。当智能钥匙12被确定为不在交通工具的附近区域内时，控制器22防止交通工具功能的启用，而不管由控制器做出的授权决定。

可在智能钥匙和第二卫星单元24b之间执行在智能钥匙12和第一卫星单元24a之间的相同的ToF通信过程。这可完成以确定控制器22是否在第二卫星单元24b的位置的附近区域内。图5提供在智能钥匙12和第一卫星单元与第二卫星单元24a与24b之间的ToF通信的时序图。

如图1所示，控制器22还包括微控制器44和双局部互连网络(LIN)46。微控制器44监控门把手检测输入端34和交通工具启动按钮检测输入端36以检测门把手或交通工具启动按钮的用户致动。微控制器44操纵基站14的唤醒和授权通信过程。微控制器44在操纵相关的唤醒和授权通信时分别控制LF发射器26和UHF接收器28的传输操作和接收操作。微控制器44被配置成关于ToF通信经由双LIN 46与卫星单元24a和24b进行通信。如将关于图3更详细解释的，卫星单元包括操纵卫星单元的ToF通信过程的微控制器。微控制器44与卫星单元微控制器通信以获悉ToF通信是肯定的还是否定的(即获悉智能钥匙12是在交通工具的附近区域内还是不在交通工具的附近区域内)。

控制器22可经由交通工具网络(例如CAN总线48)与其它交通工具控制器(例如主体控制模块(BCM)50)进行通信。通过CAN总线48和BCM 50，控制器22可与防盗天线单元(IAU)52进行通信。IAU 52向智能钥匙12提供LF/LF防盗功能以用于备用启动(即：当智能钥匙的电池功率不够时)。

现在参考图2，继续参考图1，更详细示出智能钥匙12的框图。除了LF接收器16、UWB收发器18和UHF发射器20以外，智能钥匙12还包括第一微控制器54和第二微控制器56。第一微控制器54操纵智能钥匙12的唤醒通信过程和授权通信过程。第一微控制器54在操纵相关的唤醒通信和授权通信时分别控制LF接收器16和UHF发射器20的接收操作和传输操作。第二微控制器56操纵智能钥匙12的ToF通信过程。第二微控 制器56在操纵相关的ToF通信时控制UWB收发器18的接收操作和传输操作。

智能钥匙12的第一微控制器和第二微控制器54和56被配置成经由串行外围接口(SPI)58彼此通信。微控制器54和56关于ToF通信彼此进行通信。例如，第一微控制器54使第二微控制器56能够传输UWB初始ping信号，且第二微控制器向第一微控制器建议接收UWB请求信号和传输UWB回复信号。

智能钥匙12还包括具有原电池62和可再充电的二次电池64的电池装置60。来自原电池62的电池功率(Batt)给微控制器54和56供电。二次电池64是可再充电的(使用来自原电池62的电池功率)。与原电池62不同，二次电池64具有在短时间段期间提供高电池电流的能力。当UWB收发器18传输UWB信号时，二次电池64向UWB收发器18提供该高电池电流。UWB收发器18需要这样的高电池电流用于其操作以在ToF通信过程期间接收/传输UWB信号。ToF通信过程在短时间段期间发生。同样地，二次电池64满足UWB收发器18的功耗要求。电池装置60还包括充电泵66、低压差(LDO)调节器68和用于二次电池64的再充电操作和放电操作的开关模式电源(SMPS)70。

智能钥匙12的第一微控制器54进一步操纵智能钥匙的RKE功能。在这个方面中，第一微控制器54监控RKE开关输入72。

现在参考图3，继续参考图1，更详细示出基站14的第一卫星单元24a的框图。除了UWB收发器32以外，第一卫星单元24a还包括微控制器74、LIN 76和包括开关模式电源(SMPS)和低压差调节器(LDO)的电池装置78。电池装置78被配置成调节从交通工具电池到UWB收发器32a、微控制器74和LIN 76的操作功率。

第一卫星单元24a的微控制器74代表基站14操纵第一卫星单元的ToF通信过程。微控制器74在操纵相关ToF通信时控制UWB收发器32a的ToF操作。微控制器74被配置成关于ToF通信经由LIN 76与控制器22的微控制器44进行通信。第一卫星单元24a的微控制器74与控制器22的微控制器44进行通信以告知ToF通信是肯定的还是否定的(即告知智能钥 匙12是在交通工具的附近区域内还是不在交通工具的附近区域内)。

如所提到的，ToF通信与授权通信同时发生。这被启用，因为智能钥匙12和基站14中的每个包括单独地操纵授权通信操作和ToF通信操作的两个微控制器。特别是，智能钥匙12包括代表智能钥匙操纵授权通信的第一微控制器54和代表智能钥匙操纵ToF通信的第二微控制器56。基站14包括代表基站操纵授权通信的控制器22的微控制器44和代表基站操纵ToF通信的第一卫星单元24a的微控制器74。同样地，智能钥匙12和基站14的一组微控制器以及智能钥匙和基站的剩余组的微控制器在操纵授权通信和ToF通信时进行多任务操纵。

现在参考图4，继续参考图1，示出在智能钥匙12和基站14之间的唤醒、授权和ToF通信信号的时序图80。唤醒通信过程例如由门把手检测输入端34响应于用户触摸车把手而产生触发脉冲82发起。响应于门把手被触摸，控制器22的LF发射器26传输LF唤醒信号脉冲84。在智能钥匙在接收到LF唤醒信号时醒来之后，智能钥匙12的UHF发射器20传输UHF确认信号脉冲86。UHF确认信号向基站14确认智能钥匙12是醒着的。

基站14然后通过控制器22的LF发射器26传输LF加密的挑战信号脉冲90来发起授权通信。在智能钥匙12接收到LF挑战信号之后，智能钥匙的UHF发射器20传输UHF加密的响应脉冲92。该响应是智能钥匙12对挑战信号的响应。控制器22分析来自智能钥匙12的响应以确定该响应是否满足挑战信号。如果是，则智能钥匙12在这个例子中被授权将车门解锁。

如在时序图80中指示的，在智能钥匙12和基站14之间的ToF通信94与授权通信且在这个例子中还与唤醒通信同时发生。

现在参考图5，继续参考图4，示出在智能钥匙12和基站14的第一卫星单元与第二卫星单元24a与24b之间的ToF通信信号的时序图100。时序图100包括指示智能钥匙12的ToF通信信令的时序图部分102a、指示第一卫星单元24a的ToF通信信令的时序图部分102b和指示第二卫星单元24b的ToF通信信令的时序图部分102c。

现在参考图6，继续参考图1，示出智能钥匙12和进一步配置成提供接近检测特征的基站14的第一卫星单元24a的框图。在这个方面中，智能钥匙12还包括UHF接收器104，且第一卫星单元24a还包括UHF发射器106。UHF发射器106周期性地传输UHF轮询信号。智能钥匙12在它的UHF接收器104接收到UHF轮询信号时醒来。智能钥匙12的UHF发射器20(未在图6中示出)转而传输UHF确认信号。当基站14的控制器22的UHF接收器28接收到UHF确认信号时，基站实现接近检测特征(例如，打开交通工具前灯)。

现在参考图7A和7B，继续参考图1、4和6，示出在被编程到基站14的多个智能钥匙12中的一个(图7A)和两个(图7B)与基站(图7A)之间的唤醒、授权/认证和ToF通信的时序图110和120。时序图110和120指示解释存在于基站14的附近区域中的多个智能钥匙12的通信协议。这个通信协议处理与智能钥匙12向卫星单元发起ToF通信相关的问题。对于初始LF唤醒，基站14不知道哪些智能钥匙(如果有的话)可存在。被编程到基站14的任何智能钥匙将能够对唤醒做出响应并开始UWB ToF通信。当多于一个智能钥匙存在时，智能钥匙都可同时传输UWB并彼此干扰。

在图7A中，标题为“正常”的时序图110示出当只有一个智能钥匙存在时的唤醒、授权/认证和ToF通信。“正常”时序图110可适用于多个智能钥匙存在、但只有一个智能钥匙确定它将运行UWB的情况。

在图7B中，标题为“UWB重试”的时序图120示出当确定它们将运行UWB的两个智能钥匙存在时的唤醒、授权/认证和ToF通信。在这种情况下，两个智能钥匙最初确定它们将运行UWB。基站14随后确定正确的智能钥匙并且仅仅让这个智能钥匙针对LF加密的挑战运行UWB。

由时序图110和120描绘的通信协议基于下文。第一，智能钥匙将独立地确定它们是否应当在初始LF唤醒之后启动UWB。这基于LF信号电平测量结果，其显示它接近LF唤醒天线并更远离另外两个连续波(CW)信号天线。第二，初始UWB将只针对每个卫星单元的两个ToF范围(总共四个范围)的短脉冲串运行。第三，LF加密的挑战将具有功能代码的中 间的一些位，其指示哪个将运行UWB。智能钥匙可检测此并且如果不是它们，则停止任何UWB。在整个LF消息被接收到之前，适当的智能钥匙可开始另一短UWB脉冲串。因此，如果两个智能钥匙存在且初始ToF不提供范围读数以传递中继攻击，则基站14可确保只有一个智能钥匙为第二UWB脉冲串提供范围数据。第四，如果UWB的第一期间和第二期间缺乏传递中继攻击的ToF范围且加密的挑战被认证，则基站14发送特别的LF唤醒ToF以运行更长的ToF序列以针对传递范围值进行重试。

如所述，关于PEPS能力，智能钥匙12和基站14参与一系列唤醒、授权和ToF通信。授权通信已经被描述为使用LF和UHF，且ToF通信已经被描述为使用UWB。然而，这仅仅是示例。例如，授权通信和ToF通信两者都可使用UWB。此外，UWB本身是可提供ToF能力的通信的示例。可被取代来针对ToF能力代替UWB的其它通信协议包括宽带(WB)、多普勒(Doppler)和UHF。

虽然上面描述了示例性的实施方式，但是并不旨在这些实施方式描述所有可能的发明形式。相反，在说明书中使用的词是描述而不是限制的词，且应理解，可做出各种变化而不偏离本发明的精神和范围。此外，各种实现实施方式的特征可被组合以形成本发明的另外的实施方式。