Beschreibung:

Die Erfindung betrifft ein Authentifizierungssystem, mit welchem eine Authentifizierung eines insbesondere portablen, alternativ jedoch auch stationären Schlüssels gegenüber dem Fahrzeug vorgenommen werden kann, um Fahrzeugfunktionen für einen Bediener freizugeben, der den Schlüssel beispielsweise mit sich führt, diesen bedient oder sich diesem nähert. Weiter betrifft die Erfindung ein Verfahren zum Betreiben eines solchen Authentifizierungssystems eines Fahrzeugs zur Authentifizierung eines insbesondere portablen Schlüssels.

Aus dem Stand der Technik sind unterschiedlichste schlüssellose Zugangs- Systeme bekannt, welche hierfür sowohl niederfrequente (LF) sowie hochfre- quente (HF) Funkwellen verwenden können. Auch die Kombination mittels LF-/HF-Systemen ist aus dem Stand der Technik bekannt.

Bei funkbasierten Berechtigungssystemen ist die Sicherheit, insbesondere vor Kompromittierung der durchgeführten Funkkommunikation, von entscheidender Bedeutung. Im Rahmen der Freigabe einer Fahrzeugfunktion unter Nutzung portabler Schlüssel bzw. ID-Geber ist die Bestimmung einer Position, eines Abstands bzw. Entfernung oder einer ähnlichen Größe, beispielsweise zur Plausibilisierung der durchgeführten bidirektionalen Kommunikation, aus dem Stand der Technik bekannt. Generell wird immer häufiger vorgesehen, die Entfernung durch eine Ultrabreitband (UWB) - Kommunikation zu ermitteln.

Beispielsweise lehrt die DE 10 2017 109 293 A1 bzw. die aus der gleichen Patentfamilie stammende US 11 ,277,742 B2 ein Verfahren und ein zugehöriges System, bei welchem nacheinander eine Funkkommunikation zwischen ID-Geber und verschiedenen UWB-Antennen erfolgt und die Signallaufzeit in einem zentralen Steuergerät ausgewertet wird.

Zum Anmeldezeitpunkt sieht ein in der Automobilbranche verbreiteter Standard vor, die Entfernungsbestimmung unter Anwendung von sowohl UWB-Kommunikation als auch Bluetooth Low Energy (BLE) -Kommunikation zu realisieren, wobei hierfür ein Mobiltelefon als ID-Geber verwendet wird.

Problematisch dabei ist jedoch, dass für die UWB-Kommunikation und die BLE-Kommunikation vergleichsweise viel Energie notwendig ist, sodass die Funktion des ID-Gebers nicht in einen herkömmlichen Schlüssel bzw. einen „Smart-Fob“ integriert werden kann, da dessen interner Energiespeicher ansonsten sehr oft getauscht oder geladen werden müsste.

Es ist daher Aufgabe der vorliegenden Erfindung, die vorgenannten Nachteile zu überwinden und ein Authentifizierungssystem sowie ein zugehöriges Verfahren bereitzustellen, welche eine Integration in einen nicht als Mobiltelefon oder dergleichen und vorzugsweise als Schlüssel ausgebildeten ID- Geber ermöglichen.

Die Aufgabe wird erfindungsgemäß durch ein Authentifizierungssystem mit den Merkmalen des Patentanspruchs 1 und durch ein Verfahren mit den Merkmalen des nebengeordneten Patentanspruchs gelöst.

Erfindungsgemäß wird daher Authentifizierungssystem eines Fahrzeugs zur Authentifizierung eines insbesondere portablen Schlüssels gegenüber dem Fahrzeug zur Freigabe von Fahrzeugfunktionen für einen Bediener, der insbesondere den Schlüssel mit sich führt, vorgeschlagen. Hierfür weist der Schlüssel einen ersten UWB-Transceiver zur UWB-Kommunikation mit dem Fahrzeug und einen ersten BLE-Transceiver zur BLE-Kommunikation mit dem Fahrzeug auf. Analog dazu weist auch das Fahrzeug einen zweiten UWB-Transceiver zur UWB-Kommunikation mit dem Schlüssel und einen zweiten BLE-Transceiver zur BLE-Kommunikation mit dem Schlüssel auf. Abweichend vom Stand der Technik ist der erste BLE-Transceiver ausgebildet, ausschließlich eine Advertising-Rolle bei der BLE-Kommunikation zu übernehmen, sodass dieser nicht die Energieaufwändige Scanner-Rolle übernehmen muss. Entsprechend ist der zweite BLE-Transceiver ausgebildet, eine Scanning-Rolle bei der BLE-Kommunikation zu übernehmen.

Durch den Betrieb des ersten BLE-Transceivers als Advertiser sowie gegebenenfalls die nachfolgend erläuterten weiteren Maßnahmen, kann der Energieverbrauch in bzw. an dem Schlüssel gesenkt werden, sodass sich eine Batterielebensdauer einer Batterie, welche die Energie im bzw. am Schlüssel bereitstellt, erhöht.

Neben der Energieeinsparung durch die Verwendung des schlüsselseitigen d.h. ersten BLE-Transceivers als Advertiser ist zur Energieersparnis erfindungsgemäß ferner vorgesehen, dass der erste UWB-Transceiver ausgebil- det ist, UWB-Frames als Botschaften zur UWB-Kommunikation zu erzeugen, bei welchen es sich insbesondere um Poll-, Response-, Final und/oder Finaldata-Botschaften handelt, welche darauf optimiert sind, insbesondere beim Senden aber auch beim Empfangen am ersten UWB-Transceiver möglichst wenig Energie zu verbrauchen. Entsprechend sind die UWB- Frames ausgebildet, bei der UWB-Kommunikation, also beim Senden und Empfangen von UWB-Signalen am ersten UWB-Transceiver durch eine minimale Nachrichtenlänge und/oder durch eine minimale Signalamplitude eine minimale Energie zu verbrauchen.

Zum Zeitpunkt der Anmeldung gilt, dass die im Rahmen der Nachrichten zu versendenden UWB-Frames bzw. Frametypen festgelegt sind. Die Frametypen sind insbesondere Pre-Poll, Poll, Response Final und Finaldata. Diese Frametypen enthalten wiederum teilweise unterschiedliche Abschnitte bzw. Datenabschnitte, welche zu unterschiedlichen Framestrukturen führen.

Die UWB-Signale an sich bzw. die UWB-Kommunikation kann zunächst dadurch optimiert bzw. der Energieverbrauch minimiert werden, dass im Rahmen der UWB-Kommunikation der UWB-Frame Pre-Poll komplett entfällt.

Bei den Datenabschnitten kann es sich insbesondere um die Abschnitte STS (Scrambled Timestamp Sequence) und PHY-Header (kann auch als PHR oder Physical Layer Header bezeichnet werden) handeln.

Zur Minimierung des Energieverbrauchs gilt, dass die UWB-Frames Poll, Response und Final eine kürzere STS enthalten können. Ferner kann der PHY-Header in Finaldata entfallen.

Hinzukommt, dass mit der Übermittlung von Finaldata, statt der ansonsten meist absoluten Zeitstempel, nur Zeitdifferenzen bzw. delta-Zeitstempel übertragen werden. Da ein zeitgleiches Verarbeiten, Empfangen oder Senden von sowohl UWB- Signalen bei der UWB-Kommunikation als auch von BLE-Signalen bei der BLE-Kommunikation energieintensiv ist, sieht eine weitere Variante vor, dass der erste UWB-Transceiver sowie der erste BLE-Transceiver und/oder der zweite UWB-Transceiver sowie der zweite BLE-Transceiver zur Synchronisierung und zeitversetzten oder zeitparallelen Kommunikation ausgebildet sind, sodass die BLE-Kommunikation und die UWB-Kommunikation zeitlich zueinander versetzt und nicht zeitlich überlappend oder parallel zueinander ausführbar sind bzw. ausgeführt werden. Diese Ausbildung kann beispielsweise durch ein entsprechendes Verfahren aber auch durch Software- und/oder Hardware-Sperren implementiert sein.

Wie eingangs erläutert, handelt es sich bei dem als Schlüssel ausgebildeten ID-Geber vorzugsweise gerade nicht um ein Mobiltelefon oder dergleichen, sondern vielmehr um eine für den speziellen Anwendungszweck ausgebildete Vorrichtung. Entsprechend kann der Schlüssel ein „Smart-Key“ oder ein „Smart-Fob“ sein. Alternativ kann der Schlüssel jedoch auch beispielsweise in eine Ladesäule oder eine andere stationäre Struktur, wie eine Garage, integriert sein.

Insbesondere, wenn der Schlüssel in eine Ladesäule integriert ist, kann dieser zur Freigabe einer Ladefunktion genutzt werden.

Weiter kann sich der Schlüssel dadurch auszeichnen, dass er zwar eine interne Energiequelle, wie eine Batterie oder einen Akkumulator, jedoch zumindest keinen steckbaren Ladeanschluss zum Laden der Energiequelle über eine physische Verbindung besitzt.

Vorzugsweise ist vorgesehen, dass der zweite UWB-Transceiver und der zweite BLE-Transceiver in ein Modul des Fahrzeugs zur Bestimmung einer Entfernung des Schlüssels von dem Fahrzeug integriert oder mit diesem verbunden sind. Das Modul ist hierbei ausgebildet, aus bei der UWB- Kommunikation übermittelten UWB-Signalen die Entfernung des Schlüssels von dem Fahrzeug zu bestimmen. Weiter können für die Bestimmung der Entfernung über die BLE-Kommunikation übermittelte Informationen verwendet werden. Neben der reinen Bestimmung der Entfernung kann das Modul oder ein darin integriertes Steuergerät ausgebildet sein, den zweiten UWB- Transceiver und/oder den zweiten BLE-Transceiver anzusteuern.

Das Modul bzw. die Anordnung aus dem Modul, dem zweiten UWB- Transceiver und dem zweiten BLE-Transceiver kann dabei auch als Authentifizierungsanordnung bezeichnet werden.

Die Bestimmung der Entfernung erfolgt insbesondere durch die Berechnung der Signallaufzeit eins zwischen dem ersten und dem zweiten UWB- Transceiver im Rahmen der UWB-Kommunikation übertragenen UWB- Signals. Die Verwendung der Signallaufzeit zur Bestimmung der Entfernung ist auch als „Time-of-flight“ -Verfahren bekannt, für welches das Modul entsprechend ausgebildet ist.

Zur exakteren, fehlersicheren und kompromittierungssicheren Bestimmung der Entfernung kann das Fahrzeug zudem eine Vielzahl von zweiten UWB- Transceivern aufweisen, welche nacheinander mit dem ersten UWB- Transceiver kommunizieren können. Die zweiten UWB-Transceiver können dabei an unterschiedlichen Positionen am Fahrzeug vorgesehen sein, wobei diese beispielsweise über die Steuereinheit des Fahrzeugs mit dem zweiten BLE-Transceiver kommunizieren können, sodass über die BLE- Kommunikation ausgetauschte bzw. angefragte Informationen jedem der UWB-Transceiver und beispielsweise mittelbar über die Steuereinheit bereitstellbar sind.

Ein weiterer erfindungsgemäßer Aspekt betrifft ein Verfahren zum Betreiben eines erfindungsgemäßen Authentifizierungssystems. Das Verfahren umfasst zumindest die folgenden Schritte, insbesondere in der genannten Reihenfol- ge:

A) Aufbau einer BLE-Kommunikation zwischen dem ersten BLE- Transceiver und dem zweiten BLE-Transceiver;

B) Übermittlung von Informationen zur Entfernungsbestimmung mittels der BLE-Kommunikation von dem ersten BLE-Transceiver zu dem zweiten BLE-Transceiver;

C) Anfrage zur Initiierung der Entfernungsbestimmung von dem zweiten BLE-Transceiver zu dem ersten BLE-Transceiver über eine BLE- Kommunikation;

D) Bestätigung der Anfrage von dem ersten BLE-Transceiver an den zweiten BLE-Transceiver über eine BLE-Kommunikation;

E) Ansteuern des ersten UWB-Transceivers zur Initiierung der UWB- Kommunikation zwischen dem ersten UWB-Transceiver und dem zweiten UWB-Transceiver zur Entfernungsbestimmung, wobei dem zweiten UWB-Transceiver zum Aufbau der UWB-Kommunikation vorzugsweise die die durch die BLE-Kommunikation übermittelten Informationen bereitgestellt werden.

Obwohl die genannte Schrittfolge A bis E der tatsächlichen Reihenfolge der Schritte des Verfahrens entsprechen kann, kann jeder der Schritte B) bis D) auch optional übersprungen oder in abweichender Reihenfolge ausgeführt werden. Beispielsweise kann bei dem Verfahren nach Schritt A direkt Schritt E folgen. Alternativ wären die Schritte auch z.B. in der Reihenfolge A), C), E) ausführbar.

Weist das Fahrzeug mehrere bzw. eine Vielzahl von zweiten UWB- Transceivern auf, kann ferner vorgesehen sein, dass der Schritt E) mehrfach wiederholt wird. Bei jeder Durchführung des Schritts E) kann ein anderer zweiter UWB-Transceiver und/oder eine zueinander unterschiedliche Kombination von zweiten UWB-Transceivern zum Aufbau bzw. Initiierung der UWB- Kommunikation angesteuert werden.

Vorzugsweise ist vorgesehen, dass der erste UWB-Transceiver, der erste BLE-Transceiver, der zweite UWB-Transceiver und der zweite BLE- Transceiver zueinander zeitversetzt kommunizieren und die UWB- Kommunikation und die BLE-Kommunikation zeitversetzt und einander zeitlich nicht überlappend durchgeführt wird, was zu einer Energieersparnis führt, da insbesondere die schlüsselseitigen d.h. ersten Transceiver weder zugleich Signale empfangen noch zugleich Signale empfangen und verarbeiten müssen.

Weiter vorteilhaft ist, wenn es sich bei den Informationen zur Entfernungsbestimmungen um eine Verarbeitungszeit eines UWB-Signals in dem Schlüssel und/oder um Einstellungen des ersten UWB-Transceivers und/oder zur Bestimmung der Entfernung relevante Informationen zu dem ersten UWB- Transceiver handelt.

Für den BLE-Zeitslot (Connection Intervall), d.h. der Zeitslot, in dem BLE Daten gesendet werden, gilt, dass dieser dadurch optimiert werden kann, dass der BLE-Zeitslot passend zum Ranging Zyklus, d.h. zu einem Zyklus zu welchem die Entfernung bestimmt werden soll, gewählt werden kann.

Obwohl hierfür oftmals 42ms definiert sind, wird vorliegend vorzugsweise ein BLE-Zeitslot von zwischen 300 und 400 ms und vorzugsweise ca. 360 ms verwendet.

Die vorstehend offenbarten Merkmale sind beliebig kombinierbar, soweit dies technisch möglich ist und diese nicht im Widerspruch zueinander stehen.

Andere vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Be- Schreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:

Fig. 1 ein Authentifizierungssystem;

Fig. 2 ein Verfahrensablauf beim Betrieb des Authentifizierungssystems.

Die Figuren sind beispielhaft schematisch. Gleiche Bezugszeichen in den Figuren weisen auf gleiche funktionale und/oder strukturelle Merkmale hin.

In Figur 1 ist ein Authentifizierungssystem 1 eines Fahrzeugs 20 zur Authentifizierung eines hier portablen Schlüssels 10 gegenüber dem Fahrzeug 20 zur Freigabe von Fahrzeugfunktionen für einen Bediener 2, der den portablen Schlüssel 10 mit sich führt, dargestellt. Der Schlüssel 10 weist einen ersten UWB-Transceiver 11 zur UWB-Kommunikation mit dem Fahrzeug 20 und einen ersten BLE-Transceiver 12 zur BLE-Kommunikation mit dem Fahrzeug 20 auf. Entsprechend weist das Fahrzeug 20 einen zweiten UWB- Transceiver 21 zur UWB-Kommunikation mit dem Schlüssel 10 bzw. genauer zur UWB-Kommunikation mit dem ersten UWB-Transceiver 11 des Schlüssels 10 und einen zweiten BLE-Transceiver 22 zur BLE-Kommunikation mit dem Schlüssel 10 bzw. genauer zur BLE-Kommunikation mit dem ersten BLE-Transceiver 12 des Schlüssels 10 auf.

Im Stand der Technik sind bereits Systeme bekannt, welche statt eines Schlüssels 10 ein Mobiltelefon bzw. Smartphone nutzen, da der hohe Energieverbrauch, welcher sich durch die UWB- und BLE-Kommunikation ergibt, durch ein regelmäßiges Laden des Mobiltelefons ausgeglichen werden kann.

Um das Authentifizierungssystem 1 sowie das zugehörige Verfahren dahingehend umzugestalten das es durch einen deutlich reduzierten Energieverbrauch auch in bzw. mit einem Schlüssel 10 umsetzbar ist, sind zumindest eine, jedoch bevorzugt mehrere einander ergänzende Maßnahmen vorgesehen.

Entsprechend ist der erste BLE-Transceiver 12 ausgebildet, ausschließlich eine Advertising-Rolle bei der BLE-Kommunikation und gerade keine Scanning-Rolle zu übernehmen, da die Advertising-Rolle d.h. das Versenden von Advertising-Botschaften einen niedrigeren Energieverbrauch hat, als das ständige bzw. häufige Scannen nach Advertising-Botschaften in der Scanning-Rolle. Entsprechend muss dafür der zweite BLE-Transceiver 22 ausgebildet sein, eine Scanning-Rolle bei der BLE-Kommunikation zu übernehmen.

Durch ein derartiges Authentifizierungssystem 1 soll weiterhin insbesondere die Entfernung des Schlüssels 10 von dem Fahrzeug 20 bestimmt werden, um dadurch Relay-Station-Attacken ausschließen zu können. Hierfür wird die Time-of-flight-Methode genutzt, bei welchem die Signallaufzeiten von UWB- Signalen bestimmt werden, welche im Rahmen der UWB-Kommunikation versendet werden. Entsprechend sind der zweite UWB-Transceiver 21 und der zweite BLE-Transceiver 22 in ein Modul 24 des Fahrzeugs 20 zur Bestimmung der Entfernung integriert. Das Entfernungsbestimmungsmodul 24 kann hierfür weitere Steuermittel oder Steuereinheiten aufweisen, welche den zweiten UWB-Transceiver 21 und den zweiten BLE-Transceiver 22 zur Durchführung des Verfahrens ansteuern und anhand der UWB- Kommunikation sowie der BLE-Kommunikation die Entfernung zwischen Schlüssel 10 und Fahrzeug 20 bestimmen können. Weiter können solche Steuereinheiten, wie die dargestellte Steuereinheit 23 auch außerhalb des Moduls 24 vorgesehen sein. Generell müssen der zweite UWB-Transceiver 21 , der zweite BLE-Transceiver 22 und die Steuereinheit 23 nicht in einem Modul 24 angeordnet sein, sondern können in unterschiedliche System des Fahrzeugs 20 integriert und lediglich signaltechnisch miteinander gekoppelt sein. In Figur 2 ist insbesondere der Ablauf der Kommunikation gemäß deren zeitlichen Verlauf t zwischen den verschiedenen Komponenten des Authentifizierungssystems 1 dargestellt, wobei der erste UWB-Transceiver 11 und der erste BLE-Transceiver 12 des Schlüssels 10 zusammen dargestellt sind, wohingegen der UWB-Transceiver 21 , der BLE-Transceiver 22 und die das Verfahren fahrzeugseitige steuernde Steuereinheit 23 des Fahrzeugs 20 voneinander getrennt dargestellt sind.

Der Ablauf lässt sich im Wesentlichen in zumindest vier Phasen I bis IV gliedern, welche auch voneinander unabhängig betrachtet werden können, sodass den einzelnen Phasen gegebenenfalls andere oder abweichende Phasen vorausgehen oder nachfolgen könnten.

Die Phasen sind im Wesentlichen:

I Zeitliche Synchronisierung der Steuereinheit 23 mit dem zweiten UWB-Transceiver 21 und dem zweiten BLE-Transceiver 22 bzw. zeitliche Synchronisierung dieser miteinander.

II Definieren bzw. Ermitteln der für die Entfernungsbestimmung erforderlichen Information;

III Anfordern der Entfernungsbestimmung;

IV Übermittlung der Signale zur Entfernungsbestimmung bzw. Entfernungsbestimmung.

Innerhalb dieser Phasen werden Signale bzw. Befehle übermittelt, welche auch als Botschaften bezeichnet werden können, wobei es sich bei den Signalen zwischen dem Schlüssel 10 und dem zweiten UWB-Transceiver 21 immer um UWB-Signale und zwischen dem Schlüssel 10 und dem zweiten BLE-Transceiver 22 immer um BLE-Signale handelt. Die Signale bzw.

Befehle zwischen den Komponenten des Fahrzeugs 20 werden vorzugswei- se kabelgebunden und insbesondere über CAN-Bus zwischen diesen übermittelt. Zur Darstellung der BLE Verbindungsintervalle s (BLE Connection Interval) sind diese beispielhaft eingezeichnet.

Statt eines einzigen UWB-Transceivers 21 können an bzw. in dem Fahrzeug 20 auch mehrere UWB-Transceiver 21 vorgesehen sein, welche auch zu einem UWB-Modul zusammengeschalten sein können.

Die übertragenen Signale bzw. Befehle sind die folgenden: a „SYNC“-Signal zur zeitlichen Synchronisierung von Steuereinheit 23, zweiten BLE-Transceiver 22 und zweiten UWB-Transceiver 21 ; b „FUP“-Signal zur zeitlichen Synchronisierung von Steuereinheit 23, zweiten BLE-Transceiver 22 und zweiten UWB-Transceiver 21 ; c Anforderung der von dem Schlüssel 10 benötigten Informationen zur Entfernungsbestimmung (Ranging Definition Request); d Anforderung der von dem Schlüssel 10 benötigten Informationen zur Entfernungsbestimmung (Ranging Definition Request); e Bestätigung, dass Informationen angefordert; f interne Bereitstellung der Informationen (Transfer Ranging Settings), welche insbesondere gemäß IEEE 802.15.4z HRP unter Berücksichtigung der erfindungsgemäßen Abweichungen entspricht; g Übermittlung der Informationen (Ranging Definition Response); h Übermittlung der Informationen mit Zeitstempel (Ranging Definition Response incl. Time Stamp); i Übermittlung von Informationen zur Herstellung der UWB- Kommunikation (Rangingkeys); j Bestätigung; k Anforderung bzw. Ankündigen der UWB-Kommunikation (Setup and

Start), wobei der Zeitpunkt (Time Stamp) übermittelt wird, zu welchem die UWB-Kommunikation seitens des Schlüssels 10 erfolgen soll;

I Bestätigung; m Anforderung der UWB-Kommunikation (Setup and Start), wobei der

Zeitpunkt (Time Stamp) übermittelt wird, zu welchem die UWB- Kommunikation seitens des Schlüssels 10 erfolgen soll; n Anforderung der UWB-Kommunikation (Setup and Start), wobei der Zeitpunkt (Time Stamp) übermittelt wird, zu welchem die UWB- Kommunikation seitens des Schlüssels 10 erfolgen soll; o Bestätigung (Ranging Start Response); p Bestätigung (Ranging Start Response incl. Time Stamp); q UWB-Kommunikation, gemäß ihrer zeitlichen Reihenfolge bestehend aus den Botschaften bzw. UWB-Frames: Poll, Response, Final, Final Data. Die UWB-Kommunikation kann bei mehreren zweiten UWB- Transceivern 21 mehrfach und zeitlich nacheinander erfolgen, so dass der schlüsselseitige erste UWB-Transceiver 11 nacheinander mit verschiedenen zweiten UWB-Transceivern kommuniziert; r Übermittlung der Signallaufzeiten zwischen dem ersten und zweiten UWB-Transceivern 11 , 21 und/oder der Entfernung zwischen Schlüssel 10 und Fahrzeug 20.