用于机动车辆访问或定位系统的控制装置和方法与流程

用于机动车辆访问或定位系统的控制装置和方法
1.本发明涉及机动车辆访问和定位系统。特别地，本发明涉及一种用于机动车辆访问或定位系统的控制装置、一种具有这种控制装置的车辆、一种具有这种控制装置以及无线电钥匙的访问或定位系统、一种用于操作机动车辆访问或定位系统的方法、一种程序元素、以及一种计算机可读介质。
2.在访问或定位系统中，可以将无线传输技术例如与所谓的无线电钥匙相关联地应用。可以采用各种方法来防止误用，以便能够足够安全地评估是否正在进行恰当的使用。
3.本发明的目的是进一步开发访问或定位系统。
4.这个目的借助于独立专利权利要求的主题来实现。本发明的进一步改进将从从属权利要求和实施例的以下描述中显现。
5.本发明的第一方面涉及一种特别是用于机动车辆访问或定位系统的控制装置，该控制装置被配置为将沿着最强信号路径（所谓的峰值路径）从发射器（例如，无线电钥匙或移动电话）行进到该控制装置的接收器（例如，机动车辆的天线系统）的接收信号。然后，该信号被认为是所谓的峰值路径信号。
6.此外，该控制装置被配置为确定该峰值路径信号的飞行时间（tof）。另外，如果相关的话，根据该峰值路径信号的指定飞行时间确定与该飞行时间的时间间隔δ。然后，确定取决于δ的针对第一路径搜索的可靠性的阈值t。第一路径搜索的“可靠性”对应于在第一路径搜索中创建的阈值。这可以涉及如果相关的话，根据该接收信号的信噪比确定该接收信号的前导码与预期前导码的相似性。
7.然后，在考虑该阈值的情况下在δ处执行该第一路径搜索。
8.根据一个实施例，δ可以是最大允许时间间隔δ
max
。在这种情况下，不检查更长的时间差来检测第一路径信号的存在。
9.根据一个实施例，在该阈值t被超过时，将在该第一路径搜索中检测到的信号分类为所谓的第一路径信号。然后第一路径搜索结束，因为已经找到并识别第一路径信号。
10.根据另一个实施例，该控制装置被配置为判定以δ没有检测到第一路径信号，即，在该阈值t没有被超过时。然后，确定取决于与该峰值路径信号的该飞行时间的增大或减小的时间间隔δ
ꢀ‑ꢀ
δ或δ δ的、针对更新的第一路径搜索的可靠性的新阈值t
新
。然后，在考虑该新阈值的情况下再次以增大或减小的时间间隔δ
ꢀ‑ꢀ
δ或δ δ执行该第一路径搜索。
11.如果第一路径搜索此次也未成功，则可以再次增大或减小用于更新的第一路径搜索的时间间隔，随后重新确定新阈值。这些步骤可以被执行直到检测到第一路径信号为止。然后结束第一路径搜索。
12.根据一个实施例，如果减小了与该峰值路径信号的时间间隔，则相应新阈值t
新
小于或等于该原始阈值t，并且小于或等于相应的先前确定的阈值。
13.因此，当前第一路径搜索的时间间隔与需要满足的“安全裕度”之间的关系是由单调下降的曲线来描述的。
14.根据另一实施例，该控制装置被配置为根据功能、安装位置、定位和/或时间对该阈值t和/或该新阈值t
新
进行调整。
15.另一方面涉及一种车辆，该车辆具有如上文和下文所述的控制装置。
16.另一方面涉及一种访问或定位系统，该系统具有如上文和下文所述的控制装置、以及无线电钥匙。
17.另一方面涉及一种用于操作机动车辆访问或定位系统的方法，该方法具有以下步骤：将沿着最强信号路径，即峰值路径从发射器行进到控制装置的接收器的接收信号识别为峰值路径信号；确定该峰值路径信号的飞行时间tof；确定与该峰值路径信号的飞行时间的（最大允许）时间间隔δ
(max)
；确定取决于δ
(max)
的针对第一路径搜索的可靠性的阈值t；以及在考虑该阈值的情况下在δ
(max)
处执行该第一路径搜索。
18.另一方面涉及一种程序元素，当在机动车辆访问或定位系统的控制装置上被执行时，该程序元素指示控制装置执行上文和下文所述的步骤。
19.另一方面涉及一种计算机可读介质，其上存储有如上所述的程序元素。
20.以下将参考附图描述本发明的多个实施例。这些附图中的图示是示意性的且并未按比例绘制。
附图说明
21.图1示出了在los和nlos条件下的测距误差的分布。
22.图2示出了6.5 ghz和8.0 ghz下针对uwb（自由空间和地弹）的路径损失模型。
23.图3示出了第一路径动态要求的数值示例。
24.图4示出了第一路径搜索的特性曲线，随着第一路径与峰值路径之间的时间差（δ）变得更大，第一路径搜索所需的安全裕度更高。
25.图5示出了利用取决于δ的安全裕度进行的第一路径搜索的实施方式的示例。
26.图6示出了机动车辆访问或定位系统。
具体实施方式
27.uwb（超宽带）安全测距被与车辆访问系统相关联地使用。为了确定距离（“测距”），采用“双向测距”；这通常是“双边双向测距”，其对石英频率的准确度要求较低。
28.双边双向测距描述了如下的通信序列，其中通信伙伴为发射和接收的数据包生成时间戳。然后可以根据收集的时间戳计算飞行时间（tof）。假设tof表示通信伙伴之间的直接路径（而不是反射），则可以使用光速来将tof与通信伙伴的距离相互转换。
29.对于高准确度而言关键的是，接收器尽可能精确地确定每个数据包的到达时间（即，信号的到达时间）或接收时间戳。这项任务并不简单，在多径传播的反射环境中尤其如此，因为感兴趣的直接路径可能会被具有更高信号电平的反射覆盖。
30.可以规定，接收器基于最强信号路径（称为“峰值路径”）执行信号采集，并通过与已知符号或序列的关联和在多个符号上的累积来确定信道的图像。在此上下文中提及“信道冲击响应”cir。在反向搜索中，从峰值路径开始，在后处理中检查在峰值路径之前是否存在具有较低电平的信号路径。目的是识别信号到达的最早时间点（即，第一路径），并将该时
间点用作接收时间戳。
31.第一路径搜索表示阈值问题，因为算法必须在噪声与有效路径之间进行区分。此外，峰值路径与第一路径之间可能的最高动态范围（例如，30 db）是令人期望的，因此即使在存在人体遮蔽（body shadowing）的情况下仍然可以检测到第一路径。
32.将uwb技术引入车辆访问系统部分地是出于安全方面的考虑，因为tof测量能防止在现今的被动访问系统中可能发生的“中继攻击”（无线链路扩展）。当然重要的是，tof测量是以防操纵的方式配置的，使得可能是与无线链路扩展相结合的对tof测量的攻击无法损害系统。除了与所测量的时间戳的数据传输相关联的加密措施之外，关键的是时间戳确定本身不能对攻击者有利地被影响。
33.在“安全测距”中将只有通信伙伴知道的序列用于此目的。在此上下文中也使用术语“安全训练序列”sts。基于这个序列，接收器进行cir的关联和累积。假设攻击者无法获得关于所使用的sts的其他信息，则他必须基于利用猜测sts的攻击来进行tof操纵。例如，攻击者可以通过插入猜测sts（“sts注入”）来扩展有效信号并尝试模仿较早的第一路径。以这种方式实现的对tof测量的操纵称为“距离增益”。攻击者猜测出在cir中产生有效路径的sts的概率表示实施方式的安全级别。
34.现在，在第一路径搜索中，在指定阈值方面出现了冲突的目标：为了使攻击成功的概率最低，必须将有效路径的阈值设置得尽可能高。高阈值意味着第一路径的识别仅接受可以非常可靠地基于实际信号（而不是噪声或猜测信号）的路径，即，要求路径在cir中尽可能地与众不同。这与实现第一路径的最高可能动态范围或第一路径灵敏度的目标相冲突，此目标需要指定最低可能阈值（并没有非常与众不同的路径或接近本底噪声的路径也会被接受）。不管第一路径决策阈值的具体实施方式如何，这些冲突的目标都存在。
35.作为对这些冲突目标的解决方案，可以确定两个（或更多个）时间戳，其中一个时间戳针对（动态）性能进行优化，而第二个时间戳针对安全性进行优化。因此，最终基于测距过程获得两个tof结果：一个非常可靠（安全性）但可能不准确，一个高度准确（性能）但可能被操纵过；关于对这两个结果的使用的决策可以在功能层面上做出。
36.因此，可以将安全值用于“中继攻击防御”（对安全性的要求高，对准确度和更新速率的要求低），并将性能值用于定位（对准确度和更新速率的要求高）。然而，如果例如只能执行一个或几个通信周期，并且没有测距能够达到安全阈值（即，不存在安全结果），则可能导致问题的产生。
37.除了这些冲突的目标之外，第一路径搜索本身的实施方式还考虑其他参数，比如实际信号幅度或信噪比。有利的是，在tof结果方面尽可能简明地解决在第一路径确定中出现的安全性与性能之间的目标冲突，并且将该结果整合到第一路径搜索中。
38.对所谓的峰值路径的检测可以在非常高的安全级别下进行，同时不必接受灵敏度或性能上的折衷。因此，在恰当的实施方式中，假设攻击者不可能通过猜测sts来模拟峰值路径。峰值路径被假定为是可信的。
39.此外，可以建立以下关系：1.安全风险实现尽可能高的距离增益对攻击者来说很有吸引力，因为这样可以覆盖更大的无线链路扩展。随着可实现的距离增益变得更高，损害的严重程度必须被评估为更大。为了限
制风险，可以降低实现高距离增益的概率。距离增益与cir中的检测到的第一路径与峰值路径之间的时间间隔成比例。
40.相反，如果距离增益较小，即，cir中的第一路径与峰值路径之间的时间间隔较小，则损害较小。在这种情况下，稍高的攻击者成功概率是可接受的。
41.数值：对攻击者有用的距离增益为几米（例如，至少3 m）。否则，即使是在值极限下的攻击场景，比如所谓的前门攻击（其中只需要较小的无线链路扩展）理论上其实也是不可能的。还需要记住的是，对于实际实现来说，距离增益的要求显著更高，因为攻击者使用的任何设备都会给信号路径带来延迟。
42.2.准确度提高同第一路径与峰值路径之间的第一较小时间差相比，通过更精确地识别第一路径可以实现准确度的相关改进，因为所寻求的准确度至少比相关攻击的距离增益低一个数量级。
43.在实践中还发现，在大多数多径场景中，第一路径与峰值路径之间的时间差较小，并且对应于几米范围的较大时间差非常罕见。
44.数值：对于车辆访问系统，所寻求的准确度约为 /-10 cm。为了确保在接近时的精确地识别区域并且使得能够可靠地识别内部/外部，这是必要的。
45.在许多多径场景下，由于未识别出真正的直接路径而导致的误差为几米，通常小于1.5 m，参见图1。
46.3.第一路径动态范围的性能要求可以从实际考虑因素推断，如果峰值路径与第一路径之间的时间差增大，则第一路径动态范围的要求降低：对于给定的场景，第一路径接收水平总是保持不变（例如，给定的距离和人体衰减），而峰值路径的接收水平（= 反射信号）随着差的增大（= 更长的反射路径）而降低，使得第一路径与峰值路径的水平之比减小。
47.这方面的一个示例是图2和图3中所示的后口袋（back pocket）场景。
48.图2示出了6.5 ghz与8.0 ghz下uwb（自由空间和地弹）的路径损失模型。图3示出了第一路径动态要求的数值示例。
49.例如，用户站在汽车前方2 m处。直接路径（2 m）被人体遮蔽严重衰减（35 db）。然而，反射信号（例如，从车库墙壁反射的信号）非常强。
50.根据uwb路径损失模型（图2），对于2 m的距离，直接路径的衰减为55 db。因此，包括35 db人体遮蔽在内的总衰减为90 db。
51.如果假设反射路径仅稍长于直接路径（车库墙壁非常近），例如比直接路径长1 m（图3的表中的第25行），则反射路径的衰减结果为59 db，并且必要的第一路径动态范围为31 db（= 90 db
ꢀ‑ꢀ
59 db）。
52.如果假设更长的反射路径（车库墙壁更远），例如比直接路径长10 m（参见图3的表中的第30行），则反射路径的衰减已经是71 db，并且必要的第一路径动态范围仅为19 db（= 90 db
ꢀ‑ꢀ
71 db）。
53.根据以上考虑因素得出以下解决方法：
1.在第一路径搜索期间，实施阈值的具有可变安全裕度的特性曲线。
54.2.安全裕度随着δ的增加而增加，或单调增加。δ在下文中指的是峰值路径信号的飞行时间与cir中的一点之间的时间间隔，还参见图4。
55.3.在特定间隔δ
max
被超过时，不再接受第一路径。
56.4.特性曲线展现出最小安全裕度m1，其也可以是0。
57.5.特性曲线展现出最大安全裕度m2，其在δ
max
被达到之前已经可以被实现。
58.6.特性曲线的精确特性可以通过功能规范或查找表（lut）来定义。
59.图4通过示例的方式示出了这种安全裕度的特性曲线。
60.从图4的特性曲线可以看出，随着第一路径与峰值路径之间的时间差变大，第一路径搜索通常需要更高的安全裕度。然而，该曲线的一些区段也可以水平延伸或具有正梯度。曲线的精确形式可以取决于相关联的应用。
61.图5示出了用于操作机动车辆访问或定位系统的方法的流程图。首先进行第一路径搜索，即，识别沿着最强信号路径（峰值路径）从发射器行进到控制装置的接收器的接收信号。一旦识别出该峰值路径信号，搜索就有利地从距离峰值路径信号的飞行时间的最大可能时间间隔δ
max
处开始。如果成功，即，当识别出第一路径信号时，可以较早地中止该方法。
62.可以规定，在此之后例如使用查找表确定针对当前搜索间隔δ的安全裕度m。在该方法开始时，当前搜索间隔δ例如是δ
max
，然后逐步进行减小，直到确定第一路径或对应的飞行时间为止。
63.然后，确定作为m的函数的针对（无误差）第一路径搜索的期望可靠性的阈值t。t的规范可以包含进一步的依赖性，并且例如可以依赖于信噪比。如果对于当前搜索间隔δ，针对第一路径搜索的可靠性的阈值t（正标准）被超过，则该δ被声明为是“第一路径”。在这种情况下，搜索结束，因为无法再为第一路径找到更早的时间点。
64.如果可以根据用途和情况调整图4中所示的特性曲线的参数并因此调整实施方式的安全简档，则可以实现附加的优化。
65.根据功能对安全简档进行调整可以例如发生在例如车辆的访问功能必须满足比例如“迎宾照明（welcome lighting）”更严格的安全要求的情况下。
66.安装位置也可以影响安全简档的调整。例如，安装在内部的收发器具有与安装在外部的收发器不同的特性曲线，因为预期反射行为（以及因此对检测第一路径的要求）是不同的。还可以根据定位对安全简档进行调整，例如特别是在盗窃风险较高的定位，曲线例如变得更陡和/或向上移动。
67.还可以根据时间对安全简档进行调整。例如，可以在夜间将曲线例如与白天相比向上移动。当车辆静止不动的时间增加时也可以提高该安全级别。
68.还可以根据协议进行调整。例如，可以并行使用不同的防止中继攻击的方法。例如，如果采用其他机制来防止中继攻击，则可以适当地调整（降低）安全级别。这样的机制的示例是通过激光雷达/雷达进行的用户识别、面部识别、借助钥匙/移动部件中的移动传感器数据对访问进行合理性检查、或者还有tof测量的重复执行。
69.对实施方式的安全级别的参数控制可以通过上述方法来执行。可以简单地整合到现有的实施方式（第一路径搜索）中。
70.图6示出了访问或定位系统200，该系统具有安装在车辆103中的控制装置100、以及表示上文进一步描述的发射器的无线电钥匙102。