Zugangssystem und Verfahren zur Zugangs- und Startverifizierung

Die Erfindung betrifft ein Zugangs- und Startsystem und ein Verfahren zur Zugangs- und Startverifizierung, insbesondere in einem Fahrzeug.

Schlüssellose Fahrzeug-Zugangs- und Startsysteme wie beispielsweise das Passive Start Entry (PASE) System sind automatische Systeme, um ein Fahrzeug ohne aktive Benutzung eines Autoschlüssels zu entriegeln und durch das bloße Betätigen des Startknopfes zu starten. In dem Fahrzeug ist dabei eine Sendeeinheit angeordnet, welche Signale aussendet. Dies sind beispielsweise elektromagnetische Signale im LF (Low Frequency)- oder HF (High Frequency)- Bereich. Diese Signale werden von einer Transpondereinheit empfangen, wenn diese sich in der Nähe des Fahrzeugs befindet, und anschließend ausgewertet und/oder weiterverarbeitet. Im Anschluss an die Auswertung und/oder Weiterverarbeitung in der Transpondereinheit können entsprechende Antwortsignale wieder an die Sendeeinheit im Fahrzeug zurückgesendet werden. Die Antwortsignale werden beispielsweise im UHF-Frequenzband gesendet und können im Fahrzeug von einer Auswerteeinheit ausgewertet werden. Wird ein Antwortsignal als korrekt und somit die Transpondereinheit als zum Fahrzeug gehörig erkannt, kann das Fahrzeug entriegelt werden. Derselbe Vorgang kann erneut ausgeführt werden, wenn das Fahrzeug gestartet werden soll.

Solche Systeme können jedoch relativ leicht angegriffen werden, z.B. durch so genannte Relay-Angriffe.

Es gibt Verfahren, mit welchen Relay-Angriffe erkannt werden können. Derartige Verfahren werden grundsätzlich zwei Mal ausgeführt. Ein erstes Mal, wenn der Zugang zu dem Fahrzeug gewünscht wird, und ein zweites Mal, wenn das Fahrzeug gestartet werden soll. Dies erhöht die Sicherheit des Systems erheblich. Der Stromverbrauch sowohl in dem Fahrzeug als auch vor allem in der Transpondereinheit ist jedoch verhältnismäßig hoch. Aufgabe der Erfindung ist es, ein Zugangssystem und ein korrespondierendes Verfahren zur Zugangsverifizierung bereitzustellen, welche Relay-Angriffe zuverlässig erkennen können und dabei einen möglichst geringen Stromverbrauch aufweisen.

Diese Aufgabe wird gelöst durch ein Zugangssystem gemäß Anspruch 1, ein Verfahren gemäß Anspruch 9, beziehungsweise ein Fahrzeug gemäß Anspruch 10.

Das erfindungsgemäße Zugangs- und Startsystem weist ein in einem Fahrzeug angeordnetes Steuergerät auf. Das Steuergerät ist dazu ausgebildet, auf ein erstes auslösendes Ereignis hin eine Zugangsberechtigung eines elektronischen Gerätes zu prüfen, auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen, wenn kein unberechtigter Angriff auf das Fahrzeug erkannt und das elektronische Gerät als zugangsberechtigt erkannt wurde, den Zugang zu dem Fahrzeug freizugeben und eine Startgenehmigung für das Fahrzeug zu erteilen, auf ein zweites auslösendes Ereignis hin eine Startberechtigung des elektronischen Gerätes zu prüfen, und, wenn das elektronische Gerät als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug vorliegt, das Starten des Fahrzeugs zu erlauben ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen. Eine erteilte Startgenehmigung wird nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht.

Dadurch kann ein sicheres Zugangs- und Startsystem bereitgestellt werden, bei welchem der Stromverbrauch im Fahrzeug und im elektronischen Gerät jedoch verringert ist. Das Steuergerät kann weiterhin dazu ausgebildet sein, wenn auf das zweite auslösende Ereignis hin keine gültige Startgenehmigung für das Fahrzeug vorliegt, wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen, und das Starten des Fahrzeugs zu erlauben wenn kein unberechtigter Angriff auf das Fahrzeug erkannt und das elektronische Gerät als startberechtigt erkannt wurde.

Dadurch wird die Sicherheit des Systems erhöht.

Das Steuergerät kann weiterhin dazu ausgebildet sein, wenn auf das zweite auslösende Ereignis hin keine gültige Startgenehmigung für das Fahrzeug vorliegt, erneut eine Zugangsberechtigung des elektronischen Gerätes zu prüfen und wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen.

Auch dadurch kann die Sicherheit des Systems erhöht werden.

Der vorgegebene Zeitraum nach dem eine erteilte Startgenehmigung gelöscht wird kann wenigstens eine Minute, wenigstens fünf Minuten oder wenigstens zehn Minuten betragen.

Der Zeitraum ist dadurch kurz genug um ausreichend Sicherheit zu gewährleisten und lang genug um bestimmte Aktionen wie das Zusteigen von Personen zum Fahrzeug und/oder das Beladen des Fahrzeugs zu ermöglichen, ohne dass die erteilte Startgenehmigung gelöscht und dadurch der Stromverbrauch erhöht wird.

Das dritte auslösende Ereignis kann wenigstens eines aufweisen von Ändern des Status wenigstens einer Tür des Fahrzeugs von geschlossen zu offen, und Ändern des Status wenigstens einer Tür des Fahrzeugs von entriegelt zu verriegelt.

Das dritte auslösende Ereignis kann alternativ oder zusätzlich das Entfernen des elektronischen Geräts aus dem Fahrzeug oder aus einem definierten Bereich um das Fahrzeug herum aufweisen. Das elektronische Gerät kann als innerhalb des definierten Bereiches befindlich erkannt werden, wenn eine drahtlose Datenverbindung zwischen dem Fahrzeug und dem elektronischen Gerät besteht, oder wenn die Empfangsfeldstärke wenigstens eines zwischen dem Fahrzeug und dem elektronischen Gerät gesendeten Signals einen vorgegebenen Wert überschreitet.

Dies sind einfache Möglichkeiten zum Erkennen des elektronischen Geräts innerhalb des Fahrzeugs und/oder innerhalb eines bestimmten Bereiches um das Fahrzeug herum.

Das wenigstens eine Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug kann wenigstens eines aufweisen von dem Bestimmen einer Laufzeit von wenigstens einem zwischen dem Fahrzeug und dem elektronischen Gerät gesendeten Signal, und dem Bestimmen ob sich das elektronische Gerät innerhalb eines bestimmten vorangegangenen Zeitraumes bewegt hat.

Dies sind einfache Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug.

Ein Verfahren zur Zugangs- und Startverifizierung in einem Fahrzeug weist auf, auf ein erstes auslösendes Ereignis hin, Prüfen einer Zugangsberechtigung eines elektronischen Gerätes, auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung, Durchführen wenigstens eines Verfahrens zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug, wenn kein unberechtigter Angriff auf das Fahrzeug erkannt und das elektronische Gerät als zugangsberechtigt erkannt wurde, Freigeben des Zugangs zu dem Fahrzeug und Erteilen einer Startgenehmigung für das Fahrzeug, auf ein zweites auslösendes Ereignis hin, Prüfen einer Startberechtigung des elektronischen Gerätes, und, wenn das elektronische Gerät als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug vorliegt, Erlauben des Startens des Fahrzeugs ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen. Eine erteilte Startgenehmigung wird nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht.

Ein Fahrzeug weist ein Zugangs- und Startsystem mit einem in dem Fahrzeug angeordneten Steuergerät auf. Das Steuergerät ist dazu ausgebildet, auf ein erstes auslösendes Ereignis hin eine Zugangsberechtigung eines elektronischen Gerätes zu prüfen, auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen, wenn kein unberechtigter Angriff auf das Fahrzeug erkannt und das elektronische Gerät als zugangsberechtigt erkannt wurde, den Zugang zu dem Fahrzeug freizugeben und eine Startgenehmigung für das Fahrzeug zu erteilen, auf ein zweites auslösendes Ereignis hin eine Startberechtigung des elektronischen Gerätes zu prüfen, und, wenn das elektronische Gerät als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug vorliegt, das Starten des Fahrzeugs zu erlauben ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug durchzuführen. Eine erteilte Startgenehmigung wird nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht.

Die Erfindung wird nachfolgend anhand der in den Figuren der Zeichnung dargestellten Ausführungsbeispiele näher erläutert. Es zeigt:

Figur 1 beispielhaft ein Fahrzeug mit einem Zugangssystem gemäß einer Ausführungsform der Erfindung,

Figur 2 in einer skizzenhaften Darstellung das Prinzip eines Angriffs auf ein schlüsselloses Fahrzeug-Zugangs- und Startsystem, und

Figur 3 beispielhaft in einem Ablaufdiagramm ein Verfahren gemäß einer Ausführungsform der Erfindung. Figur 1 zeigt in schematischer Darstellung das grundsätzliche Prinzip einer Vorrichtung zur Zugangsverifizierung in einem Fahrzeug 10. In dem Fahrzeug 10 ist ein Steuergerät 20 mit einer Sende-/Empfangseinheit (Sende-/Empfangseinheit nicht explizit dargestellt) angeordnet, das dazu ausgebildet ist, Signale auszusenden. Dies sind beispielsweise elektromagnetische Signale im LF (Low Frequency)- oder HF (High Frequency)-Bereich. Diese Signale werden von einem elektronischen Gerät 30 empfangen, wenn dieses sich in der Nähe des Steuergerätes 20 befindet, und anschließend in dem elektronischen Gerät 30 decodiert, ausgewertet und/oder weiterverarbeitet. Im Anschluss an die Auswertung und/oder Weiterverarbeitung in dem elektronischen Gerät 30 können entsprechende Antwortsignale wieder an das Steuergerät 20 zurückgesendet werden. Die Antwortsignale werden beispielsweise im UHF-Frequenzband gesendet und können im Fahrzeug 10 von einer, in Figur 1 nicht dargestellten, Auswerteeinheit ausgewertet werden. Wird das elektronische Gerät 30 als zum Fahrzeug 10 gehörig erkannt, kann das Fahrzeug 10 entriegelt bzw. gestartet werden. Gibt es innerhalb einer definierten Zeit keine korrekte Antwort von dem elektronischen Gerät 30, passiert hingegen nichts.

Zum Empfangen der von dem Steuergerät 20 gesendeten Signale muss sich das elektronische Gerät 30 innerhalb eines bestimmten Radius um das Steuergerät 20 herum befinden. Dieser Radius kann, abhängig von dem verwendeten Kommunikationsstandard, wenige Zentimeter, zum Beispiel 10cm, bis zu mehreren Metern betragen. Daher kann es bei kurzen Reichweiten erforderlich sein, das elektronische Gerät 30 in die Nähe des Steuergerätes 20 zu halten oder im Fahrzeug 10 in eine dafür vorgesehene Vorrichtung einzuführen. Dadurch kann sichergestellt werden, dass sich das elektronische Gerät 30 nahe genug an dem Steuergerät 20 befindet und eine Kommunikation möglich ist.

Das Steuergerät 20 kann kontinuierlich Signale aussenden oder nur auf ein bestimmtes Ereignis hin. Der Stromverbrauch des Steuergerätes 20 beim Aussenden von Signalen ist in der Regel verhältnismäßig hoch. Werden Signale nur auf ein bestimmtes, auslösendes Ereignis hingesendet, kann der Stromverbrauch daher deutlich reduziert werden. Ein solches auslösendes Ereignis kann beispielsweise das Ziehen eines Türgriffs (zum Entriegeln des Fahrzeugs) oder das Betätigen eines Startknopfes (zum Starten des Fahrzeugs) sein. Das heißt, dass das Steuergerät 20 ein oder mehrere Anfragesignale aussendet, sobald beispielsweise der Türgriff oder ein Startknopf des Fahrzeugs 10 betätigt wird. Befindet sich das elektronische Gerät 30 in der Nähe des Steuergerätes 20 und sendet dieses nach dem Empfang eines Anfragesignals ein korrektes Antwortsignal zurück, kann das Fahrzeug 10 entriegelt bzw. gestartet werden. Es sind auch Vorrichtungen bekannt, welche die Annäherung eines Nutzers mittels Sensoren erfassen, z.B. mittels kapazitiver Sensoren im Türgriff. Der Autorisierungsvorgang kann dann stattfinden, noch bevor der Nutzer den Türgriff tatsächlich betätigt. Viele weitere auslösende Ereignisse sind ebenfalls möglich.

Solche Systeme können jedoch relativ leicht angegriffen werden, z.B. durch so genannte Relay-Angriffe. Dabei kann zum Beispiel unter Verwendung von zwei Geräten, von denen sich eines in der Nähe des Fahrzeuges 10 und das andere in der Nähe des elektronischen Gerätes 30 befindet, eine größere Distanz zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 überbrückt werden, indem die Funkstrecke des verwendeten Kommunikationskanals (z.B. LF (Low Frequency)- oder HF (High Frequency)- Kommunikationskanal) verlängert wird. Auf diese Weise kann ein Fahrzeug 10 geöffnet und gestartet werden, obwohl sich der Fahrzeugschlüssel (elektronisches Gerät 30) nicht innerhalb der notwendigen Reichweite befindet.

Figur 2 zeigt in schematischer Darstellung das Prinzip eines solchen Relay- Angriffes auf ein schlüsselloses Fahrzeug-Zugangs- und Startsystem durch Verlängerung der Funkstrecke eines Kommunikationskanals. Der Schlüssel mit dem elektronischen Gerät 30 befindet sich in der in Figur 2 gezeigten Darstellung außerhalb der Reichweite der von der Sendeeinheit 20 gesendeten Anfragesignale. Innerhalb des zum Empfangen der Signale notwendigen Radius befindet sich in der Nähe des Fahrzeugs 10 jedoch ein erstes Gerät 40, welches eine Antenne aufweist. Der Abstand des ersten Geräts 40 zu der Sendeeinheit 20 im Fahrzeug 10 wird mit b bezeichnet. Innerhalb der Reichweite des elektronischen Gerätes 30 ist ein zweites Gerät 50 angeordnet, welches ebenfalls eine Antenne aufweist. Der Abstand des zweiten Geräts 50 zum ersten Gerät 40 wird mit c, der Abstand des zweiten Geräts 50 zu dem elektronischen Gerät 30 wird mit d bezeichnet.

Das erste Gerät 40 in der Nähe des Fahrzeugs 10 empfängt die Signale, die von dem Steuergerät 20 ausgesendet werden, und sendet diese an das zweite Gerät 50 weiter. Von dem zweiten Gerät 50 wird das Signal wiederum an das elektronische Gerät 30 gesendet. Um die Signale über eine Distanz c zwischen dem ersten und zweiten Gerät 40, 50, die meist deutlich größer ist als die normale Reichweite von den häufig verwendeten LF- oder FIF-Signalen, übertragen zu können, sind in den Geräten 40, 50 z.B. Verstärker und Sendestufen notwendig. Mit dieser Anordnung kann somit eine theoretisch beliebig weite Strecke zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 überbrückt werden.

Im elektronischen Gerät 30 wird das Signal empfangen, ausgewertet und/oder verarbeitet. Das darauf von dem elektronischen Gerät 30 ausgesendete Antwortsignal kann über dieselbe Anordnung mit dem ersten und zweiten Gerät 40, 50 wieder an das Fahrzeug 10 zurück übertragen werden. Die im Fahrzeug 10 angeordnete Auswerteelektronik detektiert somit zunächst nicht, dass sich das elektronische Gerät nicht innerhalb der Reichweite befindet. Obwohl der das elektronische Gerät 30 nicht innerhalb der Reichweite ist, kann das Fahrzeug 10 somit trotzdem geöffnet und auch gestartet werden.

Ohne die Reichweite mittels einer oben beschriebenen Anordnung zu verlängern könnte ein Fahrzeug 10 beispielsweise auch dann unbefugt geöffnet und gestartet werden, wenn sich das elektronische Gerät 30 innerhalb der erforderlichen Reichweite befindet. Dies kann beispielsweise der Fall sein, wenn das Fahrzeug 10 vor dem Flaus eines Nutzers abgestellt wird und sich das elektronische Gerät 30 im Flaus an einer Stelle befindet, welche innerhalb der Reichweite liegt. Ein Öffnen des Fahrzeugs 10 ist in einem solchen Fall jedoch auch oft nicht erwünscht. Es sind verschiedene Verfahren bekannt um derartige Angriffe und ein unbefugtes Öffnen und Starten des Fahrzeugs 10 zu verhindern. Beispielsweise kann das elektronische Gerät 30 (oder wenigstens eine Transpondereinheit in dem elektronischen Gerät 30, die dazu ausgebildet ist mit dem Fahrzeug 10 zu kommunizieren) in bestimmten Situationen aktiviert, bzw. deaktiviert werden. Das elektronische Gerät 30 kann vom Fahrzeug 10 ausgesandte Signale nur dann empfangen und eine Antwort senden, wenn es aktiviert ist. Im deaktivierten (inaktiven) Zustand kann das elektronische Gerät 30 entweder keine Signale empfangen, oder keine Signale aussenden, oder keines von beidem, so dass keine Authentifizierung des elektronischen Gerätes 30 erfolgen kann und das Fahrzeug 10 nicht geöffnet oder gestartet werden kann. Die entsprechende Funktion im elektronischen Gerät kann beispielsweise dann deaktiviert werden, wenn mittels geeigneter Sensoren oder Verfahren detektiert wurde, dass sich das elektronische Gerät 30 für eine bestimmte vorgegebene Zeitdauer nicht bewegt hat. Mittels geeigneter Algorithmen kann beispielsweise auch bestimmt werden, zu welchen Zeiten (z.B. während der Arbeitszeit, beim Sport, oder nachts) der Nutzer das Fahrzeug 10 grundsätzlich nie nutzt. Auch zu solchen Zeiten kann die entsprechende Funktion im elektronischen Gerät 30 deaktiviert werden.

Andere Verfahren nutzen eine Messung der Laufzeit der Signale die zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 gesendet werden. Wird die Strecke, über welche die Signale übertragen werden wie bei einem Relay-Angriff verlängert, verlängert sich auch die Zeit nach welcher das Fahrzeug 10 eine Antwort von dem elektronischen Gerät 30 erhält. Übersteigt diese Zeit einen vorgegebenen Grenzwert, kann darauf geschlossen werden, dass ein ungewollter Angriff auf das Fahrzeug 10 erfolgt. Der Zugang zu dem Fahrzeug 10 kann dann verweigert und das Starten des Fahrzeugs 10 verhindert werden.

Gemäß einem weiteren Beispiel kann auch das aktive Betätigen einer Taste des elektronischen Gerätes 30 ein Hinweis darauf sein, dass kein Relay-Angriff vorliegt. Beispielsweise könnte ein Nutzer aktiv eine Taste auf einem Fahrzeugschlüssel betätigen, um das Fahrzeug zu entriegeln. Der Nutzer kann dabei entweder von sich aus eine entsprechende Taste des Fahrzeugschlüssels betätigen und dadurch den Authentifizierungsvorgang (Prüfung der Zugangsberechtigung) auslösen. Derartige Systeme sind auch als Remote- Keyless-Entry (RKE) bekannt. Es ist jedoch auch möglich, dass zunächst eine Authentifizierung des Fahrzeugschlüssels erfolgt und der Nutzer anschließend dazu aufgefordert wird, eine Taste des Fahrzeugschlüssels zu betätigen, um einen Relay-Angriff ausschließen zu können. Übernimmt ein anderes elektronisches Gerät wie beispielsweise ein Smartphone des Nutzers die Funktion des Fahrzeugschlüssels, so kann jegliche Interaktion des Nutzers mit dem elektronischen Gerät 30 die dazu geeignet ist den Wunsch des Nutzers das Fahrzeug zu entriegeln eindeutig zu erkennen (z.B. Betätigen einer entsprechenden Schaltfläche auf dem Display des elektronischen Gerätes) ein Flinweis darauf sein, dass kein Relay-Angriff vorliegt. Nimmt der Nutzer aktiv eine derartige Handlung vor, ist grundsätzlich keine weitere Prüfung auf einen Relay- Angriff erforderlich.

Neben den oben beschriebenen Verfahren können Relay-Angriffe auch noch auf verschiedene andere Art und Weise erkannt werden. Hier sind neben den oben beispielhaft genannten Verfahren grundsätzlich noch viele weitere Verfahren bekannt, welche jedoch nicht weiter im Detail beschrieben werden. Welches Verfahren zum Erkennen eines Relay-Angriffs zum Einsatz kommt ist vorliegend nicht von Bedeutung.

Dabei wird, um die Sicherheit des Systems zu erhöhen, eine Prüfung ob ein Relay-Angriff erfolgt grundsätzlich zwei Mal durchgeführt. Nämlich einmal, wenn das Fahrzeug 10 entriegelt werden soll, und ein weiteres Mal, wenn das Fahrzeug 10 gestartet werden soll. Jedes Mal, wenn eine solche Relay-Angriffsprüfung stattfindet erhöht sich jedoch der Stromverbrauch sowohl im Fahrzeug 10, als auch im elektronischen Gerät 30.

Um den Stromverbrauch zu reduzieren und gleichzeitig die Sicherheit nicht zu verringern, ist es gemäß einem Beispiel vorgesehen in manchen Fällen eine zweite Überprüfung auf einen möglichen Relay-Angriff beim Starten des Fahrzeugs 10 zu unterlassen. Dies wird im Folgenden beschrieben. Auf ein erstes auslösendes Ereignis hin (z.B. Nutzer nähert sich dem Fahrzeug 10 oder zieht am Türgriff) wird sowohl eine Berechtigung des elektronischen Gerätes 30 wie oben beschrieben überprüft, als auch ein oder mehrere Verfahren zum Erkennen eines Relay-Angriffs durchgeführt. Ein oder mehrere Verfahren zum Erkennen eines Relay-Angriffs können dabei direkt auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung durchgeführt werden. Wird das elektronische Gerät 30 als berechtigt erkannt und wird gleichzeitig kein unberechtigter Angriff auf das Fahrzeug 10 erkannt, wird der Zugang zu dem Fahrzeug 10 freigegeben (Fahrzeug 10 wird entriegelt) und gleichzeitig eine Startgenehmigung für das Fahrzeug 10 erteilt.

Auf ein zweites auslösendes Ereignis hin (z.B. Nutzer drückt den Startknopf des Fahrzeugs 10), wird erneut die Berechtigung des elektronischen Gerätes 30 wie oben beschrieben überprüft. Wird das elektronische Gerät 30 als berechtigt erkannt und liegt eine gültige Startgenehmigung vor, wird das Starten des Fahrzeugs 10 erlaubt, ohne dass erneut ein oder mehrere Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug 10 durchgeführt werden. Dadurch kann in einigen Fällen die erneute Prüfung auf einen unberechtigten Angriff entfallen. Eine erteilte Startgenehmigung kann jedoch entweder nach Ablauf eines vorgegebenen Zeitraums oder auf die Detektion eines dritten auslösenden Ereignisses hin wieder gelöscht werden.

Das heißt, wenn beispielsweise eine zu lange Zeit zwischen dem Entriegeln des Fahrzeugs 10 und dem zweiten auslösenden Ereignis (z.B. Betätigen des Startknopfes) liegt, wird die zuvor erteilte Startgenehmigung wieder gelöscht. In diesem Fall müsste dann auch beim Starten des Fahrzeugs 10 erneut geprüft werden, ob ein unberechtigter Angriff stattfindet. Dieser Zeitraum kann beispielsweise wenigstens eine Minute, wenigstens fünf Minuten oder wenigstens zehn Minuten betragen. Der Zeitraum kann entweder vom Fahrzeughersteller vorgegeben werden oder vom Nutzer individuell eingestellt werden. Der Zeitraum kann beispielsweise lang genug gewählt werden, um das Einsteigen mehrerer Personen in das Fahrzeug 10 zu ermöglichen. Ebenso könnte es möglich sein, innerhalb des Zeitraums einen kurzen Beladevorgang durchzuführen. Die genannten Zeiträume sind lediglich beispielhaft. Jegliche andere geeignete Zeiträume können grundsätzlich gewählt werden. Je länger der Zeitraum gewählt wird, umso mehr verringert sich jedoch die Sicherheit des Systems. Bis zu einer bestimmten Länge des Zeitraums ist eine ausreichende Sicherheit jedoch noch gewährleistet.

Das dritte auslösende Ereignis kann beispielsweise das Ändern des Status wenigstens einer Tür des Fahrzeugs 10 aufweisen. Beispielsweise kann die erteilte Startgenehmigung gelöscht werden, wenn eine Fahrzeugtür (z.B. die Fahrertür) nachdem der Nutzer eingestiegen ist und diese geschlossen hat erneut geöffnet wird, bevor der Nutzer versucht hat das Fahrzeug 10 zu starten.

Alternativ oder zusätzlich kann eine erteilte Startgenehmigung auch dann wieder gelöscht werden, wenn eine oder mehrere Türen des Fahrzeugs 10 nach dem Entriegeln erneut verriegelt wurden bevor der Nutzer versucht hat das Fahrzeug zu starten. Verschiedene weitere dritte auslösende Ereignisse sind hier zusätzlich oder alternativ ebenfalls möglich.

Beispielsweise kann eine erteilte Startgenehmigung auch dann gelöscht werden, wenn sich das elektronische Gerät 30 aus dem Fahrzeug 10 selbst, oder aus einem vorgegebenen Bereich um das Fahrzeug 10 herum wieder heraus bewegt und sich von dem Fahrzeug 10 entfernt bevor der Nutzer versucht hat das Fahrzeug 10 zu starten. Verschiedene Verfahren sind bekannt, mittels welcher erkannt werden kann, ob sich ein elektronisches Gerät 10 im Innenraum eines Fahrzeugs 10 oder innerhalb eines vorgegebenen Bereiches um das Fahrzeug 10 herum befindet. Beispielsweise kann die Empfangsfeldstärke eines oder mehrerer Signale bestimmt werden, welche zwischen dem elektronischen Gerät 30 und dem Fahrzeug 10 gesendet werden. Unterschreitet die Empfangsfeldstärke einen vorgegebenen Wert, kann darauf geschlossen werden, dass sich das elektronische Gerät 30 nicht mehr im Inneren des Fahrzeugs 10 oder nicht mehr innerhalb eines definierten Bereiches um das Fahrzeug 10 herum befindet. Auch durch das Bestimmen der Laufzeit von Signalen kann beispielsweise erkannt werden ob sich das elektronische Gerät 30 noch im Inneren des Fahrzeugs 10 oder noch innerhalb eines definierten Bereiches um das Fahrzeug 10 herum befindet. Nach dem Entriegeln des Fahrzeugs 10 können beispielsweise in regelmäßigen Abständen Signale ausgesendet werden, um zu bestimmen, ob sich das elektronische Gerät 30 noch im Fahrzeug 10 oder innerhalb des bestimmten Bereiches um das Fahrzeug 10 herum befindet.

Dass sich ein elektronisches Gerät 30 aus einem bestimmten Bereich um das Fahrzeug 10 herum entfernt hat kann beispielsweise auch daran erkannt werden, dass eine bestehende drahtlose Datenverbindung zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 komplett abbricht. Die drahtlose Datenverbindung kann beispielsweise eine Bluetooth-Verbindung, eine BLE-Verbindung (Bluetooth- Low-Energy), oder eine WLAN-Verbindung sein. Jegliche andere Datenverbindung welche zwischen dem Fahrzeug 10 und dem elektronischen Gerät 30 bestehen kann ist hier ebenfalls möglich.

In dem oben beschriebenen Beispiel wird nach Ablauf des vorgegebenen Zeitraumes und/oder nach Auftreten eines dritten auslösenden Ereignisses hin eine Startberechtigung des elektronischen Gerätes 30 gelöscht und somit erneut wenigstens ein Verfahren zum Erkennen eines ungewollten Angriffes durchgeführt wenn das Fahrzeug 10 gestartet werden soll. Alternativ dazu kann es jedoch nach Ablauf des vorgegebenen Zeitraumes bzw. nach Auftreten des dritten auslösenden Ereignisses und dem entsprechenden Löschen der Startberechtigung hin auch erforderlich sein zunächst erneut zu prüfen ob das elektronische Gerät zugangsberechtigt ist. Gleichzeitig würde auch erneut geprüft werden, ob ein ungewollter Angriff auf das Fahrzeug 10 vorliegt. In diesem Fall würde dann, wenn das elektronische Gerät 30 als berechtigt erkannt wird und kein ungewollter Angriff erkannt wurde, erneut eine Startgenehmigung erteilt werden. Solange die Startgenehmigung gültig ist, würde dann im Weiteren wieder nur die Startberechtigung des elektronischen Gerätes 30 geprüft werden.

Nun Bezug nehmend auf Figur 3, wird ein Verfahren zur Zugangs- und Startverifizierung in einem Objekt 10 beschrieben. Das Verfahren weist das Prüfen einer Zugangsberechtigung eines elektronischen Gerätes 30 auf ein erstes auslösendes Ereignis hin auf (Schritt 301 ). Das Verfahren weist weiterhin, auf das erste auslösende Ereignis hin oder nach erfolgreicher Prüfung der Zugangsberechtigung, das Durchführen wenigstens eines Verfahrens zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug 10 auf (Schritt 302). Wenn kein unberechtigter Angriff auf das Fahrzeug 10 erkannt und das elektronische Gerät 30 als zugangsberechtigt erkannt wurde, wird der Zugang zu dem Fahrzeug 10 freigegeben und eine Startgenehmigung für das Fahrzeug 10 erteilt (Schritt 303). Auf ein zweites auslösendes Ereignis hin, wird eine Startberechtigung des elektronischen Gerätes 30 geprüft (Schritt 304) und, wenn das elektronische Gerät 30 als startberechtigt erkannt wurde und eine gültige Startgenehmigung für das Fahrzeug 10 vorliegt, wird das Starten des Fahrzeugs 10 erlaubt ohne erneut wenigstens ein Verfahren zum Erkennen eines unberechtigten Angriffs auf das Fahrzeug 10 durchzuführen (Schritt 305). Eine erteilte Startgenehmigung wird nach Ablauf eines vorgegebenen Zeitraums und/oder nach Detektion eines dritten auslösenden Ereignisses hin gelöscht.

Das tragbare elektronische Gerät 30 kann beispielsweise ein Fahrzeugschlüssel, Mobiltelefon, Smartphone, Tablet, SmartWatch, Laptop oder Personal Digital Assistant (PDA) sein. Jegliche andere geeignete tragbare elektronische Geräte sind ebenfalls möglich.

Die Erfindung wurde am Beispiel eines Zugangs- und Startsystems für ein Fahrzeug 10 beschrieben. Bei dem Fahrzeug 10 kann es sich beispielsweise um einen PKW, LKW, Bus, Traktor, Flugzeug, Schiff oder um jegliche andere Art von Fahrzeug handeln.