Die Erfindung betrifft ein Verfahren zur Prüfung der Zugehörigkeit von Funkknoten zu einer Funkumgebung mit einer Funkknotenmenge von we nigstens drei zueinander beabstandeten Funkknoten mittels einer Auswer tung von Störsignalanteilen.

Die DE 10 2009 021 783 Al ist ein Lokalisierungssystem und ein Verfahren zur Lokalisierung wenigstens eines mobilen Telekommunikationsgeräts mittels Kurzstreckenfunk bekannt.

Im Rahmen von Authentifizierungsverfahren innerhalb drahtloser elektronischer Zugangssysteme werden typischerweise

Abstandsermittlungen eingesetzt, um Relais-Angriffe auf drahtlose Zugangssysteme abzuwehren. Man spricht typischerweise von Distance- Bounding. Die Authentifizierung basiert ansonsten typischerweise auf kryptologischen Verfahren. Meist besitzen alle autorisierten Parteien Kenntnis über einen Schlüssel sowie über zu verwendende

Authentifizierungs-Algorithmen.

Nachteilig ist, dass mittlerweile auch eine Manipulation der

Abstandsbestimmung möglich ist.

Die Schwächen von phasenbasierten Distance Bounding Verfahren hinsichtlich eines Relais-Angriffs werden beispielsweise in A. R. S. C. Hildur Olafsdottir, „On the Security of Carrier Phase-based Ranging", https:// www.researchgate.net/publication/254008732_Physical-layer_at tacks_ on_chirp-based_ranging_systems, Proceedings of Cryptographic Hardware and Embedded Systems (CHES) aufgezeigt.

Vor diesem Hintergrund besteht die Aufgabe der Erfindung darin, eine Vorrichtung anzugeben, die den Stand der Technik weiterbildet.

BESTATIGUNGSKOPIE Die Aufgabe wird durch ein Verfahren zur Prüfung der Zugehörigkeit von Funkknoten und von Objekten zu einer Funkumgebung mit den Merkmalen des Patentanspruchs 1 gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.

Gemäß dem Gegenstand der Erfindung wird ein Verfahren zur Prüfung der Zugehörigkeit von Funkknoten zu einer Funkumgebung mit einer Funkknotenmenge von wenigstens drei zueinander beabstandeten Funkknoten mittels einer Auswertung von Störsignalanteilen, wobei jeder Funkknoten der Funkknotenmenge jeweils eine Funkschnittstelle und einen eigenen Zeitgeber aufweist und zwischen den Zeitgebern der Funkknoten jeweils ein Zeitversatz besteht. Mindestens zwei Funkknoten der Funkknotenmenge sind Referenzfunkknoten, wobei ein Abstand jedes Referenzfunkknotens zu den weiteren Referenzfunkknoten bekannt ist und die Referenzfunkknoten ein Referenzsystem mit einer Funkumgebung bilden. Mindestens ein Funkknoten der Funkknotenmenge ist ein Testfunkknoten, wobei eine Zugehörigkeit des mindestens einen Testfunkknotens zu der Funkumgebung des Referenzsystems geprüft wird.

Das Verfahren umfasst einen Messprozess, einen anschließenden Auswerteprozess und einen Vergleichsprozess. Während des Messprozesses werden von Funkknoten der Funkknotenmenge Signale mit einer Trägerfrequenz gesendet und empfangen, wobei während des Messprozesses mindestens zwei Funkknoten der Funkknotenmenge als Transceiver arbeiten und mindestens ein Funkknoten während des Messprozesses ausschließlich als Transmitter oder ausschließlich als Receiver oder als Transceiver arbeitet.

Der Auswerteprozess umfasst einen Auswerteschritt, wobei in dem Auswerteschritt anhand eines von einem ersten Funkknoten der Funkknotenmenge gesendeten und von einem zweiten Funkknoten der Funkknotenmenge empfangenen Signals ein Störsignalanteil ermittelt wird und während des Auswerteprozesses in einem ersten Durchgang der erste Auswerteschritt mindestens einmal für mindestens ein Paar von Referenzfunkkno- ten und in einem zweiten Durchgang mindestens einmal für einen Testfunkknoten und einen Referenzfunkknoten ausgeführt wird.

In einem Vergleichsprozess wird anhand mindestens eines Ergebnisses des ersten Durchgangs und mindestens eines Ergebnisses des zweiten Durchgangs die Zugehörigkeit zu einer Funkumgebung positiv oder negativ be- schieden.

Als Störsignalanteil wird der Anteil eines empfangenen Signals bezeichnet, der durch eine Störstrahlungsenergie bewirkt wird. Unter Störstrahlungsenergie wird dabei alle elektromagnetische Energie zusammengefasst, die mittels der Funkknotenantennen der Funkknotenmenge in elektrische Signale umgewandelt wird, ihren Ursprung jedoch außerhalb der Menge der betrachteten Funkknoten hat. Die Störstrahlenenergie wird also von einer oder von mehreren nicht zu der Funkknotenmenge gehörenden Quellen, auch als Störquellen oder Störer bezeichnet, erzeugt.

Störstrahlung kann durch weitere Funksysteme entstehen, die im betrachteten Frequenzbereich elektromagnetische Energie abstrahlen. Sie kann Ihren Ursprung aber auch in elektrischen Anlagen haben. Auch rauschartige Störstrahlung kann ein System beeinflussen, kosmische Strahlung sei als ein Vertreter hier aufgeführt.

Störstrahlung kann sowohl absolut als auch relative, also in Bezug auf ein Referenzsignal, charakterisiert und klassifiziert werden. Dabei stehen eine Vielzahl von Methoden zur Verfügung. Im einfachsten Fall wird eine Störsignalleistung bzw. Störsignalleistungsdichte innerhalb eines Frequenzbands, eine absolute Standardabweichung oder eine relative Standardabweichung hinsichtlich eines Mittelwerts oder eines Referenzsignals ermittelt. Auch eine Korrelationsanalyse im Zeitbereich, eine Spektralanalysen im Frequenzbereich oder eine Signalklassifikation kann zur Charakterisierung der Störquelle eingesetzt werden. Über ein System von mehreren räumlich verteilten Funkknoten ist eine Ermittlung der Position der Störquellen der Störstrahlung möglich. Die Detektion von Störstrahlung, also von elektromagnetischer Strahlung, die nicht durch das System verursacht wird, eröffnet Möglichkeiten zur Identifikation eines Relais-Angriffs. Diese Störungen sind nicht zeitinvari ant und nicht deterministisch. Daraus ergibt sich auch, dass man selbst die Existenz einer Störquelle weder Voraussagen noch sich darauf verlassen kann. Daher bilden Störstrahlungsbasierte Merkmale eine gute Basis um Relais-Angriffe zu erkennen. Bevorzugt wird das erfindungsgemäße Ver fahren ergänzend zu anderen Verfahren eingesetzt bzw. die Störsignalan teile als ergänzende Datenbasis zu anderen Eigenschaften des Systems für Plausibilitätstests herangezogen.

Als Funkumgebung des Referenzsystems wird der Einfluss der Umgebung auf die empfangenen Funksignale der Funkknoten des Referenzsystems bezeichnet, d.h. das, was die Referenzfunkknoten von ihrer Umgebung sehen. Befindet sich der Testfunkknoten in derselben Umgebung, so sollte er eine ähnliche Funkumgebung sehen.

Unter der Annahme, dass auftretende Störstrahlung auf alle Funkknoten in erster Näherung gleich wirken, beruhen Unterschiede in den von Funkknoten empfangenen Störsignalanteilen allein auf der Lage des jeweiligen Funkknotens, also beispielsweise des Abstands zu der Störquelle und ge gebenenfalls der Beschaffenheit des empfangenden Funkknotens. So weist eine Abweichung hinsichtlich der Signalstärke des empfangenen Störsig nalanteils auf einen unterschiedlichen Abstand hin.

Ein Abweichen hinsichtlich der Anzahl oder der Art der aus dem Störsig nalanteil ermittelten Störquellen weist dahingegen darauf hin, dass sich die empfangenden Funkknoten nicht in derselben Funkumgebung und da mit nicht in derselben Umgebung bzw. nicht in unmittelbarer Nähe zuei nander befinden. So kann ermittelt werden, ob sich ein Testfunkknoten außerhalb der Umgebung des Referenzsystems befindet, da ein solcher Testfunkknoten in der Regel anderen Störungsquellen ausgesetzt ist als die Referenzknoten des Referenzsystems. Im Falle einen Relais Angriffs werden die Signale des Referenzsystems, z.B. an einem Automobil, durch ein Relais System empfangen, weitergeleitet und in Nähe des Testfunkknotens, z.B. in einem Autoschlüssel, ausgesendet. Dabei leitet das Relais System nicht nur die Signale des Referenzsystems sondern auch die Signale der Störquellen in der Umgebung Referenzsystems weiter. Die von dem Testfunkknoten empfangenen Signale enthält somit sowohl Merkmale der Störsignalquellen der Funkumgebung des Referenzsystems als auch Merkmale der Störsignalquellen in der Umgebung des Testfunkknotens und unter Umständen zusätzlich Merkmale von Störquellen, die bei der Weiterleitung durch das Relais-System wirksam wurden. Entsprechendes gilt für Signale, welche von dem Testfunkknoten ausgesendet, von dem Relais System weitergeleitet und von dem Referenzsystem empfangen werden.

Die nur zwischen den Referenzfunkknoten ausgetauschten Signale enthalten dahingegen nur die Merkmale der Störquellen, die sich in der Umgebung des Referenzsystems befinden.

Das Verfahren sieht daher unter anderem vor, anhand von Signalen, die entweder von dem Testfunkknoten empfangen oder von dem Testfunkknoten gesendet wurden, Störsignalanteile zu ermitteln und gegebenenfalls die Störquellen aus der zumindest um den Testfunkknoten erweiterten Funkumgebung zu identifizieren und zu charakterisieren. Entsprechend werden anhand von Signalen, welche zwischen Referenzfunkknoten ausgetauscht wurden, Störsignalanteile ermittelt und gegebenenfalls die Störquellen in der Funkumgebung des Referenzsystems identifiziert und charakterisiert.

Besteht eine ausreichende Übereinstimmung zwischen den ermittelten Störsignalanteilen bzw. den identifizierten und charakterisierten Störquellen von Testfunkknoten und Referenzsystem, so wird eine notwendige Bedingung erfüllt, dass sich der Testfunkknoten in der Umgebung des Referenzsystems befindet. Das Maß der Übereinstimmung richtet sich dabei nach den Applikationsanforderungen bzw. dem zu erreichenden Vertrau- enslevel. Als Minimalanforderung kann verglichen werden, ob von Null ver- schiedene Störsignalanteile sowohl hinsichtlich des Testfunkknotens als auch innerhalb des Referenzsystems ermittelt wurden. Darüber hinaus kann die jeweils ermittelte Anzahl der Störquellen, die Art oder die Lage der Störquellen verglichen werden.

Die Entscheidung über die Zugehörigkeit des Testfunkknotens zu der Te stumgebung wird bevorzugt anhand mehrere Vergleiche von unterschiedli chen Störquelleneigenschaften, wie Anzahl, Art, Position etc., getroffen, wobei für eine positive Entscheidung beispielsweise alle oder zumindest eine über einem von der Applikation bestimmten Schwellwert liegender Anteil, beispielsweise zumindest 70% oder zumindest 50% der Vergleiche positiv ausfallen müssen.

Es versteht sich, dass die Abstände der Referenzfunkknoten zumindest relativ zueinander bekannt sind, während eine absolute oder zumindest relative Position des Testfunkknotens nicht bekannt ist. Die Referenzfunk knoten bilden über ihre Abstandsbeziehung die Basis für ein Referenz- Koordinatensystem. Die Position des Testfunkknotens oder von Objekten der Umgebung ist innerhalb dieses Koordinatensystems zunächst nicht be kannt und kann mittels des Verfahrens ermittelt werden.

Es versteht sich, dass sich die Funkknoten der Funkknotenmenge abgesehen davon, dass zu den Referenzfunkknoten zumindest relative Abstände bekannt sind, nicht unterscheiden müssen. Insbesondere umfasst beispielsweise jeder Funkknoten eine Empfangseinheit, eine Sendeeinheit, einen Signalprozessor und wenigstens eine Antenne.

Umfasst ein Funkknoten mehrere Antennen, so wird das Sendesignal von einer der Antennen oder von mehreren Antennen abgestrahlt. Beispielsweise strahlen die Antennen während eines Sendezeitraums sequentiell nacheinander ab. Der Sendezeitraum ist hierfür z.B. in mehrere Zeitfenster unterteilt, wobei jeweils eine der Antennen während eines Zeitfensters sendet. Es versteht sich, dass auch der Empfang der Signale entsprechend organisiert sein kann. Die Sendesignale sind bevorzugt unmoduliert. Zusätzlich zu den Funksignalen, also den während des Messprozesses gesendeten bzw. empfangenen Signalen, ist ein Austausch von Datensignalen über dieselbe Schnittstelle bzw. mittels derselben Sendeeinheit und denselben Antennen möglich. Der weitere Datentransfer erfolgt dabei in demselben Frequenzbereich wie die Signale des Messprozesses oder in einem anderen Frequenzbereich. Alternativ weist jeder Funkknoten eine weitere Datenschnittstelle auf, wobei die weitere Datenschnittstelle auch drahtgebunden oder drahtlos ausgebildet ist. Der weitere Datentransfer über dieselbe oder eine andere Schnittstelle ermöglicht den Austausch von Daten, wie z.B. von ermittelten Signalvektoren, sowie die grobe zeitliche Synchronisation der Funkknoten.

Es versteht sich, dass die Funktionalität der Funkknoten während des Messprozesses unabhängig von der Zuordnung des Funkknotens zu der Gruppe der Referenzfunkknoten oder zu der Gruppe von Testfunkknoten ist. Prinzipiell ist es möglich, dass ein Testfunkknoten in einem ersten Durchlauf des erfindungsgemäßen Verfahrens als Transceiver arbeitet und in einem zweiten Durchlauf ausschließlich als Transmitter oder ausschließlich als Receiver. Entsprechendes gilt auch für die

Referenzfunkknoten.

Als Transceiver werden alle Funkknoten bezeichnet, die während des Messprozesses sowohl senden als auch empfangen. Als Transmitter werden Funkknoten bezeichnet, die während des Messprozesses ausschließlich in einem Sendemodus arbeiten und zumindest ein

Sendesignal senden. Dahingegen werden Funkknoten, die während des Messprozesses ausschließlich in einem Empfangsmodus arbeiten und zumindest ein Signal empfangen, als Receiver bezeichnet.

Es versteht sich, dass alle mit dem erfindungsgemäßen Verfahren übermittelten Werte bzw. Signalvektoren durch geeignete Verschlüsselungsmechanismen geschützt werden können, um die ablaufenden Vorgänge entsprechend zu schützen. So kann beispielsweise jeder Signalvektor mit einer zeitlich veränderlichen Zahlenfolge belegt werden, die nur den beteiligten bzw. autorisierten Funkknoten a priori bekannt ist.

Ein Vorteil ist, dass ohne zusätzlichen technischen Aufwand und rein auf Basis der Analyse der empfangenen Signale eine Vielzahl von Informationen über Störstrahlungsquellen bzw. Störstrahlenenergieprofile ermittelt werden, wodurch eine große Datenbasis für den Plausibilitätstest erzeugt und die Zuverlässigkeit des Plausibilitätstest erhöht werden kann. Allein durch Rechenaufwand können anhand der Störstrahlenprofile sowohl statische als auch dynamische Informationen über die Umgebung von Funkknoten ermittelt werden.

Das erfindungsgemäße Verfahren ermöglicht ein robustes und effizientes Identifizieren und Abwehren von Relais-Angriffen auf funkbasierte Zugangssysteme. Dabei ist ein einfaches Einbinden des erfindungsgemäßen Verfahrens in etablierte Standards für die drahtlose Kommunikation, z.B. Bluetooth, Bluetooth Smart und Zigbee, möglich. Das erfindungsgemäße Verfahren eignet sich besonders, um bekannte Techniken, wie die Authentifizierung über Funk-Datenkommunikation mit kryptologischen Verfahren, die Umlaufzeitmessung mit geringer Kanalbandbreite unter Nutzung von regulären Datenrahmen auf mehreren Funk-Kanälen oder das Einbinden zusätzlicher Sensorik, zu erweitern. Das Verfahren eignet sich beispielsweise als Alternative oder Ergänzung für das Authentifizieren in Zugangssystems, z.B. im Automobilbereich und kann auch in einfacher Weise mit weiteren Radarsysteme, wie Abstandsradar, Park-Sensorik, Inertial Sensorik für Orientierung, Temperatur, Luftdruck etc. auf Seiten des Automobils bzw. mit Inertial-Sensorik auf Seiten des Schlüssels kombiniert werden.

Gemäß einer ersten Ausführungsform umfasst der Messprozess mindestens zwei Messdurchgängen, wobei in jedem Messdurchgang nacheinander von jedem Transceiver jeweils während eines Sendezeitraums ein Sende signal mit einer Trägerfrequenz ausgesandt und das ausgesandte Sende signal zumindest von den weiteren Transceivern während eines Empfangs zeitraums empfangen wird, die Sendesignale der Transceiver zumindest während eines Messdurchgangs zueinander kohärent sind, sich die Träger frequenz jedes Messdurchgangs von den Trägerfrequenzen aller weiteren Messdurchgänge unterscheidet oder zumindest zu einer der Trägerfre quenzen der weiteren Messdurchgänge gleich ist und sofern ein Funkkno ten während des Messprozesses als Transmitter arbeitet der mindestens eine Transmitter jeweils während mindestens eines Zusatzsendezeitraums vor oder während oder nach einem der Messdurchgänge ein Sendsignal mit einer Trägerfrequenz aussendet, wobei das Sendesignal von den Transceivern empfangen wird. In einer Weiterbildung sind alle während eines Messprozesses gesendeten Signale zueinander kohärent.

Es versteht sich, dass, sofern vorhanden, jeder Receiver alle oder zumindest einen Teil der von den Transceivern während der mindestens zwei Messdurchgänge ausgesandten Signale empfängt.

Sofern der weitere Funkknoten während des Messprozesses auch als Transceiver arbeitet, nimmt dieser Transceiver als ein weiterer Transceiver an den mindestens zwei Messdurchgängen teil.

Sofern der weitere Funkknoten als Transmitter arbeitet, versteht es sich, dass sich der Zusatzsendezeitraum und die Sendezeiträume der Transcei ver nicht überschneiden bzw. die Funkknoten nicht gleichzeitig senden. Der Zusatzsendezeitraum ist in einen oder mehrere oder alle Messdurch gänge eingegliedert, so dass der Zusatzsendezeitraum nach einem der Sendezeiträume der Transceiver und vor einem weiteren Sendezeitraum eines weiteren Transceivers liegt. Alternativ liegt der Zusatzsendezeitraum vor und/oder nach einem oder mehreren oder allen Messdurchgängen. Be vorzugt sendet der Transmitter während jedes Messdurchgangs einmal, wobei eine Trägerfrequenz des Sendesignals des Transmitters für jeden Messdurchgang einen anderen Wert annimmt. Besonders bevorzugt wer den die Trägerfrequenzen der Sendesignale der Transmitter in derselben Weise geändert wie die Trägerfrequenzen der Transceiver.

Der Messdurchgang wird bevorzugt mehrfach wiederholt, wobei die Trägerfrequenz bei jeder Wiederholung innerhalb eines vorgegebenen Frequenzbereichs verändert wird. Beispielsweise wird ein sogenannter Frequenz-Sweep durchgeführt.

Gemäß einer anderen Ausführungsform umfasst der Messprozess mindes tens einen Abgleichsmessschritt, wobei während des Abgleichsmessschritts kein Funkknoten der Funkknotenmenge ein Signal sendet und mindestens ein Funkknoten der Funkknotenmenge einen Störsignalanteil empfängt und mindestens ein Ergebnis des Abgleichsmessschritts in dem Vergleichs prozess herangezogen wird.

In dem Abgleichsmessschritt werden allein die Störsignale der anwesenden Störquellen von mindestens einem der Funkknoten der Funkknotenmenge erfasst. Diese Information kann zusätzlich mit den Ergebnissen des ersten und zweiten Durchgangs verglichen werden. Alternativ oder ergänzend wird ein von dem Testfunkknoten während eines Abgleichsmessschritts empfangenes Signal im Rahmen des Vergleichsschritts mit einem von ei nem Referenzfunkknoten während eines Abgleichsmessschritts empfange nen Signal verglichen und das Ergebnis dieses Vergleichs als weitere Basis für den Plausibilitätstest bzw. die Entscheidung über die Zugehörigkeit herangezogen.

Gemäß einer weiteren Ausführungsform wird in dem Auswerteprozess das empfangene Signal mit einem Referenzsignal verglichen und der Störsignalanteil anhand von Abweichungen von dem Referenzsignal ermittelt. Das Referenzsignal ist gemäß einer Weiterbildung ein unmoduliertes, sinusför miges Signal mit der Trägerfrequenz des entsprechenden gesendeten Sig nals.

Es versteht sich, dass das Referenzsignal dem gesendeten Signal entspre chend ausgebildet ist und im Fall eines unmodulierten Sendesignals einer Sinusfunktion entspricht. Der Vergleich zwischen dem empfagenen Signal und dem Referenzsignal kann beispielsweise mittels Differenzbildung vor genommen werden. In einer anderen Weiterbildung wird zu jedem Störsignalanteil eine Anzahl von Störquellen und/oder eine Position mindestens einer Störquelle und/oder eine Art mindestens einer Störquellen bestimmt. Als Art der Störquelle wird beispielsweise die Art der Modulation des empfangenen Signals bzw. Störsignalanteils bezeichnet.

Gemäß einer anderen Weiterbildung werden der Messprozess und der Auswerteprozess mehrfach durchgeführt und anhand der mehreren Störsignalanteil ein Bewegungsprofil von Störquellen bestimmt.

In einer Weiterbildung ist der mindestens eine Testfunkknoten mit einem Inertial-Sensor verbunden und ein mittels des Inertial-Sensors ermitteltes Bewegungsprofil des Testfunkknotens wird in dem Vergleichsschritt mit dem anhand von Störsignalanteilen ermittelten Bewegungsprofil verglichen.

In einer alternativen Ausführungsform wird innerhalb jedes Messdurchgangs das als zweites ausgesandte Sendesignal und jedes folgende gesendete Signal zumindest aus einem Teil eines der während desselben Messdurchgangs empfangenen Signale gebildet.

Die Erfindung wird nachfolgend unter Bezugnahme auf die Zeichnungen näher erläutert. Hierbei werden gleichartige Teile mit identischen Bezeichnungen beschriftet. Die dargestellten Ausführungsformen sind stark schematisiert, d.h. die Abstände und die laterale und die vertikale Erstreckung ist nicht maßstäblich und weist, sofern nicht anders angegeben, auch keine ableitbaren geometrischen Relationen zueinander auf. Darin zeigt:

Figur 1 Referenzsystem und Testfunkknoten in einer ersten

Ausführungsform,

Figur 2 Referenzsystem und Testfunkknoten in einer zweiten

Ausführungsform, Figur 3 Verkettung von Störungsverteilungen im Falle eines Relais-Angriffs,

Figur 4 Formierung einer erweiterten Funkumgebungs-ID in

Verbindung mit Klassifikations-und Mustererkennungs verfahren zur Identifikation und Abwehr von Relais An griffen,

Figur 5 zeitlicher Messablauf.

Ein erste erfindungsgemäße Ausführungsform eines Messprozesses des Verfahrens zur Prüfung der Zugehörigkeit von Funkknoten zu einer Funk knotenumgebung anhand von Störsignalprofilen ist in Figur 1 veranschau licht. Dargestellt ist eine Minimalkonfiguration aus einer Funkknotenmenge mit drei Funkknoten Fl, F2 und FE sowie eine Stöhrstrahlungsquelle S. Die Darstellung wurde im Sinne der Übersichtlichkeit auf eine flächenhafte Ab bildung reduziert. Die zwei Funkknoten Fl und F2 arbeiten als Transceiver.

Der weitere, hier dritte Funkknoten FE arbeitet während des Messprozes ses in einem von drei Modi, nämlich entweder ausschließlich als Receiver, ausschließlich als Transmitter oder ebenfalls als Transceiver. Für alle Funk knoten gilt, dass der Sendebetrieb nur in zugeordneten Zeitbereichen, den Sendezeiträumen, stattfindet und die Funkknoten der Funkknotenmenge nie gleichzeitig senden.

Die Stöhrstrahlungsquelle S sendet dahingegen unabhängig von den Funk knoten der Funkknotenmenge, so dass sich die Signale der Stöhrstrah lungsquelle S und die Signale des sendenden Funkknotens bei den emp fangenden Funkknoten bzw. in den empfangenen Signalen überlagern.

Zwei der drei Funkknoten Fl, F2 und FE sind dabei Referenzfunkknoten, die zueinander beabstandet sind und deren Abstand zueinander bekannt ist. Einer der drei Funkknoten Fl, F2 und FE ist ein Testfunkknoten, dessen Abstand und/oder Position unbekannt ist und Zugehörigkeit überprüft wird. Die Referenzfunkknoten bilden mit ihren zumindest relativ zueinander bekannten Abständen eine Basis für die Einführung eines Referenzkoordinatensystems. Es versteht sich, dass das Referenzkoordinatensystem in seiner Dimension von der Anzahl der Referenzfunkknoten mit verschiedenen Positionen im Raum bestimmt wird.

Entsprechend der vorgestellten Annahmen werden die Einheiten auf Punkte im Raum b(*/, /,, */) reduziert; diese befinden sich im Mittelpunkt der zugehörigen Kreise. Die Ausbreitungswege werden durch Strahlen dargestellt, die in den zu den Einheiten gehörenden Punkten beginnen und enden. Durchgängige Strahlen kennzeichnen direkte Ausbreitungswege zwischen Funkknoten. Gestrichelte Strahlen kennzeichnen die direkten Ausbreitungswege zwischen der Störstrahlungsquelle S und den Funkknoten. Strahlen mit zwei Pfeilen zeigen an, dass der Ausbreitungspfad in beiden Richtungen durchlaufen wird. Strahlen mit nur einem Pfeil zeigen an, dass der Ausbreitungspfad nur in einer Richtung durchlaufen wird.

Im dargestellten Ausführungsbeispiel arbeitet der weitere bzw. hier dritte Funkknoten FE während des Messprozesses ebenfalls als Transceiver, die zwischen dem dritten Funkknoten FE und den Transceivern Fl und F2 verlaufenden Strahlen weisen entsprechend zwei Pfeile auf.

Eine wichtige Eigenschaft des dargestellten Systems ist es, Nutzsignal, also die von den anderen Funkknoten der Funkknotenmenge stammenden Signalanteile, und Störungsenergie, also den von der Störquelle stammenden Signalanteil, in gewissem Maß zu trennen und dabei zu charakterisieren. Dies ist möglich, da Eigenschaften der gesendeten Signale bekannt sind und als Referenzsignal genutzt werden können, um die Nutzanteile des Messergebnisses zu separieren.

Es versteht sich, dass für den zu Analysierenden Störstrahlungsanteil in Figur 1 rein symbolisch nur eine einzige Störquelle S dargestellt ist. Die Störanteile bestehen grundsätzlich aus Strahlung durch weitere in der Nähe befindliche Systeme, wobei auch rauschartige Quellen enthalten sein können. Darüber hinaus können auch Implementierungsspezifische Aspek- te zur Verzerrung der Messergebnisse führen. Diese Störungsgrößen als Abweichungen vom idealen Systemverhalten lassen sich durch entspre chende Modelle abbilden und damit die zugehörigen Parameter extrahie ren. Ist der Nutzsignalanteil im Verhältnis zur Rausch-bzw. Störenergie für eine entsprechende Extraktion ausreichend, so können in einer weiterge hende Analyse des Nutzsignalanteils auch Kanaltransferfunktionen, Zeit und Frequenzoffset ermittelt werden. Diese Vorgehensweise ist aber nicht Bestandteil des erfindungsgemäßen Verfahrens, das sich auf die Extraktion von Parametern der empfangenen Störsignale konzentriert.

Eine Umgebung zeichnet sich aufgrund der verschiedensten anwesenden Objekte durch einen hohen Grad an Individualität aus. Daher lassen sich diese Eigenschaften zur Merkmalsextraktion verwenden. Diese bilden dann die Basis für eine Funkumgebungsbasierte Authentifizierung.

Im Folgenden wird der Einfluss von Störstrahlen auf ein Funksystem am Beispiel eines aus einem Referenzsystem mit fünf Referenzfunkknoten ANTI, ANT2, ANT3, ANT4 und ANT5 gebildeten Zugangssystems erläutert (eingerahmte Funkknoten der Figur 2), wobei über jeden Referenzfunk knoten jeweils elektromagnetische Strahlung erzeugt und auch empfangen werden kann. Die Funkknotenmenge umfasst außerdem einen Testfunk knoten ANT6, den Schlüssel, wobei der Testfunkknoten ANT6 ebenfalls elektromagnetische Strahlung erzeugen und empfangen kann.

Die Figur 2 veranschaulicht auch einen vollständigen Messdurchgang des Systems.

Zuerst soll das Referenzsystem betrachtet werden : Jede Antenne des Referenzsystems erzeugt während der Messung ein Signal, das der Überlage rung der Strahlung aller Quellen an ihrer Position entspricht. Aufgrund der Kenntnis des jeweiligen von dem System selbst erzeugten Signals, welches als Referenz-Signal hinterlegt sein kann, lassen sich auch Eigenschaften von nicht zu dem System gehörenden Quellen elektromagnetischer Strah lung, die hier als Störquellen bezeichnet werden (nicht dargestellt), separieren. Die Störsignalanteile können für das Referenzsystem in einer Matrix Q ^A (jü>, t) mit den Elementen Qi _j (jco) zusammengefasst werden, wobei mit A die Umgebung des Referenzsystems bezeichnet wird.

Ql1 Ql2 Ql3 Ql4 Ql5

Qil Qll Q23 0.24 Q25

Q ^A (jü>, t ) Q3I Q32 O33 34 Q35

Q l Q42 Q43 044 Q45

-Oil QS2 QS3 054 55

Im Gegensatz zur Extraktion von der Kanalübertragungsfunktion und des Zeit- und Frequenz-Offset T ^A _{ffs ij} , f ^A _ffij steht hier nicht der Nutzsig nalanteil (der Anteil der empfangenen Energie, die vom System selber ausgesendet wird) im Mittelpunkt des Interesses, sondern der Störsignal- bzw. Rauschanteil des Messergebnisses. Der Anteil der Störungsenergie, also der Störsignalanteil am Messergebnis lässt sich extrahieren, wenn das Nutzsignal in seinen Eigenschaften grundsätzlich bekannt ist und als Refe renzsignal dienen kann, z.B. ein unmoduliertes Sendesignal mit bekannter Trägerfrequenz. Gegebenenfalls kann ein Referenzersatzsignal durch Nä- herung des empfangenen Signals erzeugt werden, wenn nicht alle Eigen schaften des Nutzsignals bekannt sind.

Auch die Ergebnisse von Systemoperationen wie Kanalbelegungsmessun gen (CCA - Clear Channel Assessment) können zur Erzeugung dieser Ele- mente benutzt werden. Die Elemente Qn(j< _* >, t), die hier fett markiert sind, können je nach Systemauslegung unterschiedlich interpretiert werden. Verfügt das System über die Fähigkeit gesendete und empfangene Energie zu trennen (hohe Isolationseigenschaften erforderlich), so entsteht ein Bild der Übertragungsfunktion der jeweiligen Antenne zu sich selbst und ein entsprechender Parameter zur Ausprägung der Energie durch anderweiti ger Quellen. Somit kann eine Messgröße, die die Eigenschaften bzw. Grö ßenordnung der elektromagnetischen Energie von Störquellen am Ort der jeweiligen Antenne beschreibt, abgeleitet werden, indem alle Antennen gemäß einem dritten Messabschnitt in den Empfangsmode geschaltet wer den. In diesem Fall trägt das System nicht zur Verteilung im Umfeld bei; es wird ausschließlich die Energie anderer Quellen zum jeweiligen Zeitpunkt im abgetasteten Frequenzbereich ermittelt.

Die Eigenschaften der Störstrahlenenergie sind sehr spezifisch für eine konkrete Funkumgebung und sind darüber hinaus durch ihr zeitlich nichtstationäres Verhalten gekennzeichnet. Daher entsprechen die jeweiligen Werte (^Ow,ί) der empfangenen Störstrahlungsenergie, also der Störsignalanteil, zum Zeitpunkt der jeweiligen Messung und können damit für die Authentifizierung über Merkmalserkennung herangezogen werden.

Im Folgenden wird die Interaktion mit dem Testfunkknoten betrachtet: Ein Zugangssystem, wie das vorgestellte Referenzsystem, interagiert in der Regel mit anderen Komponenten, die Teil eines größeren Gesamtsystems sind und daher Zugriff auf System -Ressourcen bekommen sollen. Im Falle eines Zugangssystems ist die Lösung darauf ausgerichtet, weitere Objekte zu identifizieren und Ihren Zugriff auf Zugangsbereiche zu ermöglichen. Allein durch ihre Anwesenheit (Veränderung der Ausbreitungseigenschaften durch zusätzliche Reflexionen) und Ihre Funktion (Aussenden von elektromagnetischer Strahlung) verändern sie in gewissem Maße die Funkumgebung bzw. erweitern selbige.

Diese Veränderungen sollen in der Folge betrachtet werden. Das in der Figur 2 gezeigte Zugangssystem in Anwesenheit des Testfunkknotens ANT6 stellt eine solche erweiterte Funkumgebung A* dar.

Das Eintreten eines weiteren Knotens führt zu Veränderungen der Ausbreitungsbedingungen. In dem konkreten Fall eines Schlüssels ist der Einfluss des Schlüssels in erweitertem Sinn zu verstehen, da der Schlüssel im Zusammenhang mit seinem Träger, einer Person, die Funkumgebung beeinflusst.

Grundsätzlich kann ein Referenzsystem im einfachsten Fall allein aufgrund von einem geänderten Ausbreitungsverhalten auf Veränderungen im Umfeld schließen. Positionierung, Bewegungsdetektion bis hin zur Bewegungs lokalisierung sind auch auf passivem Wege möglich. Im aktiven Fall können alle Antennen (einschließlich die Antennen der zusätzlichen Testfunkknoten) grundsätzlich sowohl Signale senden als auch elektromagnetische Energie empfangen und die empfangenen Signale können hinsichtlich Nutz-und Störsignalverlauf als auch bzgl. der Rauscheigenschaften ausgewertet werden. Die Erweiterung des Systems um zusätzliche Testfunkknoten führt zu einer Erweiterung der Matrix der zu extrahierenden Zeitvarianten Aussendungen durch andere Systeme bzw. Störquellen Weiterhin erweitert sich auch der

Raum verfügbarer Knoten-Parameter, wie am Beispiel von Frequenz- und Zeit-Offsets T ^A _ffS,ij and f ^A _{ffS iJ} · ersichtlich ist.

Durch Einschluss des mindestens einen Testfunkknotens ANT6 in den Messprozess ist es möglich, die Merkmale des Funkumfeldes A zu erweitern, so dass charakteristische Merkmale einer erweiterten Funkumgebung A* entstehen. Die entsprechende Matrix Q ^A* erweitert sich ebenfalls um eine Zeile und eine Spalte je Testfunkknoten :

Q ^a*

Qll Q 2 Qii Qi; Qi; Qis

Qil Q22 Qis Qi; Qi; Qi 6

_ Qi Q32 Q33 Qi; Qi; Qi 6

Qi; Qi 2* Q s Qi; Qi; Qi 6

Qii Qis Qii Qi; Qi; Qi e

. Qi i Qi; Qi; Qi; Qi; Qi \

Die einzelnen Merkmale haben aufgrund des Zeitvarianten Verhaltens der verschiedenen Systeme nur eine begrenzte Gültigkeit. Dieses nichtstationäre Verhalten ist bei den Integritäts-und Plausibilitätstest zu beachten.

Figur 3 zeigt weiterhin den Einfluss eines Relais-Angriffs-Systems auf eine Authentifizierungsanforderung mittels des Relais-Angriffs-Systems. Dabei befindet sich das Relais-Angriffs-System in einer Funkumgebung B und der Testfunkknoten in einer Funkumgebung C. In diesem Abschnitt wird die Ausnutzung von Störstrahlungen, die innerhalb einer Funkumgebung vorhanden sind, für die Detektion von Relaisangriffen veranschaulicht. Dazu werden die Unterschiede hinsichtlich des Störungsprofils eines regulären Authentifizierungsvorganges (Q ^A* ) und eines Relais-Angriffs (Q ^A ) gegenübergestellt.

Gemäß einer Ausführungsform verschafft sich das Referenzsystem in einem Standby-Modus, in dem keine Authentifizierungsanfrage erfolgt, durch Überblicksmessungen (auch Kanal-Belegungstests und Energie- Verteilungstests über die Bandbreite genannt) einen Überblick über Störstrahlungssituation in seinem Umfeld. Dabei entsteht eine Bild der Störenergie-Verteilung Q ^A im Umfeld des Referenzsystems wie vorab beschrieben.

Der Eintritt des Testfunkknoten in das Funkumfeld A des Referenzsystems bewirkt eine Erweiterung der erfassbaren Störungsverteilung. Es erfolgt ein Übergang A - A* oder A-> A-.

Die jeweiligen Störungsverteilungen können durch folgende Matrizen beschrieben werden.

Eine Betrachtung der Eigenschaften der einzelnen Elemente für zur Ablei tung von Verschiedenen Klassen, die differenziert behandelt werden.

Klasse 1 : Q ^A* ' ^A~ für ij = 1..5: kennzeichnen die detektierte Störstrahlungsenergie im Umfeld des Zugangssystems; diese Elemente sind eng mit den entsprechenden Elementen der Matrix Q ^A verbunden und entsprechende Eigenschaften lassen sich über Äquivalenzbeziehungen übertragen und damit auf Plausibilität prüfen. Diese Elemente werden während des Aus werteprozesses mittels des ersten Durchgangs ermittelt.

Klasse 2: j _. Q ^A* ' ^A für j = 1..5: kennzeichnen die detektierte Störstrahlungsenergie, die durch den Testfunkknoten, z.B. Schlüssel/Tag, detektiert wird, während die einzelnen Antennen des Referenzsystems ein Referenzsignal abstrahlen. Diese Elemente werden während des Auswerteprozesses mittels des zweiten Durchgangs für einen empfangenden Testfunkknoten ermittelt.

Klasse 3: Q ^A ₆ ^*,A für i = 1..5: kennzeichnen die durch die einzelnen Antennen des Referenzsystems detektierte Störstrahlungsenergie während der Testfunkknoten, z.B. Schlüssel/Tag, ein Referenzsignal abstrahlt. Diese Elemente werden während des Auswerteprozesses mittels des zweiten Durchgangs für einen sendenden Testfunkknoten ermittelt.

Klasse 4: Q ^A* ’ ^A für i = 1..6: kennzeichnen die detektierte Störstrahlungsenergie, die an einer Antenne der Funkknotenmenge ermittelt wird, wenn diese Antenne entweder gleichzeitig im Sende- und Empfangsmode arbeitet oder zusammen mit allen anderen Antennen der Funkknotenmenge nur im Empfangsmodus arbeitet. Diese Elemente werden entsprechend bei spielsweise in einem Abgleichsmessschritt ermittelt.

Im Fall eines Relais-Angriffs umfassen die Messgrößen der Klasse 1 die Störungsverteilung in der Umgebung des Referenzsystems zu den Zeitpunkten, zu denen die entsprechenden Antennen im Empfangsmode be- trieben werden. Aufgrund ihrer lokalen räumlichen Verteilung bilden sie ein adäquates Abbild der lokalen Störungsverteilung und dienen als Basis für eine Klassifikation.

Die Messgrößen der Klasse 1 dienen damit als Ausgangspunkt bzw. Vergleichsgrundlage für eine Integritäts- und Plausibilitätsverifikation hinsichtlich des Testfunkknotens, z.B. eines Schlüssels. Für den Vergleich wird die von dem Testfunkknoten detektierte Störstrahlungsenergie (Klasse 2) und/oder die von dem Referenzsystem im Zusammenhang mit von dem Testfunkknoten ausgesendeten Signalen detektierte Störstrahlungsenergie (Klasse 3) herangezogen.

Gemäß Klasse 4 werden die Störsignalanteile direkt bzw. nur gegen einen Rauschanteil gemessen. Damit können von einem Testknoten ermittelte Messgrößen der Klasse 4 für einen Plausibilitätstest direkt mit den von einem Referenzfunkknoten gemessenen Messgrößen der Klasse 4 verglichen werden. Die mit einem oder mehreren Referenzknoten ermittelten Messgrößen der Klasse 4 bilden außerdem ein adäquates Abbild der lokalen Störungsverteilung.

Damit ist eine Einschätzung bzw. Klassifizierung der Störungsstrahlungseigenschaften einer Umgebung möglich, die Aussagen bzgl. von Störstrahlungsquellen erlaubt, hinsichtlich :

• Vorhandensein von Störstrahlungsquellen (einfachster Fall),

• Art von Störstrahlungsquellen, z.B. über Bestimmung von Modulationsparametern,

• Anzahl von Störstrahlungsquellen,

• Lage von Störstrahlungsquellen, z.B. über Zeitdifferenzmessungen,

• Bewegung von Störstrahlungsquellen (komplexer Fall).

Diese Störquellenklassifikation führt zu höherwertigen Merkmalen und er laubt damit eine Prüfung mit höherer Absicherung. Bei einem Relais-Angriff werden die ausgesendeten Signale der elektro magnetischen Störungsverteilung im Umfeld des Referenzsystems Q ^A und zusätzlich der Störstrahlungsverteilungen um das Relais-System Q ^B und der Störstrahlungsenergie um das Schlüsselsystem Q ^c ausgesetzt. Das heißt, dass der Testknoten beim Empfang der Signale des Referenzsys tems, die über das Relais-System weitergeleitet werden, einer Störungs verteilung ausgesetzt ist, die praktisch der Überlagerung der Störquellen in allen drei Umgebungen entspricht. Diese Auswirkungen werden in folgender Gleichung zusammengefasst:

Die Überlagerung der einzelnen Störverteilung wird durch den x-Operator ausgedrückt.

Da sich die Antenne ANT7 des Relais-Systems (nicht dargestellt) in der erweiterten Umgebung des Referenzsystems befindet, entspricht die hier detektierte Störenergie Q der Energie Q für j=1..6, die auch ein Testfunkknoten bei einem qualifizierten Zugang detektieren würde. Die an diesem Punkt detektierte Energie steht außerdem in einem plausiblen Zusammenhang mit der vom Zugangssystem detektierten Störungsverteilung Q ^A -

Auf dem Weg zum und vom dem Testfunkknoten überlagern sich die Störstrahlungen der Relais-Umgebung Q% _s bzw. <?f ₇ (je nach Zeitpunkt) und die Störstrahlung in der Umgebung des (entfernten) Q^ _e bzw. Qg ₆ .

Diese zusätzlichen Störstrahlungen lassen sich mit Integritäts-und Plausibilitätstests identifizieren. Obwohl Störstrahlung nicht vorhersehbar ist, führt die allgegenwärtige Präsenz von Funksystemen insbesondere im 2,4GHz Band dazu, dass diese Merkmale eine gute Aussagekraft bzgl. der Identifikation von Relais-Attacken besitzen. Ein Relais-Angriff, der bei spielsweise neben der Kompensation des direkten und der indirekten Ausbreitungswege auch noch eine Identifikation und Korrektur von Störsignalen vornimmt und dabei Zeitlimits einhält, wird als nicht realisierbar einge schätzt.

In der Figur 4 ist veranschaulicht, wie eine Authentifizierung durch Kombination des erfindungsgemäßen Verfahrens basierend auf der Störsignalanalyse mit weiteren Testverfahren kombiniert und so eine besonders zuverlässige Ermittlung von Relais-Attacken umsetzbar ist.

Auf der linken Seite (A) wird die Authentifizierung positiv beschieden und ein Zugang gewährt, während auf der rechten Seite (B) ein Relais-Angriff erkannt und der Zugang verwehrt wird. Dabei werden folgenden Schritte parallel ausgeführt: Authentifizierung mit kryptographischen Methoden (Signaturen, MAC,...) 1, Schmal-bandage Umlaufzeitmessung 2, Bestimmen der Systemübertragungsfunktionen (Kanaltransferfunktionen oder Kanalimpulsantworten) 3, Störanteilbe stimmung 4, Bestimmen von Zeit- und Frequenzoffsets 5, Bewegungspro filbestimmung durch Inertialsensorik 6.

In einem Schritt 7 wird die Authentifizierung mittels kryptogrphischer Me thoden 1 als Integritätsprüfung ausgewertet. Ein Relais-Angriff ist gegebe nenfalls nicht erkennbar, so dass (A) wie (B) positiv beschieden werden (pass).

Die Schritte 2 bis 6 können alle durchgeführt werden, ebenso kann nur ein Teil dieser Testverfahren durchgeführt werden. Nach einer Klassifikation und Mustererkennung der Ergebnisse der Schritte 2 bis 5 in einem Schritt 8 wird der Relais-Angriff sicher erkannt und entsprechend negativ beschie den (fail), so dass im Ergebnis eine Authentifizierung des Relais-Angriffs scheitert.

In der Figur 5 ist ein zeitlicher Ablauf eines Messprozesses in einer ersten Ausführungsform dargestellt. Während des Messprozesses arbeiten alle drei Funkknoten der Funkknotenmenge, also die beiden Referenzfunkkno ten sowie der Testfunkknoten als Transceiver.

Im oberen Teil der Figur 5 sind die Operation der drei Funkknoten über mehrere Messdurchgänge gezeigt, wobei jede Zeile einem Funkknoten entspricht. Die Pfeile stellen jeweils einen Sample und Sample-Zeitpunkt eines empfangenen Signals dar. Fette Balken kennzeichnen einen Übergang von dem Empfangsmodus auf den Sendemodus und umgekehrt. Die Striche ohne Pfeil verdeutlichen das Mitlaufen des jeweiligen Zeitgebers bzw. den Erhalt der jeweiligen Zeitbasis auch während sich ein Funkknoten in dem Sendemodus befindet.

Im unteren Teil der Figur 5 ist der Verlauf der Trägerfrequenz w _r dargestellt. Alle Funkknoten der Funkknotenmenge arbeiten in ihrer eigenen Zeitbasis TI, T2 bzw. T3, vorgegeben von dem jeweiligen Zeitgeber Z(T1), Z(T2) bzw. Z(T3), jeweils mit einer eigenen Zeiteinheit T _MU , T _M u bzw. T" _MU , auf deren Basis alle Aktionen erfolgen. Die Zeiteinheiten T _M u, _M u bzw. T' _M u bzw. das jeweils definierte Schrittmaß wird durchgehend über eine oder mehrere Wiederholungen des Messdurchgangs aufrechterhalten. Die Zeitachsen T2 bzw. T3 sind um den Zeitversatz T _0ffS ,i2 bzw. T _0ffS ,i3 gegenüber der Zeitachse TI verschoben.

Der Index m bezeichnet hier den Index der Wiederholung des Messdurchgangs, wobei in diesem Fall mit Beginn jedes Messdurchgangs die Frequenz der Frequenzgeneratoren, d.h. die jeweilige Trägerfrequenz, geändert wird. Der Index m hat einen Wertebereich rn=0,l,...,(m _max -l). rn _max wird durch die konkrete Ausführung bestimmt und ist u.a. von der Anzahl der Frequenzen abhängig, für die eine Systemübertragungsfunktion ermittelt werden soll.

Zur Unterscheidung der entsprechenden Größen der einzelnen Funkknoten sind alle Größen durch unterschiedliche Anstriche (z.B. für die Frequenzen : Fl :f _p , F2 :f _p , FE:f' _p ) gekennzeichnet.

Jeder Funkknoten bildet für sich ein zeitdiskretes System mit Tl = n T _M u+nn TsF , T2=n-T _M u+m sF bzw. T3=n T" _MU +m-T' _SF , wobei der Index n die Zeitschritte der Länge T _M u innerhalb eines Messdurchgangs bezeichnet.