KR20010079689A

KR20010079689A - 안전 시스템

Info

Publication number: KR20010079689A
Application number: KR1020017002419A
Authority: KR
Inventors: 쉬미츠쉬테판; 크로우허스트피터
Original assignee: 클라우스 포스, 게오르그 뮐러; 로베르트 보쉬 게엠베하
Priority date: 1998-08-27
Filing date: 1999-08-20
Publication date: 2001-08-22
Also published as: EP1108102A1; WO2000012846A1; BR9913320A; DE59913526D1; JP2002525463A; AU4241999A; EP1108102B1

Abstract

송신기와 수신기가 인증 데이터를 송신하기 위해 서로 통신하도록 설계되어 있는, 송신기를 구비한 전자 키 및 수신기를 구비한 보안된 물건을 포함하는 안전 시스템은, 송신기는, 송신기의 하드웨어 내에 매립되어 있는, 키에 대해 명백한(고유한) 인증 데이터를 전송하고, 안전시스템은 전송된 식별 데이터가 수신기의 인증 데이터에 상당할 때에 인증 데이터 전송시 보안 물건에 대한 자격을 허락하는 것을 특징으로 한다.

송신기와 수신기가 인증 데이터를 송신하기 위해 서로 통신하도록 설계되어 있고, 인증 데이터는, 보안된 물건으로부터 수신된 특정질문에 응답하여 키에 의해 전송되는 대답 정보 내에 포함되어 있는, 송신기를 구비한 전자 키 및 수신기를 구비한 보안된 물건을 포함하고 있는 안전 시스템에 있어서, 보안 물건을 위한 안전시스템에 의해 자격이 인정되도록, 대답 정보의 적어도 일부는 수취 시간구간 내에 수신되어야 하고, 수취 시간구간은 특정질문의 전송시작으로부터 소정 시간구간이 지나 시작하는 것을 특징으로 한다.

Description

안전 시스템{Security system}

자동차에 접근하여 그것을 작동시키기 위한 현재 존재하는 수동식 안전 시스템은 원격작동 전자 키를 사용하는데, 이 전자 키는, 키가 수신기의 소정 범위 내에 있을 때에 자동차에 있는 수신기에 인증 데이터를 송신하는 송신기를 포함하고 있다. 송신기와 수신기 사이에서 활성화되는 통신 프로토콜은 송신되는 데이터를 안내하기 위해 무선 주파수 인터페이스를 이용한다. 무선 주파수(RF) 인터페이스는, 키를 갖고 있는 사람이 자동차 바로 근방으로부터 떨어질 때에는 보장적으로 통신 연결이 중단되게 하기 위해 한정된 범위를 갖는다.

수동식 안전 시스템은 탈취장치를 이용하는 무자격자의 공격에 쉽게 노출되는데, 이 장치는 자동차 및 키의 가까이에 배치되어, 키로부터 송신된 송신신호를 수신하여 그 신호를 자동차에 수정 송신하거나 또는 그 송신신호를 기록한다. 송신 신호가 처음 일단 탈취하면, 그 신호를 복조하여 그 송신된 데이터를 얻을 수 있다. 그러면 무자격자는 제조자로부터 진정한 키를 획득하여 제 2 키(가짜 키)인 획득된 키로 송신 데이터를 이용할 수 있게 된다. 그러면 이 제 2 키는 무자격 접근을 달성하는데 또는 자동차를 이용하는데 사용될 수 있다.

본 발명은 안전 시스템, 특히 자동차용 수동식 안전 시스템에 관한 것이다.

도 1은 탈취소를 가진 본 발명에 의한 안전 시스템의 바람직한 실시예의 약도.

도 2는 안전 시스템의 블록 다이어그램.

도 3은 안전 시스템으로부터 전송된 신호의 시간 다이어그램.

본 발명에 의해서는 상기와 같은 문제점이 제거될 수 있게 하거나 또는 적어도 합목적적 대안을 제공할 수 있는 시스템을 제공하고자 한다.

본 발명은, 송신기와 수신기가 인증 데이터를 송신하기 위해 서로 통신하도록 설계되어 있는, 송신기를 구비한 전자 키 및 수신기를 구비한 보안된 물건을 포함하고 있는 안전시스템을 제공하는데, 이 안전 시스템에 있어서는, 송신기는, 송신기의 하드웨어 내에 매립되어 있는, 키에 대해 명백한(고유한) 인증 데이터를 전송하고, 안전시스템은 전송된 식별 데이터가 수신기의 인증 데이터에 상당할 때에 인증 데이터 전송시 보안 물건에 대한 자격을 허락하는 것이 그 특징이다.

본 발명은 또한, 송신기와 수신기가 인증 데이터를 송신하기 위해 서로 통신하도록 설계되어 있고, 인증 데이터는, 보안된 물건으로부터 수신된 특정질문에 응답하여 키에 의해 전송되는 대답 정보 내에 포함되어 있는, 송신기를 구비한 전자 키 및 수신기를 구비한 보안된 물건을 포함하고 있는 안전시스템을 제공하는데, 이 안전 시스템에 있어서는, 보안 물건을 위한 안전시스템에 의해 자격이 인정되도록, 대답 정보의 적어도 일부는 수취 시간구간 내에 수신되어야 하고, 수취 시간구간은 특정질문의 전송시작으로부터 소정 시간구간이 지나 시작하는 것이 그 특징이다.

본 발명은 또한, 송신기와 수신기가 인증 데이터를 송신하기 위해 서로 통신하도록 설계되어 있고, 송신기를 구비한 전자 키 및 수신기가 있는 보안된 물건을 포함하고 있는 안전시스템을 제공하는데, 이 시스템은, 송신기 및 수신기에 의해실현되는 통신 프로토콜이 무자격 송신기에 의한 인증 데이터의 전송을 인식하는 것이 그 특징이다.

본 발명의 바람직한 구현물을 실시예로서의 첨부 도면을 참고하여 이하에 설명하겠다.

도면에 도시된 것과 같은 수동식 안전 시스템(2)은 다음 것들을 포함한다: 송신기(6)와 유도코일 안테나(7)를 가진 전자 키(4), 수신기(10)와 유도코일 안테나(12)를 가진 기본국(8). 기본국(8)은 예컨대 자동차와 같은 보안 위치에 설치되고 보안 위치에의 접근 및/또는 자동차의 시동을 제어한다. 키(4)가 수신기(10)의 안테나(12)의 특정 영역 내에 접근되면, 수신기(10)가 키(4)를 여기하고 그럼으로써 송신기(6)가 수신기(10)에의 전송을 개시하게 한다. 데이터는 RF 신호를 이용하여 전송되는데 그 신호가 키(4)와 기본국(8) 사이에 통신연결을 이룬다. 키(4)와 기본국(8) 사이에 전달되는 데이터는 통신 프로토콜에 의해 결정되는데, 이 프로토콜은 키(4) 및 기본국(8)에 의해 준수되고 그 프로토콜은 키(4)로부터 수신기(10)로의 인증데이터의 전송을 포괄한다. 보안 위치에의 접근 및/또는 자동차의 시동은, 전송된 인증 데이터가 기본국(8)에 의해 기억되어 있는 인증 데이터와 일치할 때에만 허가된다.

탈취소(16)는 키(4)로부터의 전송을 역시 수신하고 모든 수신된 모든 신호를 기억하거나 또는 중계 전송하기 위해 수신기를 포함하고 있다. 탈취소(6)는 신호를 복조하고 수신된 데이터의 복사물을 얻기 위해 이용된다. 그 키(4)는 대량생산 부재이고 자동차 제작자가 규정한 요건을 만족하는 것이다.

이 키(4)는 수 개의 안전 특징들을 갖는데, 예컨대 전송된 인증 데이터 및 출원인의 호주 특허출원 제 33933/99에 기재되어 있는 것과 같은 확실한 스펙트럼 서명 또는 3차 개입점(third order intercept point)등의 특징을 갖는다. 그러나 무자격자는, 대량생산된 키들(4) 중의 하나를 자기 소유로하여 탈취소(16)에 의해 얻어진 데이터를 이용함으로써, 얻어진 불법 키의 송신기를 이용하여 그 데이터를 단순히 그 자동차에 중계 전송하거나, 또는 그 데이터를 불법 키(4)에 저장함으로써 제 2 키를 제조할 수도 있다. 따라서 제 2 키(4)는 자동차에의 불법 접근 및/또는 자동차의 불법 이용을 달성하는데 이용될 수 있다. 중계전송 공격에 있어 탈취소는, 소유자의 가정/회사 내에 있을 수 있는 원 키(4)를 여기시키고 그런 뒤 수신된 복조된 데이터를 중간 키(4)의 송신기를 이용하여 원 키(4)로부터 자동차에 중계전송하는데에 이용된다.

이하에 기재하는 바람직한 구체적 방법에 따라 상기한 상황을 방지하기 위해, 키(4) 모두를 명백한 일련번호로 제조하여 그 번호들이 식별 데이터로서 키(4) 내에 포함되게 한다. 그 식별 데이터는 키(4)의 송신기(6)를 포함하는 집적 회로의가장 구조(위장 배치물)로 형성한다. 식별 데이터는, 이것이 형성된 후에는 어떤 다른 전자 부품에 의해서도 판독될 수 없도록 집적 회로 내에 포함되게 한다. 송신기는, 키(4)가 기본국(8)에 의해 여기될 때 일련번호를 나타내는 식별 데이터가 먼저 전송되고 그런 후에 송신기가 예컨대 인증 데이터와 같은 공급되는 어떤 다른 데이터의 전송을 시작하도록, 설계된다. 예컨대 송신기(6)는 통신 프로토콜을 이용하여 마이크로 프로세서(35)로부터 수신하는 모든 데이터를 전송할 것인데, 그 프로토콜은 개시 특정문장을 포함하고 이 문장이 어떤 다른 데이터가 전송되기 전에 첫째로 전송된다. 송신기(6)는 개시 특정문장 내에 키(4)의 일련번호를 포함한다. 기본국(8)은 명백한 일련번호를 복사하고 오직 다음의 경우 자동차에의 접근 및/또는 자동차의 이용을 가능하게 할 것이다: 즉

(a) 수신된 일련번호가 기본국(8)에 기억된 일련번호와 일치하고,

(b) 기본국(8)이 전송된 일련번호를 허용된 기간 내에 수신하는 경우.

키(4)의 전송이 수신될 때에는, 허용된 기간은 제 1 개시기간에 일치한다. 허용된 기간은, 개시 전송부에 있는 전송된 일련번호의 수신을 허용할 정도로 (길게) 조절되지만, 또한 원 키로부터 복사된 일련번호의 전송에 의해 행해진 제 2 키의 명백한 일련번호의 전송을 확실히 억제할 정도로 충분히 짧게 조절된다. 그럼으로써, 가짜 키의 일련번호의 전송이 억제된 이후에나, 복사된 원 키의 일련번호를 포함하는 복사 데이터가 전송될 수 있어, 보장적으로 무자격자는 자동차에의 접근을 할 수 없고 및/또는 자동차를 이용할 수 없게 된다. 일련번호를 전달하는 개시(헤더) 특징문자를 가진 통신 프로토콜을 이용함으로써, 중계 공격의 경우 불법키(4)를 이용하는 탈취소(16)는 먼저 불법 키의 일련번호를 포함하는 개시 특징문자을 송출할 것이고 거기에 이어서 개시 특정문장 및 원 키(4)로부터 얻어진 데이터를 송출할 것이다. 두 개시 특정문장, 또는 실제로는 두 일련번호가 인식된다. 허용된 기간은, 어떤 데이터가 수신되기 전에 개시 특정문장을 전송하는데 걸리는(요구되는) 시간에 일치한다. 개시 특정문장의 구조는, 각 개시 특정문장의 시작과 끝에 명백한 디지털 기억단어가 있을 때에 인식될 수 있다. 데이터의 시작도 또한, 명백한 데이터 예고부가 존재할 때에 인식될 수 있다. 따라서 개시 특정문장의 인식에 의해 수신기(10)에서 인식된 개시 특정문장-시간길이가 개시 특정문장의 길이를 초과할 때에는, 자동차에의 접근 및/또는 자동차의 이용이 거부된다.

도 2에 표시된 것과 같이 송신기(6)는 집적 회로를 갖고 있는데, 이 회로는, 수신기(10)에 의해 키(4)가 여기되는 즉시 두 개의 일정한 음성 신호를 전달한다. 이 회로는 음성을 위한 두 개의 무선주파수-발진부(30 및 32)를 포함하고 있는데, 이 발진부들의 출구는 송신기(6)의 안테나(7)에 전송하기 위해 한 안테나 스위치(34)에 통합되어 있다. 다른 방법으로는, 그 회로는 복합 구상변조기를 포함할 수 있고, 이 변조기는 수신기(10)에 사용된 채널거리의 여러 배 만큼 떨어져 두 음성이 발생되게 할 수 있다.

음성신호들 중 하나, 예컨대 제 1 주파수 발진기(30)에 의해 발생된 신호는 명백한 일련신호를 나타내는 식별 데이터를 전달하는데 이용된다. 키(4)는 전송을 위한 데이터를 송신기(6)에 공급하는 마이크로콘트롤러(35)를 포함한다. 송신기(6)는 데이터를 수신하여 그것을 일련번호를 포함하는 개시 특정문장과 함께 전송을위해 기본국(8)에 공급한다. 송신기(6)는 개시 특정문장을 구성하기 위한 규약을 포함하고 있고 그것을 데이터와 더불어 키(4)와 기본국(8) 사이의 통신 프로토콜에 일치하여 전송을 위해 제공한다.

기본국(8)의 수신기(10)는, 안테나(12)에 연결된 FM 수신장치(36), 아날로그-디지털 변환기(38), 마이크로콘트롤러(40) 및 주파수 합성 국부 발진기(42)를 포함한다. 마이크로콘트롤러(40)는 주파수합성기(42)를 제어하고 또한 A-D-변환기(38) 및 FM-수신기(36)에 의해 수신된 데이터를 처리하기 위해 프로그램된다. 주파수합성기는, FM 수신기(36)에 의해 처리될 주파수 채널을 선택하는데 이용되는데, 그 수신기는, 출원인의 호주 특허출원 제 33933/99 호의 명세서에 기재된 것과 같이, 네 채널 C1 내지 C4의 각각을 위한 RSSI 출력을 발생한다. 각 채널에 대한 RSSI 출력은, 마이크로콘트롤러(40)에 의한 마무리 처리를 위해 A-D-변환기에서 이진단어로 변환되도록 처리된다. 마이크로콘트롤러(40)는 이진단어를, 수신된 에너지에 대해 채널 C1 내지 C4의 각각에 표현되는 스펙트럼 단어로서 처리하고, 그런 뒤 그 스펙트럼 데이터를 송신기(6)를 위한 미리 기억되어 있는 스펙트럼 서명과의 비교를 위해 이용한다.

FM 수신기(36)는, 식별데이터를 가진 어떤 개시 특정문장을 얻기 위해, 전송된 식별데이터를 전달하는 음성신호에 일치하는, 채널 C2 또는 C3 중의 하나에 수신된 데이터를 또한 복조하고, 그 데이터는 "데이터-획득-출력"으로서 마이크로콘트롤러(40)에 다시 전달된다. 마이크로콘트롤러(40)는 정당한 원 키(4)의 명백한 일련번호의 사본을 식별데이터로서 기억하고 이 기억된 데이터를 전송된 식별데이터와 비교하기 위해 이용한다.

키(4)가 여기되고 두 기본 음성과 명백한 일련번호의 전송이 야기되도록, 키(4)가 안테나(12)의 소정 영역 내에 위치되어 시스템(수신부)(2)이 개시된다.

이때에 마이크로콘트롤러(40)에 의해 수신된 스펙트럼 데이터 및 일련번호는 송신기의 스펙트럼 서명 및 일련번호로서 나중에 키(4)와 수신기(10) 사이에 있어 모든 다음의 통신을 위한 비교를 위해 기억된다.

거기에 따라 통신연결이 차례로 이루어질 때 키(4)와 기본국(8)은 이하의 단계들을 수행한다:

(ⅰ) 어떤 인증 데이터를 전송하기 전에 채널 C2 및 C3에서 두 기본 음성이 일련번호와 동시에 채널 C2 또는 C3 중의 하나에서 전송된다.

(ⅱ) 주파수 합성기(42)는 네 채널 C1 내지 C4를 선택하고 FM 수신기(36)는 채널 각각에 대한 RSSI 출력 및 마이크로콘트롤러(40)를 위한 "데이터-획득-출력"을 생성한다.

(ⅲ) 마이크로콘트롤러(40)는 각 채널에 대한 수신 신호 피크를 나타내는 스펙트럼 데이터를 수신하고 처리하며 이것은 기억되어 있는 스펙트럼 서명과 비교된다.

(ⅳ) 스펙트럼 서명과 스펙트럼 데이터 사이에 ±1% 이상의 편차가 존재하는 경우에는 마이크로콘트롤러(40)는 기본국(8)으로 하여금 인증과정을 중단하고 보안 장소에의 접근 및/또는 차량의 이용을 저지하게 한다.

(ⅴ) 마이크로콘트롤러(40)는 "데이터-획득-출력"상에서 각 신호를 처리하여그들 신호가 개시 특정문장을 나타내고 기억되어 있는 일련번호를 포함하고 있는지를 확인한다. 데이터가 "데이터-획득-출력" 상에서 저장된 일련번호와 일련하지 않는 경우에는, 또는 마이크로콘트롤러(40)가, 단계 (ⅲ)의 수행과 저장된 일련번호와 일치하는 데이터의 수신 사이의 허용된 시간길이를 초과하는 시간지연을 발견하는 경우에는, 마이크로콘트롤러(40)는 기본국(8)이 인증과정을 중단하고 보안 장소에의 접근 및/또는 차량의 시동을 거절하게 한다. 그 시간지연은, 가 키(4)가 처음 여기될 때 각각 시도된 일련번호 전송의 저지 또는 억제에 해당되는 것이다. 정확하게 말하면, 지연은, 통신 프로토콜에 따라 처리하려는 데이터가 수신되기 전 하나를 초과하는 개시 특정문장의 수신에 해당한다.

(ⅵ) 수신된 스펙트럼 데이터의 스펙트럼 신호와의 편차 크기는 다음 분석을 위해 기재해 두는데, 특징적인 3차 수집점을 구하여 공격국을 식별할 수 있기 위해서이다. 각 수신된 무자격 키의 비허가 일련번호는 무자격 키를 식별하기 위해 역시 기억저장된다. 공격의 수도 역시 기억되게 할 수 있다.

(ⅶ) 기본국(8)이 결국 자격있는 이용자를 발견하고 자격있는 접근 및/또는 차량 시동을 허가할 때에는, 마이크로콘트롤러(40)는 공격이 행해졌다는 것을 표시하기 위해 경고 신호가 발생되게 한다. 그 경고신호는 보안 장소, 즉 자동차에서 발생되는, 단어 표시, 경고 등 또는 음성신호의 형태일 수 있다.

키(4)를 여기하기 위해 기본국(8)은 FM-송신기(37)를 포함하고 있는데 이 송신기는 특징 질문(50)을 키(4)의 수신기(9)에 전달하기 위해 안테나(12)를 이용한다. 도 3에 표시된 것처럼 특징 질문(50)은 시점(T_start)에서 송출되는데, 이 시점은기본국(8)의 수신기(36)가 키(4)의 인증 데이터를 획득하기 위해 허용된 기간의 측정이 시작되는 시점이다. 키(4)는 인증 데이터 및 일련번호를 도 3에 표시된 것처럼 대답 정보(52) 중에 가용 채널 C2 및 C3 중의 하나에 전달한다. 대답 정보(52)는 특징 질문(50)의 전송 중 또는 후에 송출된다. 대답 정보(52)의 적어도 일부는 기본국(8)에 의해 시각(T_MIN)과 (T_MAX) 사이의 수취시간구간(54) 내에 수신되어야 한다. 이용되는 주파수 채널(C2 및 C3)은 특정질문(50)으로 얻어진 데이터에 의해 선택된다. 시각(T_START)은 특정질문(50)의 시작(56)에 상당하고, 대답(52)은 타당성 있게(유효하게) 또한 적어도 부분적으로는 T_MIN이전이 아닌 또한 T_MAX이후가 아닌 기간에 수신되어야한다. 대답(58)이 시간구간(54) 외부에서 수신되면 그것은 자동적으로 무효 대답(58)이 된다. 시간구간(54)의 시작(T_MIN)은 특정질문(50)의시작시(T_START), 그 중간, 그 이후 또는 도 3에 표시된 것처럼 그 종료점에 위치할 수도 있다. T_MAX은 T_MIN으로부터 약 1 밀리초 떨어져 있어, 수취시간구간(54)은 약 1 밀리초에 상당한다. 이 시간길이가 특히 유리한데, 그 이유는 공격국(16)을 소유하는 각 무자격 이용자는, 대답(52)의 전송주파수를 결정하고(알아내고) 그 대답(52)을 탈취할 수 있기에는 적어도 2 내지 5 밀리초를 필요로 하기 때문이다. 따라서 시간구간(54)은, 이것이 오직 유효한 대답(52)을 발견하고 공격국(16)에 의해 발생된 지연된 무자격 대답(58)을 찾지 않도록, 정해진다.

이 분야의 전문지식을 가진 사람들에게는 첨부 도면을 참고하여 기술된 본발명의 범위를 벗어남이 없이 많은 변형이 가능할 것이다.

Claims

송신기와 수신기가 인증 데이터를 송신하기 위해 서로 통신하도록 설계되어 있는 송신기를 구비한 전자 키 및 수신기를 구비한 보안된 물건을 포함하고 있는 안전시스템에 있어서,

송신기는, 송신기의 하드웨어 내에 매립되어 있는, 키에 대해 명백한(고유한) 인증 데이터를 전송하고, 안전시스템은 전송된 식별 데이터가 수신기의 인증 데이터에 상당할 때에 인증 데이터 전송시 보안 물건에 대한 자격을 허락하는 것을 특징으로 하는 안전시스템.
제 1 항에 있어서, 식별 데이터가 허용된 기간 내에 얻어지고 수신기의 식별 데이터에 상당할 때에 자격이 허락되는 것을 특징으로 하는 안전시스템.
제 2 항에 있어서, 식별 데이터는 수신기와 송신기 사이에서의 통신 정보의 개시 특정문장으로 전송되고, 자격이 허락되기 위해서는 개시 특정문장이 허용된 기간 내에 수신되어야 하는 것을 특징으로 하는 안전시스템.
제 3 항에 있어서, 개시 특정문장이 대답 정보로 키로부터 보안물건에 의해 수신된 특정질문에 대해 전송되며, 자격이 허용되기 위해서는 대답 정보의 적어도 일부분은 허용된 기간 내에 수신되어야 하는 것을 특징으로 하는 안전시스템.
제 4 항에 있어서, 허용된 기간은, 특정질문의 전송시작에서 또는 특정질문의 전송시작으로부터 소정 시간기간에서 시작하는 수취 시간구간을 나타내는 것을 특징으로 하는 안전시스템.
제 5 항에 있어서, 상기 소정 시간기간은 특정질문의 시간길이보다 짧거나 또는 특정질문의 시간길이와 같은 것을 특징으로 하는 안전시스템.
제 6 항에 있어서, 상기 수취 시간구간은 약 1 밀리초에 상당하는 것을 특징으로 하는 안전시스템.
제 1 항 내지 제 7 항 중 어느 한 항에 있어서, 송신기는 식별 정보가 매립되어 있는 집적 회로를 포함하고 있는 것을 특징으로 하는 안전시스템.
제 1 항 내지 제 8 항 중 어느 한 항에 있어서, 송신기는 식별 데이터에 접근하여, 송신기가 수신기에 전송을 시작할 때, 그 식별 데이터를 전송하는 것을 특징으로 하는 안전시스템.
제 9 항에 있어서, 명백한 식별 데이터는 키에 대한 일련번호를 나타내고 전송을 위해 송신기에 공급된 다른 데이터와는 관계없이 자동적으로 전송되는 것을특징으로 하는 안전시스템.
적어도 제 2 항에 따른 제 9 항에 있어서, 송신기는 음성신호를 스펙트럼 데이터로 변환하여 전송하며, 안전 시스템은 인증 데이터의 전송시, 그 스펙트럼 데이터가 그 송신기의 스펙트럼 서명과 일치하며 전송된 식별 데이터가 수신기의 식별 데이터와 일치하고 또한 허용된 기간 내에 수신될 때에는, 자격을 허락하는 것을 특징으로 하는 안전시스템.