知財求人 - 知財ポータルサイト「IP Force」
特開2024-175038車両用パッシブエントリ/パッシブスタートシステムおよび方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024175038
(43)【公開日】2024-12-17
(54)【発明の名称】車両用パッシブエントリ/パッシブスタートシステムおよび方法
(51)【国際特許分類】
H04W 64/00 20090101AFI20241210BHJP
H04W 84/10 20090101ALI20241210BHJP
H04W 4/40 20180101ALI20241210BHJP
H04W 56/00 20090101ALI20241210BHJP
【FI】
H04W64/00 140
H04W84/10 110
H04W4/40
H04W56/00 130
【審査請求】有
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2024159669
(22)【出願日】2024-09-16
(62)【分割の表示】P 2023097927の分割
【原出願日】2017-10-12
(31)【優先権主張番号】62/407,190
(32)【優先日】2016-10-12
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】62/450,235
(32)【優先日】2017-01-25
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】15/730,265
(32)【優先日】2017-10-11
(33)【優先権主張国・地域又は機関】US
(71)【出願人】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】100121991
【弁理士】
【氏名又は名称】野々部 泰平
(74)【代理人】
【識別番号】100145595
【弁理士】
【氏名又は名称】久保 貴則
(72)【発明者】
【氏名】ゴルシュ カイル
(72)【発明者】
【氏名】スーティ スティーブン
(57)【要約】
【課題】車両パッシブエントリ/パッシブスタート(PEPS)のためのシステムおよび方法を提供する。
【解決手段】通信ゲートウェイは、携帯機器とブルートゥースローエナジー通信接続を確立する。位置特定モジュールは、インパルス無線超広帯域を使用する双方向測距に基づいて携帯機器の位置を決定する。PEPSシステムは、携帯機器の位置に基づいて、ドアまたはトランクのアンロック、車両の始動の許可、または無線充電の作動などの車両機能を実行する。別のシステムは、無線充電用に構成された携帯機器に所定の範囲内で無線充電ピング信号を送信するように構成された少なくとも1つの低周波(LF)アンテナを含む。通信ゲートウェイは、携帯機器によるピング信号への応答に基づいて携帯機器を認証する。PEPSは、携帯機器の認証に応答して、ドアまたはトランクのアンロック、または車両の始動許可などの車両機能を実行する。
【選択図】図22
【解決手段】通信ゲートウェイは、携帯機器とブルートゥースローエナジー通信接続を確立する。位置特定モジュールは、インパルス無線超広帯域を使用する双方向測距に基づいて携帯機器の位置を決定する。PEPSシステムは、携帯機器の位置に基づいて、ドアまたはトランクのアンロック、車両の始動の許可、または無線充電の作動などの車両機能を実行する。別のシステムは、無線充電用に構成された携帯機器に所定の範囲内で無線充電ピング信号を送信するように構成された少なくとも1つの低周波(LF)アンテナを含む。通信ゲートウェイは、携帯機器によるピング信号への応答に基づいて携帯機器を認証する。PEPSは、携帯機器の認証に応答して、ドアまたはトランクのアンロック、または車両の始動許可などの車両機能を実行する。
【選択図】図22
【特許請求の範囲】
【請求項1】
パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられるセンサであって、
前記センサは、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行するものであり、
前記車両に搭載され、前記携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから前記携帯機器との通信に関する通信情報を受信し、前記通信情報をもとに前記IR UWB測距を実行することを特徴とするセンサ。
前記センサは、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行するものであり、
前記車両に搭載され、前記携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから前記携帯機器との通信に関する通信情報を受信し、前記通信情報をもとに前記IR UWB測距を実行することを特徴とするセンサ。
【請求項2】
前記通信情報は、前記携帯機器との通信に関するタイミング情報を含む請求項1に記載のセンサ。
【請求項3】
前記センサは、指定されたタイムスロットにてIR UWB通信を行うように構成される請求項1に記載のセンサ。
【請求項4】
前記センサは、指定されたタイムスロットにてIR UWB通信を行うように構成され、
前記指定されたタイムスロットは、前記BLE通信接続の接続イベントと、前記接続イベントの次の接続イベントの間に設定される請求項1に記載のセンサ。
前記指定されたタイムスロットは、前記BLE通信接続の接続イベントと、前記接続イベントの次の接続イベントの間に設定される請求項1に記載のセンサ。
【請求項5】
前記IR UWB測距に基づく信号情報は、前記携帯機器とのIR UWB通信における、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを含み、
前記信号情報に基づいて、前記携帯機器の位置が決定される請求項1に記載のセンサ。
前記信号情報に基づいて、前記携帯機器の位置が決定される請求項1に記載のセンサ。
【請求項6】
前記IR UWB測距に基づく信号情報は、到着時間および到着時間差の少なくとも1つを含む請求項1又は5に記載のセンサ。
【請求項7】
前記IR UWB測距は、双方向測距である請求項1乃至6のいずれかに記載のセンサ。
【請求項8】
前記車両には、複数の前記センサが設けられ、
複数の前記センサは、前記車両の前方側、後方側、車両左右方向における片側、および前記片側とは反対側のいずれかに設けられる請求項1乃至7のいずれかに記載のセンサ。
複数の前記センサは、前記車両の前方側、後方側、車両左右方向における片側、および前記片側とは反対側のいずれかに設けられる請求項1乃至7のいずれかに記載のセンサ。
【請求項9】
前記車両には、複数の前記センサが設けられ、
複数の前記センサは、前記通信ゲートウェイから前記BLE通信接続に関する前記通信情報を受信するように構成される請求項1乃至8のいずれかに記載のセンサ。
複数の前記センサは、前記通信ゲートウェイから前記BLE通信接続に関する前記通信情報を受信するように構成される請求項1乃至8のいずれかに記載のセンサ。
【請求項10】
パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられたセンサを用いて、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行すること、および
前記車両に搭載され、前記携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから前記携帯機器との通信に関する通信情報を受信すること、を備え、
前記IR UWB測距は、前記通信情報をもとに実行されることを特徴とする方法。
前記車両に搭載され、前記携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから前記携帯機器との通信に関する通信情報を受信すること、を備え、
前記IR UWB測距は、前記通信情報をもとに実行されることを特徴とする方法。
【請求項11】
前記通信情報は、前記携帯機器との通信に関するタイミング情報を含む請求項10に記載の方法。
【請求項12】
前記センサは、指定されたタイムスロットにてIR UWB通信を行うように構成される請求項10に記載の方法。
【請求項13】
前記センサは、指定されたタイムスロットにてIR UWB通信を行うように構成され、
前記指定されたタイムスロットは、前記BLE通信接続の接続イベントと、前記接続イベントの次の接続イベントの間に設定される請求項10に記載の方法。
前記指定されたタイムスロットは、前記BLE通信接続の接続イベントと、前記接続イベントの次の接続イベントの間に設定される請求項10に記載の方法。
【請求項14】
前記IR UWB測距に基づく信号情報は、前記携帯機器とのIR UWB通信における、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを含み、
前記信号情報に基づいて、前記携帯機器の位置が決定される請求項10に記載の方法。
前記信号情報に基づいて、前記携帯機器の位置が決定される請求項10に記載の方法。
【請求項15】
前記IR UWB測距に基づく信号情報は、到着時間および到着時間差の少なくとも1つを含む請求項10又は14に記載の方法。
【請求項16】
前記IR UWB測距は、双方向測距である請求項10乃至15のいずれかに記載の方法。
【請求項17】
前記車両には、複数の前記センサが設けられ、
複数の前記センサは、前記通信ゲートウェイから前記BLE通信接続に関する前記通信情報を受信する請求項10乃至16のいずれかに記載の方法。
複数の前記センサは、前記通信ゲートウェイから前記BLE通信接続に関する前記通信情報を受信する請求項10乃至16のいずれかに記載の方法。
【請求項18】
パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられるセンサであって、
前記センサは、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行するものであり、
前記車両に搭載され、前記携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから通信チャネルに関する情報を受信し、前記通信チャネルに関する情報をもとに前記IR UWB測距を実行することを特徴とするセンサ。
前記センサは、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行するものであり、
前記車両に搭載され、前記携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから通信チャネルに関する情報を受信し、前記通信チャネルに関する情報をもとに前記IR UWB測距を実行することを特徴とするセンサ。
【請求項19】
パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられたセンサを用いて、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行すること、および
前記車両に搭載され、前記携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから通信チャネルに関する情報を受信すること、を備え、
前記IR UWB測距は、前記通信チャネルに関する情報をもとに実行されることを特徴とする方法。
前記車両に搭載され、前記携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから通信チャネルに関する情報を受信すること、を備え、
前記IR UWB測距は、前記通信チャネルに関する情報をもとに実行されることを特徴とする方法。
【発明の詳細な説明】
【関連出願の相互参照】
【0001】
この出願は、2017年10月11日に出願された米国出願第15/730265号の利益を主張し、2016年10月12日に出願された米国仮出願第62/407190号の利益も主張する。この出願は、2017年1月25日に出願された米国仮出願第62/450235号の利益も主張する。上記出願の各々の全開示が、参照により本明細書に組み込まれる。
【技術分野】
【0002】
本開示は、接続を伴う車両用パッシブエントリ/パッシブスタート(passive entry / passive start:PEPS)システムおよび方法に関し、より詳細には、ブルートゥース(登録商標、以下同様)ローエナジー(Bluetooth Low Energy:BLE)通信装置、超広帯域(ultra-wide band:UWB)通信装置、および/または無線充電装置を使用するPEPSシステムおよび方法に関する。
【背景技術】
【0003】
この欄は、必ずしも公知技術に該当しない、本開示に関連する背景情報を提供する。
【0004】
伝統的に、PEPSシステムは、事前に車両のPEPS中央電子制御装置(electronic control unit:ECU)とペアリングされたキーフォブの所有者が、単にドアハンドルを掴むことによって車両へアクセスすること、および、ボタンをプッシュすることで車両を始動することを可能とする。ボタンプッシュに応答して、PEPS中央ECUは、キーフォブが車両にアクセスする権限を与えられているかどうかを判定してキーフォブを認証し、キーフォブの位置を推定するために複数の車両アンテナによって示される信号強度を使用する。キーフォブが認証され、認可しているゾーン内に位置する場合、車両の機能はユーザに利用可能にされる(すなわち、ドアがアンロックされ、または、車両が始動される)。
【0005】
従前のPEPSシステムは、約125kHzの低周波(low frequency:LF)信号を使う独自グレードの無線プロトコルを使用する。従前のPEPSシステムはまた、LFシステムの物理的性質によって拘束される。電波伝播が、2メートルの典型的な目標起動範囲内の信号強度を使用することによって、範囲および位置の比較的正確な推定を可能にするため、LFは、初期のPEPSシステムにおいて選択された。しかしながら、実用的な車両アンテナおよびキーフォブ受信機のサイズに比べて、LF信号の非常に長い波長のために、妥当な電力消費および安全な送信電力レベル内では、LFを用いつつ、数メートルを超えてキーフォブと確実に通信することは困難である。
【発明の概要】
【0006】
この欄は、開示の概要を提供するが、その全範囲またはその全特徴の包括的な開示ではない。
【0007】
本開示は、パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられるセンサを提供する。センサは、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、携帯機器のIR UWB測距を実行する。車両に搭載され、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから携帯機器との通信に関する通信情報を受信し、その通信情報をもとにIR UWB測距を実行する。
【0008】
他の特徴では、通信情報は、携帯機器との通信に関するタイミング情報を含む。
他の特徴では、通信情報は、通信チャネルまたはチャネル切り替えパラメータに関する情報を含む。
他の特徴では、センサは、指定されたタイムスロットにてIR UWB通信を行うように構成される。
他の特徴では、センサは、指定されたタイムスロットにてIR UWB通信を行うように構成され、指定されたタイムスロットは、BLE通信接続の接続イベントと、その接続イベントの次の接続イベントの間に設定される。
他の特徴では、IR UWB測距に基づく信号情報は、携帯機器とのIR UWB通信における、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを含み、その信号情報に基づいて、携帯機器の位置が決定される。
他の特徴では、通信情報は、通信チャネルまたはチャネル切り替えパラメータに関する情報を含む。
他の特徴では、センサは、指定されたタイムスロットにてIR UWB通信を行うように構成される。
他の特徴では、センサは、指定されたタイムスロットにてIR UWB通信を行うように構成され、指定されたタイムスロットは、BLE通信接続の接続イベントと、その接続イベントの次の接続イベントの間に設定される。
他の特徴では、IR UWB測距に基づく信号情報は、携帯機器とのIR UWB通信における、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを含み、その信号情報に基づいて、携帯機器の位置が決定される。
【0009】
他の特徴では、信号情報は到着時間および到着時間差の少なくとも1つを含む。
【0010】
他の特徴では、IR UWB測距は、双方向測距である。
【0011】
他の特徴では、車両には、複数のセンサが設けられ、複数のセンサは、車両の前方側、後方側、車両左右方向における片側、および前記片側とは反対側のいずれかに設けられる。
【0012】
本開示はまた、パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられたセンサを用いて、携帯機器のIR UWB測距を行う方法を提供する。この方法は、車両に設けられたセンサを用いて、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、携帯機器のIR UWB測距を実行すること、および車両に搭載され、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信接続される通信ゲートウェイから携帯機器との通信に関する通信情報を受信すること、を備え、IR UWB測距は、通信情報をもとに実行される。
【0013】
他の特徴では、通信情報は、携帯機器との通信に関するタイミング情報を含む。
他の特徴では、センサは、指定されたタイムスロットにてIR UWB通信を行うように構成される。
他の特徴では、センサは、指定されたタイムスロットにてIR UWB通信を行うように構成され、指定されたタイムスロットは、BLE通信接続の接続イベントと、その接続イベントの次の接続イベントの間に設定される。
他の特徴では、IR UWB測距に基づく信号情報は、携帯機器とのIR UWB通信における、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを含み、その信号情報に基づいて、携帯機器の位置が決定される。
他の特徴では、センサは、指定されたタイムスロットにてIR UWB通信を行うように構成される。
他の特徴では、センサは、指定されたタイムスロットにてIR UWB通信を行うように構成され、指定されたタイムスロットは、BLE通信接続の接続イベントと、その接続イベントの次の接続イベントの間に設定される。
他の特徴では、IR UWB測距に基づく信号情報は、携帯機器とのIR UWB通信における、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを含み、その信号情報に基づいて、携帯機器の位置が決定される。
【0014】
他の特徴では、信号情報は到着時間および到着時間差の少なくとも1つを含む。
【0015】
他の特徴では、IR UWB測距は、双方向測距である。
【0016】
本開示はまた、無線充電用に構成された携帯機器へ、少なくとも1つの低周波(low frequency:LF)アンテナの所定の範囲内で無線充電ピング信号を送信するように構成された、車両上の少なくとも1つのLFアンテナを含む別のシステムも提供する。このシステムは、携帯機器と無線通信接続を確立し、その無線通信接続を介する携帯機器からの無線充電ピング信号への応答を受信し、および、無線充電ピング信号への応答に基づいて携帯機器を認証するように構成された、車両内の通信ゲートウェイも含む。このシステムは、通信ゲートウェイと通信し、通信ゲートウェイが携帯機器を認証したことに応じて、車両のドアをアンロックすること、車両のトランクをアンロックすること、車両が始動されることを許可すること少なくとも1つを含む車両機能を実行するように構成されたパッシブエントリ/パッシブスタート(PEPS)システムも含む。
【0017】
他の特徴では、通信ゲートウェイは、少なくとも1つのLFアンテナが無線充電ピング信号を携帯機器に送信するタイミングを制御するように構成される。
【0018】
他の特徴では、通信ゲートウェイは、ドアボタン操作、プッシュボタン操作、通信ゲートウェイと携帯機器との間の通信信号の信号特性、携帯機器のGPS位置、車両のGPS位置、および、付加的な車両センサから受信したデータの少なくとも1つに応じて、携帯機器に無線充電ピング信号を送信するように少なくとも1つのLFアンテナを制御するように構成される。
【0019】
他の特徴では、携帯機器からの無線充電ピング信号に対する応答は、暗号化、リプレイセーフ、および署名付きのうちの少なくとも1つである。
【0020】
他の特徴では、少なくとも1つのLFアンテナは、キーフォブとLF通信を使用して通信するように構成される。
【0021】
他の特徴では、少なくとも1つのLFアンテナは、複数のLFアンテナを含む。
【0022】
他の特徴では、無線通信接続は、ブルートゥースローエナジー(BLE)通信接続およびインパルス無線(IR)超広帯域(UWB)通信接続のうちの1つである。
【0023】
さらなる適用可能分野は、本明細書の説明から明らかとなろう。本概要の説明および具体例は例示の目的だけを意図しており、本開示の範囲を限定することを意図していない。
【図面の簡単な説明】
【0024】
以下に説明される図面は、選択された実施形態を図示する目的だけのためのものであり、全ての可能な実施例を示すものではなく、また、本開示の範囲を限定することを意図するものでもない。
【0025】
【図1】本開示によるPEPSシステムを備えた自車両を示す。
【0026】
【図2】本開示によるPEPSシステムのブロック図を示す。
【0027】
【図3】本開示によるPEPSシステムのセンサのブロック図を示す。
【0028】
【図4】本開示によるPEPSシステムの通信ゲートウェイを示す。
【0029】
【図5】承認された機器からのデータおよび攻撃者からのデータを受信するセンサのタイミング図を示す。
【0030】
【図6】2つのセンサによって受信されたデータのタイミング図を示す。
【0031】
【図7】本開示によるPEPSシステムのブロック図を示す。
【0032】
【図8】安全な通信リンクを見つけて追跡するためにセンサによって使用される情報を示す。
【0033】
【図9】本開示によるPEPSシステムの動作を示す。
【0034】
【図10】本開示による例示的なチャネルホッピングマップを示す。
【0035】
【図11】本開示による、センサを通信ゲートウェイとタイミングを同期させるためのプロセスを示す。
【0036】
【図12】本開示による、センサネットワークを構成および制御し、次の接続を開始および/または停止するPEPSモジュールのプロセスを示す。
【0037】
【図13】本開示による認証方法を示す。
【0038】
【図14】スレーブ、マスタ、通信ゲートウェイ、およびセンサ間の通信のタイミング図を示す。
【0039】
【図15】従来技術のPEPSシステムを示す。
【0040】
【図16】本開示によるPEPSシステムを示す。
【0041】
【図17】本開示によるPEPSシステムを示す。
【0042】
【図18】本開示による携帯機器へのアラートのスクリーンショットを示す。
【0043】
【図19】本開示によるPEPSシステムを有する自車両を示す。
【0044】
【図20】本開示によるPEPSシステムを有する自車両を示す。
【0045】
【図21】本開示によるPEPSシステムを有する自車両を示す。
【0046】
【図22】本開示によるPEPSシステムのシーケンス図を示す。
【0047】
【図23】本開示によるPEPSシステムを有する自車両を示す。
【0048】
【図24】本開示によるPEPSシステムのブロック図を示す。
【0049】
【図25】本開示によるPEPSシステムのシーケンス図を示す。
【0050】
複数の図面にわたって、対応する参照番号は、対応する部分を示している。
【発明を実施するための形態】
【0051】
例示的な実施形態が、添付の図面を参照してより詳細に説明される。
【0052】
本開示は、ブルートゥースコンソーシアムの標準化された仕様に基づく消費者グレードのワイヤレスプロトコルを使用するPEPSシステムを実装するためのシステム、方法、およびアーキテクチャに関する。具体的には、本開示は、車両と、スマートフォンまたはウェアラブルデバイスなどのBLE対応ユーザデバイスとの間の通信のため、ブルートゥースローエナジー(BLE)通信プロトコルを使用するPEPSシステムに関する。さらに、本開示は、一般にPEPSシステムまたはキーレスエントリおよびキーレスゴーシステムと呼ばれるキーレスシステムを備えた車両システムに適用される。一般に、PEPSシステムは、位置特定システムの一種である。本開示は、BLEデバイスと車両との間の現存する接続を見つけ出し、通信のタイミングおよび信号特性を測定するように構成されたセンサネットワークを使用するPEPSアプリケーションを対象とする位置特定システムを安全に実装するシステム、方法、およびアーキテクチャに関する。このように、本開示は、車両に対する無線デバイスの位置を特定し、無線デバイスの位置を判定基準と比較することによって、承認された車両のユーザに車両機能への安全なアクセスを提供するPEPSシステムを提供する。以下に詳細に説明するように、本開示のPEPSシステムは、車両内および周囲に配置された複数のセンサから、無線デバイスから受信した受信信号強度を収集する中央モジュールを含む。中央モジュールは、例えば、無線デバイスの認証のための暗号化キーおよびチャレンジ応答アルゴリズムを含む。このように、以下に詳細に説明するように、本開示は、BLE通信プロトコルを使用するPEPSシステムを実施するための、省電力で非公開な方法を説明する。
【0053】
ユーザが、スマートフォンなどのスマートデバイスやウェアラブルデバイスなどの他のデバイスを車両キーとして使用できるようにすることが望ましい。以下で詳細に説明するように、これによりデジタルキー共有アプリケーションが可能となる。さらに、遠距離の特徴が、パッシブウェルカム照明、遠隔駐車アプリケーションの距離範囲などの便利機能にとって重要ともなっている。このようなシステムおよび利点は、従来のPEPSシステムでは達成不可能である。なぜなら、各車両メーカおよびPEPSシステムのサプライヤは、スマートフォンなどのユビキタスデバイスによって使用されない無線周波数を使用する独自開発のクローズドシステムを伝統的に実装するからである。
【0054】
本開示のシステム、方法、およびアーキテクチャは、決定を行う中央モジュールと、従前のPEPSシステムで使用される複数のLFアンテナの直接的な代替物として役立つ複数のセンサモジュールと、を有するPEPSシステムを含む。本開示のシステム、方法、およびアーキテクチャは、データが収集されるタイミングおよびデータがどのように流れてシステムによって処理されるかの両方において、従前のLFPEPSシステムとは異なる。
【0055】
図1および図2を参照すると、位置特定システムとも呼ばれるPEPSシステム1は、車両30内に設けられ、通信ゲートウェイ29、および、まとめて31と言及される複数のセンサ31A-31Fを含んでいる。PEPSシステム1は、車両30の全体に分散され、例えば車両インターフェース45を介して互いに通信することができる1つ以上の車両モジュール20を含んでいる。さらに、モジュールのいくつかは、単一のECUに統合されてもよく、車両インターフェース45を使用して互いに通信可能であってもよい。車両インターフェース45は、例えば、メインモジュール間の通信のためのコントローラエリアネットワーク(controller area network:CAN)バス、および/または、複数のセンサ31A-31F間の通信用のローカル相互接続ネットワーク(local interconnect network:LIN)などのより低いデータレート通信を含んでもよい。車両インターフェース45は、クロック拡張周辺インターフェース(clock extension peripheral interface:CXPI)バスも含むことができる。追加的または代替的に、車両インターフェース45は、CANバス、LINおよびCXPIバス通信インターフェースの組み合わせを含むことができる。センサ31の構造は、図3を参照して以下でさらに詳細に論じられる。
【0056】
車両モジュール20は、例えば、アンテナ19に接続されるBLEチップセット21を含む通信ゲートウェイ29を含むことができる。図2に示すように、アンテナ19は、車両30内に配置されてもよい。あるいは、アンテナ19は、車両モジュール20内に含まれて配置されてもよい。あるいは、アンテナ19は、車両30の外側に配置されてもよい。車両モジュール20は、安全な通信リンク680を介しての通信のため、携帯機器10を認証するリンク認証モジュール22を含むこともできる。車両モジュール20は、プッシュデータ用のデータ管理層23を含むこともできる。車両モジュール20は、接続情報配信モジュール24を含むこともできる。車両モジュール20は、タイミング制御モジュール25を含むこともできる。車両モジュール20は、全地球測位システム(global positioning system:GPS)モジュールおよび/または他のナビゲーションまたは位置特定モジュールのようなテレマティクスモジュール26を含むこともできる。車両モジュール20は、PEPSモジュール27を含むこともできる。車両モジュール20は、車体制御モジュールを含むこともできる。車両モジュール20は、センサ処理および位置特定モジュール32を含むこともできる。車両モジュール20は、セキュリティフィルタリングモジュール33を含むこともできる。
【0057】
図1および図2に示すように、携帯機器10は、安全な通信リンク680を介して車両30の通信ゲートウェイ29と通信することができる。限定するものではないが、携帯機器10は、車両30の所有者、運転者、乗員、および/または、車両30の整備士などの、車両30のユーザと関連付られる、スマートフォン、スマートウォッチ、ウェアラブル電子デバイス、キーフォブ、タブレットデバイス、または他のデバイスなどの任意のブルートゥース対応通信デバイスであってもよい。携帯機器10は、アンテナ13に接続されたBLEチップセット11を含むことができる。携帯機器10は、コンピュータ可読記憶モジュールまたはデバイスに格納されたアプリケーションソフトウェア12を含むこともできる。携帯機器10は、オプションとして、GPSモジュール14または他のデバイス位置特定サービスも含むことができる。
【0058】
携帯機器10と通信ゲートウェイ29は、ブルートゥース仕様に規定され定義されるブルートゥース通信リンクとして、安全な通信リンク680を確立することができる。例えば、携帯機器10と通信ゲートウェイ29との間の安全な通信リンク680は、BLE通信リンクとすることができる。PEPSシステム1は、携帯機器との安全な通信リンク680を追加認証するように構成することができる。例えば、通信ゲートウェイ29は、携帯機器10を認証するとともに、安全な通信リンク680を確立するために、リンク認証モジュール22と通信することができる。例えば、リンク認証モジュール22は、チャレンジ応答認証を実装するように構成することができる。このような場合、通信ゲートウェイ29と携帯機器10との間の通信に関するタイミング情報は、タイミング制御モジュール25に送信され、タイミング制御モジュール25は、以下に説明するように、車両インターフェース45を介してセンサ31A-31Fと通信する。また、通信ゲートウェイ29は、通信チャネルおよびチャネル切替パラメータに関する情報を接続情報配信モジュール24に通信することができる。接続情報配信モジュール24は、車両インターフェース45を使用してセンサ31A-31Fの各々と通信し、いったんセンサ31A-31Fが通信ゲートウェイ29と同期すると、センサ31A-31Fが安全な通信リンク680を見つけ出して追跡する、または傍受するために必要な通信情報を、センサ31A-31Fに提供するように構成される。図1および図2は6個のセンサ31A-31Fを備えたPEPSシステム1を示しているが、任意の数のセンサを使用することができる。例えば、PEPSシステムは、7個、8個、9個、10個、11個、12個、またはそれ以上のセンサを含むことができる。このように、本開示は、6個のセンサを利用する例を提供するが、本開示に従って、追加のまたはより少ないセンサを使用することができる。
【0059】
図3を参照すると、センサ31の各々は、アンテナ43に接続されたBLEチップセット41を含んでいる。図3に示すように、アンテナ43は、センサ31の内部に配置されてもよい。あるいは、アンテナ43は、センサ31の外部に配置されてもよい。センサ31は、アンテナ43を使用してBLE信号を受信し、具体的には、BLE物理層(PHY)コントローラ600を使用してBLE物理層メッセージを受信する。センサ31は、BLE物理層メッセージを観測し、チャネルマップ再構築モジュール42によって生成されたチャネルマップを使用して、例えば受信信号強度(received signal strength:RSSI)を含む関連信号の物理的特性の測定を行うことができる。追加的または代替的に、センサ31は、例えば到着角度に関連するデータを含む、関連信号の物理的特性の他の測定値を決定することができる。追加的または代替的に、センサ31は、例えば、複数のセンサによって受信された信号の、到着時間差、到着時間、または到着角度データを決定するために、相互に通信可能であり、および/または、車両インターフェースを介して通信ゲートウェイ29と通信可能である。センサ31は、車両インターフェース45を介して通信ゲートウェイ29からタイミング情報およびチャネルマップ情報を受信する。タイミング同期モジュール44は、車両インターフェース45上のメッセージの受信時間を正確に測定し、タイミング情報をBLEチップセット41に渡すように構成されている。BLEチップセット41は、チャネルマップ情報およびタイミング信号を取得し、特定の時間にPHYコントローラ600を特定のチャネルに同調させ、例えばブルートゥース仕様バージョン5.0において提案または採用される通常のデータレートを含む、ブルートゥース物理層仕様に準拠するすべての物理層メッセージおよびデータを観測するように構成される。データ、タイムスタンプおよび測定された信号強度は、BLEチップセット41によって、車両インターフェース45を介して車両30の通信ゲートウェイ29または他の車両モジュール20に報告される。
【0060】
図4を参照すると、通信ゲートウェイ29は、BLE信号を受信するためにアンテナ19に接続されたBLEチップセット41を含んでいる。BLEチップセット41は、例えば、BLE仕様のバージョン5を含むBLE仕様に適合するブルートゥースプロトコルスタック46を実装する。BLEチップセット41はまた、記憶モジュールのようなコンピュータ可読媒体に格納されたアプリケーションコードによって実現されるアプリケーション47も含んでいる。アプリケーション47は、データの有効性にかかわらず、BLEチップセット41が、BLEチップセット41によって送受信されたタイムスタンプ付きデータを検査できるようにするために、ブルートゥース仕様外の修正を含んでもよい。例えば、アプリケーション47は、BLEチップセット41が送受信データを期待値と比較できるようにする。通信ゲートウェイ29は、実際の送受信データを、車両インターフェース45を介して車両30の車両システムに送信するように構成される。あるいは、通信ゲートウェイ29は、車両インターフェース45を介してセンサ31の各々からデータを受信するように構成されえる。アプリケーション47は、以下でさらに詳細に説明するように、センサ31の各々が正しい時刻に正しいデータを受信したことを、BLEチップセット41が確認できるように、さらに構成されえる。
【0061】
続けて図4を参照すると、通信ゲートウェイ29は、例えば、センサ31の各々が通信ゲートウェイ29によって維持されている携帯機器10との接続を見つけ出し、引き続き、その接続を追跡するために必要となる継続中の接続およびタイミング信号に関する情報を提供するようにさらに構成される。ブルートゥースプロトコルスタック46は、チャネルマップ、アクセス識別子、次のチャネル、および次のチャネルへの時間をアプリケーション47へ提供するように構成される。ブルートゥースプロトコルスタック46は、送信イベントおよび受信イベントのタイムスタンプについてのタイミング信号を、アプリケーション47および/またはBLEチップセット41のデジタルPIN出力へ出力するように構成される。通信ゲートウェイ29は、タイミング同期モジュール44も含む。タイミング同期モジュール44は、タイミング信号を受け入れるように構成され、接続情報メッセージおよび他の通信の正確なタイムスタンプを生成するために、車両インターフェース45と連携して動作する。
【0062】
従前のBLE PEPSシステムは、参照により本明細書に組み込まれる米国特許出願公開第2014/0188348号明細書に記載されているように、BLEアドバータイジングデータを使用する。このようなシステムでは、承認された携帯機器とPEPSモジュールとの間の安全なリンクが確立される。ドアをアンロックするなどの、車両機能への承認されたアクセスが必要とされる場合、携帯機器はアドバータイジング信号をPEPSモジュールに送信しなければならない。PEPSモジュールは、センサの各々でのアドバータイジング信号を受信し、その情報を処理し、携帯機器の位置について決定する。米国特許出願公開第2014/0188348号明細書はまた、携帯機器がPEPSシステムのセンサの各々に個別に接続する必要があるシステムを記載している。このタイプのシステムにはいくつかの欠点を有する。例えば、携帯機器がセンサの各々に接続することはできないかもしれない。ほとんどのBLEチップセットが合計で8つの接続をサポートしており、1つの接続は、通常、通信ゲートウェイへの安全な接続であるという事実のため、一般的な制限として、接続の数は7つのセンサに制限される。さらに、各センサとの接続イベント間には時間遅延がある。従って、各センサは同じ信号を測定しないであろう。例えば、BLEは周波数ホッピング拡散スペクトラム(frequency hop spread spectrum:FHSS)を使用するので、各センサは、通常、携帯機器からの信号を異なるチャネル上で異なる時間に測定することになる。これにより、ミッションクリティカルな正確性が失われる可能性がある。
【0063】
BLE仕様は、40の通信チャネルの使用を規定し、3つのチャネルはアドバータイジングチャネルとして知られている。これらのアドバータイジングチャネルは、デバイスが、お互いを発見し、どのような種類のデバイスであるかに関するいくつかの基本情報を報告するために使用される。例えば、アドバータイジングデータは、典型的には、デバイスが提供するサービスとともにデバイスの名前として、アドバータイジングパケットをブロードキャストするデバイスのアドレスを含む。自動車システムは、電話機が車両に対してどこに位置しているかを特定する目的で、アドバータイジングチャネルパケットを検出して測定することができる。しかし、以下で詳細に説明するように、このようなシステムは、アドバータイジングデータの注入に対して敏感であり、アドバータイジングを継続するためにアドバータイザーによって要求される追加の通信負荷の対象となる。したがって、デバイスの位置を特定するために、他の37の「接続されたチャネル」を使用する方がより有利となりえる。
【0064】
いったん2つのデバイスが接続されると、ブロードキャストしていたデバイスは、通信要件を満たすためにもはやブロードキャストする必要はない。しかし、そのデバイスが、アドバータイジングチャネルを使用してシステムによって位置を特定される必要がある場合、アドバータイジングチャネルでブロードキャストを継続しなければならず、バッテリ駆動デバイスでは、重大な電力消費の問題が生じる。従って、接続データを使用するシステムは、セキュリティ上の利点だけでなく、デバイスの省電力の利点も提供することができる。このようなシステムはまた、システムが、車両システムに直接接続されていないスマートウォッチを追跡するなど、システムの一部とは見做されないデバイスの位置を監視することも可能にする。
【0065】
アドバータイジング日を使用する従前のBLE PEPSシステムは、攻撃の影響を受けやすい。例えば、攻撃者は、承認された携帯機器を含むすべての近隣のデバイスからアドバータイジングデータを収集するために、パケット探知機を使用することができる。承認された携帯機器は、任意のPEPSシステムの認可ゾーンの外部にある。攻撃者は、通常、スマートフォンである、携帯機器と同様の送信電力に無線送信電力を設定することができ、それは、攻撃者によって簡単に特徴付けることができる。送信電力を設定した後、攻撃者はPEPSシステムの外側の認可ゾーン、通常は外部ドアに移動する。そして、攻撃者はアドバータイジングデータをクローン化し、PEPSシステムに注入することができる。PEPSシステムに組み込まれている保護の洗練度に依存して、攻撃者は、PEPSシステムがオリジナルのアドバータイジングパケットを正しく受信することを妨害するために、アクティブな干渉モードを使用することもできる。
【0066】
従前のBLEチップセットおよびソフトウェアスタックの実装は、この種のアドバータイジングデータの注入を検出するように構成されておらず、BLE仕様の一部は、アドバータイジングデータの決定的到着時間を保証しない。センサの各々の間でタイミング同期がなければ、各センサが同じ信号を測定しているかどうかを保証することはできず、システムをクローン化、妨害、および注入攻撃に対して危険にも開かれたままにする。
【0067】
これに対して、本開示は、通信信号に関する測定を行うため、および、測定されるデータが攻撃者によって注入されていないことを確かめるために、センサ31が、承認された携帯機器10と通信ゲートウェイ29との間の接続されたデータに従うことを可能にするPEPSシステム1を提供する。多くの注入防止技術は、アドバータイジングデータに適用可能である。しかしながら、本開示は、携帯機器10がアドバータイジングする必要性を排除することにより、より安全でエネルギー効率の高いPEPSシステム1を提供する。これにより、各センサが到着時間および周波数チャネルにおいて既知の期待値を有する信号を測定し、センサ31が既存の接続データを見つけて追跡することが可能となり、それによって、すべてのセンサ31が同じ信号を測定していることを保証する。このように、本開示のPEPSシステム1は、センサ31の各々で、携帯機器10と通信ゲートウェイ29との間の現存する接続に関する情報を共有する。このようにして、センサ31の各々は、携帯機器10と通信ゲートウェイ29との間の現存する通信接続を見つけ出し、通信接続の追跡を開始し、そして、通信接続を用いて正確なタイミングを維持することができる。本開示のPEPSシステム1はまた、センサ31の各々が、攻撃者がシステムにデータを注入しようとしていないことを検証することを可能にする。同じアンチ注入技術は、米国特許出願公開第2014/0188348号明細書に記載されているようなアドバータイジングシステムにも適用可能である。さらに、本開示のアンチ注入技術の多くはアドバータイジングデータに適用されるが、タイミング関連アンチ注入技術は、接続データのみが提供できる確定的タイミングを必要とする。
【0068】
従前のBLE PEPSシステムでは、攻撃者は承認された携帯機器からアドバータイジングパケットをクローン化し、それらをPEPSシステムに注入することができる。各BLEパケットは、プリアンブルとアクセスアドレスとからなるヘッダと、データヘッダとデータペイロードとからなるデータ部と、CRCとを有する。攻撃者はこの情報のすべてを観測し、すべてのデータをクローン化することができる。攻撃者は、パケットからすべてのデータを受信した直後に、物理的な位置によって、または送信電力を変調することによって、PEPSシステム内へと同じ周波数チャネル上でデータの正確な複製を再生し、センサが注入測定を読み出すようにする。それから保護するために、PEPSシステムは、攻撃を受けていると判定すべく、予想される時間ウインドゥ内に同じまたは類似のデータの2つのコピーが存在することを検出しなければならない。センサ自体または拡張PEPSシステム内のいずれかで、パケットのいずれかの部分、または数学的な導出が、攻撃パターンに一致する複製であるかを検査することを可能とする。最も有用な情報は、データが受信されたチャネル番号、PEPSシステム全体の同期タイムスタンプ、および接続されたデータのアクセスアドレスである。
【0069】
攻撃者は、可能性のある複数の近傍のアドバータイジングデバイスのうちのどれが承認された携帯機器であるかを知る必要はない。むしろ、攻撃者はすべての近傍のデバイスからのアドバータイジングデータのすべてのコピーをクローン化することができる。もう少し洗練されたハッカーは、3つのアドバータイジングチャネルすべてで同時にクローニングを実行できるかもしれない。この技術は、承認された携帯機器があった場合に、データが首尾よくクローン化されて注入されることを保証するかもしれない。
【0070】
さらに、より洗練されたハッカーは、注入されたパケットが観測される唯一の有効なパケットであるようにして、従前のPEPSシステムにオリジナルのパケットを拒否させることができる。BLEチップセットとスタックは、有効なCRCを持たないすべてのメッセージを拒否する。攻撃者は、パケット内のすべてのデータをデータセクションの最後までクローン化することができる。そして、攻撃者は、最後のデータバイトが受信される時刻を計算するために、パケット長に関する事前知識を使用するか、データヘッダの情報を使用してパケット長をデコードすることができる。それによって、CRCまでの使用可能なデータのすべてが、攻撃者によって受信されえる。そして、攻撃者は、メッセージの正しいCRCを計算し、物理チャネルにチェックサムが破損する原因となる信号を送信するために、オンボード処理を使用することができる。すると、従前のPEPSシステムは、破損した形式でメッセージを受け取る可能性が生じる。CRCが承認された携帯機器によって送信され、攻撃者によって壊された直後に、攻撃者は、チェックサムを計算し、そのチェックサムをパケットに挿入することで、パケットからクローン化されたデータを使用してパケットを再構築することができる。再構築されたパケットは、従前のPEPSシステムに注入されることができる。
【0071】
通常、BLEプロトコルスタックは無効なCRCフィールドを持つメッセージを破棄し、この情報を上位アプリケーションには報告しない。BLE PEPSシステムが、上記のタイプの攻撃から自身を保護するには、CRCが無効であっても、メッセージを報告するようにBLEプロトコルスタックを修正する必要がある。つまり、BLEプロトコルスタックによって通常廃棄されるメッセージが、処理するためにPEPSシステムで使用可能にする必要がある。特に、アプリケーションは、最初のパケットのCRCが無効であるにもかかわらず、特定の時間枠内に同じペイロードを持つ2つのメッセージが存在することを検出する必要がある。すると、PEPSシステムは、試みられた注入によってシステムが攻撃されたと判定することができるようになる。
【0072】
さらに、BLE PEPSシステムが、破損されたメッセージを検出するための修正されたBLEプロトコルスタックを備えたセンサを含み、上述のように、注入されたデータを処理することによって自身を保護することができるとしても、まだ、BLE PEPSシステムが無線周波数(radio frequency:RF)隔離攻撃の影響を受ける可能性がある。RF隔離攻撃では、攻撃者は車両の外側に配置されるセンサのRF隔離を行う。例えば、アドバータイズメントをクローニングするための外側のアンテナと、アドバータイジング信号をセンサに注入するための内側のアンテナとを備えた箱の内部をRF隔離する単純な箱が、修正されたBLEプロトコルスタックを無効にし、センサとPEPSシステムへのデータ注入を可能とするために使用されえる。
【0073】
PEPSシステムがRF隔離攻撃から自身を守るためには、2つの技術が必要となる。1番目の技術は、信号の到着時間に関する非常に正確なタイミング期待値を利用し、それにより、PEPSシステムは、PEPSシステムが各センサからの到来信号の到着時間を確認し、到来信号の実際の到着時間を期待到着時間と比較する方法を有することを確実にするためのタイミング同期方法を有する。すべてのセンサにおけるグローバルタイミングの不一致は、データがクローン化され、または注入されたことを示す。到着時間に基づいて、センサが2つ以上の異なるセットにグループ化された場合の不一致は、攻撃者が、真の信号を受信しないようにセンサを隔離し、そしてクローン化されたコピーを注入したことを示す。
【0074】
本開示は、注入攻撃のリスクを検出し緩和する方法を提供する。例えば、図5は、様々なタイプの物理層攻撃の下にあった場合に、センサがどのように観測するかを示している。図5において、水平軸は時間を表し、目盛510A-510Fは、承認された携帯機器からのデータの予想されるプロトコル間隔を表す。BLE通信のためのプロトコルタイミング510A-510Fは、承認された携帯機器の予想されるアドバータイジング間隔、またはPEPSシステム内の携帯機器と通信ゲートウェイとの間の接続のための接続間隔およびスレーブ待ち時間パラメータのいずれかである。図5において、垂直軸は、センサが攻撃者から受信する信号強度と、承認された携帯機器から受信した信号強度とを表す。
【0075】
例示的な目的のために、センサによって受信されるより強いRSSI値は、PEPSシステムに車両機能の権限を与える。攻撃者がPEPSシステムに対してうまく攻撃をしかけるためには、攻撃者は、ある設定可能な判定閾値551よりも強いRSSI値を注入する必要がある。攻撃者は、通信530を観測し、データをクローニングすることによって攻撃を加える。その後、攻撃者は、判定基準551を満たすかまたは超える適切な信号強度520を持つデータをPEPSシステムに対して再生する。
【0076】
引き続き図5を参照すると、時間間隔510Aは、承認された携帯機器からの高精度な測定に対応する。重要な特徴は、目盛510Aの予想される許容範囲内で発生する、サンプリングされる測定値530Aが1つだけであるということである。PEPSシステムは、BLE物理層上で疑わしいデータが観測されなかったため、測定点530Aをさらなる処理のための有効な測定値として判断する。
【0077】
時間間隔510Bで、攻撃者は、パケット530Bに含まれるデータをクローンコピーし、520Bで注入しようとする。センサと、図6および図7を参照して以下で詳細に説明される後続のセキュリティフィルタリングモジュール33は、以下に説明される1つまたは複数の技法によってデータが注入されたことを検出することができる。第1に、セキュリティフィルタモジュールは、承認された携帯機器から発信されたものと見なされるパケットの数をカウントし、この数をプロトコルが許可する携帯機器からの可能最大パケット数と比較することができる。この技法では、プロトコルは1つのみしか許可しないが、時間間隔510Bにおいて、目盛510Cにおける次の予想される到着時間まで、2つの測定点520Bおよび530Bが、承認された携帯機器から発信されたものとみなされる。第2に、セキュリティフィルタモジュールは、任意の所与の時間ウィンドウにわたって分散またはその数学的等価値を測定し、分散が承認された携帯機器から予想される有界範囲内にあることを確かめるために、設定可能な閾値と比較することができる。時間間隔510Bにおいて、計算された変動552は高すぎると判断することができる。ここで説明する分散技法およびパケット計数技法は、複数の時間間隔にわたってアプリケーションに等しく適していることに留意すべきである。
【0078】
引き続き図5を参照すると、時間間隔510Cでの攻撃者は、530CをCRCまでクローニングし、次いでセンサがCRCを正しく受信する能力を妨害することによって、クローンパケット520CをPEPSシステムに注入しようとする。センサは、以前に説明されたように、センサおよびセキュリティフィルタリングモジュール33が、そのカウントアルゴリズムで破損データ530Cをカウントできるように、センサは、受信された無効なチェックサムを持つパケット530Cのため、特別なBLEプロトコルスタックソフトウェア処理を実装してもよい。従って、時間間隔510Cでは、2つのみなしパケット520Cおよび530Cが検出され、一方、プロトコルは、同じ間隔中に、承認された携帯機器から発信された1つのパケットのみを許可するので、PEPSシステムはいくつかのデータが注入されたことを判定することができる。さらに、破損したパケットのための特別なBLEプロトコルスタック処理は、分散測定またはタイミング解析に含めるなど、他の処理技法にも同様に適用可能である。
【0079】
時間間隔510Dでの攻撃者は、センサの周りにRFアイソレータを配置することによって、センサがパケット530Dを受信することを防止して、センサにクローンパケット520Dを注入しようとする。この攻撃は、時間ウィンドウ内のパケット数をカウントし、プロトコルが許可する最大数と比較し、承認された携帯機器のみが信号を生成していた場合には範囲外となる分散をチェックするという2つの前述の技法を出し抜く。センサは、時間間隔510Dの間に1つのパケット520Dのみを受信する。センサおよびセキュリティフィルタリングモジュール33は、データが受信された時間を測定し、それをプロトコルタイミングと比較することによって、このデータの注入を検出することができる。目盛マーク510Dによって示される予想到着時間とパケット520Dの実際の到着時間との間の差が、550として示される。PEPSシステムのセンサは、時間間隔550を正確に測定するために同期方法を必要とする。同期方法については、以下にさらに詳細に説明する。
【0080】
注入されたデータが予想されるプロトコルタイミング510Dの前に到着する場合、時間間隔550は負の量を表すことにも留意されたい。これは、時間間隔510Eに示されている。攻撃者が530Eに含まれる値を予測して、早期に520Eとして注入できる状況、または、攻撃者が承認された携帯機器からのデータを認識した後に、目盛マーク510Eを移動することによって時間遅延を追加する、中間者(man-in-the-middle:MITM)攻撃を実施する状況で、攻撃者は、データ530Eをシステムに中継する前にPEPSシステムに520Eを注入することが可能となる。この種の攻撃を検出するために、センサは、最終的にはシステムに早期に注入される承認された携帯機器から発信された可能性のあるデータを探して、予想到着時間510Eに先行するパケットをスキャンするように構成することが可能である。一般に、BLEが提供する37の利用可能な接続チャネルのすべてを事前スキャンする作業負荷のため、BLEデバイスが、通信リンクを維持しながら、メッセージをゲーティングする中継MITM攻撃者が存在するかを検出することは困難である。しかし、複数のセンサを有するPEPSシステムでは、各センサは、携帯機器から攻撃者へのデータを探すために異なるチャネルを探索するように構成することができる。さらに、MITMとして振る舞う攻撃者は、530Eのような携帯機器から発信されたパケットと厳密に等しいパケット520Eを生成しないことには留意する価値がある。特に、FHSSのチャンネル番号は異なり、その接続のアクセスアドレスも異なる可能性がある。検索されるべきは、携帯機器および/またはPEPSシステム自体に相当する各パケットのアドレスである。
【0081】
上記の議論では、単一のセンサがデータ注入攻撃を検出するために行うことができる測定のタイプについて説明したが、図6は、以下で詳細に説明するセキュリティフィルタリングモジュール33が、攻撃者がセンサまたはセンサの集合体を首尾よく危険にさらす、より洗練されたタイプの注入を探索する複数のセンサからのデータを検査するためにどのように動作するかを示している。図6を参照すると、チャートの横軸は時間を表し、縦軸は測定された信号値を表している。図6の例では、縦軸はRSSIを表している。各目盛マーク510A-510Fは、PEPSシステムにおける各データサンプルの予想到達時間を表している。チャートは、センサAと言及されるセンサから受信されたデータ520A-520Dと、センサBと言及されるセンサから受信されたデータ530A-530Dとを含む。値520A-520Fは、すべて、位置ベースの機能が可能とされるべき領域内に、承認された携帯機器が位置すると考えられる条件(図示せず)を満たすものと仮定している。セキュリティフィルタリングモジュール33は、センサがライン580、581によって表される有効範囲内の値を有するかどうかを検証するために、センサBなどの他のセンサによって生成されたデータを使用することができる。センサBなどの代わりのセンサのいずれかが期待測定値520A-520Fと矛盾する測定値530A-530Fをサンプリングする場合、セキュリティフィルタリングモジュール33は、現在の測定値が、携帯機器に車両機能へのアクセスを許可すべきではないことをPEPSシステムに報告することができる。
【0082】
引き続き図6を参照すると、時間間隔510Aは、有効なデータの一例に対応する。データ点530Aは、境界580と581との間にある。時間間隔510Bにおいて、攻撃者は、センサAにサンプルを注入したが、センサBに関しては時間遅れがある。セキュリティフィルタリングモジュール33は、520Bと530Bの到着時間を比較し、受信時間の間の差585が計算され、設定可能な閾値と比較される。差585があるシステムパフォーマンスおよび測定エラー限界の範囲内ではない場合、セキュリティフィルタリングモジュール33は、データがシステムに注入されたことを検出することができる。時間間隔510Cにおいて、攻撃者は、基準センサAより先行してセンサBにデータを注入した。時間間隔510Bに対して適用された同じ時間境界原理が時間間隔510Cに適用可能である。点530C、520Cがシステムの測定能力を超えて一致せず、差586がシステムパフォーマンスおよび測定エラー限界の範囲内にない場合、セキュリティフィルタリングモジュール33は、データがシステムに注入されたことを検出することができる。
【0083】
引き続き図6を参照すると、攻撃者は、時間間隔510Dの間にセンサAにデータ520Dをタイミングに影響を与えずに注入できると仮定した場合、セキュリティフィルタリングモジュール33は、520Dが注入されたデータである可能性があるかどうかを検証するために、センサBからの測定データ530Dを使用することができる。図6の例では、データ点530Dは閾値581よりも弱いので弱すぎると考えられる。セキュリティフィルタリングモジュール33は、2つの点が有効なデータ点に相関しないので、点520Dまたは点530Dのいずれかが注入されたと判断する。一実施形態では、有効基準520Dが受信され、530Dを観測する条件付き確率が、与えられた測定値520Dでチェックされる。条件付き確率が、RSSIライン580/581へのマッピングなどの設定可能な信頼度と比較される場合、セキュリティフィルタリングモジュール33は、点530Dおよび520Dは相互に裏付けされず、520Dまたは530Dのいずれかが無効な注入データであると判断することができる。
【0084】
引き続き図6を参照し、攻撃者は、時間間隔510Eの間にセンサAにデータ520Eをタイミングに影響を与えずに注入でき、センサBは520Eを裏付ける値530Eを測定していると仮定する。センサAおよびBは、パケット521および531に含まれるデータを報告するように構成されている。データ521および531が全く同じでない場合、セキュリティフィルタリングモジュール33は、何らかのデータがシステムに注入されたと判断することができる。追加的または代替的に、各センサとセキュリティフィルタリングモジュール33との間で転送されるデータの量を減らすために、例えば、パケットに含まれるデータのハッシュ522およびハッシュ532、例えば、SHA-256暗号ハッシュアルゴリズムを使用するハッシュは、各センサからセキュリティフィルタリングモジュール33に転送することができる。ハッシュ522および532が正確に一致しない場合、セキュリティフィルタリングモジュール33は、データがシステムに注入されたと判断するように構成される。
【0085】
図7は、センサ31のアンテナ601でBLE信号を受信することができるPHYコントローラ600を使用するとともに、パケットに関する測定情報をセキュリティフィルタリングモジュール33に渡すPEPSシステム1を示す。図5および図6に関連して上述したセキュリティフィルタリングモジュール33は、上述のように物理層およびプロトコルの違反を検索し、それに応じてデータをフィルタ処理してセンサ処理および位置特定モジュール32に伝える。セキュリティフィルタリングモジュール33は、センサ処理および位置特定モジュール32がデータを破棄してPEPSシステムに警告することができるように、注入されたデータにフラグを立てるように構成される。センサ処理および位置特定モジュール32からのデータは、PEPSモジュール27に伝えられ、PEPSモジュール27は、機能へアクセスするユーザの意図を検出し、車両のドアまたはトランクをアンロックすること、および/または車両を始動することなどの、ある特定の車両機能を認可する位置の集合と携帯機器10の位置とを比較するために、複数のセンサからの車両状態情報を読み取るように構成される。
【0086】
引き続き図7を参照すると、PHYコントローラ600が、データを収集し、携帯機器10からのRSSIを測定するための前提条件は、携帯機器10と通信ゲートウェイ29との間の、安全なBLE通信リンクなどの安全な通信リンク680である。通信ゲートウェイ29は、通信ゲートウェイ29と携帯機器10との間の安全な通信リンク680に関する情報を接続情報配信モジュール24と共有するように構成される。接続情報配信モジュール24は、安全な通信リンク680に関する情報を複数の物理層コントローラ600で追跡できるように配信するように構成されている。物理層コントローラ600は、センサ31にあるBLEチップセット41の構成要素である。接続情報配信モジュール24は、例えば、ローカル相互接続ネットワーク(LIN)やコントローラエリアネットワーク(CAN)などの車両通信ネットワーク内の任意の配線とすることができる。しかし、他の通信接続またはバスを使用することもできる。
【0087】
引き続き図7を参照すると、通信ゲートウェイ29は、通信ゲートウェイ29と携帯機器10との間の安全な通信リンク680の現在のタイミング情報に関する情報をタイミング制御モジュール25と共有するように構成されている。タイミング制御モジュール25は、複数のセンサ31に現在のタイミング情報を発信するように構成される。追加的にまたは代替的に、携帯機器10からのアドバータイジングデータがセンサ31によって収集される実施形態では、通信ゲートウェイ29は、各センサ31とタイミングパルスを共有するように構成される。このような場合、センサ31は、通信ゲートウェイ29からのタイミング情報を受け入れ、タイミングパルスに対する入力データパケットを記録するように構成される。センサ31は、センサ間のパケットが上記で詳細に説明したように同時に受信された場合に、タイミングシステムの精度限界内で確立することができるタイムスタンプ付きデータをセキュリティフィルタリングモジュール33に報告する。
【0088】
引き続き図7を参照すると、タイミング制御モジュール25は、図8を参照して以下に説明されるデータを交換するように構成される。図8を参照して説明される情報は、センサ31が通信ゲートウェイ29と同期されていれば、センサ31が現存する安全な通信リンク680を見つけて追跡するのに十分なものである。
【0089】
図8を参照すると、通信ゲートウェイ29は、1200から1290として示された情報をすべてのセンサ31に転送することができる。通信ゲートウェイは、チャネルマップ1200、チャネルホップ間隔1210、スレーブ待ち時間1220、次のチャネル1230、次のチャネル時間1240、クロック精度1250、フィルタリングデータ1260、チャネル事前スキャンパラメータ1270、チャネル事後スキャンパラメータ1280、および接続監視パラメータ1290を含む。チャネルマップ1200は、37個の接続チャネルと3個のアドバータイジングチャネルのいずれが観測されるべきものかをセンサ31に伝える。チャネルマップ1200は、次のチャネルがどのように計算されるかを指定するパラメータを伝達する。たとえば、BLEでは、単純なインクリメンタである。チャネルホップ間隔1210は、BLE仕様で定義された接続間隔に対応する。チャネルホップ間隔1210は、次のチャネルの観測プロセスを開始する前にどの程度の時間だけ待機するかをセンサ31の各々に知らせ、ならびに、セキュリティフィルタリングモジュール33およびセンサ31に次のパケットの予定到着時間を知らせるために使用される。スレーブ待ち時間1220は、チャネルホップ間隔1210によって規定されるような、時間間隔の何回分を、観測されているデバイスが通信をスキップすることが許されるかをセンサに知らせる。典型的には、この値は、携帯機器10の位置を特定している間はゼロとなる。次のチャネル1230は、次の観測が行われるべき、チャネルマップ1200内のチャネルをセンサ31に知らせる。次のチャネル時間1240は、センサ31が将来のどの時間で、次のチャネル1230に対する観測を行うべきかセンサに知らせる。携帯機器10を含むシステム内のデバイスのクロック精度1250は、センサ31によって使用され、システムの測定能力および各デバイスが送信するタイミングの不確定性を補正して、観測を開始する時間を計算する。センサ31が情報1200、1210、1220、1230、1240、および1250を受信すると、センサは、安全な通信リンク680を見つけ、その接続の追跡を開始するために、その情報を使用することができる。フィルタリングデータ1260は、センサ31の各々に、パケット内で受信されたデータをフィルタリングする方法を知らせる。フィルタリングデータは、接続のための予想されるアクセス識別子を含む場合がある。フィルタリングデータは、パケットの最小長、あるいはパケットが暗号化されたデータを含むか否かを示す情報も含む場合がある。フィルタリングデータはまた、特に、RSSI、その他にも、タイムスタンプ、名目上の予想到着時間からの時間差、チャネル番号、CRCが正しいかどうか、フレーム内のデータ、およびフィルタリングされ、セキュリティフィルタリングモジュール610に報告されることが可能なメッセージの任意の部分のハッシュなどの、パケットのどの態様を測定すべきかをセンサに指示する。チャネル事前スキャンパラメータ1270は、次の観測の前に、安全な通信リンク680上での観測の要求に先立って、MITM攻撃者データおよび注入データを探すチャネルの観測方法をセンサ31に知らせる。事前スキャンパラメータの簡単な例は、センサ31が事前注入データを探す予期されるチャネル上で早期に観測できることを示す情報とすることができる。別の例は、MITM攻撃に合致するパケットを探索する安全な通信リンク680での観測を行うことが必要とされないときには、いつでも、センサ40がランダムに選択されたチャネルを観測できることを示す情報である。チャネル事後スキャンパラメータ1280は、観測を完了した後に、安全な通信リンク680で観測を行うのに先立って、MITM攻撃者データおよび注入データを探すチャネルの観測方法をセンサに知らせる。接続監視パラメータ1290は、例えばブルートゥース仕様によって定義されたリンク監視タイムアウトを含む。接続監視パラメータ1290は、接続が失敗したために接続がもはや追跡されるべきではないことをセンサ31が判定することを可能にする。
【0090】
図9を参照して、PEPSシステム1の動作について説明する。図9の例では、携帯機器10はBLEペリフェラルとして構成される。ただし、代わりに携帯機器がBLEセントラルとして設定されていても、システムは同様に機能する。プロセス1010の間に、携帯機器10は、BLE仕様によって定義されるように、ブルートゥース仕様に従って通信ゲートウェイ29との接続が確立されるまで、アドバータイジング1020を継続する。プロセス1011の間に、通信ゲートウェイ29は、ブルートゥース仕様によって定義されるように、携帯機器10のスキャンを実行する。通信ゲートウェイ29が携帯機器10を発見すると、ブルートゥース仕様によって定義された方法に従って、携帯機器10にリンク要求1021を送信する。通信ゲートウェイ29と携帯機器10との間の接続が確立されると、アドバータイジング1010およびスキャニング1011のプロセスが、ブルートゥース仕様に従って終了することができる。
【0091】
通信リンクが確立された後、ブルートゥース仕様に従ってリンクを維持するために、通信ゲートウェイ29はプロセス1013を開始し、携帯機器10はプロセス1012を開始する。通信リンクが確立された後、通信ゲートウェイ29は、通信リンクのすべての接続パラメータを認識し、メッセージ1040を使用して接続情報配信モジュール24と接続パラメータ情報を交換する。車両インターフェース45は、接続パラメータ情報を受信し、その情報をセンサ31のBLEチップセット41に渡す。通信ゲートウェイ29は、タイミング情報メッセージ1041をタイミング制御モジュール25に通信する。センサ31は、車両インターフェース45を介してタイミング情報メッセージ1041を受信する。センサ31内のタイミング同期モジュール44は、タイミング情報メッセージ1041を受信する。タイミング制御モジュール25は、メッセージ自体に対して測定される、次のイベントまでの時間を含む信号1041を有するメッセージを送信するように構成される。タイミング同期モジュール44、車両インターフェース45への到来メッセージに正確にタイムスタンプし、および、接続パラメータに従って必要なチャネルを観察するようにBLEチップセット41を制御することができる。
【0092】
引き続き図9を参照すると、センサ31は、入ってくる接続情報1040およびタイミング信号1041を受信するためのプロセス1014を実行する。センサ31は、接続情報スケジュールテーブルを再生するために、チャネルマップ再構築モジュール42を使用する。接続情報スケジュールテーブルの一例が図10に示されており、それは、以下で詳しく説明される。センサ31は、タイミング信号1041に対して時間基準を設定し、接続情報メッセージ1040内の、観測する次の接続イベントの時間およびチャネルを学習する。従って、センサ31は、次の接続イベントまでの時間1060を計算することができる。時間ウィンドウ1060の計算は、タイミング制御モジュール25を通じた同期の精度と、各デバイスのクロック誤差とについて補正される。センサ31は、計算された時間1060を待ってから、セントラルからペリフェラルへの通信1050およびペリフェラルからマスタへの通信1050Bの観測1015Aを開始する。センサ31は、伝送1050Aおよび1050Bの各々の受信エネルギー強度を測定するように構成される。センサ31が測定するように構成され得る他のパラメータには、(1)各伝送1050Aおよび1050B内のデータ(2)例えばSHA256のように、ハッシュ関数のようなデータの数学的導出(3)1050Aおよび1050Bの到着時間(4)1050Aと1050Bの到着時間差(5)各1050Aおよび1050Bの到着位相角および位相角を含む。1015Aのスキャン幅は、関係するタイミングの不確実性、並びに事前スキャンおよび事後スキャンの挙動によって定義される。事前スキャンと事後スキャンは、システムの不確実性ウィンドウ内に攻撃者が存在しないことを確認するために重要である。観測1015A中に収集された情報は、セキュリティフィルタリングモジュール33を介して、センサ処理および位置特定モジュール32に渡される。次に、センサ31は、次の接続イベントまでの接続間隔時間1061Aを待機する。接続間隔時間1060A-Bは、クロック精度、同期誤差、および事前スキャンおよび事後スキャンパラメータが、次の起動時間に影響を与えるように計算される。接続間隔時間1061Aが経過した後、センサ31は、再生チャネルマップ内の次のチャネルの観測1015Bを開始する。そのプロセスは、接続が失われるか、またはタイミング制御モジュール25からのコマンドがセンサ31に通信リンクの追跡を停止するよう命令するまで、永続的に繰り返される。
【0093】
図11を参照すると、センサ31が通信ゲートウェイ29とタイミングを同期させるプロセスが示されている。図には、2つの接続イベント1050A1/1050B1と1050A2/1050B2がある。通信ゲートウェイ29は、各接続イベントにおいてタイミング信号1075A1/1075A2を出力するように構成される。図11は、BLEセントラルからBLEペリフェラルへの通信1050A1/1050A2と同時の、タイミング信号1075A1/1075A2を示している。追加的または代替的に、通信ゲートウェイ29は、BLEペリフェラルからBLEセントラルへの通信、すなわち、タイミング信号1050B1/1050B2の際にタイミングパルスを出力するように構成することもできる。タイミング制御モジュール25は、タイミング信号1075A1/1075A2を受信する役割を担う。例えば、通信ゲートウェイ29は、BLEチップセット41のデジタルピンの1つに出力パルスとしてタイミング信号1075A1/1075A2を出力することができ、タイミング制御モジュール25は、タイムスタンプを生成するために高速クロックおよびタイマを用いたエッジ割り込みとしてパルスを受信する。後の時点で、タイミング制御モジュール25は、メッセージ1076を介してセンサ31に通信することができる。タイミング信号1075A1からメッセージ1076の送信までに経過した時間1081がメッセージ1076にパックされる。センサ31は、車両インターフェース45上のメッセージ1076を受信する。センサ31はまた、高速クロックおよび動作しているタイマを有し、メッセージ1076が受信された時間が記録される。センサ31は、メッセージ1076から経過時間1081を抽出し、接続間隔1080からこの値を減算して、次の接続イベントまでの時間1082を計算する。図9を参照して上述したように、接続間隔1080は、メッセージ1040を介してセンサと以前に通信されていた。次の接続イベントまでの時間1082を計算した後、センサ31はまた、タイミング制御モジュール25の測定不確実性、すべてのデバイスのスリープクロック精度に基づくBLEメッセージの到着時間の不確実性、および接続間隔1080を結合させることによって、測定の不確実性を計算する。センサ31は、値1083を計算するために、事前スキャンパラメータ時間を加算する。次いで、センサ31は、観測を開始する将来の時間1084を定めるために、次の接続イベントまでの時間1082を取得し、この値から1083を減算することによって、観測を開始する将来時間を計算する。センサ31は、時間1084が経過した後に観測プロセス1085を開始するために、タイマを使用する。
【0094】
図12を参照すると、PEPSモジュール27がセンサネットワークを構成および制御し、接続の追従の開始および/または停止を複数のセンサ31に指令するプロセスが示されている。PEPSモジュール27は、リンクが追跡されるべきであることを検出し(800)、リンクが追跡されるべきであることを示すメッセージ801を通信ゲートウェイ29に送信する。すると、通信ゲートウェイ29は、リンク情報を検索して接続情報配信モジュール24に送信する。接続情報配信モジュール24は、車両インターフェース45を用いて、対象となっているセンサ31にメッセージを送信する。
【0095】
再び図1、2、3および9を参照すると、センサ31は、接続情報信号1040およびタイミング信号1041を使用して安全な通信リンク680のための接続タイミングを再生するように構成されたチャネルマップ再構築モジュール42を含むことができる。図10に、チャネルホッピングマップの一例を示す。図10では、例えば、左から右への列1360-1363は、時間増加接続イベントを表す。各列の間に経過する時間は、図8を参照して上述したチャネルホップ間隔1210を記述した接続間隔である。この例では、チャネルホップ間隔1210は、1360および1361などの任意の2つの隣接する列の間で経過した時間に等しい。チャネルホップ間隔1210は、将来のチャネル時間を決定するための任意の決定論的プロセスと見なすべきであり、BLEによって利用される静的接続間隔によって制限されるべきではないことに留意されたい。例えば、チャネルホップ間隔1210は、古典的なブルートゥースの決定論的擬似ランダムチャネルホッピングを含むことができる。各行1300-1336はチャネル番号を表す。各チャネル1300-1336は、ブルートゥース仕様によって定義されるBLEチャネルの1つであり、2MHz幅である。図10の例は、37個のチャネルを示しており、接続チャネルの各々の1つとなる。しかし、本開示のシステムは、センサ31に、図8に含まれるデータに関して説明され得る任意のチャネルを追跡させることが可能であることを理解されたい。使用されるべきチャネルは、図9を参照して上述された、メッセージ1040内の、センサ40によって受信されるチャネルマップ1200に基づいて、センサ31によって学習される。図10に記載された例では、行1335によって表されるチャネルは使用されない。さらに、1351-1353で示されるブラックボックスは、列によって対応付けられた時間に行1300-1336によって対応付けられたチャネルを観測するため、センサ31内のBLEチップセット41のPHYコントローラ600のための関係付けを表している。メッセージ1040が、チャネルマップ再構築モジュール42のためのすべてのチャネルおよび時間を含む必要はない。チャネルマップ再構築モジュール42は、ブルートゥース仕様に従って接続イベントスケジュールマップを生成するためにBLEペリフェラルが必要とする入力と、センサの現在のタイム基準を接続のそれと同期させるためにチャネル1303として例示される、通信する次のチャネル1230とを受け入れる。このチャネルは、マップのインデックス0 1360に設定される。チャネルマップ1200は、決定論的チャネルホッピング方式を含む。BLEでは、チャネルホッピング方式は、「ホップインクリメント」としてBLE仕様によって定義される単純なインクリメンタである。図10に例示されるように、ホップインクリメントは5であり、これは現在のチャネルが各接続間隔で増分される量を表す。たとえば、図10では、時間が1360から1361まで1つの接続間隔だけ増分されると、チャネルは1352から1353まで5だけ進められる。ブルートゥース仕様によって定義されるBLEチャネルホッピング方式は、時間間隔1362に示されるように、チャネルインデックスがテーブルのボトムから循環することを可能にするモジュラス演算を含む。チャネルホッピング方式はまた、空のチャネル1335がスキップされることも可能にする。例えば、図10に示すように、チャネル1335はポイント1350でスキップされ、代わりにチャネル1336がポイント1351でサンプリングされる。インデックス35 1335のチャンネルは使用されない。BLE仕様は、例えば、ローエナジーリンク層仕様バージョン4.2のセクション4.5.8.2.チャネル選択で述べられるように、再マッピングする方法を提供する。
【0096】
続けて図8、図9、および図10を参照すると、チャネル事前スキャンパラメータ1270およびチャネル事後スキャンパラメータ1280は、図10の列によって表される時間ウィンドウ間の時間間隔中のPHYコントローラ600の挙動を記述する。システム内の各デバイスの測定時間と送信時間の両方の不確定性に適応するため、クロック精度1250により、BLEチップセット41は、ブラックボックス1351-1353のそれぞれの時間間隔を広げることが可能である。初期的に、センサ31は安全な通信リンク680に同期されない。センサ31は、タイミング信号1041、次のチャネル1230、次のチャネル時間1240を受信すると、時間基準を接続と同期させ、安全な通信リンク680のタイミングに対する次のチャネル時間1240に、センサ31によって測定される通信の将来の時間を決定するのに十分な情報を有する。
【0097】
図13に関して、認証方法が説明される。認証方法は、図1および図2で説明した車両30によって検出されるユーザの行動によってトリガされる。例えば、PEPSモジュール27は、現代の車両に一般的に見られるような、ドアハンドルを掴むこと、またはボタンを押すことといったユーザの行動を検出する。図1の例では、PEPSモジュール27は、リンク認証モジュール22を含む。あるいは、PEPSモジュール27およびリンク認証モジュール22は、図2に示すように、別々のモジュールとして実装することができる。追加的または代替的に、説明された信号のすべてが通信ゲートウェイ29に導かれることができ、代替構成を可能にする。PEPSモジュール27は、携帯機器10の位置および携帯機器10が提供可能なセキュリティ情報に基づいて、機能への安全なアクセスに関する決定を行わなければならない。例えば、LFシステムとRFシステムを使用するように実装された現在のPEPSシステムと同様に、チャレンジ/応答手順を使用することができる。
【0098】
引き続き図13を参照すると、PEPSモジュール27は、センサを介して車両機能にアクセスする意図を検出する。次に、PEPSモジュール27は、その要求をゾーンIDにマッピングし、任意の携帯機器10が車両30のゾーンID内にあるかどうかを判定するように、処理および位置特定モジュール32に要求1700を送信する。処理および位置特定モジュール32は、ゾーンIDに対応する、車両機能にアクセスする可能性がある領域に位置する携帯機器のリストを示す応答1701をもって、PEPSモジュール27に応じる。1702において、PEPSモジュール27は、携帯機器がシステムとペアになっているかどうかを判定するために、携帯機器のリストをチェックする。有効な各携帯機器ごとに、その携帯機器のための1セットの暗号化情報が検索される。これは、一般に使用される先進暗号標準(advanced encryption standard:AES)暗号キーなどの暗号キーと称される。追加的または代替的に、カウンタ値が、非対称公開鍵/秘密鍵によって実装することができる。1703において、PEPSモジュール27は、テレマティクスモジュール26から現在の車両位置(座標)を緯度/経度で取得する。位置は、車両システムの現在の測定精度に基づく誤差範囲を含むことができる。次に、PEPSモジュール27は、車両30の緯度および経度をメッセージに埋め込み、1702で検索されたセキュリティ情報を使用して1704でチャレンジメッセージを暗号化する。1704で生成されたチャレンジデータは、1705で通信ゲートウェイ29に転送される。次いで、通信ゲートウェイ29は、BLEを使用して、1706において、携帯機器10に送信する。1707において、携帯機器10で実行されるアプリケーションがチャレンジメッセージを復号する。携帯機器10で実行されるアプリケーションは、緯度および経度の携帯機器10の位置座標を、オプションである位置精度情報とともに、1708で取得する。次に、携帯機器10で実行されるアプリケーションは、1708で受信した携帯機器の座標と、通信ゲートウェイ29から受信した(1703で送信された)車両30の座標とについて、1709で数学的演算を実行する。1709での数学的演算はチャレンジ応答として知られている。1709での数学的演算の例は、2つの座標間の距離を計算することとすることができる。1709における数学的演算の別の例は、1703および1708で示される2セットの座標の排他的論理和(XOR)を計算することである。1709における数学的演算のさらに別の例は、1703からの車両の座標から、1708からの携帯機器の座標までの方角を計算することである。1709での数学的演算による値が得られると、携帯機器10で実行されるアプリケーションは、次に、携帯機器10の1708からの座標情報、並びに、1709での数学的演算の値をメッセージにパックし、1710で、通信ゲートウェイ29との通信に必要な鍵を使用してパケットを暗号化する。次いで、携帯機器10は、1711において、1710からの暗号化されたメッセージを、BLEを使用して通信ゲートウェイ29に送信する。1711において、通信ゲートウェイ29は、1710からの暗号化されたメッセージを受信する。1712では、通信ゲートウェイ29は、1710からの暗号化されたメッセージをPEPSモジュール27に転送する。1713では、PEPSモジュール27は、携帯機器10からの通信に適合したキーを使用して、1710からの暗号化されたメッセージを復号する。そして、PEPSモジュール27は、1708からの携帯機器10の座標および1709からの携帯機器の計算されたチャレンジ応答を抽出するとともに、1703および1708からの座標に対して同じ数学的演算を計算する。次に、その演算の結果が、ステップ1714において、暗号化されたメッセージに含まれる、チャレンジ応答と称されるものと比較される。次に、PEPSモジュール27は、1715で、チャレンジ応答を合格基準と比較する。例えば、合格基準は、その値がある閾値よりも小さくなければならないか、許容可能なある範囲内でなければならないことを示すことができる。
【0099】
アドバータイジングベースのシステムの脆弱性は、主に2つの要因によって引き起こされる。第1に、BLEのアドバータイジングチャネルは簡単に予測でき、容易に発見されるように設計されており、特別なソフトウェアなしで任意のBLEデバイスが近傍のアドバータイザーを発見して、データを複製し模倣できることを可能にする。第2に、アドバータイジングチャネルはメッセージの衝突を避けるために固有のジッタを実装しており、そのため、BLE仕様によってカバーされていない、受信時間によってアドバータイジングパケットは真正であることが、システムへの特別な修正を行うことなく、確認することが可能となるシステムを構築することは困難である。アドバータイジングパケットは、特別なアプリケーション固有のセキュリティ情報が含まれている場合があるが、アドバータイジングデータの予想到着時間についてのゆるい許容値は、必要な暗号技術のみに依存する。
【0100】
本開示は、通信ゲートウェイ29からのタイミング情報をセンサ31に正確に伝達する方法を提供し、信号のタイミングおよびセンサ値の相互相関を判定して、注入シナリオが起こっていそうかどうかを検証するセキュリティフィルタリングモジュール33を提供する。本開示は、接続データの例を使用するが、本開示のセキュリティフィルタリングモジュール33は、アドバータイジングデータのタイミングを検証するための使用にも等しく適用可能である。
【0101】
前述の米国特許出願公開第2014/0188348号明細書には、携帯機器が各センサに個別に接続する、接続データを使用する方法が記載されている。この設計には、いくつかの固有の欠点がある。例えば、複数のセンサとの接続を形成して維持するために、携帯機器に課されるかなりの要件がある。例えば、追加の通信および処理時間が必要な場合、携帯機器がそれぞれに接続するためのネットワーク内のセンサが過剰となる可能性がある。
【0102】
再び図1を参照すると、本開示のPEPSシステム1は、車両30および携帯機器10を含む。携帯機器は、BLEプロトコルをサポートできるブルートゥース対応デバイスである。ブルートゥースの技術仕様は、Bluetooth Special Interest Group(SIG)によって開発され、公開されている。
【0103】
限定するものではないが、携帯機器10は、スマートフォン、スマートウォッチ、ウェアラブル電子デバイス、キーフォブ、タブレットなどの任意のブルートゥース対応通信デバイスであってもよい。携帯機器10、車両30と通信するために使用できるWiFi、インパルス無線などの他の無線技術を組み込むことができる。本開示は、ブルートゥース通信を使用する例を提供するが、本開示のシステム、方法、およびアーキテクチャは、他の適用可能な通信プロトコル、他の認証システムまたは方法、もしくは他のきめ細かい位置特定を使用して実現することができる。従って、本開示のシステム、方法、およびアーキテクチャは、BLE通信プロトコルに限定されない。さらに、本開示のシステム、方法、およびアーキテクチャは、通信ゲートウェイ29が、チャネルマップおよびタイミング情報を再構成するために必要な情報をセンサ31と共有することができる、周波数ホッピング拡散スペクトル(FHSS)を使用する任意の通信プロトコルに適用可能である。
【0104】
車両30は、単一のコントローラとしての、または車両30全体に分散されたモジュール20のセットと、ブルートゥースを介して無線で、もしくはローカル相互接続ネットワーク(LIN)またはコントローラエリアネットワーク(CAN)のような、従来の車両有線接続を介して、制御モジュール20と通信することができる複数のセンサ31とを含む。車両30は、GPS、慣性航法システム、GSM(登録商標)信号位置特定などのいずれかを実装するテレマティクスモジュール26を介して、現在の位置および位置の誤差を知ることができる。車両情報は、データ管理層23によって収集され、携帯機器10と共有することができる。データは、車両30の現在の緯度/経度、並びに各リンクセッションの現在の場所の不確実性の尺度を含むことができる。
【0105】
通信ゲートウェイ29は、BLEチップセット21とリンク認証モジュール22とを含む。リンク認証モジュール22は、携帯機器10が以前に通信ゲートウェイ29とペアリングされたのと同じデバイスであることを認証することができる。ペアリングプロセスと認証方法は、Bluetooth Special Interest Group(SIG)によって指定される。
【0106】
BLEチップセット21は、アンテナ19を使用してブルートゥース仕様に準拠した信号を生成し受信することができる。
【0107】
各センサ31は、アンテナ43を使用してブルートゥース仕様に準拠した信号を生成し受信することができるBLEチップセット41を含む。BLEチップセット41は、車両インターフェース45上で車両モジュール20から受信したFHSS情報を使用して、携帯機器10と通信ゲートウェイ29との間の現存する接続のチャネルマップを再生することができるチャネルマップ再構築モジュール42を含む。すべてのBLEチップセット41は、BLE接続を追跡し正しい周波数にチューニングするために必要となる正確な計時を実装するが、同期されていないまたは同期を失った接続にチューニングすることはできない。センサ31は、タイミング制御モジュール25からタイミング信号を受信することができるタイミング同期モジュール44を含む。タイミング制御モジュール25は、通信ゲートウェイ29と携帯機器10との間の通信の接続間隔と同期された状態に、複数のセンサを保つ。
【0108】
通信ゲートウェイ29および携帯機器10は、アドバータイジングする一方のデバイスとスキャンする他方のデバイスとによって、ブルートゥースコア仕様によって管理される接続を確立する。通信が確立された後、通信ゲートウェイ29および携帯機器10の両方は、通信リンクが確立された時点でデバイス同士が合意するチャネルマップおよびチャネルホッピング方式に従わなければならない。図10は、説明の目的のためのチャネルホッピングマップの例を示す。チャネルホッピングマップは、通信ゲートウェイ29と携帯機器10が、将来の正しい時刻に正しい周波数チャネルで相互に通信するために必要なすべての情報を含んでいる。観測者がチャネルホッピングマップを推定することは不可能ではないが、ほとんどの実用的なアプリケーションでは、チャネルホッピングマップは、その特定の通信のための非公開かつ固有のものと考えられる。ブルートゥース仕様の下で、BLEチャネルマップの例を使用すると、リンクを識別するため、アクセス識別子として知られる一意の番号が割り当てられる。本開示のシステム、方法、およびアーキテクチャは、各センサ31がFHSS通信に従うことができるように、チャネルホッピングマップをネットワーク内のセンサ31に発信するためのものである。このように、本開示のシステム、方法およびアーキテクチャは、任意のFHSSプロトコルに一般化することができる。
【0109】
携帯機器10と通信ゲートウェイ29との間のリンクが確立された後、リンク認証モジュール22は、リンクの信頼性を確立することができる。ブルートゥースSIGは、車両30と携帯機器10との間で交換され、以前に記憶されたセキュリティ情報をチェックすることによってリンクが安全なものとされる方法を定義する。リンク認証モジュール22は、リンクを認証するためにブルートゥースSIGが定義するもの以外の追加の情報を必要とすることがある。実施形態では、ブルートゥースSIGによって指定されたリンク認証方法のみを使用してもよいし、追加のセキュリティの仕組みを使用してもよい。本開示は、リンクが認証される特定の方法に限定されない。リンク認証が確立された後、データ管理層23は、テレマティクスモジュール26から車両30の現在位置を収集し、その位置を携帯機器10と共有する。携帯機器10は、オプションで、Apple iOSおよびGoogle Android OSによって提供されるようなGPSモジュール14を含む。携帯機器10で実行するアプリケーションソフトウェア12は、携帯機器10の推定相対位置を車両30と比較することができる。携帯機器10は、車両30に対する携帯機器10の推定位置に基づいて、車両に所定の動作を実行することを要求する信号を通信ゲートウェイ29に送信することができる。
【0110】
上述したように、従前のシステムは、RSSI測定のためにオープンなアドバータイジングチャネルを使用する。しかしながら、これらのシステムは、アドバータイジングデータが公開され容易に探知可能なチャネルで通信されるので、安全ではない可能性がある。かくして、注入攻撃は、自由にダウンロード可能な電話アプリケーションを使用して行われる可能性がある。従前のシステムでは、アドバータイジングデータを使用する際に明らかなセキュリティ上の脆弱性をどのように処理するかについては言及していない。さらに、アドバータイジングデータを使用することは、エネルギー効率が非常に悪い。そのようなシステムでは、キーフォブは、中央ノードと安全に通信しなければならず、複数のセンサとアドバータイジングデータを交換しなければならない。これにより、多くの不必要な送信と受信が発生し、最終的にシステムの電力性能を低下させる。いくつかのシステムでは、複数の接続がセンサの各々と形成され得る。また、この状況では、各センサとのリンクを開始および維持するために必要な送信および受信の量が大幅に増加する。これは主としてアドバータイジングのプライバシーと注入に関する問題に対処するものであるが、依然として非常に非効率的であり、ならびに、より強力な信号を注入するためにセンサに不正に接続することによる攻撃を防止する方法は開示されていないため、新たなセキュリティリスクをもたらす。
【0111】
本開示は、受動的傍受能力を複数の車両センサに提供することに関する。ネットワーク内のセンサの傍受特性は、BLE PEPSシステムの実装に多くの利点を提供する。例えば、スマートフォン/キーフォブは、中央の通信ゲートウェイと安全に通信するために必要なエネルギーを消費するだけでよい。各センサと別々に通信するために必要な追加のエネルギー消費はない。さらに、ただ1つの通信チャネルを使用することで、非常によく理解されているタイトなタイミング制約、プロトコルチェックサムなどにより、セキュリティを大幅に高めることができる。攻撃者は、リンクと干渉することなく、現存するリンクに改ざんされたデータを注入することはできない。たとえば、攻撃者は、データが観測されるまで何のデータが交換されるかを事前に知ることは非常に困難である。攻撃者はチャネルとタイミングのみしか知ることができない。そのチャネルに信号を注入すると、BLEプロトコルと干渉し、エラー、それも九分通りに、パケットが破棄され測定が行われないCRC/チェックサムエラーに至る可能性が高い。さらに、アドバータイジングデータの使用は、プライバシーに関する懸念と考えられることもある。たとえば、スマートフォンが常時アドバータイジングを行っている場合、大規模なセンサネットワークを持つ人は、そのスマートフォンが行くところを追跡することは容易である。スマートフォンがPEPSシステムを使用するためにアドバータイズすることが必要とされないことは有利である。
【0112】
上述したように、本開示のシステム、方法、およびアーキテクチャは、BLEゲートウェイなどの通信ゲートウェイ29を含む。通信ゲートウェイ29は、例えば、スマートフォン、タブレットデバイス、キーフォブ、スマートウォッチなどのウェアラブルデバイス、または他のBLE通信デバイスなどの携帯機器10と安全に通信することができる任意のデバイスを含むことができる。通信ゲートウェイ29は、例えば、専用狭域短通信(dedicated short-range communication:DSRC)モジュールに統合することができる。あるいは、通信ゲートウェイ29はLTE通信モジュールに統合することもできる。通信ゲートウェイ29と携帯機器10との間の通信データは暗号化されているので、非公開かつ署名されていることが知られており、データの正当性を判定することができる(偽造されない)。通信データは、例えば、カウンタベースの暗号化、リアルタイムトークン交換、および/またはタイムスタンプ情報を使用することによって、安全に再生される。
【0113】
携帯機器10と通信ゲートウェイ29は、ペアリングプロセスを経て信頼関係を確立する。ペアリングプロセスは、ブルートゥース仕様に説明されるブルートゥースペアリング、電話インターフェースと車両インターフェースを使用して車両システムと電話との間で追加のセキュリティ情報が交換されるペアリング、デバイスアドレス、デバイスID解決キー、予約ID、および暗号化キーがクラウドインフラストラクチャを介して交換されるペアリング、および/または、車両を使用するための証明書が車両に提示されるペアリングを含むことができ、その証明書は、車両の所有者のデバイス、および/または、車両製造者または信頼のおける第三者などの信頼できるセキュリティ署名機関によって署名されたものである。証明書の場合、証明書は、使用例の制限(すなわち、ジオフェンス、バレットモード制限)、有効期間、運転性能/行動についての所有者への報告が必要とされるかどうかなどを含むことができる。
【0114】
上述したように、本開示のシステム、方法、およびアーキテクチャは、1つ以上のBLEセンサ31を含む。各センサ31は、受信したBLE信号特性のいくつかの物理的現象を測定することができる。例えば、センサ31は、受信信号のRSSI、到着角度、到着時間差、または他の特性を測定することができる。
【0115】
センサ31は、ある物理的現象により、車両に対する携帯機器10の位置について有意義な判断を下すことができる、車体内もしくは車体上の位置に配置することができる。例えば、物理的現象には、自由空間信号損失、散乱、マルチパスフェージング、伝搬時間と伝搬時間差、伝搬のため到来角の差が含まれ得る。
【0116】
再び図1および図2を参照すると、各センサ31は、通信ゲートウェイ29と通信することができる。携帯機器10は、例えば、BLE通信リンクの一部としての、アドバータイジングチャネルまたは接続されたチャネル上で、通信ゲートウェイ29と通信することができる。各センサ31は、通信ゲートウェイ29および携帯機器10などの2つの接続されたデバイス間の通信を受動的に傍受することができる。付加的または代替的に、ウェアラブルデバイスの場合、傍受は、携帯機器10と、その携帯機器10に関連するスマートウォッチなどのウェアラブルデバイスとの間であってもよい。各センサ31は、電力を節約するために、傍受、すなわち接続を追跡する手順を選択的に無効にし、その後、再び有効にすることができる。通信ゲートウェイは、どのセンサ31が傍受しているかを制御することができる。
【0117】
さらに、通信ゲートウェイは、傍受が再開されるために、各センサ31に必要な情報を提供することができる。傍受のために必要な情報には、例えば、通信ゲートウェイ29と携帯機器10との間の通信を一意に識別する、BLE通信リンクのアクセス識別子を含むことができる。各通信パケットは、プリアンブルとして、アクセス識別子データを含む。このように、情報は、プリアンブルをどのように復号するかについての情報を含むことができる。この情報はまた、センサ31が傍受の際に使用するチャネルのセットを知ることができるように、現在使用されているチャネルマップを含むことができる。この情報はまた、センサ31があるチャネルから次のチャネルへどのようにジャンプするかを知ることができるように、チャネルホッピング方式に関する情報を含むことができる。多くの無線通信規格は、いくつかの基本パラメータが知られている場合に確定的となるチャネルホッピングを実装している。BLEにおいて、センサ31は、ホップする次のチャネルを決定するために、現在のチャネル、チャネルマップ、およびチャネルホップ番号を知っている必要がある。この情報はまた、次の通信チャネル、および/または、通信イベントためのおおよその時間での将来の通信チャネルなどの、将来の接続イベントを見つけるために必要な情報を含むことができる。
【0118】
各センサ31は、先に説明したような物理的現象、すなわちRSSI、タイムスタンプ、到着角度等、並びに、マスタとスレーブの両方の通信パケットに含まれるすべてのデータを収集するために、接続イベントの直前に接続チャンネルを聴取することができる。
【0119】
本開示のシステム、方法、およびアーキテクチャに従う接続の1つの考慮事項は、スケジュールテーブルの同期である。接続プロセスにおいて2つのデバイスに必要とされるすべての通信情報は自由に観測可能な形式でブロードキャストされるため、形成されている接続をたまたま目の当たりにした、つまり傍受した任意のBLE通信ノードはスケジュールテーブルを得ることができ、それゆえ、受動的な傍受モードで通信をスキャンすることが可能となる。しかし、常時、すべての接続を追跡するセンサを備えることは、著しい電力消費となる。このように、各センサが正しい時間に正しいチャネルでスキャンする能力を失った場合、同期の問題が生じる可能性があるが、接続の追跡を選択的に有効または無効にすることができるシステムを有することは有益である。これらの理由から、本開示のシステム、方法、およびアーキテクチャは、通信を調整するための同期アルゴリズムと、センサ31による通信の傍受を利用する。
【0120】
例えば、通信ゲートウェイ29から、通信接続の追跡を開始しなければならないセンサ31の各々にメッセージが送信される。このメッセージは、通信パケットをデコードするためにセンサ31によって必要とされる情報を含み、それは、最も単純な形態では、任意の所定の領域についてかなりロバストな一意のIDであるリンクIDを識別するアクセス識別子を送信することを含むことができる。通信ゲートウェイ29による要求に先立つある時点で、リンクに関する情報がセンサ31に通信され、または転送されている。上述したように、これには、チャネルマップ、チャネルホップ数、接続間隔、スレーブ待ち時間、並びに、すべてのデバイスのスリープクロック精度設定を含むことができる。
【0121】
図14を参照すると、マスタデバイスおよびスレーブデバイスは、100msのような通信間隔で通信するものとして示されている。デバイスは、すべてのチャネルと、5チャンネルずつのチャネルホップを使用する。現在のチャネル、または開始チャネルはチャネル3である。図14の例では、スレーブ待ち時間はゼロであるため、スレーブは常に通信する。
【0122】
1400において、通信ゲートウェイ29は、傍受を開始するように1つまたは複数のセンサ31にコマンドを発行する。傍受開始コマンドは、センサ31が正しいチャネルでスキャンを開始し、正しいチャネルホッピング方式に追従するのに必要とされるすべての情報を含んでいる。最初に、センサ31は、1402に示すように、デバイス間の通信を検出することができるように、わずかに早い段階でチャネルの聴取を開始しなければならない。1404および1406などの、その後の接続イベントでは、すべてのデバイスのクロック精度に基づいてスキャン間隔をより短い期間に短縮することができる。センサ31は、1408、1410、および1412に示すように、信号および接続イベントについて測定されたデータを通信ゲートウェイ29と共有することができる。
【0123】
2015年9月1日発行の、応答システムを備えたパーソナルデバイスの車両追跡、と題する米国特許第9123244号は、自動車に搭載されたシステムを介して物体を追跡する方法を記載している。この方法は、無線デバイスを検出すること、無線デバイスの位置を決定すること、車両に対する無線デバイスの位置を認識すること、事前に定義された条件文に関して無線デバイスの位置を分析すること、事前に定義された条件文が満たされたことに従い、アラートを発することを含む。米国特許第9123244号は、その全体が参照により本明細書に組み入れられる。
【0124】
米国特許第9123244号は、電話に近接するとともに、車両に近接するデバイスを追跡することができるシステムを記載している。本開示は、上述したシステム、方法、およびアーキテクチャに従う接続の使用をもって、米国特許第9123244号に記載された例示の使用例を拡張する。
【0125】
米国特許第9123244号の開示は、ユーザのスマートフォンまたはキーフォブから、アクティビティモニタまたはスマートウォッチ、すなわちFitBitまたはApple Watchなどのウェアラブルデバイスへのデジタルキーの移譲について記載している。例えば、米国特許第9123244号に記載されたシステムおよび方法の使用例では、運転手が車で公園に到着し、ジョギングに行くことを望む。運転手は、ジョギングに車のキーやスマートフォンを持っていきたくはなく、スマートウォッチだけを持っていたいと思っている。しかし、車両キーおよびスマートフォンは、自動車のキーとして使用可能にされているため、車両に残しておくことは安全ではない。例えば、強盗が車両に侵入した場合、車両全部を盗むことが可能となってしまう。
【0126】
その開示は、ユーザがジョギングから戻った後まで、キーが車両内に残されても安全であるように、キーを一時的に無効にする方法を提供する。これにより、ユーザは車両に安全にアクセスし、スマートフォンとキーフォブを再び有効にすることができる。
【0127】
本開示において、米国特許第9123244号のシステム、方法、およびアーキテクチャは、キーフォブ(BLE、LF、RFなどを使用するかどうかに関わらず)も電話の近くに配置できるように拡張することができる。このように、米国特許第9123244号に記載されたシステム、方法、およびアーキテクチャは、電話が、スマートウォッチ、またはFitBitなどの運動器具のようなデバイスとのリンク状態などであることを検出し、この情報を車両の意思決定システムで利用可能にすることも含むように拡張することができる。
【0128】
例えば、ジョギングの後にスマートウォッチが戻ると、電話はスマートウォッチとの安全なリンクが再確立されたことを検出することができる。この情報を車両システムに報告することは、ユーザがジョギングから戻った後に車両に入ることを許可するかどうかの決定にとって重要である。そのような情報は、リンクが安全である/繋がれたかどうかを示す情報と、リンクに関連付けられたセキュリティデータを検証できるかどうかを示す情報を含む必要がある。
【0129】
本開示は、例えば、追跡しているデバイスが、信頼でき、攻撃者ではないデバイスであることを保証するため、米国特許第9123244号に記載されているシステムに追加の特徴を提供する。例えば、セキュリティ情報は、ユーザがジョギングから戻って車両に入り、システムを解除するときにウォッチに入力しなければならない個人識別番号(PIN)を含むことができる。さらなる例として、セキュリティ情報は、スマートフォンとウォッチとの間の安全なペアリング情報を含むこともでき、すなわち、ウォッチとフォンはそのリンクを暗号化しており、フォンはウォッチが承認されたウォッチであると信頼することができる。たとえば、既存のスマートウォッチは、ウォッチとフォンとの間で交換される機密データのために、フォンとの通信リンクを暗号化するためのシステムを含む。スマートフォンのオペレーティングシステム(OS)とスマートウォッチの間にセキュリティレイヤーが得られると、これが、追跡されるデバイスが信頼できるデバイスであることを信用しての使用のため、車両に報告される。セキュリティ情報には、スマートフォンがスマートウォッチ上で実行されているアプリケーションと共有するトークンを含むこともできる。スマートウォッチが再接続すると、スマートフォンはウォッチアプリケーションにトークンを生成するように依頼することができ、それにより、スマートウォッチが最初に委譲モードを許可したのと同じデバイスであることを確認することができる。セキュリティ情報はまた、車両の近傍であり、かつスマートフォンの近傍でもあるスマートウォッチのGPS位置を含むことができる。これにより、スマートウォッチは車両から非常に遠方であるが、上記のセキュリティ情報が攻撃者に知られずに、しかし、ゲーティングされ得る、リレー攻撃の可能性を減らすことができる。GPS範囲は、例えば、デバイスの緯度/経度座標を広く含むことができる。スマートフォンやスマートウォッチは、WiFiネットワークの存在により、およびセルラーデータを介してそれぞれの位置を推定することもできる。従って、相対的な精度を念頭に置いて、スマートフォンとスマートウォッチの位置が比較される必要がある。リレー局攻撃を排除するのに十分な精度でGPSの正確さが利用できないならば、システムは自動的に無効にするには十分な精度ではないが、車両の近くでそれらを検出したことをユーザが認識する必要がある場合に、アラートなど、ユーザからの手動入力を求めることができる。例えば、アラートはスマートウォッチのセキュリティモデルを再利用することができ、ウォッチがユーザによって継続的に装着されている場合、PINの入力を避けることは安全である。スマートウォッチが取り外されている可能性がある場合、ユーザはウェアラブル上のあるインターフェースを手動で作動させる必要がある。システムおよび方法のルールは、ある条件が満たされるまで特定の機能を無効にすること、すなわち、ウォッチが戻るまでスマートフォンまたはキーフォブなどの特定の装置でPEPSを作動不能にすることを含むことができる。
【0130】
スマートフォン、スマートウォッチ/アクティビティモニタ、または車両ディスプレイの1つのいずれかのインターフェースを使用して、ユーザは、ジョギングに出かけている間、PEPSシステムに、車両にあるキーフォブやスマートフォンなどのデバイスを無視させるルールを設定することができる。例えば、スマートフォンとスマートウォッチの両方のインターフェースが、「移譲モード」を入力するために使用することができ、これにより、車両の近くに現在位置している任意のキーフォブ/スマートフォンは、移譲モードが入力されたとき、PEPSシステムを操作する目的で無効とされる。インターフェースにより、ユーザは、有効なデバイスのリストを選択することができるが、デフォルトでは、すべての近傍のデバイスが無効とされ得る。ユーザは、車内に、好ましくは、侵入の可能性を低減するためにグローブボックス内の見えないところに、スマートフォンとキーフォブを安全に残した状態で、スマートウォッチを使用して車両のドアをロックすることができる。その後、ユーザはジョギングに行くことができ、システムはウォッチが車両の近傍を離れたことを検出することができる。ユーザがジョギングに行くことが予想されるとのルールの最初の部分は、これで満たされる。この時、システムは、電話が車両の周辺に残っていることを追跡することができ、キーフォブおよび/またはスマートフォンなどのセキュリティキーが車両に残されている場合には、システムは、車両内にキーが誤って忘れられた場合に備えて、移譲モードが使用可能であること、もしくは、キーとして有効となっているデバイスを取りに車に戻るべきであるとのアラートをユーザへトリガすることができる。
【0131】
ユーザがジョギングに出発すると、例えば、スマートウォッチのようなウェアラブルデバイスは、車内に残っているスマートフォンとの通信接続範囲を離れる。スマートフォンは、安全なリンクの喪失に対する規則の処理に関して米国特許第9123244号に説明されるように、通信リンクの喪失を報告することができる。ウェアラブルデバイスは、通常、スマートフォンへのリンクを再確立するために、アドバータイジングチャネルでブロードキャストを開始することができる。追加的または代替的に、役割は潜在的に逆転する可能性があり、それにより、スマートフォンがアドバータイジングチャネルでブロードキャストする。スマートウォッチとスマートフォンは互いに範囲外にいるので、車両の機能を作動させることに関する興味深い活動は、車両システムによって検出される可能性は低い。しかしながら、車両は、スマートフォンと比較して、より良いアンテナ設計および配置のためにウェアラブルからのアドバータイジング通信を検出することができるかもしれない。
【0132】
この例を続けると、ユーザはジョギングを継続し、ウェアラブルが関連付けられている、車両システムおよび車両内に置かれたスマートフォンの通信範囲内に戻る。このとき、ウェアラブルは、例えば、アドバータイジングチャネルでブロードキャストすることができ、スマートフォンはそれらのアドバータイズメントをスキャンすることができる。
【0133】
スマートフォンとウェアラブルがアドバータイジングチャネル上でお互いを発見すると、スマートフォンとウェアラブルの間に接続が確立される。本開示では、米国特許第9123244に記載される車両システムが、スマートフォンとスマートウォッチなどのウェアラブルとの間の接続イベントに気づいて、接続間隔、最初の通信時間、チャネルマップ、アクセス識別子、スレーブ待ち時間、両デバイスのブルートゥースアドレス(IEEE MAC)およびアドレスの種類、つまり、公の、解決可能な、などを記録するように拡張されている。この情報は、上述のように、BLE接続を追跡するために使用することができるが、本開示はBLE通信に限定されない。すべての低電力ワイヤレスネットワークは、接続が観測され、受動的に追跡される、ある種の検出およびスケジューリング/タイムスロットを使用する。各々のタイプのネットワークまたは通信は、媒体アクセス制御(MAC)層によって異なる。このように、本開示の車両システムは、確立された接続を観測することができ、公開されたMAC層仕様を使用して、上述したように通信接続を傍受することができる。上述の情報を記録することにより、車両システムは、スマートフォンとスマートウォッチなどのウェアラブルとの間の接続を受動的に傍受することができる。さらに、このウェアラブルは、電力消費を低減するために、大概、この時点でアドバータイジングチャネルの使用を中止する。
【0134】
スマートフォンとウェアラブル、すなわちスマートウォッチとの間のデータは、車両システム、すなわちPEPSシステムが使用できないように暗号化される可能性があるが、スマートフォンは、リンクは安全であるとみなされ、そのデバイスが信頼できるデバイスであり、デバイス/通信がリレー攻撃を受けていないことを車両システムに報告するために、上述のセキュリティデータを使用することができる。
【0135】
スマートフォンによって報告されたリンクパラメータおよび信頼状態を使用して、システムは、本開示によって説明されるアーキテクチャを使用して、接続を追跡し、車両の近傍のウェアラブルの位置に関する情報を収集することができる。
【0136】
BLEセンサは、通常、125kHzの低周波(LF)信号を使用するように構築された従来のPEPSシステムと同じ精度で、スマートフォン、ウェアラブルデバイス、またはキーフォブなどの携帯機器の位置を特定することはできない。
【0137】
図15を参照すると、従前の車両用PEPSシステム150が、キーフォブを位置決めするための基礎技術としてLFを使用する現行の生産PEPSシステムによって達成される要件とともに示されている。例えば、従来のLF PEPSシステムは、ユーザのフラストレーションを回避するように、事実上すべての実際的なシナリオで正しい動作を可能にしながら、不正確な決定の傾向を回避するのに十分なほど低い誤り率を有する。
【0138】
例えば、キーフォブが、車両150のドアハンドルから例えば2メートルの半径を含むエリア152内に位置するとき、ドアロック解除操作が可能となる。2メートルを用いる例が提供されるが、距離の閾値は製造業者によって、および/または地域によって異なる場合がある。さらなる例として、キーフォブが、車両150の外部へのいくらかの漏出はあるが、車両150の内部を含む、車両150のエリア154内に位置しているときに、車両の始動動作が可能となる。例えば、車両150のエリア154は、サイドウインドの外側で約5cmまで、フロントウインドシールドおよびリアウインドシールドの外側で約15cmまで伸びることが許容されえる。さらなる例として、キーフォブが車両150のエリア156内に位置するとき、トランク開放操作が可能となる。
【0139】
125kHzのLF信号を使用して構築された従来のPEPSシステムと比較すると、2.4GHzの信号を有する工業、科学および医療(industrial, scientific and medical:ISM)無線帯域を利用するBLE通信を使用するPEPSシステムの実装は、多くの課題を含む可能性がある。例えば、BLE通信と2.4GHzの信号を有するISM無線帯域を使用するPEPSシステムは、マルチパス、シャドウイング、およびフェージングの問題を考慮しなければならず、それらは、RSSIを測定する低コストのBLEセンサを用いるPEPSシステムを、例えば、LFを実装する従来のシステムよりも不正確にさせる可能性がある。しかしながら、本開示は、これらの問題を考慮したシステム、方法、およびアーキテクチャを提供する。
【0140】
対処すべき1つの問題は、車両の内部に配置されたセンサでは、信号の測定されたRSSIが、携帯機器10が車両の内部にあるとき強くなるが、携帯機器が車両の外部であって、車両のウインドゥにあるときにも強く測定されるということである。対処すべきさらなる問題は、例えば、車両のドアをアンロックしようとしている者のズボンの後ろポケットに携帯機器10が置かれているとき、人体によって重大なシャドウが生成されることである。人体は主に水であり、2.4GHzの信号を非常に効率的に吸収する。従って、携帯機器10からの信号の測定されたRSSIに基づいて、車両のドアハンドルから携帯機器10の範囲について信頼できる決定を行うことは困難である可能性がある。ほぼ確実に自由空間伝播であると仮定して、携帯機器10がドアの2メートル以内にあることを確かめるように最適化されたRSSI閾値では、PEPSシステムは、携帯機器10からの信号が人体によって減衰されるか、または重度の破壊的なマルチパスフェージング環境にさらされたとき、ドアに十分に近く、アンロックを許可できるような携帯機器10を検出することができないだろう。さらに、車両センサ31が人体の影に入ったときの、より微弱なRSSIを許容するように設定されたRSSI閾値では、車両センサ31まで、クリアに見通せて、破壊的な(または建設的な)マルチパス干渉のない、ドアハンドルから2メートル以上離れた携帯機器10をほぼ確実に許容するだろう。上記の理由により、そのようなPEPSシステムは、PEPSシステムが誤った決定を下す傾向を含め、ユーザの期待に常に応えることができないかもしれない。
【0141】
図16および17を参照すると、2.4GHzの信号を有するISM無線帯域でのBLE通信を使用するBLEセンサを利用するPEPSシステムを備えた車両30が示されている。上述したように、携帯機器10の位置の不確実性のために、PEPSシステムは、不確実ゾーンを含む多数の異なるゾーンを含んでいる。例えば、図16を参照すると、PEPSシステムは、携帯機器10が164Aと指定されたエリア内に位置するとき、車両の始動操作を許可することができ、その一方で、エリア164B内であって、エリア164Aの外側のエリアは、不確実ゾーンとして指定することができる。換言すると、携帯機器10がエリア164Aに位置するとき、PEPSシステムは、車両の始動操作を許可することができる。以下に詳細に説明するように、携帯機器10がエリア164Aの外側であるがエリア164Bの内側にあると測定されたとき、携帯機器10は不確実のゾーン内にあると指定される。上述したように、携帯機器10の位置は、例えば、携帯機器10から受信される信号のRSSIに基づいて測定することができる。
【0142】
図17を参照すると、PEPSシステムは、携帯機器10が162Aと指定されたエリア内に位置するとき、ドアのアンロック操作を許可することができ、その一方で、エリア162B内であってエリア162Aの外側のエリアは、不確実のゾーンとして指定することができる。換言すると、携帯機器10がエリア162Aに位置するとき、PEPSシステムは、ドアのアンロック操作を許可することができる。以下に詳細に説明するように、携帯機器10がエリア162Aの外側であるがエリア162Bの内側にあると測定されたとき、携帯機器10は不確実のゾーン内にあると指定される。さらに、PEPSシステムは、携帯機器10が166Aと指定されたエリア内に位置するとき、トランクのアンロック操作を許可することができ、その一方、エリア166B内であってエリア166Aの外側のエリアは、不確実のゾーンとして指定することができる。換言すると、携帯機器10がエリア166Aに位置するとき、PEPSシステムは、トランクのアンロック操作を許可することができる。以下に詳細に説明するように、携帯機器10がエリア166Aの外側であるがエリア166Bの内側にあると測定されたとき、携帯機器10は不確実のゾーン内にあると指定される。
【0143】
PEPSシステムは、携帯機器が、図16および図17に示す不確実のゾーンの1つにあることを検出することができる。そのような場合、携帯機器10は、認可されたゾーン内にある可能性があることが知られているが、偽陽性を最小限に抑えるために適切な確信をもって正しい判定ができるほどの十分な確信はない。そのような場合、PEPSシステムは、特定のゾーンに関連する作動スイッチが起動されたときにユーザにアラートを出すように構成することができる。
【0144】
これらの理由から、BLE通信を使用するPEPSシステムは、携帯機器が不確実なゾーンの1つに位置すると決定されたとき、より教育を受けた情報のあるユーザ、いくつかの制限の受入、およびPEPSシステムによって取られる事前に定められたアクションを必要とするかもしれない。例えば、ユーザは2つの異なるカテゴリに分類することができる。この例の目的のため、2つのカテゴリが使用されるが、本開示のシステム、方法、およびアーキテクチャでは、追加のカテゴリを使用することができる。
【0145】
例えば、ユーザの最初のカテゴリには、セキュリティを非常に懸念しているユーザが含まれる。このカテゴリのユーザの場合、PEPSシステムは一切の偽陽性のミスをしてはならない。例えば、PEPSシステムは、携帯機器10のシャドウイングまたはマルチパス環境に係わらず、携帯機器10が車両30のドアハンドルから2メートル以上離れているとき、アンロック操作を許可するべきではない。このカテゴリのユーザは、シャドウイングまたはフェージングによる通信信号の減衰によって不確実のゾーンに位置するときに、PEPSシステムが携帯機器10を検出できないかもしれないという制限を受け入れる必要がある。言い換えれば、これらの状況は、最終的に、携帯機器が不確実なゾーン内に位置しているときに、車両の始動操作、ドアのアンロック、またはトランクのアンロック操作が許可されないとの偽陰性の結果をもたらす。
【0146】
例えば、ユーザの第2のカテゴリには、利便性により関心のあるユーザが含まれる。このカテゴリのユーザの場合、PEPSシステムがいくつかの偽陽性のミスをすることは容認できるが、PEPSシステムは、ユーザの不便を避けるために偽陰性の結果を最小限に抑える必要がある。例えば、建設的なマルチパス環境がある場合、携帯機器10は、ドアがアンロックされるのに十分な強さを有するものとして検出されてもよい。その結果、場合によっては、携帯機器10が車両30のドアハンドルから2メートルなどの所定の距離以上離れているとの事実にも関わらず、ドアのアンロック機能が許可されることがある。
【0147】
どちらのカテゴリのユーザに対しても、いくつかのタイプの制限または不便さがある。しかし、キーフォブがシステムユーザと事実上通信できない従来のPEPSシステムとは異なり、BLE PEPSシステムは、伝統的なキーフォブの置き代えとして、スマートフォン、タブレット、スマートウォッチなどのウェアラブルデバイスなどのようなスマートデバイスの使用をターゲットにしている。これらのデバイスには、触覚、振動、オーディオ、スクリーンを含む先進のインターフェイスシステムが含まれている。さらに、これらのデバイスは他のデバイスとインターフェースで接続することができる。例えば、スマートフォンおよびタブレットは、同じタイプのインターフェースを使用し、ユーザによって素早くアクセス可能な、スマートウォッチまたは他のウェアラブルデバイスとインターフェースで接続することができる。これらのデバイスも、デバイス内モーションセンサを使用して、スクリーン上および空気中の両方で、例えばインターフェース上のボタン押下、音声コマンド、ジェスチャの測定などのユーザ入力を受け入れることができる。さらに、これらのデバイスは、静止状態に対する自身の動きを容易に検出することができ、スクリーンのロックアウト状態だけでなくそれらの向きも報告することができる。それらはまた、周囲の背景の照明を測定するように誰かが話しているときにスクリーンをロックアウトするように設計されたカメラおよび/または光学センサを使用することができる。
【0148】
上記の一連の拡張された互換性を使用して、本開示のシステム、方法、およびアーキテクチャによるBLE PEPSシステムは、多数の異なる動作を実行することができる。例えば、本開示のシステム、方法、およびアーキテクチャに従うBLE PEPSシステムは、PEPSシステムの動作が車両に対して実行されるときにユーザにアラートを可能にすることができるが、PEPSシステムは、偽陽性率を容認可能な低い数に低減するための十分な証拠を有していない。例えば、運転席のドアアンロックボタンが押され、ある承認されたデバイスがドアの近くにあると判定するのに十分な証拠があるが、偽陽性を適切な低い割合に低減するには十分な証拠が収集されなかったとき、ドアをアンロックする必要があるかどうかを確認するためにユーザにアラートがトリガされえる。さらに、イグニッションスイッチボタンが押され、ある承認されたデバイスが車両内部にある可能性があると判定するのに十分な証拠があるが、偽陽性を適切な低い割合に低減するには十分な証拠がないとき、車両を始動する必要があることを確認するためにユーザにアラートがトリガされえる。加えて、他のアラートが、参照により本明細書に組み入れられる米国特許第9123244号に記載されているシステムによって可能とされえる。さらなる例として、対象物が車両の内部に残され、スマートフォンがもはや車両の内部に存在しないなどの場合に、アラートを生成することができる。
【0149】
上述したように、PEPSシステムは、例えば、携帯機器10を介してユーザに配信されるアラートを含む、多数の異なるタイプのアラートをユーザに対して生成することができる。例えば、アラートは、触覚振動、可聴音、iOSやAndroidで使用されるような、電話のオペレーティングシステムでの電話通知、スマートフォンと、スマートウォッチなどの装着されたウェアラブルとのいずれか、および/または、その両方でのポップアップアラートの1つ以上の組み合わせを含むことができる。さらに、アラートは、より高いレベルの証拠が利用可能であった場合に起動されるであろう挙動の確認を求めることができる。アラートは、ドアロック状態またはイグニッション状態およびブレーキペダル状態などの車両状態を組み込むことができる。
【0150】
アラートは、作動スイッチの近くに合理的に配置されえるすべてのデバイスを対象にすることができる。例えば、運転席ドアの近くに1台のスマートフォンがあり、助手席ドアの傍に2台のスマートフォンがあり、助手席のドアスイッチが押された場合、PEPSシステムは、助手席の両方のスマートフォンでアラートをトリガすることができ、運転席側のスマートフォンがアラートを受信しないようにすることができる。あるいは、PEPSシステムは、すべてのデバイスがアラートを受信できるように構成することができる。あるいは、携帯機器10を、アプリケーション設定を介して、その携帯機器10の位置に係らず、すべてのアラートを受信するように構成することができる。あるいは、アプリケーション設定を介してアラートを受信する必要があるデバイスが通信範囲内にない場合、PEPSシステムはデバイスとの通信が再開したときにアラートすることができるように、アラートを待ち行列に入れることができる。アラートはまた、車両のアンロックボタンが押されたり、ジェスチャスイッチ(トランクをアンロックするジェスチャスイッチなど)が起動されたりしても、承認されたデバイスが近くにないとき、トリガされえる。アラートはまた、デバイスが承認されたデバイスからのデータの一部を模倣するが、偽装者によって試みられたハッキングなど、すべてのセキュリティデータを満たすことができないとき、トリガされえる。
【0151】
アラートに応答して、ユーザはいくつかのアクション、対策、または介入を行うことができる。例えば、グラフィカルユーザインターフェイス(GUI)上のアラートボタンは、ドアをアンロックする、トランクをアンロックする、または車両を起動するなど、企図された動作を確認することができる。例えば、ユーザがドアハンドルのアンロックボタンを押したとき、ドアをアンロックしたいかをユーザに尋ねるアラートをスマートフォンに送信することができる。上記のコマンドは、ドアがすでにアンロックされている場合、GUI上での質問は、ユーザがドアをロックしたいかどうかを確認することをユーザに尋ねることになるので、ドアロック状態を含む。アラートは特定の意味にマッピングできる。例えば、車両をロックする、車両をアンロックする、車両を始動するなどの、特定の動作ごとの特有の触覚である。追加的または代替的に、特定の動作のために特有の音色が、携帯機器10で再生されえる。追加的または代替的に、スマートフォンのテキストスピーチ機能を介しての口述によって、「ドアをアンロックしたいですか?」と尋ねることができる。他のテキストは、企図された動作を確認するために携帯機器10によって読み上げることができる。
【0152】
このようなアラートに応答して、ユーザは、例えば、携帯機器10のGUI上のボタンを押して、動作を受け入れるか、アラートを無視することができる。追加的または代替的に、ボイスコマンドを使用し、「イエス」、「ノー」、「キャンセル」、「無視」などを話すことによって、企図された動作を受け入れることができる。スマートフォンシステムの既存のセキュリティシステムを使用して、PINが入力されてからスマートウォッチが継続して装着されたか、スマートフォンがロックされていない状態にあるか、あるいは、スマートフォンは音声を認証できるか突きとめることなどができる。追加的または代替的に、ユーザは、アラートを受信したことに応答して、スマートウォッチを3回ループさせるなど、プログラムされたジェスチャを使用することができる。
【0153】
アクションおよびアラートは、携帯機器10によって適切にルーティングされ得る。例えば、ウェアラブルデバイスが存在しない、またはスマートフォンにリンクされているウェアラブルデバイスがない場合、スマートフォン自体がアラートを処理する必要がある。一方、ユーザがスマートウォッチを装着している場合、ウォッチを介してユーザにアラートすることがより適切であり、アラートはスマートウォッチにルーティングすることができる。スマートフォンのロックが解除されている場合は、ユーザが現在スマートフォンを使用しているため、スマートウォッチが存在していても、スマートフォンでアラートすることがより適切であるかもしれない。
【0154】
PEPSシステムは、待機することによって、またはアクションによって動作する。例えば、PEPSシステムは、ドアハンドル上の作動スイッチが作動するのを待機するか、または、トランクをアンロックさせるためのジェスチャスイッチなどのジェスチャスイッチが作動するのを待機することができる。ドアハンドル上のボタンを押す、またはジェスチャスイッチを作動させるジェスチャを行うなどのアクションが実行されたとき、携帯機器10の位置についての一連の証拠が、通信ゲートウェイ29およびセンサ31によって収集される。決定された携帯機器10の位置、その位置を示す証拠のレベル、および、上述したセキュリティおよび利便性についてのユーザの許容度に関するユーザ設定に基づいて、PEPSシステムは、車両30のドアまたはトランクをアンロックする、または車両30を始動させるなどの車両機能の動作を実行するかどうか決定する。PEPSシステムは、ドアハンドルなどの作動スイッチの状態変化を読み取ることができる。PEPSシステムによって何らかのアクションの実行が必要となるようにスイッチの状態変化が起こると、PEPSシステムは、どのデバイスが作動ゾーンの近くにあるか、および、どのデバイスが位置に係らずアラートを受信することを選択したかに基づいて、アラートを受信すべき携帯機器をチェックする。PEPSシステムは、PEPSシステムからのメッセージを通信ゲートウェイ29を介して、または、LTE/クラウドモジュールなどのセルラーデータ接続を通じて、スマートフォンなどの携帯機器10にルーティングすることができる。PEPSシステムは、利用可能な場合にBLE通信を使用し、BLE通信が利用できない場合には、必要に応じてLTEデータ接続などのセルラーデータを使用するように構成することができる。傍受、注入、または再生を避けるように、メッセージは暗号化され、署名される必要がある。承認された携帯機器は、メッセージを確認し、ユーザをアラートする最善の手法、何らかの対策または介入を行うことが必要かどうかを決定することができる。
【0155】
上述のように、PEPSシステムは、携帯機器10の位置を決定する際に複数のレベルの証拠を利用することができる。例えば、PEPSシステムは、例えば車両30の運転席ドアの近くに携帯機器10が位置するとの十分な証拠があるときのように、アラートを作動させるのに必要な証拠を所定のレベルとするように構成することができる。PEPSシステムは、いくつかの偽陽性を許容する、より積極的なユーザのために、作動スイッチが押されたときにアクションを取るとの決定を許可する決定を下すために、より高い基準の証拠を利用するように構成することができる。PEPSシステムはさらに、偽陽性を減らす保守的なユーザのために、作動スイッチが押されたときにアクションを取るとの決定を許可する決定を下すために、さらに一層高い基準の証拠を利用するように構成することができる。
【0156】
・各アクション基準に対する容認できるレベルの証拠のための、デバイス毎(ユーザ毎)の設定をセットするためのインターフェース
【0157】
例えば、各ユーザは、自分が所有するデバイスがシステムとともにどのように動作して欲しいかを設定することができる。所有され、2人の運転者によって運転される車両では、1人の運転者はより安全なシステムを欲し、他の運転者はより便利なシステムを欲するかもしれない。
【0158】
スマートフォンまたはタブレットデバイスなどの携帯機器10は、ユーザがPEPSシステムによって使用されるリスク/許容度/証拠のレベルを設定および/または調整するための、スマートフォンまたはタブレットデバイス上で動作するアプリケーションのユーザインターフェースなどのユーザインターフェースを含むことができる。例えば、ユーザインターフェースは、より多くの偽陽性を許容することによって、システムの安全性を低下させることにリスクが伴うことをユーザに示すことができる。例えば、ユーザインターフェースは、偽陽性がどこにある可能性があるのか、偽陽性が実際になにを引き起こすかもしれないかを視覚的に示すことができる。例えば、運転席ドアをアンロックするのに弱いRSSIを許容することによって、ユーザは、乗員のドアから3メートル以上離れて立っていても、攻撃者がユーザの背後にそっと近寄って車両にアクセス可能となるリスクがある。図18を参照すると、このリスクが、例えば、ユーザのスマートフォンが泥棒よりも車両から離れている間に、泥棒が車両にアクセスすることを描写するグラフィカルインターフェース180を使用して、携帯機器10に表示されえる。
【0159】
PEPSシステムは、プログラムされたオーバーライドを利用することができる。例えば、ユーザは、好みに応じてすべてのアプリケーション設定を行ってもよいが、依然としてシステム性能に問題がある可能性がある。しかし、PEPSシステムのアラートシステムは、頻繁に発生する動作を学習し、ユーザにPEPSシステムへのオーバーライドをプログラムしたいかを尋ねるアラートをユーザにもたらすことができる。例えば、ビジネスマンは、スーツコートを着用し、そのスーツコートの胸ポケットにスマートフォンなどの携帯機器10を入れたままにするかもしれない。その後、スーツコートは、携帯機器10が車両を始動するためには不確実なゾーンに常にあるように、後部座席のコートハンガーに掛けられるかもしれない。イグニッションスイッチが押されたとき、PEPSシステムは、イグニッションが許可されるべきであることを認識することができるが、PEPSシステムは、ユーザのスマートフォンが本当に車両の内部にあるかどうかについて不確かであるかもしれない。上述したように、スマートフォンに対してアラートをトリガすることができ、ユーザはこのような状況で車両が始動されるべきであることを認識することができる。しかし、より重要なことは、この例にあるように、スマートフォンがスーツコートの胸ポケットにあるときに、スマートフォンの位置について収集された証拠が、そうであるように見える場合、将来のイグニッションコマンドを承認/受諾するために、判定境界が任意に変更されえることである。シンプルな形式では、例えば、車両の始動を許可すべき位置点を許可すべきではない位置点から区分けする、将来入力およびいくつかの表面と、ドアのアンロック操作を許可すべき位置点を線で引いた別の面との多次元空間であってもよい。面の形状は、判定境界が時間の経過とともにユーザ入力に基づいて正しいアクションを学習できるように、修正されえる。
【0160】
PEPSシステムによって使用される複数のレベルの証拠があるので、携帯機器10の位置に関する収集された証拠が相反する可能性がある。そのような場合、PEPSシステムは、携帯機器の位置に関する決定を行うために個々の証拠を重み付けすることができる。PEPSシステムは、相反する証拠に所定の方法で応じるように構成することもできる。例えば、PEPSシステムが矛盾する証拠を有する場合、決定無し/アクション無し/アラート状態になりえる。例えば、証拠に基づいて2つ以上の作動状態が可能であるためにPEPSシステムが混乱するとき、PEPSシステムはデフォルトにより安全なことを行い、その時点でなんらのパッシブ機能を許可しないで、ユーザにアラートを発することができる。さらに例を挙げると、携帯機器10が車両の窓線の近くにあると測定され、車両をアンロックするために設計されたセンサが、携帯機器10は車両の外側で、ドアの近くにあるとの証拠を生成しており、車両内部のセンサが、電話は車両の内部にあるとの証拠を生成しているとき、証拠の相反が生じる。証拠の相反があるときには、PEPSシステムは、デフォルトにより安全なことを行うように構成することができ、なんらのパッシブ機能を許可せず、ユーザが認識/承認しなければならないユーザアラートに基づくアクションを可能とするように構成することができる。ユーザは、いずれかのアクションが許可されるように、PEPSシステムと共用されるアプリケーションの設定により、彼らのデバイスについて、これを無効とすることもできる。
【0161】
決定無し/アクション無し/アラート状態に入ることを決定する前に、PEPSシステムは、任意に、起こりうる結果間の証拠を比較検討し、決定無し/アクション無し/アラート状態に選択的に入るか、または最も可能性の高い起こりうる結果を選ぶことができる。例えば、アンロック状態が、イグニッション状態と比較したときに、より大きな可能性の有意なマージンを有する場合、両方とも起こり得るが、PEPSシステムは、決定無し/アクション無し/アラート状態に入らないように決定し、代わりに、車両ドアのアンロック動作を許可することを選択してもよい。
【0162】
PEPSシステムは、携帯機器10の動きに基づいて、一定の車両機能またはアクションを無効にするように構成されてもよい。ユーザの利便性のためにより高い偽陽性率を許容する場合の主要なリスクの1つは、携帯機器10が車両から2メートル以上離れているが、それにも係らず、誰かがドアをアンロックさせることができるリスクである。信頼性の低い決定がなされたことをユーザに警告することによって、車両に侵入する可能性がある攻撃者がいるときに、ユーザに警告するためにアラートが使用され得る。追加的または代替的に、この状況は最初から起こることを防ぐことができる。例えば、ユーザは、彼らのスマートフォンを、彼らが車両から出て遠ざかるときに強い信号が車両によって受信され得る、ズボンの後ろポケット、手の中、または財布の中に入れているかもしれない。攻撃者はユーザの背後にそっと近寄って車両に侵入する可能性がありえる。なぜなら、このシナリオでは、ユーザは車両から遠ざかるように歩いており、スマートフォンは歩いている動きを容易に検出することができる。PEPSシステムは、ユーザのスマートフォンが移動しているかどうかを検出するためのアルゴリズムを組み込むことができる。例えば、電話は、動きが始まっているときと停止されたときにPEPSシステムに報告することができる。車両のロック/アンロック機能は、デバイスが動いていると考えられるとき、または、観測または検出されたスマートフォンの動きが所定の動き閾値よりも大きいとき、そのデバイスについて無効とされえる。これにより、上述のリスクが効果的に低減される。この設定は、スマートフォンのユーザにアプリケーション設定で利用可能とすることができる。ユーザがこの領域で偽陽性を許容するようにシステムを構成した場合、例えば、ユーザは、この設定を有効にするように推奨され得る。
【0163】
本開示は、車両機能の安全な承認を可能にするBLE位置特定システムを含む。BLE位置特定システムは、ノマディックデバイスとも称される携帯機器と、車両とを含む。BLE位置特定システムは、さらに、中央コントローラとも称される通信ゲートウェイから周波数ホッピングスペクトル拡散接続情報を安全に受け取り、測定値を安全に中央コントローラに報告するように構成された複数のBLE受動傍受センサを含む。通信ゲートウェイつまり中央コントローラは、携帯機器つまりノマディックデバイスと安全なBLE通信を行うことができ、携帯機器つまりノマディックデバイスとの通信接続に関する接続情報を受動傍受センサに提供し、傍受センサからデータを収集するように構成される。通信ゲートウェイつまり中央コントローラは、受動的傍受センサが通信ゲートウェイつまり中央コントローラと携帯機器つまりノマディックデバイスとの間の通信を受動的に追跡するために必要となる通信情報を、受動傍受センサの各々と共有することができる。傍受センサの各々は、通信ゲートウェイつまり中央コントローラからの接続情報を受信すると、通信ゲートウェイつまり中央コントローラと携帯機器つまりノマディックデバイスとの間で次にスケジュールされた通信を見出し、通信ゲートウェイつまり中央コントローラと携帯機器つまりノマディックデバイスとの間のその後のすべての通信を観測および測定するために、内部タイミングおよび通信チャネルマップを同期させるように構成される。通信ゲートウェイつまり中央コントローラは、車両位置の緯度、経度、および位置測定の誤差を携帯機器つまりノマディックデバイスに通信するように構成することができる。携帯機器つまりノマディックデバイスは、スマートフォンなどの携帯機器つまりノマディックデバイスで利用可能なサービスに基づく位置を使用して、車両または車両のPEPSシステムまでの距離または範囲を推定し、これを車両によって報告された位置と比較することができる。
【0164】
本開示はまた、携帯機器つまりノマディックデバイスと車両とを備え、車両機能の安全な承認を可能にするBLE位置特定システムを含む。BLE位置特定システムは、携帯機器つまりノマディックデバイスからの通信の信号特性を測定するように構成された複数のセンサと、携帯機器つまりノマディックデバイスからの通信の予想される間隔およびタイミングに関する情報を提供することができる通信ゲートウェイつまり中央コントローラとを含む。BLE位置特定システムはまた、携帯機器つまりノマディックデバイスからであるとされるサンプルの時系列を処理するように構成されたセキュリティフィルタリングモジュールを含む。セキュリティフィルタリングモジュールは、その時系列を既知の通信特性と比較することができる。セキュリティフィルタリングモジュールは、携帯機器つまりノマディックデバイスのみによって生成され得るものよりも、所与の時間フレーム内で、携帯機器つまりノマディックデバイスからサンプリングされた通信データがより多く存在するかどうかを比較することができる。このようにして、セキュリティフィルタリングモジュールは、物理層プロトコルが侵害されたかどうかを判定することができる。セキュリティフィルタリングモジュールは、所与の時間ウィンドウ内で携帯機器つまりノマディックデバイスからサンプリングしたとされるデータの分散が、携帯機器つまりノマディックデバイスから発生するすべてのデータについて予測されるものを超えているかどうかを判定することができる。比較は、異なる位置に複数のデバイスがあるか、またはシステムに一致しすぎる測定値を強いる単一のデバイスがあるかのように、分散が大きすぎるかもしれない、境界のある比較である。セキュリティフィルタリングモジュールは、所与の時間ウィンドウ内で絶対値の設定可能な閾値を超える異常値の数をカウントし、そのカウントを設定可能な基準目盛と比較することができる。セキュリティフィルタリングモジュールは、所与の時間ウィンドウ内でデータセット平均を超える標準偏差の設定可能な閾値を超える異常値の数をカウントし、設定可能な基準目盛と比較することができる。センサは、破損したデータパケットの不完全な受信をセキュリティフィルタモジュールに報告するように構成することができる。センサは、各センサに各受信パケットのタイムスタンプを報告することを許可するシステムからタイミング情報を受信することができる。セキュリティフィルタリングモジュールは、設定可能な閾値に従って、早すぎるか遅すぎる受信パケットを検索することができる。セキュリティフィルタリングモジュールは、いずれかのセンサが設定可能な値による名目値よりも早くデータを構成可能な値で受信したか、または設定可能な値による名目値よりも遅く受信したかどうかを判定するために、複数のセンサによって受信されたパケットのタイミングの類似性を比較することができ、それにより、センサが期待されるのと同じRFエネルギーを測定したかどうかを判断する。セキュリティフィルタリングモジュールは、任意の特定のセンサ(認可センサ)からのセンサ値が、システムに機能への承認されたアクセスを可能にさせるとき、複数のセンサから報告された報告信号強度を比較することができる。残りのセンサからの報告値は、それらが認可センサの測定によるものとされる領域内のデバイスと矛盾しない値を受信していることを検証するために使用されえる。
【0165】
センサは、特定のフォーマットに一致するデータの測定のみを報告するように構成することができる。例えば、所定のバイト数よりも長いデータのBLE属性書き込み要求のみが測定されるように、パケットがフィルタリングされえる。そのような場合、単純なリンク維持に関するパケットは破棄されるか、または暗号化されていないデータに対して測定が行われない可能性がある。センサは、パケットに含まれるデータの暗号ハッシュ、または測定されたパケットの集合をセキュリティフィルタリングモジュールに報告するように構成することができる。
【0166】
通信ゲートウェイは、携帯機器つまりノマディックデバイスと通信ゲートウェイとの間で、生のフォーマットまたは1以上のパケットの暗号ハッシュのいずれかで送信されたデータをセキュリティフィルタリングモジュールと共有するように構成することができる。セキュリティフィルタリングモジュールは、複数のセンサからのデータまたは暗号ハッシュデータを検査し、通信ゲートウェイからの受信したデータの報告データまたは暗号ハッシュと比較するように構成することができ、それにより、セキュリティフィルタリングモジュールは、各センサが同じデータを受信したこと、およびそのデータは通信ゲートウェイによって受信されたデータと調和することを検証することができる。セキュリティフィルタリングモジュールは、きれいにされたデータを決定モジュールに報告するように構成される。いずれかのセキュリティルールが満たされない場合、セキュリティフィルタリングモジュールは、システムが攻撃を受けていると判定されたことを決定モジュールに報告することができる。決定モジュールは、認証されたBLE通信リンクを介して承認された携帯機器またはノマディックデバイスに警告メッセージを任意に送信するように構成される。携帯機器つまりノマディックデバイス上のアプリケーションソフトウェアは、任意に、デバイスの警告メカニズムの1つを介してデバイスのユーザにアラートをもたらすように構成される。
【0167】
本開示は、設定可能な将来の時間に、または設定可能な時間期間にわたって、40個のBLEチャネルのいずれかに、CRCエラーなどのエラーの不在に係らず、BLE物理層パケットを受信するコマンドを受け入れることができる1個以上のセンサを含む。
【0168】
本開示はまた、センサネットワークを含み、各センサは、異なる時間に異なるBLEチャネルを探索し、受信したデータを後の処理のためにセキュリティモジュールに報告するように構成される。
【0169】
本開示はまた、セキュリティモジュールが、承認された携帯機器とされる、通信ゲートウェイに接続された携帯機器から受信しているデータと、センサネットワークによって読み取られて生成されたデータのログとを比較する方法を含む。
【0170】
本開示は、承認された携帯機器のアドレスに等しい、記録されたパケット内のデバイスアドレスを探す比較方法を含む。本開示はまた、記録されたパケット内に含まれるデータを抽出し、受信されているところの、またはPEPSシステムによってすでに受信済みのデータと比較する比較方法を含む。合致がある場合、セキュリティモジュールは、中間者攻撃が発生していると判断することができる。
【0171】
本開示は、携帯機器つまりノマディックデバイスから発せられた受信メッセージの時系列を取り、センサネットワークにおけるセンサが接続の追従を開始するために必要とされる接続間隔、現在のチャネル、接続間隔、スレーブ待ち時間およびチャネルマップを再現する方法を含む。
【0172】
図19を参照すると、別のPEPSシステム200が車両230内に設けられている。上述したPEPSシステム1と同様に、PEPSシステム200は、通信ゲートウェイ229と、集合的に231と称される複数のセンサ231A-231Fとを含む。上述したPEPSシステム1と同様に、図19のPEPSシステム200において、携帯機器210は、上記の安全な通信リンク680を参照して上述したように、ブルートゥース通信リンクなどの安全な通信リンク280を介して車両230の通信ゲートウェイ229と通信することができる。図19のPEPSシステム200は、図19のPEPSシステム200がBLE通信を利用することに加えて、インパルス無線(IR)超広帯域(UWB)通信も利用する点を除いて、上記のPEPSシステム1と同様である。より具体的には、1個以上のセンサ231が、BLE通信に加えてIR UWB通信を使用して通信するように構成されてもよい。加えて、通信ゲートウェイ229も、BLE通信の他に、IR UWB通信を用いて通信するように構成され、備え付けられている。例えば、携帯機器210は、IR UWB通信を利用して通信ゲートウェイ229と通信することができる。いくつかの構成では、車両202は、IR UWBのみを使用して通信するように構成された1個以上のセンサ231と、BLE通信のみを使用して通信するように構成された1個以上のセンサ231を含んでもよい。例えば、車両202は、IR UWBとBLE通信の両方を使用して通信するように構成された1個以上のセンサ231と、IR UWBのみを使用して通信するように構成された1個以上のセンサ231と、および/またはBLE通信のみを使用して通信するように構成された1個以上のセンサを有するように構成されえる。本明細書で説明する図19の例では、車両202は、少なくともIR UWBを使用して通信するように構成された1個以上のセンサ231と、少なくともBLE通信を使用して通信するように構成された1個以上のセンサとを含むものとして言及される。あるいは、車両202は、IR UWBを使用して通信するように構成されたセンサ231のみを含むことができる。このような場合、携帯機器は、BLE通信を使用して通信ゲートウェイ229と通信することができ、IR UWB通信を使用してセンサ231と通信することができる。
【0173】
引き続き図19を参照すると、携帯機器210は、携帯機器210がBLE通信に加えてIR UWB通信を使用して通信するように構成されている点を除いて、上述した携帯機器10と同様である。限定はしないが、携帯機器10は、スマートフォン、スマートウォッチ、ウェアラブル電子デバイス、キーフォブ、タブレットデバイス、または車両230の所有者、運転者、乗員、および/または車両230の整備士などの車両230のユーザに関連付けられた他のデバイスなどの、IR UWB通信およびBLE通信のために構成された任意のデバイスであってもよい。携帯機器210は、上述したように、アンテナ13に接続されたBLEチップセット11を含むことができる。携帯機器210はまた、上述したように、コンピュータ可読記憶モジュールまたはデバイスに格納されたアプリケーションソフトウェア12を含むことができる。携帯機器210はまた、上述したように、任意に、GPSモジュール214または他のデバイス位置特定サービスを含むことができる。
【0174】
引き続き図19を参照すると、携帯機器210は、内部IR UWB通信モジュールを有するように構成されてもよいし、IR UWB通信能力を備えるようになっていてもよい。例えば、携帯機器210は、IR UWB通信用に構成され、アンテナに接続されたIR UWB通信チップセットを含むことができる。あるいは、携帯機器210は、IR UWBタグ250を携帯機器210の外面に取り付けることによって、IR UWB通信用に改造することができる。IR UWBタグ250は、例えば、IR UWB通信用に構成された1個以上のセンサ231および通信ゲートウェイ229と、IR UWB通信を使用して通信することができる。以下でさらに詳細に説明するように、IR UWBタグ250が携帯機器210に取り付けられている構成では、携帯機器210はタグ250と通信して、タグ250が携帯機器210に取り付けられていることを確認する。
【0175】
上述したように、通信ゲートウェイ229と1個以上のセンサ231は、UWB IEEE802.15.4IR UWB標準、より具体的には、IEEE802.15.4a標準に従うIR UWB通信を使用して通信するように構成される。
【0176】
以下でさらに詳細に説明するように、図19に示す構成は、BLE通信を使用する通信に加えて、IR UWBなどの通信技術を使用することによって、携帯機器210のより正確な位置追跡を可能にする。IR UWB通信などの追加の通信技術は、BLE接続イベントの直後の時間フレームなどの所定のキーイベントに応答してトリガされてもよい。そのような場合、PEPSシステム200は、センサの各々が、BLE接続通信イベントと同期されたタイムスロットを割り当てることによって、決定論的な手法において、追跡されたデバイスと双方向測距を実行できるように、IR UWB通信システムを起動することができる。例えば、各BLE接続イベントの後、各BLEセンサに、センサの固有の識別コードに基づいて、双方向測距を実行するためのタイムスロットを割り当てることができる。しかし、多くの場合、測距が必要でない可能性があり、電力消費コストを負うことになるので、すべての接続イベントで、双方向測距をトリガしなくてもよい。従って、PEPSシステム200は、BLE通信を介して送信されるトリガが、ある将来の接続で、つまり、次の接続イベントの直後に、測距が実行されるべきであることを示すために送信されるように構成されてもよい。上述した位置特定モジュール32は、センサによって実行される双方向測距に基づいて携帯機器の位置を決定することができる。
【0177】
オプションで、すべてのIR UWB無線を時間同期させることができ、到着時間差が使用される場合、双方向測距が必要とされない可能性がある。そのような場合、携帯機器210は、追跡中のデバイスであることをブロードキャストすることができ、既知の接続イベントに同期して測距パルスを送信することができる。すべてのBLEセンサは、この同期に従うタイムスロットで測距パルスを待機することができる。このようにして、通信タイミングがネットワーク内の各センサによって学習される、BLEまたは他のローエナジープロトコルによって提供されるプライマリデータチャネルとの同期を用いることによって、IR UWBまたは他の測距技術の使用を制限することにより、大幅な電力消費の節約を達成することができる。
【0178】
各BLEセンサは、通信ゲートウェイ229と通信するように構成され、通信が可能とされる。このようにして、検知されたデータは通信ゲートウェイ229に通信され、必要に応じてネットワーク内の他の通信ノードに配布することができる。センサ231と通信ゲートウェイ229との間の通信接続は、通信ゲートウェイ229とのローカル相互接続ネットワーク(LIN)インターフェースを介してなど、直接的に配線されることができる。通信接続は無線でも可能である。例えば、BLEセンサは、安全なBLE通信を使用して通信ゲートウェイ229と通信することができる。
【0179】
上述のように、携帯機器210は、例えば、アドバータイジングチャネルを使用するか、または接続チャネルを使用するかのいずれかの安全な方法で通信ゲートウェイ229と通信することができるスマートフォンであってもよい。さらに上述したように、携帯機器210は、より正確な測距のための追加の通信技術を提供する、取り付けタグ250などの取り付けデバイスを含むことができる。例えば、タグ250は、より正確な測距のためにIR UWB通信技術を組み込むことができる。タグ250は、通信ゲートウェイ229と独立して通信することができ、BLEまたはIR UWB通信のいずれかを使用してセンサネットワーク、すなわちセンサ群231によって追跡されることができる。タグ250は、タグ250が取り付けられており、携帯機器210に取り付けられたままとなっていることを携帯機器210に取り付けられたままであることを検証するために、携帯機器210とタグ250との間でセキュリティデータが交換されるように、携帯機器210と通信することもできる。そのようなデータは、例えば、送信電力および信号強度を含むことができる。送信電力は、例えば、タグ250が携帯機器210に取り付けられたときにのみタグ250が通信することができるように低く設定することができるが、それによって、タグ250が携帯機器210に取り付けられているとみなされるために、RSSIのある閾値レベルは維持されなければならない。通信されるデータは、通信リンクが維持されている時間の長さも含むことができる。
【0180】
通信されるデータは、加速度計データも含むことができる。例えば、タグ250に内蔵された加速度計は加速度計データを報告することができ、それは、携帯機器210に内蔵された別の加速度計によって生成された加速度計データと比較することができる。例えば、タグ250は携帯機器210に物理的に取り付けられるので、タグ250と携帯機器210とが互いにペアとなったとき、両デバイスの相対的な向きを学習することができる。換言すれば、各デバイスからのx、y、zの加速度計データの単純な変換を使用して、タグ250に対する携帯機器210の向きを移動させることができる。このようにして、もしタグ250が取り外され、携帯機器210にもはや取り付けられていないならば、携帯機器の向きに対して安定した基準を作ることは困難であり、PEPSシステム200は、タグ250がもはや携帯機器210と共同設置されていないと推測されるので、タグ250の位置に基づくすべての位置の決定を回避、または解除することができる。PEPSシステム200は、携帯機器に取り付けられたタグ250の現在の向き(例えば、x、y、z加速度計データ)とともに携帯機器210の現在の向き(例えば、x、y、z加速度計データ)を処理して分析するように構成することができる。PEPSシステム200は、通信ゲートウェイ229または携帯機器210による処理を介して、タグ250の向きから携帯機器210の向きへのマッピング関数を決定することができる。マッピング関数の決定は、タグ250が携帯機器210に取り付けられた時点で学習することができる。変換関数を適用した後、学習された初期位置に対する2つのデバイスの相対的なドリフトまたは動きを監視または追跡することができる。許容誤差要件は、例えば、ハードウェアの許容誤差に基づいてどの程度の大きさのドリフトが許容されるかを決定しても良い。設定された許容誤差を超える2つのデバイスの向きに関する不一致を使用して、携帯機器の位置に関する決定を無効とすることができる。タグ250は、時間の経過とともに携帯機器210に対してゆっくりとスライドし、位置をシフトする可能性があるので、タグ250および携帯機器210が許容範囲内にある各決定ポイントで示された向きに基づいてマッピング関数を調整することができる。平均化/フィルタリング関数が、エレクトロニクスの精度または互いに対するデバイスの物理的な向きにおける小さくて遅いドリフトを補正できるように、所定数の直近の相対的な向きに適用することができる。たとえば、平均化フィルタでは、必要な許容誤差に一致する最新の相対座標を使用することができる。
【0181】
上述したように、1つの構成では、車両230は、IR UWB測距通信を使用して通信するセンサ231のみを含むことができる。この場合、携帯機器210は、BLE通信を利用して通信ゲートウェイ229と通信することができ、IR UWB測距通信を使用してセンサ231と通信することができる。この構成では、PEPSシステム200は、安全なBLE通信接続を使用して携帯機器210と通信することができ、オプションとして、IR UWB通信を使用して携帯機器210と通信するためのIR UWB通信モジュールを含むことができる通信ゲートウェイ299を含む。この構成では、PEPSシステム200はまた、CANバスまたはLINバスなどの専用バスを介して、または通信ゲートウェイ229がIR UWB通信モジュールを含むならば、IR UWB通信を介して通信ゲートウェイ229と通信することができるIR UWBセンサ231を含む。追加的または代替的に、IR UWBセンサは、IR UWB通信を使用して携帯機器210に情報を通信することができ、携帯機器210は、BLE通信を使用してセンサ231からの情報を通信ゲートウェイ229に中継することができる。このような構成では、携帯機器210は、BLE通信とUWB通信の両方と通信するように構成される。例えば、携帯機器210は、BLE通信を使用して通信するように構成されたスマートフォンであってもよい。追加的または代替的に、携帯機器210は、BLE通信を使用して通信するように構成することができ、上述したように、携帯機器210に取り付けられていることを検証するための検証方法を含むIR UWBタグ250を用いて、IR UWB通信を実行する取り付けタグ250を含むことができる。
【0182】
図20を参照すると、BLE通信ならびにIR UWB測距通信を使用して通信するセンサ231を含む車両230を有する、PEPSシステム201の別の構成が示されている。例えば、図20に示すPEPSシステム201の構成において、センサ231Aは、IR UWB通信とBLE通信との両方が可能なセンサであり、一方、センサ231Cは、IR UWB通信のみ可能である。図20に示すように、携帯機器210は、BLE通信とIR UWB通信の両方が可能である。例えば、図20に示す携帯機器210は、IR UWB通信用の、取り付けられたIR UWBタグ250を含む。あるいは、携帯機器210は、IR UWB通信用に構成されたアンテナに接続されたIR UWB通信チップセットを含むことができる。そのような場合、携帯機器210は、取り付けIR UWBタグ250を必要とすることなく、IR UWBを使用して通信することができる。図20に示すように、携帯機器210は、BLE通信を使用して安全な通信リンク280を介して通信ゲートウェイ229と通信する。携帯機器210は、通信リンク281を介してIR UWB通信を使用してセンサ231Cと通信する。携帯機器210は、通信リンク282を介してBLE通信を使用し、また、通信リンク283を介してIR UWB通信を使用して、センサ231Aと通信する。図20を参照すると、BLE通信を使用して通信できるが、IR UWBを使用して通信できない携帯機器211と通信する、PEPSシステム201が示されている。携帯機器210は、BLE通信を使用して安全な通信リンク280を介して通信ゲートウェイ229と通信する。携帯機器210はまた、通信リンク282を介してBLE通信を使用してセンサ231Aと通信する。
【0183】
最初、BLEが、車両に近接した携帯機器211の位置を特定するための唯一の適切な技術であったかもしれない。リアルタイム位置特定システム(RTLS)がより普及するようになるにつれて、スマートフォン、タブレットデバイス、ウェアラブルデバイスの製造業者などの製造業者は、IR UWBなどの正確な飛行時間(TOF)ベースの双方向測距システムを採用し利用する可能性が高くなる。従って、既存のスマートフォン、タブレットデバイス、および/またはウェアラブルデバイスなどの既存の携帯機器との互換性を維持するために、図20および図21を参照して示され説明されたハイブリッド構成を使用することができ、これにより、ユーザは、正確な位置の追跡のために携帯機器にIR
UWBタグをインストールすることを望まず、低コストのBLEのみのソリューションを使用することによって課せられる制限およびセキュリティリスクを許容することができる。ハイブリッド構成は、システムのBLE通信部分が、例えば車両230の近傍に戻ったときにウェアラブルデバイスを大まかに位置特定することができるので、上述したウェアラブル移譲モードを含むこともできる。このように、ハイブリッド構成システムは、ユーザにとって低コストのシステムを提供し、IR UWB通信に対応していないBLEデバイスとの互換性も提供する。
UWBタグをインストールすることを望まず、低コストのBLEのみのソリューションを使用することによって課せられる制限およびセキュリティリスクを許容することができる。ハイブリッド構成は、システムのBLE通信部分が、例えば車両230の近傍に戻ったときにウェアラブルデバイスを大まかに位置特定することができるので、上述したウェアラブル移譲モードを含むこともできる。このように、ハイブリッド構成システムは、ユーザにとって低コストのシステムを提供し、IR UWB通信に対応していないBLEデバイスとの互換性も提供する。
【0184】
上述したように、ハイブリッド構成システムは、BLE通信を使用して携帯機器210、211と通信するように構成された通信ゲートウェイ229を含むことができる。システムはまた、1個以上の、IR UWBとBLEの組み合わせセンサ231、つまり、IR UWB通信とBLE通信の両方を使用して通信することができる231Aのようなセンサを含むことができる。組み合わせセンサは、アドバータイジングおよび次に続く接続チャネルのBLE信号特性を測定することができ、双方向測距および/または到着時間差を使用してIR UWB測距も可能である。システムは、BLE通信のみを使用して通信する1個以上のセンサを含むこともできる。例えば、BLEのみのセンサは、「既知の位置」始動システムに配置するために使用することができ、それにより、携帯機器は、アクションを可能にするためにセンサのすぐ近くに置かれなければならない、つまり、携帯機器は、車両が始動することを可能とするため、例えばセンターコンソール上に置かれなければならない。このようなBLEのみのセンサでは、典型的には近接特性が、ロバストに強いRSSIを可能にするシステムにおいて支配的である。システムはまた、センサ231CのようなIR UWBのみのセンサをゼロ個以上含む。これらのセンサは、上述したようにUWB測距が可能であり、幾何学的測距特性が追跡されるデバイスの位置決定にとって重大な意味を持つ領域に配置されるが、ごくわずかなBLE信号情報が重要となる。上述のように、ハイブリッド構成PEPSシステム201は、BLE通信を使用して通信するがIR UWBを使用して通信しない携帯機器211との通信に互換性がある。これらのタイプの携帯機器211は、正確さの制限を前提として、次に続く接続および/またはアドバータイジングデータを介して追跡され、大まかに位置特定されえる。ハイブリッド構成PEPSシステム201は、BLE通信とIR UWB通信の両方を使用して通信することができる携帯機器210との通信にも互換性がある。これらのタイプの携帯機器210は、UWB測距を介して追跡することができ、BLE通信は、電力消費を低減すべく必要な時間のみIR UWB通信を可能にするため、制御チャネルとして使用される。上述した位置特定モジュール32は、センサ231によって実行される双方向測距に基づいて携帯機器の位置を決定することができる。
【0185】
携帯機器210、211を追跡することに加えて、PEPSシステム201は、携帯機器210、211に関連付けられたウェアラブルデバイスを追跡することもできる。ウェアラブルデバイスは、上記の委譲機能を含むことができ、関連付けられたウェアラブルデバイスが存在し、認証されているかどうかを示すために携帯機器からのステータスメッセージを使用することができる。
【0186】
この種のPEPSシステム201の考慮すべき点の1つは、IR UWB通信システムをいつ有効にするかである。一例として、IR UWB通信システムは、BLE接続イベントに続くように同期させることができる。例えば、システムは、携帯機器210からすべての車両センサ231までの距離を計算するように構成されてもよい。図22を参照すると、2つの異なる方法を使用するシステムの動作を示すシーケンス図が示されている。図22に示すように、イベントタイミング情報が、通信ゲートウェイ29から2201でIR UWBセンサ1 231に、2202でIR UWBセンサN 231に送信される。2204において、携帯機器210と通信ゲートウェイとの間で接続イベント2204が発生する。接続イベントの後、次の接続イベントまでの時間が、N個のタイムスロットに分割されることができる。各IR UWBセンサ231は、タイムスロットを割り当てられることができる。センサ231は、各センサ231間で、双方向測距を使用して携帯機器210からの通信の待機に費やす時間の両を最小限に抑えるため、通信ゲートウェイ29と通信することにより、次の接続イベントまでの時間および自身のタイムスロットへのオフセットを計算することができる。
【0187】
図22のシーケンス図では、接続イベントに続いてセンサ231の各々にタイムスロットを割り当てることによって、双方向測距を作動させることができる。図22に示すように、第1の接続イベント2204に続いて、IR UWBセンサ1 231を用いた双方向測距が、測距スロット1において2206および2208で行われる。さらに、IR UWBセンサNを用いた双方向測距が、測距スロットNにおいて2210および2212で行われる。さらに、第2の接続イベントが2214に示されている。第2の接続イベント2214に続いて、IR UWBセンサ1 231を用いた双方向測距が、測距スロット1において2216および2218で再び行われる。実際には、エネルギーの点でコストがかかりすぎるので、すべての接続イベントに続いて双方向測距が行われないことがある。従って、いくつかの接続イベントの間に、データパケットは、通信ゲートウェイ29から携帯機器210へ、またはその逆へと転送される。データパケットは、将来の接続イベントの間に測距システムがアクティブになることを示すことができる。
【0188】
最も単純な形式では、図22のシーケンス図に示すように、すべての接続イベントの直後に測距を開始することができる。追加的または代替的に、携帯機器210と通信ゲートウェイ29との間のデータパケットは、トリガを含むことができる。例えば、トリガ情報は、0は接続イベント直後である、0からNの範囲において、いまからN個の接続イベントでの測距を作動させるための命令を提供することができる。追加的または代替的に、トリガ情報は、接続イベントがある特定のBLEチャネルに達したとき、例えば、システムがチャネル5で通信するたびに、または例えばチャネル5、15、25、および32であるときに、測距を作動させるための命令を提供することができる。追加的または代替的に、トリガ情報は、いまからY個の接続イベントの後に開始するN番目の接続イベントごとに、測距を作動させるための命令を提供することができる。例えば、3個の接続インベント(Y)のうちに開始し、20番目の接続イベント(N)ごとに測距システムが作動される。特定のスマートフォンなどの一部のデバイスでは、接続イベントに関する、またはどのチャネルが現在のチャネルであるかに関する正確な情報を持っていないことがある。そのため、通信ノードは、初期設定を発見するモードを実装していなければならない。例えば、通信がBLEチャネル5で行われるときにシステムを作動させるべき場合、センサ231は、次に続く通信リンクのアクセス識別子に一致するパケットが観測されるまで、チャネル5が継続的に走査されるモードに入ることができる。そして、BLE通信リンクに追従するためのスケジュールテーブルが確立することができる。別の例として、システムは、毎回、N番目の接続イベントが使用されるときに、受信機は、IR UWB測距要求の送信機の現在のカウンタの値を知らないように構成することができる。従って、受信機は、正しいデバイス(プリアンブルなど)からのIR UWB双方向測距要求を走査することができる。IR UWB要求が受信されると、受信機は、次の走査時間を、接続間隔をN倍した値に設定することができる。このようにして、同期を達成することができる。
【0189】
図22のシーケンス図に記載されている測距システムは、双方向測距を使用する。しかし、IR UWBネットワーク内のノードは、共通のタイムベースを確立できるように、互いにクロックを維持することができる、利用可能な他のモードもある。クロック同期プロセスは、しかし、より高いエネルギー消費をもたらす可能性があり、従って、ノード間のBLEコマンドに基づいて開始される。
【0190】
IR UWB通信システムは、「プリアンブルインジェクション」攻撃や「蝉攻撃」などの攻撃によって物理層に攻撃される可能性がある。攻撃者が成功する可能性を減らす方法は、可能な限り短いシンボル(より高いビットレート)を使用し、予測できないプリアンブルを使用することである。しかし、シンボルの長さを短縮することにより、有効な通信範囲が減少する。長距離を歓迎するような一部の機能は、長距離での精度が低く、セキュリティ上の懸念が最小限であるのに対し、ドアアンロックなどの他の機能は短距離で高いセキュリティが必要であるため、システムには適応的な設定が必要である。システムは、より長い通信範囲を提供するが、堅牢性の低いIR UWB測距を提供する長いシンボルレートから、より短い通信範囲を提供するが、より堅牢性の高いIR UWB測距を提供する短いシンボルレートまで、シンボルレートを変更することができる。どのシンボルレートが使用され、いつ制御されるかの折衝が、BLE通信メッセージにより、通信ゲートウェイ29を通じ、携帯機器210と車両システムとの間の通信を介して行うことができる。
【0191】
また、IR UWB通信システムの物理層攻撃は、プリアンブルを変更することによって部分的に軽減することができる。例えば、IEEE802.15.4-2011a仕様では、使用すべきプリアンブルを指定する。しかしながら、特定のプリアンブルを1回だけ使用することを選択して、プリアンブルを変更することが有利であるかもしれない。従って、システムは、一時的なプリアンブルが、携帯機器210または車両システムのいずれかによって、部分的にまたは全体的に選択される方法を実装することができる。部分的なプリアンブルの一例は、プリアンブルサイズよりも小さいいくつかのビット数を選択することを含む。このデータは、プリアンブルのサブセットであってもよいし、決定論的生成アルゴリズムの種子として、より大きなプリアンブルを決定するためにすべてのノードによって使用されるものであってもよい。その後、一時的なプリアンブルは、使用の直前にBLE通信ネットワークを使用してシステム全体に展開される。図22に示すシーケンス図は、IR UWB測距が接続イベントと同期できることを説明している。IR UWB測距通信の前の接続イベントの間、BLEデータパケットは、測距コマンドの間に使用されるプリアンブルとともに転送することができる。
【0192】
IR UWB測距システムを作動させるための多数のトリガを使用することができる。これらのトリガはまた、長距離から短距離に、またはその逆に変更するため、IR UWBのビットレート/シンボルレートを変更することをシステムにトリガする。トリガは、IR UWBシステムがウェルカム/アプローチ機能を作動させるのに十分に車両システムに近接していることを判定するために、BLE制御チャネルのRSSIを使用することを含むことができる。さらに、IR UWB通信は、電力消費を低減するためにウェルカム機能の作動直後に無効にすることができる。トリガはまた、例えば、携帯機器210がアンロック機能のため運転席ドアの近傍にあるか、リフトゲートの近傍であるか、または乗員ドアの近傍であるか、もしくは、携帯機器210が車両の内部にあると信じられており、スタートボタンがすぐに押される可能性があるなど、携帯機器210が重要な作動ゾーンの比較的近くにすることを判定するために、BLEセンサネットワークの大まかな位置特定能力を使用することを含むことができる。トリガはまた、重量センサおよび/または乗員の視覚的な認識を組み込んだ車両乗員検出システムを使用することを含むことができる。電力消費を低減するために、IR UWBシステムは、誰かが運転席に座っていることがわかるまで、またはイグニッションオンシステムを作動させるブレーキペダルが踏み込まれるまで、「イグニッションオン」シナリオを無効にすることができる。トリガはまた、車両230に対する携帯機器210の大まかな距離および接近側を計算するために、すなわち、車両230の緯度/経度を携帯機器210の緯度/経度と比較して、車両230から携帯機器210へのベクトルを計算するために、緯度/経度、すなわちGPSデータの使用を含むことができる。携帯機器210が、機能が必要となるゾーン内にある可能性が高いことが計算されると、測距システムを有効にすることができる。トリガはまた、携帯機器210に利用可能な加速度計/動きデータの使用を含むことができる。「接近の速度」値を計算するために、スマートデバイスなどの携帯機器は、現在の方向および移動の動きに加えて現在の位置をアプリケーションに提供することができる。次いで、このデータから車両に対する接近の速度を導出することができる。このようにして、測距および認証システムは、携帯機器210が間もなく決定ゾーンに達するであろうとき、選択的に、早期に作動または起動することができる。例えば、ユーザが車両に向かって走っていると、ひょっとして雨が降っているため、あるいは強盗に追われているため、急いでいる可能性がある。測距システムは、人が、ドアをアンロックするなどの安全な決定ゾーンに到着する正確な時間を予測するために作動したままにすることができる。そのような場合、到着前にすべての認証を完了することができ、ユーザが安全な決定ゾーンに到着したとき、車両に対する携帯機器の位置のみが保留中となっている。これにより、ユーザの非常に迅速な接近に基づいて、ドアがアンロックされたり、リフトゲートが自動的に開かれたりするなどの機能を実行することが可能となる。トリガはまた、例えば、携帯機器210が動き検出機能を有していない場合、ユーザが動きデータが無いことを選択した場合、または、いずれの場合にもこの方法を使用することが単にエネルギー効率が良い場合、携帯機器210での動き検出を使用せずに、システムをオンのままとし、上記のユースケースを可能にすべきであること判定すべく、「接近の速度」を計算するために、測距システムを長距離のウェルカム機能の近くまで、より長く有効にすることを含むことができる。トリガはまた、第1の追跡される装置による第2の追跡される装置の起動を含むことができる。例えば、タグがゴルフバッグなどの物品に置かれ、そのゴルフバッグと所有者の電話とが両方ともリフトゲートアンロックゾーンに位置するユースケースにおいて、ユーザは、リフトゲートが自動的に開かれるようにプログラムするかもしれない。第1の携帯機器210、例えば電話は、BLEを介して低電力で非常に効率的に、第2の追跡される装置、例えばタグと通信することができる。第1の携帯機器210が、決定ゾーンの近傍、例えばリフトゲートの近傍で検出されたとき、第1の携帯機器210は、車両システムが正確にタグの位置を特定できるように、第2のタグのIR UWBシステムを作動させるために、BLE通信メッセージを第2の追跡される装置、例えばゴルフバッグタグ、および/または、車両システムに送信することができる。
【0193】
図23を参照すると、別のPEPSシステム300が車両202内に設けられている。上述したPEPSシステム1、200と同様に、PEPSシステム300は、スマートフォン、スマートウォッチ、ウェアラブル電子デバイス、キーフォブ、タブレットデバイス、または、所有者などの車両のユーザに関連付けられた他のデバイスのような、携帯機器311と通信するように構成された通信ゲートウェイ329を含む。PEPSシステム300は、従来のLF PEPSシステムで現在使用されているような従来のPEPSキーフォブと通信することができる低周波数(LF)アンテナ331を含む。例えば、PEPSシステム300は、車両330の内部に配置された1つ以上のLFアンテナ331と、車両330の外部に配置された1つ以上のLFアンテナ331とを含むことができる。LFアンテナ331は、例えば80kHzと200kHzとの間の周波数範囲内で通信するように構成される。1つ以上の別個のLFドライバがLFアンテナ331を駆動するために使用されえる。図23に示す構成では、LFドライバは通信ゲートウェイ329に含まれている。あるいは、通信ゲートウェイ329と通信する、別個のLFドライバまたは送信機モジュールが、LFアンテナ331を駆動するために使用されえる。
【0194】
図23のPEPSシステム300に示される携帯機器311は、無線充電機能、すなわち無線電力転送機能を含む。無線充電機能は、例えば、誘導充電および/または共振充電を含むことができる。例えば、携帯機器311は、携帯機器311の無線充電用のQi充電装置を含むことができる。LFアンテナ331およびLFアンテナ331に関連付けられたLFドライバは、4メートルなどの所定の距離までQi無線充電器ピング要求を送信するように構成されている。このように、Qi充電装置を備えた携帯機器311は、例えば、携帯機器311のQi受信機の受信利得に基づいて、約4メートルでLFアンテナからの無線充電器ピング要求を観測することができる。LFアンテナ331への/から携帯機器311への、Qi無線充電器ピング要求などの通信が、381に示されている。通信381は単一のLFアンテナ331で示されているが、携帯機器311とLFアンテナ331の各々との間で通信が行われていることが理解される。
【0195】
LFアンテナ331に供せられる電力の量は、4メートル未満の範囲が対象とされる場合、より小さい通信範囲を達成すべく、LFドライバが送信利得を低下させるように変更されえる。さらに、異なるタイプの携帯機器は、異なるQi受信機利得設定を有するかもしれない。しかし、利得感度は、携帯機器のタイプに基づいて既知であり、異なる受信機利得は、携帯機器のタイプに基づいて設定される較正によって、車両によって学習され得る。そして、較正の結果は、携帯機器311が最初に車両PEPSシステム300とペアになったときに、車両PEPSシステムに送信することができる。あるいは、受信機利得は、携帯機器がLFアンテナ331の近くの既知の場所に置かれるプロセスによって学習することができる。LFアンテナ331は、様々な電力レベルでいくつかのパケットを携帯機器311に送信することができ、携帯機器311は、受信された各通信パケットに応答することができる。すると、LFドライバまたは送信機は、それ以下では電話が信号を検出できない送信電力閾値を測定することができる。例えば、トレーニングシナリオに基づき理解される伝播伝搬、すなわち、伝搬による信号損失が正確に理解されるように選択された既知の位置を使用して、受信機利得を計算することができる。さらに、送信電力から受信エネルギーを差し引いた量は、経路損失を示す。経路損失が分かり、受信エネルギーがゼロに等しい場合、経路損失は受信機利得と正確に一致する。
【0196】
LFドライバまたは送信機は、「チャレンジ」コードを含むように、パケットペイロードを変更することができる。チャレンジコードは、既存のPEPSチャレンジコードと同じにすることができる。チャレンジコードは、携帯機器311のQi受信機によって検出されなければならない。LFドライバまたは送信機はまた、通常125kHzで、従来のキーフォブと通信することができる。通信ゲートウェイ329または専用モジュールなどの、LFアンテナを制御するモジュールは、従来のPEPSシステムで現在使用されているQi仕様パケットとLFチャレンジの両方で駆動すべく、LFアンテナ331のモードを変更するように構成することができる。従来のキーフォブは、Qi仕様を実装するように変更することもできる。従って、LFアンテナ331は、両方に適応するために通信プロトコルを変更する必要はない。
【0197】
携帯機器311は、例えば安全なBLE通信リンク380のような、車両330の通信ゲートウェイ329への安全な暗号化された通信リンク380を利用する。追加的または代替的に、通信リンク380は、IR UWB通信リンク、または他の標準化されたまたは専有のプロトコルであってもよい。携帯機器311は、携帯機器311上で動作するアプリケーションソフトウェアと通信することができるQi充電装置を含む。携帯機器311が車両のLFアンテナ331からQi充電ピングを受信したとき、パケット情報は、携帯機器311上で実行されているアプリケーションソフトウェアと共有される。アプリケーションソフトウェアは、パケット内のデータに基づいて、携帯機器311が車両システムとペアになったときに、車両システムと携帯機器311との間で交換されたキーまたはキーのセットを使用して暗号応答を作成する。その後、応答は、携帯機器311によって安全なBLE通信リンク380を介して通信ゲートウェイモジュールに送信される。安全なBLE通信リンク380を介して送信されるデータは暗号化される。オプションとして、データは、すなわち、AES-CCMのようなカウンタに基づく暗号化を使用することによって、リプレイセーフであるように構成することができる。オプションとして、データは、すなわち、AES-CCMを使用することによって、またはRSAまたはECCを介しての署名を使用することによって、署名することができる。IR UWBまたは他の双方向通信プロトコルが安全な通信リンクとして使用される場合、そのリンクは、応答の到着時間または到着時間差を測定することによって中継局攻撃を防止するために使用されてもよい。
【0198】
PEPSシステム300は、上述したように、例えばBLE通信を使用するなどして、携帯機器311と安全に通信することができる1つ以上の通信ゲートウェイ329を含む。通信ゲートウェイ329は、携帯機器311との安全な通信リンク380を生成し、携帯機器311の素性および真正性を検証することができる。例えば、通信ゲートウェイ329および携帯機器311は、携帯機器311が車両システムとペアになったときに交換されたキーを確実に有して、それらの装置間で交換される暗号化されたデータを理解するように構成される。このようにして、通信ゲートウェイ329と携帯機器311は、互いにデータを自由にやりとりすることができる。例えば、携帯機器は、LF Qi ピングからの応答コードを通信ゲートウェイ329に送信することができ、その結果、通信ゲートウェイ329は、動作を確認することができる。通信ゲートウェイ329は、LFアンテナにLF Qi ピング要求を携帯機器に送信することを要求するように、LFアンテナの各々と通信して作動させることができる。通信ゲートウェイ329は、各ピングで送信されたデータを制御または学習することができ、各ピングが一意であるように各ピングのデータを制御することができる。LFピングは定期的に送信されえる。LFピングはまた、ドアボタンが作動されている、または始動押しボタンが作動されているなどの車両の動作の際に送信することもできる。LFピングはまた、例えば、通信ゲートウェイと携帯機器との間のRSSIに基づいて、を含む、通信ゲートウェイ329と携帯機器311との間の信号特性に基づいて送信することもできる。携帯機器311が車両のLFアンテナ331のうちの1つの通信範囲内にある可能性が高いときはいつでも、LFピングを有効にすることができるように、信号特性は、携帯機器311から通信ゲートウェイ329までの距離を推定するのに使用することができる。LFピングはまた、車両におけるいくつかの他のセンサからのデータがLFアンテナの通信範囲内にある可能性が高いと電話を位置特定することができるBLE PEPSシステムに関して上述したような、大まかな位置特定システムに基づいて送信することができる。LFピングはまた、携帯機器311がLFアンテナのうちの1つの通信範囲内にある可能性が高い、それらの距離が十分に近いときのように、携帯機器311と車両330との間のGPS比較に基づいて、送信することができる。
【0199】
通信ゲートウェイ329は、携帯機器311からチャレンジ応答を受信し、それを復号し、オプションとして、再生および署名をチェックして、応答の真正性を検証することができる。応答コードは、チャレンジコードと、ペアリング中に携帯機器311と共有された1つまたは複数のキーと比較することができる。チャレンジ/応答コードアルゴリズムを使用して、応答コードが正しいか正しくないかを判定することができる。正しい応答コードが通信ゲートウェイ329によって受信された場合、通信ゲートウェイ329は、車両330内の車両アクセスサブシステムおよび車両始動サブシステムと通信して、例えば“Thatcham”要件によって確立された位置の、十分に確立された規則に基づいて、ドアをロック/アンロックさせる、または、車両の点火状態を変化させることができる。通行人または他の権限のない人が無線充電機能にアクセスするのを防止するために、車両の内側および/または外側からアクセス可能な充電ステーション、すなわちLFアンテナでの無線充電機能を制限するために、認証を使用することもできる。
【0200】
図24を参照すると、LF通信およびQiピングチャレンジを使用するPEPSシステム300の一部のブロック図が示されている。通信ゲートウェイ329は、360で、チャレンジコードをLFアンテナに通信する。LFアンテナ331は、362でLF通信を使用して、携帯機器311にQiピングチャレンジを発行する。携帯機器311は、Qiピングチャレンジに応答して、364で、BLE通信を使用して、暗号化されたチャレンジ応答を通信ゲートウェイ329に通信することによって応答する。
【0201】
図25を参照すると、シーケンス図が、通信ゲートウェイ329と、LFアンテナ331、携帯機器311との間の通信を示している。シーケンス図は、携帯機器311がチャレンジコードに対するセキュアチャレンジ応答を計算するために必要な暗号情報が、携帯機器を車両システムとペアリングするときに、通信ゲートウェイ329と携帯機器3111との間で分配されたと仮定する。
【0202】
通信ゲートウェイ329は、先に詳細に説明したように、最初にQiピングまたはチャレンジが送信されるべきであると決定する。382で、QiチャレンジがLFアンテナに送信される。LFアンテナは、Qiを使用して通信するようにLFシステムによって構成される。384において、LFアンテナはチャレンジを含むデータとともに、適切な電力レベルでQiピングを送信する。すると、携帯機器311はチャレンジを受信し、チャレンジ応答を計算し、RSSIおよびタイムスタンプデータを測定することができる。386において、携帯機器311は、BLE通信を介して応答を通信ゲートウェイに送信する。次に、通信ゲートウェイは、応答した携帯機器について、応答が正しいかどうかを判定する。応答が正しい場合、通信ゲートウェイは、適用可能な判断基準を用いて車両をアンロックする、あるいは、または車両の内部および/または外部の充電ステーションで無線充電機能を作動させるなど、作動を可能とすることができる。
【0203】
上述した実施形態の説明は、例示および説明の目的のために提供されている。それは、網羅的であることも、開示を限定することも意図するものではない。特定の実施形態の個々の要素や特徴は、一般に、その特定の実施形態に限定されることなく、具体的に図示または説明されなくとも、適用可能である場合、交換可能であり、選択された実施形態で使用することが可能である。同上のものはまた、多くのやり方で変更されてもよい。そのような変更は、本開示からの逸脱として見なすべきではなく、全てのこのような修正は、本開示の範囲内に含まれることが意図される。
【0204】
例示の実施形態は、本開示が完全なものとされ、また、その範囲を当業者に十分に伝えるように提供されている。具体的構成部品、装置、および方法の例などの、多数の具体的な詳細は、本開示の実施形態の完全な理解を提供するために説明される。具体的な詳細が使用される必要はなく、例示の実施形態は多くの異なる形で具現化されてもよく、いずれも本開示の範囲を限定すると解釈されるべきではないことが、当業者には明らかであろう。いくつかの例示の実施形態において、公知のプロセス、公知の装置構造、および公知の技術は、詳細には説明されない。
【0205】
以下の定義を含む本出願において、「モジュール」および「システム」との用語は、コードを実行するプロセッサハードウェア(共有、専用、またはグループ)と、プロセッサハードウェアによって実行されるコードを格納するメモリハードウェア(共有、専用、またはグループ)を含み得る回路または回路構成の一部として、もしくは含むものとして言及されうる。コードは、本明細書に記載のモジュールおよびシステムの機能を提供するように構成される。さらに、本出願において、「モジュール」および「システム」との用語は、「回路」との用語に置き換えられてもよい。「メモリハードウェア」との用語は、コンピュータ可読媒体という用語のサブセットであってもよい。コンピュータ可読媒体との用語は、媒体を通って伝播する一時的な電気的および電磁的信号を包含せず、従って、実体的かつ非一時的と考えられ得る。非一時的、実体的なコンピュータ可読媒体の非限定的な例は、不揮発性メモリ、揮発性メモリ、磁気記憶装置、および光記憶装置を含む。
【0206】
この出願に記載された装置および方法は、コンピュータプログラムに組み込まれた1以上の特定の機能を実行するように汎用コンピュータを構成することによって作成された専用コンピュータによって部分的または完全に実装されてもよい。上述の機能ブロック、フローチャートコンポーネント、および他の要素は、ソフトウェア仕様として役立ち、熟練技術者またはプログラマのルーチン作業によってコンピュータプログラムに翻訳することができる。
【0207】
コンピュータプログラムは、少なくとも1つの非一時的、実体的なコンピュータ可読媒体に格納されたプロセッサ実行可能命令を含む。コンピュータプログラムはまた、格納されたデータを含むかまたはそれに依存する。コンピュータプログラムは、専用コンピュータのハードウェアと相互作用する基本入出力システム(BIOS)、専用コンピュータの特定のデバイスと相互作用するデバイスドライバ、1つ以上のオペレーティングシステム、ユーザアプリケーション、バックグラウンドサービス、バックグラウンドアプリケーションなどを包含する。
【0208】
コンピュータプログラムは、(i)JavaScript Object Notation(JSON)、ハイパーテキストマークアップ言語(HTML)または拡張マークアップ言語(XML)、などの解析される記述テキスト、(ii)アセンブリコード、(iii)コンパイラによってソースコードから生成されたオブジェクトコード、(iv)インタプリタによる実行のためのソースコード、(v)ジャストインタイムコンパイラによるコンパイルおよび実行のためのソースコードなどを含む。単なる例として、ソースコードは、C、C ++、C#、Objective C、Haskell、Go、SQL、R、Lisp、Java(登録商標)、Fortran、Perl、Pascal、Curl、OCaml、Javascript(登録商標)、HTML5、 Ada、ASP(active server pages)、PHP、Scala、Eiffel、Smalltalk、Erlang、Ruby、Flash(R)、VisualBasic(R)、Lua、およびPython(R)を含む言語の構文を使用して記述することができる。
【0209】
特許請求の範囲に列挙された要素のいずれも、要素が、明示的に“~するための手段”とのフレーズを使用し、または方法クレームの場合に、“~する操作”、または“~するステップ”とのフレーズを使用して記述されていない限り、米国特許法第112条(f)の意味の範囲内のミーンズプラスファンクション要素であることを意図していない。
【0210】
本明細書で使用される用語は、単に特定の例示の実施形態を説明する目的のためのものであって、限定することを意図するものではない。本明細書で使用されるように、単数形「1つの(a)」、「1つの(an)」および「その(the)」は、文脈上明らかに単数形であることが示されない限り、複数形も同様に含むことを意図する場合がある。用語「備える(comprises)」、「備えて(comprising)」、「含んで(including)」および「有して(having)」は、包括的であり、それ故、記載される特徴、整数、工程、動作、要素、および/または構成要素の存在を特定するが、1つ以上の他の特徴、整数、工程、動作、要素、構成要素、および/またはそれらの群の存在あるいは追加を排除しない。本明細書に記載される方法の工程、プロセス、および動作は、実行の順序として具体的に特定されない限り、記載または説明される特定の順序でのそれらの実行を必然的に要求するものとして解釈されるべきではない。追加的または代替的な工程が採用されてもよいことも理解されるべきである。
【0211】
ある要素または層が、別の要素または層「の上に(on)」あるか、別の要素または層「に係合(engaged to)」するか、別の要素または層「に接続(connected to)」するか、もしくは別の要素または層「に結合(coupled to)」するとして言及される場合、それは、他の要素または層の直接上にあるか、係合するか、接続するか、もしくは結合する場合があり、あるいは介在する要素または層が存在する場合がある。対照的に、要素が、別の要素または層「の直接上に(directly on)」あるか、「に直接係合(directly engaged to)」するか、「に直接接続(directly connected to)」するか、もしくは「に直接結合(directly coupled to)」するとして言及される場合、介在する要素または層は存在しない場合がある。要素間の関係を説明するために使用される他の言葉は、同様の方式で解釈されるべきである(例えば、「~間で(between)」に対する「直接~間で(directly between)」、「隣接して(adjacent)」に対する「直接隣接して(directly adjacent)」など)。本明細書で使用されたように、用語「および/または」は、関連して列挙される項目の1つ以上の、任意および全ての組み合わせを含む。
【0212】
第1、第2、第3などの用語が、様々な要素、構成部品、領域、層、および/または区域を説明するために本明細書で使用される場合があるが、これらの要素、構成部品、領域、層、および/または区域は、それらの用語によって限定されるべきではない。これらの用語は、単に、1つの要素、構成部品、領域、層、または区域を、別の領域、層、または区域から区別するためにのみ使用される場合がある。「第1」、「第2」などの用語、および他の数値的用語は、本明細書で使用する場合、文脈上明らかな指定がない限り、配列または順序を示唆するものではない。従って、説明される第1の要素、構成部品、領域、層、または区域は、例示的な実施形態の教示から逸脱することなく、第2の要素、構成部品、領域、層、または区域と呼ばれる可能性がある。
【0213】
「内側(inner)」、「外側(outer)」、「下(beneath)」、「下方(below)」、「底部(lower)」、「上方(above)」、「上部(upper)」などのような、空間的に相対的な用語が、図示されるような、1つの要素または特徴部の、別の要素または特徴部に対する関係性を説明する、説明の容易性のために本明細書で使用される場合がある。空間的に相対的な用語は、図示される向きに加えて、使用時または動作時の装置の、異なる向きを包含することを意図する場合がある。例えば、図中の装置が反転された場合には、他の要素または特徴部の「下方」もしくは「下」として説明される要素は、他の要素または特徴部の「上方」に向けられることになる。それゆえ、例示的用語「下方」は、上方および下方の双方の向きを包含する可能性がある。装置は、他の方式で配向(90度または他の配向で回転)されてもよく、本明細書で使用される空間的に相対的な記述語は、適宜に解釈される。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【手続補正書】
【提出日】2024-10-10
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられるセンサであって、
前記センサは、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信を行うように構成され、および
前記センサは、前記携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行するように構成される、センサ。
前記センサは、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信を行うように構成され、および
前記センサは、前記携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行するように構成される、センサ。
【請求項2】
前記センサは、前記BLE通信を介して、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを測定する、請求項1に記載のセンサ。
【請求項3】
前記IR UWB測距に基づく信号情報は、前記携帯機器とのIR UWB通信における、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを含み、
前記信号情報に基づいて、前記携帯機器の位置が決定される請求項1又は2に記載のセンサ。
前記信号情報に基づいて、前記携帯機器の位置が決定される請求項1又は2に記載のセンサ。
【請求項4】
前記IR UWB測距に基づく信号情報は、到着時間および到着時間差の少なくとも1つを含む請求項3に記載のセンサ。
【請求項5】
前記センサは、前記IR UWB測距に基づき、到着時間および到着時間差の少なくとも1つを測定し、前記到着時間および到着時間差の少なくとも1つに基づいて、前記携帯機器の位置が決定される請求項1又は2に記載のセンサ。
【請求項6】
前記センサは、前記BLE通信により指定されるタイムスロットにてIR UWB通信を行うように構成される請求項1乃至5のいずれか1項に記載のセンサ。
【請求項7】
前記IR UWB測距は、双方向測距である請求項1乃至6のいずれか1項に記載のセンサ。
【請求項8】
前記センサは、複数のセンサである、請求項1乃至7のいずれか1項に記載のセンサ。
【請求項9】
前記車両には、複数の前記センサが設けられ、
複数の前記センサは、前記車両の前方側、後方側、車両左右方向における片側、および前記片側とは反対側のいずれかに設けられる請求項1乃至7のいずれか1項に記載のセンサ。
複数の前記センサは、前記車両の前方側、後方側、車両左右方向における片側、および前記片側とは反対側のいずれかに設けられる請求項1乃至7のいずれか1項に記載のセンサ。
【請求項10】
パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられる複数のセンサであって、
前記複数のセンサの少なくとも1つのセンサは、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信を行うとともに、前記携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行するように構成され、
前記複数のセンサの少なくとも1つのセンサは、前記BLE通信と前記IR UWB通信の内、前記BLE通信だけを行うように構成され、
前記複数のセンサの少なくとも1つのセンサは、前記BLE通信と前記IR UWB通信の内、前記IR UWB通信だけを行うように構成される、センサ。
前記複数のセンサの少なくとも1つのセンサは、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信を行うとともに、前記携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行するように構成され、
前記複数のセンサの少なくとも1つのセンサは、前記BLE通信と前記IR UWB通信の内、前記BLE通信だけを行うように構成され、
前記複数のセンサの少なくとも1つのセンサは、前記BLE通信と前記IR UWB通信の内、前記IR UWB通信だけを行うように構成される、センサ。
【請求項11】
パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられたセンサを用いて、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信を行うこと、及び
前記センサを用いて、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行すること、を特徴とする方法。
前記センサを用いて、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、前記携帯機器のIR UWB測距を実行すること、を特徴とする方法。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0007
【補正方法】変更
【補正の内容】
【0007】
本開示は、パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられるセンサを提供する。センサは、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信を行うように構成される。さらに、センサは、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、携帯機器のIR UWB測距を実行するように構成される。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0008
【補正方法】変更
【補正の内容】
【0008】
他の特徴では、センサは、BLE通信を介して、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを測定する。
他の特徴では、IR UWB測距に基づく信号情報は、携帯機器とのIR UWB通信における、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを含み、その信号情報に基づいて、携帯機器の位置が決定される。
他の特徴では、IR UWB測距に基づく信号情報は、携帯機器とのIR UWB通信における、受信信号強度、到着時間、到着時間差、および到着角度の少なくとも1つを含み、その信号情報に基づいて、携帯機器の位置が決定される。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0009
【補正方法】変更
【補正の内容】
【0009】
他の特徴では、信号情報は到着時間および到着時間差の少なくとも1つを含む。
他の特徴では、センサは、IR UWB測距に基づき、到着時間および到着時間差の少なくとも1つを測定し、到着時間および到着時間差の少なくとも1つに基づいて、携帯機器の位置が決定される。
他の特徴では、センサは、BLE通信により指定されるタイムスロットにてIR UWB通信を行うように構成される。
他の特徴では、センサは、IR UWB測距に基づき、到着時間および到着時間差の少なくとも1つを測定し、到着時間および到着時間差の少なくとも1つに基づいて、携帯機器の位置が決定される。
他の特徴では、センサは、BLE通信により指定されるタイムスロットにてIR UWB通信を行うように構成される。
【手続補正5】
【補正対象書類名】明細書
【補正対象項目名】0010
【補正方法】変更
【補正の内容】
【0010】
他の特徴では、IR UWB測距は、双方向測距である。
他の特徴では、センサは、複数のセンサである。
他の特徴では、センサは、複数のセンサである。
【手続補正6】
【補正対象書類名】明細書
【補正対象項目名】0012
【補正方法】変更
【補正の内容】
【0012】
本開示はまた、パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられる複数のセンサを提供する。複数のセンサの少なくとも1つのセンサは、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信を行うとともに、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、携帯機器のIR UWB測距を実行するように構成される。複数のセンサの少なくとも1つのセンサは、BLE通信とIR UWB通信の内、BLE通信だけを行うように構成される。複数のセンサの少なくとも1つのセンサは、BLE通信とIR UWB通信の内、IR UWB通信だけを行うように構成される。
【手続補正7】
【補正対象書類名】明細書
【補正対象項目名】0013
【補正方法】変更
【補正の内容】
【0013】
本開示はまた、パッシブエントリ/パッシブスタート(PEPS)システムを有する車両に設けられたセンサを用いて、携帯機器とBluetooth(登録商標) Low Energy(以下、BLE)通信を行うこと、及び
センサを用いて、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、携帯機器のIR UWB測距を実行すること、を備える方法を提供する。
センサを用いて、携帯機器とのインパルス無線(IR)超広帯域(UWB)通信を介して、携帯機器のIR UWB測距を実行すること、を備える方法を提供する。
【手続補正8】
【補正対象書類名】明細書
【補正対象項目名】0014
【補正方法】削除
【補正の内容】
【手続補正9】
【補正対象書類名】明細書
【補正対象項目名】0015
【補正方法】削除
【補正の内容】