IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ ダイムラー・アクチェンゲゼルシャフトの特許一覧

<>
  • 特表-通信を保護するための装置 図1
  • 特表-通信を保護するための装置 図2
  • 特表-通信を保護するための装置 図3
  • 特表-通信を保護するための装置 図4
  • 特表-通信を保護するための装置 図5
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-12-26
(54)【発明の名称】通信を保護するための装置
(51)【国際特許分類】
   G06F 21/31 20130101AFI20241219BHJP
   H04W 12/06 20210101ALI20241219BHJP
   H04W 12/63 20210101ALI20241219BHJP
   G01S 5/04 20060101ALI20241219BHJP
【FI】
G06F21/31
H04W12/06
H04W12/63
G01S5/04
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024534452
(86)(22)【出願日】2022-11-30
(85)【翻訳文提出日】2024-06-10
(86)【国際出願番号】 EP2022083937
(87)【国際公開番号】W WO2023117351
(87)【国際公開日】2023-06-29
(31)【優先権主張番号】102021006297.3
(32)【優先日】2021-12-21
(33)【優先権主張国・地域又は機関】DE
(81)【指定国・地域】
(71)【出願人】
【識別番号】598051819
【氏名又は名称】メルセデス・ベンツ グループ アクチェンゲゼルシャフト
【氏名又は名称原語表記】Mercedes-Benz Group AG
【住所又は居所原語表記】Mercedesstrasse 120,70372 Stuttgart,Germany
(74)【代理人】
【識別番号】100090583
【弁理士】
【氏名又は名称】田中 清
(74)【代理人】
【識別番号】100098110
【弁理士】
【氏名又は名称】村山 みどり
(72)【発明者】
【氏名】オスマン・アイディン
(72)【発明者】
【氏名】マイ・ホァン
【テーマコード(参考)】
5J062
5K067
【Fターム(参考)】
5J062AA08
5J062BB04
5J062BB05
5J062CC14
5K067DD17
5K067EE07
5K067HH36
5K067JJ54
5K067KK02
5K067KK03
(57)【要約】
本発明は、通信機器を介して少なくとも2つの加入者(1、2)間の通信を保護するための装置に関し、2つの加入者(1、2)は、それぞれ識別情報(ID)および保護要素(PIN)を有し、それらを好ましくは暗号化された形で通信に用いるものであり、通信機器は、少なくとも一方の加入者(1、2)を認証するために構成され、少なくとも1つの送受信機(3.1、3.2、3.3)と通信を行うことにより、その現在の測地の位置(PP3、PP4)を算出するものであり、それにより現在検出された位置(PP3、PP4)をそれぞれ別の加入者(2、1)によって伝達または保存された位置(P3、P4)と比較し、または当該位置に基づいて現在検出された位置の妥当性をチェックする。本発明は、通信機器が、通信に使用する信号の到来角(α、β、γ)および/または通信に使用する信号の信号強度(SS1、SS2、SS3)を検出および評価することにより、少なくとも一方の加入者(1、2)の現在の位置(PP3、PP4)を検出するように構成されていることを特徴とする。
【特許請求の範囲】
【請求項1】
通信機器によって少なくとも2つの加入者(1、2)間の通信を保護するための装置であって、前記2つの加入者(1、2)は、それぞれ識別情報(ID)および保護要素(PIN)を有し、それらを好ましくは暗号化された形で通信に用いるものであり、前記通信機器は、少なくとも一方の加入者(1、2)を認証するために構成され、少なくとも1つの送受信機(3.1、3.2、3.3)と通信を行うことにより、その現在の測地の位置(PP3、PP4)を算出するものであり、それにより現在検出された前記位置(PP3、PP4)をそれぞれ別の前記加入者(2、1)によって伝達または保存された位置(P3、P4)と比較し、または当該位置(P3、P4)に基づいて現在検出された前記位置の妥当性をチェックする、前記装置において、
前記通信機器は、通信に使用する信号の到来角(α、β、γ)を検出および評価することにより、前記少なくとも一方の加入者(1、2)の現在の前記位置(PP3、PP4)を検出するように構成されていることを特徴とする、前記装置。
【請求項2】
前記通信機器は、アンテナアレイを有していることを特徴とする、請求項1に記載の装置。
【請求項3】
通信機器によって少なくとも2つの加入者(1、2)間の通信を保護するための装置であって、前記2つの加入者(1、2)は、それぞれ識別情報(ID)および保護要素(PIN)を有し、それらを好ましくは暗号化された形で通信に用いるものであり、前記通信機器は、少なくとも一方の加入者(1、2)を認証するために構成され、少なくとも1つの送受信機(3.1、3.2、3.3)と通信を行うことにより、その現在の測地の位置(PP3、PP4)を算出するものであり、それにより現在検出された前記位置(PP3、PP4)をそれぞれ別の前記加入者(2、1)によって伝達または保存された位置(P3、P4)と比較し、または当該位置(P3、P4)に基づいて現在検出された前記位置の妥当性をチェックする、前記装置において、
前記通信機器は、通信に使用する信号の信号強度(SS、SS、SS)を検出および評価することにより、前記少なくとも一方の加入者(1、2)の現在の前記位置(PP3、PP4)を検出するように構成されていることを特徴とする、前記装置。
【請求項4】
前記通信機器は、さらに、規定されたパターンに従って発信信号の前記信号強度(SS、SS、SS)を経時的に動的に変化させ、前記規定されたパターンに関して受信信号をフィルタリングするように構成されていることを特徴とする、請求項3に記載の装置。
【請求項5】
前記通信機器は、前記少なくとも一方の加入者(1、2)の現在の前記位置(PP3、PP4)を検出するために、前記送受信機(3.1、3.2、3.3)と前記少なくとも一方の加入者(1、2)との間の通信に使用する信号の伝搬時間(Δt、Δt、Δt)を検出および評価するように構成されていることを特徴とする、請求項1から4のいずれか一項に記載の装置。
【請求項6】
前記通信機器の一部は、前記加入者(1、2)のそれぞれに配置されていることを特徴とする、請求項1から5のいずれか一項に記載の装置。
【請求項7】
前記通信機器の一部は、前記送受信機(3.1、3.2、3.3)に配置されていることを特徴とする、請求項1から5のいずれか一項に記載の装置。
【請求項8】
前記送受信機の少なくとも1つは、衛星(3.1、3.2、3.3)として構成されていることを特徴とする、請求項1から7のいずれか一項に記載の装置。
【請求項9】
請求項1から8のいずれか一項に記載の装置によって、少なくとも2つの加入者(1、2)間の通信を保護するための方法であって、否定的な比較結果または否定的な妥当性チェック結果が発生した場合、前記通信はキャンセルされる、前記方法。
【請求項10】
少なくとも一方の加入者(1、2)の現在の位置(PP3、PP4)を検出するために、信号の到来角(α、β、γ)の評価、受信信号の信号強度(SS、SS、SS)の評価、および/または前記送受信機(3.1、3.2、3.3)と前記少なくとも一方の加入者(1、2)との間の通信に使用する信号の伝搬時間(Δt、Δt、Δt)が利用されることを特徴とする、請求項9に記載の方法。
【請求項11】
少なくとも一方の加入者(1、2)の現在の位置(PP3、PP4)を検出するために、
信号の前記到来角(α、β、γ)を評価する方式、
受信信号の前記信号強度(SS、SS、SS3)を評価する方式、および/または
前記送受信機(3.1、3.2、3.3)と前記加入者(1、2)の少なくとも一方との間の通信に使用する信号の伝搬時間(Δt、Δt、Δt)による方式
のうちの1つまたは2つが利用され、それまで利用されなかった1つまたは2つの方式が結果を検証するために用いられることを特徴とする、請求項9または10に記載の方法。
【請求項12】
特にソフトウェアアップデートを伝達する際に車両(1)と車両外部のサーバー(2)との間の通信を保護するための、
請求項1から8のいずれか一項に記載の装置および/または請求項9から11のいずれか一項に記載の方法の使用。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、請求項1および3の上位概念に記載の、少なくとも2つの加入者間の通信を保護するための装置、ならびに請求項9に記載の、少なくとも2つの加入者間の通信を保護するための方法に関する。請求項12には、装置および方法の好ましい使用が示されている。
【0002】
2つの加入者間またはそれ以上の加入者間において適切に保護されている通信方法は先行技術から公知である。通常、それぞれの加入者は、例えばユーザー名、ユーザーコードなどの識別情報、および、例えばパスワードで保護されたアカウントなどによる通信のための保護要素を有している。従って、実際の通信の保護は、技術的には暗号化の過程で行われる。パスワードは、そのための[鍵」でもある。
【0003】
そのようなアプローチにおいて常に問題となるのは、加入者のデータ、例えばその識別情報およびパスワードが盗まれるという基本的な危険があることである。従って、犯罪的ハッカーは、それまでの加入者に代わって別の加入者に接触することができ、ハッカーに知られた識別情報とパスワードに基づいて、彼らが本当の加入者であると別の加入者に信じ込ませることができる。このような種類の検証は一般に普及しており、パスワードの代わりに、例えば記憶媒体などのその他の手段も利用することができるので、通常、多くの通信方法に使用される。しかしながら上述の例が示すように、この種の検証は、ユーザーデータが他人に知られたり、盗まれたり、ハッキングされたりした場合にはもはや安全ではない。
【0004】
ここで、先行技術に関しては、非特許文献1を参照することができる。要約すると、これらは、基本的に2つのデータソースから加入者の位置を検証することを説いている。
【0005】
さらに、加入者の位置に関する認証は、本出願人の特許文献1でも説明されている。そこでは衛星による位置測定が使用され、そのために、衛星と加入者との間で通信に使用される信号の伝搬時間が評価される。特許文献2は、この発展形態において、可視である衛星の数が少ない場合でも、信号伝搬時間によって位置検出を可能にする解決策を説明している。
本出願人による上述の2つの文献で説明されている方法では、それぞれの加入者の地表上での位置を検出するため、すなわち加入者の実際の物理的または測地位置を特定するために、衛星測位と、ここでは特に複数の衛星を往復する信号の信号伝搬時間の評価とが使用される。次に、加入者の認証を行うために、加入者が主張する位置と実際の物理的または測地位置とを比較することができる。位置の比較において許容できない大きな偏差がある場合、認証は失敗する。
実際に、情報を操作するために、例えばハッカーが一方の加入者(静止サーバーなど)に極めて近い場所に位置し、衛星の偽りの周波数と識別子を使用し、それ相応の高い信号強度によって衛星の役割を引き継ぐことも原理的には可能かもしれない。そうなると、対策を講じたとしても、データの操作、例えばフリート車両に配信されるソフトウェアアップデートのセーフティクリティカルな操作が行われるおそれがある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】DE102020003329A1
【特許文献2】DE102021003610A1
【非特許文献】
【0007】
【非特許文献1】ALLIG,C.et al.Trustworthiness Estimation of Entities with Collective Perception;in:IEE Vehicular Networking Conference(VNC),2019,8頁,ISSN 2157-9865および欧州規格ETSI EN302637-2V1.3.2(2014-09).Intelligent Transport Systems(IST);Vehicular Communications;Basic Set of Applications;Part 2:Specification of Cooperative Awareness Basic Service;1~44頁
【発明の概要】
【発明が解決しようとする課題】
【0008】
従って、本発明の課題は、さらに高い安全性を提供する、加入者間の通信を保護するための装置を提示することである。
【課題を解決するための手段】
【0009】
本発明に基づき、この課題は、請求項1または3のいずれか一項に記載の特徴を備える、少なくとも2つの加入者間の通信を保護するための装置によって解決される。本装置の有利な実施形態は、それぞれの従属請求項から明らかになる。さらに、請求項9には、この種の装置によって通信を保護するための方法も説明されている。ここでもまた、有利な実施形態および発展形態は、その従属請求項から明らかになる。最後に、請求項12には、本装置または本方法の好適な使用も示されている。
【0010】
請求項1および3は、2つの加入者間の通信において、加入者を認証する目的で、そのためにそれぞれ構成された装置を介して加入者の現在位置を特定するために、2つの代替方法を提供している。次に、加入者の認証を行うために、加入者が主張する位置、あるいは加入者にとって既知であるか保存されている位置を、実際の物理的または測地位置と比較することができる。
【0011】
請求項1によれば、位置特定のため、通信に使用する信号の到来角が検出され、評価される。次に、少なくとも1つ、好適には3つの異なる送受信機、特に衛星からの信号の到来角から、三角関数を用いて周知の仕方で測地位置を算出することができる。
【0012】
英語で「Angle of Arrival」またはその略称「AoA」とも呼ばれる到来角は、有利な発展形態によれば、通信機器のアンテナアレイを介して検出することができる。例えば一方の加入者と送受信機との間に、送受信機を偽装したハッカーのドローンがあった場合、他方の加入者のところでは、信号の到来角が本物の送受信機で予想される到来角とは異なっていることになる。その理由は、例えば、特に衛星として構成できる本物の送受信機よりも、当然ながらドローンの方が非常に低い場所にあるからである。
【0013】
請求項3による代替の実施形態は、概ね同じ基本構造を利用しているが、通信に使用する信号の信号強度(Signal Strength、SS)が到来角の代わりに用いられる。この信号強度は、送信された信号の強度と伝送経路上で発生する損失とに基づいており、通常、該当する空気層、その温度、湿度などによって影響を受ける。この信号強度によっても、受信する信号強度から送受信機までの距離を推測することによって、該当する加入者の位置を検出することができる。従って、送受信機(特に衛星)が好ましくは少なくとも3つある場合は、正確で一義的な測地位置を特定することができる。
【0014】
信号強度は周囲の条件によって変動幅が比較的大きいため、ここでは、例えば気象データを考慮に入れるなど、周囲の条件をパラメータとして評価に含め、それによって予想される信号強度の低下を推定できるようにすることは理にかなっている。
【0015】
それでも、ハッカーが自分の信号を上手く増幅したり減弱したりすることで、加入者の信号強度を比較的容易にシミュレーションし、特にこの種の信号強度の大体の大きさが分かれば、それによって不法に認証を受けることができるかもしれない。その場合、本発明に基づく装置のさらなる有利な実施形態が手助けになるだろう。この装置では、通信機器が、規定されたパターンに従って発信信号の信号強度を経時的に動的に変化させ、この規定されたパターンに関して受信信号をフィルタリングするように構成されている。例として、一方の加入者は、例えば通信の開始時に信号が規定された時間のあいだに5dB減衰し、通信の途中で10dB上昇し、通信の終了時に再び減衰するように、信号に経時的変化を持たせることができるであろう。周波数、振幅および/または極性の変調も考えられるかもしれない。次に、信号を受信する他方の通信機器がこの規定されたパターンを認識すると、これを再度フィルタリングすることにより、そのような信号強度としてこの信号強度を評価することができ、またこの場合、意図的な操作のリスクをさらに減らすことが可能である。
【0016】
さらに、本発明による装置は、1つまたは2つの説明した方式に加え、この装置の通信機器に関して、送受信機間において、特に衛星と、少なくとも一方の加入者との間において通信に使用する信号の伝搬時間による少なくとも一方の加入者の現在位置の検出を利用するように構成されていてもよい。いわゆる英語のTransfertime、略号でTTとも呼ばれる伝搬時間による位置の算出は、現在位置の検出にさらなる(第3の)可能性を提供するものであり、この可能性は、冒頭に述べた先行技術で説明されているように、基本的に代替として、またはここで提案された物理的方式を補足するものとして利用することができる。
【0017】
この場合、個々のステップを実行するために構成されている装置の通信機器は、一部を加入者のそれぞれに配置することができるので、これらの加入者は彼らの現在位置に関して互いに検出を行い、それによって認証することが可能である。
【0018】
このとき、非常に有利な発展形態によれば、計算能力が許せば、使用される送受信機、特に衛星に通信機器の一部を設置することも可能である。この場合は、送受信機だけで認証を行うことができるので、不正な位置によって検知されたハッカーによって通信が転送されることはなく、通信はすでに送受信機でブロックされることになるだろう。
【0019】
この原理は、衛星の送受信機の考えられるすべての種類で適用可能である。従って、特に、例えば移動無線網、ラジオ局またはテレビ局などの電波塔など、中央送受信機として多くの移動物体をカバーしている固定局が送受信機として含まれている場合もある。しかしながら、本発明に基づく装置の有利な実施形態に基づき、送受信機は衛星として構成されているのが特に好ましい。衛星(例えばGPSや同等のシステム)は地球上のほぼ全域で高い可用性を有していることに加え、高い信頼保護も提供する。というのも、ハッカー集団が認証操作のために独自の衛星を使用することは到底実現できないからである。
【0020】
この種の装置を介して少なくとも2つの加入者間の通信を保護するための本発明に基づく方法は、装置の通信機器において、既知である位置、例えば車両の製造時に車両の制御システムにすでに保存されているサービスセンターなどの既知の静止位置の間で行われる比較を利用し、それによって、該当するサービスセンターと実際に通信が行われることを確実なものにする。この代替として、加入者が例えば車両のような移動物体の場合は、妥当性チェックのみが可能であるだろう。例えば以前の通信から車両の該当する位置を一時的に保存し、次に、その位置を現在の位置と比較することができるだろう。例えば最後の通信が数時間前であった場合、このような妥当性チェックにおいて、車両が前回の位置から半径200~300km以内にある可能性を確定することができる。このことが該当する場合、ポジティブな妥当性チェック結果が生成される。このことが該当しない場合、かつ距離がこの時点の通常の状況の下ではあり得ないほど大きくひらいている場合、例えば数時間のうちに、最後に保存された位置と現在の位置との間に数千キロメートルの距離がある場合、否定的な妥当性チェック結果が生成される。このような装置によって通信を保護するための本発明に基づく方法は、否定的な比較結果またはそのような否定的な妥当性チェック結果が発生した場合、通信はキャンセルされる。なぜなら、否定的な比較結果または否定的な妥当性チェック結果を有する加入者は、信用できないものとして分類することができ、特に、操作されたデータをもう一方の加入者であるユーザーに送信しようとしたり、この加入者の機密データを盗聴しようとしたりするハッカーであることが想定されるからである。
【0021】
本発明に基づく方法の特に好ましい実施形態では、前述の方法の1つ、2つまたは3つを利用して、加入者の位置を特定し、それによってその加入者を認証するように設けることが可能である。これにより、状況に応じて、例えばいずれか1つの方法または別の方法、あるいはこれらの方法の組み合わせによって認証を実行することが可能になり、1つの方法のみを利用する場合と比較して安全性が大幅に向上する。
【0022】
上述の方法の1つまたは複数による純粋な認証に加えて、1つまたは2つの認証方式、すなわち該当する加入者の実際の位置を特定するための1つまたは2つの方式を利用する一方で、その他の1つまたは複数の方法も利用して、この認証を適宜検証する、すなわち伝達された値を直接または少なくともその妥当性に関して再度チェックする形で前述の方式を取り扱うことも可能である。このことは、状況に応じて、また特にそれぞれの加入者の使用可能な計算性能に応じて、任意の組み合わせおよび/または任意の順序で行うことができる。例えば信号伝搬時間による認証では、1つの送受信機のみの到来角および/または信号強度を評価して認証を検証すれば十分であろう。これにより、リソースと計算性能が節約される。
【0023】
一方または他方の変形形態の本発明に基づく装置または本発明に基づく方法は、加入者間のあらゆるタイプの通信を保護するために使用することができ、それにより、加入者の位置という形の物理的特性によってさまざまな種類のアカウントを検証することが可能である。本方法は、特に、自動車メーカーのサービスセンターとそのメーカーによって製造された車両との間の通信を保護するために非常に適している。これに応じて、本発明に基づく方法の有利な使用によれば、車両またはサーバーと車両との間の通信を保護するために本方法を用いるように設けられている。これにより、より安全な通信を確立することができ、また伝達されるデータに関して非常に高い安全性を保証することが可能になる。本発明に基づく方法により、ほとんどの操作を排除する可能性を生み出すことが可能になり、それによって、例えば走行機能、ドライバーアシスタントシステム、自動運転機能などを含む、安全に関連する内容を含むソフトウェアアップデートなど、重要な情報を自動車メーカーのサーバーから車両に伝達することができる。
【0024】
本発明に基づく装置および方法のさらなる有利な実施形態は、以下に図を使って詳しく示されている実施例からも明らかである。
【図面の簡単な説明】
【0025】
図1】本発明に基づく方法による通信の保護および保護要素の利用のための手順を例示的に示す図である。
図2】衛星の信号伝搬時間による位置特定のためのシナリオを示す図である。
図3】信号の到来角(AoA)による位置特定のための第1のシナリオを示す図である。
図4】信号の到来角(AoA)による位置特定のための第2のシナリオを示す図である。
図5】信号強度(SS)による位置特定のためのシナリオを示す図である。
【発明を実施するための形態】
【0026】
図1は、本発明に基づく方法がどのように機能し、利用可能であるかを、さまざまな連続するステップで模式的に示したものである。図1の左には、車両1の形で加入者1が示されており、図1の右には、例えば自動車メーカーまたはそのバックエンドサーバーのサービスセンター2が加入者2として示されている。車両1は、該当するアカウントによって、加入者2としてのサービスセンターと通信することができる。識別情報(ID)は、例えば車両識別番号であってよい。この番号は、ここに示されている実施例ではV1である。さらに、加入者としての車両1は、例示的にN5と指定されているPINを有している。第2の加入者としてのサービスセンター2も同様に、例示的にS2と指定されているIDを有している。サービスセンター2のPINは、例示的にN6と指定されている。さらに、両方の加入者1、2は該当する位置にいる、すなわち測地位置にある。この位置は、加入者としての車両1ではP3と指定され、加入者としてのサービスセンター2ではP4と指定されている。
【0027】
第1のステップ100では、例えばソフトウェアアップデートがあるというメッセージとともに、識別情報V1を持つ車両1にサービスセンター2からリクエストが送信される。識別情報V1を持つ加入者としての車両1は、識別情報V1とPINを持つアカウントによってサービスセンターとの通信を確立し、第1のステップ100からのメッセージをだれが送信したかを問い合わせる。このことを、図1では第2のステップ200で示している。次に、サービスセンター2の領域では第3のステップ300が行われ、ここでサービスセンターは、識別情報とタイムスタンプT8と一緒に現在位置P4を伝える。これらのデータは、第4のステップ400において車両1に伝達される。次に、第5のステップ500では、例えばタイムスタンプT8、サービスセンター2、図2以降で示されている衛星3.1、3.2、3.3、3.4との間の信号伝搬時間とに基づいて、また必要に応じて衛星コントロールセンターの関与のもとで、車両1がサービスセンター2の物理的位置PP4を計算する。この第5のステップ500が終了すると、次に、そのように計算された位置PP4が、伝えられた位置P4に一致するかどうかを確認することができる。一致する場合、通信は検証され、見返りとして第6のステップ600において車両独自の位置が車両独自のID、車両独自のタイムスタンプ9とともにまとめられ、それらは第7のステップ700において車両1側の検証の確定と一緒にサービスセンター2に送信される。P4とPP4が一致しない場合、ステップ610において通信は車両1によってキャンセルされる。
【0028】
次に、第8のステップ800では、第5のステップ500において車両1で行われた確認がサービスセンター2の側でも行われる。すなわち、サービスセンター2は、ここで800と符号が付けられている第8のステップにおいて、同様の仕方で同じデータを算出し、車両V1がこの値の算出にアクティブに影響を及ぼすことなく、計算された位置PP3に到達する。この位置は、車両1がハッキングされているか否かにかかわらず、以前のサービスセンター2の位置PP4と同様に信頼できるものである。この算出された位置PP3と、伝えられた位置P3とがステップ900において再度同一であった場合、サービスセンター2の側でも検証が行われ、これは第10のステップ1000において車両に伝えられる。同一でなかった場合、ステップ910においてキャンセルが行われる。
【0029】
両方の加入者1、2のポジティブな検証に続いて、例えばここでは1100で示されているステップにおいて、保護された通信が双方向通信として行われる。本明細書の冒頭ですでに述べたように、この通信では、加入者1、2の位置という形の物理的特性の確認によって、ハッカーの攻撃は事実上不可能であるか、極端に高いコストを払わなければ実現できないため、この通信の安全性は、相応に高くなる。次に、この第10のステップ1000での通信において、例えばソフトウェアアップデートなどをサービスセンター2から車両1にロードすることができる。このとき、この通信は、現在の通信にのみ有効な一回限りの鍵によって保護することが可能なので、通信の終了後、その鍵が悪意のある人に渡っても、その鍵は事実上無価値となる。
【0030】
図2には、衛星3.1、3.2、3.3、3.4の信号伝搬時間(Transfer Time-TT)による位置特定のための第1のシナリオが示されている。ここでは、4つの衛星3.1、3.2、3.3、3.4が地表4の上方に例示的に図示されており、それらのうち3つの衛星3.1、3.2、3.3は、位置を特定するために用いられ、第4の衛星3.4は、時間を同期するために周知の仕方で使用される。
【0031】
衛星3.1から出発して、点線で示されているように、第1の衛星3.1の信号伝搬時間Δtに基づき、5.1で示された円を地表面に描くことができる。このとき、この円5.1の各点からその時々の衛星3.1までの伝搬時間、またはその時々の衛星3.1からの伝搬時間は同じである。したがって、信号の伝搬時間Δtの特定においては、希望する点が円5.1の点の1つであることを算出することだけでよい。同時に、この方法では、第2の衛星3.2の信号の伝搬時間Δtが評価される。ここでも、同一の信号伝搬時間Δtを持つ点による円ができ、この円は鎖線で描かれており、符号5.2で示されている。このことから、ここに図示されている実施例の2つの円5.1と5.2の間には2箇所の交点だけが残るため、ここでは単に例として示されている車両1の可能な位置は、すでにこれに応じて制限されている。第3の衛星3.3およびこの衛星の信号伝搬時間Δtにより、第3の円5.3をこれに従って算出することができ、その円から、これらの3つの円5.1、5.2、5.3の明確な交点が生じ、それに従ってここに示されている車両1の地表面4での位置が特定される。
【0032】
ここに示されている第4の衛星3.4は、一方では電離層での屈折による伝搬時間の誤差を補正するために使用することができ、また時刻の調整にも使用することができる。というのも、一般的に車両1内のシステムと衛星にはそのような調整を省略できるような、十分に精度の高い時計がないからであり、実際には、そのための追加の衛星が必要であり、かつ一般的である。
【0033】
次に、正当な第1の加入者1としての車両1の代わりに、ここでは例示的に円として符号1で示されたハッカーが侵入した場合、このハッカーは、単に例として円5.1上にいるが、最終的に車両1の正確な位置を証明するその他の円5.2および5.3上にはいない。つまり、このハッカー1は車両1になりすましている。従って、位置特定では同じ第1の信号伝搬時間Δtが算出される。しかし、ハッカーの別の2つの信号伝搬時間Δt およびΔt は、伝達された車両1の位置に該当する元の伝搬時間ΔtおよびΔtとは異なっているため、ここでは異なる位置が特定される可能性がある。これに従って、通信は中断される。
【0034】
すなわち、この第1の方式では、信号の伝搬時間、いわゆるTransfer Time(TT)が使用される。このとき、この第1の前述した方式は、主に特許文献1に記載されている方法に基づいている。可視である衛星の数が少ない場合、この代替として、冒頭で述べた特許文献2の方法も、当然ここで使用することができる。
【0035】
信号伝搬時間TTによるこの位置特定の代替として、信号の到来角(Angle of Arrival-AoA)が使用される。そのような到来角を十分な精度で検出するため、ここでは、純粋な信号に追加してその到来角を検出するために、複数のアンテナのアレイが必要である。図2と同等の図3に図示されているシナリオにおいて、この到来角AoAは、実際の車両1の場合、例えばそれぞれの衛星3.1、3.2、3.3の地表面4への垂直な仮想接続線に対する信号の到来角になると考えられ、ここでは符号α、β、γで示されている。図2による実施形態と同様に、別の位置にいるハッカー1では、別の信号到来角が生じるだろう。ここでは、これらの別の到来角がα、β、γで示されている。角度の偏差から、ここでも、示された位置が実際の位置と一致しない事実が検出され、従って認証は失敗に終わる。
【0036】
認証のために位置が確認される加入者1、2が、図2、3に示されているように車両1ではなく、地表面4上に一義的な位置を有するサービスセンター2である場合、この位置をシステム内部、例えば車両1内に保存することにより、基本的にサービスセンター2による伝達を省略することができる。特に、自動車メーカーは、サービスセンター2の正確な位置を特に地域ごとに車両1の制御システム内に実装することができる。
【0037】
さらなる代替形態では、図3によるシナリオの場合、衛星3.4はもはや不要であり、衛星3.1、3.2、3.3の側で到来信号を適宜監視するようにすることも可能であるだろう。独自に保存されたデータ、または別の加入者、例えば加入者2としてのサービスセンターから事前にリクエストされたデータに基づいて、保護された通信を確立するために必要な通信機器の一部を有している衛星3.1、3.2、3.2が直接、比較を行うことができるだろう。次に、明白なハッカー1の信号が衛星3.1、3.2、3.3において間違った到来角AoAで到着すると、そのハッカーのデータは直ちに破棄され、別の加入者2には転送されないようにすることができるだろう。
【0038】
図4には、単に例として1つの衛星3.1のみを図示したさらなるシナリオが示されている。この場合も、再び車両1が加入者1としての役割を担うが、加入者2としてのサービスセンター2もその代わりを務めることが可能であり、ここではそのことが破線で示されている。ハッカー1は、このシナリオではネットワークになりすまして、つまり偽の衛星を介して通信を操作しようとする。このケースでは、例えば、高空飛行するドローン6が、参加者1、2または参加者1、2のいずれかに対して、衛星3.1である振りをするかもしれない。この場合、同様に加入者1、2または加入者1、2のいずれかにおける到来角の評価により、ドローン6から送信される信号では、本物の衛星3.1の信号αの予想到来角に対して、地表面への垂直線に対する間違った角度αが検知および評価されることで、操作を発見することができるだろう。
【0039】
図5には、信号伝搬時間TTまたは到来角AoAの代わりに、信号の信号強度(Signal Strength-SS)が適宜評価されるさらなるシナリオが図示されている。この信号強度SSは、距離の他にも、例えば湿度、雲、雨などの経路上にある天候条件によって影響を受ける。従って、加入者1については、位置が比較的一意である衛星3.1、3.2、3.3との通信の場合、三重の信号強度SS、SS、SSが結果的に生じ、このとき信号強度SSでは、大気の条件により、必ずある程度の許容誤差を予想することができる。ハッカー1が明らかに別の位置にいる場合、このハッカーについては、比較によって明らかに異なる信号強度SS 、SS 、SS が結果的に生じる。これにより、間違った位置の検知が可能となり、通信を適切なタイミングで中断し、操作を防止することができる。
【0040】
この場合、異なる方式TT、AoAおよび/またはSSを互いに組み合わせることが特に有用である。例えば、加入者1、2を認証する目的で位置を特定するのに、信号伝搬時間TTを用いることができる。次に、到来角AoAおよび/または信号強度SSにより、この結果を検証し、それによって、何らかのやり方で操作されないことを確実なものとする。
【0041】
このとき、信号強度SSには一定の限界がある。というのも、この信号強度は、経路上で生じる損失が分かっていたり、予測可能であったりする場合、比較的簡単に操作できるからである。そうすると、ハッカーは、希望する信号強度を生成するために、伝達性能を相応に調整することができる。同時に、大気条件および/または天候条件が変化する可能性もあるため、この信号強度には比較的大きな許容誤差範囲を設ける必要があり、操作の危険は完全に排除されない。
【0042】
この危険をさらに低減するため、送信された信号に、時間によって動的に変化する暗号化を施すことができる。ここでは、例えば信号の強度、周波数、振幅または偏波も時間によって変化させることができる。このことが、本当の加入者1、2の通信機器内に適宜保存されている規定のパターンに従う場合、送信する加入者1、2によって加えられたこのバリエーションは、受信する加入者2、1によってフィルタリングされ、それによって本当の信号強度を評価することができる。これにより、潜在的な操作に対する安全性がさらに高められる。
【0043】
もちろん、この技術では、さまざまな方式を交換することも可能である。すなわち、例えば、本来の認証を到来角AoAによって行い、検証を信号伝搬時間TTおよび/または信号強度によって行うこともできるし、あるいは本来の認証を信号強度によって行うということもできる。代替として、認証に2つの方式を用いてもよく、その2つの方式で認証を行い、第3の方式は検証に利用してもよい。あるいは3つのすべての方式を認証に利用したり、異なる方式の組み合わせを任意の仕方で用いたりすることも可能である。特に、この組み合わせは、さまざまなパラメータに応じて常に繰り返し変更することで、安全性をより一層高めることができる。
図1
図2
図3
図4
図5
【手続補正書】
【提出日】2024-06-11
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
通信機器によって少なくとも2つの加入者(1、2)間の通信を保護するための装置であって、前記2つの加入者(1、2)は、それぞれ識別情報(ID)および保護要素(PIN)を有し、それらを好ましくは暗号化された形で通信に用いるものであり、前記通信機器は、少なくとも一方の加入者(1、2)を認証するために構成され、少なくとも1つの送受信機(3.1、3.2、3.3)と通信を行うことにより、その現在の測地の位置(PP3、PP4)を算出するものであり、それにより現在検出された前記位置(PP3、PP4)をそれぞれ別の前記加入者(2、1)によって伝達または保存された位置(P3、P4)と比較し、または当該位置(P3、P4)に基づいて現在検出された前記位置の妥当性をチェックする、前記装置において、
前記通信機器は、通信に使用する信号の到来角(α、β、γ)を検出および評価することにより、前記少なくとも一方の加入者(1、2)の現在の前記位置(PP3、PP4)を検出するように構成されていることを特徴とする、前記装置。
【請求項2】
前記通信機器は、アンテナアレイを有していることを特徴とする、請求項1に記載の装置。
【請求項3】
通信機器によって少なくとも2つの加入者(1、2)間の通信を保護するための装置であって、前記2つの加入者(1、2)は、それぞれ識別情報(ID)および保護要素(PIN)を有し、それらを好ましくは暗号化された形で通信に用いるものであり、前記通信機器は、少なくとも一方の加入者(1、2)を認証するために構成され、少なくとも1つの送受信機(3.1、3.2、3.3)と通信を行うことにより、その現在の測地の位置(PP3、PP4)を算出するものであり、それにより現在検出された前記位置(PP3、PP4)をそれぞれ別の前記加入者(2、1)によって伝達または保存された位置(P3、P4)と比較し、または当該位置(P3、P4)に基づいて現在検出された前記位置の妥当性をチェックする、前記装置において、
前記通信機器は、通信に使用する信号の信号強度(SS、SS、SS)を検出および評価することにより、前記少なくとも一方の加入者(1、2)の現在の前記位置(PP3、PP4)を検出するように構成されていることを特徴とする、前記装置。
【請求項4】
前記通信機器は、さらに、規定されたパターンに従って発信信号の前記信号強度(SS、SS、SS)を経時的に動的に変化させ、前記規定されたパターンに関して受信信号をフィルタリングするように構成されていることを特徴とする、請求項3に記載の装置。
【請求項5】
前記通信機器は、前記少なくとも一方の加入者(1、2)の現在の前記位置(PP3、PP4)を検出するために、前記送受信機(3.1、3.2、3.3)と前記少なくとも一方の加入者(1、2)との間の通信に使用する信号の伝搬時間(Δt、Δt、Δt)を検出および評価するように構成されていることを特徴とする、請求項1から4のいずれか一項に記載の装置。
【請求項6】
前記通信機器の一部は、前記加入者(1、2)のそれぞれに配置されていることを特徴とする、請求項1からのいずれか一項に記載の装置。
【請求項7】
前記通信機器の一部は、前記送受信機(3.1、3.2、3.3)に配置されていることを特徴とする、請求項1からのいずれか一項に記載の装置。
【請求項8】
前記送受信機の少なくとも1つは、衛星(3.1、3.2、3.3)として構成されていることを特徴とする、請求項1からのいずれか一項に記載の装置。
【請求項9】
請求項1からのいずれか一項に記載の装置によって、少なくとも2つの加入者(1、2)間の通信を保護するための方法であって、否定的な比較結果または否定的な妥当性チェック結果が発生した場合、前記通信はキャンセルされる、前記方法。
【請求項10】
少なくとも一方の加入者(1、2)の現在の位置(PP3、PP4)を検出するために、信号の到来角(α、β、γ)の評価、受信信号の信号強度(SS、SS、SS)の評価、および/または前記送受信機(3.1、3.2、3.3)と前記少なくとも一方の加入者(1、2)との間の通信に使用する信号の伝搬時間(Δt、Δt、Δt)が利用されることを特徴とする、請求項9に記載の方法。
【請求項11】
少なくとも一方の加入者(1、2)の現在の位置(PP3、PP4)を検出するために、
信号の前記到来角(α、β、γ)を評価する方式、
受信信号の前記信号強度(SS、SS、SS3)を評価する方式、および/または
前記送受信機(3.1、3.2、3.3)と前記加入者(1、2)の少なくとも一方との間の通信に使用する信号の伝搬時間(Δt、Δt、Δt)による方式
のうちの1つまたは2つが利用され、それまで利用されなかった1つまたは2つの方式が結果を検証するために用いられることを特徴とする、請求項に記載の方法。
【請求項12】
特にソフトウェアアップデートを伝達する際に車両(1)と車両外部のサーバー(2)との間の通信を保護するための、
請求項1からのいずれか一項に記載の装置。
【国際調査報告】