[0001] 本公开涉及安全设备，且具体但非必定地涉及被配置成提供对机动车的功能特征的安全访问的安全设备。

[0002] 遥控无钥门禁(RKE)、被动无钥门禁(PKE)和被动无钥启动(PKG)是例如汽车和卡车的一些车辆的特征。PKE的构思是用户不必使用(i)机械性钥匙抑或(ii)操作钥匙挂扣或遥控器上的任何按钮来打开门。类似地，当用户在车辆内时，用户将不必手动操作钥匙来启动具有PKG功能的车辆的引擎。车辆钥匙存在于紧邻车辆的位置、视情况结合用户触摸车门拉手或在车辆内操作引擎启动按钮可足以使车辆执行期望的动作。

[0056] PKE/PKG解决方案可采用具有两个独立通信子系统的系统。

[0057] 图1示出包括被安装到车辆110的低频(LF)子系统112的PKE系统100，并且在车辆110的附近提供125kHz磁感应场114。这一LF信令是车辆接近度信令的例子。LF信令可以被提供为钥匙挂扣120的部分的LF子系统122检测到。考虑到信令的短距离，如果LF信令被钥匙挂扣120检测到，那么这可指示车辆110在附近。也可采用具有22kHz工作频率的其它系统。125kHz LF系统技术也可以充当在钥匙挂扣中的电池为空或放电的情况下的后备解决方案。

[0058] 超高频(UHF)无线通信子系统124提供于钥匙挂扣120中。极高频率(VHF)子系统可被用作UHF子系统124的替代方案。UHF子系统124被用于校验注册的钥匙挂扣120与车辆110中的车辆UHF子系统116通信，并且将无线遥控命令从钥匙挂扣120提供到车辆110。在一些例子中，UHF通信可以是钥匙挂扣120与车辆110之间的双向通信。

[0059] 车辆110外部的LF磁感应场的典型距离约为5米。磁感应场在这一距离以外快速衰变，并且有效地使得车辆钥匙挂扣120不能在这一距离之外检测到LF信号。如果车辆钥匙挂扣120处于车辆110的预定接近度之内，那么车辆钥匙挂扣120可以检测到磁感应场并且将激活UHF通信子系统。随后车辆钥匙挂扣120可以与车辆110交换消息，以便将自身认证为已注册的有效车辆钥匙挂扣120。车辆110继而将从这一车辆钥匙挂扣120接收命令和/或例如在用户触摸车门把手中的一个或按下车辆110内的“引擎启动”按钮的情况下采取适合的动作。

[0060] RKE系统可包括类似于PKE系统的UHF通信系统，但并不包括LF通信系统。UHF通信系统通常由RKE系统的用户按下钥匙挂扣上的按钮来激活，以激活需要的功能。

[0061] 一般来说，PKE系统易遭受所谓的中继攻击(其将在下文进一步描述)。本公开中描述的一个或多个例子提出旨在阻止通过中继攻击或其它技术对车辆进行未授权访问的对策。

[0062] 图2示出涉及针对无钥门禁系统的成功的中继攻击的信息流的示意图200。总的来说，中继攻击是一种黑客技术，其中攻击者发起车辆的防盗止动器与车辆的钥匙之间的通信，攻击者随后仅在所述两个组件之间中继转发消息而不操控消息或甚至不需要读取信息。

[0063] 车辆210位于第一位置。车辆的钥匙212位于远离车辆位置的第二位置。钥匙212与车辆210之间的距离使得它们无法使用如上文所述的那些低频或极高频率子系统彼此直接通信。第一攻击者220位于车辆210附近。第二攻击者222位于钥匙212附近。第一攻击者220足够接近车辆210以从车辆210接收短程LF信号230。第一攻击者220通过合适的双向无线链路232将短程LF信号以无线方式中继转发给第二攻击者222。第二攻击者222随后将短程LF信号发送234到钥匙212。发送234复制当钥匙212在足够接近车辆210的位置时将接收的内容。因此，钥匙212通过发送例如上文所论述的VHF或UHF信号的无线遥控命令236来响应以允许对车辆210的访问。第二攻击者222接收无线遥控命令236并随后跨越双向无线链路232将无线遥控命令236中继转发给第一攻击者220。第一攻击者220随后提供发送238，发送238复制由钥匙212发送的无线遥控命令236。当车辆210接收到发送238时，基于钥匙212看似存在，车辆210允许对车辆210的访问，即使钥匙212可能距离车辆210数百米或甚至数千米也如此。

[0064] 以此方式，窃贼可盗窃车辆210或车辆210的任何内容物，即使钥匙212处于正当拥有者的控制中，但同样在第二攻击者222的RF距离内。

[0065] 图3示出安全设备300的示例实施例。安全设备300可以提供为内置于车辆或车辆钥匙中的集成电路或其它电子电路，或可以提供为远离车辆和车辆钥匙二者的移动电话网络基础设施的部分。其它等效实施例可以提供为软件。应了解，车辆钥匙可以是被配置成提供对车辆的授权访问的任伺设备，例如智能手机。这样的设备可包括用于实施本公开的实施例的专用电路系统，或者可以使用其它电路系统和经过恰当地配置的软件来实施所述实施例。

[0066] 在本公开中，提及对车辆的访问意指访问车辆的任何功能。访问的例子包括物理访问车辆内部，例如通过解锁和/或打开车门来提供。访问的其它例子包括例如启动车辆引擎或进行远程停车功能。

[0067] 当安全设备300内置于车辆中时，安全设备300可以被机械地耦合到车辆以防止安全设备300被移除而阻碍相关联的安全功能。

[0068] 或者，安全设备300可以内置于例如智能手机或智能钥匙挂扣的移动装置中，使得所述移动装置可以提供车辆钥匙的功能。在这样的情况下，安全设备300可相对于车辆移动，使得用户可以随身保存安全设备300，以便当用户足够接近车辆并且希望这么做时使用所述安全设备300解锁/访问车辆。

[0069] 在另一个替代方案中，安全设备300可以内置于移动电信网络中，并且通过经由移动电信网络与车辆和相关联的车辆钥匙装置通信来执行安全设备300的功能。

[0070] 安全设备300具有安全位置端302，所述安全位置端302被配置成接收代表钥匙模块(图中未示)位置的安全位置信息322。钥匙模块可以远离安全设备300，但可以由用户随身携带以允许用户访问车辆。举例来说，钥匙模块可以用户的智能手机中所包括的电路系统或软件的形式提供。

[0071] 安全设备300还具有锁位置端304，所述锁位置端304被配置成接收代表锁模块(图中未示)位置的锁位置信息324。锁模块可以远离安全设备300。举例来说，锁模块可以通过车辆中所包括的电路系统或软件来提供。

[0072] 安全设备300被配置成经由移动电信网络(图中未示)来接收安全位置信息322和锁位置信息324中的至少一个。在安全设备300提供于移动电信网络的一部分中、例如在远程位置的服务器上的例子中，安全设备300可以经由移动电信网络接收安全位置信息322和锁位置信息324二者。

[0073] 如果安全设备内置于用户的车辆钥匙装置中，那么安全位置信息322可以被直接提供到安全设备300而不使用移动电信网络。而锁位置信息324可以经由移动电信网络提供。

[0074] 反之，如果安全设备300内置于车辆中，那么锁位置信息324可以通过车辆内的通信网络直接提供到安全设备300而不使用移动电信网络。此外，安全位置信息322可以经由移动电信网络提供到安全设备300。

[0075] 安全设备300还具有处理器306，所述处理器306被配置成比较安全位置信息322与锁位置信息324。这一比较可能仅涉及包括比较钥匙模块的位置与锁模块的位置。处理器306随后基于钥匙模块的位置是在锁模块的位置的预定接近度之内还是之外来确定安全状态信号328。如果钥匙模块的位置小于到锁模块位置的预定阈值距离，那么钥匙模块的位置可能在预定接近度内；如果钥匙模块的位置大于到锁模块位置的预定阈值距离，那么钥匙模块可能在所述预定接近度外。用于确定钥匙模块是在预定接近度之内还是之外的其它选项是可能的。举例来说，如果钥匙模块在例如停车场的预定区域内，那么钥匙模块可能在预定接近度内而无关于车辆在预定区域内的位置。所述预定接近度还可被称作第一预定接近度。

[0076] 安全设备300还具有输出端308，所述输出端308被配置成例如经由车辆通信网络直接地亦或例如经由移动电信网络间接地将安全状态信号328提供到例如车辆安全系统的组件。输出端308是安全状态输出端的例子。

[0077] 在一些例子中，所述锁模块可提供于车辆中，并且所述安全状态信号328可以被配置成允许用户访问所述车辆。举例来说，在RKE操作模式中，用户可通过按下按钮或激活传感器来激活移动装置，并且移动装置可将安全位置信息322提供到安全设备300。安全设备300也可以接收锁位置信息324，并且如果钥匙模块足够接近锁模块，那么安全设备300可以将安全状态信号328提供到车辆安全系统，使得车辆安全系统解锁车辆。

[0078] 存在用于确定锁模块的位置以提供锁位置信号324的各种选项。类似地，存在用于确定钥匙模块的位置以提供安全位置信息322的各种选项。举例来说，如果锁模块被提供在车辆中，那么可以基于由例如全球定位系统(GPS)装置的卫星定位系统等内置式车辆导航系统确定的位置数据来提供锁位置信号324。类似地，如果钥匙模块被提供在用户的移动装置中，例如智能手机中，那么可以基于由内置于所述移动装置中的导航系统确定的位置数据来提供安全位置信息322。

[0079] 在一些例子中，安全位置信息和锁位置信息中的一个或多个可以通过移动电信网络来提供。举例来说，5G移动电信网络的定位精度预期为大约一米精度或甚至更低。定位算法和网络数据处理可以在网络侧实行，例如在远离车辆和移动装置二者的服务器上实行，因此从移动装置的角度来说提供了高度节能的方法。也就是说，分析网络数据以提供精确定位所需要的计算上的并且因此高耗能的处理无需在所述移动装置上执行，由此避免移动装置消耗电力。精确定位分析可提供用于车辆(且因此车辆内的锁模块)和移动装置(且因此移动装置内的钥匙模块)二者的精确绝对位置。

[0080] 当安全设备与钥匙模块和/或锁模块之间的通信链路基于移动电信网络时，可实施RKE、PKE和PKG系统而不使用在钥匙模块与锁模块之间直接本地通信的本地访问系统。因此，可能无需额外中介网络。因此，有利地，可无需额外的硬件。可以仅使用已经提供在车辆和移动装置中的现存移动电信节点，这有利地双重使用那些节点。由此，可能并不需要例如LF/UHF/GHz天线、基站、应答器和缆线等组件来实施原本依赖于此类组件的功能。

[0081] 移动电信网络可有利地具有某些特征和属性，例如以下中的一个或多个：

[0082] ●快速延时时间(例如小于1毫秒)；

[0083] ●高数据速率；

[0084] ●移动节点的精确位置检测(例如小于一米精度)，所述检测可以被提供用于移动装置和车辆；

[0085] ●移动节点可以包括受保护元件或类似物，以便实现例如通过高级加密标准(AES)128位密码来加密的端到端加密；

[0086] ●如下文参考图8更详细描述，移动节点可以包括真随机数生成器(以在两侧生成质询)。

[0087] ●移动节点可以在(存储共享密钥、口令和识别码的)EEPROM中包括受保护的密钥存储；

[0088] ●任选地，不对称加密引擎可用于例如通过椭圆曲线密码术(ECC)处理从车辆传送到移动装置的密钥。

[0089] 在一些例子中，安全设备300可以被配置成设定安全状态信号328以具有两个不同值中的一个。如果钥匙模块的位置是在锁模块位置的预定接近度之外，那么处理器306可以被配置成将安全状态信号328设定为具有外部值。如果钥匙模块的位置是在锁模块的位置的预定接近度之内，那么处理器306可被配置成将安全状态信号328设定为具有内部值。一般来说，安全状态信号328可以包含除了所述内部值或所述外部值之外的其它数据。

[0090] 当安全状态信号328被设定成具有外部值时，安全设备300可以被配置成设定外部操作模式。举例来说，具有外部值的安全状态信号328可以被提供到车辆安全系统，所述车辆安全系统被配置成通过启用或禁用车辆的特定操作模式来对外部值作出响应。

[0091] 举例来说，外部值可以实现以下任何一个或多个：闭锁操作模式；关窗操作模式；引擎防盗止动器操作模式；以及关门操作模式。以此方式，当安全设备确定钥匙模块距离锁模块足够远而在预定接近度之外时，安全设备可以向车辆发送指令以闭锁车门、关闭任何打开的窗户、调用引擎防盗止动器以抑止引擎，或在闭锁任何打开的车门之前关闭所述车门。由此，即使车门和窗户起初是打开的，用户也可以通过简单地步行远离车辆来有利地确保车辆的安全。

[0092] 在其它例子中，外部值可禁用以下中的任何一个或多个：RKE操作模式；PKE操作模式；PKG操作模式；自动停车操作模式；空气调节操作模式；以及照明操作模式。

[0093] 当安全状态信号328被设定成具有内部值时，安全设备300可以被配置成设定内部操作模式。举例来说，安全状态信号328可以被提供到车辆安全系统，所述车辆安全系统被配置成通过启用或禁用车辆的特定操作模式来对所述安全状态信号328作出响应。

[0094] 举例来说，具有内部值的安全状态信号328可实现以下中的任何一个或多个：PKE操作模式；RKE操作模式；PKG操作模式；自动停车操作模式；空气调节操作模式；照明操作模式。

[0095] 在其它例子中，具有内部值的安全状态信号328可禁用闭锁操作模式或引擎防盗止动器操作模式中的任何一个或多个。

[0096] 在一些例子中，安全位置信息322和锁位置信息324中的一个或多个可以加密形式提供到安全设备300。因此安全设备300可被配置成执行对接收到的加密信号的解密，使得包含于加密信号中的数据可以被安全设备300用来确定安全状态信号328。加密的使用可提高本文中描述的系统的安全性。

[0097] 在一些例子中，处理器306可进一步被配置成比较安全位置信息322与锁位置信息324，并且基于钥匙模块的位置是在锁模块位置的第二预定接近度之内还是之外来确定安全状态信号328。第二预定接近度可以和上文所述的预定接近度不同。举例来说，第二预定接近度可完全包含在预定接近度内，或替代地，第二预定接近度可完全包含预定接近度。

[0098] 如果钥匙模块的位置是在锁模块位置的第二预定接近度之外，那么处理器306可将安全状态信号328设定为具有第二外部值。如果钥匙模块的位置是在锁模块位置的第二预定接近度之内，那么处理器306可将安全状态信号328设定为包括第二内部值。以此方式，安全状态信号328可同时具有内部值和第二内部值或者第二外部值二者。或者，安全状态信号328可同时具有外部值和第二内部值或者第二外部值二者。在其他例子中，安全状态信号328可具有多个由钥匙模块相对于与锁模块相关的多个不同预定接近度的位置限定的不同的内部值或外部值。

[0099] 以此方式，取决于钥匙模块距离车辆多远，可启用或禁用不同功能。当安全状态信号具有第二外部值时，安全状态信号可设定外部操作模式，所述外部操作模式包括启用例如闭锁操作模式的第二外部操作模式以及禁用例如PKG操作模式的第三外部操作模式中的一个或多个。因此，PKG操作模式可以在用户处于其车辆内时被启用，但在用户处于其车辆外时被禁用。类似地，闭锁操作模式可以在用户处于其车辆外时被启用，但在用户处于其车辆内时被禁用。

[0100] 类似地，第二内部值可用于设定由启用第二内部操作模式和禁用第三内部操作模式中的一个或多个组成的内部操作模式。举例来说，当用户从一定距离接近他们的车辆时，空气调节或加热操作模式等第二内部操作模式可以被调用。然而，在同一距离处，如果用户不够接近车辆以监察远程停车操作，那么可禁用远程停车操作模式。

[0101] 一般来说，一系列不同操作模式可以基于用户相对于他们的车辆的位置而被依次启用或禁用。当用户进入第一预定接近度时启用加热操作模式可向加热模式提供足够的时间来加热车辆。仅当用户更接近地靠近车辆时才可激活PKE操作模式以解锁车辆，并且仅当用户在车辆内时才可激活PKG模式。

[0102] 在一些例子中，安全位置信息322还可包括代表特定用户的用户识别串。用户识别串可采取任何方便的形式，例如足够长而可仅限于特定用户的编号。此处，特定用户包括与特定个人相关的一个或多个移动装置。举例来说，智能手机可包括钥匙模块和任何额外电路系统和/或确定包括于安全位置信息322中的位置信息所需的软件。此外，智能手机可包括对于此装置唯一的序列号，所述序列号由此标识此装置，且因此标识与此特定智能手机相关的个人。

[0103] 应了解，安全设备300可用于实现访问广泛范围的不同功能。以下，提供一些具体例子。

[0104] ●远程无钥门禁(RKE)：

[0105] ○用户按下移动电话上的按钮。

[0106] ○移动电话上的应用程序使用例如5G移动通信网络在移动电话节点与车辆节点之间设置快速且受保护的双向通信链路。

[0107] ○所述应用程序在加密的会话中将移动电话的位置发送到车辆节点。

[0108] ○如果移动访问装置与车辆之间的距离低于某一阈值并且认证成功，那么车辆的车门被解锁。

[0109] ●被动无钥门禁(PKE)：

[0110] ○用户通过车辆的车门拉手处的按钮按压或传感器激活来激活通信序列。

[0111] ○汽车中的应用程序使用例如5G移动通信网络在移动电话节点(例如节点1和2)与车辆节点之间设置快速且受保护的双向通信链路。

[0112] ○移动电话上的应用程序在加密的会话中将移动电话的位置发送到车辆节点，这可得到所述移动装置是接近车辆但在车辆外部的位置检测。

[0113] ○如果一个或多个移动访问装置与车辆之间的距离低于某一阈值1且高于某一阈值2并且认证成功，那么车辆的车门被解锁。

[0114] ●被动无钥匙启动(PKG)：

[0115] ○用户通过车辆的启动/停止按钮处的按钮按压或传感器激活来激活通信序列。

[0116] ○汽车中的应用程序例如使用5G移动通信网络在移动电话节点(例如节点1和2)与车辆节点之间设置快速且受保护的双向通信链路。

[0117] ○移动电话上的应用程序在加密的会话中将移动电话的位置发送到车辆节点，这可得到所述移动装置是在车辆内的位置检测。

[0118] ○如果一个或多个移动访问装置与车辆之间的距离低于某一阈值且因此在车辆内，那么认证成功并且车辆的引擎被启动。

[0119] ●自动驾驶车辆：

[0120] ○当车辆自动驾驶进入停车位时，应用程序在加密的会话中连续地将手机的位置发送到车辆节点。

[0121] ○如果移动访问装置与车辆之间的距离大于某一阈值，那么因为用户太远而不能监察所述过程，车辆会停止自动驾驶。

[0122] ●系统从功率节省模式中唤醒(例如，欢迎灯)

[0123] ○移动装置执行系统后台任务以使用5G移动标准在移动电话节点与车辆节点之间设定并连续地保持快速并且受保护的双向通信链路。

[0124] ○当车辆处于静止状态时，所述移动装置在加密的会话中连续地将移动电话的位置发送到车辆节点。

[0125] ○当手机进入或离开车辆周围的某一预定接近度时，系统可启动移动电话上的应用程序，或者车辆可开启灯或自动闭锁车门。

[0126] ○为了节省功率消耗以及最小化数据流量，可替代的是，移动电话可以存储车辆的最后一个位置(汽车处于停车状态，未移动)以针对这一参考位置测量距离并且当移动电话进入或离开车辆周围的某一空间时启动系统，如下文相对于图5进一步描述。

[0127] ●允许从远程位置对车辆的访问，以允许用户进入汽车。

[0128] ○想要进入汽车的用户通过车辆的车门拉手处的按钮按压或传感器激活或者通过启动其手机上的应用程序来激活通信序列。

[0129] ○系统使用5G移动网络来确定用户和车辆的位置。

[0130] ○如果用户的移动装置与车辆之间的距离低于某一阈值并且认证成功，那么远处的汽车拥有者可允许进入汽车并且车辆的车门被解锁，如下文相对于图4进一步详细描述。

[0131] 图4示出授权模块400，所述授权模块400任选地可包括于安全设备中，或耦合到安全设备，例如上文相对于图3所述的安全设备。

[0132] 授权模块400具有：(i)匹配端402，所述匹配端402被配置成接收匹配信号422；(ii)用户致动端404，所述用户致动端404被配置成接收用户致动信号424；(iii)输入端
410，所述输入端410被配置成接收安全状态信号412，例如可由图3的安全设备提供的信号；
以及(iv)授权端408，所述授权端408被配置成提供授权信号428。输入端410是安全状态输入端的例子。

[0133] 匹配信号422可以是响应于安全状态信号412而由匹配模块(图中未示)提供，所述匹配模块可在例如连接到移动电信网络的服务器中的远程位置处提供。当安全状态信号412包括用户识别串时，匹配模块可将用户识别串与存储于存储器模块中的预定标识数据比较以确定用户是否被授权访问锁模块。安全状态信号412还可包括代表锁模块的信息，使得匹配模块可试图将用户识别串与已授权访问特定锁模块的预记录用户列表进行匹配。

[0134] 用户致动信号424可以响应于安全状态信号412而由用户致动模块(图中未示)提供。用户致动模块可以是已授权用户的移动装置的部分。当安全状态信号412在用户致动模块处被接收时，所述移动装置可将警告信号提供到已授权用户，还可以提供与用户识别串和/或锁模块相关的用户的标识。以此方式，已授权用户可决定是否允许用户访问锁模块，且如果已授权用户选择允许所述访问，则通过按压内置于其移动装置中的按钮或致动移动装置中的传感器来提供用户致动信号424。

[0135] 授权模块400还具有处理器406，处理器406在一些例子中可以是上文相对于图3所述的处理器，而在其他例子中，处理器406可以是不同模块。处理器406被配置成接收安全状态信号412，以及匹配信号422和用户授权信号424中的一个或两个。如果匹配信号422和/或用户致动信号424指示应允许访问，那么处理器406可随后提供授权信号428。授权信号428可随后例如被提供到车辆安全系统，所述车辆安全系统响应于授权信号428可实现某一车辆功能，例如解锁车门或启用PKG操作模式。

[0136] 图5示出系统500，系统500包括类似于相对于图3公开的那种安全设备，其中系统处于活跃操作中。系统500包括车辆502、第一移动装置504、第二移动装置506，以及移动电信网络508。在一些例子中，第二移动装置506可以是在不同时间的第一移动装置504。第一移动装置504和第二移动装置506均包括钥匙模块。安全设备(图中未示)可以位于以下任一个中：(i)车辆502；(ii)移动电信网络508；或(iii)第一移动装置504和第二移动装置506。

[0137] 作为预定接近度的例子，车辆502的接近度510通过虚线来圈出。在这个例子中，所述安全设备被配置成基于钥匙模块和锁模块中的一个或多个在前一个闭锁操作时、例如当用户已使用其移动装置闭锁车辆502时的位置来存储前一个闭锁位置。安全设备随后将所述前一个锁位置与安全位置信息进行比较。所述比较可以规律的基础进行，例如周期性地进行。如果安全设备基于将前一个锁位置与安全位置信息进行比较而确定钥匙模块在车辆502的接近度510之外，那么安全设备可以不采取另外的动作。(这将是如图5中所示的钥匙模块在第一移动装置504内时的情况。)然而，如果安全设备确定钥匙模块是在车辆502的接近度510内，那么安全设备可经由移动电信网络508在第二移动装置506与车辆502之间发起通信链路520。(这将是如图5中所示的钥匙模块是在第二移动装置506内的情况。)安全设备可由此将访问授权信号522提供到车辆502以允许访问某一车辆功能。

[0138] 如果安全设备被提供在第二移动装置506中，那么安全设备可监测第二移动装置506(且因此钥匙模块)相对于预定接近度510的位置而不必使用移动电信网络508。移动电信网络508可由此仅在第二移动装置506距离车辆502足够近时被使用来证明获得对车辆
502的访问权。以此方式，可有利地减少对移动电信网络508的带宽的使用。

[0139] 图6示出类似于上文相对于图3所述的安全设备600；类似特征已经给出类似附图标号且在此处不必另外描述。

[0140] 安全设备具有存储器模块634，所述存储器模块634被配置成存储多个用户识别数据串。代表存储的多个用户识别数据串的信息632可以在存储器模块634与处理器606之间交换。当安全位置信息622包括特定用户识别串时，处理器可通过检验特定用户是否同样在所述多个用户识别数据串中被识别来检验因此被识别的特定用户是否被授权访问锁模块。安全位置信息622和存储器模块634可随后被用于确定安全状态信号628，以便当安全位置信息与所述多个用户识别数据串中的至少一个之间存在匹配时允许对锁模块的访问。

[0141] 图7以流程图700示出一种可以通过上文相对于图6公开的安全设备来执行的方法的步骤。在这个例子中，所述方法步骤可有利地以图7中示出且描述如下的顺序来执行。在其他例子中，所述步骤可以不同顺序执行。

[0142] 第一步骤702包括将安全位置信息与存储于耦合到安全设备的存储器模块中的多个用户识别数据串中的至少一个匹配。以此方式，具有钥匙模块的用户可以被匹配为可有权访问锁模块的已储存用户列表中的一个。

[0143] 第二步704涉及基于钥匙模块的位置是在锁模块的位置的预定接近度之内还是之外来确定安全状态信号。以此方式，遭受中继站攻击的已授权用户可能不被允许访问锁模块，而足够接近锁模块的已授权用户可被允许访问。

[0144] 仅在第一步骤702已经识别已授权用户之后执行第二步骤704可减少系统的带宽和处理需求，这是因为对于未被授权访问锁模块的用户，可避免第二步骤进行的位置匹配。

[0145] 第三步骤706包括通过经由移动电信网络与钥匙模块和锁模块中的一个或多个通信来执行认证步骤。第三步骤706可采用例如下文相对于图8描述的那些多因素认证和/或加密程序来提供安全设备与相关联的系统的安全性。

[0146] 第四步骤708包括基于安全状态信号和/或认证步骤将访问信号提供到访问端，以使用户能够访问车辆或其它设备。举例来说，访问信号可以被提供到车辆安全系统，所述车辆安全系统将视用户相对于车辆的位置来重新配置车辆以允许访问经选择的合适功能。

[0147] 图8示出四通道认证系统800的例子。这一系统800可用于在本公开的安全设备与例如锁模块和钥匙模块的其它组件之间的安全通信。

[0148] 系统800被第一虚线802和第二虚线804分成三个部分。在第一虚线802的左侧，示出了在车辆810内进行的信息处理。车辆810包含锁模块(图中未示)。在第一虚线802与第二虚线804之间，示出了经由移动电信系统的信息流。在第二虚线804的右侧，示出了在移动装置812内进行的信息处理。移动装置812包含钥匙模块(图中未示)。安全设备(图中未示)可被定位于车辆810中、移动装置812中或移动电信网络(图中未示)中的远程位置处。

[0149] 在系统800内发生的对信息的处理和发送在有限时段中进行，且竖直时间轴806示出时间如何随着系统800操作而流逝。

[0150] 系统800示出受保护的四通道认证程序的一般流程图，所述四通道认证程序可以在RKE(2通道模式)、PKE、PKG以及其它操作模式中使用以增强操作模式的安全性。通信序列可以由移动装置812或由车辆810触发。在任一情况下，在初始步骤中，移动装置812的IDE 820(识别串的例子)经由移动电信网络发送822到车辆810。如果IDE 820与存储于车辆810的存储器模块中的已授权移动装置的识别串的列表中的项目匹配，那么IDE 820可以被车辆810校验。存储器模块可以是电可擦除可编程只读存储器(EEPROM)。此初始步骤可依据与移动装置812相对于车辆810的位置相关的进一步决策来提供关于是否有可能允许移动装置812访问车辆810的快速决策。

[0151] 在这个例子中，IDE 820匹配，并且来自移动装置812的第一质询824在经由移动电信网络的第一发送826中被发送到车辆810。第一质询824可以用作用于加密过程的输入向量(IV)的输入。车辆810以在第二发送830中发送到移动装置812的第二质询828来响应第一质询824。第二质询828也可用作用于加密过程的IV。

[0152] 通过在车辆810和移动装置812二处使用加密引擎(图中未示)，可以计算加密过程的输出向量(OV)。

[0153] OV的部分被用作消息认证码832(MAC)，消息认证码832在第三发送834中从车辆810被发送到移动装置812。OV的另一部分被用作响应836(RES)。响应836在第四发送838中从移动装置812被发送到车辆810。

[0154] 如果MAC 832和响应836均在车辆810和移动装置812处都匹配，那么认证过程成功，且随后建立加密会话840。

[0155] 通过使用输出矢量，安全位置信息可以安全地从移动装置812传送到车辆810。当安全设备提供于车辆中时，安全位置信息可因此使安全设备能够确定钥匙模块是否在预定接近度内。

[0156] 在若干不同移动装置同时试图与车辆810通信的情况下，可称为在不同移动装置之间出现‘冲突’。在已完成位置检测之后，安全设备可以执行防冲突过程以从若干不同移动装置当中选择一个有效的移动装置。通过检测不同移动装置中的每一个的位置，安全设备可以选择仅与位于有效的位置，即，在预定接近度内的移动装置继续进一步通信。当其它的移动装置的无效位置已经被识别时，与在预定接近度之外的其它移动装置的通信会话被停止。

[0157] 在一些例子中，本公开的任何安全设备都可以被提供为集成电路。此外，本公开的任何安全设备可以提供为移动电子装置或车辆的一部分。当安全设备被提供在移动电子装置中时，所述装置还可以包括钥匙模块。当安全设备被提供在车辆中时，所述车辆还可以包括锁模块。在其他例子中，安全设备可以被提供在形成移动电信网络的组件的网络模块中，例如网络服务器。

[0158] 可以通过本公开的安全设备来启用多种不同特征和功能，例如：

[0159] ●被动与远程无钥门禁，所述无钥门禁使用移动装置且仅利用用于数据通信和手机(钥匙模块)定位的移动通信网络(例如，5G网络)(因此，可以提供专属低频(LF)、射频(RF)、低功耗蓝牙(BTLE)或超宽带(UWB)系统来作为任选或补充特征)；

[0160] ●在移动装置与车辆之间用于安全关键应用的距离绑定，例如远程停车，或远程汽车车门闭锁；

[0161] ●自主检测，由此当移动装置进入或离开车辆周围的某一预定接近度时，系统可从功率节省模式唤醒以发起方便的功能，例如欢迎灯，或步行远离闭锁；

[0162] ●可为被动和远程门禁以及引擎的启动提供快速反应时间；

[0163] ●在移动装置与车辆中的移动模块之间的安全端到端通信可以通过在两个装置中的可信任的安全元件来实现；

[0164] ●快速和安全认证算法可用于将延时时间降至最低；

[0165] ●移动装置与车辆二者的精确位置检测；

[0166] ●阻止中继站攻击；

[0167] ●可例如在被动模式中通过标准化近场通信(NFC)来提供任选备用应答器操作；

[0168] ●在没有移动网络的情况下，移动装置可尝试自动地通过例如5G网络、BTLE、无线局域网(WLAN)或NFC等最先进的无线技术来产生与车辆直接点对点的连接；以及[0169] ●允许从远程位置访问车辆，以允许第三方用户进入车辆。

[0170] 自主(也被称为自动驾驶、无司机或机器人)车辆在用于门禁和引擎启动的车辆访问解决方案方面很可能具有的影响是显著的。此外，逐渐增加的汽车共享服务的使用将改变车辆所有者和用户访问车辆的方式。

[0171] 在当今的车辆访问系统中，合法用户的认证基于用户拥有通常为钥匙挂扣的物理标记来完成。车辆通常仅基于校验钥匙存在于车辆周围的某一预定接近度内而允许进入和引擎启动。自动驾驶汽车和汽车共享服务将需要完全新的访问与安全方法，例如，需要车辆拥有者远程处理访问与使用车辆的授权。有利地，不但可以定位与认证在车辆周围的预定接近度内的钥匙挂扣，而且可以定位与认证自动驾驶汽车中的乘客(无法驾驶)，并且还可以定位与认证没有人类乘客的车辆。

[0172] 由本公开提供的至关重要的构思是，移动通信网络(例如，未来的5G网络)可用于：

[0173] (i)代替基于钥匙挂扣、LF/RF点对点通信方法以及LF相对信号强度指示(RSSI)定位技术的汽车访问解决方案；

[0174] (ii)实现自主车辆和汽车共享方法需要的新认证使用情况。

[0175] 下一代移动网络的能力可用于实现安全、快速以及可靠的车辆访问应用。任选地，可提供备用系统以用于其中使用下一代移动网络的通信不可用的区域或当移动装置的电池为空时。

[0176] 5G网络预期对数据连接提供增强的速度与质量，预期达到比4G网络快十倍到一百倍的速度。5G网络可依赖于毫米波技术，这是在30GHz与300GHz之间的频带范围，也即可用于以无线方式发送数据的极高频率波。随着更快网络速度与几乎瞬间的延时，5G预期将连通性提高到下一等级。5G连通可以被视为可以支持使用移动装置(代替经典的钥匙挂扣)的完全被动门禁/启动系统的突破性技术，其中移动装置依赖于用于数据通信的移动网络。

[0177] 可用于汽车访问以及防盗止动的替代的被动无钥门禁/启动系统是基于用于钥匙、基站集成电路、天线与缆线的昂贵组件。对车辆的访问在不同车辆型号中并未标准化，且安全性与延时时间取决于特定应用。用户有可能仅使用用于被动无钥门禁的经典钥匙挂扣。移动电话可能不支持可以在PKE中使用的专属接口(125kHz LF)。

[0178] 应了解本文中所公开的任何安全设备可以与任何设备结合使用，其中可有利地允许具有在设备的预定接近度之内的钥匙模块的用户对设备的访问。虽然如上文所公开，所述设备可以是任何类型的车辆，但是实际上，所述设备可以涉及非汽车访问系统，例如可以存在于建筑物中。锁模块可以被配置成锁定或解锁建筑物中的门。或者，锁模块可以提供对建筑物的照明或加热/空气调节系统等任何其它功能的基于距离的访问。在其他例子中，设备可能包括安全支付系统的组件，所述组件仅在钥匙模块距离支付系统足够贴近时才允许作出支付。这可有利地阻止被用于在用户未知或没有同意的情况下通过用户的非接触支付装置来发起支付的中继站攻击。

[0179] 除非明确陈述具体次序，否则可以任何次序执行以上图式中的指令和/或流程图步骤。而且，本领域的技术人员将认识到，虽然已论述了一个示例指令集/方法，但是在本说明书中的材料可以多种方式组合从而还产生其它例子，并且应在此详细描述提供的上下文内来进行理解。

[0180] 在一些例子实施例中，上文描述的指令集/方法步骤实施为体现为可执行指令集的功能和软件指令，所述可执行指令集在计算机或以所述可执行指令编程和控制的机器上实现。此类指令被加载用于在处理器(例如一个或多个CPU)上执行。术语处理器包括微处理器、微控制器、处理器模块或子系统(包括一个或多个微处理器或微控制器)，或其它控制或计算装置。处理器可以指单个组件或指代多个组件。

[0181] 在其它例子中，本文示出的指令集/方法以及与其相关联的数据和指令存储于相应存储装置中，所述存储装置被实施为一个或多个非暂时性机器或计算机可读或计算机可用存储媒体。此类计算机可读或计算机可用存储媒体被视为物品(或制品)的一部分。物品或制品可以指代任何所制造的单个组件或多个组件。如本文所定义的非暂时性机器或计算机可用媒体不包括信号，但此类媒体能够接收并处理来自信号和/或其它暂时性媒体的信息。

[0182] 本说明书中论述的材料的示例实施例可整体或部分地通过网络、计算机或基于数据的装置和/或服务来实施。这些可包括云、互联网、内联网、移动装置、台式计算机、处理器、查找表、微控制器、消费者设备、基础架构，或其它启用装置和服务。如本文和权利要求书中可能使用，提供以下非排它性定义。

[0183] 在一个例子中，本文中论述的一个或多个指令或步骤是自动的。术语自动化或自动地(和其类似变型)意指使用计算机和/或机械/电气装置来控制设备、系统和/或过程的操作，而不需要人类干预、观测、努力和/或决策。

[0184] 应了解，称为被耦合的任何组件可以被直接或间接地耦合或连接。在间接耦合的状况下，可在称为耦合的两个组件之间安置另外的组件。

[0185] 在本说明书中，已依据选定的细节集合而呈现示例实施例。然而，本领域的普通技术人员将理解，可以实践包括这些细节的不同选定集合的许多其它示例实施例。希望所附权利要求书涵盖所有可能的示例实施例。