FR2981028A1 - Virtual key system for controlling access or start-up functions of car, has memory card including registration differential whose validity decreases until reaching time limit, and cooling unit refreshing differential to avoid time limit - Google Patents
Virtual key system for controlling access or start-up functions of car, has memory card including registration differential whose validity decreases until reaching time limit, and cooling unit refreshing differential to avoid time limit Download PDFInfo
- Publication number
- FR2981028A1 FR2981028A1 FR1103036A FR1103036A FR2981028A1 FR 2981028 A1 FR2981028 A1 FR 2981028A1 FR 1103036 A FR1103036 A FR 1103036A FR 1103036 A FR1103036 A FR 1103036A FR 2981028 A1 FR2981028 A1 FR 2981028A1
- Authority
- FR
- France
- Prior art keywords
- terminal
- differential
- vehicle
- record
- segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000007423 decrease Effects 0.000 title claims abstract description 5
- 238000001816 cooling Methods 0.000 title abstract description 3
- 230000006870 function Effects 0.000 title description 7
- 238000012545 processing Methods 0.000 claims abstract description 49
- 238000004891 communication Methods 0.000 claims abstract description 46
- 238000012795 verification Methods 0.000 claims description 9
- 238000000034 method Methods 0.000 description 18
- 230000004044 response Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00571—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/20—Means to switch the anti-theft system on or off
- B60R25/24—Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R2325/00—Indexing scheme relating to vehicle anti-theft devices
- B60R2325/20—Communication devices for vehicle anti-theft devices
- B60R2325/205—Mobile phones
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00309—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
- G07C2009/0042—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal containing a code which is changed
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Storage Device Security (AREA)
Abstract
Description
La présente invention concerne un système de clé virtuelle, et particulièrement un moyen de sécuriser un tel système contre le vol. De manière générale et connue un système de clé comprend une clé et un moyen de vérification de l'authenticité de ladite clé, encore nommé serrure. Un tel 5 système est utilisé afin de contrôler des fonctions importantes telles que l'accès ou la mise en marche, par exemple d'un véhicule automobile. Dans un système de clé virtuelle, la clé est un enregistrement « clé » contenant un code secret stocké par exemple dans une carte mémoire, et la serrure comprend des moyens permettant de vérifier l'authenticité dudit code secret. 10 Un système de clé virtuelle comprend un segment véhicule comprenant au moins un enregistrement « clé véhicule » et un segment terminal comprenant au moins un enregistrement « clé terminal ». Une procédure d'authentification vérifie si l'enregistrement « clé véhicule » est apparié ou non avec l'enregistrement « clé terminal ». 15 Le segment terminal est avantageusement un terminal mobile communiquant apte à se connecter à un segment réseau et à communiquer via un réseau de communication. Ceci est avantageux en ce que, de manière connue, en cas de vol du segment terminal, il est possible d'invalider ledit segment terminal en tant que clé, via le réseau de communication. 20 Cependant un voleur peut choisir de ne plus connecter le segment terminal volé afin d'empêcher ladite invalidation et pouvoir continuer à utiliser le segment terminal en tant que clé. Il convient de renforcer la sécurité d'un système de clé virtuelle en offrant un moyen d'invalidation d'une clé volée, même en l'absence de connexion au réseau. 25 L'invention a pour objet un système de clé virtuelle comprenant un segment véhicule disposé dans un véhicule et comprenant un moyen de communication véhicule, un moyen de traitement véhicule, et une mémoire comprenant au moins un enregistrement « clé véhicule », un segment terminal disposé dans un terminal mobile et comprenant un moyen de communication terminal, un moyen de traitement terminal, et 30 une carte mémoire comprenant au moins un enregistrement « clé terminal », le moyen de traitement véhicule et le moyen de traitement terminal étant aptes à dialoguer, via les moyens de communication, pour réaliser une authentification du segment terminal auprès du segment véhicule, par vérification que l'enregistrement « clé véhicule » est apparié à l'enregistrement « clé terminal », et comprenant en outre un segment réseau, l'invention 35 résidant dans le fait que la carte mémoire comprend un enregistrement « différentiel » dont la validité diminue jusqu'à atteindre une péremption et que le dit système comprend un moyen de rafraichissement apte à rafraichir le dit enregistrement « différentiel » afin d'éviter une péremption Selon une autre caractéristique de l'invention, le système comprend encore un moyen de vérification apte à vérifier la validité de l'enregistrement « différentiel » et où le moyen de traitement véhicule et le moyen de traitement terminal sont encore aptes à utiliser le moyen de vérification afin de vérifier la validité de l'enregistrement « différentiel » pour réaliser une authentification. Selon une autre caractéristique de l'invention, le système comprend encore un moyen de rafraîchissement apte à rafraîchir, ledit enregistrement « différentiel », afin 10 d'éviter une péremption. Selon une autre caractéristique de l'invention, le moyen de traitement véhicule et le moyen de traitement terminal sont tels que la validité de l'enregistrement « différentiel » n'est pas vérifiée pour réaliser une authentification lorsque le segment terminal est connecté au segment réseau. 15 Selon une autre caractéristique de l'invention, le moyen de traitement véhicule et le moyen de traitement terminal sont tels que la validité de l'enregistrement « différentiel » n'est pas vérifiée pour réaliser une authentification d'accès au véhicule. Selon une autre caractéristique de l'invention, le moyen de traitement véhicule et le moyen de traitement terminal sont tels que la validité de l'enregistrement 20 « différentiel » est vérifiée pour réaliser une authentification de démarrage du moteur. Selon une autre caractéristique de l'invention, le système comprend au moins un premier et un deuxième enregistrement « clé terminal », et le moyen de traitement terminal est apte à contribuer à une authentification, au moyen du premier enregistrement « clé terminal » lorsque le segment terminal est connecté au segment réseau et au moyen 25 du deuxième enregistrement « clé terminal » lorsque le segment terminal n'est pas connecté au segment réseau. Selon une autre caractéristique de l'invention, l'enregistrement « différentiel » comprend des éléments permettant de calculer une heure de péremption, et l'enregistrement « différentiel » est valide tant que l'heure courante est inférieure à ladite 30 heure de péremption. Selon une autre caractéristique de l'invention, l'enregistrement « différentiel » comprend des éléments permettant de calculer un kilométrage de péremption, et l'enregistrement « différentiel » est valide tant que le kilométrage courant du véhicule est inférieur au kilométrage de péremption. 35 Selon une autre caractéristique de l'invention, l'enregistrement « différentiel » comprend des éléments permettant de calculer une zone géographique de péremption, et l'enregistrement « différentiel » est valide tant que la position courante du véhicule est dans ladite zone géographique de péremption. Selon une autre caractéristique de l'invention, le moyen de rafraîchissement est apte à rafraîchir l'enregistrement « différentiel » en actualisant lesdits éléments 5 permettant de calculer l'heure de péremption, le kilométrage de péremption et/ou la zone géographique de péremption. L'invention concerne encore un segment terminal compatible d'un tel système. D'autres caractéristiques, détails et avantages de l'invention ressortiront plus clairement de la description détaillée donnée ci-après à titre indicatif en relation avec des 10 dessins sur lesquels : - la figure 1 illustre un système de clé virtuelle, - la figure 2 illustre une procédure d'authentification, - la figure 3 illustre une cartographie de la carte mémoire. La figure 1 représente schématiquement un système 1 de clé virtuelle typique, 15 dans son environnement, illustratif de l'invention. De manière illustrative, on considère dans ce qui suit que la clé est disposée dans un terminal mobile, tel un téléphone portable, un smartphone, un PDA (« Personal Digital Assistant » en anglais, ou assistant personnel digital) ou équivalent, et que la serrure est disposée dans un véhicule automobile que l'on souhaite protéger. 20 Un système 1 de clé virtuelle comprend un segment véhicule 10 et un segment terminal 20. Le segment véhicule 10 est disposé dans un véhicule 11, et comprend un moyen de communication véhicule 13, un moyen de traitement véhicule 12, et une mémoire 14 comprenant au moins un enregistrement « clé véhicule » 15. De manière sensiblement symétrique, le segment terminal 20 est disposé dans un terminal 25 mobile 21, et comprend un moyen de communication terminal 23, un moyen de traitement terminal 22, et une carte mémoire 24 comprenant au moins un enregistrement « clé terminal» 25. La carte mémoire 24 est avantageusement un moyen de stockage d'information sécurisé. Un enregistrement de données est protégé contre un accès non 30 autorisé et contre un piratage, en ce que l'accès aux données enregistrées, tant en lecture qu'en écriture, est tel qu'il ne peut être réalisé que via une application dédiée. Cette application met en place des moyens d'identification et de reconnaissance d'un demandeur, par exemple au moyen d'une clé secrète, afin de n'autoriser l'accès aux données qu'à un demandeur autorisé. Il est autrement impossible d'accéder directement 35 à la zone mémoire. Ainsi un enregistrement « clé terminal » 25 est protégé et ne peut être lu que par un demandeur autorisé, après son identification. The present invention relates to a virtual key system, and particularly a means of securing such a system against theft. In general and known manner a key system comprises a key and a means of verifying the authenticity of said key, also called lock. Such a system is used to control important functions such as access or start-up, for example of a motor vehicle. In a virtual key system, the key is a "key" record containing a secret code stored for example in a memory card, and the lock includes means for verifying the authenticity of said secret code. A virtual key system comprises a vehicle segment comprising at least one "vehicle key" record and a terminal segment including at least one "terminal key" record. An authentication procedure verifies whether the "vehicle key" registration is matched or not with the "terminal key" registration. The terminal segment is advantageously a communicating mobile terminal capable of connecting to a network segment and communicating via a communication network. This is advantageous in that, in known manner, in case of theft of the terminal segment, it is possible to invalidate said terminal segment as a key, via the communication network. However, a thief may choose to no longer connect the stolen terminal segment to prevent said invalidation and to be able to continue using the terminal segment as a key. The security of a virtual key system should be enhanced by providing a way to disable a stolen key, even when there is no network connection. The subject of the invention is a virtual key system comprising a vehicle segment disposed in a vehicle and comprising a vehicle communication means, a vehicle processing means, and a memory comprising at least one "vehicle key" record, an end segment arranged in a mobile terminal and comprising a terminal communication means, a terminal processing means, and a memory card comprising at least one "terminal key" record, the vehicle processing means and the terminal processing means being able to communicate, via the communication means, to perform authentication of the terminal segment with the vehicle segment, by verifying that the registration "key vehicle" is matched to the registration "terminal key", and further comprising a network segment, the invention 35 resides in the fact that the memory card includes a "differential" recording whose validity diminishes e until reaching an expiration and that said system comprises a refreshing means suitable for refreshing said "differential" record in order to avoid expiry According to another characteristic of the invention, the system also comprises a suitable verification means to check the validity of the "differential" registration and where the vehicle processing means and the terminal processing means are still able to use the verification means to check the validity of the "differential" registration to perform an authentication. According to another characteristic of the invention, the system also comprises a refreshing means capable of refreshing, said "differential" recording, in order to avoid an expiry. According to another characteristic of the invention, the vehicle processing means and the terminal processing means are such that the validity of the "differential" record is not verified to perform authentication when the terminal segment is connected to the network segment. . According to another characteristic of the invention, the vehicle processing means and the terminal processing means are such that the validity of the "differential" record is not checked to perform a vehicle access authentication. According to another characteristic of the invention, the vehicle processing means and the terminal processing means are such that the validity of the "differential" registration is checked to perform a start-up authentication of the engine. According to another characteristic of the invention, the system comprises at least a first and a second "terminal key" record, and the terminal processing means is able to contribute to an authentication, by means of the first "terminal key" record when the The terminal segment is connected to the network segment and the second "terminal key" record when the terminal segment is not connected to the network segment. According to another characteristic of the invention, the "differential" recording comprises elements making it possible to calculate an expiry time, and the "differential" recording is valid as long as the current time is less than the said expiry time. According to another characteristic of the invention, the "differential" recording comprises elements making it possible to calculate a lapse mileage, and the "differential" registration is valid as long as the current mileage of the vehicle is less than the lapse rate. According to another characteristic of the invention, the "differential" recording comprises elements making it possible to calculate a geographical area of expiry, and the "differential" recording is valid as long as the current position of the vehicle is in said geographical area of expiration. According to another characteristic of the invention, the refreshing means is able to refresh the "differential" recording by updating said elements 5 making it possible to calculate the expiry time, the expiry mileage and / or the geographical area of expiry. The invention also relates to a compatible terminal segment of such a system. Other characteristics, details and advantages of the invention will emerge more clearly from the detailed description given below as an indication in relation to drawings in which: FIG. 1 illustrates a virtual key system, FIG. illustrates an authentication procedure, - Figure 3 illustrates a map of the memory card. Figure 1 schematically shows a typical virtual key system 1 in its environment, illustrative of the invention. Illustratively, it is considered in the following that the key is disposed in a mobile terminal, such as a mobile phone, a smartphone, a PDA ("Personal Digital Assistant" or equivalent), and that the lock is disposed in a motor vehicle that we want to protect. A virtual key system 1 comprises a vehicle segment 10 and a terminal segment 20. The vehicle segment 10 is disposed in a vehicle 11, and comprises a vehicle communication means 13, a vehicle processing means 12, and a memory 14 comprising at least one "vehicle key" registration 15. In a substantially symmetrical manner, the terminal segment 20 is disposed in a mobile terminal 21, and comprises a terminal communication means 23, a terminal processing means 22, and a memory card 24 comprising at least one "terminal key" registration 25. The memory card 24 is advantageously a secure information storage means. A data record is protected against unauthorized access and against hacking, in that access to recorded data, both read and write, is such that it can only be realized via a dedicated application. This application sets up means for identifying and recognizing a requester, for example by means of a secret key, in order to allow access to the data only to an authorized requester. It is otherwise impossible to directly access the memory area. Thus a "terminal key" record 25 is protected and can only be read by an authorized requester after identification.
Le moyen de communication véhicule 13 et le moyen de communication terminal 23 sont aptes à communiquer entre eux afin d'échanger des informations de manière bidirectionnelle, via une liaison 37. Il s'agit avantageusement de moyens de communication sans contact, tels une paire d'émetteurs/récepteur infrarouge ou hertzien. The vehicle communication means 13 and the terminal communication means 23 are able to communicate with each other in order to exchange information bidirectionally, via a link 37. Advantageously, it is a contactless communication means, such as a pair of contacts. infrared or wireless transmitters / receiver.
Le moyen de communication véhicule 13 et le moyen de communication terminal 23 sont appariés et emploient un même support 37 tel WiFi, Bluetooth, NFC (« Near Field Communication » en anglais ou communication en champ proche), ou équivalent. La liaison 37 peut être une liaison point à point ou être supportée par un réseau, tel un réseau de téléphonie mobile. The vehicle communication means 13 and the terminal communication means 23 are paired and use the same medium 37 such as WiFi, Bluetooth, NFC ("Near Field Communication" or equivalent in the near field). The link 37 may be a point-to-point link or be supported by a network, such as a mobile telephone network.
Le moyen de traitement véhicule 12 et le moyen de traitement terminal 22 sont aptes à traiter de l'information. Le moyen de traitement véhicule 12 est interfacé au moyen de communication véhicule 13 et le moyen de traitement terminal 22 est interfacé au moyen de communication terminal 23. Ainsi le moyen de traitement véhicule 12 et le moyen de traitement terminal 22 sont aptes à dialoguer entre eux. Ce dialogue a notamment pour but d'échanger des informations afin de tester si l'enregistrement « clé véhicule » 15 est apparié avec l'enregistrement « clé terminal » 25, afin de réaliser une authentification. L'authentification est une réussite si la vérification conclut que l'enregistrement « clé véhicule » 15 et l'enregistrement « clé terminal » 25 sont appariés. Dans ce cas le segment terminal 20 est authentifié auprès du segment véhicule 10. The vehicle processing means 12 and the terminal processing means 22 are able to process information. The vehicle processing means 12 is interfaced to the vehicle communication means 13 and the terminal processing means 22 is interfaced to the terminal communication means 23. Thus the vehicle processing means 12 and the terminal processing means 22 are able to communicate with each other. . One purpose of this dialogue is to exchange information in order to test whether the registration "vehicle key" 15 is matched with the registration "terminal key" 25, in order to perform an authentication. The authentication is successful if the verification concludes that the "vehicle key" record 15 and the "terminal key" record 25 are matched. In this case, the terminal segment 20 is authenticated to the vehicle segment 10.
L'authentification est un échec dans le cas contraire. Avantageusement l'authentification est réalisée sans transmission directe, via les moyens de communication 13, 23, ni de la « clé véhicule » 15, ni de la « clé terminal » 25, mais uniquement de données produites au moyen de la « clé véhicule » 15 ou de la « clé terminal » 25. Authentication is a failure in the opposite case. Advantageously, the authentication is carried out without direct transmission, via the communication means 13, 23, neither of the "vehicle key" 15, nor of the "terminal key" 25, but only of data produced by means of the "vehicle key" 15 or "terminal key" 25.
Ceci peut être obtenu, par un procédé tel celui illustré à la figure 2. Un tel procédé utilise, par exemple, des moyens de cryptage / décryptage, tel que AES (standard de chiffrement avancé, ou Advanced Encryptions System). Sur la figure 2, le segment véhicule 10 est présenté à gauche et le segment terminal 20 est présenté à droite. Selon ce procédé le moyen de traitement véhicule 12 produit un nombre aléatoire ou « semence » au moyen d'un générateur de nombre aléatoire 50. Au moyen d'un bloc de cryptage véhicule 51, le moyen de traitement véhicule 12 traite ladite « semence » pour produire une « réponse véhicule » 53, basée sur la « clé véhicule » 15. Le moyen de traitement véhicule 12 transmet ensuite la « semence » aléatoire par une communication 55 au moyen de traitement terminal 22. Au moyen d'un bloc de cryptage terminal 61, le moyen de traitement terminal 22 traite ladite « semence » transmise pour produire une « réponse terminal » 63, basée sur la « clé terminal » 25. This can be achieved by a method such as that illustrated in Figure 2. Such a method uses, for example, encryption / decryption means, such as AES (Advanced Encryption Standard or Advanced Encryption System). In FIG. 2, the vehicle segment 10 is shown on the left and the terminal segment 20 is shown on the right. According to this method the vehicle processing means 12 produces a random number or "seed" by means of a random number generator 50. By means of a vehicle encryption block 51, the vehicle processing means 12 processes said "seed" to produce a "vehicle response" 53, based on the "vehicle key" 15. The vehicle processing means 12 then transmits the random "seed" by a communication 55 to the terminal processing means 22. By means of an encryption block terminal 61, the terminal processing means 22 processes said transmitted "seed" to produce a "terminal response" 63, based on the "terminal key" 25.
Le moyen de traitement terminal 22 transmet la « réponse terminal » 63 au moyen de traitement véhicule 12 par une transmission 65. La « réponse véhicule » 53 produite localement par le segment véhicule 20 et la « réponse terminal » 63 transmise sont ensuite comparées par un moyen de comparaison véhicule 54. Une identité permet de confirmer que la « clé véhicule » 15 et la « clé terminal » 25 sont appariées. La comparaison véhicule 54, réalisée par le moyen de traitement véhicule 12, indique le résultat de l'authentification. Un résultat positif 57 de cette comparaison véhicule 54 permet de commander la fonction accès, démarrage, etc., protégée par le système de clé virtuelle 1. The terminal processing means 22 transmits the "terminal response" 63 to the vehicle processing means 12 via a transmission 65. The "vehicle response" 53 produced locally by the vehicle segment 20 and the "transmitted terminal response" 63 are then compared by a vehicle identification means 54. An identity makes it possible to confirm that the "vehicle key" 15 and the "terminal key" 25 are matched. The vehicle comparison 54, performed by the vehicle processing means 12, indicates the result of the authentication. A positive result 57 of this vehicle comparison 54 makes it possible to control the access, start-up function, etc., protected by the virtual key system 1.
En cas de vol du terminal mobile 21, un voleur est en possession du segment terminal 20 et donc de la clé et peut l'utiliser pour commander la fonction protégée de manière non autorisée. Suite à un vol, le propriétaire légitime du segment terminal 20 déclare le vol et déclenche une procédure d'invalidation de la clé. De manière connue, le fait que le terminal mobile 21 soit un terminal communiquant via un réseau de communication 31, est mis à profit pour invalider le terminal mobile 21 en tant que clé, via ledit réseau de communication 31, au moyen d'un message d'invalidation envoyé via le réseau de communication 31, par exemple depuis un serveur de sécurité auprès duquel le propriétaire légitime a déclaré le vol. Le réseau de communication 31 est typiquement un réseau cellulaire de 20 téléphonie mobile ou de transmission de données. Il permet de dialoguer depuis un autre terminal mobile ou depuis tout terminal informatique, via une passerelle Internet, avec le segment terminal 20, par exemple par l'envoi de messages de type SMS. Cependant, tant que le voleur ne connecte pas le terminal mobile 21 au réseau de communication 31, le message d'invalidation ne peut être reçu par le segment 25 terminal 20 et l'invalidation ne peut être réalisée. L'objet de l'invention est de réaliser une parade à un tel refus de connexion, afin d'empêcher une utilisation non autorisée, afin de renforcer la sécurité du système de clé virtuelle 1, en interdisant une telle utilisation. Pour cela, selon l'invention, le segment terminal 20 comprend encore un 30 enregistrement « différentiel » 40. Cet enregistrement « différentiel » 40 est avantageusement disposé dans une carte mémoire 24, avantageusement la même carte mémoire 24 qui stocke la « clé terminal » 25. Ceci permet avantageusement de protéger ledit enregistrement « différentiel » 40, avec des moyens de sécurité, afin d'empêcher un accès non autorisé, par exemple par le voleur. 35 Ledit enregistrement « différentiel » 40 est tel que sa validité diminue jusqu'à atteindre une péremption. In case of the theft of the mobile terminal 21, a thief is in possession of the terminal segment 20 and therefore of the key and can use it to control the protected function in an unauthorized manner. Following a theft, the legitimate owner of the terminal segment 20 declares the theft and triggers a procedure for invalidating the key. In known manner, the fact that the mobile terminal 21 is a terminal communicating via a communication network 31, is used to invalidate the mobile terminal 21 as a key, via said communication network 31, by means of a message of invalidation sent via the communication network 31, for example from a security server with which the legitimate owner has declared the theft. The communication network 31 is typically a cellular mobile telephone network or data transmission network. It allows dialogue from another mobile terminal or from any computer terminal, via an Internet gateway, with the terminal segment 20, for example by sending messages of SMS type. However, as long as the thief does not connect the mobile terminal 21 to the communication network 31, the invalidation message can not be received by the terminal segment 20 and the invalidation can not be performed. The object of the invention is to perform a parry to such a refusal of connection, to prevent unauthorized use, to enhance the security of the virtual key system 1, prohibiting such use. For this, according to the invention, the terminal segment 20 further comprises a "differential" recording 40. This "differential" recording 40 is advantageously arranged in a memory card 24, advantageously the same memory card 24 which stores the "terminal key" This advantageously makes it possible to protect said "differential" recording 40, with security means, in order to prevent unauthorized access, for example by the thief. Said "differential" registration 40 is such that its validity decreases until it reaches an expiration.
Le segment terminal 20 comprend encore un moyen de vérification 28 permettant de vérifier la validité de l'enregistrement « différentiel » 40. Au cours de la procédure d'authentification, réalisée conjointement par le moyen de traitement véhicule 12 et le moyen de traitement terminal 22, les deux moyens de traitement 12, 22 sont avantageusement aptes à utiliser le moyen de vérification 28 afin de vérifier la validité de l'enregistrement « différentiel » 40, et à inclure cette validité dans la réalisation d'une authentification. Ainsi il est possible, lorsque l'enregistrement « différentiel » 40 n'est plus valide parce que la péremption est atteinte, de conclure à une authentification négative, alors même que les autres tests sont positifs. The terminal segment 20 also comprises a verification means 28 making it possible to check the validity of the "differential" recording 40. During the authentication procedure, carried out jointly by the vehicle processing means 12 and the terminal processing means 22 the two processing means 12, 22 are advantageously able to use the verification means 28 in order to verify the validity of the "differential" record 40, and to include this validity in carrying out an authentication. Thus it is possible, when the "differential" registration 40 is no longer valid because the expiration is reached, to conclude to a negative authentication, even though the other tests are positive.
Ainsi la parade au vol d'un segment terminal 20 est complète. Si le voleur connecte le terminal mobile 21 volé au réseau de communication 31 la clé est invalidée via le réseau de communication et une authentification rend un résultat négatif. Si le voleur ne connecte par le terminal mobile 21 volé au réseau de communication 31, la validité de l'enregistrement « différentiel » 40 peut être vérifiée, lors de la procédure d'authentification, si le système est configuré en ce sens, et une authentification rend un résultat négatif, une fois que la péremption est atteinte. Dans tous les cas d'usage, un voleur du terminal mobile 21 ne peut obtenir indûment la fonction protégée, que pendant un temps très limité. La figure 3 représente un mode de réalisation d'une carte mémoire 24. Ladite carte mémoire 24 comporte un certain nombre d'enregistrements pouvant comprendre des valeurs stockées, le cas échéant de manière sécurisée. Ainsi selon un mode de réalisation une carte mémoire 24 peut comprendre un enregistrement « clé terminal » 25. Elle peut encore comprendre un enregistrement « différentiel » 40. D'autres enregistrements 39 peuvent encore être présents. Thus the flight parry of a terminal segment 20 is complete. If the thief connects the stolen mobile terminal 21 to the communication network 31 the key is disabled via the communication network and authentication makes a negative result. If the thief does not connect the stolen mobile terminal to the communication network 31, the validity of the "differential" record 40 can be verified, during the authentication procedure, if the system is configured in this way, and a authentication makes a negative result, once the expiry is reached. In all cases of use, a thief of the mobile terminal 21 can not unduly obtain the protected function, for a very limited time. FIG. 3 represents an embodiment of a memory card 24. Said memory card 24 comprises a certain number of records that can include stored values, where appropriate in a secure manner. Thus, according to one embodiment, a memory card 24 may comprise a "terminal key" record 25. It may also comprise a "differential" record 40. Other recordings 39 may still be present.
Sur la base de cet enregistrement « différentiel » 40, dont le contenu est indicatif d'une validité, d'autant plus importante que le segment terminal 20 a été récemment connecté au segment réseau 30, il est possible de réaliser au moins deux actions de sauvegarde de l'intégrité du système, lorsque ladite validité s'annule et qu'une péremption est atteinte. On the basis of this "differential" record 40, the content of which is indicative of validity, all the more important that the terminal segment 20 has been recently connected to the network segment 30, it is possible to perform at least two actions of safeguarding the integrity of the system, when said validity is canceled and expiry is reached.
La détection de l'atteinte d'une péremption par le processus d'authentification peut être réalisée par l'un quelconque des deux acteurs dudit processus, soit par le segment terminal 20, soit par le segment véhicule 10. La menace que l'on cherche à éviter ici est celle d'un voleur, ayant volé un terminal mobile 21, et qui évite une invalidation en ne se connectant plus au réseau de 35 communication 31, afin ainsi de continuer à utiliser indûment la clé. Afin de contrer cette menace, une première action consiste à rendre un résultat négatif à une authentification lorsque l'enregistrement « différentiel » 40 n'est plus valide, en ce qu'il a atteint sa péremption. Pour cela le processus d'authentification peut inclure une vérification de la validité de l'enregistrement « différentiel » 40. Tant que l'enregistrement « différentiel » 40 est valide le procédé d'authentification se déroule normalement, comme précédemment décrit et rend son résultat indépendamment de l'enregistrement « différentiel » 40. Lorsque l'enregistrement « différentiel » 40 est périmé le procédé d'authentification, s'il tient compte de la validité de l'enregistrement « différentiel » 40, rend un résultat négatif, même si la « clé véhicule » 15 et la « clé terminal » 25 sont appariées. Une deuxième action consiste à invalider la clé du terminal mobile 21 lorsque l'enregistrement « différentiel » devient périmé. Une telle opération, à l'instar d'une invalidation via le réseau de communication 31, bloque quasi définitivement la clé et interdit toute authentification positive ultérieure. Seule une procédure hautement sécurisée permet alors d'activer à nouveau la clé. Une telle action est cependant préjudiciable en ce qu'elle interdit à un propriétaire autorisé de débloquer le système. The detection of the achievement of an expiry by the authentication process can be performed by any one of the two actors of said process, either by the terminal segment 20 or by the vehicle segment 10. The threat that one The problem here is that of a thief who has stolen a mobile terminal 21 and avoids an invalidation by no longer connecting to the communication network 31, so as to continue to use the key unduly. In order to counter this threat, a first action consists in rendering a negative result to an authentication when the "differential" record 40 is no longer valid, in that it has reached its expiry. For this, the authentication process may include a verification of the validity of the "differential" record 40. As long as the "differential" record 40 is valid, the authentication process proceeds normally, as previously described and renders its result. regardless of the "differential" record 40. When the "differential" record 40 is out of date, the authentication method, if it takes into account the validity of the "differential" record 40, renders a negative result, even if the "vehicle key" 15 and the "terminal key" 25 are paired. A second action is to invalidate the key of the mobile terminal 21 when the registration "differential" becomes out of date. Such an operation, like an invalidation via the communication network 31, almost permanently blocks the key and prohibits any subsequent positive authentication. Only a highly secure procedure can then activate the key again. Such action, however, is detrimental in that it prohibits an authorized owner from unblocking the system.
Une fois que l'enregistrement « différentiel » 40 a atteint sa péremption, le système est bloqué en ce qu'une authentification positive ne peut plus être obtenue. Ceci est recherché à l'encontre d'un voleur. Cependant le système ne doit avantageusement pas atteindre cette péremption lors d'un usage normal par un utilisateur autorisé. Pour cela il est nécessaire 20 de pouvoir rafraîchir la validité de l'enregistrement « différentiel » 40. A cette fin le système comprend avantageusement au moins un moyen de rafraîchissement 36 apte à rafraîchir l'enregistrement « différentiel » 40, avant que sa validité ne décline trop, afin qu'il n'atteigne pas sa péremption. Ce moyen de rafraîchissement 36 appartient typiquement au segment 25 réseau 30, et nécessite une connexion du terminal mobile 21 au réseau de communication 31 par le moyen de communication 34. Avantageusement, le moyen de rafraîchissement 36 emploie le même moyen de communication 31 avec le segment terminal 20 que le moyen d'invalidation. Le moyen de rafraîchissement 36 localisé sur un terminal/serveur 32 relié au 30 dit réseau de communication 31 par un moyen de communication 33, est apte, après les vérifications d'identité d'usage, à effectuer un rafraîchissement de l'enregistrement « différentiel » 40, au moyen d'une commande à distance, transmise via ledit réseau de communication 31. Une telle commande est typiquement une commande utilisant le moyen de communication OTA 38 (de l'anglais Over The Air, signifiant depuis le réseau). 35 A des fins de sécurité, le moyen de rafraîchissement 36 est typiquement un serveur sécurisé de confiance (en anglais : Trust Service Manager, ou TSM). Once the "differential" record 40 has reached its expiration, the system is blocked in that a positive authentication can no longer be obtained. This is sought against a thief. However, the system should not advantageously reach this lapse in normal use by an authorized user. For this purpose, it is necessary to be able to refresh the validity of the "differential" recording 40. For this purpose, the system advantageously comprises at least one refreshing means 36 capable of refreshing the "differential" recording 40, before its validity declines too much, so that it does not reach its expiration. This refresh means 36 typically belongs to the network segment 30, and requires a connection of the mobile terminal 21 to the communication network 31 by the communication means 34. Advantageously, the refresh means 36 uses the same communication means 31 with the segment terminal 20 that the invalidation means. The refresh means 36 located on a terminal / server 32 connected to said communication network 31 by a communication means 33 is able, after the usual identity checks, to perform a refresh of the differential recording. 40, by means of a remote control, transmitted via said communication network 31. Such a command is typically a command using the OTA communication means 38 (over-the-air means from the network). For security purposes, the refresh means 36 is typically a trust secure server (in English: Trust Service Manager, or TSM).
Selon un mode de réalisation alternatif, le moyen de rafraîchissement peut encore appartenir et être localisé sur le segment véhicule 10. Un tel mode de réalisation est avantageux en ce qu'il permet à un utilisateur autorisé de ne pas se voir bloqué en l'absence de réseau. Cependant ce même mode de réalisation peut aussi permettre à un 5 voleur ayant aussi volé le véhicule de continuer à pouvoir l'utiliser en l'absence de réseau. Un rafraîchissement est avantageusement réalisé régulièrement et automatiquement, avec une durée entre deux rafraîchissements avantageusement inférieure à la durée indicative de péremption de l'enregistrement « différentiel » 40. Une fois que l'enregistrement « différentiel » 40 a atteint sa péremption, le 10 système est bloqué. Ceci peut se produire accidentellement même à l'encontre d'un propriétaire légitime autorisé, si le segment terminal 20 reste longtemps déconnecté du segment réseau 30. Ceci peut se produire par exemple si le terminal mobile 21 reste déchargé longtemps ou dans une zone hors réseau de communication 31, telle une zone non couverte du réseau de communication ou une zone aveugle telle un parking 15 souterrain. Le déblocage, pour un propriétaire légitime autorisé ne nécessite qu'une connexion du terminal mobile 21 au réseau de communication 31. Une telle connexion suffit à rafraîchir l'enregistrement « différentiel » 40 et ainsi à permettre à nouveau une authentification réussie. En l'absence d'une demande d'invalidation pendante, telle qu'à l'encontre d'un voleur, une telle connexion ne pose aucun problème. Par contre, en 20 présence d'une demande d'invalidation, cette même connexion provoque une invalidation du terminal mobile 21. Il est à noter qu'une connexion est demandée pour le segment terminal 20 et non pour le segment véhicule 10. En cas de péremption par absence de réseau, il est plus facile de déplacer le terminal mobile 21 jusqu'à retrouver le réseau, que de déplacer 25 le véhicule 11. Dans ce qui précède a été décrit un premier mode de réalisation, où une authentification vérifie la validité de l'enregistrement « différentiel » 40. La validité de l'enregistrement « différentiel » 40 est régulièrement rafraîchie tant que le terminal mobile 21 est connecté au réseau de communication 31 et commence à diminuer, jusqu'à 30 se périmer, dès que le terminal mobile 21 n'est plus connecté au réseau de communication 31. Une authentification réalise une vérification de la non péremption de l'enregistrement « différentiel » 40. Tant que le segment terminal 20 est connecté au segment réseau 30, la validité de l'enregistrement « différentiel » 40 est garantie. Aussi, il 35 n'est pas nécessaire de vérifier la validité de l'enregistrement « différentiel » 40, dès lors que le segment terminal 20 est connecté au segment réseau 30. La procédure d'authentification peut ainsi vérifier la connexion du segment terminal 20 au segment réseau 30. Si cette connexion est effective, une vérification de la validité de l'enregistrement « différentiel » 40 est facultative. Au contraire si la connexion n'est pas effective, alors une vérification de la validité de l'enregistrement « différentiel » 40 est réalisée. According to an alternative embodiment, the refreshing means may still belong and be located on the vehicle segment 10. Such an embodiment is advantageous in that it allows an authorized user not to be blocked in the absence network. However, this same embodiment may also allow a thief who has also stolen the vehicle to continue to be able to use it in the absence of a network. Refreshment is advantageously performed regularly and automatically, with a duration between two refreshes advantageously less than the indicative expiration time of the "differential" record 40. Once the "differential" record 40 has reached its expiration, the system 10 is blocked. This can happen accidentally even against an authorized legitimate owner, if the terminal segment 20 remains disconnected for a long time from the network segment 30. This can occur for example if the mobile terminal 21 remains unloaded for a long time or in an off-grid area communication 31, such as an uncovered area of the communication network or a blind area such as underground parking. The unblocking, for a legitimate legitimate owner only requires a connection of the mobile terminal 21 to the communication network 31. Such a connection is sufficient to refresh the "differential" recording 40 and thus to allow successful authentication again. In the absence of a pending invalidation request, such as against a thief, such a connection is not a problem. On the other hand, in the presence of an invalidation request, this same connection causes invalidation of the mobile terminal 21. It should be noted that a connection is requested for the terminal segment 20 and not for the vehicle segment 10. In case it is easier to move the mobile terminal 21 until it finds the network, than to move the vehicle 11. In the foregoing, a first embodiment has been described, where an authentication verifies the network. validity of the "differential" record 40. The validity of the "differential" record 40 is regularly refreshed as long as the mobile terminal 21 is connected to the communication network 31 and begins to decrease, to 30 expire, as soon as the mobile terminal 21 is no longer connected to the communication network 31. Authentication performs a check of the non-expiry of the "differential" record 40. As long as the segme Since terminal 20 is connected to network segment 30, the validity of "differential" registration 40 is guaranteed. Also, it is not necessary to check the validity of the "differential" record 40, since the terminal segment 20 is connected to the network segment 30. The authentication procedure can thus check the connection of the terminal segment 20 to the network segment 30. If this connection is effective, a check of the validity of the "differential" record 40 is optional. On the contrary, if the connection is not effective, then a verification of the validity of the "differential" record 40 is performed.
Il a été vu qu'une authentification sert à protéger une fonction. Le comportement du système peut être différent selon la fonction protégée. Ainsi dans le cadre d'une application automobile, il est possible de différencier un contrôle d'accès, qui permet d'ouvrir ou non les portes d'un véhicule 11 et ainsi d'accéder à l'habitacle, d'un contrôle du démarrage, qui permet d'autoriser ou non le démarrage du moteur. It has been seen that authentication serves to protect a function. The behavior of the system may be different depending on the protected function. Thus, in the context of an automotive application, it is possible to differentiate an access control, which makes it possible to open or not the doors of a vehicle 11 and thus to access the passenger compartment, a control of the vehicle. start, which allows to allow or not the engine start.
Selon un mode de réalisation possible, la validité de l'enregistrement « différentiel » 40 n'est pas vérifiée pour réaliser une authentification d'accès au véhicule 11, même si le segment mobile 20 est déconnecté du segment réseau 30, mais est au contraire vérifiée pour réaliser une authentification de démarrage du moteur, et surtout si le segment mobile 20 est déconnecté du segment réseau 30. According to a possible embodiment, the validity of the "differential" record 40 is not verified to perform an access authentication to the vehicle 11, even if the mobile segment 20 is disconnected from the network segment 30, but on the contrary verified to perform a boot authentication of the engine, and especially if the mobile segment 20 is disconnected from the network segment 30.
Un inconvénient de ce mode de réalisation est qu'un voleur ayant volé le terminal mobile 21 peut accéder à l'intérieur de l'habitacle du véhicule 11. Cependant, il ne peut en aucun cas démarrer le moteur, ce qui limite sa capacité à déplacer et ainsi à effectivement voler le véhicule 11. Un avantage de ce mode de réalisation est de permettre à un propriétaire légitime autorisé d'accéder à l'intérieur de l'habitacle du véhicule 11. Ceci est avantageux dans un scénario où le système est bloqué par péremption de l'enregistrement « différentiel » 40 suite à un trop long temps pendant lequel le segment terminal 20 est resté déconnecté du segment réseau 30, parce que le terminal mobile 21 est déchargé. Dans ce cas de figure, le propriétaire légitime autorisé peut entrer dans l'habitacle afin d'utiliser un chargeur présent à bord du véhicule 11, afin de pouvoir recharger le segment terminal 20, et pouvoir le connecter à nouveau au segment réseau 30, et ainsi débloquer le système, par rafraîchissement de l'enregistrement « différentiel » 40 ou en réalisant une authentification sans vérification de validité. Ainsi une authentification positive peut être réalisée, y compris pour le démarrage du moteur. Une telle option n'est pas offerte à un voleur, qui risque une invalidation s'il connecte le segment terminal 20 au segment réseau 30. Dans le dialogue, illustré à la figure 2 entre le moyen de traitement véhicule 13 et le moyen de traitement terminal 23, il est possible d'utiliser deux enregistrements « clé terminal » 25, 25'. Ces deux « clé terminal » 25, 25' sont toutes deux appariées à la « clé véhicule » 15 et permettent de manière équivalente une authentification du terminal mobile 21 en tant que clé. Le segment véhicule est apte à apprécier la réponse 63, 67 du segment terminal 20 qu'elle soit réalisée avec la première « clé terminal » 25 ou avec la deuxième « clé terminal » 25', et à différencier l'une de l'autre. Aussi, le segment terminal 20 peut tester au moyen d'un test 62 s'il est ou non connecté au réseau de communication 31. Selon une convention préalablement établie 5 avec le segment véhicule 10, le segment terminal 20 peut avantageusement répondre à la transmission 55 qui lui fait parvenir une « semence » aléatoire, par une réponse 63 réalisée au moyen du bloc de codage 61 en utilisant la première « clé terminal » 25 lorsque ledit segment terminal 20 est connecté au segment réseau 30 ou par une réponse 67 réalisée au moyen du bloc de codage 66, similaire au bloc de codage 61, en 10 utilisant la deuxième « clé terminal » 25' lorsque ledit segment terminal 20 n'est pas connecté au segment réseau 30. Ceci est un moyen simple de répondre à une demande d'authentification tout en renvoyant au segment véhicule 10 l'information de connexion ou non du segment terminal 20 au segment réseau 30. Les deux réponses 63, 67 permettent toutes deux 15 d'authentifier le segment terminal 20. La transmission 65 qui retourne une réponse 63, basée sur la première « clé terminal » 25, indique en même temps que le segment terminal 20 est connecté au segment réseau 30. Sa comparaison 54 à la réponse 53 produite par le segment véhicule 10 permet de réaliser une authentification 56, sans nécessairement vérifier la validité de l'enregistrement « différentiel » 40. La 20 transmission 68 qui retourne une réponse 67, basée sur la deuxième « clé terminal » 25', indique en même temps que le segment terminal 20 n'est pas connecté au segment réseau 30. Sa comparaison 54 à la réponse 53 produite par le segment véhicule 10 doit en plus être confortée par une vérification de la validité 52 de l'enregistrement « différentiel » 40 pour réaliser une authentification 57. 25 L'enregistrement « différentiel » 40 permet de vérifier une péremption, s'il n'est pas régulièrement rafraîchi. Ceci peut être réalisé selon plusieurs modes de réalisation alternatifs ou complémentaires. Selon un mode de réalisation temporel, l'enregistrement « différentiel » 40 comprend des éléments permettant de calculer une heure de péremption. Ces éléments 30 comprennent, par exemple, directement une heure de péremption. Ces éléments comprennent, selon un autre exemple, une heure de référence et une marge de temps. L'heure de référence peut être l'heure courante au moment du dernier rafraîchissement et la marge de temps la durée pendant laquelle une utilisation est autorisée malgré une déconnexion du segment terminal 20. La marge de temps ajoutée à l'heure de référence 35 donne ici l'heure de péremption. Ainsi, muni de ces éléments, la validité de l'enregistrement « différentiel » 40 peut être vérifiée en lisant l'heure courante, par exemple indiquée par une horloge terminal ou véhicule, et en la comparant à ladite heure de péremption, lue ou calculée à partir des éléments. Tant que l'heure courante est inférieure à ladite heure de péremption l'enregistrement « différentiel » 40 est valide. Dès lors que l'heure courante dépasse l'heure de péremption, ce qui se produit nécessairement, la péremption est réalisée. A disadvantage of this embodiment is that a thief having stolen the mobile terminal 21 can access the interior of the passenger compartment of the vehicle 11. However, it can under no circumstances start the engine, which limits its ability to Thus, the advantage of this embodiment is to allow a legitimate authorized owner to gain access to the interior of the passenger compartment of the vehicle 11. This is advantageous in a scenario where the system is stalled by expiry of the "differential" record 40 due to a long time during which the terminal segment 20 remained disconnected from the network segment 30, because the mobile terminal 21 is unloaded. In this case, the authorized legitimate owner can enter the cockpit in order to use a charger present on board the vehicle 11, in order to be able to recharge the terminal segment 20, and to be able to reconnect it to the network segment 30, and thus unblock the system, by refreshing the "differential" record 40 or by performing an authentication without validity check. Thus a positive authentication can be performed, including for starting the engine. Such an option is not offered to a thief, who risks an invalidation if he connects the terminal segment 20 to the network segment 30. In the dialogue, illustrated in Figure 2 between the vehicle processing means 13 and the processing means terminal 23, it is possible to use two "terminal key" records 25, 25 '. These two "terminal keys" 25, 25 'are both paired with the "vehicle key" 15 and permit an equivalent authentication of the mobile terminal 21 as a key. The vehicle segment is able to evaluate the response 63, 67 of the terminal segment 20 whether it is performed with the first "terminal key" 25 or with the second "terminal key" 25 ', and to differentiate one from the other . Also, the terminal segment 20 can test by means of a test 62 whether or not it is connected to the communication network 31. According to a convention previously established with the vehicle segment 10, the terminal segment 20 can advantageously respond to the transmission 55 which sends a random "seed" to it, by a response 63 made by means of the coding block 61 using the first "end key" 25 when said terminal segment 20 is connected to the network segment 30 or by a response 67 carried out means of the coding block 66, similar to the coding block 61, by using the second "terminal key" 25 'when said terminal segment 20 is not connected to the network segment 30. This is a simple way to respond to a request while sending back to the vehicle segment 10 the connection information or not of the terminal segment 20 to the network segment 30. The two responses 63, 67 both make it possible to authenticate the network. The transmission 65 which returns a response 63, based on the first "terminal key" 25, indicates at the same time that the terminal segment 20 is connected to the network segment 30. Its comparison 54 to the response 53 produced by the segment vehicle 10 makes it possible to perform an authentication 56, without necessarily checking the validity of the "differential" record 40. The transmission 68 which returns a response 67, based on the second "terminal key" 25 ', indicates at the same time that the terminal segment 20 is not connected to the network segment 30. Its comparison 54 to the response 53 produced by the vehicle segment 10 must also be supported by a check of the validity 52 of the "differential" record 40 to perform an authentication 57. 25 The "differential" record 40 makes it possible to check an expiry, if it is not regularly refreshed. This can be done according to several alternative or complementary embodiments. According to a temporal embodiment, the "differential" record 40 comprises elements making it possible to calculate a time of expiry. These elements include, for example, directly an expiry time. These elements comprise, according to another example, a reference time and a time margin. The reference time may be the current time at the time of the last refresh and the time margin the period during which a use is authorized despite a disconnection of the terminal segment 20. The time margin added at the reference time 35 gives here the time of expiry. Thus, provided with these elements, the validity of the "differential" record 40 can be verified by reading the current time, for example indicated by a terminal or vehicle clock, and comparing it with said expiration time, read or calculated from the elements. As long as the current time is less than said expiration time, the "differential" record 40 is valid. As soon as the current time exceeds the expiry time, which necessarily happens, the expiry is realized.
Une horloge est toujours disponible, et ce mode est aisé à mettre en oeuvre. Il présente l'inconvénient de pouvoir être contourné par arrêt ou retardement de l'horloge de référence utilisée pour l'heure courante. Cet inconvénient peut être contourné en utilisant une horloge protégée non modifiable. Ce mode permet de définir, au moyen de ladite marge de temps, le laps de temps maximum d'utilisation que l'on autorise à un voleur. A contrario, ladite marge de temps doit présenter une certaine valeur minimale afin de permettre une utilisation autorisée lorsqu'un rafraîchissement n'est pas possible, comme par exemple dans une zone aveugle du réseau de communication 31 ou lorsque le terminal mobile 21 est déchargé. Selon un mode de réalisation kilométrique, l'enregistrement « différentiel » 40 comprend des éléments permettant de calculer un kilométrage de péremption. Ces éléments comprennent, par exemple, directement un kilométrage de péremption. Ces éléments comprennent, selon un autre exemple, un kilométrage de référence et une marge de kilomètres. Le kilométrage de référence peut être le kilométrage courant au moment du dernier rafraîchissement et la marge de kilomètres la distance kilométrique pour laquelle une utilisation est autorisée malgré une déconnexion du segment terminal 20. Ainsi, muni de ces éléments, la validité de l'enregistrement « différentiel » 40 est vérifiée en lisant le kilométrage courant du véhicule, indiqué par le compteur kilométrique du véhicule, et en le comparant au dit kilométrage de péremption. Tant que le kilométrage courant est inférieur au dit kilométrage de péremption l'enregistrement « différentiel » 40 est valide. Dès lors que le kilométrage courant dépasse le kilométrage de péremption, ce qui se produit si le véhicule roule, la péremption est réalisée. Un compteur kilométrique est toujours disponible, et ce mode est aisé à mettre en oeuvre. Il présente l'avantage de ne pouvoir être contourné que difficilement, le compteur kilométrique étant protégé contre toute modification. Ce mode permet de définir, au moyen de ladite marge de kilomètres, la distance kilométrique maximale que l'on autorise à un voleur. A contrario, ladite marge kilométrique doit présenter une certaine valeur minimale afin de permettre une utilisation autorisée lorsqu'un rafraîchissement n'est pas possible, comme par exemple dans une zone aveugle du réseau de communication 31 ou lorsque le terminal mobile 21 est déchargé. Selon un mode de réalisation géographique, l'enregistrement « différentiel » 40 comprend des éléments permettant de calculer une zone géographique de péremption. Ces éléments comprennent, par exemple, une zone géographique définie par des points de frontière. Ces éléments comprennent, selon un autre exemple, une position de référence et une marge de distance. La zone géographique de péremption est alors, par exemple, le cercle centré sur la position de référence et de rayon ladite marge de distance. La position de référence peut être la position courante au moment du dernier rafraîchissement et la marge de distance la distance pour laquelle une utilisation est autorisée malgré une déconnexion du segment terminal 20. La marge de distance combinée à la position de référence donne ici la zone géographique de péremption. Ainsi, muni de ces éléments, la validité de l'enregistrement « différentiel » 40 peut être vérifiée en lisant la position courante du véhicule, indiquée par un moyen de géo localisation, tel un récepteur GPS, et en la comparant à ladite zone géographique de péremption, lue ou calculée à partir des éléments. Tant que la position courante est comprise dans la zone géographique de péremption l'enregistrement « différentiel » 40 est valide. Dès lors que la position courante sort de la zone géographique de péremption, la péremption est réalisée. Il est à noter que ceci peut ne jamais se produire si le véhicule ne se déplace que dans ladite zone géographique de péremption. Un moyen de géo localisation n'est pas toujours disponible, et ce mode peut ne pas pouvoir être mis en oeuvre. Ce mode permet de définir, au moyen de ladite marge de distance, la distance maximale que l'on autorise à un voleur autour de la dernière 20 position rafraîchie. Les éléments comprennent, dans les trois modes temporels, kilométrique et géographique, une partie variable : heure de péremption, heure de référence, kilométrage de péremption, kilométrage de référence, zone de péremption, position de référence, etc. et une partie constante : marge de temps, marge de kilomètres, marge de distance. 25 Au moins la partie variable doit être stockée dans le segment terminal 20, par exemple dans la carte mémoire 24. Seule la partie variable est rafraîchie par le moyen de rafraîchissement 36. La partie constante peut être stockée indifféremment dans le segment véhicule 10, par exemple dans la mémoire 14 ou dans le segment terminal 20. La partie 30 constante est éventuellement configurable. Cependant une telle configuration doit être sécurisée afin que le voleur ne puisse contourner la protection en augmentant la marge. Le moyen de rafraîchissement 36, est apte à rafraîchir l'enregistrement « différentiel » 40. Ceci est réalisé périodiquement, afin d'éviter une péremption pour un utilisateur autorisée. Ceci est typiquement réalisé en actualisant la partie variable des 35 éléments permettant de calculer l'heure de péremption, le kilométrage de pérerfiption et/ou la zone géographique de péremption. A clock is always available, and this mode is easy to implement. It has the disadvantage of being able to be bypassed by stopping or delaying the reference clock used for the current time. This disadvantage can be circumvented by using a non-modifiable protected clock. This mode makes it possible to define, by means of said time margin, the maximum time of use that is allowed to a thief. On the other hand, said time margin must have a certain minimum value in order to allow an authorized use when a refreshing is not possible, such as for example in a blind zone of the communication network 31 or when the mobile terminal 21 is discharged. According to a kilometric embodiment, the "differential" recording 40 includes elements making it possible to calculate a mileage of expiry. These elements include, for example, directly a mileage of expiry. These elements include, in another example, a reference mileage and a kilometer margin. The reference mileage may be the mileage running at the time of the last refresh and the margin of kilometers the kilometric distance for which a use is authorized despite a disconnection of the terminal segment 20. Thus, provided with these elements, the validity of the registration " differential "40 is verified by reading the vehicle's current mileage, indicated by the odometer of the vehicle, and comparing it to the said mileage of expiry. As long as the current mileage is less than said lapse mileage, the "differential" record 40 is valid. Once the mileage exceeds the mileage of expiry, which occurs if the vehicle rolls, the expiry is achieved. An odometer is always available, and this mode is easy to implement. It has the advantage of being able to be circumvented with difficulty, the odometer being protected against any modification. This mode makes it possible to define, by means of said margin of kilometers, the maximum kilometric distance that is authorized to a thief. On the other hand, said mileage margin must have a certain minimum value in order to allow authorized use when refreshing is not possible, for example in a blind zone of the communication network 31 or when the mobile terminal 21 is unloaded. According to a geographical embodiment, the "differential" record 40 includes elements making it possible to calculate a geographical area of expiry. These elements include, for example, a geographical area defined by boundary points. These elements comprise, according to another example, a reference position and a distance margin. The geographical area of expiry is then, for example, the circle centered on the reference position and radius said distance margin. The reference position may be the current position at the time of the last refreshing and the distance margin the distance for which a use is authorized despite a disconnection of the terminal segment 20. The distance margin combined with the reference position here gives the geographical area of expiry. Thus, provided with these elements, the validity of the "differential" record 40 can be verified by reading the current position of the vehicle, indicated by a geolocation means, such as a GPS receiver, and comparing it to said geographical area of expiry, read or calculated from the elements. As long as the current position is included in the geographical area of expiry, the "differential" record 40 is valid. As soon as the current position leaves the geographical area of expiry, the expiry is realized. It should be noted that this may never happen if the vehicle moves only in said geographical area of expiry. A geolocation means is not always available, and this mode may not be able to be implemented. This mode makes it possible to define, by means of said distance margin, the maximum distance that is allowed to a thief around the last refreshed position. The elements include, in the three time modes, kilometric and geographical, a variable part: expiry time, reference time, expiry mileage, reference mileage, expiry zone, reference position, etc. and a constant part: time margin, margin of kilometers, margin of distance. At least the variable part must be stored in the terminal segment 20, for example in the memory card 24. Only the variable part is refreshed by the cooling means 36. The constant part can be stored indifferently in the vehicle segment 10, by example in the memory 14 or in the terminal segment 20. The constant portion 30 is optionally configurable. However, such a configuration must be secured so that the thief can not circumvent the protection by increasing the margin. The refresh means 36 is able to refresh the "differential" recording 40. This is done periodically in order to avoid expiration for an authorized user. This is typically done by updating the variable part of the elements for calculating the expiry time, the periperation mileage and / or the geographical area of expiry.
Ainsi, pour le mode temporel donné à titre d'exemple, seule l'heure courante est réactualisée au rafraîchissement. Soit l'enregistrement « différentiel » 40 comprend une heure de péremption. Cette dernière est obtenue et rafraîchie en ajoutant à l'heure courante la marge de temps. Soit l'enregistrement « différentiel » 40 comprend l'heure courante et la marge de temps et seule l'heure courante est réactualisée, la marge de temps restant inchangée. Thus, for the time mode given by way of example, only the current time is refreshed at refresh. Either the "differential" record 40 includes an expiry time. The latter is obtained and refreshed by adding at the current time the time margin. Either the "differential" record 40 includes the current time and the time margin and only the current time is updated, the time margin remaining unchanged.
Claims (10)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1103036A FR2981028B1 (en) | 2011-10-06 | 2011-10-06 | VIRTUAL KEY SYSTEM |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1103036A FR2981028B1 (en) | 2011-10-06 | 2011-10-06 | VIRTUAL KEY SYSTEM |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2981028A1 true FR2981028A1 (en) | 2013-04-12 |
| FR2981028B1 FR2981028B1 (en) | 2014-08-29 |
Family
ID=45093844
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1103036A Active FR2981028B1 (en) | 2011-10-06 | 2011-10-06 | VIRTUAL KEY SYSTEM |
Country Status (1)
| Country | Link |
|---|---|
| FR (1) | FR2981028B1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3263409A1 (en) * | 2016-06-28 | 2018-01-03 | Toyota Jidosha Kabushiki Kaisha | Locking and unlocking system and key unit |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0838569A2 (en) * | 1996-10-23 | 1998-04-29 | Daimler-Benz Aktiengesellschaft | Electronic key for vehicle |
| DE19753401A1 (en) * | 1997-12-02 | 1999-06-10 | Marquardt Gmbh | Car with electronic lock, especially for ignition |
| EP0792223B1 (en) * | 1994-11-25 | 2001-09-26 | Robert Bosch Gmbh | Structural theft-protection device for motor vehicles |
| EP1564691A2 (en) * | 2004-02-16 | 2005-08-17 | Kabushiki Kaisha Tokai Rika Denki Seisakusho | Security control system |
| DE102005034477A1 (en) * | 2005-07-20 | 2007-01-25 | Sebastian Wolf | Identifying and/or locking system for use in motor vehicle, has mobile transmitter unit with signal receiving unit, by which determination, modification and storage of signal to be transmitted are effected in controlling receiver unit |
-
2011
- 2011-10-06 FR FR1103036A patent/FR2981028B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0792223B1 (en) * | 1994-11-25 | 2001-09-26 | Robert Bosch Gmbh | Structural theft-protection device for motor vehicles |
| EP0838569A2 (en) * | 1996-10-23 | 1998-04-29 | Daimler-Benz Aktiengesellschaft | Electronic key for vehicle |
| DE19753401A1 (en) * | 1997-12-02 | 1999-06-10 | Marquardt Gmbh | Car with electronic lock, especially for ignition |
| EP1564691A2 (en) * | 2004-02-16 | 2005-08-17 | Kabushiki Kaisha Tokai Rika Denki Seisakusho | Security control system |
| DE102005034477A1 (en) * | 2005-07-20 | 2007-01-25 | Sebastian Wolf | Identifying and/or locking system for use in motor vehicle, has mobile transmitter unit with signal receiving unit, by which determination, modification and storage of signal to be transmitted are effected in controlling receiver unit |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3263409A1 (en) * | 2016-06-28 | 2018-01-03 | Toyota Jidosha Kabushiki Kaisha | Locking and unlocking system and key unit |
| RU2669715C1 (en) * | 2016-06-28 | 2018-10-15 | Тойота Дзидося Кабусики Кайся | Blocking and unlocking system and key block |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2981028B1 (en) | 2014-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9026171B2 (en) | Access techniques using a mobile communication device | |
| EP2969667B1 (en) | Method of making a vehicle available and corresponding system for making a vehicle available | |
| US20090184800A1 (en) | Cellular phone Entry Techniques | |
| FR3015820A1 (en) | MOBILE TELEPHONE FIT TO AUTOMATICALLY APPARE WITH A MOTOR VEHICLE AND AUTOMATIC PAIRING METHOD | |
| FR2989799A1 (en) | METHOD FOR TRANSFERRING A DEVICE TO ANOTHER RIGHTS OF ACCESS TO A SERVICE | |
| FR2905817A1 (en) | METHOD AND SERVICE CENTER FOR UPDATING AUTHORIZATION DATA IN AN ACCESS DEVICE. | |
| US11748510B1 (en) | Protection of personal data stored in vehicular computing systems | |
| FR3067136A1 (en) | METHOD FOR UPDATING A VEHICLE ONBOARD COMPUTER | |
| EP3552327B1 (en) | Method of personalizing a secure transaction during a radio communication | |
| FR2966620A1 (en) | METHOD AND SYSTEM FOR MONITORING THE EXECUTION OF A FUNCTION PROTECTED BY AUTHENTICATION OF A USER, IN PARTICULAR FOR ACCESSING A RESOURCE | |
| WO2011101407A1 (en) | Method for biometric authentication, authentication system and corresponding program | |
| EP2469904A1 (en) | Electronic device and communication method | |
| FR3028335A1 (en) | DATA STORAGE DEVICE WITH SECURE ACCESS MANAGEMENT AND ACCESS MANAGEMENT METHOD THEREFOR | |
| FR3107156A1 (en) | Vehicle control method and system | |
| WO2005069658A1 (en) | Method of securing a mobile telephone identifier and corresponding mobile telephone | |
| FR2981028A1 (en) | Virtual key system for controlling access or start-up functions of car, has memory card including registration differential whose validity decreases until reaching time limit, and cooling unit refreshing differential to avoid time limit | |
| FR2958102A1 (en) | METHOD AND SYSTEM FOR VALIDATING A TRANSACTION, TRANSACTIONAL TERMINAL AND PROGRAM THEREFOR. | |
| EP3195553B1 (en) | Pairing method between a mobile device and an electronic module of a vehicle | |
| WO2009132977A1 (en) | Reliable resource integrated in a biometric data control device ensuring inspection security and data security | |
| JP5825079B2 (en) | Contactless IC card terminal device and information processing system | |
| FR2981029A1 (en) | Virtual key system for controlling e.g. access functions by locking/unlocking of doors of passenger compartment of car, has terminal segment including incrementing unit for incrementing counter to every authentication failure | |
| US20240259198A1 (en) | Updating vehicle ownership authorizations | |
| WO2023058176A1 (en) | Authentication system, user device, mobile device, key information transmission method, authentication method, and computer-readable medium | |
| FR3107489A1 (en) | Method and device for controlling a locking system for a vehicle opening | |
| FR3090026A1 (en) | REQUEST FOR ACCESS AND AUTHORIZATION OF HANDS-FREE ACCESS TO AN OBJECT CAPABLE OF BEING LOCKED |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 5 |
|
| PLFP | Fee payment |
Year of fee payment: 6 |
|
| PLFP | Fee payment |
Year of fee payment: 7 |
|
| PLFP | Fee payment |
Year of fee payment: 8 |
|
| PLFP | Fee payment |
Year of fee payment: 9 |
|
| PLFP | Fee payment |
Year of fee payment: 10 |
|
| PLFP | Fee payment |
Year of fee payment: 11 |
|
| PLFP | Fee payment |
Year of fee payment: 12 |
|
| PLFP | Fee payment |
Year of fee payment: 13 |