FR2981028A1 - Systeme de cle virtuelle - Google Patents

Systeme de cle virtuelle Download PDF

Info

Publication number
FR2981028A1
FR2981028A1 FR1103036A FR1103036A FR2981028A1 FR 2981028 A1 FR2981028 A1 FR 2981028A1 FR 1103036 A FR1103036 A FR 1103036A FR 1103036 A FR1103036 A FR 1103036A FR 2981028 A1 FR2981028 A1 FR 2981028A1
Authority
FR
France
Prior art keywords
terminal
differential
vehicle
record
segment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1103036A
Other languages
English (en)
Other versions
FR2981028B1 (fr
Inventor
Luc Jansseune
Fabien Grelet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Continental Automotive France SAS
Original Assignee
Continental Automotive GmbH
Continental Automotive France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH, Continental Automotive France SAS filed Critical Continental Automotive GmbH
Priority to FR1103036A priority Critical patent/FR2981028B1/fr
Publication of FR2981028A1 publication Critical patent/FR2981028A1/fr
Application granted granted Critical
Publication of FR2981028B1 publication Critical patent/FR2981028B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R2325/00Indexing scheme relating to vehicle anti-theft devices
    • B60R2325/20Communication devices for vehicle anti-theft devices
    • B60R2325/205Mobile phones
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/0042Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal containing a code which is changed

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

Système de clé virtuelle comprenant : . un segment véhicule (10) disposé dans un véhicule (11) et comprenant un moyen de communication véhicule (13), un moyen de traitement véhicule (12), et une mémoire (14) comprenant au moins un enregistrement « clé véhicule » (15), . un segment terminal (20) disposé dans un terminal mobile (21) et comprenant un moyen de communication terminal (23), un moyen de traitement terminal (22), et une carte mémoire (24) comprenant au moins un enregistrement « clé terminal » (25), le moyen de traitement véhicule (12) et le moyen de traitement terminal (22) étant aptes à dialoguer, via les moyens de communication (13, 23), pour réaliser une authentification du segment terminal (20) auprès du segment véhicule (10), par vérification que l'enregistrement « clé véhicule » (15) est apparié à l'enregistrement « clé terminal » (25), et . un segment réseau (30), l'invention résidant dans le fait que : . la carte mémoire (24) comprend encore un enregistrement « différentiel » (40) dont la validité diminue jusqu'à atteindre une péremption et . ledit système comprend un moyen de rafraichissement (36), apte à rafraichir ledit enregistrement « différentiel » (40) afin d'éviter une péremption.

Description

La présente invention concerne un système de clé virtuelle, et particulièrement un moyen de sécuriser un tel système contre le vol. De manière générale et connue un système de clé comprend une clé et un moyen de vérification de l'authenticité de ladite clé, encore nommé serrure. Un tel 5 système est utilisé afin de contrôler des fonctions importantes telles que l'accès ou la mise en marche, par exemple d'un véhicule automobile. Dans un système de clé virtuelle, la clé est un enregistrement « clé » contenant un code secret stocké par exemple dans une carte mémoire, et la serrure comprend des moyens permettant de vérifier l'authenticité dudit code secret. 10 Un système de clé virtuelle comprend un segment véhicule comprenant au moins un enregistrement « clé véhicule » et un segment terminal comprenant au moins un enregistrement « clé terminal ». Une procédure d'authentification vérifie si l'enregistrement « clé véhicule » est apparié ou non avec l'enregistrement « clé terminal ». 15 Le segment terminal est avantageusement un terminal mobile communiquant apte à se connecter à un segment réseau et à communiquer via un réseau de communication. Ceci est avantageux en ce que, de manière connue, en cas de vol du segment terminal, il est possible d'invalider ledit segment terminal en tant que clé, via le réseau de communication. 20 Cependant un voleur peut choisir de ne plus connecter le segment terminal volé afin d'empêcher ladite invalidation et pouvoir continuer à utiliser le segment terminal en tant que clé. Il convient de renforcer la sécurité d'un système de clé virtuelle en offrant un moyen d'invalidation d'une clé volée, même en l'absence de connexion au réseau. 25 L'invention a pour objet un système de clé virtuelle comprenant un segment véhicule disposé dans un véhicule et comprenant un moyen de communication véhicule, un moyen de traitement véhicule, et une mémoire comprenant au moins un enregistrement « clé véhicule », un segment terminal disposé dans un terminal mobile et comprenant un moyen de communication terminal, un moyen de traitement terminal, et 30 une carte mémoire comprenant au moins un enregistrement « clé terminal », le moyen de traitement véhicule et le moyen de traitement terminal étant aptes à dialoguer, via les moyens de communication, pour réaliser une authentification du segment terminal auprès du segment véhicule, par vérification que l'enregistrement « clé véhicule » est apparié à l'enregistrement « clé terminal », et comprenant en outre un segment réseau, l'invention 35 résidant dans le fait que la carte mémoire comprend un enregistrement « différentiel » dont la validité diminue jusqu'à atteindre une péremption et que le dit système comprend un moyen de rafraichissement apte à rafraichir le dit enregistrement « différentiel » afin d'éviter une péremption Selon une autre caractéristique de l'invention, le système comprend encore un moyen de vérification apte à vérifier la validité de l'enregistrement « différentiel » et où le moyen de traitement véhicule et le moyen de traitement terminal sont encore aptes à utiliser le moyen de vérification afin de vérifier la validité de l'enregistrement « différentiel » pour réaliser une authentification. Selon une autre caractéristique de l'invention, le système comprend encore un moyen de rafraîchissement apte à rafraîchir, ledit enregistrement « différentiel », afin 10 d'éviter une péremption. Selon une autre caractéristique de l'invention, le moyen de traitement véhicule et le moyen de traitement terminal sont tels que la validité de l'enregistrement « différentiel » n'est pas vérifiée pour réaliser une authentification lorsque le segment terminal est connecté au segment réseau. 15 Selon une autre caractéristique de l'invention, le moyen de traitement véhicule et le moyen de traitement terminal sont tels que la validité de l'enregistrement « différentiel » n'est pas vérifiée pour réaliser une authentification d'accès au véhicule. Selon une autre caractéristique de l'invention, le moyen de traitement véhicule et le moyen de traitement terminal sont tels que la validité de l'enregistrement 20 « différentiel » est vérifiée pour réaliser une authentification de démarrage du moteur. Selon une autre caractéristique de l'invention, le système comprend au moins un premier et un deuxième enregistrement « clé terminal », et le moyen de traitement terminal est apte à contribuer à une authentification, au moyen du premier enregistrement « clé terminal » lorsque le segment terminal est connecté au segment réseau et au moyen 25 du deuxième enregistrement « clé terminal » lorsque le segment terminal n'est pas connecté au segment réseau. Selon une autre caractéristique de l'invention, l'enregistrement « différentiel » comprend des éléments permettant de calculer une heure de péremption, et l'enregistrement « différentiel » est valide tant que l'heure courante est inférieure à ladite 30 heure de péremption. Selon une autre caractéristique de l'invention, l'enregistrement « différentiel » comprend des éléments permettant de calculer un kilométrage de péremption, et l'enregistrement « différentiel » est valide tant que le kilométrage courant du véhicule est inférieur au kilométrage de péremption. 35 Selon une autre caractéristique de l'invention, l'enregistrement « différentiel » comprend des éléments permettant de calculer une zone géographique de péremption, et l'enregistrement « différentiel » est valide tant que la position courante du véhicule est dans ladite zone géographique de péremption. Selon une autre caractéristique de l'invention, le moyen de rafraîchissement est apte à rafraîchir l'enregistrement « différentiel » en actualisant lesdits éléments 5 permettant de calculer l'heure de péremption, le kilométrage de péremption et/ou la zone géographique de péremption. L'invention concerne encore un segment terminal compatible d'un tel système. D'autres caractéristiques, détails et avantages de l'invention ressortiront plus clairement de la description détaillée donnée ci-après à titre indicatif en relation avec des 10 dessins sur lesquels : - la figure 1 illustre un système de clé virtuelle, - la figure 2 illustre une procédure d'authentification, - la figure 3 illustre une cartographie de la carte mémoire. La figure 1 représente schématiquement un système 1 de clé virtuelle typique, 15 dans son environnement, illustratif de l'invention. De manière illustrative, on considère dans ce qui suit que la clé est disposée dans un terminal mobile, tel un téléphone portable, un smartphone, un PDA (« Personal Digital Assistant » en anglais, ou assistant personnel digital) ou équivalent, et que la serrure est disposée dans un véhicule automobile que l'on souhaite protéger. 20 Un système 1 de clé virtuelle comprend un segment véhicule 10 et un segment terminal 20. Le segment véhicule 10 est disposé dans un véhicule 11, et comprend un moyen de communication véhicule 13, un moyen de traitement véhicule 12, et une mémoire 14 comprenant au moins un enregistrement « clé véhicule » 15. De manière sensiblement symétrique, le segment terminal 20 est disposé dans un terminal 25 mobile 21, et comprend un moyen de communication terminal 23, un moyen de traitement terminal 22, et une carte mémoire 24 comprenant au moins un enregistrement « clé terminal» 25. La carte mémoire 24 est avantageusement un moyen de stockage d'information sécurisé. Un enregistrement de données est protégé contre un accès non 30 autorisé et contre un piratage, en ce que l'accès aux données enregistrées, tant en lecture qu'en écriture, est tel qu'il ne peut être réalisé que via une application dédiée. Cette application met en place des moyens d'identification et de reconnaissance d'un demandeur, par exemple au moyen d'une clé secrète, afin de n'autoriser l'accès aux données qu'à un demandeur autorisé. Il est autrement impossible d'accéder directement 35 à la zone mémoire. Ainsi un enregistrement « clé terminal » 25 est protégé et ne peut être lu que par un demandeur autorisé, après son identification.
Le moyen de communication véhicule 13 et le moyen de communication terminal 23 sont aptes à communiquer entre eux afin d'échanger des informations de manière bidirectionnelle, via une liaison 37. Il s'agit avantageusement de moyens de communication sans contact, tels une paire d'émetteurs/récepteur infrarouge ou hertzien.
Le moyen de communication véhicule 13 et le moyen de communication terminal 23 sont appariés et emploient un même support 37 tel WiFi, Bluetooth, NFC (« Near Field Communication » en anglais ou communication en champ proche), ou équivalent. La liaison 37 peut être une liaison point à point ou être supportée par un réseau, tel un réseau de téléphonie mobile.
Le moyen de traitement véhicule 12 et le moyen de traitement terminal 22 sont aptes à traiter de l'information. Le moyen de traitement véhicule 12 est interfacé au moyen de communication véhicule 13 et le moyen de traitement terminal 22 est interfacé au moyen de communication terminal 23. Ainsi le moyen de traitement véhicule 12 et le moyen de traitement terminal 22 sont aptes à dialoguer entre eux. Ce dialogue a notamment pour but d'échanger des informations afin de tester si l'enregistrement « clé véhicule » 15 est apparié avec l'enregistrement « clé terminal » 25, afin de réaliser une authentification. L'authentification est une réussite si la vérification conclut que l'enregistrement « clé véhicule » 15 et l'enregistrement « clé terminal » 25 sont appariés. Dans ce cas le segment terminal 20 est authentifié auprès du segment véhicule 10.
L'authentification est un échec dans le cas contraire. Avantageusement l'authentification est réalisée sans transmission directe, via les moyens de communication 13, 23, ni de la « clé véhicule » 15, ni de la « clé terminal » 25, mais uniquement de données produites au moyen de la « clé véhicule » 15 ou de la « clé terminal » 25.
Ceci peut être obtenu, par un procédé tel celui illustré à la figure 2. Un tel procédé utilise, par exemple, des moyens de cryptage / décryptage, tel que AES (standard de chiffrement avancé, ou Advanced Encryptions System). Sur la figure 2, le segment véhicule 10 est présenté à gauche et le segment terminal 20 est présenté à droite. Selon ce procédé le moyen de traitement véhicule 12 produit un nombre aléatoire ou « semence » au moyen d'un générateur de nombre aléatoire 50. Au moyen d'un bloc de cryptage véhicule 51, le moyen de traitement véhicule 12 traite ladite « semence » pour produire une « réponse véhicule » 53, basée sur la « clé véhicule » 15. Le moyen de traitement véhicule 12 transmet ensuite la « semence » aléatoire par une communication 55 au moyen de traitement terminal 22. Au moyen d'un bloc de cryptage terminal 61, le moyen de traitement terminal 22 traite ladite « semence » transmise pour produire une « réponse terminal » 63, basée sur la « clé terminal » 25.
Le moyen de traitement terminal 22 transmet la « réponse terminal » 63 au moyen de traitement véhicule 12 par une transmission 65. La « réponse véhicule » 53 produite localement par le segment véhicule 20 et la « réponse terminal » 63 transmise sont ensuite comparées par un moyen de comparaison véhicule 54. Une identité permet de confirmer que la « clé véhicule » 15 et la « clé terminal » 25 sont appariées. La comparaison véhicule 54, réalisée par le moyen de traitement véhicule 12, indique le résultat de l'authentification. Un résultat positif 57 de cette comparaison véhicule 54 permet de commander la fonction accès, démarrage, etc., protégée par le système de clé virtuelle 1.
En cas de vol du terminal mobile 21, un voleur est en possession du segment terminal 20 et donc de la clé et peut l'utiliser pour commander la fonction protégée de manière non autorisée. Suite à un vol, le propriétaire légitime du segment terminal 20 déclare le vol et déclenche une procédure d'invalidation de la clé. De manière connue, le fait que le terminal mobile 21 soit un terminal communiquant via un réseau de communication 31, est mis à profit pour invalider le terminal mobile 21 en tant que clé, via ledit réseau de communication 31, au moyen d'un message d'invalidation envoyé via le réseau de communication 31, par exemple depuis un serveur de sécurité auprès duquel le propriétaire légitime a déclaré le vol. Le réseau de communication 31 est typiquement un réseau cellulaire de 20 téléphonie mobile ou de transmission de données. Il permet de dialoguer depuis un autre terminal mobile ou depuis tout terminal informatique, via une passerelle Internet, avec le segment terminal 20, par exemple par l'envoi de messages de type SMS. Cependant, tant que le voleur ne connecte pas le terminal mobile 21 au réseau de communication 31, le message d'invalidation ne peut être reçu par le segment 25 terminal 20 et l'invalidation ne peut être réalisée. L'objet de l'invention est de réaliser une parade à un tel refus de connexion, afin d'empêcher une utilisation non autorisée, afin de renforcer la sécurité du système de clé virtuelle 1, en interdisant une telle utilisation. Pour cela, selon l'invention, le segment terminal 20 comprend encore un 30 enregistrement « différentiel » 40. Cet enregistrement « différentiel » 40 est avantageusement disposé dans une carte mémoire 24, avantageusement la même carte mémoire 24 qui stocke la « clé terminal » 25. Ceci permet avantageusement de protéger ledit enregistrement « différentiel » 40, avec des moyens de sécurité, afin d'empêcher un accès non autorisé, par exemple par le voleur. 35 Ledit enregistrement « différentiel » 40 est tel que sa validité diminue jusqu'à atteindre une péremption.
Le segment terminal 20 comprend encore un moyen de vérification 28 permettant de vérifier la validité de l'enregistrement « différentiel » 40. Au cours de la procédure d'authentification, réalisée conjointement par le moyen de traitement véhicule 12 et le moyen de traitement terminal 22, les deux moyens de traitement 12, 22 sont avantageusement aptes à utiliser le moyen de vérification 28 afin de vérifier la validité de l'enregistrement « différentiel » 40, et à inclure cette validité dans la réalisation d'une authentification. Ainsi il est possible, lorsque l'enregistrement « différentiel » 40 n'est plus valide parce que la péremption est atteinte, de conclure à une authentification négative, alors même que les autres tests sont positifs.
Ainsi la parade au vol d'un segment terminal 20 est complète. Si le voleur connecte le terminal mobile 21 volé au réseau de communication 31 la clé est invalidée via le réseau de communication et une authentification rend un résultat négatif. Si le voleur ne connecte par le terminal mobile 21 volé au réseau de communication 31, la validité de l'enregistrement « différentiel » 40 peut être vérifiée, lors de la procédure d'authentification, si le système est configuré en ce sens, et une authentification rend un résultat négatif, une fois que la péremption est atteinte. Dans tous les cas d'usage, un voleur du terminal mobile 21 ne peut obtenir indûment la fonction protégée, que pendant un temps très limité. La figure 3 représente un mode de réalisation d'une carte mémoire 24. Ladite carte mémoire 24 comporte un certain nombre d'enregistrements pouvant comprendre des valeurs stockées, le cas échéant de manière sécurisée. Ainsi selon un mode de réalisation une carte mémoire 24 peut comprendre un enregistrement « clé terminal » 25. Elle peut encore comprendre un enregistrement « différentiel » 40. D'autres enregistrements 39 peuvent encore être présents.
Sur la base de cet enregistrement « différentiel » 40, dont le contenu est indicatif d'une validité, d'autant plus importante que le segment terminal 20 a été récemment connecté au segment réseau 30, il est possible de réaliser au moins deux actions de sauvegarde de l'intégrité du système, lorsque ladite validité s'annule et qu'une péremption est atteinte.
La détection de l'atteinte d'une péremption par le processus d'authentification peut être réalisée par l'un quelconque des deux acteurs dudit processus, soit par le segment terminal 20, soit par le segment véhicule 10. La menace que l'on cherche à éviter ici est celle d'un voleur, ayant volé un terminal mobile 21, et qui évite une invalidation en ne se connectant plus au réseau de 35 communication 31, afin ainsi de continuer à utiliser indûment la clé. Afin de contrer cette menace, une première action consiste à rendre un résultat négatif à une authentification lorsque l'enregistrement « différentiel » 40 n'est plus valide, en ce qu'il a atteint sa péremption. Pour cela le processus d'authentification peut inclure une vérification de la validité de l'enregistrement « différentiel » 40. Tant que l'enregistrement « différentiel » 40 est valide le procédé d'authentification se déroule normalement, comme précédemment décrit et rend son résultat indépendamment de l'enregistrement « différentiel » 40. Lorsque l'enregistrement « différentiel » 40 est périmé le procédé d'authentification, s'il tient compte de la validité de l'enregistrement « différentiel » 40, rend un résultat négatif, même si la « clé véhicule » 15 et la « clé terminal » 25 sont appariées. Une deuxième action consiste à invalider la clé du terminal mobile 21 lorsque l'enregistrement « différentiel » devient périmé. Une telle opération, à l'instar d'une invalidation via le réseau de communication 31, bloque quasi définitivement la clé et interdit toute authentification positive ultérieure. Seule une procédure hautement sécurisée permet alors d'activer à nouveau la clé. Une telle action est cependant préjudiciable en ce qu'elle interdit à un propriétaire autorisé de débloquer le système.
Une fois que l'enregistrement « différentiel » 40 a atteint sa péremption, le système est bloqué en ce qu'une authentification positive ne peut plus être obtenue. Ceci est recherché à l'encontre d'un voleur. Cependant le système ne doit avantageusement pas atteindre cette péremption lors d'un usage normal par un utilisateur autorisé. Pour cela il est nécessaire 20 de pouvoir rafraîchir la validité de l'enregistrement « différentiel » 40. A cette fin le système comprend avantageusement au moins un moyen de rafraîchissement 36 apte à rafraîchir l'enregistrement « différentiel » 40, avant que sa validité ne décline trop, afin qu'il n'atteigne pas sa péremption. Ce moyen de rafraîchissement 36 appartient typiquement au segment 25 réseau 30, et nécessite une connexion du terminal mobile 21 au réseau de communication 31 par le moyen de communication 34. Avantageusement, le moyen de rafraîchissement 36 emploie le même moyen de communication 31 avec le segment terminal 20 que le moyen d'invalidation. Le moyen de rafraîchissement 36 localisé sur un terminal/serveur 32 relié au 30 dit réseau de communication 31 par un moyen de communication 33, est apte, après les vérifications d'identité d'usage, à effectuer un rafraîchissement de l'enregistrement « différentiel » 40, au moyen d'une commande à distance, transmise via ledit réseau de communication 31. Une telle commande est typiquement une commande utilisant le moyen de communication OTA 38 (de l'anglais Over The Air, signifiant depuis le réseau). 35 A des fins de sécurité, le moyen de rafraîchissement 36 est typiquement un serveur sécurisé de confiance (en anglais : Trust Service Manager, ou TSM).
Selon un mode de réalisation alternatif, le moyen de rafraîchissement peut encore appartenir et être localisé sur le segment véhicule 10. Un tel mode de réalisation est avantageux en ce qu'il permet à un utilisateur autorisé de ne pas se voir bloqué en l'absence de réseau. Cependant ce même mode de réalisation peut aussi permettre à un 5 voleur ayant aussi volé le véhicule de continuer à pouvoir l'utiliser en l'absence de réseau. Un rafraîchissement est avantageusement réalisé régulièrement et automatiquement, avec une durée entre deux rafraîchissements avantageusement inférieure à la durée indicative de péremption de l'enregistrement « différentiel » 40. Une fois que l'enregistrement « différentiel » 40 a atteint sa péremption, le 10 système est bloqué. Ceci peut se produire accidentellement même à l'encontre d'un propriétaire légitime autorisé, si le segment terminal 20 reste longtemps déconnecté du segment réseau 30. Ceci peut se produire par exemple si le terminal mobile 21 reste déchargé longtemps ou dans une zone hors réseau de communication 31, telle une zone non couverte du réseau de communication ou une zone aveugle telle un parking 15 souterrain. Le déblocage, pour un propriétaire légitime autorisé ne nécessite qu'une connexion du terminal mobile 21 au réseau de communication 31. Une telle connexion suffit à rafraîchir l'enregistrement « différentiel » 40 et ainsi à permettre à nouveau une authentification réussie. En l'absence d'une demande d'invalidation pendante, telle qu'à l'encontre d'un voleur, une telle connexion ne pose aucun problème. Par contre, en 20 présence d'une demande d'invalidation, cette même connexion provoque une invalidation du terminal mobile 21. Il est à noter qu'une connexion est demandée pour le segment terminal 20 et non pour le segment véhicule 10. En cas de péremption par absence de réseau, il est plus facile de déplacer le terminal mobile 21 jusqu'à retrouver le réseau, que de déplacer 25 le véhicule 11. Dans ce qui précède a été décrit un premier mode de réalisation, où une authentification vérifie la validité de l'enregistrement « différentiel » 40. La validité de l'enregistrement « différentiel » 40 est régulièrement rafraîchie tant que le terminal mobile 21 est connecté au réseau de communication 31 et commence à diminuer, jusqu'à 30 se périmer, dès que le terminal mobile 21 n'est plus connecté au réseau de communication 31. Une authentification réalise une vérification de la non péremption de l'enregistrement « différentiel » 40. Tant que le segment terminal 20 est connecté au segment réseau 30, la validité de l'enregistrement « différentiel » 40 est garantie. Aussi, il 35 n'est pas nécessaire de vérifier la validité de l'enregistrement « différentiel » 40, dès lors que le segment terminal 20 est connecté au segment réseau 30. La procédure d'authentification peut ainsi vérifier la connexion du segment terminal 20 au segment réseau 30. Si cette connexion est effective, une vérification de la validité de l'enregistrement « différentiel » 40 est facultative. Au contraire si la connexion n'est pas effective, alors une vérification de la validité de l'enregistrement « différentiel » 40 est réalisée.
Il a été vu qu'une authentification sert à protéger une fonction. Le comportement du système peut être différent selon la fonction protégée. Ainsi dans le cadre d'une application automobile, il est possible de différencier un contrôle d'accès, qui permet d'ouvrir ou non les portes d'un véhicule 11 et ainsi d'accéder à l'habitacle, d'un contrôle du démarrage, qui permet d'autoriser ou non le démarrage du moteur.
Selon un mode de réalisation possible, la validité de l'enregistrement « différentiel » 40 n'est pas vérifiée pour réaliser une authentification d'accès au véhicule 11, même si le segment mobile 20 est déconnecté du segment réseau 30, mais est au contraire vérifiée pour réaliser une authentification de démarrage du moteur, et surtout si le segment mobile 20 est déconnecté du segment réseau 30.
Un inconvénient de ce mode de réalisation est qu'un voleur ayant volé le terminal mobile 21 peut accéder à l'intérieur de l'habitacle du véhicule 11. Cependant, il ne peut en aucun cas démarrer le moteur, ce qui limite sa capacité à déplacer et ainsi à effectivement voler le véhicule 11. Un avantage de ce mode de réalisation est de permettre à un propriétaire légitime autorisé d'accéder à l'intérieur de l'habitacle du véhicule 11. Ceci est avantageux dans un scénario où le système est bloqué par péremption de l'enregistrement « différentiel » 40 suite à un trop long temps pendant lequel le segment terminal 20 est resté déconnecté du segment réseau 30, parce que le terminal mobile 21 est déchargé. Dans ce cas de figure, le propriétaire légitime autorisé peut entrer dans l'habitacle afin d'utiliser un chargeur présent à bord du véhicule 11, afin de pouvoir recharger le segment terminal 20, et pouvoir le connecter à nouveau au segment réseau 30, et ainsi débloquer le système, par rafraîchissement de l'enregistrement « différentiel » 40 ou en réalisant une authentification sans vérification de validité. Ainsi une authentification positive peut être réalisée, y compris pour le démarrage du moteur. Une telle option n'est pas offerte à un voleur, qui risque une invalidation s'il connecte le segment terminal 20 au segment réseau 30. Dans le dialogue, illustré à la figure 2 entre le moyen de traitement véhicule 13 et le moyen de traitement terminal 23, il est possible d'utiliser deux enregistrements « clé terminal » 25, 25'. Ces deux « clé terminal » 25, 25' sont toutes deux appariées à la « clé véhicule » 15 et permettent de manière équivalente une authentification du terminal mobile 21 en tant que clé. Le segment véhicule est apte à apprécier la réponse 63, 67 du segment terminal 20 qu'elle soit réalisée avec la première « clé terminal » 25 ou avec la deuxième « clé terminal » 25', et à différencier l'une de l'autre. Aussi, le segment terminal 20 peut tester au moyen d'un test 62 s'il est ou non connecté au réseau de communication 31. Selon une convention préalablement établie 5 avec le segment véhicule 10, le segment terminal 20 peut avantageusement répondre à la transmission 55 qui lui fait parvenir une « semence » aléatoire, par une réponse 63 réalisée au moyen du bloc de codage 61 en utilisant la première « clé terminal » 25 lorsque ledit segment terminal 20 est connecté au segment réseau 30 ou par une réponse 67 réalisée au moyen du bloc de codage 66, similaire au bloc de codage 61, en 10 utilisant la deuxième « clé terminal » 25' lorsque ledit segment terminal 20 n'est pas connecté au segment réseau 30. Ceci est un moyen simple de répondre à une demande d'authentification tout en renvoyant au segment véhicule 10 l'information de connexion ou non du segment terminal 20 au segment réseau 30. Les deux réponses 63, 67 permettent toutes deux 15 d'authentifier le segment terminal 20. La transmission 65 qui retourne une réponse 63, basée sur la première « clé terminal » 25, indique en même temps que le segment terminal 20 est connecté au segment réseau 30. Sa comparaison 54 à la réponse 53 produite par le segment véhicule 10 permet de réaliser une authentification 56, sans nécessairement vérifier la validité de l'enregistrement « différentiel » 40. La 20 transmission 68 qui retourne une réponse 67, basée sur la deuxième « clé terminal » 25', indique en même temps que le segment terminal 20 n'est pas connecté au segment réseau 30. Sa comparaison 54 à la réponse 53 produite par le segment véhicule 10 doit en plus être confortée par une vérification de la validité 52 de l'enregistrement « différentiel » 40 pour réaliser une authentification 57. 25 L'enregistrement « différentiel » 40 permet de vérifier une péremption, s'il n'est pas régulièrement rafraîchi. Ceci peut être réalisé selon plusieurs modes de réalisation alternatifs ou complémentaires. Selon un mode de réalisation temporel, l'enregistrement « différentiel » 40 comprend des éléments permettant de calculer une heure de péremption. Ces éléments 30 comprennent, par exemple, directement une heure de péremption. Ces éléments comprennent, selon un autre exemple, une heure de référence et une marge de temps. L'heure de référence peut être l'heure courante au moment du dernier rafraîchissement et la marge de temps la durée pendant laquelle une utilisation est autorisée malgré une déconnexion du segment terminal 20. La marge de temps ajoutée à l'heure de référence 35 donne ici l'heure de péremption. Ainsi, muni de ces éléments, la validité de l'enregistrement « différentiel » 40 peut être vérifiée en lisant l'heure courante, par exemple indiquée par une horloge terminal ou véhicule, et en la comparant à ladite heure de péremption, lue ou calculée à partir des éléments. Tant que l'heure courante est inférieure à ladite heure de péremption l'enregistrement « différentiel » 40 est valide. Dès lors que l'heure courante dépasse l'heure de péremption, ce qui se produit nécessairement, la péremption est réalisée.
Une horloge est toujours disponible, et ce mode est aisé à mettre en oeuvre. Il présente l'inconvénient de pouvoir être contourné par arrêt ou retardement de l'horloge de référence utilisée pour l'heure courante. Cet inconvénient peut être contourné en utilisant une horloge protégée non modifiable. Ce mode permet de définir, au moyen de ladite marge de temps, le laps de temps maximum d'utilisation que l'on autorise à un voleur. A contrario, ladite marge de temps doit présenter une certaine valeur minimale afin de permettre une utilisation autorisée lorsqu'un rafraîchissement n'est pas possible, comme par exemple dans une zone aveugle du réseau de communication 31 ou lorsque le terminal mobile 21 est déchargé. Selon un mode de réalisation kilométrique, l'enregistrement « différentiel » 40 comprend des éléments permettant de calculer un kilométrage de péremption. Ces éléments comprennent, par exemple, directement un kilométrage de péremption. Ces éléments comprennent, selon un autre exemple, un kilométrage de référence et une marge de kilomètres. Le kilométrage de référence peut être le kilométrage courant au moment du dernier rafraîchissement et la marge de kilomètres la distance kilométrique pour laquelle une utilisation est autorisée malgré une déconnexion du segment terminal 20. Ainsi, muni de ces éléments, la validité de l'enregistrement « différentiel » 40 est vérifiée en lisant le kilométrage courant du véhicule, indiqué par le compteur kilométrique du véhicule, et en le comparant au dit kilométrage de péremption. Tant que le kilométrage courant est inférieur au dit kilométrage de péremption l'enregistrement « différentiel » 40 est valide. Dès lors que le kilométrage courant dépasse le kilométrage de péremption, ce qui se produit si le véhicule roule, la péremption est réalisée. Un compteur kilométrique est toujours disponible, et ce mode est aisé à mettre en oeuvre. Il présente l'avantage de ne pouvoir être contourné que difficilement, le compteur kilométrique étant protégé contre toute modification. Ce mode permet de définir, au moyen de ladite marge de kilomètres, la distance kilométrique maximale que l'on autorise à un voleur. A contrario, ladite marge kilométrique doit présenter une certaine valeur minimale afin de permettre une utilisation autorisée lorsqu'un rafraîchissement n'est pas possible, comme par exemple dans une zone aveugle du réseau de communication 31 ou lorsque le terminal mobile 21 est déchargé. Selon un mode de réalisation géographique, l'enregistrement « différentiel » 40 comprend des éléments permettant de calculer une zone géographique de péremption. Ces éléments comprennent, par exemple, une zone géographique définie par des points de frontière. Ces éléments comprennent, selon un autre exemple, une position de référence et une marge de distance. La zone géographique de péremption est alors, par exemple, le cercle centré sur la position de référence et de rayon ladite marge de distance. La position de référence peut être la position courante au moment du dernier rafraîchissement et la marge de distance la distance pour laquelle une utilisation est autorisée malgré une déconnexion du segment terminal 20. La marge de distance combinée à la position de référence donne ici la zone géographique de péremption. Ainsi, muni de ces éléments, la validité de l'enregistrement « différentiel » 40 peut être vérifiée en lisant la position courante du véhicule, indiquée par un moyen de géo localisation, tel un récepteur GPS, et en la comparant à ladite zone géographique de péremption, lue ou calculée à partir des éléments. Tant que la position courante est comprise dans la zone géographique de péremption l'enregistrement « différentiel » 40 est valide. Dès lors que la position courante sort de la zone géographique de péremption, la péremption est réalisée. Il est à noter que ceci peut ne jamais se produire si le véhicule ne se déplace que dans ladite zone géographique de péremption. Un moyen de géo localisation n'est pas toujours disponible, et ce mode peut ne pas pouvoir être mis en oeuvre. Ce mode permet de définir, au moyen de ladite marge de distance, la distance maximale que l'on autorise à un voleur autour de la dernière 20 position rafraîchie. Les éléments comprennent, dans les trois modes temporels, kilométrique et géographique, une partie variable : heure de péremption, heure de référence, kilométrage de péremption, kilométrage de référence, zone de péremption, position de référence, etc. et une partie constante : marge de temps, marge de kilomètres, marge de distance. 25 Au moins la partie variable doit être stockée dans le segment terminal 20, par exemple dans la carte mémoire 24. Seule la partie variable est rafraîchie par le moyen de rafraîchissement 36. La partie constante peut être stockée indifféremment dans le segment véhicule 10, par exemple dans la mémoire 14 ou dans le segment terminal 20. La partie 30 constante est éventuellement configurable. Cependant une telle configuration doit être sécurisée afin que le voleur ne puisse contourner la protection en augmentant la marge. Le moyen de rafraîchissement 36, est apte à rafraîchir l'enregistrement « différentiel » 40. Ceci est réalisé périodiquement, afin d'éviter une péremption pour un utilisateur autorisée. Ceci est typiquement réalisé en actualisant la partie variable des 35 éléments permettant de calculer l'heure de péremption, le kilométrage de pérerfiption et/ou la zone géographique de péremption.
Ainsi, pour le mode temporel donné à titre d'exemple, seule l'heure courante est réactualisée au rafraîchissement. Soit l'enregistrement « différentiel » 40 comprend une heure de péremption. Cette dernière est obtenue et rafraîchie en ajoutant à l'heure courante la marge de temps. Soit l'enregistrement « différentiel » 40 comprend l'heure courante et la marge de temps et seule l'heure courante est réactualisée, la marge de temps restant inchangée.

Claims (10)

  1. REVENDICATIONS1. Système de clé virtuelle comprenant : - un segment véhicule (10) disposé dans un véhicule (11) et comprenant un moyen de communication véhicule (13), un moyen de traitement véhicule (12), et une mémoire (14) comprenant au moins un enregistrement « clé véhicule » (15), - un segment terminal (20) disposé dans un terminal mobile (21) et comprenant un moyen de communication terminal (23), un moyen de traitement terminal (22), et une carte mémoire (24) comprenant au moins un enregistrement « clé terminal » (25), le moyen de traitement véhicule (12) et le moyen de traitement terminal (22) étant aptes à dialoguer, via les moyens de communication (13, 23), pour réaliser une authentification du segment terminal (20) auprès du segment véhicule (10), par vérification que l'enregistrement « clé véhicule » (15) est apparié à l'enregistrement « clé terminal » (25), et - un segment réseau (30), caractérisé en ce que : - la carte mémoire (24) comprend encore un enregistrement « différentiel » (40) dont la validité diminue jusqu'à atteindre une péremption et, - ledit système comprend un moyen de rafraichissement (36), apte à rafraichir ledit enregistrement « différentiel » (40) afin d'éviter une péremption.
  2. 2. Système selon la revendication 1, comprenant encore un moyen de vérification (28) apte à vérifier la validité de l'enregistrement « différentiel » (40) et où le moyen de traitement véhicule (12) et le moyen de traitement terminal (22) sont encore aptes à utiliser le moyen de vérification (28) afin de vérifier la validité de l'enregistrement « différentiel » (40) pour réaliser une authentification.
  3. 3. Système selon l'une quelconque des revendications 1 à 2, où le moyen de traitement véhicule (12) et le moyen de traitement terminal (22) sont tels que la validité de l'enregistrement « différentiel » (40) n'est pas vérifiée pour réaliser une authentification 30 lorsque le segment terminal (20) est connecté au segment réseau (30).
  4. 4. Système selon l'une quelconque des revendications 1 à 3, où le moyen de traitement véhicule (12) et le moyen de traitement terminal (22) sont tels que la validité del'enregistrement « différentiel » (40) n'est pas vérifiée pour réaliser une authentification d'accès au véhicule (11).
  5. 5. Système selon l'une quelconque des revendications 1 à 4, où le moyen de traitement véhicule (12) et le moyen de traitement terminal (22) sont tels que la validité de 5 l'enregistrement « différentiel » (40) est vérifiée pour réaliser une authentification de démarrage du moteur.
  6. 6. Système selon l'une quelconque des revendications 1 à 5, comprenant au moins un premier (25) et un deuxième (25') enregistrement « clé terminal », et où le moyen de traitement terminal (22) est apte à contribuer à une authentification, au moyen 10 du premier enregistrement « clé terminal » (25) lorsque le segment terminal (20) est connecté au segment réseau (30) et au moyen du deuxième enregistrement « clé terminal » (25') lorsque le segment terminal (20) n'est pas connecté au segment réseau (30).
  7. 7. Système selon l'une quelconque des revendications 1 à 6, où l'enregistrement 15 « différentiel » (40) comprend des éléments permettant de calculer une heure de péremption, et où l'enregistrement « différentiel » (40) est valide tant que l'heure courante est inférieure à ladite heure de péremption.
  8. 8. Système selon l'une quelconque des revendications 1 à 7, où l'enregistrement « différentiel » (40) comprend des éléments permettant de calculer un kilométrage de 20 péremption, et où l'enregistrement « différentiel » (40) est valide tant que le kilométrage courant du véhicule est inférieur au kilométrage de péremption.
  9. 9. Système selon l'une quelconque des revendications 1 à 8, où l'enregistrement « différentiel » (40) comprend des éléments permettant de calculer une zone géographique de péremption, et où l'enregistrement « différentiel » (40) est valide tant 25 que la position courante du véhicule est dans ladite zone géographique de péremption.
  10. 10. Système selon l'une quelconque des revendications 1 à 9, où le moyen de rafraîchissement (36) est apte à rafraîchir l'enregistrement « différentiel » (40) en actualisant lesdits éléments permettant de calculer l'heure de péremption, le kilométrage de péremption et/ou la zone géographique de péremption.
FR1103036A 2011-10-06 2011-10-06 Systeme de cle virtuelle Active FR2981028B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1103036A FR2981028B1 (fr) 2011-10-06 2011-10-06 Systeme de cle virtuelle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1103036A FR2981028B1 (fr) 2011-10-06 2011-10-06 Systeme de cle virtuelle

Publications (2)

Publication Number Publication Date
FR2981028A1 true FR2981028A1 (fr) 2013-04-12
FR2981028B1 FR2981028B1 (fr) 2014-08-29

Family

ID=45093844

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1103036A Active FR2981028B1 (fr) 2011-10-06 2011-10-06 Systeme de cle virtuelle

Country Status (1)

Country Link
FR (1) FR2981028B1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3263409A1 (fr) * 2016-06-28 2018-01-03 Toyota Jidosha Kabushiki Kaisha Système de verrouillage et de déverrouillage et unité de cle

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0838569A2 (fr) * 1996-10-23 1998-04-29 Daimler-Benz Aktiengesellschaft Clé électronique pour véhicule
DE19753401A1 (de) * 1997-12-02 1999-06-10 Marquardt Gmbh Kraftfahrzeug mit einem elektronischen Schließsystem
EP0792223B1 (fr) * 1994-11-25 2001-09-26 Robert Bosch Gmbh Systeme antivol structural pour automobiles
EP1564691A2 (fr) * 2004-02-16 2005-08-17 Kabushiki Kaisha Tokai Rika Denki Seisakusho Système de contrôle de sécurité
DE102005034477A1 (de) * 2005-07-20 2007-01-25 Sebastian Wolf Schließsystem mit digitalem Schlüssel, insbesondere für Kraftfahrzeuge

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0792223B1 (fr) * 1994-11-25 2001-09-26 Robert Bosch Gmbh Systeme antivol structural pour automobiles
EP0838569A2 (fr) * 1996-10-23 1998-04-29 Daimler-Benz Aktiengesellschaft Clé électronique pour véhicule
DE19753401A1 (de) * 1997-12-02 1999-06-10 Marquardt Gmbh Kraftfahrzeug mit einem elektronischen Schließsystem
EP1564691A2 (fr) * 2004-02-16 2005-08-17 Kabushiki Kaisha Tokai Rika Denki Seisakusho Système de contrôle de sécurité
DE102005034477A1 (de) * 2005-07-20 2007-01-25 Sebastian Wolf Schließsystem mit digitalem Schlüssel, insbesondere für Kraftfahrzeuge

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3263409A1 (fr) * 2016-06-28 2018-01-03 Toyota Jidosha Kabushiki Kaisha Système de verrouillage et de déverrouillage et unité de cle
RU2669715C1 (ru) * 2016-06-28 2018-10-15 Тойота Дзидося Кабусики Кайся Система блокировки и разблокировки и блок ключа

Also Published As

Publication number Publication date
FR2981028B1 (fr) 2014-08-29

Similar Documents

Publication Publication Date Title
US9026171B2 (en) Access techniques using a mobile communication device
EP2969667B1 (fr) Procede de mise a disposition d'un vehicule et systeme de mise a disposition correspondant
US9082295B1 (en) Cellular phone entry techniques
FR3015820A1 (fr) Telephone mobile apte a s'apparier automatiquement avec un vehicule automobile et procede d'appairage automatique
FR2989799A1 (fr) Procede de transfert d'un dispositif a un autre de droits d'acces a un service
EP3221815A1 (fr) Procédé de sécurisation d'un jeton de paiement.
FR2905817A1 (fr) Procede et central de service pour la mise a jour de donnees d'autorisation dans un dispositif d'acces.
US11748510B1 (en) Protection of personal data stored in vehicular computing systems
FR3067136A1 (fr) Procede de mise a jour d’un calculateur embarque de vehicule
EP3552327B1 (fr) Procédé de personnalisation d'une transaction sécurisée lors d'une communication radio
FR2966620A1 (fr) Procede et systeme de controle de l'execution d'une fonction protegee par authentification d'un utilisateur, notamment pour l'acces a une ressource
WO2011101407A1 (fr) Procédé d'authentification biométrique, système d'authentification et programme correspondant
EP2469904A1 (fr) Dispositif électronique et procédé de communication
FR3028335A1 (fr) Peripherique de stockage de donnees avec gestion d'acces securise et procede de gestion d'acces associe
WO2005069658A1 (fr) Procede de securisation de l’identifiant d’un telephone portable, et telephone portable correspondant
FR2981028A1 (fr) Systeme de cle virtuelle
FR2958102A1 (fr) Procede et systeme de validation d'une transaction, terminal transactionnel et programme correspondants.
EP3195553B1 (fr) Procédé d'appairage entre un appareil mobile et un module électronique d'un véhicule
WO2009132977A1 (fr) Ressource de confiance integree a un dispositif de controle de donnees biometriques assurant la securite du controle et celle des donnees
EP3185189A1 (fr) Procédé et système de fourniture de service avec vérification de l'adéquation entre un véhicule receveur du service et un utilisateur du service
FR2981029A1 (fr) Systeme de cle virtuelle
US20240259198A1 (en) Updating vehicle ownership authorizations
EP4159555A1 (fr) Mise à jour d'autorisations de propriété de véhicule
WO2023058176A1 (fr) Système d'authentification, dispositif d'utilisateur, dispositif mobile, procédé de transmission d'informations de clé, procédé d'authentification et support lisible par ordinateur
FR3107489A1 (fr) Procédé et dispositif de contrôle d’un système de verrouillage d’un ouvrant de véhicule

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13