ES2810226T3 - Dispositivo de a bordo para un vehículo - Google Patents

Dispositivo de a bordo para un vehículo Download PDF

Info

Publication number
ES2810226T3
ES2810226T3 ES17176161T ES17176161T ES2810226T3 ES 2810226 T3 ES2810226 T3 ES 2810226T3 ES 17176161 T ES17176161 T ES 17176161T ES 17176161 T ES17176161 T ES 17176161T ES 2810226 T3 ES2810226 T3 ES 2810226T3
Authority
ES
Spain
Prior art keywords
short
processing unit
data
board device
data processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17176161T
Other languages
English (en)
Inventor
Leonardo Gargiani
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Autostrade Tech SpA
Original Assignee
Autostrade Tech SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Autostrade Tech SpA filed Critical Autostrade Tech SpA
Application granted granted Critical
Publication of ES2810226T3 publication Critical patent/ES2810226T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/14Payment architectures specially adapted for billing systems
    • G06Q20/145Payments according to the detected use or quantity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B15/00Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points
    • G07B15/06Arrangements for road pricing or congestion charging of vehicles or vehicle users, e.g. automatic toll systems
    • G07B15/063Arrangements for road pricing or congestion charging of vehicles or vehicle users, e.g. automatic toll systems using wireless information transmission between the vehicle and a fixed station

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Finance (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Transceivers (AREA)

Abstract

Dispositivo de a bordo (100, 100', 100") para un vehículo, siendo adecuado dicho dispositivo de a bordo (100, 100', 100") para su uso en un sistema que proporciona un servicio telemático de tráfico, comprendiendo dicho dispositivo de a bordo (100, 100', 100"): - una etapa de comunicación por radiofrecuencia (140) configurada para comunicarse con un dispositivo de carretera de dicho sistema; - una etapa de comunicación de corto alcance (150) configurada para comunicarse con un dispositivo electrónico (210) ubicado en las proximidades de la misma; - una unidad de procesamiento de datos (120) que coopera con dicha etapa de comunicación por radiofrecuencia (140) y con dicha etapa de comunicación de corto alcance (150), - una memoria operativa central no volátil (130) accesible por dicha unidad de procesamiento de datos (120) y no accesible por dicha etapa de comunicación de corto alcance (150) y - una memoria volátil (160) accesible por dicha etapa de comunicación de corto alcance (150) y por dicha unidad de procesamiento de datos (120), en el que dicha memoria volátil (160) es adecuada para almacenar temporalmente datos que han de leerse y/o datos que han de escribirse en dicha memoria operativa central no volátil (130) por dicho dispositivo externo (210) a través de dicha etapa de comunicación de corto alcance (150) y dicha unidad de procesamiento de datos (120).

Description

DESCRIPCIÓN
Dispositivo de a bordo para un vehículo
Campo técnico de la invención
La presente invención se refiere en general al campo de los servicios telemáticos de tráfico. En particular, la presente invención se refiere a un dispositivo de a bordo para un vehículo, adecuado para su uso en un sistema que presta soporte a un servicio telemático de tráfico.
Técnica anterior
Se conocen sistemas que prestan soporte a servicios telemáticos de tráfico. Estos servicios comprenden tanto servicios para el usuario (tales como el pago de peajes para el acceso a tramos de carretera/autopista, el pago de estancias en aparcamientos, etc.) como servicios de administrador (tales como el control de acceso a zonas urbanas en las que el tráfico está restringido, supervisión del tráfico a lo largo de un tramo de carretera/autopista, etc.).
Estos sistemas generalmente comprenden un dispositivo de a bordo (también conocido como "OBU", es decir, “On Board Unit”), adecuado para su instalación en un vehículo, y una pluralidad de dispositivos de carretera (también conocidos como "RSU", es decir, “Road Side Units”) adecuados para su instalación en un lado de la carretera, en puertas de acceso o en puntos de tránsito, o en estaciones de peaje.
En general, tanto el dispositivo de a bordo como los dispositivos de carretera están provistos de respectivas etapas de comunicación por radiofrecuencia (típicamente, etapas de DSRC, es decir, “Dedicated Short Range Communication” stages), que permiten que el dispositivo de a bordo intercambie información con los dispositivos de carretera. Típicamente, estas etapas de comunicación por radiofrecuencia utilizan portadoras de radiofrecuencia, por ejemplo, dentro del intervalo de frecuencia de 5-6 GHz.
Cada dispositivo de a bordo típicamente tiene un código de identificación exclusivo asociado OBU-ID, con el que se configura mediante software durante su fabricación o antes de ser distribuido comercialmente. Además, cuando se asigna un dispositivo de a bordo a un usuario, este puede configurarse o personalizarse con información sobre el usuario (por ejemplo, datos personales/detalles del contrato) e información sobre el vehículo (número de matrícula, etc.). La configuración de un dispositivo de a bordo generalmente implica también la gestión de las diversas aplicaciones que proporcionan los servicios telemáticos de tráfico a los que presta soporte el dispositivo.
Después de que un dispositivo de a bordo se haya configurado e instalado a bordo, puede ser necesario modificar su configuración, por ejemplo, para actualizar o activar las aplicaciones de software ya presentes, o cargar nuevas aplicaciones, o eliminar o desactivar aquellas aplicaciones que ya no tienen interés para el usuario. Este es, por ejemplo, el caso en que un usuario desea activar temporalmente un servicio de pago de peaje en un país extranjero. En este caso, la configuración del dispositivo de a bordo del usuario debe modificarse cargando y activando temporalmente una aplicación de software capaz de prestar soporte a este servicio.
Además, después de que un dispositivo de a bordo se haya configurado e instalado a bordo, puede ser necesario llevar a cabo verificaciones sobre el funcionamiento del mismo y pruebas de diagnóstico, tales como una comprobación del nivel de carga de su batería. También podría ser necesario verificar la información de configuración (relacionada con el usuario y/o el vehículo de motor) almacenada en el dispositivo de a bordo.
Todas las operaciones mencionadas anteriormente requieren acceso al dispositivo de a bordo para realizar la escritura o la lectura de su memoria y generalmente se llevan a cabo por medio de equipos provistos de etapas de comunicación por radiofrecuencia capaces de comunicarse con aquella presente en el dispositivo de a bordo. Este equipo generalmente está presente en los centros operativos gestionados por la empresa que proporciona el servicio telemático de tráfico o por la empresa que gestiona la carretera o la autopista a lo largo de la cual se presta el servicio telemático de tráfico. Por lo tanto, si un usuario desea modificar la configuración de su dispositivo de a bordo o verificar su funcionamiento, generalmente debe personarse en uno de estos centros operativos.
El documento US 2014/0316685 describe un dispositivo de a bordo para un sistema que presta soporte a servicios telemáticos de tráfico, que comprende un módulo de comunicación de corto alcance para su comunicación con un primer dispositivo externo (por ejemplo, el teléfono móvil del usuario), un módulo de comunicación de largo alcance (por ejemplo , DSRC) para su comunicación con un segundo dispositivo externo (por ejemplo, los dispositivos de carretera del sistema) y una memoria no volátil que es accesible por ambos módulos de comunicación. El módulo de comunicación de corto alcance puede ser, por ejemplo, una etiqueta NFC pasiva. Esta se alimenta por medio del teléfono móvil del usuario durante la comunicación y de esta forma puede acceder a la memoria no volátil, alimentándola, incluso cuando el resto del dispositivo de a bordo no está en condiciones operativas. Por lo tanto, el contenido de la memoria no volátil puede leerse y/o escribirse mediante la conexión entre el teléfono móvil del usuario y el módulo de comunicación de corto alcance, independientemente de si el resto del dispositivo de a bordo está operativo o no. Por lo tanto, es posible modificar la configuración del dispositivo de a bordo, por ejemplo, escribiendo datos de configuración en la memoria no volátil, por medio del teléfono móvil del usuario. Del mismo modo, es posible leer el contenido de la memoria no volátil a través del teléfono móvil del usuario.
Sumario de la invención
El solicitante ha observado que el dispositivo de a bordo descrito por el documento US 2014/0316685 adolece de una serie de inconvenientes.
Concretamente, el solicitante ha observado que el módulo de comunicación de corto alcance incluido en este dispositivo, dado que tiene acceso directo a la memoria no volátil del dispositivo tanto durante la lectura como durante la escritura, reduce de forma desventajosa la seguridad del dispositivo de a bordo. Las tecnologías de corto alcance y de campo cercano (tales como la tecnología NFC) generalmente tienen mecanismos de autenticación y de protección de la conexión que no son particularmente seguros, basándose la seguridad de la conexión principalmente en el hecho de tener un alcance de cobertura de solo un pocos centímetros Por lo tanto, si, por ejemplo, un tercero toma posesión del dispositivo de a bordo de un usuario, podría acceder al dispositivo de a bordo utilizando su propio teléfono móvil (u otro dispositivo equipado con lector NFC), y modificar así su configuración, o acceder al código fuente, o leer información almacenada en el mismo y usarla para clonar el dispositivo de a bordo (es decir, copiarla en otro dispositivo de a bordo).
En vista de lo anterior, un objetivo de la presente invención es proporcionar un dispositivo de a bordo para un vehículo de motor que sea adecuado para su uso en un sistema que preste soporte a un servicio telemático de tráfico y que resuelva los problemas mencionados anteriormente.
En particular, un objetivo de la presente invención es proporcionar un dispositivo de a bordo para un vehículo de motor adecuado para su uso en un sistema que preste soporte a un servicio telemático de tráfico que sea más seguro.
Según formas de realización de la presente invención, este objetivo se logra mediante un dispositivo de a bordo que comprende una etapa de comunicación por radiofrecuencia para su comunicación con los dispositivos de carretera, una etapa de comunicación de corto alcance para su comunicación con un dispositivo electrónico (por ejemplo, un teléfono móvil del usuario o un lector) y una unidad de procesamiento de datos que coopera con la etapa de comunicación por radiofrecuencia. El dispositivo de a bordo también comprende una memoria operativa central no volátil y una memoria volátil. La memoria operativa central no volátil es accesible solo por la unidad de procesamiento de datos, mientras que la memoria volátil es accesible tanto por la etapa de comunicación de corto alcance como por la unidad de procesamiento de datos. La memoria volátil almacena temporalmente los datos que el dispositivo electrónico desea leer desde, y/o escribir en, la memoria operativa central no volátil a través de la etapa de comunicación de corto alcance y la unidad de procesamiento de datos.
El acceso a la memoria operativa central no volátil por la etapa de comunicación de corto alcance (y por lo tanto por el dispositivo electrónico), por lo tanto, no es directo, sino que se produce de forma ventajosa a través de la memoria volátil y la unidad de procesamiento de datos.
Por ejemplo, en un primer modo de lectura, la unidad de procesamiento recupera los datos que han de leerse de la memoria operativa central no volátil y los escribe en la memoria volátil, en la que se almacenan temporalmente. Después, la etapa de comunicación de corto alcance transfiere estos datos desde la memoria volátil al dispositivo electrónico.
En este segundo modo de escritura, por otra parte, la etapa de comunicación de corto alcance recibe los datos que han de escribirse en la memoria operativa central no volátil y los escribe en la memoria volátil, en la que se almacenan temporalmente. Después, la unidad de procesamiento transfiere estos datos desde la memoria volátil a la memoria operativa central no volátil.
De forma ventajosa, el dispositivo de a bordo es seguro, ya que, por ejemplo, en el modo de escritura, en el momento de la recepción, en el dispositivo de a bordo, de los datos que han de escribirse, los datos residen temporalmente en una memoria volátil separada de la memoria de operación central de la unidad. Esto permite que se implementen mecanismos de seguridad particularmente eficaces. Por ejemplo, los datos pueden recibirse en forma cifrada y la clave para descifrarlos puede almacenarse en la memoria operativa central no volátil. De esta forma, los datos que han de descifrarse y la clave para descifrarlos residen en dos memorias separadas físicamente, una de las cuales (concretamente la que almacena la clave) es accesible solo para la unidad de procesamiento de datos y no por la etapa de comunicación de corto alcance. Por lo tanto, a pesar del hecho de que la etapa de comunicación de corto alcance permite establecer una conexión desprotegida entre el dispositivo electrónico y el dispositivo de a bordo, el dispositivo de a bordo es, de forma ventajosa, más seguro.
Además de la clave para implementar los mecanismos de cifrado, la memoria operativa central puede almacenar de forma ventajosa toda la información que es más sensible desde el punto de vista de la seguridad del dispositivo de a bordo y que se desea proteger del acceso no autorizado por la etapa de comunicación de corto alcance. Por ejemplo, el código fuente del dispositivo de a bordo (que también es responsable de gestionar los datos del usuario y los datos de configuración) puede guardarse en la memoria operativa central, de modo que esté protegido del acceso no autorizado por la comunicación de corto alcance etapa y de los riesgos que dicho acceso podría implicar. Según un primer aspecto de la presente invención, se proporciona un dispositivo de a bordo para un vehículo, siendo el dispositivo de a bordo adecuado para su uso en un sistema que proporciona un servicio telemático de tráfico, comprendiendo el dispositivo de a bordo:
- una etapa de comunicación por radiofrecuencia configurada para comunicarse con un dispositivo de carretera de dicho sistema;
- una etapa de comunicación de corto alcance configurada para comunicarse con un dispositivo electrónico ubicado en las proximidades de la misma;
- una unidad de procesamiento de datos que coopera con la etapa de comunicación por radiofrecuencia y con la etapa de comunicación de corto alcance,
- una memoria operativa central no volátil accesible por la unidad de procesamiento de datos y no accesible por la etapa de comunicación de corto alcance; y
- una memoria volátil accesible por la etapa de comunicación de corto alcance y por la unidad de procesamiento de datos,
en el que la memoria volátil es adecuada para almacenar temporalmente datos que han de leerse y/o datos que han de escribirse en la memoria operativa central no volátil por el dispositivo externo a través de la etapa de comunicación de corto alcance y la unidad de procesamiento de datos.
Preferentemente, el dispositivo de a bordo también comprende una batería conectada eléctricamente de forma directa o indirecta a la etapa de comunicación por radiofrecuencia, a la etapa de comunicación de corto alcance, a la memoria operativa central no volátil y a la memoria volátil.
Preferentemente, la batería está conectada eléctricamente a la memoria operativa central no volátil por medio de un primer interruptor, estando el primer interruptor abierto cuando la unidad de procesamiento de datos se encuentra en modo de espera y estando el primer interruptor cerrado cuando la unidad de procesamiento de datos se encuentra en modo operativo.
Preferentemente, el primer interruptor se proporciona dentro de la unidad de procesamiento de datos y está configurado para cerrarse automáticamente cuando dicha unidad de procesamiento de datos (120) pasa del modo de espera a dicho modo operativo.
Según las primeras variantes, la batería está directamente conectada eléctricamente a la etapa de comunicación de corto alcance.
En estas variantes, la memoria volátil es preferentemente una memoria RAM o una memoria tampón.
Según otras variantes, la batería está conectada eléctricamente a la etapa de comunicación de corto alcance por medio de un segundo interruptor, estando el segundo interruptor abierto cuando la unidad de procesamiento de datos se encuentra en modo de espera y estando el segundo interruptor cerrado cuando la unidad de procesamiento de datos se encuentra en modo operativo.
Preferentemente, también se proporciona el segundo interruptor dentro de la unidad de procesamiento de datos. Preferentemente, la unidad de procesamiento de datos está conectada eléctricamente a la etapa de comunicación de corto alcance también por medio de una conexión eléctrica, y:
- la etapa de comunicación de corto alcance está configurada para generar y enviar a la unidad de procesamiento de datos a través de la conexión eléctrica una señal de activación; y
- la unidad de procesamiento de datos está configurada para pasar de un modo de espera a un modo operativo tras la recepción de la señal de activación, cerrando el primer interruptor.
Preferentemente, el dispositivo de a bordo también comprende un botón pulsador accesible desde el exterior del dispositivo de a bordo y conectado eléctricamente a la unidad de procesamiento de datos por medio de una conexión eléctrica adicional, y:
- el botón pulsador está configurado, cuando se presiona, para generar y enviar a la unidad de procesamiento de datos a través de la conexión eléctrica adicional una señal de activación adicional; y
- la unidad de procesamiento de datos está configurada para pasar de un modo de espera a un modo operativo tras la recepción de la señal de activación adicional, cerrando el primer interruptor.
Preferentemente, la unidad de procesamiento de datos está configurada para:
- tras la recepción de la señal de activación desde la etapa de comunicación de corto alcance, habilitar solo operaciones para la lectura de datos por la memoria operativa central no volátil; y
- tras la recepción de la señal de activación adicional del botón, habilitar solo las operaciones de escritura de datos en la memoria operativa central no volátil.
Preferentemente:
- la etapa de comunicación de corto alcance está configurada, tras la recepción de un comando de lectura por el dispositivo electrónico, para reenviar el comando de lectura a la unidad de procesamiento de datos; - la unidad de procesamiento de datos está configurada, tras la recepción del comando de lectura, para recuperar los datos que han de leerse desde la memoria operativa central y almacenarlos temporalmente en la memoria volátil; y
- la etapa de comunicación de corto alcance está configurada para leer los datos que han de leerse almacenados temporalmente en la memoria volátil y para transmitirlos al dispositivo electrónico.
Preferentemente:
- la etapa de comunicación de corto alcance está configurada, tras la recepción de un comando de escritura y los datos que han de escribirse por el dispositivo electrónico, para reenviar el comando de escritura a la unidad de procesamiento de datos y almacenar temporalmente en la memoria volátil los datos que han de escribirse; y
- la unidad de procesamiento de datos está configurada, tras la recepción del comando de escritura, para leer los datos que han de escribirse almacenados temporalmente en la memoria volátil y transferirlos a la memoria operativa central no volátil.
Preferentemente, los datos que han de escribirse son recibidos por la etapa de comunicación de corto alcance, cifrados con una clave simétrica, y la unidad de procesamiento de datos está configurada para descifrar los datos que han de escribirse antes de transferirlos desde la memoria volátil a la memoria operativa central no volátil, utilizando una clave igual a la clave simétrica y almacenada en la memoria operativa central.
Preferentemente, la memoria volátil comprende:
- por lo menos una primera zona de memoria en la que la etapa de comunicación de corto alcance está habilitada para escribir solo los datos que han de escribirse en la memoria operativa central no volátil y desde la cual la unidad de procesamiento de datos se habilita para leer solo los datos que han de escribirse en la memoria operativa central no volátil; y/o
- por lo menos una segunda zona de memoria en la que dicha unidad de procesamiento de datos está habilitada para escribir solo los datos que han de leerse por la memoria operativa central no volátil y desde la cual la etapa de comunicación de corto alcance se habilita para leer solo los datos que han de leerse por la memoria operativa central no volátil.
Según una forma de realización adicional, el dispositivo de a bordo también comprende una memoria no volátil adicional configurada para almacenar una serie de datos básicos relacionados con el dispositivo de a bordo, siendo accesible la memoria no volátil adicional por la etapa de comunicación de corto alcance, estando configurada la etapa de comunicación de corto alcance para leer los datos básicos desde la memoria no volátil adicional y enviarlos al dispositivo electrónico.
Según una forma de realización adicional, el dispositivo de a bordo también comprende una etapa de comunicación de corto alcance adicional y una memoria no volátil adicional capaz de almacenar una serie de datos básicos relacionados con el dispositivo de a bordo, siendo la memoria no volátil adicional accesible por la etapa de comunicación de corto alcance, estando configurada la etapa de comunicación de corto alcance para leer los datos básicos desde la memoria adicional no volátil y enviarlos al dispositivo electrónico.
Según un segundo aspecto de la presente invención, se proporciona un sistema para proporcionar un servicio telemático de tráfico, comprendiendo el sistema una pluralidad de dispositivos de carretera, un dispositivo electrónico y un dispositivo de a bordo para un vehículo, estando configurado dicho dispositivo de a bordo para comunicarse tanto con la pluralidad de dispositivos de carretera como con el dispositivo electrónico, siendo el dispositivo de a bordo tal como se ha descrito anteriormente.
Breve descripción de los dibujos
La presente invención se entenderá de forma más clara a partir de la descripción siguiente, que se proporciona a modo de ejemplo no limitativo, que debe leerse con referencia a los dibujos adjuntos, en los que:
- La figura 1 muestra de forma esquemática un sistema para proporcionar un servicio telemático de tráfico, que comprende un dispositivo de a bordo según una primera forma de realización de la presente invención; - Las figuras 2a a 2d muestran con mayor detalle la estructura del dispositivo de a bordo según cuatro variantes diferentes de la primera forma de realización de la presente invención;
- Las figuras 3 y 4 son dos diagramas de flujo que ilustran la operación del dispositivo de a bordo según las variantes de las figuras 2a a 2d, durante una operación de lectura de datos y una operación de escritura de datos, respectivamente;
- La figura 5 muestra la estructura del dispositivo de a bordo según una segunda forma de realización de la presente invención; y
- La figura 6 muestra la estructura de un dispositivo de a bordo según una tercera forma de realización de la presente invención.
Descripción detallada de formas de realización preferidas de la invención
La figura 1 muestra de forma esquemática un sistema para proporcionar un servicio telemático de tráfico, que comprende un dispositivo de a bordo según formas de realización de la presente invención. El servicio telemático de tráfico puede ser un servicio para los usuarios (como el pago de peajes para acceder a tramos de carretera/autopista, el pago de tarifas de aparcamiento, etc.) o un servicio para el administrador (tal como el control de acceso a zonas urbanas de tráfico restringido, supervisión del tráfico a lo largo de un tramo de carretera/autopista, etc.).
El sistema comprende un dispositivo de a bordo 100, un dispositivo electrónico 210, una pluralidad de dispositivos de carretera (no mostrados en la figura 1 por motivos de simplicidad), una red de comunicaciones 600 y un servidor central 700 que se comunica con el dispositivo electrónico 210 por medio de la red de comunicaciones 600. El dispositivo de a bordo 100 es, preferentemente, adecuado para su instalación a bordo de un vehículo (no mostrado en la figura 1 por motivos de simplicidad), por ejemplo, un vehículo de motor. Por el contrario, los dispositivos de carretera están configurados para ser instalados en una posición fija, por ejemplo, a lo largo de un lado de la carretera, en un paso elevado o en un sitio de acceso (por ejemplo, a un aparcamiento, a una zona urbana, a un tramo de carretera o autopista, etc.).
Tal como se describirá con mayor detalle más adelante, el dispositivo de a bordo 100 está configurado para comunicarse por radio tanto con los dispositivos de carretera como con el dispositivo electrónico 210.
En particular, tal como se muestra en las figuras 2a-2d, el dispositivo de a bordo 100 comprende preferentemente una batería 110, una unidad de procesamiento de datos 120, una memoria no volátil 130, una etapa de comunicación por radiofrecuencia 140, una etapa de comunicación de corto alcance 150 y una memoria volátil 160. El dispositivo de a bordo 100 puede comprender otros componentes (por ejemplo, componentes GNSS para posicionamiento por satélite), que no se describirán con mayor detalle en lo sucesivo, ya que no son útiles para los fines de la presente descripción.
La batería 110 está, preferentemente, conectada eléctricamente de forma directa o indirecta a cada uno de los otros componentes del dispositivo de a bordo 110, de manera que los alimente cuando sea necesario.
Más particularmente, la batería 110 está preferentemente conectada eléctricamente a la unidad de procesamiento de datos 120, que a su vez está conectada eléctricamente a la memoria no volátil 130, a la etapa de comunicación por radiofrecuencia 140 y a la etapa de comunicación de corto alcance 150.
Preferentemente, la conexión eléctrica entre la batería 110 y la memoria no volátil 130 puede pasar a través de la unidad de procesamiento de datos 120. Puede comprender un primer interruptor S1 y, preferentemente, también un regulador de voltaje (no mostrado en las figuras 2a-2d). El interruptor S1 puede disponerse dentro de la unidad de procesamiento de datos 120 (tal como se muestra esquemáticamente en las figuras 2a-2d) o fuera de la misma. El interruptor S1 preferentemente también está presente en caso de que la memoria 130 esté integrada en la unidad de procesamiento de datos 120. El interruptor S1 se controla preferentemente a nivel de hardware dependiendo del modo asumido por la unidad de procesamiento de datos 120, tal como se describirá con mayor detalle en la presente memoria más adelante.
Según las variantes mostradas en las figuras 2a y 2c, la batería 110 está directamente conectada eléctricamente a la etapa de comunicación de corto alcance 150 (es decir, no hay interruptor) de modo que la etapa de comunicación de corto alcance 150 se alimenta constantemente (hasta que la batería 110 esté cargada). En este caso, la conexión eléctrica entre la batería 110 y la etapa de comunicación de corto alcance 150 puede pasar a través de la unidad de procesamiento de datos 120, o en vez de ello eludir mediante derivación la unidad de procesamiento de datos 120, tal como se muestra en las figuras 2a y 2c.
Según otras variantes mostradas en las figuras 2b y 2c, la conexión eléctrica entre la batería 110 y la etapa de comunicación de corto alcance 150 comprende un interruptor S2. El interruptor S2 también puede proporcionarse dentro de la unidad de procesamiento de datos 120 (tal como se muestra esquemáticamente en las figuras 2b y 2d) o fuera de la misma. El interruptor S2 también se controla preferentemente a nivel de hardware dependiendo del modo asumido por la unidad de procesamiento de datos 120, tal como se describirá con mayor detalle en la presente memoria más adelante.
Según las variantes mostradas en las figuras 2a y 2b, la unidad de procesamiento de datos 120 está conectada eléctricamente a la etapa de comunicación de corto alcance 150 también por medio de una conexión eléctrica adicional 170 a través de la cual la unidad de procesamiento de datos 120 recibe señales eléctricas de activación, tal como se describirá con mayor detalle en la presente memoria más adelante.
Según las variantes mostradas en las figuras 2c y 2d, la unidad de procesamiento de datos 120 está conectada eléctricamente a un botón pulsador 180 accesible desde fuera del dispositivo de a bordo 100 por medio de una conexión eléctrica adicional 170' a través de la cual la unidad de procesamiento de datos 120 recibe señales eléctricas de activación, tal como se describirá con mayor detalle en la presente memoria más adelante.
Según otras variantes que no se muestran en los dibujos, el dispositivo de a bordo 100 puede comprender tanto la conexión 170 como el botón pulsador 180 y la conexión 170', de modo que la unidad de procesamiento de datos 120 puede recibir señales eléctricas de activación tanto desde la etapa de comunicación de corto alcance 150 como desde el botón pulsador 180, tal como se describirá con mayor detalle en la presente memoria más adelante.
La memoria no volátil 130 se puede proporcionar fuera o dentro de la unidad de procesamiento de datos 120. En cualquier caso, la memoria no volátil 130 solo es accesible por la unidad de procesamiento de datos 120. En particular, no es accesible por la etapa de comunicación de corto alcance 150.
En el caso de que se proporcione de forma externa, la memoria no volátil 130 almacena preferentemente un identificador de hardware UID120 de la unidad de procesamiento de datos 120 (preferentemente, su número de microchip) de un modo que no puede modificarse ni borrarse (excepto por un software especial). Este identificador de hardware UID120 es utilizado por la unidad de procesamiento de datos 120 para verificar la autenticidad de los datos leídos desde la memoria no volátil 130. Esto permite, de forma ventajosa, evitar que se clone y se transfiera a otro dispositivo de a bordo el contenido de la memoria operativa central de un dispositivo de a bordo.
Como una medida de seguridad adicional, si la memoria no volátil 130 se dispone fuera de la unidad de procesamiento de datos 120, se proporciona una interfaz (no mostrada en los dibujos) entre la unidad 120 y la memoria no volátil 130, estando configurada dicha interfaz para realizar un cifrado (preferentemente un cifrado por hardware) de los datos que lee la unidad 120 de la memoria 130. Los datos almacenados en la memoria no volátil 130 quedan así, de forma ventajosa, protegidos, preferentemente a nivel de hardware. La memoria no volátil 130 actúa, por lo tanto, como una memoria operativa central segura del dispositivo de a bordo 100.
Estos mecanismos aumentan adicionalmente la seguridad de la unidad 100 en caso de que la memoria no volátil 130 se proporcione fuera de la unidad de procesamiento de datos 120. Si, de hecho, la memoria no volátil 130 se retira del dispositivo 100 y se monta en otro dispositivo, la unidad de procesamiento de datos de este último no será capaz de leer los datos de la memoria no volátil 130.
Preferentemente, la memoria no volátil 130 almacena el código de identificación exclusivo OBU-ID del dispositivo de a bordo 100 y, opcionalmente, información sobre el usuario que es propietario del vehículo y sobre el propio vehículo (por ejemplo, número de matrícula y/o clase de peaje del vehículo). La memoria no volátil 130 también almacena preferentemente las aplicaciones de software que proporcionan los servicios telemáticos de tráfico para el usuario y/o el administrador a los que presta soporte el dispositivo de a bordo 100 y los datos generados por la comunicación del dispositivo de a bordo 100 con los dispositivos de carretera del sistema a través de la etapa de comunicación por radiofrecuencia 140 (por ejemplo, datos referentes a la posición del vehículo o a su paso por puntos de tránsito de la autopista).
La etapa de comunicación por radiofrecuencia 140 está configurada preferentemente para establecer enlaces de radio con los dispositivos de carretera. Por ejemplo, la etapa de radiofrecuencia 140 puede implementarse utilizando la tecnología DSRC (comunicaciones dedicadas de corto alcance) que, como se sabe, comprende canales de radio y procedimientos de autenticación, codificación y descodificación que se han desarrollado específicamente para servicios telemáticos de tráfico y utiliza bandas de frecuencia en el intervalo de 5,7 - 5,9 GHz, por ejemplo, según las disposiciones de las normas ETSI 200674 y CEN TC 278.
La etapa de comunicación de corto alcance 150 está configurada preferentemente para prestar soporte a enlaces de radio de corto alcance (máximo 10 cm) con el dispositivo electrónico 210.
El dispositivo electrónico 210 puede pertenecer al mismo usuario al que se le ha asignado el dispositivo de a bordo 100 o puede pertenecer a terceros (por ejemplo, el administrador de la infraestructura de la carretera o la autopista sobre la que se proporciona el servicio telemático de tráfico al que presta soporte el dispositivo de a bordo 100, el proveedor del servicio telemático de tráfico o el organismo o la autoridad responsable de supervisar las infracciones de tráfico). El dispositivo electrónico 210 también está provisto, preferentemente, de conectividad por cable o inalámbrica (por ejemplo, wifi o red móvil) con la red de comunicaciones 600. Por ejemplo, el dispositivo electrónico 210 puede ser un teléfono inteligente, una tableta o un lector comercial genérico o diseñado especialmente. Preferentemente, el dispositivo electrónico 210 también está provisto de una interfaz de usuario 200 que comprende elementos de entrada y/o de salida que comprenden, por ejemplo, botones pulsadores, cursores, funciones de pantalla táctil, etc. El dispositivo electrónico 210 también comprende una etapa de comunicación de corto alcance compatible con la etapa de comunicación de corto alcance 150 del dispositivo de a bordo 100.
Preferentemente, la etapa de comunicación de corto alcance 150 (y, por lo tanto, también la etapa de comunicación de corto alcance correspondiente del dispositivo electrónico 210) se implementa utilizando tecnología de campo cercano, tal como tecnología RFID (Radio-Frequency IDentification (identificación por radiofrecuencia)) con corto alcance (es decir, radio inferior a 10 cm). De entre las diversas tecnologías RFID es posible utilizar, por ejemplo, la tecnología NFC (Near Field Communication (comunicación de campo cercano)) que, como se sabe, opera a una frecuencia de 13,56 MHz y puede alcanzar una velocidad de transmisión máxima de 424 kbit/s.
Preferentemente, la etapa de comunicación de corto alcance incluida en el dispositivo electrónico 210 está configurada como iniciador, mientras que la etapa de comunicación de corto alcance 150 está configurada como objetivo. En otras palabras, la etapa de comunicación de corto alcance 150 está configurada para recibir desde la etapa de comunicación de corto alcance incluida en el dispositivo electrónico 210 una portadora de radio, de la cual extrae su propio suministro de alimentación.
La configuración de la etapa de comunicación de corto alcance 150 como objetivo es ventajosa, ya que permite reducir la complejidad electrónica y de software de la unidad de a bordo.
La memoria volátil 160 puede estar conectada eléctricamente a la etapa 150 de comunicación de corto alcance. Alternativamente, la memoria volátil 160 puede estar integrada en la etapa de comunicación de corto alcance 150, tal como se muestra esquemáticamente en las figuras 2a-2d. En ambos casos, la memoria volátil 160 es accesible por la etapa de comunicación de corto alcance 150 que puede llevar a cabo sobre la misma tanto operaciones de escritura como operaciones de lectura sin involucrar la unidad de procesamiento de datos 120, tal como se describirá con mayor detalle en el presente documento más adelante. La memoria 160 es volátil (o temporal), es decir, no puede retener los datos cuando no está alimentada eléctricamente. Por ejemplo, la memoria 160 puede ser una memoria RAM o una memoria tampón. La memoria volátil 160 es preferentemente capaz de almacenar de manera temporal o transitoria datos intercambiados entre el dispositivo electrónico 210 y el dispositivo de a bordo 100, tal como se describirá con mayor detalle en el presente documento más adelante.
Para establecer un enlace de radio entre el dispositivo de a bordo 100 y el dispositivo electrónico 210, los dos dispositivos se acercan uno a otro (a una distancia de menos de 10 cm). El protocolo de comunicaciones por medio del cual operan la etapa de comunicación de corto alcance 150 y la etapa de corto alcance correspondiente incluida en el dispositivo electrónico 210 establece así automáticamente un enlace de radio. El enlace de radio así establecido es preferentemente un enlace bidireccional de punto-a-punto que permite un intercambio bidireccional de datos entre el dispositivo de a bordo 100 y el dispositivo electrónico 210.
Debe indicarse que el establecimiento del enlace de radio de corto alcance no requiere ningún ajuste manual ni ningún procedimiento de emparejamiento y, por lo tanto, es muy rápido (aproximadamente 1/10 de segundo). Además, dado que el enlace de corto alcance tiene un radio de 10 cm como máximo, es intrínsecamente seguro contra actividades de husmeado (sniffing).
Por medio del enlace de radio de corto alcance entre el dispositivo electrónico 210 y el dispositivo de a bordo 100, la etapa de comunicación de corto alcance 150 puede transmitir al dispositivo electrónico 210 datos leídos por los componentes del dispositivo de a bordo 100 (en particular, por la memoria operativa central no volátil 130), permitiendo así la lectura de estos datos por el dispositivo electrónico 210. Estas operaciones de lectura pueden permitir que el usuario del dispositivo electrónico 210 (que puede ser el usuario al que se le ha asignado el dispositivo de a bordo 100 o el personal del proveedor del servicio telemático de tráfico al que presta soporte el dispositivo de a bordo 100) lleve a cabo, por ejemplo, verificaciones o pruebas de diagnóstico con respecto al funcionamiento del dispositivo de a bordo 100 (por ejemplo, verificación del nivel de carga de su batería 110) o la verificación de los datos almacenados en la memoria no volátil 130.
Con referencia al diagrama de flujo de la figura 3, se describirá ahora una operación de lectura según una forma de realización de la presente invención.
Para comenzar una operación de lectura, el dispositivo electrónico 210 establece preferentemente una conexión de corto alcance con la etapa de comunicación de corto alcance 150 y la utiliza para enviar un comando de lectura a la etapa de comunicación de corto alcance 150 (etapa 300).
La etapa de comunicación de corto alcance 150 reenvía el comando de lectura a la unidad de procesamiento de datos 120 (etapa 301).
Preferentemente, la unidad de procesamiento de datos 120 recupera después los datos solicitados (por ejemplo, de la memoria no volátil 130) y los almacena temporalmente en la memoria volátil 160 (etapa 302). Para evitar una sobreescritura o un acceso no autorizado a la memoria volátil 160, se proporcionan preferentemente una o más zonas protegidas, o una o más zonas con función de escritura habilitada únicamente por la unidad de procesamiento de datos 120, y no por la etapa de comunicación de corto alcance 150, en la memoria volátil 160. Opcionalmente, la etapa 302 también implica el cifrado de los datos recuperados, tal como se describirá con mayor detalle en la presente memoria más adelante.
La etapa de comunicación de corto alcance 150 lee finalmente los datos de la memoria volátil 160 y los reenvía al dispositivo electrónico 210 (etapa 303). Opcionalmente, la lectura de datos puede visualizarse en forma de textos o gráficos en la interfaz de usuario 200 del dispositivo electrónico 210. Adicionalmente o como alternativa, la lectura de datos puede transmitirse desde el dispositivo electrónico 210 al servidor central 700 a través de la red de comunicaciones 600.
Además de las operaciones de lectura, por medio del enlace de radio de corto alcance entre el dispositivo electrónico 210 y el dispositivo de a bordo 100, la etapa de comunicación de corto alcance 150 puede recibir del dispositivo electrónico 210 datos que han de suministrarse a los otros componentes del dispositivo de a bordo 100 (en particular a la unidad de procesamiento de datos 120 y/o a la memoria no volátil 130), permitiendo así la escritura de estos datos en el dispositivo de a bordo 100 a través del dispositivo electrónico 210. Estas operaciones de escritura pueden permitir, por ejemplo, que el usuario del dispositivo electrónico 210 (que puede ser el usuario al que se le ha asignado el dispositivo de a bordo 100 o el personal del proveedor del servicio telemático de tráfico al que presta soporte el dispositivo de a bordo 100) modifique la configuración del dispositivo de a bordo 100, por ejemplo actualizando o activando las aplicaciones de software que ya están presentes o cargando nuevas aplicaciones o eliminando o desactivando aquellas aplicaciones que ya no tienen interés para el usuario. Por lo tanto, estas operaciones de escritura pueden realizarse de forma ventajosa sin tener que personarse en un centro operativo de servicio al cliente.
Con referencia al diagrama de flujo de la figura 4, se describirá ahora una operación de escritura según una forma de realización de la presente invención.
Para iniciar una operación de escritura, el dispositivo electrónico 210 establece preferentemente una conexión de corto alcance con la etapa de comunicación de corto alcance 150 y la utiliza para enviar un comando de escritura a la etapa 150 de comunicación de corto alcance (paso 400). El comando de escritura comprende (o viene seguido por) los datos que han de escribirse, preferentemente en forma cifrada. Preferentemente, el dispositivo electrónico 210 recibe datos que han de escribirse, en forma cifrada, desde el servidor central 700 a través de la red de comunicaciones 600. El dispositivo electrónico 210 preferentemente no realiza ningún procesamiento de los datos que han de escribirse, simplemente realiza una función de transductor entre la conexión a la red de comunicaciones 600 (por ejemplo, wifi o red móvil) y la conexión de radio de corto alcance (por ejemplo, NFC).
Una vez que el comando de escritura y los datos que han de escribirse han sido recibidos a través de la conexión de radio de corto alcance, la etapa de comunicación de corto alcance 150 preferentemente reenvía el comando de escritura a la unidad de procesamiento de datos (etapa 401) y lo guarda en la memoria volátil 160, en la que se almacena temporalmente (etapa 402). Las etapas 401 y 402 pueden realizarse en el orden mostrado, o en el orden inverso (primero la etapa 402 y después la etapa 401). Para evitar una sobreescritura o un acceso no autorizado a la memoria volátil 160, se proporciona preferentemente un mecanismo de protección de escritura en forma de un código de acceso. Alternativamente, es posible proporcionar en la memoria volátil 160 una o más zonas protegidas o tener una función de escritura habilitada solo por la etapa de comunicación de corto alcance 150, y no por la unidad de procesamiento de datos 120.
La unidad de procesamiento de datos 120, tras la recepción del comando de escritura, lee los datos almacenados temporalmente por la memoria volátil 160, los procesa (en particular los descifra, tal como se describirá con mayor detalle en la presente memoria más adelante) y transfiere los datos a la memoria no volátil 130 (etapa 403).
Según una variante ventajosa, el dispositivo de a bordo 100 puede estar provisto de uno o más indicadores (por ejemplo, indicadores de luz LED) capaces de proporcionar al usuario retroalimentación visual con respecto al resultado de la operación de escritura de datos en el dispositivo de a bordo 100. Por ejemplo, el dispositivo de a bordo 100 puede estar provisto de un indicador luminoso adecuado para indicar al usuario si la operación de escribir los datos en la memoria no volátil 130 se ha completado con éxito.
Desde un punto de vista eléctrico, el comportamiento del dispositivo de a bordo 100 puede tener diferentes variantes.
En el caso en el que el dispositivo 100 corresponda a la variante mostrada en la figura 2a (sin interruptor 2a y conexión eléctrica 170 entre la unidad de procesamiento de datos 120 y la etapa de comunicación de corto alcance 150), tras la recepción de un comando de lectura o un comando de escritura desde el dispositivo electrónico 210, la etapa de comunicación de corto alcance 150 genera y envía automáticamente a la unidad de procesamiento de datos 120 (que está en modo de espera) una señal de activación eléctrica a lo largo de la conexión eléctrica 170. En respuesta a esta señal de activación, la unidad de procesamiento de datos 120 entra en un modo operativo, cerrando el interruptor S1 y preparándose así para interactuar con la etapa de comunicación de corto alcance 150 (incluida la memoria volátil 160) y con la memoria no volátil 130. En caso de operaciones de lectura, la unidad de procesamiento de datos 120 puede recibir así el comando de lectura desde la etapa de comunicación de corto alcance 150 (etapa 301) y leer los datos solicitados desde la memoria no volátil 130 (etapa 302). En caso de operaciones de escritura, la unidad de procesamiento de datos 120 puede iniciar, en cambio, el procesamiento y la transferencia de los datos que han de escribirse desde la memoria volátil 160 hasta la memoria no volátil 130 (etapa 403). Al final de la operación de lectura o escritura, la unidad de procesamiento de datos 120 vuelve preferentemente al modo de espera, preferentemente abriendo de nuevo el interruptor S1, de manera que se evite un drenaje de corriente en el modo de espera.
En el caso en el que el dispositivo 100 corresponda a la variante mostrada en la figura 2c (sin interruptor S2 y conexión eléctrica 170' entre la unidad de procesamiento de datos 120 y el botón pulsador 180), la señal de activación eléctrica se envía a través de la conexión eléctrica 170' a la unidad de procesamiento de datos 120 desde el botón pulsador 180 que el usuario puede presionar, por ejemplo, antes del inicio de la operación de lectura o de escritura. Esta variante se puede utilizar, por ejemplo, en caso de que la etapa de comunicación de corto alcance 150 no tenga los componentes necesarios para la generación y el envío de la señal de activación eléctrica o en el caso en el que se desean evitar activaciones accidentales o no autorizadas que son de la unidad de procesamiento de datos 120 (desencadenadas, por ejemplo, por el movimiento involuntario o no autorizado cerca de un dispositivo electrónico 210, por ejemplo ubicado fuera del vehículo, y el dispositivo de a bordo 100 ubicado dentro del vehículo). Como en la variante anterior, la unidad de procesamiento de datos 120 se encuentra en modo de espera (interruptor S1 abierto) y, en respuesta a la señal de activación, entra en un modo operativo, cerrando el interruptor S1. Tras la recepción de un comando de lectura o un comando de escritura desde el dispositivo electrónico 210, la unidad de procesamiento de datos 120 ya está lista para interactuar con la etapa de comunicación de corto alcance 150 (incluida la memoria volátil 160) y con la memoria no volátil 130, tal como se ha descrito anteriormente. Del mismo modo, en esta segunda variante, al final de la operación de escritura o de lectura, la unidad de procesamiento de datos 120 vuelve preferentemente al modo de espera, abriendo nuevamente el interruptor S1.
En el caso en el que el dispositivo de a bordo 100 tiene tanto la conexión eléctrica 170 como el botón pulsador 180 y la conexión eléctrica 170', se pueden utilizar los dos mecanismos mencionados anteriormente para la activación de la unidad de procesamiento de datos 120. El uso de uno u otro puede depender, por ejemplo, del tipo de operación que se va a realizar. Por ejemplo, la activación por la etapa de comunicación de corto alcance 150 puede realizarse para operaciones de lectura, mientras que la activación por el botón pulsador 180 puede realizarse para operaciones de escritura. En este caso, la unidad de procesamiento de datos 120 está configurada preferentemente para habilitar solo operaciones de lectura o solo operaciones de escritura, dependiendo de si la señal de activación proviene de la etapa de comunicación de corto alcance 150 o del botón pulsador 180.
Se prefieren las variantes descritas anteriormente y mostradas en las figuras 2a y 2c (sin interruptor S2) en caso de que la memoria volátil 160 sea una RAM. En este caso, de hecho, debido a la alimentación continua de la memoria volátil 160 por la batería 110, los datos pueden mantenerse almacenados en la misma mientras la batería 110 esté cargada. Por lo tanto, estos datos están disponibles para su lectura por el dispositivo 210, por lo menos mientras la batería 110 esté cargada.
Si, en cambio, el interruptor S2 también está presente (variantes mostradas en las figuras 2b y 2d), la etapa de comunicación de corto alcance 110 (y, por lo tanto, la memoria volátil 160) no recibe alimentación constante de la batería 110. Antes de enviar el comando de lectura o de escritura (y transferir los datos) a la etapa de comunicación de corto alcance 150, por lo tanto, es necesario asegurarse del interruptor S2 de la unidad de procesamiento 120.
Para este propósito, según la variante mostrada en la figura 2b, el dispositivo electrónico 210 envía preferentemente un comando de activación a la etapa de comunicación de corto alcance 150, antes de enviarle un comando de lectura o de escritura. En respuesta, la etapa de comunicación de corto alcance 150 genera preferentemente y envía automáticamente a la unidad de procesamiento de datos 120 una señal de activación eléctrica a través de la conexión eléctrica 170. La unidad de procesamiento de datos 120 se encuentra en modo de espera, con los interruptores S1 y S2 abiertos. En respuesta a esta señal de activación, la unidad de procesamiento de datos 120 entra en modo operativo, cerrando el interruptor S1 (de manera que permita el acceso de lectura y escritura a la memoria no volátil 130) y también el interruptor S2. Esta última operación también hace que la etapa 150 de comunicación de corto alcance y la memoria volátil 160 comiencen a ser alimentadas por la batería 110. La etapa de comunicación de corto alcance 150 puede recibir y ejecutar un comando de lectura y/o un comando de escritura (y por lo tanto, transfiere también los datos) interactuando con la unidad de procesamiento de datos 120 tal como se ha descrito anteriormente. Al final de la operación de escritura o lectura, la unidad de procesamiento de datos 120 vuelve preferentemente al modo de espera, abriendo nuevamente los interruptores S1 y S2.
En el caso en el que el dispositivo 100 corresponde a la variante mostrada en la figura 2d (interruptor S2 y conexión eléctrica 170' entre la unidad de procesamiento de datos 120 y el botón pulsador 180), la señal de activación se envía directamente a través de la conexión eléctrica 170' a la unidad de procesamiento de datos 120 por el botón pulsador 180 que el usuario presiona antes del comienzo de la operación de lectura o escritura. Tal como se ha mencionado anteriormente, esta variante puede utilizarse, por ejemplo, en el caso en el que la etapa de comunicación de corto alcance 150 no tiene los componentes necesarios para la generación y el envío de la señal de activación eléctrica o en el caso en el que la etapa 150 no es capaz de generar la señal de activación eléctrica sin alimentación externa o en el caso en el que se desea evitar la activación accidental de la unidad de procesamiento de datos 120 activada, por ejemplo, por el movimiento involuntario o no autorizado en la proximidad del dispositivo electrónico 210 y el dispositivo de a bordo 100. Como en la forma de realización anterior, en respuesta a la señal de activación, la unidad de procesamiento de datos 120 entra en modo operativo, cerrando el interruptor S1 (de manera que permita el acceso de lectura y escritura a la memoria no volátil 130) y también el interruptor S2. Esta última operación también hace que la etapa 150 de comunicación de corto alcance y la memoria volátil 160 comiencen a ser alimentadas por la batería 110. La etapa 150 de comunicación de corto alcance puede recibir y ejecutar así un comando de lectura y/o un comando de escritura interactuando con la unidad de procesamiento de datos 120 (que ya está operativa) tal como se ha descrito anteriormente. Al final de la operación de escritura o lectura, la unidad de procesamiento de datos 120 vuelve preferentemente al modo de espera, abriendo nuevamente los interruptores S1 y S2.
También en el caso en el que está presente el interruptor S2, el dispositivo de a bordo 100 puede comprender tanto la conexión eléctrica 170 como el botón pulsador 180 y la conexión eléctrica 170', de modo que pueden utilizarse los dos mecanismos de activación de la unidad de procesamiento de datos 120 descritos anteriormente (por ejemplo, tal como se ha descrito anteriormente, la activación por la etapa de comunicación de corto alcance 150 para operaciones de lectura y la activación por el botón pulsador 180 para operaciones de escritura).
Según otras variantes, la unidad de procesamiento de datos 120 está permanentemente en modo operativo. En este caso, los comandos de lectura y/o escritura recibidos por la etapa 150 de comunicación de corto alcance pueden ejecutarse directamente, sin la necesidad de ninguna señal de activación.
Para resumir, el dispositivo de a bordo 100 según la presente invención, por lo tanto, puede funcionar sustancialmente en dos configuraciones operativas diferentes:
- primera configuración operativa: lectura de datos a través de una conexión de radio de corto alcance con el dispositivo electrónico 210. Esta configuración operativa es generalmente útil para verificar la operación del dispositivo de a bordo 100 con fines de diagnóstico y, en general, para leer los datos contenidos en la memoria no volátil 130; y
- segunda configuración operativa: escritura de datos a través del enlace de radio de corto alcance con el dispositivo electrónico 210. Esta configuración operativa es generalmente útil para la configuración del dispositivo de a bordo 100 (por ejemplo, para actualizar o activar las aplicaciones de software ya presentes, o cargar nuevas aplicaciones, o eliminar o desactivar aquellas aplicaciones que ya no tienen interés para el usuario; véase el caso mencionado anteriormente en el que el usuario desea activar temporalmente un servicio de pago de peaje en un país extranjero).
Preferentemente, se proporciona un mecanismo para la protección de los datos transmitidos entre el dispositivo electrónico 210 (o el servidor central 700) y el dispositivo de a bordo 100. Se basa preferentemente en el cifrado simétrico de los datos transmitidos. Este cifrado simétrico utiliza una misma clave privada para cifrar y descifrar los datos, por lo que dicha clave debe ser conocida tanto por el servidor central 700 como por el dispositivo de a bordo 100. En particular, la clave privada se almacena en la memoria no volátil 130 del dispositivo de a bordo 100, preferentemente en una zona que no puede borrarse ni modificarse (excepto por un software especial) de la memoria no volátil 130.
Con referencia, por ejemplo, a una operación para escribir datos en la memoria no volátil 130, el servidor central 700 cifra preferentemente los datos que han de escribirse con la clave privada y los transmite al dispositivo electrónico 210, que los reenvía a la etapa de comunicación de corto alcance 150 que, tal como se ha descrito anteriormente, la almacena temporalmente en la memoria volátil 160. La unidad de procesamiento de datos 120 (tras la recepción de la señal de activación, tal como se ha descrito anteriormente) descifra los datos que han de escribirse utilizando la clave privada almacenada en la memoria no volátil 130 y los transfiere a la memoria no volátil 130. Esta operación se puede realizar de distintas formas.
Según una primera variante, la unidad de procesamiento de datos 120 transfiere en primer lugar los datos cifrados desde la memoria volátil 160 a la memoria no volátil 130 y después los descifra utilizando la clave simétrica almacenada en la memoria no volátil 130.
Según una segunda variante, la unidad de procesamiento de datos 120 recupera en primer lugar la clave simétrica de la memoria no volátil 130, después la utiliza para descifrar los datos (por ejemplo, guardados temporalmente en una memoria RAM interna asociada) y finalmente los transfiere a la memoria no volátil 130.
Debe indicarse que, en ambas variantes, en cualquier caso, los datos que han de descifrarse y la clave privada que se utiliza para descifrarlos residen en dos memorias separadas físicamente, una de las cuales (concretamente la memoria no volátil 130 que almacena la clave privada) solo es accesible por la unidad de procesamiento de datos 120 y, por lo tanto, no es accesible por la etapa de comunicación de corto alcance 150. Por lo tanto, a pesar del hecho de que la etapa de comunicación de corto alcance 150 permite que se establezca una conexión desprotegida entre el dispositivo electrónico 210 y el dispositivo de a bordo 100, el dispositivo de a bordo 100 es, de forma ventajosa, muy seguro.
La seguridad de la clave privada utilizada para el cifrado simétrico se garantiza preferentemente de la forma descrita a continuación.
Preferentemente, la personalización del dispositivo de a bordo 100 se realiza en la fábrica, comprendiendo esta operación las etapas siguientes:
(i) leer, a través de la etapa de comunicación por radiofrecuencia 140, un identificador exclusivo del dispositivo de a bordo 100, por ejemplo, su código de identificación exclusivo OBU-ID;
(ii) transmitir el código OBU-ID a la entrada de un servidor seguro (por ejemplo, del tipo HSM - Hardware Security Module (módulo de seguridad de hardware)). El servidor seguro almacena (de forma no accesible desde el exterior) por lo menos una clave maestra, sobre la base de la cual calcula por lo menos una clave derivada utilizando el código OBU-ID recibido como diversificador. Por lo tanto, el servidor seguro proporciona en su salida la por lo menos una clave derivada calculada. Preferentemente, el servidor seguro almacena una clave de administración maestra MAdBTKey y una clave de aplicación maestra MApBTKey sobre la base de las cuales calcula, respectivamente, una clave de administración derivada DAdBTKey y una clave de aplicación derivada DApBTKey utilizando el código OBU-ID recibido como diversificador. Las dos claves derivadas, producidas por el servidor seguro, pueden utilizarse para diferentes aplicaciones.
(iii) almacenar la, por lo menos una, clave derivada en el dispositivo de a bordo 100. Como ya se ha mencionado, esta operación se realiza preferentemente en la fábrica; la, por lo menos una, clave derivada se envía al dispositivo de a bordo 100 a través de la etapa de comunicación por radiofrecuencia 140. La o las claves derivadas se almacenan entonces en la memoria no volátil 130 de modo que se encuentran en una forma protegida (no legible), no modificable y no borrable sin la acción de la unidad de procesamiento de datos 120.
Durante la operación del dispositivo de a bordo 100, en lo que respecta a la transmisión de los datos que han de escribirse desde el servidor central 700 al dispositivo de a bordo 100, el servidor central 700 utiliza preferentemente un segundo servidor HSM seguro (que también contiene la o las claves maestras), proporcionándole el código de identificación exclusivo OBU-ID del dispositivo de a bordo 100 y obteniendo del mismo la clave derivada específica que ha de utilizarse para la comunicación con el dispositivo de a bordo 100. Los datos transmitidos, cifrados por el servidor central 700 con clave derivada, se reciben tal como se ha descrito anteriormente por la unidad de procesamiento de datos 120 que, utilizando la clave derivada apropiada almacenada en la memoria no volátil 130, descifra los datos recibidos que finalmente se almacenan en la memoria no volátil 130.
Opcionalmente, también se puede utilizar una clave de sesión para la comunicación entre el servidor central 700 y el dispositivo de a bordo 100. Preferentemente, el emisor (es decir, el servidor central 700 si los datos se escriben en el dispositivo de a bordo 100, o el dispositivo de a bordo 100 si los datos se leen desde el dispositivo de a bordo 100) calcula una clave de sesión, por ejemplo sobre la base de la clave derivada y un número aleatorio. La clave de sesión se recalcula (y, por lo tanto, es diferente) para cada sesión de comunicación.
El emisor utiliza preferentemente la clave de sesión calculada para cifrar adicionalmente los datos que han de transmitirse, ya cifrados con la clave derivada del mecanismo de cifrado simétrico. El emisor también cifra preferentemente la clave de sesión calculada, utilizando, por ejemplo, la clave pública del receptor (es decir, el dispositivo de a bordo 100 si se escriben datos, o el servidor central 700 si se leen datos) y también la envía al receptor.
El receptor, tras la recepción de los datos y la clave de sesión cifrada, descifra la clave de sesión utilizando la clave privada asociada y después utiliza la clave de sesión para descifrar los datos recibidos (para descifrarlos adicionalmente utilizando la clave derivada).
Este mecanismo es ventajoso, ya que representa una solución que es menos compleja desde el punto de vista informático en comparación con el cifrado asimétrico de todos los datos intercambiados entre el servidor central 700 y el dispositivo de a bordo 100 y permite que el tiempo de cálculo necesario para el cifrado y descifrado de los datos intercambiados se reduzca significativamente.
Según una serie de variantes, la protección con la clave de sesión se utiliza solo en la conexión entre el dispositivo electrónico 210 y el servidor central 700. La gestión de las claves de sesión en este caso se confía al dispositivo electrónico 210 y no al dispositivo de a bordo 100.
La figura 5 muestra un dispositivo de a bordo según una segunda forma de realización de la presente invención.
El dispositivo de a bordo 100' según la segunda forma de realización de la presente invención comprende preferentemente todos los componentes del dispositivo de a bordo 100 que se muestran en la figura 2d (pero pueden corresponder a una cualquiera de las otras variantes mostradas en las figuras 2a-2c) y, además, también otra memoria no volátil 160', denominada en adelante también "memoria de etiqueta no volátil" o "memoria de etiqueta".
La memoria de etiqueta no volátil 160' puede conectarse a la etapa de comunicación de corto alcance 150, tal como se muestra esquemáticamente en la figura 5. Alternativamente, la memoria de etiqueta no volátil 160' puede incorporarse a la etapa de comunicación de corto alcance 150. En ambos casos, la memoria de etiqueta no volátil 160' es accesible para la etapa de comunicación de corto alcance 150, mientras que no es accesible para la unidad de procesamiento de datos 120. La memoria de etiqueta 160' es una memoria no volátil capaz de retener los datos incluso cuando no está alimentada eléctricamente. Por ejemplo, la memoria de etiqueta no volátil 160' puede ser una memoria del tipo E2PROM.
La memoria de etiqueta 160' preferentemente almacena permanentemente una serie de datos básicos relacionados con el dispositivo de a bordo 100' y que comprende el código de identificación exclusivo OBU-ID del dispositivo de a bordo 100' y, opcionalmente, información sobre el usuario y/o el vehículo.
Por medio de la conexión de radio de corto alcance entre el dispositivo electrónico 210 y el dispositivo de a bordo 100, según la segunda forma de realización, la etapa de comunicación de corto alcance 150 puede permitir la lectura, a través del dispositivo electrónico 210, de los datos almacenados en la memoria de etiqueta 160', por ejemplo los datos básicos mencionados anteriormente del dispositivo 100'.
En particular, tras la recepción de un comando de lectura desde el dispositivo electrónico 210, la etapa de comunicación de corto alcance 150 recupera de forma ventajosa los datos solicitados de la memoria de etiqueta 160' y los envía directamente al dispositivo electrónico 210. Esta operación no requiere ninguna acción ya sea por la unidad de procesamiento de datos 120 o por la batería 110. Por lo tanto, los datos básicos almacenados en la memoria de etiqueta 160' pueden leerse de forma ventajosa por medio del dispositivo electrónico 210, independientemente de si el dispositivo de a bordo 100 está funcionando o no. La memoria de etiqueta 160', por lo tanto, realiza, de forma ventajosa, sustancialmente una función de etiqueta electrónica.
Además, por medio de la conexión de radio de corto alcance entre el dispositivo electrónico 210 y el dispositivo de a bordo 100, la etapa de comunicación de corto alcance 150 puede permitir la modificación o la reescritura de los datos que se mantendrán disponibles en la memoria de etiqueta 160', por ejemplo los datos básicos mencionados anteriormente del dispositivo 100'.
En particular, tras la recepción de un comando de escritura desde el dispositivo electrónico 210 que contiene los datos modificados que han de almacenarse en la memoria de etiqueta 160', la etapa de comunicación de corto alcance 150 almacena de forma ventajosa directamente estos datos (sobrescribiendo opcionalmente los datos antiguos) en la memoria de etiqueta 160'. También en este caso, la operación no requiere ninguna acción por parte de la unidad de procesamiento de datos 120 o por la batería 110.
Según esta segunda forma de realización, por lo tanto, la etapa de comunicación de corto alcance 150 permite no solo la lectura/escritura de datos en la memoria no volátil 130 a través de la memoria volátil 160, sino también la lectura/escritura de datos en la memoria no volátil 160' en modo de etiqueta electrónica.
La figura 6 muestra un dispositivo de a bordo según una tercera forma de realización de la presente invención.
El dispositivo de a bordo 100" según la tercera forma de realización de la presente invención comprende preferentemente todos los componentes del dispositivo de a bordo 100' que se muestran en la figura 5 y, además, también una etapa de comunicación de corto alcance adicional 150'.
La etapa de comunicación de corto alcance 150' es similar a la etapa de comunicación de corto alcance 150. Por lo tanto, no se repetirá una descripción detallada de la misma.
Según esta tercera forma de realización, la memoria de etiqueta no volátil 160' puede conectarse a la etapa de comunicación de corto alcance 150. Alternativamente, la memoria de etiqueta no volátil 160' puede incorporarse a la etapa de comunicación de corto alcance 150', tal como se muestra esquemáticamente en la figura 6. En cualquier caso, la memoria de etiqueta no volátil 160' es accesible solo para la etapa de comunicación de corto alcance 150', mientras que no es accesible para ningún otro componente del dispositivo de a bordo 100". La etapa de comunicación de corto alcance 150' no está conectada ni lógicamente ni eléctricamente a ningún otro componente del dispositivo de a bordo 100", excepto la memoria de etiqueta no volátil 160'.
Según esta segunda forma de realización de la presente invención, por lo tanto, la etapa de comunicación de corto alcance 150 permite la lectura/escritura de datos en la memoria no volátil 130 a través de la memoria volátil 160, mientras que la etapa de comunicación de corto alcance 150' permite la lectura/escritura de datos en la memoria no volátil 160' en modo de etiqueta electrónica.
Según las segunda y tercera formas de realización, la memoria de etiqueta 160' está protegida preferentemente durante el acceso (es decir, tanto durante la lectura como durante la escritura) por lo menos por medio de un mecanismo de acceso basado en un código de acceso.
Según las segunda y tercera formas de realización, preferentemente se proporciona también un mecanismo para garantizar la autenticidad de los datos leídos desde la memoria de etiqueta 160', es decir, garantizar para el dispositivo electrónico 210 y/o el servidor central 700 que los datos de lectura realmente se refieren al dispositivo de a bordo 100 y en vez de ello no han sido clonados por otro dispositivo de a bordo. Preferentemente, este mecanismo se basa en el cifrado asimétrico de los datos disponibles durante la lectura por medio del almacenamiento permanente en la memoria de etiqueta 160'. En particular, los datos legibles desde la memoria de etiqueta 160' se almacenan en la memoria de etiqueta 160' cifrada con una clave privada.
Preferentemente, el servidor central 700 envía al dispositivo de a bordo los datos que se van a hacer legibles desde la memoria de etiqueta 160' en una forma ya cifrada con clave privada. Tras la recepción de los datos cifrados con clave privada desde el servidor central 700, la etapa de comunicación de corto alcance 150 puede almacenarlos directamente en la memoria de etiqueta 160', sin solicitar ninguna acción por parte de la unidad de procesamiento de datos 120. Este segundo mecanismo es el único aplicable según la tercera forma de realización, en la que la etapa de comunicación de corto alcance 150' no está conectada lógicamente a la unidad de procesamiento de datos 120. Alternativamente, los datos que se van a hacer legibles desde la memoria de etiqueta 160' pueden ser transmitidos por el servidor central 700 sin cifrar con una contraseña que habilita la escritura en la memoria de etiqueta 160' y evita la sobrescritura o la modificación de estos datos por personas que no poseen la contraseña.
Si, posteriormente, el dispositivo electrónico 210 o el servidor central 700 requieren la lectura de estos datos, dichos datos se transmiten, cifrados con clave privada, al dispositivo electrónico 210 a través de la etapa de comunicación de corto alcance 150 o 150'.
Después, según una variante ventajosa, el dispositivo electrónico 210 utiliza la clave pública para descifrar los datos de lectura que están cifrados con clave privada. La clave pública, dado que puede distribuirse libremente, se guarda preferentemente de forma local en el dispositivo electrónico 210 (por ejemplo, dentro de una aplicación ejecutada por el dispositivo 210 para gestionar la lectura de datos desde el dispositivo 100), de modo que el dispositivo electrónico 210 no dependa de la conexión con el servidor central 700 durante la totalidad de la operación de lectura de los datos almacenados en la memoria de etiqueta 160'.
Opcionalmente, es posible proporcionar autenticación adicional de los datos de lectura, en función de un identificador de hardware UID160 de la memoria no volátil 160' (por ejemplo, su número de microchip). Según esta variante, el identificador de hardware UID160 está escrito preferentemente por el fabricante de la memoria de etiqueta 160' en una zona específica de la misma, de modo que se almacena permanentemente y está disponible en modo de solo lectura y, por lo tanto, no se puede modificar. Preferentemente, en la memoria de etiqueta 160' el identificador de hardware UID160 se almacena tanto sin cifrar como cifrado con clave privada junto con los datos que se van a hacer legibles (por ejemplo, los datos básicos) guardados permanentemente en la memoria de etiqueta 160' (que contiene, tal como se ha descrito anteriormente, el identificador OBU-ID y opcionalmente datos sobre el usuario y/o el vehículo).
El identificador de hardware UID160 se transmite preferentemente al dispositivo electrónico 210 sin cifrar, junto con los datos que han de leerse cifrados con clave privada.
Después de llevar a cabo el descifrado de los datos que han de leerse con clave pública, el dispositivo electrónico 210 compara preferentemente el identificador de hardware UID160 recibido sin cifrar con el identificador de hardware UID160 obtenido a partir del descifrado con clave pública. Si los dos identificadores de hardware coinciden, los datos que se han de leerse se autentican adicionalmente.
De esta forma, es posible, de forma ventajosa, evitar que la memoria de etiqueta 160' sea clonada y transferida a otro dispositivo de a bordo. Si los contenidos de la memoria no volátil 160' se copiaran en otro dispositivo de a bordo, se detectaría la falta de correspondencia entre los dos identificadores de hardware y, por lo tanto, la lectura de datos no se autenticaría. Así se asegura, de forma ventajosa, la no clonabilidad de los datos almacenados en la memoria de etiqueta 160', es decir, la imposibilidad de copiar estos datos en la memoria de otro dispositivo de a bordo.
Como alternativa al cifrado asimétrico, es posible prever el cifrado simétrico de los datos almacenados permanentemente por la memoria de etiqueta no volátil 160'. En este caso, la clave privada (que es la misma para el cifrado y el descifrado) es preferentemente conocida solo por el servidor central 700 y el dispositivo de a bordo 100. Por lo tanto, la lectura de estos datos en modo de etiqueta electrónica por el dispositivo electrónico 210 requiere en cualquier caso, reenviar los datos al servidor central 700 que los descifra con la clave privada que conoce y, si se autentican, los retransmite sin cifrar al dispositivo electrónico 210.
Si el dispositivo de a bordo 100, 100', 100" está equipado con una interfaz de conexión de datos (por ejemplo, si es un dispositivo satelital también equipado con tecnología de comunicación por radio o Bluetooth), la escritura y la lectura de los datos en la memoria 130 pueden gestionarse por la unidad de procesamiento de datos 120, interconectada en este caso con la interfaz de conexión de datos (por ejemplo, el módem interno de la tecnología de comunicación por radio o la interfaz Bluetooth). En este caso, la etapa de comunicación de corto alcance 150 puede utilizarse únicamente para la función de lectura de datos desde la memoria de etiqueta 160'.
Las ventajas del dispositivo de a bordo 100 según las formas de realización de la presente invención son evidentes a partir de la descripción anterior.
El dispositivo de a bordo descrito, además de permitir la lectura de datos (por ejemplo, con fines de verificación o diagnóstico) y la escritura de datos (por ejemplo, con fines de configuración) por el dispositivo electrónico 210 permite concretamente gestionar el intercambio de datos con el dispositivo electrónico 210 y con el servidor central 700 de una forma particularmente segura.

Claims (15)

REIVINDICACIONES
1. Dispositivo de a bordo (100, 100', 100") para un vehículo, siendo adecuado dicho dispositivo de a bordo (100, 100', 100") para su uso en un sistema que proporciona un servicio telemático de tráfico, comprendiendo dicho dispositivo de a bordo (100, 100', 100"):
- una etapa de comunicación por radiofrecuencia (140) configurada para comunicarse con un dispositivo de carretera de dicho sistema;
- una etapa de comunicación de corto alcance (150) configurada para comunicarse con un dispositivo electrónico (210) ubicado en las proximidades de la misma;
- una unidad de procesamiento de datos (120) que coopera con dicha etapa de comunicación por radiofrecuencia (140) y con dicha etapa de comunicación de corto alcance (150),
- una memoria operativa central no volátil (130) accesible por dicha unidad de procesamiento de datos (120) y no accesible por dicha etapa de comunicación de corto alcance (150) y
- una memoria volátil (160) accesible por dicha etapa de comunicación de corto alcance (150) y por dicha unidad de procesamiento de datos (120),
en el que dicha memoria volátil (160) es adecuada para almacenar temporalmente datos que han de leerse y/o datos que han de escribirse en dicha memoria operativa central no volátil (130) por dicho dispositivo externo (210) a través de dicha etapa de comunicación de corto alcance (150) y dicha unidad de procesamiento de datos (120).
2. Dispositivo de a bordo (100, 100', 100") según la reivindicación 1, que también comprende una batería (110) conectada eléctricamente de forma directa o indirecta a dicha etapa de comunicación por radiofrecuencia (140), dicha etapa de comunicación de corto alcance (150), dicha unidad de procesamiento de datos (120), dicha memoria operativa central no volátil (130) y dicha memoria volátil (160).
3. Dispositivo de a bordo (100, 100', 100") según la reivindicación 2, en el que dicha batería (110) está conectada eléctricamente a dicha memoria operativa central no volátil (130) por medio de un primer interruptor (S1), estando dicho primer interruptor (S1) abierto cuando dicha unidad de procesamiento de datos (120) se encuentra en modo de espera y estando dicho primer interruptor (S1) cerrado cuando dicha unidad de procesamiento de datos (120) está en modo operativo.
4. Dispositivo de a bordo (100, 100', 100") según la reivindicación 3, en el que dicho primer interruptor (S1) está dispuesto dentro de dicha unidad de procesamiento de datos (120) y está configurado para cerrarse automáticamente cuando dicha unidad de procesamiento de datos (120) pasa de dicho modo de espera a dicho modo operativo.
5. Dispositivo de a bordo (100, 100', 100") según la reivindicación 3 o 4, en el que dicha batería (110) está directamente conectada eléctricamente a dicha etapa de comunicación de corto alcance (150).
6. Dispositivo de a bordo (100, 100', 100") según la reivindicación 5, en el que dicha memoria volátil (160) es una memoria RAM o una memoria tampón.
7. Dispositivo de a bordo (100, 100', 100") según la reivindicación 3 o 4, en el que dicha batería (110) está conectada eléctricamente a dicha etapa de comunicación de corto alcance (150) por medio de un segundo interruptor (S2), estando dicho segundo interruptor (S2) abierto cuando dicha unidad de procesamiento de datos (120) está en modo de espera y estando dicho segundo interruptor (S2) cerrado cuando dicha unidad de procesamiento de datos (120) está en modo operativo.
8. Dispositivo de a bordo (100, 100', 100") según la reivindicación 7, en el que dicho segundo interruptor (S2) está dispuesto dentro de dicha unidad de procesamiento de datos (120).
9. Dispositivo de a bordo (100, 100', 100") según cualquiera de las reivindicaciones 3 a 8, en el que dicha unidad de procesamiento de datos (120) está conectada eléctricamente a dicha etapa de comunicación de corto alcance (150) también por medio de una conexión eléctrica (170), y en el que:
- dicha etapa de comunicación de corto alcance (150) está configurada para generar y enviar a dicha unidad de procesamiento de datos (120) a través de dicha conexión eléctrica (170) una señal de activación; y - dicha unidad de procesamiento de datos (120) está configurada, tras la recepción de dicha señal de activación, para pasar de un modo de espera a un modo operativo, estando dicho primer interruptor (S1) cerrado.
10. Dispositivo de a bordo (100, 100', 100") según cualquiera de las reivindicaciones 3 a 9, que también comprende un botón pulsador (180) accesible desde el exterior de dicho dispositivo de a bordo (100) y conectado eléctricamente a dicha unidad de procesamiento de datos (120) a través de una conexión eléctrica adicional (170') y en el que:
- dicho botón pulsador (180) está configurado para, cuando se presiona, generar y enviar a dicha unidad de procesamiento de datos (120) a través de dicha conexión eléctrica adicional (170) una señal de activación adicional; y
- dicha unidad de procesamiento de datos (120) está configurada para, tras la recepción de dicha señal de activación adicional, pasar de un modo de espera a un modo operativo, estando dicho primer interruptor (S1) cerrado.
11. Dispositivo de a bordo (100, 100', 100") según las reivindicaciones 9 y 10, en el que dicha unidad de procesamiento (120) está configurada para:
- tras la recepción de dicha señal de activación desde dicha etapa de comunicación de corto alcance (150), habilitar solo operaciones de lectura de datos desde dicha memoria operativa central no volátil (130); y
- tras la recepción de dicha señal de activación adicional desde dicho botón pulsador (180), habilitar solo operaciones de escritura de datos en dicha memoria operativa central no volátil (130).
12. Dispositivo de a bordo (100, 100', 100") según cualquiera de las reivindicaciones anteriores, en el que dicha memoria volátil (160) comprende:
- por lo menos una primera zona de memoria en la que dicha etapa de comunicación de corto alcance (150) está habilitada para escribir solo dichos datos que han de escribirse en dicha memoria operativa central no volátil (130) y desde la cual se habilita dicha unidad de procesamiento de datos (120) solo para leer dichos datos que han de escribirse en dicha memoria operativa central no volátil (130); y/o
- por lo menos una segunda zona de memoria en la que dicha unidad de procesamiento de datos (120) está habilitada solo para escribir dichos datos que han de leerse desde dicha memoria operativa central no volátil (130) y desde la cual se habilita dicha etapa de comunicación de corto alcance (150) solo para leer dichos datos que han de leerse desde dicha memoria operativa central no volátil (130).
13. Dispositivo de a bordo (100') según cualquiera de las reivindicaciones anteriores, que también comprende una memoria no volátil adicional (160') configurada para almacenar una serie de segundos datos relacionados con dicho dispositivo de a bordo (100'), siendo dicha memoria no volátil adicional (160') accesible por dicha etapa de comunicación de corto alcance (150), estando configurada dicha etapa de comunicación de corto alcance (150) para leer dichos segundos datos de dicha memoria no volátil adicional (160') y enviarlos a dicho dispositivo electrónico (210).
14. Dispositivo de a bordo (100") según cualquiera de las reivindicaciones 1 a 12, que también comprende una etapa de comunicación de corto alcance adicional (150') y una memoria no volátil adicional (160') capaz de almacenar una serie de segundos datos relacionados con dicho dispositivo de a bordo (100'), siendo dicha memoria no volátil adicional (160') accesible por dicha etapa de comunicación de corto alcance (150'), estando también configurada dicha etapa de comunicación de corto alcance (150') para leer dichos segundos datos de dicha memoria adicional no volátil (160') y enviarlos a dicho dispositivo electrónico (210).
15. Sistema para proporcionar un servicio telemático de tráfico, comprendiendo dicho sistema una pluralidad de dispositivos de carretera, un dispositivo electrónico (210) y un dispositivo de a bordo (100) para un vehículo, estando configurado dicho dispositivo de a bordo (100) para comunicarse tanto con dicha pluralidad de dispositivos de carretera como con dicho dispositivo electrónico (210), siendo dicho dispositivo de a bordo (100) según cualquiera de las reivindicaciones 1 a 14.
ES17176161T 2017-06-15 2017-06-15 Dispositivo de a bordo para un vehículo Active ES2810226T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP17176161.2A EP3416352B1 (en) 2017-06-15 2017-06-15 On-board device for a vehicle

Publications (1)

Publication Number Publication Date
ES2810226T3 true ES2810226T3 (es) 2021-03-08

Family

ID=59399217

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17176161T Active ES2810226T3 (es) 2017-06-15 2017-06-15 Dispositivo de a bordo para un vehículo

Country Status (6)

Country Link
EP (1) EP3416352B1 (es)
CL (1) CL2019003588A1 (es)
DK (1) DK3416352T3 (es)
ES (1) ES2810226T3 (es)
PL (1) PL3416352T3 (es)
WO (1) WO2018229023A1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT202100016715A1 (it) * 2021-06-25 2022-12-25 Telepass S P A Unita’ di bordo veicolare per servizi di traffico stradale con trasponder di comunicazione a radiofrequenza

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004348579A (ja) * 2003-05-23 2004-12-09 Mitsubishi Electric Corp データ不正使用防止装置
PL2793205T3 (pl) 2013-04-19 2016-04-29 Kapsch Trafficcom Ag System pokładowy dla pojazdu

Also Published As

Publication number Publication date
EP3416352A1 (en) 2018-12-19
EP3416352B1 (en) 2020-05-20
CL2019003588A1 (es) 2020-06-19
WO2018229023A1 (en) 2018-12-20
DK3416352T3 (da) 2020-08-10
PL3416352T3 (pl) 2020-11-16

Similar Documents

Publication Publication Date Title
ES2642838T3 (es) Llave electrónica comunicante para un acceso con seguridad a un cilindro mecatrónico
ES2802250T3 (es) Estructura de cerradura inteligente y método de operación correspondiente
CN102315942B (zh) 一种带蓝牙的安全终端及其与客户端的通信方法
ES2714179T3 (es) Método y dispositivo de terminal móvil que incluye módulo de tarjeta inteligente y medios de comunicaciones de campo cercano
ES2215517T3 (es) Sistema de comunicacion para un vehiculo.
ES2686106T3 (es) Procedimiento y dispositivo para el mando de un control de acceso
ES2388215T3 (es) Sistema de control de entrada
KR101588197B1 (ko) 자동 개폐 가능한 도어락 장치 및 도어락의 자동 개폐 방법
ES2839204T3 (es) Dispositivo de conversión de datos de un vehículo y método de salida de datos de un vehículo
ES2302722T3 (es) Procedimiento de autenticacion.
US20100145776A1 (en) In-vehicle apparatus and semiconductor device
ES2760301T3 (es) Método para la programación de medios de identificación de un sistema de control de acceso
ES2735805T3 (es) Dispositivo de a bordo para un vehículo
US20220156544A1 (en) Key Fob
ES2409807A2 (es) Método para gestionar comunicación sin contacto en un dispositivo de usuario
ES2810226T3 (es) Dispositivo de a bordo para un vehículo
ES2401358T3 (es) Procedimiento y terminal para proporcionar acceso controlado a una tarjeta de memoria
JP6088825B2 (ja) 料金決済処理システムおよび料金決済処理方法
ES2712643T3 (es) Método para la transmisión a través de una red de telecomunicaciones de una información de autorización o de una autorización asociada con un terminal de telecomunicación, terminal de telecomunicación, sistema, programa informático y de programa informático
KR20200071591A (ko) 원격 출입관리 시스템 및 그 동작 방법
ES2926286T3 (es) Contador de fluidos dispuesto para detectar una fuga y asegurar una instalación
JP5200997B2 (ja) 決済システム
KR20190092023A (ko) 사물인터넷을 이용한 가상키 인증방법
CN105447608B (zh) Psam管理方法、系统、psam管理器、车辆收费管理方法及系统
JP2010198488A (ja) 決済システム