FR2718090A1 - Dispositif de sûreté contre le vol à codage électronique d'autorisation d'utilisation pour véhicule. - Google Patents

Dispositif de sûreté contre le vol à codage électronique d'autorisation d'utilisation pour véhicule. Download PDF

Info

Publication number
FR2718090A1
FR2718090A1 FR9503765A FR9503765A FR2718090A1 FR 2718090 A1 FR2718090 A1 FR 2718090A1 FR 9503765 A FR9503765 A FR 9503765A FR 9503765 A FR9503765 A FR 9503765A FR 2718090 A1 FR2718090 A1 FR 2718090A1
Authority
FR
France
Prior art keywords
information
key
vehicle
authorization
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9503765A
Other languages
English (en)
Other versions
FR2718090B1 (fr
Inventor
Brinkmeyer Horst
Daiss Michael
Schwegler Gunter
Kruger Bertold
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Daimler Benz AG
Original Assignee
Daimler Benz AG
Mercedes Benz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Daimler Benz AG, Mercedes Benz AG filed Critical Daimler Benz AG
Publication of FR2718090A1 publication Critical patent/FR2718090A1/fr
Application granted granted Critical
Publication of FR2718090B1 publication Critical patent/FR2718090B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/01Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
    • B60R25/04Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00182Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00182Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks
    • G07C2009/0023Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks with encription of the transmittted data signal
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00182Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks
    • G07C2009/00238Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks the transmittted data signal containing a code which is changed
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • G07C2009/00769Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
    • G07C2009/00785Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means by light
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)

Abstract

Ce dispositif fait appel à un procédé de codage basé sur une fonction à sens unique et nécessitant seulement la mémorisation d'informations de code secrètes côté clé (utilisateur). Côté clé, il comprend notamment un processeur sous la forme d'une puce dans laquelle différentes unités fonctionnelles telles que des mémoires (3, 4) et une unité (7) pour la génération de valeurs de fonction à sens unique, sont réalisées au niveau du logiciel, de même qu'une touche d'utilisateur (6) et un émetteur (5). Côté véhicule, il comprend des unités d'appareils (2) avec un processeur sous la forme d'une puce réalisant différentes fonctions, notamment de portes (13, 15, 18) et de mémoires (14, 16), ainsi qu'un récepteur (10) dans une partie d'entrée (2'). Applicable aux systèmes électroniques de fermeture et/ou de blocage du départ.

Description

L'invention concerne un dispositif de sûreté
pour véhicule à codage électronique d'autorisation d'uti-
lisation, comprenant une unité de clé côté utilisateur pour émettre successivement des informations de code d'utilisateur différentes entre elles, et une unité d'ap- pareil côté véhicule pour recevoir l'information de code d'utilisateur émise chaque fois par une unité de clé,
pour déterminer une information d'autorisation réelle dé-
pendante de l'information de code d'utilisateur reçue et la comparer avec une information d'autorisation de consigne présente côté véhicule, ainsi que pour générer une information de permission d'utilisation suivant le
résultat de cette comparaison.
De tels dispositifs de sûreté pour véhicules
sont connus par exemple sous la forme de verrous électro-
niques de départ fonctionnant selon un procédé dit à code
changeant pour protéger contre une utilisation non auto-
risée du véhicule par une tierce personne, voir par exemple le prospectus "Diebstahlschutz fur das Auto" de la firme TEMIC TELEFUNKEN microelektronic GmbH d'août
1993. En comparaison avec un procédé à code fixe, précé-
demment usuel, comme décrit par exemple dans la demande de brevet allemand soumise à l'inspection publique DE
29 11 828 Ai, l'application d'un tel procédé à code chan-
geant accroît la sûreté contre une utilisation non auto-
risée du véhicule, à la suite de l'écoute (espionnage) d'un ou plusieurs protocoles d'émission de code, du fait que l'information de code change à chaque opération dite d'authentification, c'est-à-dire à chaque opération de contrôle de l'autorisation d'utilisation. Si l'on veut
conserver la transmission unidirectionnelle de l'informa-
tion de code - connue par le procédé à code fixe - seule-
ment à partir du côté clé vers le côté véhicule, ce chan-
gement de code est réalisable par le stockage, à la fois côté clé et côté véhicule, d'une information de nombre de base secrète et d'un algorithme selon lequel les informations de code successives peuvent être dérivées du nombre de base, de sorte que l'autorisation d'utilisation est contrôlable, côté véhicule, en comparant chaque fois
l'information de code générée côté véhicule avec l'infor-
mation de code émise côté clé. Il est connu aussi, en va- riante, d'introduire, côté clé et côté véhicule, après chaque authentification réussie, une nouvelle information
de code autorisante, choisie au hasard ou fixée par dé-
termination, pour l'authentification suivante, voir par exemple la demande de brevet allemand DE 32 34 539 A1 soumise à l'inspection publique et le brevet allemand DE 33 13 098 Cl. Une telle synchronisation forcée nécessite toutefois un échange bidirectionnel de données - réalisé
sans fil ou par des contacts électriques conducteurs -
entre l'unité de clé et une unité d'appareil participante
du véhicule.
A côté des procédés à code changeant qui se servent d'une transmission unidirectionnelle de données pendant une authentification, on connaît aussi ce que l'on appelle des procédés de cryptage symétriques selon
lesquels l'authentification s'effectue par un échange bi-
directionnel de données, avec stockage d'un algorithme de
codage secret analogue côté clé d'une part et côté véhi-
cule d'autre part. A la suite d'une information d'entrée amenée aux deux côtés, par exemple d'une information de chiffre aléatoire, cet algorithme génère une information de code correspondante; ensuite, l'information de code
côté clé est envoyée au côté véhicule o elle est contrô-
lée quant à sa concordance avec l'information de code gé-
nérée côté véhicule. Un procédé de ce type est décrit
dans la demande de brevet allemand DE 32 25 754 A1 sou-
mise à l'inspection publique.
Tous les procédés connus mentionnés ci-dessus,
nécessitent par conséquent la mémorisation d'une informa-
tion secrète côté véhicule. Il en résulte non seulement un certain risque de lecture frauduleuse de cette information secrète côté véhicule, il faut également assurer une introduction protégée, côté véhicule, de telles informations sous forme de données secrètes, ce qui implique une dépense de sûreté logistique appropriée chez le constructeur du véhicule et dans les ateliers o cette information secrète spécifique au véhicule doit être introduite dans des unités d'appareils de remplacement. Le problème technique sur lequel est basée l'invention, est la mise à disposition d'un dispositif de
sûreté pour véhicule, du type mentionné au début, dispo-
sitif qui, moyennant une dépense comparativement faible, grâce en particulier à une transmission unidirectionnelle
des données pour commencer, et tout en permettant un ma-
niement commode, offre une protection relativement haute contre l'utilisation non autorisée du véhicule par des
tiers, le dispositif devant notamment être réalisé de ma-
nière qu'une personne non autorisée puisse utiliser le véhicule par la simple écoute (le simple espionnage) d'une opération d'authentification ou par la lecture d'une information de code côté véhicule, avec utilisation consécutive du véhicule grâce à une authentification réussie par l'utilisation des informations écoutées ou
lues, et sans qu'il soit nécessaire de stocker des infor-
mations secrètes côté véhicule.
Selon l'invention, on obtient ce résultat par un dispositif de sûreté qui est caractérisé en ce que - les informations de code d'utilisateur, émises successivement, contiennent une valeur originale pour une fonction à sens unique, - l'information d'autorisation de consigne est chaque fois la valeur de fonction à sens unique de la valeur originale contenue dans une information de code d'utilisateur coordonnée et - la détermination de l'information d'autorisation
réelle, à partir de l'information de code d'utilisa-
teur reçue, comporte la formation de la valeur de
fonction à sens unique de la valeur originale conte-
nue dans l'information de code d'utilisateur reçue.
Un dispositif de sûreté ainsi réalisé offre,
moyennant une dépense comparativement faible, une protec-
tion relativement haute contre l'utilisation non autori-
sée du véhicule par un tiers. En particulier, une mise en mémoire côté véhicule d'une information secrète n'est pas obligatoirement nécessaire, ce qui économise des dépenses
logistiques pour la sûreté chez le constructeur du véhi-
cule et dans les ateliers, évitant ainsi les risques de sécurité qui y sont liés, et a en outre pour conséquence
que la lecture des informations de code stockées côté vé-
hicule ne permet pas de fabriquer de doubles clés par lesquelles pourrait être opérée une authentification réussie. La suppression de dispositions logistiques pour la sûreté a une importance particulière lorsqu'un grand nombre d'unités d'appareils participent côté véhicule à l'authentification, ceci afin de rendre économiquement inintéresssant le contournement du verrou de départ par le simple remplacement d'une unité ou de seulement
quelques unités d'appareils participant à l'authentifica-
tion. La sécurité du code servant à l'authentification
est basée sur la propriété intrinsèque d'une fonction ma-
thématique à sens unique selon laquelle l'algorithme ser-
vant à calculer une valeur de fonction à sens unique pour une valeur originale est comparativement simple, alors
que l'obtention d'une valeur originale associée à une va-
leur de fonction à sens unique donnée n'est pas possible dans les limites d'un intervalle de temps disponible par des calculs réalisables dans la pratique. La propriété d'une fonction d'être une fonction à sens unique, dépend donc aussi de la capacité de calcul disponible. Dans l'état actuel de la technologie des calculateurs, de telles fonctions à sens unique sont connues par exemple sous la forme de fonctions parasites appelées fonctions hash et appliquées surtout pour protéger des messages dans la cryptographie, un nombre d'environ 250 opérations de calcul et de mémorisation de valeurs hash pouvant être considéré actuellement comme la limite supérieure pour la dépense en calculs réalisable dans la pratique. En raison de l'irréversibilité pratique de la fonction à sens unique, il n'est pas nécessaire de traiter sous secret les valeurs de fonction à sens unique côté véhicule car
même une lecture frauduleuse de ces valeurs dans le véhi-
cule ne permettrait pas à un tiers de trouver les valeurs originales coordonnées et de fabriquer avec elles une double clé électronique. La sûreté du système contre
l'exploitation de l'écoute (de l'espionnage) d'une tenta-
tive d'authentification résulte du fait qu'une nouvelle information de code à valeur originale est envoyée pour
chaque tentative d'authentification. En fonction du ré-
sultat de la comparaison des informations d'autorisation réelle et de consigne, l'unité d'authentification côté
véhicule délivre une information de permission d'utilisa-
tion qui, dans le cas d'une tentative d'authentification couronnée de succès, conduit au désarmement
(déverrouillage) d'un verrou de départ électronique coor-
donné et, en cas de tentative d'authentification non
réussie, conduit à l'armement durable de ce verrou de dé-
part, lequel a notamment pour effet qu'après le retrait de la clé de contact, au moins une unité d'appareil se rapportant côté véhicule à l'accès ou au fonctionnement du véhicule - il peut s'agir par exemple d'une commande de fermeture, d'un appareil de commande du moteur, et
ainsi de suite - est maintenue à une position de blocage.
Un mode de réalisation de l'invention prévoit que
- les valeurs originales émises successivement repré-
sentent une séquence qui résulte de l'application répétée de la fonction à sens unique, ces valeurs originales étant utililisées, pour la formation des informations de code d'utilisateur successives, dans un ordre de succession inversé par rapport à la formation de la séquence, et l'information d'autorisation de consigne consiste chaque fois en la valeur originale émise la dernière
fois, ensemble avec l'information de code d'utilisa-
teur, pour une opération de contrôle de l'autorisa-
tion d'utilisation ayant eu un résultat positif avec
la même unité de clé.
La mise à disposition des valeurs originales stockées côté clé est ainsi réalisée de manière simple et
avantageuse, du fait que cette suite de valeurs est for-
mée par l'exécution successive de la fonction à sens
unique, dans un processus selon lequel, pendant l'utili-
sation en cours de la clé, la suite est lue en sens in-
verse, c'est-à-dire à partir de la valeur originale dé-
terminée en dernier jusqu'à la valeur originale initiale.
Côté véhicule, ceci apporte l'avantage, quant à la tech-
nique de mémorisation, qu'il n'est pas nécessaire de mé-
moriser toutes le valeurs de fonction à sens unique coor-
données aux valeurs originales. Pour la mise à disposi-
tion de l'information d'autorisation de consigne, il suf-
fit au contraire de la mémorisation initiale de la valeur de fonction à sens unique coordonnée à la première valeur originale envoyée, après quoi cette information mémorisée est couverte chaque fois, lors d'une authentification réussie avec la même unité de clé, par l'information de
valeur originale émise pour cette authentification puis-
qu'une valeur originale envoyée précédemment correspond toujours exactement à la valeur de fonction à sens unique
de la valeur originale émise ensuite.
Un autre mode de réalisation de l'invention est
caractérisé en ce que des éléments consécutifs sélection-
nés de la séquence, servant de points d'appui, ainsi qu'une séquence partielle chaque fois actuelle entre deux
points d'appui, sont mémorisés dans une mémoire de va-
leurs originales de l'unité de clé, une séquence par-
tielle actuelle suivante étant au plus tard générée chaque fois et mémorisée à la place de celle utilisée jusqu'alors quand la dernière valeur originale de la sé-
quence partielle utilisée jusqu'alors a été émise.
On peut ainsi éconimiser de la capacité de mé-
moire côté clé du fait que sont mémorisées non pas toutes les valeurs originales nécessaires pendant la durée de
vie de l'unité de clé, mais seulement des valeurs repré-
sentant des points d'appui ayant des espacements choisis de l'ensemble de la suite de valeurs originales, ainsi que, chaque fois, une gamme actuelle de valeurs entre deux points d'appui. A l'aide de l'algorithme pour la fonction à sens unique, stocké également côté clé, une
nouvelle gamme actuelle peut être générée, par applica-
tion récursive de la fonction à sens unique à partir du
point d'appui suivant, et cette gamme peut être mémori-
sée, chaque fois qu'une gamme actuelle est "consommée"
exception faite d'une partie restante pouvant être pré-
fixée. Un autre mode de réalisation de l'invention prévoit que, chaque fois après un résultat négatif de la comparaison des informations d'autorisation réelle et de consigne, une nouvelle information d'autorisation réelle
est déterminée, pour un nombre maximal préfixé de répéti-
tions, en tant que valeur de fonction à sens unique de l'information d'autorisation réelle utilisée jusqu'alors,
et cette nouvelle information est comparée avec l'infor-
mation d'autorisation de consigne.
Ainsi est formée, côté véhicule, ce que l'on appelle une étendue de capture, laquelle permet, dans une mesure pouvant être préfixée, de resynchroniser le côté véhicule avec le côté clé lorsque la synchronisation a
été perdue en raison d'une ou plusieurs activités d'émis-
sion, côté clé, auxquelles ne correspondait pas, en contrepartie, une activité de réception côté véhicule. Si
la valeur de fonction à sens unique d'une valeur origi-
nale reçue ne correspond pas, en tant qu'information d'autorisation réelle, à l'information d'autorisation de consigne en vigueur à ce moment côté véhicule, l'étendue de capture admet, pour un nombre maximal prédéterminé de répétitions, l'exécution d'une formation de fonction à
sens unique récursive, pour laquelle la valeur de fonc-
tion à sens unique générée chaque fois à partir de l'in-
formation d'autorisation réelle utilisée jusqu'alors,
sert de nouvelle information d'autorisation réelle.
Lorsque, avec une information d'autorisation réelle ainsi
redéterminée, une concordance est trouvée dans les li-
mites de l'étendue de capture avec l'information d'auto-
risation de consigne mise en mémoire côté véhicule, cet
événement est évalué comme une tentative d'authentifica-
tion positive, c'est-à-dire réussie, de sorte que le ver-
rou de départ est alors supprimé et que l'information de valeur originale émise est mémorisée en tant que nouvelle information d'autorisation de consigne pour la prochaine tentative d'authentification avec cette même clé. Si l'étendue de capture est choisie pour correspondre à la puissance (nombre cardinal) d'une séquence de valeurs originales globalement possible dans l'unité de clé, il devient possible en plus d'inclure de façon simple et
avantageuse une clé de remplacement autorisante et de si-
multanément supprimer automatiquement la validité de la
clé remplacée.
A cet effet, il est préférable que la clé de remplacement soit initialisée selon un perfectionnement
qui est caractérisé en ce que des unités de clés de rem-
placement, applicables successivement, sont prévues pour l'unité de clé, les valeurs originales d'une unité de clé utilisable ensuite formant une séquence partielle, située directement devant la séquence de valeurs originales d'une unité de clé précédente, séquence partielle qui fait partie d'une séquence totale générée par formation répétée de valeurs de fonction à sens unique à partir d'une valeur de départ mémorisée de façon centrale et spécifique à un numéro de clé. Ainsi, l'initialisation demande simplement la mémorisation d'une seule valeur de départ secrète pour la formation des valeurs de fonction
à sens unique pour initialiser la première clé de re-
change et toutes les clés suivantes remplaçant au besoin
l'une après l'autre les clés précédentes dans une cen-
trale de clés.
Une autre caractéristique de l'invention pré-
voit que l'on peut utiliser, comme fonction à sens unique, l'une des fonctions parasites connues par la
cryptographie et que l'on appelle fonctions hash, en par-
ticulier un algorithme RIPEMD, pour lequel on peut consi-
dérer, selon l'état actuel de la science cryptographique,
qu'il possède la propriété de fonction à sens unique re-
quise. Un autre mode de réalisation de l'invention
prévoit qu'une pluralité d'unités d'appareils côté véhi-
cule est agencée parallèlement pour déterminer chaque fois l'information d'autorisation réelle à partir d'une
information de code d'utilisateur reçue et pour la compa-
rer avec l'information d'autorisation de consigne, ainsi
que pour générer une information de permission d'utilisa-
tion en fonction du résultat de la comparaison.
Selon ce mode de réalisation, plusieurs unités
d'appareils sont donc incorporées en parallèle, côté vé-
hicule, dans le processus d'authentification, unités qui sont avantageusement interconnectées à cet effet par un bus commun de données. Cette distribution décentralisée de l'authentification, laquelle peut s'étendre sur toutes
les unités d'appareils d'intérêt du véhicule, rend consi-
dérablement plus difficile le contournement du verrou de départ par des manipulations mécaniques sous la forme d'un remplacement d'appareil(s) puisqu'il faudrait alors remplacer toutes les unités d'appareils concernées par
l'authentification et le verrou de départ afin que le vé-
hicule puisse être rendu utilisable par un tiers n'ayant
pas la possibilité d'obtenir une authentification réus-
sie. Les unités d'appareils incorporées dans le disposi- tif, il s'agit en particulier d'appareils de commande de
l'électronique du véhicule, peuvent être choisies de ma-
nière que leur remplacement représente une dépense très élevée comparativement à l'avantage qui peut en être
tiré, de sorte que cette façon d'opérer devient ininté-
ressante.
Une autre caractéristique de l'invention pré-
voit qu'un appareil de commande de fermeture du véhicule
constitue une unité d'appareil côté véhicule du disposi-
tif de sûreté. Lorsque, conformément à cette caractéris-
tique, la commande du système de fermeture du véhicule
est incorporée dans tous les cas dans le processus d'au-
thentification, non seulement le véhicule ne peut pas dé-
marrer sans authentification justifiée, il ne peut pas non plus être ouvert sans manipulation avec force. Si d'autres unités d'appareils participent au processus d'authentification, elles peuvent être reliées entre elles, ainsi qu'à la commande de fermeture, par un bus de données par exemple, auquel cas un seul récepteur suffit,
côté véhicule, pour les données émises côté clé, le ré-
cepteur pouvant être associé par exemple à la commande de fermeture.
Selon un autre mode de réalisation de l'inven-
tion, l'information de code d'utilisateur émise chaque
fois, contient une information d'identification spéci-
fique au véhicule et une information d'identification spécifique à la clé, et l'information d'identification
d'une information de code d'utilisateur reçue est exploi-
table préalablement dans une unité d'appareil côté véhi-
cule, l'opération de contrôle de l'autorisation d'utili-
sation étant interrompue après la reconnaissance de il
données d'identification émises qui ne sont pas autori-
santes. Un tel mode de réalisation a l'avantage qu'en raison du contrôle initial d'identification du véhicule et de la clé, il est vérifié d'abord si des unités maté- rielles légitimées sont en liaison entre elles, avant que l'opération d'authentification proprement dite ne soit effectuée. Ainsi peut être évitée l'activation inutile d'opérations d'authentification ne pouvant pas aboutir à
cause d'une combinaison clé-véhicule incorrecte.
Selon encore un autre mode de réalisation, plusieurs unités de clés autorisantes sont prévues côté utilisateur pour un véhicule, unités qui émettent des
suites différentes de valeurs originales; les informa-
tions de code d'utilisateur émises contiennent chaque fois une information d'identification de clé et dans chaque unité d'appareil participante côté véhicule, peut être mémorisée, pour chaque unité de clé, une information d'autorisation de consigne spécifique, dans une mémoire
qui est adressable à l'aide de l'information d'identifi-
cation de clé et d'o cette information d'autorisation
peut être extraite.
Ce mode de réalisation permet d'utiliser un jeu
de plusieurs clés pour le véhicule d'une manière avanta-
geuse quant à la technique de réalisation des circuits et
en conservant l'algorithme de codage utilisant la fonc-
tion à sens unique.
D'autres caractéristiques et avantages de l'in-
vention ressortiront plus clairement de la description
qui va suivre d'un mode de réalisation préféré, mais nul-
lement limitatif, ainsi que de la figure unique du dessin annexé qui est un schéma fonctionnel d'un dispositif de sûreté pour véhicule selon l'invention, utilisant un contrôle d'autorisation électronique pour l'utilisation
du véhicule avec transmission unidirectionnelle de don-
nées de code.
Le dispositif de sûreté pour véhicule comprend, côté utilisateur, c'està-dire côté clé, un certain nombre, huit par exemple, clés électroniques 1 dont l'une
est montrée à titre représentatif, ainsi que, côté véhi-
cule, une pluralité d'unités d'appareils 2 qui sont in-
corporées dans le dispositif de sûreté contre l'utilisa-
tion du véhicule par un tiers non autorisé, dont l'une est une commande de fermeture des portes du véhicule,
unité dont la structure est montrée également à titre re-
présentatif pour les unités d'appareils restantes, les-
quelles sont constituées par les autres appareils de com-
mande de l'installation électrique du véhicule. La partie de circuit 2' représentée côté véhicule à gauche de la
ligne de séparation pointillée tracée à droite, est seu-
lement présente dans la commande de fermeture, tandis que la partie de circuit 2" se trouvant à droite de cette ligne est présente sous une forme identique pour toutes les unités d'appareils incorporées dans le dispositif de sûreté. Toutes les unités d'appareils 2 incorporées dans ce dispositif, communiquent entre elles, ainsi qu'avec la partie de circuit 2' prévue côté réception dans la seule commande de fermeture, de manière non représentée, par un bus de type CAN ou, en variante, par une autre liaison
d'échange de données à l'intérieur du véhicule. Les uni-
tés de clés 1 et d'appareils 2 sont équipées chacune d'un processeur sous la forme d'une puce dans laquelle sont réalisées, dans une large mesure au niveau du logiciel, les unités fonctionnelles représentées par des blocs sur
la figure et qui seront décrites ci-après.
Les unités de clés 1 possèdent chacune un
émetteur 5 par lequel des données présentes côté clé peu-
vent être émises sous une forme codée par une liaison unidirectionnelle formée par un trajet infrarouge 9 vers
le côté véhicule, o elles peuvent être reçues par un ré-
cepteur 10 dans la partie de circuit d'entrée 2' de la commande de fermeture 2 et décodées ensuite. Chaque unité de clé 1 possède en outre une unité 7 pour la génération récursive de valeurs de fonction à sens unique d'une
fonction hash H, utilisée par exemple dans la cryptogra-
phie, la fonction hash à sens unique utilisée dans cet exemple particulier étant la fonction RIPEMD connue par
"Ripe Integrity Primitives, Final report of RACE Inte-
grity Primitives Evaluation (R1040) (juin 1992), PART III Recommended Integrity Primitives, Chapter 3 RIPEMD, pages 67 - 109". Une fonction à sens unique est définie ici comme une fonction mathématique pour laquelle la valeur de fonction d'un original (d'une image originale) donné peut être déterminée de façon univoque et comparativement simple à partir de son étendue de définition, tandis qu'il n'est pas possible, même en mettant en oeuvre les moyens de calcul maximaux disponibles dans la pratique, de trouver une valeur originale coordonnée à une valeur de fonction à sens unique donnée. La longueur binaire d'une valeur de fonction RIPEMD est de 16 octets, mais il suffit, pour l'application à un dispositif de sûreté pour
véhicule décrite ici, de transformer la valeur à 16 oc-
tets par un algorithme adéquat en une valeur raccourcie à
8 octets, ceci afin d'économiser de la capacité de mé-
moire. Par cette unité 7 de génération de valeurs de fonction hash sont générées, par application répétée de la fonction hash, à commencer par une valeur de départ mo, un certain nombre n de valeurs qui sont stockées en tant que valeurs originales dans une mémoire de valeurs
originales 3 dont le contenu peut être extrait et trans-
féré successivement dans une mémoire intermédiaire 4 à l'aide d'un compteur 21 et en sens inverse ou en arrière, c'est-à-dire à commencer par la dernière valeur mnl de
la séquence de valeurs originales mo,..., mn-1 concer-
* née- Le nombre n détermine le nombre maximal de tenta-
tives d'authentification déclenchables par l'unité de clé 1 pendant sa durée de vie et doit être choisi en conséquence, n étant par exemple égal à 100 000, ce qui représente environ 20 actionnements de clé par jour pour une durée de vie de la clé d'environ 10 années. La mémoire intermédiaire 4 peut être commandée pour la lecture par un signal de départ SST généré au moyen d'une touche d'utilisateur 6.
Pour la mémorisation de données d'identifica-
tion de matériel, données qui comprennent une information
spécifique au véhicule ainsi qu'une information spéci-
fique à la clé, chaque unité de clé 1 comporte une mé-
moire 8 de données d'identification dont les données sont
combinées par l'unité de clé 1 avec l'information de va-
leur originale mi, venant chaque fois de la mémoire in-
termédiaire 4, en une information de code d'utilisateur M
à émettre en tant que message.
Côté véhicule, la partie de circuit 2', se
trouvant du côté de l'entrée des informations de la com- mande de fermeture 2, comprend, outre le récepteur 10,
une mémoire 11 de données d'identification, un compara-
teur 12 de données d'identification, ainsi qu'une fonc-
tion de porte 13, réalisés chacun au niveau du logiciel.
Le comparateur 12 compare l'information de données
d'identification IDS, extraite dans cette partie de cir-
cuit 2' de l'appareil de commande de fermeture de l'in-
formation de code d'utilisateur M reçue, avec l'informa-
tion de données d'identification IDK stockée dans la mé-
moire de données d'identification 11 côté véhicule, et il agit par son signal de sortie sur une entrée de commande
de la porte 13 dont l'autre entrée reçoit le signal d'in-
formation de code d'utilisateur M. Une interface de dia-
gnostic 19 peut être raccordée facultativement à la com-
mande de fermeture 2, ainsi que cela est indiqué en poin-
tillé sur la figure.
La partie de circuit 2" de la commande de fer-
meture, partie qui est représentée à droite de la ligne de séparation pointillée à droite sur la figure et qui est également présente sous une forme identique dans toutes les autres unités d'appareils 2 incorporées dans le système de sûreté du véhicule, comporte une unité 14 pour calculer des valeurs de fonction hash ainsi qu'une
fonction de porte 15, à chacune desquelles peut être ame-
née l'information de valeur originale mi contenue chaque fois dans l'information de code d'utilisateur M et qui
sont toutes deux réalisées également au niveau du logi-
ciel. La sortie de la porte 15 est reliée à une mémoire 16 d'informations d'autorisation de consigne possédant un nombre d'emplacements de mémoire qui correspond au nombre
d'unités de clés 1, les différents emplacements de mé-
moire pouvant être sélectionnés en fonction de l'identité de clé IDj reconnue, c'est-à-dire en fonction du numéro
de clé. La sortie de cette mémoire 16 est à son tour re-
liée à une entrée d'un bloc comparateur 17 auquel peut être amené, par une autre entrée, le signal de sortie m'
de l'unité 14 de génération des valeurs de fonction hash.
Ce signal de sortie m' est envoyé en outre à un autre
bloc de porte 18 dont l'entrée de commande reçoit un si-
gnal de non-concordance NU du comparateur 17. Par contre,
si une concordance est constatée, le comparateur 17 gé-
nère un signal de permission d'utilisation SF pour sup-
primer l'état de blocage de l'aptitude au fonctionnement du logiciel de l'unité d'appareil 2 concernée, état qui fait partie d'un verrou de départ électronique maintenant toutes ces unités d'appareils à l'état bloqué. Le signal
de permission d'utilisation SF, qui représente une au-
thentification réussie, c'est-à-dire un contrôle d'auto-
risation d'utilisation passé avec succès, ne quitte pas l'unité d'appareil coordonnée et ne quitte même pas, de préférence, la puce dans laquelle il est produit, ce qui
procure une haute sécurité contre une injection fraudu-
leuse par un tiers de l'information de permission d'uti-
lisation. Ce signal est envoyé en outre en tant que si-
gnal de commande au bloc de porte 15 recevant l'informa-
tion de valeur originale mi envoyée, afin de permettre
une mémorisation de cette information comme nouvelle in-
formation d'autorisation de consigne. Pour l'exécution de
fonctions particulières à travers l'interface de diagnos-
tic 19 connectée éventuellement à la commande de ferme-
ture, ou à travers une unité de clé 1, on prévoit au be-
soin une mémoire supplémentaire 20 d'informations d'auto-
risation de consigne pour fonctions particulières, en pa-
rallèle avec la mémoire normale 16 d'informations d'auto-
risation de consigne, comme indiqué en pointillé sur la
figure.
Ainsi qu'il a été mentionné précédemment,
toutes les unités d'appareils 2 incorporées dans l'opéra-
tion d'authentification, sont incorporées en même temps aussi dans un verrou de départ électronique qui est armé ou activé chaque fois par la coupure de l'allumage et
peut être désarmé de nouveau par une opération d'authen-
tification suivante couronnée de succès. Comme les mêmes opérations d'authentification sont exécutées dans toutes
ces unités d'appareils 2, celles-ci redeviennent simulta-
nément aptes à fonctionner à la suite d'une demande d'utilisation justifiée, tandis que l'une au moins reste
bloquée dans le cas d'une demande d'utilisation non jus-
tifiée. La distribution de l'opération d'authentification sur toutes ces unités d'appareils du véhicule et leur blocage correspondant ont l'avantage que le véhicule ne
peut pas continuer à être utilisé par le simple remplace-
ment d'une unité ou d'un petit nombre d'unités d'appa-
reils, avec contournement de l'obligation d'authentifica-
tion. Il faudrait au contraire remplacer toutes ces uni-
tés d'appareils, ce qui implique des coûts si élevés qu'une telle tentative d'utilisation non autorisée par un
tiers est inintéressante.
On décrira ci-après en détail le mode de fonc-
tionnement du dispositif de sûreté pour véhicule réalisé
comme il vient d'être décrit.
L'ensemble du déroulement commence d'abord, avant la mise en service du véhicule, par les opérations nécessaires d'initialisation chez le fabricant de clés ou
au moyen d'une centrale de clés SH aménagée dans ce but.
C'est ici qu'est générée d'abord, individuellement pour chaque clé, une valeur aléatoire secrète ro. A partir de
celle-ci, est calculée ensuite, par de multiples applica-
tions successives de la fonction hash, par exemple 400 000 fois, la valeur originale de départ mo, laquelle est introduite dans la mémoire de valeurs originales 3 de l'unité de clé 1 concernée. Les valeurs de fonction hash initialement non utilisées, comprises entre la valeur aléatoire unitiale secrète ro et la valeur originale de départ mo, peuvent servir de moyens auxiliaires pour un remplacement de clé décrit dans ce qui suit, la valeur aléatoire initiale ro coordonnée étant conservée à cet effet dans une mémoire protégée de la centrale de clés
SH. A côté de la valeur originale de départ mo, la pro-
duction de l'unité de clé 1 comprend également l'intro-
duction des données d'identification IDS dans la mémoire
8 associée, données qui contiennent aussi, à côté de don-
nées spécifiques au véhicule, un numéro de clé qui dis-
tingue entre elles les unités de clés simultanément va-
lables pour un véhicule. Exception faite du numéro de clé, les données d'identification des unités de clés 1 simultanément valables pour un véhicule, sont les mêmes et constituent par conséquent une sorte de numéro de jeu de clés. Parallèlement sont mises à disposition, par la
centrale de clés SH, les données d'identification iden-
tiques en vue de leur mémorisation dans la mémoire 11 as-
sociée de la commande de fermeture. Dans la centrale de
clés SH, sont pré-calculées en outre, lors de l'initiali-
sation, à partir de la valeur originale de commencement mO, les n valeurs de fonction hash recursives HJ (mO) suivantes, o J = 1..., n- l, et la valeur finale mn obtenue est transférée au constructeur du véhicule, ensemble avec les données d'identification, en tant que valeur de départ pour l'information d'autorisation de consigne, spécifique à la clé, pour l'initialisation côté
véhicule de l'emplacement de mémoire coordonné de la mé-
moire 16 d'informations d'autorisation de consigne asso- ciée. A l'aide des données d'initialisation obtenues de la centrale de clés SH, l'initialisation côté véhicule
par le constructeur du véhicule comprend d'abord l'intro-
duction d'une valeur de fonction hash spécifique au véhi-
cule - qui appartient à une suite de valeurs de fonction hash générée également dans la centrale de clés SH - dans la mémoire 20 de valeurs de fonction hash particulière, plus exactement, suivant l'exigence de sûreté, à la fin de la production chez le constructeur du véhicule ou lors
du montage des appareils sur la chaîne ou dans l'atelier.
Pour initialiser la mémoire 16 d'informations d'autorisa-
tion de consigne, chaque emplacement de mémorisation co-
ordonné à une unité de clé déterminée de cette mémoire 16, de toutes les unités d'appareils 2 participantes, est chargé avec la valeur de départ mn mise à disposition
dans ce but, de façon spécifique à la clé, par la cen-
trale de clés SH. A cet effet, l'opérateur doit s'autori-
ser lui-même, à travers l'interface de diagnostic 19, par le biais de la valeur de fonction hash stockée de façon spécifique au véhicule dans la mémoire 20 pour fonctions
particulières, avant qu'il ne puisse effectuer l'initia-
lisation de départ en recouvrant la valeur de départ zéro par la valeur de départ de l'information d'autorisation de consigne mn, spécifique à la clé, les emplacements des mémoires 16 des informations d'autorisation de consigne étant protégés contre le recouvrement normal de leur
contenu tant que ce dernier correspond à la valeur zéro.
La mémoire 20 pour les fonctions particulières sert alors de protection de transport pour les unités d'appareils, mais peut permettre, suivant les besoins, l'exécution
d'autres fonctions particulières. Il faut que soit ga-
ranti, lors de cette initialisation des appareils, que les valeurs zéro de tous les emplacements de mémoire pour
les différentes clés d'un jeu soient couvertes afin d'em-
pêcher une initialisation frauduleuse ultérieure par un tiers. Il est possible aussi, en variante, de transmettre la valeur de départ de l'information d'autorisation de consigne mn lors d'un premier actionnement de la clé au côté véhicule en vue de l'initialisation. Pour le cas d'un remplacement à des fins de réparation d'une unité d'appareil 2 participante, on peut prévoir en plus que l'unité nouvellement mise en place soit initialisée à travers le bus CAN avec les valeurs de départ présentes dans les autres unités, ce qui garantit automatiquement
le recouvrement de toutes les valeurs de départ zéro.
Pour pouvoir distinguer si l'information M amenée à une unité d'appareil 2 contient une authentification normale ou une opération de fonction particulière, l'information M amenée contient, outre les données d'identification qui comprennent environ 8 octets, de même que l'information de valeur originale raccourcie à 8 octets, un code de fonction pour lequel il suffit d'une longueur de données
de 1 octet.
Apres que l'initialisation a été effectuée,
chaque unite de clé 1 génère, lors du premier raccorde-
ment à l'alimentation en énergie, par son unité 7 de gé-
nération de valeurs de fonction hash et à partir de la valeur de départ mO stockée, les valeurs n-1 restantes par une application répétée n-1 fois de la fonction hash
sur la valeur de fonction chaque fois obtenue précédem-
ment, et mémorise la suite de valeurs ainsi obtenue comme
une suite de valeurs originales dans la mémoire 3 corres-
pondante en vue de la lecture en sens inverse des valeurs l'une après l'autre, le compteur 21 coordonné ayant été amené au départ à la valeur n-1 et son contenu diminuant d'une unité à chaque actionnement de la touche d'activation 6. Comme la mémorisation de ces valeurs de 16 octets, valeurs dont le nombre est par exsmple de 100 000, nécessite une capacité de mémoire prévue en conséquence,
on peut également procéder selon la variante décrite ci-
après et économisant de la capacité de mémoire. Des va- leurs sélectionnées de la suite de valeurs de fonction
hash mo à mn-1 générée, par exemple seulement chaque cen-
tième valeur, sont mémorisées de manière fixe en tant que points d'appui dans la mémoire 3. Dans cette mémoire est chaque fois stockée, en plus, une portion actuelle, se
déroulant à ce moment, de la séquence de valeurs mo à mn-
1 comprise entre deux points d'appui, portion qui est
composée par exemple de 100 valeurs, de sorte qu'il suf-
fit ainsi de seulement conserver à chaque instant 1100 valeurs de 8 octets dans la mémoire 3. Dès que, par l'utilisation en cours de la clé, la fin d'une portion
actuelle de la suite de valeurs est atteinte, la forma-
tion par l'unité 7 des valeurs de fonction hash est acti-
vée, par le point d'appui suivant en tant qu'information d'entrée, en vue de la génération de la portion suivante de la suite de valeurs entre deux points d'appui, après quoi la portion "consommée" de la suite de valeurs est couverte par la nouvelle portion calculée. Du point de
vue de l'obtention d'un faible besoin en capacité de mé-
moire, une répartition de la mémoire en parties d'égale grandeur pour les points d'appui et la gamme ou portion entre deux points d'appui est encore meilleure, auquel
cas chaque partie de mémoire contient un nombre d'empla-
cements de mémoire correspondant environ à la racine de la puissance n de l'ensemble de la suite de valeurs mo à mn-1. Pour obtenir le plus faible besoin en capacité de mémoire possible, une autre variante consiste à seulement maintenir en mémoire la valeur initiale mo, à opérer après chaque activation de clé, à partir de cette valeur de départ mo, de nouveau une formation de fonction hash répétée à renouveler successivement cette formation à raison d'une fois moins à chaque répétition, et à introduire dans ce cas directement la
valeur finale obtenue dans la mémoire intermédiaire 4.
D'autres répartitions, choisissables à volonté, sont également possibles, comme par exemple une sélection
logarithmique de points d'appui.
Les opérations préparatoires pour le commence-
ment du fonctionnement normal d'authentification par le dispositif de sûreté de véhicule sont ainsi terminées. On décrira ci-après une telle tentative d'authentification,
par laquelle un utilisateur essaie de se justifier vis-à-
vis du véhicule comme ayant droit à son utilisation afin de parvenir ainsi à l'ouverture du véhicule ainsi qu'à la suppression du verrou de départ qui avait été armé à
l'arrêt du véhicule. Une telle opération d'authentifica-
tion est déclenchée par l'actionnement de la touche de départ 6 d'une unité de clé 1. Le signal de départ SST, ainsi généré, provoque la lecture de la valeur originale mi présente à ce moment dans la mémoire intermédiaire 4,
valeur qui est ensuite transmise ensemble avec les don-
nées d'identification IDS côté clé comme information de code d'utilisateur M à l'émetteur 5 et envoyée de là, par le trajet de transmission à infrarouge 9, au récepteur 10
côté véhicule. Là, l'information de données d'identifica-
tion IDS est d'abord extraite, dans la commande de ferme-
ture 2, de l'information de code d'utilisateur M et com-
parée avec les données d'identification IDK côté véhi-
cule. Si l'identité matérielle nécessaire, ainsi contrô-
lée, avec une clé 1 destinée au véhicule, n'existe pas, une information de commande appropriée, envoyée au bloc à
fonction de porte 13, empêche la transmission de l'infor-
mation de code d'utilisateur M au bus CAN et de là aux autres unités d'appareils de commande et l'opération d'authentification est interrompue sans que le véhicule
soit déverrouillé ou que le verrou de départ soit sup-
primé. Dans le cas contraire, l'information de code de fonction est ensuite interrogée pour savoir s'il s'agit
d'une opération d'authentification normale ou d'une opé-
ration de diagnostic, par exemple pour le traitement
d'une erreur.
S'il s'agit d'une tentative normale d'authenti- fication, pour laquelle a été effectué un contrôle
d'identification, la valeur originale mi emise, est en-
voyée, en tant que partie de l'information de code d'uti-
lisateur M transmise, par la commande de fermeture et à travers le bus CAN à tous les appareils de commande 2 participants, o cette valeur est dirigée vers l'unité 14 de génération de valeurs de fonction hash et vers la porte 15. L'unité 14 calcule la valeur de fonction hash m' appartenant à la valeur originale mi amenée et la transmet comme information d'autorisation réelle m' au comparateur 17 ainsi qu'à la deuxième porte 18. Le numéro de clé IDj coordonné est déterminé entretemps à l'aide
des données d'identification IDS contenues dans l'infor-
mation de code d'utilisateur M et la valeur mi+1 mémori-
sée à l'emplacement coordonné de la mémoire 16 d'informa-
tions d'autorisation de consigne, est extraite et appli-
quée à l'autre entrée du comparateur 17. Cette valeur
mi+l correspond à l'information de valeur originale ame-
née pour la dernière authentification réussie avec cette même unité de clé 1. Si le comparateur 17 constate qu'il y a concordance entre l'information d'autorisation réelle et l'information d'autorisation de consigne (m' = mi+l), il génère le signal de permission d'utilisation SF qui, d'une part, en tant que signal de commande renvoyé à la
porte 15, déclenche le recouvrement du contenu de l'em-
placement de mémoire concerné par la valeur originale mi amenée lors de cette authentification et, d'autre part, provoque, ensemble avec l'information de permission
d'utilisation générée simultanément dans les autres appa-
reils de commande participants, la suppression complète du verrou de départ électronique, du fait que tous les appareils de commande sont ramenés à leur état d'aptitude
au fonctionnement. S'il s'agit d'économiser de la capa-
cité de mémoire dans quelques unités d'appareils, on peut prévoir d'y mémoriser seulement une partie, 2 octets par exemple, de toute l'information d'autorisation de consigne mi+1 et de seulement comparer cette partie avec la partie correspondante de la valeur de fonction hash m' dans le bloc comparateur 17. Afin d'exclure néanmoins un
désarmement défectueux du verrou de départ, ce qui pour-
rait se produire en raison de la comparaison réduite, surtout si l'étendue de capture est grande, on conserve pour au moins une unité d'appareil, par exemple pour l'appareil de commande de fermeture, la comparaison de
code complète, dont le résultat est transmis aux appa-
reils opérant une comparaison abrégée, appareils dans lesquels la génération de l'information de permission
d'utilisation est couplée à la présence d'un résultat po-
sitif de la comparaison de code complète.
Si le bloc à fonction de comparateur 17 constate en revanche une nonconcordance, il envoie - à condition que le nombre des non-concordances successives n'ait pas encore dépassé l'étendue de capture couvrant un
nombre N de répétitions possibles - un signal de non-
concordance NU a la porte 18, laquelle retourne ensuite la valeur de fonction hash m' générée côté appareil à
l'entrée de l'unité 14 de génération de valeurs de fonc-
tion hash, laquelle unité opère après cela, avec cette valeur d'entrée m', une nouvelle formation de valeur de fonction hash, dont le résultat est ensuite appliqué en tant que nouvelle information d'autorisation réelle au comparateur 17. Cette génération récursive de valeurs de fonction hash est poursuivie jusqu'à ce que, ou bien le comparateur 17 constate la concordance entre l'une des informations d'autorisation réelles produites l'une après l'autre avec l'information d'autorisation de consigne mi+l présente, après quoi le processus est poursuivi comme indiqué plus haut, ou alors le nombre de répétitions de boucle ait atteint le nombre maximal N préfixé par l'étendue de capture, par exemple N = 100 000, à la suite de quoi l'opération d'authentification est interrompue du fait qu'elle n'est pas justifiée, avec maintien du verrou de départ, à moins qu'une nouvelle information de code d'utilisateur avec des données d'identification correctes arrive, ce qui est suivi de la remise à zéro du compteur de boucles et de la poursuite de la génération de valeurs de fonction hash
avec la valeur originale nouvellement transmise.
Comme déjà brièvement expliqué dans ce qui pré-
cède, l'étendue de capture a pour but de rétablir la syn-
chronisation entre le côté clé et le côté véhicule -
après qu'elle a été perdue par un ou plusieurs actionne-
ments de clé sans contact de réception côté véhicule pour le protocole d'émission concerné - du fait que le côté
véhicule est rajusté sur la valeur originale, apparue en-
tretremps dans la clé 1, au moyen d'une formation succes-
sive de fonction hash, le nombre de fois nécessaire, à
l'intérieur de l'étendue de capture. Si l'étendue de cap-
ture N a été choisie pour correspondre exactement à la
puissance n de la suite de valeurs originales, la syn-
chronisation pour une clé autorisante peut toujours être rétablie. En raison de la propriété, typique aux valeurs de fonction hash, selon laquelle les valeurs de fonction
sont supposées réparties pratiquement avec la même proba-
bilité sur toute l'étendue de valeurs, ainsi qu'en raison
du fait que même en cas d'utilisation d'un algorithme ré-
duit avec des valeurs de 8 octets, environ 1020 valeurs
de fonction sont possibles, il est très peu vraisem-
blable, également avec une étendue de capture de la gran-
deur N = 105, qu'une tierce personne non autorisée, même si, d'une manière quelconque, elle avait réussi à passer le contrôle d'identification, parvienne, par l'émission à titre d'essais de valeurs de fonction originales, à
l'aide également de l'étendue de capture, à une authenti-
fication couronnée de succès. Il est à noter à cet égard que des tentatives relativement nombreuses de ce type pourraient éventuellement être empêchées par une fenêtre fixant un temps ou un nombre de tentatives adéquat et à l'intérieur de laquelle une authentification justifiée doit se produire, sinon l'utilisation du véhicule reste bloquée si d'autres tentatives d'authentification sont effectuées. Un tel blocage pourrait être conçu pour qu'il soit seulement déverrouillable à travers l'interface de diagnostic 19 par le constructeur du véhicule par exemple. Il va de soi que le fonctionnement du dispositif de sûreté de véhicule se déroule de façon analogue à ce qui vient d'être décrit pour n'importe quelle opération supplémentaire d'authentification, ainsi que pour
d'autres unités de clés.
Le choix d'une étendue de capture dont la gran-
deur correspond à la puissance (nombre cardinal) de la
suite de valeurs originales n, de sorte que N = n, pro-
cure d'autre part une possibilité très commode pour fa-
briquer une clé de rechange. Comme mentionné précédem-
ment, la valeur originale de départ mo a été générée chez le fabricant de clés SH par de fréquentes formations de valeurs de fonction hash à partir d'une valeur aléatoire
initiale ro spécifique à la clé, par exemple par une ap-
plication à T reprises, c'est-à-dire mo = HT(ro), o T égale 400 000 par exemple. S'il s'agit de fournir une clé de rechange, elle est initialisée chez le fabricant de clés SH comme la clé d'origine, sauf que, partant de la même valeur aléatoire initiale ro comme valeur originale
de départ mo', cette dernière est choisie égale à HT-
N(ro). Ensuite, on effectue à l'aide de cette clé de re-
change un dialogue d'authentification avec le véhicule.
Dans ce but, la clé de rechange émet d'abord la valeur x = H(m'n-1) = Hn-l(mO') = HT-i(ro) au véhicule. Cependant, cette valeur est comprise avec certitude dans l'étendue
de capture du côté véhicule car il découle de ce qui pré-
cède que HN(x) = HT+N-1(ro) = HN-l(mo). La clé de rechange est ainsi interprétée automatiquement comme une
clé autorisante par le premier dialogue d'authentifica-
tion par le biais de l'étendue de capture, de sorte que
la valeur actuelle transmise (x) est en même temps re-
prise dans la mémoire 16 des informations d'autorisation de consigne côté véhicule. Or, la clé d'origine est ainsi rendue automatiquement et simultanément non valable puisque ses valeurs se trouvent avec certitude en dehors de l'étendue de capture de la nouvelle valeur originale (x). Une opération particulière de blocage pour la clé d'origine, qui a été perdue par exemple, devient ainsi inutile. Cette facon de procéder permet d'authentifier
l'une après l'autre un nombre T/N de clés de remplace-
ment. Comme exemple concret, si T = 400 000 et N = n = 000, on obtient une mise à disposition de quatre clés utilisables l'une après l'autre et ayant le même numéro de clé. Bien entendu, suivant les besoins, la réalisation d'une clé de remplacement est possible aussi sur place par application d'une procédé de codage supplémentaire, par exemple du procédé asymétrique à signature RSA, qui est connu dans la cryptographie (décrit dans l'annexe C de ISO/IEC JTC1/SC20/WG N 115, DIS 9594-8, Gloucester,
novembre 1987) ou du procédé symétrique DES (data encryp-
tion standard), surtout lorsque l'étendue de capture est
choisie plus petite que la puissance de la suite de va-
leurs originales et que, de ce fait, la technique décrite précédemment pour la réalisation d'une clé de rechange
n'est pas possible. On peut envisager en plus une réali-
sation de clés de remplacement à travers l'interface de
diagnostic 19 et au moyen de la mémoire 20 pour les fonc-
*tions particulières.
Le dispositif de sûreté pour véhicule qui vient
d'être décrit, procure par conséquent une sûreté peu oné-
reuse et offrant une protection relativement haute contre l'utilisation non autorisée du véhicule par un tiers, avec laquelle en particulier la mémorisation protégée d'informations de code secrètes côté véhicule peut être supprimée, ce qui autorise l'incorporation d'un grand nombre d'unités d'appareils du véhicule sans que cela pose des problèmes logistiques pour la sûreté. De plus,
une communication bidirectionnelle dispendieuse des don-
nées entre le côté clé et le côté véhicule n'est pas
obligatoirement nécessaire. On peut encore noter, en par-
ticulier, que 64 bits suffisent pour le code de fonction hash et que, de ce fait, le temps de transmission ainsi que la dépense technique pour les calculs sont nettement
plus faibles que dans le cas d'une utilisation - conce-
vable aussi - du procédé RSA lequel, en tant que procédé
de cryptage asymétrique, demande également une mémorisa-
tion unilatérale seulement d'une information secrète, mais possède une importante longueur de mot, de 512 bits,
et nécessite par conséquent, en tenant compte des capaci-
tés de calcul existant sur un véhicule, de longues durées
de calcul et de transmission.
Il va de soi que pour l'exemple qui vient d'être décrit, on a seulement mentionné les unités et opérations essentielles à l'invention et que, àcôté d'elles, des unités et des déroulements de fonctionnement
usuels sont prévus, et que l'homme de métier peut effec-
tuer, dans le cadre de l'invention, un grand nombre de modifications de ce mode de réalisation. Il est possible par exemple d'utiliser une autre fonction à sens unique, d'apporter des changements spécifiques à l'application des exemples chiffrés concrets indiqués, de renoncer au
contrôle d'identification et/ou à la possibilité de fonc-
tions particulières, ou d'utiliser un système de cartes à
puce à la place d'une transmission de signaux infra-
rouges. De plus, l'invention peut être mise en oeuvre sous la forme d'un système avec un échange bidirectionnel de données d'authentification dans lequel, par exemple, une information de nombre aléatoire est émise depuis le véhicule à l'unité de clé, retransmise après avoir été soumise à une opération OU exclusif avec l'information de valeur originale, puis comparée pour déterminer s'il y a concordance. Une telle réalisation empêche qu'une per-
sonne non autorisée, possédant temporairement une clé au-
torisante, puisse produire, à partir de celle-ci, des in-
formations de code d'utilisateur successives et, à l'aide de cette double clé, s'authentifier avec succès vis-à-vis
du véhicule.

Claims (10)

REVENDICATIONS
1. Dispositif de sûreté pour véhicule à codage électronique d'autorisation d'utilisation, comprenant - une unité de clé (1) côté utilisateur pour émettre successivement des informations de code d'utilisateur (M) différentes entre elles, et - une unité d'appareil (2) côté véhicule pour recevoir l'information de code d'utilisateur émise chaque fois par une unité de clé, pour déterminer une information
d'autorisation réelle (m') dépendante de l'informa-
tion de code d'utilisateur reçue et la comparer avec une information d'autorisation de consigne (mi+l) présente côté véhicule, ainsi que pour générer une information de permission d'utilisation (SF) suivant le résultat de cette comparaison, caractérisé en ce que - les informations de code d'utilisateur (M), émises successivement, contiennent une valeur originale (mi) pour une fonction à sens unique (H), - l'information d'autorisation de consigne (mi+1) est chaque fois la valeur de fonction à sens unique (mi+1 = H(mi) de la valeur originale (mi) contenue dans une information de code d'utilisateur coordonnée et - la détermination de l'information d'autorisation
réelle (m'), à partir de l'information de code d'uti-
lisateur (M) reçue, comporte la formation de la va-
leur de fonction à sens unique (H(mi)) de la valeur originale (mi) contenue dans l'information de code
d'utilisateur reçue.
2. Dispositif de sûreté pour véhicule selon la revendication 1, caractérisé en outre en ce que
- les valeurs originales émises successivement repré-
sentent une séquence (mO,..., mn-1) qui résulte de l'application répétée de la fonction à sens unique (H), ces valeurs originales étant utililisées, pour la formation des informations de code d'utilisateur successives, dans un ordre de succession inversé par rapport à la formation de la séquence, et - l'information d'autorisation de consigne consiste chaque fois en la valeur originale (mi+l) émise la dernière fois, ensemble avec l'information de code d'utilisateur, pour une opération de contrôle de
l'autorisation d'utilisation ayant eu un résultat po-
sitif avec la même unité de clé (1).
3. Dispositif de sûreté pour véhicule selon la
revendication 2, caractérisé en outre en ce que des élé-
ments consécutifs sélectionnés de la séquence (mo,..., mn-1), servant de points d'appui, ainsi qu'une séquence partielle chaque fois actuelle entre deux points d'appui, sont mémorisés dans une mémoire de valeurs originales (3) de l'unité de clé (1), une séquence partielle actuelle
suivante étant au plus tard générée chaque fois et mémo-
risée à la place de celle utilisée jusqu'alors quand la
dernière valeur originale de la séquence partielle utili-
sée jusqu'alors a été émise.
4. Dispositif de sûreté pour véhicule selon la revendication 2 ou 3, caractérisé en outre en ce que, chaque fois après un résultat négatif de la comparaison des informations d'autorisation réelle et de consigne,
une nouvelle information d'autorisation réelle est déter-
minée, pour un nombre maximal (N) préfixé de répétitions,
en tant que valeur de fonction à sens unique de l'infor-
mation d'autorisation réelle utilisée jusqu'alors et
cette nouvelle information est comparée avec l'informa-
tion d'autorisation de consigne.
5. Dispositif de sûreté pour véhicule selon une
des revendications 2 à 4, caractérisé en outre en ce
que des unités de clés de remplacement, applicables successivement, sont prévues pour l'unité de clé (1), les valeurs originales d'une unité de clé utilisable ensuite formant une séquence partielle (mv-n,..., mv- 1), située directement devant la séquence de valeurs originales (mv,..., mv+n-1) d'une unité de clé précédente, séquence partielle qui fait partie d'une séquence totale (ro,..., HT(r0)) générée par formation répétée de valeurs de fonction à sens unique (HT(r0)) à partir d'une valeur de départ (ro) mémorisée de façon
centrale et spécifique à un numéro de clé.
6. Dispositif de sûreté pour véhicule selon une
des revendications 1 à 5, caractérisé en outre en ce que
la fonction à sens unique utilisée est une fonction cryp-
tographique parasite appelée fonction hash, en particu-
lier la fonction RIPEMD.
7. Dispositif de sûreté pour véhicule selon une
des revendications 1 à 6, caractérisé en outre en ce
qu'une pluralité d'unités d'appareils (2) côté véhicule est agencée parallèlement pour déterminer chaque fois
l'information d'autorisation réelle à partir d'une infor-
mation de code d'utilisateur reçue et pour la comparer avec l'information d'autorisation de consigne, ainsi que pour générer une information de permission d'utilisation
en fonction du résultat de la comparaison.
8. Dispositif de sûreté pour véhicule selon une
des revendications 1 à 7, caractérisé en outre en ce que
l'appareil de commande de fermeture du véhicule forme une
unité d'appareil côté véhicule du dispositif de sûreté.
9. Dispositif de sûreté pour véhicule selon une
des revendications 1 à 8, caractérisé en outre en ce que
- l'information de code d'utilisateur (M) émise chaque
fois, contient une information d'identification spé-
cifique au véhicule et une information d'identifica-
tion spécifique à la clé et - l'information d'identification d'une information de
code d'utilisateur reçue est exploitable préalable-
ment dans une unité d'appareil (2) côté véhicule,
l'opération de contrôle de l'autorisation d'utilisa-
tion étant interrompue après la reconnaissance de
données d'identification émises qui ne sont pas auto-
risantes.
10. Dispositif de sûreté pour véhicule selon une
des revendications 1 à 9, caractérisé en outre en ce que
- plusieurs unités de clés autorisantes sont prévues
côté utilisateur pour un véhicule, unités qui émet-
tent des suites différentes de valeurs originales (mi), - les informations de code d'utilisateur (M) émises
contiennent chaque fois une information d'identifica-
tion de clé (IDj) et - dans chaque unité d'appareil (2) participante côté véhicule, peut être mémorisée, pour chaque unité de
clé, une information d'autorisation de consigne spé-
cifique, dans une mémoire (16) qui est adressable à l'aide de l'information d'identification de clé et
d'o cette information d'autorisation peut être ex-
traite.
FR9503765A 1994-04-01 1995-03-30 Dispositif de sûreté contre le vol à codage électronique d'autorisation d'utilisation pour véhicule. Expired - Fee Related FR2718090B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE4411449A DE4411449C1 (de) 1994-04-01 1994-04-01 Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung

Publications (2)

Publication Number Publication Date
FR2718090A1 true FR2718090A1 (fr) 1995-10-06
FR2718090B1 FR2718090B1 (fr) 1998-02-13

Family

ID=6514483

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9503765A Expired - Fee Related FR2718090B1 (fr) 1994-04-01 1995-03-30 Dispositif de sûreté contre le vol à codage électronique d'autorisation d'utilisation pour véhicule.

Country Status (6)

Country Link
US (1) US5619573A (fr)
JP (1) JP2694724B2 (fr)
DE (1) DE4411449C1 (fr)
FR (1) FR2718090B1 (fr)
GB (1) GB2288262B (fr)
IT (1) IT1278476B1 (fr)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4411450C1 (de) * 1994-04-01 1995-03-30 Daimler Benz Ag Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung
DE4411449C1 (de) * 1994-04-01 1995-03-16 Daimler Benz Ag Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung
DE4411451C1 (de) * 1994-04-01 1995-05-04 Daimler Benz Ag Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung
NL1001376C2 (nl) * 1995-05-11 1996-11-12 Nederland Ptt Werkwijze voor het uitvoeren van een elektronische betalingstransactie met een variabel aantal betalingseenheden, alsmede betaalmiddel en stelsel voor toepassing van de werkwijze.
EP0743602B1 (fr) * 1995-05-18 2002-08-14 Hewlett-Packard Company, A Delaware Corporation Mise en circuit pour contrôler l'utilisation des fonctions dans un circuit intégré semi-conducteur
EP0743603B1 (fr) * 1995-05-18 2002-10-02 Hewlett-Packard Company, A Delaware Corporation Circuit intégré semi-conducteur pour la protection de plusieurs ressources dans un ensemble électronique
DE29509742U1 (de) * 1995-06-14 1995-08-24 Siemens Ag Datenverarbeitungsanlage mit Infrarot-Datenübertragungsschnittstelle und Benutzungskontrollvorrichtung
FR2741465B1 (fr) * 1995-11-20 1997-12-19 Bull Sa Procede d'authentification d'un utilisateur travaillant dans un environnement distribue en mode client/serveur
US6088450A (en) * 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US5938706A (en) * 1996-07-08 1999-08-17 Feldman; Yasha I. Multi element security system
DE19632025C2 (de) * 1996-08-08 1998-07-23 Daimler Benz Ag Authentikationseinrichtung mit elektronischer Authentikationskommunikation
JP2000506947A (ja) * 1996-11-29 2000-06-06 モトローラ・インコーポレイテッド リモート・キーレス・エントリ・システムのための認証システムおよび方法
US5978483A (en) * 1997-04-07 1999-11-02 Inkel Corporation Securely encrypted remote keyless entry system
JP3244023B2 (ja) * 1997-06-19 2002-01-07 トヨタ自動車株式会社 車両用キー装置、車両機関始動制御方法及び車両用キーシステム
JP3427694B2 (ja) 1997-09-19 2003-07-22 日産自動車株式会社 車両用セキュリティ装置
DE29718319U1 (de) * 1997-10-16 1998-01-22 Feig Electronic Gmbh Verschleißfreie programmierbare elektronische Schließvorrichtung
DE19945660B4 (de) * 1999-09-23 2004-03-25 Siemens Ag System zur Fernbedienung eines Verbrennungsmotors
DE10033722A1 (de) * 2000-07-12 2002-02-14 Werner Dorsch Elektrisch betätigbare Wegfahrsicherung für ein Kraftfahrzeug
DE60225772T2 (de) * 2001-04-05 2009-05-14 Hitachi Construction Machinery Co., Ltd. Diebstahlsicherungssystem für baumaschinen
US7203317B2 (en) * 2001-10-31 2007-04-10 Hewlett-Packard Development Company, L.P. System for enabling lazy-revocation through recursive key generation
US20040008103A1 (en) * 2002-07-15 2004-01-15 Delphi Technologies, Inc. Vehicle security system
US20040088547A1 (en) * 2002-11-04 2004-05-06 Colnot Vincent Cedric Method and apparatus to secure online transactions over the phone
DE10352071A1 (de) * 2003-11-07 2005-06-23 Daimlerchrysler Ag Verfahren zur Erkennung von unberechtigten Komponententausch
DE10354517B4 (de) * 2003-11-21 2008-11-27 Daimler Ag Verfahren zum Betreiben eines Sicherheits-Schließsystems
EP1698097B1 (fr) 2003-12-15 2013-02-27 Nxp B.V. Dispositif d'autorisation d'exploitation pour applications liées a la securité
US7650509B1 (en) 2004-01-28 2010-01-19 Gordon & Howard Associates, Inc. Encoding data in a password
US20070194881A1 (en) 2006-02-07 2007-08-23 Schwarz Stanley G Enforcing payment schedules
US9026267B2 (en) 2007-03-09 2015-05-05 Gordon*Howard Associates, Inc. Methods and systems of selectively enabling a vehicle by way of a portable wireless device
DE102007012414A1 (de) 2007-03-15 2008-09-18 Daimler Ag Elektronisches Fahrzeugsicherungssystem
US8018329B2 (en) 2008-12-12 2011-09-13 Gordon * Howard Associates, Inc. Automated geo-fence boundary configuration and activation
US8686841B2 (en) 2008-12-12 2014-04-01 Gordon*Howard Associates, Inc. Methods and systems related to activating geo-fence boundaries and collecting location data
US8581712B2 (en) 2008-12-12 2013-11-12 Gordon * Howard Associates, Inc . Methods and systems related to establishing geo-fence boundaries
US8659404B2 (en) 2008-12-12 2014-02-25 Gordon Howard Associates, Inc. Methods and systems related to establishing geo-fence boundaries and collecting data
US8581711B2 (en) 2011-03-22 2013-11-12 Gordon*Howard Associates, Inc. Methods and systems of rule-based intoxicating substance testing associated with vehicles
US8781900B2 (en) 2011-09-09 2014-07-15 Gordon*Howard Associates, Inc. Method and system of providing information to an occupant of a vehicle
US9665997B2 (en) 2013-01-08 2017-05-30 Gordon*Howard Associates, Inc. Method and system for providing feedback based on driving behavior
US8928471B2 (en) 2013-03-14 2015-01-06 Gordon*Howard Associates, Inc. Methods and systems related to remote tamper detection
US9035756B2 (en) 2013-03-14 2015-05-19 Gordon*Howard Associates, Inc. Methods and systems related to remote tamper detection
US9378480B2 (en) 2013-03-14 2016-06-28 Gordon*Howard Associates, Inc. Methods and systems related to asset identification triggered geofencing
US9840229B2 (en) 2013-03-14 2017-12-12 Gordon*Howard Associates, Inc. Methods and systems related to a remote tamper detection
US9013333B2 (en) 2013-06-24 2015-04-21 Gordon*Howard Associates, Inc. Methods and systems related to time triggered geofencing
JP6411935B2 (ja) * 2015-04-03 2018-10-24 株式会社日立建機ティエラ 建設機械
US9710402B2 (en) * 2015-11-10 2017-07-18 Ford Global Technologies, Llc Method and apparatus for securing and controlling individual user data
US9701279B1 (en) 2016-01-12 2017-07-11 Gordon*Howard Associates, Inc. On board monitoring device
DE102017209961B4 (de) 2017-06-13 2022-05-25 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Authentisieren eines Nutzers an einem Fahrzeug
DE102018222864B3 (de) * 2018-12-21 2020-02-20 Volkswagen Aktiengesellschaft Verfahren zum Deaktivieren eines Kraftfahrzeugs, Deaktivierungssystem für ein Kraftfahrzeug und Kraftfahrzeug

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5191610A (en) * 1992-02-28 1993-03-02 United Technologies Automotive, Inc. Remote operating system having secure communication of encoded messages and automatic re-synchronization
DE4411449C1 (de) * 1994-04-01 1995-03-16 Daimler Benz Ag Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
DE2911828A1 (de) * 1979-03-26 1980-10-16 Vdo Schindling Verfahren zur drahtlos fernbedienbaren tuerverriegelung, insbesondere einer zentralverriegelung von kraftfahrzeugen und einrichtung zur durchfuehrung des verfahrens
FR2528201B1 (fr) * 1982-06-04 1985-12-27 Jacques Lewiner Perfectionnements aux dispositifs de telecommande a code
DE3225754A1 (de) * 1982-07-09 1984-01-12 Hülsbeck & Fürst GmbH & Co KG, 5620 Velbert Verfahren zur schliesswirksamen wechselwirkung eines schluesselartigen teils mit einem schlossartigen teil
DE3234539A1 (de) * 1982-09-17 1984-03-22 Siemens AG, 1000 Berlin und 8000 München Verfahren zur code-sicherung bei einem elektronischen schluessel
DE3313098C1 (de) * 1983-04-12 1984-10-11 Daimler-Benz Ag, 7000 Stuttgart Elektronisches Schloßsystem
US4786900A (en) * 1985-09-30 1988-11-22 Casio Computer Co. Ltd. Electronic key apparatus
JPH07118709B2 (ja) * 1987-01-16 1995-12-18 日本電信電話株式会社 秘密情報通信方式
JPH02152341A (ja) * 1988-12-05 1990-06-12 Mitsubishi Electric Corp ディジタル署名方式
JP2875019B2 (ja) * 1989-05-18 1999-03-24 シーメンス アクチエンゲゼルシャフト 送信機―受信機システム
AU7661091A (en) * 1990-04-06 1991-10-30 Siemens Aktiengesellschaft Central locking installation for a motor vehicle
US5144667A (en) * 1990-12-20 1992-09-01 Delco Electronics Corporation Method of secure remote access
GB9320767D0 (en) * 1993-10-08 1993-12-01 British Tech Group Vehicle security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5191610A (en) * 1992-02-28 1993-03-02 United Technologies Automotive, Inc. Remote operating system having secure communication of encoded messages and automatic re-synchronization
DE4411449C1 (de) * 1994-04-01 1995-03-16 Daimler Benz Ag Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LAMPORT L: "Password authentication with insecure communication", COMMUNICATIONS OF THE ACM, NOV. 1981, USA, vol. 24, no. 11, ISSN 0001-0782, pages 770 - 772, XP000577349 *
SHIMIZU A: "A dynamic password authentication method using a one-way function", SYSTEMS AND COMPUTERS IN JAPAN, 1991, USA, vol. 22, no. 7, ISSN 0882-1666, pages 32 - 40, XP000259339 *

Also Published As

Publication number Publication date
FR2718090B1 (fr) 1998-02-13
IT1278476B1 (it) 1997-11-24
DE4411449C1 (de) 1995-03-16
JPH07315169A (ja) 1995-12-05
GB9506279D0 (en) 1995-05-17
GB2288262A (en) 1995-10-11
ITRM950197A0 (it) 1995-03-29
ITRM950197A1 (it) 1996-09-29
JP2694724B2 (ja) 1997-12-24
US5619573A (en) 1997-04-08
GB2288262B (en) 1997-05-14

Similar Documents

Publication Publication Date Title
FR2718090A1 (fr) Dispositif de sûreté contre le vol à codage électronique d'autorisation d'utilisation pour véhicule.
FR2718091A1 (fr) Dispositif de sûreté contre le vol appliquant un codage électronique d'autorisation d'utilisation pour véhicule.
FR2718092A1 (fr) Dispositif de sûreté contre le vol utilisant un codage électronique d'autorisation d'utilisation pour véhicule.
EP2720199B1 (fr) Procédé sécurisé de commande d'ouverture de dispositifs de serrure à partir de messages mettant en oeuvre un cryptage symétrique
EP0055986B1 (fr) Procédé et dispositif de sécurité pour communication tripartite de données confidentielles
EP2306407B1 (fr) Système de gestion sécurisée de serrures à commande numérique, adapté à un fonctionnement par accréditations acoustiques chiffrées
EP3547270B1 (fr) Procédé de vérification d'une authentification biométrique
FR2597142A1 (fr) Systeme de serrure electronique cryptographique et procede de fonctionnement
EP1055203B1 (fr) Protocole de controle d'acces entre une cle et une serrure electronique
FR2704341A1 (fr) Dispositif de protection des clés d'une carte à puce.
EP0317400B1 (fr) Dispositif et procédé de sécurisation d'échange de données entre un terminal vidéotex et un serveur
FR2685510A1 (fr) Procede d'authentification, par un milieu exterieur, d'un objet portatif connecte a ce milieu par l'intermediaire d'une ligne de transmission, et systeme pour la mise en óoeuvre.
EP3125201A1 (fr) Procede de commande d'ouverture d'une serrure par code a usage unique
FR2678755A1 (fr) Telecommande a securite optimisee.
WO1991001428A1 (fr) Systeme de protection de documents ou d'objets enfermes dans un contenant inviolable
EP0880759B1 (fr) Procede pour faire autoriser par un serveur l'acces a un service a partir de dispositifs portatifs a microcircuits electroniques du type carte a memoire par exemple
FR2632469A1 (fr) Dispositif de communication securisee de donnees
FR2685525A1 (fr) Commande a distance pour un moyen de man oeuvre, en particulier pour un vehicule automobile.
EP3262553A1 (fr) Procede de transaction sans support physique d'un identifiant de securite et sans jeton, securise par le decouplage structurel des identifiants personnels et de services
WO2012093215A1 (fr) Dispositif et procede de tracage
EP1126419B1 (fr) Procédé et dispositif d'authentification sécurisé d'une personne, par détection d'une caractéristique biométrique, pour une autorisation d'accès
FR2730076A1 (fr) Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants
FR2748144A1 (fr) Procede de transmission securisee entre un emetteur et un recepteur, emetteur et recepteur pour la mise en oeuvre du procede
FR2566155A1 (fr) Procede et systeme pour chiffrer et dechiffrer des informations transmises entre un dispositif emetteur et un dispositif recepteur
FR2913551A1 (fr) Methode d'authentification mutuelle et recurrente sur internet.

Legal Events

Date Code Title Description
TP Transmission of property
ST Notification of lapse