PROCEDE DE SECURISATION D'UNE COMMUNICATION POUR UN SYSTEMEMAINS-LIBRES D'ACCES ET DE DEMARRAGE POUR VEHICULE AUTOMOBILE, ETMETHOD FOR SECURING A COMMUNICATION FOR A HANDS-FREE ACCESS AND STARTING SYSTEM FOR A MOTOR VEHICLE, AND
IDENTIFIANT PORTATIF
La présente invention concerne un procédé de sécurisation d'une communication pour un système mains-libres permettant l'accès à un véhicule automobile et le démarrage de ce véhicule, ainsi qu'un identifiant portatif d'un système mains-libres associé.
Dans un système d'accès dit "mains-libres" à un véhicule automobile, il est connu d'établir un échange à distance de données entre un dispositif de reconnaissance installé dans le véhicule automobile et un identifiant, ou badge, destiné à être porté par un utilisateur, l'accès n'étant autorisé que lorsque le dispositif de reconnaissance a authentifié l'identifiant. L'opération d'authentification, consistant par exemple en l'échange d'un signal d'interrogation émis par le dispositif de reconnaissance, suivi d'un signal de réponse émis par lidentifiant, est généralement initiée suite à une détection de présence de l'utilisateur (appui sur un bouton de commande situé sur la portière, ou sur une poignée, ou alors détection de l'approche d'un utilisateur par un capteur).
Toutefois, un tel système d'accès court le risque d'être piraté par un ensemble d'émission-réception intercalé dans la communication sans fil entre le dispositif de reconnaissance et l'identifiant, cet ensemble d'émission/réception servant, en fait, uniquement de répéteur.
Par exemple, deux malfaiteurs pourraient obtenir l'accès à l'espace clos de la manière suivante : Un premier malfaiteur, équipé d'un système d'émission/réception caché par exemple dans une sacoche, s'approche du véhicule fermé que vient de quitter un utilisateur autorisé, tandis qu'un second malfaiteur, équipé d'un système d'émission-réception semblable à celui du premier malfaiteur, suit l'utilisateur autorisé portant l'identifiant. Lorsque l'utilisateur autorisé est suffisamment éloigné, le premier malfaiteur déclenche une opération d'authentification. Des signaux d'interrogation émis par le dispositif de reconnaissance sont relayés par le système d'émission-réception du premier malfaiteur vers le système du second malfaiteur, qui répète les signaux du dispositif de reconnaissance vers l'identifiant.Ce dernier va alors répondre par le code autorisé, qui est retransmis par le système répéteur jusqu'au dispositif de reconnaissance. Tout se passe pour le dispositif de reconnaissance comme s'il avait reçu une réponse valable, alors que l'identifiant est en fait loin du véhicule. Le dispositif de reconnaissance va par suite autoriser le déverrouillage des serrures et donner accès au malfaiteur.
Lorsque le système mains-libres est utilisé également pour autoriser le démarrage du véhicule, une seconde authentification est généralement effectuée par un nouveau dialogue entre le système d'identification et l'identifiant, ce dialogue étant initié par exemple lors de l'appui sur un bouton de démarrage à l'intérieur de l'habitacle, et/ou par l'insertion de l'identifiant dans un lecteur. Généralement, les contraintes de sécurité sont plus élevées en ce qui concerne le démarrage du véhicule, de sorte que les signaux échangés présentent en général plus de robustesse (par chiffrement notamment) que les signaux échangés lors de la tentative d'accès.Néanmoins, cette sécurisation par chiffrement n'est d'aucune utilité contre le piratage par relais interposés, et une autorisation frauduleuse de démarrage peut très bien être obtenue sans même une trace d'effraction alors que le véritable utilisateur autorisé muni de son identifiant s'est éloigné de son véhicule.
Pour pallier ce problème de piratage par relais interposés, de nombreuses solutions ont déjà été proposées. La plupart des solutions cherchent à mettre en évidence une durée de dialogue anormalement longue entre l'instant où le dispositif d'identification émet un signal d'interrogation, et l'instant où il reçoit un signal de réponse émis par l'identifiant, les relais introduisant nécessairement un retard dans la transmission.
La présente invention a pour but de présenter une nouvelle solution visant à réduire au maximum le risque de vol de voiture par relais pour tout système mainslibres permettant à la fois l'accès et le démarrage d'un véhicule automobile.
La présente invention part du constat que, pour éviter un vol du véhicule automobile, il est inutile de renforcer la sécurité au niveau de l'accès seul à ce véhicule. En effet, quelque soit le degré de sophistication donné, un malfaiteur peut toujours pénétrer dans un véhicule, fusse en dégradant les accès (portes, vitres...). En revanche, il est essentiel de renforcer le contrôle au démarrage, et c'est ce que se propose de faire la présente invention.
Plus précisément, la présente invention a pour objet un procédé de sécurisation d'une communication pour un système mains-libres équipant un véhicule automobile, du type comportant un dispositif d'identification au niveau du véhicule et un identifiant portatif destiné à être porté par un utilisateur autorisé, le procédé de sécurisation étant du type comportant : - Une première phase d'authentification pour l'accès au véhicule automobile lors de laquelle le dispositif d'identification émet un premier signal d'interrogation, et l'identifiant, sur réception du premier signal d'interrogation, émet un premier signal de réponse en vue d'une authentification pour autorisation d'accès au véhicule ;- Une deuxième phase d'authentification pour le démarrage du véhicule automobile lors de laquelle le dispositif d'identification émet un deuxième signal d'interrogation, et l'identifiant, sur réception du deuxième signal d'interrogation, émet un deuxième signal de réponse en vue d'une authentification pour autorisation de démarrage de véhicule ; le procédé étant caractérisé en ce qu'il consiste à évaluer une donnée représentative de la distance parcourue par l'identifiant et/ou du changement d'orientation de l'identifiant entre un premier instant To de référence appartenant à la première phase d'authentification et un deuxième instant final Ti appartenant à la deuxième phase d'authentification, et autoriser ou non le démarrage du véhicule selon que la donnée évaluée se situe dans un intervalle de valeurs prédéfinies.
De manière préférentielle, la donnée est évaluée à partir d'une pluralité de mesures successives faites par un détecteur inertiel (accéléromètre pour la distance et gyroscope pour l'orientation) situé au niveau de l'identifiant portatif.
L'invention a également pour objet un identifiant portatif d'un système mainslibres pour la mise en u̇vre du procédé, caractérisé en ce qu'il comporte au moins un détecteur inertiel délivrant une pluralité de mesures entre l'instant de référence To et l'instant final T1, lesdites mesures étant utilisées pour l'évaluation de ladite donnée.
L'invention sera mieux comprise au vu de la description suivante d'un exemple préférentiel mais non limitatif, faite en référence aux figures annexées dans lesquelles : - les figures 1 et 2 illustrent schématiquement les composantes d'un système mains-libres de véhicule automobile respectivement lors d'une phase d'authentification pour l'accès au véhicule et lors d'une phase d'authentification pour le démarrage ; - les figures 3a à 3d illustrent temporellement le fonctionnement d'un système conforme à la présente invention ; - la figure 4 illustre sous forme de synoptique simplifié un identifiant portatif permettant la mise en u̇vre du procédé selon l'invention dans son mode d'implémentation préférentiel.
Sur les figures 1 et 2, on a représenté schématiquement un véhicule automobile V équipé d'un système de sécurisation mains-libres de l'accès et du démarrage du véhicule, comprenant un équipement 1 monté à bord du véhicule V et adapté pour l'échange de signaux électromagnétiques avec un dispositif portatif 2 dans au moins une zone Z prédéfinie.
Plus précisément, le dispositif portatif 2 est un identifiant et l'équipement 1 à bord du véhicule est un dispositif d'identification chargé d'authentifier l'identifiant préalablement à une quelconque autorisation. L'authentification consiste en ce que l'identifiant 2 génère, sur réception d'un signal d'interrogation émis par l'équipement 1, au moins un signal de réponse contenant un code d'identification. La communication entre le dispositif d'identification 1 et l'identifiant 2 s'effectue soit à basses fréquences, typiquement à 125 KHz, soit en radiofréquences (de l'ordre de 433 MHz par exemple), soit par une combinaison basses fréquences/radiofréquences (généralement en basse fréquence pour la liaison dite ascendante, à savoir du véhicule vers l'identifiant, et en radiofréquences pour la liaison dite descendante).
Dans le cas plus spécifique de la figure 1, on a représenté schématiquement une situation d'accès au véhicule V, dans laquelle un utilisateur porteur de l'identifiant 2 se trouve à l'extérieur du véhicule. La phase d'authentification pour l'accès est initiée par exemple au moment où l'utilisateur saisit la poignée de l'ouvrant 3 du véhicule V, celleci étant munie d'un capteur d'approche ou d'un bouton de commande. Ce moment constitue un premier instant To dit de référence (voir figure 3a), lors duquel le dispositif d'identification 1 situé à bord du véhicule va émettre dans la zone Z un premier signal d'interrogation S10 par voie hertzienne (voir figure 3b). Sur réception de ce signal d'interrogation, l'identifiant portatif va retourner, de façon classique, un signal de réponse S20 (voir figure 3d).Ce signal de réponse comprend un code d'identification que le dispositif d'identification va pouvoir comparer avec les données qu'il a en mémoire. En cas de coïncidence entre le code d'identification et les données mémorisées, un ordre de décondamnation de l'ouvrant 3 (voire de l'ensemble des ouvrants) est donné au niveau du véhicule, de sorte que l'utilisateur peut entrer dans son véhicule (voir figure 3d).
Lorsque l'utilisateur est dans son véhicule, comme illustré sur la figure 2, une seconde phase d'authentification va être nécessaire pour permettre le démarrage. Cette seconde phase d'authentification est initiée par exemple au moment où l'utilisateur appuie sur ou tourne un bouton de démarrage dédié non représenté. Ce moment constitue un deuxième instant T1 dit final (voir figure 3a), lors duquel le dispositif d'identification 1 situé à bord du véhicule va émettre dans la zone Z (ou dans une zone différente restreinte à l'intérieur de l'habitacle) un deuxième signal d'interrogation S11 par voie hertzienne (voir figure 3b). Sur réception de ce signal d'interrogation, l'identifiant portatif va retourner également un signal de réponse S21 (voir figure 3d).Ce signal de réponse comprend un code d'identification, généralement chiffré, que le dispositif d'identification va pouvoir comparer avec les données qu'il a en mémoire.
Selon le mode de réalisation préférentiel de l'invention, entre l'instant de référence To et l'instant final T1, plusieurs mesures successives d'accélération relative de l'identifiant ou d'orientation relative de l'identifiant sont faites au niveau de l'identifiant et intégrées de manière à évaluer une donnée représentative soit de la distance parcourue par l'identifiant, soit du changement d'orientation subi par cet identifiant entre les instants To et T1 . La donnée évaluée (distance ou changement d'orientation) est alors transmise par l'intermédiaire d'un signal hertzien (signal S22 sur figure 3d).Le dispositif d'identification, sur réception de cette donnée, ne va autoriser le démarrage que si les deux conditions suivantes sont réunies : - le code d'identification contenu dans le signal S21 a été authentifié ; - la donnée évaluée (distance ou changement d'orientation) contenue dans le signal S22 se situe dans un intervalle de valeurs prédéfinie.
On sait notamment que si la donnée évaluée, lorsqu'elle est représentative de la distance, est nulle, on est très certainement dans le cas d'une tentative de vol par relais, le véritable identifiant étant éloigné du véhicule et statique (par exemple posé sur une table, dans un sac, ...). Au contraire, une tentative d'accès puis de démarrage par le porteur d'un identifiant autorisé se traduira nécessairement par l'évaluation d'une distance non nulle, puisque l'utilisateur s'est nécessairement déplacé avec son identifiant entre le moment où il était situé à l'extérieur du véhicule près de l'ouvrant 3 (cas de la figure 1), et le moment où il s'est assis pour démarrer le véhicule.Si enfin la donnée évaluée, lorsqu'elle est représentative de la distance, est supérieure à une distance limite (dépendant du véhicule), on est très certainement également dans une situation d'une tentative de vol par relais, le véritable identifiant s'éloignant avec son détenteur.
Le raisonnement est du même type lorsque l'on s'intéresse au changement d'orientation de l'identifiant entre les deux instants To et T1. En effet, il est quasiment impossible que l'identifiant n'ait pas du tout changé d'orientation entre le moment To où l'utilisateur est situé à l'extérieur du véhicule près de l'ouvrant 3 (cas de la figure 1), et le moment T1 où il s'assoit pour démarrer le véhicule. En conséquence, si le changement d'orientation évalué s'avère être nul, on est très certainement dans le cas d'une tentative de vol par relais, le véritable identifiant étant éloigné du véhicule et statique (par exemple posé sur une table, dans un sac, ...).
On a représenté sur la figure 4 un synoptique simplifié d'un identifiant permettant de mettre en u̇vre le procédé de sécurisation selon le mode de réalisation préférentiel de l'invention. Dans l'exemple illustré, l'identifiant portatif 2 comporte classiquement une antenne d'émission/réception 21 associée à un émetteur/récepteur 22 pour permettre d'une part, la réception de signaux hertziens du type des signaux d'interrogation émis par le dispositif d'identification 1 situé à bord du véhicule, et d'autre part à l'élaboration de signaux hertziens à émettre. Bien entendu, on pourrait également utiliser deux antennes distinctes, l'une pour la réception, l'autre pour l'émission.Conformément à l'invention, l'identifiant portatif 2 comporte en outre au moins un détecteur inertiel 24, ce détecteur inertiel étant plus précisément : - soit un accéléromètre lorsqu'on s'intéresse à la distance parcourue. Dans ce cas, l'accéléromètre fournit, entre les instants To et T1 des mesures successives d'accélération relative de l'identifiant, lesquelles permettent d'évaluer, lorsqu'elles sont doublement intégrées dans le temps, une donnée représentative de la distance parcourue par l'identifiant entre ces deux instants ; - soit un gyroscope qui fournit, entre les instants To et T1 des mesures successives d'orientation relative de l'identifiant, ce qui va permettre d'évaluer le changement d'orientation de l'identifiant entre ces deux instants.
Dans un mode de réalisation préférentiel, raccéléromètre présente trois axes sensibles et orthogonaux, de façon à ce que la donnée évaluée soit la plus représentative possible de la distance réellement parcourue par fidentifiant. On peut avoir cependant des résultats tout à fait satisfaisants, et à moindres coûts en utilisant un accéléromètre à deux axes orthogonaux situés dans le plan de lidentifiant. La donnée évaluée est alors la composante de la distance parcourue dans le plan de l'identifiant.
Le détecteur inertiel 24 est piloté par un microprocesseur 23, de même que l'émetteur/récepteur 22.
Le procédé de sécurisation qui vient d'être décrit dans son mode de réalisation préférentiel présente l'avantage d'être simple et peu coûteux à réaliser, notamment du fait que l'on ne cherche pas à mesurer des positions ou des orientations absolues de l'identifiant, mais seulement des données relatives par rapport à un repère non défini.
Différentes variantes à ce qui vient d'être décrit peuvent être réalisées sans sortir du cadre de la présente invention :
Sur la figure 3c, le signal S22 contenant la donnée évaluée (distance parcourue ou changement d'orientation) a été représenté comme un signal distinct du signal de réponse S21 servant à l'authentification, et émis postérieurement à ce signal de réponse. On pourrait envisager de se servir du même signal de réponse S21 pour véhiculer à la fois le code d'identification servant à l'authentification et la donnée évaluée. En outre, si l'on utilise des signaux distincts, on peut tout aussi bien envoyer d'abord le signal S22 contenant la donnée évaluée, puis le signal de réponse S21.
Par ailleurs, dans l'exemple représenté, la donnée (distance parcourue ou changement d'orientation) est évaluée au niveau de l'identifiant, puis envoyée dans un signal S22 On pourrait également envisager que les différentes mesures effectuées au niveau de l'identifiant soient envoyées successivement vers le dispositif d'identification 1 à bord du véhicule, lequel se chargerait alors d'évaluer la donnée.
Enfin, d'autres dispositifs plus coûteux, par exemple du type GPS, permettant d'évaluer la distance parcourue par l'identifiant entre la phase d'authentification pour l'accès et la phase d'authentification pour le démarrage pourraient être utilisés. On peut enfin envisager de combiner les évaluations de distance et de changement d'orientation.PORTABLE IDENTIFIER
The present invention relates to a method of securing a communication for a hands-free system allowing access to a motor vehicle and starting of this vehicle, as well as a portable identifier of an associated hands-free system.
In a so-called "hands-free" access system to a motor vehicle, it is known to establish a remote exchange of data between a recognition device installed in the motor vehicle and an identifier, or badge, intended to be worn. by a user, access being authorized only when the recognition device has authenticated the identifier. The authentication operation, consisting for example of the exchange of an interrogation signal emitted by the recognition device, followed by a response signal emitted by the identifier, is generally initiated following a detection of the presence of the 'user (pressing a control button located on the door, or on a handle, or detecting the approach of a user by a sensor).
However, such an access system runs the risk of being hacked by a transceiver assembly interposed in the wireless communication between the recognition device and the identifier, this transceiver assembly serving, in fact , only repeater.
For example, two criminals could gain access to the confined space as follows: A first criminal, equipped with a transmission / reception system hidden for example in a bag, approaches the closed vehicle that has just leave an authorized user, while a second criminal, equipped with a transmission-reception system similar to that of the first criminal, follows the authorized user carrying the identifier. When the authorized user is far enough away, the first perpetrator triggers an authentication operation. Interrogation signals sent by the recognition device are relayed by the transmission-reception system of the first criminal to the system of the second criminal, which repeats the signals of the recognition device towards the identifier. The latter will then respond by the authorized code, which is retransmitted by the repeater system to the recognition device. Everything happens for the recognition device as if it had received a valid response, while the identifier is in fact far from the vehicle. The recognition device will then authorize the unlocking of the locks and give access to the perpetrator.
When the hands-free system is also used to authorize the starting of the vehicle, a second authentication is generally carried out by a new dialogue between the identification system and the identifier, this dialogue being initiated for example when pressing on a start button inside the passenger compartment, and / or by inserting the identifier in a reader. Generally, the security constraints are higher with regard to starting the vehicle, so that the signals exchanged generally have more robustness (in particular by encryption) than the signals exchanged during the access attempt. Securing by encryption is of no use against piracy by interposed relays, and a fraudulent authorization to start can very well be obtained without even a trace of break-in when the real authorized user with his identifier has moved away from his vehicle.
To overcome this problem of piracy by interposed relays, many solutions have already been proposed. Most solutions seek to highlight an abnormally long dialogue time between the moment when the identification device sends a query signal, and the moment when it receives a response signal sent by the identifier, the relay necessarily introducing a delay in transmission.
The present invention aims to present a new solution aimed at minimizing the risk of car theft by relay for any hands-free system allowing both access and starting of a motor vehicle.
The present invention starts from the observation that, to avoid theft of the motor vehicle, it is useless to reinforce security at the level of access alone to this vehicle. Indeed, whatever the degree of sophistication given, a perpetrator can always enter a vehicle, even by degrading access (doors, windows ...). On the other hand, it is essential to reinforce control at start-up, and this is what the present invention proposes to do.
More specifically, the subject of the present invention is a method of securing a communication for a hands-free system fitted to a motor vehicle, of the type comprising an identification device at vehicle level and a portable identifier intended to be carried by a authorized user, the security method being of the type comprising: - A first authentication phase for access to the motor vehicle during which the identification device transmits a first interrogation signal, and the identifier, on receipt of the first interrogation signal, transmits a first response signal for authentication for authorization to access the vehicle; - A second authentication phase for starting the motor vehicle during which the identification device transmits a second interrogation signal, and the identifier, on reception of the second interrogation signal, emits a second signal response for authentication for vehicle start authorization; the method being characterized in that it consists in evaluating a datum representative of the distance traveled by the identifier and / or of the change in orientation of the identifier between a first reference time To belonging to the first authentication phase and a second final instant Ti belonging to the second authentication phase, and authorizing or not the starting of the vehicle depending on whether the data evaluated is within a range of predefined values.
Preferably, the data is evaluated from a plurality of successive measurements made by an inertial detector (accelerometer for the distance and gyroscope for the orientation) located at the level of the portable identifier.
The subject of the invention is also a portable identifier of a hands-free system for implementing the method, characterized in that it comprises at least one inertial detector delivering a plurality of measurements between the reference instant To and the final instant T1, said measurements being used for the evaluation of said data.
The invention will be better understood from the following description of a preferred but nonlimiting example, made with reference to the appended figures in which: - Figures 1 and 2 schematically illustrate the components of a hands-free system of a motor vehicle respectively during an authentication phase for access to the vehicle and during an authentication phase for starting; - Figures 3a to 3d illustrate temporally the operation of a system according to the present invention; - Figure 4 illustrates in the form of a simplified block diagram a portable identifier allowing the implementation of the method according to the invention in its preferred mode of implementation.
In FIGS. 1 and 2, a motor vehicle V is shown diagrammatically equipped with a hands-free security system for accessing and starting the vehicle, comprising equipment 1 mounted on board the vehicle V and suitable for exchange of electromagnetic signals with a portable device 2 in at least one predefined zone Z.
More specifically, the portable device 2 is an identifier and the equipment 1 on board the vehicle is an identification device responsible for authenticating the identifier prior to any authorization. Authentication consists in that the identifier 2 generates, on reception of an interrogation signal sent by the equipment 1, at least one response signal containing an identification code. Communication between the identification device 1 and the identifier 2 takes place either at low frequencies, typically at 125 KHz, or in radio frequencies (of the order of 433 MHz for example), or by a combination of low frequencies / radio frequencies (generally at low frequency for the so-called uplink, namely from the vehicle to the identifier, and in radio frequencies for the so-called downlink).
In the more specific case of FIG. 1, a situation of access to vehicle V is schematically represented, in which a user carrying the identifier 2 is outside the vehicle. The authentication phase for access is initiated for example when the user grasps the handle of the opening 3 of the vehicle V, this being provided with an approach sensor or a control button. This moment constitutes a first so-called reference instant To (see FIG. 3a), during which the identification device 1 located on board the vehicle will transmit in zone Z a first interrogation signal S10 by radio link (see FIG. 3b) . Upon receipt of this interrogation signal, the portable identifier will return, in a conventional manner, a response signal S20 (see FIG. 3d). This response signal includes an identification code that the identification device will be able to compare with the data it has in memory. In the event of a coincidence between the identification code and the stored data, an unlocking order for the opening leaf 3 (or even all the opening leaves) is given at the vehicle level, so that the user can enter his vehicle (see figure 3d).
When the user is in his vehicle, as illustrated in FIG. 2, a second authentication phase will be necessary to allow starting. This second authentication phase is initiated for example when the user presses or turns a dedicated start button not shown. This moment constitutes a second instant T1 said final (see FIG. 3a), during which the identification device 1 located on board the vehicle will transmit in zone Z (or in a different restricted zone inside the passenger compartment) a second interrogation signal S11 over the air (see FIG. 3b). On reception of this interrogation signal, the portable identifier will also return a response signal S21 (see figure 3d). This response signal includes an identification code, generally encrypted, which the identification device will be able to compare with the data it has in memory.
According to the preferred embodiment of the invention, between the reference instant To and the final instant T1, several successive measurements of relative acceleration of the identifier or relative orientation of the identifier are made at the identifier and integrated so as to evaluate a datum representative either of the distance traveled by the identifier, or of the change in orientation undergone by this identifier between the instants To and T1. The evaluated data (distance or change of orientation) is then transmitted via a radio signal (signal S22 in Figure 3d). The identification device, on reception of this data, will only authorize starting if the following two conditions are met: - the identification code contained in the signal S21 has been authenticated; - the evaluated data (distance or change of orientation) contained in the signal S22 is within a predefined range of values.
We know in particular that if the evaluated data, when it is representative of the distance, is zero, we are most certainly in the case of an attempted theft by relay, the real identifier being distant from the vehicle and static (for example posed on a table, in a bag, ...). On the contrary, an attempt to access and then start by the bearer of an authorized identifier will necessarily result in the evaluation of a non-zero distance, since the user has necessarily moved with his identifier between the moment he was located outside the vehicle near the opening 3 (case of figure 1), and the moment when he sat down to start the vehicle. If finally the evaluated data, when it is representative of the distance , is greater than a limit distance (depending on the vehicle), we are most certainly also in a situation of an attempted relay flight, the real identifier moving away with its holder.
The reasoning is of the same type when we are interested in the change of orientation of the identifier between the two instants To and T1. Indeed, it is almost impossible that the identifier has not changed orientation at all between the time To when the user is located outside the vehicle near the opening 3 (case of Figure 1) , and the time T1 when he sits down to start the vehicle. Consequently, if the change of orientation evaluated turns out to be zero, we are most certainly in the case of an attempted relay flight, the real identifier being distant from the vehicle and static (for example placed on a table, in a bag, ...).
FIG. 4 shows a simplified block diagram of an identifier making it possible to implement the security method according to the preferred embodiment of the invention. In the example illustrated, the portable identifier 2 conventionally comprises a transmit / receive antenna 21 associated with a transmitter / receiver 22 to allow on the one hand, the reception of radio signals of the type of the interrogation signals transmitted by the identification device 1 located on board the vehicle, and on the other hand to the development of radio signals to be transmitted. Of course, two separate antennas could also be used, one for reception, the other for transmission. In accordance with the invention, the portable identifier 2 also comprises at least one inertial detector 24, this inertial detector being more precisely: - either an accelerometer when one is interested in the distance traveled. In this case, the accelerometer supplies, between the instants To and T1, successive measurements of relative acceleration of the identifier, which make it possible to evaluate, when they are doubly integrated in time, a datum representative of the distance traveled. by the identifier between these two moments; - Or a gyroscope which provides, between instants To and T1 of successive measurements of relative orientation of the identifier, which will make it possible to evaluate the change in orientation of the identifier between these two instants.
In a preferred embodiment, the accelerometer has three sensitive and orthogonal axes, so that the data evaluated is as representative as possible of the distance actually traveled by the identifier. However, it is possible to have completely satisfactory results, and at a lower cost, by using an accelerometer with two orthogonal axes situated in the plane of the identifier. The evaluated data is then the component of the distance traveled in the plane of the identifier.
The inertial detector 24 is controlled by a microprocessor 23, as is the transmitter / receiver 22.
The securing method which has just been described in its preferred embodiment has the advantage of being simple and inexpensive to carry out, in particular because it is not sought to measure positions or absolute orientations of the 'identifier, but only data relative to an undefined benchmark.
Different variants of what has just been described can be carried out without departing from the scope of the present invention:
In FIG. 3c, the signal S22 containing the evaluated data (distance traveled or change of orientation) has been represented as a signal distinct from the response signal S21 used for authentication, and sent after this response signal. One could consider using the same response signal S21 to convey both the identification code used for authentication and the data evaluated. Furthermore, if separate signals are used, it is equally possible to send first the signal S22 containing the evaluated data, then the response signal S21.
Furthermore, in the example shown, the data (distance traveled or change of orientation) is evaluated at the level of the identifier, then sent in a signal S22. It could also be envisaged that the various measurements carried out at the level of the identifier are successively sent to the identification device 1 on board the vehicle, which would then be responsible for evaluating the data.
Finally, other more expensive devices, for example of the GPS type, making it possible to evaluate the distance traveled by the identifier between the authentication phase for access and the authentication phase for startup could be used. Finally, we can consider combining distance and change of orientation assessments.
REVENDICATIONS
1. Procédé de sécurisation d'une communication pour un système mainslibres équipant un véhicule automobile (V), du type comportant un dispositif d'identification (1) au niveau du véhicule et un identifiant portatif (2) destiné à être porté par un utilisateur autorisé, le procédé de sécurisation étant du type comportant : - Une première phase d'authentification pour l'accès au véhicule automobile lors de laquelle le dispositif d'identification (1) émet un premier signal d'interrogation (S10), et l'identifiant (2), sur réception du premier signal d'interrogation, émet un premier signal de réponse (S20) en vue d'une authentification pour autorisation d'accès au véhicule ;- Une deuxième phase d'authentification pour le démarrage du véhicule automobile lors de laquelle le dispositif d'identification (1) émet un deuxième signal d'interrogation (S11), et l'identifiant (2), sur réception du deuxième signal d'interrogation, émet un deuxième signal de réponse (821) en vue d'une authentification pour autorisation de démarrage de véhicule ; le procédé étant caractérisé en ce qu'il consiste à évaluer une donnée représentative de la distance parcourue par l'identifiant et/ou du changement d'orientation de l'identifiant entre un premier instant To de référence appartenant à la première phase d'authentification et un deuxième instant final T1 appartenant à la deuxième phase d'authentification, et autoriser ou non le démarrage du véhicule selon que la donnée évaluée se situe dans un intervalle de valeurs prédéfinies. 1. Method for securing a communication for a hands-free system equipping a motor vehicle (V), of the type comprising an identification device (1) at the level of the vehicle and a portable identifier (2) intended to be carried by a user authorized, the security method being of the type comprising: - A first authentication phase for access to the motor vehicle during which the identification device (1) emits a first interrogation signal (S10), and the identifier (2), on receipt of the first interrogation signal, emits a first response signal (S20) for authentication for authorization to access the vehicle; - A second authentication phase for starting the motor vehicle during which the identification device (1) transmits a second interrogation signal (S11), and the identifier (2), on reception of the second interrogation signal, emits a second response signal ( 821) for authentication for vehicle start authorization; the method being characterized in that it consists in evaluating a datum representative of the distance traveled by the identifier and / or of the change in orientation of the identifier between a first reference time To belonging to the first authentication phase and a second final instant T1 belonging to the second authentication phase, and authorizing or not the starting of the vehicle depending on whether the data evaluated is within a range of predefined values.