WO2006053998A1 - Unite de tachygraphe electronique pour véhicule automobile - Google Patents

Unite de tachygraphe electronique pour véhicule automobile Download PDF

Info

Publication number
WO2006053998A1
WO2006053998A1 PCT/FR2005/002893 FR2005002893W WO2006053998A1 WO 2006053998 A1 WO2006053998 A1 WO 2006053998A1 FR 2005002893 W FR2005002893 W FR 2005002893W WO 2006053998 A1 WO2006053998 A1 WO 2006053998A1
Authority
WO
WIPO (PCT)
Prior art keywords
unit
tachograph
data
card
main microprocessor
Prior art date
Application number
PCT/FR2005/002893
Other languages
English (en)
Inventor
Laurent Malberti
Eric Romon
Jacques Kunegel
Original Assignee
Actia
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34951974&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=WO2006053998(A1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Actia filed Critical Actia
Priority to PL05818272T priority Critical patent/PL1815256T3/pl
Priority to EP05818272A priority patent/EP1815256B1/fr
Priority to BRPI0517699-9A priority patent/BRPI0517699A/pt
Priority to ES05818272T priority patent/ES2401592T3/es
Publication of WO2006053998A1 publication Critical patent/WO2006053998A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • G07C5/0858Registering performance data using electronic data carriers wherein the data carrier is removable
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C7/00Details or accessories common to the registering or indicating apparatus of groups G07C3/00 and G07C5/00

Definitions

  • the invention relates to a unit of a so-called tachograph control device intended to be loaded onto a motor vehicle-in particular a vehicle for transporting goods or passengers-in order to enable the control of the activities of a driver of the vehicle.
  • driver designates a person who can in turn exercise the activities of driver or co-driver (also called “conveyor") of the vehicle.
  • the tachograph comprises, in addition to this unit, at least one vehicle motion sensor, connected to the unit when the latter is on board.
  • a tachograph has the particular function of recording, storing, producing, printing, and possibly exchanging and displaying, data, called driver data, relating to the activities of a driver of the vehicle, with a view to allow control of these activities by a controller.
  • the tachographs currently used in Europe are of the tachograph type with disks, graphics, such as that described by US 4,782,691. These are analog and mechanical instruments for retranscribing conductive data on a paper disk by means of a stylus.
  • electronic tachographs Following a widespread trend in the automotive field, electronic tachographs have also been developed, including microprocessor circuits for the processing and storage of driver data.
  • the introduction of. Electronics in tachographs have made it possible to envisage the implementation of new equipment within the tachograph unit and the realization by it of new functions. Thus, for example, studies have focused on the replacement of known graphic discs (and still used ...) by electronic smart cards.
  • tachograph units such as that described by US 4,644,368, with smart card reader / writer devices.
  • a tachograph unit already has, for this purpose, mechanical protections (reinforced housing possibly equipped with security seals ).
  • the implementation of electronic components - including microprocessor circuit (s) and smart card reader (s) - in the tachograph unit allows today to consider the implementation of electronic protections within of the unit, such as cryptographic security mechanisms.
  • the aim of the invention is to provide a tachograph, and more specifically a secure electronic tachograph unit, in which the following are particularly guaranteed: the mutual authenticity (verification of identity) of the tachograph unit and of certain external media to the unit (such as the motion sensor and smart cards) with which the unit is to exchange data; note that a media is considered external to the unit when it is not incorporated into the design in the secure case of the unit and is independent or detachable from the unit,
  • the tachograph unit must keep cryptographic secrets (private or secret encryption keys, for encryption and decryption) and integrate corresponding encryption algorithms.
  • the object of the invention is to provide a secure tachograph unit, not only endowed with such cryptographic algorithms and secrets, but also and above all with enhanced electronic protection capable of offering a high level of resistance to fraudulent attacks.
  • the aim is not only to offer control and limitation of access to data managed by the unit, read and / or write, but also and above all to ensure compliance with this limitation by detecting any falsification of these data.
  • An object of the invention is to provide a unit able to strongly resist an attack conducted using sophisticated means, whether means implemented directly on the circuits of the unit or remotely.
  • the object of the invention is in particular to provide a unit offering a level of security rated E3 FORT according to the ITSEC evaluation methodology.
  • Another object of the invention is to provide a more efficient electronic tachograph unit also in terms of functionality.
  • the invention aims to achieve the aforementioned objectives at lower cost, by proposing a tachograph unit low cost.
  • the invention aims to provide a tachograph unit that fulfills these objectives from means, including electronic components, customary and inexpensive, or possibly new but inexpensive development and manufacturing.
  • the invention relates to a tachograph unit intended to be loaded onto a motor vehicle and to be connected to at least one vehicle motion sensor, which unit comprises at least one microprocessor card), called the main card, for processing and storage of data, called tachograph data, comprising at least data, called conductive data, relating to activities of a driver of said vehicle.
  • the tachograph unit is also adapted to perform operations, said security operations, implementing encryption algorithms for the purpose of authentication of at least a portion of the tachograph data.
  • security data refers to additional data stored and / or created and / or calculated and / or used ... in the context of security operations.
  • the security data includes encryption keys, certificates issued by authorized official bodies, security attributes generated by a security operation for a data transmission, such as a signature, a checksum -dite checksum -...
  • Some of these data, called secret data are by definition secret: stored in the tachograph unit, they must remain inaccessible to any unauthorized person (the tachograph unit must offer a high level of resistance to attacks to obtain this secret data); it is essentially secret -symmetric encryption keys and private encryption keys.
  • the main card comprises at least one microprocessor, said main microprocessor, for the processing of the tachograph data,
  • the unit comprises at least one physically protected integrated cryptographic service provider circuit, said CSP circuit, distinct from the main microprocessor (s), CSP circuit in which at least data are stored called secret security data , this CSP circuit being adapted to perform at least part of the safety operations when the unit is on board a vehicle.
  • said CSP circuit distinct from the main microprocessor (s), CSP circuit in which at least data are stored called secret security data , this CSP circuit being adapted to perform at least part of the safety operations when the unit is on board a vehicle.
  • CSP circuit (s) can be carried by the main card or by one or more other card (s).
  • the invention consists in selecting and separating from all the operations implemented by a tachograph unit, at least part of the operations relating solely to security (operations of authenticating and / or protecting certain data by means of encryption algorithms, with the ultimate aim of guaranteeing the authenticity and integrity of the driver data), and to execute the selected security operations by a specific, physically protected circuit.
  • this protected circuit are stored secret security data. It can also store encryption algorithms and / or non-secret security data (such as public keys) relating to the security operations allocated to said CSP circuit.
  • Such an electronic architecture makes it possible to guarantee a very high level of security, never achieved to date in a tachograph unit.
  • the (s) circuit (s) CSP is (are) dedicated (s) essentially to the realization of security operations, the term "essentially” meaning that each circuit CSP is dedicated to operations of security and possibly to specific operations requiring a low capacity of processing and storage, such as the storage of temporary data generated by the processing of tachograph data.
  • a cryptographic service provider circuit that is customary and inexpensive, having a low processing and storage capacity, can thus be used as a CSP circuit according to the invention, given that it is "discharged" from the functionalities of tachograph unit that require more capacity.
  • the (s) circuit (s) CSP is (are) dedicated (s) essentially to the realization of all security operations. Therefore, the main microprocessor (s) does not perform any security operation. It is therefore possible to use, as main microprocessor, a basic microprocessor, unprotected and therefore inexpensive, such as, for example, a computer usually used in the automotive field. Such a conventional computer has sufficient processing and storage capacity to handle all the tasks (excluding security operations) assigned to the tachograph unit.
  • the tachograph unit comprises a single CSP circuit, essentially dedicated to all security operations.
  • the main card of the tachograph unit comprises at least one memory, called application memory, associated with a main microprocessor, in which is stored an application (one or more programs), called tachograph application , which can be loaded into this main microprocessor for processing tachograph data.
  • this microprocessor main is adapted to verify the authenticity and integrity of at least a portion of the tachograph application using at least one security operation performed by a CSP circuit of the tachograph unit.
  • said main microprocessor integrates a protected start program, physically registered in the microprocessor and adapted for, during an operation to implement at least one of a tachograph application (first or new) in the unit, order audit CSP circuit the execution of at least one security operation for the purpose of authenticating said application or tachograph application part, and only ordering the registration of this application or tachograph application part in the application memory if it is considered by the CSP circuit to be authentic and honest.
  • the tachograph application finally stored in the application memory and used by the main microprocessor (s) is therefore necessarily authentic and integrated, that is to say, conceived and implemented by an authorized organization, in a secure environment, according to the specifications imposed by the rules and standards.
  • the tachograph application stored in the application memory is itself adapted to, when loaded into the main microprocessor for tachograph data processing, periodically control the associated CSP circuit 1. performing at least one security operation for its own authentication.
  • each CSP circuit is connected to a main microprocessor, said associated CSP and main microprocessor circuit being adapted to operate in a master / slave relationship in which the main microprocessor is the master and the CSP circuit is the slave .
  • all the security operations executed by a CSP circuit are performed at the request of the associated main microprocessor, which, for this purpose, transmits to the CSP circuit data to be authenticated together with at least one command for executing an operation. corresponding security.
  • the tachograph unit comprises a reader / writer device for smart cards, called tachograph cards, able to receive at least two tachograph cards in parallel.
  • the tachograph unit also comprises a connection interface, called a tachograph card interface, for wireless communication (and in particular at a distance) of the unit with a card reader / writer device.
  • a connection interface called a tachograph card interface
  • tachograph external to the unit (in its simplest version, this external device is adapted to receive only one tachograph card at a time).
  • each tachograph card belonging to one of these types: driver cards, controller cards, business cards and shop cards.
  • Each type of tachograph card opens right on the one hand to a restricted access to certain predetermined data stored in the unit, and on the other hand to the execution of certain predetermined operations according to the type of tachograph card.
  • the insertion of a tachograph card into the card reader / writer device (whether it is the device of the integrated device unit or an external device capable of communicating with the unit) makes it possible to open an operating session of the unit corresponding to the type of card inserted.
  • any tachograph card inserted in the card reader / writer device must be able to be authenticated, as well as the data exchanged between the tachograph card and the tachograph unit.
  • the reader / recorder device is controlled by at least one main microprocessor of the unit, which is associated with a CSP circuit.
  • This main microprocessor (or possibly these main microprocessors) is adapted to control said circuit CSP performing security operations for the mutual authentication of the unit and a tachograph card present in the reader / writer device (integrated or external), and not allowing the opening of a corresponding operating session only if the unit and the tachograph card are considered authentic.
  • An authenticated driver card thus gives access to a session of operation called driver session; an authenticated workshop card gives access to a session of operation known as a workshop session; an authenticated controller card provides access to a session of operation known as a controller session; an authenticated corporate card gives access to a session of operation called business session.
  • This mutual authentication between tachograph card and unit is preferably performed as soon as a card is inserted into the card reader / writer device (especially the integrated device).
  • the main microprocessor is adapted to monitor card insertions and withdrawals in the reader / writer device and to trigger the aforementioned security operations as soon as an insertion of a tachograph card into the reader / writer device is detected.
  • Opening an operating session allows operations to be performed, the nature of which depends on the type of the session. Some of these operations may lead to data exchanges between tachograph card and unit.
  • the main microprocessor is adapted to control the circuit CSP execution of at least a security operation to authenticate said data, and to process the exchanged data only if they are considered to be authentic and honest.
  • the main microprocessor is suitable for: when data (in particular tachograph data) is received by the unit from said tachograph card, commanding the circuit CSP to perform at least one safety operation in order to the authentication of the received data, and treat said data only if they are considered by the CSP circuit as authentic and honest,
  • the unit when data must be transmitted by the unit to said tachograph card, command the CSP circuit to perform at least one security operation in order to protect the integrity of the data to be transmitted.
  • the tachograph card is further adapted to perform at least one security operation to authenticate the transmitted data, and to process the data only if it considers them to be authentic and honest.
  • the tachograph unit must also be able to authenticate the motion sensor with which it communicates when it is on board a vehicle, as well as the data, called motion data, that it receives from said sensor. Note that the movement data are tachograph data.
  • the tachograph unit For its connection to the motion sensor, the tachograph unit comprises a connection interface, called sensor interface.
  • this connection is preferably wired, in which case the sensor interface consists of one or more connector (s). But it is not excluded that this connection is wireless and that the sensor interface comprises (possibly in combination with a connector) an emitter-receiver device of electromagnetic waves.
  • the main board of the unit comprises at least one main microprocessor connected to said sensor interface and which is associated with a CSP circuit, said main microprocessor being adapted to control said execution of the CSP circuit. security operations with a view to the mutual authentication of the motion sensor and the unit and the authentication of the motion data received from the motion sensor by the unit, and received motion data only if the motion sensor and unit are considered authentic and the received data is considered to be authentic and correct.
  • the main microprocessor is suitable for: in the context of an initial operation called the pairing operation of a motion sensor and the tachograph unit, to control to the CSP circuit performing at least one security operation for mutual authentication of the sensor and the unit, and allowing a subsequent exchange of data between said sensor and the unit only if these are considered as being authentic, - in the context of a periodic operation, called a movement data control operation, commanding the circuit CSP to execute at least one security operation for the purpose of authenticating data, called control data , exchanged between the sensor and the unit as part of this control operation, and allow processing of the motion data received by the unit over an elapsed period only if said control data is considered to be authentic and correct .
  • control data the purpose of authenticating data
  • control data exchanged between the sensor and the unit as part of this control operation
  • the pairing operation can be implemented only if an authentic and authenticated workshop tachograph card is present in the card reader / writer device integrated into the unit.
  • the primary microprocessor (s) of the unit is adapted to allow the execution of a pairing operation only in the context of a workshop session (which can only be opened by the authentication of a workshop card).
  • the tachograph unit also comprises a connection interface, called the unloading interface, for the communication of the unit with an external device called unloading device, in particular able to store tachograph data.
  • the unloading interface may include a connector, for a flash connection of the unloader with the unit, and / or an electromagnetic wave transmitter / receiver device, for wireless communication between the unloading interface unit and an optionally remote unloading device.
  • a data unloading operation can be implemented, on the order of a user, only if a tachograph card of a controller, a workshop or an enterprise (excluding a control card). driver) authentic and authenticated is present in the device reader / chart recorder (integrated or external).
  • the main microprocessor (s) is (are) adapted to allow the execution of a data unloading operation to an unloading device "connected" to the unit ( wired or wireless connection) via the unloading interface, only in the context of a controller or workshop or enterprise session (opened by the authentication of a corresponding card).
  • the downloaded tachograph data are accompanied by a security attribute, such as an electronic signature, for subsequent authentication by the unloading device or by another tool.
  • the main microprocessor is also adapted for, in the context of a data unloading operation, commanding the circuit CSP the execution of at least one security operation for the protection of the data to be unloaded.
  • the unit also advantageously comprises a connection interface, called a calibration interface, comprising at least one connector, for the communication of the unit with an external device called calibration device, for the purpose of calibrating unit.
  • a calibration operation can not be implemented, on the control of a user, by means of a calibration device connected to the unit via the calibration interface, only if an authentic and authenticated workshop tachograph card is present in the card reader / writer device integrated into the unit.
  • the main microprocessor (s) is (are) adapted to allow the execution of a calibration operation only in the context of a workshop session ( opened by the authentication of a workshop card).
  • calibration data are transmitted to the unit by the calibration device.
  • the data calibration stored in the unit at the end of the calibration operation are tachograph data.
  • a main microprocessor of the unit is adapted to monitor card insertions and withdrawals in the card reader / writer device (integrated or external) and, as soon as a withdrawal of a tachograph card of the reader / writer device is detected, interrupt any operation in progress in the corresponding operating session.
  • the operations are interrupted during sensor matching, updating the tachograph application, calibration, tachograph data unloading and of course read / write on the tachograph card (which does not is more connected ).
  • the main card comprises a single main microprocessor for the processing of tachograph data, to which a power supply circuit permanently powered by a permanent electrical source of the vehicle is connected, a mass memory, called application memory, of the type electronic and nonvolatile -and especially flash-type for storing at least one tachograph application, a mass memory, said data memory, of electronic and nonvolatile type -and especially flash-type for data storage tachographs and possibly other data excluding secret security data (the two previously defined memories may be two separate memories or a single memory), a calendar real-time clock, a sensor connector and a (single) connector, called unloading / calibration connector, for connection to the unit of an external standard device or an external device for unloading, a reader / recorder device as previously defined,
  • the unit comprises a single CSP circuit, dedicated to carrying out all the safety operations, said main microprocessor and CSP circuit being connected and adapted to operate in a master / slave relationship in which the main microprocessor is the master and the circuit CSP is the slave, the unit also comprises a printer, a display screen, a device for inputting data by a user (such as a keyboard).
  • the invention also relates to a tachograph unit characterized in combination by all or some of the characteristics mentioned above and below.
  • the invention extends to a motor vehicle equipped with such a tachograph unit.
  • FIG. 1 is a perspective view of a tachograph unit according to the invention
  • FIG. 2 is an exploded perspective view of a tachograph unit according to the invention
  • FIG. 3 is a block diagram illustrating the architecture of this tachograph unit and the organization of its various components
  • FIG. 4 is a flowchart illustrating the progress of a security operation according to the invention.
  • the tachograph unit 1 comprises, within a reinforced secure housing 2 (formed of several elements 2a, 2b, 2c) and provided with security seals 50:
  • a microprocessor main board 3 which carries a main microprocessor 4, such as those usually used in the automotive field; alternatively, said board carries a group of microprocessors in parallel to provide redundancy, or a plurality of independent or serially connected microprocessors that share the functionality of the tachograph;
  • the main board 3 also carries a cryptographic service provider circuit 20 CSP connected to the main microprocessor 4 according to a master / slave relationship in which the main microprocessor 4 is the master and the circuit CSP 20 is the slave; such a CSP circuit is physically protected; it possesses for this purpose not only physical but also functional characteristics (memory able to disperse the secrets it contains ...) guaranteeing its inviolability;
  • the circuit CSP 20 is for example a microprocessor CSP similar to those used for bank cards;
  • the circuit CSP 20 integrates a protected memory in which are stored encryption algorithms, secret security data (private keys and session keys) and possibly other security data (public keys ..., these other security data can alternatively be
  • a flash mass memory 5 connected to the main microprocessor 4, and in which a tachograph application is stored that makes it possible to perform all the functions of the tachograph to the exclusion of at least part of the security operations and preferably to the exclusion of all security operations to be implemented to ensure a high level of resistance to fraudulent attacks;
  • the tachograph application includes commands to trigger the execution of security operations;
  • the application memory 5 is of the non-volatile type, - a power supply circuit 6 permanently connected to a permanent electrical source of the vehicle in order to feed the main microprocessor 4 permanently whatever the operating phase of the vehicle in progress (non-contact, after ignition, engine stopped, engine running, vehicle stationary, vehicle running ...), - a real-time calendar clock 7 (date and time) connected to the main microprocessor 4, and preferably has a battery backup,
  • the device has two substantially identical blocks 81, 82, each comprising: "A mechanical interface (slotted, drawer, slide carriage ...) for receiving a tachograph card, provided with a motorized controlled mechanism for moving a card 60 between an insertion / withdrawal position and a position locked read / write, "a connector allowing the connection between the main microprocessor 4 of the unit and the chip 61 of a tachograph card present in the locked read / write position,
  • At least one card detection element in the locked read / write position able to transmit a signal to the main microprocessor 4 when a card is detected in the locked read / write position
  • an electromagnetic wave transmitter / receiver device 16 connected to the main microprocessor 4 and forming a connection interface, called a card interface, for the wireless communication of the unit with a tachograph card reader / writer device external to the 'unit,
  • an electromagnetic wave transmitter / receiver device 14 connected to the main microprocessor 4 and providing a connection interface of the unit 1 with a remote discharging device; alternatively, a single transmitter / receiver device provides a communication interface with both a card reader / writer device and a remote data unloader device,
  • a device 11 for data input by a user controlled by the main microprocessor 4 and comprising a keypad and / or a touch screen,
  • a sensor connector 12 connected to the main microprocessor 4, providing a connection interface of the unit 1 with a motion sensor for receiving vehicle movement data, an unloading / calibration connector 13 connected to the main microprocessor 4, making a connection interface of the unit 1 with a calibration device or an unloading device, in order to receive calibration data (sent by the calibration device) or unloading (to the unloading device) of tachograph data,
  • a nonvolatile flash mass memory 17 connected to the main microprocessor 4 and in which the tachograph data are stored, data referred to as operating data (screen illumination ratio 9, image area tickets to be printed by the printer 10 %) and data called ancillary data (random, temporary data 7), and possibly security data provided that they are not secret (public keys for example) .
  • the tachograph comprises a vehicle motion sensor, connecting cables for connecting the motion sensor and the sensor connector 12 of the onboard unit.
  • the motion sensor is formed in particular by a motion detection element, a microprocessor (to which the detection element is connected) and a connector for connecting the microprocessor of the sensor to the onboard unit.
  • the main function of the tachograph unit is the processing of conductive data, among which may be mentioned:
  • the functions assigned to the main microprocessor essentially concern calculation functions relating to the conductive data, more general functions for managing all the tachograph data (conductive data, motion data, controller data, data of calibration, company data %) and control functions of the various units of the on-board unit. These functions include:
  • the monitoring of the driver's activities, the monitoring of the driving situation the processing of driver data manually entered by the driver (such as the place of start and end of the daily work periods, the driver's activities and the conditions special)
  • the security operations for the mutual authentication of the unit and a tachograph card implement, preferably, encryption calculations by means of asymmetric keys (private and public keys). .
  • the main microprocessor 4 is indeed adapted to identify card insertions and withdrawals according to the signals it receives from the detection device (s) of said reader device / recorder: the presence of a card 60 in the read / write position - reception of a detection signal - after a period of absence of a card - no detection signal - translates the insertion of a card; the absence of a card following a period of card presence reflects the withdrawal of a card.
  • the security operations for the authentication of data exchanged between the unit and the motion sensor or between the unit and a tachograph card preferably implement encryption calculations using session keys, that is, symmetric keys (secret keys).
  • session keys common to the CSP 20 of the unit and to the external media (motion sensor or tachograph card) are established jointly by the two elements as part of the operations. mutual authentication of these elements or immediately thereafter.
  • the session keys are stored in the (protected) memory of the CSP circuit 20.
  • the reading of tachograph data on a previously authenticated tachograph card gives rise to the operations illustrated in FIG. 3, which make it possible to guarantee the integrity of the data read (these operations are intended to verify that the data received by the main microprocessor 4 correspond to those sent by the tachograph card and that they were therefore not falsified during transmission).
  • the main microprocessor 4 prepares the read command (step 30): the control code is provided with data, called ancillary data, necessary for its execution, such as the address and the length of the tachograph data to be read (with a view to their location in the memory of the tachograph card).
  • step 31 It transmits (step 31) the data annexed to the circuit CSP 20, with a command to execute a corresponding security operation, in order to protect the integrity of said data.
  • the circuit CSP 20 calculates (step 32) a checksum, called checksum, of the ancillary data, encrypts said checksum by means of its session key and transmits (step 33) the encrypted checksum to the main microprocessor 4.
  • the microprocessor main 4 prepares (step 34) and transmits (step 35) the entire read command (command code + ancillary data + checksum) to the tachograph card 60 (i.e., to its electronic chip 61) via the connector of the reader / writer device 8.
  • the tachograph card 60, 61 checks the integrity of the data received (step 36) by decrypting the checksum received by means of its session key, calculating the checksum of the received ancillary data and comparing both values. If the latter coincide, the tachograph card 60, 61 transmits (step 38) the requested tachograph data, after having previously calculated and encrypted - by means of its session key - their checksum (step 37). Upon receipt of the data (step 39), the main microprocessor 4 transmits (step 40) to the CSP circuit 20 the tachograph data and the encrypted checksum received, as well as a command to execute a corresponding security operation to check the integrity of tachograph data received.
  • the CSP circuit 20 calculates the checksum tachograph data and decrypts the encrypted checksum that accompanies them by means of its session key and compares the two values obtained (step 41). If they coincide, it sends a signal of agreement to the main microprocessor 4; otherwise, it transmits to the latter a signal of disagreement (step 42).
  • the main microprocessor 4 only operates the tachograph data if the received signal is a tuning signal (step 43). If the tachograph data are not considered authentic (disagreement signal), the microprocessor stores the anomaly and possibly emits a signal corresponding to the attention of the user (step 43).
  • Motion data received from the motion sensor is also subject to security operations for authentication.
  • the motion sensor previously authenticated in the context of a pairing operation with the unit, continuously transmits pulses that it transmits to the unit, each pulse being transmitted at the instant when a predetermined distance has been traveled by the vehicle since the previous impulse.
  • the motion sensor also has a counter, which it increments with each pulse emitted.
  • the main microprocessor of the unit has a counter, which it increments with each pulse received.
  • the main microprocessor triggers a secure operation to compare the sensor and unit counters.
  • the reading of the sensor counter is performed, for example, as previously explained with regard to the reading of tachograph data in a tachograph card: the value of the sensor counter transmitted to the unit is in particular authenticated by a security attribute of type encrypted checksum.
  • a relative value of the sensor counter and a relative value of the unit counter are calculated by the main microprocessor and then compared. This procedure verifies the authenticity and integrity of the data (pulses) transmitted by the sensor during the period since the last comparison operation. It goes without saying that the invention may be subject to numerous variants with respect to the embodiments previously described and shown in the figures.

Abstract

L'invention concerne une unité de tachygraphe comprenant au moins une carte principale (3) à microprocesseur(s) pour le traitement et le stockage de données tachygraphiques, ladite unité de tachygraphe étant adaptée pour effectuer des opérations de sécurité mettant en œuvre des algorithmes de chiffrement en vue de l'authentification d'au moins une partie des données tachygraphiques, caractérisée en ce que : - ladite carte principale (3) comprend au moins un microprocesseur (4), dit microprocesseur principal, pour le traitement des données tachygraphiques, - l'unité comprend au moins un circuit (20) physiquement protégé fournisseur de services cryptographiques, dit circuit CSP, distinct du(des) microprocesseur(s) principal(aux), dans lequel sont stockées au moins des données de sécurité secrètes, ce circuit CSP (20) étant adapté pour réaliser au moins une partie des opérations de sécurité lorsque l'unité est embarquée sur un véhicule.

Description

UNITÉ DE TACHYGRAPHE ÉLECTRONIQUE POUR VÉHICULE AUTOMOBILE
L'invention concerne une unité d'un appareil de contrôle dit tachygraphe, destinée à être embarquée sur un véhicule automobile -notamment un véhicule de transport de marchandises ou de voyageurs- en vue de permettre le contrôle d'activités d'un conducteur du véhicule. A noter que le terme « conducteur » désigne une personne pouvant tour à tour exercer des activités de chauffeur ou de co-chauffeur (encore dit « convoyeur ») du véhicule. Le tachygraphe comprend, outre cette unité, au moins un capteur de mouvement du véhicule, relié à l'unité lorsque celle-ci est embarquée.
Un tachygraphe a notamment pour fonction d'enregistrer, de stocker, de produire, d'imprimer, et éventuellement d'échanger et d'afficher, des données, dites données conducteur, relatives aux activités d'un conducteur du véhicule, en vue de permettre un contrôle de ces activités par un contrôleur.
Les tachygraphes actuellement utilisés en Europe sont du type tachygraphe à disques, graphiques, tels que celui décrit par US 4 782 691. Il s'agit d'instruments analogiques et mécaniques permettant de retranscrire des données conducteur sur un disque en papier au moyen d'un stylet. Suivant une tendance généralisée dans le domaine de l'automobile, des tachygraphes électroniques ont par ailleurs été développés, dotés notamment de circuits à microprocesseurs pour le traitement et le stockage des données conducteur. L'introduction de . l'électronique dans les tachygraphes a permis d'envisager la mise en œuvre de nouveaux équipements au sein de l'unité de tachygraphe et la réalisation par celle-ci de nouvelles fonctions. Ainsi, par exemple, des études ont porté sur le remplacement des disques graphiques connus (et toujours utilisés...) par des cartes à puce électronique. Elles ont abouti à la conception d'unités de tachygraphe, telles que celle décrite par US 4 644 368, dotées de dispositifs lecteur/enregistreur de cartes à puce. Parallèlement, l'accent a été mis sur la garantie d'une plus grande sécurité dans le traitement des données, dans l'objectif d'éviter les fraudes. Une unité de tachygraphe dispose déjà, à cette fin, de protections mécaniques (boîtier renforcé éventuellement muni de sceaux de sécurité...). L'implantation de composants électroniques -et notamment de circuit(s) à microprocesseurs) et de lecteur(s) de cartes à puce- dans l'unité de tachygraphe permet aujourd'hui d'envisager la mise en œuvre de protections électroniques au sein de l'unité, telles que des mécanismes de sécurité cryptographiques.
L'invention vise à fournir un tachygraphe -et plus précisément une unité de tachygraphe- électronique sécurisé, dans lequel sont notamment garanties : - l'authenticité (vérification de l'identité) mutuelle de l'unité de tachygraphe et de certains médias externes à l'unité (tels que le capteur de mouvement et les cartes à puce) avec lesquels l'unité est amenée à échanger des données ; à noter qu'un média est considéré comme étant externe à l'unité lorsqu'il n'est pas incorporé à la conception dans le boîtier sécurisé de l'unité et est indépendant ou détachable de l'unité,
- l'authenticité (vérification de l'origine) et l'intégrité des données échangées entre l'unité et certains médias externes à l'unité,
- l'intégrité, par signature électronique, de données déchargées depuis l'unité vers des dispositifs externes dit dispositifs de déchargement.
Pour mettre en œuvre de tels mécanismes de sécurité, l'unité de tachygraphe doit conserver des secrets cryptographiques (clés de chiffrement privées ou secrètes, pour l'encryptage et le décryptage) et intégrer des algorithmes de chiffrement correspondants. L'invention vise à fournir une unité de tachygraphe sécurisée, non seulement dotée de tels algorithmes et secrets cryptographiques, mais de plus et surtout dotée d'une protection électronique renforcée apte à offrir un niveau élevé de résistance aux attaques frauduleuses.
En effet, malgré les efforts déployés en la matière depuis de nombreuses années, aucune solution satisfaisante et fiable n'a pu être trouvée à ce problème. L'objectif est non seulement d'offrir un contrôle et une limitation de l'accès aux données gérées par l'unité, en lecture et/ou en écriture, mais aussi et surtout de garantir le respect de cette limitation en permettant de déceler toute falsification de ces données.
Un objectif de l'invention est de fournir une unité apte à résister fortement à une attaque menée à l'aide de moyens sophistiqués, qu'il s'agisse de moyens mis en œuvre directement sur les circuits de l'unité ou à distance. L'invention vise en particulier à fournir une unité offrant un niveau de sécurité coté E3 FORT selon la méthodologie d'évaluation ITSEC.
Un autre objectif de l'invention est de fournir une unité de tachygraphe électronique plus performante également en terme de fonctionnalités.
En outre, l'invention vise à atteindre les objectifs précités à moindre coût, en proposant une unité de tachygraphe de faible prix de revient. En particulier, l'invention vise à fournir une unité de tachygraphe qui remplisse ces objectifs à partir de moyens, et notamment de composants électroniques, usuels et bon marché, ou éventuellement nouveaux mais de développement et de fabrication peu onéreux.
L'invention concerne une unité de tachygraphe destinée à être embarquée sur un véhicule automobile et à être reliée à au moins un capteur de mouvement du véhicule, laquelle unité comprend au moins une carte à microprocesseurs), dite carte principale, pour le traitement et le stockage de données, dites données tachygraphiques, comprenant au moins des données, dites données conducteur, relatives à des activités d'un conducteur dudit véhicule. L'unité de tachygraphe est par ailleurs adaptée pour effectuer des opérations, dites opérations de sécurité, mettant en œuvre des algorithmes de chiffrement aux fins d'authentification d'au moins une partie des données tachygraphiques.
A noter que les termes « algorithmes de chiffrement » peuvent être employés pour désigner des algorithmes d'encryptage, des algorithmes de décryptage ou les deux. Par ailleurs, dans toute la suite, les termes « données de sécurité » désignent des données additionnelles mémorisées et/ou créées et/ou calculées et/ou utilisées... dans le cadre des opérations de sécurité. Les données de sécurité comprennent notamment des clés de chiffrement, des certificats délivrés par des organismes officiels habilités, des attributs de sécurité générés par une opération de sécurité pour une transmission de données, telles qu'une signature, une somme de contrôle -dite checksum-... Certaines de ces données, dites données secrètes, sont par définition secrètes : conservées au sein de l'unité de tachygraphe, elles doivent rester inaccessibles à toute personne non autorisée (l'unité de tachygraphe devant offrir un niveau de résistance fort aux attaques visant à obtenir ces données secrètes) ; il s'agit essentiellement de clés de chiffrement secrètes -symétriques- et de clés de chiffrement privées.
L'unité de tachygraphe selon l'invention est caractérisée en ce que :
- la carte principale comprend au moins un microprocesseur, dit microprocesseur principal, pour le traitement des données tachygraphiques,
- l'unité comprend au moins un circuit intégré physiquement protégé fournisseur de services cryptographiques, dit circuit CSP, distinct du(des) microprocesseur(s) principal(aux), circuit CSP dans lequel sont stockées au moins des données dites données de sécurité secrètes, ce circuit CSP étant adapté pour réaliser au moins une partie des opérations de sécurité lorsque l'unité est embarquée sur un véhicule.
A noter que le(s) circuit(s) CSP peu(ven)t être porté(s) par la carte principale ou par une ou plusieurs autre(s) carte(s).
Ainsi, l'invention consiste à sélectionner et séparer de l'ensemble des opérations mises en œuvre par une unité de tachygraphe, au moins une partie des opérations relatives uniquement à la sécurité (opérations consistant à authentifier et/ou protéger certaines données au moyen d'algorithmes de chiffrement, dans le but final de garantir l'authenticité et l'intégrité des données conducteur), et à faire exécuter les opérations de sécurité sélectionnées par un circuit spécifique, physiquement protégé. Pour ce faire, dans ce circuit protégé sont stockées des données de sécurité secrètes. Peuvent également y être stockés les algorithmes de chiffrement et/ou des données de sécurité non secrètes (telles que des clés publiques) relatifs aux opérations de sécurité allouées audit circuit CSP. Une telle architecture électronique permet de garantir un niveau de sécurité très élevé, jamais atteint à ce jour dans une unité de tachygraphe.
Comme il est expliqué ci-après, elle offre également la possibilité d'utiliser des composants électroniques usuels et peu onéreux. Avantageusement et selon l'invention, le(s) circuit(s) CSP est(sont) dédié(s) essentiellement à la réalisation d'opérations de sécurité, le terme « essentiellement » signifiant que chaque circuit CSP est dédié à des opérations de sécurité et éventuellement à des opérations ponctuelles demandant une faible capacité de traitement et de stockage, telles que le stockage de données temporaires générées par le traitement de données tachygraphiques. Un circuit fournisseur de services cryptographiques usuel et peu onéreux, ayant une faible capacité de traitement et de stockage, peut ainsi être utilisé à titre de circuit CSP selon l'invention, compte tenu de ce que celui-ci est « déchargé » des fonctionnalités de l'unité de tachygraphe qui nécessitent plus de capacité. Plus particulièrement, le(s) circuit(s) CSP est(sont) dédié(s) essentiellement à la réalisation de toutes les opérations de sécurité. Dès lors, le(s) microprocesseur(s) principal(aux) n'exécute(nt) aucune opération de sécurité. Il est donc possible d'utiliser, à titre de microprocesseur principal, un microprocesseur basique, non protégé et donc peu onéreux, tel que, par exemple, un calculateur usuellement utilisé dans le domaine automobile. Un tel calculateur classique possède une capacité de traitement et de stockage suffisante pour gérer l'ensemble des tâches (hors opérations de sécurité) dévolues à l'unité de tachygraphe.
Dans une version préférée de l'invention, l'unité de tachygraphe comprend un unique circuit CSP, essentiellement dédié à toutes les opérations de sécurité.
Avantageusement et selon l'invention, la carte principale de l'unité de tachygraphe comprend au moins une mémoire, dite mémoire d'application, associée à un microprocesseur principal, dans laquelle est stockée une application (un ou plusieurs programmes), dite application tachygraphique, qui peut être chargée dans ce microprocesseur principal pour le traitement des données tachygraphiques. Avantageusement et selon l'invention, ce microprocesseur principal est adapté pour pouvoir vérifier l'authenticité et l'intégrité d'au moins une partie de l'application tachygraphique à l'aide d'au moins une opération de sécurité réalisée par un circuit CSP de l'unité de tachygraphe.
En particulier, ledit microprocesseur principal intègre un programme de démarrage protégé, physiquement inscrit dans le microprocesseur et adapté pour, lors d'une opération visant à implémenter au moins une d'une application tachygraphique (première ou nouvelle) dans l'unité, commander audit circuit CSP l'exécution d'au moins une opération de sécurité en vue de Pauthentifîcation de ladite application ou partie d'application tachygraphique, et ne commander l'enregistrement de cette application ou partie d'application tachygraphique dans la mémoire d'application que si elle est considérée par le circuit CSP comme étant authentique et intègre.
Le programme de démarrage étant inscrit en dur (dans le silicium) dans le microprocesseur principal, celui-ci ne peut pas être modifié. Ce qui garantit la commande par le microprocesseur principal et l'exécution par le circuit
CSP de la(des) opération(s) de sécurité susmentionnée(s). L'application tachygraphique finalement stockée dans la mémoire d'application et utilisée par le(s) microprocesseur(s) principal(aux) est donc nécessairement authentique et intègre, c'est-à-dire conçue et implémentée par un organisme habilité, dans un environnement sécurisé, selon les spécifications imposées par les règles et normes.
En outre, il est de préférence prévu que l'application tachygraphique stockée dans la mémoire d'application soit elle-même adaptée pour, lorsqu'elle est chargée dans le microprocesseur principal pour le traitement des données tachygraphiques, commander périodiquement au circuit CSP associé l'exécution d'au moins une opération de sécurité en vue de sa propre authentification.
Avantageusement et selon l'invention, chaque circuit CSP est relié à un microprocesseur principal, lesdits circuit CSP et microprocesseur principal associés étant adaptés pour fonctionner selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave. Ainsi, toutes les opérations de sécurité exécutées par un circuit CSP le sont à la demande du microprocesseur principal associé, qui, pour ce faire, transmet au circuit CSP des données à authentifier assorties d'au moins une commande d'exécution d'une opération de sécurité correspondante. L'unité de tachygraphe selon l'invention comprend un dispositif lecteur/enregistreur de cartes à puce, dites cartes tachygraphiques, apte à recevoir au moins deux cartes tachygraphiques en parallèle.
Dans une version préférée de l'invention, l'unité de tachygraphe comprend également une interface de connexion, dite interface de carte tachygraphique, pour une communication sans fil (et notamment à distance) de l'unité avec un dispositif lecteur/enregistreur de cartes tachygraphiques externe à l'unité (dans sa version la plus simple, ce dispositif externe est adapté pour ne recevoir qu'une seule carte tachygraphique à la fois).
Quatre types de cartes tachygraphiques sont prévues, chaque carte tachygraphique appartenant à l'un de ces types : les cartes de conducteur, les cartes de contrôleur, les cartes d'entreprise et les cartes d'atelier. Chaque type de carte tachygraphique ouvre droit d'une part à un accès restreint à certaines données prédéterminées stockées dans l'unité, et d'autre part à l'exécution de certaines opérations prédéterminées selon le type de carte tachygraphique. L'insertion d'une carte tachygraphique dans le dispositif lecteur/enregistreur de cartes (qu'il s'agisse du dispositif de l'unité -dit dispositif intégré- ou d'un dispositif externe apte à communiquer avec l'unité) permet d'ouvrir une session de fonctionnement de l'unité correspondant au type de la carte insérée.
Conformément aux objectifs fixés, toute carte tachygraphique insérée dans le dispositif lecteur/enregistreur de cartes (intégré ou externe) doit pouvoir être authentifiée, de même que les données échangées entre ladite carte tachygraphique et l'unité de tachygraphe.
A cette fin, selon l'invention, le dispositif lecteur/enregistreur est contrôlé par au moins un microprocesseur principal de l'unité, auquel est associé un circuit CSP. Ce microprocesseur principal (ou éventuellement ces microprocesseurs principaux) est adapté pour commander audit circuit CSP l'exécution d'opérations de sécurité en vue de l'authentification mutuelle de l'unité et d'une carte tachygraphique présente dans le dispositif lecteur/enregistreur de cartes (intégré ou externe), et n'autoriser l'ouverture d'une session de fonctionnement correspondante que si l'unité et la carte tachygraphique sont considérées comme étant authentiques.
Une carte de conducteur authentifiée donne ainsi accès à une session de fonctionnement dite session de conducteur ; une carte d'atelier authentifiée donne accès a une session de fonctionnement dite session d'atelier ; une carte de contrôleur authentifiée donne accès à une session de fonctionnement dite session de contrôleur ; une carte d'entreprise authentifiée donne accès à une session de fonctionnement dite session d'entreprise.
Cette authentification mutuelle entre carte tachygraphique et unité est de préférence exécutée dès qu'une carte est insérée dans le dispositif lecteur/enregistreur de cartes (s 'agissant notamment du dispositif intégré). A cette fin, le microprocesseur principal est adapté pour surveiller les insertions et retraits de carte dans le dispositif lecteur/enregistreur et déclencher les opérations de sécurité susmentionnées dès qu'une insertion d'une carte tachygraphique dans le dispositif lecteur/enregistreur est détectée.
L'ouverture d'une session de fonctionnement permet la réalisation d'opérations, dont la nature dépend du type de la session. Certaines de ces opérations peuvent conduire à des échanges de données entre carte tachygraphique et unité. A chaque échange de données entre l'unité de tachygraphe et une carte tachygraphique présente dans le dispositif lecteur/enregistreur de cartes (intégré ou externe) et préalablement authentifiée, le microprocesseur principal est adapté pour commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification desdites données, et ne traiter les données échangées que si elles sont considérées comme étant authentiques et intègres.
En particulier, le microprocesseur principal est adapté pour : - lorsque des données (notamment des données tachygraphiques) sont reçues par l'unité depuis ladite carte tachygraphique, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentifïcation des données reçues, et ne traiter lesdites données que si elles sont considérées par le circuit CSP comme étant authentiques et intègres,
- lorsque des données doivent être transmises par l'unité à ladite carte tachygraphique, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de la protection de l'intégrité des données à transmettre. La carte tachygraphique est par ailleurs adaptée pour exécuter au moins une opération de sécurité en vue d'authentifier les données transmises, et ne traiter lesdites données que si elle les considère comme étant authentiques et intègres.
L'unité de tachygraphe doit par ailleurs pouvoir authentifier le capteur de mouvement avec lequel elle communique lorsqu'elle est embarquée sur un véhicule, ainsi que les données, dites données de mouvement, qu'elle reçoit dudit capteur. A noter que les données de mouvement sont des données tachygraphiques.
Pour sa liaison au capteur de mouvement, l'unité de tachygraphe comprend une interface de connexion, dite interface de capteur. A noter que cette liaison est de préférence filaire, auquel cas l'interface de capteur est constituée d'un ou plusieurs connecteur(s). Mais il n'est pas exclu que cette liaison soit sans fil et que l'interface de capteur comprenne (éventuellement en combinaison avec un connecteur) un dispositif émetteur-récepteur d'ondes électromagnétiques. Par ailleurs, selon l'invention, la carte principale de l'unité comprend au moins un microprocesseur principal relié à ladite interface de capteur et auquel est associé un circuit CSP, ledit microprocesseur principal étant adapté pour commander audit circuit CSP l'exécution d'opérations de sécurité en vue d'une part de l'authentification mutuelle du capteur de mouvement et de l'unité et d'autre part de l'authentification des données de mouvement reçues du capteur de mouvement par l'unité, et ne traiter les données de mouvement reçues que si le capteur de mouvement et l'unité sont considérés comme étant authentiques et si les données reçues sont considérées comme étant authentiques et intègres.
En particulier, le microprocesseur principal est adapté pour : - dans le cadre d'une opération initiale dite opération d'appariement d'un capteur de mouvement et de l'unité de tachygraphe, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de Pauthentifïcation mutuelle du capteur et de l'unité, et n'autoriser un échange ultérieur de données entre ledit capteur et l'unité que si ces derniers sont considérés comme étant authentiques, - dans le cadre d'une opération périodique, dite opération de contrôle des données de mouvement, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentifïcation de données, dites données de contrôle, échangées entre le capteur et l'unité dans le cadre de cette opération de contrôle, et n'autoriser le traitement des données de mouvement reçues par l'unité sur une période écoulée que si lesdites données de contrôle sont considérées comme étant authentiques et intègres. En d'autres termes, pour garantir l'authenticité et l'intégrité "des données de mouvement, seules sont vérifiées l'authenticité et l'intégrité des données de contrôle.
Pour une plus grande sécurité, l'opération d'appariement ne peut être mise en œuvre que si une carte tachygraphique d'atelier authentique et authentifiée est présente dans le dispositif lecteur/enregistreur de cartes intégré à l'unité. En d'autres termes, le(s) microprocesseur(s) ρrincipal(aux) de l'unité est(sont) adapté(s) pour n'autoriser l'exécution d'une opération d'appariement que dans le cadre d'une session d'atelier (qui ne peut être ouverte que par Pauthentification d'une carte d'atelier).
Avantageusement et selon l'invention, l'unité de tachygraphe comprend également une interface de connexion, dite interface de déchargement, pour la communication de l'unité avec un dispositif externe dit dispositif de déchargement, notamment apte à mémoriser des données tachygraphiques. L'interface de déchargement peut comprendre un connecteur, en vue d'une connexion fïlaire du dispositif de déchargement avec l'unité, et/ou un dispositif émetteur/récepteur d'ondes électromagnétiques, en vue d'une communication sans fil entre l'unité et un dispositif de déchargement éventuellement distant.
Selon l'invention, une opération de déchargement de données ne peut être mise en œuvre, sur commande d'un utilisateur, que si une carte tachygraphique de contrôleur, d'atelier ou d'entreprise (à l'exclusion d'une carte de conducteur) authentique et authentifiée est présente dans le dispositif lecteur/enregistreur de cartes (intégré ou externe). A cette fin, le(s) microprocesseurs) principal(aux) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération de déchargement de données vers un dispositif de déchargement « connecté » à l'unité (connexion filaire ou sans fil) par l'intermédiaire de l'interface de déchargement, que dans le cadre d'une session de contrôleur ou d'atelier ou d'entreprise (ouverte par l'authentification d'une carte correspondante).
A noter que les données dont le déchargement est autorisé peuvent différer selon la session de fonctionnement en cours. Avantageusement et selon l'invention, les données tachygraphiques déchargées sont assorties d'un attribut de sécurité, tel qu'une signature électronique, en vue de leur authentification ultérieure par le dispositif de déchargement ou par un autre outil. Le microprocesseur principal est également adapté pour, dans le cadre d'une opération de déchargement de données, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de la protection des données à décharger.
Par ailleurs, l'unité comprend également avantageusement une interface de connexion, dite interface d'étalonnage, comprenant au moins un connecteur, pour la communication de l'unité avec un dispositif externe dit dispositif d'étalonnage, en vue de l'étalonnage de l'unité.
Selon l'invention, une opération d'étalonnage ne peut être mise en œuvre, sur commande d'un utilisateur, au moyen d'un dispositif d'étalonnage connecté à l'unité par l'intermédiaire de l'interface d'étalonnage, que si une carte tachygraphique d'atelier authentique et authentifiée est présente dans le dispositif lecteur/enregistreur de cartes intégré à l'unité. A cette fin, le(s) microprocesseur(s) principal(aux) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération d'étalonnage que dans le cadre d'une session d'atelier (ouverte par l'authentification d'une carte d'atelier).
Lors d'une opération d'étalonnage, des données dites données d'étalonnage sont transmises à l'unité par le dispositif d'étalonnage. Les données d'étalonnage mémorisées dans l'unité en fin d'opération d'étalonnage sont des données tachygraphiques.
Avantageusement et selon l'invention, un microprocesseur principal de l'unité est adapté pour surveiller les insertions et retraits de carte dans le dispositif lecteur/enregistreur de cartes (intégré ou externe) et pour, dès qu'un retrait d'une carte tachygraphique du dispositif lecteur/enregistreur est détecté, interrompre toute opération en cours dans la session de fonctionnement correspondante. En particulier, sont ainsi interrompues les opérations en cours d'appariement de capteur, de mise à jour de l'application tachygraphique, d'étalonnage, de déchargement de données tachygraphique et bien entendu de lecture/écriture sur la carte tachygraphique (qui n'est plus connectée...).
Dans une version préférée de l'invention :
- la carte principale comprend un unique microprocesseur principal pour le traitement des données tachygraphiques, auquel sont reliés un circuit d'alimentation électrique alimenté de façon permanente par une source électrique permanente du véhicule, une mémoire de masse, dite mémoire d'application, de type électronique et non volatile -et notamment de type flash- pour le stockage d'au moins une application tachygraphique, une mémoire de masse, dite mémoire de données, de type électronique et non volatile -et notamment de type flash- pour le stockage de données tachygraphiques et éventuellement d'autres données à l'exclusion de données de sécurité secrètes (les deux mémoires précédemment définies pouvant être deux mémoires distinctes ou une seule et même mémoire), une horloge temps réel calendaire, un connecteur de capteur et un (unique) connecteur, dit connecteur de déchargement/étalonnage, pour la connexion à l'unité d'un dispositif externe d'étalonnage ou d'un dispositif externe de déchargement, un dispositif lecteur/enregistreur tel que précédemment défini,
- l'unité comprend un unique circuit CSP, dédié à la réalisation de toutes les opérations de sécurité, lesdits microprocesseur principal et circuit CSP étant reliés et adaptés pour fonctionner selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave, - l'unité comprend également une imprimante, un écran d'affichage, un dispositif de saisie de données par un utilisateur (tel qu'un clavier).
L'invention concerne également une unité de tachygraphe caractérisée en combinaison par tout ou partie des caractéristiques mentionnées ci- dessus et ci-après.
L'invention s'étend à un véhicule automobile équipé d'une telle unité de tachygraphe.
D'autres buts, caractéristiques et avantages de l'invention apparaîtront à la lecture de la description suivante qui se réfère aux figures annexées représentant des modes de réalisation préférentiels de l'invention, donnés uniquement à titre d'exemples non limitatifs, et dans lesquelles :
- la figure 1 est une vue en perspective d'une unité de tachygraphe selon l'invention,
- la figure 2 est une vue éclatée en perspective d'une unité de tachygraphe selon l'invention,
- la figure 3 est un schéma synoptique illustrant l'architecture de cette unité de tachygraphe et l'organisation de ses différents composants,
- la figure 4 est un organigramme illustrant le déroulement d'une opération de sécurité selon l'invention.
L'unité de tachygraphe 1 selon l'invention comprend, au sein d'un boîtier sécurisé 2 renforcé (formé de plusieurs éléments 2a, 2b, 2c) et doté de sceaux de sécurité 50 :
- une carte principale 3 à microprocesseurs), qui porte un microprocesseur principal 4, tel que ceux usuellement utilisés dans le domaine automobile ; en variante, ladite carte porte un groupe de microprocesseurs en parallèle en vue d'assurer une redondance, ou une pluralité de microprocesseurs indépendants ou reliés en série qui se partagent les fonctionnalités du tachygraphe ; la carte principale 3 porte également un circuit CSP 20 fournisseur de services cryptographiques, relié au microprocesseur principal 4 selon une relation maître/esclave dans laquelle le microprocesseur principal 4 est le maître et le circuit CSP 20 est l'esclave ; un tel circuit CSP est physiquement protégé ; il possède à cette fin des caractéristiques non seulement physiques mais aussi fonctionnelles (mémoire apte à disperser les secrets qu'il renferme...) garantissant son inviolabilité ; le circuit CSP 20 est par exemple un microprocesseur CSP similaire à ceux employés pour les cartes bancaires ; le circuit CSP 20 intègre une mémoire protégée dans laquelle sont stockés des algorithmes de chiffrement, des données de sécurité secrètes (clés privées et clés de session) et éventuellement d'autres données de sécurité (clés publiques..., ces autres données de sécurité pouvant en variante être stockées dans une mémoire non protégée de l'unité), en vue de l'exécution d'opérations de sécurité,
- une mémoire de masse flash 5, dite mémoire d'application, reliée au microprocesseur principal 4, et dans laquelle est stockée une application tachygraphique permettant de réaliser toutes les fonctionnalités du tachygraphe à l'exclusion d'au moins une partie des opérations de sécurité, et de préférence à l'exclusion de toutes les opérations de sécurité à mettre en œuvre pour garantir un niveau élevé de résistance aux attaques frauduleuses ; à noter toutefois que l'application tachygraphique intègre des commandes permettant de déclencher l'exécution des opérations de sécurité ; la mémoire d'application 5 est du type non volatile, - un circuit d'alimentation électrique 6 relié de façon permanente à une source électrique permanente du véhicule en vue d'alimenter le microprocesseur principal 4 en permanence quelle que soit la phase d'exploitation du véhicule en cours (hors contact, après contact, moteur arrêté, moteur tournant, véhicule à l'arrêt, véhicule roulant...), - une horloge temps réel calendaire 7 (date et heure) reliée au microprocesseur principal 4, et qui dispose de préférence d'une batterie de secours,
- un dispositif double 8 lecteur/enregistreur de cartes tachygraphiques à puce, piloté par le microprocesseur principal 4 et apte à recevoir deux cartes tachygraphiques en parallèle. Le dispositif dispose de deux blocs 81, 82 sensiblement identiques, comprenant chacun : " une interface mécanique (à fente, tiroir, chariot coulissant...) de réception d'une carte tachygraphique, dotée d'un mécanisme motorisé commandé pour le déplacement d'une carte 60 entre une position d'introduction/retrait et une position verrouillée de lecture/écriture, " un connecteur permettant la liaison entre le microprocesseur principal 4 de l'unité et là puce 61 d'une carte tachygraphique présente en position verrouillée de lecture/écriture,
• au moins un organe de détection de carte en position verrouillée de lecture/écriture, apte à transmettre un signal au microprocesseur principal 4 lorsqu'une carte est détectée en position verrouillée de lecture/écriture,
- un dispositif 16 émetteur/récepteur d'ondes électromagnétiques, relié au microprocesseur principal 4 et formant une interface de connexion, dite interface de cartes, pour la communication sans fil de l'unité avec un dispositif lecteur/enregistreur de cartes tachygraphiques externe à l'unité,
- un dispositif 14 émetteur/récepteur d'ondes électromagnétiques, relié au microprocesseur principal 4 et réalisant une interface de connexion de l'unité 1 avec un dispositif de déchargement distant ; en variante, un seul et même dispositif émetteur/récepteur réalise une interface de communication à la fois avec un dispositif lecteur/enregistreur de cartes et avec un dispositif de déchargement de données distants,
- un écran d'affichage 9, avec rétro-éclairage, piloté par le microprocesseur principal 4,
- une imprimante 10 pilotée par le microprocesseur principal 4,
- un dispositif 11 de saisie de données par un utilisateur, piloté par le microprocesseur principal 4 et comprenant un clavier à touches et/ou un écran tactile,
- un connecteur 12 de capteur relié au microprocesseur principal 4, réalisant une interface de connexion de l'unité 1 avec un capteur de mouvement en vue de la réception de données de mouvement du véhicule, - un connecteur 13 de déchargement/étalonnage relié au microprocesseur principal 4, réalisant une interface de connexion de l'unité 1 avec un dispositif d'étalonnage ou un dispositif de déchargement, en vue de la réception de données d'étalonnage (envoyées par le dispositif d'étalonnage) ou du déchargement (à destination du dispositif de déchargement) de données tachygraphiques,
- une pluralité de connecteurs 15 reliés au microprocesseur principal 4, pour la connexion de l'unité à certains calculateurs ou contacteurs du véhicule tels que le calculateur de vitesse, le compteur kilométrique, le calculateur de régime moteur, le réseau CAN de calculateurs du véhicule, en vue de la transmission de données entre l'unité et ces calculateurs, ainsi qu'un autre connecteur 15 pour la connexion du microprocesseur principal 4 de l'unité à un indicateur d'avertissement (signalement lumineux et/ou sonores),
- une mémoire de masse flash 17 de type non volatile, dite mémoire de données, reliée au microprocesseur principal 4 et dans laquelle sont stockées les données tachygraphiques, des données dites données de fonctionnement (taux d'éclairage de l'écran 9, zone image des tickets à imprimer par l'imprimante 10...) et des données dites données annexes (aléas, données temporaires...), et éventuellement des données de sécurité à condition qu'elles ne soient pas secrètes (clés publiques par exemple).
Outre l'unité 1, le tachygraphe comprend un capteur de mouvement du véhicule, des câbles de liaison permettant de relier le capteur de mouvement et le connecteur de capteur 12 de l'unité embarquée. Le capteur de mouvement est notamment formé d'un élément de détection de mouvement, d'un microprocesseur (auquel est relié l'élément de détection) et d'un connecteur pour la connexion du microprocesseur du capteur à l'unité embarquée.
L'unité de tachygraphe a pour fonction principale le traitement de données conducteur, parmi lesquelles on peut citer :
- la vitesse instantanée, la distance parcourue entre deux arrêts, ces données étant calculées à partir des données de mouvement relevées et transmises par le capteur de mouvement, - les activités du conducteur (conduite -lorsque le conducteur conduit le véhicule-, travail, pause/repos, disponibilité -lorsque le « conducteur », c'est-à-dire le titulaire de la carte tachygraphique, est co-chauffeur), ces données étant, selon les cas, imposées automatiquement (par l'application tachygraphique) ou saisies manuellement par le conducteur au moyen du clavier 11,
- le temps de chaque activité,
- le lieu de début et de fin des périodes journalières de travail, ces données étant saisies manuellement par le conducteur,
- les conditions particulières (« hors champ », trajet en ferry/train), ces données étant saisies manuellement par le conducteur.
Selon l'invention, les fonctions attribuées au microprocesseur principal concernent essentiellement des fonctions de calcul portant sur les données conducteur, des fonctions plus générales de gestion de l'ensemble des données tachygraphiques (données conducteur, données de mouvement, données contrôleur, données d'étalonnage, données d'entreprise...) et des fonctions de pilotage des divers organes de l'unité embarquée. Parmi ces fonctions, on peut citer :
- la génération et le traitement de données conducteur, et notamment :
" le traitement des données de mouvement du véhicule (émanant du capteur de mouvement et reçues par l'intermédiaire du connecteur de capteur), et en particulier le calcul de la vitesse et de la distance parcourue, la mesure du temps,
" le suivi des activités du conducteur, le suivi de la situation de conduite, " le traitement des données conducteur saisies manuellement par le conducteur (telles que le lieu de début et de fin des périodes journalières de travail, les activités du conducteur et les conditions particulières),
- la lecture de données stockées dans les mémoires d'application 5 et de données 17, l'enregistrement et le stockage de données dans ces mémoires, - le contrôle du dispositif 8 lecteur/enregistreur de cartes tachygraphiques en vue notamment de la surveillance des insertions et retraits de carte, de la lecture des cartes tachygraphiques, de l'enregistrement et le stockage de données sur les cartes tachygraphiques, et éventuellement de Pactionnement des mécanismes de déplacement de carte,
- le contrôle de l'écran d'affichage 9,
- le contrôle de l'imprimante 10,
- le traitement des données saisies manuellement par le conducteur au moyen du clavier 11, - l'émission d'avertissements (envoi de signaux d'avertissement par l'intermédiaire de dispositifs émetteurs correspondants, lumineux et/ou sonores),
- la détection des événements ; à noter qu'on peut distinguer, parmi les événements, ceux relatifs aux activités du conducteur (excès de vitesse, chevauchement temporel, dernière session incorrectement clôturée, conduite sans carte appropriée, ...) de ceux relatifs à la sécurité du tachygraphe (insertion d'une carte non valide, conflit de carte, insertion d'une carte en cours de conduite, interruption de l'alimentation électrique, erreur sur les données de mouvement, tentative d'atteinte à la sécurité), - la détection des anomalies (anomalie sur carte, anomalie sur appareil de contrôle),
- la gestion des verrouillages d'entreprise (traitement de données d'entreprises),
- le suivi des activités de contrôle (dont le traitement des données contrôleur),
- le contrôle de l'interface de déchargement/étalonnage (connecteur et dispositif émetteur-récepteur d'ondes), la commande de déchargement de données vers un dispositif externe de déchargement, le traitement de données d'étalonnage reçues, - la réalisation d' autotests, - le contrôle du circuit CSP 20, selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave, et la commande d'opérations de sécurité, le traitement des résultats desdites opérations de sécurité. Avantageusement et selon l'invention, les opérations de sécurité en vue de l'authentification mutuelle de l'unité et d'une carte tachygraphique mettent en œuvre, de préférence, des calculs de chiffrement au moyen de clés asymétriques (clés privées et publiques).
A noter que cette authentification mutuelle est déclenchée par le microprocesseur principal 4 lorsqu'il constate l'insertion d'une carte tachygraphique dans une interface de réception de carte du dispositif lecteur/enregistreur 8 ou d'un dispositif externe distant communiquant avec le microprocesseur principal 4 par l'intermédiaire de l'interface de cartes 16. Le microprocesseur principal 4 est en effet adapté pour identifier les insertions et retraits de carte en fonction des signaux qu'il reçoit du(des) organe(s) de détection dudit dispositif lecteur/enregistreur : la présence d'une carte 60 en position de lecture/écriture -réception d'un signal de détection- après une période d'absence de carte —pas de signal de détection- traduit l'insertion d'une carte ; l'absence de carte suite à une période de présence de carte traduit le retrait d'une carte. Pour une plus grande sécurité, l'authentification mutuelle d'une carte tachygraphique présente dans le dispositif lecteur/enregistreur est également déclenchée de façon périodique (alors qu'aucun retrait de carte n'a été constaté depuis la précédence authentification) par le microprocesseur principal 4 et/ou par la carte tachygraphique. Avantageusement et selon l'invention, les opérations de sécurité en vue de l'authentification de données échangées entre l'unité et le capteur de mouvement ou entre l'unité et une carte tachygraphique, mettent en œuvre de préférence des calculs de chiffrement au moyen de clés de session, c'est-à-dire de clés symétriques (clés secrètes). Ces clés de session communes au circuit CSP 20 de l'unité et au média externe (capteur de mouvement ou carte tachygraphique) sont établies conjointement par les deux éléments dans le cadre des opérations d'authentification mutuelle de ces éléments ou immédiatement après celles-ci. Les clés de session sont stockées dans la mémoire (protégée) du circuit CSP 20.
A titre d'exemple simplifié et non limitatif, la lecture de données tachygraphiques sur une carte tachygraphique préalablement authentifiée donne lieu aux opérations illustrées à la figure 3, qui permettent de garantir l'intégrité des données lues (ces opérations visent à vérifier que les données reçues par le microprocesseur principal 4 correspondent à celles envoyées par la carte tachygraphique et que ces dernières n'ont donc pas été falsifiées durant la transmission). Le microprocesseur principal 4 prépare la commande de lecture (étape 30) : le code de commande est assorti de données, dites données annexes, nécessaires à son exécution, telles que l'adresse et la longueur des données tachygraphiques à lire (en vue de leur localisation dans la mémoire de la carte tachygraphique). Il transmet (étape 31) les données annexes au circuit CSP 20, avec une commande d'exécution d'une opération de sécurité correspondante, en vue de protéger l'intégrité desdites données. Le circuit CSP 20 calcule (étape 32) une somme de contrôle, dite checksum, des données annexes, chiffre (encrypte) ladite checksum au moyen de sa clé de session et transmet (étape 33) la checksum cryptée au microprocesseur principal 4. Le microprocesseur principal 4 prépare (étape 34) et transmet (étape 35) la totalité de la commande de lecture (code de commande + données annexes + checksum) à la carte tachygraphique 60 (c'est-à-dire à sa puce électronique 61) via le connecteur du dispositif lecteur/enregistreur 8. La carte tachygraphique 60, 61 vérifie l'intégrité des données reçues (étape 36) en déchiffrant la checksum reçue au moyen de sa clé de session, en calculant la checksum des données annexes reçues et en comparant les deux valeurs. Si ces dernières coïncident, la carte tachygraphique 60, 61 transmet (étape 38) les données tachygraphiques demandées, après avoir préalablement calculé et chiffré -au moyen de sa clé de session- leur checksum (étape 37). A réception des données (étape 39), le microprocesseur principal 4 transmet (étape 40) au circuit CSP 20 les données tachygraphiques et la checksum cryptée reçues, ainsi qu'une commande d'exécution d'une opération de sécurité correspondante visant à vérifier l'intégrité des données tachygraphiques reçues. Exécutant cette commande, le circuit CSP 20 calcule la checksum des données tachygraphiques et déchiffre la checksum cryptée qui les accompagne au moyen de sa clé de session et compare les deux valeurs obtenues (étape 41). Si celles-ci coïncident, il renvoie un signal d'accord au microprocesseur principal 4 ; dans le cas contraire, il transmet à ce dernier un signal de désaccord (étape 42). Le microprocesseur principal 4 n'exploite les données tachygraphiques que si le signal reçu est un signal d'accord (étape 43). Si les données tachygraphiques ne sont pas considérées comme étant authentiques (signal de désaccord), le microprocesseur mémorise l'anomalie et émet éventuellement un signal correspondant à l'attention de l'utilisateur (étape 43). Les données de mouvement reçues du capteur de mouvement font également l'objet d'opérations de sécurité en vue de leur authentification. En fait, le capteur de mouvement, préalablement authentifié dans le cadre d'une opération d'appariement avec l'unité, émet continuellement des impulsions qu'il transmet à l'unité, chaque impulsion étant émise à l'instant où une distance prédéterminée a été parcourue par le véhicule depuis l'impulsion précédente. Le capteur de mouvement dispose par ailleurs d'un compteur, qu'il incrémente à chaque impulsion émise. De même, le microprocesseur principal de l'unité dispose d'un compteur, qu'il incrémente à chaque impulsion reçue. Périodiquement, le microprocesseur principal déclenche une opération sécurisée de comparaison des compteurs de capteur et d'unité. La lecture du compteur de capteur s'effectue, par exemple, comme précédemment expliqué relativement à la lecture de données tachygraphiques dans une carte tachygraphique : la valeur du compteur de capteur transmise à l'unité est en particulier authentifiée par un attribut de sécurité de type checksum cryptée. Une valeur relative du compteur de capteur et une valeur relative du compteur d'unité (la valeur relative d'un compteur correspondant à la différence de valeur du compteur depuis la dernière opération de comparaison) sont calculées par le microprocesseur principal puis comparées. Cette procédure permet de vérifier l'authenticité et l'intégrité des données (impulsions) transmises par le capteur pendant la période écoulée depuis la dernière opération de comparaison. II va de soi que l'invention peut faire l'objet de nombreuses variantes par rapport aux modes de réalisation précédemment décrits et représentés sur les figures.

Claims

REVENDICATIONS
1/ Unité de tachygraphe (1) destinée à être embarquée sur un véhicule automobile et à être reliée à au moins un capteur de mouvement du véhicule, laquelle unité comprend au moins une carte (3) à microprocesseurs), dite carte principale, pour le traitement et le stockage de données, dites données tachygraphiques, comprenant au moins des données, dites données conducteur, relatives à des activités d'un conducteur dudit véhicule, ladite unité de tachygraphe étant adaptée pour effectuer des opérations, dites opérations de sécurité, mettant en œuvre des algorithmes de chiffrement en vue de l'authentification d'au moins une partie des données tachygraphiques, caractérisée en ce que :
- ladite carte principale (3) comprend au moins un microprocesseur (4), dit microprocesseur principal, pour le traitement des données tachygraphiques,
- l'unité comprend au moins un circuit (20) physiquement protégé fournisseur de services cryptographiques, dit circuit CSP, distinct du(des) microprocesseurs) principal(aux), circuit CSP dans lequel sont stockées au moins des données dites données de sécurité secrètes, ce circuit CSP (20) étant adapté pour réaliser au moins une partie des opérations de sécurité lorsque l'unité est embarquée sur un véhicule.
2/ Unité selon la revendication 1, caractérisée en ce que la carte principale (3) comprend au moins une mémoire (5), dite mémoire d'application, associée à un microprocesseur principal (4), dans laquelle est stockée une application, dite application tachygraphique, pouvant être chargée dans ce microprocesseur principal pour le traitement des données tachygraphiques, et en ce que ce microprocesseur principal est adapté pour pouvoir vérifier l'authenticité d'au moins une partie de l'application tachygraphique à l'aide d'au moins une opération de sécurité réalisée par un circuit CSP (20) de l'unité de tachygraphe. 3/ Unité selon la revendication 2, caractérisée en ce que ce microprocesseur principal (4) intègre un programme de démarrage protégé, physiquement inscrit dans le microprocesseur et adapté pour, lors d'une opération visant à implémenter au moins une partie d'une application tachygraphique dans l'unité, commander audit circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentification de ladite application ou partie d'application tachygraphique, et ne commander l'enregistrement de cette application ou partie d'application tachygraphique dans la mémoire d'application (5) que si elle est considérée par le circuit CSP comme étant authentique et intègre. 4/ Unité selon l'une des revendications 2 ou 3, caractérisée en ce que l'application tachygraphique stockée dans la mémoire d'application (5) est adaptée pour, lorsqu'elle est chargée dans le microprocesseur principal, commander périodiquement au circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de Pauthentification de ladite application tachygraphique.
5/ Unité selon l'une des revendications 1 à 4, caractérisée en ce que le(s) circuit(s) CSP (20) est(sont) dédié(s) essentiellement à la réalisation d'opérations de sécurité.
6/ Unité selon l'une des revendications 1 à 5, caractérisée en ce que le(s) circuit(s) CSP (20) est(sont) dédié(s) essentiellement à la réalisation de toutes les opérations de sécurité.
Il Unité selon l'une des revendications 1 à 6, caractérisée en ce que chaque circuit CSP (20) est relié à un microprocesseur principal (4), lesdits circuit CSP et microprocesseur principal associés étant adaptés pour fonctionner selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave.
8/ Unité selon l'une des revendications 1 à 7, caractérisée en ce que le(s) circuit(s) CSP (20) est(sont) porté(s) par la carte principale (3).
9/ Unité selon l'une des revendications 1 à 8, caractérisée en ce que : - l'unité comprend un dispositif (8) lecteur/enregistreur de cartes à puce, dites cartes tachygraphiques, apte à recevoir au moins deux cartes tachygraphiques en parallèle, chaque carte appartenant à un type de carte prédéterminé, - le dispositif lecteur/enregistreur de cartes (8) est contrôlé par au moins un microprocesseur principal (4) auquel est associé un circuit CSP (20), ledit microprocesseur principal étant adapté pour commander audit circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification mutuelle de l'unité et d'une carte tachygraphique présente dans le dispositif lecteur/enregistreur de cartes, et n'autoriser l'ouverture d'une session de fonctionnement correspondant au type de la carte tachygraphique présente que si l'unité et ladite carte sont considérées comme étant authentiques.
10/ Unité selon la revendication 9, caractérisée en ce que ce microprocesseur principal (4) est adapté pour surveiller les insertions et retraits de carte dans le dispositif (8) lecteur/enregistreur de cartes, et commander l'exécution de cette(ces) opération(s) de sécurité dès qu'une insertion d'une carte tachygraphique dans le dispositif lecteur/enregistreur de cartes est détectée.
11/ Unité selon l'une des revendications 1 à 10, caractérisée en ce que : - l'unité comprend une interface de connexion (16), dite interface de carte, pour une communication sans fil de l'unité avec un dispositif externe lecteur/enregistreur de cartes à puce, dites cartes tachygraphiques, chaque carte appartenant à un type de carte prédéterminé,
- ledit dispositif lecteur/enregistreur externe est contrôlé par au moins un microprocesseur principal (4) auquel est associé un circuit CSP (20), ledit microprocesseur principal étant adapté pour commander audit circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification mutuelle de l'unité et d'une carte tachygraphique présente dans le dispositif lecteur/enregistreur de cartes, et n'autoriser l'ouverture d'une session de fonctionnement correspondant au type de la carte tachygraphique présente que si l'unité et ladite carte sont considérées comme étant authentiques. 12/ Unité selon l'une des revendications 9 à 11, caractérisée en ce que, à chaque échange de données entre l'unité (1) et une carte tachygraphique (60) présente dans le dispositif lecteur/enregistreur de cartes, ledit microprocesseur principal (4) est adapté pour commander audit circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentifîcation desdites données, et ne traiter les données échangées que si elles sont considérées comme étant authentiques et intègres.
13/ Unité selon la revendication 12, caractérisée en ce que le microprocesseur principal (4) est adapté pour : - lorsque des données sont reçues par l'unité depuis ladite carte tachygraphique, commander au circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentifîcation des données reçues, et ne traiter lesdites données que si elles sont considérées par le circuit CSP comme étant authentiques et intègres, - lorsque des données doivent être transmises par l'unité à ladite carte tachygraphique, commander au circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de la protection de l'intégrité des données à transmettre.
14/ Unité selon l'une des revendications 1 à 13, comprenant une interface de connexion (12), dite interface de capteur, pour la liaison de l'unité au capteur de mouvement, caractérisée en ce que la carte principale (3) comprend au moins un microprocesseur principal (4) relié à ladite interface de capteur (12) et auquel est associé un circuit CSP (20), ledit microprocesseur principal (4) étant adapté pour commander audit circuit CSP (20) l'exécution d'opérations de sécurité en vue d'une part de l'authentifîcation mutuelle du capteur de mouvement et de l'unité et d'autre part de l'authentifîcation des données de mouvement reçues du capteur de mouvement par l'unité, et ne traiter les données de mouvement reçues que si le capteur de mouvement et l'unité sont considérés comme étant authentiques et si les données reçues sont considérées comme étant authentiques et intègres. 15/ Unité selon la revendication 14, caractérisée en ce que ledit microprocesseur principal (4) est adapté pour : - dans le cadre d'une opération initiale dite opération d'appariement d'un capteur de mouvement et de l'unité, commander audit circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de Pauthentification mutuelle du capteur et de l'unité, et n'autoriser un échange ultérieur de données entre ledit capteur et l'unité que si ces derniers sont considérés comme étant authentiques,
- dans le cadre d'une opération périodique, dite opération de contrôle des données de mouvement, commander au circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentification de données, dites données de contrôle, échangées entre le capteur et l'unité dans le cadre de cette opération de contrôle, et n'autoriser le traitement des données de mouvement reçues par l'unité sur une période écoulée que si lesdites données de contrôle sont considérées comme étant authentiques et intègres.
16/ Unité selon les revendications 15 et 9, caractérisée en ce que le(s) microprocesseurs) principal(aux) (4) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération d'appariement que dans le cadre d'une session d'atelier.
17/ Unité selon l'une des revendications 1 à 16 et selon l'une des revendications 9 ou 11, caractérisée en ce que :
- elle comprend une interface de connexion (13, 14), dite interface de déchargement, pour la communication de l'unité avec un dispositif externe dit dispositif de déchargement, apte à mémoriser des données tachygraphiques,
- le(s) microprocesseur(s) principal(aux) (4) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération de déchargement de données vers un dispositif de déchargement connecté à l'unité par l'intermédiaire de l'interface de déchargement, que dans le cadre d'une session de contrôleur ou d'atelier ou d'entreprise.
18/ Unité selon l'une des revendications 1 à 17 et selon la revendication 9, caractérisée en ce que : - elle comprend une interface de connexion (13, 14), dite interface d'étalonnage, pour la communication de l'unité avec un dispositif externe dit dispositif d'étalonnage,
- le(s) microprocesseur(s) principal(aux) (4) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération d'étalonnage de l'unité, au moyen d'un dispositif d'étalonnage connecté à l'unité par l'intermédiaire de l'interface d'étalonnage, que dans le cadre d'une session d'atelier.
19/ Unité selon l'une des revendications 1 à 18 et selon la revendication 9, caractérisée en ce qu'un microprocesseur principal (4) de l'unité est adapté pour surveiller les insertions et retraits de carte dans le dispositif (8) lecteur/enregistreur de cartes et pour, dès qu'un retrait d'une carte tachygraphique du dispositif lecteur/enregistreur de cartes est détecté, interrompre toute opération en cours dans la session de fonctionnement correspondante.
20/ Unité selon l'une des revendications 1 à 19, caractérisée en ce que :
- la carte principale (3) comprend un unique microprocesseur principal (4) pour le traitement des données tachygraphiques, auquel sont reliés un circuit d'alimentation électrique (6) alimenté de façon permanente par une source électrique permanente du véhicule, une mémoire de masse (5), dite mémoire d'application, de type non volatile pour le stockage d'au moins une application dite application tachygraphique, une mémoire de masse (17), dite mémoire de données, de type non volatile pour le stockage au moins des données tachygraphiques, une horloge temps réel calendaire (7), un dispositif (8) lecteur/enregistreur de cartes à puce, dites cartes tachygraphiques, apte à recevoir au moins deux cartes tachygraphiques en parallèle, un connecteur (12), dit connecteur de capteur, pour la connexion de l'unité au capteur de mouvement, un connecteur (13), dit connecteur de déchargement/étalonnage, pour la connexion à l'unité d'un dispositif externe d'étalonnage ou d'un dispositif externe de déchargement,
- l'unité comprend un unique circuit CSP (20), dédié à la réalisation de toutes les opérations de sécurité, lesdits microprocesseur principal (4) et circuit CSP (20) étant reliés et adaptés pour fonctionner selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave, l'unité comprend une imprimante (10), un écran d'affichage (9), un dispositif (11) de saisie de données par un utilisateur. 21/ Véhicule automobile, caractérisé en ce qu'il est équipé d'une unité de tachygraphe selon l'une des revendications 1 à 20.
PCT/FR2005/002893 2004-11-22 2005-11-22 Unite de tachygraphe electronique pour véhicule automobile WO2006053998A1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
PL05818272T PL1815256T3 (pl) 2004-11-22 2005-11-22 Jednostka tachografu elektronicznego dla pojazdu samochodowego
EP05818272A EP1815256B1 (fr) 2004-11-22 2005-11-22 Unité de tachygraphe électronique pour véhicule automobile
BRPI0517699-9A BRPI0517699A (pt) 2004-11-22 2005-11-22 unidade de tacógrafo eletrÈnico para veìculo automotivo
ES05818272T ES2401592T3 (es) 2004-11-22 2005-11-22 Unidad de tacógrafo electrónico para vehículo automóvil

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0412379A FR2878355B1 (fr) 2004-11-22 2004-11-22 Unite de tachigraphe electronique pour vehicule automobile
FR0412379 2004-11-22

Publications (1)

Publication Number Publication Date
WO2006053998A1 true WO2006053998A1 (fr) 2006-05-26

Family

ID=34951974

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/002893 WO2006053998A1 (fr) 2004-11-22 2005-11-22 Unite de tachygraphe electronique pour véhicule automobile

Country Status (6)

Country Link
EP (1) EP1815256B1 (fr)
BR (1) BRPI0517699A (fr)
ES (1) ES2401592T3 (fr)
FR (1) FR2878355B1 (fr)
PL (1) PL1815256T3 (fr)
WO (1) WO2006053998A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009051350A1 (de) 2009-10-30 2011-05-05 Continental Automotive Gmbh Verfahren zum Betreiben eines Tachographen und Tachograph
US9196099B2 (en) 2007-09-28 2015-11-24 Continental Automotive Gmbh Tachograph, toll onboard unit, display instrument, and system

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2369555B1 (fr) 2010-02-22 2014-07-02 Stoneridge Electronics AB Téléchargement temporaire
EP2362357B1 (fr) 2010-02-22 2020-02-12 Stoneridge Electronics AB Fonctions améliorées de tachygraphe
BE1020818A3 (fr) * 2012-07-05 2014-05-06 Hennekinne Yves Systeme de cartes a puces pour automobile.
DE102013214798A1 (de) 2013-07-29 2015-01-29 Continental Automotive Gmbh Tachografenanordnung und Verfahren zum Betreiben einer Tachografenanordnung
DE102020216530A1 (de) * 2020-12-23 2022-06-23 Continental Automotive Gmbh Tachographensystem für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betreiben eines Tachographensystems
RU209414U1 (ru) * 2021-12-02 2022-03-16 Общество с ограниченной ответственностью "НОВЫЕ РЕШЕНИЯ ДРАЙВА" Цифровой тахограф

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0592166A2 (fr) * 1992-10-05 1994-04-13 Matra Marconi Space UK Limited Tachygraphe
US5497419A (en) * 1994-04-19 1996-03-05 Prima Facie, Inc. Method and apparatus for recording sensor data
WO2002031709A1 (fr) * 2000-10-12 2002-04-18 Southwest Research Institute Procede et appareil d'enregistrement de donnees personnelles transportables
US6556905B1 (en) * 2000-08-31 2003-04-29 Lisa M. Mittelsteadt Vehicle supervision and monitoring

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3505068C1 (de) * 1985-02-14 1986-06-19 Mannesmann Kienzle GmbH, 7730 Villingen-Schwenningen Fahrtschreiber fuer Kraftfahrzeuge

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0592166A2 (fr) * 1992-10-05 1994-04-13 Matra Marconi Space UK Limited Tachygraphe
US5497419A (en) * 1994-04-19 1996-03-05 Prima Facie, Inc. Method and apparatus for recording sensor data
US6556905B1 (en) * 2000-08-31 2003-04-29 Lisa M. Mittelsteadt Vehicle supervision and monitoring
WO2002031709A1 (fr) * 2000-10-12 2002-04-18 Southwest Research Institute Procede et appareil d'enregistrement de donnees personnelles transportables

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9196099B2 (en) 2007-09-28 2015-11-24 Continental Automotive Gmbh Tachograph, toll onboard unit, display instrument, and system
DE102009051350A1 (de) 2009-10-30 2011-05-05 Continental Automotive Gmbh Verfahren zum Betreiben eines Tachographen und Tachograph
WO2011051128A1 (fr) 2009-10-30 2011-05-05 Continental Automotive Gmbh Procédé permettant de faire fonctionner un tachographe, et tachographe correspondant
US8931091B2 (en) 2009-10-30 2015-01-06 Continental Automotive Gmbh Method for operating a tachograph and tachograph

Also Published As

Publication number Publication date
EP1815256A1 (fr) 2007-08-08
FR2878355B1 (fr) 2007-02-23
EP1815256B1 (fr) 2013-01-02
BRPI0517699A (pt) 2008-10-14
FR2878355A1 (fr) 2006-05-26
ES2401592T3 (es) 2013-04-22
PL1815256T3 (pl) 2013-06-28

Similar Documents

Publication Publication Date Title
EP1815256B1 (fr) Unité de tachygraphe électronique pour véhicule automobile
EP0719438B1 (fr) Systeme de controle d'acces limites a des plages horaires autorisees et renouvelables au moyen d'un support de memorisation portable
EP0912920B1 (fr) Systeme de stockage securise de donnees sur cd-rom
EP0531241B1 (fr) Système électronique à accès contrÔlé
EP0037762A1 (fr) Procédé et système de transmission de messages signés
EP2048814A1 (fr) Procédé d'authentification biométrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants.
WO2007080289A1 (fr) Procede pour la realisation d'un compteur securise sur un systeme informatique embarque disposant d'une carte a puce.
EP2710563A1 (fr) Acces et personnalisation d'un vehicule automobile par telephone
EP2306358A1 (fr) Procédé de vérification de la validité d'un ticket électronique de stationnement
FR2996947A1 (fr) Procede securise de commande d'ouverture de dispositifs de serrure a partir de messages mettant en oeuvre un cryptage symetrique
FR2792754A1 (fr) Dispositif electronique de surveillance de vehicules contenant au moins un support de donnees transportables
EP1293062B1 (fr) Procede d'authentification / identification biometrique securise , module de saisie et module de verification de donnees biometriques
FR2989799A1 (fr) Procede de transfert d'un dispositif a un autre de droits d'acces a un service
EP0856624B1 (fr) Système de sécurité pour véhicules automobiles et procédé d'apprentissage associé
EP1683112A1 (fr) Systeme de controle d informations liees a un vehicule
EP1825441B1 (fr) Unite de tachygraphe electronique pour vehicule automobile
BE1016037A6 (fr) Boitier de commande avec capteur d'empreintes digitales.
FR2835951A1 (fr) Systeme d'authentification electronique
FR2730076A1 (fr) Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants
WO2017005644A1 (fr) Procédé et système de contrôle d'accès à un service via un média mobile sans intermediaire de confiance
WO2023094744A1 (fr) Procédé d'établissement d'une transaction entre un objet communicant et un module de controle de la transaction associé à un dispositif de fourniture de bien(s) ou de service(s)
FR3117655A1 (fr) Système de tachygraphe, dispositif de tachygraphe et procédé de fonctionnement d’un système de tachygraphe
EP1777612A1 (fr) Boîtier de commande avec capteur d'empreintes digitales
WO2012031849A1 (fr) Procede de securisation des systemes electroniques de tachygraphes
WO2005031665A1 (fr) Systeme de machines à sous securise

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KN KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
REEP Request for entry into the european phase

Ref document number: 2005818272

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2005818272

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWP Wipo information: published in national office

Ref document number: 2005818272

Country of ref document: EP

ENP Entry into the national phase

Ref document number: PI0517699

Country of ref document: BR