[go: up one dir, main page]

EP1815256B1 - Unité de tachygraphe électronique pour véhicule automobile - Google Patents

Unité de tachygraphe électronique pour véhicule automobile Download PDF

Info

Publication number
EP1815256B1
EP1815256B1 EP05818272A EP05818272A EP1815256B1 EP 1815256 B1 EP1815256 B1 EP 1815256B1 EP 05818272 A EP05818272 A EP 05818272A EP 05818272 A EP05818272 A EP 05818272A EP 1815256 B1 EP1815256 B1 EP 1815256B1
Authority
EP
European Patent Office
Prior art keywords
unit
data
card
called
tachographic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Revoked
Application number
EP05818272A
Other languages
German (de)
English (en)
Other versions
EP1815256A1 (fr
Inventor
Laurent Malberti
Eric Romon
Jacques Kunegel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Actia Automotive SA
Original Assignee
Actia Automotive SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34951974&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=EP1815256(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Actia Automotive SA filed Critical Actia Automotive SA
Priority to PL05818272T priority Critical patent/PL1815256T3/pl
Publication of EP1815256A1 publication Critical patent/EP1815256A1/fr
Application granted granted Critical
Publication of EP1815256B1 publication Critical patent/EP1815256B1/fr
Revoked legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • G07C5/0858Registering performance data using electronic data carriers wherein the data carrier is removable
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C7/00Details or accessories common to the registering or indicating apparatus of groups G07C3/00 and G07C5/00

Definitions

  • the invention relates to a unit of a so-called tachograph control device intended to be loaded onto a motor vehicle-in particular a vehicle for transporting goods or passengers-in order to enable the control of the activities of a driver of the vehicle.
  • driver designates a person who can in turn exercise the activities of driver or co-driver (also called “conveyor") of the vehicle.
  • the tachograph comprises, in addition to this unit, at least one vehicle motion sensor, connected to the unit when the latter is on board.
  • a tachograph has the particular function of recording, storing, producing, printing, and possibly exchanging and displaying, data, called driver data, relating to the activities of a driver of the vehicle, with a view to allow control of these activities by a controller.
  • the tachographs currently used in Europe are of the tachograph type with graphic discs, such as that described by US 4,782,691 . These are analog and mechanical instruments for retranscribing conductive data on a paper disk by means of a stylus.
  • a tachograph unit already has, for this purpose, mechanical protections (reinforced housing possibly equipped with security seals ).
  • the implementation of electronic components - including microprocessor circuit (s) and smart card reader (s) - in the tachograph unit now makes it possible to envisage the implementation of electronic protections within the unit, such as cryptographic security mechanisms.
  • the tachograph unit must keep cryptographic secrets (private or secret encryption keys, for encryption and decryption) and integrate corresponding encryption algorithms.
  • the object of the invention is to provide a secure tachograph unit, not only endowed with such cryptographic algorithms and secrets, but also and above all with enhanced electronic protection capable of offering a high level of resistance to fraudulent attacks.
  • the aim is not only to offer control and limitation of access to data managed by the unit, read and / or write, but also and above all to ensure compliance with this limitation by detecting any falsification of these data.
  • An object of the invention is to provide a unit able to strongly resist an attack conducted using sophisticated means, whether means implemented directly on the circuits of the unit or remotely.
  • the object of the invention is in particular to provide a unit offering a level of security rated E3 FORT according to the ITSEC evaluation methodology.
  • Another object of the invention is to provide a more efficient electronic tachograph unit also in terms of functionality.
  • the invention aims to achieve the aforementioned objectives at lower cost, by proposing a tachograph unit low cost.
  • the invention aims to provide a tachograph unit that fulfills these objectives from means, including electronic components, customary and inexpensive, or possibly new but inexpensive development and manufacturing.
  • the invention relates to a tachograph unit intended to be on board a motor vehicle and to be connected to at least one vehicle motion sensor, which unit comprises at least one microprocessor card (s), said main board, for processing and storing data, called tachograph data, comprising at least data, called conductive data, relating to activities of a driver of said vehicle.
  • the tachograph unit is also adapted to perform operations, said security operations, implementing encryption algorithms for the purpose of authentication of at least a portion of the tachograph data.
  • security data refers to additional data stored and / or created and / or calculated and / or used ... in the context of security operations.
  • the security data includes encryption keys, certificates issued by authorized official bodies, security attributes generated by a security operation for a data transmission, such as a signature, a checksum -dite checksum -...
  • Some of these data, called secret data are by definition secret: stored in the tachograph unit, they must remain inaccessible to any unauthorized person (the tachograph unit must offer a high level of resistance to attacks to obtain this secret data); it is essentially secret -symmetric encryption keys and private encryption keys.
  • CSP circuit (s) can be carried by the main card or by one or more other card (s).
  • the invention consists in selecting and separating from all the operations implemented by a tachograph unit, at least part of the operations relating solely to security (operations consisting in authenticating and / or protecting certain data by means of encryption algorithms, with the ultimate aim of guaranteeing the authenticity and integrity of the driver data), and to execute the selected security operations by a specific, physically protected circuit.
  • this protected circuit are stored secret security data. It can also store encryption algorithms and / or non-secret security data (such as public keys) relating to the security operations allocated to said CSP circuit.
  • the (s) circuit (s) CSP is (are) dedicated (s) essentially to the realization of security operations, the term "essentially” meaning that each circuit CSP is dedicated to operations of security and possibly to specific operations requiring a low capacity of processing and storage, such as the storage of temporary data generated by the processing of tachograph data.
  • a cryptographic service provider circuit that is customary and inexpensive, having a low processing and storage capacity, can thus be used as a CSP circuit according to the invention, given that it is "discharged" from the functionalities of tachograph unit that require more capacity.
  • the (s) circuit (s) CSP is (are) dedicated (s) essentially to the realization of all security operations. Therefore, the main microprocessor (s) does not perform any security operation. It is therefore possible to use, as main microprocessor, a basic microprocessor, unprotected and therefore inexpensive, such as, for example, a computer usually used in the automotive field. Such a conventional computer has sufficient processing and storage capacity to handle all the tasks (excluding security operations) assigned to the tachograph unit.
  • the tachograph unit comprises a single CSP circuit, essentially dedicated to all security operations.
  • the main card of the tachograph unit comprises at least one memory, called application memory, associated with a main microprocessor, in which is stored an application (one or more programs), called tachograph application , which can be loaded into this main microprocessor for processing tachograph data.
  • this microprocessor main is adapted to verify the authenticity and integrity of at least a portion of the tachograph application using at least one security operation performed by a CSP circuit of the tachograph unit.
  • said main microprocessor integrates a protected start program, physically registered in the microprocessor and adapted for, during an operation to implement at least one of a tachograph application (first or new) in the unit, order audit CSP circuit executing at least one security operation for the purpose of authenticating said application or tachograph application part, and not controlling the registration of this application or tachograph application part in the application memory only if it is considered by the CSP circuit to be genuine and honest.
  • the startup program is hard-coded (in silicon) in the main microprocessor, it can not be modified. This guarantees the control by the main microprocessor and the execution by the CSP circuit of the aforementioned security operation (s).
  • the tachograph application finally stored in the application memory and used by the main microprocessor (s) is therefore necessarily authentic and integrated, that is to say, conceived and implemented by an authorized organization, in a secure environment, according to the specifications imposed by the rules and standards.
  • the tachograph application stored in the application memory is itself adapted to, when loaded into the main microprocessor for tachograph data processing, periodically control the associated CSP circuit 1. performing at least one security operation for its own authentication.
  • each CSP circuit is connected to a main microprocessor, said associated CSP and main microprocessor circuit being adapted to operate in a master / slave relationship in which the main microprocessor is the master and the CSP circuit is the slave .
  • the tachograph unit comprises a reader / writer device for smart cards, called tachograph cards, able to receive at least two tachograph cards in parallel.
  • the tachograph unit also comprises a connection interface, called a tachograph card interface, for wireless communication (and in particular at a distance) of the unit with a card reader / writer device.
  • a connection interface called a tachograph card interface
  • tachograph external to the unit (in its simplest version, this external device is adapted to receive only one tachograph card at a time).
  • each tachograph card belonging to one of these types: driver cards, controller cards, business cards and shop cards.
  • Each type of tachograph card opens right on the one hand to a restricted access to certain predetermined data stored in the unit, and on the other hand to the execution of certain predetermined operations according to the type of tachograph card.
  • the insertion of a tachograph card into the card reader / writer device (whether it is the device of the integrated device unit or an external device capable of communicating with the unit) makes it possible to open an operating session of the unit corresponding to the type of card inserted.
  • any tachograph card inserted in the card reader / writer device must be able to be authenticated, as well as the data exchanged between the tachograph card and the tachograph unit.
  • the reader / recorder device is controlled by at least one main microprocessor of the unit, which is associated with a CSP circuit.
  • This main microprocessor (or possibly these main microprocessors) is adapted to control said circuit CSP performing security operations for the mutual authentication of the unit and a tachograph card present in the reader / writer device (integrated or external), and not allowing the opening of a corresponding operating session only if the unit and the tachograph card are considered authentic.
  • An authenticated driver card thus gives access to a session of operation called driver session; an authenticated workshop card gives access to an operating session called a workshop session; an authenticated controller card provides access to a session of operation known as a controller session; an authenticated corporate card gives access to a session of operation called business session.
  • This mutual authentication between tachograph card and unit is preferably performed as soon as a card is inserted into the card reader / writer device (especially with regard to the integrated device).
  • the main microprocessor is adapted to monitor card insertions and withdrawals in the reader / writer device and to trigger the aforementioned security operations as soon as an insertion of a tachograph card into the reader / writer device is detected.
  • Opening an operating session allows operations to be performed, the nature of which depends on the type of the session. Some of these operations may lead to data exchanges between tachograph card and unit.
  • the main microprocessor is adapted to control the circuit CSP execution of at least a security operation to authenticate said data, and to process the exchanged data only if they are considered to be authentic and honest.
  • the tachograph unit must also be able to authenticate the motion sensor with which it communicates when it is on board a vehicle, as well as the data, called motion data, that it receives from said sensor. Note that the movement data are tachograph data.
  • the tachograph unit For its connection to the motion sensor, the tachograph unit comprises a connection interface, called sensor interface.
  • this connection is preferably wired, in which case the sensor interface consists of one or more connector (s). But it is not excluded that this connection is wireless and that the sensor interface comprises (possibly in combination with a connector) an emitter-receiver device of electromagnetic waves.
  • the main board of the unit comprises at least one main microprocessor connected to said sensor interface and which is associated with a CSP circuit, said main microprocessor being adapted to control said execution of the CSP circuit.
  • the pairing operation can be implemented only if an authentic and authenticated workshop tachograph card is present in the unit reader / recorder integrated in the unit.
  • the main microprocessor (s) of the unit is (are) adapted to allow the execution of a pairing operation only in the context of a workshop session (which can only be opened by authentication of a workshop card).
  • the tachograph unit also comprises a connection interface, called the unloading interface, for the communication of the unit with an external device called unloading device, in particular able to store tachograph data.
  • the unloading interface may include a connector, for wired connection of the unloader with the unit, and / or an emitter / receiver for electromagnetic waves, for wireless communication between the unit and an optionally remote unloading device.
  • a data unloading operation can be implemented, on the order of a user, only if a tachograph card of a controller, a workshop or an enterprise (excluding a driver) authentic and authenticated is present in the device reader / chart recorder (integrated or external).
  • the main microprocessor (s) is (are) adapted to allow the execution of a data unloading operation to an unloading device "connected" to the unit (wired or wireless connection) via the unload interface, only in the context of a controller or workshop or enterprise session (opened by the authentication of a corresponding card).
  • the downloaded tachograph data are accompanied by a security attribute, such as an electronic signature, for subsequent authentication by the unloading device or by another tool.
  • the main microprocessor is also adapted for, in the context of a data unloading operation, commanding the circuit CSP the execution of at least one security operation for the protection of the data to be unloaded.
  • the unit also advantageously comprises a connection interface, called a calibration interface, comprising at least one connector, for the communication of the unit with an external device called calibration device, for the purpose of calibrating unit.
  • a calibration operation can not be implemented, on the control of a user, by means of a calibration device connected to the unit via the calibration interface, only if an authentic and authenticated workshop tachograph card is present in the card reader / writer device integrated into the unit.
  • the main microprocessor (s) is (are) adapted to allow the execution of a calibration operation only in the context of a workshop session ( opened by the authentication of a workshop card).
  • calibration data are transmitted to the unit by the calibration device.
  • the data calibration stored in the unit at the end of the calibration operation are tachograph data.
  • a main microprocessor of the unit is adapted to monitor card insertions and withdrawals in the card reader / writer device (integrated or external) and, as soon as a withdrawal of a tachograph card of the reader / writer device is detected, interrupt any operation in progress in the corresponding operating session.
  • the operations are interrupted during sensor matching, updating the tachograph application, calibration, tachograph data unloading and of course read / write on the tachograph card (which does not is more connected ).
  • the invention also relates to a tachograph unit characterized in combination by all or some of the features mentioned above and below.
  • the invention extends to a motor vehicle equipped with such a tachograph unit.
  • the tachograph comprises a vehicle motion sensor, connecting cables for connecting the motion sensor and the sensor connector 12 of the onboard unit.
  • the motion sensor is formed in particular by a motion detection element, a microprocessor (to which the detection element is connected) and a connector for connecting the microprocessor of the sensor to the onboard unit.
  • the security operations for the mutual authentication of the unit and a tachograph card preferably implement encryption calculations by means of asymmetric keys (private and public keys). .
  • the main microprocessor 4 is indeed adapted to identify card insertions and withdrawals according to the signals it receives from the detection device (s) of said reader device / recorder: the presence of a card 60 in the read / write position - reception of a detection signal - after a period of absence of a card - no detection signal - translates the insertion of a card; the absence of a card following a period of card presence reflects the withdrawal of a card.
  • mutual authentication of a tachograph card present in the reader / writer device is also triggered periodically (while no card withdrawal has been noted since the authentication precedence) by the main microprocessor 4 and / or by the tachograph card.
  • the security operations for the authentication of data exchanged between the unit and the motion sensor or between the unit and a tachograph card preferably implement encryption calculations using session keys, that is, symmetric keys (secret keys).
  • session keys that is, symmetric keys (secret keys).
  • the session keys are stored in the (protected) memory of the CSP circuit 20.
  • the reading of tachograph data on a previously authenticated tachograph card gives rise to the operations illustrated in FIG. figure 3 , which make it possible to guarantee the integrity of the data read (these operations are intended to verify that the data received by the main microprocessor 4 correspond to those sent by the tachograph card and that the latter were therefore not falsified during the transmission).
  • the main microprocessor 4 prepares the read command (step 30): the control code is provided with data, called ancillary data, necessary for its execution, such as the address and the length of the tachograph data to be read (with a view to their location in the memory of the tachograph card).
  • step 31 It transmits (step 31) the data annexed to the circuit CSP 20, with a command to execute a corresponding security operation, in order to protect the integrity of said data.
  • the circuit CSP 20 calculates (step 32) a checksum, called checksum, of the ancillary data, encrypts said checksum by means of its session key and transmits (step 33) the encrypted checksum to the main microprocessor 4.
  • the microprocessor main 4 prepares (step 34) and transmits (step 35) the entire read command (command code + ancillary data + checksum) to the tachograph card 60 (i.e., to its electronic chip 61) via the connector of the reader / writer device 8.
  • the tachograph card 60, 61 checks the integrity of the data received (step 36) by decrypting the checksum received by means of its session key, calculating the checksum of the received ancillary data and comparing both values. If the latter coincide, the tachograph card 60, 61 transmits (step 38) the requested tachograph data, after having previously calculated and encrypted - by means of its session key - their checksum (step 37). Upon receipt of the data (step 39), the main microprocessor 4 transmits (step 40) to the CSP circuit 20 the tachograph data and the encrypted checksum received, as well as a command to execute a corresponding security operation to check the integrity of tachograph data received.
  • the CSP circuit 20 calculates the checksum tachograph data and decrypts the encrypted checksum that accompanies them by means of its session key and compares the two values obtained (step 41). If they coincide, it sends a signal of agreement to the main microprocessor 4; otherwise, it transmits to the latter a signal of disagreement (step 42).
  • the main microprocessor 4 only operates the tachograph data if the received signal is a tuning signal (step 43). If the tachograph data are not considered authentic (disagreement signal), the microprocessor stores the anomaly and possibly emits a signal corresponding to the attention of the user (step 43).
  • Motion data received from the motion sensor is also subject to security operations for authentication.
  • the motion sensor previously authenticated in the context of a pairing operation with the unit, continuously transmits pulses that it transmits to the unit, each pulse being transmitted at the instant when a predetermined distance has been traveled by the vehicle since the previous impulse.
  • the motion sensor also has a counter, which it increments with each pulse emitted.
  • the main microprocessor of the unit has a counter, which it increments with each pulse received. Periodically, the main microprocessor triggers a secure operation to compare the sensor and unit counters.
  • the reading of the sensor counter is performed, for example, as previously explained with regard to the reading of tachograph data in a tachograph card: the value of the sensor counter transmitted to the unit is in particular authenticated by a security attribute of type encrypted checksum.
  • a relative value of the sensor counter and a relative value of the unit counter are calculated by the main microprocessor and then compared. This procedure verifies the authenticity and integrity of the data (pulses) transmitted by the sensor during the period since the last comparison operation.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Description

  • L'invention concerne une unité d'un appareil de contrôle dit tachygraphe, destinée à être embarquée sur un véhicule automobile -notamment un véhicule de transport de marchandises ou de voyageurs- en vue de permettre le contrôle d'activités d'un conducteur du véhicule. A noter que le terme « conducteur » désigne une personne pouvant tour à tour exercer des activités de chauffeur ou de co-chauffeur (encore dit « convoyeur ») du véhicule. Le tachygraphe comprend, outre cette unité, au moins un capteur de mouvement du véhicule, relié à l'unité lorsque celle-ci est embarquée.
  • Un tachygraphe a notamment pour fonction d'enregistrer, de stocker, de produire, d'imprimer, et éventuellement d'échanger et d'afficher, des données, dites données conducteur, relatives aux activités d'un conducteur du véhicule, en vue de permettre un contrôle de ces activités par un contrôleur.
  • Les tachygraphes actuellement utilisés en Europe sont du type tachygraphe à disques graphiques, tels que celui décrit par US 4 782 691 . Il s'agit d'instruments analogiques et mécaniques permettant de retranscrire des données conducteur sur un disque en papier au moyen d'un stylet.
  • Suivant une tendance généralisée dans le domaine de l'automobile, des tachygraphes électroniques ont par ailleurs été développés, dotés notamment de circuits à microprocesseurs pour le traitement et le stockage des données conducteur. L'introduction de l'électronique dans les tachygraphes a permis d'envisager la mise en oeuvre de nouveaux équipements au sein de l'unité de tachygraphe et la réalisation par celle-ci de nouvelles fonctions. Ainsi, par exemple, des études ont porté sur le remplacement des disques graphiques connus (et toujours utilisés...) par des cartes à puce électronique. Elles ont abouti à la conception d'unités de tachygraphe, telles que celle décrite par US 4 644 368 , dotées de dispositifs lecteur/enregistreur de cartes à puce.
  • Les documents EP-A-0592 166 et WO-A-02/31709 décrivent d'autres exemples d'appareils enregistreur de données pour véhicules selon l'art antérieur.
  • Parallèlement, l'accent a été mis sur la garantie d'une plus grande sécurité dans le traitement des données, dans l'objectif d'éviter les fraudes. Une unité de tachygraphe dispose déjà, à cette fin, de protections mécaniques (boîtier renforcé éventuellement muni de sceaux de sécurité...). L'implantation de composants électroniques -et notamment de circuit(s) à microprocesseur(s) et de lecteur(s) de cartes à puce- dans l'unité de tachygraphe permet aujourd'hui d'envisager la mise en oeuvre de protections électroniques au sein de l'unité, telles que des mécanismes de sécurité cryptographiques.
  • L'invention vise à fournir un tachygraphe -et plus précisément une unité de tachygraphe- électronique sécurisé, dans lequel sont notamment garanties :
    • l'authenticité (vérification de l'identité) mutuelle de l'unité de tachygraphe et de certains médias externes à l'unité (tels que le capteur de mouvement et les cartes à puce) avec lesquels l'unité est amenée à échanger des données ; à noter qu'un média est considéré comme étant externe à l'unité lorsqu'il n'est pas incorporé à la conception dans le boîtier sécurisé de l'unité et est indépendant ou détachable de l'unité,
    • l'authenticité (vérification de l'origine) et l'intégrité des données échangées entre l'unité et certains médias externes à l'unité,
    • l'intégrité, par signature électronique, de données déchargées depuis l'unité vers des dispositifs externes dit dispositifs de déchargement.
  • Pour mettre en oeuvre de tels mécanismes de sécurité, l'unité de tachygraphe doit conserver des secrets cryptographiques (clés de chiffrement privées ou secrètes, pour l'encryptage et le décryptage) et intégrer des algorithmes de chiffrement correspondants.
  • L'invention vise à fournir une unité de tachygraphe sécurisée, non seulement dotée de tels algorithmes et secrets cryptographiques, mais de plus et surtout dotée d'une protection électronique renforcée apte à offrir un niveau élevé de résistance aux attaques frauduleuses.
  • En effet, malgré les efforts déployés en la matière depuis de nombreuses années, aucune solution satisfaisante et fiable n'a pu être trouvée à ce problème. L'objectif est non seulement d'offrir un contrôle et une limitation de l'accès aux données gérées par l'unité, en lecture et/ou en écriture, mais aussi et surtout de garantir le respect de cette limitation en permettant de déceler toute falsification de ces données.
  • Un objectif de l'invention est de fournir une unité apte à résister fortement à une attaque menée à l'aide de moyens sophistiqués, qu'il s'agisse de moyens mis en oeuvre directement sur les circuits de l'unité ou à distance. L'invention vise en particulier à fournir une unité offrant un niveau de sécurité coté E3 FORT selon la méthodologie d'évaluation ITSEC.
  • Un autre objectif de l'invention est de fournir une unité de tachygraphe électronique plus performante également en terme de fonctionnalités.
  • En outre, l'invention vise à atteindre les objectifs précités à moindre coût, en proposant une unité de tachygraphe de faible prix de revient. En particulier, l'invention vise à fournir une unité de tachygraphe qui remplisse ces objectifs à partir de moyens, et notamment de composants électroniques, usuels et bon marché, ou éventuellement nouveaux mais de développement et de fabrication peu onéreux.
  • L'invention concerne une unité de tachygraphe destinée à être embarquée sur un véhicule automobile et à être reliée à au moins un capteur de mouvement du véhicule, laquelle unité comprend au moins une carte à microprocesseur(s), dite carte principale, pour le traitement et le stockage de données, dites données tachygraphiques, comprenant au moins des données, dites données conducteur, relatives à des activités d'un conducteur dudit véhicule. L'unité de tachygraphe est par ailleurs adaptée pour effectuer des opérations, dites opérations de sécurité, mettant en oeuvre des algorithmes de chiffrement aux fins d'authentification d'au moins une partie des données tachygraphiques.
  • A noter que les termes « algorithmes de chiffrement » peuvent être employés pour désigner des algorithmes d'encryptage, des algorithmes de décryptage ou les deux. Par ailleurs, dans toute la suite, les termes « données de sécurité » désignent des données additionnelles mémorisées et/ou créées et/ou calculées et/ou utilisées... dans le cadre des opérations de sécurité. Les données de sécurité comprennent notamment des clés de chiffrement, des certificats délivrés par des organismes officiels habilités, des attributs de sécurité générés par une opération de sécurité pour une transmission de données, telles qu'une signature, une somme de contrôle -dite checksum-... Certaines de ces données, dites données secrètes, sont par définition secrètes : conservées au sein de l'unité de tachygraphe, elles doivent rester inaccessibles à toute personne non autorisée (l'unité de tachygraphe devant offrir un niveau de résistance fort aux attaques visant à obtenir ces données secrètes) ; il s'agit essentiellement de clés de chiffrement secrètes -symétriques- et de clés de chiffrement privées.
  • L'unité de tachygraphe selon l'invention est caractérisée en ce que :
    • la carte principale comprend au moins un microprocesseur, dit microprocesseur principal, pour le traitement des données tachygraphiques,
    • l'unité comprend au moins un circuit intégré physiquement protégé fournisseur de services cryptographiques, dit circuit CSP, distinct du(des) microprocesseur(s) principal(aux), circuit CSP dans lequel sont stockées au moins des données dites données de sécurité secrètes, ce circuit CSP étant adapté pour réaliser au moins une partie des opérations de sécurité lorsque l'unité est embarquée sur un véhicule.
  • A noter que le(s) circuit(s) CSP peu(ven)t être porté(s) par la carte principale ou par une ou plusieurs autre(s) carte(s).
  • Ainsi, l'invention consiste à sélectionner et séparer de l'ensemble des opérations mises en oeuvre par une unité de tachygraphe, au moins une partie des opérations relatives uniquement à la sécurité (opérations consistant à authentifier et/ou protéger certaines données au moyen d'algorithmes de chiffrement, dans le but final de garantir l'authenticité et l'intégrité des données conducteur), et à faire exécuter les opérations de sécurité sélectionnées par un circuit spécifique, physiquement protégé. Pour ce faire, dans ce circuit protégé sont stockées des données de sécurité secrètes. Peuvent également y être stockés les algorithmes de chiffrement et/ou des données de sécurité non secrètes (telles que des clés publiques) relatifs aux opérations de sécurité allouées audit circuit CSP.
  • Une telle architecture électronique permet de garantir un niveau de sécurité très élevé, jamais atteint à ce jour dans une unité de tachygraphe.
  • Comme il est expliqué ci-après, elle offre également la possibilité d'utiliser des composants électroniques usuels et peu onéreux.
  • Avantageusement et selon l'invention, le(s) circuit(s) CSP est(sont) dédié(s) essentiellement à la réalisation d'opérations de sécurité, le terme « essentiellement » signifiant que chaque circuit CSP est dédié à des opérations de sécurité et éventuellement à des opérations ponctuelles demandant une faible capacité de traitement et de stockage, telles que le stockage de données temporaires générées par le traitement de données tachygraphiques. Un circuit fournisseur de services cryptographiques usuel et peu onéreux, ayant une faible capacité de traitement et de stockage, peut ainsi être utilisé à titre de circuit CSP selon l'invention, compte tenu de ce que celui-ci est « déchargé » des fonctionnalités de l'unité de tachygraphe qui nécessitent plus de capacité.
  • Plus particulièrement, le(s) circuit(s) CSP est(sont) dédié(s) essentiellement à la réalisation de toutes les opérations de sécurité. Dès lors, le(s) microprocesseur(s) principal(aux) n'exécute(nt) aucune opération de sécurité. Il est donc possible d'utiliser, à titre de microprocesseur principal, un microprocesseur basique, non protégé et donc peu onéreux, tel que, par exemple, un calculateur usuellement utilisé dans le domaine automobile. Un tel calculateur classique possède une capacité de traitement et de stockage suffisante pour gérer l'ensemble des tâches (hors opérations de sécurité) dévolues à l'unité de tachygraphe.
  • Dans une version préférée de l'invention, l'unité de tachygraphe comprend un unique circuit CSP, essentiellement dédié à toutes les opérations de sécurité.
  • Avantageusement et selon l'invention, la carte principale de l'unité de tachygraphe comprend au moins une mémoire, dite mémoire d'application, associée à un microprocesseur principal, dans laquelle est stockée une application (un ou plusieurs programmes), dite application tachygraphique, qui peut être chargée dans ce microprocesseur principal pour le traitement des données tachygraphiques. Avantageusement et selon l'invention, ce microprocesseur principal est adapté pour pouvoir vérifier l'authenticité et l'intégrité d'au moins une partie de l'application tachygraphique à l'aide d'au moins une opération de sécurité réalisée par un circuit CSP de l'unité de tachygraphe.
  • En particulier, ledit microprocesseur principal intègre un programme de démarrage protégé, physiquement inscrit dans le microprocesseur et adapté pour, lors d'une opération visant à implémenter au moins une d'une application tachygraphique (première ou nouvelle) dans l'unité, commander audit circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification de ladite application ou partie d'application tachygraphique, et ne commander l'enregistrement de cette application ou partie d'application tachygraphique dans la mémoire d'application que si elle est considérée par le circuit CSP comme étant authentique et intègre.
  • Le programme de démarrage étant inscrit en dur (dans le silicium) dans le microprocesseur principal, celui-ci ne peut pas être modifié. Ce qui garantit la commande par le microprocesseur principal et l'exécution par le circuit CSP de la(des) opération(s) de sécurité susmentionnée(s). L'application tachygraphique finalement stockée dans la mémoire d'application et utilisée par le(s) microprocesseur(s) principal(aux) est donc nécessairement authentique et intègre, c'est-à-dire conçue et implémentée par un organisme habilité, dans un environnement sécurisé, selon les spécifications imposées par les règles et normes.
  • En outre, il est de préférence prévu que l'application tachygraphique stockée dans la mémoire d'application soit elle-même adaptée pour, lorsqu'elle est chargée dans le microprocesseur principal pour le traitement des données tachygraphiques, commander périodiquement au circuit CSP associé l'exécution d'au moins une opération de sécurité en vue de sa propre authentification.
  • Avantageusement et selon l'invention, chaque circuit CSP est relié à un microprocesseur principal, lesdits circuit CSP et microprocesseur principal associés étant adaptés pour fonctionner selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave.
  • Ainsi, toutes les opérations de sécurité exécutées par un circuit CSP le sont à la demande du microprocesseur principal associé, qui, pour ce faire, transmet au circuit CSP des données à authentifier assorties d'au moins une commande d'exécution d'une opération de sécurité correspondante.
  • L'unité de tachygraphe selon l'invention comprend un dispositif lecteur/enregistreur de cartes à puce, dites cartes tachygraphiques, apte à recevoir au moins deux cartes tachygraphiques en parallèle.
  • Dans une version préférée de l'invention, l'unité de tachygraphe comprend également une interface de connexion, dite interface de carte tachygraphique, pour une communication sans fil (et notamment à distance) de l'unité avec un dispositif lecteur/enregistreur de cartes tachygraphiques externe à l'unité (dans sa version la plus simple, ce dispositif externe est adapté pour ne recevoir qu'une seule carte tachygraphique à la fois).
  • Quatre types de cartes tachygraphiques sont prévues, chaque carte tachygraphique appartenant à l'un de ces types : les cartes de conducteur, les cartes de contrôleur, les cartes d'entreprise et les cartes d'atelier. Chaque type de carte tachygraphique ouvre droit d'une part à un accès restreint à certaines données prédéterminées stockées dans l'unité, et d'autre part à l'exécution de certaines opérations prédéterminées selon le type de carte tachygraphique. L'insertion d'une carte tachygraphique dans le dispositif lecteur/enregistreur de cartes (qu'il s'agisse du dispositif de l'unité -dit dispositif intégré- ou d'un dispositif externe apte à communiquer avec l'unité) permet d'ouvrir une session de fonctionnement de l'unité correspondant au type de la carte insérée.
  • Conformément aux objectifs fixés, toute carte tachygraphique insérée dans le dispositif lecteur/enregistreur de cartes (intégré ou externe) doit pouvoir être authentifiée, de même que les données échangées entre ladite carte tachygraphique et l'unité de tachygraphe.
  • A cette fin, selon l'invention, le dispositif lecteur/enregistreur est contrôlé par au moins un microprocesseur principal de l'unité, auquel est associé un circuit CSP. Ce microprocesseur principal (ou éventuellement ces microprocesseurs principaux) est adapté pour commander audit circuit CSP l'exécution d'opérations de sécurité en vue de l'authentification mutuelle de l'unité et d'une carte tachygraphique présente dans le dispositif lecteur/enregistreur de cartes (intégré ou externe), et n'autoriser l'ouverture d'une session de fonctionnement correspondante que si l'unité et la carte tachygraphique sont considérées comme étant authentiques.
  • Une carte de conducteur authentifiée donne ainsi accès à une session de fonctionnement dite session de conducteur ; une carte d'atelier authentifiée donne accès à une session de fonctionnement dite session d'atelier ; une carte de contrôleur authentifiée donne accès à une session de fonctionnement dite session de contrôleur ; une carte d'entreprise authentifiée donne accès à une session de fonctionnement dite session d'entreprise.
  • Cette authentification mutuelle entre carte tachygraphique et unité est de préférence exécutée dès qu'une carte est insérée dans le dispositif lecteur/enregistreur de cartes (s'agissant notamment du dispositif intégré). A cette fin, le microprocesseur principal est adapté pour surveiller les insertions et retraits de carte dans le dispositif lecteur/enregistreur et déclencher les opérations de sécurité susmentionnées dès qu'une insertion d'une carte tachygraphique dans le dispositif lecteur/enregistreur est détectée.
  • L'ouverture d'une session de fonctionnement permet la réalisation d'opérations, dont la nature dépend du type de la session. Certaines de ces opérations peuvent conduire à des échanges de données entre carte tachygraphique et unité. A chaque échange de données entre l'unité de tachygraphe et une carte tachygraphique présente dans le dispositif lecteur/enregistreur de cartes (intégré ou externe) et préalablement authentifiée, le microprocesseur principal est adapté pour commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification desdites données, et ne traiter les données échangées que si elles sont considérées comme étant authentiques et intègres.
  • En particulier, le microprocesseur principal est adapté pour :
    • lorsque des données (notamment des données tachygraphiques) sont reçues par l'unité depuis ladite carte tachygraphique, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification des données reçues, et ne traiter lesdites données que si elles sont considérées par le circuit CSP comme étant authentiques et intègres,
    • lorsque des données doivent être transmises par l'unité à ladite carte tachygraphique, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de la protection de l'intégrité des données à transmettre. La carte tachygraphique est par ailleurs adaptée pour exécuter au moins une opération de sécurité en vue d'authentifier les données transmises, et ne traiter lesdites données que si elle les considère comme étant authentiques et intègres.
  • L'unité de tachygraphe doit par ailleurs pouvoir authentifier le capteur de mouvement avec lequel elle communique lorsqu'elle est embarquée sur un véhicule, ainsi que les données, dites données de mouvement, qu'elle reçoit dudit capteur. A noter que les données de mouvement sont des données tachygraphiques.
  • Pour sa liaison au capteur de mouvement, l'unité de tachygraphe comprend une interface de connexion, dite interface de capteur. A noter que cette liaison est de préférence filaire, auquel cas l'interface de capteur est constituée d'un ou plusieurs connecteur(s). Mais il n'est pas exclu que cette liaison soit sans fil et que l'interface de capteur comprenne (éventuellement en combinaison avec un connecteur) un dispositif émetteur-récepteur d'ondes électromagnétiques.
  • Par ailleurs, selon l'invention, la carte principale de l'unité comprend au moins un microprocesseur principal relié à ladite interface de capteur et auquel est associé un circuit CSP, ledit microprocesseur principal étant adapté pour commander audit circuit CSP l'exécution d'opérations de sécurité en vue d'une part de l'authentification mutuelle du capteur de mouvement et de l'unité et d'autre part de l'authentification des données de mouvement reçues du capteur de mouvement par l'unité, et ne traiter les données de mouvement reçues que si le capteur de mouvement et l'unité sont considérés comme étant authentiques et si les données reçues sont considérées comme étant authentiques et intègres.
  • En particulier, le microprocesseur principal est adapté pour :
    • dans le cadre d'une opération initiale dite opération d'appariement d'un capteur de mouvement et de l'unité de tachygraphe, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification mutuelle du capteur et de l'unité, et n'autoriser un échange ultérieur de données entre ledit capteur et l'unité que si ces derniers sont considérés comme étant authentiques,
    • dans le cadre d'une opération périodique, dite opération de contrôle des données de mouvement, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification de données, dites données de contrôle, échangées entre le capteur et l'unité dans le cadre de cette opération de contrôle, et n'autoriser le traitement des données de mouvement reçues par l'unité sur une période écoulée que si lesdites données de contrôle sont considérées comme étant authentiques et intègres. En d'autres termes, pour garantir l'authenticité et l'intégrité des données de mouvement, seules sont vérifiées l'authenticité et l'intégrité des données de contrôle.
  • Pour une plus grande sécurité, l'opération d'appariement ne peut être mise en oeuvre que si une carte tachygraphique d'atelier authentique et authentifiée est présente dans le dispositif lecteur/enregistreur de cartes intégré à l'unité. En d'autres termes, le(s) microprocesseur(s) principal(aux) de l'unité est(sont) adapté(s) pour n'autoriser l'exécution d'une opération d'appariement que dans le cadre d'une session d'atelier (qui ne peut être ouverte que par l'authentification d'une carte d'atelier).
  • Avantageusement et selon l'invention, l'unité de tachygraphe comprend également une interface de connexion, dite interface de déchargement, pour la communication de l'unité avec un dispositif externe dit dispositif de déchargement, notamment apte à mémoriser des données tachygraphiques. L'interface de déchargement peut comprendre un connecteur, en vue d'une connexion filaire du dispositif de déchargement avec l'unité, et/ou un dispositif émetteur/récepteur d'ondes électromagnétiques, en vue d'une communication sans fil entre l'unité et un dispositif de déchargement éventuellement distant.
  • Selon l'invention, une opération de déchargement de données ne peut être mise en oeuvre, sur commande d'un utilisateur, que si une carte tachygraphique de contrôleur, d'atelier ou d'entreprise (à l'exclusion d'une carte de conducteur) authentique et authentifiée est présente dans le dispositif lecteur/enregistreur de cartes (intégré ou externe). A cette fin, le(s) microprocesseur(s) principal(aux) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération de déchargement de données vers un dispositif de déchargement « connecté » à l'unité (connexion filaire ou sans fil) par l'intermédiaire de l'interface de déchargement, que dans le cadre d'une session de contrôleur ou d'atelier ou d'entreprise (ouverte par l'authentification d'une carte correspondante).
  • A noter que les données dont le déchargement est autorisé peuvent différer selon la session de fonctionnement en cours.
  • Avantageusement et selon l'invention, les données tachygraphiques déchargées sont assorties d'un attribut de sécurité, tel qu'une signature électronique, en vue de leur authentification ultérieure par le dispositif de déchargement ou par un autre outil. Le microprocesseur principal est également adapté pour, dans le cadre d'une opération de déchargement de données, commander au circuit CSP l'exécution d'au moins une opération de sécurité en vue de la protection des données à décharger.
  • Par ailleurs, l'unité comprend également avantageusement une interface de connexion, dite interface d'étalonnage, comprenant au moins un connecteur, pour la communication de l'unité avec un dispositif externe dit dispositif d'étalonnage, en vue de l'étalonnage de l'unité.
  • Selon l'invention, une opération d'étalonnage ne peut être mise en oeuvre, sur commande d'un utilisateur, au moyen d'un dispositif d'étalonnage connecté à l'unité par l'intermédiaire de l'interface d'étalonnage, que si une carte tachygraphique d'atelier authentique et authentifiée est présente dans le dispositif lecteur/enregistreur de cartes intégré à l'unité. A cette fin, le(s) microprocesseur(s) principal(aux) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération d'étalonnage que dans le cadre d'une session d'atelier (ouverte par l'authentification d'une carte d'atelier).
  • Lors d'une opération d'étalonnage, des données dites données d'étalonnage sont transmises à l'unité par le dispositif d'étalonnage. Les données d'étalonnage mémorisées dans l'unité en fin d'opération d'étalonnage sont des données tachygraphiques.
  • Avantageusement et selon l'invention, un microprocesseur principal de l'unité est adapté pour surveiller les insertions et retraits de carte dans le dispositif lecteur/enregistreur de cartes (intégré ou externe) et pour, dès qu'un retrait d'une carte tachygraphique du dispositif lecteur/enregistreur est détecté, interrompre toute opération en cours dans la session de fonctionnement correspondante. En particulier, sont ainsi interrompues les opérations en cours d'appariement de capteur, de mise à jour de l'application tachygraphique, d'étalonnage, de déchargement de données tachygraphique et bien entendu de lecture/écriture sur la carte tachygraphique (qui n'est plus connectée...).
  • Dans une version préférée de l'invention :
    • la carte principale comprend un unique microprocesseur principal pour le traitement des données tachygraphiques, auquel sont reliés un circuit d'alimentation électrique alimenté de façon permanente par une source électrique permanente du véhicule, une mémoire de masse, dite mémoire d'application, de type électronique et non volatile -et notamment de type flash-pour le stockage d'au moins une application tachygraphique, une mémoire de masse, dite mémoire de données, de type électronique et non volatile -et notamment de type flash- pour le stockage de données tachygraphiques et éventuellement d'autres données à l'exclusion de données de sécurité secrètes (les deux mémoires précédemment définies pouvant être deux mémoires distinctes ou une seule et même mémoire), une horloge temps réel calendaire, un connecteur de capteur et un (unique) connecteur, dit connecteur de déchargement/étalonnage, pour la connexion à l'unité d'un dispositif externe d'étalonnage ou d'un dispositif externe de déchargement, un dispositif lecteur/enregistreur tel que précédemment défini,
    • l'unité comprend un unique circuit CSP, dédié à la réalisation de toutes les opérations de sécurité, lesdits microprocesseur principal et circuit CSP étant reliés et adaptés pour fonctionner selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave,
    • l'unité comprend également une imprimante, un écran d'affichage, un dispositif de saisie de données par un utilisateur (tel qu'un clavier).
  • L'invention concerne également une unité de tachygraphe caractérisée en combinaison par tout ou partie des caractéristiques mentionnées ci-dessus et ci-après.
  • L'invention s'étend à un véhicule automobile équipé d'une telle unité de tachygraphe.
  • D'autres buts, caractéristiques et avantages de l'invention apparaîtront à la lecture de la description suivante qui se réfère aux figures annexées représentant des modes de réalisation préférentiels de l'invention, donnés uniquement à titre d'exemples non limitatifs, et dans lesquelles :
    • la figure 1 est une vue en perspective d'une unité de tachygraphe selon l'invention,
    • la figure 2 est une vue éclatée en perspective d'une unité de tachygraphe selon l'invention,
    • la figure 3 est un schéma synoptique illustrant l'architecture de cette unité de tachygraphe et l'organisation de ses différents composants,
    • la figure 4 est un organigramme illustrant le déroulement d'une opération de sécurité selon l'invention.
  • L'unité de tachygraphe 1 selon l'invention comprend, au sein d'un boîtier sécurisé 2 renforcé (formé de plusieurs éléments 2a, 2b, 2c) et doté de sceaux de sécurité 50 :
    • une carte principale 3 à microprocesseur(s), qui porte un microprocesseur principal 4, tel que ceux usuellement utilisés dans le domaine automobile ; en variante, ladite carte porte un groupe de microprocesseurs en parallèle en vue d'assurer une redondance, ou une pluralité de microprocesseurs indépendants ou reliés en série qui se partagent les fonctionnalités du tachygraphe ; la carte principale 3 porte également un circuit CSP 20 fournisseur de services cryptographiques, relié au microprocesseur principal 4 selon une relation maître/esclave dans laquelle le microprocesseur principal 4 est le maître et le circuit CSP 20 est l'esclave ; un tel circuit CSP est physiquement protégé ; il possède à cette fin des caractéristiques non seulement physiques mais aussi fonctionnelles (mémoire apte à disperser les secrets qu'il renferme...) garantissant son inviolabilité ; le circuit CSP 20 est par exemple un microprocesseur CSP similaire à ceux employés pour les cartes bancaires ; le circuit CSP 20 intègre une mémoire protégée dans laquelle sont stockés des algorithmes de chiffrement, des données de sécurité secrètes (clés privées et clés de session) et éventuellement d'autres données de sécurité (clés publiques..., ces autres données de sécurité pouvant en variante être stockées dans une mémoire non protégée de l'unité), en vue de l'exécution d'opérations de sécurité,
    • une mémoire de masse flash 5, dite mémoire d'application, reliée au microprocesseur principal 4, et dans laquelle est stockée une application tachygraphique permettant de réaliser toutes les fonctionnalités du tachygraphe à l'exclusion d'au moins une partie des opérations de sécurité, et de préférence à l'exclusion de toutes les opérations de sécurité à mettre en oeuvre pour garantir un niveau élevé de résistance aux attaques frauduleuses ; à noter toutefois que l'application tachygraphique intègre des commandes permettant de déclencher l'exécution des opérations de sécurité ; la mémoire d'application 5 est du type non volatile,
    • un circuit d'alimentation électrique 6 relié de façon permanente à une source électrique permanente du véhicule en vue d'alimenter le microprocesseur principal 4 en permanence quelle que soit la phase d'exploitation du véhicule en cours (hors contact, après contact, moteur arrêté, moteur tournant, véhicule à l'arrêt, véhicule roulant...),
    • une horloge temps réel calendaire 7 (date et heure) reliée au microprocesseur principal 4, et qui dispose de préférence d'une batterie de secours,
    • un dispositif double 8 lecteur/enregistreur de cartes tachygraphiques à puce, piloté par le microprocesseur principal 4 et apte à recevoir deux cartes tachygraphiques en parallèle. Le dispositif dispose de deux blocs 81, 82 sensiblement identiques, comprenant chacun :
      • ■ une interface mécanique (à fente, tiroir, chariot coulissant...) de réception d'une carte tachygraphique, dotée d'un mécanisme motorisé commandé pour le déplacement d'une carte 60 entre une position d'introduction/retrait et une position verrouillée de lecture/écriture,
      • ■ un connecteur permettant la liaison entre le microprocesseur principal 4 de l'unité et la puce 61 d'une carte tachygraphique présente en position verrouillée de lecture/écriture,
      • ■ au moins un organe de détection de carte en position verrouillée de lecture/écriture, apte à transmettre un signal au microprocesseur principal 4 lorsqu'une carte est détectée en position verrouillée de lecture/écriture,
    • un dispositif 16 émetteur/récepteur d'ondes électromagnétiques, relié au microprocesseur principal 4 et formant une interface de connexion, dite interface de cartes, pour la communication sans fil de l'unité avec un dispositif lecteur/enregistreur de cartes tachygraphiques externe à l'unité,
    • un dispositif 14 émetteur/récepteur d'ondes électromagnétiques, relié au microprocesseur principal 4 et réalisant une interface de connexion de l'unité 1 avec un dispositif de déchargement distant ; en variante, un seul et même dispositif émetteur/récepteur réalise une interface de communication à la fois avec un dispositif lecteur/enregistreur de cartes et avec un dispositif de déchargement de données distants,
    • un écran d'affichage 9, avec rétro-éclairage, piloté par le microprocesseur principal 4,
    • une imprimante 10 pilotée par le microprocesseur principal 4,
    • un dispositif 11 de saisie de données par un utilisateur, piloté par le microprocesseur principal 4 et comprenant un clavier à touches et/ou un écran tactile,
    • un connecteur 12 de capteur relié au microprocesseur principal 4, réalisant une interface de connexion de l'unité 1 avec un capteur de mouvement en vue de la réception de données de mouvement du véhicule,
    • un connecteur 13 de déchargement/étalonnage relié au microprocesseur principal 4, réalisant une interface de connexion de l'unité 1 avec un dispositif d'étalonnage ou un dispositif de déchargement, en vue de la réception de données d'étalonnage (envoyées par le dispositif d'étalonnage) ou du déchargement (à destination du dispositif de déchargement) de données tachygraphiques,
    • une pluralité de connecteurs 15 reliés au microprocesseur principal 4, pour la connexion de l'unité à certains calculateurs ou contacteurs du véhicule tels que le calculateur de vitesse, le compteur kilométrique, le calculateur de régime moteur, le réseau CAN de calculateurs du véhicule, en vue de la transmission de données entre l'unité et ces calculateurs, ainsi qu'un autre connecteur 15 pour la connexion du microprocesseur principal 4 de l'unité à un indicateur d'avertissement (signalement lumineux et/ou sonores),
    • une mémoire de masse flash 17 de type non volatile, dite mémoire de données, reliée au microprocesseur principal 4 et dans laquelle sont stockées les données tachygraphiques, des données dites données de fonctionnement (taux d'éclairage de l'écran 9, zone image des tickets à imprimer par l'imprimante 10...) et des données dites données annexes (aléas, données temporaires...), et éventuellement des données de sécurité à condition qu'elles ne soient pas secrètes (clés publiques par exemple).
  • Outre l'unité 1, le tachygraphe comprend un capteur de mouvement du véhicule, des câbles de liaison permettant de relier le capteur de mouvement et le connecteur de capteur 12 de l'unité embarquée. Le capteur de mouvement est notamment formé d'un élément de détection de mouvement, d'un microprocesseur (auquel est relié l'élément de détection) et d'un connecteur pour la connexion du microprocesseur du capteur à l'unité embarquée.
  • L'unité de tachygraphe a pour fonction principale le traitement de données conducteur, parmi lesquelles on peut citer :
    • la vitesse instantanée, la distance parcourue entre deux arrêts, ces données étant calculées à partir des données de mouvement relevées et transmises par le capteur de mouvement,
    • les activités du conducteur (conduite -lorsque le conducteur conduit le véhicule-, travail, pause/repos, disponibilité -lorsque le « conducteur », c'est-à-dire le titulaire de la carte tachygraphique, est co-chauffeur), ces données étant, selon les cas, imposées automatiquement (par l'application tachygraphique) ou saisies manuellement par le conducteur au moyen du clavier 11,
    • le temps de chaque activité,
    • le lieu de début et de fin des périodes journalières de travail, ces données étant saisies manuellement par le conducteur,
    • les conditions particulières (« hors champ », trajet en ferry/train), ces données étant saisies manuellement par le conducteur.
  • Selon l'invention, les fonctions attribuées au microprocesseur principal concernent essentiellement des fonctions de calcul portant sur les données conducteur, des fonctions plus générales de gestion de l'ensemble des données tachygraphiques (données conducteur, données de mouvement, données contrôleur, données d'étalonnage, données d'entreprise...) et des fonctions de pilotage des divers organes de l'unité embarquée. Parmi ces fonctions, on peut citer :
    • la génération et le traitement de données conducteur, et notamment :
      • ■ le traitement des données de mouvement du véhicule (émanant du capteur de mouvement et reçues par l'intermédiaire du connecteur de capteur), et en particulier le calcul de la vitesse et de la distance parcourue, la mesure du temps,
      • ■ le suivi des activités du conducteur, le suivi de la situation de conduite,
      • ■ le traitement des données conducteur saisies manuellement par le conducteur (telles que le lieu de début et de fin des périodes journalières de travail, les activités du conducteur et les conditions particulières),
    • la lecture de données stockées dans les mémoires d'application 5 et de données 17, l'enregistrement et le stockage de données dans ces mémoires,
    • le contrôle du dispositif 8 lecteur/enregistreur de cartes tachygraphiques en vue notamment de la surveillance des insertions et retraits de carte, de la lecture des cartes tachygraphiques, de l'enregistrement et le stockage de données sur les cartes tachygraphiques, et éventuellement de l'actionnement des mécanismes de déplacement de carte,
    • le contrôle de l'écran d'affichage 9,
    • le contrôle de l'imprimante 10,
    • le traitement des données saisies manuellement par le conducteur au moyen du clavier 11,
    • l'émission d'avertissements (envoi de signaux d'avertissement par l'intermédiaire de dispositifs émetteurs correspondants, lumineux et/ou sonores),
    • la détection des évènements ; à noter qu'on peut distinguer, parmi les évènements, ceux relatifs aux activités du conducteur (excès de vitesse, chevauchement temporel, dernière session incorrectement clôturée, conduite sans carte appropriée, ...) de ceux relatifs à la sécurité du tachygraphe (insertion d'une carte non valide, conflit de carte, insertion d'une carte en cours de conduite, interruption de l'alimentation électrique, erreur sur les données de mouvement, tentative d'atteinte à la sécurité),
    • la détection des anomalies (anomalie sur carte, anomalie sur appareil de contrôle),
    • la gestion des verrouillages d'entreprise (traitement de données d'entreprises),
    • le suivi des activités de contrôle (dont le traitement des données contrôleur),
    • lé contrôle de l'interface de déchargement/étalonnage (connecteur et dispositif émetteur-récepteur d'ondes), la commande de déchargement de données vers un dispositif externe de déchargement, le traitement de données d'étalonnage reçues,
    • la réalisation d'autotests,
    • le contrôle du circuit CSP 20, selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave, et la commande d'opérations de sécurité, le traitement des résultats desdites opérations de sécurité.
  • Avantageusement et selon l'invention, les opérations de sécurité en vue de l'authentification mutuelle de l'unité et d'une carte tachygraphique mettent en oeuvre, de préférence, des calculs de chiffrement au moyen de clés asymétriques (clés privées et publiques).
  • A noter que cette authentification mutuelle est déclenchée par le microprocesseur principal 4 lorsqu'il constate l'insertion d'une carte tachygraphique dans une interface de réception de carte du dispositif lecteur/enregistreur 8 ou d'un dispositif externe distant communiquant avec le microprocesseur principal 4 par l'intermédiaire de l'interface de cartes 16. Le microprocesseur principal 4 est en effet adapté pour identifier les insertions et retraits de carte en fonction des signaux qu'il reçoit du(des) organe(s) de détection dudit dispositif lecteur/enregistreur : la présence d'une carte 60 en position de lecture/écriture -réception d'un signal de détection- après une période d'absence de carte -pas de signal de détection- traduit l'insertion d'une carte ; l'absence de carte suite à une période de présence de carte traduit le retrait d'une carte.
  • Pour une plus grande sécurité, l'authentification mutuelle d'une carte tachygraphique présente dans le dispositif lecteur/enregistreur est également déclenchée de façon périodique (alors qu'aucun retrait de carte n'a été constaté depuis la précédence authentification) par le microprocesseur principal 4 et/ou par la carte tachygraphique.
  • Avantageusement et selon l'invention, les opérations de sécurité en vue de l'authentification de données échangées entre l'unité et le capteur de mouvement ou entre l'unité et une carte tachygraphique, mettent en oeuvre de préférence des calculs de chiffrement au moyen de clés de session, c'est-à-dire de clés symétriques (clés secrètes). Ces clés de session communes au circuit CSP 20 de l'unité et au média externe (capteur de mouvement ou carte tachygraphique) sont établies conjointement par les deux éléments dans le cadre des opérations d'authentification mutuelle de ces éléments ou immédiatement après celles-ci. Les clés de session sont stockées dans la mémoire (protégée) du circuit CSP 20.
  • A titre d'exemple simplifié et non limitatif, la lecture de données tachygraphiques sur une carte tachygraphique préalablement authentifiée donne lieu aux opérations illustrées à la figure 3, qui permettent de garantir l'intégrité des données lues (ces opérations visent à vérifier que les données reçues par le microprocesseur principal 4 correspondent à celles envoyées par la carte tachygraphique et que ces dernières n'ont donc pas été falsifiées durant la transmission). Le microprocesseur principal 4 prépare la commande de lecture (étape 30) : le code de commande est assorti de données, dites données annexes, nécessaires à son exécution, telles que l'adresse et la longueur des données tachygraphiques à lire (en vue de leur localisation dans la mémoire de la carte tachygraphique). Il transmet (étape 31) les données annexes au circuit CSP 20, avec une commande d'exécution d'une opération de sécurité correspondante, en vue de protéger l'intégrité desdites données. Le circuit CSP 20 calcule (étape 32) une somme de contrôle, dite checksum, des données annexes, chiffre (encrypte) ladite checksum au moyen de sa clé de session et transmet (étape 33) la checksum cryptée au microprocesseur principal 4. Le microprocesseur principal 4 prépare (étape 34) et transmet (étape 35) la totalité de la commande de lecture (code de commande + données annexes + checksum) à la carte tachygraphique 60 (c'est-à-dire à sa puce électronique 61) via le connecteur du dispositif lecteur/enregistreur 8. La carte tachygraphique 60, 61 vérifie l'intégrité des données reçues (étape 36) en déchiffrant la checksum reçue au moyen de sa clé de session, en calculant la checksum des données annexes reçues et en comparant les deux valeurs. Si ces dernières coïncident, la carte tachygraphique 60, 61 transmet (étape 38) les données tachygraphiques demandées, après avoir préalablement calculé et chiffré -au moyen de sa clé de session- leur checksum (étape 37). A réception des données (étape 39), le microprocesseur principal 4 transmet (étape 40) au circuit CSP 20 les données tachygraphiques et la checksum cryptée reçues, ainsi qu'une commande d'exécution d'une opération de sécurité correspondante visant à vérifier l'intégrité des données tachygraphiques reçues. Exécutant cette commande, le circuit CSP 20 calcule la checksum des données tachygraphiques et déchiffre la checksum cryptée qui les accompagne au moyen de sa clé de session et compare les deux valeurs obtenues (étape 41). Si celles-ci coïncident, il renvoie un signal d'accord au microprocesseur principal 4 ; dans le cas contraire, il transmet à ce dernier un signal de désaccord (étape 42). Le microprocesseur principal 4 n'exploite les données tachygraphiques que si le signal reçu est un signal d'accord (étape 43). Si les données tachygraphiques ne sont pas considérées comme étant authentiques (signal de désaccord), le microprocesseur mémorise l'anomalie et émet éventuellement un signal correspondant à l'attention de l'utilisateur (étape 43).
  • Les données de mouvement reçues du capteur de mouvement font également l'objet d'opérations de sécurité en vue de leur authentification. En fait, le capteur de mouvement, préalablement authentifié dans le cadre d'une opération d'appariement avec l'unité, émet continuellement des impulsions qu'il transmet à l'unité, chaque impulsion étant émise à l'instant où une distance prédéterminée a été parcourue par le véhicule depuis l'impulsion précédente. Le capteur de mouvement dispose par ailleurs d'un compteur, qu'il incrémente à chaque impulsion émise. De même, le microprocesseur principal de l'unité dispose d'un compteur, qu'il incrémente à chaque impulsion reçue. Périodiquement, le microprocesseur principal déclenche une opération sécurisée de comparaison des compteurs de capteur et d'unité. La lecture du compteur de capteur s'effectue, par exemple, comme précédemment expliqué relativement à la lecture de données tachygraphiques dans une carte tachygraphique : la valeur du compteur de capteur transmise à l'unité est en particulier authentifiée par un attribut de sécurité de type checksum cryptée. Une valeur relative du compteur de capteur et une valeur relative du compteur d'unité (la valeur relative d'un compteur correspondant à la différence de valeur du compteur depuis la dernière opération de comparaison) sont calculées par le microprocesseur principal puis comparées. Cette procédure permet de vérifier l'authenticité et l'intégrité des données (impulsions) transmises par le capteur pendant la période écoulée depuis la dernière opération de comparaison.
  • Il va de soi que l'invention peut faire l'objet de nombreuses variantes par rapport aux modes de réalisation précédemment décrits et représentés sur les figures.

Claims (21)

  1. Unité de tachygraphe (1) destinée à être embarquée sur un véhicule automobile et à être reliée à au moins un capteur de mouvement du véhicule, laquelle unité comprend au moins une carte (3) à microprocesseur(s), dite carte principale, pour le traitement et le stockage de données, dites données tachygraphiques, comprenant au moins des données, dites données conducteur, relatives à des activités d'un conducteur dudit véhicule, ladite unité de tachygraphe étant adaptée pour effectuer des opérations, dites opérations de sécurité, mettant en oeuvre des algorithmes de chiffrement en vue de l'authentification d'au moins une partie des données tachygraphiques,
    caractérisée en ce que :
    - ladite carte principale (3) comprend au moins un microprocesseur (4), dit microprocesseur principal, pour le traitement des données tachygraphiques,
    - l'unité comprend au moins un circuit (20) physiquement protégé fournisseur de services cryptographiques, dit circuit CSP, distinct du(des) microprocesseur(s) principal(aux), circuit CSP dans lequel sont stockées au moins des données dites données de sécurité secrètes, ce circuit CSP (20) étant adapté pour réaliser au moins une partie des opérations de sécurité lorsque l'unité est embarquée sur un véhicule.
  2. Unité selon la revendication 1, caractérisée en ce que la carte principale (3) comprend au moins une mémoire (5), dite mémoire d'application, associée à un microprocesseur principal (4), dans laquelle est stockée une application, dite application tachygraphique, pouvant être chargée dans ce microprocesseur principal pour le traitement des données tachygraphiques, et en ce que ce microprocesseur principal est adapté pour pouvoir vérifier l'authenticité d'au moins une partie de l'application tachygraphique à l'aide d'au moins une opération de sécurité réalisée par un circuit CSP (20) de l'unité de tachygraphe.
  3. Unité selon la revendication 2, caractérisée en ce que ce microprocesseur principal (4) intègre un programme de démarrage protégé, physiquement inscrit dans le microprocesseur et adapté pour, lors d'une opération visant à implémenter au moins une partie d'une application tachygraphique dans l'unité, commander audit circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentification de ladite application ou partie d'application tachygraphique, et ne commander l'enregistrement de cette application ou partie d'application tachygraphique dans la mémoire d'application (5) que si elle est considérée par le circuit CSP comme étant authentique et intègre.
  4. Unité selon l'une des revendications 2 ou 3, caractérisée en ce que l'application tachygraphique stockée dans la mémoire d'application (5) est adaptée pour, lorsqu'elle est chargée dans le microprocesseur principal, commander périodiquement au circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentification de ladite application tachygraphique.
  5. Unité selon l'une des revendications 1 à 4, caractérisée en ce que le(s) circuit(s) CSP (20) est(sont) dédié(s) essentiellement à la réalisation d'opérations de sécurité.
  6. Unité selon l'une des revendications 1 à 5, caractérisée en ce que le(s) circuit(s) CSP (20) est(sont) dédié(s) essentiellement à la réalisation de toutes les opérations de sécurité.
  7. Unité selon l'une des revendications 1 à 6, caractérisée en ce que chaque circuit CSP (20) est relié à un microprocesseur principal (4), lesdits circuit CSP et microprocesseur principal associés étant adaptés pour fonctionner selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave.
  8. Unité selon l'une des revendications 1 à 7, caractérisée en ce que le(s) circuit(s) CSP (20) est(sont) porté(s) par la carte principale (3).
  9. Unité selon l'une des revendications 1 à 8, caractérisée en ce que :
    - l'unité comprend un dispositif (8) lecteur/enregistreur de cartes à puce, dites cartes tachygraphiques, apte à recevoir au moins deux cartes tachygraphiques en parallèle, chaque carte appartenant à un type de carte prédéterminé,
    - le dispositif lecteur/enregistreur de cartes (8) est contrôlé par au moins un microprocesseur principal (4) auquel est associé un circuit CSP (20), ledit microprocesseur principal étant adapté pour commander audit circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification mutuelle de l'unité et d'une carte tachygraphique présente dans le dispositif lecteur/enregistreur de cartes, et n'autoriser l'ouverture d'une session de fonctionnement correspondant au type de la carte tachygraphique présente que si l'unité et ladite carte sont considérées comme étant authentiques.
  10. Unité selon la revendication 9, caractérisée en ce que ce microprocesseur principal (4) est adapté pour surveiller les insertions et retraits de carte dans le dispositif (8) lecteur/enregistreur de cartes, et commander l'exécution de cette(ces) opération(s) de sécurité dès qu'une insertion d'une carte tachygraphique dans le dispositif lecteur/enregistreur de cartes est détectée.
  11. Unité selon l'une des revendications 1 à 10, caractérisée en ce que:
    - l'unité comprend une interface de connexion (16), dite interface de carte, pour une communication sans fil de l'unité avec un dispositif externe lecteur/enregistreur de cartes à puce, dites cartes tachygraphiques, chaque carte appartenant à un type de carte prédéterminé,
    - ledit dispositif lecteur/enregistreur externe est contrôlé par au moins un microprocesseur principal (4) auquel est associé un circuit CSP (20), ledit microprocesseur principal étant adapté pour commander audit circuit CSP l'exécution d'au moins une opération de sécurité en vue de l'authentification mutuelle de l'unité et d'une carte tachygraphique présente dans le dispositif lecteur/enregistreur de cartes, et n'autoriser l'ouverture d'une session de fonctionnement correspondant au type de la carte tachygraphique présente que si l'unité et ladite carte sont considérées comme étant authentiques.
  12. Unité selon l'une des revendications 9 à 11, caractérisée en ce que, à chaque échange de données entre l'unité (1) et une carte tachygraphique (60) présente dans le dispositif lecteur/enregistreur de cartes, ledit microprocesseur principal (4) est adapté pour commander audit circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentification desdites données, et ne traiter les données échangées que si elles sont considérées comme étant authentiques et intègres.
  13. Unité selon la revendication 12, caractérisée en ce que le microprocesseur principal (4) est adapté pour :
    - lorsque des données sont reçues par l'unité depuis ladite carte tachygraphique, commander au circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentification des données reçues, et ne traiter lesdites données que si elles sont considérées par le circuit CSP comme étant authentiques et intègres,
    - lorsque des données doivent être transmises par l'unité à ladite carte tachygraphique, commander au circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de la protection de l'intégrité des données à transmettre.
  14. Unité selon l'une des revendications 1 à 13, comprenant une interface de connexion (12), dite interface de capteur, pour la liaison de l'unité au capteur de mouvement, caractérisée en ce que la carte principale (3) comprend au moins un microprocesseur principal (4) relié à ladite interface de capteur (12) et auquel est associé un circuit CSP (20), ledit microprocesseur principal (4) étant adapté pour commander audit circuit CSP (20) l'exécution d'opérations de sécurité en vue d'une part de l'authentification mutuelle du capteur de mouvement et de l'unité et d'autre part de l'authentification des données de mouvement reçues du capteur de mouvement par l'unité, et ne traiter les données de mouvement reçues que si le capteur de mouvement et l'unité sont considérés comme étant authentiques et si les données reçues sont considérées comme étant authentiques et intègres.
  15. Unité selon la revendication 14, caractérisée en ce que ledit microprocesseur principal (4) est adapté pour :
    - dans le cadre d'une opération initiale dite opération d'appariement d'un capteur de mouvement et de l'unité, commander audit circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentification mutuelle du capteur et de l'unité, et n'autoriser un échange ultérieur de données entre ledit capteur et l'unité que si ces derniers sont considérés comme étant authentiques,
    - dans le cadre d'une opération périodique, dite opération de contrôle des données de mouvement, commander au circuit CSP (20) l'exécution d'au moins une opération de sécurité en vue de l'authentification de données, dites données de contrôle, échangées entre le capteur et l'unité dans le cadre de cette opération de contrôle, et n'autoriser le traitement des données de mouvement reçues par l'unité sur une période écoulée que si lesdites données de contrôle sont considérées comme étant authentiques et intègres.
  16. Unité selon les revendications 15 et 9, caractérisée en ce que le(s) microprocesseur(s) principal(aux) (4) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération d'appariement que dans le cadre d'une session d'atelier.
  17. Unité selon l'une des revendications 1 à 16 et selon l'une des revendications 9 ou 11, caractérisée en ce que :
    - elle comprend une interface de connexion (13, 14), dite interface de déchargement, pour la communication de l'unité avec un dispositif externe dit dispositif de déchargement, apte à mémoriser des données tachygraphiques,
    - le(s) microprocesseur(s) principal(aux) (4) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération de déchargement de données vers un dispositif de déchargement connecté à l'unité par l'intermédiaire de l'interface de déchargement, que dans le cadre d'une session de contrôleur ou d'atelier ou d'entreprise.
  18. Unité selon l'une des revendications 1 à 17 et selon la revendication 9, caractérisée en ce que :
    - elle comprend une interface de connexion (13, 14), dite interface d'étalonnage, pour la communication de l'unité avec un dispositif externe dit dispositif d'étalonnage,
    - le(s) microprocesseur(s) principal(aux) (4) est(sont) adapté(s) pour n'autoriser l'exécution d'une opération d'étalonnage de l'unité, au moyen d'un dispositif d'étalonnage connecté à l'unité par l'intermédiaire de l'interface d'étalonnage, que dans le cadre d'une session d'atelier.
  19. Unité selon l'une des revendications 1 à 18 et selon la revendication 9, caractérisée en ce qu'un microprocesseur principal (4) de l'unité est adapté pour surveiller les insertions et retraits de carte dans le dispositif (8) lecteur/enregistreur de cartes et pour, dès qu'un retrait d'une carte tachygraphique du dispositif lecteur/enregistreur de cartes est détecté, interrompre toute opération en cours dans la session de fonctionnement correspondante.
  20. Unité selon l'une des revendications 1 à 19, caractérisée en ce que :
    - la carte principale (3) comprend un unique microprocesseur principal (4) pour le traitement des données tachygraphiques, auquel sont reliés un circuit d'alimentation électrique (6) alimenté de façon permanente par une source électrique permanente du véhicule, une mémoire de masse (5), dite mémoire d'application, de type non volatile pour le stockage d'au moins une application dite application tachygraphique, une mémoire de masse (17), dite mémoire de données, de type non volatile pour le stockage au moins des données tachygraphiques, une horloge temps réel calendaire (7), un dispositif (8) lecteur/enregistreur de cartes à puce, dites cartes tachygraphiques, apte à recevoir au moins deux cartes tachygraphiques en parallèle, un connecteur (12), dit connecteur de capteur, pour la connexion de l'unité au capteur de mouvement, un connecteur (13), dit connecteur de déchargement/étalonnage, pour la connexion à l'unité d'un dispositif externe d'étalonnage ou d'un dispositif externe de déchargement,
    - l'unité comprend un unique circuit CSP (20), dédié à la réalisation de toutes les opérations de sécurité, lesdits microprocesseur principal (4) et circuit CSP (20) étant reliés et adaptés pour fonctionner selon une relation maître/esclave dans laquelle le microprocesseur principal est le maître et le circuit CSP est l'esclave,
    l'unité comprend une imprimante (10), un écran d'affichage (9), un dispositif (11) de saisie de données par un utilisateur.
  21. Véhicule automobile, caractérisé en ce qu'il est équipé d'une unité de tachygraphe selon l'une des revendications 1 à 20.
EP05818272A 2004-11-22 2005-11-22 Unité de tachygraphe électronique pour véhicule automobile Revoked EP1815256B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PL05818272T PL1815256T3 (pl) 2004-11-22 2005-11-22 Jednostka tachografu elektronicznego dla pojazdu samochodowego

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0412379A FR2878355B1 (fr) 2004-11-22 2004-11-22 Unite de tachigraphe electronique pour vehicule automobile
PCT/FR2005/002893 WO2006053998A1 (fr) 2004-11-22 2005-11-22 Unite de tachygraphe electronique pour véhicule automobile

Publications (2)

Publication Number Publication Date
EP1815256A1 EP1815256A1 (fr) 2007-08-08
EP1815256B1 true EP1815256B1 (fr) 2013-01-02

Family

ID=34951974

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05818272A Revoked EP1815256B1 (fr) 2004-11-22 2005-11-22 Unité de tachygraphe électronique pour véhicule automobile

Country Status (6)

Country Link
EP (1) EP1815256B1 (fr)
BR (1) BRPI0517699A (fr)
ES (1) ES2401592T3 (fr)
FR (1) FR2878355B1 (fr)
PL (1) PL1815256T3 (fr)
WO (1) WO2006053998A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013214798A1 (de) 2013-07-29 2015-01-29 Continental Automotive Gmbh Tachografenanordnung und Verfahren zum Betreiben einer Tachografenanordnung
EP4019979A3 (fr) * 2020-12-23 2022-08-10 Continental Automotive Technologies GmbH Système tachygraphe pour véhicule automobile, véhicule automobile et procédé de fonctionnement d'un système tachygraphe

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007058163A1 (de) 2007-09-28 2009-04-23 Continental Automotive Gmbh Tachograph, Maut-On-Board-Unit, Anzeigeinstrument und System
DE102009051350A1 (de) 2009-10-30 2011-05-05 Continental Automotive Gmbh Verfahren zum Betreiben eines Tachographen und Tachograph
EP2369555B1 (fr) 2010-02-22 2014-07-02 Stoneridge Electronics AB Téléchargement temporaire
EP2362357B1 (fr) 2010-02-22 2020-02-12 Stoneridge Electronics AB Fonctions améliorées de tachygraphe
BE1020818A3 (fr) * 2012-07-05 2014-05-06 Hennekinne Yves Systeme de cartes a puces pour automobile.
RU209414U1 (ru) * 2021-12-02 2022-03-16 Общество с ограниченной ответственностью "НОВЫЕ РЕШЕНИЯ ДРАЙВА" Цифровой тахограф

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3505068C1 (de) * 1985-02-14 1986-06-19 Mannesmann Kienzle GmbH, 7730 Villingen-Schwenningen Fahrtschreiber fuer Kraftfahrzeuge
GB9220875D0 (en) * 1992-10-05 1992-11-18 Matra Marconi Space Uk Ltd A tachograph
US5497419A (en) * 1994-04-19 1996-03-05 Prima Facie, Inc. Method and apparatus for recording sensor data
US6556905B1 (en) * 2000-08-31 2003-04-29 Lisa M. Mittelsteadt Vehicle supervision and monitoring
AU2002211692A1 (en) * 2000-10-12 2002-04-22 Southwest Research Institute Method and apparatus for personnel transportable data recording

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013214798A1 (de) 2013-07-29 2015-01-29 Continental Automotive Gmbh Tachografenanordnung und Verfahren zum Betreiben einer Tachografenanordnung
EP4019979A3 (fr) * 2020-12-23 2022-08-10 Continental Automotive Technologies GmbH Système tachygraphe pour véhicule automobile, véhicule automobile et procédé de fonctionnement d'un système tachygraphe
EP4212884A1 (fr) * 2020-12-23 2023-07-19 Continental Automotive Technologies GmbH Système de tachygraphe pour un véhicule automobile, véhicule automobile et procédé de fonctionnement d'un système de tachygraphe

Also Published As

Publication number Publication date
BRPI0517699A (pt) 2008-10-14
ES2401592T3 (es) 2013-04-22
WO2006053998A1 (fr) 2006-05-26
FR2878355A1 (fr) 2006-05-26
FR2878355B1 (fr) 2007-02-23
EP1815256A1 (fr) 2007-08-08
PL1815256T3 (pl) 2013-06-28

Similar Documents

Publication Publication Date Title
EP1964307B1 (fr) Procédé pour la réalisation d'un compteur sécurisé sur un système informatique embarqué disposant d'une carte a puce.
EP3547270B1 (fr) Procédé de vérification d'une authentification biométrique
CA2261629C (fr) Systeme de stockage securise de donnees sur cd-rom
EP0037762A1 (fr) Procédé et système de transmission de messages signés
FR2922396A1 (fr) Procede d'authentification biometrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants
EP2710563A1 (fr) Acces et personnalisation d'un vehicule automobile par telephone
EP2306358A1 (fr) Procédé de vérification de la validité d'un ticket électronique de stationnement
EP0531241A1 (fr) Système électronique à accès contrôlé
FR2996947A1 (fr) Procede securise de commande d'ouverture de dispositifs de serrure a partir de messages mettant en oeuvre un cryptage symetrique
EP1293062B1 (fr) Procede d'authentification / identification biometrique securise , module de saisie et module de verification de donnees biometriques
FR2989799A1 (fr) Procede de transfert d'un dispositif a un autre de droits d'acces a un service
EP1815256B1 (fr) Unité de tachygraphe électronique pour véhicule automobile
EP0856624B1 (fr) Système de sécurité pour véhicules automobiles et procédé d'apprentissage associé
WO2007006771A1 (fr) Procede et dispositif d'autorisation de transaction
EP1683112A1 (fr) Systeme de controle d informations liees a un vehicule
FR2835951A1 (fr) Systeme d'authentification electronique
EP1653415A1 (fr) Procédé et équipement de gestion de badges de contrôle d'accès
EP1825441B1 (fr) Unite de tachygraphe electronique pour vehicule automobile
WO2017005644A1 (fr) Procédé et système de contrôle d'accès à un service via un média mobile sans intermediaire de confiance
FR2774494A1 (fr) Systeme d'affranchissement postal securise
FR3117655A1 (fr) Système de tachygraphe, dispositif de tachygraphe et procédé de fonctionnement d’un système de tachygraphe
FR3090026A1 (fr) Demande d'acces et autorisation d'acces mains libres a un objet apte a etre verrouiller
WO2023094744A1 (fr) Procédé d'établissement d'une transaction entre un objet communicant et un module de controle de la transaction associé à un dispositif de fourniture de bien(s) ou de service(s)
WO2023170186A1 (fr) Dispositif portable et autonome de sécurisation de transfert de données et procédé correspondant
FR2870186A1 (fr) Dispositif de controle et de signalisation pour vehicule

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20070614

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK YU

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ACTIA AUTOMOTIVE

REG Reference to a national code

Ref country code: DE

Ref legal event code: R079

Ref document number: 602005037754

Country of ref document: DE

Free format text: PREVIOUS MAIN CLASS: G01P0001120000

Ipc: G07C0007000000

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

RIC1 Information provided on ipc code assigned before grant

Ipc: G07C 7/00 20060101AFI20120425BHEP

Ipc: G07C 5/08 20060101ALI20120425BHEP

Ipc: G01P 1/12 20060101ALI20120425BHEP

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK YU

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

Ref country code: AT

Ref legal event code: REF

Ref document number: 591970

Country of ref document: AT

Kind code of ref document: T

Effective date: 20130115

BECA Be: change of holder's address

Owner name: 5 RUE JORGE SEMPRUN,F-31432 TOULOUSE CEDEX 4

Effective date: 20130102

Owner name: ACTIA AUTOMOTIVE

Effective date: 20130102

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: FRENCH

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 602005037754

Country of ref document: DE

Effective date: 20130307

RAP2 Party data changed (patent owner data changed or rights of a patent transferred)

Owner name: ACTIA AUTOMOTIVE

REG Reference to a national code

Ref country code: SE

Ref legal event code: TRGR

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2401592

Country of ref document: ES

Kind code of ref document: T3

Effective date: 20130422

REG Reference to a national code

Ref country code: NL

Ref legal event code: T3

REG Reference to a national code

Ref country code: AT

Ref legal event code: MK05

Ref document number: 591970

Country of ref document: AT

Kind code of ref document: T

Effective date: 20130102

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

REG Reference to a national code

Ref country code: EE

Ref legal event code: FG4A

Ref document number: E007912

Country of ref document: EE

Effective date: 20130401

PLBI Opposition filed

Free format text: ORIGINAL CODE: 0009260

REG Reference to a national code

Ref country code: LT

Ref legal event code: MG4D

REG Reference to a national code

Ref country code: PL

Ref legal event code: T3

26 Opposition filed

Opponent name: STONERIDGE ELECTRONICS AB

Effective date: 20130605

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

Ref country code: AT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130402

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130502

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130502

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130403

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

Ref country code: LV

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

REG Reference to a national code

Ref country code: DE

Ref legal event code: R026

Ref document number: 602005037754

Country of ref document: DE

Effective date: 20130605

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

PLAX Notice of opposition and request to file observation + time limit sent

Free format text: ORIGINAL CODE: EPIDOSNOBS2

PLAF Information modified related to communication of a notice of opposition and request to file observations + time limit

Free format text: ORIGINAL CODE: EPIDOSCOBS2

PLAF Information modified related to communication of a notice of opposition and request to file observations + time limit

Free format text: ORIGINAL CODE: EPIDOSCOBS2

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

PLBB Reply of patent proprietor to notice(s) of opposition received

Free format text: ORIGINAL CODE: EPIDOSNOBS3

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131130

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131130

REG Reference to a national code

Ref country code: IE

Ref legal event code: MM4A

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131122

PLAB Opposition data, opponent's data or that of the opponent's representative modified

Free format text: ORIGINAL CODE: 0009299OPPO

PLAB Opposition data, opponent's data or that of the opponent's representative modified

Free format text: ORIGINAL CODE: 0009299OPPO

R26 Opposition filed (corrected)

Opponent name: STONERIDGE ELECTRONICS AB

Effective date: 20130605

R26 Opposition filed (corrected)

Opponent name: STONERIDGE ELECTRONICS AB

Effective date: 20130605

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130102

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131122

Ref country code: HU

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT; INVALID AB INITIO

Effective date: 20051122

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 11

PLAB Opposition data, opponent's data or that of the opponent's representative modified

Free format text: ORIGINAL CODE: 0009299OPPO

R26 Opposition filed (corrected)

Opponent name: STONERIDGE ELECTRONICS AB

Effective date: 20130605

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: IT

Payment date: 20151118

Year of fee payment: 11

Ref country code: GB

Payment date: 20151014

Year of fee payment: 11

Ref country code: DE

Payment date: 20151109

Year of fee payment: 11

Ref country code: EE

Payment date: 20151026

Year of fee payment: 11

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: PL

Payment date: 20151026

Year of fee payment: 11

Ref country code: NL

Payment date: 20151014

Year of fee payment: 11

Ref country code: SE

Payment date: 20151117

Year of fee payment: 11

Ref country code: ES

Payment date: 20151125

Year of fee payment: 11

Ref country code: BE

Payment date: 20151123

Year of fee payment: 11

Ref country code: FR

Payment date: 20150925

Year of fee payment: 11

RDAF Communication despatched that patent is revoked

Free format text: ORIGINAL CODE: EPIDOSNREV1

APBM Appeal reference recorded

Free format text: ORIGINAL CODE: EPIDOSNREFNO

APBP Date of receipt of notice of appeal recorded

Free format text: ORIGINAL CODE: EPIDOSNNOA2O

APAH Appeal reference modified

Free format text: ORIGINAL CODE: EPIDOSCREFNO

REG Reference to a national code

Ref country code: DE

Ref legal event code: R064

Ref document number: 602005037754

Country of ref document: DE

Ref country code: DE

Ref legal event code: R103

Ref document number: 602005037754

Country of ref document: DE

APBU Appeal procedure closed

Free format text: ORIGINAL CODE: EPIDOSNNOA9O

RDAG Patent revoked

Free format text: ORIGINAL CODE: 0009271

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: PATENT REVOKED

27W Patent revoked

Effective date: 20160808

GBPR Gb: patent revoked under art. 102 of the ep convention designating the uk as contracting state

Effective date: 20160808

REG Reference to a national code

Ref country code: EE

Ref legal event code: MF4A

Ref document number: E007912

Country of ref document: EE

Effective date: 20161025

REG Reference to a national code

Ref country code: SE

Ref legal event code: ECNC