EP1061211B1 - Procédé pour sécuriser une transmission bidirectionnelle de données avec un identifiant et système pour sa mise en oeuvre - Google Patents

Procédé pour sécuriser une transmission bidirectionnelle de données avec un identifiant et système pour sa mise en oeuvre Download PDF

Info

Publication number
EP1061211B1
EP1061211B1 EP00401666A EP00401666A EP1061211B1 EP 1061211 B1 EP1061211 B1 EP 1061211B1 EP 00401666 A EP00401666 A EP 00401666A EP 00401666 A EP00401666 A EP 00401666A EP 1061211 B1 EP1061211 B1 EP 1061211B1
Authority
EP
European Patent Office
Prior art keywords
signal
identification device
identifier
identification
phase
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
EP00401666A
Other languages
German (de)
English (en)
Other versions
EP1061211A1 (fr
Inventor
Jean-Jacques Avenel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Valeo Comfort and Driving Assistance SAS
Original Assignee
Valeo Securite Habitacle SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Valeo Securite Habitacle SAS filed Critical Valeo Securite Habitacle SAS
Publication of EP1061211A1 publication Critical patent/EP1061211A1/fr
Application granted granted Critical
Publication of EP1061211B1 publication Critical patent/EP1061211B1/fr
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/28Individual registration on entry or exit involving the use of a pass the pass enabling tracking or indicating presence
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00317Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks keyless data carrier having only one limited data transmission range
    • G07C2009/00325Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks keyless data carrier having only one limited data transmission range and the lock having only one limited data transmission range
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00555Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks comprising means to detect or avoid relay attacks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • G07C2009/00769Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/60Indexing scheme relating to groups G07C9/00174 - G07C9/00944
    • G07C2209/63Comprising locating means for detecting the position of the data carrier, i.e. within the vehicle or within a certain distance from the vehicle

Definitions

  • the invention relates to a method for securing a bidirectional transmission of data with an identifier and a system for its implementation.
  • a system of this kind usually includes a identification device having a transmission circuit and a circuit of reception, installed in the confined space, and an identifier carried by a user who wishes to obtain access, a data exchange between identification device and identifier being provided for establishing itself normally when the distance between the identifier and the device identification is less than a predetermined limit, access being authorized only when the identification device has authenticated the identifier.
  • the invention relates more particularly, because it is in this case that its application seems to have the most of interest, but not exclusively, a system for securing access to a motor vehicle including the opening, in particular the doors of the cabin, have locks controlled by the system access.
  • this start of the operation can be obtained, for example, by action on a control button located on the opening, or by a command to distance, or possibly by a presence detector installed in the enclosed space.
  • this start of the operation identification is provided to require proximity to the user in relation to the enclosed space he wishes to access.
  • the identification operation is carried out on the basis of a exchange of data between the identification device and the identifier constituted, for example, by a badge with transponder electromagnetic.
  • the device identification device installed in the confined space, generally emits a query that activates the identifier, which returns a coded signal analyzed by the identification device. If the coded signal matches authorized code, the identification device authorizes access by example by unlocking one or more locks.
  • the signals exchanged are usually electromagnetic signals.
  • the system is designed in such a way so that the transmission range is reduced and an exchange of identification data between identification device and identifier can normally be established only when the distance between the enclosed space and the identifier is less than a predetermined limit, for example of the order of a few meters.
  • two malefactors acting in cans could gain access to the confined space in the following manner.
  • a first malefactor equipped with a transceiver system installed for example in a bag, approaches the closed vehicle that comes to leave an authorized user, while a second malefactor, equipped a transmission-reception system similar to that of the first criminal, follows the authorized user carrying the identifier.
  • the first malefactor triggers an identification operation, for example by pressing a control button located on an opening.
  • the signals emitted by the identification device are relayed by the transmission-reception system from the first malefactor to the system of the second malefactor, which repeats the signals from the identification device to the identifier. This last will then respond with the authorized code, which is retransmitted by the repeater system to the identification device which controls the unlocking the locks and gives access to the perpetrator.
  • the principle is to detect an abnormal delay time resulting from the interposition of a repeater not allowed between the identification device on the vehicle and the identifier worn by the user.
  • the interrogation signal emitted by the device identification is simply reissued, without modulation, by the identifier back to the vehicle, it is possible for a hacker to determine when this measure of abnormal delay time is performed and send back the anti-piracy signal directly to the vehicle using only the transmission / reception system located at near the vehicle. In other words, the hacker can bypass the communication with the vehicle, using a simple repeater, without go through the identifier.
  • the object of the invention is to propose a method which enables to secure bidirectional data transmission for access to an enclosed space, preventing a possible violation by a set hijacker-reception hijacker as mentioned above.
  • the principle of the invention consists, for example during the measure a delay time, do not use the identifier in simple repeater of the signal emitted by the vehicle, in order to force the hacker to retransmit the signal transmitted by the identifier, which generates necessarily a longer delay time.
  • the subject of the invention is a method for securing a bidirectional transmission of data, for access to enclosed space, in particular to a motor vehicle, consisting of establish a remote exchange of data between a device installed in the confined space and an identifier intended to be carried by the user, when the distance between the identifier and the identification device is less than a predetermined limit, access being authorized only when the identification device has been authenticated the identifier, the identification operation comprising the transmission by the identification device of a first coded signal identification and at least one second interrogation signal, characterized by the fact that to prevent data exchange of identification between the identification device and a non-repeater authorized, without going through the identifier, the process consists, on the one hand, in decode, at the identifier level, the first coded signal identification received by the identifier from the device identification, at the beginning of the identification operation, at sequentially reverse the phase of the second interrogation signal received by the identifier from the identification device, in function of the identification code previously obtained by decoding
  • This identification code can be consisting of a pseudo-random sequence according to an algorithm predetermined, that the pirate can not know. So, if the hacker uses a simple repeater to interact directly with the device identification, the latter will receive the second interrogation signal, without phase inversion, which will not correspond to the code identified by the identification device, thereby preventing access to the vehicle.
  • the second interrogation signal generated by the identification device is a pulsed oscillating signal and the identification code is a multi-bit digital code, for example example to three bytes, so as to successively enable or disable the phase inversion of a pulse of the second signal query, at the identifier level, according to the binary value of each bit of this identification code.
  • the method consists in level of the identification device, to add a phase shift additional 90 ° to the second interrogation signal received by the identification device, and in the phase shift detection step, assign a binary value for each pulse of the second signal, depending on whether the phase of the second signal received is in advance or late approximately 90 ° with respect to the phase of the second generated signal, so that to check if the sequence of binary values thus affected corresponds well to the identification code known by the identification device.
  • the method further comprises, at the level of the identification device, discriminate the phase between the second interrogation signal generated by the identification device and said second signal received by the identification device from the identifier, to filter the signal resulting from phase discrimination to deliver a signal representative of the phase shift and to maintain the prohibition of access when the difference between the amplitude of said continuous signal and the amplitude of a reference signal exceeds a threshold value predetermined.
  • the invention also aims at a system for the implementation process of the aforementioned method, in which the identification device comprises a transmitting circuit and a receiving circuit, and the identifier comprises a transmitter and a receiver, characterized by the fact that it comprises, at the level of the identifier, a means of decoding to decode the first coded identification signal, a means phase inverter to reverse the phase of at least a second interrogation signal according to a sequence controlled by a unit control center according to the identification code provided by the means of decoding, and at the level of the identification device, a phase shift detector receiving, at the input, both the second interrogation signal generated by a generator of the identification device, and said second interrogation signal received by the receiving circuit of the identification device from identifier, and a central processing unit capable of analyzing the phase shift thus detected according to the identification code known by the identification device.
  • the generator of the device identification generates the second interrogation signal under the pulsed oscillatory signal, each pulse of which has a predetermined carrier frequency, for example in low frequency at 125 KHz, said pulses having a recurrence period predetermined, for example of the order of 8 ⁇ s, and the code identification is a binary code with several bits, of unit duration for example 200 ⁇ s, for example three bytes, the value 1 or 0 of each bit being intended to enable or disable the inverter means of phase for a period corresponding substantially to that of bit 1 or 0.
  • the identifier comprises a low frequency receiver having a feedback circuit form of the signal whose output is connected, on the one hand, by means of aforementioned decoding, and on the other hand, to an input of a logic gate OR which constitutes the phase reverser means mentioned above, the other input of said gate receiving the bits of the identification code according to the frequency of recurrence of the pulses of the second signal interrogation, the output of said logic gate being connected to a radio-frequency transmitter modulated by said output signal from the door logic.
  • a switch can be inserted between said logic gate and the radio-frequency transmitter of the identifier, said switch being controlled by the central control unit for open the link between the logic gate and the transmitter during the phase of decoding the first identification signal and closing said link during reception and retransmission of the second interrogation signal by the identifier.
  • a phase shift means is interposed between a radio-frequency receiver of the device identification and the aforementioned phase shift detection means, for add to the second polling signal received from the identifier an additional phase shift of 90 ° at the input of said means of phase-shift detection, the latter consisting of a D flip-flop receiving on another input the second interrogation signal generated by the generator of the identification device, to deliver at the output, for each pulse of said second interrogation signal, a binary value 1 or 0 depending on the phase of the second signal received is in advance or late by approximately 90 ° compared to the phase of the second interrogation signal generated, the output of said flip-flop D being connected to the central processing unit to compare it to the above identification code.
  • the system includes, in parallel to the phase shift detection means, a discriminator means phase receiving, as input, the second signal generated by the generator of the identification device and the second signal received by the reception circuit from the identifier, a means of filtering being connected at the output of said phase discriminating means, to deliver, at the output, a continuous signal representative of the phase shift said signals, said continuous signal being delivered to the central unit of treatment which is sensitive to the difference between the amplitude of said transmitted continuous signal and the amplitude of a reference signal, for maintain the prohibition of access where the difference exceeds predetermined threshold value.
  • the reception circuit of the identification device comprises an antenna connected to a receiver radio frequency, for example at 434 MHz, connected, on the one hand, to a entry of the aforementioned phase discriminating means and, on the other hand, to a input of the aforementioned phase detection means
  • the transmission circuit of the identification device comprises a low frequency generator, for example at 125 KHz connected, in parallel, to the other input of the phase discriminator means, at the other input of the detector means of phase shift, and to an antenna amplifier.
  • the means phase discriminator is an exclusive OR logic gate that outputs a signal whose continuous component varies linearly as a function of the phase difference between the second signals generated and received supra for half a period.
  • the means filtering above can be a low-pass filter for example with a cut-off frequency of the order of 10 KHz.
  • the central processing unit comprises a microcontroller equipped with an analog / digital converter, to numerically process the difference in value between the voltage continuously delivered and the reference voltage, and to compare the binary values of the output signal of the flip-flop D and the code Identification.
  • the low-frequency generator of the device identification can be modulated in frequency by the central unit of treatment, preferably in a random manner, for example on a range from 120 to 130 KHz and with a period of about one ms.
  • the system comprises a means for measuring the delay time between the second signals generated and received above, so that the central processing unit maintain the access ban when the value of the delay time measured value exceeds a predetermined threshold value, for example a or two periods of recurrence of said second signal.
  • a predetermined threshold value for example a or two periods of recurrence of said second signal.
  • the reference voltage, at which is compared the DC voltage delivered by the filtering means is constituted by an initially stored value, which is learned by the system.
  • the on-board identification device for example on a vehicle, comprises a low-frequency voltage generator VF, for example at 125 KHz, delivering a voltage V E in the form of slots.
  • the voltage V E is sent, on the one hand, to an input of an exclusive OR logic gate 1 and to an input Ck of a flip-flop 21 called flip-flop D, and on the other hand, to the input of a amplifier 2.
  • the output of the amplifier 2 is connected to a capacitor 3 and an inductor 4 in series, a terminal of the inductor 4 being connected to ground.
  • the inductor 4 constitutes the transmission antenna BF of the identification device.
  • the identification device further comprises an antenna 5 connected to the input of an RF radio receiver 6, for example at 434 MHz.
  • the output of the RF receiver 6 is connected in series with a phase shift means 7 to introduce a phase shift of 90 ° into the received signal V R.
  • the output of the phase shift means 7 is connected in parallel to the other input of the logic gate 1 and to another input Dat of the flip-flop D.
  • the logic gate 1 is connected at the output to a low-pass filter 8 of order four, with a cut-off frequency of approximately 10 KHz.
  • the filter 8 makes it possible to output the DC component Vcc of signal leaving the logic gate 1.
  • the voltage Vcc is received by a processing unit 9 comprising a microcontroller equipped with a 8 bit analog / digital converter.
  • the processing unit 9 is adapted to control the above-mentioned generator BF, a terminal of which is connected to the mass.
  • the terminals Pr and Cl of the flip-flop D are connected to the ground and the output Q of the flip-flop 21 is connected to the unit 9.
  • the flip-flop 21 does not will not be described in more detail because it is known in itself.
  • the identifier for example worn on a badge, comprises an inductor 10 which is connected in parallel to a capacitor 11 and to the two input terminals of a comparator 12.
  • the assembly 11, 12 constitutes a BF receiver 13 comprising a very low-power wake-up circuit which reshapes the signal to deliver an induced signal V I in the form of slots.
  • the output of the comparator 12 is connected, on the one hand, to an input of another exclusive OR logic gate 22 and to the input of a decoding means 23.
  • the output of the decoding means is connected to a central unit 24 which is able to control a switch 25 by a link 26 and adapted to provide a signal consisting of a sequence of binary values to a second input of the logic gate 22.
  • the output signal of the gate 22 can modulate an RF transmitter 14 which delivers a modulated signal to an antenna 15 of the identifier, when the switch 25 is closed.
  • the arrow F1 indicates the transmission of the BF signal between the antenna 4 and the antenna 10
  • the arrow F2 indicates the transmission of the RF signal between the antenna 15 and the antenna 5.
  • the generator V generates a first coded signal identification, consisting of identification bits, which is issued by the antenna 4 of the identification device and received by the antenna 10 of the identifier.
  • This first identification code signal is decoded by the decoding means 23 which, simultaneously, gives the order to the unit control unit 24 to control the opening of the switch 25, to avoid a reissue of this first signal by the identifier.
  • the first coded identification signal is issued with a period about 200 ⁇ s per identification bit.
  • the generator V generates a second interrogation signal which consists of a voltage V E in the form of slots with a carrier frequency of 125 KHz and a peak amplitude, for each pulse I E , of 5 volts.
  • the period of recurrence of the pulses of the second signal is 8 ⁇ s.
  • This second interrogation signal is received by the identifier and delivers at the output of its receiver 13 a slotted oscillating signal V I whose signal envelope is represented in FIG. 1.
  • the signal V I is received at the input of the logic gate 22 which furthermore receives, as input, a continuous signal in the form of slots representative of the successive bits of the identification code previously obtained via the decoding means 23.
  • the central processing unit command 24 has commanded the switch 25 to close the link to the transmitter 14. If a bit of the identification code is 0, during a pulse I I of the signal V I , the logic gate 22 will output said pulse I I , while if the bit is 1, the logic gate 22 will output a pulse whose phase will be inverted by 180 ° and for the duration of an identification bit, or 200 microseconds.
  • the second interrogation signal does not pass not by decoding means 23.
  • the received signal V R has a slight phase shift with respect to the signal V E , for example of the order of a few hundred ns, because of the transmission time of the signal resulting from the distance and the electronic components.
  • the logic gate 1 will output a signal whose frequency will be double, that is to say of the order of 250 KHz.
  • the low-pass filter 8 will eliminate the carrier frequency at 250 KHz, to keep as the continuous component of the signal.
  • the predetermined threshold value could be of the order of 250 mV, which would correspond to a delay about 200 ns, whereas the value of the reference voltage would be 0 V.
  • Vcc is for example between 0.25 and 4.75 V, this will mean that the transmitted and received signals are out of phase in an irregular manner, which will maintain the prohibition of access to vehicle and / or may sound an audible or visual alarm.
  • the flip-flop 21 is not used, but only the logic gate 1 is used as a phase-shift detector means.
  • the central processing unit 9 may assign to said pulse a binary value equal to 0, and if the voltage Vcc is between 4 and 5 volts, the pulse can be assigned a binary value equal to 1, in order to compare the sequence of said binary values with the identification code known by the vehicle.
  • the logic gate 1 can serve both to detect a delay and to verify that the signal has passed through the identifier.
  • the invention assumes that the antenna of receipt of the identifier is not returned in relation to the antenna issuing the identification device, during the analysis of the second signal otherwise the comparison with the identification code will be distorted.
  • phase shift 7 to introduce an additional phase shift of 90 °.
  • the logic gate 1 will detect a phase shift that will always be of the order of 90 °, which corresponds to a signal Vcc of the order of 2.5 V, with a margin of error of the order of 10%, that is to say 0.25 V.
  • the fact to add the phase shift means 7 makes it possible to have in memory a only reference voltage value.
  • the overall delay time could, for example, for example, be of the order of 1 ⁇ s, which would correspond to a phase shift an additional 45 ° between the received signal and the transmitted signal.
  • the system could seek to increase the phase shift, for the for example, from 45 ° to 180 °, which would make the use of the transparent repeater for the system.
  • the hacker could, artificially, increase the delay time of the received signal, the received signal is always in phase or in opposition to phase with the transmitted signal.
  • the frequency of the signal generated for example on a range from 120 to 130 KHz, with a variation of the frequency, for example every millisecond.
  • the hacker thinks that the broadcast frequency is 125 KHz, it can seek to return the signal with a time delay of the order of 8 ⁇ s. If, however, the broadcast signal has, in fact, at that moment, a frequency of 120 KHz, which corresponds to period of 8.33 ⁇ s, the received signal will be out of phase with signal with a delay of 0.33 ⁇ s, which corresponds to a phase shift of about 14 ° and therefore to a variation of the voltage continuous Vc of the order of 0.4 V, which is much higher than the value threshold of 250 mV.
  • the hacker could, first of all, analyze the signal emitted by the device for a complete period, in order to identify its frequency, then send the signal back to the identification device, with an overall delay of two or more periods, which would make again the transparent hacking vis-à-vis the system.
  • phase shift means 7 it is possible to use the latch 21 above, to detect the phase difference between the signals on its inputs Ck and Dat, so that its output Q delivers a binary signal whose value is equal to 1, if the input Ck is late of 90 ° with respect to the entry Dat and equal to 0 if the entry Ck is in advance of 90 ° with respect to the Dat.
  • the Q output of flip-flop 21 is analyzed by the microprocessor of the central unit 9, in order to compare to the known identification code by the known device Identification.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Lock And Its Accessories (AREA)

Description

L'invention est relative à un procédé pour sécuriser une transmission bidirectionnelle de données avec un identifiant et un système pour sa mise en oeuvre.
Un système de ce genre comprend généralement un dispositif d'identification ayant un circuit d'émission et un circuit de réception, installé dans l'espace clos, et un identifiant porté par un utilisateur qui souhaite obtenir l'accès, un échange de données entre dispositif d'identification et identifiant étant prévu pour s'établir normalement lorsque la distance entre l'identifiant et le dispositif d'identification est inférieure à une limite prédéterminée, l'accès n'étant autorisé que lorsque le dispositif d'identification a authentifié l'identifiant.
L'invention concerne plus particulièrement, parce que c'est dans ce cas que son application semble devoir présenter le plus d'intérêt, mais non exclusivement, un système pour sécuriser l'accès à un véhicule automobile dont les ouvrants, en particulier les portières de l'habitacle, comportent des serrures commandées par le système d'accès.
Dans ce type de système, l'utilisateur, pour obtenir l'accès, doit tout d'abord faire débuter une opération d'identification. Ce démarrage de l'opération peut être obtenu, par exemple, par action sur un bouton de commande situé sur l'ouvrant, ou par une commande à distance, ou éventuellement par un détecteur de présence installé dans l'espace clos. D'une manière générale, ce démarrage de l'opération d'identification est prévu pour nécessiter la proximité de l'utilisateur relativement à l'espace clos où il souhaite accéder.
L'opération d'identification s'effectue sur la base d'un échange de données entre le dispositif d'identification et l'identifiant constitué, par exemple, par un badge avec transpondeur électromagnétique. Suite au déclenchement de l'opération, le dispositif d'identification, installé dans l'espace clos, émet en général un signal d'interrogation qui active l'identifiant, lequel renvoie un signal codé analysé par le dispositif d'identification. Si le signal codé correspond au code autorisé, le dispositif d'identification autorise l'accès, par exemple en déverrouillant une ou des serrures. Les signaux échangés sont généralement des signaux électromagnétiques.
Pour renforcer la sécurité, le système est conçu de telle sorte que la portée de transmission soit réduite et qu'un échange de données d'identification entre dispositif d'identification et identifiant ne peut normalement s'établir que lorsque la distance entre l'espace clos et l'identifiant est inférieure à une limite prédéterminée, par exemple de l'ordre de quelques mètres.
Malgré ces précautions, un tel système d'accès court le risque d'être piraté par un autre ensemble d'émission-réception intercalé dans la liaison entre le dispositif d'identification et l'identifiant, cet autre ensemble d'émission-réception servant en fait uniquement de répéteur.
Par exemple, deux malfaiteurs agissant de conserve pourraient obtenir l'accès à l'espace clos de la manière suivante. Un premier malfaiteur, équipé d'un système d'émission-réception installé par exemple dans une sacoche, s'approche du véhicule fermé que vient de quitter un utilisateur autorisé, tandis qu'un second malfaiteur, équipé d'un système d'émission-réception semblable à celui du premier malfaiteur, suit l'utilisateur autorisé portant l'identifiant. Lorsque l'utilisateur autorisé est suffisamment éloigné, le premier malfaiteur déclenche une opération d'identification, par exemple par appui sur un bouton de commande situé sur un ouvrant. Les signaux émis par le dispositif d'identification sont relayés par le système d'émission-réception du premier malfaiteur vers le système du second malfaiteur, qui répète les signaux du dispositif d'identification vers l'identifiant. Ce dernier va alors répondre par le code autorisé, qui est retransmis par le système répéteur jusqu'au dispositif d'identification qui commande le déverrouillage des serrures et donne accès au malfaiteur.
Pour éviter un tel piratage, le principe consiste à détecter un temps de retard anormal, résultant de l'interposition d'un répéteur non autorisé entre le dispositif d'identification embarqué sur le véhicule et l'identifiant porté par l'utilisateur. Toutefois, si pour cette mesure de temps de retard anormal, le signal d'interrogation émis par le dispositif d'identification est simplement réémis, sans modulation, par l'identifiant en retour vers le véhicule, il est possible à un pirate de déterminer le moment où cette mesure du temps de retard anormal est effectuée et de renvoyer directement au véhicule le signal d'anti-piratage à l'aide uniquement du système d'émission/réception situé à proximité du véhicule. Autrement dit, le pirate peut court-circuiter la communication avec le véhicule, à l'aide d'un simple répéteur, sans passer par l'identifiant.
L'invention a pour but de proposer un procédé qui permet de sécuriser une transmission bidirectionnelle de données pour l'accès à un espace clos, en empêchant une éventuelle violation par un ensemble pirate d'émission-réception tel que celui évoqué ci-dessus.
Le principe de l'invention consiste, par exemple lors de la mesure d'un temps de retard, à ne pas utiliser l'identifiant en simple répéteur du signal émis par le véhicule, afin d'obliger le pirate à retransmettre le signal émis par l'identifiant, ce qui engendre nécessairement un temps de retard plus long.
A cet effet, l'invention a pour objet un procédé pour sécuriser une transmission bidirectionnelle de données, pour l'accès à un espace clos, en particulier à un véhicule automobile, consistant à établir un échange à distance de données entre un dispositif d'identification installé dans l'espace clos et un identifiant destiné à être porté par l'utilisateur, lorsque la distance entre l'identifiant et le dispositif d'identification est inférieure à une limite prédéterminée, l'accès n'étant autorisé que lorsque le dispositif d'identification a authentifié l'identifiant, l'opération d'identification comprenant l'émission par le dispositif d'identification d'un premier signal codé d'identification et d'au moins un deuxième signal d'interrogation, caractérisé par le fait que, pour empêcher un échange de données d'identification entre le dispositif d'identification et un répéteur non autorisé, sans passer par l'identifiant, le procédé consiste, d'une part, à décoder, au niveau de l'identifiant, le premier signal codé d'identification reçu par l'identifiant en provenance du dispositif d'identification, au début de l'opération d'identification, à séquentiellement inverser la phase du deuxième signal d'interrogation reçu par l'identifiant en provenance du dispositif d'identification, en fonction du code d'identification préalablement obtenu par décodage, à réémettre ledit deuxième signal vers le dispositif d'identification, afin que ce dernier puisse détecter le déphasage entre le deuxième signal d'interrogation engendré par le dispositif d'identification et le deuxième signal reçu par le dispositif d'identification, en provenance de l'identifiant, et à maintenir l'interdiction d'accès lorsque la séquence de déphasage détectée ne correspond pas au code d'identification connu par le dispositif d'identification. Ce code d'identification peut être constitué d'une séquence pseudo-aléatoire selon un algorithme prédéterminé, que le pirate ne peut pas connaítre. Ainsi, si le pirate utilise un simple répéteur pour dialoguer directement avec le dispositif d'identification, ce dernier recevra le deuxième signal d'interrogation, sans inversion de phase, ce qui ne correspondra pas au code d'identification connu par le dispositif d'identification, empêchant ainsi l'accès au véhicule.
Avantageusement, le deuxième signal d'interrogation engendré par le dispositif d'identification est un signal oscillant pulsé et le code d'identification est un code numérique à plusieurs bits, par exemple à trois octets, de façon à successivement activer ou désactiver l'inversion de phase d'une impulsion du deuxième signal d'interrogation, au niveau de l'identifiant, selon la valeur binaire de chaque bit de ce code d'identification.
Selon une autre caractéristique, le procédé consiste, au niveau du dispositif d'identification, à ajouter un déphasage supplémentaire de 90° au deuxième signal d'interrogation reçu par le dispositif d'identification, et, à l'étape de détection de déphasage, à affecter une valeur binaire pour chaque impulsion du deuxième signal, selon que la phase du deuxième signal reçu est en avance ou en retard d'environ 90° par rapport à la phase du deuxième signal engendré, afin de vérifier si la séquence de valeurs binaires ainsi affectées correspond bien au code d'identification connu par le dispositif d'identification.
Dans une forme de réalisation préférée, pour empêcher un échange de données d'identification à une distance supérieure à la limite prédéterminée précitée, en particulier par interposition d'un répéteur non autorisé entre le dispositif d'identification et l'identifiant, le procédé consiste, en outre, au niveau du dispositif d'identification, à discriminer la phase entre le deuxième signal d'interrogation engendré par le dispositif d'identification et ledit deuxième signal reçu par le dispositif d'identification en provenance de l'identifiant, à filtrer le signal résultant de la discrimination de phase pour délivrer un signal continu représentatif du déphasage et à maintenir l'interdiction d'accès lorsque la différence entre l'amplitude dudit signal continu et l'amplitude d'un signal de référence dépasse une valeur de seuil prédéterminée.
L'invention vise également un système pour la mise en oeuvre du procédé précité, dans lequel le dispositif d'identification comprend un circuit d'émission et un circuit de réception, et l'identifiant comporte un émetteur et un récepteur, caractérisé par le fait qu'il comporte, au niveau de l'identifiant, un moyen de décodage pour décoder le premier signal codé d'identification, un moyen inverseur de phase pour inverser la phase d'au moins un deuxième signal d'interrogation selon une séquence commandée par une unité centrale de commande en fonction du code d'identification fourni par le moyen de décodage, et au niveau du dispositif d'identification, un moyen détecteur de déphasage recevant, en entrée, à la fois le deuxième signal d'interrogation engendré par un générateur du dispositif d'identification, et ledit deuxième signal d'interrogation reçu par le circuit de réception du dispositif d'identification en provenance de l'identifiant, et une unité centrale de traitement apte à analyser le déphasage ainsi détecté en fonction du code d'identification connu par le dispositif d'identification.
Avantageusement, le générateur du dispositif d'identification engendre le deuxième signal d'interrogation sous la forme d'un signal oscillant pulsé, dont chaque impulsion a une fréquence porteuse prédéterminée, par exemple en basse fréquence à 125 KHz, lesdites impulsions ayant une période de récurrence prédéterminée, par exemple de l'ordre de 8 µs, et le code d'identification est un code binaire à plusieurs bits, de durée unitaire par exemple de 200 µs, par exemple à trois octets, la valeur 1 ou 0 de chaque bit étant destinée à activer ou désactiver le moyen inverseur de phase pendant une durée correspondant sensiblement à celle du bit 1 ou 0.
Dans une forme de réalisation particulière, l'identifiant comporte un récepteur basse fréquence ayant un circuit de remise en forme du signal dont la sortie est reliée, d'une part, au moyen de décodage précité, et d'autre part, à une entrée d'une porte logique OU exclusif qui constitue le moyen inverseur de phase précitée, l'autre entrée de ladite porte recevant les bits du code d'identification selon la fréquence de récurrence des impulsions du deuxième signal d'interrogation, la sortie de ladite porte logique étant reliée à un émetteur radio-fréquence modulé par ledit signal de sortie de la porte logique.
Dans ce cas, un interrupteur peut être intercalé entre ladite porte logique et l'émetteur radio-fréquence de l'identifiant, ledit interrupteur étant commandé par l'unité centrale de commande pour ouvrir la liaison entre la porte logique et l'émetteur pendant la phase de décodage du premier signal d'identification et pour fermer ladite liaison pendant la réception et la réémission du deuxième signal d'interrogation par l'identifiant.
On peut également prévoir qu'un moyen de déphasage est intercalé entre un récepteur radio-fréquence du dispositif d'identification et le moyen de détection de déphasage précité, pour ajouter au deuxième signal d'interrogation reçu en provenance de l'identifiant un déphasage supplémentaire de 90° à l'entrée dudit moyen de détection de déphasage, ce dernier étant constitué d'une bascule D recevant sur une autre entrée le deuxième signal d'interrogation engendré par le générateur du dispositif d'identification, pour délivrer en sortie, pour chaque impulsion dudit deuxième signal d'interrogation, une valeur binaire 1 ou 0 selon que la phase du deuxième signal d'interrogation reçu est en avance ou en retard d'environ 90° par rapport à la phase du deuxième signal d'interrogation engendré, la sortie de ladite bascule D étant reliée à l'unité centrale de traitement pour la comparer au code d'identification précité.
Avantageusement, pour empêcher un échange de données d'identification à une distance supérieure à la limite prédéterminée, en particulier par interposition d'un répéteur non autorisé entre le dispositif d'identification et l'identifiant, le système comprend, en parallèle au moyen de détection de déphasage, un moyen discriminateur de phase recevant, en entrée, le deuxième signal engendré par le générateur du dispositif d'identification et le deuxième signal reçu par le circuit de réception en provenance de l'identifiant, un moyen de filtrage étant connecté en sortie dudit moyen discriminateur de phase, pour délivrer, en sortie, un signal continu représentatif du déphasage des signaux précités, ledit signal continu étant délivré à l'unité centrale de traitement qui est sensible à la différence entre l'amplitude dudit signal continu délivré et l'amplitude d'un signal de référence, pour maintenir l'interdiction d'accès lorsque ladite différence dépasse une valeur de seuil prédéterminée.
Dans ce cas, on peut prévoir que le circuit de réception du dispositif d'identification comporte une antenne reliée à un récepteur radio-fréquence, par exemple à 434 MHz, connecté, d'une part, à une entrée du moyen discriminateur de phase précité et, d'autre part, à une entrée du moyen de détection de phase précité, et le circuit d'émission du dispositif d'identification comporte un générateur basse fréquence, par exemple à 125 KHz connecté, en parallèle, à l'autre entrée du moyen discriminateur de phase, à l'autre entrée du moyen détecteur de déphasage, et à un amplificateur d'antenne.
Selon une forme de réalisation particulière, le moyen discriminateur de phase précité est une porte logique OU exclusif qui délivre en sortie un signal dont la composante continue varie linéairement en fonction du déphasage entre les deuxièmes signaux engendré et reçu précités sur une demi-période. Dans ce cas, le moyen de filtrage précité peut être un filtre passe-bas par exemple avec une fréquence de coupure de l'ordre de 10 KHz.
Avantageusement, l'unité centrale de traitement comporte un micro-contrôleur équipé d'un convertisseur analogique/numérique, pour traiter numériquement la différence de valeur entre la tension continue délivrée et la tension de référence, et pour comparer les valeurs binaires du signal de sortie de la bascule D et le code d'identification.
Dans ce cas, le générateur basse-fréquence du dispositif d'identification peut être modulé en fréquence par l'unité centrale de traitement, de préférence de manière aléatoire, par exemple sur une plage de 120 à 130 KHz et avec une période d'environ une ms.
Selon une autre caractéristique, le système comporte un moyen de mesure du temps de retard entre les deuxièmes signaux engendré et reçu précités, afin que l'unité centrale de traitement maintienne l'interdiction d'accès lorsque la valeur du temps de retard mesurée dépasse une valeur de seuil prédéterminée, par exemple une ou deux périodes de récurrence dudit deuxième signal.
De préférence, la tension de référence, à laquelle est comparée la tension continue délivrée par le moyen de filtrage, est constituée par une valeur initialement mémorisée, qui est apprise par le système.
Pour mieux faire comprendre l'objet de l'invention, on va en décrire maintenant, à titre d'exemple purement illustratif et non limitatif, un mode de réalisation représenté sur le dessin annexé.
Sur ce dessin :
  • la figure 1 est un schéma synoptique fonctionnel du système selon l'invention ; et
  • la figure 2 est un graphique représentant la valeur de la tension continue en fonction du déphasage.
Sur la figure 1, le dispositif d'identification embarqué par exemple sur un véhicule, comporte un générateur de tension V basse fréquence BF, par exemple à 125 KHz, délivrant en sortie une tension VE sous forme de créneaux. La tension VE est envoyée, d'une part, à une entrée d'une porte logique OU exclusif 1 et à une entrée Ck d'une bascule 21 dite bascule D, et d'autre part, à l'entrée d'un amplificateur 2. La sortie de l'amplificateur 2 est reliée à une capacité 3 et à une inductance 4 en série, une borne de l'inductance 4 étant reliée à la masse. L'inductance 4 constitue l'antenne d'émission BF du dispositif d'identification.
Le dispositif d'identification comporte, en outre, une antenne 5 reliée à l'entrée d'un récepteur 6 radio fréquence RF, par exemple à 434 MHz. La sortie du récepteur RF 6 est reliée en série à un moyen de déphasage 7 pour introduire un déphasage de 90° dans le signal reçu VR. La sortie du moyen de déphasage 7 est reliée en parallèle à l'autre entrée de la porte logique 1 et à une autre entrée Dat de la bascule D.
La porte logique 1 est reliée en sortie à un filtre passe-bas 8 d'ordre quatre, avec une fréquence de coupure d'environ 10 KHz. Le filtre 8 permet de délivrer en sortie la composante continue Vcc du signal sortant de la porte logique 1. La tension Vcc est reçue par une unité de traitement 9 comportant un micro-contrôleur équipé d'un convertisseur analogique/numérique à 8 bits. L'unité de traitement 9 est apte à commander le générateur BF précité, dont une borne est reliée à la masse.
Les bornes Pr et Cℓ de la bascule D sont reliées à la masse et la sortie Q de la bascule 21 est reliée à l'unité 9. La bascule 21 ne sera pas décrite plus en détail, car elle est connue en soi.
L'identifiant, porté par exemple sur un badge, comporte une inductance 10 qui est branchée en parallèle sur une capacité 11 et aux deux bornes d'entrée d'un comparateur 12. L'ensemble 11, 12 constitue un récepteur BF 13 comportant un circuit de réveil à très faible consommation qui effectue une remise en forme du signal pour délivrer un signal induit VI sous forme de créneaux. La sortie du comparateur 12 est reliée, d'une part, à une entrée d'une autre porte logique OU exclusif 22 et à l'entrée d'un moyen de décodage 23. La sortie du moyen de décodage est reliée à une unité centrale de commande 24 qui est apte à commander un interrupteur 25 par une liaison 26 et apte à fournir un signal constitué d'une séquence de valeurs binaires à une deuxième entrée de la porte logique 22. Le signal de sortie de la porte 22 permet de moduler un émetteur RF 14 qui délivre un signal modulé vers une antenne 15 de l'identifiant, lorsque l'interrupteur 25 est fermé.
La flèche F1 indique la transmission du signal BF entre l'antenne 4 et l'antenne 10, et la flèche F2 indique la transmission du signal RF entre l'antenne 15 et l'antenne 5.
On va maintenant décrire un premier exemple de fonctionnement du système de l'invention.
Le générateur V engendre un premier signal codé d'identification, composé de bits d'identification, qui est émis par l'antenne 4 du dispositif d'identification et reçu par l'antenne 10 de l'identifiant. Ce premier signal code d'identification est décodé par le moyen de décodage 23 qui, simultanément, donne l'ordre à l'unité centrale de commande 24 de commander l'ouverture de l'interrupteur 25, pour éviter une réémission de ce premier signal par l'identifiant. Le premier signal codé d'identification est émis avec une période d'environ 200 µs par bit d'identification.
Puis, le générateur V engendre un deuxième signal d'interrogation qui est constitué d'une tension VE sous forme de créneaux avec une fréquence porteuse de 125 KHz et une amplitude de crête, pour chaque impulsion IE, de 5 Volts. Dans ce cas, la période de récurrence des impulsions du deuxième signal est de 8 µs. Ce deuxième signal d'interrogation est reçu par l'identifiant et délivre en sortie de son récepteur 13 un signal oscillant en créneaux VI dont l'enveloppe du signal est représentée sur la figure 1. Le signal VI est reçu à l'entrée de la porte logique 22 qui reçoit, en outre, en entrée un signal continu sous forme de créneaux représentatifs des bits successifs du code d'identification préalablement obtenu par l'intermédiaire du moyen de décodage 23. Dans ce cas, l'unité centrale de commande 24 a commandé l'interrupteur 25 pour fermer la liaison vers l'émetteur 14. Si un bit du code d'identification est à 0, lors d'une impulsion II du signal VI, la porte logique 22 délivrera en sortie ladite impulsion II, alors que si le bit est à 1, la porte logique 22 sortira une impulsion dont la phase sera inversée de 180° et ce pendant toute la durée d'un bit d'identification, soit 200 µs.
Bien entendu, le deuxième signal d'interrogation ne passe pas par le moyen de décodage 23.
Le signal reçu VR présente un léger déphasage par rapport au signal VE, par exemple de l'ordre de quelques centaines de ns, du fait du temps de transmission du signal résultant de la distance et des composants électroniques.
Dans le cas où le moyen de déphasage 7 est absent, la porte logique 1 délivrera en sortie un signal dont la fréquence sera double, c'est-à-dire de l'ordre de 250 KHz. Le filtre passe-bas 8 permettra d'éliminer la fréquence porteuse à 250 KHz, pour ne garder que la composante continue du signal.
Si les deux antennes 4, 10 sont positionnées de manière à être en phase (c'est-à-dire, avec Δϕ = 0), la tension Vcc sera de l'ordre de 0 V, comme indiqué sur le graphique de la figure 2. Si l'on tient compte du léger retard introduit par la transmission bidirectionnelle des données F1 et F2, qui est de l'ordre de quelques centaines de ns, la tension résultante Vcc sera en fait de l'ordre de quelques centaines de mV. En effet, la porte logique 1 délivre un signal dont la composante continue varie entre 0 et 5 V, pour un déphasage Δϕ compris entre 0 et 180°, comme visible sur la figure 2. On peut ainsi détecter un déphasage avec une précision de l'ordre de 5 V/180° = 28 mV/°. Etant donné que, pour le signal VE, la période de 8 µs correspond à 360°, un retard de l'ordre de 100 ns, qui correspond à 0,1 µs, se traduit par un déphasage de 0,1 x 360/8 = 4,5°. Ainsi, un léger retard de l'ordre de 100 ns correspond à une tension continue Vcc égale à 4,5° x 28 mV/° = 125 mV.
A titre d'exemple, la valeur de seuil prédéterminée pourrait être de l'ordre de 250 mV, ce qui correspondrait à un retard d'environ 200 ns, alors que la valeur de la tension de référence serait de 0 V.
En revanche, si les deux bobines 4, 10 sont en opposition de phase, c'est-à-dire avec un déphasage Δϕ = 180°, la valeur de la tension continue Vcc sera de 5 V, comme visible sur la figure 2.
Par conséquent, si Vcc est par exemple compris entre 0,25 et 4,75 V, cela signifiera que les signaux émis et reçu sont déphasés d'une manière irrégulière, ce qui maintiendra l'interdiction d'accès au véhicule et/ou pourra déclencher une alarme sonore ou visuelle.
Dans le cas où le moyen de déphasage 7 est absent, on n'utilise pas la bascule 21, mais on utilise uniquement la porte logique 1, en tant que moyen détecteur de déphasage. Ainsi, pour chaque impulsion IR du signal reçu VR , si Vcc est entre 0 et 1 volt, l'unité centrale de traitement 9 pourra affecter à ladite impulsion une valeur binaire égale à 0, et si la tension Vcc est comprise entre 4 et 5 volts, on peut affecter à l'impulsion une valeur binaire égale à 1, afin de comparer la séquence desdites valeurs binaires au code d'identification connu par le véhicule. Ainsi, la porte logique 1 peut servir à la fois pour détecter un retard et pour vérifier que le signal est bien passé par l'identifiant.
Bien entendu, l'invention suppose que l'antenne de réception de l'identifiant ne soit pas retournée par rapport à l'antenne émettrice du dispositif d'identification, pendant l'analyse du second signal sinon la comparaison avec le code d'identification sera faussée.
Toutefois, pour éviter d'avoir deux valeurs possibles de tension de référence, à savoir 0 V et 5 V, selon que les bobines BF sont en phase ou en opposition de phase, on peut ajouter le moyen de déphasage 7 pour introduire un déphasage supplémentaire de 90°. Ainsi, que les bobines 4, 10 soient en phase ou en opposition de phase, la porte logique 1 détectera un déphasage qui sera toujours de l'ordre de 90°, ce qui correspond à un signal Vcc de l'ordre de 2,5 V, avec une marge d'erreur de l'ordre de 10 %, c'est-à-dire 0,25 V. Le fait d'ajouter le moyen de déphasage 7 permet d'avoir en mémoire une seule valeur de tension de référence.
Ainsi, si un pirate introduit un répéteur entre le dispositif d'identification et l'identifiant, le temps de retard global pourrait, par exemple, être de l'ordre de 1 µs, ce qui correspondrait à un déphasage de 45° supplémentaires entre le signal reçu et le signal émis. La tension continue résultante Vcc varierait alors de 45° x 28 mV/° = 1,25 V, ce qui est bien supérieur à la valeur de seuil de 250 mV.
Toutefois, si un pirate vient à connaítre le système selon l'invention, il pourrait chercher à augmenter le déphasage, pour le porter, par exemple, de 45° à 180°, ce qui rendrait l'utilisation du répéteur transparent pour le système. Autrement dit, le pirate pourrait, de manière artificielle, augmenter le temps de retard du signal reçu, de façon que le signal reçu soit toujours en phase ou en opposition de phase avec le signal émis.
Pour éviter cet inconvénient, il suffit de faire varier, de manière aléatoire, la fréquence du signal engendré, par exemple sur une plage allant de 120 à 130 KHz, avec une variation de la fréquence, par exemple toutes les millisecondes.
Par exemple, si le pirate pense que la fréquence d'émission est de 125 KHz, il pourra chercher à renvoyer le signal avec un temps de retard de l'ordre de 8 µs. Si, toutefois, le signal d'émission a en fait, à cet instant précis, une fréquence de 120 KHz, ce qui correspond à une période de 8,33 µs, le signal reçu sera déphasé par rapport au signal émis avec un temps de retard de 0,33 µs, ce qui correspondra à un déphasage d'environ 14° et donc à une variation de la tension continue Vc de l'ordre de 0,4 V, ce qui est bien supérieur à la valeur de seuil de 250 mV.
Si le pirate sait que la fréquence d'émission peut varier, il pourrait, tout d'abord, analyser le signal émis par le dispositif d'identification sur une période complète, afin d'identifier sa fréquence, puis renvoyer le signal vers le dispositif d'identification, avec un retard global de deux ou plus périodes, ce qui rendrait à nouveau le piratage transparent vis-à-vis du système.
Pour éviter ce cas, il suffirait alors de rajouter un moyen de mesure du temps de retard entre le signal émis et le signal reçu. En effet, dès lors qu'il sera nécessaire au pirate de mesurer d'abord la fréquence du signal émis sur une période, puis de le renvoyer après au moins deux périodes, le temps de retard résultant sera suffisamment grand pour pouvoir être détecté par un moyen de mesure de temps de retard suffisamment simple et économique.
Dans le cas où le moyen de déphasage 7 est utilisé, on peut utiliser la bascule 21 précitée, pour détecter le déphasage entre les signaux sur ses entrées Ck et Dat, de façon que sa sortie Q délivre un signal binaire dont la valeur est égale à 1, si l'entrée Ck est en retard de 90° par rapport à l'entrée Dat et égale à 0 si l'entrée Ck est en avance de 90° par rapport à l'entrée Dat. La sortie Q de la bascule 21 est analysée par le microprocesseur de l'unité centrale 9, afin de la comparer au code d'identification connu par le dispositif connu d'identification.
Enfin, il est à noter que si l'on utilise un convertisseur analogique/numérique à 8 bits, on pourra obtenir une numérisation du signal Vcc avec une précision de 5 V/256, c'est-à-dire environ 19,5 mV/bit. Etant donné que la porte logique 1 permettait d'avoir une précision de 27 mV/°, on obtient avec le convertisseur analogique/numérique une précision supérieure à 1° par bit.

Claims (17)

  1. Procédé pour sécuriser une transmission bidirectionnelle de données, pour l'accès à un espace clos, en particulier à un véhicule automobile, consistant à établir un échange à distance de données entre un dispositif d'identification installé dans l'espace clos et un identifiant destiné à être porté par l'utilisateur, lorsque la distance entre l'identifiant et le dispositif d'identification est inférieure à une limite prédéterminée, l'accès n'étant autorisé que lorsque le dispositif d'identification a authentifié l'identifiant, l'opération d'identification comprenant l'émission par le dispositif d'identification d'un premier signal codé d'identification et d'au moins un deuxième signal d'interrogation (VE), caractérisé par le fait que, pour empêcher un échange de données d'identification entre le dispositif d'identification et un répéteur non autorisé, sans passer par l'identifiant, le procédé consiste, d'une part, à décoder, au niveau de l'identifiant, le premier signal codé d'identification reçu par l'identifiant en provenance du dispositif d'identification, au début de l'opération d'identification, à séquentiellement inverser la phase du deuxième signal d'interrogation reçu par l'identifiant en provenance du dispositif d'identification, en fonction du code d'identification préalablement obtenu par décodage, à réémettre ledit deuxième signal vers le dispositif d'identification, afin que ce dernier puisse détecter le déphasage entre le deuxième signal d'interrogation (VE) engendré par le dispositif d'identification et le deuxième signal (VR) reçu par le dispositif d'identification, en provenance de l'identifiant, et à maintenir l'interdiction d'accès lorsque la séquence de déphasage détectée ne correspond pas au code d'identification connu par le dispositif d'identification.
  2. Procédé selon la revendication 1, caractérisé par le fait que le deuxième signal d'interrogation (VE) engendré par le dispositif d'identification est un signal oscillant pulsé et le code d'identification est un code numérique à plusieurs bits, par exemple à trois octets, de façon à successivement activer ou désactiver l'inversion de phase d'une impulsion (II) du deuxième signal d'interrogation (VI), au niveau de l'identifiant, selon la valeur binaire de chaque bit de ce code d'identification.
  3. Procédé selon la revendication 2, caractérisé par le fait qu'il consiste, au niveau du dispositif d'identification, à ajouter un déphasage supplémentaire de 90° au deuxième signal d'interrogation (VR) reçu par le dispositif d'identification, et, à l'étape de détection de déphasage, à affecter une valeur binaire pour chaque impulsion du deuxième signal, selon que la phase du deuxième signal reçu est en avance ou en retard d'environ 90° par rapport à la phase du deuxième signal engendré (VE), afin de vérifier si la séquence de valeurs binaires ainsi affectées correspond bien au code d'identification connu par le dispositif d'identification.
  4. Procédé selon l'une des revendications 1 à 3, caractérisé par le fait que, pour empêcher un échange de données d'identification à une distance supérieure à la limite prédéterminée précitée, en particulier par interposition d'un répéteur non autorisé entre le dispositif d'identification et l'identifiant, le procédé consiste, en outre, au niveau du dispositif d'identification, à discriminer la phase entre le deuxième signal d'interrogation (VE) engendré par le dispositif d'identification et ledit deuxième signal (VR) reçu par le dispositif d'identification en provenance de l'identifiant, à filtrer le signal résultant de la discrimination de phase pour délivrer un signal continu représentatif du déphasage et à maintenir l'interdiction d'accès lorsque la différence entre l'amplitude dudit signal continu (Vcc) et l'amplitude d'un signal de référence dépasse une valeur de seuil prédéterminée.
  5. Système pour la mise en oeuvre du procédé selon l'une des revendications 1 à 4, dans lequel le dispositif d'identification comprend un circuit d'émission (2-4) contenant des moyens d'émission d'un premier signal codé d'identification et d'au moins un deuxième signal d'interrogation et un circuit de réception (5-7), et l'identifiant comporte un émetteur (14) et un récepteur (13), caractérisé par le fait qu'il comporte, au niveau de l'identifiant, un moyen de décodage (23) pour décoder le premier signal codé d'identification, un moyen inverseur de phase (22) pour inverser la phase d'au moins un deuxième signal d'interrogation (VI) selon une séquence commandée par une unité centrale de commande (24) en fonction du code d'identification fourni par le moyen de décodage, et au niveau du dispositif d'identification, un moyen détecteur de déphasage (21) recevant, en entrée, à la fois le deuxième signal d'interrogation (VE) engendré par un générateur (V) du dispositif d'identification, et ledit deuxième signal d'interrogation (VR) reçu par le circuit de réception du dispositif d'identification en provenance de l'identifiant, et une unité centrale de traitement (9) apte à analyser le déphasage ainsi détecté en fonction du code d'identification connu par le dispositif d'identification et l'unité contenant des moyens à maintenir une interdiction d'acces lorsque la séquence de déphasage détectée ne correspond pas au code d'identification.
  6. Système selon la revendication 5, caractérisé par le fait que le générateur (V) du dispositif d'identification engendre le deuxième signal d'interrogation (VE) sous la forme d'un signal oscillant pulsé, dont chaque impulsion (IE) a une fréquence porteuse prédéterminée, par exemple en basse fréquence à 125 KHz, lesdites impulsions ayant une période de récurrence prédéterminée, par exemple de l'ordre de 8 µs, et le code d'identification est un code binaire à plusieurs bits, de durée unitaire par exemple de 200 µs, par exemple à trois octets, la valeur 1 ou 0 de chaque bit étant destinée à activer ou désactiver le moyen inverseur de phase (22) pendant une durée correspondant sensiblement à celle du bit 1 ou 0.
  7. Système selon la revendication 6, caractérisé par le fait que l'identifiant comporte un récepteur basse fréquence (13) ayant un circuit de remise en forme du signal dont la sortie est reliée, d'une part, au moyen de décodage (23) précité, et d'autre part, à une entrée d'une porte logique OU exclusif (22) qui constitue le moyen inverseur de phase précitée, l'autre entrée de ladite porte recevant les bits du code d'identification selon la fréquence de récurrence des impulsions (II) du deuxième signal d'interrogation (VI), la sortie de ladite porte logique étant reliée à un émetteur radio-fréquence (14) modulé par ledit signal de sortie de la porte logique.
  8. Système selon la revendication 7, caractérisé par le fait qu'un interrupteur est intercalé entre ladite porte logique (22) et l'émetteur radio-fréquence (14) de l'identifiant, ledit interrupteur étant commandé par l'unité centrale de commande (24) pour ouvrir la liaison entre la porte logique et l'émetteur pendant la phase de décodage du premier signal d'identification et pour fermer ladite liaison pendant la réception et la réémission du deuxième signal d'interrogation par l'identifiant.
  9. Système selon l'une des revendications 5 à 8, caractérisé par le fait qu'un moyen de déphasage (7) est intercalé entre un récepteur radio-fréquence (6) du dispositif d'identification et le moyen de détection de déphasage (21) précité, pour ajouter au deuxième signal d'interrogation (VR) reçu en provenance de l'identifiant un déphasage supplémentaire de 90° à l'entrée dudit moyen de détection de déphasage, ce dernier étant constitué d'une bascule D recevant sur une autre entrée le deuxième signal d'interrogation (VE) engendré par le générateur (V) du dispositif d'identification, pour délivrer en sortie, pour chaque impulsion dudit deuxième signal d'interrogation, une valeur binaire 1 ou 0 selon que la phase du deuxième signal d'interrogation reçu (VR) est en avance ou en retard d'environ 90° par rapport à la phase du deuxième signal d'interrogation engendré (VE), la sortie de ladite bascule D étant reliée à l'unité centrale de traitement (9) pour la comparer au code d'identification précité.
  10. Système selon l'une des revendications 5 à 9, caractérisé par le fait que, pour empêcher un échange de données d'identification à une distance supérieure à la limite prédéterminée, en particulier par interposition d'un répéteur non autorisé entre le dispositif d'identification et l'identifiant, le système comprend, en parallèle au moyen de détection de déphasage (21), un moyen discriminateur de phase (1) recevant, en entrée, le deuxième signal (VE) engendré par le générateur (V) du dispositif d'identification et le deuxième signal (VR) reçu par le circuit de réception (5-7) en provenance de l'identifiant, un moyen de filtrage (8) étant connecté en sortie dudit moyen discriminateur de phase, pour délivrer, en sortie, un signal continu (Vcc) représentatif du déphasage des signaux précités, ledit signal continu étant délivré à l'unité centrale de traitement (9) qui est sensible à la différence entre l'amplitude dudit signal continu délivré et l'amplitude d'un signal de référence, pour maintenir l'interdiction d'accès lorsque ladite différence dépasse une valeur de seuil prédéterminée.
  11. Système selon la revendication 10, caractérisé par le fait que le circuit de réception (5-7) du dispositif d'identification comporte une antenne (5) reliée à un récepteur radio-fréquence (6), par exemple à 434 MHz, connecté, d'une part, à une entrée du moyen discriminateur de phase précité (1) et, d'autre part, à une entrée du moyen de détection de phase précité (21), et le circuit d'émission (2-4) du dispositif d'identification comporte un générateur basse fréquence (V), par exemple à 125 KHz connecté, en parallèle, à l'autre entrée du moyen discriminateur de phase, à l'autre entrée du moyen détecteur de déphasage, et à un amplificateur d'antenne (2).
  12. Système selon la revendication 10 ou 11, caractérisé par le fait que le moyen discriminateur de phase précité (1) est une porte logique OU exclusif qui délivre en sortie un signal dont la composante continue varie linéairement en fonction du déphasage entre les deuxièmes signaux engendré (VE) et reçu (VR) précités sur une demi-période.
  13. Système selon la revendication 12, caractérisé par le fait que le moyen de filtrage précité (8) est un filtre passe-bas par exemple avec une fréquence de coupure de l'ordre de 10 KHz.
  14. Système selon l'une des revendications 10 à 13, caractérisé par le fait que l'unité centrale de traitement (9) comporte un micro-contrôleur équipé d'un convertisseur analogique/numérique, pour traiter numériquement la différence de valeur entre la tension continue délivrée (Vcc) et la tension de référence, et pour comparer les valeurs binaires du signal de sortie de la bascule D (21) et le code d'identification.
  15. Système selon la revendication 14, caractérisé par le fait que le générateur basse-fréquence (V) du dispositif d'identification est modulé en fréquence par l'unité centrale de traitement (9), de préférence de manière aléatoire, par exemple sur une plage de 120 à 130 KHz et avec une période d'environ une ms.
  16. Système selon l'une des revendications 10 à 15, caractérisé par le fait que le système comporte un moyen de mesure du temps de retard entre les deuxièmes signaux engendré et reçu précités, afin que l'unité centrale de traitement (9) maintienne l'interdiction d'accès lorsque la valeur du temps de retard mesurée dépasse une valeur de seuil prédéterminée, par exemple une ou deux périodes de récurrence dudit deuxième signal.
  17. Système selon l'une des revendications 10 à 17, caractérisé par le fait que la tension de référence, à laquelle est comparée la tension continue délivrée (Vcc) par le moyen de filtrage (8), est constituée par une valeur initialement mémorisée, qui est apprise par le système.
EP00401666A 1999-06-15 2000-06-13 Procédé pour sécuriser une transmission bidirectionnelle de données avec un identifiant et système pour sa mise en oeuvre Expired - Lifetime EP1061211B1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9907529A FR2795263B1 (fr) 1999-06-15 1999-06-15 Procede pour securiser une transmission bidirectionnelle de donnees avec un identifiant et systeme pour sa mise en oeuvre
FR9907529 1999-06-15

Publications (2)

Publication Number Publication Date
EP1061211A1 EP1061211A1 (fr) 2000-12-20
EP1061211B1 true EP1061211B1 (fr) 2005-03-02

Family

ID=9546781

Family Applications (1)

Application Number Title Priority Date Filing Date
EP00401666A Expired - Lifetime EP1061211B1 (fr) 1999-06-15 2000-06-13 Procédé pour sécuriser une transmission bidirectionnelle de données avec un identifiant et système pour sa mise en oeuvre

Country Status (4)

Country Link
EP (1) EP1061211B1 (fr)
DE (1) DE60018327T2 (fr)
ES (1) ES2234539T3 (fr)
FR (1) FR2795263B1 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002054353A1 (fr) * 2000-12-29 2002-07-11 Siemens Aktiengesellschaft Systeme d'identification pour detecter une autorisation d'acces a un objet ou d'utilisation d'un objet, notamment d'un vehicule automobile
FR3040498B1 (fr) * 2015-08-31 2018-02-09 Valeo Comfort And Driving Assistance Procede de determination d'une distance entre un vehicule et un identifiant d'acces et de demarrage du vehicule

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE456118B (sv) * 1985-12-12 1988-09-05 Stiftelsen Inst Mikrovags Forfarande och anordning for att meta avstand mellan ett forsta och ett andra foremal med signaler av mikrovagsfrekvens
US4899158A (en) * 1987-09-26 1990-02-06 Matsushita Electric Works, Ltd. Moving object discriminating system
FR2723238B1 (fr) * 1994-07-27 1996-09-13 Suisse Electronique Microtech Systeme de communication entre une station de base et un transpondeur passif
DE59409716D1 (de) * 1994-11-07 2001-05-10 Siemens Ag Diebstahlschutzsystem für ein Kraftfahrzeug

Also Published As

Publication number Publication date
EP1061211A1 (fr) 2000-12-20
FR2795263A1 (fr) 2000-12-22
DE60018327D1 (de) 2005-04-07
DE60018327T2 (de) 2006-04-13
FR2795263B1 (fr) 2001-08-24
ES2234539T3 (es) 2005-07-01

Similar Documents

Publication Publication Date Title
US6353776B1 (en) Control system and method for controlling at least one function of an object and access control and driving authorization device for a motor vehicle
EP1001117B1 (fr) Système pour sécuriser une transmission bidirectionnelle de données pour l'accès a un espace clos, en particulier pour l'accès a un véhicule
FR2801549A1 (fr) Dispositif antivol pour vehicule automobile et procede de mise en oeuvre d'un tel dispositif antivol
FR2775642A1 (fr) Procede d'initialisation d'un systeme antivol pour vehicule automobile
FR2745539A1 (fr) Procede de commande d'un dispositif antivol et dispositif antivol commande par un tel procede
EP1821261A1 (fr) Procédé et dispositif de condamnation automatique des portes d'un véhicule
EP3306576A1 (fr) Procede et systeme d'acces securise a un espace determine au moyen d'un objet portable
EP0629759A1 (fr) Système de télécommande à plusieurs portées fonctionnelles
EP1058214A1 (fr) Procédé de transmission bidirectionnelle de données, et système pour sa mise en oeuvre
FR2814842A1 (fr) Procede d'emission et de reception, notamment pour la detection d'un generateur d'identification
EP1152109B1 (fr) Système pour le démarrage et/ou l'accès mains libres d'un véhicule automobile
FR2813256A1 (fr) Systeme antivol pour vehicule automobile et procede de mise en oeuvre d'un tel systeme antivol
EP1061211B1 (fr) Procédé pour sécuriser une transmission bidirectionnelle de données avec un identifiant et système pour sa mise en oeuvre
EP1041225B1 (fr) Système pour sécuriser une transmission bidirectionnelle de données entre un identifiant et un identifieur
FR2832111A1 (fr) Dispositif antivol pour vehicule automobile et procede pour exploiter un dispositif
EP1378865B1 (fr) Procédé de contrôle d'accès d'un objet portable personnalisé à un espace déterminé, et objet portable pour la mise en oeuvre du procédé
FR2797727A1 (fr) Dispositif d'identification d'habilitation et de declenchement/mise en disponibilite d'une action, notamment pour vehicule automobile
EP1152108A2 (fr) Système d'accès dit mains libres pour véhicule automobile
EP1421561A1 (fr) Procede d'autorisation de deverrouillage et/ou de demarrage d'un vehicule automobile et dispositif associe
WO2010043357A1 (fr) Procede et dispositif de commande a distance de toit ouvrant de vehicule
EP1378864A1 (fr) Procédé de controle d'accès d'un objet portable personnalisé à un espace déterminé, et objet portable pour la mise en oeuvre du procédé
FR2781076A1 (fr) Systeme de securite pour un vehicule automobile comportant des moyens de mesure de la duree d'un echange de donnees
EP1152107B1 (fr) Systéme a anti-piratage pour l'accès mains libres d'un véhicule automobile
EP1178169B1 (fr) Procédé anti-piratage de commande à distance pour véhicule automobile et système pour sa mise en oeuvre
FR2493567A1 (fr) Detecteur de proximite

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): DE ES GB IT

AX Request for extension of the european patent

Free format text: AL;LT;LV;MK;RO;SI

17P Request for examination filed

Effective date: 20010620

AKX Designation fees paid

Free format text: DE ES GB IT

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: VALEO SECURITE HABITACLE S.A.S.

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): DE ES GB IT

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REF Corresponds to:

Ref document number: 60018327

Country of ref document: DE

Date of ref document: 20050407

Kind code of ref document: P

GBT Gb: translation of ep patent filed (gb section 77(6)(a)/1977)

Effective date: 20050323

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2234539

Country of ref document: ES

Kind code of ref document: T3

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20051205

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: ES

Payment date: 20080620

Year of fee payment: 9

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: IT

Payment date: 20080625

Year of fee payment: 9

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20080613

Year of fee payment: 9

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20080605

Year of fee payment: 9

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20090613

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090613

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20100101

REG Reference to a national code

Ref country code: ES

Ref legal event code: FD2A

Effective date: 20090615

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: ES

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090615

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090613