FR3139931A1 - Procédé de transmission d’un ensemble de données entre un tachygraphe et un appareil de commande - Google Patents

Procédé de transmission d’un ensemble de données entre un tachygraphe et un appareil de commande Download PDF

Info

Publication number
FR3139931A1
FR3139931A1 FR2309578A FR2309578A FR3139931A1 FR 3139931 A1 FR3139931 A1 FR 3139931A1 FR 2309578 A FR2309578 A FR 2309578A FR 2309578 A FR2309578 A FR 2309578A FR 3139931 A1 FR3139931 A1 FR 3139931A1
Authority
FR
France
Prior art keywords
tachograph
data
control device
identifier
integrity protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2309578A
Other languages
English (en)
Inventor
Alexander Matthias Weisser
Alastair Gregory
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aumovio Germany GmbH
Original Assignee
Continental Automotive Technologies GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive Technologies GmbH filed Critical Continental Automotive Technologies GmbH
Publication of FR3139931A1 publication Critical patent/FR3139931A1/fr
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C17/00Arrangements for transmitting signals characterised by the use of a wireless electrical link
    • G08C17/02Arrangements for transmitting signals characterised by the use of a wireless electrical link using a radio link
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

Procédé de transmission d’un ensemble de données entre un tachygraphe et un appareil de commande Ce procédé de transmission d’un ensemble de données entre un tachygraphe numérique 2 et un appareil de commande électronique 4 comprend les étapes suivantes : décider si des données spécifiées devant être demandées par l’appareil de commande au tachygraphe pour la transmission nécessitent une protection d’intégrité ; si une protection d’intégrité est nécessaire, alors : demander les données spécifiées et demander la protection d’intégrité pour les données spécifiées ; grouper les données spécifiées demandées en tant que données brutes au moyen du tachygraphe ; générer la protection d’intégrité pour les données brutes groupées au moyen du tachygraphe à partir d’un identifiant d’envoi produit par le tachygraphe et d’une valeur de comptage univoque, et d’une signature cryptographique produite par le tachygraphe ; produire l’ensemble de données par ajout de la protection d’intégrité aux données brutes groupées ; envoyer l’ensemble de données du tachygraphe à l’appareil de commande. Figure pour l'abrégé : Figure 1

Description

Procédé de transmission d’un ensemble de données entre un tachygraphe et un appareil de commande
L’invention concerne un procédé de transmission d’un ensemble de données entre un tachygraphe numérique et un appareil de commande électronique, le tachygraphe et l’appareil de commande étant reliés au moins temporairement pour la transmission de l’ensemble de données au moyen d'une liaison de données. L’invention concerne en outre un système de transmission de données servant à la mise en œuvre d’un procédé susmentionné ainsi qu’un tachygraphe numérique pour un tel système de transmission de données et un véhicule automobile comportant un tachygraphe.
Un procédé susmentionné est par exemple connu en rapport avec un enregistreur de vitesse numérique, également appelé tachygraphe numérique, d’un véhicule automobile. En vertu de dispositions légales, entre autres, des données de conduite de conducteur, par exemples des temps de conduite et de repos d'un conducteur du véhicule automobile, et aussi des données associées au véhicule sont mémorisées et traitées dans l’enregistreur de vitesse.
Par le biais d’une interface de données de l’enregistreur de vitesse, ces données prescrites par la loi peuvent être lues à partir de l’enregistreur de vitesse et peuvent par exemple être évaluées et/ou traitées sur une unité centrale ou un appareil d’évaluation local. Pour attester d’une intégrité des données lues à partir de l’enregistreur de vitesse, il est connu de pourvoir celles-ci d’une signature numérique. Un procédé de signature numérique correspondant est mis en œuvre automatiquement lors d’une lecture connue des données prescrites par la loi à partir de l’enregistreur de vitesse.
L'invention a pour objectif de fournir à un appareil externe des données présentes dans l’enregistreur de vitesse, en particulier ne reposant pas sur des dispositions légales, dans un procédé simple, pouvant être adapté à des exigences individuelles, lequel procédé offre une possibilité simple de contrôle de l’intégrité des données.
L’objectif est atteint selon l’invention grâce à un procédé du type susmentionné, par le fait que le procédé comprend les étapes suivantes :
- collecter et/ou calculer des données en tant que données de tachygraphe dans le tachygraphe ;
- décider si des données spécifiées des données de tachygraphe devant être demandées par l’appareil de commande au tachygraphe pour la transmission nécessitent une protection d’intégrité ; si une protection d’intégrité est nécessaire pour les données spécifiées, alors :
- demander les données spécifiées à partir de la quantité de données de tachygraphe et demander la protection d’intégrité pour les données spécifiées par l’appareil de commande au tachygraphe ;
- grouper les données spécifiées demandées en tant que données brutes au moyen du tachygraphe ;
- générer la protection d’intégrité pour les données brutes groupées au moyen du tachygraphe, la protection d’intégrité étant générée à partir d’un identifiant d’envoi produit par le tachygraphe et d’une valeur de comptage univoque, laquelle est attribuée par le tachygraphe, et d’une signature cryptographique produite par le tachygraphe, acquérant les données brutes groupées y compris l’identifiant d’envoi et la valeur de comptage ;
- produire l’ensemble de données par ajout de la protection d’intégrité aux données brutes groupées ;
- envoyer l’ensemble de données du tachygraphe à l’appareil de commande.
Le procédé selon l’invention est particulièrement avantageux parce qu’il offre une possibilité de fournir, au moyen d'un tachygraphe, des données de manière sécurisée avec une complexité de calcul relativement seulement faible en termes de leur intégrité et de leur authenticité et de manière protégée contre des attaques dites par réinsertion. De plus, avantageusement, il n’est pas nécessaire de prévoir la protection d’intégrité pour toutes les données devant être envoyées par le tachygraphe, mais seulement pour les données pour lesquelles une telle protection est nécessaire conformément à la décision de l’appareil de commande demandant les données. Par conséquent, non seulement la transmission de données entre le tachygraphe et l’appareil de commande peut être simplifiée et accélérée, mais encore des capacités du tachygraphe ne sont en outre pas mobilisées inutilement, lesquelles capacités ne seraient autrement pas disponibles pour d’autres tâches du tachygraphe devant être effectuées, par exemple une communication avec d’autres appareils de commande. Le procédé selon l’invention permet de fournir de manière simple, à un appareil de commande externe, des données de tachygraphe, c’est-à-dires des données de véhicule collectées et/ou calculées dans le tachygraphe, donc des données provenant du véhicule automobile y compris par exemple des données relatives à un conducteur conduisant le véhicule automobile dans lequel le tachygraphe est installé, les données ainsi mises à disposition étant assurément d’origine fiable, à savoir provenant du tachygraphe. L'intégrité signifie que l’origine réelle des données correspond à l’origine attendue, à savoir ici le tachygraphe, et/ou que les données obtenues réellement correspondent aux données attendues par exemple par rapport au contenu de données (par exemple une indication de vitesse).
L’appareil de commande électronique est un appareil de commande externe, c’est-à-dire ne fait pas partie, en particulier ne fait pas partie intégrante, du tachygraphe. L’appareil de commande peut être relié au tachygraphe pour la transmission de données par exemple au moyen d'une liaison enfichable ou d’une liaison filaire ou sans fil. La liaison de l’appareil de commande au tachygraphe peut généralement exister de manière permanente. Elle existe cependant au moins temporairement pour la transmission des données du tachygraphe à l’appareil de commande. L’appareil de commande peut par exemple être aussi installé fixement dans le véhicule automobile dans lequel le tachygraphe est installé, et par exemple être relié au tachygraphe par le biais d’un bus de données formant la liaison de données. Mais l’appareil de commande peut en principe aussi se trouver à l’extérieur du véhicule automobile.
Le tachygraphe est relié à un capteur de mouvement (par exemple appelé aussi capteur de régime ou capteur inductif) d'un véhicule automobile et éventuellement à d’autres sources de données du véhicule automobile. Une telle liaison peut par exemple s’effectuer par intégration du tachygraphe dans un réseau de données du véhicule automobile. À partir du capteur de mouvement et éventuellement d’autres sources de données du véhicule automobile, le tachygraphe collecte, sous la forme de données brutes, des informations se rapportant par exemple au véhicule automobile et/ou à la conduite du véhicule automobile. Il est également envisageable que le tachygraphe calcule d’autres données à partir de données collectées. Les données collectées et/ou calculées peuvent par exemple être mémorisées dans une mémoire de données du tachygraphe. Les données présentes dans le tachygraphe, c’est-à-dire les données collectées et/ou calculées par le tachygraphe, sont les données de tachygraphe. Les données de tachygraphe sont, au sens de la présente invention, des données brutes, de sorte que les données de tachygraphe constituent une quantité de données brutes.
Par exemple, l’appareil de commande ou par exemple un autre appareil relié à l’appareil de commande, par exemple une unité centrale (également appelée serveur ou processeur dorsal), lequel demande des données au tachygraphe par le biais de l’appareil de commande, décide si une protection d’intégrité est nécessaire pour ces données. Cette décision dépend en particulier du fait que l’appareil de commande ou par exemple l’unité centrale nécessite ou non une protection d’intégrité pour les données concrètes spécifiées. Il en résulte que non pas généralement toutes les données mais seulement les données spécifiées concrètement, c’est-à-dire déterminées et prédéfinies, sont pourvues de la protection d’intégrité.
La spécification des données s’effectue avec et par la demande des données, c’est-à-dire que l’appareil de commande fournit au tachygraphe, avec la demande des données, une information correspondante indiquant lesquelles parmi les données (éventuellement toutes celles-ci ou seulement une partie de celles-ci) doivent être pourvues d'une protection d’intégrité. Ainsi, le procédé selon l’invention est rapide, et il permet par exemple une transmission de données dans des conditions de temps réel ou au moins presque dans des conditions de temps réel. Fondamentalement, l’appareil de commande communique avec le tachygraphe pour la demande de données. Cependant, la décision visant à déterminer si la protection d’intégrité est nécessaire ou non pour les données devant être demandées peut être effectuée à la fois par l’appareil de commande lui-même et éventuellement aussi par le biais de l’unité centrale liée à l’appareil de commande par exemple par communication à distance. En principe, il est également possible qu’il soit décidé que les données devant être demandées par l’appareil de commande au tachygraphe pour la transmission nécessitent la protection d’intégrité automatiquement en fonction des informations que les données devant être demandées fournissent, par exemple une vitesse de véhicule ou une distance parcourue par le véhicule automobile. En outre, il est également envisageable que l’appareil de commande soit réglé de telle sorte que toutes les données devant être demandées au tachygraphe pour la transmission nécessitent une protection d’intégrité, c’est-à-dire que la décision concernant une exigence de protection d’intégrité est toujours « oui ».
La protection d’intégrité pour les données brutes groupées est générée au moyen du tachygraphe lui-même. En l’occurrence, la protection d’intégrité présente d’une part l’identifiant d’envoi produit par le tachygraphe. L’identifiant d’envoi peut en particulier être attribué par le tachygraphe ou être associé à l’ensemble de données. Il peut présenter en particulier un identifiant de contenu et/ou d’origine. Par conséquent, l’identifiant d’envoi peut contenir de préférence une information relative à un contenu de données et/ou une origine de données des données brutes groupées de l’ensemble de données. L’identifiant d’envoi peut par exemple présenter également un identifiant d’utilisation, l'identifiant d’utilisation pouvant contenir une information relative à une autre utilisation prévue des données brutes groupées de l’ensemble de données. En outre, la protection d’intégrité présente la valeur de comptage attribuée, c’est-à-dire en particulier générée, par le tachygraphe. Il est important que la valeur de comptage soit univoque, en particulier unique, c’est-à-dire qu’elle ne survienne qu’une seule fois. Avantageusement, une protection contre des attaques par réinsertion peut par conséquent être assurée. La valeur de comptage peut par exemple être incrémentée au moyen d’un compteur du tachygraphe. Au lieu d'une telle incrémentation, il est aussi envisageable en principe de décrémenter la valeur de comptage par exemple. En outre, la protection d’intégrité présente la signature cryptographique produite par le tachygraphe, laquelle acquiert non seulement les données brutes groupées de l’ensemble de données mais encore l’identifiant d’envoi et la valeur de comptage.
Le tachygraphe envoie l’ensemble de données produit par ajout de la protection d’intégrité spéciale aux données brutes groupées à l’appareil de commande et éventuellement à d’autres récepteurs potentiels, par exemple d’autres appareils de commande liés au tachygraphe au moins temporairement au moyen d'une liaison de données. L’appareil de commande peut alors recevoir et éventuellement contrôler l’ensemble de données envoyé par le tachygraphe.
On pourrait par exemple imaginer que le procédé selon l’invention soit commencé une fois (par exemple suite à une demande de diagnostic de l’appareil de commande). Une transmission de données ciblée régulière peut cependant être obtenue lorsque, selon un perfectionnement avantageux de l’invention, la demande des données spécifiées parmi la quantité de données de tachygraphe et de la protection d’intégrité par l’appareil de commande au tachygraphe s’effectue une fois et lorsqu’ensuite le groupement des données, la génération de la protection d’intégrité, la production de l’ensemble de données et l’envoi de l’ensemble de données du tachygraphe à l’appareil de commande s’effectuent de manière déclenchée par un événement temporel et/ou par un événement de processus. L’événement temporel peut par exemple être un instant déterminé (par exemple un jour) ou par exemple survenir une fois une certaine durée écoulée, donc s’effectuer cycliquement. L’événement de processus peut par exemple être déclenché par une entrée d’un utilisateur dans le tachygraphe ou par exemple par un signal que le tachygraphe obtient par le biais d’un réseau de données de véhicule auquel il est connecté.
Selon un autre perfectionnement avantageux de l’invention, la signature cryptographique est produite à l’aide d’une clé sélectionnée par le tachygraphe. De préférence, la clé est stockée dans une mémoire protégée du tachygraphe.
Pour un déroulement sûr mais facile du procédé, il est avantageux que, selon un perfectionnement de l’invention, un identifiant de clé de la clé sélectionnée soit ajouté à l’identifiant d’envoi par le tachygraphe lors de la production de l’identifiant d’envoi. De ce fait, l’identifiant d’envoi présente, en plus d’un identifiant de contenu et/ou d’origine par exemple, alors aussi l’identifiant de clé. Ainsi, l’identifiant d’envoi peut présenter de préférence un identifiant de clé pour une clé qui est utilisée par le tachygraphe pour la production de la signature cryptographique.
Selon un autre perfectionnement avantageux de l’invention, un identifiant d’appareil du tachygraphe, par exemple un numéro d’appareil individuel, est ajouté à l’identifiant d’envoi par le tachygraphe lors de la production de l’identifiant d’envoi. L’identifiant d’appareil du tachygraphe fait donc partie de l’identifiant d’envoi dans ce perfectionnement. De cette manière, à l’aide de l’ensemble de données envoyé à l’appareil de commande par le tachygraphe, il est possible de déterminer directement et simplement de quel tachygraphe exactement et aussi de quel véhicule automobile (dans lequel le tachygraphe est installé) l’ensemble de données provient.
Selon un autre perfectionnement avantageux de l’invention, la valeur de comptage est augmentée par le tachygraphe après l’envoi de l’ensemble de données. C’est-à-dire qu’après chaque envoi d’un ensemble de données généré selon le procédé selon l’invention, la valeur de comptage est augmentée dans ce perfectionnement. La réalisation d’une telle augmentation peut être appelée opération de comptage. De préférence, la valeur de comptage peut être augmentée d’une valeur de « 1 », de sorte que le tachygraphe, en particulier un compteur du tachygraphe, peut incrémenter la valeur de comptage de manière simple. En principe, la valeur de comptage peut cependant aussi être augmentée d’une valeur différente de la valeur « 1 ». Il est aussi envisageable que la valeur de l’augmentation varie, c’est-à-dire ne soit pas la même pour chaque opération de comptage. En principe, il n’est pas nécessaire, par exemple pour une protection contres des attaques par réinsertion, par exemple qu’une liste d’envoi traçable complète d’ensembles de données comportant des valeurs de comptage continues par exemple soit présente, mais que, dans le perfectionnement décrit ici de l’invention, la valeur de comptage d’un ensemble de données envoyé subséquemment soit supérieure à la valeur de comptage de l’ensemble de données envoyé antérieurement à cet ensemble de données.
Selon un autre perfectionnement avantageux de l’invention, un contrôle de l’ensemble de données au moyen de l’appareil de commande s’effectue, le contrôle comprenant une comparaison de la valeur de comptage avec une valeur de comptage reçue en dernier par l’appareil de commande en tant que valeur de comptage correspondante. L’appareil de commande peut effectuer la comparaison de préférence au moyen d'un comparateur de l’appareil de commande. La valeur de comptage reçue en dernier par l’appareil de commande en tant que valeur de comptage correspondante est une valeur de comptage envoyée par le tachygraphe, en particulier une valeur de comptage envoyée avec un ensemble de données envoyé antérieurement par le tachygraphe à l’appareil de commande et produit selon le procédé selon l’invention et reçue par l’appareil de commande. Cette valeur de comptage reçue en dernier par l’appareil de commande en tant que valeur de comptage correspondante peut par exemple être mémorisée dans une mémoire de données de l’appareil de commande. En principe, il peut être prévu que l’appareil de commande soit réalisé de telle sorte qu’il mémorise les valeurs de comptage envoyées par le tachygraphe avec les ensembles de données produits selon l’invention respectivement dans la mémoire de données susmentionnée de l’appareil de commande. Le contrôle de l’ensemble de données selon le perfectionnement décrit ici comprend de préférence le fait de déterminer si la valeur de comptage est unique, c’est-à-dire est différente de la ou des valeurs de comptage reçues précédemment, et/ou si la valeur de la valeur de comptage est supérieure à la valeur de comptage reçue en dernier. Si ce n’est pas le cas, on suspecte une infraction à l’intégrité de l’ensemble de données, et l’appareil de commande peut par exemple générer un signal d’avertissement. Si aucune valeur de comptage antérieure n’est disponible à l’appareil de commande pour la comparaison, par exemple dans le cas d’une première réception d'un ensemble de données produit selon le procédé selon l’invention, alors un utilisateur peut par exemple être invité par l’appareil de commande à confirmer une telle situation, afin de ne pas conclure automatiquement à une possible infraction à l’intégrité de l’ensemble de données dans un tel cas.
Pour un déroulement de procédé facile, rapide et sûr, il est particulièrement avantageux que, selon un autre perfectionnement de l’invention, l’identifiant d’envoi présente l’identifiant de clé et que le contrôle de l’ensemble de données au moyen de l’appareil de commande comprenne une vérification de la signature cryptographique au moyen d’une clé sélectionnée à l’aide de l’identifiant de clé. La clé elle-même peut de préférence être stockée dans une mémoire protégée de l’appareil de commande.
Selon un autre perfectionnement avantageux de l’invention, l’identifiant d’envoi présente un identifiant de contenu de données et le contrôle de l’ensemble de données au moyen de l’appareil de commande comprend une vérification de l’identifiant de contenu de données par rapport aux données brutes. Ces données brutes sont les données spécifiées, groupées au moyen du tachygraphe, de l’ensemble de données envoyé par le tachygraphe à l’appareil de commande. Au moyen de l’identifiant de contenu de données, un contrôle de vraisemblance pour les données peut être effectué de manière simple lors du contrôle. Si des incohérences sont détectées par l’appareil de commande lors du contrôle, cela indique une possible infraction à l’intégrité de l’ensemble de données.
Un système de transmission de données est en outre présenté. Le système de transmission de données comprend un tachygraphe numérique et un appareil de commande électronique. Le système de transmission de données est configuré pour mettre en œuvre un procédé selon l’invention au moyen du tachygraphe et de l’appareil de commande pour la transmission d’un ensemble de données entre le tachygraphe et l’appareil de commande.
Un tachygraphe numérique est en outre présenté. Le tachygraphe est configuré pour fonctionner en tant que tachygraphe numérique dans un système de transmission de données susmentionné. Le tachygraphe constitue donc le tachygraphe numérique du système de transmission de données.
De plus, un véhicule automobile, en particulier un véhicule utilitaire, comportant un tachygraphe numérique susmentionné est présenté. De préférence, le véhicule automobile peut présenter un système de transmission de données susmentionné.
L’invention concerne aussi des perfectionnements du système de transmission de données et/ou du tachygraphe numérique et/ou du véhicule automobile qui présentent des caractéristiques telles que décrites précédemment en rapport avec les perfectionnements du procédé selon l'invention. Pour cette raison, les perfectionnements correspondants du système de transmission de données, du tachygraphe numérique et du véhicule automobile ne sont pas décrits à nouveau ici. L'invention ne comprend pas non plus des combinaisons réalisées individuellement des caractéristiques des modes de réalisation et perfectionnements décrits.
Des exemples de réalisation de l’invention sont représentés dans le dessin de manière esquissée et schématique et sont décrits plus en détail dans ce qui suit à l’aide des figures.
Dans les figures :
la illustre un système de transmission de données comportant un tachygraphe et comportant un appareil de commande,
la illustre une représentation graphique d'un procédé de transmission d’un ensemble de données,
la illustre une représentation graphique d'un autre procédé de transmission d’un ensemble de données et
la illustre une représentation graphique d’ensemble d'un procédé de transmission d’un ensemble de données.
Les éléments correspondants sont pourvus des mêmes symboles de référence sur toutes les figures.
La illustre en représentation esquissée et schématique un système de transmission de données 1 comportant un tachygraphe numérique 2 et comportant un appareil de commande électronique 4. Le tachygraphe 2 et l’appareil de commande 4 sont reliés au moins temporairement pour la transmission d’un ensemble de données au moyen d'une liaison de données 6. Par le biais de la liaison de données 6, l’ensemble de données est envoyé, par exemple à partir d’une mémoire de données 8 du tachygraphe 2, du tachygraphe 2 à l’appareil de commande 4. L’appareil de commande 4 reçoit l’ensemble de données. Il peut être prévu que l’appareil de commande 4 contrôle l’ensemble de données, par exemple en termes d’intégrité de l’ensemble de données.
Lors de son utilisation correcte, le tachygraphe 2 est installé dans un véhicule automobile non représenté ici, en particulier un véhicule utilitaire, par exemple un poids lourd. L’appareil de commande électronique 4 peut éventuellement être disposé dans le véhicule automobile. Cependant, l’appareil de commande 4 peut également se trouver à l’extérieur du véhicule automobile. La liaison de données 6 peut par exemple être une liaison de données sans fil. La liaison de données 6 peut aussi être une liaison de données filaire. Par exemple, la liaison de données 6 peut également être intégrée dans une liaison enfichable possible entre l’appareil de commande 4 et le tachygraphe 2. Généralement, la liaison de données 6 peut faire partie d'un réseau de données.
Le tachygraphe 2 reçoit, par exemple par le biais d’un réseau de données de véhicule 9, non représenté ici en détail, du véhicule automobile, réseau de données de véhicule 9 auquel le tachygraphe 2 est connecté dans cet exemple de réalisation, des données provenant de différentes sources de données du véhicule automobile, par exemple de différents capteurs de véhicule et/ou de différents appareils de commande du véhicule automobile. Le tachygraphe 2 collecte ces données reçues en provenance de sources de données du véhicule automobile et effectue éventuellement en outre des calculs sur la base des données collectées. Les données collectées et/ou calculées par le tachygraphe 2 sont stockées dans la mémoire de données 8 en tant que données de tachygraphe dans cet exemple de réalisation.
Le tachygraphe numérique 2 présente une interface de données 10 pour la liaison de données 6 servant à transmettre l’ensemble de données entre le tachygraphe 2 et l’appareil de commande 4. De manière correspondante à cette interface de données 10 du tachygraphe 2, l’appareil de commande électronique 4 présente une première interface de données 12 pour la liaison de données 6 avec le tachygraphe 2. Dans l’exemple de réalisation illustré ici, l’appareil de commande 4 présente en outre une deuxième interface de données 14 pour une transmission de données à distance, par exemple par rapport à une unité centrale ou par exemple à un processeur dit dorsal.
L’appareil de commande 4 est par exemple un appareil télématique. L’appareil de commande 4 peut cependant aussi être un autre appareil de commande quelconque, par exemple aussi un appareil de commande installé fixement dans le véhicule automobile et éventuellement connecté au réseau de données de véhicule 9, lequel appareil de commande est réalisé pour la réception d'un ensemble de données en provenance du tachygraphe 2.
Sont représentés graphiquement partiellement aux figures 2 et 3 respectivement des exemples de réalisation du procédé de transmission d’un ensemble de données entre un tachygraphe numérique 2 et un appareil de commande électronique 4.
La illustre un appareil de commande électronique 4 et un tachygraphe numérique 2 qui présente une mémoire de données dans laquelle des données de tachygraphe sont stockées. Le tachygraphe 2 a obtenu les données de tachygraphe par collecte et/ou calcul de données de véhicule et/ou de conducteur d'un véhicule automobile dans lequel le tachygraphe 2 est installé.
À partir de la quantité de données de tachygraphe stockées dans la mémoire de données, l’appareil de commande 4 demande des données spécifiées et une protection d’intégrité pour ces données spécifiées (RWIP). Après cela, le tachygraphe 2 groupe les données spécifiées demandées en tant que données brutes (CRD). Ensuite, le tachygraphe 2 génère la protection d’intégrité pour les données brutes groupées (DTIB). La protection d’intégrité est en l’occurrence générée à partir d’un identifiant d’envoi produit par le tachygraphe 2 pour l’ensemble de données et d’une valeur de comptage univoque, laquelle est attribuée par le tachygraphe 2 et incrémentée au moyen d'un compteur du tachygraphe 2 (ICN). À l’aide d’une clé (SK) sélectionnée par le tachygraphe 2 et stockée dans une mémoire protégée du tachygraphe 2, une signature cryptographique (CSWK) est produite par le tachygraphe 2, laquelle signature acquiert les données brutes groupées y compris l’identifiant d’envoi et la valeur de comptage. Un identifiant de clé de la clé sélectionnée est de préférence contenu dans l’identifiant d’envoi. Par ajout de la protection d’intégrité aux données brutes groupées par le tachygraphe 2, l’ensemble de données à envoyer est produit (AIRD). Cet ensemble de données est alors envoyé à l’appareil de commande 4 par le tachygraphe 2 (RDIB).
Par la suite, l’appareil de commande 4 reçoit et contrôle l’ensemble de données envoyé par le tachygraphe 2 dans l’exemple de réalisation illustré ici. Tout d’abord, la clé correspondante partagée stockée dans une mémoire protégée de l’appareil de commande 4 est en l’occurrence sélectionnée par l’appareil de commande 4 à l’aide de l’identifiant de clé indiqué dans l’ensemble de données envoyé par le tachygraphe 2 (CISK). Ensuite, pour le contrôle de l’ensemble de données, une comparaison de la valeur de comptage avec une valeur de comptage reçue en dernier par l’appareil de commande 4 en tant que valeur de comptage correspondante s’effectue (CCTL). Ensuite, une vérification de la signature cryptographique au moyen de la clé sélectionnée à l’aide de l’identifiant de clé s’effectue. À cet effet, la signature cryptographique est calculée au moyen de cette clé (UKCS) et comparée avec la signature produite par le tachygraphe 2 et contenue dans l’ensemble de données reçu envoyé par le tachygraphe 2 (CSRS).
Un procédé similaire au procédé illustré à la est représenté à la . Par contraste avec une demande spécifiée de données spécifiées au tachygraphe 2 par l’appareil de commande 4, dans l’exemple selon la , un groupement des données, une génération de la protection d’intégrité, une production de l’ensemble de données et un envoi de l’ensemble de données du tachygraphe 2 à l’appareil de commande 4 s’effectuent de manière déclenchée par un événement temporel et/ou par un événement de processus (TOOE). À cette fin, à un instant antérieur non déterminé plus précisément dans le présent exemple de réalisation, une demande des données spécifiées parmi la quantité de données de tachygraphe ainsi que de la protection d’intégrité au tachygraphe 2 par l’appareil de commande 4 s’effectue une fois (OTIP). L’événement temporel, lequel déclenche le groupement des données, la génération de la protection d’intégrité, la production de l’ensemble de données et l’envoi de l’ensemble de données, peut être un événement temporel cyclique. Un tel ensemble de données produit cycliquement et présentant une protection d’intégrité est, dans cet exemple de réalisation, envoyé par le tachygraphe 2 à l’appareil de commande 4 (CDIB). L’appareil de commande 4 peut alors, conformément au procédé représenté à la par exemple, effectuer une réception et un contrôle de l’ensemble de données envoyé par le tachygraphe 2.
La illustre en particulier comment un ensemble de données 16 qui présente une protection d’intégrité 20 peut être produit. Dans un tachygraphe 2 présentant une commande centrale de tachygraphe 3, des données, par exemple entre autres des données de vitesse d’un véhicule automobile dans lequel le tachygraphe 2 est installé, sont collectées et/ou calculées et stockées dans une mémoire de données 8 du tachygraphe 2. Un appareil de commande électronique 4 présentant une unité centrale d’appareil de commande 5 demande au tachygraphe 2 des données spécifiées parmi la quantité de données de tachygraphe ainsi qu’une protection d’intégrité pour les données spécifiées (RWIP).
Les données spécifiées demandées sont groupées par le tachygraphe 2 en tant que données brutes 18 (celles-ci désignent dans cet exemple une vitesse présentant une valeur de « 42 km/h »). Une protection d’intégrité 20 pour les données brutes groupées 18 est générée au moyen du tachygraphe 2. La protection d’intégrité 20 est générée à partir d'un identifiant d’envoi 22 (présentant un identifiant de clé « Clé1 » ainsi qu’un identifiant de contenu « vitesse » dans cet exemple de réalisation) produit par le tachygraphe 2 et d'une valeur de comptage univoque 24 (dans cet exemple, « 42 ») qui est incrémentée par un compteur 25 du tachygraphe 2 (ici, à titre d’exemple, la valeur déjà incrémentée « 43 » pour un prochain envoi d’un futur ensemble de données est indiquée), ainsi que d’une signature cryptographique 26 (indiquée ici par « 0AFF24E3DA5A » à titre d’exemple) produite par le tachygraphe 2 et acquérant les données brutes groupées 18 y compris l’identifiant d’envoi 22 et la valeur de comptage 24. La production de l’ensemble de données 16 se termine dans une étape finale par un ajout de la protection d’intégrité 20 aux données brutes groupées 18. Ensuite s'effectue un envoi de l’ensemble de données 16 par le tachygraphe 2 à l’appareil de commande 4 (RDIB).
Le tachygraphe 2 et l’appareil de commande 4 disposent respectivement d’un ensemble partagé de clés qui sont pourvues respectivement d’un identifiant de clé univoque. L’ensemble de clés 28 présentant les clés partagées 30, 30', 30'', 30''' n’est représenté qu’une seule fois à la . Il est stocké avec les identifiants de clés respectifs d’une part dans une mémoire protégée du tachygraphe 2 et d’autre part dans une mémoire protégée de l’appareil de commande 4.
L’appareil de commande 4 peut, après une réception de l’ensemble de données 16, vérifier celui-ci par exemple par une comparaison de la valeur de comptage 24 avec une valeur de comptage reçue en dernier par l’appareil de commande 4 en provenance du tachygraphe 2 en tant que valeur de comptage correspondante au moyen d'un comparateur 32 (à titre d’exemple, la valeur de comptage « 41 » reçue en dernier est indiquée ici). Si aucune infraction possible à l’intégrité de l’ensemble de données 16 n’est déterminée, alors l’appareil de commande 4 peut utiliser ultérieurement les données brutes 18 transmises par le tachygraphe 2 en tant que valeur fiable 34, dans ce cas en tant que valeur de vitesse (dans cet exemple, une vitesse présentant une valeur de « 42 km/h »). Une infraction possible à l’intégrité de l’ensemble de données 16 pourrait par exemple résider dans le fait que la valeur de comptage 24 n’est pas unique du point de vue de l’appareil de commande 4 et/ou que la valeur de comptage n’est pas supérieure à la valeur de comptage reçue en dernier par l’appareil de commande 4 en tant que valeur de comptage correspondante.
Généralement, les exemples de réalisation illustrent comment, selon l’invention, de manière facile et fiable, des données disponibles et présentes dans un tachygraphe numérique, lesquelles proviennent de sources de données éventuellement également différentes d’un véhicule automobile dans un appareil de commande électronique externe par rapport au tachygraphe peuvent être mises à disposition comme données d’origine vraisemblablement fiable. En l’occurrence, une intégrité de données correspondante est d’une importance cruciale, alors qu’une confidentialité et une préservation du secret des données ne sont pas strictement nécessaires. C’est-à-dire qu’une protection d’intégrité est primordiale pour l’invention, alors qu’une préservation du secret des données peut certes être prévue, mais ne doit pas nécessairement être prévue.

Claims (12)

  1. Procédé de transmission d’un ensemble de données entre un tachygraphe numérique (2) et un appareil de commande électronique (4), le tachygraphe (2) et l’appareil de commande (4) étant reliés au moins temporairement pour la transmission de l’ensemble de données au moyen d'une liaison de données (6), le procédé comprenant les étapes :
    - collecter et/ou calculer des données en tant que données de tachygraphe dans le tachygraphe (2) ;
    - décider si des données spécifiées des données de tachygraphe devant être demandées par l’appareil de commande (4) au tachygraphe (2) pour la transmission nécessitent une protection d’intégrité ; si une protection d’intégrité est nécessaire pour les données spécifiées, alors :
    - demander les données spécifiées à partir de la quantité de données de tachygraphe et demander la protection d’intégrité pour les données spécifiées par l’appareil de commande (4) au tachygraphe (2) ;
    - grouper les données spécifiées demandées en tant que données brutes au moyen du tachygraphe (2) ;
    - générer la protection d’intégrité pour les données brutes groupées par le tachygraphe (2), la protection d’intégrité étant générée à partir d’un identifiant d’envoi produit par le tachygraphe (2) et d’une valeur de comptage univoque, laquelle est attribuée par le tachygraphe (2), et d’une signature cryptographique produite par le tachygraphe (2), acquérant les données brutes groupées y compris l’identifiant d’envoi et la valeur de comptage ;
    - produire l’ensemble de données par ajout de la protection d’intégrité aux données brutes groupées ;
    - envoyer l’ensemble de données du tachygraphe (2) à l’appareil de commande (4).
  2. Procédé selon la revendication 1, caractérisé en ce que
    la demande des données spécifiées à partir de la quantité de données de tachygraphe et de la protection d’intégrité par l’appareil de commande (4) dans le tachygraphe (2) s’effectue une fois et en ce
    qu’ensuite le groupement des données, la génération de la protection d’intégrité, la production de l’ensemble de données et l’envoi de l’ensemble de données du tachygraphe (2) à l’appareil de commande (4) s’effectuent de manière déclenchée par un événement temporel et/ou par un événement de processus.
  3. Procédé selon la revendication 1 ou 2, caractérisé en ce que la signature cryptographique est produite à l’aide d’une clé sélectionnée par le tachygraphe (2).
  4. Procédé selon la revendication 3, caractérisé en ce qu’un identifiant de clé de la clé sélectionnée est ajouté à l’identifiant d’envoi par le tachygraphe (2) lors de la production de l’identifiant d’envoi.
  5. Procédé selon l’une des revendications précédentes, caractérisé en ce qu’un identifiant d’appareil du tachygraphe (2) est ajouté à l’identifiant d’envoi par le tachygraphe (2) lors de la production de l’identifiant d’envoi.
  6. Procédé selon l’une des revendications précédentes, caractérisé en ce que la valeur de comptage est augmentée par le tachygraphe (2) après l’envoi de l’ensemble de données.
  7. Procédé selon l’une des revendications précédentes, caractérisé en ce qu’un contrôle de l’ensemble de données au moyen de l’appareil de commande (4) s’effectue, le contrôle comprenant une comparaison de la valeur de comptage avec une valeur de comptage reçue en dernier par l’appareil de commande (4) en tant que valeur de comptage correspondante.
  8. Procédé selon l’une des revendications précédentes, caractérisé en ce que l’identifiant d’envoi présente l’identifiant de clé et en ce que le contrôle de l’ensemble de données au moyen de l’appareil de commande (4) comprend une vérification de la signature cryptographique au moyen d’une clé sélectionnée à l’aide de l’identifiant de clé.
  9. Procédé selon l’une des revendications précédentes, caractérisé en ce que l’identifiant d’envoi présente un identifiant de contenu de données et en ce que le contrôle de l’ensemble de données au moyen de l’appareil de commande (4) comprend une vérification de l’identifiant de contenu de données par rapport aux données brutes.
  10. Système de transmission de données (1), caractérisé en ce que le système de transmission de données (1) comprend un tachygraphe numérique (2) et un appareil de commande électronique (4) et est configuré pour mettre en œuvre un procédé selon l’une des revendications précédentes au moyen du tachygraphe (2) et de l’appareil de commande (4).
  11. Tachygraphe numérique, caractérisé en ce que le tachygraphe est configuré pour fonctionner en tant que tachygraphe numérique (2) dans un système de transmission de données (1) selon la revendication 10.
  12. Véhicule automobile comportant un tachygraphe numérique (2) selon la revendication 11.
FR2309578A 2022-09-15 2023-09-12 Procédé de transmission d’un ensemble de données entre un tachygraphe et un appareil de commande Pending FR3139931A1 (fr)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102022209712.2 2022-09-15
DE102022209712 2022-09-15
DE102022210422.6A DE102022210422B4 (de) 2022-09-15 2022-09-30 Verfahren zum Übertragen eines Datensatzes zwischen einem Tachografen und einem Steuergerät

Publications (1)

Publication Number Publication Date
FR3139931A1 true FR3139931A1 (fr) 2024-03-22

Family

ID=90062248

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2309578A Pending FR3139931A1 (fr) 2022-09-15 2023-09-12 Procédé de transmission d’un ensemble de données entre un tachygraphe et un appareil de commande

Country Status (3)

Country Link
DE (1) DE102022210422B4 (fr)
FR (1) FR3139931A1 (fr)
SE (1) SE2351065A1 (fr)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006048029B4 (de) * 2006-10-09 2008-10-02 Continental Automotive Gmbh Verfahren und Vorrichtung zur Übertragung von Daten zwischen einem Fahrtschreiber und einer Datenverarbeitungseinrichtung
DE102007058163A1 (de) * 2007-09-28 2009-04-23 Continental Automotive Gmbh Tachograph, Maut-On-Board-Unit, Anzeigeinstrument und System
FR2973136A1 (fr) * 2011-03-25 2012-09-28 France Telecom Verification de l'integrite de donnees d'un equipement embarque dans un vehicule
US10735206B2 (en) * 2016-11-07 2020-08-04 The Regents Of The University Of Michigan Securing information exchanged between internal and external entities of connected vehicles
US10630481B2 (en) * 2016-11-07 2020-04-21 Ford Global Technologies, Llc Controller area network message authentication
DE102019216030A1 (de) * 2019-10-17 2021-04-22 Continental Automotive Gmbh Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul

Also Published As

Publication number Publication date
SE2351065A1 (en) 2024-03-16
DE102022210422B4 (de) 2025-11-13
DE102022210422A1 (de) 2024-03-21

Similar Documents

Publication Publication Date Title
EP2862091B1 (fr) Dispositif et procede d'extraction de donnees sur un bus de communication d'un vehicule automobile
FR2789829A1 (fr) Procede de verification de l'usage de cles publiques engendrees par un systeme embarque
US10006782B2 (en) Characterization of sensor data for vehicle telematics
CN112740286B (zh) 用于将车辆的传感器数据匿名传输给车辆外部的接收单元的方法以及匿名化系统、机动车和车辆外部的接收单元
EP0037762A1 (fr) Procédé et système de transmission de messages signés
EP3365697A1 (fr) Procédé d'estimation d'une distance et unité électronique pour véhicule
FR3043819A1 (fr) Procede d'aide a l'authentification d'un utilisateur, serveur et programme d'ordinateur correspondants
CN110168494A (zh) 用于向车辆网络的控制单元提供随机数的方法以及用于执行所述方法的车辆网络
EP2494491B1 (fr) Identification par controle de donnees biometriques d'utilisateur
FR3003665A1 (fr) Procede de transmission hybride de messages a memoire partagee
EP2689398B1 (fr) Verification de l'integrite de donnees d'un equipement embarque dans un vehicule
EP3203445B1 (fr) Systeme et procede d'identification automatique d'un modele de vehicule
WO2017089684A1 (fr) Procédé et terminal pour commander l'établissement d'un rapport d'accident d'un véhicule
FR3111227A1 (fr) Véhicule, procédé, logiciel et dispositif de rassemblement d’informations d’objet concernant un ou des objets dans un environnement de véhicule
EP3314867B1 (fr) Partage de données d'événements entre plusieurs plateformes de service
FR3139931A1 (fr) Procédé de transmission d’un ensemble de données entre un tachygraphe et un appareil de commande
EP2865158B1 (fr) Procede d'authentification de paquets de donnees recus par une station d'un systeme de telecommunications numerique
FR3058290A1 (fr) Equipement avionique avec signature a usage unique d'un message emis, systeme avionique, procede de transmission et programme d'ordinateur associes
FR3003382A1 (fr) Systeme de diagnostic de fonctionnement de vehicule
FR2887052A1 (fr) Architecture radar generique
FR3041845A1 (fr) Dispositif electronique propre a etre relie a un reseau de vehicule, et procede de transmission de messages mis en oeuvre par un tel dispositif electronique
KR20170087703A (ko) 차량운행데이터의 제공시스템, 제공방법 및 제공프로그램
EP3899765B1 (fr) Réinitialisation d'un secret applicatif au moyen du terminal
EP4496269A1 (fr) Stockage robuste
FR3086239A1 (fr) Systeme et procede pour identifier un conducteur d’un vehicule apres le demarrage du vehicule

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLFP Fee payment

Year of fee payment: 3

PLSC Publication of the preliminary search report

Effective date: 20260227