Nothing Special   »   [go: up one dir, main page]

WO2020070429A1 - Système d'accès sécurisé à un véhicule au moyen d'un smartphone - Google Patents

Système d'accès sécurisé à un véhicule au moyen d'un smartphone

Info

Publication number
WO2020070429A1
WO2020070429A1 PCT/FR2019/052310 FR2019052310W WO2020070429A1 WO 2020070429 A1 WO2020070429 A1 WO 2020070429A1 FR 2019052310 W FR2019052310 W FR 2019052310W WO 2020070429 A1 WO2020070429 A1 WO 2020070429A1
Authority
WO
WIPO (PCT)
Prior art keywords
message
vehicle
acoustic
response
circuit
Prior art date
Application number
PCT/FR2019/052310
Other languages
English (en)
Inventor
Emmanuel Ruiz
Ruben ALFONSO REYES
Carlos David Piloto Fonseca
Original Assignee
CopSonic
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CopSonic filed Critical CopSonic
Publication of WO2020070429A1 publication Critical patent/WO2020070429A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Definitions

  • the present invention applies generally to a secure vehicle access system. It finds application in particular in services requiring the conferring of a temporary right of access to a third party, for example for car rental, car-sharing services or even in-car delivery services.
  • RKE Remote Key Entry
  • PKE Passive Key Entry
  • RKE keys replay attacks
  • PKE keys relay
  • an RKE type key is a simple remote control using an RF signal and transmitting an access code.
  • a PKE type key receives a challenge to authenticate itself when the user approaches his vehicle or, for example, touches a door handle.
  • the RKE key then transmits a response signal to the access system to authenticate. If the answer to the challenge is correct, the access system unlocks the vehicle and inhibits its immobilization system.
  • the object of the present invention is therefore to propose a secure access system to a vehicle which can easily adapt to vehicles provided with keys of the RKE or PKE type, having great robustness to attacks of the replay, relay or man-in-the middle while allowing the dematerialized delivery of a temporary access authorization to a third party.
  • the present invention is defined by a secure access system to a vehicle equipped with an access control circuit controlling the unlocking of the vehicle or only part of it, the access control circuit being adapted to be controlled by a remote control key by means of an electromagnetic signal, said system comprising an acoustic / electromagnetic conversion gateway intended to be fixed outside the vehicle, said conversion gateway comprising:
  • an acoustic decoder adapted to receive a message from a smartphone in the form of an acoustic signal, known as an acoustic access token, and to decode information symbols of this message by means of an alphabet of random acoustic codes stored in a memory of the gateway;
  • a transmitter adapted to transmit an electromagnetic control signal to the access control circuit if the message received is valid.
  • the acoustic decoder performs a plurality (K) of operations for correlating the acoustic signal with the random acoustic codes of the alphabet in order to provide a plurality of correlation results, the random acoustic code corresponding to the correlation result whose absolute value is the highest providing the information symbol for said message.
  • the conversion gateway is preferably provided with means for detecting a break in the attachment of the gateway to the vehicle, said detection means erasing the content of the memory when such a break is detected.
  • the conversion gateway can also be provided with an autonomous energy generation and energy storage system.
  • the remote control key is an RKE type key
  • the validation circuit validates the message received from a access identifier and the authentication element contained in said message, the access identifier comprising an identifier of the vehicle.
  • the access identifier can also include a contract or order number and, optionally, a time period during which access to the vehicle is authorized.
  • the authentication element can be a signature of the identifier using a private key of the vehicle owner, belonging to an asymmetric cryptosytem.
  • the remote control key is a PKE type key and the conversion gateway further comprises an interrogation circuit, a response circuit and a transponder, the transponder being adapted to receive, under the form of a first electromagnetic signal, a first challenge message sent by the access control circuit and to transmit, in the form of a second electromagnetic signal, a second response message to said access control circuit, the interrogation circuit being adapted to generate a second challenge message when it receives a first challenge message, the second challenge message being coded in an acoustic coder by means of the alphabet of random acoustic codes before being transmitted to the smartphone, the response circuit being adapted to generate the second response message when a first response message, received from the smartphone and decoded by the acoustic decoder by means in the alphabet of random acoustic codes, is validated by the validation circuit.
  • the first challenge message is also transmitted to the response circuit and the second challenge is also transmitted to the validation circuit.
  • the interrogation circuit typically generates a second challenge message by incrementing a counter and concatenating, at the output of the counter thus incremented, a vehicle identifier, the assembly being chopped to provide a fingerprint, said fingerprint being incorporated into the second challenge message.
  • the first response message can then be decoded by the acoustic decoder on the basis of a first dictionary of random acoustic codes, called the main dictionary, then decrypted by the validation circuit using a public key of the vehicle owner, called the main public key, the public key main belonging to a first asymmetric cryptosystem and being stored in the memory of the gateway, the validation circuit comparing the second challenge message and the first message thus decrypted to determine whether the response is valid.
  • a first dictionary of random acoustic codes called the main dictionary
  • the first response message is decoded by the acoustic decoder on the basis of a second dictionary of random acoustic codes, known as the auxiliary dictionary, then decrypted by the validation circuit by means of a key.
  • public called auxiliary public key, the auxiliary public key belonging to a second asymmetric cryptosystem and being stored in the memory of the gateway, the validation circuit comparing, in a second attempt, the second challenge message and the first message thus decrypted for determine if the answer is valid.
  • the first response message is decoded by the acoustic decoder on the basis of a first dictionary of random acoustic codes then decrypted by the validation circuit by means of a secret key of the vehicle owner, the public key belonging to a first symmetric cryptosystem and being stored in a secure area of the memory of the gateway, the validation circuit comparing the second challenge message and the first message thus decrypted to determine whether the response is valid.
  • the first response message is decoded by the acoustic decoder on the basis of a second dictionary of random acoustic codes, called the auxiliary dictionary, then decrypted by the validation circuit by means of a second. secret key, called auxiliary secret key, the auxiliary secret key belonging to a second symmetric cryptosystem and being stored in a secure area of the memory of the gateway, the validation circuit comparing, in a second attempt, the second challenge message and the first message thus deciphered to determine if the response is valid.
  • auxiliary secret key the second secret key belonging to a second symmetric cryptosystem and being stored in a secure area of the memory of the gateway
  • Fig. 1 schematically represents a secure access system to a vehicle according to a first embodiment of the invention
  • Fig. 2 schematically represents a secure access system to a vehicle according to a second embodiment of the invention.
  • the signal emitted by the key can be an RF signal, and more particularly a low frequency RFID (Radio Frequency I Dentification) signal (typically in the band from 125 to 135 kHz).
  • RFID Radio Frequency I Dentification
  • UWB Ultra Wide Band
  • the latter unlocks the vehicle or only part of it (for example access to the vehicle trunk).
  • a first idea on which the present invention is based is to use a gateway for converting an RF signal into an acoustic signal, in particular an ultrasonic signal.
  • This gateway acts as an interface between the smartphone of the user and the control circuit.
  • a second idea underlying the present invention is to use an access token coding by means of random acoustic signals between the smartphone and the conversion gateway using a coding method of the type described in patent application FR1655443 to name of the present plaintiff.
  • Fig. 1 schematically represents a secure access system to a vehicle according to a first embodiment of the invention.
  • This access system, 100 comprises, on the one hand, a smartphone 110 equipped with a microphone, 111, and a speaker 113.
  • the microphone, 111 is capable of converting an acoustic signal, whatever either in the range of audible frequencies (20Hz-20kHz) or in that of ultrasonic waves (beyond 20kHz) in an electrical signal.
  • the speaker, 113 is capable of converting an electrical signal, in the band 20Hz-20kHz or beyond 20kHz, respectively into an audible signal or an ultrasonic signal.
  • Most microphones and loudspeakers fitted to commercial smartphones are capable of operating in the ultrasonic field.
  • acoustic access token consisting of a sequence of acoustic codes in a memory area.
  • This sequence codes a message made up of information symbols, each information symbol being represented by a word of n bits (with n> 1).
  • Each message information symbol is coded by an element of an alphabet of random acoustic codes, as described in the aforementioned patent application.
  • the alphabet of random acoustic codes is specific to the vehicle access provider (usually the vehicle owner) and secret.
  • the access system further comprises a conversion gateway, 120, adapted to convert an acoustic access token emitted by the smartphone into RF signals, such as those emitted by an RKE key. More specifically, the conversion gateway is equipped with a microphone, 121, and, optionally, a loudspeaker (or more generally an electro-acoustic transducer), not shown.
  • the gangway is mounted on the vehicle, outside of it so as to be able to receive the acoustic signals, preferably ultrasonic, emitted by the smartphone.
  • the gangway may in particular be fixed to a rear-view mirror outside the vehicle.
  • the acoustic signal corresponding to the acoustic access token emitted by the speaker 113 is converted into an electrical signal by the microphone 121 of the gateway, then correlated within an acoustic decoder, 140, with the random acoustic codes of the alphabet in question.
  • the acoustic decoder includes a secure memory area 145 containing the acoustic codes of the alphabet.
  • This correlation is carried out in parallel in a plurality K of correlators where K is the cardinal of the alphabet, or else carried out sequentially within the same correlator after having stored the received signal in a FIFO buffer. For each random acoustic code received, the information symbol corresponding to the highest correlation result in absolute value is selected.
  • the acoustic decoder, 140 makes it possible to recover, from the acoustic access token, the message sent by the smartphone.
  • the message may include an error detection (CRC) or error correction (ECC) code if necessary.
  • CRC error detection
  • ECC error correction
  • the validation circuit verifies that the message is indeed a valid message, for example by means of an access identifier and an authentication element contained in the header of the message.
  • the validation circuit can verify that the message is properly integrated if it contains a CRC code, an electronic fingerprint (obtained by hashing the message) or even a MAC message identification code (Message Authentication Code). .
  • CRC code a CRC code
  • an electronic fingerprint obtained by hashing the message
  • MAC message identification code Message Authentication Code
  • an RKE key code corresponding to this message is generated by the transcoder 160. For example, if the message is a command to open the doors or a command d 'opening the safe, the transcoder will provide the corresponding RKE key codes.
  • transcoder 160 can however be omitted if the message directly contains the RKE key code.
  • the RKE key code modulates an RF signal which is transmitted by the RF transmitter, 170 to the access control circuit, 190.
  • This circuit is located inside the vehicle and controls the locking or unlocking the doors and / or the trunk of the vehicle.
  • the RF signals emitted by the transmitter 170 are identical in all respects to those which would have been generated by an RKE key, in other words, seen from the access control circuit 190 (controlling the locking and unlocking of the vehicle or d 'part of it), everything happens as if the RF signals generated by the gateway came from a conventional RKE key. In this sense, the gateway emulates an RKE key.
  • the validation circuit can be implemented in different variants depending on the use for which the access system is intended.
  • the access identifier can be generated by concatenating a vehicle identifier (registration number or chassis number for example), an identifier of the rental company and a number of rental contract, as well as a time range of validity of the contract.
  • the gateway will be able to ensure conformity to identify it with a pre-established format and / or with an incrementation rule predetermined (for example the contract numbers for a given vehicle will simply be incremented by 1).
  • the lessor may have transmitted the access identifier in question to the gateway. In this case, the gateway keeps in memory the access identifier until it receives a new one or when the term of validity of the contract has expired.
  • the authentication element could have been generated by applying a hash function to the access identifier and by encrypting the hashed value using a private key (belonging to the vehicle owner) of an asymmetric cryptosystem, by example using the private key of an encryption cryptosystem on elliptical curves.
  • the validation circuit will contain in a memory area (not necessarily secure), 155, the public key corresponding to this private key. This public key can be stored by the vehicle owner when setting up the gateway, via a wired link such as a USB cable link for example.
  • the tenant wishing to access the rented vehicle, connects to the platform of the renter, via an application, after having identified and authenticated with him, for example by means of a simple password. He can then download the authentication element corresponding to his rental contract.
  • the application adds to this authentication element a nonce (random number or timestamp for example) and modulates the whole to generate an acoustic access token, the acoustic token being in the form of a sound file (for example in wav format.).
  • a nonce random number or timestamp for example
  • the lessee of the vehicle can unlock it under the conditions provided in the identifier.
  • the presence of a nonce in the acoustic token avoids replay attacks, since it is different for each access request.
  • the validation circuit can access a memory area 157 containing a black list of the tokens already used. If the received token is in this list, the validation circuit blocks the operation of the gateway as explained above.
  • the identifier may be generated by concatenating a distributor identifier, an order number, a vehicle identifier and a delivery time range.
  • the owner of the vehicle has a key management application (on his smartphone or on a PC for example) and a distributor application allowing him to place an order with it.
  • the distributor's application securely transmits the identifier of the delivery person to the key management application as well as the order number in question.
  • the key management application concatenates the vehicle identifier and the delivery time range with the information provided by the distributor to obtain the access identifier.
  • the authentication element can be obtained, as before, by hashing the access identifier and encrypting it with the private key (of an asymmetric cryptosystem) of the vehicle owner.
  • a nonce can also be added to the authentication element to avoid replay attacks.
  • the assembly constituted by the identifier and the authentication element is then coded by means of the alphabet of the random acoustic codes of the owner of the vehicle to generate the acoustic token.
  • the key management application transmits the acoustic access token thus obtained to the distributor platform in the form of a sound file (wav file, for example).
  • the delivery person can access the distributor's platform, using his smartphone, after identifying and authenticating, then download the acoustic access token corresponding to the order. As before, by playing the acoustic signal stored in the file, the delivery person can unlock the vehicle in compliance with the conditions provided in the identifier.
  • the alphabet of random acoustic codes is advantageously stored in a secure memory area of the owner's smartphone (or terminal).
  • a physical wallet protected by a PIN code will be used to store this alphabet there.
  • the public key and the alphabet can be stored in one and the same secure memory area of the gateway, accessible both by the acoustic decoder and the validation circuit.
  • the public key and the alphabet of random (or pseudo-random) acoustic codes are stored by the owner in the memory of the gateway, during its configuration.
  • the transmission of this information may be carried out by wire, or even by ultrasound by coding this information by means of an alphabet of random acoustic codes initially stored by the manufacturer.
  • the purchaser of the gateway may for example download the initial alphabet from the serial number by connecting to the manufacturer's platform.
  • the transmission between the smartphone and the gateway only uses random acoustic codes specific to the owner of the vehicle. These acoustic signals, in particular ultrasonic signals, can hardly be intercepted given their very short range. Thus, the risk of attacks whether by replay or relay type or man-in the middle is minimized.
  • the gangway is fixed outside the vehicle so as not to hinder the transmission of the acoustic signal.
  • the rupture of the attachment to the vehicle can be detected by the cut of an electrical contact (for example wire loop of which a strand is stuck to the vehicle), a capacitive modification, or a distance from the vehicle (by means of a proximity sensor ). In all cases, breaking the attachment will erase the protected memory area.
  • the bridge is also advantageously equipped with an autonomous electrical generation system (photovoltaic sensor, mini wind turbine for example or other energy capture system), and its own energy storage system (battery) so not to have to be connected to the vehicle's power system.
  • an autonomous electrical generation system photovoltaic sensor, mini wind turbine for example or other energy capture system
  • its own energy storage system battery
  • the gangway can be fixed to an existing vehicle (retrofit) without modification of the latter.
  • the access system does not replace the remote control key since the access control circuit can always be controlled directly by this key.
  • the gateway may be connected to ultrasonic sensors (proximity sensors) of the vehicle if the latter is equipped with it.
  • the validation circuit can determine if the user of the smartphone emitting an ultrasonic signal is in a predetermined area near the vehicle and use this information as an additional condition to validate the message received.
  • Fig. 2 schematically represents a secure access system to a vehicle according to a second embodiment of the invention.
  • this secure access system is compatible with a PKE key.
  • the control circuit transmits a beacon signal (generally an RFID signal), either periodically or when a person approaches the vehicle or touches, for example a door / trunk handle.
  • a beacon signal generally an RFID signal
  • the secure access system, 200 comprises, on the one hand, a smartphone 210 and, on the other hand, an ultrasound / RF conversion gateway, 220.
  • the gateway is suitable for transmitting PKE key signals (signals of response) to the access control circuit, 290.
  • the smartphone 210 equipped with a microphone, 211, and a speaker, 213, respectively capable of receiving and emitting an acoustic signal, in particular ultrasonic.
  • the bridge is equipped with a microphone, 221, and a loudspeaker (or more generally an electro-acoustic transducer), 223.
  • the control circuit 290 Periodically, or when a person approaches the vehicle, the control circuit 290 transmits a challenge signal, hereinafter referred to as the first challenge.
  • the transmission of this challenge signal may be preceded by an exchange which, in conventional PKE systems, is intended to wake up the key and, for the latter, to confirm its active state.
  • the conversion gateway When the conversion gateway is installed, the wake-up signal is received by it, which allows it to switch to an active state. It then transmits the acknowledgment signal (RF signal) to the control circuit.
  • RF signal acknowledgment signal
  • the first challenge is received by an RF transponder (in practice an RFID transponder), 270, equipping the gateway and is transmitted to the response circuit, 260.
  • an RF transponder in practice an RFID transponder
  • the interrogation circuit, 280 then generates a second challenge, for example a counter output incremented on each interrogation, to which the vehicle registration number will possibly be concatenated, the assembly being then able to be the subject of a hash to calculate a footprint and add it to the second challenge, before being supplied to the acoustic coder, 245.
  • the second challenge is also transmitted to the validation circuit 250.
  • the acoustic encoder, 245, codes the second challenge using the alphabet of random acoustic codes and the resulting acoustic challenge signal is transmitted by the gateway transducer to the smartphone.
  • the smartphone may include a secure memory area in which their private key (from an asymmetric cryptosystem) and their alphabet of random acoustic codes are stored.
  • An application previously opened by the owner on the smartphone, then receives the acoustic challenge signal, decodes it using the alphabet, calculates the response to the second challenge using its private key and codes the response using the same alphabet, before sending it back as an acoustic signal at the bridge.
  • the gateway decodes the acoustic signal thus received by means of the acoustic decoder, 240, and transmits this first response message to the validation circuit, 250. The latter then compares the response to the second challenge with the expected response, after decoding this message at using the vehicle owner's public key. In the event of identity, the validation circuit informs the response circuit 260. This response circuit then determines the response to the first challenge, in the same way in a conventional PKE key, and supplies it to the RF transponder, 270. The corresponding RF response signal is transmitted to the control circuit 290 which then unlocks the vehicle or a part of it.
  • a symmetric cryptosystem is used in place of the asymmetric cryptosystem.
  • the owner's smartphone and the gateway contain (in a secure memory area) the symmetric (secret) key of this cryptosystem.
  • the smartphone sends its response to the challenge after having encrypted it with the symmetric key and the gateway decrypts this response with this same key.
  • the gateway has a secure memory area 230 in which were stored, during a configuration step, the alphabet of random acoustic codes, and in the case of a symmetric cryptosystem, the owner's secret key of the vehicle.
  • the public key can however be stored in an insecure memory area.
  • the smartphone user When the smartphone user is not the owner of the vehicle (or the vehicle access provider more generally) but only a tenant of the vehicle or a delivery person, the application open on his smartphone, asks him for all first identify and enter the vehicle identifier (registration number).
  • the server of the rental company or of the delivery service provider then transmits to it a temporary secret key (ie either a private key of an asymmetric cryptosytem or a key of a symmetric cryptosystem). He also sends him the temporary dictionary of random acoustic codes. This temporary dictionary and this temporary key will also have been stored in the gateway by the vehicle owner, either by the rental company before the vehicle is made available, or by the owner before delivery.
  • a temporary secret key ie either a private key of an asymmetric cryptosytem or a key of a symmetric cryptosystem.
  • the server has the above information.
  • the owner of the vehicle will have previously provided this information to the server of the delivery platform, after having identified and authenticated with him.
  • the server may possibly add to it a contextual access message specifying the access conditions (for example a time period during which access is authorized).
  • the user's smartphone can then decode the acoustic challenge signal, calculate the response to the second challenge and concatenate the popup message if necessary.
  • the user's smartphone application then transmits the response signal to the gateway after having previously encrypted the response to the second challenge using the secret key, then having coded it acoustically using the alphabet cited above.
  • the validation circuit 250 determines whether the response to the second challenge is correct.
  • the acoustic decoder and the validation circuit respectively use the dictionary of random codes and the key (asymmetric cryptosystem public key or secret symmetric cryptosystem key) as configured by the owner.
  • This random code dictionary (resp. This key) is then qualified as main.
  • the gateway can also store a temporary dictionary of random codes and a key temporary. If the acoustic decoding fails (codes not recognized), the gateway switches to the temporary dictionary and the temporary key.
  • the validation circuit After decoding the response to the second challenge using the temporary key (public in the case of an asymmetric cryptosystem, secret in the case of a symmetric cryptosystem), check if this answer is correct.
  • the validation circuit can also check from the popup message whether the access conditions are fulfilled.
  • the validation circuit informs the response circuit, 260.
  • the latter determines the response to the first challenge and transmits it via the RF transponder to the control circuit 290 which unlocks the vehicle or part of it . Otherwise, the response circuit is temporarily or permanently disabled as in the first embodiment and the vehicle remains locked.
  • the owner may delete the temporary dictionary and / or the temporary key.
  • the user of the smartphone since the user of the smartphone is not the owner of the vehicle, for example in the case of a rental or delivery service, the user must identify himself to a platform to obtain a temporary secret key and a temporary dictionary of random codes.
  • the user has a wallet address on his smartphone allowing him to send transactions to a block chain.
  • This wallet address is obtained by hashing the public key of a pair of public key / private key belonging to this element.
  • the pair of public key / private key comes from an asymmetric cryptography system, such as a cryptography system on elliptical curves.
  • the blockchain is advantageously of the Ethereum type: in such a blockchain, smart contracts can be deployed on the nodes of the network.
  • a smart contract is software code that can be stored in a block in the distributed register. This software code can be addressed by a determined address and can include several functions.
  • the execution of a function of the smart contract or the contract itself can be triggered by sending a transaction sent from a wallet address (also called account address in Ethereum) to the address of the code in question , the transaction including the identification of the function to be executed and the arguments expected as input.
  • the user can then transmit a request for authorization to access the smart contract from his wallet address, the authorization request can include a certain number of parameters allowing the smart contract to determine whether the access conditions are well fulfilled, this request being digitally signed using the user's private key.
  • the smart contract After the smart contract has verified that the authorization request has indeed come from the portfolio holder and that the access conditions have been fulfilled (in particular that the price has been paid), the latter will return to the portfolio address of the user a download address from which he can obtain the temporary secret key and the temporary dictionary of random codes.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Lock And Its Accessories (AREA)

Abstract

La présente invention concerne un système d'accès sécurisé (100) à un véhicule équipé d'une clé de type RKE ou PKE. Ledit système comprend une passerelle de conversion RFID/ son (120) permettant de faire l'interface entre la voie audio du smartphone (110) d'un utilisateur et la voie RFID d'un circuit de contrôle d'accès (190) disposé dans le véhicule. La passerelle comprend un décodeur (145) adapté à décoder un message acoustique transmis par le smartphone, le message comprenant des symboles d'information ayant été codés à l'aide d'un alphabet de codes acoustiques aléatoires. Après décodage, le message est déchiffré à l'aide d'une clé privée du propriétaire du véhicule et sa validité est vérifiée. Si le message est valide, un signal de clé est transmis par un émetteur RF (170, 270) au circuit de contrôle d'accès (190) qui déverrouille le véhicule ou une partie de celui-ci.

Description

SYSTÈME D'ACCÈS SÉCURISÉ À UN VÉHICULE AU MOYEN D'UN SMARTPHONE
DESCRIPTION
DOMAINE TECHNIQUE
La présente invention s'applique de manière générale à un système sécurisé d'accès à un véhicule. Il trouve notamment application dans les services nécessitant de conférer un droit d'accès temporaire à un tiers, par exemple pour des services de location de voiture, d'autopartage ou encore des services de livraison dans la voiture (in car delivery).
ÉTAT DE LA TECHNIQUE ANTÉRIEURE
L'essor de la consommation collaborative ces dernières années est en passe d'affecter de manière significative les usages dans le domaine automobile. Des plateformes permettent d'ores et déjà à un particulier de mettre sa voiture à disposition d'un tiers pendant une durée limitée. Toutefois, le développement de ces services est actuellement contraint par la nécessité de remettre physiquement les clés du véhicule à l'usager.
En outre, les loueurs professionnels possédant un parc important de véhicules sont confrontés à la gestion et au risque de perte des clés par leurs employés ou leurs clients. La nécessité de remettre physiquement les clés au client s'accommode de moins en moins bien avec la possibilité de contracter un service en ligne ou encore le souhait de disposer d'un véhicule à tout moment en un lieu quelconque.
Récemment, un nouveau mode de livraison a été expérimenté par un grand distributeur en ligne, à savoir la livraison d'une commande dans le coffre de son propre véhicule. Ce service suppose toutefois que le véhicule soit équipé d'un module de communication cellulaire, de sorte qu'il ne fonctionne pas dans les zones dépourvues de couverture réseau. Le véhicule peut ainsi recevoir une commande de déverrouillage à distance via le réseau cellulaire. Certains constructeurs automobiles permettent, via une application sur smartphone, de disposer d'une clé numérique et de la transmettre, le cas échéant, à un tiers. Le livreur disposant d'un smartphone peut localiser le véhicule du client et en déverrouiller le coffre à l'aide du code d'accès qu'il aura préalablement reçu via une application du distributeur. Toutefois, de nombreux véhicules ne sont pas équipés et ne pourront être équipés dans les prochaines années de tels systèmes d'accès. En outre, la transmission du code d'accès entre le smartphone du propriétaire et le système d'accès peut faire l'objet d'attaques de type « man in the middle ».
Par ailleurs, les clés intelligentes (smart keys) équipant la plupart des véhicules modernes, qu'elles soient de type RKE (Remote Key Entry) ou PKE (Passive Key Entry) peuvent faire l'objet d'attaques par rejeu (clés RKE) ou par relais (clés PKE). On rappelle qu'une clé de type RKE est une simple télécommande utilisant un signal RF et transmettant un code d'accès. Une clé de type PKE reçoit un défi pour s'authentifier lorsque l'usager approche de son véhicule ou, par exemple touche une poignée de porte. La clé RKE transmet alors un signal de réponse au système d'accès pour s'authentifier. Si la réponse au défi est correcte, le système d'accès déverrouille le véhicule et inhibe son système d'immobilisation. On trouvera notamment une description d'attaques par relais sur clés de type PKE dans l'article de A. Fancillon et al. intitulé « Relay attacks on passive keyless entry Systems in modem cars » publié dans Proceedings of the 18th annual network and distributed System security symposium, NDSS, The Internet Society, Feb. 2011.
Le but de la présente invention est par conséquent de proposer un système d'accès sécurisé à un véhicule qui puisse s'adapter facilement à des véhicules dotés de clés de type RKE ou PKE, présenter une grande robustesse aux attaques de type rejeu, relais ou man-in-the middle tout en permettant la remise dématérialisée d'une autorisation d'accès temporaire à un tiers. EXPOSÉ DE L'INVENTION
La présente invention est définie par un système d'accès sécurisé à un véhicule équipé d'un circuit de contrôle d'accès contrôlant le déverrouillage du véhicule ou d'une partie de celui-ci seulement, le circuit de contrôle d'accès étant adapté à être commandé par une clé à télécommande au moyen d'un signal électromagnétique, ledit système comportant une passerelle de conversion acoustique/ électromagnétique destinée à être fixée à l'extérieur du véhicule, ladite passerelle de conversion comprenant :
un décodeur acoustique adapté à recevoir d'un smartphone un message sous la forme d'un signal acoustique, dit jeton acoustique d'accès, et à décoder des symboles d'information de ce message au moyen d'un alphabet de codes acoustiques aléatoires stocké dans une mémoire de la passerelle ;
un circuit de validation vérifiant que le message reçu est bien valide au moyen d'un élément d'authentification ;
un émetteur adapté à transmettre un signal de commande électromagnétique au circuit de contrôle d'accès si le message reçu est bien valide.
Avantageusement, le décodeur acoustique effectue une pluralité ( K ) d'opérations de corrélation du signal acoustique avec les codes acoustiques aléatoires de l'alphabet pour fournir une pluralité de résultats de corrélation, le code acoustique aléatoire correspondant au résultat de corrélation dont la valeur absolue est la plus élevée fournissant le symbole d'information dudit message.
La passerelle de conversion est de préférence pourvue de moyens de détection d'une rupture de la fixation de la passerelle au véhicule, lesdits moyens de détection effaçant le contenu de la mémoire lorsqu'une telle rupture est détectée.
La passerelle de conversion peut être également pourvue d'un système de génération d'énergie autonome et de stockage d'énergie.
Selon un premier mode de réalisation, la clé à télécommande est une clé de type RKE, et le circuit de validation valide le message reçu à partir d'un identifiant d'accès et de l'élément d'authentification contenus dans ledit message, l'identifiant d'accès comportant un identifiant du véhicule.
L'identifiant d'accès peut comprendre en outre un numéro de contrat ou de commande et, optionnellement, une plage temporelle pendant laquelle l'accès au véhicule est autorisé.
L'élément d'authentification peut être quant à lui une signature de l'identifiant au moyen d'une clé privée du propriétaire du véhicule, appartenant à un cryptosytème asymétrique.
Selon un second mode de réalisation, la clé à télécommande est une clé de type PKE et la passerelle de conversion comporte en outre un circuit d'interrogation, un circuit de réponse ainsi qu'un transpondeur, le transpondeur étant adapté à recevoir, sous la forme d'un premier signal électromagnétique, un premier message de défi émis par le circuit de contrôle d'accès et à transmettre, sous la forme d'un second signal électromagnétique, un second message de réponse audit circuit de contrôle d'accès, le circuit d'interrogation étant adapté à générer un second message de défi lorsqu'il reçoit un premier message de défi, le second message de défi étant codé dans un codeur acoustique au moyen de l'alphabet de codes acoustiques aléatoires avant d'être transmis au smartphone, le circuit de réponse étant adapté à générer le second message de réponse lorsqu'un premier message de réponse, reçu du smartphone et décodé par le décodeur acoustique au moyen de l'alphabet de codes acoustiques aléatoires, est validé par le circuit de validation.
Avantageusement, le premier message de défi est également transmis au circuit de réponse et le second défi est également transmis au circuit de validation.
Le circuit d'interrogation génère typiquement un second message de défi en incrémentant un compteur et en concaténant, à la sortie du compteur ainsi incrémenté, un identifiant du véhicule, l'ensemble étant haché pour fournir une empreinte, ladite empreinte étant incorporée dans le second message de défi.
Selon une première variante, le premier message de réponse peut alors être décodé par le décodeur acoustique sur la base d'un premier dictionnaire de codes acoustiques aléatoires, dit dictionnaire principal, puis déchiffré par le circuit de validation au moyen d'une clé publique du propriétaire du véhicule, dite clé publique principale, la clé publique principale appartenant à un premier cryptosystème asymétrique et étant stockée dans la mémoire de la passerelle, le circuit de validation comparant le second message de défi et le premier message ainsi déchiffré pour déterminer si la réponse est valide.
Si la réponse n'est pas valide, le premier message de réponse est décodé par le décodeur acoustique sur la base d'un second dictionnaire de codes acoustiques aléatoires, dit dictionnaire auxiliaire, puis déchiffré par le circuit de validation au moyen d'une clé publique, dite clé publique auxiliaire, la clé publique auxiliaire appartenant à un second cryptosystème asymétrique et étant stockée dans la mémoire de la passerelle, le circuit de validation comparant, dans une seconde tentative, le second message de défi et le premier message ainsi déchiffré pour déterminer si la réponse est valide.
Selon une seconde variante, le premier message de réponse est décodé par le décodeur acoustique sur la base d'un premier dictionnaire de codes acoustiques aléatoires puis déchiffré par le circuit de validation au moyen d'une clé secrète du propriétaire du véhicule, la clé publique appartenant à un premier cryptosystème symétrique et étant stockée dans une zone sécurisée de la mémoire de la passerelle, le circuit de validation comparant le second message de défi et le premier message ainsi déchiffré pour déterminer si la réponse est valide.
Si la réponse n'est pas valide, le premier message de réponse est décodé par le décodeur acoustique sur la base d'un second dictionnaire de codes acoustiques aléatoires, dit dictionnaire auxiliaire, puis déchiffré par le circuit de validation au moyen d'une seconde clé secrète, dite clé secrète auxiliaire, la clé secrète auxiliaire appartenant à un second cryptosystème symétrique et étant stockée dans une zone sécurisée de la mémoire de la passerelle, le circuit de validation comparant, dans une seconde tentative, le second message de défi et le premier message ainsi déchiffré pour déterminer si la réponse est valide.
BRÈVE DESCRIPTION DES DESSINS
D'autres caractéristiques et avantages de l'invention apparaîtront à la lecture d'un mode de réalisation préférentiel de l'invention, décrit en référence aux figures jointes parmi lesquelles :
La Fig. 1 représente de manière schématique un système d'accès sécurisé à un véhicule selon un premier mode de réalisation de l'invention ;
La Fig. 2 représente de manière schématique un système d'accès sécurisé à un véhicule selon un second mode de réalisation de l'invention.
EXPOSÉ DÉTAILLÉ DE MODES DE RÉALISATION PARTICULIERS
On considère dans la suite un véhicule dont l'accès est verrouillé par un circuit de contrôle, actionnable par une clé à télécommande au moyen d'un signal électromagnétique, tel que celui émis par une clé RKE ou bien une clé PKE, en réponse à un signal de défi. Le signal émis par la clé peut être un signal RF, et plus particulièrement un signal RFID (Radio Frequency I Dentification ) basse fréquence (typiquement dans la bande de 125 à 135 kHz). D'autres types de signaux électromagnétiques, notamment un signal UWB (Ultra Wide Band), peuvent être également envisagés. Sans préjudice de généralisation, nous supposerons dans la suite que le signal électromagnétique de commande émis par la clé est un signal RF.
Lorsque la clé est authentifiée avec succès par le circuit de contrôle, celui- ci déverrouille le véhicule ou une partie de celui-ci seulement (par exemple l'accès au coffre du véhicule).
Une première idée à la base de la présente invention est d'utiliser une passerelle de conversion d'un signal RF en signal acoustique, notamment en signal ultrasonore. Cette passerelle joue le rôle d'interface entre le smartphone de l'utilisateur et le circuit de contrôle. Une seconde idée à la base de la présente invention est d'utiliser un codage de jeton d'accès au moyen de signaux acoustiques aléatoires entre le smartphone et la passerelle de conversion utilisant une méthode de codage du type décrit dans la demande de brevet FR1655443 au nom de la présente demanderesse.
La Fig. 1 représente de manière schématique un système d'accès sécurisé à un véhicule selon un premier mode de réalisation de l'invention.
Ce système d'accès, 100, comprend, d'une part, un smartphone 110 équipé d'un microphone, 111, et d'un haut-parleur 113. Le microphone, 111, est capable de convertir un signal acoustique, que ce soit dans le domaine des fréquences audibles (20Hz-20kHz) ou dans celui des ondes ultrasonores (au-delà de 20kHz) en un signal électrique. Réciproquement, le haut-parleur, 113, est capable de convertir un signal électrique, dans la bande 20Hz-20kHz ou au-delà de 20kHz, respectivement en un signal audible ou un signal ultrasonore. La plupart des microphones et des haut-parleurs équipant les smartphones du commerce sont capables d'opérer dans le domaine ultrasonore.
On suppose que le smartphone a préalablement stocké dans une zone mémoire un jeton d'accès acoustique constitué d'une séquence de codes acoustiques. Cette séquence code un message constitué de symboles d'information, chaque symbole d'information étant représenté par un mot de n bits (avec n > 1 ). Chaque symbole d'information du message est codé par un élément d'un alphabet de codes acoustiques aléatoires, tel que décrit dans la demande de brevet précitée. L'alphabet de codes acoustiques aléatoires est propre au fournisseur d'accès au véhicule (en général le propriétaire du véhicule) et secret.
Le système d'accès comporte en outre une passerelle de conversion, 120, adaptée à convertir un jeton d'accès acoustique émis par le smartphone en des signaux RF, tels que ceux émis par une clé RKE. Plus précisément, la passerelle de conversion est équipée d'un microphone, 121, et, optionnellement, d'un haut-parleur (ou de manière plus générale un transducteur électro-acoustique), non représenté.
La passerelle est montée sur le véhicule, à l'extérieur de celui-ci de manière à pouvoir recevoir les signaux acoustiques, préférablement ultrasonores, émis par le smartphone. La passerelle pourra notamment être fixée sur un rétroviseur extérieur du véhicule.
Le signal acoustique correspondant au jeton acoustique d'accès émis par le haut-parleur 113 est converti en signal électrique par le microphone 121 de la passerelle, puis corrélé au sein d'un décodeur acoustique, 140, avec les codes acoustiques aléatoires de l'alphabet en question. Le décodeur acoustique comporte une zone mémoire sécurisée 145 contenant les codes acoustiques de l'alphabet.
Cette corrélation est effectuée en parallèle dans une pluralité K de corrélateurs où K est le cardinal de l'alphabet, ou bien effectuée séquentiellement au sein d'un même corrélateur après avoir stocké le signal reçu dans un buffer FIFO. Pour chaque code acoustique aléatoire reçu, le symbole d'information correspondant au résultat de corrélation le plus élevé en valeur absolue est sélectionné. Ainsi, le décodeur acoustique, 140, permet de récupérer, à partir du jeton d'accès acoustique, le message envoyé par le smartphone. Le message peut comporter le cas échéant un code de détection d'erreurs (CRC) ou de correction d'erreurs (ECC). Ce message est fourni au circuit de validation, 150.
Le circuit de validation vérifie que le message est bien un message valide, par exemple au moyen d'un identifiant d'accès et d'un élément d'authentification contenus dans l'entête du message. En outre, le circuit de validation peut vérifier que le message est bien intègre si celui-ci-comporte un code CRC, une empreinte électronique (obtenue par hachage du message) ou encore un code d'identification de message MAC (Message Authentication Code). Le fonctionnement du circuit de validation sera décrit plus loin. Si un message non valide et/ou non intègre est détecté par le circuit de validation, celui-ci peut bloquer temporairement le fonctionnement de la passerelle, par exemple en inhibant le transcodeur 160, voire définitivement en coupant son alimentation.
En revanche, si le message est bien valide (et le cas échéant intègre) un code de clé RKE correspondant à ce message est généré par le transcodeur 160. Par exemple, si le message est une commande d'ouverture des portes ou une commande d'ouverture du coffre, le transcodeur fournira les codes de clé RKE correspondants.
Il convient de noter que le transcodeur 160 peut toutefois être omis si le message contient directement le code de clé RKE.
En tout état de cause, le code de clé RKE module un signal RF qui est transmis par l'émetteur RF, 170 au circuit de contrôle d'accès, 190. Ce circuit est situé à l'intérieur du véhicule et commande le verrouillage ou le déverrouillage des portes et/ou du coffre du véhicule.
Les signaux RF émis par l'émetteur 170 sont, en tout point, identiques à ceux qui auraient été générés par une clé RKE, autrement dit, vu du circuit de contrôle d'accès 190 (commandant le verrouillage et le déverrouillage du véhicule ou d'une partie de celui-ci), tout se passe comme si les signaux RF générés par la passerelle émanaient d'une clé RKE conventionnelle. En ce sens, la passerelle émule une clé RKE.
Le circuit de validation peut être réalisé selon différentes variantes selon l'usage auquel est destiné le système d'accès.
Par exemple, pour un service de location de véhicule, l'identifiant d'accès pourra être généré en concaténant un identifiant du véhicule (numéro d'immatriculation ou numéro de châssis par exemple), un identifiant de la compagnie de location et un numéro de contrat de location, ainsi qu'une plage temporelle de validité du contrat. La passerelle pourra s'assurer de la conformité de l'identifier à un format préétabli et/ou à une règle d'incrémentation prédéterminée (par exemple les numéros de contrat pour un véhicule donné seront simplement incrémentés de 1). En variante, le loueur pourra avoir transmis à la passerelle l'identifiant d'accès en question. Dans ce cas, la passerelle conserve en mémoire l'identifiant d'accès jusqu'à ce qu'il en reçoive un nouveau ou lorsque le terme de validité du contrat est échu.
L'élément d'authentification pourra avoir été généré en appliquant une fonction de hachage à l'identifiant d'accès et en chiffrant la valeur hachée au moyen d'une clé privée (appartenant au propriétaire du véhicule) d'un cryptosystème asymétrique, par exemple au moyen de la clé privée d'un cryptosystème de chiffrement sur courbes elliptiques. Dans ce cas, le circuit de validation contiendra dans une zone mémoire (non nécessairement sécurisée), 155, la clé publique correspondant à cette clé privée. Cette clé publique pourra être stockée par le propriétaire du véhicule lors du paramétrage de la passerelle, via une liaison filaire telle qu'une liaison par câble USB par exemple.
Dans le cas où une plage temporelle est indiquée dans l'identifiant, si le message est reçu par la passerelle en dehors de cette plage, il sera considéré comme non valide par le circuit de validation et la passerelle ne transmettra aucun code RKE au circuit de contrôle d'accès. Cela suppose dans ce cas que l'horloge de la passerelle soit à jour (pas de perte d'alimentation notamment).
Le locataire, souhaitant accéder au véhicule loué, se connecte à la plateforme du loueur, via une application, après s'être s'identifié et authentifié auprès de lui, par exemple au moyen d'un simple mot de passe. Il peut ensuite télécharger l'élément d'authentification correspondant à son contrat de location. L'application adjoint à cet élément d'authentification un nonce (nombre aléatoire ou horodatage par exemple) et module l'ensemble pour générer un jeton acoustique d'accès, le jeton acoustique se présentant sous la forme d'un fichier son (par exemple au format wav.). En jouant le signal acoustique stocké dans le fichier, le locataire du véhicule pourra le déverrouiller dans les conditions prévues dans l'identifiant. La présence d'un nonce dans le jeton acoustique permet d'éviter les attaques par rejeu, étant donné qu'il est différent à chaque requête d'accès. Dans ce cas, le circuit de validation peut accéder à une zone mémoire 157 contenant une liste noire des jetons déjà utilisés. Si le jeton reçu se trouve dans cette liste, le circuit de validation bloque le fonctionnement de la passerelle comme expliqué plus haut.
Dans le cas d'un service de livraison dans un coffre de véhicule, l'identifiant pourra être généré en concaténant un identifiant du distributeur, un numéro de commande, un identifiant de véhicule et une plage temporelle de livraison.
Le propriétaire du véhicule dispose d'une application de gestion de clés (sur son smartphone ou sur un PC par exemple) et d'une application du distributeur lui permettant de passer commande auprès de celui-ci. Lorsqu'il sélectionne, lors de sa prise de commande, l'option de livraison dans le coffre de sa voiture, l'application du distributeur transmet de manière sécurisée, à l'application de gestion de clés, l'identifiant du livreur ainsi que le numéro de commande en question. L'application de gestion de clés concatène l'identifiant de véhicule et la plage temporelle de livraison aux informations fournies par le distributeur pour obtenir l'identifiant d'accès. L'élément d'authentification pourra être obtenu, comme précédemment, en hachant l'identifiant d'accès et en le chiffrant avec la clé privée (d'un cryptosystème asymétrique) du propriétaire du véhicule. Un nonce pourra également être ajouté à l'élément d'authentification pour éviter les attaques par rejeu. En tout état de cause, l'ensemble constitué par l'identifiant et l'élément d'authentification est alors codé au moyen de l'alphabet des codes acoustiques aléatoires du propriétaire du véhicule pour générer le jeton acoustique. L'application de gestion de clés transmet à la plateforme du distributeur le jeton acoustique d'accès ainsi obtenu sous forme d'un fichier son (fichier wav. par exemple).
Le livreur peut de son côté accéder, au moyen de son smartphone, à la plateforme du distributeur, après s'être identifié et authentifié, puis télécharger le jeton acoustique d'accès correspondant à la commande. Comme précédemment, en jouant le signal acoustique stocké dans le fichier, le livreur peut déverrouiller le véhicule dans le respect des conditions prévues dans l'identifiant.
L'alphabet des codes acoustiques aléatoires est avantageusement stocké dans une zone mémoire sécurisée du smartphone (ou du terminal) du propriétaire. Avantageusement, on utilisera cependant un portefeuille physique protégé par un code PIN pour y stocker cet alphabet.
Le cas échéant, la clé publique et l'alphabet peuvent être stockés dans une seule et même zone mémoire sécurisée de la passerelle, accessible à la fois par le décodeur acoustique et le circuit de validation
Comme déjà indiqué, la clé publique et l'alphabet des codes acoustiques aléatoires (ou pseudo-aléatoires) sont stockés par le propriétaire dans la mémoire de la passerelle, lors de son paramétrage. La transmission de ces informations pourra être réalisée par voie filaire, voire par voie ultrasonore en codant ces informations au moyen d'un alphabet de codes acoustiques aléatoires initialement stocké par le constructeur. L'acquéreur de la passerelle pourra par exemple télécharger l'alphabet initial à partir du numéro de série en se connectant à la plateforme du constructeur.
Il est important de noter que la transmission entre le smartphone et la passerelle n'utilise que des codes acoustiques aléatoires spécifiques au propriétaire du véhicule. Ces signaux acoustiques, notamment ultrasonores, peuvent difficilement être interceptés étant donné leur très courte portée. Ainsi, le risque d'attaques que ce soit par rejeu ou de type relais ou man-in the middle est minimisé.
En pratique, la passerelle est fixée à l'extérieur du véhicule pour ne pas gêner la transmission du signal acoustique. La rupture de la fixation au véhicule pourra être détectée par la coupure d'un contact électrique (par exemple boucle filaire dont un brin est collé au véhicule), une modification capacitive, ou un éloignement du véhicule (au moyen d'un capteur de proximité). Dans tous les cas, la rupture de la fixation entraînera l'effacement de la zone mémoire protégée.
La passerelle est par ailleurs avantageusement équipée d'un système autonome de génération électrique (capteur photovoltaïque, mini-turbine éolienne par exemple ou autre système de captage d'énergie), et de son propre système de stockage d'énergie (batterie) de manière à ne pas avoir à être raccordée au système d'alimentation du véhicule.
Enfin, la passerelle peut être fixée sur un véhicule existant ( retrofit ) sans modification de ce dernier. En outre, le système d'accès ne se substitue pas à la clé de télécommande dans la mesure où le circuit de contrôle d'accès pourra toujours être commandé directement par cette clé.
Selon une variante de réalisation, la passerelle pourra être reliée à des capteurs ultrason (capteurs de proximité) du véhicule si celui-ci en est équipé. Dans ce cas, le circuit de validation pourra déterminer si l'utilisateur du smartphone émettant un signal ultrasonore est dans une zone prédéterminée à proximité du véhicule et utiliser cette information comme condition supplémentaire pour valider le message reçu.
La Fig. 2 représente de manière schématique un système d'accès sécurisé à un véhicule selon un second mode de réalisation de l'invention.
A la différence du premier mode de réalisation, ce système d'accès sécurisé est compatible avec une clé PKE.
On rappelle que lorsqu'un véhicule est équipé d'une clé PKE, le circuit de contrôle transmet un signal de balise (généralement un signal RFID), soit de manière périodique, soit lorsqu'une personne s'approche du véhicule ou touche par exemple une poignée de porte/ de coffre.
Le système d'accès sécurisé, 200, comprend, d'une part, un smartphone 210 et, d'autre part, une passerelle de conversion ultrasonore/RF, 220. La passerelle est adaptée à transmettre des signaux de clé PKE (signaux de réponse) au circuit de contrôle d'accès, 290. Le smartphone 210 équipé d'un microphone, 211, et d'un haut-parleur, 213, respectivement susceptibles de recevoir et d'émettre un signal acoustique, notamment ultrasonore. De même, la passerelle est équipée d'un microphone, 221, et d'un haut-parleur (ou de manière plus générale un transducteur électro acoustique), 223.
De manière périodique, ou lorsqu'une personne s'approche du véhicule, le circuit de contrôle 290 transmet un signal de défi, dénommé dans la suite premier défi. Dans certains cas, l'émission de ce signal de défi peut être précédée d'un échange qui, dans les systèmes PKE conventionnels, a pour objet de réveiller la clé et, pour cette dernière, à confirmer son état actif. Lorsque la passerelle de conversion est installée, le signal d'éveil (wake-up) est reçu par celle-ci, ce qui permet de la faire passer à un état actif. Elle transmet alors le signal d'acquittement (signal RF) au circuit de contrôle.
Le premier défi est reçu par un transpondeur RF (en pratique un transpondeur RFID), 270, équipant la passerelle et est transmis au circuit de réponse, 260.
Le circuit d'interrogation, 280, génère alors un second défi, par exemple une sortie de compteur incrémenté à chaque interrogation, à laquelle sera éventuellement concaténé le numéro d'immatriculation du véhicule, l'ensemble pouvant faire ensuite l'objet d'un hachage pour calculer une empreinte et l'adjoindre au second défi, avant d'être fourni au codeur acoustique, 245. Le second défi est également transmis au circuit de validation 250.
Le codeur acoustique, 245, code le second défi à l'aide de l'alphabet de codes acoustiques aléatoires et le signal de défi acoustique résultant est transmis par le transducteur de la passerelle au smartphone.
Si l'utilisateur est le propriétaire du véhicule, le smartphone pourra comprendre une zone mémoire sécurisée dans laquelle sont stockés sa clé privée (d'un cryptosystème asymétrique) et son alphabet des codes acoustiques aléatoires. Une application, préalablement ouverte par le propriétaire sur le smartphone, reçoit alors le signal de défi acoustique, le décode au moyen de l'alphabet, calcule la réponse au second défi au moyen de sa clé privée et code la réponse au moyen du même alphabet, avant de la renvoyer sous la forme d'un signal acoustique à la passerelle.
La passerelle décode le signal acoustique ainsi reçu au moyen du décodeur acoustique, 240, et transmet ce premier message de réponse au circuit de validation, 250. Ce dernier compare alors la réponse au second défi avec la réponse attendue, après avoir décodé ce message au moyen de la clé publique du propriétaire du véhicule. En cas d'identité, le circuit de validation en informe le circuit de réponse 260. Ce circuit de réponse détermine alors la réponse au premier défi, de la même manière dans une clé PKE conventionnelle, et la fournit au transpondeur RF, 270. Le signal de réponse RF correspondant est transmis au circuit de contrôle 290 qui déverrouille alors le véhicule ou une partie de celui-ci.
Selon une variante, un cryptosystème symétrique est utilisé en lieu et place du cryptosystème asymétrique. Dans un tel cas, le smartphone du propriétaire et la passerelle contiennent (dans une zone mémoire sécurisée) la clé symétrique (secrète) de ce cryptosystème. Le smartphone envoie sa réponse au défi après l'avoir chiffrée avec la clé symétrique et la passerelle déchiffre cette réponse avec cette même clé.
On notera que la passerelle dispose d'une zone mémoire sécurisée 230 dans laquelle ont été stockés, lors d'une étape de paramétrage, l'alphabet de codes acoustiques aléatoires, et dans le cas d'un cryptosystème symétrique, la clé secrète du propriétaire du véhicule. Comme précédemment, dans le cas d'un cryptosystème asymétrique, la clé publique peut toutefois être stockée dans une zone mémoire non sécurisée.
Lorsque l'utilisateur du smartphone n'est pas le propriétaire du véhicule (ou le fournisseur d'accès au véhicule de manière plus générale) mais seulement un locataire du véhicule ou un livreur, l'application ouverte sur son smartphone, lui demande tout d'abord de s'identifier et de renseigner l'identifiant du véhicule (numéro d'immatriculation).
Le serveur du loueur ou du prestataire de service de livraison lui transmet alors une clé secrète temporaire, (à savoir soit une clé privée d'un cryptosytème asymétrique ou une clé d'un cryptosystème symétrique). Il lui transmet également le dictionnaire temporaire de codes acoustiques aléatoires. Ce dictionnaire temporaire et cette clé temporaire auront été stockés également dans la passerelle par le propriétaire du véhicule, soit par le loueur avant la mise à disposition du véhicule, soit par le propriétaire avant la livraison.
Dans le cas du loueur, le serveur dispose des informations précitées. Dans le cas du prestataire du service de livraison, le propriétaire du véhicule aura préalablement fourni ces informations au serveur de la plateforme de livraison, après s'être identifié et authentifié auprès de lui. Le serveur pourra éventuellement y adjoindre un message contextuel d'accès précisant les conditions d'accès (par exemple une plage temporelle pendant laquelle l'accès est autorisé).
Le smartphone de l'utilisateur peut alors décoder le signal de défi acoustique, calculer la réponse au second défi et y concaténer, le cas échéant, le message contextuel. L'application du smartphone de l'utilisateur transmet alors le signal de réponse à la passerelle après avoir préalablement chiffré la réponse au second défi à l'aide de la clé secrète, puis l'avoir codé sous forme acoustique au moyen de l'alphabet précité.
Le circuit de validation 250 détermine si la réponse au second défi est correcte.
Par défaut, le décodeur acoustique et le circuit de validation utilisent respectivement le dictionnaire de codes aléatoires et la clé (clé publique de cryptosystème asymétrique ou clé secrète de cryptosystème symétrique) tels que paramétrés par le propriétaire. Ce dictionnaire de codes aléatoire (resp. cette clé) est alors qualifiée de principal(e). Dans ce mode de réalisation, la passerelle peut également stocker un dictionnaire temporaire de codes aléatoires et une clé temporaire. Si le décodage acoustique échoue (codes non reconnus), la passerelle bascule sur le dictionnaire temporaire et la clé temporaire.
Si la seconde tentative de décodage acoustique sur la base du dictionnaire auxiliaire est concluante, le circuit de validation, après avoir décodé la réponse au second défi à l'aide de la clé temporaire (publique dans le cas d'un cryptosystème asymétrique, secrète dans le cas d'un cryptosystème symétrique), vérifie si cette réponse est correcte. Le circuit de validation peut également vérifier à partir du message contextuel si les conditions d'accès sont bien remplies.
Dans l'affirmative, le circuit de validation en informe le circuit de réponse, 260. Ce dernier détermine alors la réponse au premier défi et la transmet via le transpondeur RF au circuit de contrôle 290 qui déverrouille le véhicule ou une partie de celui-ci. A défaut, le circuit de réponse est inhibé temporairement ou définitivement comme dans le premier mode de réalisation et le véhicule reste verrouillé.
Dès lors que les conditions d'accès ne sont plus vérifiées (expiration du contrat, livraison déjà effectuée), le propriétaire pourra effacer le dictionnaire temporaire et/ou la clé temporaire.
L'homme du métier comprendra que les remarques faites en relation avec le paramétrage de la passerelle et la protection de la mémoire du circuit de validation s'appliquent de la même façon au second mode de réalisation.
Dans les modes de réalisation décrits ci-dessus, dès lors que l'utilisateur du smartphone n'est pas le propriétaire du véhicule, par exemple dans le cas d'un service de location ou de livraison, l'utilisateur doit s'identifier auprès d'une plateforme pour obtenir une clé secrète temporaire et un dictionnaire temporaire de codes aléatoires.
Selon une variante, on suppose que l'utilisateur dispose sur son smartphone d'une adresse de portefeuille (wallet) lui permettant d'envoyer des transactions vers une chaîne de blocs. Cette adresse de portefeuille est obtenue par hachage de la clé publique d'un couple de clé publique/clé privée appartenant à cet élément. Le couple de clé publique/clé privée est issu d'un système de cryptographie asymétrique, tel qu'un système de cryptographie sur courbes elliptiques.
La chaîne de blocs est avantageusement de type Ethereum : dans une telle chaîne de blocs, des contrats intelligents (smart contracts) peuvent être déployés sur les nœuds du réseau. On rappelle qu'un contrat intelligent est un code logiciel pouvant être stocké dans un bloc du registre distribué. Ce code logiciel est adressable par une adresse déterminée et peut comprendre plusieurs fonctions. L'exécution d'une fonction du contrat intelligent ou du contrat lui-même peut être déclenchée par l'envoi d'une transaction émise depuis une adresse de portefeuille (encore dénommée adresse de compte dans Ethereum) vers l'adresse du code en question, la transaction comprenant l'identification de la fonction à exécuter et les arguments attendus en entrée.
L'utilisateur peut alors transmettre une demande d'autorisation d'accès au contrat intelligent à partir de son adresse de portefeuille, la demande d'autorisation pouvant comporter un certain nombre de paramètres permettant au contrat intelligent de déterminer si les conditions d'accès sont bien remplies, cette demande étant signée numériquement au moyen de la clé privée de l'utilisateur.
Après que le contrat intelligent a vérifié que la demande d'autorisation émanait bien du titulaire du portefeuille et que les conditions d'accès étaient bien remplies (notamment que le prix a été payé), celui-ci renvoie à l'adresse de portefeuille de l'utilisateur une adresse de téléchargement à partir de laquelle il pourra obtenir la clé secrète temporaire et le dictionnaire temporaire de codes aléatoires.

Claims

REVENDICATIONS
1. Système d'accès sécurisé à un véhicule équipé d'un circuit de contrôle d'accès (190, 290) contrôlant le déverrouillage du véhicule ou d'une partie de celui-ci seulement, le circuit de contrôle d'accès étant adapté à être commandé par une clé à télécommande au moyen d'un signal électromagnétique, ledit système étant caractérisé en ce qu'il comporte une passerelle de conversion acoustique/ électromagnétique destinée à être fixée à l'extérieur du véhicule, ladite passerelle de conversion comprenant :
un décodeur acoustique (140, 240) adapté à recevoir d'un smartphone un message sous la forme d'un signal acoustique, dit jeton acoustique d'accès, et à décoder des symboles d'information de ce message au moyen d'un alphabet de codes acoustiques aléatoires stocké dans une mémoire (145, 240) de la passerelle ; un circuit de validation (150,250) vérifiant que le message reçu est bien valide au moyen d'un élément d'authentification ;
un émetteur (170,270) adapté à transmettre un signal de commande électromagnétique au circuit de contrôle d'accès (190,290) si le message reçu est bien valide.
2. Système d'accès sécurisé à un véhicule selon la revendication 1, caractérisé en ce que le décodeur acoustique effectue une pluralité ( K ) d'opérations de corrélation du signal acoustique avec les codes acoustiques aléatoires de l'alphabet pour fournir une pluralité de résultats de corrélation, le code acoustique aléatoire correspondant au résultat de corrélation dont la valeur absolue est la plus élevée fournissant le symbole d'information dudit message.
3. Système d'accès sécurisé à un véhicule selon la revendication 1 ou 2, caractérisé en ce que la passerelle de conversion est pourvue de moyens de détection d'une rupture de la fixation de la passerelle au véhicule, lesdits moyens de détection effaçant le contenu de la mémoire lorsqu'une telle rupture est détectée.
4. Système d'accès sécurisé à un véhicule selon l'une des revendications précédentes, caractérisé en ce que la passerelle de conversion est pourvue d'un système de génération d'énergie autonome et de stockage d'énergie.
5. Système d'accès sécurisé à un véhicule selon l'une des revendications précédentes, caractérisé en ce que la clé à télécommande est une clé de type RKE, et que le circuit de validation (150) valide le message reçu à partir d'un identifiant d'accès et de l'élément d'authentification contenus dans ledit message, l'identifiant d'accès comportant un identifiant du véhicule.
6. Système d'accès sécurisé à un véhicule selon la revendication 5, caractérisé en ce que l'identifiant d'accès comprend en outre un numéro de contrat ou de commande et, optionnellement, une plage temporelle pendant laquelle l'accès au véhicule est autorisé.
7. Système d'accès sécurisé à un véhicule selon la revendication 5 ou 6, caractérisé en ce que l'élément d'authentification est une signature de l'identifiant au moyen d'une clé privée du propriétaire du véhicule, appartenant à un cryptosytème asymétrique.
8. Système d'accès sécurisé à un véhicule selon l'une des revendications précédentes, caractérisé en ce que la clé à télécommande est une clé de type PKE, et que la passerelle de conversion comporte en outre un circuit d'interrogation (280), un circuit de réponse (260) ainsi qu'un transpondeur (270), le transpondeur étant adapté à recevoir, sous la forme d'un premier signal électromagnétique, un premier message de défi émis par le circuit de contrôle d'accès (290) et à transmettre, sous la forme d'un second signal électromagnétique, un second message de réponse audit circuit de contrôle d'accès, le circuit d'interrogation étant adapté à générer un second message de défi lorsqu'il reçoit un premier message de défi, le second message de défi étant codé dans un codeur acoustique (245) au moyen de l'alphabet de codes acoustiques aléatoires avant d'être transmis au smartphone, le circuit de réponse étant adapté à générer le second message de réponse lorsqu'un premier message de réponse, reçu du smartphone et décodé par le décodeur acoustique (240) au moyen de l'alphabet de codes acoustiques aléatoires, est validé par le circuit de validation (250).
9. Système d'accès sécurisé à un véhicule selon la revendication 8, caractérisé en ce que le premier message de défi est également transmis au circuit de réponse (260) et que le second défi est également transmis au circuit de validation (250).
10. Système d'accès sécurisé à un véhicule selon la revendication 9, caractérisé en ce que le circuit d'interrogation génère un second message de défi en incrémentant un compteur et en concaténant, à la sortie du compteur ainsi incrémenté, un identifiant du véhicule, l'ensemble étant haché pour fournir une empreinte, ladite empreinte étant incorporée dans le second message de défi.
11. Système d'accès sécurisé à un véhicule selon la revendication 8, 9 ou 10, caractérisé en ce que le premier message de réponse est décodé par le décodeur (240) acoustique sur la base d'un premier dictionnaire de codes acoustiques aléatoires, dit dictionnaire principal, puis déchiffré par le circuit de validation (250) au moyen d'une clé publique du propriétaire du véhicule, dite clé publique principale, la clé publique principale appartenant à un premier cryptosystème asymétrique et étant stockée dans la mémoire de la passerelle (230), le circuit de validation comparant le second message de défi et le premier message ainsi déchiffré pour déterminer si la réponse est valide.
12. Système d'accès sécurisé à un véhicule selon la revendication 11, caractérisé en ce que, si la réponse n'est pas valide, le premier message de réponse est décodé par le décodeur (240) acoustique sur la base d'un second dictionnaire de codes acoustiques aléatoires, dit dictionnaire auxiliaire, puis déchiffré par le circuit de validation (250) au moyen d'une clé publique, dite clé publique auxiliaire, la clé publique auxiliaire appartenant à un second cryptosystème asymétrique et étant stockée dans la mémoire de la passerelle (230), le circuit de validation comparant, dans une seconde tentative, le second message de défi et le premier message ainsi déchiffré pour déterminer si la réponse est valide.
13. Système d'accès sécurisé à un véhicule selon la revendication 8,9 ou 10, caractérisé en ce que le premier message de réponse est décodé par le décodeur (240) acoustique sur la base d'un premier dictionnaire de codes acoustiques aléatoires puis déchiffré par le circuit de validation (250) au moyen d'une clé secrète du propriétaire du véhicule, la clé publique appartenant à un premier cryptosystème symétrique et étant stockée dans une zone sécurisée de la mémoire de la passerelle (230), le circuit de validation comparant le second message de défi et le premier message ainsi déchiffré pour déterminer si la réponse est valide.
14. Système d'accès sécurisé à un véhicule selon la revendication 13, caractérisé en ce que, si la réponse n'est pas valide, le premier message de réponse est décodé par le décodeur (240) acoustique sur la base d'un second dictionnaire de codes acoustiques aléatoires, dit dictionnaire auxiliaire, puis déchiffré par le circuit de validation (250) au moyen d'une seconde clé secrète, dite clé secrète auxiliaire, la clé secrète auxiliaire appartenant à un second cryptosystème symétrique et étant stockée dans une zone sécurisée de la mémoire de la passerelle (230), le circuit de validation comparant, dans une seconde tentative, le second message de défi et le premier message ainsi déchiffré pour déterminer si la réponse est valide.
PCT/FR2019/052310 2018-10-03 2019-10-01 Système d'accès sécurisé à un véhicule au moyen d'un smartphone WO2020070429A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1859177 2018-10-03
FR1859177A FR3087023B1 (fr) 2018-10-03 2018-10-03 Systeme d'acces securise a un vehicule au moyen d'un smartphone

Publications (1)

Publication Number Publication Date
WO2020070429A1 true WO2020070429A1 (fr) 2020-04-09

Family

ID=65244107

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2019/052310 WO2020070429A1 (fr) 2018-10-03 2019-10-01 Système d'accès sécurisé à un véhicule au moyen d'un smartphone

Country Status (2)

Country Link
FR (1) FR3087023B1 (fr)
WO (1) WO2020070429A1 (fr)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8299894B1 (en) * 2008-02-29 2012-10-30 John Semeniuk Vehicle unlocking systems
US20150184628A1 (en) * 2013-12-26 2015-07-02 Zhigang Fan Fobless keyless vehicle entry and ingnition methodand system
US20150379796A1 (en) * 2014-06-30 2015-12-31 Dane Glasgow Handshake authenticated coded locked container
FR3052614A1 (fr) * 2016-06-13 2017-12-15 Secom Methode de codage par signaux acoustiques aleatoires et methode de transmission associee
CN108550226A (zh) * 2018-04-17 2018-09-18 暨南大学 基于区块链技术的无钥共享汽车系统及其建设方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8299894B1 (en) * 2008-02-29 2012-10-30 John Semeniuk Vehicle unlocking systems
US20150184628A1 (en) * 2013-12-26 2015-07-02 Zhigang Fan Fobless keyless vehicle entry and ingnition methodand system
US20150379796A1 (en) * 2014-06-30 2015-12-31 Dane Glasgow Handshake authenticated coded locked container
FR3052614A1 (fr) * 2016-06-13 2017-12-15 Secom Methode de codage par signaux acoustiques aleatoires et methode de transmission associee
CN108550226A (zh) * 2018-04-17 2018-09-18 暨南大学 基于区块链技术的无钥共享汽车系统及其建设方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A. FANCILLON ET AL.: "Proceedings of the 18th annual network and distributed system security symposium, NDSS", February 2011, THE INTERNET SOCIETY, article "Relay attacks on passive keyless entry systems in modem cars"

Also Published As

Publication number Publication date
FR3087023A1 (fr) 2020-04-10
FR3087023B1 (fr) 2020-11-13

Similar Documents

Publication Publication Date Title
EP1008257B1 (fr) Procede et systeme pour securiser les centres de gestion d'appels telephoniques
EP2306407B1 (fr) Système de gestion sécurisée de serrures à commande numérique, adapté à un fonctionnement par accréditations acoustiques chiffrées
EP2284803B1 (fr) Système sécurisé de programmation de dispositifs de serrure à commande électronique par accréditations acoustiques chiffrées
EP0926305B1 (fr) Système de sécurité, Notamment pour véhicule automobile
EP0950303B1 (fr) Procede et systeme pour securiser les prestations de service a distance des organismes financiers
EP0973318A1 (fr) Procédé pour payer à distance, au moyen d'un radiotéléphone mobile, l'acquisition d'un bien et/ou d'un service, et système et radiotéléphone mobile correspondants
WO2007119032A1 (fr) Procede de securisation de l'acces a un module de communication de proximite dans un terminal mobile
EP2500872A1 (fr) Procédé sécurisé de commande d'ouverture de dispositifs de serrure par un objet communicant de type téléphone portable
FR2996947A1 (fr) Procede securise de commande d'ouverture de dispositifs de serrure a partir de messages mettant en oeuvre un cryptage symetrique
EP2306358A1 (fr) Procédé de vérification de la validité d'un ticket électronique de stationnement
EP0950307B1 (fr) Procede et systeme pour securiser les prestations de service d'operateurs de telecommunication
EP3125201A1 (fr) Procede de commande d'ouverture d'une serrure par code a usage unique
FR3025377A1 (fr) Gestion de tickets electroniques
US20060149971A1 (en) Apparatus, method, and system to determine identity and location of a user with an acoustic signal generator coupled into a user-authenticating fingerprint sensor
EP1293062A1 (fr) Procede d'authentification / identification biometrique securise , module de saisie et module de verification de donnees biometriques
EP1851901A1 (fr) Procede de pre-authentification rapide par reconnaissance de la distance
FR2774120A1 (fr) Systeme de verrouillage pour vehicule automobile a code evolutif et identification
WO2020070429A1 (fr) Système d'accès sécurisé à un véhicule au moyen d'un smartphone
EP1044433B1 (fr) Procede et systeme de controle d'acces a une ressource limite a certaines plages horaires
EP1378865A1 (fr) Procédé de contrôle d'accès d'un objet portable personnalisé à un espace déterminé, et objet portable pour la mise en oeuvre du procédé
EP1387323A1 (fr) Authentification par mesure biométrique du porteur d'un dispositif d'identification et/ou d'accès portable d'un système d'identification et/ou d'accès électronique
EP3195276A1 (fr) Dispositif de déverrouillage d'au moins un ouvrant, et équipement de réception d'objets, ensemble de stockage de données et systeme de distribution d'objets associés
EP1280368B1 (fr) Procédé de sécurisation d'échanges entre un terminal informatique et un équipement distant, ainsi que terminal et serveur correspondants
FR3082039A1 (fr) Procede de verification de propriete d'un vehicule.
FR2789203A1 (fr) Procede et systeme de controle d'acces a une ressource limite a certaines plages horaires, les ressources accedante et accedee etant depourvues d'horloge temps reel

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19795288

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19795288

Country of ref document: EP

Kind code of ref document: A1