Способ эксплуатации сенсорного устройства и сенсорное устройство
Иллюстрации
Показать всеИзобретение относится к сенсорным устройствам. Технический результат заключается в уменьшении вероятности несанкционированного доступа. Устройство содержит корпус с устройством защиты, защищенное первое вычислительное устройство, второе вычислительное устройство и сенсорный элемент. Сенсорное устройство выполнено с возможностью определения температуры в корпусе, приведения в действие первого вычислительного устройства только тогда, когда определенная температура находится в заданном температурном диапазоне, определения ключа сеанса первым вычислительным устройством и сохранения ключа сеанса во втором запоминающем устройстве второго вычислительного устройства, прекращения использования первого вычислительного устройства после сохранения ключа сеанса во втором запоминающем устройстве второго вычислительного устройства, определения данных в зависимости от сенсорного сигнала и зашифровывания или снабжения цифровой подписью данных вторым вычислительным устройством в зависимости от ключа сеанса. 2 н. и 13 з.п. ф-лы, 4 ил.
Реферат
Изобретение относится к способу эксплуатации сенсорного устройства и к сенсорному устройству, особенно для грузового автомобиля и, в частности, для связи с цифровым тахографом.
В US 6982625 В2 раскрыт регистратор событий для передачи и сохранения электронных сигнатурных данных. Регистратор событий выполнен с возможностью размещения на автомобиле и для посылки зашифрованных сигнатур и данных. В случае аварии или дорожного происшествия посредством этого сохраняется электронный отпечаток пальцев, который может приниматься посредством внешнего устройства регистрации данных. Регистратор событий интегрирован на чип-карте и размещен в защищенном от манипуляций корпусе. Регистратор событий содержит микрокомпьютер, запоминающее устройство и передатчик/приемник. Кроме того, предусмотрен сенсор для определения внезапных ускорений. Манипулирование регистратором событий может распознаваться посредством измерения физических усилий, прикладываемых к регистратору событий, и может иметь следствием остановку автомобиля.
В DE 198 21696 А1 описан способ и устройство для защищенной от манипуляций передачи и сохранения информации, в особенности пути, пройденного автомобилем. Информация задается посредством некоторого числа следующих по времени друг за другом импульсов. Блок счета считает текущие импульсы. Соответственно, после предварительно определенной временной длительности имеющееся число поступивших импульсов в зашифрованной согласно алгоритму шифрования форме передается на приемный блок. В приемном блоке расшифрованное согласно тому же алгоритму шифрования число определяется, и сумма всех чисел сохраняется. Блок счета содержит микропроцессор с соответствующими блоками хранения и соединен посредством шины данных с приемным блоком. Приемный блок содержит микропроцессор и запоминающее устройство. Датчик импульсов защищенным от манипуляций способом соединен с блоком счета.
В DE 196 10161 А1 описано устройство передачи данных в автомобиле, состоящее из датчика импульсов и контрольного устройства, а также датчик импульсов для контрольного устройства. Генерируемый сенсорным элементом сигнал, дополнительно к известной передаче от датчика импульсов на контрольное устройство, по требованию посредством контрольного устройства зашифровывается и посылается по шине данных. В контрольном устройстве зашифрованный переданный сигнал сравнивается с зарегистрированным там, ранее переданным обычным способом сигналом. Посредством этого сравнения можно выявить манипуляции на участке передачи. Датчик импульсов содержит сенсорный элемент для определения частоты вращения зубчатого колеса передачи и схемное устройство для формирования сигнала. Сенсорный элемент может представлять собой сенсорный элемент на эффекте Холла. Датчик импульсов или контрольное устройство содержит функцию контроля с функцией сброса. Предусмотрена инициализация с передачей ключа от контрольного устройства на датчик импульсов.
Задачей изобретения является создать способ для эксплуатации сенсорного устройства и сенсорное устройство, которое является надежным и обеспечивает экономичность сенсорного устройства.
Эта задача решается признаками независимых пунктов формулы изобретения. Предпочтительные варианты осуществления изобретения представлены в зависимых пунктах формулы изобретения.
Изобретение характеризуется способом для эксплуатации сенсорного устройства и соответствующим сенсорным устройством. Сенсорное устройство содержит корпус с защитным устройством для регистрации несанкционированного доступа в корпус. Кроме того, сенсорное устройство содержит защищенное первое вычислительное устройство с защищенным энергонезависимым первым запоминающим устройством, которое размещено в корпусе, и второе вычислительное устройство, которое содержит второе запоминающее устройство или с которым соотнесено второе запоминающее устройство и которое размещено со вторым запоминающим устройством в корпусе. Кроме того, сенсорное устройство содержит по меньшей мере один сенсорный элемент, который со вторым вычислительным устройством электрически связан для подачи сенсорного сигнала по меньшей мере одного сенсорного элемента на второе вычислительное устройство. Определяется температура в корпусе. Первое вычислительное устройство приводится в действие только тогда, когда определенная температура находится в заданном температурном диапазоне. Ключ сеанса определяется первым вычислительным устройством. Ключ сеанса сохраняется во втором запоминающем устройстве. Первое вычислительное устройство после сохранения ключа сеанса во втором запоминающем устройстве прекращает работу. Данные определяются в зависимости от сенсорного сигнала, определенного по меньшей мере одним сенсорным элементом. Кроме того, данные зашифровываются или подписываются (снабжаются цифровой подписью) вторым вычислительным устройством в зависимости от ключа сеанса.
Изобретение основывается на том, что защищенное первое вычислительное устройство, которое выполнено, например, как контроллер чип-карт, может эксплуатироваться только в низком температурном диапазоне, например, от -20 до +70 или +85°С, чтобы гарантировать надлежащую работу. Однако в особенности в грузовом автомобиле сенсорное устройство должно надежно функционировать в большем температурном диапазоне, например, от -40 до +150°С. При этом эксплуатация защищенного первого вычислительного устройства ограничивается температурным диапазоном, который обеспечивает надлежащую работу первого вычислительного устройства. Надежный температурный диапазон хранения первого вычислительного устройства, однако, достаточно велик, чтобы обеспечить возможность хранения первого вычислительного устройства в обесточенном состоянии при предусмотренном, например, для грузового автомобиля большом температурном диапазоне, без опасности того, что первое вычислительное устройство будет повреждено. Информации, которые в защищенном первом запоминающем устройстве первого вычислительного устройства хранятся с защитой от несанкционированных манипуляций или доступов или которые в зависимости от таковых определяются первым вычислительным устройством, как, например, ключ сеанса, могут, в частности, в начале эксплуатации сенсорного устройства предоставляться в распоряжение второму вычислительному устройству, в частности, посредством сохранения во втором запоминающем устройстве. Этот процесс может также обозначаться как образование пар. Второе вычислительное устройство, которое, например, выполнено как микроконтроллер, в общем случае не имеет признаков защиты, как защищенное первое вычислительное устройство, и может надежно использоваться в большем температурном диапазоне автомобиля. Поэтому после сохранения ключа сеанса во втором запоминающем устройстве, первое вычислительное устройство прекращает работу, и шифрование и/или снабжение цифровой подписью данных осуществляется посредством второго вычислительного устройства в зависимости от ключа сеанса. Посредством защитного устройства корпуса, которое функционирует по меньшей мере во время работы второго вычислительного устройства, защищается второе вычислительное устройство и второе запоминающее устройство и, в особенности, ключ сеанса от несанкционированных манипуляций или доступов. Сенсорное устройство предпочтительным образом пригодно для использования в автомобиле и для связи с тахографом.
Преимуществом является то, что может использоваться экономичное, коммерчески доступное защищенное первое вычислительное устройство, которое уже может быть получено с сертификацией безопасности. Подлежащая защищенному хранению информация, таким образом, безопасно хранится в первом запоминающем устройстве независимо от того, протекает ли через сенсорное устройство ток, и работает ли устройство защиты корпуса. Кроме того, не требуется батарея, чтобы поставлять электроэнергию и в моменты времени, когда на сенсорное устройство извне не подана никакая энергия. Кроме того, сенсорное устройство сравнительно просто сертифицировать по безопасности, в особенности, при изменениях программ или частей программ сенсорного устройства, то есть программного обеспечения. Во время работы сенсорного устройства второе вычислительное устройство и второе запоминающее устройство защищено посредством устройства защиты. Тем самым сенсорное устройство может надежно и безопасно эксплуатироваться и в том случае, когда защищенное первое вычислительное устройство не работает.
В предпочтительной форме выполнения первое вычислительное устройство под управлением второго вычислительного устройства вводится в действие и/или прекращает работу. Это имеет преимущество, состоящее в том, что не требуется предусматривать отдельное управляющее устройство и что ввод в действие или прекращение работы могут осуществляться просто в зависимости от информации, которая предоставлена второму вычислительному устройству. Например, выполняется образование пар по требованию посредством внешнего устройства, с которым связано сенсорное устройство, например, посредством тахографа. Коммуникация с внешним устройством осуществляется предпочтительно через второе вычислительное устройство, так что в нем имеется информация о том, следует ли фактически выполняться образование пары или нет. Второе вычислительное устройство при этом особенно пригодно для управления первым вычислительным устройством.
В другой предпочтительной форме выполнения проверяется устройство защиты корпуса. Первое вычислительное устройство только тогда приводится в действие, когда при проверке устройства защиты установлена целостность корпуса. Это имеет преимущество, состоящее в том, что за счет этого гарантируется, что, в частности, к ключу сеанса не может быть получен несанкционированный доступ, если он хранится во втором запоминающем устройстве.
В другой предпочтительной форме выполнения дополнительно к сохранению ключа сеанса во втором запоминающем устройстве, посредством первого вычислительного устройства по меньшей мере одна часть программы, и/или по меньшей мере одни идентификационные данные, и/или по меньшей мере один параметр из первого запоминающего устройства считывается и во втором запоминающем устройстве сохраняется. Второе вычислительное устройство приводится в действие с использованием переданной по меньшей мере одной программы, и/или по меньшей мере одних идентификационных данных, и/или по меньшей мере одного параметра. Преимуществом является то, что эти дополнительные подлежащие защите информации могут безопасно храниться в защищенном первом вычислительном устройстве и могут предоставляться второму вычислительному устройству при образовании пары.
В другой предпочтительной форме выполнения проверяется устройство защиты корпуса и по меньшей мере один рабочий параметр и/или параметр окружающей среды сенсорного устройства. При установлении повреждения целостности корпуса или недопустимого значения, или недопустимого изменения значения по меньшей мере одного рабочего параметра и/или параметра окружающей среды сначала по меньшей мере ключ сеанса из второго вычислительного устройства аннулируется. Преимуществом является то, что по меньшей мере ключ сеанса, таким образом, хорошо защищен от манипуляций или от несанкционированного доступа.
В этой связи является предпочтительным, если наряду с ключом сеанса, также переданная по меньшей мере одна часть программы, и/или переданные по меньшей мере одни идентификационные данные, и/или переданный по меньшей мере один параметр из второго запоминающего устройства аннулируется. Преимуществом является то, что, таким образом, по меньшей мере одна часть программы, и/или по меньшей мере одни идентификационные данные, и/или по меньшей мере один параметр хорошо защищены от манипуляций или от несанкционированного доступа.
В этой связи также является предпочтительным, если аннулирование осуществляется путем перезаписывания. Это является особенно надежным.
В другой предпочтительной форме выполнения параметром окружающей среды является температура в корпусе, или рабочим параметром является рабочее напряжение сенсорного устройства. При этом манипуляции температурой или рабочим напряжением распознаются, и по меньшей мере ключ сеанса защищается от несанкционированной манипуляции или несанкционированного доступа.
В другой предпочтительной форме выполнения сенсорного устройства корпус образован из по меньшей мере одной печатной платы, на которой непосредственно размещены первое и/или второе вычислительное устройство. Преимущество состоит в том, что возможна очень компактная конструктивная форма сенсорного устройства. Предпочтительным является корпус из по меньшей мере двух печатных плат, которые образуют стопку печатных плат. По меньшей мере одна печатная плата может также быть выполнена как гибрид.
В этой связи является предпочтительным, если первое и/или второе вычислительное устройство интегрировано в по меньшей мере одну печатную плату. Это может обозначаться как «интеграция высокой плотности» или кратко HDI. Тем самым обеспечивается особенно компактная конструктивная форма сенсорного устройства.
В другой предпочтительной форме выполнения сенсорного устройства устройство защиты содержит по меньшей мере два слоя проводящих дорожек, которые выполнены на по меньшей мере одной печатной плате, и проводящие дорожки выполнены в по меньшей мере защищенной зоне корпуса. За счет этого устройство защиты может быть выполнено в корпусе очень простым и экономичным способом. Предпочтительным образом, проводящие дорожки устройства защиты выполнены по всей печатной плате, однако по меньшей мере в защищаемой зоне корпуса, то есть в особенности в области второго вычислительного устройства и второго запоминающего устройства и соединения с первым вычислительным устройством. Предпочтительным образом, проводящие дорожки устройства защиты выполнены на очень малом расстоянии друг от друга, и предпочтительно в форме меандра, так что просверливание печатной платы с помощью очень тонкого сверла невозможно без того, чтобы при этом по меньшей мере одна проводящая дорожка не была прервана или возникло короткое замыкание между проводящими дорожками. Прерывания или короткие замыкания проводящих дорожек могут распознаваться простым и надежным образом. Внутренность корпуса может быть, таким образом, надежно защищена.
В другой предпочтительной форме выполнения сенсорного устройства в корпусе размещен по меньшей мере один сенсорный элемент. За счет этого также сенсорный элемент надежно защищен от манипуляций.
В другой предпочтительной форме выполнения сенсорного устройства по меньшей мере один сенсорный элемент выполнен как сенсорный элемент на эффекте Холла, индуктивный сенсорный элемент или GMR-сенсорный элемент. За счет этого в особенности очень просто определяется число оборотов, например, зубчатого колеса коробки передач.
В другой предпочтительной форме выполнения сенсорного устройства сенсорное устройство выполнено как датчик скорости для автомобиля. Из-за высокой рабочей температуры сенсорное устройство особенно пригодно для использования на автомобиле, в частности, грузовом автомобиле, например, в коробке передач. Ввиду высокой защищенности от манипуляций сенсорного устройства, сенсорное устройство особенно пригодно для связи с тахографом. Поэтому сенсорное устройство предпочтительным образом выполнено как датчик скорости для тахографа.
Примеры выполнения изобретения далее описываются со ссылками на чертежи, на которых представлено следующее:
Фиг. 1 - блок-схема сенсорного устройства,
Фиг. 2 - первая форма выполнения сенсорного устройства,
Фиг. 3 - вторая форма выполнения сенсорного устройства,
Фиг. 4 - блок-схема программы для эксплуатации сенсорного устройства.
Элементы с подобной конструкцией или функцией на чертежах обозначены одинаковыми ссылочными позициями.
Сенсорное устройство SV предпочтительно выполнено как датчик скорости для автомобиля, в частности грузового автомобиля. Сенсорное устройство SV в особенности выполнено для связи с тахографом. Такое сенсорное устройство SV должно удовлетворять высоким требованиям по безопасности, в частности, согласно Е3Н или СС EAL 4+ или другим релевантным предписаниям. Для использования на автомобиле, в частности, грузовом автомобиле сенсорное устройство SV, кроме того, должно эксплуатироваться надежным и защищенным образом в большом температурном диапазоне от, например, примерно -40 до +150°С. Коммерчески доступные защищенные вычислительные устройства, например, контроллеры чип-карт, которые также называются контроллерами смарт-карт, содержат функции защиты, которые затрудняют несанкционированное манипулирование и несанкционированный доступ к сохраненным или обработанным информациям, и, при необходимости, могут быть получены уже в сертифицированной по безопасности форме экономичным образом. Однако они согласно их спецификации в общем случае могут эксплуатироваться только в более низком температурном диапазоне, например, от -20 до +70 или +85°С надлежащим образом, то есть надежно и безопасно, и поэтому не пригодны для использования в автомобиле или грузовом автомобиле, и, в частности, в датчике скорости, который в общем случае размещен в коробке передач автомобиля или грузового автомобиля. Однако эти защищенные вычислительные устройства в общем случае имеют температурный диапазон хранения, который включает в себя большой температурный диапазон, то есть защищенные вычислительные устройства могут без опасности разрушения в обесточенном состоянии храниться при температурах, например, 150°С в обесточенном состоянии. Это обеспечивает возможность оснащать сенсорное устройство SV таким защищенным вычислительным устройством и эксплуатировать его надежно и безопасно в большом температурном диапазоне.
Сенсорное устройство SV содержит такое защищенное первое вычислительное устройство SC, которое содержит энергонезависимое защищенное первое запоминающее устройство SMEM (фиг.1). Сохраненные в защищенном первом запоминающем устройстве SMEM информации защищены посредством защитных признаков первого вычислительного устройства SC от несанкционированных манипуляций и несанкционированного доступа. Это справедливо, в частности, и в том случае, когда первое вычислительное устройство SC не работает, то есть находится в обесточенном состоянии или, соответственно, не приложено рабочее напряжение. Сенсорное устройство SV также содержит второе вычислительное устройство AC, которое, например, выполнено как микроконтроллер и которое не имеет защитных признаков. Второе вычислительное устройство AC имеет диапазон рабочих температур, который охватывает большой температурный диапазон, например, от -40 до +150°С. Второе вычислительное устройство AC может поэтому эксплуатироваться надежным образом и при температурах, при которых первое вычислительное устройство SC не может эксплуатироваться надежным и безопасным образом. Второму вычислительному устройству AC соответствует второе запоминающее устройство DMEM, или второе вычислительное устройство AC содержит второе запоминающее устройство DMEM. Второе запоминающее устройство DMEM может быть выполнено как энергозависимое или энергонезависимое запоминающее устройство. Предпочтительным образом, второе запоминающее устройство DMEM выполнено как энергозависимое запоминающее устройство.
Первое вычислительное устройство SC с первым запоминающим устройством SMEM и второе вычислительное устройство AC со вторым запоминающим устройством DMEM размещены в корпусе G, который содержит устройство SE защиты. Устройство SE защиты выполнено таким образом, чтобы обеспечивать распознавание несанкционированных манипуляций на корпусе G, например, открывание корпуса G или просверливание или расшлифовывание корпуса G, и, в частности, обеспечивать автоматически распознавание электрическими средствами. Открывание или просверливание или расшлифовывание корпуса G представляет нарушение целостности корпуса G. Устройство SE защиты предпочтительно содержит очень плотно друг к другу выполненные узкие проводящие дорожки, которые по меньшей мере в одной защищаемой зоне корпуса G, но предпочтительно во всем корпусе G выполнены таким образом, что открывание, просверливание или расшлифовывание корпуса G едва ли возможно без того, чтобы по меньшей мере одну из проводящих дорожек прервать или вызвать короткое замыкание между проводящими дорожками. Предпочтительным образом, сенсорное устройство SV в корпусе G также содержит устройство МЕ распознавания манипуляции, которое выполнено таким образом, чтобы подобные разъединения, прерывания или короткие замыкания электрически регистрировать и устанавливать, по меньшей мере возможное, повреждение целостности корпуса G. Для этого устройство МЕ распознавания манипуляции электрически соединено с устройством SE защиты. Устройство МЕ распознавания манипуляции, кроме того, предпочтительным образом выполнено для регистрации по меньшей мере одного параметра UG окружающей среды сенсорного устройства SV, в частности, температуры Т в корпусе G, и/или по меньшей мере одного рабочего параметра BG сенсорного устройства SV, в частности, рабочего напряжения U сенсорного устройства SV. По меньшей мере возможная манипуляция сенсорным устройством SV распознается, например, по недопустимому значению или недопустимому изменению значения по меньшей мере одного рабочего параметра BG или параметра UG окружающей среды. Например, устройство МЕ распознавания манипуляции выполнено с возможностью формирования сигнала RES сброса для сброса, в частности, второго вычислительного устройства AC. Устройство МЕ распознавания манипуляции может быть выполнено как компонент, отдельный от второго вычислительного устройства AC, или может образовывать часть второго вычислительного устройства AC.
Сенсорное устройство SV содержит, кроме того, по меньшей мере один сенсорный элемент SENS, который также может обозначаться как измерительная головка. По меньшей мере один сенсорный элемент SENS предпочтительно расположен внутри защищенного устройством SE защиты корпуса G, но может также размещаться вне корпуса G. По меньшей мере один сенсорный элемент SENS выполнен с возможностью выдавать сенсорный сигнал SIG в зависимости от полученного значения измеренного параметра. Предпочтительным образом, по меньшей мере один сенсорный элемент SENS выполнен как сенсорный элемент на эффекте Холла, индуктивный сенсорный элемент или как GMR-сенсорный элемент. По меньшей мере один сенсорный элемент SENS может также быть выполнен по-другому. По меньшей мере один сенсорный элемент SENS предпочтительно электрически соединен со вторым вычислительным устройством AC для подачи сенсорного сигнала SIG.
Предпочтительным образом, сенсорное устройство SV также содержит интерфейсное устройство IFE. Оно содержит, например, физический интерфейс с внешним устройством, в частности, с тахографом, и/или устройство энергоснабжения, и/или устройство контроля, которое может также обозначаться как сторожевое устройство, и/или устройство ввода/вывода данных. Интерфейсное устройство IFE предпочтительно электрически связано со вторым вычислительным устройством AC. Второе вычислительное устройство AC для этого предпочтительно содержит интерфейс IF. Второе вычислительное устройство AC электрически связано с первым вычислительным устройством SC. Интерфейс IF может также быть выполнен с возможностью электрической связи между вторым вычислительным устройством AC и первым вычислительным устройством SC.
В защищенном первом запоминающем устройстве SMEM хранятся подлежащие защите информации. Эти подлежащие защите информации могут содержать, например, по меньшей мере одну программу или часть программы PROG, и/или по меньшей мере одни идентификационные данные ID, и/или по меньшей мере один параметр PAR. Эта по меньшей мере одна программа или часть программы PROG, в частности, предусмотрена для выполнения на втором вычислительном устройстве AC и касается, в частности, релевантных для безопасности функций, например, криптографических функций, таких как шифрование или снабжение цифровой подписью данных. По меньшей мере одни идентификационные данные ID относятся, например, к информациям, которые требуются в рамках процедуры аутентификации с внешним устройством, в частности, тахографом. По меньшей мере один параметр PAR является, например, параметром, который относится к работе сенсорного устройства SV. По меньшей мере одна программа или часть программы PROG, по меньшей мере одни идентификационные данные ID или по меньшей мере один параметр PAR могут также предусматриваться иным образом.
Первое вычислительное устройство SC выполнено таким образом, чтобы во время процедуры образования пары, определять ключ SS сеанса. Предпочтительным образом, ключ SS сеанса затем передается на второе вычислительное устройство AC и сохраняется во втором запоминающем устройстве DMEM. Кроме того, предпочтительным образом также по меньшей мере одна программа или часть программы PROG, и/или по меньшей мере одни идентификационные данные ID, и/или по меньшей мере один параметр PAR передаются на второе вычислительное устройство AC и сохраняются во втором запоминающем устройстве DMEM.
Однако первое вычислительное устройство только тогда приводится в действие, когда температура Т в корпусе G реально находится внутри заданного температурного диапазона ТВ, например, внутри низкого температурного диапазона, в котором первое вычислительное устройство SC может надежно и безопасно эксплуатироваться, например, от -20 до +70°С. Предпочтительным образом, первое вычислительное устройство SC приводится в действие только для процесса образования пары, а в остальном остается в нерабочем состоянии. Предпочтительным образом, сенсорное устройство SV электрически связано с клеммой 30 электропитания автомобиля. За счет этого сенсорное устройство SV почти непрерывно снабжается электрической энергией, так что процесс образования пары должен выполняться лишь редко. Процесс образования пары предпочтительно проводится по соответствующему требованию, которое, например, передается через внешнее устройство, в особенности через тахограф, на сенсорное устройство SV, например, через интерфейсное устройство IFE на второе вычислительное устройство AC. Предпочтительным образом, процесс образования пары запрашивается тахографом только тогда, когда в него вводится чип-карта мастерской. При этом предпочтительно определяется новый ключ SS сеанса и сохраняется в первом и втором запоминающем устройстве SMEM, DMEM. Процесс образования пары предпочтительно выполняется по протоколу РР образования пары между первым вычислительным устройством SC и тахографом с использованием интерфейса IF второго вычислительного устройства AC.
Для того чтобы избежать такого процесса образования пары, когда, например, вследствие краткого прерывания электропитания автомобиля, например, ввиду смены аккумулятора, в особенности ключ SS сеанса из второго запоминающего устройства DMEM был стерт, может предусматриваться, что, например, после потери рабочего напряжения, например, в течение заданного временного интервала менее чем, например, от десяти до двадцати минут, в особенности ключ SS сеанса и, при необходимости, по меньшей мере одна программа или по меньшей мере часть программы PROG, по меньшей мере одни идентификационные данные ID и/или по меньшей мере один параметр PAR копируются из первого запоминающего устройства SMEM первого вычислительного устройства SC во второе запоминающее устройство DMEM второго вычислительного устройства AC, когда при повторном вводе в действие после краткого прерывания на менее чем заданный временной интервал устанавливается, что устройство SE защиты невредимо, и температура Т в корпусе G лежит внутри заданного температурного диапазона. Это основывается на предположении, что в корпус G, защищенный посредством устройства SE защиты, с высокой вероятностью не могло произойти проникновение без того, чтобы при повторном вводе в действие оно было бы установлено с помощью устройства МЕ распознавания манипуляции. Повторное образование пары тогда потребовалось бы только в том случае, если работа сенсорного устройства SV прерывалась дольше, чем на заданный временной интервал, или если условия для пуска в действие первого вычислительного устройства SC при повторном вводе в действие не выполняются. Заданный временной интервал предпочтительно задается в зависимости от уровня защищенности корпуса G и его устройства SE защиты. В частности, заданный временной интервал может быть тем дольше, чем выше уровень защиты, то есть чем труднее незаметно проникнуть в корпус G.
Предпочтительным образом, сенсорное устройство SV и, в частности, второе вычислительное устройство AC выполнено с возможностью приведения в действие и/или прекращения работы первого вычислительного устройства SC предпочтительно в зависимости от температуры Т в корпусе G. Приведение в действие/прекращение работы (IBAB) первого вычислительного устройства SC предпочтительно осуществляется путем активирования или деактивации энергопитания первого вычислительного устройства SC. За счет деактивации энергопитания первого вычислительного устройства SC достигается то, что сенсорное устройство SV может надежно и безопасно эксплуатироваться и при температурах, при которых надежная и безопасная работа первого вычислительного устройства SC не гарантируется.
Второе вычислительное устройство AC выполнено с возможностью, в зависимости от ключа SS сеанса, сохраненного во втором запоминающем устройстве DMEM, зашифровывать и/или снабжать цифровой подписью данные, которые были определены в зависимости от сенсорного сигнала SIG. Зашифрованные и снабженные цифровой подписью данные обеспечиваются на выходной стороне сенсорного устройства SV и, например, передаются на внешнее устройство, в частности, на тахограф, например, через интерфейсное устройство IFE. Шифрование и/или снабжение цифровой подписью может, например, осуществляться путем использования по меньшей мере одной программы или части программы PROG, которая была сохранена в процессе образования пары во втором запоминающем устройстве DMEM. Однако второе вычислительное устройство предпочтительно обращается к программам или частям программ, которые, например, сохранены в памяти только для считывания или во флэш-памяти, которая соотнесена со вторым вычислительным устройством AC или которая содержится во втором вычислительном устройстве AC. Это, в частности, не касается или касается лишь в малой степени программ или частей программ, релевантных для безопасности.
На фиг. 2 показана первая форма выполнения сенсорного устройства SV на виде в сечении. Корпус G образован посредством по меньшей мере одной печатной платы L и предпочтительно по меньшей мере двух печатных плат L, которые в виде стопки печатных плат размещены на таком расстоянии одна над другой, что электрические компоненты сенсорного устройства SV размещены между ними. На по меньшей мере одной печатной плате L непосредственно расположены первое и второе вычислительные устройства SC, АС с первым и вторым запоминающими устройствами SMEM, DMEM. Предпочтительным образом, также по меньшей мере один сенсорный элемент SENS и/или устройство МЕ распознавания манипуляций, и/или интерфейсное устройство IFE размещены непосредственно на одной из по меньшей мере одной печатной платы L, предпочтительно внутри корпуса G, образованного посредством по меньшей мере одной печатной платы L. Вне корпуса G на нем предусмотрены выводы А, в частности, для соединения с энергопитанием и/или с внешним устройством, в частности с тахографом. Устройство SE защиты предпочтительно содержит по меньшей мере два слоя проводящих дорожек, которые нанесены на соответствующей печатной плате L. Например, предусмотрен первый слой L1 с проводящими дорожками и второй слой L2 с проводящими дорожками.
На фиг. 3 показана вторая форма выполнения сенсорного устройства SV на виде в сечении. Вторая форма выполнения, по существу, соответствует первой форме выполнения. Однако во второй форме выполнения компоненты и в особенности чипы первого и второго вычислительных устройств SC, АС интегрированы в по меньшей мере одну печатную плату L. За счет этого реализуется так называемая высокая степень интеграции или HDI.
Также возможны и другие формы выполнения сенсорного устройства SV. По меньшей мере одна печатная плата L с нанесенными компонентами может также быть образована как печатная схема или как гибридная схема.
Фиг. 4 показывает блок-схему программы для эксплуатации сенсорного устройства SV. Программа начинается на этапе S1, на котором, например, активируется или включается энергопитание сенсорного устройства SV и, при необходимости, принимается требование внешнего устройства и, в особенности, тахографа для выполнения процесса образования пары.
На этапе S2 определяется температура Т в корпусе G. На этапе S3 проверяется, находится ли температура Т внутри заданного температурного диапазона ТВ. Альтернативно, могут также предусматриваться этапы S2a и S3a. На этапе S2a, наряду с определением температуры Т, например, опрашивается устройство SE защиты и/или определяется по меньшей мере один рабочий параметр BG, например рабочее напряжение сенсорного устройства SV, и/или по меньшей мере параметры окружающей среды. На этапе S3a тогда, наряду с проверкой температуры Т согласно этапу S3, например, проверяется, имеет ли место целостность корпуса G, и/или имеет ли по меньшей мере один рабочий параметр или параметр окружающей среды допустимое значение, например, посредством сравнения с соответствующим заданным диапазоном значений. Проверка проводится предпочтительно с помощью второго вычислительного устройства АС, однако может проводиться с помощью устройства МЕ распознавания манипуляции. Если условие на этапе S3 или S3a не выполняется, то процесс образования пары не проводится, и программа предпочтительно завершается на этапе S4.
Если условие на этапе S3 или S3a выполняется, то на этапе S5 первое вычислительное устройство SC вводится в действие, например, посредством второго вычислительного устройства AC. На этапе S6 посредством первого вычислительного устройства SC определяется ключ SS сеанса. Ключ SS сеанса сохраняется во втором запоминающем устройстве DMEM, предпочтительно после передачи во второе вычислительное устройство АС. Может быть предусмотрен этап S7, на котором по меньшей мере одна программа или по меньшей мере одна часть программы PROG, и/или по меньшей мере одни идентификационные данные ID, и/или по меньшей мере один параметр PAR из первого запоминающее устройства SMEM сохраняются во втором запоминающем устройстве DMEM, предпочтительно после передачи во второе вычислительное устройство АС. Вскоре после завершения сохранения или передачи ключа SS сеанса или по меньшей мере одной программы или части программы PROG, и/или по меньшей мере одних идентификационных данных ID, и/или по меньшей мере одного параметра PAR первое вычислительное устройство SC на этапе S8 отключается, например, посредством второго вычислительного устройства AC.
На этапе S9 посредством по меньшей мере одного сенсорного элемента SENS регистрируется сенсорный сигнал SIG и предпочтительно подается на второе вычислительное устройство АС. На этапе S10 второе вычислительное устройство АС зашифровывает и/или снабжает цифровой подписью данные, которые определяются в зависимости от сенсорного сигнала SIG, в зависимости от ключа SS сеанса и предоставляет их предпочтительно на стороне выхода сенсорного устройства SV.
Может быть предусмотрен этап S11, на котором второе вычислительное устройство АС работает с использованием по меньшей мере одной программы или части программы PROG, и/или по меньшей мере одних идентификационных данных ID, и/или по меньшей мере одного параметра PAR. Этап S11 может также частично или полностью совпадать с этапом S10, то есть регистрация данных, и/или шифрование и/или снабж