FR2770316A1 - Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce - Google Patents

Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce Download PDF

Info

Publication number
FR2770316A1
FR2770316A1 FR9800428A FR9800428A FR2770316A1 FR 2770316 A1 FR2770316 A1 FR 2770316A1 FR 9800428 A FR9800428 A FR 9800428A FR 9800428 A FR9800428 A FR 9800428A FR 2770316 A1 FR2770316 A1 FR 2770316A1
Authority
FR
France
Prior art keywords
card
terminal
communication
memory
light
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9800428A
Other languages
English (en)
Other versions
FR2770316B1 (fr
Inventor
Roland Moreno
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR9713345A external-priority patent/FR2770315B1/fr
Application filed by Individual filed Critical Individual
Priority to FR9800428A priority Critical patent/FR2770316B1/fr
Priority to EP98949065A priority patent/EP1048003A1/fr
Priority to PCT/FR1998/002209 priority patent/WO1999022334A1/fr
Priority to JP2000518358A priority patent/JP2002530726A/ja
Publication of FR2770316A1 publication Critical patent/FR2770316A1/fr
Application granted granted Critical
Publication of FR2770316B1 publication Critical patent/FR2770316B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07318Means for preventing undesired reading or writing from or onto record carriers by hindering electromagnetic reading or writing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0723Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips the record carrier comprising an arrangement for non-contact communication, e.g. wireless communication circuits on transponder cards, non-contact smart cards or RFIDs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/08Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means
    • G06K19/10Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means at least one kind of marking being used for authentication, e.g. of credit or identity cards
    • G06K19/14Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means at least one kind of marking being used for authentication, e.g. of credit or identity cards the marking being sensed by radiation
    • G06K19/145Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means at least one kind of marking being used for authentication, e.g. of credit or identity cards the marking being sensed by radiation at least one of the further markings being adapted for galvanic or wireless sensing, e.g. an RFID tag with both a wireless and an optical interface or memory, or a contact type smart card with ISO 7816 contacts and an optical interface or memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10544Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation by scanning of the records by radiation in the optical part of the electromagnetic spectrum
    • G06K7/10821Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation by scanning of the records by radiation in the optical part of the electromagnetic spectrum further details of bar or optical code scanning devices
    • G06K7/1097Optical sensing of electronic memory record carriers, such as interrogation of RFIDs with an additional optical interface

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Toxicology (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Engineering & Computer Science (AREA)
  • Credit Cards Or The Like (AREA)

Abstract

Le terminal et la carte comportent chacun des moyens émetteurs-récepteurs de champ électromagnétique et la carte comporte une puce (210) avec des circuits de traitement et une mémoire inscriptible sur commande du terminal. Selon l'invention, la carte comporte des moyens de validation conditionnent au moins une étape du déroulement de la communication à une action prédéterminée extérieure de confirmation exercée par le porteur de la carte. Les moyens de validation comportent, dans la carte, des moyens récepteurs de lumière coopérant avec les circuits électroniques de traitement numérique et avec la mémoire.

Description

L'invention concerne la communication sans contact entre deux organes distants tels qu'un terminal fixe et un objet portatif électronique indépendant détenu par un utilisateur.
De tels systèmes d'échange de données sans contact (c'est-à-dire sans contact galvanique) sont bien connus et, parmi les applications de cette technique, on trouve - de façon non limitative: le contrôle d'accès physique, par exemple pour l'accès à un local protégé ou dont l'accès est restreint à certaines personnes devant au préaiable s'identifier ; le contrôle d'accès logique, par exemple à une fonction informatique; le décryptage de données, etc. ; ainsi que les transactions monétaires telles que les applications du type "porte-monnaie électronique", les applications de péage ou de paiement, etc.
À cet égard, bien que dans la description détaillée on fasse souvent référence à une transaction de paiement, cette application n'est nullement limitative et l'invention peut être mise en oeuvre pour toute application, impliquant un échange d'informations sans contact, telle que celles que l'on vient de citer.
L'utilisateur est pourvu d'un objet portatif par exemple du type "carte sans contact" ou "badge sans contact" que l'on appellera ci-après simplement "carte" - le terme de "carte" n'étant cepenc.ant choisi que par commodité et sans aucun caractère limitatif, l'invention s'appliquant à tout type d'objet portatif électronique tel que badge, bague, bracelet, clef, pendentif, etc. susceptible d'échanger des informations avec un terminal sans contact (ci-après "terminal") en approchant la carte de ce dernier de manière à permettre nn couplage non galvanique entre ces deux organes.
L'échange d'informations consécutif à ce couplage est opéré en modulant un champ électromagnétique qui peut être soit un champ où la composante électrique est dominante (dans le domaine des radiofréquences, hyperfréquences ou même fréquences lumineuses) ou bien dans laquelle la composante magnétique est prépondérante, le couplage étant alors opéré en faisant varier un champ magr.étique produit par une bobine d'induction, technique connue sous le nom de "procédé par induction". La carte utilisée dans le cadre de cette dernière technique, quel que soit le procédé mis en oeuvre, peut être du type "actif', c'est-à dire comportant une pile d'alimentation incorporée, ou bien "passif', c'est-à-dire téléalimentée par de l'énergie émise par le terminal, notarr.- ment de l'énergie magnétique, ce qui fait souvent préférer le procédé par inductior..
L'invention vise la protection contre un certain risque de fraude et de malveillance auquel le type de système à communication sans contact par champ électromagnétique pourrait être exposé.
Plus précisément, ce type de système est vulnérable au "vol à la tire électronique", où un fraudeur "pickpocket électronique" approche de la carte, à l'insu de son porteur, un terminal portable contrefait pour établir frauduleusement un lien de communication avec la carte et, par exemple dans le cas d'un porte-monnaie électronique, prélever indûment des unités monétaires dans la mémoire de la carte.
Certes, dans de telles applications, il est souvent prévu des sécurités par codage ou cryptage, mais ces sécurités sont souvent limitées dans ieurs performances en raison de la p]ace mémoire importante qu'elles requièrent dans la carte et du prolongement des temps de communication qu'elles peuvent entraîner.
I1 apparaît donc nécessaire de prévoir des moyens permettant d'empêcher de manière simple une telle fraude à l'insu de l'utilisateur.
L'invention propose à cet effet un système pour la communication sans contact entre un terminal et un objet portatif tel qu'une carte, le terminal et la carte comportant chacun des moyens émetteurs-récepteurs de champ électromagnétique et la carte comportant une puce avec des circuits de traitement et une mémoire inscriptible sur commande du terminal, caractérisé en ce que la carte comporte des moyens de validation, conditionnant au moins une étape du déroulement de la communication à une action prédéterminée extérieure de confirmation exercée avec cette carte par le porteur de la carte, ces moyens de validation comportant, dans la carte, des moyens récepteurs de lumière coopérant avec les circuits électroniques de traitement numérique et avec la mémoire.
Avantageusement, selon divers modes de réalisations ou variantes de l'invention: - l'action prédéterminée de confirmation est l'exposition de la carte à
l'éclairement ambiant; - la mémoire contient une donnée formant indicateur d'activation ou
d'inhibition des moyens de validation indiquant si, respectivement,
ladite étape du déroulement de la communication doit ou non être
conditionnée à ladite action prédéterminée extérieure de confirma
tion; - cet indicateur d'activation ou d'inhibition est une donnée statique
prédéterminée, qui peut être irréversiblement prédéterminée, ou
bien modifiable dynamiquement par une borne lors du déroulement
dune communication; - l'étape conditionnelle du déroulement de la communication est l'ac
tivation de l'écriture et/ou de la lecture de la mémoire de la carte.
o
On va maintenant décrire diverses mises en oeuvre de l'invention, en référence aux dessins annexés.
La figure 1 est une vue générale schématique du système de l'invention.
La figure 2 illustre de façon plus précise l'échange des signaux entre carte et terminal.
La figure 3 est un organigramme explicitant le déroulement des diverses étapes de communication entre carte et terminal.
La figure 4 illustre un mode de réalisation de la puce de la carte.
La figure 5 est un premier perfectionnement du mode de réalisation de la figure 4.
La figure 6 est un deuxième perfectionnement du mode de réalisation de la figure 4.
La figure 7 montre la carte pourvue de moyens de détection d'action digitale.
La figure 8 montre la carte pourvue de moyens de détection d'action par contrainte de la carte.
La figure 9 montre la carte pourvue de moyens de détection de type cible magnétique antivol.
La figure 10 montre la carte pourvue de moyens de détection de type cibles magnétiques codées.
La figure 11 illustre la manière dont sont codées les cibles de la figure 10.
La figure 12 montre le système avec le terminal pourvu de moyens de détection de détection de la carte par occultation.
La figure 13 montre le système avec le terminal pourvu de moyens télémétriques de détection de la carte.
La figure 14 est un chronogramme de divers signaux relevés sur le montage de la figure 13.
La figure 15 montre une première configuration des moyens émetteurs-récepteurs de lumière du terminal.
La figure 16 montre une deuxième configuration des moyens émetteurs-récepteurs de lumière du terminal.
La figure 17 montre une troisième configuration des moyens émetteurs-récepteurs de lumière du terminal.
La figure 18 est une vue d'une puce monolithique intégrant les moyens récepteurs de lumière.
La figure 19 montre une implantation possible de la puce de la figure 18 dans la carte du système.
La figure 2G montre une carte pourvue de moyens réflecteurs de lumière.
La figure 21 illustre la mise en oeuvre à reconnaissance mutuelle du système de l'invention.
La figure 22 illustre une logique de commande d'une carte à inhibition de lecture et/ou écriture en fonction de la présence d'une lumière extérieure.
La figure 23 est une variante de la figure 22, permettant une invalidation conditionnelle du circuit inhibiteur.
La figure 24 est une variante de la figure 22, permettant une acquisition conditionnelle des consignes.
La figure 25 illustre de façon schématique un moyen de compensation automatique du fonctionnement du circuit de la carte selon le niveau de l'éclairement extérieur.
La figure 26 illustre une configuration particulière de réalisation de l'organe photoélectrique de la carte, vue de dessus.
La figure 27 est une coupe selon A-A de la figure 26.
La figure 28 est une coupe selon B-B de la figure 26.
La figure 29 illustre une autre configuration particulière de réalisation de l'organe photoélectrique de la carte, vue de dessus.
o
Selon un premier aspect de l'invention, pour éviter les risques de "vol à la tire électronique" il est prévu qu'au moins une partie critique de la communication entre la carte et le terminal soit rendue conditionnelle sur une action volontaire de la part de l'utilisateur. De façon particulièrement avantageuse, cette action volontaire peut être captée par la détection d'une lumière, la fonction de communication étant rendue conditionnelle sur la présence (ou l'absence) de cette détection de la lumière.
Le terminal peut ainsi comporter un détecteur de lumière sensible à la réflexion de lumière par la carte, l'action volontaire consistant à sortir la carte, normalement rangée dans un étui ou une poche, et à la présenter dans la lumière au terminal. Le terminal peut détecter la lumière ambiante réfléchie par la carte et débloquer la communication.
Pour distinguer la lumière reçue par le terminal de la lumière ambiante, la lumière peut incorporer des caractéristiques particulières, par exemple on peut prévoir que la réflexion par la carte transmette sélectivement certaines combinaisons caractéristiques de couleurs (ou de longueurs d'onde si la lumière n'est pas une lumière visible).
Dans un mode réalisation particulièrement avantageux, c'est un faisceau lumineux émis par le terminal (on verra plus bas que ce même faisceau peut éventuellement servir à désactiver et réactiver le champ électromagnétique) qui est réfléchi par la carte et détecté par le terminal, ce dernier pouvant alors moduler le faisceau pour l'encoder, ce qui permet un décodage simple du faisceau réfléchi pour le reconnaitre et le distinguer de la lun.iière ambiante, mais aussi de faisceaux en provenance d'autres terminaux proches.
La modulation du faisceau peut être une modulation de fréquence, de phase, d'amplitude ou par impulsions, par exemple.
La détection de lumière peut être opérée dans la carte, l'action volontaire consistant à sortir la carte pour la présenter au terminal ; dans ce cas, la carte peut comporter un détecteur de lumière ambiante, un élément photosensible tel qu'une photodiode, un phototransistor ou un élément photovoltaïque, par exemple.
Dans un mode de réalisation préférentiel, que l'on exposera plus bas en détail, la carte incorpore une surface réfléchissante et un détecteur d'un faisceau émis par le terminal, ce dernier comportant un détecteur du faisceau réfléchi par la carte.
Le détecteur de la carte peut alors servir pour ranimer la carte (en état de veille à basse consommation en l'absence du faisceau), tandis que l'encodage du faisceau peut incorporer un contenu informationnel (un code spécifique d'habilitation par exemple) auquel la carte est sensible. La détection au terminal du faisceau réfléchi peut en outre servir, comme on l'exposera plus bas, à augmenter la puissance du champ électromagnétique produit par ce dernier (ou à en déclencher l'émis- sion), comme on le décrira plus bas.
Ces divers modes de réalisation se prêtent au déclenchement automatique ou semi-automatique de l'initialisation de la transaction par la détection de l'entrée de la carte dans la zone du champ émis ou à émettre par le terminal.
En variante, l'initialisation (et/ou la communication tout entière avec le terminal) peut être déclenchée par un actionnement manuel de la carte. En particulier, la carte peut être munie d'un commutateur dont l'actionnement déclenche le déverrouillage de la carte et l'engage- ment de la transaction. Au lieu de prévoir un commutateur en forme de bouton, avec les problèmes classiques d'implantation et de fiabilité des contacts, dans une réalisation préférée de carte à double communication contacts (selon ISO 7816)/sans contact, la fonction du commutateur est assurée par les plages de contact galvaniques de la carte conçues pour assurer la communication avec un terminal à contacts : en mode de communication sans contact, le microprocesseur de la carte, téléalimenté par le champ émis par le terminal, applique une tension entre deux ou plusieurs des plages de contact et détecte des courants faibles qui passent entre les plages lorsque l'utilisateur appuie son doigt sur ces dernières.
Dans une autre variante, la carte peut comporter un élément sensible à une manipulation de la carte par l'utilisateur, par exemple grâce à un élément de type jauge de contrainte sensible à la flexion de la carte, ou encore un élément par exemple piézoélectrique sensible à la pression exercée sur une zone particulière de la carte.
Un autre aspect de l'invention, qui peut tout à fait se combiner au précédent, vise à réduire ou interrompre les émissions de champ électromagnétique dans des périodes où la pleine puissance n'est pas requise en continu, l'émission du champ électromagnétique pouvant être réactivée lorsqu'une carte est présente ou susceptible de se présenter.
Non seulement on réduit les risques inhérents aux émissions de champ électromagnétique, mais on peut aussi obtenir une économie de consommation d'énergie dans la génération du champ.
Le terminal peut comporter des moyens de détection de l'approche OU de la présence d'un utilisatear pour réactiver l'émission du champ.
Dans un mode de réalisation préféré, notamment pour le contrôle d'accès informatique ou logique, mais aussi pour d'autres applications, les moyens de détection comprennent un détecteur de lumière ambiante (une cellule photoélectrique par exemple) qui est occultée par l'approche de la carte ou de la main ou du poignet de l'utilisateur tenant la carte.
Dans un autre mode de réalisation, plutôt adapté au contrôle d'accès physique, les moyens de détection peuvent inclure un faisceau lumineux qui traverse le passage d'accès jusqu'à une cellule photoélectrique en vis-à-vis, et qui est interrompu par l'approche de l'utilisateur.
Dans une variante, l'approche de l'utilisateur peut être détectée par un détecteur de poids (par exemple plus de 20 kg) situé sous le passage d'accès, par exemple.
Dans encore un autre mode de réalisation, le terminal peut être réactivé lorsque des moyens de contrôle de passage sont libérés, lors de l'ouverture de la porte d'un bus, par exemple.
Au lieu de s'éteindre complètement, le terminal peut fonctionner à champ réduit pendant la période quiescente, champ juste suffisant pour permettre la détection de l'approche d'une carte, puis se réactiver à puissance plus forte pour l'échange de données avec la carte. Le terminal ne fonctionne pas nécessairement en continu pendant la période quiescente et peut émettre une courte interrogation répétitive pendant cette période (par exemple pendant 100 ms toutes les secondes), à plein champ ou à champ réduit.
Une autre façon de commander la réactivation du terminal est de la déclencher en fonction d'un signal d'initialisation transmis au terminal par la carte. Dans le cas d'une carte autoalimentée (par pile interne, par exemple), le signal d'initialisation peut être engendré et émis par la carte. Dans le cas d'une carte sans alimentation interne, on peut prévoir de basculer la carte vers un état de fonctionnement à consommation d'énergie réduite, en activant seulement les parties des circuits directement nécessaires pour l'initialisation (les couches de communication et un circuit de modulation avec les données d'identification et un récepteur en veille).
Le terminal émet alors à l'état quiescent un champ électromagnétique à puissance réduite, juste suffisant pour activer la carte en son état de fonctionnement réduite.
Dans tous ces cas, les moyens de détection peuvent inclure un récepteur sensible au signal d'initialisation, qui peut être le même qu3 celui qui reçoit les données de communication en provenance de la carte en fonctionnement réactivé.
bans d'autres variantes, au lieu d'utiliser les mêmes vicies de communication pour la téléalimentation et/ou la transmission de données que pour la transmission d'un signal d'initialisation, on peut prévoir une voie de communication différente pour l'initialisation du terminal.
Ainsi, la carte peut inclure un ou plusieurs anneaux en matière magnétique, du ferrite par exemple, ce qui permet de détecter la présence de la carte avec un champ électromagnétique (émis par le terminal) encore plus faible.
La voie de communication pour l'initialisation peut même être com piètrement différente; dans un mode de réalisation préféré, on pré Joit une surface réfléchissante sur la carte et l'émission par le terminal d'un faisceau lumineux (pas nécessairement dans les longueurs d'onde de la lumière visible) dont la réflexion par la carte est détectée au terminal par une cellule. Dans ce mode de réalisation, on s'affranchit pour l'initialisation de la nécessité de téléalimentation même d'une carte qui n'est pas autoalimentée. Afin de s'assurer une certaine latitude dans l'angle de présentation de la carte qui garantisse que la réflexion du faisceau arrive à la cellule sur le terminal, la surface réfléchissante est de préférence catadioptrique, c'est-à-dire à la fois réflectrice et réfractrice, par exemple en forme d'un réseau de prismes transparents ou translucides, ou à billes rétroréfléchissantes, renvoyant le faisceau incident sur un angle solide nettement plus large que l'angle du faisceau lui-même.
On va maintenant décrire divers exemples particuliers de réalisation de l'invention, en référence aux dessins annexés.
Sur ces figures, la référence 100 désigne de façon générale le terminal sans contact ou TSC, et la référence 200 la carte sans contact ou CSC, le terme de "carte" utilisé n'étant, comme précisé plus haut, bien entendu aucunement limitatif.
Sur la figure 1, le terminal 100 est conçu pour émettre un champ électromagnétique 102, par exemple à 13,57 MHz, lequel permet l'activation d'une carte 200, ainsi qu'un rayon lumineux 104 en direction de la carte. La carte 200 capte 1 énergie électromagnétique au moyen d'un bobinage 202 d'un circuit accordé sur la fréquence du champ 102, est extrait de ce champ l'énergie nécessaire à son fonctionnement pour: - l'établissement de l'alimentation interne Vcc et la "remise à zéro à
froid" associée à la mise sous tension des circuits de la puce de la
carte, et - le démarrage du microprocesseur ou des circuits électroniques dans
le cas d'une puce de type "logique câblée".
Aussitôt débute la transaction sans contact: par exemple, pour une transaction de paiement sans contact, échange des caractères et des commandes préliminaires à la transaction proprement dite telles que date, numéro de série et de lot, informations à caractère bancaire, validité, etc.
Préalablement au paiement, un élément photodétecteur 204 est interrogé pour détecter la présence éventuelle du rayon lumineux 104 attendu du terminal ; sur présence à ses bornes d'un signal électrique prédéterminé, la transaction est autorisée à s'exécuter. Si le signal n'est pas observé dans les conditions prévues (par exemple, au bout de m millisecondes ou bien i itérations d'une boucle logicielle) l'écriture en mémoire est refusée, éventuellement jusqu'à mise hors tension de la puce, c'est-à-dire jusqu'à sortie du champ. Le terminal ne recevant pas de la carte confirmation de l'écriture attendue, il refuse par conséquent la transaction.
Ainsi, un "pickpocket électronique" muni d'une antenne, par exemple un bobinage dissimulé dans un gant et relié à un boîtier simulateur de terminal porté dans une poche ou dans un sac, ne peut actionner ef ficacement la carte à l'insu de l'utilisateur : même si le champ électromagnétique 102 est correctement émis par l'antenne du pickpocket, et que la carte est par conséquent correctement alimentée et initialisée, cette dernière ne saurait, hors la volonté de son porteur, recevoir le faisceau lumineux nécessaire à l'accomplissement de la transaction, et donc de l'écriture puis du compte rendu qui doit en être fait au terminal.
Plus précisément, comme illustré figure 2, l'élément photodétecteur 204 est relié, via un circuit amplificateur et démodulateur 206, à une entrée 208 de la puce 210 elle-même reliée, via les plots 212, à l'antenne (bobinage) 202, le tout étant monté sur une carte 200 portant un organe photoréfléchissant 214 tel q-le catadioptre, cataphote, bande d'adhésif rétroréfléchissant, etc. C'est grâce à ce moyen photoréfléchissant prévu sur la carte que le rayon 104 émis par le terminal retourne à la photodiode 106 de ce même terminal, ce qui entraîne le déclenchement, schématisé par l'interrupteur 108, de l'émission du champ électromagnétique 102 nécessaire à l'opération de transaction sans contact, ceci via les circuits 110 du terminal. A tout instant, grâce à la porte ET 112, le champ électromagnétique peut être interrompu par l'un ou l'autre des deux signaux RAYON RECU = FAYvM (signal 114) ou FIN DE TRAN-
SACTION = 'VRAI' (signal 116).
L'organigramme de la figure 3 explicite la séquence de fonctionnement du système terminal-carte.
Sur réception du champ électromagnétique émis par le terminal (étape 300), la carte extrait l'énergie nécessaire à son fonctionnement (établissement de l'alimentation interne Vcc, étape 302), puis à son initialisation - signal de remise à zéro automatique (étape 304), - démarrage du microprocesseur ou des circuits électroniques dans le
cas d'une puce de type à logique câblée (étape 306).
Aussitôt débute le protocole d'échange de données sans contact (étape 308): échange des caractères et commandes préliminaires à la transaction proprement dite (date, numéro de lot, validité, etc.).
À partir de ce moment la carte peut être débitée sur simple activation d'un signal d'écriture en mémoire permettant l'inscription du montant du débit.
Dans un mode de réalisation préférentiel, on impose une condition pour que l'écriture intervienne dans la carte, à savoir l'établissement d'un bit "transaction autorisée" (étape 310), par des moyens que l'on expliquera ci-dessous en référence à la figure 5. La boucle d'attente 312 permet que, dans le mouvement de présentation de la carte au terminal qui ne dure que quelques fractions de seconde, intervienne un positionnement correct de l'élément photodétecteur 204 vis-à-vis du rayon lumineux 104 pendant quelques millisecondes. Une fois la transaction autorisée, on peut alors écrire le débit proprement dit, du montant x prévu, par exemple 25 francs. Après cela, la suite et la fin du processus de paiement peuvent avoir lieu (étape 312) la carte pouvant en pafticu lier rendre compte au terminal par un dernier message de I'acomplis- sement d'une transaction complète.
On notera que, au cas où la carte s'éloigne du terminal au point de ne plus pouvoir poursuivre correctement l'échange des signaux avec le terminal, elle retourne immédiatement à son état inerte antérieur à l'entrée en communication et le déroulement de l'organigramme de la figure s'interrompt de ce fait, permettant le retour à l'état initial également côté terminal.
La figure 4 illustre de façon schématique,un mode de réalisation de l'invention qui ne nécessite pas de modification du logiciel de pilotage de la puce (dans le cas d'une carte à microprocesseur), ni d'un quelconque agencement logique préexistant d'une carte à logique câblée. Ceci présente un grand intérêt, en particulier dans le cas de puces dont la conception est déjà figée notamment pour répondre à des normes internationales ou autres contraintes pesant sur la définition spécifique d'un système de paiement rapide par exemple.
Pour ce faire, on peut organiser la puce 210 de manière qu'elle possède: - une entrée spécifique EEPROM5htE* autorisant l'écriture dans la mé
moire EEPROM par application d'un signal 218 à l'état bas et, - une sortie spécifique 2 220 qui produit un signal VRV* ("volonté
reçue et vérifiée") qui devient vrai (à l'état bas) après réception et
vérification du signal impliquant la volonté de l'usager.
Les autres composants représentés sont: - le bobinage 202, relié à l'entrée I1 et la sortie Oi de la puce, - l'entrée spécifique I2 recevant par le conducteur 221 le signal CV
("confirmation de volonté") détecté par exemple par la photodiode
ou par divers autres moyens qui seront exposés plus loin en réfé
rence aux figures 7 et suivantes, - une entrée RAMWE* d'écriture en RAM qui, dans le cas présent, est
reliée par la connexion 222 au potentiel de la masse de manière à
rendre possible à tout moment une écriture en RAM des compteurs,
bascules, registres, piles, etc. En revanche, l'écriture en EEPRO.Ni
qui, seule, permet une transaction utile, dépend matériellement
et seulement matériellement - de la vérité du signal VRV* en 220,
sans qu'il soit besoin de modifier en quoi que ce soit l'agencemexlt
interne, logique ou logiciel, de la puce 210.
Les seules contraintes associées à cette variante de réalisation consistent à - isoler sur la puce le "fil" (métallisation de la puce) général de com
mande d'écriture en EEPROM, et - relier à celui-ci la sortie stable (elle-même issue d'un registre ou
d'une bascule) indiquant la réception et la vérification du signal
fournissant une indication de la volonté de l'usager, éventuelle
ment avec interposition de moyens de chiffrement/déchiffrement
224 pour accroître la sécurité intrinsèque des informations échan
gées.
Les figures 5 et 6 illustrent des perfectionnements du mode de mise en oeuvre que l'on vient de décrire, en prévoyant une discrimination supplémentaire opérée par la carte sur les caractéristiques physiques du rayon lumineux émis par le terminal (figure 5) et/ou un contenu informationnel véhiculé par ce même rayon lumineux (figure 6).
Sur la figure 5, le rayon lumineux 104, reçu par le photodétecteur 204 et amplifié en 206, est appliqué à un circuit 226 de démodulation et décodage susceptible d'extraire des informations représentatives de la fréquence F, de la phase Q et du motif ou "pattern" P propres à l'émission lumineuse 104. Ces paramètres sont comparés à des valeurs attendues conservés dans la mémoire 228 de la puce et appliqués sur une entrée de référence 230 du circuit 226. La conformité de tous ces paramètres est détectée par la porte 230 et transmise via une bascule 232 à la porte 234 qui, en pilotant l'entrée d'écriture WRITE de la mémoire 228, autorise l'inscription dans celle-ci du montant x de la transaction.
En variante ou en complément de cette discrimination supplémentaire par les caractéristiques de modulation du faisceau lumineux, ca ractéristiques conservées dans la mémoire de la carte pour permettre la reconnaissance, il est possible d'opérer une discrimination sur des paramètres informationnels transmis par le faisceau modulé 104 et propres à la carte (parité, caractères prédéterminQs, jusques et y compris le propre numéro de série de la carte, ou encore numéro d'immatriculation ou coordonnées bancaires, notamment dans certaines variantes de porte-monnaie électronique).
Dans ce dernier cas, après démodulation et décodage par le circuit 206, un organe de comparaison 236 détermine la conformité de l'information reçue via le rayon lumineux (et donc répercutée par le terminal, ce dernier l'ayant lui-même reçue de la mémoire de la carte) avec le numéro directement extrait de la mémoire 228, le cas échéant après déchiffrement par le circuit 238.
Les agencements que l'on vient de décrire sont particulièrement avantageux lorsqu'il y a risque de "collision" entre des informations émises et reçues par une pluralité de caltes simultanément présentes dans le champ (hertz tion de l'alimentation puis remise à zéro à froid et avant toute émission par la carte, c'est-à-dire entre les étapes 306 et 308 de l'organigramme de la figure 3. De cette façon, aucune information provenant de la carte ne pourra être captée par qui que ce soit sans qu'un geste volontaire spécifique n'ait été fait par le porteur de la carte, à savoir sortir la carte de sa poche ou de son portefeuille et placer celle-ci dans le champ du rayonnement lumineux.
On va maintenant décrire, en référence aux figures 7 et suivantes, diverses variantes de réalisation du moyen par lequel l'usager peut exprimer sa volonté d'effectuer la transaction.
Ainsi, dans une variante "digitale" illustrée sur la figure 7, dans le cas d'une carte mixte permettant indifféremment d'effectuer des transactions sans contact ou via des contacts (typiquement, des contacts à la norme ISO 7816), la puce 210 comporte un circuit 240 de détection relié par la série de conducteurs 242 aux différentes plages de contact 244 de la carte. Ces contacts 244 servent, en mode "à contacts" à fournir à la puce 210 à la fois les signaux d'échange de données et la tension d'alimentation. En mode "sans contact", c'est bien entendu la bobine 202 qui assure ces fonctions. Le circuit 240 comprend des moyens pour exploiter en détection capacitive les six ou huit contacts métalliques 244 : sur présence d'un doigt nettement appuyé (ceci afin d'éviter l'effet que pourraient provoquer des portefeuilles ou porte-cartes en cuir), un signal positif vient positionner à 'vrai' le bit "transaction autorisée" (étape 310 sur la figure 3). Cette variante est particulièrement bien adaptée à l'utilisation de la carte comme carte de paiement rapide ou comme "porte-monnaie électronique".
Dans la variante de la figure 8, le circuit détecteur 240 coopère avec des éléments à jauge de contrainte 246 permettant de détecter le fléchissement de la carte, comme illustré sur la figure. Sur détection de carte fléchie (ce geste pouvant être très facile à acquérir par les usagers), un signal positif vient positionner à 'VRAI' le bit "transaction autorisée" (étape 310 de l'organigramme de la figure 3). en variante, la contrainte exercée peut être, au lieu d'une flexion, une pression exercée sur une zone particulière 247 de la carte repérée extérieurement.
Dans la variante de la figure 9, la carte 200 comporte une bande lette 248 en matériau ferromagnétique, du type de celles utilisées dans les magasins comme antivol pour disques ou livres. Cette bandelette comporte une combinaison d'alliages métalliques agencée de façon à entrer en résonance par détection d'hystérésis avec un champ 118 émis par le terminal 100, comprenant lui-même des circuits électroniques oscillateurs et amplificateurs 120 pour la production de ce champ et des circuits de détection 122 du même type que ceux utilisés dans les systèmes antivol. Sur détection positive de la présence à faible distance d'une bandelette ferromagnétique 148, l'émetteur principal du terminal est activé. Au contraire, en l'absence de bandelette - donc en l'absence de carte - les circuits électroniques de commande inhibent l'émetteur principal du terminal. Avantageusement, le champ nécessaire à la détection des bandelettes pourra être le même que le champ principal (référencé 102 sur la figure 1) lui-même nécessaire à la transaction.
Enfin, il est possible d'exploiter les caractéristiques offertes par l'antenne 202 de la carte, avec les composants qui forment le circuit accordé, pour détecter sa présence selon une méthode comparable à celle des anneaux antivol: une telle technique permet de n'émettre depuis le terminal qu'une puissance relativement faible pour pouvoir détecter en retour, dans le champ électromagnétique, la présence du circuit accordé inclus dans la carte.
Dans la variante des figures 10 et 11, on incorpore dans l'épaisseur de la carte 200 des anneaux minces en matériau ferromagnétique (ferrite) d'épaisseur 0,1 mm environ. Sur la figure on a représenté cino, de ces anneaux, mais ce nombre n'est pas limitatif, et l'on peut par exemple en prévoir un nombre de l'ordre de deux à vingt. Avant d'être noyés dans la matière plastique, certains de ces anneaux (262 sur la figure 11) sont sectionnés partiellement, d'autres (264 sur la figure 11) étant laissés intacts. On constitue ainsi une combinaison codée de tores dont certains présentent un entrefer ouvert et d'autres un entrefer fermé vis-à-vis d'un champ magnétique émis par un circuit 124 du terminal 100 dans la région d'une fente d'insertion 126 recevant la carte et comportant cinq détecteurs spécialement agencés. Avantageusement, le champ nécessaire à la détection des tores pourra être le même que le champ principal 102 lui-même à la nécessaire à la transaction.
Sur détection positive (présence du bon code formé par les cinq anneaux) l'émetteur principal du terminal est alors activé. Au contraire, en l'absence du code correct (donc en l'absence de carte), les circuits électroniques de commande inhibent l'émetteur principal du terminal.
Bien entendu, le terminal et l'ensemble du système sont agencés pour tenir compte des pertes occasionnées sous forme de courant de Foucault dans les anneaux métalliques 260.
Dans la forme de réalisation de la figure 12, le terminal 100 comporte un orifice à l'arrière duquel est monté un photodétecteur 128, lequel permet le déclenchement de l'émission du champ 102 via un circuit électronique 130 et un moyen interrupteur 132. Grâce à une bascule monostable 134, l'obscurité détectée par l'obturation du photodétecteur par application sur celui-ci de la carte 200 déclenche l'émetteur principal pour une durée la plus faible possible, par exemple 200 ms.
Les figures 13 et 14 illustrent une variante fonctionnant par télémétrie, où une certaine distance entre la carte et le terminal est exigée pour l'entrée en fonctionnement de l'émetteur principal, afin que celuici ne soit pas intempestivement déclenché par des cartes qui, se situant par exemple à plus de 50 cm, ne seraient de toutes façon pas en état de communiquer avec le terminal. fi est possible d'utiliser une méthode par phototélémétrie afin de n'exploiter que les cartes se trouvant le plus précisément possible dans les conditions utiles, par exemple une vingtaine de centimètres. A cet effet, on mesure le temps de propagation du rayon lumineux entre son point de départ (diode électroluminescente 136 du terminal) et son point d'arrivée (photodiode 138 du terminal) - exploitation d'une horloge rapide (par exemple 100 MHz) 140 sur
les entrées 142 et 144 (correspondant respectivement aux signaux
illustrés sur la figure 14) d'une porte OU EXCLUSIF 146, dont le si
gnal de sortie 148 est également illustré figure 14; - retard sur l'entrée 144 provoqué par le temps de propagation aller
retour du rayon lumineux (pour une carte située à 10 cm du termi
nal : 0,6 ns) ; à une distance très courte, par exemple 1 mm, la sor
tie 148 de la porte 146 offre un signal quasi-plat, puisque les im
pulsions logiquement créées sont d'une durée très inférieure au
temps de réaction de la circuiterie, de l'ordre de 6 ps - au contraire, une durée d'impulsion (signal 148) de l'ordre de 0,6 ns
(pour un cycle total de 10 ns) constitue une grandeur mesurable
avec des composants de caractéristiques appropriés, notamment
par intégration : circuit RC 150, 152 délivrant une tension V 154
inversement proportionnelle à la distance entre la carte et le termi
nal (on devra bien entendu tenir compte des constantes de temps
du circuit et des composants qui influent sur les temps de montée
et de descente sur les signaux); - en variante, une bascule monostable 156 peut être déclenchée par
une impulsion de 0,6 ns créant elle-même sur la sortie Q (dans le
cas où la distance entre carte et terminal est supérieure à 20 cm)
une impulsion de durée par exemple égale à 150 ms, soit nécessaire
au déroulement automatique de la transaction complète.
Dans l'exemple des figures 15 à 17, on prévoit sur le terminal un ensemble comportant un ou plusieurs émetteurs de lumière 158 coopé- rant avec une pluralité de photorécepteurs 160 tels que photodiodes ou autres, assemblés par exemple sur un module de 1 cm2. Avantageusement, les photodiodes sont équipés d'un système optique tel qu'une lentille permettant de capter sous plusieurs angles le rayon résSchi par la carte, de façon à ne pas exiger une présentation de la carte dans une position par trop prédéterminée, qui serait contraignante pour l'usager.
Avantageusement, un système optique particulier pourrait comprendre, comme illustré figure 16, une pluralité de miroirs semiréIlé- cnissants 162 inclinés à 45 dans l'axe des diodes électrolumineseentes 164, les photorécepteurs 166 étant disposés perpendiculairement à l'axe des émetteurs lumineux.
La configuration de la figure 16 peut, en variante, être remplacés par celle de la figure 17, l'émetteur-récepteur comportant une pluralité de diodes émettrices 168 et une photodiode 170 légèrement enfoncée par rapport au plan des diodes émettrices 168 (ou l'inverse) de façon à ne pas être éblouie par la lumière 172 produite par ces dernières, mais recevant uniquement l'énergie lumineuse 174 renvoyée par le matériau réfléchissant 266 de la carte 200.
Dans la variante des figures 18 et 19, on prévoit dans la carte une puce 268 comprenant: - des plots 270 destinés à la connexion de la bobine 202, ainsi qu'é
ventuellement des plots 272 destinés à la connexion aux divers
contacts (dans le cas d'une carte mixte contact/sans contact), - un ou plusieurs éléments photodétecteurs 274 tels que photodiode
ou phototransistor, structure photovoltaïque, etc, - une couche de matériau opaque 276, où un orifice 278 (figure 19)
permet le passage de la lumière vers le photodétecteur 274, tandis
que les autres organes de la puce, et notamment les mémoires pro
grammables, effaçables ou réinscriptibles telles qu'EPROMs ou
EEPROMs qui peuvent être sensibles au rayonnement lumineux,
sont protégés de la lumière.
Dans une variante de réalisation, une fenêtre protectrice peut être agencée à l'extérieur du semiconducteur, de façon par exemple à ne pas grever son coup. Ainsi, l'enrobage 280 de la puce (en PVC, ABS, etc.) pourra comporter un tel orifice 278, à condition que celui-ci soit usiné et positionné avec précision ; les dimensions de l'orifice sont de l'ordre de 0,1 ou 0,01 mm selon la finesse de gravure de l'ensemble et des caractéristiques optiques du matériau et son usinage.
Quant à la carte 200, qui est illustrée figure 20, il est prévoir sur le corps de celle-ci, de préférence le plus près possible de la puce, une surface photoréfléchissante 214 telle que cataphote, catadioptre ou bande adhésive rétroréfléchissante. La fonction de réflexion de lumière peut également être obtenue par un usinage ou traitement particulier de l'enrobage, incluant par exemple des particules d'aluminium.
Sur la figure 21, on a illustré le fonctionnement du système selon un mécanisme de "reconnaissance mutuelle" exploitant les caractoristi- ques de reconnaissance propres à la combinaison des effets électromagnétiques et photoélectriques, telles que - le terminal ne soit autorisé à fonctionner (à émettre) que sur recon
naissance de la présence d'une carte, et - la carte ne soit autorisée à fonctionner (à écrire en mémoire) que
sur reconnaissance de la présence d'un terminal.
Ce mécanisme se décompose en trois étapes successives, qui sont de nature soit optique soit électromagnétique - optiquement, un terminal 100 reconnaît une carte 200 par émission
d'un rayon lumineux 176, réflexion en 282 par le photoréflecteur
214 de la carte 200, puis réception par le photodétecteur 106 du
terminal, - électromagnétiquement, la carte et le terminal entrent en dialogue,
à l'initiative du terminal (émetteurs/récepteurs de part et d'autre), - optiquement, la carte attend du terminal un signal d'autorisation
178, exploité par le semiconducteur 210, qui valide le dialogue et
permet l'écriture dans la mémoire.
Plus précisément, dans ce cas où l'on combine un détecteur optique d'approche (sur le terminal) à un détecteur d'action volontaire du porteur (sur la carte), les étapes successives de communication sont les suivantes: 1) le terminal émet en permanence un rayon lumineux (donc sans ris
que biologique), éventuellement modulé, 2) à l'approche d'une carte, cette émission lumineuse est réfléchie pas
sivement vers le terminal, 3) le terminal capte le rayon réfléchi, traite et décode le signal récu
péré afin d'éliminer les effets de la lumière ambiante, et le signal
résultant donne une indication de l'approche ou de la présence d'un
utilisateur, 4) le terminal sort de son état quiescent et émet le champ électroma
gnétique principal, 5) la carte reçoit le champ électromagnétique, en extrait l'énergie né
cessaire à son alimentation interne, démodule le signal et active le
microprocesseur ainsi que la photodiode de détection intégrée, 6) le microprocesseur de la rarte dialogue sans contact avec le termi
nal puis, avant de débiter le montant prévu, interroge la photo
diode intégrée à la carte, laquelle génère un signal logique après
traitement et décodage du courant généré par le rayon ; sur détec
tion positive, le microprocesseur de la carte valide l'autorisation de
paiement, procède à l'inscription dans la mémoire de la carte et
poursuit ou achève la transaction.
On va maintenant décrire en référence aux figures 22 à 28 un certain nombre de formes de réalisation particulières adaptées à une carte incorporant des moyens photodétecteurs.
On a en effet indiqué plus haut que, pour éviter les risques de "vol à la tire électronique", on fait en sorte qu'une partie au moins de la communication entre la carte et le terminal soit rendue conditionnelle sur une action volontaire de la part de l'utilisateur, cette action volontaire pouvant avantageusement être captée par la détection d'une lumière (la fonction de communication étant rendue conditionnelle sur la présence ou l'absence de cette détection de la lumière).
On a également décrit une carte comportant à cet effet un détecteur de lumière ambiante avec un élément photosensible (référencé 274 sur les figures) tel qu'une photodiode, un phototransistor ou un élément photovoltaïque par exemple, l'action volontaire consistant à sortir la carte de manière à activer ce détecteur de lumière ambiante.
Sur la figure 22, l'élément photo sensible 2'i4 produit, après amplification et seuillage, un signal logique LUX qui permettra d'autoriser (ou non) le fonctionnement de la carte du fait de l'éclairement de celleci, éclairement qui, comme on l'a indiqué plus haut, peut être le fait de la seule lumière ambiante.
En d'autres termes, pour autoriser la transaction, il suffit à l'utilisateur de sortir la carte de son portefeuille et de l'exposer à la lumière ambiante, ce simple geste autorisant le déroulement subséquent de la transaction, par exemple l'écriture d'un crédit ou d'un débit en mémoire. On soulignera que, dans cette mise en oeuvre à détection de la lumière ambiante par la carte, il est possible d'utiliser des terminaux classiques, non pourvus de moyens optoélectroniques; la détection de la lumière ambiante par la carte vient simplement ajouter un niveau de sécurité supplémentaire, côté carte, pour autoriser la poursuite de la transaction par cette dernière avec le terminal, le reste de la transaction se déroulant de manière en elle-même classique.
Un bistable 300 commande une entrée spécifique WRITE~INHIBIT du microcircuit 268 (cf. figure 18), qui interdira l'écriture en mémoire.
L'état du bistable 300 est contrôlé, d'une part, par le signal LUX et, d'autre part, par divers signaux appliqués par une logique de comman de 302, qui est en fait un sous-ensemble du microcircuit 268).
La bascule 300 est remise à zéro par l'impulsion initiale positive de remise à zéro générale de la puce, peu après la mise sous tension de cette dernière, elle-même consécutive à la réception du champ (et donc de l'énergie) électromagnétique émis par le terminal.
Dans l'obscurité, le photodétecteur 274 engendre sur l'entrée 304 de la porte 306 un signal LUX à l'état bas. Dès la retombée de l'impulsion initiale de remise à zéro, la bascule 300 est ainsi positionnée à '1' sur sa sortie 308 (WRITE~INHTBIT), interdisant l'écriture.
En revanche, si la carte est, par exemple, sortie de son étui ou d'un portefeuille et présentée dans une ambiance lumineuse, la commande
WRITE INHIBIT devient inactive, autorisant donc l'écriture, du moins pour la durée de la transaction.
Ainsi, l'opération de "vol à la tire électronique" consistant à approcher de la carte-cible un faux terminal portatif munis d'une antenne adéquate afin de mettre en service indûment la carte dans le but d'y enregistrer une opération de débit est impossible tant que la carte réside dans l'obscurité d'une poche, d'un portefeuille, d'un sac à main, etc.
L'utilisateur est donc garanti contre ce risque de fraude partièuJière- ment pernicieux.
Dans une variante de mise en oeuvre, on peut prévoir que cette sécurité soit rendue optionnelle, au choix de l'industriel fabriquant la carte protégée. En effet, pour les besoins de tel ou tel client, il peut être souhaitable que cette sécurité puisse être à volonté systématiquement active ou désactivée au stade de la fabrication/personnalisation (qes cartes.
A cette fin, on affecte un emplacement particulier de la mémoire à un indicateur déterminant cette consigne. Cet indicateur, situé à une adresse ADDRESS PROTECT RITE (AD PROT), est lu sur la sortie de données DATAOUT (DOUT) de la mémoire. Selon que ce bit indicateur est enregistré en usine à '0' ou à '1', la lecture de la mémoire provo quera ou non, lors d'une transaction, le basculement du bistable 3CO, inhibant ainsi, ou non, la sécurité apportée par le détecteur optique décrit précédemment.
Un autre risque lié à l'utilisation des cartes à puce sans contact est celui de l'indiscrétion ou de l'espionnage, par exemple du fait d'une volonté malveillante de prendre connaissance, à l'insu de son porteur, du contenu de sa carte (ce type de risque n'existant pas, bien entendu, avec les cartes à contacts galvaniques).
C'est pourquoi il peut être souhaitable de rendre également conditionnelle la commande de lecture, plutôt que la seule opération d'écriture. Pour ce faire, selon l'invention, on décode le contenu d'une adresse spécifique ADDRESS~PROTECT~READ (AD~PROTR), qui pourra par exemple être adjacente à l'adresse ADDRESSPROTECT~WRITE. La carte est alors pourvue d'un bistable 310, semblable au bistable 300 et susceptible de produire sur sa sortie 312 un signal READ~INHIBIT conditionnant le fonctionnement en lecture de la mémoire du microcircuit de la carte, de la même manière que le signal WRITE~INHIBIT en conditionnait l'écriture.
On peut également prévoir une porte OU (non représentée) activée par les deux signaux READ~INHIBIT et WRITE~INHIBIT pour générer un signal d'inhibition générale, en lecture et écriture.
Ainsi, sans élargir sa gamme de produits, le fabricant pourra indifféremment proposer soit une carte à puce sans contact traditionnelle, soit la borne carte sécurisée en outre contre "l'accès nocturne", c'est-a- dire contre les tentatives de lecture et/ou écriture dans l'obscurité. Ceci, pour le faible coût de quelques composants (moins de dix portes), ainsi qu'un traitement spécifique de la surface du plastique et/ou du circuit intégré (comme décrit plus haut en référence aux figures 18 et 19, et plus bas on référence aux figures 26 à 29).
La séquence de mise en oeuvre peut s'exprimer par la succession d'étapes de processus suivante.
Début
Remise à zéro générale
AD = O
WRITE~INHIBIT = 0
READ~INHIBIT = 0
Lecture DATA~OUT
IGNORE~WRITE = DATA OUT (AD)
IGNORE~READ = DATA OUT (AD +1)
WRITEJNHIBIT = (IGNORE~WRITE) NOR (LUX)
READINHIBIT = (IGNORE~READ) NOR (LUX)
Suite de la transaction
Fin
Au moment de l'initialisation générale de la puce, les indicateurs correspondant aux deux inhibitions possibles sont mis à zéro (WRI
TE~INHIBIT = O et READ~INHIBIT = 0) en même temps que le compteur d'adresse (AD = O). Deux indicateurs IGNORE~WRITE et IGNORE ~READ reflètent quant à eux le contenu des adresses correspondantes de la mémoire, respectivement AD = O et AD = 1.
La lecture des deux positions initiales de la mémoire, données ar l'ordre "Lecture DATA~OUT", fournit par exécution d'une fonction NOR avec l'état LUX du photodétecteur le statut des deux commandes d'inhibition WRITE~INHIBIT et READ~INHIBIT.
La figure 23 illustre une variante de réalisation permettant une in validation conditionnelle du circuit inhibiteur. c'est-à-dire permettant dans certains cas particuliers déterminés un "fonctionnement nocturne" du circuit intégré, c'est-à-dire autorisant le fonctionnement malgré l'absence de lumière ambiante.
Ainsi, dans le cas d'une carte d'identification ou de péage pour l'accès à une zone contrôlée, il est souhaitable que les porteurs de la carte soient identifiés et/ou débités d'un certain montait lors de leur entrée dans la zone, ou en début de journée. Cette transaction est opérée de façon conventionnelle avec présentation de la carte (donc avec exposition à la lumière ambiantej devant un lecteur destiné à cette fonction.
Pour autant, il serait contraignant de devoir contraindre les porteurs à sortir la carte de leur poche ou de leur portefeuille lors de chacun de leurs passages ultérieurs, ou à la sortie de la zone, ou pendant un certain temps de présence autorisé à l'intérieur du site, etc.
Pour cela, selon une autre caractéristique du système de l'invention, on prévoit une invalidation conditionnelle du dispositif de protection décrit précédemment.
Une adresse spécifique AD~INVNOC contient un indicateur spécifique affecté à cette fonction qui, en combinaison avec un contenu prédéterminé de la mémoire, par exemple '1', positionnera une bascule 314 via une porte 316. Le signal INV~NOC (Invalidation de la protection
Nocturne) ainsi produit en sortie du bistable 314 est dirigé sur une entrée particulière supplémentaire 318 du bistable 300 de façon à positionner à '0' le signal WRITE~INHIBIT, et ceci indépendamment de l'état du signal LUX représentatif de l'absence ou de la présence de lumière sur l'élément photo sensible 274.
Le mode opératoire sera le suivant : lors de l'entrée sur le site, le porteur extrait la carte de son portefeuille, de sa poche, de son sac à main, ... de façon à l'exposer à la lumière ambiante. Le terminal commence par effectuer sur la mémoire de la carte les opérations de lecture, et éventuellement d'écriture, nécessaires au contrôle de l'accès au site. Après quoi, le terminal écrit à l'adresse AD~IN~NOC la valeur convenue, de façon à prédéterminer à 'VRAI, ultérieurement, le paramètre INVNOC.
Ainsi, lors de son prochain passage devant un terminal, la carte n'aura pas besoin d'être éclairée et pourra donc rester en poche, pour autant que la distance d'exploitation (distance entre carte et terminal) le permette. Les opérations d'écriture et/ou de lecteur interviendront alors inconditionnellement : en effet, dès sa mise sous tension, et dès réception du signal d'horloge, le microcircuit aura adressé la position AD~IhlrOC et lu son contenu (INS~NOC = 1'). Le terminal pourra exécuter toutes opérations nécessaires au contrôle de la situation, en particulier vis-à-vis de la carte, dont il pourra utilement remettre à zéro (ou, plus généralement, mettre à jour) le contenu de l'adresse ADt NOC.
La figure 24 illustre un mode de réalisation particulier permettant une acquisition conditionnelle des consignes. Dans ce mode de réalisation, l'état de trois variables est positionné dès la mise sous tension (RESET) du microcircuit : présence de lumière (LUX), consigne IGNO
RE~WRITE et consigne IGNORE~READ. Les deux premières données sont prises en compte lors de l'adressage de la mémoire à l'adresse zéro (AD = O), et la dernière lors du passage à l'adresse suivante (AD = 1).
Les portes ET 318 et 320 échantillonnent la sortie DOUT(O) correspondant au contenu de la mémoire à l'adresse zéro (AD = 0). Les bistables 322 et 324 conservent cette consigne le temps d'une transaction.
La porte ET 326 échantillonne le contenu DOUT (1 j de la mémoire lors du passage à l'adresse AD = 1, et le bistable 328 qui conserve cette consigne le temps de la transaction. Enfin, les portes NOR 330 et 332 fournissent les signaux d'inhibition mRITEJI\THIBIT et RE.GD~INHIBIT.
Les figures 25 à 29 illustrent des aspects technologiques particuliers avantageux pour la réalisation d'une carte incorporant des moyens photodétecteurs du type illustré sur les figures 18 et 19.
La figure 25 illustre ainsi un circuit de compensation automatique de l'alimentation du microcircuit 268 en fonction du niveau d'éclairement éventuel, pour éviter des risques de dysfonctionnements du microcircuit par éclairement parasite des composants. Ce phénomène parasite pourrait d'ailleurs être exploité de façon malveillante par un fraudeur qui souhaiterait passer outre les sécurités incorporées à la carte en créant délibérément des dysfonctionnements de manière à provoquer l'ouvarture intempestive de portes, le positionnement de bascules dans u état différent de celui prévu par les équations logiques, etc., tous phénomènes susceptibles de se produire lorsque la carte est amenée à fonctionner hors des conditions nominales prévues.
Avec le circuit de compensation de la figure 25, le signal issu du photo détecteur 274, convenablement traité par l'amplificateur spécifique 334, assure le contrôle de l'alimentation générale du microcircuit 268 (ou, tout au moins, de la fraction la plus vulnérable de ses organes) via un circuit de régulation programmable 336 placé sur la ligne d'alimentation Vcc. Indépendamment de ce contrôle exercé sur l'alimentation, une action correctrice peut être exercée sur une entrée spécifique de polarisation 338 du microcircuit, susceptible d'intervenir sur le gain ou le seuil des étages sensibles.
Une autre protection qu'il est important de mettre en oeuvre consiste à guider la lumière entrante vers le point cible (zone photodétectrice sensible du microcircuit) en évitant l'éclairement des composants autres.
Ainsi, sur les figures 26 à 28, la zone photosensible 340 s'étend le long de l'un des côtés de la puce 268, et la lumière arrive via un orifice 342 ménagé au travers du substrat 344, la lumière pénétrant donc, comme illustré en 346 sur la figure 27, du côté du substrat 344 opposé à celui où se trouve la puce du microcircuit 268.
Pour guider la lumière vers la seule zone photosensible 340, on exploite le caractère réfléchissant des fils métalliques destinés à la prise de connexion ("bonding") de la puce 268. A cet effet, un des fils 348 est formé avant soudure avec une section U (voir notamment figure 28) lui donnant une forme de gouttière inversée, la partie creuse 350 étant tournée vers la surface photosensible 340 de la puce de microcircuit 268. Une fois le fil soudé sur le plot de connexion 350, sa cambr

Claims (8)

REVENDICATIONS
1. Un système pour la communication sans contact entre un terminal (100) et un objet portatif tel qu'une carte (200), le terminal et la carte comportant chacun des moyens émetteurs-récepteurs de champ électromagnétique et la carte comportant une puce (210) avec des circuits de traitement et une mémoire (228) inscriptible sur commande du terminal,
caractérisé en ce que la carte comporte des moyens de validation, conditionnant au moins une étape du déroulement de la communication à une action prédéterminée extérieure de confirmation exercée avec cette carte par le porteur de la carte, ces moyens de validation comportant, dans la carte, des moyens récepteurs de lumière coopérant avec les circuits électroniques de traitement numérique et avec la mémoire.
2. Le système de la revendication 1, dans lequel l'action prédéterminée de confirmation est l'exposition de la carte à l'éclairement ambiant.
3. Le système de l'une des revendications 1 ou 2, dans lequel la mémoire contient une donnée formant indicateur d'activation ou d'inhibition des moyens de validation indiquant si, respectivement, ladite étape du déroulement de la communication doit ou non être conditionnée à ladite action prédéterminée extérieure de confirmation.
4. Le système de la revendication 3, dans lequel l'indicateur d'activation ou d'inhibition est une donnée statique prédéterminée.
5. Le système de la revendication 4, dans lequel la donnée statique est irréversiblement prédéterminée.
6. Le système de la revendication 3, dans lequel l'indicateur d'activation ou d'inhibition est une donnée modifiable dynamiquement par une borne lors du déroulement d'une communication.
7. Le système de l'une des revendications 1 à 6, dans lequel l'étape conditionnelle du déroulement de la communication est l'activation de l'écriture de la mémoire de la carte.
8. Le système de l'une des revendications 1 à 7, dans lequel l'étape conditionnelle du déroulement de la communication est l'activation de la lecture de la mémoire de la carte.
FR9800428A 1997-10-24 1998-01-16 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce Expired - Fee Related FR2770316B1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FR9800428A FR2770316B1 (fr) 1997-10-24 1998-01-16 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce
EP98949065A EP1048003A1 (fr) 1997-10-24 1998-10-14 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce
PCT/FR1998/002209 WO1999022334A1 (fr) 1997-10-24 1998-10-14 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce
JP2000518358A JP2002530726A (ja) 1997-10-24 1998-10-14 端末およびスマートカードなどの携帯物間の安全な非接触通信用システム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9713345A FR2770315B1 (fr) 1997-10-24 1997-10-24 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce
FR9800428A FR2770316B1 (fr) 1997-10-24 1998-01-16 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce

Publications (2)

Publication Number Publication Date
FR2770316A1 true FR2770316A1 (fr) 1999-04-30
FR2770316B1 FR2770316B1 (fr) 2000-06-09

Family

ID=26233889

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9800428A Expired - Fee Related FR2770316B1 (fr) 1997-10-24 1998-01-16 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce

Country Status (4)

Country Link
EP (1) EP1048003A1 (fr)
JP (1) JP2002530726A (fr)
FR (1) FR2770316B1 (fr)
WO (1) WO1999022334A1 (fr)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004090800A2 (fr) * 2003-04-14 2004-10-21 Giesecke & Devrient Gmbh Porteuse de donnees sans contact
WO2005069208A1 (fr) * 2004-01-15 2005-07-28 Rf Tags Limited Etiquetage d'identification par radiofrequence
WO2006073129A1 (fr) * 2005-01-06 2006-07-13 Mitsubishi Denki Kabushiki Kaisha Etiquette d'identification, procede d'identification et lecteur d'etiquette d'identification

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2957438B1 (fr) 2010-03-09 2012-03-30 Proton World Int Nv Detection d'un deroutement d'un canal de communication d'un dispositif de telecommunication couple a un circuit nfc
FR2957440B1 (fr) 2010-03-09 2012-08-17 Proton World Int Nv Protection d'un module de securite dans un dispositif de telecommunication couple a un circuit nfc
FR2957439B1 (fr) 2010-03-09 2012-03-30 Proton World Int Nv Protection d'un canal de communication entre un module de securite et un circuit nfc
FR2969341B1 (fr) 2010-12-20 2013-01-18 Proton World Int Nv Gestion de canaux de communication dans un dispositif de telecommunication couple a un circuit nfc

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2665008A1 (fr) * 1990-07-20 1992-01-24 Elgelec Dispositif a infra-rouge comportant une fonction "reveil" de l'alimentation.
GB2265038A (en) * 1992-03-11 1993-09-15 Olivetti Res Ltd Tracking and/or identification system
FR2728710A1 (fr) * 1994-12-23 1996-06-28 Solaic Sa Carte electronique comportant un element fonctionnel activable manuellement

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2180349A5 (fr) * 1972-04-11 1973-11-23 Gretag Ag
US4325146A (en) * 1979-12-20 1982-04-13 Lennington John W Non-synchronous object identification system
FR2478849B1 (fr) * 1980-03-21 1985-12-20 Veilex Robert Carte portative d'identification et systeme de traitement mettant en oeuvre une telle carte

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2665008A1 (fr) * 1990-07-20 1992-01-24 Elgelec Dispositif a infra-rouge comportant une fonction "reveil" de l'alimentation.
GB2265038A (en) * 1992-03-11 1993-09-15 Olivetti Res Ltd Tracking and/or identification system
FR2728710A1 (fr) * 1994-12-23 1996-06-28 Solaic Sa Carte electronique comportant un element fonctionnel activable manuellement

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004090800A2 (fr) * 2003-04-14 2004-10-21 Giesecke & Devrient Gmbh Porteuse de donnees sans contact
WO2004090800A3 (fr) * 2003-04-14 2004-12-23 Giesecke & Devrient Gmbh Porteuse de donnees sans contact
EP2081135A2 (fr) 2003-04-14 2009-07-22 Giesecke & Devrient GmbH Support de données sans contact
EP2081135A3 (fr) * 2003-04-14 2009-08-26 Giesecke & Devrient GmbH Support de données sans contact
US7837119B2 (en) 2003-04-14 2010-11-23 Giesecke & Devrient Gmbh Contactless data carrier
WO2005069208A1 (fr) * 2004-01-15 2005-07-28 Rf Tags Limited Etiquetage d'identification par radiofrequence
US9336639B2 (en) 2004-01-15 2016-05-10 Zih Corp. Radio frequency identification tagging
WO2006073129A1 (fr) * 2005-01-06 2006-07-13 Mitsubishi Denki Kabushiki Kaisha Etiquette d'identification, procede d'identification et lecteur d'etiquette d'identification

Also Published As

Publication number Publication date
EP1048003A1 (fr) 2000-11-02
FR2770316B1 (fr) 2000-06-09
WO1999022334A1 (fr) 1999-05-06
JP2002530726A (ja) 2002-09-17

Similar Documents

Publication Publication Date Title
EP0670556B1 (fr) Dispositif portable pour mise en liaison fonctionnelle d'une carte à puce avec une unité centrale
US10438106B2 (en) Smartcard
EP0633551B1 (fr) Procédé pour la transmission rapide et sûre de données contenues dans une carte à puce lors d'une télétransaction
EP2577568B1 (fr) Carte bancaire avec écran d'affichage
EP2065857A2 (fr) Carte à microprocesseur, téléphone comprenant une telle carte et procédé d'exécution d'une commande dans une telle carte
CA2784739C (fr) Carte a puce multi-applicatifs avec validation biometrique
EP2507747A1 (fr) Activation et indication d'un champ rf sur un dispositif comprenant une puce
FR2799860A1 (fr) Systeme pour des transferts de carte a carte de valeurs monetaires
EP0172765A1 (fr) Procédé et système de contrôle d'accès à lecture de texture de surface
EP1210689A1 (fr) Architecture de carte a puce integrant des peripheriques
EP2370936A1 (fr) Objet portable intelligent comportant des données de personnalisation graphique
EP2065858A2 (fr) Carte à microprocesseur, téléphone comprenant une telle carte et procédé d'exécution d'une commande dans une telle carte
CA2439516A1 (fr) Objet portable sans contact comportant au moins un dispositif peripherique connecte a la meme antenne que la puce
FR2998392B1 (fr) Systeme de carte a puce, carte a puce, dispositif destine a une interaction sans contact avec un systeme de carte a puce ou avec une carte a puce et procede de mise en fonctionnement et procede de fabrication d'un systeme de carte a puce ou d'une carte a puce
EP0740818B1 (fr) Poste de controle de jeton de jeu
EP2936379B1 (fr) Détection d'un dispositif transactionnel
FR2770316A1 (fr) Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce
EP2577574B1 (fr) Carte bancaire avec ecran d'affichage
EP1025531A1 (fr) Systeme pour la communication sans contact par induction entre un terminal et un objet portatif tel qu'une carte a puce
FR2473755A1 (fr) Procede et dispositif electronique de memorisation et de traitement confidentiel de donnees
EP0909432A1 (fr) Dispositif portatif destine a effectuer des transactions securisees en interne et par carte a micro-circuits, et procede de mise en oeuvre correspondant
EP0919959B1 (fr) Objet portatif, notamment montre, comprenant des modules électroniques multiples sélectionnables
FR2725813A3 (fr) Procede d'exploitation d'un support de donnees, objet portable et systeme de gestion mettant en oeuvre le procede d'exploitation
FR3078422A1 (fr) Carte a puce sans contact a modules electroniques multiples communicants
FR2809516A1 (fr) Systeme pour proteger contre la fraude des objets portatifs tels que des cartes a microcircuits mixtes a contacts/sans contact

Legal Events

Date Code Title Description
TP Transmission of property
ST Notification of lapse