WO2004063999A1 - Method for the secure personalisation of an object - Google Patents

Method for the secure personalisation of an object Download PDF

Info

Publication number
WO2004063999A1
WO2004063999A1 PCT/FR2003/003563 FR0303563W WO2004063999A1 WO 2004063999 A1 WO2004063999 A1 WO 2004063999A1 FR 0303563 W FR0303563 W FR 0303563W WO 2004063999 A1 WO2004063999 A1 WO 2004063999A1
Authority
WO
WIPO (PCT)
Prior art keywords
secure
assembly
machine
assemblies
batch
Prior art date
Application number
PCT/FR2003/003563
Other languages
French (fr)
Inventor
Gilles Dumortier
Original Assignee
Oberthur Card Systems Sa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oberthur Card Systems Sa filed Critical Oberthur Card Systems Sa
Priority to AU2003298394A priority Critical patent/AU2003298394A1/en
Publication of WO2004063999A1 publication Critical patent/WO2004063999A1/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/229Hierarchy of users of accounts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use

Definitions

  • the present invention relates to a method of secure personalization of an object. More generally, the present invention relates to a method of secure communication between a plurality of secure assemblies.
  • the invention proposes a method for securely personalizing an object comprising a secure assembly consisting of a storage unit and a microcircuit adapted to communicate with the outside by using a contactless technology.
  • Personalization means the writing, in or on the object, by mechanical, electronic, optical, chemical or any other technique, of personal data specific to this object.
  • authentications can be carried out sequentially between a first entity and a second entity participating in the personalization process, which conditions the blocking of the personalization process if the result of this first authentication is negative, or the triggering of a second authentication between the second entity and a third entity also participating in the personalization process, and so on.
  • the second entity is a hardware security module or
  • HSM in English "Hardware Security Module”
  • IBM 4758 PCI the third entity is a microcircuit card associated with an operator.
  • a center for personalizing objects as envisaged here is a place with reduced security compared to a center for personalization of a usual card manufacturer (for example, bank cards).
  • a usual card manufacturer for example, bank cards
  • the objects to be personalized are for example (but not only) official documents or travel documents.
  • the personalization of these documents, when they are in electronic form, is done in a decentralized way and therefore, not necessarily in a center of a usual card manufacturer, very secure, but rather, for example, in town halls or prefectures, which do not have the same security infrastructures (for example, access control).
  • security infrastructures for example, access control
  • the invention aims to remedy these drawbacks.
  • the invention provides a method of secure personalization of an object comprising a first secure set consisting of a first storage unit and a first microcircuit, remarkable in that it implements n-1 sets secure in addition to the first secure set, n being an integer strictly greater than 2, each of said secure sets being made up of a storage unit and a microcircuit, and forming with the object an authorized n-tupl, known from at least one of the secure sets, and in that the method comprises a plurality of authentication steps between the secure sets taken two by two, prior to a personalization step consisting of writing, in or on the object, data specific to this object.
  • the object to verify that the other secure assemblies are indeed authorized to participate in its personalization provision is made for the object to verify that the other secure assemblies are indeed authorized to participate in its personalization.
  • the object to be personalized authenticates the n-1 secure sets.
  • the first storage unit keeps a trace making it possible to identify at least one of the secure sets having participated in the personalization process among the n-1 secure sets.
  • the invention guarantees the traceability, in the personalized object, of the people or materials involved throughout the process of personalizing the object. These traces can even appear visibly on the object itself. In addition, this traceability can be secured by adding an authentication code to the trace, typically a certificate known to those skilled in the art.
  • n-1 secure sets are taken from:
  • a secure assembly representing a batch of objects to be personalized
  • a secure assembly comprising a secure electronic entity associated with a machine adapted to personalize the objects of this batch
  • the first secure assembly is adapted to communicate with the outside using contactless technology.
  • This technology is particularly suitable for travel documents and official documents, which are more and more numerous, in their electronic version, to implement this technology for practical reasons.
  • the personalization method according to the invention includes a preliminary authentication step involving the n-1 secure sets mentioned above.
  • This preliminary step can for example involve the batch, machine and operator secure assemblies.
  • the preliminary authentication step is carried out as follows:
  • the operator secure set authenticates the batch secure set and the machine secure set
  • the operator is on the same site as the machine, it is more convenient to have the secure batch assembly and the machine secure assembly authenticated by the operator secure set, rather than having the authentication of the secure machine set and the secure operator set by the secure batch set, for example, knowing that the secure batch set is generally personalized on a site separate from the site where the machines and their operators are located .
  • the operator secure assembly is mobile by comparison with the machine secure assembly, which is advantageously inseparable from the latter (for example sealed to the body of the machine, and necessary for the operation thereof), which facilitates, from a logistical point of view, the initialization procedures of the secure operator assembly, when a new batch arrives, for example.
  • 1 secure set is suitable for communicating with the outside using contactless technology.
  • a logic processing unit ensures communication between at least two secure assemblies, when these are all simultaneously in its radiofrequency field.
  • At least one of the secure sets is suitable for securely accessing a database or "back-office" containing the personal data mentioned above.
  • the secure batch set indeed contains batch-specific data, common to all the objects to be personalized. It may be convenient to store the decryption key of the personal data contained in the database in the secure batch set.
  • the batch security assembly and / or the machine security assembly may be a microcircuit card.
  • the object can be a title issued by the State, such as an identity card, passport, visa or gray card (in English "vehicle registration papers"), or another document of an official nature, such than a notarial deed, or a transport ticket, such as a subscription card to use public transport, or a travel document, such as a driving license, or a toll ticket or other documentary evidence a right to transit, such as permits issued by Mexico City to motorists, for example, to enter the city. Thanks to the present invention, the personalization of these objects can be decentralized, for example carried out in town halls or prefectures, without the need to increase the security of these places.
  • the present invention proposes, more generally, a secure communication method, remarkable in that it implements n secure sets, n being an integer at least equal to 2, each of the sets being made up of a storage unit and a microcircuit, and forming an authorized n-tuplet known from at least one of the secure sets, and in that the method comprises a plurality of authentication steps between the sets secure taken two by two.
  • At least one of the storage units keeps a trace making it possible to identify at least one of the n secure sets.
  • This trace can include an authentication code.
  • at least one of the secure assemblies is suitable for communicating with the outside using contactless technology.
  • a logic processing unit ensures communication between at least two secure assemblies, when these are all simultaneously in its radiofrequency field.
  • At least one of the secure assemblies can be a microcircuit card.
  • FIG. 1 is a block diagram of the various exchanges between the secure assemblies participating in the personalization process according to the present invention, in a particular embodiment
  • FIG. 2 schematically represents different entities involved in the personalization process according to the present invention, in a particular embodiment
  • - Figure 3 is a flowchart illustrating steps of the personalization process according to the present invention, in a particular embodiment.
  • the invention can also be applied to a bank card, a SIM card or a memory card.
  • the object comprises a first secure assembly E1 consisting of a first storage unit, such as a non-volatile memory, for example of the ROM or EEPROM type, and of a first microcircuit adapted to communicate with the outside. using contactless technology.
  • a first storage unit such as a non-volatile memory, for example of the ROM or EEPROM type
  • a first microcircuit adapted to communicate with the outside. using contactless technology.
  • the method according to the present invention also involves a second secure assembly E2 consisting of a second storage unit and a second microcircuit, which is, in this example, in no way limiting, a card to batch microcircuit, representative of a batch of objects to be personalized.
  • the personalization process also involves a third secure assembly E3 consisting of a third storage unit and a third microcircuit, which is, in this example, a machine secure module, inseparable from a machine adapted to personalize the objects of the batch defined by common data stored in the batch card of the secure assembly E2.
  • the secure module can for example be sealed to the body of the personalization machine and include elements essential to its operation so that one cannot remove this module or put it out of service without hampering the use of the personalization machine.
  • the secure machine module can for example contain self-test means, or even a user license. The machine secure module thus allows the machine to perform self-test operations, which are not the subject of the invention and will therefore not be described here.
  • the personalization method also involves a fourth secure assembly E4, consisting of a fourth storage unit and a fourth microcircuit, which is, in this example, a card operator microcircuit, attached to an operator authorized to use the machine specified by the machine secure module of the E3 secure assembly.
  • the secure assemblies E1, E2, and E4 communicate with the outside (and in particular with one or more of the other secure assemblies) using contactless technology, for example of the type using inductive coupling.
  • a logic processing unit UTL 10 ensures communication between the secure assemblies E1, E2, and E4, when these are all simultaneously in its radiofrequency field, which is shown on the drawing by a dashed circle.
  • the UTL is in fact provided with a contactless reader of structure known per se, used in an unconventional manner, in an environment with several microcircuits.
  • the UTL 10 is used in an unconventional way in the sense that it is to make the various secure assemblies communicate with each other that they are placed simultaneously in the field of the UTL, unlike a conventional use, where, when several microcircuits are in the UTL field, we select only one to communicate with the UTL.
  • the UTL 10 can be a simple conventional personal computer (PC).
  • the machine secure module also communicates with the other secure assemblies via the UTL 10. For this, the secure module is connected to the UTL 10 by a conventional wired link. Typically, the UTL 10 is part of the personalization machine.
  • the UTL 10 and the four secure sets represented in the form of three smart cards € 1, E2, E4 and a secure module E3, are also illustrated in FIG. 2, which shows that a database or " back-office "is connected to the UTL 10 of a personalization machine 20.
  • the database contains the personal data to be written in or on the object to be personalize. These data are preferably stored in encrypted form for security reasons.
  • One of the four secure assemblies for example the batch microcircuit card, is suitable for securely accessing this database, for example by means of an authentication procedure of the card with the database and the creation of a session key.
  • the secure machine module can also be removable relative to the body of the personalization machine.
  • the object to be personalized and the machine secure module can use contactless technology, and the batch card as well as the operator card can use USB keys inserted in the UTL.
  • any communication interface allowing the selection of several cards, such as an interface conforming to the BlueTooth standard or even WiFi, can be used.
  • the machine secure module is, prior to the implementation of the process for personalizing the object, which is itself personalized during the manufacture of the machine.
  • the personalization of the secure machine module notably consists in storing therein a secret datum which is for example a master secret key MSK m (in English "Master Secret Key") identical for a given set of machines. It can be, for example, all the machines of the same site, the same region or a particular type.
  • the personalization of the machine secure module also consists in storing therein information specific to the machine with which it will be associated, such as its serial number, its type, or even its date of commissioning.
  • a secret master key MSK op common to at least a certain number. operators.
  • This master key can for example be common to all operators of the same site, the same region or a particular type.
  • the key which will be used will not be MSKm master key but a diversified version by means of diversification information constituted for example by the serial number of the machine used for the personalization of the object.
  • a personalization step 32 of the operator card consists in storing therein a secret master key MSK op , identical for all the operators of the same customer, as well as, optionally, an operator number, his name and surname, a photograph of identity and other personal information about him, such as his fingerprints.
  • the key which will be used during exchanges between the various cards and the object will be a version of the MSK op key diversified by means of diversification information constituted for example by the unique number identifying each operator.
  • the key MSK m common to at least a certain number of machines is also stored in the operator card, for example, to all the machines of a given administration of a region, site or particular type.
  • a step 34 of pre-personalizing the objects to be personalized consists in writing in or on the object all the data common to all the objects in a batch, for example linked to the operating system and to the keys allowing secure access to the objects or object type.
  • 0t the same for all objects to customize a lot.
  • the secret master keys MSK op and MSK m are respectively stored in each object of the operators and of the machines called upon to intervene during the personalization of the batch of objects. Typically, this is the master key associated with the operators of the sites or regions in which it is planned to personalize the objects.
  • the batch card is also personalized, in a known manner.
  • This personalization consists in particular in storing in the batch card the secret master key MSK
  • 0t which will be used during exchanges between the various cards and the object will be a diversified version by means of diversification information constituted for example by a unique object number.
  • Steps 30, 32 and 34 can be performed in any order.
  • a step 36 of initializing the method is then carried out.
  • an authorized authority for example a person hierarchically superior to the operators, stores in each operator card the list L m of the serial numbers of the machines on which the operator is authorized to work and stores in the machine secure module, the L op list of the numbers of operators authorized to work on this machine.
  • This step must be particularly secure in relation to the steps for personalizing the object. It can be carried out by adaptations or an adapted organization, for example in a small shielded room, communicating with the secure modules of the personalization machines, and whose access is very controlled, for example by biometric identifications, a code of access and an airlock allowing only one person to pass.
  • This step can take place when the machine is started up at the customer's site, then periodically, for example at the start of each day by the team leader, depending on the exact distribution of operators by machine, operators present, and machines in service.
  • the operator card (s) and batch are programmed for the personalization of the batch, also by an authority authorized under security conditions similar to those from step 36.
  • the authorized authority determines the operators who will work on this lot according to production planning.
  • 0 t is installed in the memory of the cards of the operators who will work on this batch. This installation procedure is indicated by dashed arrows in Figure 1.
  • steps 36 and 38 are carried out in FIG. 3 is in no way limiting. Steps 36 and 38 can be carried out in any order.
  • the machine secure modules and the operator and batch cards are authenticated reciprocally or not using the diversified versions of the corresponding MSKj secret keys and L, lists.
  • the triplet secure machine module, operator card, batch card
  • This knowledge is reflected in the presence, in the memory of the operator card, of lists of authorized elements (machine (s), batch (s)). In the particular example described here, this is the list L m of authorized machines.
  • the list of authorized lots is implicitly determined by the list of keys MSK
  • the batch card for a given batch can only authenticate the operator card if it contains the key MSK
  • this knowledge results in the presence, in the memory of the operator card, of an explicit enumeration of all the possible triplets of authorized elements. If the operator card does not have such an explicit enumeration, but only a list of authorized elements, it includes means adapted to form from this list all the possible combinations of authorized elements.
  • the invention can use any type of authentication scheme and cryptography algorithm known to those skilled in the art. As long as we are working on the same batch and it is always the same triplet which participates in the personalization, it is not necessary to repeat the series of authentications aimed at verifying that we are indeed in the presence of the authorized triplet .
  • the secure machine module authenticates the operator card
  • the batch card authenticates the operator card
  • the operator card authenticates the batch card.
  • the object to be personalized it is authorized to work with a single batch card, but can be authorized to work with several operators and / or several machines.
  • the object contains for this purpose in memory a list, stored during the pre-personalization of the object, with the batch card, the operator cards and authorized machines, elements from which the object is adapted to deduce therefrom all possible combinations of authorized elements. In the particular example described here, these lists are implicitly determined by the presence of the keys MSK m and MSK op in the memory of the object to be personalized.
  • these master keys being limited to a site or to a region or a particular type of operator or machine, they can correspond to a number of machines and operators sufficiently limited to guarantee, in combination with step d '40 preliminary authentication, security of the personalization process.
  • the object contains an explicit enumeration of all the possible combinations of triplets (batch card, secure machine module, operator card).
  • the authentication step 40 between the participants in the personalization process is repeated. It should be checked that the new secure set is properly authorized and that the secure sets involved in the personalization process always form an authorized triplet.
  • the next step 42 is an authentication step, reciprocal or not, between the object and, respectively, the batch card, the secure machine module and the operator card.
  • the object authenticates the secure machine module and the operator and batch cards, which allows the object to recover information identifying the machine, the operator and the batch, for traceability of personalization.
  • One or more of the cards for example the batch card, are suitable for securely accessing the database, illustrated in FIG. 2, containing the personal data relating to the object. This access is done by example by means of a session key, or by another cryptographic mechanism implementing for example the key MSK
  • the trace stored in the personalized object will not correspond to any listed machine, nor any registered operator, nor any existing batch; thus, even if the personalization of the object could have been carried out by the fraudster, we will be able to recognize that this personalized object is a fake.
  • This trace can be secured by the use of an authentication code, obtained for example by the use of a hash function, such as SHA-1 or MD5, well known to those skilled in the art, and the use of a cryptography algorithm (for example of the DES type) involving one of the diversified MSK- keys.
  • a hash function such as SHA-1 or MD5
  • a cryptography algorithm for example of the DES type
  • the personalization step 44 itself can be carried out.
  • personal information specific to the future user of the object is entered in or on the object, mechanically (by printing, engraving, embossing, etc.), electronic, optical, chemical or by any other technique.
  • This data comes from the database (illustrated in Figure 2 previously described) and is stored there.
  • the total number of secure assemblies can be limited to three, the object including, by grouping the batch card and the operator card in a single card, or by grouping the machine secure module and the operator card. .
  • n of secure sets n being at less than 2
  • n being at less than 2
  • This method comprises a certain number of authentication steps between the secure sets taken two by two. For example, in the field of banking transactions, given a store delivering loyalty points to its customers on their loyalty card during each purchase, supposedly made by bank card, the invention makes it possible to avoid fraudulent obtaining loyalty points, or their allocation to a customer other than the one who made the purchase giving the right to these loyalty points, or even preventing a customer from recovering loyalty points corresponding to another store.
  • the loyalty card which knows the triplet (loyalty card, payment card, seller's card) authorized, authenticates the payment card and the seller's card.
  • the operation of allocating loyalty points may possibly also involve a fourth secure assembly, associated with the store: it may for example be a fourth microcircuit card inseparable from the cash register with which the customer pays his purchase.
  • the loyalty card also authenticates the store card.
  • the communication method according to the present invention applies of course to a large number of other fields not listed here.

Abstract

The invention relates to a method for the secure personalisation of an object consisting of a first secure assembly (E1) comprising a first memory unit and a first microcircuit. The inventive method involves the use of n-1 secure assemblies (E2, E3) in addition to the first secure assembly (E1), n being an integer strictly greater than 2, each of the n-1 secure assemblies (E2, E3) comprising a memory unit and a microcircuit, and forming with the object an authorised n-tuple which is known by at least one of the secure assemblies. The method comprises a plurality of authentication steps between the secure assemblies, which are taken in pairs, prior to a personalisation step consisting in writing personal object-specific data in or on said object. The invention can be used for government securities, official documents, tickets or travel documents.

Description

PROCEDE DE PERSONNALISATION SECURISEE D'UN OBJET METHOD FOR SECURE PERSONALIZATION OF AN OBJECT
La présente invention se rapporte à un procédé de personnalisation sécurisée d'un objet. Plus généralement, la présente invention concerne un procédé de communication sécurisée entre une pluralité d'ensembles sécurisés.The present invention relates to a method of secure personalization of an object. More generally, the present invention relates to a method of secure communication between a plurality of secure assemblies.
Dans son exemple d'application plus particulièrement décrit ici, l'invention propose un procédé pour personnaliser de façon sécurisée un objet comportant un ensemble sécurisé constitué d'une unité de mémorisation et d'un microcircuit adapté à communiquer avec l'extérieur en utilisant une technologie sans contact. Par personnalisation, on entend l'écriture, dans ou sur l'objet, par voie mécanique, électronique, optique, chimique ou par toute autre technique, de données personnelles propres à cet objet.In its application example more particularly described here, the invention proposes a method for securely personalizing an object comprising a secure assembly consisting of a storage unit and a microcircuit adapted to communicate with the outside by using a contactless technology. Personalization means the writing, in or on the object, by mechanical, electronic, optical, chemical or any other technique, of personal data specific to this object.
A l'heure actuelle, lors de la personnalisation d'un objet, des authentifications peuvent être effectuées de façon séquentielle entre une première entité et une deuxième entité participant au processus de personnalisation, ce qui conditionne le blocage du processus de personnalisation si le résultat de cette première authentification est négatif, ou le déclenchement d'une deuxième authentification entre la deuxième entité et une troisième entité participant également au processus de personnalisation, et ainsi de suite. Typiquement, la deuxième entité est un module de sécurité matériel ouCurrently, when personalizing an object, authentications can be carried out sequentially between a first entity and a second entity participating in the personalization process, which conditions the blocking of the personalization process if the result of this first authentication is negative, or the triggering of a second authentication between the second entity and a third entity also participating in the personalization process, and so on. Typically, the second entity is a hardware security module or
HSM (en anglais "Hardware Security Module"), tel qu'une carte PCI IBM 4758, et la troisième entité est une carte à microcircuit associée à un opérateur.HSM (in English "Hardware Security Module"), such as an IBM 4758 PCI card, and the third entity is a microcircuit card associated with an operator.
Cependant, lors de ces authentifications séquentielles, on ne vérifie pas qu'on est bien en présence d'un triplet autorisé formé par les trois entités. Par exemple on ne vérifie pas si l'opérateur associé à la troisième entité est bien autorisé à réaliser la personnalisation de la première entité. On vérifie uniquement que l'opérateur est bien autorisé à réaliser une opération de personnalisation sur un objet quelconque ou un type d'objet particulier, mais pas sur un objet ou lot d'objets précis. En outre, ces authentifications ne prennent en général pas en compte plus de deux entités dans une procédure d'authentification en plus de l'objet à personnaliser.However, during these sequential authentications, we do not verify that we are indeed in the presence of an authorized triplet formed by the three entities. For example, it is not checked whether the operator associated with the third entity is authorized to carry out the personalization of the first entity. We only check that the operator is authorized to carry out a personalization operation on any object or a particular type of object, but not on a specific object or batch of objects. In addition, these authentications do not generally take into account more than two entities in an authentication procedure in addition to the object to be personalized.
Par ailleurs, un centre de personnalisation d'objets tel qu'on l'envisage ici est un lieu présentant une sécurité réduite par rapport à un centre de personnalisation d'un fabricant de cartes habituel (par exemple, cartes bancaires). Les opérateurs sont plus nombreux, plus dispersés géographiquement et moins contrôlés. En effet, les objets à personnaliser sont par exemple (mais pas seulement) des documents officiels ou des documents de voyage. Bien souvent, la personnalisation de ces documents, lorsqu'ils sont sous forme électronique, se fait de façon décentralisée et donc, pas nécessairement dans un centre d'un fabricant de cartes habituel, très sécurisé, mais plutôt, par exemple, dans des mairies ou des préfectures, qui n'ont pas les mêmes infrastructures de sécurité (par exemple, contrôle d'accès). Le risque de fraude accru lié notamment à cette réduction de la sécurité présente des inconvénients.Furthermore, a center for personalizing objects as envisaged here is a place with reduced security compared to a center for personalization of a usual card manufacturer (for example, bank cards). There are more operators, more geographically dispersed and less controlled. Indeed, the objects to be personalized are for example (but not only) official documents or travel documents. Very often, the personalization of these documents, when they are in electronic form, is done in a decentralized way and therefore, not necessarily in a center of a usual card manufacturer, very secure, but rather, for example, in town halls or prefectures, which do not have the same security infrastructures (for example, access control). The increased risk of fraud linked in particular to this reduction in security has drawbacks.
La présente invention a pour but de remédier à ces inconvénients. Dans ce but, l'invention propose un procédé de personnalisation sécurisée d'un objet comportant un premier ensemble sécurisé constitué d'une première unité de mémorisation et d'un premier microcircuit, remarquable en ce qu'il met en œuvre n-1 ensembles sécurisés en plus du premier ensemble sécurisé, n étant un entier strictement supérieur à 2, chacun desdits ensembles sécurisés étant constitués d'une unité de mémorisation et d'un microcircuit, et formant avec l'objet un n-uplet autorisé, connu d'au moins un des ensembles sécurisés, et en ce que le procédé comporte une pluralité d'étapes d'authentification entre les ensembles sécurisés pris deux à deux, préalablement à une étape de personnalisation consistant à écrire, dans ou sur l'objet, des données personnelles propres à cet objet.The present invention aims to remedy these drawbacks. To this end, the invention provides a method of secure personalization of an object comprising a first secure set consisting of a first storage unit and a first microcircuit, remarkable in that it implements n-1 sets secure in addition to the first secure set, n being an integer strictly greater than 2, each of said secure sets being made up of a storage unit and a microcircuit, and forming with the object an authorized n-tupl, known from at least one of the secure sets, and in that the method comprises a plurality of authentication steps between the secure sets taken two by two, prior to a personalization step consisting of writing, in or on the object, data specific to this object.
Ces étapes d'authentification entre les divers ensembles sécurisés confèrent un caractère sécurisé au processus de personnalisation de l'objet, ce qui permet de décentraliser les diverses opérations à réaliser sur l'objet en vue de le personnaliser. On améliore ainsi la sécurité du processus de personnalisation, ce qui permet de réaliser la personnalisation dans un environnement moins sécurisé. L'invention offre ainsi les avantages d'un procédé à faible coût en raison d'un moindre investissement dans la sécurité de l'environnement dans lequel est effectuée la personnalisation. Ce procédé peut être adapté à tout schéma classique de gestion de clés du type Kerberos ou PKI (infrastructures de clés publiques, en anglais "Public Key Infrastructures").These authentication steps between the various secure assemblies give a secure character to the process of personalizing the object, which makes it possible to decentralize the various operations to be carried out on the object in order to personalize it. This improves the security of the personalization process, which allows personalization to be carried out in a less secure environment. The invention thus offers the advantages of a low-cost process due to a lower investment in the security of the environment in which the personalization is carried out. This process can be adapted to any scheme classic key management type Kerberos or PKI (public key infrastructure, in English "Public Key Infrastructures").
Avantageusement, afin de réduire le risque de fraude, on prévoit que l'objet vérifie que les autres ensembles sécurisés sont bien autorisés à participer à sa personnalisation. A cet effet, l'objet à personnaliser authentifie les n-1 ensembles sécurisés.Advantageously, in order to reduce the risk of fraud, provision is made for the object to verify that the other secure assemblies are indeed authorized to participate in its personalization. To this end, the object to be personalized authenticates the n-1 secure sets.
Avantageusement, à l'issue de l'étape de personnalisation de l'objet, la première unité de mémorisation conserve une trace permettant d'identifier au moins un des ensembles sécurisés ayant participé au processus de personnalisation parmi les n-1 ensembles sécurisés.Advantageously, at the end of the object personalization step, the first storage unit keeps a trace making it possible to identify at least one of the secure sets having participated in the personalization process among the n-1 secure sets.
Ainsi, l'invention garantit la traçabilité, dans l'objet personnalisé, des personnes ou matériels intervenus tout au long du processus de personnalisation de l'objet. Ces traces peuvent même figurer de façon visible sur l'objet lui-même. En outre, cette traçabilité peut être sécurisée par l'ajout d'un code d'authentification à la trace, typiquement un certificat connu de l'homme du métier.Thus, the invention guarantees the traceability, in the personalized object, of the people or materials involved throughout the process of personalizing the object. These traces can even appear visibly on the object itself. In addition, this traceability can be secured by adding an authentication code to the trace, typically a certificate known to those skilled in the art.
Dans un mode particulier de réalisation, les n-1 ensembles sécurisés sont pris parmi :In a particular embodiment, the n-1 secure sets are taken from:
- un ensemble sécurisé représentant un lot d'objets à personnaliser, - un ensemble sécurisé comportant une entité électronique sécurisée associée à une machine adaptée à personnaliser les objets de ce lot, eta secure assembly representing a batch of objects to be personalized, a secure assembly comprising a secure electronic entity associated with a machine adapted to personalize the objects of this batch, and
- un ensemble sécurisé attaché à un opérateur habilité à utiliser cette machine.- a secure assembly attached to an operator authorized to use this machine.
Cela permet de personnaliser de façon sécurisée tout objet faisant partie d'un lot, tel qu'une carte d'identité prise parmi un lot initial de cartes à personnaliser, la personnalisation étant effectuée au moyen d'une machine habilitée identifiée par un module sécurisé machine associé, et où la machine est manipulée par un opérateur habilité identifié par exemple par une carte à microcircuit opérateur en sa possession, qui l'identifie de façon unique. On augmente ainsi la sécurité, puisqu'on établit à l'avance les opérateurs qui sont autorisés à travailler sur une machine, de même que les machines sur lesquelles le lot sera traité, etc., c'est-à-dire qu'on détermine à l'avance les intervenants au processus de personnalisation. En outre, cela confère une grande adaptabilité au système, qui peut être distribué et peut être étendu très facilement en augmentant le nombre d'ensembles sécurisés lots et d'ensembles sécurisés opérateurs.This makes it possible to securely personalize any object forming part of a batch, such as an identity card taken from an initial batch of cards to be personalized, the personalization being carried out by means of an authorized machine identified by a secure module. associated machine, and where the machine is handled by an authorized operator identified for example by an operator microcircuit card in his possession, which uniquely identifies it. This increases safety, since operators who are authorized to work on a machine are established in advance, as well as the machines on which the batch will be processed, etc., i.e. determines in advance the participants in the personalization process. In addition, this provides great adaptability to the system, which can be distributed and can be extended very easily by increasing the number of batch secure sets and operator secure sets.
Avantageusement, le premier ensemble sécurisé est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact. Cette technologie est particulièrement adaptée aux documents de voyage et aux documents officiels, qui sont de plus en plus nombreux, dans leur version électronique, à mettre en œuvre cette technologie pour des raisons pratiques. On peut par exemple conserver le format d'origine d'un passeport et insérer dans le papier du passeport un microcircuit utilisant une technologie de communication sans contact.Advantageously, the first secure assembly is adapted to communicate with the outside using contactless technology. This technology is particularly suitable for travel documents and official documents, which are more and more numerous, in their electronic version, to implement this technology for practical reasons. One can for example keep the original format of a passport and insert into the passport paper a microcircuit using contactless communication technology.
Avantageusement, le procédé de personnalisation conforme à l'invention comporte une étape préliminaire d'authentification faisant intervenir les n-1 ensembles sécurisés précités. Cette étape préliminaire peut par exemple faire intervenir les ensembles sécurisés lot, machine et opérateur.Advantageously, the personalization method according to the invention includes a preliminary authentication step involving the n-1 secure sets mentioned above. This preliminary step can for example involve the batch, machine and operator secure assemblies.
Cela permet d'améliorer le rendement du procédé en termes de temps de calcul et donc de rapidité d'exécution, en permettant d'éviter de procéder à ces authentifications pour chaque nouvel objet à personnaliser.This improves the yield of the process in terms of computation time and therefore speed of execution, by making it possible to avoid carrying out these authentications for each new object to be personalized.
Avantageusement, l'étape préliminaire d'authentification est effectuée comme suit :Advantageously, the preliminary authentication step is carried out as follows:
- l'ensemble sécurisé opérateur authentifie l'ensemble sécurisé lot et l'ensemble sécurisé machine,- the operator secure set authenticates the batch secure set and the machine secure set,
- l'ensemble sécurisé machine authentifie l'ensemble sécurisé opérateur, et - l'ensemble sécurisé lot authentifie l'ensemble sécurisé opérateur.- the machine secure assembly authenticates the operator secure assembly, and - the batch secure assembly authenticates the operator secure assembly.
Du fait que l'opérateur est sur le même site que la machine, il est plus commode de faire réaliser l'authentification de l'ensemble sécurisé lot et de l'ensemble sécurisé machine par l'ensemble sécurisé opérateur, plutôt que de faire réaliser l'authentification de l'ensemble sécurisé machine et de l'ensemble sécurisé opérateur par l'ensemble sécurisé lot, par exemple, sachant que l'ensemble sécurisé lot est généralement personnalisé sur un site distinct du site où se trouvent les machines et leurs opérateurs. En outre, l'ensemble sécurisé opérateur est mobile par comparaison avec l'ensemble sécurisé machine, qui est avantageusement indissociable de celle-ci (par exemple scellé au corps de la machine, et nécessaire au fonctionnement de celle-ci), ce qui facilite, d'un point de vue logistique, les procédures d'initialisation de l'ensemble sécurisé opérateur, lors de l'arrivée d'un nouveau lot par exemple. Avantageusement, au moins un microcircuit parmi les microcircuits des n-Because the operator is on the same site as the machine, it is more convenient to have the secure batch assembly and the machine secure assembly authenticated by the operator secure set, rather than having the authentication of the secure machine set and the secure operator set by the secure batch set, for example, knowing that the secure batch set is generally personalized on a site separate from the site where the machines and their operators are located . In addition, the operator secure assembly is mobile by comparison with the machine secure assembly, which is advantageously inseparable from the latter (for example sealed to the body of the machine, and necessary for the operation thereof), which facilitates, from a logistical point of view, the initialization procedures of the secure operator assembly, when a new batch arrives, for example. Advantageously, at least one microcircuit among the microcircuits of the n-
1 ensembles sécurisés est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact.1 secure set is suitable for communicating with the outside using contactless technology.
Selon une caractéristique particulière, une unité de traitement logique assure la communication entre au moins deux ensembles sécurisés, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence.According to a particular characteristic, a logic processing unit ensures communication between at least two secure assemblies, when these are all simultaneously in its radiofrequency field.
La technologie sans contact permet une réalisation simple, relativement peu coûteuse et un fonctionnement très pratique. En effet, au plan pratique, il est plus commode de placer une carte à microcircuit sur un lecteur que de l'y insérer. Avantageusement, au moins un des ensembles sécurisés, par exemple l'ensemble sécurisé lot, est adapté à accéder de façon sécurisée à une base de données ou "back-office" contenant les données personnelles mentionnées plus haut.Contactless technology allows simple, relatively inexpensive production and very practical operation. In practice, it is more convenient to place a microcircuit card on a reader than to insert it there. Advantageously, at least one of the secure sets, for example the secure batch set, is suitable for securely accessing a database or "back-office" containing the personal data mentioned above.
L'ensemble sécurisé lot contient en effet des données spécifiques au lot, communes à tous les objets à personnaliser. Il peut être commode de mémoriser dans l'ensemble sécurisé lot la clé de déchiffrement des données personnelles contenues dans la base de données.The secure batch set indeed contains batch-specific data, common to all the objects to be personalized. It may be convenient to store the decryption key of the personal data contained in the database in the secure batch set.
L'ensemble sécurisé lot et/ou l'ensemble sécurisé machine peut être une carte à microcircuit. L'objet peut être un titre émis par l'Etat, tel qu'une carte d'identité, un passeport, un visa ou une carte grise (en anglais "vehicle registration papers"), ou un autre document à caractère officiel, tel qu'un acte notarié, ou encore un titre de transport, tel qu'une carte d'abonnement pour emprunter les transports en commun, ou un document de voyage, tel qu'un permis de conduire, ou un ticket de péage ou autre justificatif d'un droit à transiter, du type des autorisations délivrées par exemple par la ville de Mexico aux automobilistes, pour entrer dans la ville. Grâce à la présente invention, la personnalisation de ces objets peut être décentralisée, par exemple effectuée dans des mairies ou des préfectures, sans qu'il soit besoin d'augmenter la sécurité de ces lieux.The batch security assembly and / or the machine security assembly may be a microcircuit card. The object can be a title issued by the State, such as an identity card, passport, visa or gray card (in English "vehicle registration papers"), or another document of an official nature, such than a notarial deed, or a transport ticket, such as a subscription card to use public transport, or a travel document, such as a driving license, or a toll ticket or other documentary evidence a right to transit, such as permits issued by Mexico City to motorists, for example, to enter the city. Thanks to the present invention, the personalization of these objects can be decentralized, for example carried out in town halls or prefectures, without the need to increase the security of these places.
Dans le même but que celui indiqué plus haut, la présente invention propose, plus généralement, un procédé de communication sécurisée, remarquable en ce qu'il met en œuvre n ensembles sécurisés, n étant un entier au moins égal à 2, chacun des ensembles sécurisés étant constitué d'une unité de mémorisation et d'un microcircuit, et formant un n-uplet autorisé connu d'au moins un des ensembles sécurisés, et en ce que le procédé comporte une pluralité d'étapes d'authentification entre les ensembles sécurisés pris deux à deux.For the same purpose as that indicated above, the present invention proposes, more generally, a secure communication method, remarkable in that it implements n secure sets, n being an integer at least equal to 2, each of the sets being made up of a storage unit and a microcircuit, and forming an authorized n-tuplet known from at least one of the secure sets, and in that the method comprises a plurality of authentication steps between the sets secure taken two by two.
Selon une caractéristique particulière, au moins une des unités de mémorisation conserve une trace permettant d'identifier au moins un des n ensembles sécurisés.According to a particular characteristic, at least one of the storage units keeps a trace making it possible to identify at least one of the n secure sets.
Cette trace peut comporter un code d'authentification. Avantageusement, au moins un des ensembles sécurisés est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact.This trace can include an authentication code. Advantageously, at least one of the secure assemblies is suitable for communicating with the outside using contactless technology.
Selon une caractéristique particulière, une unité de traitement logique assure la communication entre au moins deux ensembles sécurisés, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence. Au moins un des ensembles sécurisés peut être une carte à microcircuit.According to a particular characteristic, a logic processing unit ensures communication between at least two secure assemblies, when these are all simultaneously in its radiofrequency field. At least one of the secure assemblies can be a microcircuit card.
Le procédé de communication et ses caractéristiques particulières mentionnées ci-dessus présentent des avantages similaires à ceux du procédé de personnalisation. Ces avantages ne sont donc pas répétés ici.The communication method and its particular characteristics mentioned above have advantages similar to those of the personalization method. These advantages are therefore not repeated here.
D'autres aspects et avantages de l'invention apparaîtront à la lecture de la description détaillée qui suit d'un mode particulier de réalisation, donné à titre d'exemples non limitatifs. La description est faite en référence aux dessins qui l'accompagnent, dans lesquels : la figure 1 est un synoptique des différents échanges entre les ensembles sécurisés participant au procédé de personnalisation conforme à la présente invention, dans un mode particulier de réalisation ; la figure 2 représente de façon schématique différentes entités intervenant dans le procédé de personnalisation conforme à la présente invention, dans un mode particulier de réalisation ; et . - la figure 3 est un organigramme illustrant des étapes du procédé de personnalisation conforme à la présente invention, dans un mode particulier de réalisation.Other aspects and advantages of the invention will appear on reading the following detailed description of a particular embodiment, given by way of nonlimiting examples. The description is made with reference to the accompanying drawings, in which: FIG. 1 is a block diagram of the various exchanges between the secure assemblies participating in the personalization process according to the present invention, in a particular embodiment; FIG. 2 schematically represents different entities involved in the personalization process according to the present invention, in a particular embodiment; and . - Figure 3 is a flowchart illustrating steps of the personalization process according to the present invention, in a particular embodiment.
Conformément à la présente invention, dans l'exemple particulier d'application qu'on a choisi de décrire en détail ici, on cherche à personnaliser de façon sécurisée un objet tel qu'un titre émis par l'Etat (carte d'identité, passeport, etc.), un autre document à caractère officiel (acte notarié par exemple), un titre de transport (carte d'abonnement pour emprunter les transports en commun, par exemple) un document de voyage (du type du "ticket de passage" pour circuler en automobile à Mexico, mentionné en introduction).In accordance with the present invention, in the particular example of application which we have chosen to describe in detail here, we seek to personalize securely an object such as a title issued by the State (identity card, passport, etc.), another document of an official nature (notarial deed for example), a transport ticket (subscription card to use public transport, for example) a travel document (of the type of "transit ticket" "for driving in Mexico City, mentioned in the introduction).
Les exemples précédents sont des applications privilégiées de l'invention, données à titre nullement limitatif. Ainsi, l'invention peut aussi bien s'appliquer à une carte bancaire, une carte SIM ou une carte mémoire.The foregoing examples are preferred applications of the invention, given without limitation. Thus, the invention can also be applied to a bank card, a SIM card or a memory card.
Pour cela, l'objet comporte un premier ensemble sécurisé E1 constitué d'une première unité de mémorisation, telle qu'une mémoire non volatile, par exemple de type ROM ou EEPROM, et d'un premier microcircuit adapté à communiquer avec l'extérieur en utilisant une technologie sans contact.For this, the object comprises a first secure assembly E1 consisting of a first storage unit, such as a non-volatile memory, for example of the ROM or EEPROM type, and of a first microcircuit adapted to communicate with the outside. using contactless technology.
Comme le montre la figure 1, le procédé conforme à la présente invention fait également intervenir un deuxième ensemble sécurisé E2 constitué d'une deuxième unité de mémorisation et d'un deuxième microcircuit, qui est, dans cet exemple, nullement limitatif, une carte à microcircuit lot, représentative d'un lot d'objets à personnaliser. Le procédé de personnalisation fait aussi intervenir un troisième ensemble sécurisé E3 constitué d'une troisième unité de mémorisation et d'un troisième microcircuit, qui est, dans cet exemple, un module sécurisé machine, indissociable d'une machine adaptée à personnaliser les objets du lot défini par des données communes mémorisées dans la carte lot de l'ensemble sécurisé E2. Le module sécurisé peut par exemple être scellé au corps de la machine de personnalisation et comporter des éléments indispensables à son fonctionnement de sorte qu'on ne puisse pas retirer ce module ou le mettre hors service sans entraver l'utilisation de la machine de personnalisation. Le module sécurisé machine peut par exemple contenir des moyens d'autotest, voire une licence d'utilisation. Le module sécurisé machine permet ainsi à la machine d'effectuer des opérations d'auto-test, qui ne font pas l'objet de l'invention et ne seront donc pas décrites ici.As shown in Figure 1, the method according to the present invention also involves a second secure assembly E2 consisting of a second storage unit and a second microcircuit, which is, in this example, in no way limiting, a card to batch microcircuit, representative of a batch of objects to be personalized. The personalization process also involves a third secure assembly E3 consisting of a third storage unit and a third microcircuit, which is, in this example, a machine secure module, inseparable from a machine adapted to personalize the objects of the batch defined by common data stored in the batch card of the secure assembly E2. The secure module can for example be sealed to the body of the personalization machine and include elements essential to its operation so that one cannot remove this module or put it out of service without hampering the use of the personalization machine. The secure machine module can for example contain self-test means, or even a user license. The machine secure module thus allows the machine to perform self-test operations, which are not the subject of the invention and will therefore not be described here.
Dans le mode particulier de réalisation de la figure 1 , le procédé de personnalisation fait en outre intervenir un quatrième ensemble sécurisé E4, constitué d'une quatrième unité de mémorisation et d'un quatrième microcircuit, qui est, dans cet exemple, une carte à microcircuit opérateur, attachée à un opérateur habilité à utiliser la machine spécifiée par le module sécurisé machine de l'ensemble sécurisé E3. Dans l'exemple décrit ici, les ensembles sécurisés E1 , E2, et E4 communiquent avec l'extérieur (et notamment avec un ou plusieurs des autres ensembles sécurisés) en utilisant une technologie sans contact, par exemple du type utilisant un couplage inductif.In the particular embodiment of FIG. 1, the personalization method also involves a fourth secure assembly E4, consisting of a fourth storage unit and a fourth microcircuit, which is, in this example, a card operator microcircuit, attached to an operator authorized to use the machine specified by the machine secure module of the E3 secure assembly. In the example described here, the secure assemblies E1, E2, and E4 communicate with the outside (and in particular with one or more of the other secure assemblies) using contactless technology, for example of the type using inductive coupling.
Une unité de traitement logique UTL 10 assure la communication entre les ensembles sécurisés E1 , E2, et E4, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence, lequel est matérialisé sur le dessin par un cercle en tirets. L'UTL est en effet pourvue d'un lecteur sans contact de structure connue en soi, utilisé de façon non conventionnelle, dans un environnement à plusieurs microcircuits. L'UTL 10 est utilisée de façon non conventionnelle au sens où c'est pour faire communiquer entre eux les différents ensembles sécurisés qu'on les place simultanément dans le champ de l'UTL, contrairement à une utilisation classique, où, lorsque plusieurs microcircuits se trouvent dans le champ de l'UTL, on en sélectionne un seul pour communiquer avec l'UTL. L'UTL 10 peut être un simple ordinateur personnel (PC) classique. Le module sécurisé machine communique également avec les autres ensembles sécurisés par l'intermédiaire de l'UTL 10. Pour cela, le module sécurisé est connecté à l'UTL 10 par une liaison filaire classique. Typiquement, l'UTL 10 fait partie de la machine de personnalisation.A logic processing unit UTL 10 ensures communication between the secure assemblies E1, E2, and E4, when these are all simultaneously in its radiofrequency field, which is shown on the drawing by a dashed circle. The UTL is in fact provided with a contactless reader of structure known per se, used in an unconventional manner, in an environment with several microcircuits. The UTL 10 is used in an unconventional way in the sense that it is to make the various secure assemblies communicate with each other that they are placed simultaneously in the field of the UTL, unlike a conventional use, where, when several microcircuits are in the UTL field, we select only one to communicate with the UTL. The UTL 10 can be a simple conventional personal computer (PC). The machine secure module also communicates with the other secure assemblies via the UTL 10. For this, the secure module is connected to the UTL 10 by a conventional wired link. Typically, the UTL 10 is part of the personalization machine.
L'UTL 10 et les quatre ensembles sécurisés, représentés sous forme de trois cartes à puce €1, E2, E4 et d'un module sécurisé E3, sont également illustrés sur la figure 2, qui montre qu'une base de données ou "back-office" est connectée à l'UTL 10 d'une machine de personnalisation 20. La base de données contient les données personnelles à écrire dans ou sur l'objet à personnaliser. Ces données sont de préférence mémorisées sous forme chiffrée pour des raisons de sécurité. Un des quatre ensembles sécurisés, par exemple la carte à microcircuit lot, est adaptée à accéder de façon sécurisée à cette base de données, par exemple moyennant une procédure d'authentification de la carte auprès de la base de données et la création d'une clé de session.The UTL 10 and the four secure sets, represented in the form of three smart cards € 1, E2, E4 and a secure module E3, are also illustrated in FIG. 2, which shows that a database or " back-office "is connected to the UTL 10 of a personalization machine 20. The database contains the personal data to be written in or on the object to be personalize. These data are preferably stored in encrypted form for security reasons. One of the four secure assemblies, for example the batch microcircuit card, is suitable for securely accessing this database, for example by means of an authentication procedure of the card with the database and the creation of a session key.
En variante, en lieu et place d'une interface sans contact pour l'UTL, ou en association avec l'interface sans contact, il est possible d'utiliser un autre type d'interface, comme un bus USB. Le module sécurisé machine peut être également amovible par rapport au corps de la machine de personnalisation. A titre d'exemple nullement limitatif, l'objet à personnaliser et le module sécurisé machine peuvent utiliser une technologie sans contact, et la carte lot ainsi que la carte opérateur peuvent utiliser des clés USB insérées dans l'UTL. Plus généralement, toute interface de communication autorisant la sélection de plusieurs cartes, telle qu'une interface conforme à la norme BlueTooth ou encore WiFi, peut être utilisée.Alternatively, instead of a contactless interface for the UTL, or in combination with the contactless interface, it is possible to use another type of interface, such as a USB bus. The secure machine module can also be removable relative to the body of the personalization machine. As a non-limiting example, the object to be personalized and the machine secure module can use contactless technology, and the batch card as well as the operator card can use USB keys inserted in the UTL. More generally, any communication interface allowing the selection of several cards, such as an interface conforming to the BlueTooth standard or even WiFi, can be used.
Comme le montre l'organigramme de la figure 3, préalablement au déroulement du procédé de personnalisation proprement dit, des opérations de personnalisation des diverses cartes appelées à intervenir dans la personnalisation de l'objet sont effectuées. Ces opérations de personnalisation sont effectuées dans un lieu sécurisé.As shown in the flow diagram of FIG. 3, before the personalization process proper takes place, operations for personalizing the various cards called upon to intervene in the personalization of the object are carried out. These personalization operations are carried out in a secure location.
Ainsi, lors d'une étape de personnalisation 30 du module sécurisé machine, le module sécurisé machine est, préalablement à la mise en œuvre du procédé de personnalisation de l'objet, lui-même personnalisé lors de la fabrication de la machine. La personnalisation du module sécurisé machine consiste notamment à y mémoriser une donnée secrète qui est par exemple une clé secrète maître MSKm (en anglais "Master Secret Key") identique pour un ensemble de machines donné. Il peut s'agir, par exemple, de toutes les machines d'un même site, d'une même région ou d'un type particulier. La personnalisation du module sécurisé machine consiste en outre à y mémoriser des informations spécifiques à la machine à laquelle il sera associé, telles que son numéro de série, son type, ou encore sa date de mise en service. Enfin, lors de l'étape de personnalisation 30 du module sécurisé machine, on y mémorise une clé secrète maître MSKop commune à au moins un certain nombre d'opérateurs. Cette clé maître peut être par exemple commune à tous les opérateurs d'un même site, d'une même région ou d'un type particulier.Thus, during a personalization step 30 of the machine secure module, the machine secure module is, prior to the implementation of the process for personalizing the object, which is itself personalized during the manufacture of the machine. The personalization of the secure machine module notably consists in storing therein a secret datum which is for example a master secret key MSK m (in English "Master Secret Key") identical for a given set of machines. It can be, for example, all the machines of the same site, the same region or a particular type. The personalization of the machine secure module also consists in storing therein information specific to the machine with which it will be associated, such as its serial number, its type, or even its date of commissioning. Finally, during the personalization step 30 of the secure machine module, there is stored there a secret master key MSK op common to at least a certain number. operators. This master key can for example be common to all operators of the same site, the same region or a particular type.
Lors des échanges de données qui auront lieu avec l'extérieur, notamment lors des diverses authentifications, qu'il s'agisse de l'objet à personnaliser ou des autres cartes (opérateur ou lot), la clé qui sera utilisée ne sera pas la clé maître MSKm mais une version diversifiée au moyen d'informations de diversification constituées par exemple par le numéro de série de la machine utilisée pour la personnalisation de l'objet.During data exchanges which will take place with the outside, in particular during the various authentications, whether it is the object to be personalized or other cards (operator or batch), the key which will be used will not be MSKm master key but a diversified version by means of diversification information constituted for example by the serial number of the machine used for the personalization of the object.
Une étape de personnalisation 32 de la carte opérateur consiste à y mémoriser une clé secrète maître MSKop, identique pour tous les opérateurs d'un même client, ainsi que, éventuellement, un numéro d'opérateur, ses nom et prénom, une photographie d'identité et d'autres informations personnelles le concernant, telles que ses empreintes digitales. La clé qui sera utilisée lors des échanges entre les diverses cartes et l'objet sera une version de la clé MSKop diversifiée au moyen d'informations de diversification constituées par exemple par le numéro unique identifiant chaque opérateur. Lors de l'étape de personnalisation 32 de la carte opérateur, on mémorise en outre dans la carte opérateur la clé MSKm commune à au moins un certain nombre de machines, par exemple, à toutes les machines d'une administration donnée d'une région, d'un site ou d'un type particulier.A personalization step 32 of the operator card consists in storing therein a secret master key MSK op , identical for all the operators of the same customer, as well as, optionally, an operator number, his name and surname, a photograph of identity and other personal information about him, such as his fingerprints. The key which will be used during exchanges between the various cards and the object will be a version of the MSK op key diversified by means of diversification information constituted for example by the unique number identifying each operator. During the personalization step 32 of the operator card, the key MSK m common to at least a certain number of machines is also stored in the operator card, for example, to all the machines of a given administration of a region, site or particular type.
Une étape 34 de pré-personnalisation des objets à personnaliser consiste à inscrire dans ou sur l'objet toutes les données communes à tous les objets d'un lot, par exemple liées au système d'exploitation et aux clés permettant l'accès sécurisé aux objets ou au type d'objet. Durant cette étape, de façon connue de l'homme du métier, on mémorise dans chaque objet à personnaliser la clé maître MSK|0t identique pour tous les objets à personnaliser d'un même lot. Selon l'invention, on mémorise dans chaque objet en outre les clés maîtres secrètes MSKop et MSKm respectivement des opérateurs et des machines appelés à intervenir lors de la personnalisation du lot d'objets. Typiquement, il s'agit de la clé maître associée aux opérateurs des sites ou des régions dans lesquelles il est prévu de personnaliser les objets. Durant cette étape, on personnalise également la carte lot, de façon connue. Cette personnalisation consiste notamment à mémoriser dans la carte lot la clé secrète maître MSK|0t. La version de la clé MSK|0t qui sera utilisée lors des échanges entre les diverses cartes et l'objet sera une version diversifiée au moyen d'informations de diversification constituées par exemple par un numéro unique d'objet.A step 34 of pre-personalizing the objects to be personalized consists in writing in or on the object all the data common to all the objects in a batch, for example linked to the operating system and to the keys allowing secure access to the objects or object type. During this step, in a manner known to a person skilled in the art, the master key MSK | 0t the same for all objects to customize a lot. According to the invention, the secret master keys MSK op and MSK m are respectively stored in each object of the operators and of the machines called upon to intervene during the personalization of the batch of objects. Typically, this is the master key associated with the operators of the sites or regions in which it is planned to personalize the objects. During this step, the batch card is also personalized, in a known manner. This personalization consists in particular in storing in the batch card the secret master key MSK | 0 t. The version of the MSK key | 0t which will be used during exchanges between the various cards and the object will be a diversified version by means of diversification information constituted for example by a unique object number.
Les étapes 30, 32 et 34 peuvent être effectuées dans un ordre indifférent. Une étape 36 d'initialisation du procédé est ensuite effectuée. Lors de cette initialisation, une autorité habilitée, par exemple une personne hiérarchiquement supérieure aux opérateurs, mémorise dans chaque carte opérateur la liste Lm des numéros de série des machines sur lesquelles l'opérateur est autorisé à travailler et mémorise dans le module sécurisé machine, la liste Lop des numéros des opérateurs autorisés à travailler sur cette machine. Cette étape doit être tout particulièrement sécurisée par rapport aux étapes de personnalisation de l'objet. Elle peut être réalisée par des aménagements ou une organisation adaptée, par exemple dans un petit local blindé, communiquant avec les modules sécurisés des machines de personnalisation, et dont l'accès est très contrôlé, par exemple par des identifications biométriques, un code d'accès et un sas ne laissant passer qu'une personne. Cette étape peut avoir lieu lors de la mise en route de la machine chez le client, puis périodiquement, par exemple au début de chaque journée par le chef d'équipe, en fonction de la répartition exacte des opérateurs par machine, des opérateurs présents, et des machines en service.Steps 30, 32 and 34 can be performed in any order. A step 36 of initializing the method is then carried out. During this initialization, an authorized authority, for example a person hierarchically superior to the operators, stores in each operator card the list L m of the serial numbers of the machines on which the operator is authorized to work and stores in the machine secure module, the L op list of the numbers of operators authorized to work on this machine. This step must be particularly secure in relation to the steps for personalizing the object. It can be carried out by adaptations or an adapted organization, for example in a small shielded room, communicating with the secure modules of the personalization machines, and whose access is very controlled, for example by biometric identifications, a code of access and an airlock allowing only one person to pass. This step can take place when the machine is started up at the customer's site, then periodically, for example at the start of each day by the team leader, depending on the exact distribution of operators by machine, operators present, and machines in service.
Puis, lors d'une étape 38 de lancement d'un nouveau lot, la ou les carte(s) opérateur(s) et lot sont programmées pour la personnalisation du lot, également par une autorité habilitée dans des conditions de sécurité similaires à celles de l'étape 36. L'autorité habilitée détermine les opérateurs qui travailleront sur ce lot en fonction de la planification de la production. La clé MSK|0t est installée dans la mémoire des cartes des opérateurs qui travailleront sur ce lot. Cette procédure d'installation est matérialisée par des flèches en tirets sur la figure 1.Then, during a step 38 of launching a new batch, the operator card (s) and batch are programmed for the personalization of the batch, also by an authority authorized under security conditions similar to those from step 36. The authorized authority determines the operators who will work on this lot according to production planning. The MSK key | 0 t is installed in the memory of the cards of the operators who will work on this batch. This installation procedure is indicated by dashed arrows in Figure 1.
L'ordre dans lequel sont réalisées les étapes 36 et 38 sur la figure 3 n'est nullement limitatif. Les étapes 36 et 38 peuvent être réalisées dans un ordre indifférent.The order in which steps 36 and 38 are carried out in FIG. 3 is in no way limiting. Steps 36 and 38 can be carried out in any order.
Ensuite, au démarrage d'un nouveau lot d'objets, lors d'une étape 40 d'authentification préalable, les modules sécurisés machine et les cartes opérateur et lot s'authentifient de façon réciproque ou non en utilisant les versions diversifiées des clés secrètes MSKj correspondantes et les listes L,. Pour cela, au moins une des cartes, par exemple la carte opérateur, connaît le triplet (module sécurisé machine, carte opérateur, carte lot) autorisé à participer à la personnalisation d'un objet. Cette connaissance se traduit par la présence, dans la mémoire de la carte opérateur, de listes d'éléments (machine(s), lot(s)) autorisés. Dans l'exemple particulier décrit ici, il s'agit de la liste Lm des machines autorisées. La liste des lots autorisés est déterminée implicitement par la liste des clés MSK|0t mémorisée dans la carte opérateur. En effet, la carte lot d'un lot donné ne pourra authentifier la carte opérateur que si celle-ci contient la clé MSK|0t correspondant à ce lot. En variante, cette connaissance se traduit par la présence, dans la mémoire de la carte opérateur, d'une énumération explicite de tous les triplets possibles d'éléments autorisés. Au cas où la carte opérateur ne dispose pas d'une telle énumération explicite, mais uniquement d'une liste d'éléments autorisés, elle comporte des moyens adaptés à former à partir de cette liste toutes les combinaisons possibles d'éléments autorisés.Then, at the start of a new batch of objects, during a step 40 of prior authentication, the machine secure modules and the operator and batch cards are authenticated reciprocally or not using the diversified versions of the corresponding MSKj secret keys and L, lists. For this, at least one of the cards, for example the operator card, knows the triplet (secure machine module, operator card, batch card) authorized to participate in the personalization of an object. This knowledge is reflected in the presence, in the memory of the operator card, of lists of authorized elements (machine (s), batch (s)). In the particular example described here, this is the list L m of authorized machines. The list of authorized lots is implicitly determined by the list of keys MSK | 0t stored in the operator card. Indeed, the batch card for a given batch can only authenticate the operator card if it contains the key MSK | 0t corresponding to this lot. As a variant, this knowledge results in the presence, in the memory of the operator card, of an explicit enumeration of all the possible triplets of authorized elements. If the operator card does not have such an explicit enumeration, but only a list of authorized elements, it includes means adapted to form from this list all the possible combinations of authorized elements.
En ce qui concerne l'authentification proprement dite, l'invention peut utiliser indifféremment tout type de schéma d'authentification et d'algorithme de cryptographie connus de l'homme du métier. Tant qu'on travaille sur un même lot et que c'est toujours le même triplet qui participe à la personnalisation, il n'est pas nécessaire de recommencer la série d'authentifications visant à vérifier qu'on est bien en présence du triplet autorisé.As regards authentication proper, the invention can use any type of authentication scheme and cryptography algorithm known to those skilled in the art. As long as we are working on the same batch and it is always the same triplet which participates in the personalization, it is not necessary to repeat the series of authentications aimed at verifying that we are indeed in the presence of the authorized triplet .
Dans l'exemple particulier décrit ici, les authentifications préalables entre les diverses cartes sont les suivantes :In the particular example described here, the prior authentications between the various cards are as follows:
- la carte opérateur authentifie le module sécurisé machine,- the operator card authenticates the secure machine module,
- le module sécurisé machine authentifie la carte opérateur,- the secure machine module authenticates the operator card,
- la carte lot authentifie la carte opérateur, et- the batch card authenticates the operator card, and
- la carte opérateur authentifie la carte lot. Quant à l'objet à personnaliser, il est autorisé à travailler avec une seule carte lot, mais peut être autorisé à travailler avec plusieurs opérateurs et/ou plusieurs machines. L'objet contient à cet effet en mémoire une liste, stockée lors de la pré-personnalisation de l'objet, avec la carte lot, les cartes opérateurs et les machines autorisées, éléments à partir desquels l'objet est adapté à en déduire toutes les combinaisons possibles d'éléments autorisés. Dans l'exemple particulier décrit ici, ces listes sont déterminées implicitement par la présence des clés MSKm et MSKop dans la mémoire de l'objet à personnaliser. En effet, ces clés maîtres étant limitées à un site ou à une région ou un type particulier d'opérateur ou de machine, elles peuvent correspondre à un nombre de machines et d'opérateurs suffisamment limité pour garantir, en combinaison avec l'étape d'authentification préliminaire 40, la sécurité du processus de personnalisation. En variante, l'objet contient une énumération explicite de toutes les combinaisons possibles de triplets (carte lot, module sécurisé machine, carte opérateur) autorisés.- the operator card authenticates the batch card. As for the object to be personalized, it is authorized to work with a single batch card, but can be authorized to work with several operators and / or several machines. The object contains for this purpose in memory a list, stored during the pre-personalization of the object, with the batch card, the operator cards and authorized machines, elements from which the object is adapted to deduce therefrom all possible combinations of authorized elements. In the particular example described here, these lists are implicitly determined by the presence of the keys MSK m and MSK op in the memory of the object to be personalized. Indeed, these master keys being limited to a site or to a region or a particular type of operator or machine, they can correspond to a number of machines and operators sufficiently limited to guarantee, in combination with step d '40 preliminary authentication, security of the personalization process. As a variant, the object contains an explicit enumeration of all the possible combinations of triplets (batch card, secure machine module, operator card).
Il est à noter que l'UTL 10 est transparente vis-à-vis de ces échanges entre cartes.It should be noted that the UTL 10 is transparent vis-à-vis these exchanges between cards.
Ces authentifications peuvent aussi être suivies par la génération d'une clé de session, de façon connue en soi, pour chiffrer les messages échangés ultérieurement entre les différents ensembles sécurisés.These authentications can also be followed by the generation of a session key, in a manner known per se, for encrypting the messages exchanged subsequently between the different secure sets.
En cas de changement d'opérateur ou de lot, l'étape 40 d'authentification entre les intervenants au processus de personnalisation est réitérée. Il convient de vérifier que le nouvel ensemble sécurisé est bien autorisé et que les ensembles sécurisés intervenant dans le processus de personnalisation forment toujours un triplet autorisé.In the event of a change of operator or batch, the authentication step 40 between the participants in the personalization process is repeated. It should be checked that the new secure set is properly authorized and that the secure sets involved in the personalization process always form an authorized triplet.
L'étape suivante 42 est une étape d'authentification, réciproque ou non, entre l'objet et, respectivement, la carte lot, le module sécurisé machine et la carte opérateur. Ainsi, pour chaque objet à personnaliser :The next step 42 is an authentication step, reciprocal or not, between the object and, respectively, the batch card, the secure machine module and the operator card. Thus, for each object to be personalized:
- la carte lot authentifie l'objet, et- the batch card authenticates the object, and
- l'objet authentifie le module sécurisé machine et les cartes opérateur et lot, ce qui permet à l'objet de récupérer les informations identifiant la machine, l'opérateur et le lot, pour traçabilité de la personnalisation. Une ou plusieurs des cartes, par exemple la carte lot, sont adaptées à accéder de façon sécurisée à la base de données, illustrée sur la figure 2, contenant les données personnelles relatives à l'objet. Cet accès se fait par exemple au moyen d'une clé de session, ou par le biais d'un autre mécanisme cryptographique mettant en œuvre par exemple la clé MSK|0t.- the object authenticates the secure machine module and the operator and batch cards, which allows the object to recover information identifying the machine, the operator and the batch, for traceability of personalization. One or more of the cards, for example the batch card, are suitable for securely accessing the database, illustrated in FIG. 2, containing the personal data relating to the object. This access is done by example by means of a session key, or by another cryptographic mechanism implementing for example the key MSK | 0t .
Le tableau ci-dessous envisage toutes les situations possibles de tentative de fraude en utilisant une ou plusieurs fausses cartes, voire un faux objet (ces faux étant supposés ne pas posséder les clés secrètes MSKj) et indique le ou les ensemble(s) sécurisé(s) qui, à la suite de l'authentification, détectera la présence d'un élément non autorisé et bloquera le processus de personnalisation. Une carte ou un objet authentique est désigné par la lettre V (vrai) et un faux, par la lettre F (faux).The table below considers all the possible situations of attempted fraud by using one or more false cards, or even a false object (these false being supposed not to have the secret keys MSKj) and indicates the set (s) secure ( s) which, following authentication, will detect the presence of an unauthorized item and block the personalization process. An authentic card or object is designated by the letter V (true) and a fake, by the letter F (false).
Figure imgf000016_0001
V V La carte lot et l'objet bloquent la procédure
Figure imgf000016_0001
VV The batch card and the object block the procedure
V La carte lot bloque la procédureV The batch card blocks the procedure
V L'objet bloque la procédureV The object blocks the procedure
La trace mémorisée sera invalideThe memorized track will be invalid
Dans le dernier cas, où le module sécurisé machine, les cartes opérateur et lot ainsi que l'objet sont faux, la trace mémorisée dans l'objet personnalisé ne correspondra à aucune machine répertoriée, ni aucun opérateur enregistré, ni aucun lot existant ; ainsi, même si la personnalisation de l'objet aura pu être effectuée par le fraudeur, on sera en mesure de reconnaître que cet objet personnalisé est un faux. Cette trace peut être sécurisée par l'utilisation d'un code d'authentification, obtenu par exemple par l'emploi d'une fonction de hâchage, telle que SHA-1 ou MD5, bien connues de l'homme du métier, et l'utilisation d'un algorithme de cryptographie (par exemple du type DES) faisant intervenir une des clés MSK-, diversifiées. A contrario, la vérification du code d'authentification garantit que les ensembles sécurisés ayant participé au processus de personnalisation sont vrais.In the latter case, where the secure machine module, the operator and batch cards and the object are false, the trace stored in the personalized object will not correspond to any listed machine, nor any registered operator, nor any existing batch; thus, even if the personalization of the object could have been carried out by the fraudster, we will be able to recognize that this personalized object is a fake. This trace can be secured by the use of an authentication code, obtained for example by the use of a hash function, such as SHA-1 or MD5, well known to those skilled in the art, and the use of a cryptography algorithm (for example of the DES type) involving one of the diversified MSK- keys. Conversely, the verification of the authentication code guarantees that the secure sets that participated in the personalization process are true.
En revenant à la figure 3, après que les étapes d'authentification du module sécurisé machine et des cartes opérateur et lot auprès de l'objet ont eu lieu, l'étape 44 de personnalisation proprement dite peut être effectuée. Durant cette étape, des informations personnelles propres au futur utilisateur de l'objet sont inscrites dans ou sur l'objet, par voie mécanique (par impression, gravure, embossage, etc.), électronique, optique, chimique ou par toute autre technique. Ces données proviennent de la base de données (illustrée sur la figure 2 précédemment décrite) et y sont mémorisées.Returning to FIG. 3, after the authentication steps of the secure machine module and of the operator and batch cards with the object have taken place, the personalization step 44 itself can be carried out. During this stage, personal information specific to the future user of the object is entered in or on the object, mechanically (by printing, engraving, embossing, etc.), electronic, optical, chemical or by any other technique. This data comes from the database (illustrated in Figure 2 previously described) and is stored there.
Dans une variante de réalisation, le nombre total d'ensembles sécurisés peut être limité à trois, l'objet y compris, en regroupant en une même carte la carte lot et la carte opérateur, ou en regroupant le module sécurisé machine et la carte opérateur.In an alternative embodiment, the total number of secure assemblies can be limited to three, the object including, by grouping the batch card and the operator card in a single card, or by grouping the machine secure module and the operator card. .
Le contexte de la personnalisation d'objets n'est qu'un exemple parmi d'autres applications possibles de la présente invention, laquelle, de façon plus générale, concerne un procédé de communication entre un nombre n d'ensembles sécurisés, n étant au moins égal à 2, qui sont chacun constitués d'une unité de mémorisation et d'un microcircuit et qui forment un n-uplet autorisé connu d'au moins un des ensembles sécurisés.The context of the personalization of objects is only one example among other possible applications of the present invention, which, more generally, relates to a method of communication between a number n of secure sets, n being at less than 2, which are each made up a storage unit and a microcircuit and which form an authorized n-tuple known to at least one of the secure assemblies.
Ce procédé comporte un certain nombre d'étapes d'authentification entre les ensembles sécurisés pris deux à deux. Par exemple, dans le domaine des transactions bancaires, étant donné un magasin délivrant des points de fidélité à ses clients sur leur carte de fidélité lors de chaque achat, supposé réalisé par carte bancaire, l'invention permet d'éviter l'obtention frauduleuse de points de fidélité, ou leur attribution à un autre client que celui qui a effectué l'achat donnant droit à ces points de fidélité, ou encore éviter qu'un client récupère des points de fidélité correspondant à un autre magasin.This method comprises a certain number of authentication steps between the secure sets taken two by two. For example, in the field of banking transactions, given a store delivering loyalty points to its customers on their loyalty card during each purchase, supposedly made by bank card, the invention makes it possible to avoid fraudulent obtaining loyalty points, or their allocation to a customer other than the one who made the purchase giving the right to these loyalty points, or even preventing a customer from recovering loyalty points corresponding to another store.
Pour cela, on considère trois ensembles sécurisés respectivement constitués par trois cartes à microcircuit : la carte de fidélité, la carte bancaire de paiement et une carte associée à un vendeur du magasin attribuant les point de fidélité.For this, we consider three secure sets respectively consisting of three microcircuit cards: the loyalty card, the bank payment card and a card associated with a seller of the store assigning loyalty points.
Lors de l'achat, la carte de fidélité, qui connaît le triplet (carte de fidélité, carte de paiement, carte du vendeur) autorisé, authentifie la carte de paiement et la carte du vendeur. L'opération d'attribution des points de fidélité peut éventuellement faire intervenir en outre un quatrième ensemble sécurisé, associé au magasin : il peut par exemple s'agir d'une quatrième carte à microcircuit indissociable de la caisse auprès de laquelle le client règle son achat. Dans ce cas, lors de la transaction d'achat, la carte de fidélité authentifie en outre la carte du magasin.During the purchase, the loyalty card, which knows the triplet (loyalty card, payment card, seller's card) authorized, authenticates the payment card and the seller's card. The operation of allocating loyalty points may possibly also involve a fourth secure assembly, associated with the store: it may for example be a fourth microcircuit card inseparable from the cash register with which the customer pays his purchase. In this case, during the purchase transaction, the loyalty card also authenticates the store card.
Si toutes les authentifications, réalisées de façon similaire à ce qui a été décrit plus haut en liaison avec le procédé de personnalisation, sont réussies, les points de fidélité sont mémorisés sur la carte de fidélité.If all the authentications, carried out in a similar manner to that which has been described above in connection with the personalization process, are successful, the loyalty points are memorized on the loyalty card.
Le procédé de communication conforme à la présente invention s'applique bien entendu à un grand nombre d'autres domaines non énumérés ici. The communication method according to the present invention applies of course to a large number of other fields not listed here.

Claims

REVENDICATIONS
1. Procédé de personnalisation sécurisée d'un objet comportant un premier ensemble sécurisé (E1) constitué de premiers moyens de mémorisation et d'un premier microcircuit, caractérisé en ce qu'il met en œuvre n-1 ensembles sécurisés (E2, E3) en plus dudit premier ensemble sécurisé, n étant un entier strictement supérieur à 2, chacun desdits ensembles sécurisés étant constitués de moyens de mémorisation et d'un microcircuit, et formant avec ledit objet un n- uplet autorisé, connu d'au moins un desdits ensembles sécurisés, et en ce que ledit procédé comporte une pluralité d'étapes d'authentification entre les ensembles sécurisés pris deux à deux, préalablement à une étape de personnalisation consistant à écrire, dans ou sur l'objet, des données personnelles propres audit objet.1. Method for secure personalization of an object comprising a first secure assembly (E1) consisting of first storage means and a first microcircuit, characterized in that it implements n-1 secure assemblies (E2, E3) in addition to said first secure set, n being an integer strictly greater than 2, each of said secure sets being made up of storage means and a microcircuit, and forming with said object an authorized tuple, known to at least one of said secure assemblies, and in that said method comprises a plurality of authentication steps between the secure assemblies taken two by two, prior to a personalization step consisting of writing, in or on the object, personal data specific to said object .
2. Procédé selon la revendication 1, caractérisé en ce que l'objet à personnaliser authentifie lesdits n-1 ensembles sécurisés.2. Method according to claim 1, characterized in that the object to be personalized authenticates said n-1 secure sets.
3. Procédé selon la revendication 1 ou 2, caractérisé en ce que, à l'issue de l'étape de personnalisation dudit objet, les premiers moyens de mémorisation conservent une trace permettant d'identifier au moins un des ensembles sécurisés ayant participé au processus de personnalisation parmi lesdits n-1 ensembles sécurisés.3. Method according to claim 1 or 2, characterized in that, at the end of the step of personalizing said object, the first storage means keep a trace making it possible to identify at least one of the secure assemblies having participated in the process customization among said n-1 secure sets.
4. Procédé selon la revendication précédente, caractérisé en ce que ladite trace comporte un code d'authentification.4. Method according to the preceding claim, characterized in that said trace comprises an authentication code.
5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que les n-1 ensembles sécurisés sont pris parmi : - un ensemble sécurisé représentant un lot d'objets à personnaliser,5. Method according to any one of the preceding claims, characterized in that the n-1 secure sets are taken from: - a secure set representing a batch of objects to be personalized,
- un ensemble sécurisé comportant une entité électronique sécurisée associée à une machine adaptée à personnaliser les objets dudit lot, eta secure assembly comprising a secure electronic entity associated with a machine adapted to personalize the objects of said batch, and
- un ensemble sécurisé attaché à un opérateur habilité à utiliser ladite machine. - a secure assembly attached to an operator authorized to use said machine.
6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le premier ensemble sécurisé (E1) est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact. 6. Method according to any one of the preceding claims, characterized in that the first secure assembly (E1) is adapted to communicate with the outside using a contactless technology.
7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comporte une étape préliminaire d'authentification faisant intervenir lesdits n-1 ensembles sécurisés.7. Method according to any one of the preceding claims, characterized in that it comprises a preliminary authentication step involving said n-1 secure sets.
8. Procédé selon les revendications 5 et 7, caractérisé en ce que l'étape préliminaire d'authentification est effectuée comme suit :8. Method according to claims 5 and 7, characterized in that the preliminary authentication step is carried out as follows:
- l'ensemble sécurisé opérateur authentifie l'ensemble sécurisé lot et l'ensemble sécurisé machine,- the operator secure set authenticates the batch secure set and the machine secure set,
- l'ensemble sécurisé machine authentifie l'ensemble sécurisé opérateur, et - l'ensemble sécurisé lot authentifie l'ensemble sécurisé opérateur.- the machine secure assembly authenticates the operator secure assembly, and - the batch secure assembly authenticates the operator secure assembly.
9. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'au moins un microcircuit parmi les microcircuits des n-1 ensembles sécurisés est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact. 9. Method according to any one of the preceding claims, characterized in that at least one microcircuit among the microcircuits of the n-1 secure assemblies is adapted to communicate with the outside using a contactless technology.
10. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'au moins un desdits ensembles sécurisés est adapté à accéder de façon sécurisée à une base de données contenant lesdites données personnelles.10. Method according to any one of the preceding claims, characterized in that at least one of said secure sets is adapted to securely access a database containing said personal data.
11. Procédé selon les revendications 5 et 10, caractérisé en ce qu'au moins un desdits ensembles sécurisés adapté à accéder de façon sécurisée à ladite base de données est l'ensemble sécurisé lot.11. Method according to claims 5 and 10, characterized in that at least one of said secure assemblies adapted to securely access said database is the batch secure assembly.
12. Procédé selon les revendications 6 et 9, caractérisé en ce qu'une unité de traitement logique (10) assure la communication entre au moins deux ensembles sécurisés, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence.12. Method according to claims 6 and 9, characterized in that a logic processing unit (10) ensures communication between at least two secure assemblies, when these are all simultaneously in its radio frequency field.
13. Procédé selon l'une quelconque des revendications 5 à 12, caractérisé en ce que l'ensemble sécurisé machine est scellé au corps de la machine.13. Method according to any one of claims 5 to 12, characterized in that the secure machine assembly is sealed to the body of the machine.
14. Procédé selon la revendication précédente, caractérisé en ce que l'ensemble sécurisé machine est nécessaire au fonctionnement de la machine.14. Method according to the preceding claim, characterized in that the secure machine assembly is necessary for the operation of the machine.
15. Procédé selon la revendication 5 ou 8, caractérisé en ce que l'ensemble sécurisé lot est une carte à microcircuit. 15. Method according to claim 5 or 8, characterized in that the secure batch assembly is a microcircuit card.
16. Procédé selon la revendication 5 ou 8, caractérisé en ce que l'ensemble sécurisé machine est une carte à microcircuit.16. Method according to claim 5 or 8, characterized in that the secure machine assembly is a microcircuit card.
17. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'objet est un titre émis par l'Etat ou un autre document à caractère officiel ou un titre de transport ou un document de voyage.17. Method according to any one of the preceding claims, characterized in that the object is a title issued by the State or another document of an official nature or a transport document or a travel document.
18. Procédé de communication sécurisée, caractérisé en ce qu'il met en œuvre n ensembles sécurisés, n étant un entier au moins égal à 2, chacun desdits ensembles sécurisés étant constitué de moyens de mémorisation et d'un microcircuit, et formant un n-uplet autorisé connu d'au moins un desdits ensembles sécurisés, et en ce que ledit procédé comporte une pluralité d'étapes d'authentification entre les ensembles sécurisés pris deux à deux.18. Method of secure communication, characterized in that it implements n secure sets, n being an integer at least equal to 2, each of said secure sets consisting of storage means and a microcircuit, and forming a n authorized known tuple of at least one of said secure sets, and in that said method comprises a plurality of authentication steps between the secure sets taken two by two.
19. Procédé de communication selon la revendication précédente, caractérisé en ce qu'au moins un desdits moyens de mémorisation conserve une trace permettant d'identifier au moins un desdits n ensembles sécurisés. 19. Communication method according to the preceding claim, characterized in that at least one of said storage means retains a trace making it possible to identify at least one of said n secure assemblies.
20. Procédé de communication selon la revendication 18 ou 19, caractérisé en ce que ladite trace comporte un code d'authentification.20. A communication method according to claim 18 or 19, characterized in that said trace comprises an authentication code.
21. Procédé de communication selon la revendication 18, 19 ou 20, caractérisé en ce qu'au moins un desdits ensembles sécurisés est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact. 21. Communication method according to claim 18, 19 or 20, characterized in that at least one of said secure assemblies is adapted to communicate with the outside using a contactless technology.
22. Procédé de communication selon la revendication précédente, caractérisé en ce qu'une unité de traitement logique assure la communication entre au moins deux ensembles sécurisés, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence.22. Communication method according to the preceding claim, characterized in that a logic processing unit ensures communication between at least two secure assemblies, when these are all simultaneously in its radiofrequency field.
23. Procédé de communication selon l'une quelconque des revendications 18 à 22, caractérisé en ce qu'au moins un desdits ensembles sécurisés est une carte à microcircuit. 23. Communication method according to any one of claims 18 to 22, characterized in that at least one of said secure assemblies is a microcircuit card.
PCT/FR2003/003563 2002-12-09 2003-12-02 Method for the secure personalisation of an object WO2004063999A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AU2003298394A AU2003298394A1 (en) 2002-12-09 2003-12-02 Method for the secure personalisation of an object

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR02/15551 2002-12-09
FR0215551A FR2848364B1 (en) 2002-12-09 2002-12-09 SECURED PERSONALIZATION METHOD OF AN OBJECT

Publications (1)

Publication Number Publication Date
WO2004063999A1 true WO2004063999A1 (en) 2004-07-29

Family

ID=32320123

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2003/003563 WO2004063999A1 (en) 2002-12-09 2003-12-02 Method for the secure personalisation of an object

Country Status (3)

Country Link
AU (1) AU2003298394A1 (en)
FR (1) FR2848364B1 (en)
WO (1) WO2004063999A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9524144B2 (en) 2004-12-23 2016-12-20 Oberthur Technologies Data processing method and related device
US20210096178A1 (en) * 2019-09-30 2021-04-01 Stmicroelectronics S.R.L. Method, system and computer program product for introducing personalization data in nonvolatile memories of a plurality of integrated circuits

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2603404A1 (en) * 1986-08-28 1988-03-04 Toshiba Kk PORTABLE INFORMATION MEDIUM PROCESSING SYSTEM
FR2638002A1 (en) * 1988-08-26 1990-04-20 Unidel Securite Personalising method for microcomputer cards and system for implementing it
WO1996028793A2 (en) * 1995-03-10 1996-09-19 Siemens Aktiengesellschaft Licence-card-controlled chip card system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2603404A1 (en) * 1986-08-28 1988-03-04 Toshiba Kk PORTABLE INFORMATION MEDIUM PROCESSING SYSTEM
FR2638002A1 (en) * 1988-08-26 1990-04-20 Unidel Securite Personalising method for microcomputer cards and system for implementing it
WO1996028793A2 (en) * 1995-03-10 1996-09-19 Siemens Aktiengesellschaft Licence-card-controlled chip card system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9524144B2 (en) 2004-12-23 2016-12-20 Oberthur Technologies Data processing method and related device
US20210096178A1 (en) * 2019-09-30 2021-04-01 Stmicroelectronics S.R.L. Method, system and computer program product for introducing personalization data in nonvolatile memories of a plurality of integrated circuits
US11675001B2 (en) * 2019-09-30 2023-06-13 Stmicroelectronics S.R.L. Method, system and computer program product for introducing personalization data in nonvolatile memories of a plurality of integrated circuits

Also Published As

Publication number Publication date
AU2003298394A1 (en) 2004-08-10
FR2848364A1 (en) 2004-06-11
FR2848364B1 (en) 2005-03-11

Similar Documents

Publication Publication Date Title
EP0998731B1 (en) Method and system for payment by electronic cheque
TWI511518B (en) Improvements relating to multifunction authentication systems
US20160210621A1 (en) Verifiable credentials and methods thereof
WO1982002446A1 (en) Security method and device for three-party communication of confidential data
LU100497B1 (en) Method and system for securely enrolling cryptographic keys on physical media for cryptographic keys, and physical media product
FR2528197A1 (en) METHOD OF CONTROLLING THE USE OF RESERVED DOCUMENTS, DOCUMENTS AND DEVICES FOR ITS IMPLEMENTATION
EP0708949B1 (en) Method for the production of a key common to two devices for implementing a common cryptographic procedure and associated apparatus
WO2010007479A2 (en) Apparatus and method for generating a secure entitlement on the basis of an official entitlement
JPH10503037A (en) Verification technology
EP1352311A1 (en) Method for accessing a secured system
WO2020120849A1 (en) Device and method for securing secure data for a bank payment card
EP0995172A1 (en) Personal computer terminal capable of safely communicating with a computer equipment, and authenticating method used by said terminal
WO2004063999A1 (en) Method for the secure personalisation of an object
EP1415283A2 (en) Method and system for formal guarantee of a payment, using a portable telephone
FR2730076A1 (en) Authentication by server of holder of object incorporating microprocessor
WO2005050419A1 (en) Method for securing an image of a biometric authentication feature and method for authentication of a user with an image of a biometric authentication feature
EP0595720B1 (en) Process and system for recording information on a data carrier enabling to later certify the originality of this information
FR2796741A1 (en) Secure cheque payment method uses cheques pre-printed with monetary values selected by erasing adhesive masking from selected areas
EP3311341A1 (en) Methods of affiliation, emancipation and verification between a tutor and a tutee
EP1172775A1 (en) Method for protecting an access to a secured domain
EP4193283A1 (en) Method for generating a secure digital document stored on a mobile terminal and associated with a digital identity
WO2023020795A1 (en) Method for personalising a security device, personalised security device, identity document comprising such a device, and method for authenticating such a device
WO2013156728A1 (en) Security device and identity document
WO2002065411A2 (en) Method and system for making secure a commercial transaction with a smart card
WO2022122821A1 (en) Device and method for authenticating products

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP