WO2009132977A1 - Ressource de confiance integree a un dispositif de controle de donnees biometriques assurant la securite du controle et celle des donnees - Google Patents

Ressource de confiance integree a un dispositif de controle de donnees biometriques assurant la securite du controle et celle des donnees Download PDF

Info

Publication number
WO2009132977A1
WO2009132977A1 PCT/EP2009/054628 EP2009054628W WO2009132977A1 WO 2009132977 A1 WO2009132977 A1 WO 2009132977A1 EP 2009054628 W EP2009054628 W EP 2009054628W WO 2009132977 A1 WO2009132977 A1 WO 2009132977A1
Authority
WO
WIPO (PCT)
Prior art keywords
secure
module
resource
data
title
Prior art date
Application number
PCT/EP2009/054628
Other languages
English (en)
Inventor
Eric Saliba
Arnaud Delarue
Philippe Gras
Original Assignee
Thales
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales filed Critical Thales
Publication of WO2009132977A1 publication Critical patent/WO2009132977A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Definitions

  • the object of the present invention relates to a trusted resource integrated in a device whose particular function is to control biometric data and to ensure their security or confidentiality.
  • the resource is placed in a cutoff between a transmitter and a receiver. It also finds its use more generally for securing biometric control equipment (biometric terminals), the implementation of biometric databases and so-called "biometric" electronic titles (identity card, passport, etc.). .). During the passport check, it allows to secure the data associated with the identity of a person.
  • AFIS Automated Fingerprint Identification System
  • the object of the present invention relates to a trusted resource allowing in particular:
  • the invention relates to a trusted resource intended to be integrated in a biometric data control terminal T comprising a trusted resource, said resource being placed in a cutoff between a holder of a secure title comprising a chip and a terminal used by a controller of the identity of a person characterized in that it comprises at least the following elements:
  • a secure processor that guarantees the secure reading of the reference biometric data contained in the secure title and also guarantees the non-dissemination of this data as well as the erasure after comparison by relying on the following modules:> A module for reading the information contained in the secure title chip,
  • An authentication, encryption and / or decryption module allowing the establishment of trusted channels with the chip of the title or with any other external element of confidence,>
  • a title reader coupling module allowing the control of the chip reader,> A secure temporary storage module for biometric data guaranteeing the non-backup of the reference biometric data after a duration predefined by the trusted resource or in the event of a break of the trusted resource,> A secure persistent storage module of cryptographic data,
  • the secure resource may include a module for monitoring the environment of the secure resource.
  • It may also include a module for erasing the terminal's resource context and blocking the terminal's communications ports with the outside.
  • the invention also relates to a control terminal T characterized in that it comprises at least one trusted resource comprising the characteristics described above.
  • said person presents his title to a title control terminal T integrating a secure resource comprising the aforementioned characteristics, establishing between said secure resource and the chip located on the secure title a trusted channel based on an authentication. mutual, channel that is used to dialogue and exchange information between the resource and the title,
  • the next step is to compare the reference data with the biometric data captured through a biometric capture module
  • the comparator transmits a validity or invalidity signal from the comparison step
  • the secure title When establishing the trusted channel, the secure title receives, for example, one hour of a clock contained in the trusted resource and said title verifies the validity of the certificate.
  • FIG. 1 an example showing the cut-off location of the secure resource according to the invention
  • FIG. 2 represents an example of a secure resource architecture according to the invention
  • FIG. 1 describes an exemplary architecture of a secure resource according to the invention placed in a cutoff between a transmitter and a receiver of a secure title.
  • This secure resource is adapted to check the biometric data of the holder of a title.
  • a terminal T incorporating a secure resource 1 according to the invention detailed in FIG. 2, a title 2 associated with a bearer 3 that is read by the secure resource, the data being transferred using a data channel.
  • confidence 4 established between the secure resource 1 according to the invention and Title 2.
  • This trusted channel is provided by the implementation jointly by the secure resource 1 and Title 2 of mutual authentication and integrity protection mechanisms and confidentiality of the exchanged data.
  • the secure resource 1 is also in relation with a system 5 via a trusted channel 6 established with the remote system 5.
  • a trusted channel 6 established with the remote system 5.
  • the arrows F1, F2, F3 in the figure correspond on the one hand to possible illicit actions on the data transmitted from Title 2 to the secure terminal 1, or to the possibility of being able to possibly modify the time of the terminals, or still the possibility of compromising the functions and data of the terminal. More generally, the scheme puts forward various illicit acts that can reach the data exchanged, falsify or distort their content.
  • the resource protected by the invention 1 is thus placed in a cutoff between the remote systems whose communications are generally secured by the use of network-type solutions (eg access authentication and integration in virtual private networks) and the securities 2 whose access and exchange must be secured in accordance with the requirements for electronic titles (ICAO for biometric passports).
  • FIG. 1 makes it possible to show the possible risk of modification of the personal biometric data when they pass through the channel between the secure terminal and the central sites and therefore the interest to use a secure resource according to the invention.
  • FIG. 1 also makes it possible to highlight the tightness that the trusted resource preserves between the two trusted channels by ensuring that the bearer's biometric reference data are never transmitted to a remote server.
  • FIG. 2 represents an exemplary architecture according to the invention guaranteeing the security of the personal reference data.
  • the trusted resource 1 is for example in relation with one of the means for reading a title or identification data integrated into a title, for example an optical reading device LO or an LP chip reader (contact or contactless coupler). , a fingerprint acquisition device E or any other device adapted to capture the biometric data associated with an individual not shown in the figure for reasons of simplification.
  • the secure resource 1 may be in the form of a miniaturized electronic circuit comprising at least the following means:
  • a security processor 10 adapted, based on several modules for performing at least the following steps:
  • a reading module 1 1 title data namely the optical reading of public information title and reading (contact coupler or contactless) of the chip on a title.
  • “Chip reading” more generally corresponds to the reading of information in the "chip” component of the passport.
  • This information corresponds in particular to the reference biometric data exchanged between a secure terminal T and the passport via a trusted channel whose establishment is for example described below, a module 15 having in particular the function of supporting the processor 10 for cryptographic calculations allowing the establishment of the trusted channels for exchanging data between the outside and the secure resource and managing the updating of the certificates,
  • a secure persistent storage module 14 for storing the certificates, the cryptographic keys used by the module 15 for securing exchanges, the audit logs of the checks carried out during the title checks, a temporary storage module secure means for temporarily storing sensitive data, such as in particular the biometric data used for the comparison and the session cryptographic keys used for the trusted channels,
  • a module 17a adapted to monitor different external sensors located at a terminal external to the resource, monitoring the immediate environment of the trusted resource (intrusion detector, temperature, voltage, 17b, etc.) in order to take security measures if necessary,
  • a transformation module 13 which executes the coding function, that is to say, the transformation of an image of a reference biometric characteristic into a reference datum in a format compatible with the comparison function executed by the secure resource,
  • the issuance of the verification signal may be a sound signal, light or a display function is implemented at the terminal in the form of a result,
  • a supply device such as a battery, 20, knowing that all the power supplies (main and backup) is provided by the terminal T in which the secure resource is integrated, the battery 20 is connected to the device of general food;
  • a clock module 21 whose function is to provide a trustworthy reliable time for the coherence of the titles hosting the reference data during the import, storage and use of the certificates that are useful for establishing a data channel. trust,
  • an input / output management module 22 whose particular function is to prevent a reference data can leave the secure resource and can be read by an unauthorized person.
  • the terminal comprises a module 25 whose function is to display the result of the comparison.
  • This means can be LED type, or be a sound means emitting a beep or any other means of transmitting the result of the comparison to the controller.
  • An extension memory 23 can be set up at the terminal T. It is arranged outside the secure resource, in order to meet any memory capacity requirements of the trusted resource.
  • the interfaces can be of different types. natures.
  • the secure resource may comprise an interface for optical reading or a chip reading of a passport or more generally of a title carrying biometric information 2. These interfaces are in connection with an optical read sensor LO and a contact or contactless chip reading coupler.
  • the interface 18 can also be an interface for the acquisition of fingerprints of a person E in connection with a fingerprint sensor 30.
  • the interface 18 may also include a module for the exchange with networks to which the secure resource can be connected.
  • the trusted resource must be customized before use (example: cryptographic keys to load).
  • a pre-customization phase must ensure that only a terminal equipped with the solution is able to be customized and go into operational mode. This operation is performed according to a technique known to those skilled in the art.
  • the update of these keys makes it possible to secure the resources of the trusted resource. During key changes, the resources that are not updated will no longer be able to perform checks on the titles (equipment that has not updated these keys, will be forbidden).
  • the person 40 to be identified will place his fingerprint E on the above-mentioned fingerprint sensor E to provide the fingerprint of the living to the control system consisting of the terminal T integrating the secure resource, to present a title 2 to provide on the one hand the public information available in optical reading and secondly provide the reference biometric data available via the reading chip (secure) above. That is to say that there is on the one hand a fingerprint or any other equivalent means for acquiring the data of the living, a reading of a title carrying public information available in reading, optical reading or any other equivalent reading means and also a reading of the reference data available at title 2.
  • the controller 41 hears or displays the result of the comparison check between the footprint of the living and the biometric reference data that realizes the secure resource.
  • the trusted resource 1 will establish a trusted channel for dialogue with the title 2 in order to obtain the reference biometric data contained in the chip P of the title.
  • the resource must be customized before use in order to hold the cryptographic keys necessary to establish the trusted channel 4.
  • the individual presents his title 2 containing his biometric data to a title control terminal T, in which a trusted resource according to the invention is integrated.
  • the secure resource 1 establishes with the P chip of the passport a trusted channel 4 on the basis of mutual authentication by implementing, for example, the standardized protocol EAC (English abbreviation for EAC).
  • the passport 2 verifies the presence of a valid key in the secure resource and also verifies the validity of the certificate provided by the secure resource 1.
  • the certificate C is valid only in a time window, by example, one day.
  • Passport 2 does not have its own clock, it must receive the time of the terminal through the clock 21 providing a trusted reliable time.
  • the passport receives from the secure resource 1, an hour H and a certificate C.
  • the passport checks the consistency between the two pieces of information, and if the time is exceeded, it does not respond.
  • the step of establishing the trusted channel with the trusted resource of the terminal having succeeded, the passport can trust the secure terminal.
  • the passport then delivers the biometric data it contains directly to the secure resource and not to another element of the terminal.
  • the reference biometric data read from the passport is confined in the secure resource, for example in the memory of temporary storage 16, the comparison function is executed within the secure resource.
  • the living data is then acquired by the terminal (via the fingerprint sensor of the terminal) and sent to the trusted resource. These living data are then compared to the reference data within the comparison module 20.
  • the processor 10 of the secure resource will trigger the erasure. This is for example achieved by performing a reset or "reset" of registers, by overwriting or emergency erasure.
  • the available interfaces 18 are judiciously managed so as to allow only the interface for loading the data of the living and the supply of the result.
  • the trusted resource can extend the security domain conferred by the trusted resource on certain resources of the terminal.
  • This procedure requires the implementation of specific sensors 17b at the terminal and an anti-intrusion detection implemented by the environmental monitoring module 17b.
  • This module includes temperature sensors, voltage to control the operation of the resource.
  • the trusted resource can manage terminal resource context erasure as well as block communication ports.
  • FIG. 4 represents an example of use of a terminal comprising a secure resource according to the invention integrated in a complete system.
  • the secure resource according to the invention is for example integrated in pedestrian mobile terminals 50, vehicle terminals 51 or stationary terminals 52.
  • These terminals are themselves integrated into different types of system via communications networks.
  • the networks may be public operator networks 53, PMR 54 type networks, for example with respect to infrastructure networks 55 via VPN 56 private network gateways (abbreviation for Virtual Privat Network). ), network portals for mobile radio PMR 57 abbreviation of Private Mobile Radiocommunications Anglo-Saxon.
  • These networks can also be connected via a gateway 58 adapted to administration stations 60 or application servers 59.
  • the left part of this figure corresponds to a potential safe environment and on the right, the environment decreed to have a lower security level.
  • the object of the present invention notably offers the following advantages:> To fight against the dissemination of biometric data contained in the identity documents or the databases, in particular by prohibiting the diversion of use of these same biometric data,
  • the secure resource according to the invention can be integrated in a dedicated module
  • the trusted resource can keep the identifier of the authenticated operator on the terminal and trace the controls carried out (ensuring that the information of the persons checked is not kept and using if necessary the secure expansion memory for storage), > for persons in charge of identity checks, police or gendarmerie forces, they have a set of technical means and terminal equipment enabling them to access identity data and biometric reference data, but also allowing them to use this information for the purpose of validating the identity of the wearer through a control of living,

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Ressource de confiance (1) placée en coupure entre un porteur (40) d'un titre (2) sécurisé comprenant une puce et un terminal utilisé par un contrôleur (41) de l'identité d'une personne caractérisée en ce qu'elle comporte au moins les éléments suivants : un processeur (10) sécurisé comprenant les modules suivants : un module (11) de lecture des informations contenues dans la puce du titre sécurisé (2), un module (15) d'authentification, de chiffrement et/ou déchiffrement permettant l'établissement de canaux de confiance avec la puce du titre ou avec tout autre élément externe de confiance, un module de comparaison (19) des données biométriques lues par capture et les données de référence biométriques contenues dans la puce du titre sécurisé (2), un moyen d'effacement des données après émission du résultat issu du module de comparaison garantissant la non conservation des données biométriques de référence après un contrôle, un module horloge (21) ayant pour fonction de fournir une heure fiable au titre sécurisé, un module de couplage aux lecteurs de titre (18), un module de stockage temporaire sécurisé (16) des données biométriques, un module de stockage persistant sécurisé de données de cryptographies (14), un module de gestion des périphériques de communications (22), un module d'affichage (25) du résultat de la comparaison.

Description

RESSOURCE DE CONFIANCE INTEGREE A UN DISPOSITIF DE
CONTROLE DE DONNEES BIOMETRIQUES ASSURANT LA SECURITE
DU CONTROLE ET CELLE DES DONNEES
L'objet de la présente invention concerne une ressource de confiance intégrée dans un dispositif ayant notamment pour fonction de contrôler des données biométriques et d'assurer leur sécurité ou confidentialité. La ressource est placée en coupure entre un émetteur et un récepteur. Elle trouve aussi son utilisation de manière plus générale pour la sécurisation des équipements de contrôle biométrique (terminaux biométriques), de la mise en œuvre de bases de données biométriques et de titres électroniques dits « biométriques » (carte d'identité, passeport,...). Lors du contrôle de passeport, elle permet de sécuriser les données associées à l'identité d'une personne.
Les problèmes rencontrés dans le domaine du traitement des données biométriques associées à une personne portent généralement sur le contrôle et la protection de l'utilisation des données biométriques des individus afin d'éviter une utilisation frauduleuse de ces données. Le contrôle repose sur la comparaison de caractéristiques biométriques des individus, par exemple, l'empreinte digitale, l'iris, le visage, etc. avec des données biométriques de référence acquises lors de l'enrôlement des individus et conservées dans des bases de données ou dans des supports tels que des titres électroniques. Dans ce domaine être capable de préserver l'intégrité de données de référence garantit l'efficacité du contrôle contre la fraude. La confidentialité de ces données et, en particulier, lorsqu'elles sont associées aux données d'identité des personnes garantit la protection de la vie privée de ces personnes. L'art antérieur décrit différentes méthodes permettant d'effectuer la vérification d'empreintes digitales. Par exemple, la technique connue sous la dénomination anglo-saxonne « Match-on-card » ou MOC vérifie les empreintes digitales en utilisant un composant de type « carte à puce ». Cette technique présente des inconvénients de performances de traitements et de communication. De plus, les solutions basées sur des composants type « carte à puce » opèrent en mode « esclave » et stockent généralement les données biométriques de référence. C'est pourquoi, dans certains cas d'utilisation de titres électroniques sécurisés comme le passeport biométrique, la mise en œuvre de la fonction MOC dans le passeport revient à laisser la fonction de vérification biométrique à la charge de l'émetteur du passeport et non pas au pays réalisant le contrôle sur son territoire.
Une autre manière de procéder consiste à utiliser un système de vérification biométriques avec des bases de données centralisées, plus connus sous l'expression anglo-saxonne « Automated Fingerprint Identification System ou AFIS ». Un tel système est utilisé pour le contrôle des frontières. Dans le cadre des AFIS, la fonction de comparaison est souvent centralisée au niveau d'un serveur et non pas au niveau d'un terminal. Dans ce dernier cas, le terminal doit nécessairement être connecté au système, ce qui peut être incompatible avec un contrôle sur le territoire, sauf à disposer de moyens de communications mobiles et sécurisés entre les terminaux et le serveur de comparaison.
Il existe donc à l'heure actuelle un besoin non résolu par les techniques de l'art antérieur qui est relatif au problème de la protection des données de référence en intégrité et en confidentialité lorsque celles-ci sont importées dans un terminal pour la vérification d'identité. L'objet de la présente invention concerne une ressource de confiance permettant notamment de :
> préserver l'intégrité des données de référence, garantissant ainsi l'efficacité du contrôle contre la fraude. La confidentialité de ces données et en particulier lorsqu'elles sont associées aux données d'identité des personnes, garantit la protection de la vie privée de ces personnes, > résoudre la nécessité du stockage et de l'utilisation des données biométriques de référence pour la réalisation d'un contrôle efficace tout en préservant la confidentialité, l'intégrité et l'effacement après utilisation de ces données, > d'octroyer aux équipements terminaux équipés d'une telle ressource, la capacité à accéder aux données personnelles de porteurs de titre mais également à vérifier leur cohérence avec les caractéristiques biométriques de la personne physique.
L'invention concerne une ressource de confiance destinée à être intégrée dans un terminal T de contrôle de données biométriques comprenant une ressource de confiance, ladite ressource étant placée en coupure entre un porteur d'un titre sécurisé comprenant une puce et un terminal utilisé par un contrôleur de l'identité d'une personne caractérisée en ce qu'elle comporte au moins les éléments suivants :
Un processeur sécurisé garantissant la lecture sécurisée des données biométriques de référence contenues dans le titre sécurisé et garantissant également la non dissémination de ces données ainsi que l'effacement après comparaison en s'appuyant sur les modules suivants : > Un module de lecture des informations contenues dans la puce du titre sécurisé,
> Un module d'authentification, de chiffrement et/ou déchiffrement permettant l'établissement de canaux de confiance avec la puce du titre ou avec tout autre élément externe de confiance, > Un module de comparaison des données biométriques lues par capture et les données de référence biométriques contenues dans la puce du titre sécurisé,
> Un moyen d'effacement des données après émission du résultat issu du module de comparaison garantissant la non conservation des données biométriques de référence après un contrôle, > Un module horloge ayant pour fonction de fournir une heure fiable au titre sécurisé,
> Un module de couplage aux lecteurs de titre permettant le contrôle du lecteur de puce, > Un module de stockage temporaire sécurisé des données biométriques garantissant la non sauvegarde des données biométriques de référence après une durée prédéfinie par la ressource de confiance ou en cas de coupure d'alimentation de la ressource de confiance, > Un module de stockage persistant sécurisé de données de cryptographies,
> Un module de gestion des périphériques de communications,
> Un module d'affichage du résultat de la comparaison.
La ressource sécurisée peut comporter un module de surveillance de l'environnement de la ressource sécurisée.
Elle peut aussi comprendre un module permettant l'effacement de contexte de ressource du terminal et le blocage des ports de communications du terminal avec l'extérieur.
L'invention concerne aussi un terminal de contrôle T caractérisé en ce qu'il comporte au moins une ressource de confiance comprenant les caractéristiques décrites ci-dessus.
L'invention concerne aussi un procédé pour vérifier l'identité d'une personne porteur d'un titre sécurisé comprenant une puce contenant des informations biométriques propres au porteur du titre en utilisant une ressource sécurisée selon l'une des revendications précédentes caractérisé en ce qu'il comporte au moins les étapes suivantes :
> ladite personne présente son titre à un terminal T de contrôle de titre intégrant une ressource sécurisée comprenant les caractéristiques précitées, > établir entre ladite ressource sécurisée et la puce située sur le titre sécurisé un canal de confiance sur la base d'une authentification mutuelle, canal qui est utilisé pour dialoguer et échanger des informations entre la ressource et le titre,
> vérifier la validité d'un certificat fourni par la ressource sécurisée à partir d'une heure délivrée par le terminal T, > Si le certificat est valable, alors le canal de confiance est établi et le titre sécurisé transmet par l'intermédiaire de ce canal, les données biométriques de référence qu'il contient vers une mémoire de stockage temporaire,
> L'étape suivante consiste à comparer les données de référence avec les données biométriques captées grâce à un module de capture de données biométriques,
> Le comparateur émet un signal de validité ou de non validité issu de l'étape de comparaison,
> L'étape suivante consiste à effacer les données contenues dans la mémoire temporaire, et
> Lors de l'établissement du canal de confiance, le titre sécurisé reçoit, par exemple, une heure d'une horloge contenue dans la ressource de confiance et ledit titre vérifie la validité du certificat.
D'autres caractéristiques et avantages du dispositif selon l'invention apparaîtront mieux à la lecture de la description qui suit d'un exemple de réalisation donné à titre illustratif et nullement limitatif annexé des figures qui représentent :
> La figure 1 , un exemple montrant l'emplacement en coupure de la ressource sécurisée selon l'invention,
> La figure 2, représente un exemple d'architecture de ressource sécurisée selon l'invention,
> La figure 3, un exemple d'intégration de la ressource de la confiance dans différents types de terminaux et illustre l'intégration de l'ensemble composé du terminal et de la ressource dans un système complet. La figure 1 décrit un exemple d'architecture d'une ressource sécurisée selon l'invention placée en coupure entre un émetteur et un récepteur d'un titre sécurisé Cette ressource sécurisée est adaptée à vérifier les données biométriques du porteur d'un titre. Sur cette figure, sont représentés, un terminal T intégrant une ressource sécurisée 1 selon l'invention détaillée à la figure 2, un titre 2 associé à un porteur 3 qui est lu par la ressource sécurisée, les données étant transférées en utilisant un canal de confiance 4 établi entre la ressource sécurisée 1 selon l'invention et le titre 2. Ce canal de confiance est assuré par la mise en œuvre conjointement par la ressource sécurisée 1 et le titre 2 de mécanismes d'authentification mutuelle et de protection en intégrité et confidentialité des données échangées. La ressource sécurisée 1 est également en relation avec un système 5 par l'intermédiaire d'un canal de confiance 6 établi avec le système distant 5. Ainsi, l'ensemble des données échangées entre la ressource sécurisée 1 et le titre 2 et un système 5, est réalisé sous le contrôle de la ressource sécurisée.
Les flèches F1 , F2, F3 sur la figure correspondent d'une part à d'éventuelles actions illicites sur les données transmises du titre 2 vers le terminal sécurisé 1 , ou bien à la possibilité de pouvoir modifier éventuellement l'heure des terminaux, ou encore à la possibilité de compromission des fonctions et des données du terminal. De manière plus générale, le schéma met en avant différents actes illicites pouvant atteindre les données échangées, les falsifier ou déformer leur contenu. La ressource sécurisée par l'invention 1 est ainsi placée en coupure entre les systèmes 5 distants dont les communications sont généralement sécurisées par l'emploi de solutions de type réseau (ex. authentification des accès et intégration dans des réseaux privés virtuels) et les titres 2 dont l'accès et les échanges doivent être sécurisés conformément aux exigences liées aux titres électroniques (l'ICAO pour ce qui concerne les passeports biométriques). Cette figure 1 permet de montrer le risque éventuel de modification des données biométriques personnelles lorsqu'elles transitent par l'intermédiaire du canal entre le terminal sécurisé et les sites centraux et de fait l'intérêt à utiliser une ressource sécurisée selon l'invention. La figure 1 permet également de mettre en évidence l'étanchéité que préserve la ressource de confiance entre les deux canaux de confiance en garantissant que les données de référence biométriques du porteur ne sont jamais transmises vers un serveur distant.
La figure 2 représente un exemple d'architecture selon l'invention garantissant la sécurité des données personnelles de référence. La ressource de confiance 1 est par exemple en relation avec un des moyens de lecture d'un titre ou de données d'identification intégrées dans un titre par exemple un dispositif de lecture optique LO ou un lecteur puce LP (coupleur contact ou sans contact), un dispositif d'acquisition d'empreintes E ou encore tout autre dispositif adapté à capter les données biométriques associées à un individu non représenté sur la figure pour des raisons de simplification. La ressource sécurisée 1 peut se présenter sous la forme d'un circuit électronique miniaturisé comportant au moins les moyens suivants : Un processeur de sécurité 10 adapté, s'appuyant sur plusieurs modules permettant d'exécuter au moins les étapes suivantes :
> un module de lecture 1 1 des données du titre à savoir la lecture optique des informations publiques du titre et la lecture (coupleur contact ou sans contact) de la puce présente sur un titre. La « lecture puce », correspond de manière plus générale à la lecture des informations dans le composant « puce » du passeport. Ces informations correspondent notamment aux données biométriques de référence échangées entre un terminal sécurisé T et le passeport via un canal de confiance dont l'établissement est par exemple décrit ci- après, > un module 15 ayant notamment pour fonction de supporter le processeur 10 pour les calculs cryptographiques permettant l'établissement les canaux de confiance pour échanger des données entre l'extérieur et la ressource sécurisée et gérer la mise à jour des certificats,
> un module de stockage persistant sécurisé 14 permettant le stockage des certificats, des clés cryptographiques utilisées par le module 15 pour la sécurisation des échanges, des journaux d'audit des contrôles effectués lors des contrôles du titre, > un module de stockage 1 6 temporaire sécurisé permettant de stocker temporairement des données sensibles, telles qu'en particulier les données biométriques utilisées pour la comparaison et les clés cryptographiques de session utilisées pour les canaux de confiance,
> un module 17a adapté à surveiller différents capteurs externes se trouvant au niveau d'un terminal externe à la ressource, surveillant l'environnement immédiat de la ressource de confiance (détecteur d'intrusion, température, tension, 17b etc.) afin de prendre des mesures de sécurité si besoin,
> différentes interfaces de communication 18 avec le terminal, ces interfaces permettent par exemple des échanges avec des systèmes externes comme les titres ou des serveurs distants ou encore un affichage vers le contrôleur, etc.
> un module 13 de transformation qui exécute la fonction de codification, c'est-à-dire, la transformation d'une image d'une caractéristique biométrique de référence en une donnée de référence dans un format compatible avec la fonction de comparaison exécutée par la ressource sécurisée,
> un moyen de comparaison 19 des données biométriques lues, venant de la puce du passeport, à l'issue de l'étape de comparaison un résultat est transmis à un autre module qui va permettre d'émettre un signal au contrôleur du titre. L'émission du signal de vérification peut être un signal sonore, lumineux ou encore une fonction d'affichage est mise en œuvre au niveau du terminal sous la forme d'un résultat,
> un dispositif d'alimentation tel qu'une pile, 20, sachant que l'ensemble des alimentations (principale et de secours) est fourni par le terminal T dans lequel est intégrée la ressource sécurisée, La pile 20 est reliée au dispositif d'alimentation général ;
> un module horloge 21 ayant pour fonction de fournir une heure fiable de confiance utile à la cohérence des titres hébergeant les données de référence lors de l'importation, le stockage et l'utilisation des certificats utiles à l'établissement d'un canal de confiance,
> un module 22 de gestion des entrées/sorties ayant notamment pour fonction d'éviter qu'une donnée de référence puisse sortir de la ressource sécurisée et qu'elle puisse être lue par une personne non autorisée.
Le terminal comprend un module 25 ayant pour fonction d'afficher le résultat de la comparaison. Ce moyen peut être de type LED, ou encore être un moyen sonore émettant un bip ou tout autre moyen de transmission du résultat de la comparaison vers le contrôleur.
Une mémoire d'extension 23 peut être mise en place au niveau du terminal T. Elle est disposée à l'extérieur de la ressource sécurisée, afin de répondre à des besoins éventuels en capacité mémoire de la ressource de confiance Les interfaces peuvent être de différentes natures. Par exemple, la ressource sécurisée peut comprendre une interface pour la lecture optique ou une lecture puce d'un passeport ou plus généralement d'un titre porteur d'informations biométriques 2. Ces interfaces sont en liaison avec un capteur de lecture optique LO et un coupleur contact ou sans-contact de lecture de puce. L'interface 18 peut aussi être une interface pour l'acquisition d'empreintes d'une personne E en liaison avec un capteur d'empreintes 30. L'interface 18 peut aussi comporter un module permettant l'échange avec des réseaux auxquels la ressource sécurisée peut être reliée.
La ressource de confiance doit être personnalisée avant utilisation (exemple : clés cryptographiques à charger). Une phase de pré-personnalisation doit garantir que seul un terminal équipé de la solution est en mesure d'être personnalisé et passer en mode opérationnel. Cette opération est effectuée selon une technique connue de l'Homme du métier. Par ailleurs, la mise à jour de ces clés permet la sécurisation des moyens de la ressource de confiance. Lors des changements de clés, les ressources non mises à jour ne seront plus en mesure d'effectuer les contrôles sur les titres (équipements qui n'ont pas remis à jour ces clés, seront interdits d'usage). La personne 40 devant se faire identifier va poser son empreinte E sur le capteur d'empreintes E précité pour fournir l'empreinte du vivant au système de contrôle constitué du terminal T intégrant la ressource sécurisée, présenter un titre 2 pour fournir d'une part les informations public disponibles en lecture optique et d'autre part fournir les données biométriques de référence disponible via la lecture puce (sécurisé) précitée. C'est-à-dire qu'il y a d'une part une prise d'empreintes ou tout autre moyen équivalent permettant d'acquérir les données du vivant, une lecture d'un titre porteur d'informations public disponibles en lecture, lecture optique ou tout autre moyen de lecture équivalent et aussi une lecture des données de référence disponibles au niveau du titre 2. Le contrôleur 41 entend ou visualise le résultat de la vérification de comparaison entre l'empreinte du vivant et les données biométriques de référence que réalise la ressource sécurisée. C'est-à-dire que le contrôleur n'a accès en fonctionnement normal qu'au résultat issu de la comparaison effectuée au sein de la ressource sécurisée. Dans un premier temps, la ressource de confiance 1 selon l'invention va établir un canal de confiance pour dialoguer avec le titre 2 afin d'obtenir les données biométriques de référence contenues dans la puce P du titre. Pour cela, la ressource doit être personnalisée avant son utilisation de façon à détenir les clés cryptographiques nécessaires à l'établissement du canal de confiance 4.
Les étapes mises en œuvre au cours de la vérification d'identité sur présentation d'un passeport ou titre 2 d'un individu sont par exemple les suivantes :
L'individu présente son titre 2 contenant ses données biométriques à un terminal T de contrôle de titre, dans lequel une ressource de confiance selon l'invention est intégrée. La ressource sécurisée 1 établit avec la puce P du passeport un canal de confiance 4 sur la base d'une authentification mutuelle en mettant en œuvre, par exemple, le protocole normalisé EAC (abréviation anglo-saxonne de
Extended Access Control) connu de l'Homme du métier.
Au cours de cette étape, le passeport 2 vérifie la présence d'une clé valide dans la ressource sécurisée et vérifie aussi la validité du certificat fourni par la ressource sécurisée 1. Le certificat C n'est valide que dans une fenêtre de temps, par exemple, un jour. Le passeport 2 ne possédant pas d'horloge propre, il doit recevoir l'heure du terminal grâce à l'horloge 21 fournissant une heure fiable de confiance. Le passeport reçoit de la part de la ressource sécurisée 1 , une heure H et un certificat C. Le passeport vérifie la cohérence entre les deux informations, et si l'heure est dépassée, il ne répond pas.
L'étape d'établissement du canal de confiance avec la ressource de confiance du terminal ayant réussi, le passeport peut faire confiance au terminal sécurisé. Le passeport délivre alors les données biométriques qu'il contient directement à la ressource sécurisée et non pas à un autre élément du terminal.
Les données biométriques de référence lues à partir du passeport sont confinées dans la ressource sécurisée, par exemple dans la mémoire de stockage temporaire 16, la fonction de comparaison est exécutée au sein de la ressource sécurisée.
Les données du vivant sont alors acquises par le terminal (via le capteur d'empreinte du terminal) et envoyées à la ressource de confiance. Ces données du vivant sont alors comparées aux données de référence au sein du module de comparaison 20.
Une fois la comparaison effectuée, les données de référence ainsi que les données du vivant sont effacées. Le processeur 10 de la ressource sécurisée va déclencher l'effacement. Ceci est par exemple réalisé en effectuant une remise à zéro ou « reset » de registres, par sur-écriture ou par effacement d'urgence.
De façon à sécuriser le confinement des données biométriques de référence dans la ressource de confiance, idéalement, les interfaces disponibles 18 sont judicieusement gérées de façon à n'autoriser que l'interface de chargement des données du vivant et la fourniture du résultat.
Selon un mode de réalisation, il est possible d'étendre le domaine de sécurité conféré par la ressource de confiance à certaines ressources du terminal. Cette façon de procéder nécessite la mise en œuvre de capteurs spécifiques 17b au niveau du terminal et d'une détection anti intrusion mise en œuvre par le module de surveillance de l'environnement 17b. Ce module inclut notamment les capteurs de température, de tension permettant de contrôler le fonctionnement de la ressource. De plus, la ressource de confiance peut assurer la gestion de l'effacement de contexte de ressource du terminal ainsi que le blocage de ports de communications.
La figure 4 représente un exemple d'utilisation d'un terminal comprenant une ressource sécurisée selon l'invention intégrée dans un système complet. La ressource sécurisée selon l'invention est par exemple intégrée dans des terminaux mobiles pour piétons 50, des terminaux pour véhicules 51 ou encore des terminaux en poste fixes 52. Ces terminaux sont eux-mêmes intégrés à différents types de système via des réseaux de communications. Par exemple, les réseaux peuvent être des réseaux opérateurs publics 53, des réseaux de type PMR 54, en relation par exemple avec des réseaux infrastructure 55 via l'intermédiaire de passerelles réseau de type privés VPN 56 (abréviation anglo-saxonne pour Virtual Privât Network), de portails réseaux pour les radios mobiles PMR 57 abréviation anglo-saxonne de Private Mobile Radiocommunications. Ces réseaux peuvent aussi être en relation via une passerelle adaptée 58 à des stations d'administration 60 ou des serveurs d'applications 59. La partie gauche de cette figure correspond à un environnement potentiel sécuritaire et sur la droite, l'environnement décrété avoir un niveau de sécurité inférieur.
L'objet de la présente invention offre notamment les avantages suivants : > Lutter contre la dissémination de données biométriques contenues dans les titres d'identité ou les bases de données, en particulier en interdisant le détournement d'usage de ces mêmes données biométriques,
> Sécuriser des équipements manipulant des données biométriques de référence, la ressource sécurisée selon l'invention pouvant être intégrée dans un module dédié,
> Fournir une ressource de confiance intégrable dans différents types de terminaux,
> Vérifier les données biométriques sans divulguer la donnée de référence qui reste confinée dans la ressource sécurisée,
> Journaliser des actions des opérateurs avec fonction de non reniement d'action La ressource de confiance peut conserver l'identifiant de l'opérateur authentifié sur le terminal et tracer les contrôles réalisés (en garantissant que les informations des personnes contrôlées ne sont pas conservées et en utilisant si besoin la mémoire d'extension sécurisée pour le stockage), > pour les personnes en charge des contrôles d'identité, forces de police ou de gendarmerie, elles disposent d'un ensemble de moyens techniques et d'équipement terminaux leur permettant d'accéder aux données d'identités et aux données biométriques de référence, mais également leur permettant d'utiliser ces informations dans le but de valider l'identité du porteur par le biais d'un contrôle du vivant,
> Fournir une base de temps fiable utile à la bonne gestion des certificats pour les titres sécurisés.

Claims

REVENDICATIONS
1 - Ressource de confiance (1 ) destinée à être intégrée dans un terminal T de contrôle de données biométriques comprenant une ressource de confiance (1 ), ladite ressource étant placée en coupure entre un porteur (40) d'un titre (2) sécurisé comprenant une puce et un terminal utilisé par un contrôleur (41 ) de l'identité d'une personne caractérisée en ce qu'elle comporte au moins les éléments suivants :
Un processeur (10) sécurisé garantissant la lecture sécurisée des données biométriques de référence contenues dans le titre sécurisé et garantissant également la non dissémination de ces données ainsi que l'effacement après comparaison en s'appuyant sur les modules suivants :
> Un module (1 1 ) de lecture des informations contenues dans la puce du titre sécurisé (2), > Un module (15) d'authentification, de chiffrement et/ou déchiffrement permettant l'établissement de canaux de confiance avec la puce du titre ou avec tout autre élément externe de confiance,
> Un module de comparaison (19) des données biométriques lues par capture et les données de référence biométriques contenues dans la puce du titre sécurisé (2),
> Un moyen d'effacement des données après émission du résultat issu du module de comparaison (19) garantissant la non conservation des données biométriques de référence après un contrôle,
> Un module horloge (21 ) ayant pour fonction de fournir une heure fiable au titre sécurisé,
> Un module de couplage (18) aux lecteurs de titre permettant le contrôle du lecteur de puce,
> Un module de stockage temporaire sécurisé (1 6) des données biométriques garantissant la non sauvegarde des données biométriques de référence après une durée prédéfinie par la ressource de confiance ou en cas de coupure d'alimentation de la ressource de confiance,
> Un module de stockage persistant sécurisé de données de cryptographies (14), > Un module de gestion des périphériques de communications (22)
> Un module d'affichage (25) du résultat de la comparaison.
2 - Ressource de confiance selon la revendication 1 caractérisée en ce qu'elle comprend un module de surveillance de l'environnement de la ressource sécurisée (17a, 17b).
3 - Ressource de confiance selon la revendication précédente caractérisée en ce qu'elle comprend un module permettant l'effacement de contexte de ressource du terminal et le blocage des ports de communications du terminal avec l'extérieur.
4 - Terminal de contrôle T caractérisé en ce qu'il comporte au moins une ressource de confiance selon la revendication 1 .
5 - Procédé pour vérifier l'identité d'une personne porteur (40) d'un titre sécurisé comprenant une puce contenant des informations biométriques propres au porteur du titre en utilisant une ressource sécurisée selon l'une des revendications 1 à 3 caractérisé en ce qu'il comporte au moins les étapes suivantes : > ladite personne (40) présente son titre à un terminal T de contrôle de titre intégrant une ressource sécurisée (1 ) selon l'une des revendications 1 à 3,
> établir entre ladite ressource sécurisée (1 ) et la puce située sur le titre sécurisé (2) un canal de confiance (4) sur la base d'une authentification mutuelle, canal qui est utilisé pour dialoguer et échanger des informations entre la ressource et le titre, > vérifier la validité d'un certificat fourni par la ressource sécurisée à partir d'une heure délivrée par le terminal T,
> Si le certificat est valable, alors le canal de confiance est établi et le titre sécurisé (2) transmet par l'intermédiaire de ce canal (4), les données biométriques de référence qu'il contient vers une mémoire de stockage temporaire (16),
> L'étape suivante consiste à comparer les données de référence avec les données biométriques captées grâce à un module de capture de données biométriques, > Le comparateur émet un signal de validité ou de non validité issu de l'étape de comparaison,
> L'étape suivante consiste à effacer les données contenues dans la mémoire temporaire, et en ce que
> Lors de l'établissement du canal de confiance, le titre sécurisé reçoit une heure d'une horloge contenue dans la ressource de confiance et ledit titre vérifie la validité du certificat.
PCT/EP2009/054628 2008-04-30 2009-04-17 Ressource de confiance integree a un dispositif de controle de donnees biometriques assurant la securite du controle et celle des donnees WO2009132977A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR08/02426 2008-04-30
FR0802426A FR2930830A1 (fr) 2008-04-30 2008-04-30 Ressource de confiance integree a un dispositif de controle de donnees biometriques assurant la securite du controle et celle des donnees

Publications (1)

Publication Number Publication Date
WO2009132977A1 true WO2009132977A1 (fr) 2009-11-05

Family

ID=40076843

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2009/054628 WO2009132977A1 (fr) 2008-04-30 2009-04-17 Ressource de confiance integree a un dispositif de controle de donnees biometriques assurant la securite du controle et celle des donnees

Country Status (2)

Country Link
FR (1) FR2930830A1 (fr)
WO (1) WO2009132977A1 (fr)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102332067A (zh) * 2010-05-27 2012-01-25 福特全球技术公司 车辆资源使用控制系统和方法
CN105119776A (zh) * 2015-09-08 2015-12-02 广东欧珀移动通信有限公司 一种WiFi连接失败原因检测方法及系统
CN105227578A (zh) * 2015-10-28 2016-01-06 广东欧珀移动通信有限公司 传输文件的加密和解密方法及加密和解密装置
FR3060168A1 (fr) * 2016-12-09 2018-06-15 Imprimerie Nationale Procede et systeme d'identification biometrique

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1120757A2 (fr) * 2000-01-27 2001-08-01 International Game Technology Système et terminal de jeu avec identification biométrique
WO2005121924A2 (fr) * 2004-06-09 2005-12-22 Koninklijke Philips Electronics N.V. Architectures pour la protection de la confidentialite de modeles biometriques
FR2882839A1 (fr) * 2005-03-07 2006-09-08 Laurent Michel Dispositif de protection d'acces a un ordinateur
US20070177771A1 (en) * 2006-02-02 2007-08-02 Masahide Tanaka Biometrics System, Biologic Information Storage, and Portable Device
WO2008023114A1 (fr) * 2006-08-22 2008-02-28 Compagnie Industrielle Et Financiere D'ingenierie 'ingenico' Terminal de paiement electronique biometrique et procede de transaction

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1120757A2 (fr) * 2000-01-27 2001-08-01 International Game Technology Système et terminal de jeu avec identification biométrique
WO2005121924A2 (fr) * 2004-06-09 2005-12-22 Koninklijke Philips Electronics N.V. Architectures pour la protection de la confidentialite de modeles biometriques
FR2882839A1 (fr) * 2005-03-07 2006-09-08 Laurent Michel Dispositif de protection d'acces a un ordinateur
US20070177771A1 (en) * 2006-02-02 2007-08-02 Masahide Tanaka Biometrics System, Biologic Information Storage, and Portable Device
WO2008023114A1 (fr) * 2006-08-22 2008-02-28 Compagnie Industrielle Et Financiere D'ingenierie 'ingenico' Terminal de paiement electronique biometrique et procede de transaction

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102332067A (zh) * 2010-05-27 2012-01-25 福特全球技术公司 车辆资源使用控制系统和方法
US9639688B2 (en) 2010-05-27 2017-05-02 Ford Global Technologies, Llc Methods and systems for implementing and enforcing security and resource policies for a vehicle
CN105119776A (zh) * 2015-09-08 2015-12-02 广东欧珀移动通信有限公司 一种WiFi连接失败原因检测方法及系统
CN105119776B (zh) * 2015-09-08 2017-10-31 广东欧珀移动通信有限公司 一种WiFi连接失败原因检测方法及系统
CN105227578A (zh) * 2015-10-28 2016-01-06 广东欧珀移动通信有限公司 传输文件的加密和解密方法及加密和解密装置
CN105227578B (zh) * 2015-10-28 2018-02-16 广东欧珀移动通信有限公司 传输文件的加密和解密方法
FR3060168A1 (fr) * 2016-12-09 2018-06-15 Imprimerie Nationale Procede et systeme d'identification biometrique

Also Published As

Publication number Publication date
FR2930830A1 (fr) 2009-11-06

Similar Documents

Publication Publication Date Title
EP2545721B1 (fr) Protection contre un deroutement d'un canal de communication d'un circuit nfc
EP2656578B1 (fr) Gestion de canaux de communication dans un dispositif de telecommunication couple a un circuit nfc
EP2545724B1 (fr) Protection d'un module de securite dans un dispositif de telecommunication couple a un circuit nfc
EP2545722B1 (fr) Detection d'un deroutement d'un canal de communication d'un dispositif de telecommunication couple a un circuit nfc
EP2545723B1 (fr) Protection d'un canal de communication entre un module de securite et un circuit nfc
EP3241137B1 (fr) Procede mis en oeuvre dans un document d'identite et document d'identite associe
WO2006056669A1 (fr) Procede de securisation d'un terminal de telecommunication connecte a un module d'identification d'un utilisateur du terminal
FR2864289A1 (fr) Controle d'acces biometrique utilisant un terminal de telephonie mobile
EP1055203A1 (fr) Protocole de controle d'acces entre une cle et une serrure electronique
WO2009132977A1 (fr) Ressource de confiance integree a un dispositif de controle de donnees biometriques assurant la securite du controle et celle des donnees
FR3061971A1 (fr) Procede d'authentification en deux etapes, dispositif et programme d'ordinateur correspondant
EP1368716B1 (fr) Methode anti-clonage
EP3963823A1 (fr) Procédé de connexion sécurisée à un service web embarqué et dispositif correspondant
EP2954449B1 (fr) Authentification de signature manuscrite numérisée
FR3133463A1 (fr) Dispositif portable et autonome de sécurisation de transfert de données et procédé correspondant.
EP2911365A1 (fr) Procédé et système de sécurisation de transactions offertes par une pluralité de services entre un appareil mobile d'un utilisateur et un point d'acceptation
EP3984005A1 (fr) Badge d'accès électronique
FR3013868A1 (fr) Procede de transmission securisee d'une image d'un document d'identite electronique vers un terminal
FR3131497A1 (fr) Dispositif de gestion d’une requête de transfert de données
EP3718280A1 (fr) Technique de traitement de messages envoyés par un dispositif communicant
FR2888435A1 (fr) Evaluation du niveau de confiance d'une plate-forme hote par un dispositif electronique portable
EP1962239A1 (fr) Procédé de vérificatiion d'un code identifiant un porteur, carte à puce et terminal respectivement prévus pour la mise en ceuvre dudit procédé
FR2981028A1 (fr) Systeme de cle virtuelle
FR2900524A1 (fr) Dispositif de protection des donnees et codes executables d'un systeme informatique.
WO2017162995A1 (fr) Procede d'authentification pour autoriser l'acces a un site web

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09738021

Country of ref document: EP

Kind code of ref document: A1

DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 09738021

Country of ref document: EP

Kind code of ref document: A1