EP1048003A1 - Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce - Google Patents

Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce

Info

Publication number
EP1048003A1
EP1048003A1 EP98949065A EP98949065A EP1048003A1 EP 1048003 A1 EP1048003 A1 EP 1048003A1 EP 98949065 A EP98949065 A EP 98949065A EP 98949065 A EP98949065 A EP 98949065A EP 1048003 A1 EP1048003 A1 EP 1048003A1
Authority
EP
European Patent Office
Prior art keywords
card
terminal
memory
light
chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP98949065A
Other languages
German (de)
English (en)
Inventor
Innovatron
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Innovatron SA
Original Assignee
Innovatron SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR9713345A external-priority patent/FR2770315B1/fr
Application filed by Innovatron SA filed Critical Innovatron SA
Publication of EP1048003A1 publication Critical patent/EP1048003A1/fr
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07318Means for preventing undesired reading or writing from or onto record carriers by hindering electromagnetic reading or writing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0723Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips the record carrier comprising an arrangement for non-contact communication, e.g. wireless communication circuits on transponder cards, non-contact smart cards or RFIDs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/08Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means
    • G06K19/10Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means at least one kind of marking being used for authentication, e.g. of credit or identity cards
    • G06K19/14Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means at least one kind of marking being used for authentication, e.g. of credit or identity cards the marking being sensed by radiation
    • G06K19/145Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means at least one kind of marking being used for authentication, e.g. of credit or identity cards the marking being sensed by radiation at least one of the further markings being adapted for galvanic or wireless sensing, e.g. an RFID tag with both a wireless and an optical interface or memory, or a contact type smart card with ISO 7816 contacts and an optical interface or memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10544Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation by scanning of the records by radiation in the optical part of the electromagnetic spectrum
    • G06K7/10821Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation by scanning of the records by radiation in the optical part of the electromagnetic spectrum further details of bar or optical code scanning devices
    • G06K7/1097Optical sensing of electronic memory record carriers, such as interrogation of RFIDs with an additional optical interface

Definitions

  • the invention relates to contactless communication between two remote organs such as a fixed terminal and an independent portable electronic object held by a user.
  • Such contactless data exchange systems (that is to say without galvanic contact) are well known and, among the applications of this technique, we find - without limitation: physical access control, by example for access to a protected room or to which access is restricted to certain persons who must first identify themselves; logical access control, for example to an IT function; data decryption, etc. ; as well as monetary transactions such as "electronic wallet” type applications, toll or payment applications, etc.
  • a portable object for example of the "contactless card” or “contactless badge” type, which will hereinafter simply be called “card” - the term “card” being however chosen that for convenience and without any limiting character, the invention applies to any type of electronic portable object such as badge, ring, bracelet, key, pendant, etc. likely to exchange information with a contactless terminal (hereinafter “terminal”) by bringing the card closer to the latter so as to allow non-galvanic coupling between these two members.
  • terminal contactless terminal
  • the exchange of information following this coupling is operated by modulating an electromagnetic field which can either be a field where the electrical component is dominant (in the field of radio frequencies, microwaves or even light frequencies) or else in which the component magnetic is preponderant, the coupling then being operated by varying a magnetic field produced by 10th induction coil, technique known as the "induction process".
  • the card used in the latter technique can be of the "active” type, that is to say comprising an incorporated power supply battery, or else "passive 1 , c is to say remote powered by energy emitted by the terminal, in particular magnetic energy, which often makes the induction method prefer.
  • the invention aims to protect against a certain risk of fraud and malicious acts to which the type of contactless communication system by electromagnetic field could be exposed.
  • this type of system is vulnerable to "electronic pickpocketing", where an “electronic pickpocket” fraudster approaches the card, without the knowledge of its holder, a counterfeit portable terminal to fraudulently establish a communication link with the card and, for example in the case of an electronic purse, improperly withdraw monetary units from the memory of the card.
  • the object of the invention is a contactless communication system between a card and a terminal which makes it possible to ensure excellent protection against the risks of "electronic pickpocketing".
  • the invention provides a system for contactless communication between a terminal and a portable object such as a card, the terminal and the card each comprising electromagnetic field transceiver means and the card comprising a chip with processing circuits and a memory writable on command from the terminal, characterized in that the card comprises validation means, conditioning at least one step of the exchange of data between terminal and card to a predetermined external action of confirmation exercised with this card by the holder of the card, these validation means comprising, in the card, light receiving means cooperating with the electronic digital processing circuits and with the memory.
  • the predetermined confirmation action may in particular be the exposure of the card to ambient lighting.
  • the memory contains a data forming an indicator of activation or inhibition of the validation means indicating whether, respectively, said step of the data exchange must or not be conditioned to said predetermined external action of confirmation .
  • This activation or inhibition indicator can be a predetermined static datum, possibly an irreversibly predetermined static datum, or else a datum which can be dynamically modified by a terminal during said data exchange.
  • the conditional step of the data exchange can be the activation of the writing of the memory of the card, and / or the activation of the reading of this memory.
  • the exchange of data is conditioned upon the reception by the card of a light emitted by the terminal.
  • the terminal preferably emits light with its own characteristic modulation, and the memory of the card contains modulation setpoint parameters, compared by the card to the actual parameters of modulation of the light received by the light receiving means. from the menu.
  • the terminal can also emit light with characteristic information modulation, the card memory containing setpoint information compared by the card to the actual information conveyed by the modulated light received by the light receiving means of the card, this information deposit is preferably transmitted in encrypted form, the card then containing corresponding encryption / decryption means.
  • the light emitting and receiving means of the terminal can be located in the vicinity of each other, or else be located at a distance from each other, semi-reflecting means then being provided for make the directions of propagation of the emitted and received rays substantially confused, respectively, or else be located in the vicinity of each other in the radial direction relative to the directions of propagation of the rays emitted and received, and offset between them in the axial direction.
  • the card comprises a monolithic chip integrating the light receiving means and the electronic circuits for digital processing and for the memory.
  • This chip can in particular carry an integrated mask obscuring at least the circuits of the card memory, or the coating material of the card can have an orifice leaving visible the light receiving means and obscuring at least the memory circuits of the map.
  • the card chip includes an electrically accessible input terminal for the conditional activation of memory writing and / or an electrically accessible output terminal delivering a signal following the predetermined external confirmation action exercised by the card holder and / or an electrically accessible input terminal receiving a signal representative of the predetermined external confirmation action exercised by the card holder. It is even possible to provide a coupling between the input terminal for the conditional activation of the writing of the memory and the output terminal delivering a signal following the predetermined external confirmation action, with interposition of encryption means / decryption, and or provide a specific metallization of the card chip connecting the input terminal for the conditional activation of the writing of the memory and the output terminal delivering a signal following the predetermined external confirmation action .
  • FIG. 1 is a general schematic view of the system of the invention.
  • Figure 2 illustrates more precisely the exchange of signals between card and terminal.
  • FIG. 3 is a flowchart explaining the course of the various steps of communication between card and terminal.
  • FIG. 4 illustrates an embodiment of the card chip.
  • FIG. 5 is a first improvement of the embodiment of FIG. 4.
  • FIG. 6 is a second refinement of the embodiment of FIG. 4.
  • FIG. 7 shows the card provided with detection means of the magnetic anti-theft target type.
  • FIG. 8 shows the card provided with detection means of the coded magnetic target type.
  • Figure 9 illustrates how the targets in Figure 8 are coded.
  • FIG. 10 shows the system with the terminal provided with detection means for detecting the card by occultation.
  • FIG. 11 shows the system with the terminal provided with telemetric means for detecting the card.
  • FIG. 12 is a timing diagram of various signals noted on the assembly of FIG. 11.
  • FIG. 13 shows a first configuration of the light transmitter-receiver means of the terminal.
  • FIG. 14 shows a second configuration of the light transmitter-receiver means of the terminal.
  • FIG. 15 shows a third configuration of the light transmitter-receiver means of the terminal.
  • FIG. 16 is a view of a monolithic chip integrating the light receiving means.
  • FIG. 17 shows a possible implantation of the chip of FIG. 18 in the system card.
  • FIG. 18 shows a card provided with light reflecting means.
  • Figure 19 illustrates the mutual recognition implementation of the system of the invention.
  • FIG. 20 illustrates a control logic for a card with inhibition of reading and / or writing as a function of the presence of an external light.
  • FIG. 21 is a variant of FIG. 20, allowing a conditional invalidation of the inhibitor circuit.
  • FIG. 22 is a variant of FIG. 20, allowing conditional acquisition of the instructions.
  • FIG. 23 schematically illustrates a means of automatic compensation for the operation of the circuit of the card according to the level of the external illumination.
  • FIG. 24 illustrates a particular configuration of embodiment of the photoelectric member of the card, seen from above.
  • FIG. 25 is a section along A-A in FIG. 24.
  • FIG. 26 is a section along B-B in FIG. 24.
  • FIG. 27 illustrates another particular configuration of embodiment of the photoelectric member of the card, seen from above.
  • At least a critical part of the communication between the card and the terminal is made conditional on a voluntary action on the part of the user, more precisely a voluntary action captured by the detection of a light, the communication function being made conditional on the presence (or absence) of this detection of the light.
  • the voluntary action consists in taking out the card to present it to the terminal; in this case, the card may include a light detector ambient, a photosensitive element such as a photodiode, a phototransistor or a photovoltaic element, for example.
  • the card may include a light detector ambient, a photosensitive element such as a photodiode, a phototransistor or a photovoltaic element, for example.
  • the card combines a reflecting surface and a detector of a beam emitted by the terminal, the latter comprising a detector of the beam reflected by the card.
  • the card detector can then be used to revive the card (in standby mode with low consumption in the absence of the beam), while the encoding of the beam can incorporate informational content (a specific authorization code for example) to which the card is sensitive.
  • the detection at the terminal of the reflected beam can also serve, as will be explained below, to increase the power of the electromagnetic field produced by the latter (or to trigger its emission), as will be described below.
  • Another aspect of the invention which can be combined with the previous one, aims to reduce or interrupt the electromagnetic field emissions in periods when full power is not required continuously, the emission of the electromagnetic field can be reactivated when a card is present or likely to appear. Not only do we reduce the risks inherent in electromagnetic field emissions, but we can also obtain energy consumption savings in field generation.
  • the terminal may include means for detecting the approach or the presence of a user in order to reactivate the emission of the field, with a different communication channel for initialization, on the one hand, and for remote control and / or data transmission, on the other hand.
  • the detection means comprise an ambient light detector (a photoelectric cell for example) which is obscured by the 'ap- close to the card or the user's hand or wrist holding the card.
  • the detection means can include a light beam which crosses the access passage to a facing photocell, and which is interrupted by user approach.
  • the approach of the user can be detected by a weight detector (for example more than 20 kg) located under the access passage, for example.
  • the terminal can be reactivated when passage control means are released, when the door of a bus is opened, for example.
  • the terminal can operate in a reduced field during the quiescent period, then reactivate at higher power for the exchange of data with the card.
  • a reflective surface is provided on the card and the emission by the terminal of a light beam (not necessarily in the wavelengths of visible light) whose reflection by the card is detected at terminal by a cell.
  • a light beam not necessarily in the wavelengths of visible light
  • the reflecting surface is preferably catalytic, that is to say at both reflective and refractive, for example in the form of a network of transparent or translucent prisms, or with retroreflective balls, reflecting the incident beam on a solid angle much wider than the angle of the beam itself.
  • the reference 100 generally designates the contactless terminal or TSC, and the reference 200 the contactless card or CSC, the term "card” used being, as stated above, of course in no way limiting.
  • the terminal 100 is designed to emit a field electromagnetic 102, for example at 13.57 MHz, which allows the activation of a card 200, as well as a light beam 104 in the direction of the card.
  • the card 200 captures the electromagnetic energy by means of a winding 202 of a circuit tuned to the frequency of the field 102, the energy necessary for its operation is extracted from this field for:
  • the contactless transaction begins: for example, for a contactless payment transaction, exchange of characters and orders preliminary to the transaction itself such as: date, serial and batch number, banking information, validated , etc.
  • a photodetector element 204 Prior to payment, a photodetector element 204 is interrogated to detect the possible presence of the light beam 104 expected from the terminal; on the presence at its terminals of a predetermined electrical signal, the transaction is authorized to execute. If the signal is not observed under the conditions provided (for example, after m milliseconds or else iterations of a software loop) writing into memory is refused, possibly until the chip is switched off, that is to say until leaving the field. As the terminal does not receive confirmation of the expected entry from the card, it therefore refuses the transaction.
  • an "electronic pickpocket" provided with an antenna for example a coil concealed in a glove and connected to a terminal simulator box carried in a pocket or in a bag, cannot effectively activate the card without the knowledge of the user: even if the electromagnetic field 102 is correctly emitted by the antenna of the pickpocket, and the card is consequently correctly supplied and initialized, the latter cannot, except the will of its holder, receive the necessary light beam to the completion of the transaction, and therefore of the writing and then the report which must be made at the terminal. - More precisely, as illustrated in FIG.
  • the photodetector element 204 is connected, via an amplifier and demodulator circuit 206, to an input 208 of the chip 210 itself connected, via the pads 212, to the antenna (winding) 202 , the whole being mounted on a card 200 carrying a photoreflective element 214 such as a retro-reflector, a cataphot, a strip of retroreflective adhesive, etc. It is thanks to this photoreflective means provided on the card that the ray 104 emitted by the terminal returns to the photodiode 106 of this same terminal, which causes the triggering, diagrammatically by the switch 108, of the emission of the electro field. - magnetic 102 necessary for the contactless transaction operation, this via circuits 110 of the terminal.
  • the flow diagram of FIG. 3 explains the operating sequence of the terminal-card system.
  • the card On reception of the electromagnetic field emitted by the terminal (step 300), the card extracts the energy necessary for its operation (establishment of the internal supply V_ c , step 302), then to its initialization:
  • step 306 starting the microprocessor or electronic circuits in the case of a wired logic type chip.
  • step 308 exchange of characters and preliminary commands to the transaction itself (date, batch number, validity, etc.).
  • the card can be debited by simply activating a write-in memory signal allowing the amount of the debit to be entered.
  • a condition is imposed for the writing to take place in the card, namely the establishment of a "transaction authorized" bit (step 310), by means which will be explained below. with reference to FIG. 5.
  • the waiting loop 312 allows that, in the movement of presenting the card to the terminal which lasts only a few fractions of a second, a position occurs. correct operation of the photodetector element 204 vis-à-vis the light ray 104 for a few milliseconds.
  • the actual debit can then be written, of the amount x provided, for example 25 francs.
  • the continuation and the end of the payment process can be er (step 312) the card can in particular report to the terminal by a last message of the completion of a complete transaction.
  • the card in the event that the card moves away from the terminal to the point of no longer being able to continue properly exchanging signals with the terminal, it immediately returns to its inert state prior to entry into communication and the progress of the 'flowchart of the figure is interrupted thereby, allowing the return to the initial state also on the terminal side.
  • FIG. 4 schematically illustrates an embodiment of the invention which does not require modification of the software for controlling the chip (in the case of a microprocessor card), nor of any pre-existing logical arrangement d '' a wired logic card. This is of great interest, in particular in the case of chips, the design of which is already fixed, in particular to meet international standards or other constraints weighing on the specific definition of a rapid payment system for example.
  • the chip 210 can be organized so that it has:
  • the other components shown are: - the coil 202, connected to the input I ⁇ and the output O j ⁇ of the chip,
  • a RAMWE * entry for writing to RAM which, in the present case, is connected by connection 222 to the ground potential so as to make it possible at any time to write counters to RAM, scales, registers, batteries, etc.
  • the writing in EEPROM which, alone, allows a useful transaction, depends materially - and only materially - on the truth of the signal VRV * in 220, without it being necessary to modify in any way the arrangement internal, logical or software, of chip 210.
  • FIGS. 5 and 6 illustrate improvements of the mode of implementation which we have just described, by providing for additional discrimination operated by the card on the physical characteristics of the light ray emitted by the terminal (FIG. 5) and or informational content. conveyed by this same light ray ( Figure 6).
  • the light ray 104 received by the photodetector 204 and amplified at 206, is applied to a demodulation and decoding circuit 226 capable of extracting information representative of the frequency F, of phase 0 and of the pattern or "pattern" P specific to the light emission 104.
  • These parameters are compared with expected values stored in the memory 228 of the chip and applied to a reference input 230 of the circuit 226.
  • the conformity of all these parameters is detected by gate 230 and transmitted via a flip-flop 232 to gate 234 which, by controlling the WRITE write input of memory 228, authorizes the recording therein of the amount x of the transaction.
  • a comparator 236 determines the conformity of the information received via the light beam (and therefore passed on by the terminal, the latter having itself received it from the memory of the card) with the number directly extracted from the memory 228, if necessary after decryption by circuit 238.
  • the card 200 includes a strip 248 made of ferromagnetic material, of the type used in stores as an anti-theft device for discs or books.
  • This strip comprises a combination of metal alloys arranged so as to enter into resonance by detection of hysteresis with a field 118 emitted by the terminal 100, itself comprising electronic circuits oscillators and amplifiers 120 for the production of this field and detection circuits 122 of the same type as those used in the systems my locks.
  • the main transmitter of the terminal is activated.
  • the electronic control circuits inhibit the main transmitter of the terminal.
  • thin rings of ferromagnetic material with a thickness of approximately 0.1 mm are incorporated into the thickness of the card 200.
  • this number is not limiting, and one can for example provide a number of the order of two to twenty.
  • some of these rings (262 in Figure 9) are partially sectioned, others (264 in Figure 9) being left intact.
  • the main transmitter of the terminal On positive detection (presence of the correct code formed by the five rings) the main transmitter of the terminal is then activated. On the contrary, in the absence of the correct code (therefore in the absence of a card), the electronic control circuits inhibit the main transmitter of the terminal.
  • the terminal and the entire system are arranged to take account of the losses caused in the form of eddy current in the metal rings 260.
  • the terminal 100 includes an orifice at the rear of which is mounted a photodetector 128, which allows the emission of the field 102 to be triggered via an electronic circuit 130 and a switch means 132.
  • a monostable scale 134 the darkness detected by the shutter of the photodetector by applying the card 200 to it triggers the main transmitter for the shortest possible duration, for example 200 ms.
  • FIGS. 11 and 12 illustrate a variant operating by telemetry, where a certain distance between the card and the terminal is required for the entry into operation of the main transmitter, so that the latter is not inadvertently triggered by cards which, for example more than 50 cm away, would not be able to communicate with the terminal anyway. It is possible to use a phototelemetry method in order to exploit only the maps that are as precisely as possible under the useful conditions, for example about twenty centimeters.
  • the propagation time of the light ray between its starting point (light-emitting diode 136 of the terminal) and its end point (photodiode 138 of the terminal) is measured: - operation of a fast clock (for example 100 MHz ) 140 on the inputs 142 and 144 (corresponding respectively to the signals illustrated in FIG. 12) of an EXCLUSIVE OR gate 146, whose output signal 148 is also illustrated in FIG. 12;
  • a fast clock for example 100 MHz
  • a pulse duration (signal 148) of the order of 0.6 ns (for a total cycle of 10 ns) constitutes a measurable quantity with components of appropriate characteristics, in particular by integration: RC 150 circuit , 152 delivering a voltage V 154 inversely proportional to the distance between the card and the terminal (we must of course take into account the time constants of the circuit and of the components which influence the rise and fall times on the signals) ;
  • a monostable flip-flop 156 can be triggered by a 0.6 ns pulse creating itself on the Q output (in the case where the distance between card and terminal is greater than 20 cm) x pulse of duration, for example equal to 150 ms, is necessary for the automatic progress of the complete transaction.
  • an assembly is provided on the terminal comprising one or more light emitters 158 cooperating with a plurality of photoreceptors 160 such as photodiodes or the like, assembled for example on a 1 cm module.
  • the photodiodes are equipped with an optical system such as a lens making it possible to pick up from several angles the ray reflected by the card, so as not to require a presentation of the card in a positio which is too predetermined, which would be restrictive for the user.
  • a particular optical system could comprise, as illustrated in FIG. 14, a plurality of semi-reflecting mirrors 162 inclined at 45 ° in the axis of the light-emitting diodes 164, the photoreceptors 166 being arranged perpendicular to the axis of the light emitters.
  • FIG. 14 can, as a variant, be replaced by that of FIG. 15, the transceiver comprising a plurality of emitting diodes 168 and a photodiode 170 slightly depressed relative to the plane of the emitting diodes 168 (or the reverse) so as not to be dazzled by the light 172 produced by the latter, but receiving only the light energy 174 returned by the reflective material 266 of the card 200.
  • the transceiver comprising a plurality of emitting diodes 168 and a photodiode 170 slightly depressed relative to the plane of the emitting diodes 168 (or the reverse) so as not to be dazzled by the light 172 produced by the latter, but receiving only the light energy 174 returned by the reflective material 266 of the card 200.
  • a chip 268 is provided in the card comprising: - pads 270 intended for connection of the coil 202, as well as possibly pads 272 intended for connection to the various contacts (in the case a contactless contactless card), - one or more photodetector elements 274 such as photodiode or phototransistor, photovoltaic structure, etc., - a layer of opaque material 276, where an orifice 278 (FIG. 17) allows the passage of light towards the photodetector 274, while the other organs of the chip, and in particular the programmable, erasable or rewritable memories such as EPROMs or EEPROMs which can be sensitive to light radiation, are protected from light.
  • a protective window can be arranged outside the semiconductor, so for example not to be hit.
  • the coating 280 of the chip in PVC, ABS, etc.
  • the coating 280 of the chip may include such an orifice 278, provided that the latter is machined and positioned with precision; the dimensions of the orifice are of the order of 0.1 or 0.01 mm depending on the fineness of etching of the assembly and the optical characteristics of the material and its machining.
  • a photoreflective surface 214 such as cataphot, reflector or retroreflective adhesive tape.
  • the light reflection function can also be obtained by special machining or treatment of the coating, including for example aluminum particles.
  • a terminal 100 recognizes a card 200 by emission of a light ray 176, reflection at 282 by the photoreflector
  • the card and the terminal enter into dialogue, on the initiative of the terminal (transceivers on both sides), - optically, the card expects from the terminal an authorization signal 178, used by the semiconductor 210, which validates the dialogue and allows writing to memory.
  • the terminal permanently emits a light beam (therefore without biological risk), possibly modulated
  • the terminal picks up the reflected ray, processes and decodes the recovered signal in order to eliminate the effects of ambient light, and the resulting signal gives an indication of the approach or presence of a user
  • the terminal leaves its quiescent state and emits the main electromagnetic field
  • the card receives the electromagnetic field, extracts the energy necessary for its internal power supply, demodulates the signal and activates the microprocessor as well as the integrated detection photodiode
  • the microprocessor of the contactless dialogue card with the terminal then, before debiting the amount provided, interrogates the photodiode integrated in the card, which generates a logic signal after processing and decoding the current generated by the beam; on positive detection, the microprocessor of the card validates the payment authorization, proceeds to the recording in the memory of the card and continues or completes the transaction.
  • a card has also been described comprising for this purpose an ambient light detector with a photosensitive element (referenced 274 in the figures) such as a photodiode, a phototransistor or a photovoltaic element for example, the voluntary action consisting in removing the card to activate this ambient light detector.
  • a photosensitive element referenced 274 in the figures
  • the voluntary action consisting in removing the card to activate this ambient light detector.
  • the photosensitive member 274 produces, after amplification and thresholding logic signal LUX which will allow (or not) the operation of the card due to the illumination of celle- c above, illuminance, as indicated above, may be the result of only ambient light.
  • a bistable 300 controls a specific WRITE_INHIBIT input of the microcircuit 268 (cf. FIG. 16), which will prohibit writing into memory.
  • the state of the bistable 300 is controlled, on the one hand, by the LUX signal and, on the other hand, by various signals applied by a control logic 302, which is in fact a subset of the microcircuit 268) .
  • the flip-flop 300 is reset to zero by the initial positive pulse of general reset of the chip, shortly after the power up of
  • the photodetector 274 In the dark, the photodetector 274 generates on the input 304 of the door 306 a LUX signal in the low state. As soon as the initial reset pulse has fallen, the flip-flop 300 is thus positioned at T
  • the WRTTE_INHIB ⁇ command becomes inactive, thus authorizing writing, at least for the duration of the transaction.
  • the "electronic pickpocketing" operation consisting in approaching the target card a false portable terminal provided with an antenna adequate to start up unduly map in order to record a debit transaction is impossible as long as the card resi ⁇ in the darkness of a bag, a wallet, a purse, etc. The user is therefore guaranteed against this particularly pernicious risk of fraud.
  • this security is made optional, at the option of the manufacturer manufacturing the protected card. Indeed, for the needs of this or that customer, it may be desirable that this security can be systematically activated or deactivated at will at the stage of card manufacturing / personalization.
  • a particular location of the memory is assigned to an indicator determining this setpoint.
  • This indicator located at an address ADDRESS_PROTECT_WRITE (AD_PROT_W), is read on the DATA data output . OUT of memory.
  • ADDRESS_PROTECT_WRITE AD_PROT_W
  • AD_PROTECT_READ AD_PROT_R
  • the card is then provided with a bistable 310, similar to the bistable 300 and capable of producing on its output 312 a READJNHIBIT signal conditioning the reading operation of the memory of the card microcircuit, in the same way as the WRITE signal. .INHIBIT conditioned the writing. It is also possible to provide an OR gate (not shown) activated by the two signals READJNHIBIT and WRITE_INHIBIT to generate a general inhibition signal, in read and write.
  • the manufacturer can indifferently offer either a traditional contactless smart card, or the same card which is also secured against "night access", that is to say against reading attempts and / or writing in the dark. This, for the low cost of a few components (less than ten doors), as well as a specific treatment of the surface of the plastic and / or the integrated circuit (as described above with reference to FIGS. 16 and 17, and below in reference to Figures 24 to 27).
  • IGNORE.WRITE DATA_OUT (AD)
  • IGNORE_READ DATA_OUT (AD +1)
  • the reading of the two initial positions of the memory provides by execution of a NOR function with the LUX state of the photodetector the status of the two inhibition commands WRITE JNHIBIT and READJNHIBIT.
  • FIG. 21 illustrates an alternative embodiment allowing a conditional invalidation of the inhibitor circuit, that is to say allowing in certain specific cases determined a "night operation" of the integrated circuit, that is to say allowing operation despite the no ambient light.
  • a specific address AD _INV_NOC contains a specific indicator assigned to this function which, in combination with a predetermined content of the memory, for example '1', will position a flip-flop 314 via a gate 316.
  • the signal INV_NOC Protection invalidation Nocturne
  • the signal WRITE JNHIBIT at '0', and this independently of the state of the LUX signal representative of the absence or the presence of light on the photosensitive element 274.
  • the operating mode will be as follows: when entering the site, the holder extracts the card from his wallet, from his pocket, from his handbag, ... so as to expose it to ambient light.
  • the terminal com- mence by performing on the memory of the card the operations of reading, and possibly of writing, necessary to control access to the site. After which, the terminal writes to the address AD JNV4N0C the agreed value, so as to predetermine at 'TRUE', later, the parameter INV_NOC.
  • FIG. 22 illustrates a particular embodiment allowing a conditional acquisition of the instructions.
  • the state of three variables is positioned as soon as the microcircuit is switched on (RESET): presence of light (LUX), IGNO-RE_WRITE setpoint and IGNORE_READ setpoint.
  • FIGS. 23 to 27 illustrate particular technological aspects which are advantageous for producing a card incorporating photodetector means of the type illustrated in FIGS. 16 and 17.
  • FIG. 23 thus illustrates an automatic compensation circuit for the supply of the microcircuit 268 as a function of the possible level of illumination, in order to avoid risks of mid-malfunctions.
  • crocircuit by parasitic illumination of the components. This parasitic phenomenon could moreover be exploited maliciously by a fraudster who wishes to override the security incorporated in the card by deliberately creating malfunctions so as to cause 5 untimely opening of doors, positioning of flip-flops in a state different from that predicted by logic equations, etc., all phenomena likely to occur when the card is caused to operate outside the nominal conditions provided.
  • the signal coming from the photodetector 274, suitably processed by the specific amplifier 334, ensures the control of the general supply of the microcircuit 268 (or, at least, of the most vulnerable to its organs) via a programmable regulation circuit 336 placed on the DC supply line.
  • a corrective action can be exerted on a specific polarization input 338 of the microcircuit, capable of intervening on the gain or the threshold of the sensitive stages.
  • Another protection which it is important to implement consists in guiding the incoming light towards the target point (sensitive photodetector zone of the microcircuit) by avoiding the illumination of the other components.
  • the photosensitive zone 340 extends along one of the sides of the chip 268, and the light arrives via an orifice 342 formed through the substrate 344, the light therefore penetrating, 5 as illustrated at 346 in FIG. 25, on the side of the substrate 344 opposite to that where the chip of the microcircuit 268 is located.
  • one of the wires 348 is formed before welding with a section U (see in particular Figure 26) giving it an inverted gutter shape, the hollow part 350 being turned towards the photosensitive surface 340 of the microcircuit chip 268.
  • FIG. 27 In another alternative embodiment, illustrated in FIG. 27, with the aim of preventing any light ray from reaching the surface of the microcircuit carrying the various logic components (components located on the side referenced 352 in FIG. 27) , there is the photodetector member 274, here in the form of an attached component, next to the microcircuit chip 268, but vertically turned over, that is to say with its sensitive surface turned in the opposite direction to that of the surface 352.
  • a chip card "micromodule” consisting of a printed circuit in the form of a very thin substrate 344.
  • Adequate tracks such as 354 are provided on the substrate 344 of the micromodule so as to be able to connect by welding the pads 356 of the photosensitive component 274 and the pads 358 of the inverted microcircuit 268.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Electromagnetism (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Toxicology (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Credit Cards Or The Like (AREA)

Abstract

Le terminal (100) et la carte (200) comportent chacun des moyens émetteurs-récepteurs de champ électromagnétique et la carte comporte une puce avec des circuits de traitement et une mémoire inscriptible sur commande du terminal. La carte comporte des moyens de validation, conditionnant au moins une étape de l'échange de données entre terminal et carte à une action prédéterminée extérieure de confirmation exercée avec cette carte par le porteur de la carte, ces moyens de validation comportant, dans la carte, des moyens récepteurs de lumière (204) coopérant avec les circuits électroniques de traitement numérique et avec la mémoire.

Description

Système pour la communication sécurisée sans contact entre un terminal et un objet portatif tel qu'une carte à puce
L'invention concerne la communication sans contact entre deux or- ganes distants tels qu'un terminal fixe et un objet portatif électronique indépendant détenu par un utilisateur.
De tels systèmes d'échange de données sans contact (c'est-à-dire sans contact galvanique) sont bien connus et, parmi les applications de cette technique, on trouve — de façon non limitative : le contrôle d'accès physique, par exemple pour l'accès à un local protégé ou dont l'accès est restreint à certaines personnes devant au préalable s'identifier ; le contrôle d'accès logique, par exemple à une fonction informatique ; le décryptage de données, etc. ; ainsi que les transactions monétaires telles que les applications du type "porte-monnaie électronique", les ap- plications de péage ou de paiement, etc.
À cet égard, bien que dans la description détaillée on fasse souvent référence à une transaction de paiement, cette application n'est nullement limitative et l'invention peut être mise en œuvre pour toute application, impliquant un échange d'informations sans contact, telle que celles que l'on vient de citer.
L'utilisateur est pourvu d'un objet portatif par exemple du type "carte sans contact" ou "badge sans contact", que l'on appellera ci-après simplement "carte" — le terme de "carte" n'étant cependant choisi que par commodité et sans aucun caractère limitatif, l'invention s'appli- quant à tout type d'objet portatif électronique tel que badge, bague, bracelet, clef, pendentif, etc. susceptible d'échanger des informations avec un terminal sans contact (ci-après "terminal") en approchant la carte de ce dernier de manière à permettre un couplage non galvanique entre ces deux organes. L'échange d'informations consécutif à ce couplage est opéré en modulant un champ électromagnétique qui peut être soit un champ où la composante électrique est dominante (dans le domaine des radiofré- quences, hyperfréquences ou même fréquences lumineuses) ou bien dans laquelle la composante magnétique est prépondérante, le couplage étant alors opéré en faisant varier un champ magnétique produit par x e bobine d'induction, technique connue sous le nom de "procédé par induction". La carte utilisée dans le cadre de cette dernière technique, quel que soit le procédé mis en œuvre, peut être du type "actif', c'est-à- dire comportant une pile d'alimentation incorporée, ou bien "passif1, c'est-à-dire téléalimentée par de l'énergie émise par le terminal, notamment de l'énergie magnétique, ce qui fait souvent préférer le procédé par induction.
L'invention vise la protection contre un certain risque de fraude et de malveillance auquel le type de système à communication sans con- tact par champ électromagnétique pourrait être exposé.
Plus précisément, ce type de système est vulnérable au "vol à la tire électronique", où un fraudeur "pickpocket électronique" approche de la carte, à l'insu de son porteur, un terminal portable contrefait pour établir frauduleusement un lien de communication avec la carte et, par exemple dans le cas d'un porte-monnaie électronique, prélever indûment des unités monétaires dans la mémoire de la carte.
Certes, dans de telles applications, il est souvent prévu des sécurités par codage ou cryptage, mais ces sécurités sont souvent limitées dans leurs performances en raison de la place mémoire importante qu'elles requièrent dans la carte et du prolongement des temps de communication qu'elles peuvent entraîner.
Il apparaît donc nécessaire de prévoir des moyens permettant d'empêcher une telle fraude à l'insu de l'utilisateur.
Ainsi, l'objet de l'invention est un système de communication sans contact entre une carte et un terminal qui permette d'assurer une excellente protection contre les risques de "vol à la tire électronique".
Dans son aspect le plus général, l'invention propose un système pour la communication sans contact entre un terminal et un objet portatif tel qu'une carte, le terminal et la carte comportant chacun des moyens émetteurs-récepteurs de champ électromagnétique et la carte comportant une puce avec des circuits de traitement et une mémoire inscriptible sur commande du terminal, caractérisé en ce que la carte comporte des moyens de validation, conditionnant au moins une étape de l'échange de données entre terminal et carte à une action prédéter- minée extérieure de confirmation exercée avec cette carte par le porteur de la carte, ces moyens de validation comportant, dans la carte, des moyens récepteurs de lumière coopérant avec les circuits électroniques de traitement numérique et avec la mémoire.
L'action prédéterminée de confirmation peut notamment être l'ex- position de la carte à l'éclairement ambiant.
Dans une forme de réalisation particulière, la mémoire contient une donnée formant indicateur d'activation ou d'inhibition des moyens de validation indiquant si, respectivement, ladite étape de l'échange de données doit ou non être conditionnée à ladite action prédéterminée extérieure de confirmation. Cet indicateur d'activation ou d'inhibition peut être une donnée statique prédéterminée, éventuellement une donnée statique irréversiblement prédéterminée, ou bien une donnée modifiable dynamiquement par une borne lors dudit échange de données. L'étape conditionnelle de l'échange de données peut être l'activation de l'écriture de la mémoire de la carte, et/ou l'activation de la lecture de cette mémoire.
Dans une forme avantageuse de mise en œuvre, l'échange de données est conditionné à la réception par la carte d'une lumière émise par le terminal. Dans ce cas, le terminal émet de préférence la lumière avec une modulation propre caractéristique, et la mémoire de la carte contient des paramètres de consigne de modulation, comparés par la carte aux paramètres effectifs de modulation de la lumière reçue par les moyens récepteurs de lumière de la carte. Le terminal peut également émettre la lumière avec une modulation informationnelle caractéristique, la mémoire de la carte contenant une information de consigne comparée par la carte à l'information effective véhiculée par la lumière modulée reçue par les moyens récepteurs de lumière de la carte, cette information de consigne étant de préférence transmise sous forme chiffrée, la carte contenant alors des moyens de chiffrement/déchiffrement correspondants.
Toujours dans la forme de mise en œuvre avantageuse précitée, les moyens émetteurs et récepteurs de lumière du terminal peuvent être situés au voisinage les uns des autres, ou bien être situés à distance les ns des autres, des moyens semi-réfléchissants étant alors prévus pour rendre sensiblement confondues les directions de propagation des rayons émis et reçus, respectivement, ou encore être situés au voisinage les uns des autres en direction radiale par rapport aux directions de propagation des rayons émis et reçus, et décalés entre eux en direction axiale.
De préférence, la carte comporte une puce monolithique intégrant les moyens récepteurs de lumière et les circuits électroniques de traitement numérique et de la mémoire. Cette puce peut notamment porter un masque intégré occultant au moins les circuits de la mémoire de la carte, ou le matériau d'enrobage de la carte peut comporte un orifice laissant apparents les moyens récepteurs de lumière et occultant au moins les circuits de la mémoire de la carte.
Dans une forme de réalisation particulière, la puce de la carte comporte une borne d'entrée électriquement accessible pour l'activation conditionnelle de l'écriture de la mémoire et/ou une borne de sortie é- lectriquement accessible délivrant un signal suite à l'action prédéterminée extérieure de confirmation exercée par le porteur de la carte et/ou une borne d'entrée électriquement accessible recevant un signal représentatif de l'action prédéterminée extérieure de confirmation exercée parle porteur de la carte. Il est même possible de prévoir un couplage entre la borne d'entrée pour l'activation conditionnelle de l'écriture de la mémoire et la borne de sortie délivrant un signal suite à l'action prédéterminée extérieure de confirmation, avec interposition de moyens de chiffrement/déchiffrement, et ou prévoir une métallisation spécifique de la puce de la carte reliant la borne d'entrée pour l'activation conditionnelle de l'écriture de la mémoire et la borne de sortie délivrant un signal suite à l'action prédéterminée extérieure de confirmation.
Enfin, l'un des aspects importants de l'invention consiste à prévoir des moyens de reconnaissance mutuelle de la présence de la carte par le terminal, et de la présence du terminal par la carte, le terminal comprenant des moyens émetteurs et des moyens récepteurs de champ é- lectromagnétique et des moyens émetteurs et récepteurs de lumière, et la carte comprenant des moyens émetteurs et des moyens récepteurs de champ électromagnétique et des moyens récepteurs de lumière. On va maintenant décrire diverses mises en œuvre de l'invention, en référence aux dessins annexés. La figure 1 est une vue générale schématique du système de l'invention.
La figure 2 illustre de façon plus précise l'échange des signaux entre carte et terminal.
La figure 3 est un organigramme explicitant le déroulement des di- verses étapes de communication entre carte et terminal.
La figure 4 illustre un mode de réalisation de la puce de la carte. La figure 5 est un premier perfectionnement du mode de réalisation de la figure 4.
La figure 6 est un deuxième perfectionnement du mode de réalisa- tion de la figure 4.
La figure 7 montre la carte pourvue de moyens de détection de type cible magnétique antivol.
La figure 8 montre la carte pourvue de moyens de détection de type cibles magnétiques codées. La figure 9 illustre la manière dont sont codées les cibles de la figure 8.
La figure 10 montre le système avec le terminal pourvu de moyens de détection de détection de la carte par occultation.
La figure 11 montre le système avec le terminal pourvu de moyens télémétriques de détection de la carte.
La figure 12 est un chronogramme de divers signaux relevés sur le montage de la figure 11.
La figure 13 montre une première configuration des moyens émetteurs-récepteurs de lumière du terminal. La figure 14 montre une deuxième configuration des moyens émetteurs-récepteurs de lumière du terminal.
La figure 15 montre une troisième configuration des moyens émetteurs-récepteurs de lumière du terminal.
La figure 16 est une vue d'une puce monolithique intégrant les moyens récepteurs de lumière. La figure 17 montre une implantation possible de la puce de la figure 18 dans la carte du système.
La figure 18 montre une carte pourvue de moyens réflecteurs de lumière. La figure 19 illustre la mise en œuvre à reconnaissance mutuelle du système de l'invention.
La figure 20 illustre une logique de commande d'une carte à inhibition de lecture et/ou écriture en fonction de la présence d'une lumière extérieure. La figure 21 est une variante de la figure 20, permettant une invalidation conditionnelle du circuit inhibiteur.
La figure 22 est une variante de la figure 20, permettant une acquisition conditionnelle des consignes.
La figure 23 illustre de façon schématique un moyen de compensation automatique du fonctionnement du circuit de la carte selon le niveau de l'éclairement extérieur.
La figure 24 illustre une configuration particulière de réalisation de l'organe photoélectrique de la carte, vue de dessus.
La figure 25 est une coupe selon A-A de la figure 24. La figure 26 est une coupe selon B-B de la figure 24.
La figure 27 illustre une autre configuration particulière de réalisation de l'organe photoélectrique de la carte, vue de dessus.
Selon un premier aspect de l'invention, pour éviter les risques de "vol à la tire électronique" il est prévu qu'au moins une partie critique de la communication entre la carte et le terminal soit rendue conditionnelle sur une action volontaire de la part de l'utilisateur, plus préci- sèment une action volontaire captée par la détection d'une lumière, la fonction de communication étant rendue conditionnelle sur la présence (ou l'absence) de cette détection de la lumière.
Plus précisément, la détection de lumière étant opérée dans la carte, l'action volontaire consiste à sortir la carte pour la présenter au ter- minai ; dans ce cas, la carte peut comporter un détecteur de lumière ambiante, un élément photosensible tel qu'une photodiode, un phototransistor ou un élément photovoltaïque, par exemple.
Dans un mode de réalisation préférentiel, que l'on exposera plus bas en détail, la carte combine une surface réfléchissante et un détec- teur d'un faisceau émis par le terminal, ce dernier comportant un détecteur du faisceau réfléchi par la carte.
Le détecteur de la carte peut alors servir pour ranimer la carte (en état de veille à basse consommation en l'absence du faisceau), tandis que l'encodage du faisceau peut incorporer un contenu informationnel (un code spécifique d'habilitation par exemple) auquel la carte est sensible. La détection au terminal du faisceau réfléchi peut en outre servir, comme on l'exposera plus bas, à augmenter la puissance du champ électromagnétique produit par ce dernier (ou à en déclencher l'émission), comme on le décrira plus bas. Ces divers modes de réalisation se prêtent au déclenchement automatique ou semi-automatique de l'initialisation de la transaction par la détection de l'entrée de la carte dans la zone du champ émis ou à émettre par le terminal.
Un autre aspect de l'invention, qui peut tout à fait se combiner au précédent, vise à réduire ou interrompre les émissions de champ électromagnétique dans des périodes où la pleine puissance n'est pas requise en continu, l'émission du champ électromagnétique pouvant être réactivée lorsqu'une carte est présente ou susceptible de se présenter. Non seulement on réduit les risques inhérents aux émissions de champ électromagnétique, mais on peut aussi obtenir une économie de consommation d'énergie dans la génération du champ.
Le terminal peut comporter des moyens de détection de l'approche ou de la présence d'un utilisateur pour réactiver l'émission du champ, avec une voie de communication différente pour l'initialisation, d'une part, et pour la téléaUmentation et/ou la transmission de données, d'autre part.
Dans un mode de réalisation préféré, notamment pour le contrôle d'accès informatique ou logique, mais aussi pour d'autres applications, les moyens de détection comprennent un détecteur de lumière ambian- te (une cellule photoélectrique par exemple) qui est occultée par l'ap- proche de la carte ou de la main ou du poignet de l'utilisateur tenant la carte.
Dans un autre mode de réalisation, plutôt adapté au contrôle d'accès physique, les moyens de détection peuvent inclure un faisceau lumi- neux qui traverse le passage d'accès jusqu'à une cellule photoélectrique en vis-à-vis, et qui est interrompu par l'approche de l'utilisateur.
Dans une variante, l'approche de l'utilisateur peut être détectée par un détecteur de poids (par exemple plus de 20 kg) situé sous le passage d'accès, par exemple. Dans encore un autre mode de réalisation, le terminal peut être réactivé lorsque des moyens de contrôle de passage sont libérés, lors de l'ouverture de la porte d'un bus, par exemple.
Au lieu de s'éteindre complètement, le terminal peut fonctionner à champ réduit pendant la période quiescente, puis se réactiver à puis- sance plus forte pour l'échange de données avec la carte.
Dans un mode de réalisation préféré, on prévoit une surface réfléchissante sur la carte et l'émission par le terminal d'un faisceau lumineux (pas nécessairement dans les longueurs d'onde de la lumière visible) dont la réflexion par la carte est détectée au terminal par une cel- Iule. Dans ce mode de réalisation, on s'afîranchit pour l'initialisation de la nécessité de téléalimentation même d'une carte qui n'est pas autoali- mentée. Afin de s'assurer une certaine latitude dans l'angle de présentation de la carte qui garantisse que la réflexion du faisceau arrive à la cellule sur le terminal, la surface réfléchissante est de préférence cata- dioptrique, c'est-à-dire à la fois réflectrice et réfractrice, par exemple en forme d'un réseau de prismes transparents ou translucides, ou à billes rétroréfléchissantes, renvoyant le faisceau incident sur un angle solide nettement plus large que l'angle du faisceau lui-même.
On va maintenant décrire divers exemples particuliers de réalisa- tion de l'invention, en référence aux dessins annexés.
Sur ces figures, la référence 100 désigne de façon générale le terminal sans contact ou TSC, et la référence 200 la carte sans contact ou CSC, le terme de "carte" utilisé n'étant, comme précisé plus haut, bien entendu aucunement limitatif. Sur la figure 1, le terminal 100 est conçu pour émettre un champ électromagnétique 102, par exemple à 13,57 MHz, lequel permet l'activation d'une carte 200, ainsi qu'un rayon lumineux 104 en direction de la carte. La carte 200 capte l'énergie électromagnétique au moyen d'un bobinage 202 d'un circuit accordé sur la fréquence du champ 102, est extrait de ce champ l'énergie nécessaire à son fonctionnement pour :
— l'établissement de l'alimentation interne Vcc et la "remise à zéro à froid" associée à la mise sous tension des circuits de la puce de la carte, et
— le démarrage du microprocesseur ou des circuits électroniques dans le cas d'une puce de type 'logique câblée".
Aussitôt débute la transaction sans contact : par exemple, pour une transaction de paiement sans contact, échange des caractères et des commandes préliminaires à la transaction proprement dite telles que : date, numéro de série et de lot, informations à caractère bancaire, vali- dite, etc.
Préalablement au paiement, un élément photodétecteur 204 est interrogé pour détecter la présence éventuelle du rayon lumineux 104 attendu du terminal ; sur présence à ses bornes d'un signal électrique prédéterminé, la transaction est autorisée à s'exécuter. Si le signal n'est pas observé dans les conditions prévues (par exemple, au bout de m millisecondes ou bien i itérations d'une boucle logicielle) l'écriture en mémoire est refusée, éventuellement jusqu'à mise hors tension de la puce, c'est-à-dire jusqu'à sortie du champ. Le terminal ne recevant pas de la carte confirmation de l'écriture attendue, il refuse par conséquent la transaction.
Ainsi, un "pickpocket électronique" muni d'une antenne, par exemple un bobinage dissimulé dans un gant et relié à un boîtier simulateur de terminal porté dans une poche ou dans un sac, ne peut actionner efficacement la carte à l'insu de l'utilisateur : même si le champ électro- magnétique 102 est correctement émis par l'antenne du pickpocket, et que la carte est par conséquent correctement alimentée et initialisée, cette dernière ne saurait, hors la volonté de son porteur, recevoir le faisceau lumineux nécessaire à l'accomplissement de la transaction, et donc de l'écriture puis du compte rendu qui doit en être fait au termi- nal. - Plus précisément, comme illustré figure 2, l'élément photodétecteur 204 est relié, via un circuit amplificateur et démodulateur 206, à une entrée 208 de la puce 210 elle-même reliée, via les plots 212, à l'antenne (bobinage) 202, le tout étant monté sur une carte 200 portant un or- gane photoréfléchissant 214 tel que catadioptre, cataphote, bande d'adhésif rétroréfléchissant, etc. C'est grâce à ce moyen photoréfléchissant prévu sur la carte que le rayon 104 émis par le terminal retourne à la photodiode 106 de ce même terminal, ce qui entraîne le déclenchement, schématisé par l'interrupteur 108, de l'émission du champ électro- magnétique 102 nécessaire à l'opération de transaction sans contact, ceci via les circuits 110 du terminal. A tout instant, grâce à la porte ET 112, le champ électromagnétique peut être interrompu par l'un ou l'autre des deux signaux RAYON REÇU = 'FAUX' (signal 114) ou FIN DE TRANSACTION = VRAI' (signal 116). L'organigramme de la figure 3 explicite la séquence de fonctionnement du système terminal-carte.
Sur réception du champ électromagnétique émis par le terminal (étape 300), la carte extrait l'énergie nécessaire à son fonctionnement (établissement de l'alimentation interne V_c, étape 302), puis à son initialisation :
— signal de remise à zéro automatique (étape 304),
— démarrage du microprocesseur ou des circuits électroniques dans le cas d'une puce de type à logique câblée (étape 306).
Aussitôt débute le protocole d'échange de données sans contact (étape 308) : échange des caractères et commandes préliminaires à la transaction proprement dite (date, numéro de lot, validité, etc.).
À partir de ce moment la carte peut être débitée sur simple activa- tion d'un signal d'écriture en mémoire permettant l'inscription du montant du débit. Dans un mode de réalisation préférentiel, on impose une condition pour que l'écriture intervienne dans la carte, à savoir l'établissement d'un bit "transaction autorisée" (étape 310), par des moyens que l'on expliquera ci-dessous en référence à la figure 5. La boucle d'attente 312 permet que, dans le mouvement de présentation de la carte au terminal qui ne dure que quelques fractions de seconde, intervienne un position- nement correct de l'élément photodétecteur 204 vis-à-vis du rayon lumineux 104 pendant quelques millisecondes. Une fois la transaction autorisée, on peut alors écrire le débit proprement dit, du montant x prévu, par exemple 25 francs. Après cela, la suite et la fin du processus de paiement peuvent avoir heu (étape 312) la carte pouvant en particulier rendre compte au terminal par un dernier message de l'accomplissement d'une transaction complète.
On notera que, au cas où la carte s'éloigne du terminal au point de ne plus pouvoir poursuivre correctement l'échange des signaux avec le terminal, elle retourne immédiatement à son état inerte antérieur à l'entrée en communication et le déroulement de l'organigramme de la figure s'interrompt de ce fait, permettant le retour à l'état initial également côté terminal.
La figure 4 illustre de façon schématique,un mode de réalisation de l'invention qui ne nécessite pas de modification du logiciel de pilotage de la puce (dans le cas d'une carte à microprocesseur), ni d'un quelconque agencement logique préexistant d'une carte à logique câblée. Ceci présente un grand intérêt, en particulier dans le cas de puces dont la conception est déjà figée notamment pour répondre à des normes inter- nationales ou autres contraintes pesant sur la définition spécifique d'un système de paiement rapide par exemple.
Pour ce faire, on peut organiser la puce 210 de manière qu'elle possède :
— une entrée spécifique EEPROMWE* autorisant l'écriture dans la mé- moire EEPROM par application d'un signal 218 à l'état bas et,
— une sortie spécifique 02 220 qui produit un signal VRV* ("volonté reçue et vérifiée") qui devient vrai (à l'état bas) après réception et vérification du signal impliquant la volonté de l'usager.
Les autres composants représentés sont : — le bobinage 202, relié à l'entrée I ^ et la sortie Oj^ de la puce,
— l'entrée spécifique I2 recevant par le conducteur 221 le signal CV ("confirmation de volonté") détecté par la photodiode,
— une entrée RAMWE* d'écriture en RAM qui, dans le cas présent, est reliée par la connexion 222 au potentiel de la masse de manière à rendre possible à tout moment une écriture en RAM des compteurs, bascules, registres, piles, etc. En revanche, l'écriture en EEPROM qui, seule, permet une transaction utile, dépend matériellement — et seulement matériellement — de la vérité du signal VRV* en 220, sans qu'il soit besoin de modifier en quoi que ce soit l'agencement interne, logique ou logiciel, de la puce 210.
Les seules contraintes associées à cette variante de réalisation consistent à :
— isoler sur la puce le "fil" (métallisation de la puce) général de commande d'écriture en EEPROM, et — relier à celui-ci la sortie stable (elle-même issue d'un registre ou d'une bascule) indiquant la réception et la vérification du signal fournissant une indication de la volonté de l'usager, éventuellement avec interposition de moyens de crdffrement/déchiffrement 224 pour accroître la sécurité intrinsèque des informations échan- gées.
Les figures 5 et 6 illustrent des perfectionnements du mode de mise en œuvre que l'on vient de décrire, en prévoyant une discrimination supplémentaire opérée par la carte sur les caractéristiques physiques du rayon lumineux émis par le terminal (figure 5) eùOu un contenu informationnel véhiculé par ce même rayon lumineux (figure 6).
Sur la figure 5, le rayon lumineux 104, reçu par le photodétecteur 204 et amplifié en 206, est appliqué à un circuit 226 de démodulation et décodage susceptible d'extraire des informations représentatives de la fréquence F, de la phase 0 et du motif ou "pattern" P propres à l'émis- sion lumineuse 104. Ces paramètres sont comparés à des valeurs attendues conservés dans la mémoire 228 de la puce et appliqués sur une entrée de référence 230 du circuit 226. La conformité de tous ces paramètres est détectée par la porte 230 et transmise via une bascule 232 à la porte 234 qui, en pilotant l'entrée d'écriture WRITE de la mémoire 228, autorise l'inscription dans celle-ci du montant x de la transaction. En variante ou en complément de cette discrimination supplémentaire par les caractéristiques de modulation du faisceau lumineux, caractéristiques conservées dans la mémoire de la carte pour permettre la reconnaissance, il est possible d'opérer une discrimination sur des pa- ramètres informationnels transmis par le faisceau modulé 104 et pro- près à la carte (parité, caractères prédéterminés, jusques et y compris le propre numéro de série de la carte, ou encore numéro d'immatriculation ou coordonnées bancaires, notamment dans certaines variantes de porte-monnaie électronique). Dans ce dernier cas, après démodulation et décodage par le circuit
206, un organe de comparaison 236 détermine la conformité de l'information reçue via le rayon lumineux (et donc répercutée par le terminal, ce dernier l'ayant lui-même reçue de la mémoire de la carte) avec le numéro directement extrait de la mémoire 228, le cas échéant après dé- chiffrement par le circuit 238.
Les agencements que l'on vient de décrire sont particulièrement avantageux lorsqu'il y a risque de "collision" entre des informations émises et reçues par une pluralité de cartes simultanément présentes dans le champ (hertzien ou lumineux) du terminal. En variante, l'exploitation du signal délivré par l'élément photodétecteur de la carte peut intervenir en début de processus, après extraction de l'alimentation puis remise à zéro à froid et avant toute émission par la carte, c'est-à-dire entre les étapes 306 et 308 de l'organigramme de la figure 3. De cette façon, aucune information provenant de la carte ne pourra être captée par qui que ce soit sans qu'un geste volontaire spécifique n'ait été fait par le porteur de la carte, à savoir sortir la carte de sa poche ou de son portefeuille et placer celle-ci dans le champ du rayonnement lumineux.
On va maintenant décrire, en référence aux figures 7 et suivantes, diverses variantes du moyen permettant de détecter la présence d'une carte à proximité du terminal et d'activer ainsi à bon escient les moyens d'émission de champ électromagnétique de ce dernier.
Dans la variante de la figure 7, la carte 200 comporte une bandelette 248 en matériau ferromagnétique, du type de celles utilisées dans les magasins comme antivol pour disques ou livres. Cette bandelette comporte une combinaison d'alliages métalliques agencée de façon à entrer en résonance par détection d'hystérésis avec un champ 118 émis par le terminal 100, comprenant lui-même des circuits électroniques oscillateurs et amplificateurs 120 pour la production de ce champ et des circuits de détection 122 du même type que ceux utilisés dans les systè- mes antivol. Sur détection positive de la présence à faible distance d'une bandelette ferromagnétique 148, l'émetteur principal du terminal est activé. Au contraire, en l'absence de bandelette — donc en l'absence de carte — les circuits électroniques de commande inhibent l'émetteur principal du terminal.
Il est même possible d'exploiter les caractéristiques offertes par l'antenne 202 de la carte, avec les composants qui forment le circuit accordé, pour détecter sa présence selon une méthode comparable à celle des anneaux antivol : une telle technique permet de n'émettre depuis le terminal qu'une puissance relativement faible pour pouvoir détecter la présence du circuit accordé inclus dans la carte.
Dans la variante des figures 8 et 9, on incorpore dans l'épaisseur de la carte 200 des anneaux minces en matériau ferromagnétique (ferrite) d'épaisseur 0,1 mm environ. Sur la figure on a représenté cinq de ces anneaux, mais ce nombre n'est pas limitatif, et l'on peut par exemple en prévoir un nombre de l'ordre de deux à vingt. Avant d'être noyés dans la matière plastique, certains de ces anneaux (262 sur la figure 9) sont sectionnés partiellement, d'autres (264 sur la figure 9) étant laissés intacts. On constitue ainsi une combinaison codée de tores dont certains présentent un entrefer ouvert et d'autres un entrefer fermé vis-à-vis d'un champ magnétique émis par un circuit 124 du terminal 100 dans la région d'une fente d'insertion 126 recevant la carte et comportant cinq détecteurs spécialement agencés.
Sur détection positive (présence du bon code formé par les cinq an- neaux) l'émetteur principal du terminal est alors activé. Au contraire, en l'absence du code correct (donc en l'absence de carte), les circuits électroniques de commande inhibent l'émetteur principal du terminal. Bien entendu, le terminal et l'ensemble du système sont agencés pour tenir compte des pertes occasionnées sous forme de courant de Foucault dans les anneaux métalliques 260.
Dans la forme de réalisation de la figure 10, le terminal 100 comporte un orifice à l'arrière duquel est monté un photodétecteur 128, lequel permet le déclenchement de l'émission du champ 102 via un circuit électronique 130 et un moyen interrupteur 132. Grâce à une bascule monostable 134, l'obscurité détectée par l'obturation du photodétecteur par application sur celui-ci de la carte 200 déclenche l'émetteur principal pour une durée la plus faible possible, par exemple 200 ms.
Les figures 11 et 12 illustrent une variante fonctionnant par télé- métrie, où une certaine distance entre la carte et le terminal est exigée pour l'entrée en fonctionnement de l'émetteur principal, afin que celui- ci ne soit pas intempestivement déclenché par des cartes qui, se situant par exemple à plus de 50 cm, ne seraient de toutes façon pas en état de communiquer avec le terminal. Il est possible d'utiliser une méthode par phototélémétrie afin de n'exploiter que les cartes se trouvant le plus précisément possible dans les conditions utiles, par exemple une vingtaine de centimètres. A cet effet, on mesure le temps de propagation du rayon lumineux entre son point de départ (diode électroluminescente 136 du terminal) et son point d'arrivée (photodiode 138 du terminal) : — exploitation d'une horloge rapide (par exemple 100 MHz) 140 sur les entrées 142 et 144 (correspondant respectivement aux signaux illustrés sur la figure 12) d'une porte OU EXCLUSIF 146, dont le signal de sortie 148 est également illustré figure 12 ;
— retard sur l'entrée 144 provoqué par le temps de propagation aller- retour du rayon lumineux (pour une carte située à 10 cm du terminal : 0,6 ns) ; à une distance très courte, par exemple 1 mm, la sortie 148 de la porte 146 offre un signal quasi-plat, puisque les impulsions logiquement créées sont d'une durée très inférieure au temps de réaction de la circuiterie, de l'ordre de 6 ps ; — au contraire, une durée d'impulsion (signal 148) de l'ordre de 0,6 ns (pour un cycle total de 10 ns) constitue une grandeur me isurable avec des composants de caractéristiques appropriés, notamment par intégration : circuit RC 150, 152 délivrant une tension V 154 inversement proportionnelle à la distance entre la carte et le teπni- nal (on devra bien entendu tenir compte des constantes de temps du circuit et des composants qui influent sur les temps de montée et de descente sur les signaux) ;
— en variante, une bascule monostable 156 peut être déclenchée par une impulsion de 0,6 ns créant elle-même sur la sortie Q (dans le cas où la distance entre carte et terminal est supérieure à 20 cm) xme impulsion de durée par exemple égale à 150 ms, soit nécessaire au déroulement automatique de la transaction complète. Dans l'exemple des figures 13 à 15, on prévoit sur le terminal un ensemble comportant un ou plusieurs émetteurs de lumière 158 coopé- rant avec une pluralité de photorécepteurs 160 tels que photodiodes ou autres, assemblés par exemple sur un module de 1 cm . Avantageusement, les photodiodes sont équipés d'un système optique tel qu'une lentille permettant de capter sous plusieurs angles le rayon réfléchi par la carte, de façon à ne pas exiger une présentation de la carte dans une positio par trop prédéterminée, qui serait contraignante pour l'usager. Avantageusement, un système optique particulier pourrait comprendre, comme illustré figure 14, une pluralité de miroirs semiréflé- chissants 162 inclinés à 45° dans l'axe des diodes électroluminescentes 164, les photorécepteurs 166 étant disposés perpendiculairement à l'axe des émetteurs lumineux.
La configuration de la figure 14 peut, en variante, être remplacée par celle de la figure 15, l'émetteur-récepteur comportant une pluralité de diodes émettrices 168 et une photodiode 170 légèrement enfoncée par rapport au plan des diodes émettrices 168 (ou l'inverse) de façon à ne pas être éblouie par la lumière 172 produite par ces dernières, mais recevant uniquement l'énergie lumineuse 174 renvoyée par le matériau réfléchissant 266 de la carte 200.
Dans la variante des figures 16 et 17, on prévoit dans la carte une puce 268 comprenant : — des plots 270 destinés à la connexion de la bobine 202, ainsi qu'éventuellement des plots 272 destinés à la connexion aux divers contacts (dans le cas d'une carte mixte contact sans contact), — un ou plusieurs éléments photodétecteurs 274 tels que photodiode ou phototransistor, structure photovoltaïque, etc, — une couche de matériau opaque 276, où un orifice 278 (figure 17) permet le passage de la lumière vers le photodétecteur 274, tandis que les autres organes de la puce, et notamment les mémoires programmables, effaçables ou réinscriptibles telles qu'EPROMs ou EEPROMs qui peuvent être sensibles au rayonnement lumineux, sontprotégés de la lumière. Dans une variante de réalisation, une fenêtre protectrice peut être agencée à l'extérieur du semiconducteur, de façon par exemple à ne pas grever son coup. Ainsi, l'enrobage 280 de la puce (en PVC, ABS, etc.) pourra comporter un tel orifice 278, à condition que celui-ci soit usiné et positionné avec précision ; les dimensions de l'orifice sont de l'ordre de 0,1 ou 0,01 mm selon la finesse de gravure de l'ensemble et des caractéristiques optiques du matériau et son usinage.
Quant à la carte 200, qui est illustrée figure 18, il est prévu sur le corps de celle-ci, de préférence le plus près possible de la puce, une su- rface photoréfléchissante 214 telle que cataphote, catadioptre ou bande adhésive rétroréfléchissante. La fonction de réflexion de lumière peut également être obtenue par un usinage ou traitement particulier de l'enrobage, incluant par exemple des particules d'aluminium.
Sur la figure 19, on a illustré le fonctionnement du système selon un mécanisme de "reconnaissance mutuelle" exploitant les caractéristiques de reconnaissance propres à la combinaison des effets électromagnétiques et photoélectriques, telles que :
— le terminal ne soit autorisé à fonctionner (à émettre) que sur reconnaissance de la présence d'une carte, et — la carte ne soit autorisée à fonctionner (à écrire en mémoire) que sur reconnaissance de la présence d'un terminal. Ce mécanisme se décompose en trois étapes successives, qui sont de nature soit optique soit électromagnétique :
— optiquement, un terminal 100 reconnaît une carte 200 par émission d'un rayon lumineux 176, réflexion en 282 par le photoréflecteur
214 de la carte 200, puis réception par le photodétecteur 106 du terminal,
— électromagnétiquement, la carte et le terminal entrent en dialogue, à l'initiative du terminal (émetteurs récepteurs de part et d'autre), — optiquement, la carte attend du terminal un signal d'autorisation 178, exploité par le semiconducteur 210, qui valide le dialogue et permet récriture dans la mémoire.
Plus précisément, dans ce cas où l'on combine un détecteur optique d'approche (sur le terminal) à un détecteur d'action volontaire du por- teur~(sur la carte), les étapes successives de communication sont les suivantes :
1) le terminal émet en permanence un rayon lumineux (donc sans risque biologique), éventuellement modulé,
2) à l'approche d'une carte, cette émission lumineuse est réfléchie pas- sivement vers le terminal,
3) le terminal capte le rayon réfléchi, traite et décode le signal récupéré afin d'éliminer les effets de la lumière ambiante, et le signal résultant donne une indication de l'approche ou de la présence d'un utilisateur, 4) le terminal sort de son état quiescent et émet le champ électromagnétique principal, 5) la carte reçoit le champ électromagnétique, en extrait l'énergie nécessaire à son alimentation interne, démodule le signal et active le microprocesseur ainsi que la photodiode de détection intégrée, 6) le microprocesseur de la carte dialogue sans contact avec le terminal puis, avant de débiter le montant prévu, interroge la photodiode intégrée à la carte, laquelle génère un signal logique après traitement et décodage du courant généré par le rayon ; sur détection positive, le microprocesseur de la carte valide l'autorisation de paiement, procède à l'inscription dans la mémoire de la carte et poursuit ou achève la transaction.
On va maintenant décrire en référence aux figures 20 à 27 un certain nombre d'autres formes de réalisation particulières, adaptées à la carte selon l'invention, qui incorpore des moyens photodétecteurs. On a en effet indiqué plus haut que, pour éviter les risques de "vol à la tire électronique", on fait en sorte qu'une partie au moins de la communication entre la carte et le terminal soit rendue conditionnelle sur une action volontaire de la part de l'utilisateur, cette action volontaire pouvant être captée par la détection d'une lumière (la fonction de communication étant rendue conditionnelle sur la présence ou l'absence de cette détection de la lumière).
On a également décrit une carte comportant à cet effet un détecteur de lumière ambiante avec un élément photosensible (référencé 274 sur les figures) tel qu'une photodiode, un phototransistor ou un élément photovoltaïque par exemple, l'action volontaire consistant à sortir la carte de manière à activer ce détecteur de lumière ambiante.
Sur la figure 20, l'élément photosensible 274 produit, après amplification et seuillage, un signal logique LUX qui permettra d'autoriser (ou non) le fonctionnement de la carte du fait de l'éclairement de celle- c ci, éclairement qui, comme on l'a indiqué plus haut, peut être le fait de la seule lumière ambiante.
En d'autres termes, pour autoriser la transaction, il suffit à l'utilisateur de sortir la carte de son portefeuille et de l'exposer à la lumière ambiante, ce simple geste autorisant le déroulement subséquent de la
1 π transaction, par exemple l'écriture d'un crédit ou d'un débit en mémoire. On soulignera que, dans cette mise en oeuvre à détection de la lumière ambiante par la carte, il est possible d'utiliser des terminaux classiques, non pourvus de moyens optoélectroniques ; la détection de la lumière ambiante par la carte vient simplement ajouter un niveau de sé-
- _ curité supplémentaire, côté carte, pour autoriser la poursuite de la transaction par cette dernière avec le terminal, le reste de la transaction se déroulant de manière en elle-même classique.
Un bistable 300 commande une entrée spécifique WRITE_INHIBIT du microcircuit 268 (cf. figure 16), qui interdira l'écriture en mémoire.
2~ L'état du bistable 300 est contrôlé, d'une part, par le signal LUX et, d'autre part, par divers signaux appliqués par une logique de commande 302, qui est en fait un sous-ensemble du microcircuit 268).
La bascule 300 est remise à zéro par l'impulsion initiale positive de remise à zéro générale de la puce, peu après la mise sous tension de
2_ cette dernière, elle-même consécutive à la réception du champ (et donc de l'énergie) électromagnétique émis par le terminal.
Dans l'obscurité, le photodétecteur 274 engendre sur l'entrée 304 de la porte 306 un signal LUX à l'état bas. Dès la retombée de l'impulsion initiale de remise à zéro, la bascule 300 est ainsi positionnée à T
3Q sur sa sortie 308 (WRITE NHIBIT), interdisant l'écriture.
En revanche, si la carte est, par exemple, sortie de son étui ou d'un portefeuille et présentée dans une ambiance lumineuse, la commande WRTTE_INHIBΓΓ devient inactive, autorisant donc l'écriture, du moins pour la durée de la transaction. o_ Ainsi, l'opération de "vol à la tire électronique" consistant à approcher de la carte-cible un faux terminal portatif munis d'une antenne adéquate afin de mettre en service indûment la carte dans le but d'y enregistrer une opération de débit est impossible tant que la carte rési¬ de dans l'obscurité d'une poche, d'un portefeuille, d'un sac à main, etc. L'utilisateur est donc garanti contre ce risque de fraude particulière- ment pernicieux.
Dans une variante de mise en oeuvre, on peut prévoir que cette sécurité soit rendue optionnelle, au choix de l'industriel fabriquant la carte protégée. En effet, pour les besoins de tel ou tel client, il peut être souhaitable que cette sécurité puisse être à volonté systématiquement activée ou désactivée au stade de la fabrication/personnalisation des cartes.
A cette fin, on affecte un emplacement particulier de la mémoire à un indicateur déterminant cette consigne. Cet indicateur, situé à une adresse ADDRESS_PROTECT_WRITE (AD_PROT_W), est lu sur la sortie de données DATA.OUT (DOUT) de la mémoire. Selon que ce bit indicateur est enregistré en usine à '0' ou à '1', la lecture de la mémoire provoquera ou non, lors d'une transaction, le basculement du bistable 300, inhibant ainsi, ou non, la sécurité apportée par le détecteur optique décrit précédemment. Un autre risque lié à l'utilisation des cartes à puce sans contact est celui de l'indiscrétion ou de l'espionnage, par exemple du fait d'une volonté malveillante de prendre connaissance, à l'insu de son porteur, du contenu de sa carte (ce type de risque n'existant pas, bien entendu, avec les cartes à contacts galvaniques). C'est pourquoi il peut être souhaitable de rendre également conditionnelle la commande de lecture, plutôt que la seule opération d'écriture. Pour ce faire, selon l'invention, on décode le contenu d'une adresse spécifique ADDRESS_PROTECT_READ (AD_PROT_R), qui pourra par exemple être adjacente à l'adresse ADDRESS_PROTECT_WRITE. La carte est a- lors pourvue d'un bistable 310, semblable au bistable 300 et susceptible de produire sur sa sortie 312 un signal READJNHIBIT conditionnant le fonctionnement en lecture de la mémoire du microcircuit de la carte, de la même manière que le signal WRITE.INHIBIT en conditionnait l'écriture. On peut également prévoir une porte OU (non représentée) activée par les deux signaux READJNHIBIT et WRITE_INHIBIT pour générer un signal d'inhibition générale, en lecture et écriture.
Ainsi, sans élargir sa gamme de produits, le fabricant pourra indifféremment proposer soit une carte à puce sans contact traditionnelle, soit la même carte sécurisée en outre contre "l'accès nocturne", c'est-à- dire contre les tentatives de lecture et/ou écriture dans l'obscurité. Ceci, pour le faible coût de quelques composants (moins de dix portes), ainsi qu'un traitement spécifique de la surface du plastique et/ou du circuit intégré (comme décrit plus haut en référence aux figures 16 et 17, et plus bas en référence aux figures 24 à 27).
La séquence de mise en oeuvre peut s'exprimer par la succession d'étapes de processus suivante.
Début Remise à zéro générale
AD = 0 WRITE JNHIBΓT = o
READJNHIBIT = 0
Lecture DATA.OUT
IGNORE.WRITE = DATA_OUT (AD) IGNORE_READ = DATA_OUT (AD +1)
WRITEJNHIBΓT = (IGNORE.WRITE) NOR (LUX) READJNHIBIT = ( IGNORE_READ ) NOR (LUX)
Suite de la transaction
Fin
Au moment de l'initialisation générale de la puce, les indicateurs correspondant aux deux inhibitions possibles sont mis à zéro (WRITE JNHIBIT = 0 et READJNHIBIT = 0) en même temps que le compteur d'adresse (AD = 0). Deux indicateurs IGNORE.WRITE et IGNORE _READ reflètent quant à eux le contenu des adresses correspondantes de la mémoire, respectivement AD = 0 et AD = 1.
La lecture des deux positions initiales de la mémoire, données par l'ordre "Lecture DATA_OUT", fournit par exécution d'une fonction NOR avec l'état LUX du photodétecteur le statut des deux commandes d'inhi- bition WRITE JNHIBIT et READJNHIBIT.
La figure 21 illustre une variante de réalisation permettant une invalidation conditionnelle du circuit inhibiteur, c'est-à-dire permettant dans certains cas particuliers déterminés un "fonctionnement nocturne" du circuit intégré, c'est-à-dire autorisant le fonctionnement malgré l'ab- sence de lumière ambiante.
Ainsi, dans le cas d'une carte d'identification ou de péage pour l'accès à une zone contrôlée, il est souhaitable que les porteurs de la carte soient identifiés et/ou débités d'un certain montant lors de leur entrée dans la zone, ou en début de journée. Cette transaction est opérée de façon conventionnelle avec présentation de la carte (donc avec exposition à la lumière ambiante) devant un lecteur destiné à cette fonction.
Pour autant, il serait contraignant de devoir contraindre les porteurs à sortir la carte de leur poche ou de leur portefeuille lors de chacun de leurs passages ultérieurs, ou à la sortie de la zone, ou pendant un certain temps de présence autorisé à l'intérieur du site, etc.
Pour cela, selon une autre caractéristique du système de l'invention, on prévoit une invalidation conditionnelle du dispositif de protection décrit précédemment.
Une adresse spécifique AD _INV_NOC contient un indicateur spécifi- que affecté à cette fonction qui, en combinaison avec un contenu prédéterminé de la mémoire, par exemple '1', positionnera une bascule 314 via une porte 316. Le signal INV_NOC (Invalidation de la protection Nocturne) ainsi produit en sortie du bistable 314 est dirigé sur une entrée particulière supplémentaire 318 du bistable 300 de façon à positi- onner à '0' le signal WRITE JNHIBIT, et ceci indépendamment de l'état du signal LUX représentatif de l'absence ou de la présence de lumière sur l'élément photosensible 274.
Le mode opératoire sera le suivant : lors de l'entrée sur le site, le porteur extrait la carte de son portefeuille, de sa poche, de son sac à main, ... de façon à l'exposer à la lumière ambiante. Le terminal com- mence par effectuer sur la mémoire de la carte les opérations de lecture, et éventuellement d'écriture, nécessaires au contrôle de l'accès au site. Après quoi, le terminal écrit à l'adresse AD JNV4N0C la valeur convenue, de façon à prédéterminer à 'VRAI', ultérieurement, le paramètre INV_NOC.
Ainsi, lors de son prochain passage devant un terminal, la carte n'aura pas besoin d'être éclairée et pourra donc rester en poche, pour autant que la distance d'exploitation (distance entre carte et terminal) le permette. Les opérations d'écriture et/ou de lecteur interviendront alors inconditionnellement : en effet, dès sa mise sous tension, et dès réception du signal d'horloge, le microcircuit aura adressé la position AD_INV_NOC et lu son contenu (INV.NOC = T). Le terminal pourra exécuter toutes opérations nécessaires au contrôle de la situation, en particulier vis-à-vis de la carte, dont il pourra utilement remettre à zéro (ou, plus généralement, mettre à jour) le contenu de l'adresse ADJNVJ*ïOC. La figure 22 illustre un mode de réalisation particulier permettant une acquisition conditionnelle des consignes. Dans ce mode de réalisation, l'état de trois variables est positionné dès la mise sous tension (RESET) du microcircuit : présence de lumière (LUX), consigne IGNO- RE_WRITE et consigne IGNORE_READ . Les deux premières données sont prises en compte lors de l'adressage de la mémoire à l'adresse zéro (AD = 0), et la dernière lors du passage à l'adresse suivante (AD = 1).
Les portes ET 318 et 320 échantillonnent la sortie DOUT(O) correspondant au contenu de la mémoire à l'adresse zéro (AD = 0). Les bista- blés 322 et 324 conservent cette consigne le temps d'une transaction. La porte ET 326 échantillonne le contenu DOUT (1) de la mémoire lors du passage à l'adresse AD = 1, et le bistable 328 qui conserve cette consigne le temps de la transaction. Enfin, les portes NOR 330 et 332 fournissent les signaux d'inhibition WRITE JNHIBIT et READ JNHIBIT. Les figures 23 à 27 illustrent des aspects technologiques particuliers avantageux pour la réalisation d'une carte incorporant des moyens photodétecteurs du type illustré sur les figures 16 et 17.
La figure 23 illustre ainsi un circuit de compensation automatique de l'alimentation du microcircuit 268 en fonction du niveau d'éclaire- ment éventuel, pour éviter des risques de dysfonctionnements du mi- crocircuit par éclairement parasite des composants. Ce phénomène parasite pourrait d'ailleurs être exploité de façon malveillante par un fraudeur qui souhaiterait passer outre les sécurités incorporées à la carte en créant délibérément des dysfonctionnements de manière à pro- 5 voquer l'ouverture intempestive de portes, le positionnement de bascules dans un état différent de celui prévu par les équations logiques, etc., tous phénomènes susceptibles de se produire lorsque la carte est amenée à fonctionner hors des conditions nominales prévues.
Avec le circuit de compensation de la figure 23, le signal issu du ° photodétecteur 274, convenablement traité par l'amplificateur spécifique 334, assure le contrôle de l'alimentation générale du microcircuit 268 (ou, tout au moins, de la fraction la plus vulnérable de ses organes) via un circuit de régulation programmable 336 placé sur la ligne d'alimentation cc. Indépendamment de ce contrôle exercé sur l'alimenta- 5 tion, une action correctrice peut être exercée sur une entrée spécifique de polarisation 338 du microcircuit, susceptible d'intervenir sur le gain ou le seuil des étages sensibles.
Une autre protection qu'il est important de mettre en oeuvre consiste à guider la lumière entrante vers le point cible (zone photodétec- 0 trice sensible du microcircuit) en évitant l'éclairement des composants autres.
Ainsi, sur les figures 24 à 26, la zone photosensible 340 s'étend le long de l'un des côtés de la puce 268, et la lumière arrive via un orifice 342 ménagé au travers du substrat 344, la lumière pénétrant donc, 5 comme illustré en 346 sur la figure 25, du côté du substrat 344 opposé à celui où se trouve la puce du microcircuit 268.
Pour guider la lumière vers la seule zone photosensible 340, on exploite le caractère réfléchissant des fils métalliques destinés à la prise de connexion ("bonding") de la puce 268. A cet effet, un des fils 348 est 0 formé avant soudure avec une section U (voir notamment figure 26) lui donnant une forme de gouttière inversée, la partie creuse 350 étant tournée vers la surface photosensible 340 de la puce de microcircuit 268. Une fois le fil soudé sur le plot de connexion 350, sa cambrure (visible notamment figure 25) lui permet de se comporter comme un con- 5 duit spécifique de lumière, celle-ci arrivant via l'orifice 342 et étant gui- dée par le fil vers la seule zone photosensible 340.
Dans une autre variante de réalisation, illustrée figure 27, dans le but d'éviter qu'un quelconque rayon lumineux n'atteigne la surface du microcircuit portant les différents composants logiques (composants si- tués sur le côté référencé 352 sur la figure 27), on dispose l'organe photodétecteur 274, ici sous forme de composant rapporté, à côté de la puce de microcircuit 268, mais verticalement retourné, c'est-à-dire avec sa surface sensible tournée dans le sens opposé à celui de la surface 352. À cette fin, on exploite la possibilité offerte lors du montage du microcir- cuit sur un "micromodule" de carte à puce constitué d'un circuit imprimé en forme de substrat 344 très mince. Des pistes adéquates telles que 354 sont prévues sur le substrat 344 du micromodule de façon à pouvoir connecter par soudure les plots 356 du composant photosensible 274 et les plots 358 du microcircuit retourné 268.

Claims

REVENDICATIONS
1. Un système pour la communication sans contact entre un terminal (100) et xm objet portatif tel qu'une carte (200), le terminal et la carte comportant chacun des moyens émetteurs-récepteurs de champ électromagnétique et la carte comportant une puce (210) avec des cir- cxύts de traitement et une mémoire (228) inscriptible sur commande du terminal, caractérisé en ce que la carte comporte des moyens de validation, con- ditionnant au moins une étape de l'échange de données entre terminal et carte à une action prédéterminée extérieure de confirmation exercée avec cette carte par le porteur de la carte, ces moyens de validation comportant, dans la carte, des moyens récepteurs de lumière coopérant avec les circuits électroniques de traitement numérique et avec la mémoire.
2. Le système de la revendication 1, dans lequel l'action prédéterminée de confirmation est l'exposition de la carte à l'éclairement ambiant.
3. Le système de la revendication 1, dans lequel la mémoire contient une donnée formant indicateur d'activation ou d'inhibition des moyens de validation indiquant si, respectivement, ladite étape de l'échange de données doit ou non être conditionnée à ladite action prédé- terminée extérieure de confirmation.
4. Le système de la revendication 3, dans lequel l'indicateur d'activation ou d'inhibition est une donnée statique prédéterminée.
5. Le système de la revendication 4, dans lequel la donnée statique est irréversiblement prédéterminée.
6. Le système de la revendication 3, dans lequel l'indicatexir d'activation ou d'inhibition est une donnée modifiable dynamiquement par une borne lors dudit échange de données.
7. Le système de la revendication 1, dans lequel l'étape conditionnelle de l'échange de données est l'activation de l'écriture de la mémoire de la carte.
8. Le système de la revendication 1, dans lequel l'étape conditionnelle l'échange de données est l'activation de la lecture de la mémoire de la carte.
9. Le système de la revendication 1, dans lequel ledit échange de données est conditionné à la réception par la carte d'une lumière émise par le terminal.
10. Le système de la revendication 9, dans lequel le terminal émet la lumière avec une modulation propre caractéristique, et la mémoire de la carte contient des paramètres de consigne de modulation, comparés par la carte aux paramètres effectifs de modulation de la lumière reçue par les moyens récepteurs de lumière de la carte.
11. Le système de la revendication 9, dans lequel le terminal émet la lumière avec une modulation informationnelle caractéristique, et la mémoire de la carte contient une information de consigne comparée par la carte à l'information effective véhiculée par la lumière modulée reçue par les moyens récepteurs de lumière de la carte.
12. Le système de la revendication 11, dans lequel ladite information de consigne est transmise sous forme chiffrée, et la carte contient des moyens de chiffrementVdéchiffrement correspondants.
13. Le système de la revendication 9, dans lequel le terminal comprend des moyens émetteurs (158) et récepteurs (160) de lumière situés au voisinage les uns des autres.
14. Le système de la revendication 9, dans lequel le terminal com- prend des moyens émetteurs (158) et récepteurs (160) de lumière situés à distance les uns des autres, ainsi que des moyens semi-réfléchissants (162) pour rendre sensiblement confondues les directions de propagation des rayons émis et reçxis, respectivement.
15. Le système de la revendication 9, dans lequel le terminal comprend des moyens émetteurs (158) et récepteurs (160) de lumière situés au voisinage les uns des autres en direction radiale par rapport aux directions de propagation des rayons émis et reçus, et décalés entre eux en direction axiale.
16. Le système de la revendication 1, dans lequel la carte comporte une puce monolithique (268) intégrant les moyens récepteurs de lumière (274) et les circuits électroniques de traitement numérique et de la mémoire.
17. Le système de la revendication 16, dans lequel la puce (268) porte un masque intégré (276) occultant au moins les circuits de la mémoire de la carte.
18. Le système de la revendication 16, dans lequel le matériau d'enrobage (280) de la carte comporte xm orifice (278) laissant apparents les moyens récepteurs de lumière et occultant au moins les circuits de la mémoire de la carte.
19. Le système de la revendication 1, dans lequel la puce de la carte comporte une borne d'entrée électriquement accessible (EEPROMWE*) pour l'activation conditionnelle de l'écriture de la mémoire.
20. Le système de la revendication 1, dans lequel la puce de la carte comporte une borne de sortie électriquement accessible (02) déUvrant un signal (VRV*) sxήte à l'action prédéterminée extérieure de confirmation exercée par le porteur de la carte.
21. Le système de la revendication 1, dans lequel la puce de la carte comporte une borne d'entrée électriquement accessible d2) recevant un signal (CV) représentatif de l'action prédéterminée extérieure de confirmation exercée par le porteur de la carte.
22. Le système des revendications 19 et 21 prises en combinaison, comprenant un couplage entre la borne d'entrée pour l'activation conditionnelle de récriture de la mémoire et la borne de sortie délivrant un signal sxiite à l'action prédéterminée extérieure de confirmation, avec interposition de moyens de chiflrement/déchiffrement (224).
23. Le système des revendications 19 et 21 prises en combinaison, comprenant une métallisation spécifique de la puce de la carte reliant la borne d'entrée pour l'activation conditionnelle de l'écriture de la mémoire et la borne de sortie délivrant un signal suite à l'action prédéterminée extérieure de confirmation.
24. Le système de la revendication 1, dans lequel il est prévu des moyens de reconnaissance mutuelle de la présence de la carte par le terminal, et de la présence du terminal par la carte, le terminal comprenant des moyens émetteurs et des moyens récepteurs de champ électromagnétique et des moyens émetteurs et récepteurs de lumière, et la carte comprenant des moyens émetteurs et des moyens récepteurs de champ électromagnétique et des moyens récepteurs de lumière.
EP98949065A 1997-10-24 1998-10-14 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce Ceased EP1048003A1 (fr)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
FR9713345 1997-10-24
FR9713345A FR2770315B1 (fr) 1997-10-24 1997-10-24 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce
FR9800428A FR2770316B1 (fr) 1997-10-24 1998-01-16 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce
FR9800428 1998-01-16
PCT/FR1998/002209 WO1999022334A1 (fr) 1997-10-24 1998-10-14 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce

Publications (1)

Publication Number Publication Date
EP1048003A1 true EP1048003A1 (fr) 2000-11-02

Family

ID=26233889

Family Applications (1)

Application Number Title Priority Date Filing Date
EP98949065A Ceased EP1048003A1 (fr) 1997-10-24 1998-10-14 Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce

Country Status (4)

Country Link
EP (1) EP1048003A1 (fr)
JP (1) JP2002530726A (fr)
FR (1) FR2770316B1 (fr)
WO (1) WO1999022334A1 (fr)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10317257A1 (de) * 2003-04-14 2004-11-04 Giesecke & Devrient Gmbh Kontaktloser Datenträger
US20050116813A1 (en) * 2003-08-19 2005-06-02 Ramesh Raskar Radio and optical identification tags
GB2410151A (en) * 2004-01-15 2005-07-20 Rf Tags Ltd A radio frequency identification tag with means sensitive to light for controlling communication between rfid tag and reader
FR2957440B1 (fr) 2010-03-09 2012-08-17 Proton World Int Nv Protection d'un module de securite dans un dispositif de telecommunication couple a un circuit nfc
FR2957439B1 (fr) 2010-03-09 2012-03-30 Proton World Int Nv Protection d'un canal de communication entre un module de securite et un circuit nfc
FR2957438B1 (fr) 2010-03-09 2012-03-30 Proton World Int Nv Detection d'un deroutement d'un canal de communication d'un dispositif de telecommunication couple a un circuit nfc
FR2969341B1 (fr) 2010-12-20 2013-01-18 Proton World Int Nv Gestion de canaux de communication dans un dispositif de telecommunication couple a un circuit nfc

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2180349A5 (fr) * 1972-04-11 1973-11-23 Gretag Ag
US4325146A (en) * 1979-12-20 1982-04-13 Lennington John W Non-synchronous object identification system
FR2478849B1 (fr) * 1980-03-21 1985-12-20 Veilex Robert Carte portative d'identification et systeme de traitement mettant en oeuvre une telle carte
FR2665008B1 (fr) * 1990-07-20 1994-09-23 Elgelec Dispositif a infra-rouge comportant une fonction "reveil" de l'alimentation.
GB9205269D0 (en) * 1992-03-11 1992-04-22 Olivetti Res Ltd Tracking and/or identification system
FR2728710A1 (fr) * 1994-12-23 1996-06-28 Solaic Sa Carte electronique comportant un element fonctionnel activable manuellement

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO9922334A1 *

Also Published As

Publication number Publication date
JP2002530726A (ja) 2002-09-17
WO1999022334A1 (fr) 1999-05-06
FR2770316A1 (fr) 1999-04-30
FR2770316B1 (fr) 2000-06-09

Similar Documents

Publication Publication Date Title
EP0670556B1 (fr) Dispositif portable pour mise en liaison fonctionnelle d'une carte à puce avec une unité centrale
EP0565469B1 (fr) Système d'échange de données sans contact entre un terminal et un ensemble portatif modulaire
EP2065857A2 (fr) Carte à microprocesseur, téléphone comprenant une telle carte et procédé d'exécution d'une commande dans une telle carte
FR2799860A1 (fr) Systeme pour des transferts de carte a carte de valeurs monetaires
EP2517141B1 (fr) Carte a puce multi-applicatifs avec validation biometrique
WO2001008087A1 (fr) Architecture de carte a puce integrant des peripheriques
EP2577568A1 (fr) Carte bancaire avec ecran d'affichage
FR2620551A1 (fr) Systeme de controle de trafic pour objets en deplacement notamment pour postes de peage d'autoroute
EP1759333B1 (fr) Dispositif optique de capture biometrique par contact et installation mettant en oeuvre un tel dispositif
EP2065858A2 (fr) Carte à microprocesseur, téléphone comprenant une telle carte et procédé d'exécution d'une commande dans une telle carte
FR2998392B1 (fr) Systeme de carte a puce, carte a puce, dispositif destine a une interaction sans contact avec un systeme de carte a puce ou avec une carte a puce et procede de mise en fonctionnement et procede de fabrication d'un systeme de carte a puce ou d'une carte a puce
CA2439516A1 (fr) Objet portable sans contact comportant au moins un dispositif peripherique connecte a la meme antenne que la puce
EP2936379B1 (fr) Détection d'un dispositif transactionnel
WO1999022334A1 (fr) Systeme pour la communication securisee sans contact entre un terminal et un objet portatif tel qu'une carte a puce
EP2065859A2 (fr) Carte à microprocesseur, téléphone comprenant une telle carte et procédé de traitement dans une telle carte
WO1999022333A1 (fr) Systeme pour la communication sans contact par induction entre un terminal et un objet portatif tel qu'une carte a puce
FR2548803A1 (fr) Etiquette optoelectronique
EP3759651B1 (fr) Carte à puce sans contact à modules électroniques multiples communicants
FR3059803A1 (fr) Systeme et procede de securisation d'au moins un element d'une borne transactionnelle non surveillee
EP0919959B1 (fr) Objet portatif, notamment montre, comprenant des modules électroniques multiples sélectionnables
EP2242005A1 (fr) Dispositif de communication comportant deux puces à interface de communication commune
FR2561703A1 (fr) Appareil d'acces a serrure et cle codee
EP2378453B1 (fr) Terminal de paiement électronique portatif adapté à exécuter des programmes non-certifiés
EP1965328B1 (fr) Procédé de sécurisation et dispositif mobile ainsi sécurisé
WO2023126590A1 (fr) Dispositif biométrique de transaction par carte à puce

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20000512

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

17Q First examination report despatched

Effective date: 20010125

GRAG Despatch of communication of intention to grant

Free format text: ORIGINAL CODE: EPIDOS AGRA

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20020823