FR2626991A1 - Carte intelligente tolerant des fautes - Google Patents
Carte intelligente tolerant des fautes Download PDFInfo
- Publication number
- FR2626991A1 FR2626991A1 FR8901613A FR8901613A FR2626991A1 FR 2626991 A1 FR2626991 A1 FR 2626991A1 FR 8901613 A FR8901613 A FR 8901613A FR 8901613 A FR8901613 A FR 8901613A FR 2626991 A1 FR2626991 A1 FR 2626991A1
- Authority
- FR
- France
- Prior art keywords
- microcontroller
- smart card
- fault
- card according
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1654—Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/073—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a memory management context, e.g. virtual memory or cache management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/165—Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/2236—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/072—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips the record carrier comprising a plurality of integrated circuit chips
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/073—Special arrangements for circuits, e.g. for protecting identification code in memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0806—Details of the card
- G07F7/0813—Specific details related to card security
- G07F7/082—Features insuring the integrity of the data on or in the card
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0806—Details of the card
- G07F7/0833—Card having specific functional components
- G07F7/084—Additional components relating to data transfer and storing, e.g. error detection, self-diagnosis
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
- G06F11/10—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
- G07B2017/00153—Communication details outside or between apparatus for sending information
- G07B2017/00177—Communication details outside or between apparatus for sending information from a portable device, e.g. a card or a PCMCIA
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
- G07B2017/00338—Error detection or handling
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00314—Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
- G07B2017/00346—Power handling, e.g. power-down routine
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/0079—Time-dependency
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
- Credit Cards Or The Like (AREA)
Abstract
On fournit une carte intelligente tolérant des fautes comprenant des unités fonctionnelles primaires comportant une interface standard ISO, un premier microcontrôleur, une horloge et une mémoire principale. Des unités fonctionnelles secondaires comportant un microcontrôleur secondaire, une mémoire secondaire capable de contrôler les bits et une autre pile d'alimentation sont également prévues. Un détecteur des fautes des microcontrôleurs est connecté aux deux microcontrôleurs. Au cas où une incohérence apparaîtrait entre les deux microcontrôleurs, on procède à des essais aux caractéristiques connues sur le second microcontrôleur pour déterminer lequel des microcontrôleurs est défectueux. Un point d'accès privé fournit un autre accès à l'information enregistrée dans la carte intelligente tolérant des fautes. On fournit également des registres des fonds restants, de l'état des fautes et de comptabilisation des accès.
Description
1. 2626991
La présente invention concerne une carte intelligente tolérant des fautes et, plus particulièrement, une carte intelligente tolérant des fautes, qui peut trouver des applications particulières dans l'industrie des machines à affranchir. Les circuits intégrés dits "intelligents" ou cartes "intelligentes" comportant un microprocesseur et une mémoire sont disponibles commercialement et sont utiles dans de nombreuses applications. L'aptitude des cartes intelligentes à transporter en sécurité des fonds monétaires les rend de plus en plus importantes, en particulier pour les fonds postaux ou pour l'information concernant les fonds postaux. Voir, par exemple, la demande de brevet US No (bordereau du mandataire C-343) intitulée "Système de comptabilisation de coûts postaux" o une machine à affranchir départementale utilise de l'information contenue dans la mémoire d'une carte intelligente et la demande de brevet US No (bordereau du mandataire C-341) intitulée "Système de cartes à valeur pour machine à affranchir",
2. 2626991
2. ou des fonds de machine à affranchir sont transférés d'un centre de cartes à valeur pour réapprovisionner la
réserve d'une machine à affranchir.
Compte tenu de l'importance accrue de l'information conservée dans les cartes intelligentes, les inconvénients d'un mauvais fonctionnement de la carte intelligente peuvent être très coûteux. Par conséquent, il serait hautement souhaitable de pouvoir disposer d'une carte intelligente d'une fiabilité améliorée. Il serait également hautement souhaitable de pouvoir disposer d'une carte intelligente à laquelle le personnel d'entretien puisse accéder, même en cas de mauvais fonctionnement. De cette manière, on éviterait la "perte" de fonds monétaires conservés dans la carte
en cas de mauvais fonctionnement.
Un objet de la présente invention est donc de
fournir une carte intelligente améliorée.
Un autre objet de l'invention est de fournir une
carte intelligente tolérant des fautes.
Un autre objet encore de l'invention est de permettre d'accéder à l'information contenue dans la mémoire d'une carte intelligente souffrant d'un mauvais fonctionnement. Ces objets fortement souhaitables, ainsi que d'autres, sont réalisés avec une carte intelligente
tolérant des fautes, commode et néanmoins fiable.
Les objets et avantages de l'invention sont en partie décrits ici et en partie évidents, ou ils peuvent être appris lors de la mise en oeuvre de l'invention, celle-ci étant conçue et réalisée par l'intermédiaire des moyens et des combinaisons précisés dans les
revendications en annexe.
La présente invention fournit une carte intelligente tolérant des fautes ayant des unités fonctionnelles primaires comportant une interface
3 2626991
standard ISO, un microcontrôleur primaire, une mémoire principale comprenant une ROM, une RAM et une EEPROM, un générateur d'horloge et une source d'alimentation. En plus du rôle normal de la carte intelligente, le microcontrôleur primaire adresse un registre de comptabilisation des accès et un détecteur des fautes des microcontrôleurs, qui à son tour, adresse un registre d'exceptions. On prévoit des unités fonctionnelles secondaires de la carte intelligente, comprenant un microcontrôleur secondaire, une mémoire secondaire qui peut comporter une ROM et des bits de contrôle associés, un registre des fonds restants, le registre de comptabilisation des accès, le détecteur des fautes des microcontrôleurs et le registre de conditions d'exception. Il est également prévu un point d'accès privé. Toutes les unités secondaires nécessitant une alimentation en courant sont connectées à une pile constituant une autre source d'alimentation. Le contrôleur secondaire est connecté aux unites d'horloges primaire et secondaire, au détecteur des fautes des microcontrôleurs et au registre des fonds restants. Le microcontrôleur secondaire adresse la mémoire secondaire
et permet uniquement de consulter la mémoire principale.
En fonctionnement normal, les microcontrôleurs primaire et secondaire opèrent d'un manière synchrone et exécutent en parallèle des intructions identiques du même emplacement de la mémoire, mais le microcontrôleur
secondaire ne peut que consulter la mémoire principale.
Lorsqu'une faute est détectée par le détecteur des fautes des microcontrôleurs dans l'un ou l'autre des microcontrôleurs principal ou secondaire, ce qui se manifeste par des incohérences dans les signaux des microcontrôleurs, il y a inscription dans le registre des exceptions. Lorsque cela se produit, le microcontrôleur primaire est maintenu en un état figé et
4 2626991
le microcontrôleur secondaire est libéré de la mémoire principale pour adresser la mémoire secondaire et
effectuer des essais aux caractéristiques connues.
Lorsqu'une faute se produit durant l'essai, on considère que le microcontrôleur secondaire est défectueux et on permettra au microcontrôleur principal de continuer à fonctionner. Naturellement, l'utilisateur peut être informé de ce que la carte a besoin d'être dépannée
et/ou remplacée.
Par ailleurs, lorsque aucune faute ne se produit durant l'essai, on considère alors que le microcontrôleur pricipal est défectueux et que la carte est inutilisable, et l'utilisateur est informé par une signalisation appropriée de. ce que l'état de la carte
est défectueux.
D'une manière avantageuse, un point d'accès privé permet au personnel d'entretien d'accéder directement au microcontrôleur secondaire, au registre des fonds restants, au registre de comptabilisation des accès et au registre des conditions d'exception. Le personnel d'entretien pourrait également faire usage du microcontrôleur secondaire, par exemple pour consulter la mémoire principale. Dans la forme d'exécution préférée comportant des bits de contrôle, les bits de contrôle détecteraient et pallieraient toute défaillance de bit individuel dans la mémoire secondaire. On comprendra dans ces conditions, que la carte intelligente tolérant des fautes selon la présente invention constitue d'une manière avantageuse une carte intelligente capable de -détecter et de pallier la défaillance d'un bit individuel ou d'un circuit individuel. Malgré une telle défaillance, la carte intelligente tolérant des fautes permet d'une manière remarquable d'accéder, par une "porte arrière" en
262699 1
5. utilisant un point d'accès privé, à l'information importante contenue dans la carte intelligente. D'une manière avantageuse, la personne accédant par le point d'accès privé peut déterminer le montant des fonds restants dans la carte et accéder à d'autres informations importantes de la mémoire principale de la carte. Un autre avantage de la présente invention est que les unités fonctionnelles primaires communiquent par l'intermédiaire de l'interface standard ISO d'une manière conventionnelle. Par conséquent, la carte intelligente tolérant des fautes selon l'invention peut être utilisée avec des équipements existants et non modifiés. Uniquement à titre d'exemple, la carte intelligente tolérant des fautes selon la présente invention peut trouver des applications particulières dans les systèmes décrits dans les demandes de brevets susmentinnées.
On comprendra que la description générale qui
précède, ainsi que la description détaillée qui suit, ne
sont que des exemples explicatifs de l'invention, mais
ne sont pas limitatives de celle-ci.
Les dessins en annexe, dont il est question ici et qui font partie de la présente, représentent un diagramme synoptique de la forme d'exécution préférée de carte intelligente tolérant des fautes selon la
présente invention.
Lorsqu'on se reporte au dessin, référencé en tant que Figure 1, on y voit un diagramme synoptique' représentant la carte intelligente tolérant des fautes 10 selon l'invention. Comme représenté, la carte intelligente 10 comprend une série d'unités fonctionnelles primaires comprenant une interface standard du type ISO 12, une unité de microcontr8leur 14, une mémoire morte adressable (ROM) 16, une mémoire à accès sélectif (RAM) 18, une mémoire programmable morte
6. 2626991
effaçable par voie électronique (EEPROM) 20, un générateur d'horloge primaire et secondaire, respectivement 22 et 26, et une une source d'alimentation primaire. La carte intelligente préférée de General Electric dont il est question dans les demandes de brevet ci-dessus est alimentée par l'interface ISO comme représenté, mais une source d'alimentation primaire externe n'est pas essentielle à la présente invention. Les éléments ci-dessus, interconnectés comme représenté, comportent des unités fonctionnelles primaires pour effectuer les opérations
normales de la carte intelligente.
En outre, des unités fonctionnelles secondaires sont prévues comme support de la carte tolérant des fautes. Les unités secondaires comportent un second générateur d'horloge 26 connecté à une autre pile d'alimentation 28, ainsi qu'aux deux microcontrôleurs 14, 30. Le microcontrôleur secondaire est connecté à la mémoire secondaire 32, à un détecteur des fautes des microcontrôleurs 36 et à un registre de fonds restants 38. De préférence, on prévoit des bits de contr8le 34 en association avec la mémoire secondaire 32 pour détecter les défaiilances de bits individuels dans la mémoire secondaire. Comme représenté, le microcontrôleur secondaire est connecté d'une manière adressable à la ROM 32 et au registre des fonds restants 38. Le microcontrôleur secondaire 30 est également connecté à un point d'accès privé 44 et permet uniquement de consulter la mémoire principale 20. Le microcontrôleur secondaire 30 est alimenté par la source d'alimentation primaire 24 et par une autre pile d'alimentation 28. Un registre de comptabilisation des accès 40 et un registre des conditions d'exception 42 adressé par le détecteur
des fautes des microcontrôleurs sont également prévus.
Chacun des registres des fonds restants 38, de
7 2626991
comptabilisation des accès 40 et des conditions d'exception 42 est également connecté au point d'accès privé 44 et alimenté par la pile d'alimentation 28. La mémoire secondaire 32 est également alimentée par la pile d'alimentation 28 et elle est connectée au registre des conditions d'exception 42. Le registre de comptabilisation des accès est adressé par le microcontrôleur primaire 14 et une inscription s'y produit après chaque utilisation de la carte pour conserver une trace de l'identité de l'utilisateur, de l'adresse de mémoire à laquelle il a accédé et de
l'information enregistrée à cette adresse.
Ainsi conçu, le circuit de la présente carte intelligente permet de détecter et de pallier les fautes de la carte concernant des bits individuels et des circuits individuels. En fonctionnement normal, les deux microcontrôleurs 14 et 30 fonctionnent d'une manière synchrone pour exécuter en parallèle des instructions
identiques depuis le même emplacement de la mémoire.
Apres chaque transaction, le microcontrôleur secondaire procède à une remise à jour du registre des fonds restants 38 pour avoir un résumé actualisé des fonds qui
demeurent enregistrés dans la carte.
Au cas o une incohérence apparaîtrait entre les microcontrôleurs principal et secondaire, le détecteur des fautes des microcontrôleurs, constitué ici par une porte exclusive "OU" 36, fournit un signal de sortie élevé, ce qui aboutit à une inscription dans le registre des conditions d'exception 42. Lorsqu'une inscription a lieu dans le registre d'exception 42, l'information du programme de la mémoire secondaire 32 va donner au microcontrôleur secondaire 30 l'instruction de libérer la mémoire principale 16, 18, 20 et d'effectuer des essais aux caractéristiques connues enregistrées dans la mémoire secondaire 32. Pendant ce temps, le
8. 2626991
microcontrôleur principal 14 reste en un état figé.
Lorsqu'une faute se produit durant l'essai, on considère que le processeur secondaire 30 est défectueux et que le processeur principal 14 peut continuer de fonctionner. Par contre, si aucune faute n'est trouvée dans ces essais aux caractéristiques connues, on considère que le processeur principal 14 est défectueux
et l'utilisateur est averti d'une condition défectueuse.
Ensuite, l'accès à l'information est limité à l'interface privée 44, qui n'est accessible, de préférence, qu'au personnel d'entretien. Malgré un défaut du processeur principal, le personnel d'entretien peut accéder au registre des fonds restants 38, au registre de comptabilitation des accès 40 et au registre d'exceptions 42 par le point d'accès privé 44. On peut également accéder à la mémoire principale 16, 18, 20 par l'intermédiaire du point d'accès 44, lorsque le microcontrôleur secondaire 30 est resté viable. A cet égard, la mémoire secondaire 32 est pourvue de préférence, de bits de contrôle associés, quelquefois dénommés "bits de Hemming", pour pallier toute défaillance des bits à l'intérieur de la mémoire
secondaire 32.
Ainsi la carte intelligente tolérant des fautes selon l'invention élimine sensiblement le risque que les fonds et/ou l'information comptable enregistrés dans la carte soient perdus par suite d'une défaillance de la carte. En effet, lorsqu'une défaillance de la carte se produit, le personnel d'entretien peut, d'une manière simple, avoir accès au montant des fonds restants et à d'autres informations conservées dans la mémoire principale et transférer cette information vers une nouvelle carte intelligente ou un autre moyen d'enregistrement. De cette façon, le client est assuré de ce que les fonds monétaires et l'information ne
*9 2626991
seront pas affectés par un mauvais fonctionnement de la carte intelligente. On comprendra aisément, que cette propriété évitera les effets néfastes qu'auraient autrement les défaillances de telles cartes sur les relations avec la clientèle. Ainsi, la carte intelligente tolérant des fautes selon la présente invention détecte d'une manière avantageuse les défaillances des cartes intelligentes et, malgré une telle défaillance, permet un accès privé à l'information importante enregistrée dans la carte défectueuse. Bien que l'étendue de l'invention n'ait pas été indiquée, il est clair que l'invention dans son sens plus large n'est pas limitée aux formes d'exécution spécifiques représentées et décrites ici, mais qu'elle
peut s'en éloigner dans les limites des revendications
en annexe, sans que l'on s'écarte des principes de
l'invention et sans sacrifier ses avantages essentiels.
10. 2626991
Claims (20)
1. Carte intelligente tolérant des fautes comprenant: une interface entrée-sortie standard; un moyen d'horloge pour fournir une référence de temps pendant le fonctionnement de la carte intelligente; un moyen de mémoire principale pour enregistrer des informations de programmes et de données; un premier moyen de microcontrôleur connecté à ladite interface, audit moyen d'horloge et audit moyen de mémoire principale pour effectuer les opérations normales d'une carte intelligente; un moyen de microcontrôleur secondaire connecté audit premier moyen de microcontrôleur, audit moyen d'horloge, audit moyen de mémoire principale et audit moyen de mémoire secondaire, pour effectuer les opération normales de carte intelligente en synchronisme avec ledit premier moyen microcontrôleur; un moyen de détection de fautes du microcontrôleur connecté audit premier moyen de microcontrôleur et audit moyen microcontrôleur secondaire, pour détecter une défaillance soit du premier microcontrôleur, soit du microcontrôleur secondaire; et un moyen d'alimentation primaire connecté audit
premier moyen microcontrô81eur.
11. 2626991
2. Carte intelligente tolérant des fautes selon la revendication 1, o ledit moyen de microcontrôleur secondaire ne peut que consulter ledit moyen de mémoire principal. 3. Carte intelligente tolérant des fautes selon la revendication 1, o ledit moyen d'horloge comprend en outre une horloge primaire et une horloge secondaire, ladite horloge secondaire étant connectée à un moyen de
pile d'alimentation secondaire.
4. Carte intelligente tolérant des fautes selon la revendication 1, comprenant en outre un registre de comptabilisation des accès connecté au et adressé par ledit premier moyen de microcontrôleur pour conserver la trace de l'identité de l'utilisateur et des emplacements
de la mémoire adressés par les utilisateurs antérieurs.
5. Carte intelligente tolérant des fautes selon la revendication 1, o ladite mémoire secondaire comprend en outre une mémoire morte comportant la programmation
pour effectuer un ou plusieurs essais aux caracté-
ristiques connues sur ledit second microcontrôleur.
6. Carte intelligente tolérant des fautes selon la revendication 5, o ladite programmation de la mémoire secondaire est activée par ledit moyen de détection des fautes des microcontrôleurs à la détection d'une défaillance soit dans le premier, soit dans le second
moyen microcontrôleur.
7. Carte intelligente tolérant des fautes selon la revendication 6, o à l'indication d'une défaillance du microcontrôleur venant dudit moyen de détection de fautes des microcontrôleurs, ledit premier
12. 2626991
microcontrôleur est maintenu en un état figé, alors que ledit microcontrôleur secondaire effectue lesdits essais
aux caractéristiques connues.
8. Carte intelligente tolérant des fautes selon la revendication 7, o, lorsqu'une faute vient à se produire dans lesdits essais aux caractéristiques connues, on considère que que ledit microcontrôleur secondaire est défectueux et on permet au premier
microcontrôleur de continuer à fonctionner.
9. Carte intelligente tolérant des fautes selon la revendication 7, o lorsque aucune faute ne se produit dans lesdits essais aux caractéristiques connues, on considère que le premier microcontrôleur est défectueux, et l'utilisateur est informé de ce que la carte est défectueuse. 10. Carte intelligente tolérant des fautes selon la revendication 9, comprenant en outre un point d'accès privé connecté audit second moyen de microcontrôleur afin de permettre d'accéder à la carte intelligente
tolérant des fautes, pour son entretien.
11. Carte intelligente tolérant des fautes selon la revendication 10, comprenant en outre un registre des fonds restants connecté audit second microcontrôleur, ainsi qu'audit moyen de point d'accès privé de manière a pouvoir y accéder afin de connaître le montant des fonds
restants dans la carte intelligente tolérant des fautes.
12. Carte intelligente tolérant des fautes selon la revendication 10, comprenant en outre un moyen de comptabilisation des accès connecté audit premier moyen de microcontrôleur ainsi qu'audit moyen de point 26269i 13. d'accès privé de manière à pouvoir y accéder, afin de retrouver l'identité des utilisateurs et les emplacements de la mémoire adressés par les utilisateurs antérieurs. 13. Carte intelligente tolérant des fautes selon la revendication 11, o ledit microcontrôleur secondaire, ladite mémoire secondaire et ledit registre des fonds restants sont connectés à une pile d'alimentation secondaire. 14. Carte intelligente tolérant des fautes selon la revendication 12, o ledit microcontrôleur secondaire, ladite mémoire secondaire et ledit moyen de comptabilisation des accès sont connectés à une pile
d'alimentation secondaire.
15. Carte intelligente tolérant des fautes selon la revendication 10, comprenant en outre des moyens de bits de contrôle associés avec ladite mémoire secondaire pour détecter et pallier aux défaillance de bits individuels ou de circuits individuels à l'intérieur de
ladite mémoire secondaire.
16. Carte intelligente tolérant des fautes selon la revendication 1, o ledit moyen de détection des fautes du microcontrôleur comprend en outre une porte exclusive "OU" recevant les signaux de sortie du premier et du second microcontrôleur, ladite porte exclusive "OU" étant actionnée pour fournir un signal de faute, lorqu'il y a incohérence entre les signaux de sortie
desdits microcontr8ôleurs.
17. Carte intelligente tolérant des fautes selon la revendication comprenant: 14. une interface entrée-sortie standard; un moyen d'horloge pour fournir une référence de temps pendant le fonctionnement de la carte intelligente; un moyen de mémoire principale pour enregistrer des informations de programmes et de données; un premier moyen microcontrôleur connecté à ladite interface, audit moyen d'horloge et audit moyen de mémoire principale pour effectuer les opérations normales d'une carte intelligente; un moyen de microcontrôleur secondaire connecté audit premier moyen de microcontrôleur, audit moyen d'horloge, audit moyen de mémoire principale et au moyen de mémoire secondaire, ledit moyen microcontrôleur secondaire effectuant les opérations normales de carte intelligente en synchronisme avec ledit premier moyen microcontrôleur; un moyen de détection de fautes du microcontrôleur connecté audit premier moyen de microcontrôleur et audit moyen microcontrôleur secondaire pour détecter une incohérence entre le premier moyen de microcontrôleur et le moyen de microcontrôleur secondaire; et un moyen de point d'accès privé connecté audit microcontrôleur secondaire pour permettre un accès
privé à la carte intelligente tolérant des fautes.
15. 18. Carte intelligente tolérant des fautes selon la revendication 17, o à la détection d'une faute par ledit moyen de détection de fautes du microcontrôleur, ledit premier microcontrôleur est maintenu en un état figé et ledit microcontrôleur secondaire est libéré de ladite mémoire principale pour effectuer des essais aux caractéristiques connues sous la direction dudit moyen
de mémoire secondaire.
19. Carte intelligente tolérant des fautes selon la revendication 18, o, lorsqu'une faute vient à se produire dans lesdits essais aux caractéristiques connues, on considère que ledit microcontrôleur secondaire est défectueux et on permet au premier
microcontr8leur de continuer à fonctionner.
20. Carte intelligente tolérant des-fautes selon la revendication 18, o, lorsque aucune faute ne se produit dans lesdits essais aux caractéristiques connues, on considère que le premier microcontrôleur est défectueux, et l'utilisateur est informé par un signal, de ce que la
carte est défectueuse.
21. Carte intelligente tolérant des fautes selon la revendication 20, o ledit point d'accès privé-permet d'accéder à l'information contenue dans ledit moyen de
mémoire principale.
22. Carte intelligente tolérant des fautes selon la revendication 21, comprenant en outre un registre des fonds restants connecté audit microcontrôleur secondaire et audit moyen de point d'accès privé pour enregistrer de l'information relative aux fonds disponibles restants à l'intérieur de la carte intelligente tolérant des fautes.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US07/153,391 US4908502A (en) | 1988-02-08 | 1988-02-08 | Fault tolerant smart card |
Publications (2)
Publication Number | Publication Date |
---|---|
FR2626991A1 true FR2626991A1 (fr) | 1989-08-11 |
FR2626991B1 FR2626991B1 (fr) | 1992-08-28 |
Family
ID=22547024
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR898901613A Expired - Fee Related FR2626991B1 (fr) | 1988-02-08 | 1989-02-08 | Carte intelligente tolerant des fautes |
Country Status (9)
Country | Link |
---|---|
US (1) | US4908502A (fr) |
EP (1) | EP0328062B1 (fr) |
JP (1) | JP2922211B2 (fr) |
AU (1) | AU616936B2 (fr) |
CA (1) | CA1315408C (fr) |
CH (1) | CH679434A5 (fr) |
DE (1) | DE68914696T2 (fr) |
FR (1) | FR2626991B1 (fr) |
GB (1) | GB2215888B (fr) |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3028815B2 (ja) * | 1988-08-19 | 2000-04-04 | 株式会社東芝 | 携帯可能電子装置の伝送方法と携帯可能電子装置 |
JPH03171384A (ja) * | 1989-11-30 | 1991-07-24 | Sony Corp | 情報読取装置 |
USRE42773E1 (en) | 1992-06-17 | 2011-10-04 | Round Rock Research, Llc | Method of manufacturing an enclosed transceiver |
US5776278A (en) * | 1992-06-17 | 1998-07-07 | Micron Communications, Inc. | Method of manufacturing an enclosed transceiver |
US7158031B2 (en) | 1992-08-12 | 2007-01-02 | Micron Technology, Inc. | Thin, flexible, RFID label and system for use |
AT400774B (de) * | 1992-12-31 | 1996-03-25 | Skidata Gmbh | Datenträger |
WO1994009450A1 (fr) * | 1992-10-22 | 1994-04-28 | Skidata Computer Gesellschaft M.B.H. | Support de donnees |
US5884292A (en) * | 1993-05-06 | 1999-03-16 | Pitney Bowes Inc. | System for smart card funds refill |
US5557516A (en) * | 1994-02-04 | 1996-09-17 | Mastercard International | System and method for conducting cashless transactions |
US5489014A (en) * | 1994-08-03 | 1996-02-06 | Journomat Ag | Apparatus for checking coins and reading cards in an article vending machine |
US6012634A (en) * | 1995-03-06 | 2000-01-11 | Motorola, Inc. | Dual card and method therefor |
US6151590A (en) * | 1995-12-19 | 2000-11-21 | Pitney Bowes Inc. | Network open metering system |
US6157919A (en) | 1995-12-19 | 2000-12-05 | Pitney Bowes Inc. | PC-based open metering system and method |
US5704046A (en) * | 1996-05-30 | 1997-12-30 | Mastercard International Inc. | System and method for conducting cashless transactions |
US5898785A (en) * | 1996-09-30 | 1999-04-27 | Pitney Bowes Inc. | Modular mailing system |
US5988510A (en) * | 1997-02-13 | 1999-11-23 | Micron Communications, Inc. | Tamper resistant smart card and method of protecting data in a smart card |
FR2761802B1 (fr) | 1997-04-08 | 1999-06-18 | Sgs Thomson Microelectronics | Ensemble de deux memoires sur un meme circuit integre monolithique |
US5963928A (en) * | 1997-07-17 | 1999-10-05 | Pitney Bowes Inc. | Secure metering vault having LED output for recovery of postal funds |
US6339385B1 (en) | 1997-08-20 | 2002-01-15 | Micron Technology, Inc. | Electronic communication devices, methods of forming electrical communication devices, and communication methods |
US6109530A (en) * | 1998-07-08 | 2000-08-29 | Motorola, Inc. | Integrated circuit carrier package with battery coin cell |
DE19928733A1 (de) | 1999-06-23 | 2001-01-04 | Giesecke & Devrient Gmbh | Halbleiterspeicher-Chipmodul |
US6273339B1 (en) | 1999-08-30 | 2001-08-14 | Micron Technology, Inc. | Tamper resistant smart card and method of protecting data in a smart card |
US6284406B1 (en) | 2000-06-09 | 2001-09-04 | Ntk Powerdex, Inc. | IC card with thin battery |
DE20020635U1 (de) * | 2000-11-28 | 2001-03-15 | Francotyp-Postalia AG & Co., 16547 Birkenwerder | Anordnung zur Stromversorgung für einen Sicherheitsbereich eines Gerätes |
EP1514166B1 (fr) * | 2003-04-15 | 2012-01-11 | NDS Limited | Horloge securisee |
CN1315054C (zh) * | 2003-12-24 | 2007-05-09 | 上海华虹集成电路有限责任公司 | 一种智能卡仿真卡 |
FR2869430A1 (fr) * | 2004-04-27 | 2005-10-28 | St Microelectronics Sa | Controle de l'execution d'un algorithme par un circuit integre |
US8060453B2 (en) * | 2008-12-31 | 2011-11-15 | Pitney Bowes Inc. | System and method for funds recovery from an integrated postal security device |
US8055936B2 (en) * | 2008-12-31 | 2011-11-08 | Pitney Bowes Inc. | System and method for data recovery in a disabled integrated circuit |
KR101778306B1 (ko) | 2011-03-11 | 2017-09-13 | 한양대학교 에리카산학협력단 | 시공간적 개념을 사용하는 메모리 폴트 시뮬레이션 방법 및 장치 |
EP2746952B1 (fr) * | 2012-12-18 | 2017-02-08 | Neopost Technologies | Gestion sécurisée des traces dans un dispositif de traitement du courrier |
US11099748B1 (en) * | 2018-08-08 | 2021-08-24 | United States Of America As Represented By The Administrator Of Nasa | Fault tolerant memory card |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4353064A (en) * | 1981-01-14 | 1982-10-05 | Honeywell Inc. | Battery operated access control card |
EP0147599A2 (fr) * | 1983-12-30 | 1985-07-10 | International Business Machines Corporation | Système de traitement de données comprenant un processeur principal et un processeur adjoint ansi qu'une logique de traitement d'erreur associée au processeur adjoint |
WO1986003040A1 (fr) * | 1984-11-15 | 1986-05-22 | Intellicard International, Inc. | Systeme et procede de validation et de verification par carte unitaire autonome |
EP0217281A2 (fr) * | 1985-09-30 | 1987-04-08 | Casio Computer Company Limited | Procédé de fabrication d'une carte à circuit intégré |
GB2185443A (en) * | 1985-12-26 | 1987-07-22 | Pitney Bowes Inc | Transmitting postage value and verification systems |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4633039A (en) * | 1980-12-29 | 1986-12-30 | Gte Communication Systems Corp. | Master-slave microprocessor control circuit |
AU3746585A (en) * | 1983-12-12 | 1985-06-26 | Parallel Computers Inc. | Computer processor controller |
JPS6155366A (ja) * | 1984-08-27 | 1986-03-19 | Sawafuji Electric Co Ltd | 内燃機関の点火装置 |
AU568977B2 (en) * | 1985-05-10 | 1988-01-14 | Tandem Computers Inc. | Dual processor error detection system |
JPS6246483A (ja) * | 1985-08-22 | 1987-02-28 | Casio Comput Co Ltd | Icカ−ドにおけるデ−タ書込み方式 |
JPS62242287A (ja) * | 1986-04-15 | 1987-10-22 | Nec Corp | Icカ−ド |
US4829166A (en) * | 1986-12-01 | 1989-05-09 | Froelich Ronald W | Computerized data-bearing card and reader/writer therefor |
US4859837A (en) * | 1987-03-23 | 1989-08-22 | Halpern John Wolfgang | Portable data carrier incorporating manually presettable processing modes |
-
1988
- 1988-02-08 US US07/153,391 patent/US4908502A/en not_active Expired - Lifetime
-
1989
- 1989-02-07 CA CA000590288A patent/CA1315408C/fr not_active Expired - Fee Related
- 1989-02-08 JP JP1029579A patent/JP2922211B2/ja not_active Expired - Fee Related
- 1989-02-08 CH CH423/89A patent/CH679434A5/fr not_active IP Right Cessation
- 1989-02-08 FR FR898901613A patent/FR2626991B1/fr not_active Expired - Fee Related
- 1989-02-08 AU AU29723/89A patent/AU616936B2/en not_active Ceased
- 1989-02-08 EP EP89102139A patent/EP0328062B1/fr not_active Expired - Lifetime
- 1989-02-08 GB GB8902765A patent/GB2215888B/en not_active Expired - Fee Related
- 1989-02-08 DE DE68914696T patent/DE68914696T2/de not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4353064A (en) * | 1981-01-14 | 1982-10-05 | Honeywell Inc. | Battery operated access control card |
EP0147599A2 (fr) * | 1983-12-30 | 1985-07-10 | International Business Machines Corporation | Système de traitement de données comprenant un processeur principal et un processeur adjoint ansi qu'une logique de traitement d'erreur associée au processeur adjoint |
WO1986003040A1 (fr) * | 1984-11-15 | 1986-05-22 | Intellicard International, Inc. | Systeme et procede de validation et de verification par carte unitaire autonome |
EP0217281A2 (fr) * | 1985-09-30 | 1987-04-08 | Casio Computer Company Limited | Procédé de fabrication d'une carte à circuit intégré |
GB2185443A (en) * | 1985-12-26 | 1987-07-22 | Pitney Bowes Inc | Transmitting postage value and verification systems |
Also Published As
Publication number | Publication date |
---|---|
CA1315408C (fr) | 1993-03-30 |
GB2215888B (en) | 1992-08-26 |
GB8902765D0 (en) | 1989-03-30 |
JP2922211B2 (ja) | 1999-07-19 |
DE68914696T2 (de) | 1994-09-01 |
AU2972389A (en) | 1989-08-10 |
EP0328062A2 (fr) | 1989-08-16 |
DE68914696D1 (de) | 1994-05-26 |
US4908502A (en) | 1990-03-13 |
GB2215888A (en) | 1989-09-27 |
EP0328062B1 (fr) | 1994-04-20 |
FR2626991B1 (fr) | 1992-08-28 |
JPH027184A (ja) | 1990-01-11 |
EP0328062A3 (fr) | 1991-09-18 |
CH679434A5 (fr) | 1992-02-14 |
AU616936B2 (en) | 1991-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FR2626991A1 (fr) | Carte intelligente tolerant des fautes | |
CA2027344C (fr) | Systeme de paiement ou de transfert d'information par carte a memoire electronique porte monnaie | |
FR2500661A1 (fr) | Machine a affranchir electronique a indication de memoire fatiguee, procede pour la mise en evidence d'une memoire fatiguee et ensemble d'intercommunication en comportant application | |
FR2628870A1 (fr) | Systeme de rangement a casiers adjacents commandes par un dispositif a microprocesseur | |
CH676757A5 (fr) | ||
EP0464766A1 (fr) | Système de traitement des expéditions de paquets | |
FR2597234A1 (fr) | Dispositif pour detecter les tentatives de fraude d'une unite de comptabilisation des valeurs d'affranchissements | |
FR2754926A1 (fr) | Procede de gestion de defauts d'integrite de donnees dans une memoire reinscriptible | |
CN110503551A (zh) | 一种网络资金交易渠道维护方法、装置和设备 | |
FR2643993A1 (fr) | Procede pour remplacer des modules memoire dans un systeme informatique et systeme informatique pour la mise en oeuvre du procede | |
EP0102434B1 (fr) | Dispositif pour signaler à l'unité de commande centrale d'un équipement de traitement de données, les erreurs se produisant dans les adaptateurs | |
CN109472563A (zh) | 基于跨境支付平台的支付方式自动化运维方法及装置 | |
US8024612B2 (en) | Remote diagnosis system for medical appliances of modular design | |
FR2684211A1 (fr) | Dispositif d'exploitation des informations relatives aux pannes detectees par une ou plusieurs unites centrales d'un aeronef. | |
FR2473755A1 (fr) | Procede et dispositif electronique de memorisation et de traitement confidentiel de donnees | |
EP1025523B1 (fr) | Appareils electroniques permettant de gerer avec precision la consommation des primes d'assurances qui font l'objet d'un contrat quelle qu'en soit la nature | |
FR2741974A1 (fr) | Procede et appareil pour corriger une erreur dans le champ de commande d'une memoire cache | |
WO1995001926A1 (fr) | Systeme de collecte, de pesee, de transport, et de dechargement de produits | |
EP1763757A2 (fr) | Dispositif de controle de la couverture structurelle d'un logiciel et procede mettant en oeuvre le dispositif | |
EP0658845A1 (fr) | Méthode et dispositif pour mémoriser des donnés transactionnelles | |
FR2821449A1 (fr) | Procede de gestion d'instructions au sein d'un processeur a architecture decouplee, en particulier un processeur de traitement numerique du signal, et processeur correspondant | |
US20140164230A1 (en) | Systems, methods, and computer program products for a collection on delivery delayed deposit service | |
EP1603043A2 (fr) | Procédé et système de test de l'atomicité de commandes exécutées par un microprocesseur | |
FR2829847A1 (fr) | Procede de controle d'acces a des ressources partagees dans un systeme embarque et systeme embarque pour la mise en oeuvre d'un tel procede | |
BE1005836A6 (fr) | Ameliorations apportees a l'efficacite du traitement de donnees et s'y rapportant. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
ST | Notification of lapse |
Effective date: 20081031 |