PatentDe  


Dokumentenidentifikation EP0617819 26.10.2000
EP-Veröffentlichungsnummer 0617819
Titel WARTUNGSVORRICHTUNG FÜR EINEN AUSGABEAUTOMATEN
Anmelder Gemplus Card International, Gemenos, FR
Erfinder FOGLINO, Jean-Jacques, F-13790 Peynier, FR
Vertreter derzeit kein Vertreter bestellt
DE-Aktenzeichen 69231470
Vertragsstaaten DE, ES, GB, IT, NL
Sprache des Dokument FR
EP-Anmeldetag 17.12.1992
EP-Aktenzeichen 939023453
WO-Anmeldetag 17.12.1992
PCT-Aktenzeichen FR9201200
WO-Veröffentlichungsnummer 9312510
WO-Veröffentlichungsdatum 24.06.1993
EP-Offenlegungsdatum 05.10.1994
EP date of grant 20.09.2000
Veröffentlichungstag im Patentblatt 26.10.2000
IPC-Hauptklasse G07F 9/06

Beschreibung[fr]

L'invention a pour objet un dispositif d'intervention sur une borne de délivrance d'un bien ou d'un service. Dans un exemple préféré, la borne est un parcmètre ou un horodateur. Elle peut cependant être tout distributeur automatique de biens ou de services tel qu'un distributeur de boissons ou même un guichet relié à un serveur gérant une base de données. Les bornes concernées par l'invention comportent au moins un dispositif de paiement par carte à puce, et, dans certains cas, un dispositif mixte de paiement par carte à puce et de paiement direct en argent liquide, monnaies ou billets, ou par carte magnétique. Le paiement par carte à puce est soit un décompte d'unités prépayées et enregistrées dans une mémoire de la carte, dans ce cas la carte est une carte à puce avec au moins une mémoire. Soit le paiement est un paiement par prélèvement sur un compte en banque. Dans ce dernier cas la carte est une carte de type bancaire, magnétique ou à puce.

Les problèmes rencontrés avec ce type d'appareil à paiement mixte concernent la surveillance des agents qui interviennent régulièrement sur les bornes, par exemple pour en retirer l'argent liquide injecté par les utilisateurs. En effet, les paiements sont faits par les usagers plus ou moins en argent liquide. La borne délivre donc normalement trois types de soldes dans trois compteurs. Un premier type de solde dans un premier compteur mesure la quantité de services délivrés, un second type de solde dans un deuxième compteur représente les paiements par carte (monnaie dite électronique), et le troisième type de solde dans un troisième compteur, quand il est présent, indique la somme en liquide que l'agent doit ramasser, et bien entendu remettre aux autorités qui gèrent la borne. Le total des deux derniers compteurs doit être égal au total du premier compteur. On soupçonne que des agents indélicats vont être amenés à trafiquer le deuxième compteur, de façon à augmenter sa valeur, afin de garder pour eux-mêmes l'argent liquide correspondant à la différence créée. On connaît, par les documents EP-A-0 391 302 et US-A-4 471 905, des dispositifs de prélèvement de l'argent liquide emmagasiné dans une borne. Ces dispositifs ne renseignent toutefois pas sur l'état de la borne, notamment lorsqu'il n'y a pas d'argent à prélever. Ils nécessitent de plus un aménagement spécifique de la borne pour leur mise en service.

On craint aussi par ailleurs que d'autres intervenants ne tirent parti de la complexité d'un tel système pour voler des autorités qui gèrent un grand parc de bornes. En effet, dans une grande ville, on peut admettre qu'il y ait plusieurs milliers de bornes d'un tel type, même pour ne délivrer qu'un seul bien: par exemple des tickets de stationnement. Ces bornes sont sujettes à tomber en panne ou à recevoir un entretien préventif. Une entreprise étrangère à ces autorités de gestion peut donc être chargée de ces opérations. Cette entreprise peut faire des rapports d'intervention dans lesquels des opérations coûteuses ont été déclarées, par exemple changement d'une imprimante qui imprime les tickets de stationnement, alors qu'il n'en a rien été.

Il est connu par le document EP-A-0 413 636 un système et un procédé pour contrôler la collecte de bornes à prépaiement. Ce système comporte des moyens électronique de dialogue avec la borne pour en prélever des informations qui y sont contenues. Ces moyens électroniques sont coûteux dans leur conception, notamment parce qu'ils comportent un écran, voire même un clavier. En pratique des systèmes de ce type sont connectés à une entrée spécifique de la borne. Ce document prévoit notamment dans ce but une entrée par infra rouge. La présence, en soi, d'une telle entrée spécifique est une faiblesse du système vis-à-vis des fraudeurs car elle donne une autre manière supplémentaire d'accéder au système, quelle que soit les précautions avec lesquelles on protège cet autre accès.

Le document EP-A-0 387 972 divulgue un dispositif d'intervention sur une borne de délivrance d'un bien ou d'un service selon le préambule de la revendication 1. Il est aussi connu de ce document un moyen pour transférer dans le support portable sécurisé des informations relatives à l'état de la borne avant une intervention.

L'objet de la présente invention est de proposer des moyens pour résoudre ces problèmes de fraude. Selon l'invention, ce but est atteint conformément à la partie caractérisante de la revendication 1.

Dans l'invention on demande aux intervenants d'introduire un support sécurisé d'intervention du type et de format carte à puce dans le lecteur de cartes à puce de la borne. Cette borne comporte donc nécessairement un lecteur de carte à puce. Le support sécurisé comporte en conséquence une extrémité au format carte à puce quand il n'est pas lui même une carte à puce. Cette extrémité est celle introduite dans le lecteur de carte à puce. Le support sécurisé est ensuite reconnu comme une carte à puce d'intervention par la borne. Cette reconnaissance peut être provoquée par l'intervenant qui peut agir par ailleurs sur des boutons de commande de la borne. Cette reconnaissance peut aussi de préférence être automatique, dès l'introduction du support sécurisé, à l'initiative de la borne ou d'un microprocesseur contenu dans le support sécurisé d'intervention. Ces vérifications d'un type connu amènent naturellement quand c'est nécessaire un déverrouillage d'un verrou logique ou d'un verrou physique, du type porte d'accès dans la borne, pour que l'intervenant puisse y faire ce qu'il a à y faire. Dans l'invention, après la reconnaissance, et avant le déverrouillage, quand cela est nécessaire, on injecte dans le support sécurisé de l'intervenant des intonations relatives à l'état de la borne, notamment les valeurs de soldes quand il s'agit de relevés habituels, ou notamment les valeurs de registres d'états représentant les états de fonctionnement des différents organes de cette borne quand il s'agit d'intervention d'entretien. L'ouverture de la borne peut notamment ne pas être nécessaire si le contenu en argent liquide qui y est stocké est insuffisant pour justifier une vidange du coffre contenant l'argent liquide. Dans ce cas on ne transfère dans la carte à puce que les états des compteurs.

Au moment de la reconnaissance, un protocole de reconnaissance peut même d'une manière connue déterminer quel type d'intervention va être engagé, ne transférer que les informations qui sont sensibles eu égard à cette intervention, et bien entendu n'ouvrir que la porte de la borne qui correspond à cette intervention.

Ce système présente alors l'avantage que l'intervenant n'a rien à faire: tout est fait par le microprocesseur de la carte en exécution du programme préenregistré contenu dans la carte. Non seulement ce système est ainsi simple, mais en plus, apparaissant comme une boîte noire à l'intervenant, celui-ci n'a aucune prise sur ce programme et ne peut le falsifier. Ceci ne serait pas le cas si ce programme était chargé dans la mémoire d'un micro-ordinateur comme cela est évoqué dans le document EP-A-0 413 636. En effet dans ce cas l'intervenant peut être tenté de modifier ce programme. La carte à puce apporte donc l'avantage d'être lisible par le moyen de paiement de l'appareil et d'être en elle-même d'une très grande sécurité.

D'autres caractéristiques et avantages de l'invention apparaîtront encore à la lecture de la description qui suit et à l'examen des figures qui l'accompagnent. Celles-ci ne sont données qu'à titre indicatif et nullement limitatif de l'invention. Les figures montrent:

  • figure 1: une représentation d'un dispositif utile pour intervenir sur une borne de délivrance d'un bien ou d'un service;
  • figure 2: un organigramme des opérations pour intervenir sur une borne de délivrance d'un bien ou d'un service.

La figure 1 montre un dispositif utile pour intervenir sur une borne de délivrance d'un bien ou d'un service. Il comporte une borne 1 munie d'un lecteur 2 de carte à puce, et, dans certains cas, d'une fente 3 ou d'un dispositif similaire pour introduire de l'argent liquide dans la borne. La borne comporte également un certain nombre de boutons de commandes tels que 4 pour choisir un bien ou un service parmi plusieurs ou pour annuler l'opération. La borne est donc en relation avec un distributeur de ces biens ou services. Ici, dans une application de paiement de place de stationnement, la borne délivre un ticket 5 de stationnement correspondant à une durée choisie par un utilisateur. Celui-ci place ce ticket en évidence derrière le pare brise de son véhicule, pour que des surveillants puissent vérifier que le véhicule est autorisé à stationner.

Lors d'interventions sur la borne, des intervenants introduisent dans un lecteur de carte à puce de la borne, par exemple le lecteur 2, un support sécurisé d'intervention 6 possédant une extrémité du format carte à puce. Ce support sécurisé 6 comporte un microprocesseur 7 en relation avec une mémoire programmée 8, avec une mémoire de données 11, et avec des plots de contact tels que 12 nécessaires pour entrer en relation avec le lecteur 2. Dans certains cas les plots sont absents: la mise en relation est réalisée par des ondes électromagnétiques. La mémoire programmée 8 comporte deux programmes. Selon l'organigramme de la figure 2, un premier programme 9 est un programme de reconnaissance, par exemple un programme de réponse à une reconnaissance de type classique. Dans une telle reconnaissance la borne interroge le support. Le support répond en transmettant son identification et ou son code secret, stocké dans une partie 16 de sa mémoire 11. Le microprocesseur 7 peut au besoin chiffrer le code secret du support avant de l'envoyer au lecteur 2. Dans ce cas le lecteur 2 doit être pourvu de moyens de déchiffrement. Un tel programme est par exemple décrit dans une demande de brevet européen EP-A-0 284 133.

Comme la borne 1 est munie d'un clavier 4, on peut pour cette reconnaissance se servir de ce clavier 4 pour demander à l'opérateur intervenant d'authentifier son intervention. Celui-ci indique donc son code personnel avec ce clavier. Ce code personnel, qui peut être le même que celui de la carte ou un autre, est comparé, par la borne 1 ou le microprocesseur 7 de la carte, à un code porteur contenu dans la carte ou même à un code contenu dans la borne. Ceci permet d'éviter qu'une carte à puce d'intervention qui serait perdue puisse servir à un voleur pour qu'il pille le contenu monétaire des bornes: l'argent liquide qui y est reçu. Ceci permet aussi de détecter la présence des fausses bornes, la borne devant effectuer un contrôle de la carte, alors que la carte effectue un contrôle de la borne.

Un deuxième programme 10 contenu dans la mémoire 8 est également un programme de l'invention: il a pour but, après les opérations d'authentification, de provoquer le transfert des informations contenues dans les compteurs ou les registres d'états de la borne 1 vers la mémoire 11 du support sécurisé. De préférence, dès son introduction dans le lecteur 2 le microprocesseur 7 se met en attente de réponse. Dès que le protocole de reconnaissance est terminé, le microprocesseur 7 du support 6 prend la main sur la borne. Cette prise de main est tout simplement réalisée par le fait qu'après la reconnaissance le lecteur 2 se met en attente d'ordre. Le programme 9 de la carte peut par exemple comporter alors à cet effet, in fine, une instruction de temporisation de durée calibrée au bout de laquelle le programme 10 de la carte est déclenché. Sous l'effet des instructions de ce programme 10, le microprocesseur 7 lit alors le contenu des compteurs et ou le contenu de registres d'états de la borne. Puis il enregistre ces informations lues dans la mémoire 11 du support. Quand ces enregistrements sont faits le microprocesseur 7 envoie un ordre au lecteur 2 pour que ce lecteur 2 provoque le déverrouillage d'un verrou logique ou d'un verrou physique qui empêche l'ouverture d'une porte 13 de la borne et donc le déroulement de l'intervention souhaitée.

Le programme 10 peut également contenir des instructions de remise à zéro des compteurs ou registres d'état du lecteur 2. En variante le programme 10 comporte des instructions pour modifier un tarif de consommation avec la borne. Ces instructions sont exécutées, le cas échéant, avant d'ouvrir la porte. Mais ce n'est pas indispensable. Le programme 10 comporte de préférence des instructions pour enregistrer les informations relatives à la borne sous une forme chiffrée dans la mémoire 11. De ce fait ces informations ne sont même pas directement compréhensibles par un opérateur qui se contenterait de lire telle quelle la mémoire 11. Le chiffrement est du même type que celui qui est utilisé pour chiffrer le code secret dans le programme 9 avant de l'envoyer.

Quand l'intervention est terminée, lorsque la porte de la borne est refermée, la suite du programme 10 peut comporter des instructions visant à enregistrer à nouveau dans la mémoire 11, à des autres endroits que précédemment, les valeurs des registres d'états résultant de l'intervention. Par la suite la carte est éjectée du lecteur 2.

Pour simplifier les interventions on peut de préférence faire exécuter par le microprocesseur 7 toutes les opérations nécessaires. En cas de changement du programme il est alors plus facile de changer les supports 6 que les bornes 1.

Pour lire la mémoire 11, au moyen d'un lecteur 14 à la disposition des autorités qui gèrent les bornes 1 et les supports 6, on sollicite dans le support 6 l'exécution d'un troisième programme 15. Dans ce programme 15 le microprocesseur 7 du support 6 vérifie que le lecteur 14 qui l'interroge est un lecteur autorisé. Si c'est le cas le programme 15 comporte des instructions d'écriture dans une mémoire du lecteur 14, au besoin après déchiffrement, des informations enregistrées dans sa mémoire 11. De cette manière les autorités qui gèrent les bornes disposent des rapports exacts sur les opérations menées par les intervenants.


Anspruch[de]
  1. Vorrichtung zum Eingreifen in eine Einheit (1) zur Bereitstellung eines Guts oder Dienstes, umfassend
    • in der Einheit einen Chipkarten-Leser, mit welchem man die Bezahlung eines Guts oder eines Dienstes an die Einheit bewirkt,
    • einen tragbaren gesicherten Eingriffsträger zum Eingreifen in die Einheit, umfassend einen Speicher (11), einen mikroprogrammierten (8) Mikroprozessor (7), und Mittel (12) zum Austausch von Informationen mit der Einheit,
    • wobei der tragbare gesicherte Träger ein Ende umfasst, das das Format einer Chipkarte (6) hat, um in den Kartenleser der Einheit eingeführt werden zu können, wobei dieser Kartenleser der Einheit folglich Mittel umfasst, welche als Mittel zum Austausch von Informationen zwischen dem tragbaren gesicherten Träger und der Einheit dienen können, und die Vorrichtung dadurch gekennzeichnet ist, dass sie außerdem umfasst:
    • eine Sperre, die den Ablauf des Eingriffs verhindert,
    • ein Mittel zum Vergleichen eines auf die Einheit bezogenen Geheimcodes und eines auf den gesicherten tragbaren Träger bezogenen Geheimcodes (16), um den Eingriff zuzulassen,
    • ein Mittel, um nach einem gültigen Vergleich aber vor der Entriegelung der Sperre in einen Hebespeicher (11) des gesicherten tragbaren Trägers Informationen bezüglich des Zustandes dieser Einheit vor dem Eingriff zu übertragen,
    • ein Mittel zur Entriegelung der Sperre nach der Übertragung von Informationen in den tragbaren gesicherten Eingriffsträger.
  2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass der tragbare gesicherte Träger eine Chipkarte ist.
  3. Vorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass sie umfasst, um den Hebespeicher nach dem Eingriff zu lesen,
    • einen weiteren Chipkartenleser (14), um dort den gesicherten tragbaren Träger einzuführen,
    • eine Tastatur dieses weiteren Chipkartenlesers, um dort einen Lesezugriffscode auf den tragbaren gesicherten Träger einzugeben,
    • ein Mittel zum Vergleichen dieses Zugangscodes mit einem Lesezugangscode, der in dem tragbaren gesicherten Träger enthalten ist, und
    • ein Mittel zur Genehmigung des Lesens und eventuell des Schreibens oder Löschens des Hebespeichers (11) als Funktion des Resultates dieses Vergleichs.
  4. Vorrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der mikroprogrammierte (8) Mikroprozessor (7) des tragbaren gesicherten Trägers Mittel zur Ausführung der Vergleichsoperationen der Codes umfasst.
  5. Vorrichtung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass sie Mittel umfasst, um beim Schreiben in den Hebespeicher Verschlüsselungsoperationen oder Entschlüsselungsoperationen der gespeicherten Daten durchzuführen.
  6. Vorrichtung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass sie eine Tastatur (4) in der Einheit umfasst, um einen Eingreifenden-Code einzugeben, um eine Erkennung dieses Eingreifenden zu bewirken, durch die Einheit und/oder den tragbaren gesicherten Träger, bei der Genehmigung des Eingriffs.
  7. Vorrichtung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass sie ein Mittel umfasst, um in die Einheit eine neue Konfiguration dieser Einheit zu schreiben, beim Eingriffsvorgang.
  8. Vorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Sperre eine physische Sperre ist, welche die Öffnung einer Tür (13) der Einheit verhindert.
  9. Vorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Sperre eine logische Sperre ist.
Anspruch[en]
  1. Device for use by an attendant of a terminal (1) which delivers goods or services comprising
    • In the terminal a chip card reader with which goods or services are paid at the terminal,
    • A portable security device for attending to the terminal comprising a memory (11), a micro-processor (7), a micro-program (8) and means (12) to exchange data with the terminal,
    • The said portable security device having one end in the form of a chip card (6) which can be inserted into the said card reader of the terminal, this card reader of the terminal then comprising means to exchange data between the portable security device and the terminal, device characterized in that it has in addition:
    • A lock preventing unauthorized interference
    • Means to compare a secret code relating to the terminal with a secret code (16) relating to the portable security device in order to authorize attendance of the terminal;
    • Means to unlock the lock after data has been transferred to the portable security device,
    • Means to transfer - after valid comparison but before the lock is unlocked - to a data storage memory (11) of the portable security device data relating to the status of this terminal before attendance.
  2. Device according to Claim 1, characterized in that the portable security device is a chip card.
  3. Device according to Claim 1 or Claim 2 characterized in that it comprises, to read the data storage memory after attendance of the terminal,
    • A further chip card reader (14) to insert the portable security device there,
    • A keypad of this further chip card reader to key in an access code to be read by this portable security device,
    • Means to compare this access code with a read access code contained in the portable security device, and
    • Means to authorize reading and possibly writing or deletion of the data storage memory (11) depending on the result of this comparison.
  4. Device according to any one of Claims 1 to 3, characterized in that the micro-programmed (8) micro-processor (7) of the portable security device comprises means to compare the codes.
  5. Device according to any one of Claims 1 to 4, characterized in that it comprises means, when writing to the data storage memory, to code or decode the stored data.
  6. Device according to any one of Claims 1 to 5, characterized in that it comprises a keypad (4) in the terminal to allow the attendant to key in a code to allow this attendant to be recognized by the terminal and/or the portable security device, when the attendance is authorized.
  7. Device according to any one of Claims 1 to 6, characterized in that it comprises means to re-configure the terminal while it is being attended to.
  8. Device according to Claims 1 to 7, characterized in that the lock is a physical lock which prevents a door (13) of the terminal being opened.
  9. Device according to Claims to 1 to 7, characterized in that the lock is based on logic.
Anspruch[fr]
  1. Dispositif d'intervention sur une borne (1) de délivrance d'un bien ou d'un service comportant
    • dans la borne, un lecteur de cartes à puce avec lequel on effectue le paiement d'un bien ou d'un service à la borne,
    • un support portable sécurisé d'intervention pour intervenir sur la borne comportant une mémoire (11), un microprocesseur (7) microprogrammé (8), et des moyens (12) d'échange d'informations avec la borne,
    • ledit support portable sécurisé comportant une extrémité au format d'une carte (6) à puce pour pouvoir être introduit dans ledit lecteur de carte de la borne, ce lecteur de carte de la borne comportant alors des moyens pour servir de moyen d'échange d'informations entre le support portable sécurisé et la borne, dispositif caractérisé en ce qu'il comporte en outre:
    • un verrou empêchant le déroulement de l'intervention,
    • un moyen de comparaison d'un code secret relatif à la borne avec un code secret (16) relatif au support portable sécurisé pour autoriser l'intervention,
    • un moyen pour transférer, après une comparaison valide, mais avant le déverrouillage du verrou, dans une mémoire de relèvement (11) du support portable sécurisé des informations relatives à l'état de cette borne avant l'intervention,
    • un moyen pour déverrouiller le verrou après le transfert d'informations dans le support portable sécurisé d'intervention.
  2. Dispositif selon la revendication 1, caractérisé en ce que le support portable sécurisé est une carte à puce.
  3. Dispositif selon la revendication 1 ou la revendication 2, caractérisé en ce qu'il comporte, pour lire la mémoire de relèvement après l'intervention,
    • un autre lecteur (14) de carte à puce pour y introduire le support portable sécurisé,
    • un clavier de cet autre lecteur de carte à puce pour y composer un code d'accès en lecture à ce support portable sécurisé,
    • un moyen pour comparer ce code d'accès à un code d'accès en lecture contenu dans le support portable sécurisé, et
    • un moyen pour autoriser la lecture et éventuellement l'écriture ou l'effacement de la mémoire de relèvement (11) en fonction du résultat de cette comparaison.
  4. Dispositif selon l'une quelconque des revendications 1 à 3, caractérisé en ce que le microprocesseur (7) microprogrammé (8) du support portable sécurisé comporte des moyens pour exécuter des opérations de comparaison des codes.
  5. Dispositif selon l'une quelconque des revendications 1 à 4, caractérisé en ce qu'il comporte des moyens pour effectuer, lors de l'écriture dans la mémoire de relèvement, des opérations de chiffrement ou respectivement de déchiffrement des données mémorisées.
  6. Dispositif selon l'une quelconque des revendications 1 à 5, caractérisé en ce qu'il comporte un clavier (4) dans la borne pour composer un code d'intervenant afin d'effectuer une reconnaissance de cet intervenant, par la borne et/ou le support portable sécurisé, lors de l'autorisation de l'intervention.
  7. Dispositif selon l'une quelconque des revendications 1 à 6, caractérisé en ce qu'il comporte un moyen pour écrire dans la borne une nouvelle configuration de cette borne lors de l'opération d'intervention.
  8. Dispositif selon l'une des revendications 1 à 7, caractérisé en ce que le verrou est un verrou physique qui empêche l'ouverture d'une porte (13) de la borne.
  9. Dispositif selon l'une des revendications 1 à 7, caractérisé en ce que le verrou est un verrou logique.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com