Note: Descriptions are shown in the official language in which they were submitted.
CA 022~9~28 1999-01-0~
WO98/01836 PCT~R97/01209
PROCEDE DE CONTROLE DE L'UTILISATION D'UN
MESSAGEUR, MESSAGEUR FONCTIONNAN~ SELON CE PROCEDE ET
CARTE A PUCE POUR L'ACCES CONDITIONNE A UN MESSAGEUR.
La présente invention a pour objet un procédé de
contrôle de l'utilisation d'un messageur, dit "pager"
ou "pageur" dans le langage commun. L'invention a pour
objet de rationaliser l'utilisation de tels
dispositifs. Elle concerne également un messageur
fonctionnant selon ce procédé et une carte à puce pour
conditionner l'accès a ce messageur.
Un messageur est un appareil de reception, quelques
fois de reemission, qu'un utilisateur porte
généralement sur lui et qui lui permet d'être alerté
par un correspondant sur une action à entreprendre où
une information a conna~tre. Dans le cas général, la
transmission entre l'emetteur d'un message et le
messageur est effectuée par voie hertzienne. Cependant,
il est tout à fait possible que cette transmission se
fasse par voie filaire ou autres: par exemple en
connectant régulièrement le messageur auprès d'une
borne d'un ensemble de bornes disséminées sur un
territoire et en recevant les messages qui sont stockés
en attente et qui lui sont destinés.
Les communications personnelles mobiles par
l'intermédiaire de récepteurs radio sont populaires
depuis quelques années, notamment les récepteurs radio
recevant des messages texte transcrits sur des écrans à
cristaux liquides. Dans les appareils de communication
personnelle mobiles ou de table, on peut citer
également les téléphones cellulaires.
L'objet de la présente invention est d'incorporer
une carte à puce aux récepteurs déjà opérationnels.
,. ... .... . ... . . . . ....
CA 022~9~28 lsss-ol-o~
WO98/01836 PCT/FR97/01209
L'utilisation de cartes de contrôle est devenue
egalement habituelle pour differentes sortes
d'appareils, par exemple, pour des telephones publics à
carte. Les cartes de credit font egalement partie des
antécédents de l'invention.
Dans le cas ou l'émission du message est effectuée
par voie radio-electrique, le message est emis par un
operateur au moyen d'un codage d'une porteuse en
modulation de frequence. L'emetteur envoie cycliquement
les messages des differents interlocuteurs concernes de
facon à être sûr que ceux-ci les ont bien reçus. Le
messageur comporte un recepteur d'ondes radio-
electriques avec un code d'identification personnel. Le
recepteur est capable de detecter les messages émis et
de choisir parmi les messages emis ceux qui lui sont
destines. Au moment de la reception d'un tel message,
le messageur produit une alarme, une emission sonore,
une vibration, ou un affichage lumineux sur un
afficheur. En general sur l'afficheur du messageur
appelé on peut même lire le numero de l'appelant,
eventuellement directement le message de l'appelant.
Dans certains systemes, l'appelé peut envoyer un accusé
de réception grâce a son messageur. Géneralement il
rappelle au moyen d'un télephone le plus proche
l'interlocuteur qui cherche à le joindre.
Un tel service était jusqu'à present reservé aux
professionnels. Mais on voit récemment une évolution
vers des applications grand public avec l'arrivée de
messageurs a bas coût. La modification de la clientèle
appelle par ailleurs une mise en place de nouveaux
services.
Aujourd'hui les systèmes de radio-messagerie
fonctionnent soit par abonnement, soit par la
rémunération de l'operateur d'emission au travers de
CA 022~9~28 Isss-ol-o~
WO98/01836 PCT/FR97/01209
l'appel téléphonique de l'appelant, et de celui, en
reponse de l'appelé. Le défaut du système actuel de
remunération de l'opérateur réside dans le fait que
l'appelé peut utiliser un autre réseau que celui de
l'operateur pour rappeler. Même parfois, il ne rappelle
pas dans la mesure où le message est suffisamment
significatif pour éviter l'appel.
Bien qu'un tel système soit un moyen
particulierement efficace pour pallier un manque de
reseaux telephoniques et/ou peu de postes chez
l'habitant, il a l'inconvenient d'être onereux à
l'achat et/ou avec une formule d'abonnement. Dans
certains cas, des utilisateurs vont jusqu'à utiliser le
service de telecommunication sans payer leur
abonnement.
En outre, au moment ou on envoie un message avec un
tel systeme à un destinataire, il convient de s'assurer
que le porteur du messageur est bel et bien la personne
à qui etait destiné le message et non pas une personne
étrangère, ou éventuellement un fraudeur. Ceci pourrait
être gênant si un étranger était informé du contenu du
message qui ne lui serait pas destiné. De préférence on
cherche à régler les deux problèmes en même temps.
L'objectif de l'invention est de permettre
l'équipement, en particulier des abonnés, en ayant
l'assurance qu'ils s'acquittent du service de
télécommunication qui leur est proposé.
La solution de ces problèmes est obtenue avec un
messageur selon l'invention qui permet de le donner ou
de le vendre à un utilisateur. On récupère alors
l'investissement et/ou le service proposé par
l'opérateur en faisant payer l'utilisateur, de
préférence chaque fois qu'un message lui est délivré,
de manière obligatoire, sans fraude ou échappatoire
CA 022~9~28 1999-01-0~
WO98/01836 PCT~R97/01209
possible. Dans ce but, on munit chaque messageur dans
un exemple d'un support électronique portable: dans la
pratique une carte a puce. Le messageur comporte alors
un lecteur de carte a puce et n'est autorisé à
fonctionner que si une carte a puce adéquate est
engagée dans le messageur. Dans un cas, la carte a puce
sera une carte a puce du type avec unités prépayees de
telle sorte qu'il sera possible d'y decompter des
unites au fur et a mesure de la reception des messages,
et de n'autoriser leur délivrance au porteur du
messageur que si le nombre d'unités disponibles a ete
suffisant. Dans ce cas, on résoudra par ailleurs plus
facilement l'adéquation du porteur du messageur au
destinataire du message en identifiant et/ou en
authentifiant le porteur par le biais de la carte a
puce engagée dans le messageur. De cette façon, on
pourra meme prévoir un messageur susceptible de
recevoir et de mémoriser des messages destines a
plusieurs destinataires et ne permettant la delivrance
des messages d'un destinataire que si ce destinataire a
engage sa propre carte a puce dans le messageur. On
peut alors realiser un sous-adressage qui soit fonction
d'une adresse contenue dans le messageur et d'une sous
adresse contenue dans la carte. Grace a cette fonction
multi-utilisateurs, il est possible de partager les
frais d'acquisition d'un messageur entre plusieurs
personnes. Dans ce cas, le messageur peut fonctionner
eventuellement en poste fixe accessible a chaque
utilisateur. Dans un autre exemple, le messageur
effectue tout seul toutes ces fonctions sans adjonction
de carte.
Dans le cas multi-utilisateurs, l'identification du
destinataire s'effectue par le biais d'un code dit PIN
que chaque destinataire introduit sur un clavier prevu
CA 022~9~28 lsss-ol-o~
WO98/01836 PCT~R97101209
à cet effet sur le messageur. Les moyens permettant de
réaliser la fonction ci-dessus (multi-utilisateurs)
sont de type connus.
La presente invention incorpore une carte à puce de
contrôle, ou carte intelligente, à un recepteur radio
de messages texte, transcrits sur des ecrans à cristaux
liquides, ci-après le messageur, carte qui réalise
plusieurs fonctions de la façon suivante :
- un recepteur personnel, une fois allume, reste en
attente de reception des messages; à chaque message, un
signal apparaît à l'ecran (ecran à cristaux liquides);
- lorsque l'utilisateur du recepteur perçoit le
signal, il insere une carte à puce afin d'obtenir
chacun des messages a l'écran.
- la carte est de préférence une carte prepayee qui
ne fera fonctionner le recepteur que si elle a le
credit suffisant pour que le message soit reproduit;
c'est-a-dire que la fonction de la carte est de donner
acces au message à l'écran, ce qui sous-entend que la
délivrance du message est conditionné à l'insertion de
la carte à puce;
- la carte à puce peut par ailleurs être conçue
pour réaliser une fonction de dechiffrage permettant à
chaque message d'être reproduit, la fonction de la
2S carte etant de dechiffrer un message, ce qui sous-
entend que la carte traduit le signal, par
l'intermédiaire d'un code, en un texte dans un langage
connu, chaque message représentant un coût qui est
déduit de la valeur de la carte.
Par conséquent, la carte a puce faisant l'objet de
la présente invention, dans une première réalisation, a
pour fonction la régulation du prépaiement des messages
transcrits en texte sur l'écran à cristaux liquides, ce
CA 022~9~28 1ggs-o1-o~ -
WO98/01836 PCT~R97/01209
qui contrôle un certain nombre de messages ainsi que la
dimension de ces derniers.
Dans une seconde réalisation, la carte à puce
faisant l'objet de la présente invention comprend,
outre les fonctions ci-dessus, le déchiffrage de chaque
message qu'elle traduit par l'intermédiaire d'un code
vers un texte en langage connu.
Il y a plusieurs façons de realiser la presente
invention sans pour autant sortir de son cadre
puisqu'il faut la considérer dans son sens le plus
large et non limitatif.
L'invention a donc pour objet un procédé de
contrôle de l'utilisation d'un messageur comportant les
etapes suivantes:
- le messageur reçoit des messages envoyes par un
emetteur,
- on verifie que les messages reçus sont destinés
au messageur, et quand c'est le cas on les mémorise
dans le~messageur,
- puis on les délivre au porteur du messageur,
caracterise en ce que, avant de les délivrer,
- on vérifie en plus que le porteur du messageur
est autorisé a connaître ce qui est diffusé.
L'invention a egalement pour objet un messageur
comportant un circuit de réception de message et un
circuit de délivrance des messages reçus, caractérisé
en ce qu'il comporte un lecteur de support à puce,
carte à puce, un support à puce engagé dans le lecteur,
et un circuit pour autoriser la délivrance des messages
reçus lorsqu'un support à puce correct est engagé dans
le lecteur.
L'invention a aussi pour objet une carte à puce
pour récepteur radio de messages transcrits en texte
sur écran à cristaux liquides, caractérisée en ce qu'un
CA 022~9~28 lsss-ol-o~
WO98/01836 PCT/FR97/01209
récepteur est equipe des élements pour recevoir la
carte, laquelle carte contrôlera le crédit qui ne fera
fonctionner le récepteur que si le solde est suffisant
pour reproduire le message, c'est-à-dire que la
fonction de la carte est de donner accès au message à
l'écran, ce qui sous-entend que le message est
conditionné à l'insertion de la carte.
Pour cela, l'invention a pour objet un messageur
dont le fonctionnement et/ou la délivrance du message
est subordonné de préférence à un paiement d'unités
prépayées contenues dans une memoire.
Selon un premier mode de réalisation, les unites
sont contenues dans une mémoire d'une carte à puce, le
messageur coopérant avec ladite carte pour débiter
lesdites unites.
Selon un deuxieme mode de réalisation, les unites
sont contenues dans une memoire du messageur, celui-ci
fonctionnant de manière autonome pour les débiter.
Dans les deux cas, il y a deux variantes
envisageables:
- à unités non rechargeables, (le messageur ou la
carte etant jetable);
- à unités rechargeables. Les unités sont de
preférence rechargeables par tous moyens de chargement
notamment à distance (radio-électrique, avec des cartes
à puce sans contact ou par utilisation du messageur
lui-même, infrarouge, electro-acoustique).
L'avantage est alors de reutiliser les mémoires et
d'éviter de se déplacer pour acheter des cartes à
puces.
L'invention a enfin pour objet une carte à puce
pour récepteur radio de messages transcrits en texte
sur écran à cristaux liquides, caractérisée en ce
qu'elle réalise la fonction de déchiffrage permettant
. ~ . .
CA 022~9~28 1sss-o1-o~
WO98/01836 PCT~R97/01209
de reproduire chaque message, c'est-à-dire qu'elle
dechiffre un message par l'intermediaire d'un code qui
traduit le signal en un texte en langage connu.
Selon une autre caracteristique de l'invention, le
messageur réalise une fonction sécuritaire du
chargement des unites. La securite s'effectue soit dans
le messageur, de preference à l'aide d'un module de
securite applicatif, soit dans une carte à
microprocesseur. Un module de sécurite applicatif est
inaccessible et inviolable du fait d'une protection
physique de ce composant. La protection peut être
passive ou active. Un tel module met typiquement en
oeuvre un protocole de reconnaissance et d'agrement du
type de ceux connus dans le domaine des cartes a puce.
Les etapes du rechargement sont les suivantes.
L'utilisateur va chez un distributeur pour faire
recharger un messageur ou sa carte. Il donne le numéro
d'identite du messageur ou de la carte et l'argent
correspondant a l'achat d'unites. Le distributeur
appelle un serveur central qui envoie un signal de
rechargement comportant le numéro d'identité qui a ete
transmis préalablement, et éventuellement un code
représentatif d'un code secret. Le microprocesseur du
messageur ou de la carte effectue un test de
comparaison entre le code du message et celui contenu
dans le module de sécurité applicatif (ou dans la
carte) avant d'incrémenter la memoire d'unités d'un
nombre d'unites convenu.
En alternative, la commande d'un chargement
d'unites et le paiement peuvent être effectues
directement par correspondance.
Pour des raisons pratiques de simplicite, le signal
de rechargement est de preference emis de la même
maniere que pour l'émission des messages.
CA 022~9~28 lsss-ol-o~
WO98/01836 PCT~R97/01209
Pour des raisons de sécurité, le signal de
rechargement peut être émis sur une borne determinée,
pour centraliser le chargement et eviter qu'un autre
messageur puisse capter le signal de rechargement. La
~ 5 borne peut être contenue dans une cabine, ou un poste,
de télephone par exemple, ou être une borne infrarouge.
Dans le cas d'une cabine ou d'un poste de
telephone, l'utilisateur peut lui-même communiquer les
donnees ci-dessus au serveur central par la ligne
telephonique, et recevoir le chargement par la ligne.
Des moyens de reception de signaux acoustiques,
notamment du type DTMF, peuvent être prevus dans le
messageur. De tels moyens sont connus de l'homme de
l'art.
Pour eviter la fraude consistant notamment en une
derivation du signal à la sortie de l'antenne de
réception, le message peut être crypte à l'emission,
puis stocké, avant délivrance, dans une memoire
quelconque du messageur ou dans la carte. Le message
est ensuite délivré après une étape de décryptage
réalisée par un module de sécurité applicatif. Le
module de sécurite applicatif comporte dans ce cas au
moins un microprocesseur et un algorithme de
decryptage. Le message peut egalement être stocké
directement dans une zone memoire du module de sécurité
applicatif. La fonction de gestion du messageur et
celle du microprocesseur de la carte peuvent être
realisees par un seul microprocesseur contenu dans un
tel module de securité applicatif.
Le module de securité applicatif est de preférence
compris dans le messageur. Dans une variante du premier
mode, le module de securité applicatif peut être
compris dans la carte, qui réalise ainsi elle-même tout
ou partie de la fonction de decryptage.
. , . ~ .
CA 022~9~28 lgg9-ol-o~
W098/01836 PCT/FR97/01209
Dans le cas du premier mode, pour éviter une fraude
par l'usage de fausse carte, le messageur est apte à
realiser une procedure d'authentification de la carte.
On peut utiliser avantageusement une carte à mémoire
bas de gamme de type carte telephonique ttelecarte)
dite de première generation réalisant simplement une
fonction de stockage d'unites, d'identification et
d'authentification passive (sans microprocesseur). Mais
il est prefere une carte dite de deuxieme generation
(toujours sans microprocesseur) permettant de realiser
une procedure d'authentification active de celle-ci et
eventuellement du messageur.
Ainsi, le messageur fonctionne avec un degre de
securite raisonnable, avec des cartes telephoniques
standards bon marche, dont l'acquisition est accessible
par les personnes visees precedemment.
Le messageur peut realiser une procedure
d'authentification et/ou d'identification du
destinataire. L'authentification est réalisée par
exemple par l'introduction d'un code secret dans le
messageur sur demande de celui-ci. Ce code secret peut
également servir à débiter une carte de type bancaire.
Dans le cas d'un messageur multi-utilisateurs,
l'identification du destinataire peut être effectuee
par l'intermédiaire d'un code d'identification contenu
dans la carte. Ces deux dernières fonctions relatives à
l'identification et à l'authentification peuvent être
cumulées.
Le module de sécurité est avantageusement utilisé
pour plusieurs fonctions du messageur, notamment pour
accueillir tout ou partie d'un circuit pour autoriser
la délivrance des messages reçus, mais également tout
ou partie d'un algorithme de décryptage, et/ou tout ou
CA 022~9~28 l999-ol-o~
W O 98/01836 PCTAF ~ 7/01209
partie d'un circuit apte à réaliser un rechargement
d'une mémoire en unités prépayées.
L'invention sera mieux comprise à la lecture de la
description qui suit et à l'examen des figures qui
l'accompagnent. Celles-ci ne sont données qu'à titre
indicatif et nullement limitatif de l'invention. Les
figures montrent:
- Figure 1: Un messageur conforme à l'invention;
- Figure 2: les étapes principales du procédé de
contrôle d'utilisation d'un messageur selon
l'invention;
- Figure 3: la structure type d'un message envoyé
par un émetteur à un messageur dans l'invention;
- Figure 4: la structure type d'un message
enregistré dans la mémoire du messageur et susceptible
d'être diffusé par ce messageur;
- Figure 5: un récepteur radio, modèle de table,
commande par une carte intelligent selon l'invention;
- Figure 6: le même récepteur en version portable.
La figure 1 montre un messageur dans lequel il va
être possible de mettre en oeuvre le procédé de
contrôle de l'invention. Ce messageur comporte un
boîtier 1 muni d'un circuit de réception 2, pour
recevoir des messages envoyés par un émetteur 3. Dans
l'exemple représenté, l'emetteur 3 est un émetteur
radio-électrique mais ce pourrait être aussi bien une
banque de données reliée à des bornes auxquelles on
pourrait en cas de besoin connecter le messageur 1.
Dans un exemple le récepteur 2 comporte une bobine
radio-fréquence 4 reliée à un circuit électronique
d'interface radio-fréquence 5. Le circuit de réception
2 assure, en particulier dans le cas de l'émission
radio-électrique, la réception, la détection, des
informations et l'amplification du signal radio-
CA 022~9~28 lggg-ol-o~
WO98/01836 PCT~R97/01209
12
electrique reçu au cours des étapes initiales 6 et 7 du
procede (figure 2). L'interface 5 effectue egalement,
dans le cas de l'emission radio-frequence, la
demodulation du signal electrique reçu au cours d'une
etape 8. L'operation de demodulation comportera
naturellement une etape de numerisation pour que toute
la suite du traitement du message reçu puisse être
effectuee en binaire. Si la transmission n'est pas
radio-electrique les etapes 6 à 8 peuvent être
absentes.
Dans l'etat de la technique, le messageur comporte
un circuit câble où un microprocesseur 9 qui gère
toutes ses operations. Le micro-processeur 9 est en
relation par un bus 23 de donnees, d'adresses et de
commandes avec une memoire programme lO, des memoires
de donnees 11 et 12 et un afficheur 13. Dans un exemple
l'afficheur 13 est un ecran à cristaux liquides. Le
micro-processeur 9 effectue au moment de la reception
une verification de ce que le message reçu dans le
messageur est bien destine au messageur. Dans ce but le
message, figure 3, comporte deux elements principaux
d'une part l'adresse du messageur 14 et d'autre part le
contenu 15 du message. Le micro-processeur 9 prelève
alors dans une memoire 11 de parametrisation du
messageur une information relative à l'adresse de
celul-ci .
Dans l'invention cette information peut etre gardée
secrète et protegée par exemple dans un bloc de
sécurité. Cette sécurite est egalement préférée
notamment pour assurer le rechargement en unites
prépayées dans une memoire du messageur et/ou de la
carte.
Au cours d'une operation 16 de verification de
destination, le micro-processeur 9 verifie que
CA 022~9~28 lgg9-ol-o~
WO98/01836 PCT~R97/01209
l'adresse en memoire 11 es~ la même que l'adresse dans
la partie 14 du message. En cas de succès au cours
d'une operation 17, le micro-processeur 9 provoque
l'enregistrement du message reçu dans la mémoire 12.
Les mémoires 10, 11, 12 peuvent par ailleurs être
reunies en une seule qui comporterait des zones
correspondantes. Les memoires 10 et 11 de type non
volatiles sont de preference non effaçables, la memoire
non volatile 12 est de preference effaçable et
reprogrammable.
D'une maniere classique, le micro-processeur 9 en
mettant en oeuvre le sous-programme de reception
contenu dans la memoire 10 pourra provoquer l'emission
d'une alarme consecutive ou simultanee a la
memorisation. Le micro-processeur 9 peut egalement
afficher en permanence, ou apres l'alarme, un menu 19,
invitant le porteur de messageur a notamment faire
apparaître son message. Dans ce but le messageur de
l'etat de la technique comporte de plus un clavier 20
en relation avec le micro-processeur 9 pour permettre
au porteur de commander le messageur et de faire
délivrer le message. Les etapes 18 et 19 peuvent ne pas
exister, le porteur consultant regulierement son
message pour savoir s'il a reçu des messages.
Dans l'invention, pour résoudre les problèmes
indiqués, on a eu l'idee, dans un exemple, de mettre le
messageur 1 en relation avec un support à puce, de
préférence une carte a puce 21. Dans ce but, le
messageur comporte une interface 22 reliée au bus 23,
de données d'adresses et de commande du messageur 1.
Dans un exemple, l'interface 22 comporte un connecteur
pour entrer en relation avec des plots 24 de connexion
de la puce 25 du support 21. La liaison fonctionnelle
du support a puce avec le messageur 1 peut aussi être
CA 022~9~28 1sss-o1-o~
WO98101836 PCT~R97101209
hertzienne dans le cas d'une carte à puce sans contact.
Selon l'invention, la puce 25 comportera au moins une
des deux mémoires suivantes: une mémoire d'unites
prepayees 26 et une mémoire de paramètres 27. De
preference, elle les comportera toutes les deux. De
preférence également, elle comportera un micro-
processeur 28. Le micro-processeur 28 n'est pas
nécessaire si le micro-processeur 9, pour un mode de
fonctionnement donné est autorisé à prendre la main sur
les mémoires 26 et 27. Ceci est généralement le cas
pour les cartes à puce téléphoniques standards.
Dans un exemple, l'insertion d'un support à puce 21
dans l'interface 22 sera détecté, par exemple par un
contact de type fin de course 29 monte dans cet
interface 22. Cette détection permet d'envoyer un ordre
par le bus 23 au micro-processeur 9 pour que celui-ci
lance un programme SECUR. de vérification, de ce que le
porteur du messageur est autorisé à connaître et qui
doit etre délivré. Ainsi après une opération 30 de
vérification de la présence du support, le micro-
processeur 9, assisté au besoin du micro-processeur 28,
va vérifier d'une part que la carte à puce introduite
est une carte apte a fonctionner avec le messageur l
et/ou par un programme DEBIT que la puce 25 comporte
dans sa mémoire 26 suffisamment d'unités prépayées
encore disponibles pour autoriser la délivrance du
message qui a été reçu et mémorisé. Quand le
microprocesseur 28 assiste, ou plutôt prend le relais
du microprocesseur 9, c'est parce que la puce 25
comporte une mémoire programme (non représentée) reliée
a ce microprocesseur 28 comme la mémoire lO est reliée
au microprocesseur 9.
Les deux étapes d'authentification de la carte a
puce et de débit d'unité peuvent être mise en oeuvre
CA 022~9~28 lgg9-ol-o~
WO98/01836 PCT/FR97/01209
isolément ou ensemble quel que soit leur ordre selon un
mode de vérification retenu préalablement.
Ainsi, si on se contente de verifier par un numéro
d'identification personnelle (PIN) que le porteur du
messageur et de la carte à puce est autorisé à
l'utiliser, cela revient a avoir organisé un abonnement
de type permanent. Plutôt que de seulement vérifier la
composition d'un code porteur PIN, a la place, on peut
au cours de l'opération 31 d'authentification de la
carte vérifier qu'une date de validation 32, mémorisée
dans la mémoire 27 est postérieure a une date 33
contenue dans une partie supplementaire 34 de
signalisation du message (figure 3). Dans ce cas on
réalise un abonnement en temps limité.
Il est possible de munir le messageur d'un module
50 de sécurité applicatif. Celui-ci est aussi relié au
bus 23. Il permet notamment de mettre en oeuvre, pour
le messageur 1, un protocole d'authentification du
porteur du messageur. Dans ce cas celui-ci peut
fonctionner sans carte a puce, les fonctions de celle-
ci étant toutes assurées par ce module du messageur.
Dans l'autre cas, au cours d'une opération 35 on
vérifie le contenu d'unités disponibles dans la mémoire
26, et on oblitere celles de ces unités disponibles qui
sont nécessaires pour permettre la délivrance du
message. Le décompte de ces unités peut être
arbitraire: par exemple une unité par message. Il peut
être lié à la longueur de la partie 15 du message: à la
longueur du contenu. Le nombre de ces unités peut
egalement être imposé par un indice de consommation 350
présent en zone 34 du message. Par cet indice,
l'opérateur de télécommunication qui gère l'émetteur 3
peut pondérer le coût de l'envoi du message, en
fonction ici encore une fois de la longueur du message,
CA 022~9~28 1sss-o1-o~
WO98/01836 PCT~7/01209
ou en fonction de l'instant ou le message est diffuse:
heures creuses, heures pleines, ou même encore en
fonction du caractère national ou international des
emissions par les émetteurs 3 du meme message, compte
tenu du fait que le porteur du messageur peut
successivement se trouver dans une ou plusieurs regions
du monde. Il peut aussi être lie a un profil
d'utilisateur, l'acces a certains messages (groupes par
exemple) etant subordonne a la presence d'un profil
contenu dans la carte. Le montant à payer peut
eventuellement être dependant de ce profil.
L'operation 3l d'authentification mise en oeuvre
par le micro-processeur 9 conjointement avec le micro-
processeur 28 est de type classique. Elle comporte la
comparaison d'un code frappe avec le clavier 20 par le
porteur du messageur et de la carte a puce 2l avec un
code (secret ou non) PIN enregistre dans la memoire 27.
Ces operations de verification peuvent subir par
ailleurs d'une manière connue des operations de
chiffrement pour empêcher que le code PIN memorisé dans
le support 2l puisse a la longue être decouvert.
Les operations de decompte d'unites sont elles
aussi de type classique. La memoire 26 est par exemple
une memoire comprenant des cellules memoires de type
non-volatile, uniquement programmables: leur passage
d'un état vierge ou efface a un etat programmé étant
equivalent à une consommation d'unites. Les unites
peuvent egalement être constituees par la presence de
fusibles qui sont claques successivement.
Eventuellement, la mémoire 26 est du type effaçable et
programmable. Dans ce cas, le support 2l peut être
rapporté comme indiqué précédemment aupres des services
de l'opérateur qui gère l'emetteur 3 pour que celui-ci
les recharge, contre un paiement bien entendu. A cette
CA 022~9~28 lgg9-ol-o~
W098tO1836 PCT~R97/01209
occasion, dans le cas ou on a retenu une formule avec
abonnement, il est possible que la date 32 enregistrée
dans la mémoire 27 soit elle aussi reprogrammée de
sorte que cette mémoire, au moins pour cette partie,
serait de type effaçable et programmable. Elle
comporterait de préférence dans ce cas des cellules
mémoires de type EEPROM.
La mémoire 12 du messageur comporte des
enregistrements des messages reçus et mémorisés à
l'étape 17. Chaque enregistrement comporte, dans cette
mémoire 12 un numéro d'ordre 36, éventuellement une
description sommaire 37, permettant au porteur du
messageur de se faire une idée du message enregistre.
Chaque enregistrement comporte encore une zone 38
relative au message proprement dit et une zone 39
utilisable dans le cas ou des unités ont dû être
décomptées pour permettre la délivrance du message. La
zone 39 peut comporter elle-même deux sous-zones, une
premiere sous-zone 40, optionnelle, de débit dans
laquelle figure le nombre d'unités qu'il faudrait payer
pour pouvoir voir le message, et une zone 41 dans
laquelle figure le nombre des unités déja payées pour
permettre la délivrance du message. La zone 41 peut ne
contenir qu'un seul bit indiquant selon son état que la
carte 21 a déià été débitée dans sa zone 26 ou qu'elle
ne l'a pas été.
Au moment de l'opération de debit, dans le cas ou
la consommation n'est pas unitaire mais est fonction
soit du contenu du message soit de l'indice 350, on
prélèvera dans la mémoire 26, des unités pour les
inscrire dans la zone 41 jusqu'a concurrence du montant
indiqué dans la zone 40. On peut de ce fait facilement
completer les unites déja prélevées dans une carte 21
par des unités prélevées sur une carte 21 suivante,
CA 022~9~28 1sss-o1-o~
WO98/01836 PCT~R97/~1209
18
dans le cas où le contenu de la premiere n'aurait pas
été suffisant. L'opération DEBIT de débit enregistrée
dans la mémoire programme lO du messageur l consiste
donc a lire le contenu de la zone 40 (s'il y en a un),
à lire le contenu de la zone 4l, et à prélever à titre
d'unités dans la mémoire 26 la différence de ces deux
contenus. De cette façon un seul type d'instructions
~EBIT peut servir pour les mises à jour.
Au moment où l'operation 35 de débit d'unites a ete
effectuee, il reste a aller relire la memoire 12 au
cours d'une operation 42. Cette operation 42 effectuee
par le micro-processeur 9 n'est bien entendu lancee que
dans la mesure où les opérations 30, 31 et 35 prealable
ont ete couronnees de succès (toutes ou l'une d'entre
elles seulement selon le mode operatoire retenu). Au
moment de la lecture, il est possible que le contenu du
message enregistre dans la zone 38 soit un message
chiffre. Dans ce cas on peut avec le micro-processeur
9, ou eventuellement le micro-processeur Z8, provoquer
le dechiffrement 43 de ce message à l'aide d'une clé
qui est contenue dans une zone 44 de la memoire 27. En
fin de compte, au cours d'une étape 45, le message est
diffusé. La délivrance la plus simple consiste à
afficher le message sur l'ecran 13. Neanmoins, il est
possible, si le messageur l comporte un haut parleur et
des circuits de conversion d'un message ecrit en un
message de parole, de délivrer oralement le message
memorise.
Avec les options du menu l9, il pourra dans
l'invention être sélectionne n'importe quel message
préalablement enregistré et ce message pourra être
diffuse autant de fois qu'on le désire sous reserve,
soit que la carte a puce 21 d'authentification ait eté
engagée dans le messageur l si l'authentification est
.
CA 022~9~28 lsss-ol-o~
WO98/01836 PCT/FR97/01209
19
requise, soit qu'en zone 41 une indication mentionnant
le decompte d'unites soit presente, soit les deux
conditions reunies en même temps. De preference, le
dechiffrage du message sera toujours effectué à la fin,
de manière à ne stocker qu'une information chiffree
dans la zone 38. Dans ce cas la presence de la carte
sera de preference necessaire pour y prelever la clef
44.
Dans le cas ou le messageur peut être un messageur
correspondant a plusieurs destinataires, il est
possible d'utiliser a titre de complement d'adresse des
informations memorisees dans la memoire 27 de la carte
à puce, par exemple, le numero de serie 46 de celle-ci
ou même une adresse 47. Dans ce cas, l'adresse
messageur contenue dans la zone 14 du message est plus
longue que l'adresse utile (celle qui permet de
discriminer les differents messageurs). Elle comporte
un complement d'adresse 48.
Dans ce cas, le messageur 1 reçoit les messages
destinés à plusieurs destinataires. Les compléments
d'adresse 48 sont ensuite comparés aux numéros de série
46 ou adresses 47 des cartes 21 et le micro-processeur
9 n'autorise la délivrance d'un message à un
utilisateur que si ces numéros correspondent au
complément d'adresse 48.
L'autorisation selon l'invention n'est donc donnée
que si un ou plusieurs des tests suivants est réussi:
presence de carte - carte authentique
authentification porteur - validité en date - nombre
d'unités suffisant - complément d'adresse. Selon
l'invention l'autorisation peut aussi n'être donnée que
si une combinaison conjonctive de ces tests est
réussie. Toutes les combinaisons de ces tests sont
envisageables.
~ . ~....
CA 022~9~28 lsss-ol-o~
WO98/01836 PCT/FR97/01209
Dans la relation messageur - carte a puce, il est
possible que le microprocesseur de la carte remplace
celui du messageur: celui-ci en etant par exemple
démuni, ou au moins incapable de fonctionner tant que
le microprocesseur de la carte n'est pas en service. A
l'oppose dans le cas d'un messageur sans carte, le
circuit du messageur comporterait en fonction du besoin
les circuits decrits pour la carte.
L'autorisation peut agir sur le fonctionnement du
messageur au cours de toutes les etapes allant de
l'émission a la délivrance du message.
Ainsi par exemple, l'absence d'autorisation peut
inhiber la reception, ou le stockage ou le decryptage
par une fonction prevue à cet effet.
Dans d'autres cas, le messageur peut être
physiquement dans l'incapacite de fonctionner: par
exemple lorsque le microprocesseur du messageur est
contenu uniquement dans la carte, le messageur ne peut
fonctionner que lorsque celle-ci est introduite dans le
messageur et/ou qu'elle possède un solde suffisant.
Selon une variante avantageuse, le messageur peut
recevoir le message mais l'utilisateur n'est averti de
la reception que si une carte est introduite et qu'elle
a suffisamment de crédit. Cela évite une utilisation
minimale d'un messageur consistant à recevoir
uniquement des signaux d'avertissement.
L'avertissement peut prendre differentes formes par
exemple sonore, lumineux, etc.
La carte peut être inseree de manière permanente et
pour cela elle peut prendre un format réduit tel que le
format "Plug in".
En cas d'un abonnement non renouvelé par un
utilisateur, l'émetteur peut émettre une instruction
d'inhibition du fonctionnement du messageur en
_ _
CA 022~9~28 Isss-ol-o~
WO98/01836 PCT~R97/01209
question. Ceci peut être effectué de differentes
manières ci-après.
L'espace 34 du message peut contenir dans l'indice
350, une donnee, de preference cryptee, signifiant que
l'utilisateur n'a pas l'autorisation. L'introduction
d'un indice 350 de consommation superieur à une valeur
de tout solde existant suffit pour empêcher la
délivrance du message, lorsque celle-ci est subordonnee
à un credit suffisant.
Selon une autre réalisation, le message peut
contenir un espace reserve a une donnée d'autorisation
emise systematiquement à chaque message, par l'emetteur
lequel contrôle ainsi l'utilisation du service. Dans ce
cas la verification de l'autorisation peut consister à
comparer systematiquement la donnee rec,ue, via le
message, avec une donnee secrète et protegee contenue
dans un bloc de securite du messageur tel qu'un module
de sécurité applicatif (SAM).
Selon une variante, les appels à destination d'un
utilisateur non a jour de son abonnement sont detournés
ou bloqués par l'émetteur (operateur). Cela implique
que la verification s'effectue avant la diffusion du
message par l'emetteur.
Le procédé de contrôle/vérification peut comprendre
à cet effet une etape consistant à comparer toutes les
adresses des messageurs contenues dans les messages en
attente d'être emis par l'operateur, avec une liste
d'adresses correspondant aux utilisateurs irreguliers
(non a jour de leur abonnement), et à interdire
l'emission lorsqu'il y a adequation des adresses. A cet
effet, sont prevus, des moyens de stockage de cette
liste et des moyens de comparaison informatiques au
niveau de l'emetteur, par exemple un micro-ordinateur,
et des moyens de selection des messages par l'adresse
. . ~.. _ ..
CA 022~9~28 lsss-ol-o~
W098/01836 PCT~R97tO1209
14 qui leur est associé. De tels moyens sont de type
connu.
De préférence, pour mieux empecher les fraudes, la
carte peut avoir une durée de vie déterminée qu'elle
soit rechargeable ou non. A la fin de la durée de vie,
les nouvelles cartes peuvent comprendre de nouveaux
algorithmes de sécurité.
Pour mettre en oeuvre la fonction durée de vie, la
carte peut comprendre une date limite stockée en
mémoire et un sous-programme prévu à cet effet. Selon
ce programme, on compare la date limite a une date
d'émission du message comprise dans chaque message.
Lorsqu'il y a adéquation, le messageur refuse de
fonctionner par exemple en refusant de délivrer le
signal et/ou le message.
