Chapitre V. Le lecteur bruité
2. Etat de l’art
Dans cette partie consacrée à l’état de l’art, nous allons nous intéresser aux différentes normes sans contact et au lecteur bruité actuel. Cette étude permettra de montrer les différentes faiblesses de cette contre-mesure et des moyens à mettre en œuvre pour l’améliorer.
A. Les normes
Pour comprendre toutes les spécificités du lecteur bruité existant et des développements réalisés dans ce chapitre, il est important de rappeler certaines caractéristiques des normes ISO 14443 type A et B) et de la norme ISO15693. La norme ISO14443 est principalement utilisée pour l’identification de personnes tandis que la norme ISO15693 est utilisée pour l’identification d’objets. Nous introduirons les parties 2 et 3 de ces normes, c'est-à-dire celles dédiées à la couche physique des systèmes sans contact.
a. Premières caractéristiques
La fréquence porteuse imposée pour ces différentes normes est le 13.56 MHz avec une précision de plus ou moins 7 kHz. Dans la norme ISO14443, la puissance du champ RF au niveau du récepteur doit être comprise entre 1.5 et 7.5 A/m pour que celui-ci soit opérationnel.
Pour la norme ISO15693, le récepteur possède moins de ressources de calculs et nécessite moins d’énergie pour fonctionner. Le champ magnétique nécessaire au fonctionnement d’un tel transpondeur doit donc être compris entre 0.150 et 5 A/m. La distance de communication est donc bien plus élevée pour les dispositifs utilisant cette norme.
Dans le cas de la norme ISO14443 (type A et type B), le débit sera 106kbits/s (1 symbole dure 9.44 µs). Pour la norme ISO15693, le codage avec une unique sous-porteuse sera étudié avec un débit de 26.48kbits/s.
b. Modulation et codage
Le lecteur bruité brouille uniquement la communication de la carte vers le lecteur. Nous nous intéressons donc uniquement au codage et à la modulation utilisés par la carte sans contact pour transmettre des données au lecteur. En effet, la connaissance des caractéristiques du signal à brouiller est indispensable pour générer le bruit le plus adapté mais aussi pour synchroniser le signal de la carte avec le bruit. Tous les récepteurs que nous présentons ici transmettent des données en utilisant la modulation de charge. Les transpondeurs modulent la charge aux bornes de leurs antennes ; le résultat est une modification du champ radiofréquence et du courant dans l’antenne du lecteur.
Dans la norme ISO14443-A (figure V.3):
La fréquence sous-porteuse est égale à fc/16, soit environ 847 kHz
Modulation de la sous-porteuse: OOK (On-Off Keying)
Codage de la sous-porteuse: Manchester
La valeur logique ‘1’ est représentée par une modulation de la porteuse pendant la première moitié de la période du symbole (4.72 µs) (figure V.1). La seconde moitié du symbole n’est pas modulée.
La valeur logique ‘0’ est représentée par une modulation de la porteuse pendant la seconde moitié de la période du symbole (4.72 µs) (figure V.2). La première moitié du symbole n’est pas modulée.
Figure V.1 – Codage ISO14443-A : ‘1’ logique Figure V.2 – Codage ISO14443-A : ‘0’ logique
Figure V.3 – Codage et modulation ISO14443-A (Modulation : OOK ; codage : manchester) Dans la norme ISO14443-B (figure V.6):
La fréquence sous-porteuse est égale à fc/16, soit environ 847 kHz
Modulation de la sous-porteuse: BPSK
Codage de la sous-porteuse: NRZ-L
La différence entre les deux valeurs logiques ‘0’ et ‘1’ est caractérisée par une variation de phase de 180° de la fréquence sous porteuse (figure V.4 et V.5). Avant la réponse de la carte, cette dernière module le champ magnétique, l’état de phase de cette modulation correspond à une valeur logique ‘1’.
9.44 µs
1.18 µs
9.44 µs
1.18 µs
1 0 1 1 0 0
1.18 µs 1.18 µs
Figure V.6 – Codage et modulation ISO14443-B (Modulation : BPSK ; codage : NRZ-L) Dans la norme ISO15693 (figure V.9):
La fréquence sous-porteuse est égale à fc/32, soit 423.75 kHz
Modulation de la sous porteuse: OOK
Codage de la sous porteuse: Manchester
La valeur logique ‘0’ est représentée par une modulation de la porteuse pendant la première moitié de la période du symbole (18.88 µs) (figure V.8). La seconde moitié du symbole n’est pas modulée.
La valeur logique ‘1’ est représentée par une modulation de la porteuse pendant la seconde moitié de la période du symbole (18.88 µs) (figure V.7). La première moitié du symbole n’est pas modulée.
Figure V.7 – Codage ISO15693: ‘0’ logique Figure V.8 – Codage ISO15693: ‘1’ logique
Figure V.9 – Codage et modulation ISO15693 (Modulation : OOK ; codage : manchester)
c. Format des trames
L’étape de synchronisation du bruit avec le signal provenant de la carte est très importante.
Pour identifier les possibilités de synchronisation, il est nécessaire d’étudier la réponse de la carte, et particulièrement le début de cette réponse et de la modulation de charge.
Dans la norme ISO14443-A, le début de la trame (SOF : Start of Frame) est identique à une valeur logique ‘1’ (figure V.10). Le transpondeur module sa charge pendant la première moitié du temps symbole.
Figure V.10 – Début de trame ISO14443-A
Dans la norme ISO14443-B, le début de la trame est découpé en deux phases (figure V.11). Le transpondeur module sa charge pendant la première partie du SOF pour que le lecteur identifie la phase du signal. Ainsi, ce dernier pourra reconnaitre la valeur logique du bit en utilisant la phase de référence qui correspond à la valeur logique ‘1’. Cette première partie dure entre 10 et 11 durées symboles (94.4 à 103.84 µs). La deuxième partie est réalisée après un changement rapide de la phase de la sous-porteuse. La carte envoie 2 à 3 symboles ‘0’ pour une durée de 18.88 à 28.32 µs.
1 0 1 1 0 0
37.76 µs
2.36 µs 2.36 µs
37.76 µs
1 0 1 1 0 0
9.44 µs
1.18 µs
Figure V.11 – Début de trame ISO14443-B
Le début de trame de la norme ISO15693 est divisé en trois parties (figure V.12) :
Une partie non modulée de durée 56.64 µs
Une partie consistant en 24 alternances de sous porteuse à 423.75 kHz (durée = 56.64 µs)
La troisième partie correspondant à une valeur logique ‘1’
Figure V.12 – Début de trame ISO15693 B. Le lecteur bruité actuel
Le principe de base du lecteur bruité repose sur le mode de communication des systèmes sans contact. En effet, l’utilisation du couplage inductif pour transmettre les données n’autorise pas le mode de communication full-duplex. Le lecteur module son champ radiofréquence pour transmettre des informations. Le lecteur continue d’activer ce champ RF pour alimenter la carte sans contact. La carte peut moduler le signal RF du lecteur en commutant la charge résistive (ou capacitive) aux bornes de son antenne. Cette modification de la charge équivalente de la carte altère le couplage entre les antennes de façon synchrone avec l’horloge du lecteur. Les variations du champ électromagnétique au niveau du lecteur sont perçues comme la transmission de données de la carte vers le lecteur.
Le lecteur bruité est un lecteur sans contact modifié permettant l’envoi simultané d’un bruit analogique et du signal RF du lecteur lors de la réponse de la carte. La carte reste opérationnelle malgré l’ajout de bruit dans le champ RF permettant de l’alimenter. Elle peut envoyer des données sur ce canal bruité en évitant ainsi tout espionnage de la communication par un attaquant potentiel. En effet, une sonde de champ ou toute autre antenne inductive ne reçoit qu’un message brouillé ; elle ne peut dissocier les données du bruit. Sachant que le lecteur connait le bruit qu’il a émis, il est capable de le soustraire au signal reçu de façon à récupérer uniquement les bits transmis par la carte sans contact.
La figure V.13 illustre les différentes phases du lecteur bruité (de l’envoi de sa requête à la récupération de la trame envoyée par la carte).
Les avantages d’une telle solution par rapport à celles décrites dans la littérature ([CAS2006]) sont l’utilisation d’un bruit analogique, la non-modification des standards et du front-end RF de la carte.
READER CARD
Noise
Noisy answer
Spy
Card answer
Le lecteur bruité a été entièrement développé et implémenté sur une ancienne version du lecteur d’expérimentation Lrfv7 développé au CEA-Léti. Les figures V.14 et V.15 montrent le lecteur bruité, en particulier son générateur de bruit analogique et son antenne d’émission. Les modifications analogiques et numériques du lecteur Lrfv7 permettant l’ajout d’un bruit dans le canal sans contact vont être détaillées. Ce lecteur permet de bruiter le protocole ISO14443-B pour un débit de données de 106 kbits/s.
Figure V.14 – Le lecteur bruité et son antenne
marguerite (sans amplificateur) Figure V.15 – Le générateur de bruit
a. La partie numérique
La partie numérique du lecteur bruité génère un nombre aléatoire modulé à la fréquence porteuse du système sans contact (figure V.16). Cette partie est implémentée sur un composant programmable FPGA de type ALTERA Cyclone II intégré au lecteur Lrfv7.
La séquence pseudo-aléatoire est générée sur la base de trois cellules Tausworthe utilisant le principe du LFSR (Leap Forward Shift Register). La graine de démarrage de ces cellules est obtenue par une horloge externe décorélée de l’horloge de notre FPGA. Un nombre aléatoire est envoyé toutes les 9.44 µs, soit la durée d’un bit. Il permet de définir l’amplitude et la phase de la porteuse à 13.56 MHz de notre bruit (seule la modulation en amplitude est implémentée). La porteuse est modulée par une sous-porteuse à 847 kHz afin que le signal bruité coïncide avec le signal de la carte sans contact.
Figure V.16 – Génération du bruit modulé numérique
Pour récupérer un signal filtré à partir du signal bruité, il est nécessaire de numériser un signal bruité de référence pour connaitre le gain entre le bruit en émission et celui en réception. La soustraction du bruit au signal permet alors de retrouver un signal propre.
b. La partie analogique
La partie analogique convertit le signal bruité numérique modulé, l’amplifie et le transmet à l’antenne marguerite (figure V.17). Le signal bruité numérique sous porteuse sert d’entrée à un convertisseur 8 bits HI5690 (DAC) permettant d’obtenir un signal analogique. Ce signal est ensuite atténué pour servir d’entrée à un amplificateur RF mini-circuits ZHL-32A. La brique de base du lecteur bruité est son antenne appelée antenne marguerite. Ce design, étudié dans la section « Antenne marguerite », dispose de deux antennes en mutuelle nulle pour émettre le
13.56MHz 106kHz nombre 847kHz
noise
champ et injecter le bruit séparément. Cette forte isolation entre les deux boucles inductives (40 dB) permet de réduire le bruit récupéré par la partie réception du lecteur lors de l’écoute de l’étiquette. Le traitement numérique du signal en réception est ainsi facilité.
c. Les améliorations possibles
Le lecteur actuel comporte plusieurs faiblesses que nous espérons corriger dans cette partie.
Le lecteur bruité ne permet pas de bruiter n’importe quel protocole de communication sans contact
L’antenne marguerite est très importante pour récupérer le signal, mais elle est difficilement industrialisable et implémentable sur tous les systèmes sans contact. Un énorme point fort du lecteur bruité serait l’utilisation d’une antenne standard (ISO10373-6) comportant une boucle inductive unique.
L’atténuateur variable est actuellement manuel et l’amplitude du bruit ne s’adapte pas à la distance entre le lecteur et la carte sans contact.
La synchronisation de la sous-porteuse de la carte avec celle du bruit n’est pas fiable Toutes les solutions n’ont pas été implémentées, mais un grand nombre d’idées sont proposées dans cette partie.