FR2919742A1 - Procede technique de securisation permettant de certifier les actions utilisateur lors de transactions sur terminaux mobiles - Google Patents

Procede technique de securisation permettant de certifier les actions utilisateur lors de transactions sur terminaux mobiles Download PDF

Info

Publication number
FR2919742A1
FR2919742A1 FR0705684A FR0705684A FR2919742A1 FR 2919742 A1 FR2919742 A1 FR 2919742A1 FR 0705684 A FR0705684 A FR 0705684A FR 0705684 A FR0705684 A FR 0705684A FR 2919742 A1 FR2919742 A1 FR 2919742A1
Authority
FR
France
Prior art keywords
transmitter
receiver
intermediary
test
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0705684A
Other languages
English (en)
Other versions
FR2919742B1 (fr
Inventor
Phoum Lib
David Renno
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to FR0705684A priority Critical patent/FR2919742B1/fr
Publication of FR2919742A1 publication Critical patent/FR2919742A1/fr
Application granted granted Critical
Publication of FR2919742B1 publication Critical patent/FR2919742B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/223Payment schemes or models based on the use of peer-to-peer networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Finance (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

L'invention utilise des images ad hoc qui font appel aux capacités d'interprétations humaines permettant de différencier les actions de l'homme de celles de la machine lors de transactions sur un ou plusieurs terminaux mobiles.La transaction s'effectue entre un émetteur, un receveur et un intermédiaire. L'intermédiaire met en relation l'émetteur avec le receveur, et se charge de la certification des actions utilisateur. L'intermédiaire génère des tests de sécurité selon l'invention. L'intermédiaire envoie au receveur (respectivement à l'émetteur) le test de sécurité généré(4) (respectivement (8) pour l'émetteur). Le receveur effectue le test(5) (respectivement le test(9) pour l'émetteur). Si le résultat du test est positif(6) (respectivement (10) pour l'émetteur), la transaction est validée par l'intermédiaire.Le procédé technique selon l'invention est particulièrement destiné à la sécurisation des transactions de terminaux mobiles à terminaux mobiles ou de terminaux mobiles à terminaux fixes.

Description

- 1 - La présente invention concerne un procédé technique de sécurisation.
permettant de certifier les actions utilisateur lors de transactions sur terminaux mobiles.
Généralement la sécurisation des transactions s'effectue au niveau des communications par cryptage. Sur les terminaux mobiles, se pose la problématique de l'authenticité des applications, à la manière des virus informatiques, certaines applications malignes sont capables d'agir en lieu et place de l'utilisateur. Cette invention pallie à cette faille de sécurité en permettant de certifier les actions humaines des actions de la machine, en les différenciant à l'aide de tests adéquates, afin de parer à des attaques de virus, phishing, usurpation, sur terminaux mobiles. Les tests selon l'invention sont basés sur une image à interpréter sur les terminaux mobiles, avec une complexité suffisante pour la rendre interprétable uniquement par l'homme. Ce test de sécurité permet de certifier que l'action effectuée sur le terminal mobile est humaine.
Le procédé technique selon l'invention concerne les transactions sur terminaux mobiles s'effectuant entre un émetteur(B), un receveur(A) sous le contrôle d'un intermédiaire(C). L'intermédiaire(C) met en relation l'émetteur(B) avec le receveur(A), et se charge de la certification des actions utilisateur. Afin de certifier les actions humaines des actions de la machine, l'intermédiaire(C) génère des tests de sécurité ad hoc, sous forme d'images non interprétables et non modifiables par une machine. Le niveau de complexité de l'image générée doit être suffisant pour la rendre non interprétable et non modifiable par la machine mais intelligible par l'homme. L'intermédiaire(C) envoie au receveur(A) (respectivement à l'émetteur(B)) l'image générée pour le test de sécurité(4) selon l'invention (respectivement (8) pour l'émetteur). Le receveur effectue le test(5) (respectivement le test(9) pour l'émetteur). Si l'image a été correctement interprétée par le receveur (respectivement l'émetteur), le résultat du test est positif, la transaction est validée par 1'intermédiaire(6) (respectivement (10)). Suite à cette confirmation le receveur et/ou l'émetteur en est informé par des moyens de communication natifs du terminal mobile: wap, http, https, sockets, navigateur, messagerie, bluetooth, wifi, Infrarouge, NFC.
Selon des modes particuliers de transactions:
- L'image générée pour le test de sécurité peut contenir 50 d'autres informations propres à la transaction en plus des informations à interpréter.
- Émetteur et receveur peuvent être face à face pour effectuer la transaction, dans ce cas les échanges de données entre
- 2 - eux se font par voix, bluetooth, wifi, infrarouge ou NFC. Les communications à l'intermédiaire se font par wap, http, https, sockets. Dans ce cas, seul l'intermédiaire connait les identifiants de l'émetteur et du receveur. - Émetteur et receveur peuvent être éloignés pour effectuer la transaction, dans ce cas les échanges de données entre eux se font par messagerie: SMS, MMS, e-mail. Les communications à l'intermédiaire se font par wap, http, https, sockets. 10 - Receveur et intermédiaire peuvent être la même entité.
- Émetteur et intermédiaire peuvent être la même entité.
15 - Le receveur et l'émetteur peuvent utiliser tous deux des terminaux mobiles.
- Le receveur peut utiliser un terminal mobile et l'émetteur un terminal fixe. 20 - L'émetteur peut utiliser un terminal mobile et le receveur un terminal fixe.
25 A titre d'exemple non limitatif, le schéma en annexe illustre l'invention dans le cas où les trois acteurs de la transaction, émetteur receveur et intermédiaire, sont distincts.
30 Étape (1): Receveur et émetteur lance leur application de transaction.
Étape (2): L'émetteur se met en attente de la certification du 35 receveur.
Étape (3): Le receveur formule sa requête et la transmet à l'intermédiaire.
40 Étape (4): L'intermédiaire envoie le test de sécurité propre à l'invention, que doit effectuer le receveur. Le test est généré à partir d'une image de fond complexe sur laquelle sont superposées les informations relatives à la transaction: requête du receveur et identifiant aléatoire qui constitue 45 l'information à interpréter.
Étape (5): Le receveur vérifie sa requête affichée sur l'image, la confirme en effectuant le test et envoie la réponse à l'intermédiaire. 50 Étape (6): Si le résultat du test est positif, l'intermédiaire envoie la confirmation au receveur qui transmet ses coordonnées de transaction à l'émetteur.5
- 3 - Étape (7): L'émetteur transmet à l'intermédiaire les coordonnées complètes de transaction.
Étape (8): L'intermédiaire envoie le test de sécurité propre à l'invention, que doit effectuer l'émetteur. Le test est généré à partir d'une image de fond complexe sur laquelle sont superposées les informations relative à la transaction: la requête du receveur et un nouvel identifiant aléatoire qui constitue l'information à interpréter.
Etape (9): L'émetteur vérifie la requête du receveur, l'accepte en effectuant le test selon l'invention et envoie la réponse à l'intermédiaire. Étape (10): Si le résultat du test est positif, la transaction est validée par l'intermédiaire qui en informe l'émetteur.
Étape (11): L'émetteur informe le receveur que la transaction est validée. Étape (12): Le receveur vérifie par le navigateur natif du terminal mobile la validité de la transaction auprès de l'intermédiaire .20

Claims (9)

REVENDICATIONS
1)Procédé de sécurisation de transactions sur terminaux mobiles s'effectuant entre un émetteur et un receveur sous le contrôle d'un intermédiaire caractérisé en ce que l'intermédiaire met en relation ledit émetteur avec ledit receveur et se charge de la certification des actions utilisateur en générant des tests de sécurité ad hoc sous forme d'images non interprétables et non modifiables par une machine mais intelligibles par l'homme.
2)Procédé de sécurisation selon la revendication 1 caractérisé en ce que l'intermédiaire certifie l'action humaine de l'émetteur par le biais des étapes suivantes : - envoi par l'intermédiaire dudit test de sécurité à l'émetteur - réception de cette image puis vérification par l'émetteur de la requête affichée sur l'image, suivies de l'exécution du test par l'émetteur et envoi de la réponse à ce test à 20 l'intermédiaire -vérification du résultat du test par l'intermédiaire - certification de l'action humaine de l'émetteur par l'intermédiaire si le test est positif. 25
3)Procédé de sécurisation selon la revendication 1 caractérisé en ce que l'intermédiaire certifie l'action humaine du receveur par le biais des étapes suivantes : - envoi par l'intermédiaire dudit test de sécurité au receveur - réception de cette image puis vérification par le receveur 30 de la requête affichée sur l'image, suivies de l'exécution du test par le receveur et envoi de la réponse à ce test à l'intermédiaire - vérification du résultat du test par l'intermédiaire - certification de l'action humaine du receveur par 35 l'intermédiaire si le test est positif.
4)Procédé technique de securisation selon la revendication 1 caractérisé en ce que l'intermédiaire certifie l'action humaine du receveur et de l'émetteur.
5)Procédé technique de sécurisation selon la revendication 2 caractérisé en ce que l'intermédiaire est assimilé au receveur. 40 45
6)Procédé technique de sécurisation selon la- 5 - revendication 3 caractérisé en ce que l'intermédiaire est assimilé à l'émetteur,
7)Procédé technique de sécurisation selon la 5 revendication 4 caractérisé en ce que le receveur et l'émetteur utilisent tous deux des terminaux mobiles.
8)Procédé technique de sécurisation selon la revendication 2 caractérisé en ce que le receveur utilise un 10 terminal fixe et l'émetteur un terminal mobile.
9)Procédé technique de sécurisation selon la revendication 3 caractérisé en ce que le receveur utilise un terminal mobile et l'émetteur un terminal fixe. 15
FR0705684A 2007-08-01 2007-08-01 Procede technique de securisation permettant de certifier les actions utilisateur lors de transactions sur terminaux mobiles Expired - Fee Related FR2919742B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0705684A FR2919742B1 (fr) 2007-08-01 2007-08-01 Procede technique de securisation permettant de certifier les actions utilisateur lors de transactions sur terminaux mobiles

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0705684A FR2919742B1 (fr) 2007-08-01 2007-08-01 Procede technique de securisation permettant de certifier les actions utilisateur lors de transactions sur terminaux mobiles

Publications (2)

Publication Number Publication Date
FR2919742A1 true FR2919742A1 (fr) 2009-02-06
FR2919742B1 FR2919742B1 (fr) 2010-10-22

Family

ID=39186089

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0705684A Expired - Fee Related FR2919742B1 (fr) 2007-08-01 2007-08-01 Procede technique de securisation permettant de certifier les actions utilisateur lors de transactions sur terminaux mobiles

Country Status (1)

Country Link
FR (1) FR2919742B1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2720180A1 (fr) * 2012-10-10 2014-04-16 Quisk, Inc. Transaction de pair à pair à auto-authentification
WO2017043967A1 (fr) * 2015-09-07 2017-03-16 Vlinderstorm B.V. Procédé et système de paiement mobile

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6209104B1 (en) * 1996-12-10 2001-03-27 Reza Jalili Secure data entry and visual authentication system and method
EP1308871A2 (fr) * 2001-11-02 2003-05-07 Nokia Corporation Contrôle des transactions
WO2004081767A1 (fr) * 2003-03-11 2004-09-23 Koninklijke Philips Electronics N.V. Procede et systeme permettant de composer des messages a distance
WO2006064241A2 (fr) * 2004-12-16 2006-06-22 Mark Dwight Bedworth Validation d'utilisateur au moyen d'images
US20070055632A1 (en) * 2003-03-11 2007-03-08 Christian Hogl Method And System For Initiating And/Or Conducting A Transaction That Is Associated With At Least Two Corresponding Declarations Of Intent
WO2007037703A1 (fr) * 2005-09-28 2007-04-05 Chuan Pei Chen Authentification de facteurs humains

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6209104B1 (en) * 1996-12-10 2001-03-27 Reza Jalili Secure data entry and visual authentication system and method
EP1308871A2 (fr) * 2001-11-02 2003-05-07 Nokia Corporation Contrôle des transactions
WO2004081767A1 (fr) * 2003-03-11 2004-09-23 Koninklijke Philips Electronics N.V. Procede et systeme permettant de composer des messages a distance
US20070055632A1 (en) * 2003-03-11 2007-03-08 Christian Hogl Method And System For Initiating And/Or Conducting A Transaction That Is Associated With At Least Two Corresponding Declarations Of Intent
WO2006064241A2 (fr) * 2004-12-16 2006-06-22 Mark Dwight Bedworth Validation d'utilisateur au moyen d'images
WO2007037703A1 (fr) * 2005-09-28 2007-04-05 Chuan Pei Chen Authentification de facteurs humains

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2720180A1 (fr) * 2012-10-10 2014-04-16 Quisk, Inc. Transaction de pair à pair à auto-authentification
US8959032B2 (en) 2012-10-10 2015-02-17 Quisk, Inc. Self-authenticating peer to peer transaction
US9189784B2 (en) 2012-10-10 2015-11-17 Quisk, Inc. Self-authenticating peer to peer transaction
US9818099B2 (en) 2012-10-10 2017-11-14 Quisk, Inc. Self-authenticating peer to peer transaction
US10671991B2 (en) 2012-10-10 2020-06-02 Quisk, Inc. Self-authenticating peer to peer transaction
WO2017043967A1 (fr) * 2015-09-07 2017-03-16 Vlinderstorm B.V. Procédé et système de paiement mobile

Also Published As

Publication number Publication date
FR2919742B1 (fr) 2010-10-22

Similar Documents

Publication Publication Date Title
US10657582B2 (en) Method, user terminal, and service terminal for processing service data
US10330784B2 (en) Secure range determination protocol
JP6370407B2 (ja) O2o安全決済方法及びo2o安全決済システム
JP2019522432A5 (fr)
JP6585823B2 (ja) 注文情報を処理する方法及び端末
US7991388B1 (en) Geo-bio-metric PIN
US10681081B2 (en) Secure content and encryption methods and techniques
US20140207679A1 (en) Online money transfer service in connection with instant messenger
US11411932B2 (en) Device independent secure messaging
JP2011134328A (ja) モバイル装置でのより安全なブラウジングのための信頼されるグラフィック描画
JP2017531875A (ja) サービス作業のセキュリティを検証するための方法、デバイス、端末およびサーバ
CN102843421A (zh) 社交网络应用中用户关系的实现方法和装置
US11533614B1 (en) Systems and methods of multi-factor authentication utilizing a vehicle
CN109768977A (zh) 流媒体数据处理方法、装置以及相关设备和介质
WO2016153420A1 (fr) Authentification d'actifs dans un réseau dynamique, basé sur la proximité, de dispositifs de communication
CN109743696A (zh) 验证码加密方法、系统及可读存储介质
EP4114062A1 (fr) Activation d'une session d'application basée sur l'authentification d'un dispositif utilisateur et une caractéristique du dispositif utilisateur
FR2919742A1 (fr) Procede technique de securisation permettant de certifier les actions utilisateur lors de transactions sur terminaux mobiles
CN109075966B (zh) 通信安全系统和方法
JP2019536142A5 (ja) 送金方法および送金システム
CN104506575B (zh) 推送主题的方法及装置
EP4138338A1 (fr) Auto-défense d'application par transmission de messages trompeurs
KR20170093934A (ko) 로컬 인증
WO2018107398A1 (fr) Procédé de vérification de validité de message et de serveur
US11005882B1 (en) Reputation-based transaction security

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20130430