WO2002065411A2 - Methode et systeme de securisation d'une transaction commerciale au moyen d'une carte a memoire - Google Patents

Methode et systeme de securisation d'une transaction commerciale au moyen d'une carte a memoire Download PDF

Info

Publication number
WO2002065411A2
WO2002065411A2 PCT/FR2002/000512 FR0200512W WO02065411A2 WO 2002065411 A2 WO2002065411 A2 WO 2002065411A2 FR 0200512 W FR0200512 W FR 0200512W WO 02065411 A2 WO02065411 A2 WO 02065411A2
Authority
WO
WIPO (PCT)
Prior art keywords
client
party server
card
authentication
key
Prior art date
Application number
PCT/FR2002/000512
Other languages
English (en)
Other versions
WO2002065411A3 (fr
Inventor
Laurent Benedetti
Original Assignee
S.A.R.L. Interactive Avenue
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by S.A.R.L. Interactive Avenue filed Critical S.A.R.L. Interactive Avenue
Priority to AU2002238621A priority Critical patent/AU2002238621A1/en
Publication of WO2002065411A2 publication Critical patent/WO2002065411A2/fr
Publication of WO2002065411A3 publication Critical patent/WO2002065411A3/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/12Card verification
    • G07F7/122Online card verification

Definitions

  • another solution is for the customer to introduce his card into a card reader provided for this purpose and then type an identification code kept secret by the customer.

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Abstract

Méthode de sécurisation d'une transaction commerciale effectuée par un client (12) au moyen d'une carte à mémoire et d'un réseau de transmission de données (10) tel que le réseau Internet, dans lequel un serveur tiers (16) donne l'autorisation d'effectuer une transaction commerciale avec un site marchand (14) et comprenant les étapes suivantes après la vérification par le serveur tiers des données d'identification du client et de son code PIN: transmission par le serveur tiers au client d'au moins deux variables définissant une clé d'authentification dans un tableau (ou matrice) imprimé sur un support matériel à la disposition du client et dont les deux entrées sont les deux variables, transmission par le client de la clé d'authentification définie par les variables d'entrée reçues du serveur tiers, et -vérification par le serveur tiers que la clé d'authentification transmise par le client correspond bien à la clé définie par la table d'authentification mémorisée dans la base de données du serveur tiers.

Description

Méthode et système de sécurisation d' une transaction commerciale au moyen d' une carte à mémoire
Domaine technique : La présente invention concerne les transactions commerciales effectuées par des clients auprès de sites marchands sur un réseau de transmission de données tel que le réseau Internet et concerne en particulier une méthode de sécurisation d'une telle transaction commerciale au moyen d'une carte à mémoire.
Etat de la technique :
De plus en plus de transactions commerciales s'effectuent de nos jours sur le réseau Internet à l'aide de cartes bancaires. Mais ce type de transactions pose alors le problème de l'identification d'une manière sûre de la personne réalisant la transaction.
Aujourd'hui, la solution la plus simple consiste à fournir le numéro de sa carte et une date d' expiration de manière à ce que le commerçant puisse débiter directement le compte du client du montant de la transaction effectuée. De manière à sécuriser la transaction, une autre solution consiste pour le client à introduire sa carte dans un lecteur de carte prévu à cet effet et de taper ensuite un code d'identification gardé secret par le client.
Cependant, ces solutions sont loin d'être sures. Dans le cas de l'envoi sur un site Internet d'un numéro de carte généralement crypté, c'est un jeu d'enfant pour un « hacker » d' intercepter les données transmises et de les décrypter au besoin. Dans le cas où le client utilise un lecteur spécifique connecté à un ordinateur, un hacker a la possibilité de détecter le code d'identification (PIN), par exemple en piratant le clavier du lecteur de carte. Les données d'authentification du client étant toujours les mêmes dans les situations mentionnées ci-dessus, il est aisé pour un hacker ayant réussi à pirater une transaction, d'effectuer ensuite des achats en utilisant l'identité du client possesseur de la carte piratée.
Pour éviter ces piratages, on a développé des systèmes qui génèrent automatiquement des codes d'identification de la carte grâce à un logiciel installé sur l'ordinateur de l'utilisateur. C'est donc un niveau de sécurité supplémentaire puisque, dans l'hypothèse où un hacker parviendrait à pirater les données confidentielles de la carte, il lui serait impossible de les utiliser pour effectuer des transactions à la place du propriétaire de la carte puisque le code d'identification n'aurait pas changé. Malheureusement, le système ci-dessus a ses limites car il est relativement aisé pour un hacker de copier le logiciel qui gère automatiquement les codes d'identification de la carte et de se servir ensuite de ce logiciel pour effectuer des transactions commerciales à la place du propriétaire de la carte.
Exposé de l'invention :
C'est pourquoi le but de l'invention est de réaliser une méthode de sécurisation de transactions commerciales faisant appel à un serveur tiers dans laquelle une partie des données de sécurisation est variable pour chaque transaction et fait appel à l'envoi par l'utilisateur de ces données lues au préalable sur un support non électronique.
L'objet de l'invention est donc une méthode de sécurisation d'une transaction commerciale effectuée par un client au moyen d'une carte à mémoire lue et d'un réseau de transmission de données, dans lequel un serveur tiers donne l'autorisation d'effectuer une transaction commerciale et comprenant les étapes suivantes : a) transmission par le client au serveur tiers à partir du lecteur de cartes au moyen du réseau de transmission de données de ses données d'identification, b) identification du client par le serveur tiers, c) transmission par le client de son code PIN au serveur tiers, d) acceptation du code PIN par le serveur tiers, e) transmission par le serveur tiers au client d'au moins deux variables définissant une clé d'authentification dans un tableau (ou matrice) imprimé sur un support matériel à la disposition du client et dont les deux entrées sont les deux variables, f) transmission par le client de la clé d'authentification définie par les variables d'entrée, et g) vérification par le serveur tiers que la clé d'authentification transmise par le client correspond bien à la clé définie par la table d' authentification mémorisée dans la base de données du serveur tiers.
Description brève des figures :
Les buts, objets et avantages ressortiront mieux à la lecture de la description qui suit, faite en référence aux figures dans lesquelles :
- la figure 1 est un bloc-diagramme représentant un système de transmission de données dans lequel la méthode selon l'invention est utilisée,
- la figure 2 est un organigramme représentant les étapes de la méthode selon l'invention, et
- la figure 3 est une représentation schématique du tableau définissant la clé d'authentification.
Description détaillée de l'invention :
La méthode selon l'invention est mise en oeuvre dans un système de transmission de données illustré sur la figure 1. Un utilisateur ou un client est connecté au réseau Internet 10 (ou tout autre réseau de transmission de données tel qu'un Intranet, Extranet ou le réseau commuté téléphonique) par un ordinateur ou station de travail 12. La mise en oeuvre de l'invention a lieu lorsque l'utilisateur désire effectuer une transaction commerciale consistant par exemple à effectuer un achat auprès d'un site marchand 14. Dans ce cas, le site marchand s'adresse à un serveur tiers 16 Pour savoir si la transaction commerciale peut avoir lieu. Le serveur tiers 16 a à sa disposition des bases de données 18 comprenant une base de données associée à l'utilisateur 12 et dans laquelle se trouvent les données variables de sécurisation. Après un échange des données de sécurisation selon la méthode de l'invention, et si le serveur tiers autorise la transaction commerciale, il s'adresse à une banque 20 connectée au réseau pour que celle-ci prenne en compte la transaction commerciale et effectue le débit du compte de l'utilisateur en conséquence. A noter que la liaison avec la banque pourrait se faire à l'aide du réseau téléphonique. La figure 2 illustre l'organigramme des étapes mises en oeuvre dans la méthode de sécurisation selon l'invention. Tout d'abord, l'utilisateur accède au site marchand à l'aide de son ordinateur connecté au réseau Internet (étape 30) de manière à effectuer une transaction commerciale, généralement un achat. Le site marchand accède, toujours par le réseau Internet, au serveur tiers (étape 32) . Il doit alors introduire sa carte dans le lecteur connecté à son ordinateur (étape 34) . Dans un premier temps il y a identification de l'utilisateur grâce aux données de sécurisation se trouvant sur la carte (étape 36). Cette étape d'identification peut, d'ailleurs être réalisée en utilisant la procédure PKI. Selon cette procédure, une clé privée et une clé publique sont à la disposition de l'utilisateur. La clé publique qui peut être certifiée par un certificat attribué par une autorité de certification, sert alors à crypter les données d' identification transmises par la carte vers le serveur tiers. Celui-ci décrypte les données d'identification reçues à l'aide de sa clé privée. Lorsque des données en retour sont transmises par le serveur tiers vers l'utilisateur, elles sont cryptées par la clé publique et décryptées par la clé privée propre à l'utilisateur. A noter qu'il est recommandé de demander à l'autorité de certification de modifier fréquemment les clés (publique et privée) fournies dans la procédure PKI. Puis, l'utilisateur est invité à introduire son code PIN grâce au clavier de l'ordinateur (étape 38). Une fois le code PIN accepté par le serveur tiers, la carte est éjectée. A noter que l'étape 38 de transmission du code PIN pourrait précéder l'étape 36 d'identification de l'utilisateur. Pour ce faire, le serveur tiers utilise un tableau (ou matrice) représenté sur la figure 3 dans lequel un nombre est indiqué à chaque intersection d'une ligne et d'une colonne. Le serveur tiers possède ce tableau dans la base de données spécifique à l'utilisateur et l'utilisateur est également en possession de ce tableau par exemple au verso de sa carte. Le serveur tiers transmet alors à l'utilisateur une demande de la clé d'authentification (étape 40) consistant en une combinaison d'une lettre (colonne) et d'un chiffre (ligne) qui s'affiche sur l'écran de l'ordinateur, par exemple B5. En se servant du tableau en sa possession l'utilisateur renvoie à l'aide du clavier d'ordinateur le nombre déterminé par la combinaison ou clé fournie par le serveur tiers, par exemple 18. La clé d'authentification peut être plus complexe qu'un simple nombre comme par exemple une combinaison de lettres majuscules, lettres minuscules et chiffres (ex : Ze4jM3) . A noter que les données échangées entre l'utilisateur et le serveur tiers peuvent être cryptées grâce à une clé d' encryptage.
A noter que dans le but d'augmenter la sécurité, le tableau ou matrice peut se trouver ailleurs qu'au verso de la carte de l'utilisateur, de sorte que le vol de la carte ne fasse courir aucun risque à l'utilisateur.
Pour éviter qu'un pirate trouve l'algorithme qui a généré le tableau ou la matrice, on peut prévoir de demander à l'utilisateur de définir lui-même tout ou partie de données contenues dans le tableau (par exemple en cochant une grille) , ou encore de baser ces données sur un système aléatoire très difficile à déterminer (comme par exemple les masses et numéros atomiques des produits issus de la fission de l'atome d'uranium).
L'étape suivante consiste pour le tiers serveur à vérifier si la clé (ici 18) transmise par l'utilisateur correspond bien au nombre déterminé, dans le tableau, par la lettre et le chiffre qu'il a transmis à l'utilisateur (étape 42) . Si c'est le cas, le serveur tiers demande alors l'accord de la banque (étape 44). Si l'accord est donné par la banque après vérification que l'utilisateur est solvable, le serveur tiers envoie son accord à l'utilisateur (étape 46) et envoie l'autorisation au site marchand d'effectuer la transaction (étape 48) .
A noter que, 'selon un mode de réalisation préférentiel les numéros de ligne et de colonne servant à déterminer la clé d'authentification ne sont utilisés qu'une seule fois par le serveur tiers de manière à éviter une interception par un hacker lui permettant d'utiliser la carte en transmettant au serveur tiers la clé qu'il a interceptée préalablement.
On doit noter que, selon une variante, la clé privée utilisée par l'utilisateur dans la procédure PKI pour échanger des données avec le serveur tiers pourrait être codée par le code PIN de l'utilisateur, auquel cas les deux étapes 36 et 38 seraient confondues en une seule étape. En outre, on peut prévoir une étape supplémentaire consistant à transmettre à partir du lecteur de carte au serveur le certificat d'authentification contenu dans la carte, le serveur tiers vérifiant alors que le client a le droit de se servir de la clé privée.
Bien entendu, s'il y a échec de l'une des étapes d'identification à l'aide de la carte, de la reconnaissance du code PIN par le serveur tiers et de la reconnaissance de la clé d'authentification, ou si l'accord de la banque n'est pas donné, le serveur tiers arrête le déroulement de la procédure et rejette la transaction commerciale. Un tel échec correspond à une sortie « non » des étapes 36, 38, 42 et 44 de la procédure illustrée sur la figure 2.
On doit noter que la clé d'authentification pourrait être déterminée par la combinaison de plus de deux variables d'entrée comme par exemple l'utilisation de trois variables dans un tableau à trois entrées, ou encore pourrait être déterminée par une méthode à plusieurs étapes dans laquelle chaque étape permettrait de déterminer dans un tableau à double entrée, une des deux variables à utiliser dans l'étape suivante .
Bien que toute carte pouvant contenir des données d'authentification de l'utilisateur puisse être utilisée, telle qu'une carte à mémoire ou carte à puce, un mode de réalisation préférentiel consiste à utiliser une carte CD- ROM. Ce type de carte décrit dans la demande de brevet PCT/FR99/01867 est un support d'informations ayant le format d'une carte de crédit comportant des pistes circulaires lisibles par le lecteur de disques CD-ROM d'un ordinateur. Une telle carte peut comporter des données allant jusqu'à plusieurs dizaines de Méga-octets, et donc une capacité suffisante pour contenir les données d'authentification et/ou une clé privée utilisable dans la procédure PKI. On peut également utiliser une carte CD-ROM telle que décrite dans la demande de brevet FR 00/15569 où la partie lisible de la carte où sont enregistrées les données sensibles (authentification, clé privée) sont situées dans une gorge de manière à assurer une protection maximale contre toute détérioration. Bien entendu, dans ce cas aucune clé n'est imprimée à l'endroit où se trouve le trou de positionnement de la carte représenté en pointillés sur la figure 3.
Il est clair que la méthode de sécurisation qui vient d' être décrite est une méthode sûre et difficilement piratable. En effet, un pirate (ou hacker) n'arrivera jamais à intercepter tout le tableau illustré sur la figure 3 car il lui" serait nécessaire pour ce faire de surveiller l'utilisateur pendant une multitude de transactions commerciales afin de reconstituer le table. Ici, 1' authentification faisant appel à une donnée physique (nombres imprimés), un hacker ne peut donc pas y avoir accès, par exemple par captage de champs magnétiques, puisque ces données ne sont pas électroniques. On peut d' ailleurs compléter la sécurisation par d'autres mesures de précaution. Ainsi, on peut faire en sorte que les données imprimées sur la carte (ou autre support) et celles qui apparaissent sur l'écran de l'ordinateur aient des dimensions réduites afin d'échapper à des regards indiscrets. En outre, on pourrait empêcher une lecture facile du tableau imprimé grâce à un système dans lequel le tableau n'est révélé que sous une luminosité particulière diffusée par l'écran de l'ordinateur qui a reçu un message du serveur tiers, ou grâce à l'impression par hologramme rendant impossible la lecture du tableau sous un angle de vision autre que celui de l'utilisateur. Enfin, pour garantir le secret des données du tableau, on peut dissimuler ces données par une encre qu' il sera nécessaire de gratter pour les faire apparaître, étant entendu que le serveur tiers ne demandera jamais les mêmes données du tableau.
Bien que l'invention a été décrite dans le cadre d'une transaction commerciale avec un site marchand, il va de soi qu'elle pourrait être utilisée pour authentifier les utilisateurs sur Intranet ou Internet ou à l'occasion de transfert d'argent (bourse) sur Internet. Elle peut également servir à sécuriser le transfert de fichiers, par exemple des fichiers MP3 , à partir d'un ordinateur ou d'une chaîne HIFI connectée à Internet. Enfin, elle peut aussi être utilisée pour le transfert de données médicales entre patient et médecin ou entre patient et organisme payeur.

Claims

REVENDICATIONS
1. Méthode de sécurisation d'une transaction commerciale effectuée par un client (12) au moyen d'une carte à mémoire lue par un lecteur de carte connecté à un réseau de transmission de données (10), notamment le réseau Internet, du type dans lequel un serveur tiers
(16) donne l'autorisation d'effectuer une transaction commerciale avec un site marchand (14) après s'être assuré de l' authentification du client ; ladite méthode comprenant les étapes suivantes : a) transmission par le client audit serveur tiers à partir dudit lecteur de cartes au moyen du réseau de transmission de données de ses données d'identification contenues dans ladite carte, b) identification du client par ledit serveur tiers, c) transmission par le client de son code PIN audit serveur tiers, d) acceptation dudit code PIN par ledit serveur tiers, e) transmission par ledit serveur tiers audit client d'au moins deux variables d'entrée définissant une clé d'authentification dans un tableau (ou matrice) imprimé sur un support matériel à la disposition du client et dont les deux entrées sont les deux variables d'entrée, f) transmission par ledit client de ladite clé d' authentification définie par lesdites variables d'entrée reçues dudit serveur tiers, et g) vérification par ledit serveur tiers que la clé d'authentification transmise par ledit client correspond bien à la clé définie par la table d' authentification mémorisée dans la base de données dudit serveur tiers.
2. Méthode selon la revendication 1, dans laquelle ledit support matériel sur lequel est imprimé ledit tableau est ladite carte, ledit tableau étant par exemple imprimé au verso de ladite carte.
3. Méthode selon la revendication 2, dans laquelle les variables et les clés d' autentification se trouvant au verso de ladite carte sont imprimées à l'aide d'une encre qu'il est nécessaire de gratter pour les faire apparaître.
4. Méthode selon la revendication 3, dans laquelle les deux variables transmises au client ne sont transmises qu'une seule fois par ledit serveur tiers.
Méthode selon l'une des revendications 1, 2, 3 ou 4, dans laquelle ladite carte est une carte CD-ROM, et ledit lecteur de carte est un lecteur de disques CD- ROM.
Méthode selon la revendication 5, dans laquelle ladite carte CD-ROM est une carte comportant une gorge circulaire dans laquelle sont enregistrées lesdites données d'identification du client.
Méthode selon l'une des revendications 1 à 6, dans laquelle lesdites données d'identification sont transmises audit serveur tiers (16) en utilisant la procédure PKI .
Méthode selon la revendication 7, dans laquelle la clé publique utilisée par ledit client (12) dans la procédure PKI est certifiée par un certificat fourni audit client par une autorité de certification.
9. Méthode selon la revendication 8, dans laquelle ledit code PIN sert à crypter la clé privée fournie audit client (12) dans la procédure PKI.
10. Méthode selon l'une des revendications 6 à 9, comprenant en outre l'étape de transmettre dudit lecteur de carte audit serveur tiers ledit certificat (contenu dans ladite carte) , ledit serveur tiers vérifiant que le client a le droit de se servir de ladite clé privée.
PCT/FR2002/000512 2001-02-09 2002-02-11 Methode et systeme de securisation d'une transaction commerciale au moyen d'une carte a memoire WO2002065411A2 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AU2002238621A AU2002238621A1 (en) 2001-02-09 2002-02-11 Method and system for making secure a commercial transaction with a smart card

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR01/01756 2001-02-09
FR0101756A FR2820915A1 (fr) 2001-02-09 2001-02-09 Methode de securisation d'une transaction commerciale au moyen d'une carte a memoire

Publications (2)

Publication Number Publication Date
WO2002065411A2 true WO2002065411A2 (fr) 2002-08-22
WO2002065411A3 WO2002065411A3 (fr) 2007-11-08

Family

ID=8859812

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2002/000512 WO2002065411A2 (fr) 2001-02-09 2002-02-11 Methode et systeme de securisation d'une transaction commerciale au moyen d'une carte a memoire

Country Status (3)

Country Link
AU (1) AU2002238621A1 (fr)
FR (1) FR2820915A1 (fr)
WO (1) WO2002065411A2 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140075552A1 (en) * 2012-09-10 2014-03-13 Samsung Electronics Co., Ltd. Authentication using multi-tier multi-class objects

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2214161B1 (es) * 2004-05-03 2005-11-01 Joan Torras Manya Dispositivo y metodo para proporcionar unas claves de autenticacion para trasacciones bancarias en linea o telefonicamente.
FR3006792B1 (fr) * 2013-06-10 2017-07-14 Vectocarte Dispositif de stockage, de traitement et de transmission des donnees numeriques d'une transaction commerciale

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1986005620A1 (fr) * 1985-03-19 1986-09-25 Telefonaktiebolaget Lm Ericsson Support d'enregistrement de donnees
US5163098A (en) * 1990-09-06 1992-11-10 Dahbura Abbud S System for preventing fraudulent use of credit card
US5826245A (en) * 1995-03-20 1998-10-20 Sandberg-Diment; Erik Providing verification information for a transaction
WO1999042961A1 (fr) * 1998-02-20 1999-08-26 Snoek Holding Zoetermeer B.V. Procede de paiement par l'intermediaire d'internet
WO2000010140A1 (fr) * 1998-08-17 2000-02-24 Shem Ur Jonathan Procede destine a eviter l'utilisation frauduleuse de cartes de credit dans les paiements a distance et carte a code supplementaire facultatif
WO2000062214A1 (fr) * 1999-04-08 2000-10-19 Cleartogo.Com Technique de securite pour carte de credit
EP1049036A2 (fr) * 1999-04-29 2000-11-02 Citibank, N.A. Système et procédé pour le commerce de valeurs sur l'Internet

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000007140A1 (fr) 1998-07-29 2000-02-10 Laurent Benedetti Support d'informations du type carte de credit adapte pour lecteur de cd-rom ou equivalent

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1986005620A1 (fr) * 1985-03-19 1986-09-25 Telefonaktiebolaget Lm Ericsson Support d'enregistrement de donnees
US5163098A (en) * 1990-09-06 1992-11-10 Dahbura Abbud S System for preventing fraudulent use of credit card
US5826245A (en) * 1995-03-20 1998-10-20 Sandberg-Diment; Erik Providing verification information for a transaction
WO1999042961A1 (fr) * 1998-02-20 1999-08-26 Snoek Holding Zoetermeer B.V. Procede de paiement par l'intermediaire d'internet
WO2000010140A1 (fr) * 1998-08-17 2000-02-24 Shem Ur Jonathan Procede destine a eviter l'utilisation frauduleuse de cartes de credit dans les paiements a distance et carte a code supplementaire facultatif
WO2000062214A1 (fr) * 1999-04-08 2000-10-19 Cleartogo.Com Technique de securite pour carte de credit
EP1049036A2 (fr) * 1999-04-29 2000-11-02 Citibank, N.A. Système et procédé pour le commerce de valeurs sur l'Internet

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140075552A1 (en) * 2012-09-10 2014-03-13 Samsung Electronics Co., Ltd. Authentication using multi-tier multi-class objects
US8997215B2 (en) * 2012-09-10 2015-03-31 Samsung Electronics Co., Ltd. Authentication using multi-tier multi-class objects

Also Published As

Publication number Publication date
AU2002238621A1 (en) 2002-08-28
AU2002238621A8 (en) 2008-01-10
WO2002065411A3 (fr) 2007-11-08
FR2820915A1 (fr) 2002-08-16

Similar Documents

Publication Publication Date Title
EP0055986B1 (fr) Procédé et dispositif de sécurité pour communication tripartite de données confidentielles
AU2011313826B2 (en) System and method of conducting transactions
US20020046092A1 (en) Method for preventing fraudulent use of credit cards and credit card information, and for preventing unauthorized access to restricted physical and virtual sites
US8321353B2 (en) Method of providing transactions employing advertising based verification
US20060190412A1 (en) Method and system for preventing fraudulent use of credit cards and credit card information, and for preventing unauthorized access to restricted physical and virtual sites
US20080216172A1 (en) Systems, methods, and apparatus for secure transactions in trusted systems
EP2048814A1 (fr) Procédé d'authentification biométrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants.
JP2009048627A (ja) 委任されたトランザクションを実行するための方法及び装置
JP2004511028A (ja) 情報を安全に収集、格納、及び送信する方法及びシステム
CN101334915A (zh) 生物体认证装置、静脉信息取得方法和装置
LU100497B1 (fr) Méthode et système d'inscription sécurisé de clés cryptographiques sur un support physique pour clés cryptographiques, et support physique produit
EP2619941A1 (fr) Procede, serveur et systeme d'authentification d'une personne
WO2005117527A2 (fr) Dispositif electronique destine a securiser une authentification pour un proprietaire et procedes de mise en oeuvre d'un systeme mondial d'authentification hautement securisee
CN110533417B (zh) 一种数字资产管理装置、发行方法及系统
CA3154449C (fr) Autorisation d'acces electronique numerique, personnelle et securisee
CA2398317A1 (fr) Systeme et procede de securisation des transmissions d'informations
EP1337982B1 (fr) Procede et dispositif d'authentification
WO2002065411A2 (fr) Methode et systeme de securisation d'une transaction commerciale au moyen d'une carte a memoire
FR2810759A1 (fr) Procede pour effectuer une transaction commerciale en ligne par l'intermediaire d'un reseau de communication et dispositif electronique pour passer des commandes commerciales en ligne
WO2007113669A1 (fr) Securisation de transactions electroniques sur un reseau ouvert
FR2730076A1 (fr) Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants
FR3008518A1 (fr) Méthode de réalisation, terminal et programme d'ordinateur correspondant.
EP3032450B1 (fr) Procédé de contrôle d'une authenticité d'un terminal de paiement et terminal ainsi sécurisé
WO2022179986A1 (fr) Carte de paiement, procédé d'authentification et utilisation pour un paiement à distance
Klopfenstein 17 Key Concepts in Internet

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SL TJ TM TN TR TT TZ UA UG US UZ VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP