BRPI0610977A2 - terminal móvel de transações eletrÈnicas seguras e sistema de transações eletrÈnicas seguras - Google Patents

terminal móvel de transações eletrÈnicas seguras e sistema de transações eletrÈnicas seguras Download PDF

Info

Publication number
BRPI0610977A2
BRPI0610977A2 BRPI0610977-2A BRPI0610977A BRPI0610977A2 BR PI0610977 A2 BRPI0610977 A2 BR PI0610977A2 BR PI0610977 A BRPI0610977 A BR PI0610977A BR PI0610977 A2 BRPI0610977 A2 BR PI0610977A2
Authority
BR
Brazil
Prior art keywords
coupler
terminal according
time window
register
control element
Prior art date
Application number
BRPI0610977-2A
Other languages
English (en)
Inventor
Thierry D Athis
Philippe Dailly
Pascal Morin
Denis Ratier
Original Assignee
Thales Sa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales Sa filed Critical Thales Sa
Publication of BRPI0610977A2 publication Critical patent/BRPI0610977A2/pt

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Abstract

A presente invenção se refere a um terminal móvel de transações eletrónicas. Ela se refere também a um sistema de transações eletrónicas seguro, comportando um ou vários terminais móveis. O terminal (1) comporta um aplicativo de suport.e (2) e um acoplador (3) para realizar operações de leituras e de registros sobre uma mídia necessárias às transações eletrónicas em relação com o aplicativo. O acoplador (3) comporta meios para criar uma janela temporal de registro e uma janela temporal de leitura, a partir de um sinal de entrada seguro, qualquer registro e qualquer leitura sendo bloqueada fora das janelas correspondentes.A invenção se aplica notadamente à segurança de terminais que operam controles e transações contratuais sobre suportes equipados com processadores e de memórias, esses suportes podendo ser por cartões de leitura e de registro, sem contato, comportando, por exemplo, títulos de transporte, meios de pagamento ou quaisquer outros títulos a fazer valer.

Description

TERMINAL MÓVEL DE TRANSAÇÕES ELETRÔNICAS SEGURAS E SISTEMA DE TRANSAÇÕES ELETRÔNICAS SEGURAS
A presente invenção se refere a um terminal móvel de transações eletrônicas. Ela se refere também a um sistema de transações eletrônicas seguras, comportando um ou vários terminais móveis. A invenção se aplica notadamente para a segurança de terminais que operam controles e transações contratuais sobre suportes equipados com memórias, esses suportes podendo ser cartões de leitura e de registro (o qual se escreve) sem contato, comportando, por exemplo, títulos de transporte, meios de pagamento ou quaisquer outros títulos a fazer valer.
Um exemplo de transações eletrônicas utilizando cartões sem contato se refere aos títulos de transporte. Esses cartões permitem aos usuários acessar os meios de transporte, passando estes diante de leitoras instaladas em pontos de entrada das estações ou à entrada dos veículos. Os títulos são desmaterializados e armazenados na memória dos cartões. Conforme para meios clássicos do tipo, por exemplo, dos cartões laranjas na região parisiense, os títulos armazenados nos cartões correspondem a diferentes tipos de assinaturas ou de contratos em função notadamente da zona geográfica abrangida, da qualidade do usuário e da duração. O controle da validade de uma assinatura necessita dos meios particulares contrariamente a um título clássico em papel, no qual as características da assinatura são visíveis. É preciso notadamente meios de leituras eletrônicos, permitindo ler o conteúdo do contrato memorizado em um cartão. Os agentes encarregados do controle dos títulos de transporte devem, portanto, serequipados permanentemente com o aparelho de leitura de suportes eletrônicos, tais como cartões com memória, por exemplo.
Esses agentes, os controladores, devem também ter a possibilidade de liberar títulos de transportes ou modificar contratos, por exemplo, as assinaturas. Seus aparelhos devem, portanto, também ser capazes de ler e escrever os dados inscritos na memória dos cartões.
Esses aparelhos de leitura e de registro podem também ser utilizados em pontos de vendas fixos, por exemplo, nos concessionários que são habilitados para liberarem títulos de transporte. Em particular, os usuários devem poder fazer recarregar seus cartões nesses pontos de vendas fixos.
O problema de segurança se apresenta para os agentes ou para os pontos de vendas, nos concessionários, por exemplo. É preciso, em particular impedir a exploração de transações eletrônicas, em caso de roubo desses terminais de leitura e registro (os quais se escreve) que são geralmente de tipo móvel, quer sejam portados por agentes ou instalados em pontos de venda.
Uma finalidade da invenção é notadamente impedir qualquer utilização malévola ou fraudulenta de um terminal de transações eletrônicas. Para isso, a invenção tem por objeto um terminal móvel de transações eletrônicas, comportando um suporte aplicativo e um acoplador para realizar as operações de leitura e de registro (a qual se escreve) sobre um meio necessário as transações eletrônicas em relação com o aplicativo. 0 acoplador comporta os meios para criar uma janela temporal de registro (a qual se escreve) e uma janela temporal de leitura a partir de umsinal de entrada seguro, qualquer registro e qualquer leitura sendo bloqueada fora das janelas correspondentes.
Em um modo de realização particular, o acoplador comporta um relógio, um primeiro registro para contar o tempo da janela temporal em leitura e um segundo registro para contar o tempo da janela temporal em registro (a qual se escreve), os registros sendo inicializados em função do sinal seguro. 0 valor do primeiro registro é comparado a um primeiro valor REG_R, definindo a janela temporal de leitura, e o valor do segundo registro é comparado a um segundo valor REG_W, definindo o valor temporal de registro (o qual se escreve), a leitura sendo bloqueada, quando o valor do primeiro registro atinge o valor REG_R, e o registro (o qual se escreve) sendo bloqueado, quando o valor do segundo registro atinge o segundo valor REG_W.
Vantajosamente, a janela temporal de leitura e a janela temporal de registro têm valores diferentes. A janela temporal de registro é, por exemplo, inferior à janela temporal de leitura.
As trocas com o acoplador são feitas, por exemplo, segundo dois canais:
- o acoplador e o suporte aplicativo se comunicam entre si por uma ligação confidencial;
- o acoplador se comunica com um elemento de controle externo (5) por uma ligação assegurada;
a chave Kv que permite abrir a sessão confidencial sendo gerada pelo acoplador, a abertura de uma sessão confidencial sendo realizada por identificação mútua por meio de chave Kv. Vantajosamente, essa chave Kv é fornecida ao suporte aplicativo por intermédio do elemento decontrole externo.
A ligação entre o acoplador e o elemento de controle passa, por exemplo, pelo suporte aplicativo que comporta um programa de triagem para distribuir os dados do acoplador em direção ao elemento de controle.
0 sinal seguro, do qual é oriunda a inicialização das janelas temporais de registro e de leitura, é, por exemplo, gerado pela abertura de uma sessão de comunicação entre o acoplador e o elemento de controle. Uma janela temporal pode, por exemplo, ser inicializada por um sinal codificado captado sobre o suporte aplicativo. Vantajosamente, só a janela temporal de registro pode ser inicializada por um sinal captado sobre o suporte aplicativo.
Vantajosamente, o suporte aplicativo e o acoplador comportam, por exemplo, cada um, um histórico das transações eletrônicas feitas em período determinado, os históricos sendo enviados a um elemento de controle que efetua uma aproximação dos históricos, um defeito de aproximação revelando uma transação faltante ou falsificada.
A invenção se refere também a um sistema de transações eletrônicas seguro composto de um elemento de controle e de um ou vários terminais, tal como aquele descrito anteriormente. Vantajosamente, o elemento de controle e o acoplador se comunicam sob a forma de sessão assegurada por autenticação mútua baseada sobre uma chave contida no elemento de controle e no acoplador.
A invenção tem por principais vantagens que ela assegura a utilização de um terminal de transações eletrônicas móvel, que ela permite detectar carregamentosde dados ou de softwares fraudulentos sobre esse tipo de terminal e impedir o uso, e ela é adaptada a quaisquer tipos de aplicações de transações eletrônicas.
Outras características e vantagens da invenção aparecerão com o auxílio da descrição que se segue feita com relação aos desenhos anexados que representam:
a figura 1, por um sinóptico, um terminal de transações eletrônicas, de acordo com a invenção;
a figura 2, uma ilustração de um modo de realização possível de um sistema e de um terminal, de acordo com a invenção;
a figura 3, um exemplo de durações relativas de uma janela temporal de registro e de uma janela temporal de leitura.
A figura 1 apresenta por um sinóptico um terminal móvel de transações eletrônicas, de acordo com a invenção. 0 terminal 1 comporta um suporte de aplicativo 2 e um acoplador 3. O suporte 2 e o acoplador 3 trocam dados por uma ligação 4. 0 terminal pode dialogar com um servidor 5 por uma ligação 6. 0 aplicativo portado pelo suporte 2 trata, por exemplo, toda uma aplicação para caixa automático, indo, por exemplo, do controle de títulos à liberação dos títulos e à geração ou modificação de contratos de assinatura. O suporte 2 é, por exemplo, do tipo computador de bolso, mais comumente denominado PDA. O acoplador 3 comporta notadamente a função de leitura do conteúdo de um suporte eletrônico e/ou a função de registro sobre esse mesmo suporte. Esse suporte eletrônico é, por exemplo, um cartão inteligente, sem contato com possibilidade de leitura e de registro. O acoplador não édedicado como tal a uma aplicação particular, é um simples periférico de leitura e de registro de um cartão semcontato, por exemplo.
Na seqüência da descrição e a titulo de exemplo, será feita referência a uma aplicação para caixa automático. 0acoplador 3 será denominado acoplador para caixa automático e será destinado a efetuar operações de leituras e de registro sobre cartões sem contato, estes comportando os títulos controlados e liberados pela aplicação. Sempre no âmbito de um exemplo de aplicação, os títulos em questão serão títulos de transporte e o suporte de aplicação será do tipo PDA portado por um agente. Quando em missão, esse agente estará, portanto, equipado com PDA 2 e com o acoplador para caixa automático 3.
A figura 2 apresenta por um sinóptico mais detalhado um exemplo de realização de um terminal 1, de acordo com a invenção. O terminal 1 é um aparelho para o controle e a venda de títulos de transportes desmaterializados, armazenados sobre cartões de leitura sem contato. Ele comporta um PDA 2 e um acoplador para caixa automático 3. O PDA 2 comporta o programa de aplicação para caixa automático 21. Essa aplicação trata, por exemplo, o controle dos títulos de transporte armazenados nos cartões sem contato, assim como a liberação de títulos. Ela se refere também às modificações ou às renovações de contrato de assinatura. Um controle de título ou de modificação/ renovação de contrato é feito por uma operação de leitura e de registro sobre o cartão. A natureza e a duração de uma assinatura são armazenadas sobre um cartão por uma operação de registro. Para determinar o preço à pagar pelo usuáriouma operação de leitura pode ser necessária para verificar as características do usuário, seus direitos a abatimento, por exemplo. Para tratar o conjunto das operações de caixa automático, o aplicativo 21 contido no PDA memoriza, por exemplo, todos os tipos de contratos por tipos de usuário, por durações, por zonas geográficas, por meios de transporte, etc...
O PDA troca dados com o acoplador 3 por uma ligação 4. Essa ligação pode ser sem fio, do tipo "bluetooth" por exemplo. À inicialização, a aplicação ou uma parte da aplicação para caixa automático é carregada no acoplador por essa ligação 4 em um espaço memória 22 previsto para isso. 0 terminal 1 comporta, por outro lado, uma ligação 6 com um servidor 5.
A ligação 4 entre o PDA 2 e o acoplador 3 permite, portanto, a troca de dados entre esses dois elementos. A confidencialidade das trocas entre o acoplador e o PDA é assegurada por uma chave Kv que serve de identificação mútua. A chave Kv serve de identificação mútua, por exemplo, por troca de chaves puxadas aleatoriamente. Ela é, por exemplo, mudada regularmente sobre a iniciativa do acoplador ou de PDA. Em um modo de funcionamento, essa chave Kv é, por exemplo, renovada aleatoriamente pelo acoplador e fornecida ao PDA. Assim, uma chave Kvi+i é, por exemplo, enviada ao PDA numerada com a chave de sessão precedente Kvi. Para isso, o acoplador 3 comporta um programa 23 de gestão dessa chave Kv, notadamente a geração aleatória das diferentes chaves Kvi que a compõem. O PDA não sendo reputado confiável, essa chave é simplesmente confidencial.O acoplador 3 é o elemento seguro do terminal móvel 1. Ele comporta, por exemplo, uma aplicação para caixa automático para efetuar as leituras e registros de títulos, o tratamento para caixa automático sendo utilizado por outro lado por PDA. Só o acoplador 3 pode executar as operações de leitura e de registro de cartões sem contato necessárias às transações eletrônicas de caixa automático.
A ligação 6 entre o terminal Ieo servidor 5 permite notadamente a troca de dados entre o acoplador 3 e o servidor 5. A conexão entre o acoplador e o servidor é, por exemplo, assegurada por autenticação mútua baseada sobre chaves Kab 24, 25 contidas no servidor 5 e no acoplador 3. A autenticação responde, por exemplo, ao protocolo ISO 9798-2. 0 acoplador e o servidor sendo reputados confiáveis, essas chaves são secretas. 0 PDA 2 pode servir de relê de comunicação entre o acoplador e o servidor. Ele comporta, por exemplo, para isso um programa de rodagem 26. As trocas que ele faz triagem por intermédio desse programa 26 são, portanto, criptadas pela chave Kab e só são, portanto, conhecidas das extremidade da cadeia, a saber o acoplador 3 e o servidor 5.
O acoplador 3 é considerado como um periférico do ponto de vista caixa automático. Todavia, não é como tal dedicado a uma aplicação para caixa automático. A aplicação depende notadamente do software carregado na memória 22 do acoplador dedicado à aplicação. É possível carregar todos os tipos de aplicação, em particular diferentes daquela para caixa automático.
As transações eletrônicas são feitas com o acoplador.
Ele exerce papel de periférico de leitura e de registro.Com efeito, ele lê os cartões e registra sobre os cartões necessários à aplicação para caixa automático, enquanto que o PDA trata essas aplicações para caixa automático, em particular ele faz o tratamento dos títulos de transporte, tais como vendas ou liberação de títulos ou as vendas ou modificações de assinatura, por exemplo.
0 acoplador se comunica com o PDA e como servidor. Suas ligações com o exterior são feitas, portanto, por dois canais:
- sob a forma de sessão assegurada pela chave Kab com o servidor 5 via a ligação 6 acoplador-servidor;
- sob a forma de sessão confidencial pela chave Kv com o PDA via a ligação acoplador-PDA.
A sessão confidencial impede de fazer funcionar um acoplador não emparelhado com um PDA. A sessão confidencial é estabelecida através da ligação 4 entre o acoplador e o PDA. Se o PDA não conhece a chave Kv gerada pelo acoplador 3, a abertura de sessões entre o PDA e o acoplador não será possível. Os dois elementos 2, 3 não podem ser emparelhados e o terminal 1 não funciona.
A sessão assegurada 6 é notadamente a única que permite recarregar os dados internos necessários ao funcionamento do acoplador, isto é, notadamente o aplicativo. Ela permite, portanto, carregar o software de aplicação 22 próprio ao acoplador, no caso do exemplo da figura 2, e os outros dados internos necessários. Por essa sessão assegurada, o servidor 5 permite também emparelhar o acoplador e o PDA, fornecendo ao PDA a chave Kv, confidencial, quando o acoplador lhe dá sua sessão assegurada pela chave Kab. Em particular, no caso de o PDAter perdido a chave Kv, o meio de encontrá-la é de se conectar ao servidor de uma maneira assegurada pela ligação acoplador-servidor 6. Assim é notadamente no caso da primeira inicialização em que o servidor recarrega a chave Kv no PDA após ter tomado conhecimento da parte do acoplador sob sessão assegurada obtida com a chave Kab.
Essa seção assegurada permite também abrir uma janela temporal de funcionamento acoplador.
Em particular, o acoplador 3 comporta um relógio tempo 10 real 27 e registros de memorização de valores de janelas temporais de leitura e de registro 11. O acoplador 3 comporta também registros temporais 28, 29 associados ao relógio 27 para medir intervalos de tempo. Mais particularmente um primeiro registro temporal 28 é afetado à contagem do tempo da janela temporal de leitura e um segundo registro temporal 29 é ligado à contagem do tempo da janela temporal de registro. 0 relógio e seus registros associados 28, 29 evoluem mesmo fora de tensão. Quando a ligação é estabelecida entre o servidor 5 e o acoplador 3 por autenticação mútua, os registros 28, 29 são inicializados no valor do relógio 27, igual a REG H. Para isso, o relógio 27 é, por exemplo, um computador incrementado por frontes de um oscilador a quartzo. Em funcionamento, o acoplador compara o valor REG_R e REG_W desses registros 28, 29 com os dados, o valor REG_G do relógio 27 majorado de respectivamente T_R e T_W inscritos nos registros 10, 11. Esses dados T_R e T_W definem respectivamente o valor da abertura temporal em leitura e da abertura temporal em registro. Quando o valor REG_W do registro 29 dedicado ao registro ultrapassa, por exemplo, ovalor REG_H + T_W, o acoplador é bloqueado em registro. Não pode mais então executar operações de venda de bilhetes ou de assinatura, ou ainda de modificação de contrato, por exemplo. Quando o valor REG_R do registro 28 dedicado à leitura ultrapassa, por exemplo, o valor REG_H + T_R o acoplador é bloqueado em leitura. Não pode mais executar operações de controle. T_W pode, por exemplo, ser fixado em um dia e T_R pode, por exemplo, ser fixado em uma semana.
A figura 3 ilustra por dois cronogramas um exemplo de janela temporal 31 para o registro e um exemplo de janela temporal 32 para a leitura. Graças ao relógio 27, o acoplador memoriza o instante da última inicialização dos registros temporais 28, 29. Essa inicialização é feita em um instante t0, quando de uma comunicação estabelecida com o servidor 5. Na ocasião dessa inicialização, o servidor pode também modificar os valores dos registros 10, 11 de definição das janelas temporais. Na realidade, quando de uma sessão de comunicação com o servidor 5, os dados seguintes podem ser recarregados:
- um software de aplicação, por exemplo, para caixa automático;
os valores T_R e T_W das durações das janelas temporais de leitura e de registro.
Assim, ao estabelecimento de uma comunicação por autenticação mútua entre o servidor 5 e o acoplador 3, uma janela temporal em registro é inicializada e uma janela em leitura é inicializada. Além da primeira janela, qualquer operação de registro é impossível e além da segunda janela qualquer operação de leitura é impossível. Um agente pode assim conectar o acoplador 3 ao servidor 5 no começo demissão por exemplo. Depois se desconecta e parte em missão. Se seu terminal 1 for roubado ou perdido, as operações de vendas de bilhetes ou de contratos de assinatura não poderão exceder 24 horas a contar da conexão de inicialização ao servidor. Da mesma forma, além de uma semana qualquer operação de leitura será impossível. Essas durações de janelas temporais de leitura e de registro podem certamente ser parametradas em função do tipo de missão.
No exemplo da figura 3, as durações das janelas temporais não têm a mesma duração para registro e leitura. Para certas aplicações, essas janelas poderiam ser de mesmas durações. Uma vantagem fornecida por durações de janelas 31, 32 diferentes é a flexibilidade de utilização. 0 caso de um agente de controle e de liberação de títulos de transporte ilustra notadamente essa vantagem. No instante t0, o agente conecta seu terminal 1 ao servidor. Mais particularmente o acoplador 3 entra em comunicação com o servidor 5. A janela temporal para o registro é então aberta, por exemplo, para uma duração de 24 horas e a janela temporal para a leitura é então aberta para uma duração de uma semana. Nesse caso, pode-se prever a possibilidade de rearmar o registro temporal 29 previsto para a janela temporal de registro um certo número de vezes, sem conexão direta ao servidor. 0 agente pode então telefonar a um serviço que lhe oferece um código para rearmar esse registro temporal 29, a janela temporal sendo reinicializada para 24 horas. A operação pode se repetir uma semana durante a abertura da janela temporal de leitura 32. Essa janela 32 necessita de uma conexão ao servidor 5para ser reinicializada. Vantajosamente, um agente que habita longe do local de armazenagem do servidor 5 não tem necessidade de se deslocar todos os dias para reinicializar a janela temporal para o registro junto ao servidor ou nas proximidades. Além de uma semana qualquer utilização do terminal é, todavia, impossível, pois a janela temporal para a leitura está fechada e ela só pode ser reativada por uma conexão por autenticação mútua sobre o servidor. Em caso de disfuncionamento do relógio ou dos registros temporais, um sistema é, por exemplo, previsto para inibir o funcionamento do acoplador. No exemplo de realização da figura 2, a inicialização das janelas temporais de registro 31 e de leitura 32 é feita por uma conexão assegurada ao servidor 5. Assim, nesse caso, as inicializações das janelas temporais são feitas por um sinal seguro proveniente de um servidor ou de qualquer outro elemento externo. Todavia, é possível prever um outro modo de inicialização, que funciona, por exemplo, em paralelo. Esse sinal seguro pode também entrar sob a forma de código captado por um agente ou um usuário sobre o acoplador, notadamente e de forma vantajosa para a abertura da janela de registro 31.
0 acoplador 3 comporta, por exemplo, por outro lado, um registro 12 que comporta o histórico das transações feitas pelo acoplador 3 durante um período determinado limitado ou não. Este memoriza nesse histórico 12 todos os cartões que tratou. Em particular, pode memorizar para cada transação um número de seqüência 121, um código de operação 122 e um número físico do cartão 123 ou qualquer outro código de identificação do cartão. Esse histórico é enviadopor sessão assegurada ao servidor 5, por exemplo cada vez que acoplador é colocado em comunicação por autenticação mútua com o servidor. Conforme indicado anteriormente a sessão assegurada pode ser feita pela ligação 6 entre o acoplador e o servidor pela utilização da chave Kab.
0 PDA 2 comporta também um histórico das transações 13 durante um período determinado, limitado ou não. Trata-se das transações feitas pelo próprio PDA. As transações memorizadas nesse histórico são armazenadas em cada transação feita pelo PDA 2. O histórico 13 do PDA comporta para cada transação memorizada o número de seqüência 131 visto do PDA, o número 132 do PDA ou qualquer outro identificador deste e o número físico 133 do cartão objeto da transação ou qualquer outro código, permitindo identificar esse cartão. O identificador do cartão é enviado pelo acoplador via a ligação 4. As transações memorizadas pelo PDA correspondem às transações memorizadas pelo acoplador.
Os históricos 12, 13 comportam, por exemplo, o instante de cada transação, o instante sendo, por exemplo, fornecido pelo relógio 27 do acoplador 3. 0 histórico 13 pode ser enviado regularmente ao servidor 5, por exemplo, por intermédio da ligação 6 entre o acoplador 3 e o servidor 5 que transita pelo PDA. 0 histórico 13 do PDA 5 pode também ser enviado por qualquer outro meio para o servidor, por exemplo por ligação telefônica ou por rede.
0 servidor dispõe assim dos dois históricos das transações, o histórico 12 memorizado pelo acoplador e o histórico 13 memorizado pelo PDA. Teoricamente esses históricos se referem às mesmas transações. 0 servidor podeassim comportar uma função de comparação desses dois históricos 12, 13. Vantajosamente, esses dois históricos fornecem um grau de segurança suplementar ao terminal 1. Em particular, essa segurança permite detectar transações fraudulentas. Uma diferença entre os dois históricos, por exemplo uma transação que falta no histórico 13 do PDA destaca uma fraude. Essa fraude pode ser devido, por exemplo, a uma venda fraudulenta memorizada no histórico 12 do acoplador, mas não armazenada no histórico 13 de PDA, ou vice-versa. Podem-se assim detectar e identificar transações suprimidas ou modificadas por um agente ou usuário mal intencionado.
Assim, o servidor 5 pode correlacionar os dados das transações que ele recebe do PDA 2, que são não confiáveis, com os dados das transações, seguras, que ele recebe do acoplador 3 sob a forma de histórico. Seu papel de fiscalização se estende a outros terminais. Ele verifica notadamente que o que foi validado foi bem vendido e o que foi vendido foi bem pago. Ele permite emparelhar um acoplador a um PDA, fornecendo ao PDA a chave Kv confidencial, quando o acoplador lhe dá sob sessão assegurada pela chave Kab. Um sistema composto do servidor 5 e de um ou vários terminais de transações eletrônicas móveis tal como aquele apresentado anteriormente forma então um sistema de transações eletrônicas seguro.
O servidor 5 é o único elemento do sistema que permite recarregar o acoplador, já que é o único a conhecer a chave Kab. Os históricos 12, 13 poderiam ser enviados a outros elementos de controle que o servidor 5, para efetuar sua aproximação com as ligações apropriadas. Esse elemento decontrole 5 efetua uma aproximação das transações memorizadas no histórico 12 do acoplador 3 daquelas memorizadas no histórico 13 do PDA 2. Um defeito de aproximação, isto é, uma transação apresenta em um registro e não no outro, destaca uma transação errônea, fraudulenta ou não. Um exemplo de aproximação é a comparação feitas sobre os dados pré-citados 121, 122, 123, 131, 132, 133 dos históricos 12, 13. Outros tipos de aproximações das transações memorizadas nesses históricos 12, 13 são possíveis.
A invenção foi apresentada para uma aplicação para caixa automático, mais particularmente para o tratamento de títulos de transporte por um terminal móvel. Ela pode certamente se aplicar a outros domínios e mais geralmente a outros tipos de transações eletrônicas, recorrendo a um terminal móvel que necessita de um certo nível de segurança. Por outro lado, a mídia utilizada no exemplo de aplicação é um cartão de leitura e registro sem contato. É evidentemente possível utilizar outros tipos de mídia. Da mesma forma, o suporte aplicativo 2 foi descrito como sendo um PDA. É possível utilizar outros tipos de suportes aplicativos, por exemplo um computador portátil, um telefone portátil ou quaisquer outros tipos de interface homem - maquina capaz de se conectar a um servidor 5 e a um acoplador 3. A ligação 6 entre o acoplador 3 e o servidor 5, e a ligação 4 entre o acoplador e o PDA foram descritas como sendo ligações sem fio, por exemplo de tipo Bluetooth. Essas ligações têm a vantagem de tornar mais prática a utilização do PDA. Outros tipos de ligações podem ser utilizadas.Enfim, o suporte aplicativo 2 e o acoplador 3 foram apresentados como dois componentes que têm suportes físicos diferentes. Em um outro modo de realização, o suporte aplicativo 2 e o acoplador 3 poderiam ser instalados sobre um mesmo suporte físico. Todavia, a separação do suporte aplicativo 1 do acoplador 3, isto é, o fato de se comunicarem por uma ligação confidencial 4, oferece um elemento de segurança suplementar. Em particular, o servidor 5 ou qualquer outro elemento de controle externo permite só emparelhar um acoplador 3 e um suporte aplicativo 2. Com efeito, a chave Kv, por exemplo, que permite abrir as sessões de comunicações entre o suporte aplicativo 2 e o acoplador 3 é fornecida pelo servidor 5 ao acoplador por ligação segura, por meio da chave Kab por exemplo. 0 acoplador transmite em seguida essa chave Kv ao suporte aplicativo 2. Conforme foi indicado anteriormente, essa chave pode ser renovada, por exemplo de maneira aleatória.

Claims (16)

1. Terminal móvel de transações eletrônicas caracterizado pelo fato de comportar um aplicativo de suporte (2) e um acoplador (3) para realizar as operações de leituras e de registros sobre uma mídia necessárias às transações eletrônicas em relação com o aplicativo, o acoplador (3) comportando meios para criar uma janela temporal de registro (31) e uma janela temporal de leitura (32) , a partir de um sinal de entrada seguro, qualquer registro e qualquer leitura sendo bloqueadas fora das janelas correspondentes.
2. Terminal, de acordo com a reivindicação 1, caracterizado pelo fato do acoplador (3) comportar um relógio (27), um primeiro registro (28) para fixar a janela temporal em leitura e um segundo registro (29) para fixar a janela temporal em registro, os registros (28, 29) sendo inicializados em função do sinal seguro, a janela temporal em leitura, começando em um instante REG_R do registro (28) e por uma duração T_R memorizada em um registro (10) , a janela temporal em registro começando em um instante REG_W do registro (29) e por uma duração T_W memorizada em um registro (11), a leitura sendo bloqueada, quando o valor do relógio (27) atinge o valor REG-R aumentado da duração T-R e o registro sendo bloqueado, quando o valor do relógio (27) atinge o valor REG_W aumentado da duração T_W.
3. Terminal, de acordo com qualquer uma das reivindicações 1 ou 2, caracterizado pelo fato da janela temporal de leitura (32) e a janela temporal de registro (31) terem valores diferentes.
4. Terminal, de acordo com a reivindicação 3,caracterizado pelo fato da janela temporal de registro (31) ser inclusa na janela temporal de leitura (32).
5. Terminal, de acordo com qualquer uma das reivindicações 1, 2, 3 ou 4, caracterizado pelo fato de: - o acoplador (3) e o aplicativo de suporte (2) se comunicarem entre si por uma ligação confidencial (4);- o acoplador (3) se comunicar com um elemento de controle externo (5) por uma ligação segura (6); a chave (Kv) permitindo abrir uma sessão confidencial ser gerada pelo acoplador (3), a abertura de uma sessão confidencial sendo realizada por identificação mútua por meio da chave (Kv) , essa chave (Kv) sendo fornecida ao suporte aplicativo (2) por intermédio do elemento de controle externo (5).
6. Terminal, de acordo com a reivindicação 5, caracterizado pelo fato da ligação (6) entre o acoplador (3) e o elemento de controle (5) passar pelo aplicativo de suporte (2) que comporta um programa de rodagem (26) para encaminhar os dados do acoplador (3) para o elemento de controle (5).
7. Terminal, de acordo com qualquer uma das reivindicações 1, 2, 3, 4, 5 ou 6, caracterizado pelo fato do sinal seguro, do qual é oriunda a inicialização das janelas temporais de registro (31) e de leitura (32), ser gerado pela abertura de uma sessão de comunicação entre o acoplador (3) e o elemento de controle (5).
8. Terminal, de acordo com qualquer uma das reivindicações 1, 2, 3, 4, 5, 6 ou 7, caracterizado pelo fato de uma janela temporal (31, 32) ser inicializada por um sinal codificado preso sobre o aplicativo do suporte (2)e transmitido ao acoplador (3).
9. Terminal, de acordo com a reivindicação 8, caracterizado pelo fato de só a janela temporal de registro poder ser inicializada por um sinal preso sobre o aplicativo do suporte (2) e transmitido ao acoplador (3).
10. Terminal, de acordo com qualquer uma das reivindicações 1, 2, 3, 4, 5, 6, 7, 8 ou 9, caracterizado pelo fato do aplicativo de suporte (2) e o acoplador (3) comportarem, cada um, um histórico (12, 13) das transações eletrônicas feitas em um período determinado, os históricos sendo enviados a um elemento de controle (5) que efetua uma aproximação dos históricos, um defeito de aproximação, revelando uma transação errônea.
11. Terminal, de acordo com qualquer uma das reivindicações 1, 2, 3, 4, 5, 6, 7, 8, 9 ou 10, caracterizado pelo fato do elemento de controle (5) ser um servidor.
12. Terminal, de acordo com qualquer uma das reivindicações 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 ou 11, caracterizado pelo fato do aplicativo de suporte (2) ser um computador de bolso do tipo PDA.
13. Terminal, de acordo com qualquer uma das reivindicações 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11 ou 12, caracterizado pelo fato do aplicativo de suporte (2) comportar uma aplicação de tratamento bilhético.
14. Terminal, de acordo com qualquer uma das reivindicações 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12 ou 13, caracterizado pelo fato da mídia ser um cartão de leitura sem contato.
15. Sistema de transações eletrônicas caracterizadopelo fato de comportar um elemento de controle (5) e pelo menos um terminal das reivindicações 1 a 14.
16. Sistema, de acordo com a reivindicação 15, caracterizado pelo fato do elemento de controle (5) e o acoplador (3) se comunicar sob a forma de sessão segura por autenticação mútua baseada sobre uma chave (Kab) contida no elemento de controle (5) e no acoplador (3).
BRPI0610977-2A 2005-04-29 2006-04-28 terminal móvel de transações eletrÈnicas seguras e sistema de transações eletrÈnicas seguras BRPI0610977A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0504389 2005-04-29
FR0504389A FR2885246B1 (fr) 2005-04-29 2005-04-29 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise
PCT/EP2006/061944 WO2006117351A2 (fr) 2005-04-29 2006-04-28 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise

Publications (1)

Publication Number Publication Date
BRPI0610977A2 true BRPI0610977A2 (pt) 2010-08-10

Family

ID=35276387

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0610977-2A BRPI0610977A2 (pt) 2005-04-29 2006-04-28 terminal móvel de transações eletrÈnicas seguras e sistema de transações eletrÈnicas seguras

Country Status (12)

Country Link
US (1) US8719570B2 (pt)
EP (1) EP1875426A2 (pt)
CN (1) CN101208717A (pt)
BR (1) BRPI0610977A2 (pt)
CA (1) CA2610049A1 (pt)
EG (1) EG25527A (pt)
FR (1) FR2885246B1 (pt)
MA (1) MA29525B1 (pt)
MX (1) MX2007013557A (pt)
RU (1) RU2412484C2 (pt)
WO (1) WO2006117351A2 (pt)
ZA (1) ZA200710305B (pt)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8719232B2 (en) * 2011-06-30 2014-05-06 Verisign, Inc. Systems and methods for data integrity checking
CN102364515B (zh) * 2011-10-24 2014-12-17 深圳盒子支付信息技术有限公司 一种移动支付终端的支付电路
US9646180B2 (en) * 2012-10-26 2017-05-09 Absolute Software Corporation Device monitoring using multiple servers optimized for different types of communications
US20220084026A1 (en) * 2019-01-09 2022-03-17 Hewlett-Packard Development Company, L.P. Secure transactions

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716486B2 (en) * 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
JP2002092138A (ja) * 2000-09-14 2002-03-29 National Institute Of Advanced Industrial & Technology 情報の代行処理システム
US7861091B2 (en) * 2001-02-28 2010-12-28 O2Micro International Limited Smart card enabled secure computing environment system
JP2003109045A (ja) * 2001-09-29 2003-04-11 Toshiba Corp 乗車券発行管理システム、乗車券発行改札処理システム、及び乗車券発行方法
RU2300844C2 (ru) * 2002-06-18 2007-06-10 Ооо "Крейф" Персональный криптозащитный комплекс

Also Published As

Publication number Publication date
RU2007144513A (ru) 2009-06-10
FR2885246A1 (fr) 2006-11-03
MX2007013557A (es) 2008-04-04
EP1875426A2 (fr) 2008-01-09
CN101208717A (zh) 2008-06-25
ZA200710305B (en) 2008-12-31
WO2006117351A2 (fr) 2006-11-09
MA29525B1 (fr) 2008-06-02
WO2006117351A3 (fr) 2007-01-25
EG25527A (en) 2012-02-01
US8719570B2 (en) 2014-05-06
FR2885246B1 (fr) 2007-06-15
CA2610049A1 (en) 2006-11-09
RU2412484C2 (ru) 2011-02-20
US20080294898A1 (en) 2008-11-27

Similar Documents

Publication Publication Date Title
US11664997B2 (en) Authentication in ubiquitous environment
US9674705B2 (en) Method and system for secure peer-to-peer mobile communications
ES2881276T3 (es) Método de procesamiento de una transacción desde un terminal de comunicación
CA2980114C (en) Authentication in ubiquitous environment
US9521132B2 (en) Secure data storage
CN110249586B (zh) 用于在智能卡上安全存储敏感数据的方法和智能卡
BR112020008454A2 (pt) sistema e método para controlar ativos digitais
Guyot Smart card, the stealth leaker
US20100077474A1 (en) Physical access control system with smartcard and methods of operating
CN101833676B (zh) 带有usbkey模块的智能卡读写控制方法及其读写器
US8266447B2 (en) Method and apparatus for the secure processing of sensitive information
BR102015012253A2 (pt) método de identificação, dispositivo e programa correspondentes
BRPI0610977A2 (pt) terminal móvel de transações eletrÈnicas seguras e sistema de transações eletrÈnicas seguras
Alliance Host card emulation (hce) 101
BR102013026265A2 (pt) Sistema e método de segurança
JP5825079B2 (ja) 非接触icカードの端末装置、情報処理システム
US10853476B2 (en) Method for the security of an electronic operation
KR100946677B1 (ko) 보안 카드 마스터를 이용한 정보 저장 시스템 및 그 저장방법
JP2005135251A (ja) Idタグを読み取る情報処理装置、idタグを読み取るためのプログラム、およびidタグに書き込むためのプログラム
Ogata A Study on ATM Security Measures by Command Verification
Gunasinghe CLOUD BASED SECURE ELEMENT IMPLEMENTATION FOR ANDROID HOST CARD EMULATION
BR102021018459A2 (pt) Dispositivo multifuncional de validação de dados e método de validação de dados
JP6706052B2 (ja) 情報処理装置、システム、情報処理方法、及びプログラム
WO2022061437A1 (pt) Dispositivo multifuncional de validação de dados e método de validação de dados
Haneberg Electronic ticketing: a smartcard application case-study

Legal Events

Date Code Title Description
B08F Application dismissed because of non-payment of annual fees [chapter 8.6 patent gazette]

Free format text: REFERENTE A 10A ANUIDADE.

B08K Patent lapsed as no evidence of payment of the annual fee has been furnished to inpi [chapter 8.11 patent gazette]

Free format text: EM VIRTUDE DO ARQUIVAMENTO PUBLICADO NA RPI 2385 DE 20-09-2016 E CONSIDERANDO AUSENCIA DE MANIFESTACAO DENTRO DOS PRAZOS LEGAIS, INFORMO QUE CABE SER MANTIDO O ARQUIVAMENTO DO PEDIDO DE PATENTE, CONFORME O DISPOSTO NO ARTIGO 12, DA RESOLUCAO 113/2013.