EP0112944B1

EP0112944B1 - Examen de la validité de codes d'identification

Info

Publication number: EP0112944B1
Application number: EP19820306989
Authority: EP
Inventors: Christopher Holloway
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 1982-12-30
Filing date: 1982-12-30
Publication date: 1987-03-04
Also published as: DE3275604D1; EP0112944A1; JPH049355B2; JPS59123968A

Claims

1. Procédé de vérification de la validité d'un code d'identification (PIN) dans une position (10-19) connectée par un réseau de communications à un centre de traitement de données (20-25) dans lequel des codes d'identification valides sont mémorisés, consistant:

a) à recevoir à la position, le code d'identification (PIN) et un numéro d'index (PAN)

b) à dériver du code d'identification (PIN) et du numéro d'index (PAN) un paramètre d'autorisation dérivé (DAF), et caractérisé en ce qu'il consiste à:

c) produire un nombre variable unique à chaque essai particulier de validation,

d) mémoriser le nombre variable dans une mémoire de position et transmettre le nombre variable avec le numéro d'index (PAN) au centre de traitement de données,

e) utiliser, au centre de traitement de données, le numéro d'index (PAN) pour identifier ou dériver un paramètre d'autorisation valide (VAP),

f) crypter le nombre variable en utilisant le paramètre d'autorisation valide (VAP) comme clé de cryptage et utiliser le résultat comme un code d'authentification de message valide (MAC),

g) crypter, à la position, le nombre variable en utilisant le paramètre d'autorisation dérivé (DAP) comme clé de cryptage et utiliser le résultat comme un code d'authentification de message dérivé (DMAC),

h) comparer le code d'authentification de message valide (MAC) avec le code d'authentification de message dérivé (DMAC) et utiliser le résultat de la comparaison comme une détermination de la validité du code d'identification (PIN).

2. Procédé selon la revendication 1, dans lequel le nombre variable est un message contenant des informations pour chaque vérification de validation.

3. Procédé selon la revendication 2, dans lequel le nombre variable contient un nombre aléatoire.

4. Procédé selon l'une quelconque des revendications 1, 2 et 3 dans lequel la phase (h) est exécutée à la position.

5. Procédé selon l'une quelconque des revendications 1, 2, 3 et 4 dans lequel le nombre variable contient les informations de message produites par le centre de traitement de données, combinées logiquement avec des informations de message produites par la position.

6. Procédé selon la revendication 5, dans lequel les messages produits par la position et le centre de traitement de données sont assemblées.

7. Procédé de vérification selon l'une quelconque des revendications précédentes, dans lequel la position est un terminal de transaction de système de transfert électronique de fonds, le code d'identification est un numéro d'identification personnel (PIN) et le nombre d'index est un numéro de compte personnel (PAN).

8. Procédé selon l'une quelconque des revendications précédentes, consistant en outre à effectuer un cryptage sous des messages clés de systèmes de réseau émis entre la position et le centre de traitement de données.

9. Terminal de transaction destiné à être connecté à un réseau de transmission de données dans lequel des numéros d'identification (PIN) introduits dans une position éloignée (10-19) connectée à un centre de traitement de données (20-25) sont vérifiées quant à leur validité, comportant un premier dispositif destiné à recevoir et à mémoriser des codes d'identification et des nombres d'index associés, un premier dispositif de traitement de position ayant pour fonction de dériver du code d'identification (PIN) et du numéro d'index (PAN), un paramètre d'autorisation dérivé (DAP) et caractérisé en ce qu'il comporte un second dispositif ayant pour fonction de produire un nombre variable pour chaque essai particulier de validation, un troisième dispositif ayant pour fonction d'émettre le nombre d'index (PAN) et le nombre variable vers le centre de traitement de données et de recevoir du centre de traitement de données un code d'authentification de message (MAC), un second dispositif de traitement comportant un dispositif de cryptage ayant pour fonction de dériver un code d'authentification de message dérivé (DMAC) en utilisant le paramètre d'autorisation dérivé (DAP) comme une clé de cryptage afin de coder le nombre variable et un dispositif de comparaison qui a pour fonction de comparer le code d'authentification de message reçu (MAC) avec le code d'authentification de message dérivé (DMAC) et utilisant le résultat de la comparaison pour déterminer la validité du numéro d'indentification (PIN).

10. Réseau de transmission de données comprenant plusieurs terminaux de transaction selon la revendication 9 et comportant, à chaque centre de traitement de données, un dispositif ayant pour fonction de produire un paramètre d'autorisation valide (VAP) en réponse à un numéro d'index reçu (PAN) d'un terminal d'origine, un dispositif ayant pour fonction de produire un code d'identification de message valide (MAC) en cryptant le nombre variable en utilisant le paramètre d'autorisation valide (VAP) comme clé de cryptage et produisant un code d'authentification de message (MAC), et un dispositif qui émet le code d'identification de message vers le terminal d'origine.