EP1374190A2 - Telecommande securisee - Google Patents
Telecommande securiseeInfo
- Publication number
- EP1374190A2 EP1374190A2 EP01997788A EP01997788A EP1374190A2 EP 1374190 A2 EP1374190 A2 EP 1374190A2 EP 01997788 A EP01997788 A EP 01997788A EP 01997788 A EP01997788 A EP 01997788A EP 1374190 A2 EP1374190 A2 EP 1374190A2
- Authority
- EP
- European Patent Office
- Prior art keywords
- remote control
- key
- multimedia unit
- data
- multimedia
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 claims description 14
- 238000010276 construction Methods 0.000 claims description 9
- 230000002457 bidirectional effect Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000006870 function Effects 0.000 description 2
- 241000239290 Araneae Species 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000010921 in-depth analysis Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/363—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0866—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0873—Details of the card reader
- G07F7/088—Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
- G07F7/0886—Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself the card reader being portable for interacting with a POS or ECR in realizing a payment transaction
Definitions
- the present invention relates to a remote control for a pay television multimedia unit, in particular for financial applications.
- the first service to be offered to users was pay-TV. This application requires the use of a specialized unit for the decryption of encrypted television streams. From the first analog decoders, the evolution was rapid, today's multimedia units have nothing to envy to personal computers.
- the preferred user interface for the multimedia unit is of course the remote control. It is used to enter navigation commands and place orders.
- the multimedia units have means for encrypting confidential data intended for teleshopping servers.
- the most common method of shopping is the credit card. Since the card number is confidential, the data relating to this Payment type are encrypted to guarantee the confidentiality of the card data according to the SET or SSL protocol.
- the new generation of multimedia unit therefore incorporates a smart card reader making it possible to identify the holder of said card and to carry out the necessary cryptographic operations. According to the procedure adopted in this type of payment, the user must, before using the data contained in his card, enter his secret code (PIN).
- PIN secret code
- the link between the remote control and the multimedia unit is generally of the infrared type and characterized by a large spatial distribution. It is thus possible to control your multimedia unit even if it is not in line with the remote control.
- the object of the present invention is to be able to guarantee the security of personal data from the remote server to the end user making their purchases and to make it possible to identify the terminal in a unique manner.
- This object is achieved for a system comprising a remote control and a multimedia unit having means for being connected to a telecommunications network, this multimedia unit comprising a central unit, a non-volatile memory and a signal input of the remote control, characterized in that that the remote control comprises a unique identification code and means for encrypting the data to be transmitted to the multimedia unit based on this unique code, the multimedia unit comprising means for decrypting the data received.
- the signals transmitted between the multimedia unit and the remote control are secure and cannot be interpreted by a third party and the remote control is identified in a unique way by its identification code.
- Multimedia units are devices that do not have a protected area and are therefore not authorized to keep secret information such as, for example, a private asymmetric key. Indeed, the in-depth analysis of such a multimedia unit should not give a third party the possibility of deciphering the information transmitted in secure form. To avoid this, the encryption key must be specific to the multimedia unit / remote control pair.
- the remote control can be of two types, either unidirectional or bidirectional.
- the secure transmission mode is activated by the user by a specific command on the remote control.
- the remote control generates a random number and reads its serial number to form a symmetric CS encryption key.
- This information is encrypted by means of an asymmetric private encryption key (of the RSA type for example) called the CT transaction key.
- a transaction signature is thus constructed.
- the transaction key module has been encrypted with a private asymmetric key, called the CC construction key, and this private construction signature is entered in the permanent memory and protected from the factory remote control.
- the multimedia unit on the other side is in possession of the public construction key in order to be able to decrypt the data sent by the remote control and find the symmetrical encryption key CS. This key will be used to encrypt the data transmitted by the remote control.
- the encryption algorithms can be asymmetrical as described above, or symmetrical. It is also possible to use keys or elliptical functions.
- the transaction and construction signatures are sent to the multimedia unit.
- This packet is preceded by a secure mode indicator to indicate to the multimedia unit that the processing will be specific.
- the multimedia unit On reception, the multimedia unit decrypts the public transaction key from the signature of the construction key.
- the multimedia unit decrypts the random number and the identification code (for example the serial number) of the remote control from the transaction signature. It then deduces the symmetric key (of DES type for example) from the identification code and the random number.
- the entry of the user's secret code can then begin. If the display is made on the television set, the following sequence is performed, based on the symmetric DES encryption: - the first symmetric key is used to encrypt the first key sent by the remote control,
- the remote control has a display and once the secret code is entered, it is sent to the multimedia unit in encrypted form by the symmetric key DES.
- the multimedia unit sends the remote control a message comprising the asymmetric public encryption key.
- the remote control initializes its operating mode in secure mode and generates a symmetric session key.
- the remote control enters the user's secret code, which is validated by the user. If the display is made on the remote control, the number of characters entered will for example be displayed.
- the remote control encrypts a secret code and builds a packet which it inserts into an OAEP block according to SET standards.
- the remote control encrypts the OAEP block with the public asymmetric key that it received from the multimedia unit and returns this encrypted information to the multimedia unit.
- the remote control returns to normal mode.
- Various encryption algorithms can be used such as Simple-DES for building the session key and PIN block, SHA-1 for building the OAEP block or RSA for encryption of the OAEP block with the public key provided by the multimedia unit.
- FIG. 1 represents the configuration of the system of the invention in the unidirectional mode
- FIG. 2 represents the configuration of the system of the invention in the bidirectional mode
- FIG. 3 represents the configuration of the system of the invention in bidirectional mode with card reader in the remote control
- FIG. 4 represents a configuration in which the multimedia unit is connected to a processing center.
- the remote control and multimedia unit assembly is illustrated.
- the multimedia unit comprises a central part 2 connected to the outside world by an input / output 1.
- To this multimedia unit is connected a display screen 4 as well as the user's payment card 3.
- the remote control 8 has a keyboard 7 and a display 9.
- the data is transmitted by the infrared channel, the most common for this type of remote control.
- the payment card 3 is inserted into the multimedia unit 2 in a slot for this purpose.
- the multimedia unit can thus read the card 3 for the identification needs of the user.
- the remote control 8 makes it possible to enter the secret code number and, depending on the variants, to display it on the display 9.
- the secret code is not displayed in plain text but that only a return a star appears on the display.
- the remote control has a bidirectional link allowing the establishment of a dialogue for the definition of the keys.
- This mode is that of the future not only in this type of use but also for interactive games. Using this mode allows the multimedia unit to generate a new RSA key each time the secret code is entered. There is therefore no risk of globally compromising the security of the remote controls, since even if a key becomes known, it would only give access to a specific secret code.
- the remote control is transformed into a real transaction terminal. All the security part is integrated into this remote control and the dialogue between remote control and multimedia unit is encrypted according to the procedures described above.
- the data exchanged in infrared form is secure.
- Such a remote control is not limited to pay television. It can be used for an online lottery by securely downloading valid numbers into your remote control. In the same way, the numbers entered by the user, are signed by the private key contained in the remote control and identifying the user in a certain way.
- This remote control is also used to enter passwords for the various paid services offered to users.
- the method of establishing transaction and construction keys meets the security requirements in a one-way transaction.
- simplified generation methods can also be applied.
- the remote control in an initialization mode, transmits the encryption key to the multimedia unit.
- the infrared emission level is lowered so that this key cannot be intercepted by a third party.
- Another variant of key generation consists in generating a symmetric key CS in the remote control and encrypting it with the private construction key CC; it is then decrypted by the multimedia unit by its public key and used for the next transmissions.
- This symmetrical key CS can be replaced by a new symmetrical key CS 'based on a random number generated by the remote control and transmitted in encrypted form by the key CS to the multimedia unit.
- the remote control comprises a public key and a private key unique to the remote control.
- the public key is transferred from the remote control to the multimedia unit.
- the private key is kept in the cryptographic processor of the remote control.
- the use of the unique identification code of the remote control makes it possible to generate a unique session key specific to this remote control.
- the multimedia unit is then associated (pairing) with this remote control and the encryption protocol is defined according to specifications independent of a payment standard.
- the solutions of the prior art propose to emulate a payment terminal by a portable module connected by an infrared link.
- the encryption protocol is therefore fixed by the payment protocol and therefore known per se. We can find our in the case where we want a different security than that defined by this protocol.
- Figure 4 illustrates the diagram of a transaction with a processing center.
- This center 6 is responsible for verifying the identity of the user of the terminal 6.
- the prerequisite is recognition of the user, or at least of his payment terminal. This is why the identification code of the terminal 6 is stored in the database of the management center 7.
- the terminal 6 can therefore initiate a secure transaction and be recognized in an undeniable manner by the management center.
- the security layer defined between the remote control and the multimedia unit is added to the security layer defined between a management center and a payment terminal.
- the encryption procedures according to the payment protocol are executed by the remote control, this data then being encrypted according to the protocol defined between the terminal and the multimedia unit. This method guarantees constant security between the remote control and the multimedia unit.
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Finance (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer And Data Communications (AREA)
- Selective Calling Equipment (AREA)
- Telephonic Communication Services (AREA)
Abstract
Le but de la présente invention est de pouvoir garantir la sécurité des données personnelles depuis un serveur distant jusqu'à l'utilisateur final effectuant ses achats par exemple. Ce but est atteint pour un système comprenant une télécommande et une unité multimédia disposant de moyens pour être connecté à un réseau de télécommunication, cette unité multimédia comprenant une unité centrale, une mémoire non volatile et une entrée de signaux de la télécommande, caractérisé en ce que la télécommande comprend un code d'identification unique et des moyens pour encrypter les données à transmettre vers l'unité multimédia basés sur ce code unique, l'unité multimédia comprenant des moyens pour décrypter les donnés reçues.
Description
TELECOMMANDE SECURISEE
La présente invention concerne une télécommande pour une unité multimédia de télévision à péage, en particulier pour des applications financières.
La fonction unique du poste de télévision fait déjà partie du passé et les fournisseurs de services ont bien compris l'intérêt que représente cette fenêtre sur le monde pour proposer d'autres services que la simple consommation de chaînes publiques.
Le premier service à avoir été proposé aux utilisateurs est la télévision à péage. Cette application oblige l'utilisation d'une unité spécialisée pour le décryptage des flux encryptés de télévision. Des premiers décodeurs analogiques, l'évolution a été rapide, les unités multimédia d'aujourd'hui n'ont rien à envier aux ordinateurs personnels.
Les concepteurs de ces unités multimédia ont rapidement compris ce que représente un tel appareil au domicile de milliers, voire millions de clients, acheteurs potentiels. L'arrivée d'Internet avec sa palette de services, a convaincu les opérateurs que l'unité multimédia permettait également de naviguer sur la toile d'araignée mondiale.
L'interface utilisateur privilégiée pour l'unité multimédia est bien entendu la télécommande. Elle sert à introduire les commandes de navigation et passer les ordres.
Une nouvelle application a vu le jour dans la possibilité d'effectuer des achats sur internet. Les unités multimédia possèdent des moyens pour encrypter des données confidentielles à destination des serveurs de télé- achats.
La méthode la plus répandue pour effectuer ses achats est la carte de crédit. Le numéro de la carte étant confidentiel, les données relatives à ce
type de paiement sont encryptées afin de garantir la confidentialité des données de la carte selon le protocole SET ou SSL.
La nouvelle génération d'unité multimédia intègre donc un lecteur de carte à puce permettant d'identifier le porteur de ladite carte et d'effectuer les opérations cryptographiques nécessaires. Selon la procédure adoptée dans ce type de paiement, l'utilisateur doit, préalablement à l'utilisation des données contenues dans sa carte, introduire son code secret (PIN).
Cette introduction se fait par l'intermédiaire de la télécommande, que ce soit une télécommande simple disposant uniquement de touches numériques ou par une télécommande plus sophistiquée, avec un clavier alphanumérique et affichage.
La liaison entre la télécommande et l'unité multimédia est généralement de type infrarouge et caractérisée par une grande diffusion spatiale. Il est ainsi possible de commander son unité multimédia même si celui-ci n'est pas dans l'axe de la télécommande.
Un aspect important de cette invention est la constatation de ce point faible, c'est-à-dire que l'utilisateur va utiliser un moyen disposant d'un rayonnement important pour transférer son code personnel et secret de la télécommande vers l'unité multimédia.
II est connu d'intégrer dans une télécommande des moyens pour émuler un terminal de payement. Un tel terminal est décrit dans le document US δ'973'756 dans lequel un lecteur de carte magnétique permet d'effectuer des transactions bancaires. Ce terminal est dit "anonyme" car il ne contient aucun élément de sécurité, il reçoit la clé PEK de session de la part de l'unité connectée au réseau pour encrypter les données de la carte magnétique et le PIN code.
Cette solution ne permet pas d'assurer une sécurité indépendante de l'application en cours d'utilisation (la clé d'encryption répondant aux normes du paiement) et le terminal ne dispose d'aucune clé propre.
Le but de la présente invention est de pouvoir garantir la sécurité des données personnelles depuis le serveur distant jusqu'à l'utilisateur final effectuant ses achats et de permettre d'identifier d'une manière unique le terminal.
Ce but est atteint pour un système comprenant une télécommande et une unité multimédia disposant de moyens pour être connecté à un réseau de télécommunication, cette unité multimédia comprenant une unité centrale, une mémoire non volatile et une entrée de signaux de la télécommande, caractérisé en ce que la télécommande comprend un code d'identification unique et des moyens pour encrypter les données à transmettre vers l'unité multimédia basés sur ce code unique, l'unité multimédia comprenant des moyens pour décrypter les donnés reçues.
De par ce système, les signaux transmis entre l'unité multimédia et la télécommande sont sécurisés et ne peuvent être interprétés par un tiers et la télécommande s'identifie d'une manière unique par son code d'identification.
Les unités multimédia sont des appareils ne comportant pas de zone protégée et ne sont donc pas habilitées à conserver des informations secrètes telle que, par exemple, une clé asymétrique privée. En effet, il ne faudrait pas que l'analyse en profondeur d'une telle unité multimédia donne à un tiers la possibilité de déchiffrer les informations transmises sous forme sécurisée. Pour éviter cela, il est nécessaire que la clé d'encryption soit propre au couple unité multimédia/télécommande.
Selon l'invention, la télécommande peut être de deux types, soit unidirectionnel ou bidirectionnel.
Dans le premier cas, le mode de transmission sécurisé est actionné par l'utilisateur par une commande spécifique sur la télécommande. La télécommande génère un nombre aléatoire et lit son numéro de série pour former une clé d'encryption symétrique CS. Ces informations sont chiffrées par l'intermédiaire d'une clé de chiffrement privée asymétrique (de type RSA par exemple) appelée clé de transaction CT. Une signature de transaction est ainsi construite. Le module de la clé de transaction a été chiffré avec une clé asymétrique privée, appelée clé de construction CC, et cette signature de construction privée est introduite dans la mémoire permanente et protégée de la télécommande en usine. L'unité multimédia de l'autre côté est en possession de la clé publique de construction afin de pouvoir décrypter les données envoyées par la télécommande et retrouver la clé d'encryption symétrique CS. Cette clé servira à encrypter les données transmises par la télécommande.
Les algorithmes d'encryption peuvent être asymétriques tel que décrit plus haut, ou symétriques. Il est également possible d'utiliser des clés ou des fonctions elliptiques.
A l'initialisation du mode sécurisé, les signatures de transaction et de construction sont envoyées à l'unité multimédia. Ce paquet est précédé d'un indicateur de mode sécurisé pour indiquer à l'unité multimédia que le traitement sera particulier.
A la réception, l'unité multimédia déchiffre la clé publique de transaction à partir de la signature de la clé de construction. L'unité multimédia déchiffre le nombre aléatoire et le code d'identification (par exemple le numéro de série) de la télécommande à partir de la signature de transaction. Il déduit alors la clé symétrique (de type DES par exemple) de session à partir du code d'identification et du nombre aléatoire.
La saisie du code secret de l'utilisateur peut alors débuter. Si l'affichage est fait sur le poste de télévision, la séquence suivante est effectuée, basée sur l'encryption symétrique DES:
- la première clé symétrique est utilisée pour encrypter la première touche envoyée par la télécommande,
- une nouvelle clé symétrique est recalculée à partir de l'ancienne clé symétrique et de la touche envoyée
- ce processus est répété jusqu'à la fin de l'introduction du code secret.
Selon une variante, la télécommande dispose d'un affichage et une fois que le code secret est saisi, il est envoyé à l'unité multimédia sous forme encrypté par la clé symétrique DES.
Dans le deuxième cas, c'est-à-dire avec une liaison bidirectionnelle entre la télécommande et l'unité multimédia, un dialogue peut s'instaurer entre ces deux entités.
L'unité multimédia envoie à la télécommande un message comportant la clé asymétrique publique de chiffrement. La télécommande initialise son mode de fonctionnement en mode sécurisé et génère une clé de session symétrique. La télécommande procède à la saisie du code secret de l'utilisateur, saisie validée par l'utilisateur. Si l'affichage se fait sur la télécommande, il sera par exemple affiché le nombre de caractères saisis.
La télécommande encrypté de code secret et construit un paquet qu'elle insère dans un bloc OAEP selon les normes SET.
La télécommande chiffre le bloc OAEP avec la clé asymétrique publique qu'elle a reçue de l'unité multimédia et retourne à l'unité multimédia ces informations encryptées.
Une fois le code transmis, la télécommande retourne en mode normal.
Divers algorithmes d'encryptage peuvent être utilisés tels que de type Simple-DES pour la construction de la clé de session et du bloc PIN, de type SHA-1 pour la construction du bloc OAEP ou de type RSA pour
l'encryptage du bloc OAEP avec la clé publique fournie par l'unité multimédia.
L'invention sera mieux comprise grâce à la description détaillée qui va suivre en se référant aux dessins annexés dans lesquels :
- La figure 1 représente la configuration du système de l'invention dans le mode unidirectionnel,
La figure 2 représente la configuration du système de l'invention dans le mode bidirectionnel,
La figure 3 représente la configuration du système de l'invention dans le mode bidirectionnel avec lecteur de carte dans la télécommande,
La figure 4 représente une configuration dans laquelle l'unité multimédia est reliée à un centre de traitement.
Sur la figure 1 , est illustré l'ensemble télécommande et unité multimédia. L'unité multimédia comprend une partie centrale 2 reliée au monde extérieur par une entrée/sortie 1. A cette unité multimédia est connecté un écran de visualisation 4 ainsi que la carte de paiement de l'utilisateur 3.
La télécommande 8 dispose d'un clavier 7 et d'un affichage 9. Les données sont transmises par la voie infrarouge, la plus courante pour ce type de télécommande.
La carte de paiement 3 est introduite dans l'unité multimédia 2 dans un logement à cet effet. L'unité multimédia peut ainsi lire la carte 3 pour les besoins d'identification de l'utilisateur.
La télécommande 8 permet de saisir le numéro de code secret et, selon les variantes, de l'afficher sur l'affichage 9. En effet, il est d'usage que le code secret ne soit pas affiché en clair mais que seul un retour sous forme d'une étoile apparaisse sur l'affichage. Néanmoins, dans ce type
d'utilisation dans un milieu protégé, il est possible de déroger à ce principe et d'indiquer à l'utilisateur, quelle touche il a activé.
Dans la figure 2, la télécommande dispose d'une liaison bidirectionnelle permettant l'établissement d'un dialogue pour la définition des clés. Ce mode est celui de l'avenir non seulement dans ce type d'utilisation mais également pour les jeux interactifs. L'utilisation de ce mode permet à l'unité multimédia de générer une nouvelle clé RSA à chaque entrée du code secret. Il n'y a donc pas de risque de compromettre globalement la sécurité des télécommandes, puisque même si une clé deviendrait connue, elle ne donnerait l'accès qu'à un code secret spécifique.
Selon la variante de la figure 3, la télécommande est transformée en un véritable terminal de transaction. Toute la partie sécurité est intégrée dans cette télécommande et le dialogue entre télécommande et unité multimédia est encrypté selon les procédures décrites ci-dessus. Les données échangées sous forme infrarouge sont sécurisées.
Le champ d'application d'une telle télécommande ne se limite pas à la télévision à péage. Elle peut être utilisée pour une loterie en ligne par téléchargement sécurisé des numéros valides dans votre télécommande. De la même manière, les numéros introduits par l'utilisateur, sont signés par la clé privée contenue dans la télécommande et identifiant d'une manière certaine l'utilisateur.
Cette télécommande sert également à introduire les mots de passe pour les différents services payants proposés aux utilisateurs.
La sécurisation des données transmises telles que décrites plus haut pour une télécommande infrarouge peut être étendue à d'autres types de support tels que:
- les données transmises par infrarouge entre un téléphone mobile et un ordinateur,
- les périphériques utilisant des ondes électromagnétiques pour transmettre des données aux ordinateurs basés sur des normes telles que Blue Tooth.
La méthode d'établissement des clés de transaction et de construction répond aux exigences de sécurité dans une transaction unidirectionnelle. Néanmoins des méthodes de génération simplifiée peuvent également être appliquées.
Il est ainsi possible de demander à l'utilisateur de programmer une clé dans la télécommande et dans son unité multimédia. Si les deux clés sont identiques, le système fonctionnera à satisfaction. Dans le cas contraire, l'unité multimédia informera l'utilisateur de l'impossibilité de décrypter le message envoyé par la télécommande.
Pour ne pas imposer une double introduction, la télécommande, dans un mode d'initialisation, transmet à l'unité multimédia la clé d'encryption. Selon un mode de réalisation, le niveau d'émission infrarouge est abaissé pour que cette clé ne puisse être interceptée par un tiers.
Une autre variante de génération de clés consiste à générer une clé symétrique CS dans la télécommande et l'encrypter par la clé privée de construction CC; elle est ensuite décryptée par l'unité multimédia par sa clé publique et utilisée pour les prochaines transmissions.
Cette clé symétrique CS peut être remplacée par une nouvelle clé symétrique CS' basée sur un nombre aléatoire généré par la télécommande et transmis sous forme encrypté par la clé CS à l'unité multimédia.
En lieu et place de la génération d'une clé symétrique CS, il est possible de remplacer clé symétrique par une clé privée asymétrique CT. La transmission se fait alors avantageusement en mode à diffusion spatiale réduite. Une fois la signature contenant la clé CT décryptée par la clé
publique CC de l'unité multimédia, c'est cette clé publique CT qui permettra de décrypter les données transmises de la télécommande.
Selon une autre forme de réalisation de l'initialisation, la télécommande comprend une clé publique et une clé privée unique à la télécommande. Lors de la première installation, la clé publique est transférée de la télécommande vers l'unité multimédia. La clé privée est conservée dans le processeur cryptographique de la télécommande.
Dans un mode d'utilisation sécurisé de transaction, l'utilisation du code d'identification unique de la télécommande permet de générer une clé de session unique propre à cette télécommande. L'unité multimédia est alors associée (pairage) à cette télécommande et le protocole d'encryption est défini selon un cahier des charges indépendant à une norme de paiement. En effet, les solutions de l'état de la technique proposent d'émuler un terminal de paiement par un module portable relié par une liaison infrarouge. Le protocole d'encryption est dès lors fixé par le protocole de paiement et donc connu en soi. On peut se trouver dans le cas où l'on souhaite une sécurité différente que celle définie par ce protocole.
La figure 4 illustre le schéma d'une transaction avec un centre de traitement. Ce centre 6 est en charge de vérifier l'identité de l'utilisateur du terminal 6. Dans le cas de transaction de paiement, la condition préalable est la reconnaissance de l'utilisateur, ou du moins de son terminal de paiement. C'est pourquoi le code d'identification du terminal 6 est stocké dans la base de données du centre de gestion 7.
Le terminal 6 peut dès lors initier une transaction sécurisée et être reconnu d'une manière indéniable par le centre de gestion.
Selon un autre mode de fonctionnement, la couche de sécurité définie entre la télécommande et l'unité multimédia vient se rajouter à la couche de sécurité définie entre un centre de gestion et un terminal de paiement. Les procédures d'encryption selon le protocole de paiement sont
exécutées par la télécommande, ces données étant ensuite encryptees selon le protocole défini entre le terminal et l'unité multimédia. Cette méthode permet de garantir une sécurité constante entre la télécommande et l'unité multimédia.
Claims
1. Système comprenant une télécommande et une unité multimédia disposant de moyens pour être connecté à un réseau de télécommunication, cette unité multimédia comprenant une unité centrale, une mémoire non volatile et une entrée de signaux de la télécommande, caractérisé en ce que la télécommande comprend un code d'identification unique et des moyens pour encrypter les données à transmettre vers l'unité multimédia basés sur ce code unique, l'unité multimédia comprenant des moyens pour décrypter les donnés reçues.
2. Système selon la revendication 1 , caractérisé en ce que la liaison entre la télécommande et l'unité multimédia est de type infrarouge.
3. Système selon les revendications 1 ou 2, caractérisé en ce que les moyens d'encryption de la télécommande sont basés sur la clé privée et que les moyens de décryption sont basés sur une clé publique.
4. Système selon les revendications 1 à 3, caractérisé en ce que la . télécommande comprend un abaisseur d'intensité d'émission activé lors de la transmission de la clé publique vers l'unité multimédia.
5. Système selon les revendications 1 à 4, caractérisé en ce que la télécommande comprend un générateur de nombre aléatoire et au moins un numéro unique.
6. Système selon l'une des revendications précédentes, caractérisé en ce que la télécommande comprend une interface de liaison bidirectionnelle avec l'unité multimédia.
7. Système selon la revendication précédente, caractérisé en ce que la télécommande comprend un lecteur de carte à puce.
8. Méthode de transmission sécurisé entre une télécommande comprenant un code d'identification unique et une unité multimédia connectée à un réseau de télécommunication, caractérisée en ce que les données envoyées par la télécommande à l'unité multimédia sont encryptees par une clé de transport générée sur la base du code d'identification unique, l'unité multimédia décryptant ces données avec la clé de transport correspondante.
9. Méthode selon la revendication 8, caractérisée en ce que la clé de transport est de type asymétrique, la clé privée étant utilisée dans la télécommande et la clé publique dans l'unité multimédia.
10. Méthode selon la revendication 9, caractérisée en ce que la télécommande contient initialement la clé privée et la clé publique, cette dernière étant envoyée par la télécommande dans une phase d'initialisation.
11. Méthode selon la revendication 8, caractérisée en ce qu'elle consiste a :
- générer par la télécommande un nombre aléatoire et lire son code d'identification unique pour former une clé d'encryption symétrique CS,
- encrypter ces informations par l'intermédiaire d'une première clé CT de chiffrement privée asymétrique et composer une signature de transaction,
- émettre la signature de transaction avec une signature de construction contenue dans la mémoire de la télécommande et comprenant la première clé CT publique encryptee par une seconde clé CC privée chargée durant l'initialisation de la télécommande,
- décrypter dans l'unité multimédia, par la seconde clé publique CC, la signature de construction et en extraire la première clé CT publique,
- décrypter la signature de transaction par l'intermédiaire de la première clé CT publique pour obtenir la clé d'encryption symétrique CS,
- décrypter les données transmises de la télécommande par la clé d'encryption symétrique CS.
12. Méthode selon la revendication 11 , caractérisé en ce qu'un centre de traitement est connecté au réseau de télécommunication, et en ce qu'elle consiste à: - recevoir par l'unité multimédia les données encryptees selon le protocole propre au centre de gestion,
- encrypter ces données par la clé d'encryption symétrique CS,
- transmettre ces données vers la télécommande,
- décrypter ces données par la télécommande grâce à la clé d'encryption symétrique CS,
- traiter les données en retour et les encrypter selon le protocole propre au centre de gestion,
- encrypter ces données par la clé d'encryption symétrique CS ,
- transmettre ces données à l'unité multimédia,
- décrypter ces données par la clé d'encryption symétrique CS et les transmettre au centre de gestion.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP01997788A EP1374190A2 (fr) | 2000-11-24 | 2001-11-23 | Telecommande securisee |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP00125778A EP1209635A1 (fr) | 2000-11-24 | 2000-11-24 | Télécommande securisée |
| EP00125778 | 2000-11-24 | ||
| PCT/IB2001/002270 WO2002043015A2 (fr) | 2000-11-24 | 2001-11-23 | Telecommande securisee |
| EP01997788A EP1374190A2 (fr) | 2000-11-24 | 2001-11-23 | Telecommande securisee |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP1374190A2 true EP1374190A2 (fr) | 2004-01-02 |
Family
ID=8170478
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP00125778A Withdrawn EP1209635A1 (fr) | 2000-11-24 | 2000-11-24 | Télécommande securisée |
| EP01997788A Withdrawn EP1374190A2 (fr) | 2000-11-24 | 2001-11-23 | Telecommande securisee |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP00125778A Withdrawn EP1209635A1 (fr) | 2000-11-24 | 2000-11-24 | Télécommande securisée |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7147157B2 (fr) |
| EP (2) | EP1209635A1 (fr) |
| AU (1) | AU2002223964A1 (fr) |
| WO (1) | WO2002043015A2 (fr) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7543151B2 (en) | 1996-02-15 | 2009-06-02 | Semtek Innovative Solutions Corporation | Method and apparatus for securing and authenticating encoded data and documents containing such data |
| EP1431932A1 (fr) * | 2002-12-17 | 2004-06-23 | Sanirent, S.L. | Terminal pour le paiement de services téléphoniques et de télévision |
| JP2005318527A (ja) * | 2004-03-29 | 2005-11-10 | Sanyo Electric Co Ltd | 無線伝送装置、相互認証方法および相互認証プログラム |
| US9219729B2 (en) | 2004-05-19 | 2015-12-22 | Philip Drope | Multimedia network system with content importation, content exportation, and integrated content management |
| EP1612637A1 (fr) * | 2004-06-29 | 2006-01-04 | Nagracard S.A. | Module de sécurité et méthode de personnalisation d'un tel module de sécurité |
| US20090249085A1 (en) * | 2004-06-29 | 2009-10-01 | Nagracard S.A. | Security module and personalization method for such a security module |
| US7309012B2 (en) | 2004-09-07 | 2007-12-18 | Semtek Innovative Solutions, Inc. | Secure magnetic stripe reader for handheld computing and method of using same |
| US7506812B2 (en) | 2004-09-07 | 2009-03-24 | Semtek Innovative Solutions Corporation | Transparently securing data for transmission on financial networks |
| US7609837B2 (en) * | 2005-09-01 | 2009-10-27 | Sharp Laboratories Of America, Inc. | System and method for automatic setup of a network device with secure network transmission of setup parameters |
| US7916869B2 (en) * | 2005-09-01 | 2011-03-29 | Sharp Laboratories Of America, Inc. | System and method for automatic setup of a network device with secure network transmission of setup parameters using a standard remote control |
| US7796757B2 (en) * | 2006-03-09 | 2010-09-14 | At&T Intellectual Property I, L.P. | Methods and systems to operate a set-top box |
| US9361617B2 (en) | 2008-06-17 | 2016-06-07 | Verifone, Inc. | Variable-length cipher system and method |
| US9123042B2 (en) | 2006-10-17 | 2015-09-01 | Verifone, Inc. | Pin block replacement |
| US8769275B2 (en) | 2006-10-17 | 2014-07-01 | Verifone, Inc. | Batch settlement transactions system and method |
| DE102007015788B3 (de) * | 2007-03-30 | 2008-10-23 | Fm Marketing Gmbh | Multimedia-Einrichtung und Verfahren zur Datenübertragung bei einer Multimedia-Einrichtung |
| EP2001223B1 (fr) | 2007-06-04 | 2016-09-21 | fm marketing gmbh | Agencement multimédia |
| JP4572936B2 (ja) * | 2008-01-18 | 2010-11-04 | ソニー株式会社 | 遠隔操作装置及び通信システム |
| KR101589597B1 (ko) * | 2009-04-20 | 2016-01-28 | 삼성전자 주식회사 | 방송신호수신장치와 리모트 컨트롤러 및 그 페어링방법 |
| WO2013138757A1 (fr) * | 2012-03-16 | 2013-09-19 | Visa International Service Association | Entrée de code secret pour services bancaires en ligne sur un dispositif multimédia |
| WO2014124006A1 (fr) | 2013-02-05 | 2014-08-14 | The Johns Hopkins University | Nanoparticules pour le suivi de l'imagerie par résonance magnétique et procédés de fabrication et d'utilisation associés |
| EP2779635A3 (fr) * | 2013-03-11 | 2015-04-15 | Nagravision S.A. | Commande à distance pour contrôler un récepteur de télévision |
| US9197312B2 (en) * | 2013-03-11 | 2015-11-24 | Nagravision S.A. | Near field communication system in a local network |
| US9948614B1 (en) * | 2013-05-23 | 2018-04-17 | Rockwell Collins, Inc. | Remote device initialization using asymmetric cryptography |
| US10485757B2 (en) | 2015-01-27 | 2019-11-26 | The Johns Hopkins University | Hypotonic hydrogel formulations for enhanced transport of active agents at mucosal surfaces |
| ITUB20155318A1 (it) * | 2015-10-26 | 2017-04-26 | St Microelectronics Srl | Tag, relativo procedimento e sistema per identificare e/o autenticare oggetti |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3371160A (en) * | 1964-01-31 | 1968-02-27 | Rca Corp | Television circuit for non-additively combining a pair of video signals |
| EP0472528B1 (fr) * | 1989-05-18 | 1994-02-09 | Siemens Aktiengesellschaft | Systeme emetteur-recepteur |
| US5321849A (en) * | 1991-05-22 | 1994-06-14 | Southwestern Bell Technology Resources, Inc. | System for controlling signal level at both ends of a transmission link based on a detected valve |
| US5592212A (en) * | 1993-04-16 | 1997-01-07 | News Datacom Ltd. | Methods and systems for non-program applications for subscriber television |
| EP0690399A3 (fr) * | 1994-06-30 | 1997-05-02 | Tandem Computers Inc | Système de transaction financière commandé à distance |
| JP2824021B2 (ja) * | 1994-10-17 | 1998-11-11 | 富士通テン株式会社 | 遠隔制御装置 |
| US5973756A (en) * | 1996-02-06 | 1999-10-26 | Fca Corporation | IR Transmitter with integral magnetic-stripe ATM type credit card reader & method therefor |
| JPH09303019A (ja) * | 1996-05-20 | 1997-11-25 | Sony Corp | 識別信号の登録方法及び識別信号の登録装置 |
| US6049289A (en) * | 1996-09-06 | 2000-04-11 | Overhead Door Corporation | Remote controlled garage door opening system |
| JPH1173247A (ja) * | 1997-06-27 | 1999-03-16 | Canon Inc | I/oカード、電子機器、電子システム及び電子機器の立ち上げ方法 |
| US6431439B1 (en) * | 1997-07-24 | 2002-08-13 | Personal Solutions Corporation | System and method for the electronic storage and transmission of financial transactions |
| US6359270B1 (en) * | 1998-09-04 | 2002-03-19 | Ncr Corporation | Communications module mounting for domestic appliance |
| CA2255285C (fr) * | 1998-12-04 | 2009-10-13 | Certicom Corp. | Protocole ameliore d'authentification d'abonne |
| JP4749522B2 (ja) * | 1999-03-26 | 2011-08-17 | ソニー株式会社 | 再生装置および再生方法 |
| US6570486B1 (en) * | 1999-04-09 | 2003-05-27 | Delphi Automotive Systems | Passive remote access control system |
| US6339384B1 (en) * | 2000-11-13 | 2002-01-15 | Robert Valdes-Rodriguez | Toll booth credit device |
| US6601762B2 (en) * | 2001-06-15 | 2003-08-05 | Koninklijke Philips Electronics N.V. | Point-of-sale (POS) voice authentication transaction system |
| US7161466B2 (en) * | 2003-07-30 | 2007-01-09 | Lear Corporation | Remote control automatic appliance activation |
| US7120430B2 (en) * | 2003-07-30 | 2006-10-10 | Lear Corporation | Programmable interoperable appliance remote control |
| US7068181B2 (en) * | 2003-07-30 | 2006-06-27 | Lear Corporation | Programmable appliance remote control |
-
2000
- 2000-11-24 EP EP00125778A patent/EP1209635A1/fr not_active Withdrawn
-
2001
- 2001-11-23 EP EP01997788A patent/EP1374190A2/fr not_active Withdrawn
- 2001-11-23 US US10/432,440 patent/US7147157B2/en not_active Expired - Fee Related
- 2001-11-23 WO PCT/IB2001/002270 patent/WO2002043015A2/fr not_active Application Discontinuation
- 2001-11-23 AU AU2002223964A patent/AU2002223964A1/en not_active Abandoned
Non-Patent Citations (1)
| Title |
|---|
| See references of WO0243015A2 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US7147157B2 (en) | 2006-12-12 |
| AU2002223964A1 (en) | 2002-06-03 |
| WO2002043015A2 (fr) | 2002-05-30 |
| EP1209635A1 (fr) | 2002-05-29 |
| WO2002043015A3 (fr) | 2003-10-16 |
| US20040060977A1 (en) | 2004-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1374190A2 (fr) | Telecommande securisee | |
| EP1004101B1 (fr) | Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees | |
| EP1459479A2 (fr) | Systeme cryptographique de signature de groupe | |
| EP1107203A2 (fr) | Procédé de transmission d'information et serveur le mettant en oeuvre | |
| EP0317400B1 (fr) | Dispositif et procédé de sécurisation d'échange de données entre un terminal vidéotex et un serveur | |
| FR2790162A1 (fr) | Procede de telepaiement et systeme pour la mise en oeuvre de ce procede | |
| EP1549011A1 (fr) | Procédé et système de communication entre un terminal et au moins un équipment communicant | |
| EP2619941A1 (fr) | Procede, serveur et systeme d'authentification d'une personne | |
| EP1344195A1 (fr) | M thode de contr le d'appariement | |
| FR2922669A1 (fr) | Dispositif electronique portable pour l'echange de valeurs et procede de mise en oeuvre d'un tel dispositif | |
| WO2003102882A1 (fr) | Procede de securisation d'une transaction en ligne | |
| EP3991381B1 (fr) | Procédé et système de génération de clés de chiffrement pour données de transaction ou de connexion | |
| EP2306668B1 (fr) | Système et procédé de transaction sécurisée en ligne | |
| EP2824625B1 (fr) | Méthode de réalisation de transaction, terminal et programme d'ordinateur correspondant | |
| FR2810759A1 (fr) | Procede pour effectuer une transaction commerciale en ligne par l'intermediaire d'un reseau de communication et dispositif electronique pour passer des commandes commerciales en ligne | |
| EP1737191A1 (fr) | Procédé de création d'un terminal éclaté entre un terminal de base et des équipements connectés en serie | |
| FR2850772A1 (fr) | Procede et dispositif de securisation de transactions electroniques effectuees sur un terminal non securise | |
| WO2005088568A1 (fr) | Procede et systeme de micropaiement | |
| FR2828966A1 (fr) | Procede pour communiquer de facon securisee des donnees d'identification d'une carte de paiement | |
| EP1282090A1 (fr) | Procédé et dispositif de sécurisation des transactions | |
| FR2831361A1 (fr) | Jeton informatique | |
| WO2007138229A2 (fr) | Procede d'acces securise a une ressource cryptee | |
| FR2850813A1 (fr) | Dispositif de securisation de transactions electroniques effectuees sur un terminal non securise |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| AK | Designated contracting states |
Kind code of ref document: A2 Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE TR |
|
| AX | Request for extension of the european patent |
Extension state: AL LT LV MK RO SI |
|
| 17P | Request for examination filed |
Effective date: 20031202 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN |
|
| 18D | Application deemed to be withdrawn |
Effective date: 20080603 |