EP1741226A1 - Method of securing operations over a network and associated devices - Google Patents

Method of securing operations over a network and associated devices

Info

Publication number
EP1741226A1
EP1741226A1 EP05757122A EP05757122A EP1741226A1 EP 1741226 A1 EP1741226 A1 EP 1741226A1 EP 05757122 A EP05757122 A EP 05757122A EP 05757122 A EP05757122 A EP 05757122A EP 1741226 A1 EP1741226 A1 EP 1741226A1
Authority
EP
European Patent Office
Prior art keywords
provider
user
dynamic
authentication data
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP05757122A
Other languages
German (de)
French (fr)
Inventor
Cyril Lalo
Philippe Guillaud
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audiosmartcard International SA
Original Assignee
Audiosmartcard International SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audiosmartcard International SA filed Critical Audiosmartcard International SA
Publication of EP1741226A1 publication Critical patent/EP1741226A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Definitions

  • the present invention relates to a method and devices for securing transactions or interactions, hereinafter referred to as operations, on a network between a user and a service or product provider, hereinafter referred to as provider.
  • a currently known solution consists in issuing a certificate by a certification authority that has tested the provider's reality.
  • an icon appears such as a padlock on the site of the provider seen from a device made available to a user.
  • An example of such a solution is the SSL protocol
  • a secure SSL mode operation works if the provider's site is certified and encryption is guaranteed. But this solution does not solve all fraud situations since certificates of convenience can be obtained. Thus, certain fraud techniques, such as the one known as "Man In The Middle” or "P-Fishing" can not be prevented with this solution.
  • This fraud technique involves usurping the identity of a user with the aim of obtaining enough information to impersonate a service provider and carry out operations for his benefit. The usurper has a certificate here to make the client believe that he is on the provider's site, for example a banking site, and that he has his certificate. Thus a user who will try to connect to the site of a provider will be, in reality, routed to another site.
  • the present invention prevents this type of fraud. It relates to a method of securing operations performed within a network between a user and a provider. This method is implemented using devices according to the invention.
  • the method includes, for the user, a step of sending at least one identification data of the user to the provider and, for the provider, a step of sending at least one authentication data of the user. provider to the user.
  • identification and authentication data are intended to be used in a secure mode of operations, for example SSL type.
  • the method includes, for the user, a step of generating a dynamic encryption key, an encryption step using said dynamic encryption key, the authentication data received, and a step sending, to the provider, the encrypted authentication data.
  • the method further includes, for the provider, a step of dynamically decrypting the encrypted authentication data and a step of verifying the decrypted authentication data in order to allow the operation in secure mode.
  • the invention makes it possible to have a changing information, the dynamic encryption key, known to the user and the real provider and unknown to the usurper.
  • the dynamic nature of the encryption key makes it possible to prevent the fraudster from easily discovering it by any known means of hacking. Indeed, an encryption key unchanged over time could be hacked using techniques similar to those observed with a credit card code which is itself unchanged over time.
  • the identification data is also encrypted during the encryption step using the dynamic encryption key, sent with the encrypted authentication data, and decrypted during the encryption step. decryption step.
  • the encryption of the identification data using the dynamic key allows the provider to know with which user the connection is hacked. It also allows the user to be protected against subsequent use of his identification data or data, known to the usurper, in an identification method that does not have security such as that proposed by the invention. Such a situation is encountered, for example, when a partial migration is performed between two types of identification methods and / or when several types of identification methods remain at the same time.
  • such encryption of the identification data may allow the user to not communicate unencrypted identification data with the dynamic encryption key and thus does not disclose identification data in the clear. Such a feature allows even greater security especially against the principle of fraud such as "Phishing".
  • the authentication data is for example a certificate according to the SSL (Secured Socket Layer) protocol.
  • the method includes, for the user, a step of downloading means for performing the encryption step.
  • Such means for performing the encryption step may be what is commonly referred to as a "plug-in".
  • the means for performing the encryption step can also be integrated natively or by various installation techniques in a device made available to the user.
  • the step of generating the dynamic encryption key is at least partially performed by an autonomous object.
  • the identification data is a first acoustic signature provided by the autonomous object.
  • the autonomous object implements an acoustic variation method intended to vary a second acoustic signature from which the dynamic encryption key is generated, the decryption step also being implemented using said method of acoustic variation.
  • the invention also relates to a device intended to be made available to a user and including the means for implementing the steps of the method carried out by the user.
  • means for generating the dynamic encryption key associated with the device are at least partly implemented on an autonomous object with respect to said device.
  • the autonomous object is a card.
  • the format of such a card can be ISO or not.
  • the card is an acoustic card.
  • the acoustic map provides the identification data in the form of a first acoustic signature.
  • the invention also relates to a device intended to be made available to a service provider and including means for carrying out the steps of the method carried out by the service provider.
  • at least part of the dynamic decryption means are implemented in a server associated with the provider's device.
  • the dynamic decryption means implement variation means for varying the dynamic decryption means at each reception of the identification data.
  • FIG. 2 illustrates a pirated operation as encountered with the operations of the state of the art
  • FIG. 3 illustrates a secure operation with a method according to the invention, this operation implementing devices according to the invention
  • Figure 4 is a diagram of a device according to the invention to be made available to a user
  • Figure 5 is a diagram of a device according to the invention to be made available to a provider.
  • an operation 13 in secure SSL mode is performed between a user 1 and a provider 2.
  • the user connects to the provider's site, for example on the site of a banking service, and authenticates with the help of an identifier and a password for example.
  • Identification data 14 is therefore sent to the provider 2.
  • User 1 also receives a certificate from the provider in a step 12 which may be before or after identification. Such a certificate constitutes an authentication datum 15.
  • the provider 2 authorizes the establishment of an operation 13 in secure mode.
  • routing tables for example Address Resolution Protocol (ARP) tables in which one finds the last visited sites kept in cache and / or the favorites, are used to store the addresses of the sites (MAC addresses for Media Access Control for example).
  • ARP Address Resolution Protocol
  • Such tables serve in particular for the user to connect to the sites of the service providers.
  • FIG. 2 a "man in the middle" or “P-Fishing” or “Phishing” attack is a type of attack where an identity thief 3 interposes seamlessly in a connection between a user 1 and 2.
  • an identity theft device 3 issues a request to know the addresses of target devices 1 and 2 with which it wishes to communicate.
  • each packet sent from one device to another during the connection passes through the identity theft device 3.
  • the falsified data packet transmission including routing tables is carried out regularly to avoid a return to normal where correct addresses are stored in the routing tables. Indeed, a device connected to a network updates its routing tables very frequently: every 30 seconds or 2 minutes for example, this time being configurable on most operating systems.
  • the identity theft device 3 receives all the packets exchanged between the two devices 1 and 2. But this is not enough to hack an operation in secure mode.
  • the identity theft device 3 retransmits the packets to the target devices 1 and 2 so that the connection between the two target devices 1 and 2 continues and that the device usurper identity can "listen" to the connection while remaining transparent in the connection.
  • the identity theft device 3 retrieves the identification data 14 from the user.
  • the identity theft device 3 then transfers these identification data 14 to the provider device 2.
  • the provider 2 authorizes the identity theft device 3 to access the services in a secure mode of operation based on the presence of a certificate 15 provided to the usurper device. identity in a step 23.
  • the identity theft device In a step 24, the identity theft device
  • the identity thievery device 3 informs the user 1 of an error and asks him to reconnect later.
  • the identity thievery device 3 is, for its part, identified and can perform all kinds of operations in secure mode 25 instead of the user 1 with the provider 2. Many sectors offering services on networks, including Internet, are affected by such hacking.
  • a method according to the invention is implemented in at least two devices made available respectively to the user 1 and the provider 2.
  • the user 1 connects to the provider 2 during A first step 11.
  • An authentication certificate 15 of the provider 2 is provided in a step 12 which may be before or after a step of sending by the user 1 of identification data 14 to the provider.
  • the device of the user comprises means 33 for generating a dynamic key of encryption and to encrypt at least the authentication data 15. It has been seen that the identification data 14 was also advantageously encrypted using the dynamic encryption key.
  • this encrypted data 4 is sent to the provider.
  • the encrypted data 4 is thus introduced into a virtual envelope 4 that a potential identity theft device would not have the possibility to open. Indeed, to open the envelope 4, that is to say decrypt the encrypted data, it should be that the identity theft device is aware of the dynamic key encryption. Since this key is dynamic, it varies over time. Moreover, since it is not transmitted, it is therefore not accessible for any device placed between the device of the user 1 and that of the provider 2.
  • the envelope 4 is then transmitted to the provider 2 in a step 35.
  • the device of the provider 2 is associated with means for opening the envelope 4, that is to say for decrypting the encrypted data 4. These means can in particular, as shown in FIG. 3, be implemented in a server 5 communicating with the device provider 2.
  • the device provider 2 sends the envelope 4 to the server 5 in a step 36 and the server returns the decrypted data 14 'and, where appropriate 15', in Step 37.
  • the decryption can also be performed in the device provider 2 itself. According to the invention, it is then verified that the user 1 has indeed received the correct authentication data 15 by comparing the decrypted authentication data 15 'with the authentic data item 15. This verification can be performed both within the server 5 within the device of the provider 2. Once this verification is performed, access to services and / or operation in secure mode 13 is allowed or not.
  • the identification data is also encrypted and sent, the decrypted identification data 14 'of the user 1 makes it possible to determine the user on the connection from which the identity theft device has introduced.
  • the method according to the invention allows a very high security.
  • the identity thievery device does not have access to the data contained in the envelope 4. Nor does it have any means to modify or create a false envelope since the dynamic encryption key is not known. from him and is not transmitted.
  • the dynamic encryption key is, in fact, managed, on the one hand, on the side of the user and, on the other hand, on the provider side without transmission between the two.
  • the method according to the invention makes it possible to find the identity theft device. Indeed, when the provider receives the envelope, he can decrypt it and discover that the certificate is not identical to the one he sent himself. The provider, thus knowing the false certificate, the source IP address of the Internet access provider with which the impersonator has an access contract (such an access provider can then give the identity of the identity theft device) and the MAC address of the identity theft device, can take action against the identity thievery.
  • the means for producing the envelope that include the encryption means using the dynamic encryption key are downloaded by the user, for example from the site of the invention. provider and / or sent by the service provider.
  • This downloading (or sending) is for example made during the first connection of the user or during each connection of the user on the site of the provider.
  • the identity theft device also downloads the encryption means and can return the key by return
  • the size of the key is important (for example 128 bits) so that the time needed to decode the key is higher than the provider is willing to accept when attempting to identify a user.
  • the means for producing the envelope 4 can advantageously be such that the envelope 4 includes, in addition to the authentication data and possibly the identification data, other data such as the date of the connection, the time, session data of the user, a signature that is transmitted during the connection ...
  • a device 1 intended to be made available to a user includes sending means 42 for sending at least one user identification data 14 to the provider device 2 and receiving means 41 for receiving at least one authentication data item 15
  • the device 1 is associated with means for generating a dynamic encryption key 46.
  • the generation means are implemented on an autonomous object represented by a card 43.
  • This card 43 is advantageously an acoustic card 43 which can provide two types of signature: a first signature called “online” that will be transmitted in an operation and a second signature called “offline” that is not transmitted.
  • the sound card 43 has means for varying these two types of signature, in particular according to the number of uses, the time or the duration of use of the card.
  • the method of variation of such signatures may therefore in particular be based on the number of uses of the autonomous object.
  • Counters are implemented in the autonomous object and in association with the decryption means. These counters advance at the same time taking into account all triggers of the object, including accidental triggers. The number of times that the variation process is activated (for example by pressing a button placed on the autonomous object) can therefore be taken into account.
  • the number of uses may, for example, be set as the number of times the first signature is transmitted.
  • the variation method can also be time-based.
  • the autonomous object and the decryption means calculate the variation in the same period of time, for example 30 seconds.
  • the first signature advantageously provides the identification data item 1.
  • the second acoustic signature is advantageously used by the card 43 to generate the dynamic encryption key 46.
  • This second signature can also be the dynamic encryption key 46 itself.
  • the device 1 includes encryption means 44 for encrypting at least the received authentication data 15, using said dynamic encryption key 46 and sending means 45 for sending to the provider device 2 the data item.
  • encrypted authentication 4 represented by an envelope 4 on all the figures.
  • Such means can also encrypt said identification data and thus include it in the virtual envelope 4.
  • a device 2 intended to be made available to a service provider 2 includes receiving means 52 for receiving at least one identification data item 14 of the device of the user 1 and sending means 51 to send at least one authentication data from the provider 2 to the device of the user 1.
  • the device 2 further includes receiving means 56 for receiving said encrypted authentication data 4 by means of a dynamic key 46. If necessary, the device 2 also receives the identification data 14 encrypted.
  • the device 2 is associated with dynamic decryption means 54 for decrypting said encrypted authentication data 4 and means 55 for verifying the decrypted authentication data 15 'in order to authorize the operation in secure mode.
  • the decryption and verification means may be implemented in an equivalent manner in the provider's device itself or on a server to which the provider's device is associated.
  • the dynamic decryption means are implemented by a server 58 distinct from the provider device but connected to it.
  • the server includes variation means 57 intended to vary the dynamic decryption means 54.
  • variation means 57 may be similar to those implemented in the means for generating the dynamic encryption key 46 and thus provide at the same time as the dynamic encryption key 46 is generated, a corresponding decryption key 46 '.
  • Software can therefore be implemented on both sides of the devices of the user and the provider to allow the encryption means and decryption means are in phase.
  • such software may be such that it generates at the same time and independently of a connection between the devices of the user and the provider, the dynamic encryption key 46 in the device of the user 1 and a dynamic decryption key 46 'in the device of the provider 2.
  • These key generations are advantageously performed at particular times, for example at each sending / receiving of identification data 14.
  • the use of an acoustic card has many advantages. An acoustic signature can be easily modified. An acoustic signature is generally not resident in a precise but traveling machine. In addition, an acoustic signature is difficult to copy.
  • an acoustic microphone the most widespread acoustic drive
  • the steps of a method according to the invention take place within the devices described in FIGS. 4 and 5.
  • the functionalities implemented according to this method can be carried out by hardware or software means or by a combination of such means.
  • the invention may use a computer program product including instructions so as to perform the method according to the invention.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a method of securing operations carried out in a network between a user (1) and a service provider (2) and to the associated devices. For the user (1), the inventive method comprises the following steps, namely: a step (33) in which a dynamic encryption key is generated, a step (33) in which an authentication datum (15) received from the service provider (2) is encrypted with the aid of the dynamic encryption key, and step (35) in which the encrypted authentication datum (4) is sent to the service provider (2). For the service provider (2), the method comprises the following steps, namely: a step comprising the dynamic decryption (5) of the encrypted authentication datum (4) and a step comprising the verification (5) of the decrypted authentication datum, in order to authorise the operation in secure mode (13).

Description

PROCEDE DE SECURISATION D'OPERATIONS SUR UN RESEAU ET DISPOSITIFS ASSOCIES METHOD FOR SECURING OPERATIONS ON A NETWORK AND ASSOCIATED DEVICES
La présente invention concerne un procédé et des dispositifs de sécurisation de transactions ou d'interactions, ci-après dénommées opérations, sur un réseau entre un utilisateur et un fournisseur de services ou de produits, ci- après dénommé prestataire.The present invention relates to a method and devices for securing transactions or interactions, hereinafter referred to as operations, on a network between a user and a service or product provider, hereinafter referred to as provider.
Le réseau Internet offre aux opérations électroniques des perspectives d'expansion croissante. Cependant il est constaté que le manque de fiabilité des opérations électroniques nuit au développement de ce potentiel. La fraude et le piratage sont un frein à l'expansion de ces opérations. Pour sécuriser les opérations sur un réseau, à partir d'un site Internet d'un prestataire par exemple, une solution connue actuellement consiste en la délivrance d'un certificat par une autorité de certification qui a testé la réalité du prestataire. En général, il apparaît alors une icône tel qu'un cadenas sur le site du prestataire vu depuis un dispositif mis à la disposition d'un utilisateur. Un exemple d' une telle solution est le protocole SSLThe Internet provides e-business opportunities for expansion. However it is found that the unreliability of the electronic operations harms the development of this potential. Fraud and piracy hinder the expansion of these operations. For example, to secure operations on a network, for example from a provider's website, a currently known solution consists in issuing a certificate by a certification authority that has tested the provider's reality. In general, an icon appears such as a padlock on the site of the provider seen from a device made available to a user. An example of such a solution is the SSL protocol
(Secured Socket Layer) de sécurisation des opérations entre utilisateur et site de prestataire. Une opération en mode sécurisé SSL fonctionne si le site du prestataire est certifié et le cryptage est alors garanti. Mais cette solution ne permet pas de résoudre toutes les situations de fraude puisque des certificats de complaisance peuvent être obtenus. Ainsi, certaines techniques de fraude, comme celle connue sous le nom de « Man In The Middle » ou encore du « P- Fishing » ne peuvent pas être empêchées avec cette solution. Cette technique de fraude consiste à usurper l'identité d'un utilisateur avec pour objectif d'obtenir suffisamment d' information pour se faire passer pour lui auprès d'un prestataire et effectuer des opérations à son profit. L'usurpateur dispose ici d'un certificat pour faire croire au client qu'il est bien sur le site du prestataire, par exemple un site bancaire, et qu'il a son certificat. Ainsi un utilisateur qui va essayer de se connecter sur le site d'un prestataire va être, en réalité, routé vers un autre site.(Secured Socket Layer) securing operations between user and provider site. A secure SSL mode operation works if the provider's site is certified and encryption is guaranteed. But this solution does not solve all fraud situations since certificates of convenience can be obtained. Thus, certain fraud techniques, such as the one known as "Man In The Middle" or "P-Fishing" can not be prevented with this solution. This fraud technique involves usurping the identity of a user with the aim of obtaining enough information to impersonate a service provider and carry out operations for his benefit. The usurper has a certificate here to make the client believe that he is on the provider's site, for example a banking site, and that he has his certificate. Thus a user who will try to connect to the site of a provider will be, in reality, routed to another site.
La présente invention empêche ce type de fraude. Elle concerne un procédé de sécurisation d'opérations réalisées au sein d'un réseau entre un utilisateur et un prestataire. Ce procédé est mis en œuvre à l'aide de dispositifs selon l'invention. Le procédé inclut, pour l'utilisateur, une étape d'envoi d'au moins une donnée d'identification de l'utilisateur au prestataire et, pour le prestataire, une étape d'envoi d'au moins une donnée d' authentification du prestataire à l'utilisateur. De telles données d'identification et d' authentification sont destinées à être utilisées dans un mode sécurisé d'opérations, par exemple de type SSL. En outre, le procédé inclut, pour l'utilisateur, une étape de génération d'une clé dynamique de cryptage, une étape de cryptage à l'aide de ladite clé dynamique de cryptage, de la donnée d'authentification reçue, et une étape d'envoi, au prestataire, de la donnée d'authentification cryptée. Le procédé inclut en outre, pour le prestataire, une étape de décryptage dynamique de la donnée d'authentification cryptée et une étape de vérification de la donnée d' authentification décryptée afin d'autoriser l'opération en mode sécurisé. L'invention permet de disposer d'une information changeante, la clé dynamique de cryptage, connue de l'utilisateur et du véritable prestataire et inconnue de l'usurpateur. Le caractère dynamique de la clé de cryptage permet d' éviter que le fraudeur puisse aisément découvrir celle- ci par tous les moyens connus de piratage. En effet, une clé de cryptage inchangée dans le temps pourrait être piratée selon des techniques similaires à celles observées avec un code de carte bancaire qui est, lui, inchangé dans le temps. Selon un mode de réalisation de l'invention, la donnée d'identification est aussi cryptée lors de l'étape de cryptage à l'aide de la clé dynamique de cryptage, envoyée avec la donnée d'authentification cryptée, et décryptée lors de l'étape de décryptage. Le cryptage de la donnée d'identification à l'aide de la clé dynamique permet au prestataire de savoir avec quel utilisateur la connexion est piratée. Il permet aussi que l'utilisateur soit protégé contre une utilisation ultérieure de sa ou ses donnée (s) d'identification, connue (s) de l'usurpateur, dans un procédé d'identification ne présentant pas de sécurisation telle que celle proposée par l'invention. Une telle situation est rencontrée par exemple lorsqu' une migration partielle est réalisée entre deux types de procédés d' identification et/ou que plusieurs types de procédés d'identification subsistent en même temps. De plus, un tel cryptage de la donnée d'identification peut permettre que l'utilisateur ne communique pas de donnée d' identification non cryptée avec la clé dynamique de cryptage et donc ne divulgue pas de donnée d'identification en clair. Une telle caractéristique permet une sécurisation encore plus importante notamment vis-à-vis de principe de fraude comme le « Phishing ». Selon un mode de réalisation de l'invention, la donnée d'authentification est par exemple un certificat selon le protocole SSL (Secured Socket Layer) . Selon un mode de réalisation, le procédé inclut, pour l'utilisateur, une étape de téléchargement de moyens pour réaliser l'étape de cryptage. De tels moyens pour réaliser l'étape de cryptage peuvent être ce que l'on appelle communément un « Plug-in ». Bien entendu, les moyens pour réaliser l'étape de cryptage peuvent aussi être intégrés nativement ou par diverses techniques d' installation dans un dispositif mis à la disposition de l'utilisateur. Selon un mode de réalisation, l'étape de génération de la clé dynamique de cryptage est au moins en partie réalisée par un objet autonome. Selon un mode de réalisation, la donnée d' identification est une première signature acoustique fournie par l'objet autonome. Avantageusement, l'objet autonome met en oeuvre un procédé de variation acoustique destiné à faire varier une seconde signature acoustique à partir de laquelle la clé dynamique de cryptage est générée, l'étape de décryptage étant aussi mise en œuvre à l'aide dudit procédé de variation acoustique. L' invention concerne également un dispositif destiné à être mis à la disposition d' un utilisateur et incluant les moyens pour mettre en œuvre les étapes du procédé réalisées par l'utilisateur. Selon un mode de réalisation, des moyens de génération de la clé dynamique de cryptage associés au dispositif sont au moins en partie implementes sur un objet autonome par rapport audit dispositif. Selon un mode de réalisation, l'objet autonome est une carte. Bien entendu, le format d'une telle carte peut être ISO ou non. Selon un mode de réalisation, la carte est une carte acoustique . Avantageusement, la carte acoustique fournit la donnée d' identification sous la forme d' une première signature acoustique . L' invention concerne également un dispositif destiné à être mis à la disposition d'un prestataire et incluant des moyens pour réaliser les étapes du procédé réalisées par le prestataire. Selon un mode de réalisation, au moins une partie des moyens de décryptage dynamique sont implementes dans un serveur associé au dispositif du prestataire. Selon un mode de réalisation, les moyens de décryptage dynamique mettent en œuvre des moyens de variation destinés à faire varier les moyens de décryptage dynamique à chaque réception de la donnée d'identification. D'autres caractéristiques et avantages de l'invention apparaîtront avec la description faite ci-dessous, cette dernière étant effectuée à titre descriptif et non limitatif en faisant référence aux dessins ci-après sur lesquels: La figure 1 illustre une opération en mode sécurisé telle que connue dans l'état de la technique ; La figure 2 illustre une opération piratée telle que rencontrée avec les opérations de l'état de la technique ; La figure 3 illustre une opération sécurisée avec un procédé selon l'invention, cette opération mettant en œuvre des dispositifs selon l'invention ; La figure 4 est un schéma d'un dispositif selon l'invention destiné à être mis à la disposition d'un utilisateur ; La figure 5 est un schéma d'un dispositif selon l'invention destiné à être mis à la disposition d'un prestataire.The present invention prevents this type of fraud. It relates to a method of securing operations performed within a network between a user and a provider. This method is implemented using devices according to the invention. The method includes, for the user, a step of sending at least one identification data of the user to the provider and, for the provider, a step of sending at least one authentication data of the user. provider to the user. Such identification and authentication data are intended to be used in a secure mode of operations, for example SSL type. In addition, the method includes, for the user, a step of generating a dynamic encryption key, an encryption step using said dynamic encryption key, the authentication data received, and a step sending, to the provider, the encrypted authentication data. The method further includes, for the provider, a step of dynamically decrypting the encrypted authentication data and a step of verifying the decrypted authentication data in order to allow the operation in secure mode. The invention makes it possible to have a changing information, the dynamic encryption key, known to the user and the real provider and unknown to the usurper. The dynamic nature of the encryption key makes it possible to prevent the fraudster from easily discovering it by any known means of hacking. Indeed, an encryption key unchanged over time could be hacked using techniques similar to those observed with a credit card code which is itself unchanged over time. According to one embodiment of the invention, the identification data is also encrypted during the encryption step using the dynamic encryption key, sent with the encrypted authentication data, and decrypted during the encryption step. decryption step. The encryption of the identification data using the dynamic key allows the provider to know with which user the connection is hacked. It also allows the user to be protected against subsequent use of his identification data or data, known to the usurper, in an identification method that does not have security such as that proposed by the invention. Such a situation is encountered, for example, when a partial migration is performed between two types of identification methods and / or when several types of identification methods remain at the same time. In addition, such encryption of the identification data may allow the user to not communicate unencrypted identification data with the dynamic encryption key and thus does not disclose identification data in the clear. Such a feature allows even greater security especially against the principle of fraud such as "Phishing". According to one embodiment of the invention, the authentication data is for example a certificate according to the SSL (Secured Socket Layer) protocol. According to one embodiment, the method includes, for the user, a step of downloading means for performing the encryption step. Such means for performing the encryption step may be what is commonly referred to as a "plug-in". Of course, the means for performing the encryption step can also be integrated natively or by various installation techniques in a device made available to the user. According to one embodiment, the step of generating the dynamic encryption key is at least partially performed by an autonomous object. According to one embodiment, the identification data is a first acoustic signature provided by the autonomous object. Advantageously, the autonomous object implements an acoustic variation method intended to vary a second acoustic signature from which the dynamic encryption key is generated, the decryption step also being implemented using said method of acoustic variation. The invention also relates to a device intended to be made available to a user and including the means for implementing the steps of the method carried out by the user. According to one embodiment, means for generating the dynamic encryption key associated with the device are at least partly implemented on an autonomous object with respect to said device. According to one embodiment, the autonomous object is a card. Of course, the format of such a card can be ISO or not. According to one embodiment, the card is an acoustic card. Advantageously, the acoustic map provides the identification data in the form of a first acoustic signature. The invention also relates to a device intended to be made available to a service provider and including means for carrying out the steps of the method carried out by the service provider. According to one embodiment, at least part of the dynamic decryption means are implemented in a server associated with the provider's device. According to one embodiment, the dynamic decryption means implement variation means for varying the dynamic decryption means at each reception of the identification data. Other features and advantages of the invention will become apparent with the description given below, the latter being carried out for descriptive and non-limiting purposes with reference to the following drawings in which: FIG. 1 illustrates a secure mode operation such as as known in the state of the art; FIG. 2 illustrates a pirated operation as encountered with the operations of the state of the art; FIG. 3 illustrates a secure operation with a method according to the invention, this operation implementing devices according to the invention; Figure 4 is a diagram of a device according to the invention to be made available to a user; Figure 5 is a diagram of a device according to the invention to be made available to a provider.
Selon la figure 1, une opération 13 en mode sécurisé SSL est réalisée entre un utilisateur 1 et un prestataire 2. Selon le protocole SSL, lors d'une première étape 11, l'utilisateur se connecte sur le site du prestataire, par exemple sur le site d'un service bancaire, et s'authentifie à l'aide d'un identifiant et d'un mot de passe par exemple. Des données d'identification 14 sont donc envoyées au prestataire 2. L'utilisateur 1 reçoit également un certificat du prestataire dans une étape 12 qui peut être antérieure ou postérieure à son identification. Un tel certificat constitue une donnée d'authentification 15. Après analyse des données d'identification de l'utilisateur, le prestataire 2 autorise l'établissement d'une opération 13 en mode sécurisé. Selon l'usage des réseaux, des tables de routage, par exemple des tables ARP (Adresse Resolution Protocol) dans lesquelles on retrouve notamment les derniers sites visités gardés en cache et/ou les favoris, servent pour stocker les adresses des sites (adresses MAC pour Media Access Control par exemple). De telles tables servent notamment à l'utilisateur pour se connecter aux sites des prestataires. Selon la figure 2, une attaque « man in the middle » ou « P-Fishing » ou « Phishing » est un type d' attaque où un usurpateur d'identité 3 s'interpose de manière transparente dans une connexion entre un utilisateur 1 et un prestataire 2. Selon ce type d'attaque, un dispositif usurpateur d' identité 3 émet une requête pour connaître les adresses de dispositifs cibles 1 et 2 avec lesquels il souhaite communiquer. II émet ensuite deux paquets de données de tables de routage falsifiés vers les dispositifs cibles : celui d'un utilisateur 1 et celui d'un prestataire 2 dans le cas de la figure 2. Il indique ainsi aux dispositifs cibles 1 et 2 que l'adresse du dispositif distant (celui du dispositif du prestataire pour le dispositif de l'utilisateur et vice versa) a changé. Ainsi le dispositif cible met à jour ses tables de routage avec les informations erronées qui contiennent l'adresse du dispositif usurpateur d' identité 3. Selon la figure 2, un utilisateur 1 réalise une étape de connexion 21 sur le site d'un prestataire 2. Mais un dispositif usurpateur d' identité 3 modifiant les tables de routage déroute la connexion sur un site ayant toutes les caractéristiques du site du prestataire. Un vrai/faux (car parfaitement valide aux yeux de l'utilisateur) certificat 26 sert de donnée d'authentification du dispositif usurpateur d'identité auprès de l'utilisateur 1. Lors de la connexion, les paquets sont alors envoyés à l'adresse du dispositif usurpateur d'identité 3. Ainsi, chaque paquet envoyé d'un dispositif à l'autre lors de la connexion passe par le dispositif usurpateur d'identité 3. L'émission de paquets falsifiés de données incluant des tables de routage est réalisée régulièrement afin d' éviter un retour à la normale où des adresses correctes sont stockées dans les tables de routage. En effet, un dispositif relié à un réseau met ses tables de routage à jour très fréquemment : toutes les 30 secondes ou les 2 minutes par exemple, ce laps de temps étant configurable sur la plupart des systèmes d'exploitation. A ce niveau, le dispositif usurpateur d'identité 3 reçoit tous les paquets échangés entre les deux dispositifs 1 et 2. Mais ceci n'est pas suffisant pour pirater une opération en mode sécurisé. Il est aussi nécessaire que le dispositif usurpateur d' identité 3 retransmette les paquets aux dispositifs cibles 1 et 2 pour que la connexion entre les deux dispositifs cibles 1 et 2 continue et que le dispositif usurpateur d' identité puisse « écouter » la connexion tout en restant transparent dans la connexion. Ainsi, le dispositif usurpateur d'identité 3 récupère les données d'identification 14 de l'utilisateur. Dans une étape 22, le dispositif usurpateur d'identité 3 transfère alors ces données d' identification 14 au dispositif du prestataire 2.According to FIG. 1, an operation 13 in secure SSL mode is performed between a user 1 and a provider 2. According to the SSL protocol, during a first step 11, the user connects to the provider's site, for example on the site of a banking service, and authenticates with the help of an identifier and a password for example. Identification data 14 is therefore sent to the provider 2. User 1 also receives a certificate from the provider in a step 12 which may be before or after identification. Such a certificate constitutes an authentication datum 15. After analyzing the identification data of the user, the provider 2 authorizes the establishment of an operation 13 in secure mode. According to the use of the networks, routing tables, for example Address Resolution Protocol (ARP) tables in which one finds the last visited sites kept in cache and / or the favorites, are used to store the addresses of the sites (MAC addresses for Media Access Control for example). Such tables serve in particular for the user to connect to the sites of the service providers. According to FIG. 2, a "man in the middle" or "P-Fishing" or "Phishing" attack is a type of attack where an identity thief 3 interposes seamlessly in a connection between a user 1 and 2. According to this type of attack, an identity theft device 3 issues a request to know the addresses of target devices 1 and 2 with which it wishes to communicate. It then sends two packets of data from routing tables falsified to the target devices: that of a user 1 and that of a provider 2 in the case of Figure 2. It thus indicates to the target devices 1 and 2 that the address of the remote device (that of the provider device for the device of the user and vice versa) has changed. Thus, the target device updates its routing tables with the erroneous information which contains the address of the impersonator device 3. According to FIG. 2, a user 1 performs a connection step 21 on the site of a provider 2 But an impersonator device 3 modifying the routing tables confuses the connection to a site having all the characteristics of the provider 's site. A true / false (because perfectly valid in the eyes of the user) certificate 26 serves as authentication data of the impersonator device to the user 1. When connecting, the packets are then sent to the address 3. Thus, each packet sent from one device to another during the connection passes through the identity theft device 3. The falsified data packet transmission including routing tables is carried out regularly to avoid a return to normal where correct addresses are stored in the routing tables. Indeed, a device connected to a network updates its routing tables very frequently: every 30 seconds or 2 minutes for example, this time being configurable on most operating systems. At this level, the identity theft device 3 receives all the packets exchanged between the two devices 1 and 2. But this is not enough to hack an operation in secure mode. It is also necessary that the identity theft device 3 retransmits the packets to the target devices 1 and 2 so that the connection between the two target devices 1 and 2 continues and that the device usurper identity can "listen" to the connection while remaining transparent in the connection. Thus, the identity theft device 3 retrieves the identification data 14 from the user. In a step 22, the identity theft device 3 then transfers these identification data 14 to the provider device 2.
Selon le même mécanisme d'analyse expliqué ci-dessus, le prestataire 2 autorise le dispositif usurpateur d' identité 3 à accéder aux services dans un mode d'opération sécurisé 25 basé sur la présence d'un certificat 15 fourni au dispositif usurpateur d'identité dans une étape 23. Dans une étape 24, le dispositif usurpateur d'identitéAccording to the same analysis mechanism explained above, the provider 2 authorizes the identity theft device 3 to access the services in a secure mode of operation based on the presence of a certificate 15 provided to the usurper device. identity in a step 23. In a step 24, the identity theft device
3 informe l'utilisateur 1 d'une erreur et lui demande de se reconnecter plus tard. Le dispositif usurpateur d'identité 3 est, quant à lui, identifié et peut effectuer toutes sortes d'opérations en mode sécurisé 25 à la place de l'utilisateur 1 auprès du prestataire 2. De nombreux secteurs proposant des services sur des réseaux, notamment Internet, sont affectés par un tel piratage.3 informs the user 1 of an error and asks him to reconnect later. The identity thievery device 3 is, for its part, identified and can perform all kinds of operations in secure mode 25 instead of the user 1 with the provider 2. Many sectors offering services on networks, including Internet, are affected by such hacking.
Ce piratage est particulièrement ennuyeux pour les services de paiement . Empêcher un tel piratage est d' autant plus critique que la fabrication d'un site se présentant comme un site authentique ne présente aucune difficulté. Selon la figure 3, un procédé selon l'invention est mis en œuvre dans au moins deux dispositifs mis à la disposition respectivement de l'utilisateur 1 et du prestataire 2. Selon ce procédé, l'utilisateur 1 se connecte au prestataire 2 lors d'une première étape 11. Un certificat d'authentification 15 du prestataire 2 lui est fourni dans une étape 12 qui peut être antérieure ou postérieure à une étape d'envoi par l'utilisateur 1 de données d'identification 14 au prestataire. Selon l'invention, le dispositif de l'utilisateur comprend des moyens 33 pour générer une clé dynamique de cryptage et pour crypter au moins la donnée d'authentification 15. On a vu que la donnée d'identification 14 était également avantageusement cryptée à l'aide de la clé dynamique de cryptage. Après cryptage des données, ces données cryptées 4 sont envoyées au prestataire. Les données cryptées 4 sont ainsi introduites dans une enveloppe virtuelle 4 qu'un dispositif usurpateur d' identité potentiel n' aurait pas la possibilité d'ouvrir. En effet, pour ouvrir l'enveloppe 4, c'est-à-dire décrypter les données cryptées, il faudrait que le dispositif usurpateur d'identité ait connaissance de la clé dynamique de cryptage. Or, cette clé étant dynamique, elle varie dans le temps. De plus, comme elle n'est pas transmise, elle n'est donc accessible pour aucun dispositif placé entre le dispositif de l'utilisateur 1 et celui du prestataire 2. L'enveloppe 4 est ensuite transmise au prestataire 2 dans une étape 35. Le dispositif du prestataire 2 est associé à des moyens pour ouvrir l'enveloppe 4, c'est-à-dire pour décrypter les données cryptées 4. Ces moyens peuvent notamment, ainsi que représenté sur la figure 3, être mis en œuvre dans un serveur 5 communiquant avec le dispositif du prestataire 2. Dans ce cas, le dispositif du prestataire 2 envoie l'enveloppe 4 au serveur 5 dans une étape 36 et le serveur lui retourne les données décryptées 14' et, le cas échéant 15', dans une étape 37. Le décryptage peut aussi être effectué dans le dispositif du prestataire 2 lui- même. Selon l'invention, il est alors vérifié que l'utilisateur 1 a bien reçu la bonne donnée d' authentification 15 en comparant la donnée d'authentification décryptée 15' à la donnée authentique 15. Cette vérification peut être réalisée aussi bien au sein du serveur 5 qu'au sein du dispositif du prestataire 2. Une fois cette vérification réalisée, l'accès aux services et/ou l'opération en mode sécurisé 13 est autorisée ou pas. Lorsque la donnée d' identification est également cryptée et envoyée, la donnée d'identification 14' décryptée de l'utilisateur 1 permet de déterminer l'utilisateur sur la connexion duquel le dispositif usurpateur d'identité s'est introduit . Le procédé selon l'invention permet une très grande sécurité. Dans la configuration selon l'invention, il n'est pas possible d'avoir un dispositif usurpateur d'identité au milieu de la connexion. En effet, si un dispositif usurpateur d'identité s'insère dans la connexion établie entre le dispositif de l'utilisateur et celui du prestataire, il ne peut pas décrypter l'enveloppe et doit la transmettre au prestataire sous peine de voir sa connexion s'interrompe. Le dispositif usurpateur d'identité n'a, en effet, pas accès aux données contenues dans l'enveloppe 4. Il ne dispose pas non plus de moyens pour modifier ou créer une fausse enveloppe puisque la clé dynamique de cryptage n' est pas connue de lui et n'est pas transmise. La clé dynamique de cryptage est, en effet, gérée, d'une part, du côté de l'utilisateur et, d'autre part, du côté du prestataire sans transmission entre les deux. Elle n'est donc connue que par l'utilisateur et le prestataire ou le serveur auquel ce dernier est associé. De plus, le procédé selon l'invention permet de retrouver le dispositif usurpateur d'identité. En effet, lorsque le prestataire reçoit l'enveloppe, il peut la décrypter et découvrir que le certificat n'est pas identique à celui qu'il a lui-même envoyé. Le prestataire, connaissant ainsi le faux certificat, l'adresse IP source du fournisseur d'accès à Internet avec lequel l'usurpateur d'identité dispose d'un contrat d'accès (un tel fournisseur d'accès peut alors donner l'identité du dispositif usurpateur d'identité) et l'adresse MAC du dispositif usurpateur d'identité, peut engager des poursuites contre l'usurpateur d'identité. Selon un mode de réalisation de l'invention, les moyens pour réaliser l'enveloppe qui incluent les moyens de cryptage à l'aide de la clé dynamique de cryptage sont téléchargés par l'utilisateur, par exemple à partir du site du prestataire, et/ou envoyés par le prestataire. Ce téléchargement (ou cet envoi) est par exemple effectué lors de la première connexion de l'utilisateur ou lors de chaque connexion de l'utilisateur sur le site du prestataire. Dans ce cas où il serait possible que le dispositif usurpateur d' identité télécharge aussi les moyens de cryptage et puisse par retour déduire la clé, la taille de la clef est importante (par exemple 128 bits) afin que le temps nécessaire pour décoder la clé soit supérieur à celui que le prestataire est disposé à accepter lors d'une tentative d'identification d'un utilisateur. Les moyens pour réaliser l'enveloppe 4 peuvent avantageusement être tels que l'enveloppe 4 inclut, en plus de la donnée d' authentification et éventuellement la donnée d' identification, d' autres données comme la date de la connexion, l'heure, des données de session de l'utilisateur, une signature qui est transmise lors de la connexion... Pour des raisons de clarté, l'étape de réaliser l'enveloppe incluant les étapes de génération de la clé dynamique de cryptage et l'étape de cryptage est représentée par une seule référence 33 sur la figure 3. Ces étapes seront dissociées avec les moyens correspondants dans les descriptions proposées pour les figures 4 et 5. Selon la figure 4, un dispositif 1 destiné à être mis à la disposition d'un utilisateur inclut des moyens d'envoi 42 pour envoyer au moins une donnée d'identification 14 de l'utilisateur au dispositif du prestataire 2 et des moyens de réception 41 pour recevoir au moins une donnée d'authentification 15 du dispositif du prestataire 2. Le dispositif 1 est associé à des moyens de génération d'une clé dynamique de cryptage 46. Sur la figure 4, illustrative d'un mode de réalisation particulier de l'invention, les moyens de génération sont implementes sur un objet autonome représenté par une carte 43. Cette carte 43 est avantageusement une carte acoustique 43 qui peut fournir deux types de signature : une première signature dite « online » qui va être transmise dans une opération et une deuxième signature dite « offline » qui n'est pas transmise. La carte acoustique 43 possède des moyens pour faire varier ces deux types de signature, notamment en fonction du nombre d'utilisations, du temps ou de la durée d'utilisation de la carte. Le procédé de variation de telles signatures peut donc notamment être basé sur le nombre d'utilisations de l'objet autonome. Des compteurs sont implementes dans l'objet autonome et en association avec les moyens de décryptage. Ces compteurs avancent en même temps en prenant en compte tous les déclenchements de l'objet, y compris les déclenchements accidentels. Le nombre de fois que le procédé de variation est activé (par exemple par un appui sur un bouton placé sur l'objet autonome) peut donc être pris en compte. Aussi, le nombre d'utilisations peut, par exemple, être établi comme étant le nombre de fois où la première signature est transmise. Le procédé de variation peut également être basé sur le temps. Dans ce cas, l'objet autonome et les moyens de décryptage calculent la variation dans le même laps de temps, par exemple 30 secondes . Selon l'invention, la première signature fournit avantageusement la donnée d' identification 1 . La seconde signature acoustique est avantageusement utilisée par la carte 43 pour générer la clé dynamique de cryptage 46. Cette seconde signature peut aussi être la clé de cryptage dynamique 46 elle- même. En outre le dispositif 1 inclut des moyens de cryptage 44 pour crypter au moins la donnée d'authentification 15 reçue, à l'aide de ladite clé dynamique de cryptage 46 et des moyens d'envoi 45 pour envoyer au dispositif du prestataire 2 la donnée d'authentification cryptée 4 représentée par une enveloppe 4 sur l'ensemble des figures. De tels moyens peuvent également crypter ladite donnée d'identification et donc l'inclure dans l'enveloppe virtuelle 4. Selon la figure 5, un dispositif 2 destiné à être mis à la disposition d'un prestataire 2 inclut des moyens de réception 52 pour recevoir au moins une donnée d' identification 14 du dispositif de l'utilisateur 1 et des moyens d'envoi 51 pour envoyer au moins une donnée d'authentification 15 du prestataire 2 au dispositif de l'utilisateur 1. Le dispositif 2 inclut en outre des moyens de réception 56 pour recevoir ladite donnée d'authentification cryptée 4 à l'aide d'une clé dynamique de cryptage 46. Le cas échéant, le dispositif 2 reçoit également la donnée d'identification 14 cryptée. Le dispositif 2 est associé à des moyens de décryptage dynamique 54 pour décrypter ladite donnée d' authentification cryptée 4 et à des moyens de vérification 55 de le donnée d'authentification 15' décryptée afin d'autoriser l'opération en mode sécurisé. Les moyens de décryptage et de vérification peuvent être implementes de manière équivalente dans le dispositif du prestataire lui-même ou sur un serveur auquel le dispositif du prestataire est associé. Ainsi, selon la figure 5, illustrative d'un mode de réalisation particulier de l'invention, les moyens de décryptage dynamique sont mis en œuvre par un serveur 58 distinct du dispositif du prestataire mais connecté à celui-ci. Selon cette même figure, le serveur inclut des moyens de variation 57 destinés à faire varier les moyens de décryptage dynamique 54. De tels moyens de variation 57 peuvent être similaires à ceux mis en œuvre dans les moyens de génération de la clé dynamique de cryptage 46 et ainsi fournir en même temps que la clé dynamique de cryptage 46 se génère, une clé de décryptage 46' correspondante. Des logiciels peuvent donc être mis en œuvre de part et d'autre dans les dispositifs de l'utilisateur et du prestataire afin de permettre que les moyens de cryptage et les moyens de décryptage soient en phase. Par exemple, de tels logiciels peuvent être tels qu' ils génèrent en même temps et indépendamment d'une connexion entre les dispositifs de l'utilisateur et du prestataire, la clé dynamique de cryptage 46 dans le dispositif de l'utilisateur 1 et une clé dynamique de décryptage 46' dans le dispositif du prestataire 2. Ces générations de clés sont avantageusement réalisées à des moments particuliers, par exemple à chaque envoi/réception d'une donnée d'identification 14. L'utilisation d'une carte acoustique présente de nombreux avantages. Une signature acoustique peut être modifiée aisément. Une signature acoustique n'est généralement pas résidente dans une machine précise mais itinérante. De plus, une signature acoustique est difficilement copiable. En effet, sur un ordinateur, dispositif le plus commun dans lequel l'invention peut être avantageusement mise en œuvre, un microphone acoustique, lecteur acoustique le plus répandu, ne peut être mis en écoute que par un logiciel à la fois. Il n'est donc pas possible qu'un programme pirate puisse copier la signature acoustique . Les étapes d'un procédé selon l'invention se déroulent au sein des dispositifs décrits dans les figures 4 et 5. Les fonctionnalités mises en œuvre selon ce procédé peuvent être réalisées par des moyens matériels ou logiciels ou par une combinaison de tels moyens. Lorsque la mise en œuvre est réalisée par des moyens logiciels, l'invention peut utiliser un produit programme d' ordinateur incluant des instructions de manière à réaliser le procédé selon l'invention. This hacking is particularly boring for payment services. Preventing such piracy is all the more critical as the production of a site presenting itself as an authentic site presents no difficulty. According to FIG. 3, a method according to the invention is implemented in at least two devices made available respectively to the user 1 and the provider 2. According to this method, the user 1 connects to the provider 2 during A first step 11. An authentication certificate 15 of the provider 2 is provided in a step 12 which may be before or after a step of sending by the user 1 of identification data 14 to the provider. According to the invention, the device of the user comprises means 33 for generating a dynamic key of encryption and to encrypt at least the authentication data 15. It has been seen that the identification data 14 was also advantageously encrypted using the dynamic encryption key. After encrypting the data, this encrypted data 4 is sent to the provider. The encrypted data 4 is thus introduced into a virtual envelope 4 that a potential identity theft device would not have the possibility to open. Indeed, to open the envelope 4, that is to say decrypt the encrypted data, it should be that the identity theft device is aware of the dynamic key encryption. Since this key is dynamic, it varies over time. Moreover, since it is not transmitted, it is therefore not accessible for any device placed between the device of the user 1 and that of the provider 2. The envelope 4 is then transmitted to the provider 2 in a step 35. The device of the provider 2 is associated with means for opening the envelope 4, that is to say for decrypting the encrypted data 4. These means can in particular, as shown in FIG. 3, be implemented in a server 5 communicating with the device provider 2. In this case, the device provider 2 sends the envelope 4 to the server 5 in a step 36 and the server returns the decrypted data 14 'and, where appropriate 15', in Step 37. The decryption can also be performed in the device provider 2 itself. According to the invention, it is then verified that the user 1 has indeed received the correct authentication data 15 by comparing the decrypted authentication data 15 'with the authentic data item 15. This verification can be performed both within the server 5 within the device of the provider 2. Once this verification is performed, access to services and / or operation in secure mode 13 is allowed or not. When the identification data is also encrypted and sent, the decrypted identification data 14 'of the user 1 makes it possible to determine the user on the connection from which the identity theft device has introduced. The method according to the invention allows a very high security. In the configuration according to the invention, it is not possible to have an identity theft device in the middle of the connection. Indeed, if an identity theft device is inserted in the connection established between the device of the user and that of the service provider, he can not decrypt the envelope and must transmit it to the provider on pain of seeing his connection s 'interrupt. The identity thievery device does not have access to the data contained in the envelope 4. Nor does it have any means to modify or create a false envelope since the dynamic encryption key is not known. from him and is not transmitted. The dynamic encryption key is, in fact, managed, on the one hand, on the side of the user and, on the other hand, on the provider side without transmission between the two. It is therefore known only by the user and the provider or the server with which the latter is associated. In addition, the method according to the invention makes it possible to find the identity theft device. Indeed, when the provider receives the envelope, he can decrypt it and discover that the certificate is not identical to the one he sent himself. The provider, thus knowing the false certificate, the source IP address of the Internet access provider with which the impersonator has an access contract (such an access provider can then give the identity of the identity theft device) and the MAC address of the identity theft device, can take action against the identity thievery. According to one embodiment of the invention, the means for producing the envelope that include the encryption means using the dynamic encryption key are downloaded by the user, for example from the site of the invention. provider and / or sent by the service provider. This downloading (or sending) is for example made during the first connection of the user or during each connection of the user on the site of the provider. In this case where it is possible that the identity theft device also downloads the encryption means and can return the key by return, the size of the key is important (for example 128 bits) so that the time needed to decode the key is higher than the provider is willing to accept when attempting to identify a user. The means for producing the envelope 4 can advantageously be such that the envelope 4 includes, in addition to the authentication data and possibly the identification data, other data such as the date of the connection, the time, session data of the user, a signature that is transmitted during the connection ... For the sake of clarity, the step of making the envelope including the steps of generating the dynamic encryption key and the step 1 is a single reference numeral 33 in FIG. 3. These steps will be dissociated with the corresponding means in the descriptions proposed for FIGS. 4 and 5. According to FIG. 4, a device 1 intended to be made available to a user includes sending means 42 for sending at least one user identification data 14 to the provider device 2 and receiving means 41 for receiving at least one authentication data item 15 The device 1 is associated with means for generating a dynamic encryption key 46. In FIG. 4, illustrative of a particular embodiment of the invention, the generation means are implemented on an autonomous object represented by a card 43. This card 43 is advantageously an acoustic card 43 which can provide two types of signature: a first signature called "online" that will be transmitted in an operation and a second signature called "offline" that is not transmitted. The sound card 43 has means for varying these two types of signature, in particular according to the number of uses, the time or the duration of use of the card. The method of variation of such signatures may therefore in particular be based on the number of uses of the autonomous object. Counters are implemented in the autonomous object and in association with the decryption means. These counters advance at the same time taking into account all triggers of the object, including accidental triggers. The number of times that the variation process is activated (for example by pressing a button placed on the autonomous object) can therefore be taken into account. Also, the number of uses may, for example, be set as the number of times the first signature is transmitted. The variation method can also be time-based. In this case, the autonomous object and the decryption means calculate the variation in the same period of time, for example 30 seconds. According to the invention, the first signature advantageously provides the identification data item 1. The second acoustic signature is advantageously used by the card 43 to generate the dynamic encryption key 46. This second signature can also be the dynamic encryption key 46 itself. In addition, the device 1 includes encryption means 44 for encrypting at least the received authentication data 15, using said dynamic encryption key 46 and sending means 45 for sending to the provider device 2 the data item. encrypted authentication 4 represented by an envelope 4 on all the figures. Such means can also encrypt said identification data and thus include it in the virtual envelope 4. According to FIG. 5, a device 2 intended to be made available to a service provider 2 includes receiving means 52 for receiving at least one identification data item 14 of the device of the user 1 and sending means 51 to send at least one authentication data from the provider 2 to the device of the user 1. The device 2 further includes receiving means 56 for receiving said encrypted authentication data 4 by means of a dynamic key 46. If necessary, the device 2 also receives the identification data 14 encrypted. The device 2 is associated with dynamic decryption means 54 for decrypting said encrypted authentication data 4 and means 55 for verifying the decrypted authentication data 15 'in order to authorize the operation in secure mode. The decryption and verification means may be implemented in an equivalent manner in the provider's device itself or on a server to which the provider's device is associated. Thus, according to FIG. 5, illustrative of a particular embodiment of the invention, the dynamic decryption means are implemented by a server 58 distinct from the provider device but connected to it. According to this same figure, the server includes variation means 57 intended to vary the dynamic decryption means 54. Such variation means 57 may be similar to those implemented in the means for generating the dynamic encryption key 46 and thus provide at the same time as the dynamic encryption key 46 is generated, a corresponding decryption key 46 '. Software can therefore be implemented on both sides of the devices of the user and the provider to allow the encryption means and decryption means are in phase. For example, such software may be such that it generates at the same time and independently of a connection between the devices of the user and the provider, the dynamic encryption key 46 in the device of the user 1 and a dynamic decryption key 46 'in the device of the provider 2. These key generations are advantageously performed at particular times, for example at each sending / receiving of identification data 14. The use of an acoustic card has many advantages. An acoustic signature can be easily modified. An acoustic signature is generally not resident in a precise but traveling machine. In addition, an acoustic signature is difficult to copy. Indeed, on a computer, the most common device in which the invention can be advantageously implemented, an acoustic microphone, the most widespread acoustic drive, can be set listening only one software at a time. It is therefore not possible for a pirate program to copy the acoustic signature. The steps of a method according to the invention take place within the devices described in FIGS. 4 and 5. The functionalities implemented according to this method can be carried out by hardware or software means or by a combination of such means. When the implementation is carried out by software means, the invention may use a computer program product including instructions so as to perform the method according to the invention.

Claims

REVENDICATIONS
1. Procédé de sécurisation d'opérations réalisées au sein d'un réseau entre un utilisateur (1) et un prestataire (2), ledit procédé incluant, pour l'utilisateur (1), une étape d'envoi (11) d'au moins une donnée d'identification (14) de l'utilisateur (1) au prestataire (2) et, pour le prestataire (2), une étape d'envoi (12) d'au moins une donnée d'authentification (15) du prestataire (2) à l'utilisateur (1), lesdites données d'identification (14) et d'authentification (15) étant destinées à être utilisées dans un mode sécurisé d'opération (13), le procédé inclut en outre, pour l'utilisateur (1), une étape de génération (33) d'une clé dynamique de cryptage, une étape de cryptage (33) à l'aide de ladite clé dynamique de cryptage de la donnée d'authentification (15) reçue, et une étape d'envoi (35), au prestataire (2), de la donnée d'authentification cryptée (4) et en ce que le procédé inclut, pour le prestataire (2), une étape de décryptage dynamique (5) de la donnée d'authentification cryptée (4) et une étape de vérification (5) de la donnée d'authentification décryptée afin d'autoriser l'opération en mode sécurisé (13).A method for securing operations performed within a network between a user (1) and a provider (2), said method including, for the user (1), a sending step (11) of at least one identification data (14) from the user (1) to the provider (2) and, for the provider (2), a step of sending (12) at least one authentication data (15). ) from the provider (2) to the user (1), said identification (14) and authentication (15) data being intended for use in a secure mode of operation (13), the method further includes for the user (1), a step of generating (33) a dynamic encryption key, an encryption step (33) using said dynamic key for encrypting the authentication data (15) received, and a step of sending (35), to the provider (2), the encrypted authentication data (4) and in that the method includes, for the provider (2), a dynamic decryption step ue (5) encrypted authentication data (4) and a verification step (5) of the decrypted authentication data to allow the operation in secure mode (13).
2. Procédé selon la revendication 1, dans lequel la donnée d'identification (14) est aussi cryptée lors de l'étape de cryptage à l'aide de la clé dynamique de cryptage, envoyée avec la donnée d'authentification cryptée, et décryptée lors de l'étape de décryptage dynamique.2. Method according to claim 1, wherein the identification data (14) is also encrypted during the encryption step using the dynamic encryption key, sent with the encrypted authentication data, and decrypted during the dynamic decryption step.
3. Procédé selon l'une quelconque des revendications 1 et 2, incluant, pour l'utilisateur (1), une étape de téléchargement de moyens pour réaliser l'étape de cryptage.3. Method according to any one of claims 1 and 2, including, for the user (1), a step of downloading means for performing the encryption step.
4. Procédé selon l'une quelconque des revendications 1 à 3, dans lequel l'étape de génération (33) de la clé dynamique de cryptage est au moins en partie réalisée par un objet autonome (43) .4. Method according to any one of claims 1 to 3, wherein the step of generating (33) the dynamic key of Encryption is at least partly achieved by an autonomous object (43).
5. Procédé selon la revendication 4, dans lequel la donnée d'identification (14) est une première signature acoustique fournie par l'objet autonome (43).The method of claim 4, wherein the identification data (14) is a first acoustic signature provided by the autonomous object (43).
6. Procédé selon la revendication 4 ou 5, dans lequel l'objet autonome (43) met en oeuvre un procédé de variation acoustique (57) destiné à faire varier une seconde signature acoustique à partir de laquelle la clé dynamique de cryptage (46) est générée, l'étape de décryptage (33) étant aussi mise en œuvre à l'aide dudit procédé de variation acoustique (57).The method according to claim 4 or 5, wherein the autonomous object (43) implements an acoustic variation method (57) for varying a second acoustic signature from which the dynamic encryption key (46) is generated, the decryption step (33) also being implemented using said acoustic variation method (57).
7. Procédé selon l'une quelconques des revendications précédentes, dans lequel ladite donnée d'authentification (15) est un certificat selon le protocole SSL (Secured Socket Layer) .The method of any one of the preceding claims, wherein said authentication data (15) is a SSL (Secured Socket Layer) certificate.
8. Dispositif (1) destiné à être mis à la disposition d'un utilisateur (1) pour réaliser, au sein d'un réseau, des opérations sécurisées avec un dispositif d'un prestataire (2), ledit dispositif (1) à la disposition de l'utilisateur incluant des moyens d'envoi (42) pour envoyer au moins une donnée d'identification (14) de l'utilisateur (1) au dispositif du prestataire (2) et des moyens de réception (41) pour recevoir au moins une donnée d'authentification (15) du dispositif du prestataire (2), lesdites données d'identification (14) et d'authentification (15) étant destinées à être utilisées dans un mode sécurisé de opération (13) , ledit dispositif (1) étant associé à des moyens de génération (43) d'une clé dynamique de cryptage (46), ledit dispositif (1) incluant des moyens de cryptage (44) pour crypter à l'aide de ladite clé dynamique de cryptage (46), au moins la donnée d'authentification (15) reçue, et des moyens d'envoi (45) pour envoyer au dispositif du prestataire (2) la donnée d'authentification cryptée (4).8. Device (1) intended to be made available to a user (1) to perform, within a network, secure operations with a device of a provider (2), said device (1) to the provision of the user including sending means (42) for sending at least one identification data (14) of the user (1) to the provider device (2) and receiving means (41) for receiving at least one authentication datum (15) of the provider's device (2), said identification (14) and authentication (15) data being intended to be used in a secure mode of operation (13), said device (1) being associated with means (43) for generating a dynamic encryption key (46), said device (1) including encryption means (44) for encrypting using said dynamic encryption key (46), at least the authentication data item (15) received, and sending means (45) to send to the provider device (2) the encrypted authentication data (4).
9. Dispositif selon la revendication 8, dans lequel la donnée d'identification (14) est aussi cryptée par les moyens de cryptage à l'aide de la clé dynamique de cryptage, et envoyée avec la donnée d'authentification cryptée.9. Device according to claim 8, wherein the identification data (14) is also encrypted by the encryption means using the dynamic encryption key, and sent with the encrypted authentication data.
10. Dispositif (1) selon l'une des revendications 8 et 9, incluant des moyens pour télécharger, notamment à partir du dispositif du prestataire (2), les moyens de cryptage (44).10. Device (1) according to one of claims 8 and 9, including means for downloading, in particular from the device provider (2), the encryption means (44).
11. Dispositif (1) selon l'une des revendications 8 à 10, dans lequel les moyens de génération (43) de la clé dynamique de cryptage (46) associés au dispositif sont au moins en partie implementes sur un objet autonome (43) par rapport audit dispositif (1) .11. Device (1) according to one of claims 8 to 10, wherein the generating means (43) of the dynamic encryption key (46) associated with the device are at least partially implemented on a self-contained object (43) with respect to said device (1).
12. Dispositif (1) . selon la revendication 11, dans lequel l'objet autonome (43) est une carte.12. Device (1). according to claim 11, wherein the autonomous object (43) is a card.
13. Dispositif (1) selon la revendication 12, dans lequel la carte est une carte acoustique.13. Device (1) according to claim 12, wherein the card is an acoustic card.
14. Dispositif (1) selon la revendication 13, dans lequel la carte acoustique fournit la donnée d'identification (14) sous la forme d'une première signature acoustique.14. Device (1) according to claim 13, wherein the acoustic map provides the identification data (14) in the form of a first acoustic signature.
15. Dispositif (1) selon l'une des revendications 13 et 14, ladite carte acoustique mettant en oeuvre des moyens de variation acoustique destinés à faire varier une seconde signature acoustique, notamment lors de la fourniture de la donnée d' identification, ladite seconde signature acoustique étant utilisée par les moyens de génération (43) pour générer la clé dynamique de cryptage (46) . 15. Device (1) according to one of claims 13 and 14, said acoustic map using acoustic variation means for varying a second acoustic signature, especially during the supply of the identification data, said second acoustic signature being used by the generating means (43) to generate the dynamic encryption key (46).
16. Dispositif (2) destiné à être mis à la disposition d'un prestataire (2) pour réaliser, au sein d'un réseau, des opérations sécurisées avec un dispositif d'un utilisateur (1), ledit dispositif (2) mis à la disposition du prestataire (2) incluant des moyens de réception (52) pour recevoir au moins une donnée d'identification (14-) du dispositif de l'utilisateur (1) et des moyens d'envoi (51) pour envoyer au moins une donnée d'authentification (15) du prestataire (2) au dispositif de l'utilisateur (1), lesdites données d'identification (14) et d'authentification (15) étant destinées à être utilisées dans un mode sécurisé de opération (13) , dispositif (2) incluant en outre des moyens de réception (56) pour recevoir ladite donnée d'authentification cryptée (4) à l'aide d'une clé dynamique de cryptage (46) et étant associé à des moyens de décryptage dynamique (54) pour décrypter ladite donnée d'authentification cryptée (4) et à des moyens de vérification (55) de la donnée d'authentification16. Device (2) intended to be placed at the disposal of a service provider (2) for carrying out, within a network, secure operations with a device of a user (1), said device (2) being at the disposal of the provider (2) including receiving means (52) for receiving at least one identification data (14-) of the user's device (1) and sending means (51) for sending to the least one authentication data (15) from the provider (2) to the user device (1), said identification (14) and authentication data (15) being intended to be used in a secure mode of operation (13), the device (2) further including receiving means (56) for receiving said encrypted authentication data (4) by means of a dynamic encryption key (46) and being associated with dynamic decryption (54) for decrypting said encrypted authentication data (4) and for verifying means ion (55) of the authentication data
(15') décryptée afin d'autoriser l'opération en mode sécurisé (13) .(15 ') decrypted to allow the operation in secure mode (13).
17. Dispositif selon la revendication 16, dans lequel la donnée d'identification (14) cryptée à l'aide de la clé dynamique de cryptage est aussi reçue par le dispositif et décryptée par les moyens de décryptage dynamique.17. Device according to claim 16, wherein the identification data (14) encrypted using the dynamic encryption key is also received by the device and decrypted by the dynamic decryption means.
18. Dispositif (2) selon l'une des revendications 16 et 17, dans lequel au moins une partie des moyens de décryptage dynamique (54) sont implementes dans un serveur (58) associé au dispositif du prestataire (2) .18. Device (2) according to one of claims 16 and 17, wherein at least a portion of the dynamic decryption means (54) are implemented in a server (58) associated with the provider device (2).
19. Dispositif (2) selon l'une des revendications 16 à 18, dans lequel les moyens de décryptage dynamique (54) mettent en œuvre des moyens de variation (57) destinés à faire varier les moyens de décryptage dynamique (54), notamment à chaque réception d'une donnée d'identification (14).19. Device (2) according to one of claims 16 to 18, wherein the dynamic decryption means (54) implement variation means (57) for varying the means dynamic decryption (54), in particular at each reception of an identification data item (14).
20. Dispositif selon l'une quelconque des revendications 8 à 19, dans lequel ladite donnée d'authentification (15) est un certificat selon le protocole SSL (Secured Socket Layer) . 20. Device according to any one of claims 8 to 19, wherein said authentication data (15) is a certificate according to the SSL (Secured Socket Layer).
EP05757122A 2004-04-16 2005-04-15 Method of securing operations over a network and associated devices Withdrawn EP1741226A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0404077A FR2869175B1 (en) 2004-04-16 2004-04-16 METHOD FOR SECURING OPERATIONS ON A NETWORK AND ASSOCIATED DEVICES
PCT/FR2005/000924 WO2005109745A1 (en) 2004-04-16 2005-04-15 Method of securing operations over a network and associated devices

Publications (1)

Publication Number Publication Date
EP1741226A1 true EP1741226A1 (en) 2007-01-10

Family

ID=34946420

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05757122A Withdrawn EP1741226A1 (en) 2004-04-16 2005-04-15 Method of securing operations over a network and associated devices

Country Status (5)

Country Link
US (1) US20080005556A1 (en)
EP (1) EP1741226A1 (en)
JP (1) JP5175541B2 (en)
FR (1) FR2869175B1 (en)
WO (1) WO2005109745A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2901084B1 (en) * 2006-05-15 2013-06-21 Hajjeh Ibrahim A METHOD OF IDENTITY PROTECTION WITH TLS (TRANSPORT LAYER SECURITY) OR WITH ONE OF ITS VERSIONS
JP2018074327A (en) * 2016-10-27 2018-05-10 株式会社 エヌティーアイ Transmission/reception system, transmitter, receiver, method, and computer program

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5887065A (en) * 1996-03-22 1999-03-23 Activcard System and method for user authentication having clock synchronization
US5802176A (en) * 1996-03-22 1998-09-01 Activcard System for controlling access to a function, using a plurality of dynamic encryption variables
US6085320A (en) * 1996-05-15 2000-07-04 Rsa Security Inc. Client/server protocol for proving authenticity
US5745576A (en) * 1996-05-17 1998-04-28 Visa International Service Association Method and apparatus for initialization of cryptographic terminal
FR2753859B1 (en) * 1996-09-25 2001-09-28 Fintel Sa METHOD AND SYSTEM FOR SECURING THE SERVICES OF TELECOMMUNICATION OPERATORS
US6377691B1 (en) * 1996-12-09 2002-04-23 Microsoft Corporation Challenge-response authentication and key exchange for a connectionless security protocol
IL130774A0 (en) * 1997-01-03 2001-01-28 Fortress Technologies Inc Improved network security device
US7003501B2 (en) * 2000-02-11 2006-02-21 Maurice Ostroff Method for preventing fraudulent use of credit cards and credit card information, and for preventing unauthorized access to restricted physical and virtual sites
US6895502B1 (en) * 2000-06-08 2005-05-17 Curriculum Corporation Method and system for securely displaying and confirming request to perform operation on host computer
IL141441A0 (en) * 2001-02-15 2002-03-10 Aharonson Dov Smart card having an optical communication circuit and a method for use thereof
EP1391073B8 (en) * 2001-05-01 2018-09-05 OneSpan International GmbH Method and system for increasing security of a secure connection
US7363494B2 (en) * 2001-12-04 2008-04-22 Rsa Security Inc. Method and apparatus for performing enhanced time-based authentication
US7069438B2 (en) * 2002-08-19 2006-06-27 Sowl Associates, Inc. Establishing authenticated network connections
JP2006508471A (en) * 2002-11-27 2006-03-09 アールエスエイ セキュリティー インク Identification and authentication system and method
CA2438357A1 (en) * 2003-08-26 2005-02-26 Ibm Canada Limited - Ibm Canada Limitee System and method for secure remote access

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2005109745A1 *

Also Published As

Publication number Publication date
WO2005109745A1 (en) 2005-11-17
FR2869175A1 (en) 2005-10-21
FR2869175B1 (en) 2008-04-18
US20080005556A1 (en) 2008-01-03
JP2007533018A (en) 2007-11-15
JP5175541B2 (en) 2013-04-03

Similar Documents

Publication Publication Date Title
US11483143B2 (en) Enhanced monitoring and protection of enterprise data
EP2514166B1 (en) Access to a network for distributing digital content
US7849318B2 (en) Method for session security
US20020133707A1 (en) Method and system for secure distribution of subscription-based game software
CA2503271A1 (en) A method and system for recovering password protected private data via a communication network without exposing the private data
WO2008145558A2 (en) Method for securing information exchange, and corresponding device and computer software product
EP3375133B1 (en) Method for securing and authenticating a telecommunication
AU2007216943B2 (en) Method of implementing a state tracking mechanism in a communications session between a server and a client system
US20060031680A1 (en) System and method for controlling access to a computerized entity
EP1243097A1 (en) Method and apparatus for a revolving encrypting and decrypting process
EP1794926A1 (en) Public key cryptographic method and system, certification server and memories adapted for said system
EP1741226A1 (en) Method of securing operations over a network and associated devices
EP3732849A1 (en) Method and system for identifying a user terminal in order to receive streaming protected multimedia content
WO2003003691A1 (en) Method and device for securing communications in a computer network
EP3503500B1 (en) Method for creating a remote electronic signature using the fido protocole
WO2012156365A1 (en) Method for securing an authentication platform, and corresponding hardware and software
KR100892941B1 (en) Method for security-service processing based on mobile device
WO2017005644A1 (en) Method and system for controlling access to a service via a mobile media without a trusted intermediary
EP3829204A1 (en) Method and system for controlling access to connected objects, associated methods for distributing and receiving data, and related computer program product
WO2021240098A1 (en) Method for delegating the delivery of content items to a cache server
CN112187777A (en) Intelligent traffic sensing data encryption method and device, computer equipment and storage medium
EP2339775A1 (en) Method and device for distributed encryption based on a key server
WO2010133459A1 (en) Method for encrypting specific portions of a document for superusers
FR2956272A1 (en) PASSWORD AUTHENTICATION FOR SINGLE USE
WO2007138229A2 (en) Method for secure access to an encrypted resource

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20061116

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

DAX Request for extension of the european patent (deleted)
GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20101103