EP1859417A1 - Procede de transfert securise par carte securisee - Google Patents

Procede de transfert securise par carte securisee

Info

Publication number
EP1859417A1
EP1859417A1 EP06726004A EP06726004A EP1859417A1 EP 1859417 A1 EP1859417 A1 EP 1859417A1 EP 06726004 A EP06726004 A EP 06726004A EP 06726004 A EP06726004 A EP 06726004A EP 1859417 A1 EP1859417 A1 EP 1859417A1
Authority
EP
European Patent Office
Prior art keywords
card
memory
application
data
personalization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP06726004A
Other languages
German (de)
English (en)
Inventor
Pascal Baisnee
Hervé JEAN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Softway
Original Assignee
Softway
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Softway filed Critical Softway
Publication of EP1859417A1 publication Critical patent/EP1859417A1/fr
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management

Definitions

  • the present invention relates to the field of secure memory cards.
  • the present invention more particularly relates to a method and a system for the transfer, processing and secure storage of electronic transactions in RAMs, including secure flash memories, such as memories of the type SMMC (Secure Card, trade name).
  • RAMs including secure flash memories, such as memories of the type SMMC (Secure Card, trade name).
  • SMMC Secure Card, trade name
  • the present invention intends to overcome the drawbacks of the prior art by proposing a customized card manufacturing solution not primarily according to the transmitter, but priority function of the recipient. This makes it possible to manufacture user-oriented cards, customized according to the profile of the user to allow him access to multiple services decided by him and not by the issuer. For this, however, it is necessary to ensure the security of the entire chain from card manufacturing to use for authorized services.
  • the invention aims for this also a method of securing the management of the memory space and its backup, complete the functional chain.
  • the commissioning of the SMMCs is done according to the following process: personalization of the cards; the commissioning of the card; - activation of or applications; saving data.
  • the backbone of the cards is the security of the information of the wearer.
  • the revolution in this market is that it will no longer be offered a smart card to access a service, but that the user will choose a service that his SMMC will access securely.
  • the invention relates in its most general sense to a method of operating a memory card comprising a random access memory, characterized in that said memory card is personalized, the method consisting in performing an initial personalization function support physical memory, followed by a primary customization function of the recipient of the card, and at least a secondary customization function of a service, and in that it includes a step activation of an application by transmission of an access key to the memory area associated with said application, said random access memory then comprising locked memory areas and each dedicated to applications and in that it comprises a step d activating an application by transmitting an access key to the memory zone associated with said application.
  • said activation step consists of, successively: the connection of said memory card to an activation management center via a terminal; transmitting to the center, in the form of an activation request, identification data of said card, cardholder data and identification of the application to be activated; in return, if the identification of the card is validated, the transmission, by said center, of said access key associated with the application to be activated to said terminal, which decrypts the key allowing the allocation of the necessary memory space hosting said application.
  • said method further comprises downloading, on said memory card, the software of said application in return for the activation request.
  • said memory card is connected to a user terminal, which is connected to a second transaction processing terminal and in that said data transmissions from and to the center are made via both terminals.
  • said method comprises, beforehand, a step of personalizing said card, this step of loading the operating system, at least one backup application and an application of the personal file into the card and organizing the memory by the creation of operating system directories.
  • said memory card is a SMMC secure multimedia card.
  • said method further comprises a step of saving the data contained in said card, said saving step of transmitting, to a backup server and in the form of a backup request, data of identification of said card and data carrier card, and in return for the validation of the identification, the transmission of data to be backed up to said backup server.
  • said method comprises, in addition, a transaction step by said activated application, this step of transmitting, to an application transaction terminal and in the form of a transaction request, identification data of said card, data of the carrier of the map and the identification of the application to activate, and in return, the acceptance of the identification by a management center. applications, receive transaction data.
  • the invention also relates to a memory card for implementing the method according to any one of the preceding claims, of the secure multimedia card type comprising at least one flash memory, a microprocessor and input-output terminals, said flash memory hosting an operating system, characterized in that said flash memory comprises at least one memory area dedicated to an application, access to said memory area being blocked by an access key managed by the operating system.
  • the invention also relates to a system for implementing the method according to any one of the preceding claims, comprising a key generation and transfer server, a card commissioning and application activation server and a server. backup, said servers being connected to storage means.
  • FIG. secure multimedia card SMMC represents the overall architecture of the system for the implementation of the invention
  • Figure 3 shows the modular architecture of the personalization center of Figure 2
  • FIG. 4 represents the modular architecture of the management center of FIG. 2
  • Figure 5 is a simplified flowchart for the personalization of the cards by the center of Figure 3
  • Figures 6 and 7 show two embodiments of the present invention
  • FIG. 8 illustrates the data backup according to one embodiment of the invention
  • FIG. 9 illustrates the exchanges during a transaction by an activated application according to the present invention
  • Figure 10 shows the modular architecture of the system for managing applications
  • Figures 11 to 13 show activation schemes of a card according to the invention
  • FIG. 14 represents the diagram of the loading of a new application, or activation of a preloaded application, by an application terminal dedicated to an application
  • Figure 15 shows the loading and activation scheme of an application certified by a CA / CA.
  • a representation of the secure multimedia card (SMMC) is provided in Figure 1. It comprises thirteen contacts (1 to 13) for both power supply and data transfer between the card and the outside.
  • a configuration of the contacts can be as follows:
  • the card also includes a multiple-master memory controller 10 for controlling access to the memory 14, and a secure microprocessor 12.
  • the memory 14 is broken down into a main portion 16 of the flash type corresponding to a data memory area and a smaller memory 18 corresponding to an SRAM type cache area.
  • the microprocessor 12 allows the control of each of the constituents of the card.
  • FIG. 2 shows the overall architecture of the system for implementing the present invention.
  • the semiconductor integrated circuit chip manufacturers 200 provide their components 202 to the memory card manufacturers 204. The latter produce, among other things, the cards 206.
  • the personalization center of the cards 208 receives from the management center 210 a set of keys 212 for encryption and protection of the elements that are inserted into the card during the personalization.
  • the cards 214 thus personalized and bearing protection keys are issued to the users 216.
  • the latter call on application or media providers 218 to activate, via the management center 210 payment applications 220, fidelity 222, games / music 224, access 226 (to a storage server, for example), etc.
  • the management center 210 centralizes a generation and key management server 228, a card commissioning and application activation server 230 and a card backup server 232.
  • the generation and key management server 228 generates and transfers the keys during the personalization phase of the cards 208 and is then requested by the providers 218 when a request requesting access to an application is issued by a user 216.
  • the card commissioning and application activation server 230 enables the user 216 to access the applications when his request is validated by the provider 218. Finally, the card backup server 232 is requested by the user. user 216 through an application to save the parameters and data contained in his card.
  • the personalization center 208 of the cards is a highly secure center that consists of two sites: a personalization site; a website hosting databases.
  • the personalization center 208 is a production unit, with a security level of GIE banking / EMV type.
  • the personalization machine entity 300 There are three entities communicating each with each other: the personalization machine entity 300; the 302 mail printing entity; and - the packaging and shipping entity 304.
  • the entity 300 has a customization development pole 306 and a central key server 308 which receives the keys 212 from the management center 210 via a secure transfer. Development information from customization (applications and operating systems developed) and the keys are then transmitted by the central server of the keys 308, personalization machines 310 which parameter, according to these data, the SMMC cards 206.
  • the personalization data is then transmitted to the entity 302 which prints the mails containing the keys and intended for the attention of the users.
  • Entity 304 packages and ships custom cards.
  • the management center 210 allows the management and storage of the data used in the present invention: keys, activation authorization, storage of personal data, etc.
  • Figure 4 shows an architecture example of hosting the databases of a management server 210.
  • the management center 210 comprises a "neutral" internal network 400, called demilitarized zone DMZ 1, which protects the center of the direct access to the servers from the outside, illustrated here by the link for the secure transfer of keys 212 towards the center. 300, or by any type of external network 402 from which the client and its terminal 216 can issue requests.
  • demilitarized zone DMZ 1 which protects the center of the direct access to the servers from the outside, illustrated here by the link for the secure transfer of keys 212 towards the center. 300, or by any type of external network 402 from which the client and its terminal 216 can issue requests.
  • the DMZ 400 therefore makes it possible to avoid direct access to the key server 228, the card commissioning and activation server 230 and the card backup server 232.
  • Each of these servers is associated with a server. storage (404, 406 and 408) driving storage databases (414a-414d, 416a-416d and 418a-418f).
  • a backup center 410 is associated with the management center 210 for backing up the data of the center. Illustrated in FIG. 4, this backup center 410 is a replica of the card backup server 232: server (232 '), storage server (408') and databases (418a'-418f ').
  • the data backup of the center 2110 is performed periodically, for example daily.
  • the SMMC 206 are blank.
  • the customization as shown in Figure 5, consists of loading the operating system, the backup application and the application of the carrier's personal file into the cards from the operating system and application server. 306.
  • the access to the card is done by an authentication mechanism by the presentation of a primary key called transport.
  • the transport key is presented and is replaced by the administration key (generated by a key server), a secret code (PIN Code) is also generated by the server 308 and written in the map.
  • PIN Code secret code
  • Memory organization can start with the creation of operating system directories, backup applications, and the home folder. A unique identification number is written in the chip. At the same time, the unique number and PIN code are printed and hidden by an opaque and peelable coating on a sheet that will be attached to the chip. This is the operation performed by entity 302. Then the cards are packaged, with an installation CD-ROM, by the packaging and shipping entity 304.
  • the user will identify himself in order to activate his card. He connects to the site of the center, in which he will fill out an identification form, which he will sign electronically. Then the center will send the SMMC its activation key. The wearer can then use his card with the utilities that were provided to him.
  • Application integrators 218 who want their prospects to be able to use their SMMC, will request access and reservation of memory space in SMMC card memories.
  • a SMMC bearer 216 wishes to use an application proposed by an integrator . 218, it connects via a terminal of the application 602 or its own terminal 600, to the server of the activation management center 230. After 1 "authentication, the identification, the electronic signature of the carrier and the identification of the application, the server 230 transfers to the SMMC 214, an access key to the reserved memory space for this application It can also load the software of the application The operating system of the SMMC 214 creates the directory from the application in the reserved memory space and install the application, which is then activated and ready for use.
  • Figure 6 proposes a first mode of activation, using an application terminal.
  • the different steps are as follows: 1- From the SMMC 214 to the user terminal 600, transmission of the SMMC identification, carrier data (electronic signature), application activation request and PIN code entry;
  • the information enabling activation of the application for the user 216 is then transmitted along the same broadcast chain, in the opposite direction: 5- to the server 230: transfer of the key and memory space size;
  • Figure 7 proposes a second mode of activation, using only the user terminal. The different steps are as follows:
  • the carrier can subscribe to a backup service by which, periodically, from a terminal 600 communicating at high speed, he can make the backup to the backup center 232.
  • a backup service by which, periodically, from a terminal 600 communicating at high speed, he can make the backup to the backup center 232.
  • the data is transmitted encrypted to the center 232 and stored encrypted in the dedicated databases (418a-418f and 418a'-418f ').
  • the cardholder will buy a new card and will make an online request for data restoration.
  • the data transfer order can be validated.
  • SMMC identification SMMC carrier data and backup request
  • the backup server 232 then sends an identification message (3- and 4-) to the SMMC card 214. Then, the card 214 sends the data to be saved to the backup server 232, via the terminal 600 (5). - and 6).
  • the data restoration request proceeds in a similar fashion.
  • the backup server 232 Upon receipt of the restore request and credentials, the backup server 232 returns the saved data associated with the SMMC identification.
  • the SMMC 214 transmits to the user terminal 600, the SMMC identification, the carrier data and the entered PIN code; 2- From the terminal 600 to the application transaction terminal 602, transmission of the SMMC identification, data of the bearer and the entered PIN code (if necessary identification); 3- The transactional transactional terminal
  • the application 912 remote server transmits the transaction information to a transaction management server 914;
  • Figure 10 shows the generic architecture of the applications.
  • the users 216 and the application managers 218 have access to the application management center 900 through any type of network 402, for example digital.
  • a demilitarized zone 902 ensures that the servers of the center 900 are not directly accessible from the outside.
  • the center 900 also comprises an application server 904 connected to a backup server 906 and a storage server 908, itself linked to databases 910a-910d, and a remote collection server 912 connected to a processing server. 914 also driving the storage server 908.
  • the user When the user wishes to perform an application transaction, he connects to the remote collection server 912 through his user terminal 600 and a transactional transaction terminal 602. The transaction data is then transmitted to the remote collection server 912, the server processing 914 performing the operations necessary for the transaction.
  • the following description refers to a preferred example of implementation of card manufacturing and use comprising user-defined primary personalization, and secondary customizations of a plurality of services.
  • the implementation of the invention results in the delivery to each user of a personalized card with three levels of personalization: - the first level of personalization, or "initial customization" is the unique identification of the support of the RAM memory in which will be loaded the applications of a user.
  • This initial personalization is preferentially performed during the physical manufacture of the support, in the factory. It consists in storing in the EEPROM memory or in protected memory a unique identifier of the physical medium, and a certificate of authenticity of the card accompanied by a pair of private key and public key.
  • This initial personalization step includes a first step loading: - the administrative key, the secret code (PIN Code), the public key, the private key, root certificate, - the public key certificate, the n ° d unique identification.
  • PIN Code secret code
  • the factory carries out technical checks and generic applications: testing and organization of the memory, creation of the system directories, loading of the file management system applications, loading module, smart card functions (if they are not included in
  • I 1 OS loading basic applications (backup, personal folder, calendar / directories).
  • basic applications backup, personal folder, calendar / directories.
  • PIN code is printed and hidden by a scratch, on a sheet that will be attached to the chip.
  • the second level of personalization concerns the identification of the recipient user of the card that has been identified by initial personalization. This primary personalization occurs during the first activation of the card. It consists of registering unique identification data of the recipient user, in EEPROM memory or in protected memory. These identification data are associated with a certificate of authenticity of the card accompanied by a pair of private key and public key, and stored in a secure directory on a server of a trusted authority.
  • the third level of personalization relates to the identification of a service accessible to the user holding the aforementioned card.
  • Service providers have a development platform to develop an application that can be loaded on the above cards. This application is approved by the authority of trust, which provides a signature of the application allowing the loading on the cards, as part of the secondary customization.
  • a user who owns a terminal can download applications that will generate transactions. and store digital data, which it can use for professional or private use.
  • a mechanism for securing the management of the memory space and its backup completes the functional chain.
  • the commissioning of the SMMCs is done according to the following process: personalization of the cards activation of the card - activation of the application (s) data backup
  • the backbone of the SMMC is the securing of the information of the wearer.
  • the revolution in this market is that it will no longer offer a map smart to access a service, but that the user will choose a service that his SMMC will access in a secure way.
  • Figures 11 to 13 show the activation diagram of a card according to the invention.
  • the user (104) will identify himself to activate his card. It connects to the activation server of the center (102), in which it will fill an identification sheet, which it will electronically sign. Then the center will send the SMMC its activation key. The carrier (104) can then use his card with the utilities provided to him.
  • Step 1 SMMC / Terminal: Pin Code Entry
  • Step 2 SMMC: Sending SMMC Public Key.
  • Step 3 Server verification of the validity of the public key of the card and its certificate.
  • Step 4 Send public server key to SMMC.
  • Step 5 SMMC: Check the validity of the public key of the server, generating a symmetric key encrypted with the public key of the server and signed with its private key.
  • Step 6 SMMC / Server: Identification OK and secure connection with the symmetric key.
  • Step 7 Enter the holder's personal data.
  • Step 8 generations of public and private keys for user encryption.
  • Step 9 generations of public and private keys of user signature.
  • Figures 12 and 13 show the different steps of personalization of a card and the architecture of a personalization system according to the invention.
  • the PIN code entry allows the user or application terminal (104) to access the personalization card.
  • the terminal then issues a request for activation of said card.
  • This card then connects to the activation server (102) by means of an activation request including the sending of the public key stored in the EEPROM or the secure memory during the initial personalization step.
  • the activation server (102) issues a request on the directory (101) to verify the authenticity of said card.
  • the directory (101) returns the public key of the certificate that checks the certificate of the card on the activation server (102).
  • the directory (101) returns the certified public key of the activation server (102).
  • the card then queries the LDAP directory (trusted server 101) to verify and authenticate the activation server (102).
  • the directory (101) then returns the public key of the activation server (102), which allows the card to verify the certificate and therefore the authenticity of the activation server (102).
  • the card generates and exchanges symmetric keys with the activation server (102).
  • the user enters his personal data. These data are optionally recorded on a registration authority server (103).
  • the card then generates public and private keys for encryption of the bearer, and the public and private keys of the bearer's signature.
  • the card makes an LDAP certificate request (101) to the certification authority server (100), which returns to it the "carrier" encryption public key certificate.
  • the card requests an LDAP certificate request (101) from the CA server (100), which returns the "bearer" signature public key certificate.
  • the bearer is identified and authenticated with the trust center, and registered in the reference directory. It can then load new applications for secondary customization, and implement its applications when it provides for identification and / or signature steps.
  • FIG. 14 represents the diagram of the loading of a new application, or activation of a preloaded application, by an application terminal dedicated to an application.
  • Application Integrators who want their prospects to be able to use their SMMC will request access and reservation of memory space.
  • a carrier of SMMC wants to use an application proposed by an integrator, he connects via an application terminal or his own ,, terminal to the server of the management center 1 activation. After the carrier identification process and the identification of the application, the server pre-loads the application and its certificate, the SMMC checks the certificate, if it is correct then the application is loaded into a secure memory area . The SMMC operating system creates the application directory in the reserved memory space and installs the application, which is then activated and ready for use.
  • Figure 15 shows the loading and activation scheme of an application certified by a CA / CA. This operation includes the following steps: - Pre-loading the application and its certificate
  • the data of a card is preferably saved to allow the return of a lost or damaged card.
  • the conventional smart card or SMMC use system carries a risk, that of the loss of the card.
  • the carrier can subscribe to a backup service or periodic from a terminal communicating at high speed, it can make the backup to the backup center. After authentication, identification and holder's electronic signature, the data is transmitted encrypted to the center and is kept encrypted.
  • the cardholder In case of loss of the card, the cardholder will buy a new card and will make an online request for data restoration. After authentication, identification and electronic signature, the data transfer order can be validated.
  • the private keys of encryptions and signatures are encrypted by a symmetric algorithm, the key of encryption and diversified by a password chosen by the user.
  • the encryption key can be encrypted by a public key of the management center and stored in this center.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Storage Device Security (AREA)

Abstract

La présente invention se rapporte au domaine des cartes mémoires La présente invention se rapporte à un procédé d'exploitation d'une carte mémoire (214) comprenant une mémoire vive (16), caractérisé en ce que ladite carte mémoire (214) est personnalisée, ladite mémoire flash comprenant alors des zones mémoires bloquées et dédiées chacune à des applications et en ce qu'il comprend une étape d'activation d'une application par transmission d'une clé d'accès à la zone mémoire associée à ladite application.

Description

PROCEDE DE TRANSFERT SECURISE PAR CARTE SECURISEE
La présente invention se rapporte au domaine des cartes mémoires sécurisées.
La présente invention concerne plus particulièrement un procédé et un système pour le transfert, le traitement et le stockage sécurisé de transactions électroniques dans des mémoires vives, notamment des mémoires flash sécurisées, telles que des mémoires de type SMMC (Secure Card, nom commercial).
Les terminaux électroniques personnels disposent désormais de mémoires amovibles permettant de stocker, transférer des données d'un terminal à un autre. Les mémoires actuellement utilisées pour de telles applications sont des mémoires de type flash, dont la SMMC est une version améliorée en ce qu'elle présente à la fois des moyens de sécurisation des données et une capacité importante de stockage permettant de traiter des données multimédia ou autres.
Les solutions actuellement commercialisées ne permettent pas de garantir la sécurité des données transférées ou stockées.
Il est donc proposé à l'usager possesseur d'un terminal (téléphone mobile, Pocket PC, ordinateur personnel, ordinateur portable, appareil photographique numérique, caméscope numérique, lecteur DVD, etc ...) équipé du connecteur de SMMC, de télécharger des applications qui vont générer des transactions et stocker des données numériques, qu'il pourra utiliser pour des usages professionnels ou privés. Un autre problème est que la fabrication de cartes personnalisées est adaptée, selon les solutions actuelles, à la fabrication de séries de cartes personnalisées avec une personnalisation primaire, fonction de l'émetteur en premier lieu. Pour ledit émetteur, une seconde personnalisation d'un niveau secondaire intervient en fonction de l'utilisateur à qui la carte est destinée.
De ce fait, dans les solutions connues, tous les utilisateurs reçoivent une carte comprenant les mêmes applications décidées par l'émetteur.
La présente invention entend remédier aux inconvénients de l'art antérieur en proposant une solution de fabrication de cartes personnalisées non pas en fonction prioritairement de l'émetteur, mais en fonction prioritaire du destinataire. Cela permet de fabriquer des cartes orientées utilisateurs, personnalisées en fonction du profil de l'utilisateur afin de lui permettre l'accès à des multiples services décidés par lui et non pas par l'émetteur. Pour cela, il convient toutefois de garantir la sécurité de l'ensemble de la chaîne allant de la fabrication des cartes jusqu'à l'utilisation pour les services autorisés. L'invention vise pour cela également un procédé de sécurisation de la gestion de l ' espace mémoire et de sa sauvegarde, complète la chaîne fonctionnelle.
Pour contrôler la gestion de l'espace mémoire des cartes, les opérateurs ou intégrateur d'applications, devront faire une demande d'autorisation d'accès et d'allocation de l'espace mémoire.
Lorsqu'un porteur de carte veut utiliser une application, il devra se connecter soit avec son terminal personnel ou celui de l'application, au centre d' activation, qui après authentification, l'identification et la validation du mot de passe, lui transmettra une clé d'accès et la taille de l'espace mémoire autorisé.
Périodiquement l'utilisateur effectue une sauvegarde de ses données enregistrée dans sa carte.
La mise en service des SMMC est faite selon le procédé suivant : personnalisation des cartes ; la mise en service de la carte; - activation de ou des applications ; sauvegarde des données.
La colonne vertébrale des cartes est la sécurisation des informations du porteur. La révolution de ce marché est qu'il ne sera plus proposé une carte à puce pour accéder à un service, mais que l'usager va choisir un service auquel sa SMMC va accéder de manière sécurisée.
Pour garantir cette sécurisation, il va falloir créer un centre : de gestion des clés ; de personnalisation ; de mise en service de la carte et d1 activation des applications ; - de sauvegarde des données de chaque usager.
A cet effet, l'invention concerne dans son acception la plus générale un procédé d'exploitation d'une carte mémoire comprenant une mémoire vive, caractérisé en ce que ladite carte mémoire est personnalisée, le procédé consistant à réaliser une personnalisation initiale fonction du support physique de la mémoire vive, suivie par une personnalisation primaire fonction du destinataire de la carte, et au moins une personnalisation secondaire fonction d'un service, et en ce qu'il comprend une étape d'activation d'une application par transmission d'une clé d'accès à la zone mémoire associée à ladite application, ladite mémoire vive comprenant alors des zones mémoires bloquées et dédiées chacune à des applications et en ce qu'il comprend une étape d'activation d'une application par transmission d'une clé d'accès à la zone mémoire associée à ladite application.
Dans un mode de réalisation, ladite étape d'activation consiste en, successivement : la connexion de ladite carte mémoire à un centre de gestion d'activation via un terminal ; la transmission au centre, sous forme de demande d'activation, des données d'identification de ladite carte, des données du porteur de la carte et de l'identification de l'application à activer ; en retour, si l'identification de la carte est validée, la transmission, par ledit centre, de ladite clé d'accès associée à l'application à activer audit terminal, lequel décrypte la clé permettant l'allocation de l'espace mémoire nécessaire à l'hébergement de ladite application.
Plus particulièrement, ledit procédé comprend, en outre, le téléchargement, sur ladite carte mémoire, du logiciel de ladite application en retour de la demande d'activation. Dans un mode de réalisation particulier, ladite carte mémoire est connectée à un terminal usager, lequel est connecté à un deuxième terminal transactionnel d'application et en ce que lesdites transmissions de données du et vers le centre sont effectuées via les deux terminaux. Particulièrement, ledit procédé comprend, au préalable, une étape de personnalisation de ladite carte, cette étape consistant à charger le système d'exploitation, au moins une application de sauvegarde et une application du dossier personnel dans la carte et à organiser la mémoire par la création des répertoires du système d' exploitation.
Dans un mode de réalisation, ladite carte mémoire est une carte multimédia sécurisée SMMC. Dans un mode de réalisation particulier, ledit procédé comprend, en outre, une étape de sauvegarde des données contenues dans ladite carte, ladite étape de sauvegarde consistant à transmettre, à un serveur de sauvegarde et sous forme de demande de sauvegarde, des données d'identification de ladite carte et des données du porteur de la carte, et en retour de la validation de l'identification, la transmission des données à sauvegarder audit serveur de sauvegarde.
Plus particulièrement, ledit procédé comprend, en outre, une étape de transaction par ladite application activée, cette étape consistant à transmettre, à un terminal transactionnel applicatif et sous forme de demande de transaction, des données d'identification de ladite carte, des données du porteur de la carte et de l'identification de l'application à activer, et en retour, à l'acceptation de l'identification par un centre de gestion . des applications, recevoir les données de transaction.
L'invention concerne également une carte mémoire pour la mise en œuvre du procédé selon l'une quelconque des revendications précédentes, du type carte multimédia sécurisée comprenant au moins une mémoire flash, un microprocesseur et des bornes d'entrée-sortie, ladite mémoire flash hébergeant un système d'exploitation, caractérisée en ce que ladite mémoire flash comprend au moins une zone mémoire dédié à une application, l'accès à ladite zone mémoire étant bloqué par une clé d'accès gérée par le système d'exploitation.
L' invention concerne également un système pour la mise en œuvre du procédé selon l'une quelconque des revendications précédentes comprenant un serveur de génération et transfert de clés, un serveur de mise en service des cartes et d'activation des applications et un serveur de sauvegarde, lesdits serveurs étant connectés à des moyens de stockage.
On comprendra mieux l'invention à l'aide de la description, faite ci-après à titre purement explicatif, d'un mode de réalisation de l'invention, en référence aux figures annexées : la figure 1 représente l'architecture d'une carte multimédia sécurisée SMMC ; - la figure 2 représente l'architecture globale du système pour la mise en œuvre de l ' invention ; la figure 3 représente l'architecture modulaire du centre de personnalisation de la figure 2 ; la figure 4 représente l'architecture modulaire du centre de gestion de la figure 2 ; la figure 5 est un ordinogramme simplifié pour la personnalisation des cartes par le centre de la figure 3 ; les figures 6 et 7 représentent deux modes de réalisation de la présente invention ; la figure 8 illustre la sauvegarde des données selon un mode de réalisation de l'invention ; la figure 9 illustre les échanges lors d'une transaction par une application activée selon la présente invention ; la figure 10 représente l'architecture modulaire du système pour la gestion des applications ; les figures 11 à 13 représentent des schémas d'activation d'une carte selon l'invention ; la figure 14 représente le schéma de du chargement d'une nouvelle application, ou d'activation d'une application préchargée, par un terminal applicatif dédié à une application ; la figure 15 représente le schéma de chargement et d'activation d'une application certifié par une autorité de certification / agréée .
Une représentation de la carte multimédia sécurisée (SMMC) est fournie en figure 1. Elle comprend treize contacts (1 à 13) permettant à la fois l'alimentation en énergie et le transfert de données entre la carte et l'extérieur. Une configuration des contacts peut être la suivante :
1 — Données
2 — Commande 3 — Masse
4 — Vdd (alimentation)
5 — Horloge
6 — Masse
7 — Données 8 — Données
9 — Données
10 — Données
11 — Données
12 — Données 13 — Données La carte comprend également un contrôleur de flux 10 (Multiple-master Memory Controller) permettant le contrôle de l'accès à la mémoire 14, et un microprocesseur sécurisé 12.
La mémoire 14 se décompose en une partie principale 16 de type flash correspondant à une zone de mémoire de données et une mémoire plus petite 18 correspondant à une zone de mémoire cache de type SRAM. Le microprocesseur 12 permet le contrôle de chacun des constituants de la carte.
La figure 2 présente l'architecture globale du système pour la mise en œuvre de la présente invention. Les fabricants 200 de puces électroniques de type circuit intégrés de semi-conducteurs fournissent leurs composants 202 aux fabricants 204 de cartes mémoires. Ces derniers produisent, entre autres, les cartes 206. Le centre de personnalisation des cartes 208 reçoit du centre de gestion 210 un ensemble de clés 212 de cryptage et de protection des éléments qui sont insérés dans la carte lors de la personnalisation.
Les cartes 214 ainsi personnalisées et portant des clés de protection sont émises à l'attention des utilisateurs 216.
Ces derniers font appels à des fournisseurs d'applications ou de supports 218 pour activer, via le centre de gestion 210 des applications de paiement 220, de fidélité 222, de jeux/musique 224, d'accès 226 (à un serveur de stockage, par exemple), etc.
Le centre de gestion 210 centralise un serveur de génération et de gestion des clés 228, un serveur de mise en service des cartes et d'activation des applications 230 et un serveur de sauvegarde de carte 232. Le serveur de génération et de gestion des clés 228 génère et transfert les clés lors de la phase de personnalisation des cartes 208 puis est sollicité par les fournisseurs 218 lorsqu'une requête demandant l'accès à une application est émise par un utilisateur 216.
Le serveur de mise en service des cartes et d'activation des applications 230 permet à l'utilisateur 216 d'accéder aux applications lorsque sa requête est validée par le fournisseur 218. Enfin, le serveur de sauvegarde de carte 232 est sollicité par l'utilisateur 216 au travers d'une application pour sauvegarder les paramètres et données contenus dans sa carte.
*** Centre de personnalisation ***
En référence à la figure 3, le centre de personnalisation 208 des cartes est un centre hautement sécurisé qui se compose de deux sites : un site de personnalisation ; un site d'hébergement des bases de données.
Le centre de personnalisation 208 est une unité de production, avec un niveau sécuritaire de type GIE bancaire / EMV.
On distingue trois entités communiquant chacune entre elles : l'entité des machines de personnalisation 300 ; l'entité d'impression des courriers 302 ; et - l'entité de conditionnement et expédition 304.
L'entité 300 possède un pôle de développement des personnalisations 306 et un serveur central des clés 308 qui reçoit les clés 212 depuis le centre de gestion 210 via un transfert sécurisé. Les informations de développement de personnalisation (applications et systèmes d'exploitation développés) et les clés sont ensuite transmises, par le serveur central des clés 308, aux machines de personnalisation 310 qui paramétrent, selon ces données, les cartes SMMC 206.
Les données de personnalisation sont ensuite transmises à l'entité 302 qui imprime les courriers contenant les clés et destinés à l'attention des utilisateurs. En parallèle, l'entité 304 procède au conditionnement et à l'expédition des cartes personnalisées.
*** Centre de gestion ***
Le centre de gestion 210 permet la gestion et le stockage des données utilisées dans la présente invention : clés, autorisation d'activation, stockage des données personnelles, etc.
La figure 4, montre un exemple d'architecture de l'hébergement des bases de données d'un serveur de gestion 210.
Le centre de gestion 210 comprend un réseau interne « neutre » 400, appelé zone démilitarisée DMZ1 qui protège le centre de l'accès direct aux serveurs depuis l'extérieur, illustré ici par le lien pour le transfert sécurisé de clés 212 vers le centre de personnalisation 300, ou par tout type de réseau externe 402 à partir duquel le client et son terminal 216 pourront émettre des requêtes .
Le DMZ 400 permet donc d'éviter l'accès direct au serveur de clés 228, au serveur de mise en service des cartes et d'activation 230 et au serveur de sauvegarde de carte 232. A chacun de ces serveurs est associé un serveur de stockage (404, 406 et 408) pilotant des bases de données de stockage (414a-414d, 416a-416d et 418a-418f). A des fins de sécurité, un centre de sauvegarde 410 est associé au centre de gestion 210 pour effectuer une sauvegarde des données du centre. Illustré par la figure 4, ce centre de sauvegarde 410 est une réplique du serveur de sauvegarde de carte 232 : serveur (232'), serveur de stockage (408') et bases de données (418a'-418f ' ) . La sauvegarde des données du centre 2110 est réalisée de manière périodique, par exemple quotidienne.
*** Personnalisation des SMMC ***
En sortie de fabrication, les SMMC 206 sont vierges. La personnalisation, comme illustrée par la figure 5, consiste à charger, dans les cartes, le système d'exploitation, l'application de sauvegarde et l'application du dossier personnel du porteur, depuis le serveur des systèmes d'exploitation et des applications 306.
L ' accès à la carte se fait par un mécanisme d'authentification par la présentation d'une clé primaire dite de transport.
Lors de la personnalisation par la machine de personnalisation 310, la clé de transport est présentée et, est remplacée par la clé d'administration (générée par un serveur de clés), un code secret (PIN Code) est aussi généré par le serveur 308 et inscrit dans la carte. L'organisation de la mémoire peut débuter par la création des répertoires du système d'exploitation, des applications de sauvegarde et du dossier personnel. Un numéro d'identification unique est inscrit dans la puce. En même temps, le numéro unique et le code secret utilisateur (PIN Code) sont imprimés et cachés par un revêtement opaque et pelable (scratch) , sur une feuille qui sera jointe à la puce. C'est l'opération réalisée par l'entité 302. Ensuite les cartes sont conditionnées, avec un CD-ROM d'installation, par l'entité de conditionnement et expédition 304.
Pour utiliser sa carte, l'usager va s'identifier afin d'activer sa carte. Il se connecte sur le site du centre, dans lequel il va remplir une fiche d'identification, qu'il signera électroniquement. Ensuite le centre transmettra à la SMMC sa clé d' activation. Le porteur peut ensuite utiliser sa carte avec les utilitaires qui lui ont été fournis .
*** Activation des applications ***
Les intégrateurs d'application 218 qui désirent que leurs prospects puissent utiliser leur SMMC, feront une demande d'accès et de réservation d'un espace mémoire dans les mémoires des cartes SMMC.
Illustré par les figures 6 et 7, lorsqu'un porteur de SMMC 216 désire utiliser une application proposée par un intégrateur . 218, il se connecte via un terminal de l'application 602 ou son propre terminal 600, au serveur du centre de gestion d' activation 230. Après 1" authentification, l'identification, la signature électronique du porteur et l ' identification de l'application, le serveur 230 transfert vers la SMMC 214, une clé d'accès à l'espace mémoire réservé pour cette application. Elle peut aussi charger le logiciel de l'application. Le système d'exploitation de la SMMC 214 crée le répertoire de l ' application dans l ' espace mémoire réservé et installe l'application, qui est alors activée et prête à l'utilisation.
La figure 6 propose un premier mode d' activation, utilisant un terminal applicatif. Les différentes étapes sont les suivants : 1- De la SMMC 214 au terminal usager 600, transmission de l'identification SMMC, des données du porteur (signature électronique), de la demande d'activation application et saisie du code PIN ;
2- Vers le terminal transactionnel applicatif 602 : identification SMMC, données du porteur SMMC et demande d' activation application ; 3- Vers le serveur d'activation des applications 230 : identification Application, identification SMMC, données du porteur SMMC et demande d ' activation ;
4- Au serveur de clés 228 : identification application et demande de clé ;
Les informations permettant l' activation de l'application pour l'utilisateur 216 sont ensuite transmises le long de la même chaîne de diffusion, dans le sens inverse : 5- au serveur 230 : transfert de la clé et taille espace mémoire ;
6- au terminal applicatif 602 : si l'identification est OK alors transfert de la clé ; 7- au terminal usager 600 : transfert de la clé ;
8- à la carte SMMC 214 : décryptage de la clé puis création du répertoire et affectation de l'espace mémoire à l'application.
La figure 7 propose un deuxième mode d'activation, utilisant uniquement le terminal usager. Les différentes étapes sont les suivants :
1- De la SMMC 214 au terminal usager 600, transmission de l'identification SMMC, des données du porteur, de la demande d'activation application et saisie du code PIN ;
2- Vers le serveur d'activation des applications 230 : identification
Application, identification SMMC, données du porteur SMMC et demande d ' activation ;
3- Au serveur de clés 228 : identification application et demande de clé ; En retour,
4- au serveur 230 : transfert de la clé et taille espace mémoire ;
5- au terminal usager 600 : si l'identification est OK alors transfert de la clé ;
6- à la carte SMMC 214 : décryptage de la clé puis création du répertoire et affectation de l'espace mémoire à l'application.
*** Sauvegarde des données ***
Ce système d'utilisation de carte à puce classique ou SMMC comporte un risque, celui de la perte de la carte et donc des données contenues à l'intérieur. Une solution à cette problématique est fournie dans la présente invention et illustrée par la figure 8.
Le porteur peut s ' abonner à un service de sauvegarde par lequel, périodiquement, à partir d'un terminal 600 communiquant à grand débit, il pourra faire la sauvegarde vers le centre de sauvegarde 232. Après authentification, identification et signature électronique - du porteur, les données sont transmises cryptées vers le centre 232 et elles sont conservées cryptées dans les bases de données dédiées (418a-418f et 418a'-418f ' ) . En cas de perte de la carte, le porteur de la carte va acheter une nouvelle carte et va faire une demande en ligne de restauration des données. Après authentification, identification et signature électronique, l'ordre de transfert des données peut être validé.
Les différentes étapes mises en œuvre dans cette fonctionnalité sont les suivantes :
1- De la SMMC 214 au terminal usager 600, transmission de l'identification SMMC, des données du porteur, de la demande de sauvegarde et saisie du code PIN ;
2- Au serveur de sauvegarde 232 : identification SMMC, données du porteur SMMC et demande de sauvegarde ;
Le serveur de sauvegarde 232 émet alors un message d'identification effectuée (3- et 4-) jusqu'à la carte SMMC 214. Ensuite, la carte 214 émet les données à sauvegarder au serveur de sauvegarde 232, via le terminal 600 (5- et 6).
De façon analogue, la demande de restauration des données procède de façon similaire. A réception de la demande de restauration et des informations d'identification, le serveur de sauvegarde 232 retourne les données sauvegardées associées à l'identification SMMC.
*** Les applications ***
Les applications qui peuvent utiliser les SMMC sont multiples et concernent, entre autres, les domaines suivants :
- chargements sécurisés des films vidéo
- chargements de pièces musicales et chants
- chargement de jeux - santé (dossier médical général ou spécifique) - sécurité (contrôle d'accès physique ou logique)
- Signature électronique
- paiement bancaire
- paiement privatif - fidélité
- transport
- tourisme
- E-Adininistration
La figure 9 illustre le fonctionnement d'une application :
1- la SMMC 214 transmet au terminal usager 600 , l'identification SMMC, les données du porteur et le code PIN saisi ; 2- Du terminal 600 au terminal transactionnel applicatif 602, transmission de l'identification SMMC, des données du porteur et du code PIN saisi (si besoin d'identification) ; 3- Le terminal transactionnel applicatif
602 fourni les données transactionnelles de l'application vers un serveur de télécollecte des applications 912 ;
4- Le serveur de télécollecte des applications 912 transmet les informations de transactions à un serveur de gestion des transactions 914 ;
Puis, il transmet les informations de la transaction applicative, ainsi que la validation de l'identification, à la carte SMMC 214 via, les terminaux 602 et 600 (5-, 6- et 7-).
La figure 10, représente l'architecture générique des applications . Les usagers 216 et les gestionnaires d'application 218 ont accès au centre de gestion d'application 900 au travers de tout type de réseau 402, par exemple numérique. Une zone démilitarisée 902 assure que les serveurs du centre 900 ne sont pas directement accessibles depuis l'extérieur.
Le centre 900 comprend également un serveur d'application 904 relié à un serveur de sauvegarde 906 et un serveur de stockage 908, lui-même relié à des bases de données 910a-910d, et un serveur de télécollecte 912 relié à un serveur de traitement 914 pilotant également le serveur de stockage 908.
Lorsque l'usager désire effectuer une transaction applicative, il se connecte au serveur de télécollecte 912 au travers de son terminal usager 600 et d'un terminal transactionnel applicatif 602. Les données de la transaction son ensuite transmises au serveur de télécollecte 912, le serveur de traitement 914 effectuant les opérations nécessaires à la transaction.
La description qui suit se réfère à un exemple préféré de mise en œuvre d'une fabrication et d'utilisation de cartes comprenant une personnalisation primaire fonction de l'usager, et des personnalisations secondaires fonctions d'une pluralité de services.
La mise en œuvre de l'invention se traduit par la remise à chaque utilisateur d'une carte personnalisée avec trois niveaux de personnalisation : - le premier niveau de personnalisation, ou « personnalisation initiale » concerne l'identification unique du support de la mémoire vive dans laquelle seront chargées les applications d'un utilisateur. Cette personnalisation initiale est préférentiellement réalisée lors de la fabrication physique du support, en usine. Elle consiste à enregistrer en mémoire EEPROM ou en mémoire protégée un identifiant unique du support physique, et un certificat d'authenticité de la carte accompagné d'un couple de clé privée et clé publique.
Cette étape de personnalisation initiale comprend une première étape chargement: - de la Clé administrative, du code secret (PIN Code), de la Clé publique, de la Clé privée, certificat racine, - du Certificat de la clé public, du N° d'identification unique.
Après cette personnalisation initiale, on procède en usine à des contrôles techniques et d'applications génériques : test et organisation de la mémoire, créations des répertoires systèmes, chargement des applications systèmes gestion des fichiers, module de chargement, fonctions carte à puce (si elles ne sont pas incluses dans
I1OS), chargement des applications de base (sauvegarde, dossier personnel, agenda/ répertoires) . En même temps Le numéro unique et le code secret utilisateur (PIN Code) est imprimé et caché par un scratch, sur une feuille qui sera jointe à la puce.
Ensuite les cartes sont conditionnées, avec une notice d'explication pour initialiser la carte. Le second niveau de personnalisation, ou « personnalisation primaire » concerne l'identification de l'utilisateur destinataire de la carte ayant été identifiée par une personnalisation initiale. Cette personnalisation primaire intervient lors de la première activation de la carte. Elle consiste enregistrer des données d'identification uniques de l'usager destinataire, en mémoire EEPROM ou en mémoire protégée. Ces données d'identification sont associées à un certificat d'authenticité de la carte accompagné d'un couple de clé privée et clé publique, et enregistrées dans un annuaire sécurisé, sur un serveur d'une autorité de confiance.
Le troisième niveau de personnalisation, ou « personnalisation secondaire » , concerne l'identification d'un service accessible à l'utilisateur détenteur de la carte susvisée.
Elle consiste enregistrer des données d'identification uniques d'une application ou d'un service, en mémoire EEPROM ou en mémoire protégée. Ces données d'identification autorisent l'installation d'une application dans ladite carte. Ces données d'identification sont associées à un certificat d'authenticité de la carte accompagné d'un couple de clé privée et clé publique, et enregistrées dans un annuaire sécurisé, sur un serveur d'une autorité de confiance.
Les fournisseurs de service disposent d'une plateforme de développement permettant de développer une application susceptible d'être chargée sur les cartes susvisées. Cette application est agréée par l'autorité de confiance, qui fournit une signature de l'application permettant le chargement sur les cartes, dans le cadre de la personnalisation secondaire.
Un usager possesseur d'un terminal (téléphone mobile, Pocket PC, ordinateur personnel, ordinateur portable, appareil photographique numérique, caméscope numérique, lecteur DVD, etc ...) équipé du connecteur de SMMC, peut télécharger des applications qui vont générer des transactions et stocker des données numériques, qu'il pourra utiliser pour des usages professionnels ou privés.
Un mécanisme de sécurisation de la gestion de l'espace mémoire et de sa sauvegarde, complète la chaîne fonctionnelle .
Pour contrôler la gestion de l'espace mémoire des cartes, les opérateurs ou intégrateur d'applications, devront faire une demande d'autorisation d'accès et d'allocation de l'espace mémoire.
Lorsqu'un porteur de carte veut utiliser une application, il devra se connecter soit avec son terminal personnel ou celui de l'application, au centre d' activation, qui après authentification, l'identification et la validation du mot de passe, lui transmettra une clé d'accès et la taille de l'espace mémoire autorisé.
Périodiquement l'utilisateur effectue une sauvegarde de ses données enregistrée dans sa carte.
La mise en service des SMMC est fait selon le procédé suivant : personnalisation des cartes activation de la carte - activation du ou des applications sauvegarde des données
La colonne vertébrale des SMMC est la sécurisation des informations du porteur. La révolution de ce marché est qu'il ne sera plus proposer une carte à puce pour accéder à un service, mais que l'usager va choisir un service auquel sa SMMC va accéder de manière sécurisée.
Pour garantir cette sécurisation, il va falloir créer un centre de gestion des clés de personnalisation, de mise en service de la carte et d'activation des applications, de sauvegarde des données de chaque usager.
Les figures 11 à 13 représentent le schéma d'activation d'une carte selon l'invention. A la première utilisation, l'usager (104) va s'identifier pour activer sa carte. Il se connecte sur le serveur d'activation du centre (102), dans lequel il va remplir une fiche d'identification, qu'il signera électroniquement. Ensuite le centre transmettra à la SMMC sa clé d'activation. Le porteur (104) peut ensuite utiliser sa carte avec les utilitaires qui lui ont été fournis .
La procédure d'identification est la suivante : Etape 1 SMMC/Terminal : saisie Pin Code Etape 2 SMMC: envoi de la clé publique SMMC.
Etape 3 Serveur : vérification de la validité de la clé publique de la carte et de son certificat.
Etape 4 Serveur: Envoi clé publique serveur vers SMMC. Etape 5 SMMC : Contrôle de la validité de la clé publique du serveur, génération d'une clé symétrique chiffrée avec la clé publique du serveur et signée avec sa clé privée.
Etape 6 SMMC/Serveur : Identification OK et connexion sécurisée avec la clé symétrique. Etape 7 Saisie des données personnelles du porteur.
Etape 8 générations des clés publique et privée de chiffrement utilisateur. Etape 9 générations des clés publique et privée de signature utilisateur.
Les figures 12 et 13 représentent les différentes étapes de personnalisation d'une carte et l'architecture d'un système de personnalisation selon l'invention.
La saisie du code PIN permet au terminal (104) usager ou applicatif d'accéder à la carte à personnalisation. Le terminal émet ensuite une requête d'activation de ladite carte. Cette carte se connecte alors sur le serveur d'activation (102) par le biais d'une requête d'activation comprenant l'envoi de la clé publique enregistrée dans l'EEPROM ou la mémoire sécurisée lors de l'étape de personnalisation initiale.
Le serveur d'activation (102) émet une requête sur l'annuaire (101) pour vérifier l'authenticité de ladite carte. L'annuaire (101) renvoie la clé publique du certificat qui permet de contrôle le certificat de la carte sur le serveur d'activation (102).
L'annuaire (101) renvoie la clé publique certifiée du serveur d'activation (102).
La carte fait ensuite une requête auprès de l'annuaire LDAP (serveur de confiance 101) pour vérifier et authentifier le serveur d'activation (102). L'annuaire (101) renvoie alors la clé publique du serveur d'activation (102), qui permet à la carte de vérifier le certificat et donc l'authenticité du serveur d'activation (102). La carte génère et échange des clés symétriques avec le serveur d'activation (102). L'utilisateur saisit ses données personnelles. Ces données sont optionnellement enregistrées sur un serveur d'autorité d'enregistrement (103). La carte génère alors des clés publique et privée de chiffrement du porteur, et des clés publique et privée de signature du porteur.
La carte fait une demande de certificat LDAP (101) au serveur de l'autorité de certification (100), qui lui retourne le certificat de clé publique de chiffrement « porteur » .
Ensuite, la carte une demande de certificat LDAP (101) au serveur de l'autorité de certification (100), qui lui retourne le certificat de clé publique de signature « porteur » .
Après ces opérations, le porteur est identifié et authentifié auprès du centre de confiance, et inscrit dans l'annuaire de référence. Il peut alors charger des applications nouvelles pour la personnalisation secondaire, et mettre en œuvre ses applications lorsqu'elle prévoit des étapes d'identification et/ou de signature.
La figure 14 représente le schéma de du chargement d'une nouvelle application, ou d'activation d'une application préchargée, par un terminal applicatif dédié à une application. Les intégrateurs d'application qui désirent que leurs prospects puissent utiliser leur SMMC, feront une demande d'accès et de réservation d'un espace mémoire.
Lorsqu'un porteur de SMMC désire utiliser une application proposée par un intégrateur, il se connecte via un terminal de l'application ou son propre terminal,, au serveur du centre de gestion d1 activation. Après le processus d'identification du porteur et l'identification de l'application, le serveur pré charge l'application et son certificat, la SMMC contrôle le certificat, s'il est correct alors l ' application est chargée dans une zone mémoire sécurisée. Le système d'exploitation de la SMMC crée le répertoire de l ' application dans l ' espace mémoire réservé et installe l'application, qui est alors activée et prête à l'utilisation.
La figure 15 représente le schéma de chargement et d' activation d'une application certifié par une autorité de certification / agréée. Cette opération comprend les étapes suivantes : - Pré-chargement de l'application et de son certificat
- Si le certificat de l'autorité de certification n'est pas présent dans la base des certificats agréés alors chargement et vérification du certificat de l'autorité de certification
- Vérification du certificat de l'application
- Copie en zone applicative sécurisé
- Réservation de mémoire minimum et quota maximum.
Les données d'une carte sont préférentiellement sauvegardées pour permettre la restitution d'une carte perdue ou endommagée. En effet, le système d'utilisation de carte à puce classique ou SMMC comporte un risque, celui de la perte de la carte.
Le porteur peut s ' abonner à un service de sauvegarde où périodique à partir d'un terminal communiquant à grand débit, il pourra faire la sauvegarde vers le centre de sauvegarde. Après authentification, identification et signature électronique du porteur, les données sont transmises cryptées vers le centre et elles sont conservées cryptées .
En cas de perte de la carte, le porteur de la carte va acheter une nouvelle carte et va faire une demande en ligne de restauration des données. Après authentification, identification et signature électronique, l'ordre de transfert des données peut être validé.
Plusieurs type de sauvegarde (complète, incrémentale, partielle,..) sont possibles :
1) Les fichiers déjà sauvegardés auparavant sont, par défaut, à sauvegarder.
2) Les fichiers non déjà sauvegardés ne sont pas, par défaut, à sauvegarder
3) L'utilisateur doit sélectionner les nouveaux fichiers à sauvegarder
Pour La sauvegarde, les clefs privées de chiffrements et de signatures sont chiffrées par un algorithme symétrique, la clef de chiffrement et diversifiée par un mot de passe choisi par l'utilisateur. Sur décision de l'utilisateur et afin de se prémunir contre la perte de son mot de passe, la clef de chiffrement peut être chiffré par une clef publique du centre de gestion et stockée dans ce centre.
Pour effectuer la sauvegarde il faut créer:
- un site de sauvegarde,
- définir la procédure de sauvegarde,
- l'enregistrement dans un coffre fort électronique, - procédure et mode de cryptage des données (gestion des clés et relation avec le certificat personnel de l'usager) ,
- procédure de restauration des données sur une nouvelle carte.

Claims

REVENDICATIONS
1. Procédé d'exploitation d'une carte mémoire (214) comprenant une mémoire vive (16), caractérisé en ce que ladite carte mémoire (214) est personnalisée, ladite mémoire vive comprenant alors des zones mémoires bloquées et dédiées chacune à des applications, le procédé consistant à réaliser une personnalisation initiale fonction du support physique de la mémoire vive (16), suivie par une personnalisation primaire fonction du destinataire de la carte, et au moins une personnalisation secondaire de la carte ayant fait l'objet d'une personnalisation initiale et d'une personnalisation primaire, ladite personnalisation secondaire étant fonction d'un service, et en ce qu'il comprend une étape d'activation d'une application par transmission d'une clé d'accès à la zone mémoire associée à ladite application.
2. Procédé d'exploitation d'une carte mémoire (214) selon la revendication précédente, caractérisé en ce que ladite étape d'activation consiste en, successivement :
- la connexion de ladite carte mémoire (214) à un centre de gestion d'activation (230) via un terminal (600, 602) ; - la transmission au centre 230, sous forme de demande d'activation, des données d'identification de ladite carte, des données du porteur de la carte et de l'identification de l'application à activer ;
- en retour, si l'identification de la carte est validée, la transmission, par ledit centre 230, de ladite clé d'accès associée à l'application à activer audit terminal, lequel décrypte la clé permettant l'allocation de l'espace mémoire nécessaire à l'hébergement de ladite application.
3. Procédé d'exploitation d'une carte mémoire (214) selon la revendication précédente, caractérisé en ce qu'il comprend, en outre, le téléchargement, sur ladite carte mémoire, du logiciel de ladite application en retour de la demande d'activation.
4. Procédé d'exploitation d'une carte mémoire (214) selon l'une des revendications 2 et 3, caractérisé en ce que ladite carte mémoire est connectée à un terminal usager 600, lequel est connecté à un deuxième terminal transactionnel d'application 602 et en ce que lesdites transmissions de données du et vers le centre 230 sont effectuées via les deux terminaux 600 et 602.
5. Procédé d'exploitation d'une carte mémoire (214) selon la revendication 1, caractérisé en ce qu'il comprend, au préalable, une étape de personnalisation de ladite carte, cette étape consistant à charger le système d'exploitation, au moins une application de sauvegarde et une application du dossier personnel dans la carte et à organiser la mémoire par la création des répertoires du système d'exploitation.
6. Procédé d'exploitation d'une carte mémoire (214) selon l'une des revendications précédentes, caractérisé en ce que, lors du procédé, ladite carte mémoire est une carte multimédia sécurisée SMMC.
7. Procédé d'exploitation d'une carte mémoire (214) selon l'une des revendications précédentes, caractérisé en ce qu'il comprend, en outre, une étape de sauvegarde des données contenues dans ladite carte, ladite étape de sauvegarde consistant à transmettre, à un serveur de sauvegarde 232 et sous forme de demande de sauvegarde, des données d'identification de ladite carte et des données du porteur de la carte, et en retour de la validation de l'identification, la transmission des données à sauvegarder audit serveur de sauvegarde 232.
8. Procédé d'exploitation d'une carte mémoire (214) selon la revendication 1, caractérisé en ce qu'il comprend, en outre, une étape de transaction par ladite application activée, cette étape consistant à transmettre, à un terminal transactionnel applicatif 602 et sous forme de demande de transaction, des données d'identification de ladite carte, des données du porteur de la carte et de l'identification de l'application à activer, et en retour, à l'acceptation de l'identification par un centre de gestion des applications 900, recevoir les données de transaction.
9. Procédé d'exploitation d'une carte mémoire (214) selon la revendication 1, caractérisé en ce qu'il comporte une première étape de « personnalisation initiale » pour l'identification unique du support de la mémoire vive dans laquelle seront chargées les applications d'un utilisateur, réalisée lors de la fabrication physique du support, consistant à enregistrer en mémoire protégée un identifiant unique du support physique, et un certificat d'authenticité de la carte accompagné d'un couple de clé privée et clé publique .
10. Procédé d'exploitation d'une carte mémoire (214) selon la revendication 9, caractérisé en ce que ladite étape de personnalisation initiale comprend une première étape chargement:
- de la Clé administrative,
- du code secret (PIN Code),
- de la Clé publique, - de la Clé privée, - certificat racine,
- du Certificat de la clé public,
- du N° d'identification unique.
11. Procédé d'exploitation d'une carte mémoire (214) selon la revendication 9 ou 10 , caractérisé en ce qu'il comporte, après ladite étape personnalisation initiale, une étape de contrôles techniques et d'applications génériques et d'organisation de la mémoire, de créations des répertoires systèmes, de chargement des applications de systèmes gestion des fichiers, de module de chargement, et de chargement des applications de base (sauvegarde, dossier personnel, agenda/ répertoires).
12. Procédé d'exploitation d'une carte mémoire (214) selon la revendication 1 ou 9, caractérisé en ce qu'il comporte, lors de la première activation de la carte, une étape de personnalisation primaire consistant à enregistrer des données d'identification uniques de l'usager destinataire, en mémoire protégée, lesdites données d'identification étant associées à un certificat d'authenticité de la carte accompagné d'un couple de clé privée et clé publique, le procédé comporte en outre un enregistrement dans un annuaire sécurisé, sur un serveur d'une autorité de confiance.
13. Procédé d'exploitation d'une carte mémoire (214) selon la revendication 1 ou 9 ou 12 caractérisé en ce qu'il comporte une étape de personnalisation secondaire consistant à enregistrer des données d'identification uniques d'une application ou d'un service, en mémoire protégée, lesdites données d'identification autorisant l'installation d'une application dans ladite carte.
14. Procédé d'exploitation d'une carte mémoire (214) selon la revendication 13 caractérisé en ce qu lesdites données d'identification sont associées à un certificat d'authenticité de la carte accompagné d'un couple de clé privée et clé publique, et sont enregistrées dans un annuaire sécurisé, sur un serveur d'une autorité de confiance.
15. Carte mémoire pour la mise en œuvre du procédé selon l'une quelconque des revendications précédentes, du type carte multimédia sécurisée comprenant au moins une mémoire vive (16), un microprocesseur (12) et des bornes d'entrée-sortie (1 à 7), ladite mémoire hébergeant un système d'exploitation, caractérisée en ce que ladite mémoire vive comprend au moins une zone mémoire dédié à une application, l'accès à ladite zone mémoire étant bloqué par une clé d'accès gérée par le système d'exploitation et en ce que la mémoire protégée comporte une zone de personnalisation initiale, une zone de personnalisation primaire et une zone de personnalisation secondaire.
16. Système (210) pour la mise en œuvre du procédé selon l'une quelconque des revendications précédentes comprenant un serveur de génération et transfert de clés (228), un serveur d'activation des applications (230) et un serveur de sauvegarde (232), lesdits serveurs étant connectés à des moyens de stockage (404, 406, 408).
EP06726004A 2005-03-01 2006-03-01 Procede de transfert securise par carte securisee Ceased EP1859417A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0502073A FR2882835B1 (fr) 2005-03-01 2005-03-01 Procede de transfert securise par carte multimedia securisee
PCT/FR2006/000463 WO2006092504A1 (fr) 2005-03-01 2006-03-01 Procede de transfert securise par carte securisee

Publications (1)

Publication Number Publication Date
EP1859417A1 true EP1859417A1 (fr) 2007-11-28

Family

ID=34980302

Family Applications (1)

Application Number Title Priority Date Filing Date
EP06726004A Ceased EP1859417A1 (fr) 2005-03-01 2006-03-01 Procede de transfert securise par carte securisee

Country Status (3)

Country Link
EP (1) EP1859417A1 (fr)
FR (1) FR2882835B1 (fr)
WO (1) WO2006092504A1 (fr)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101107850B1 (ko) * 2007-07-24 2012-01-31 엔엑스피 비 브이 전송 방법, 전송 시스템, 신뢰받는 서비스 관리자, 컴퓨터 판독가능 매체 및 모바일 폰
EP2255340B1 (fr) 2008-03-10 2019-02-20 Nxp B.V. Procédé et dispositifs pour installer et accéder à des applications mifare liées
EP2286365B1 (fr) 2008-05-29 2017-03-01 Nxp B.V. Procédé et gestionnaire de services de confiance pour fournir un accès rapide et securisé à des applications sur une carte à puce

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6038551A (en) * 1996-03-11 2000-03-14 Microsoft Corporation System and method for configuring and managing resources on a multi-purpose integrated circuit card using a personal computer
PL334183A1 (en) * 1996-12-23 2000-02-14 Deutsche Bank Ag Integrated circuit containing card and method of using such card
SG92632A1 (en) * 1998-03-30 2002-11-19 Citicorp Dev Ct Inc Method and system for managing applications for a multi-function smartcard
JP4501197B2 (ja) * 2000-01-07 2010-07-14 ソニー株式会社 情報携帯処理システム、情報携帯装置のアクセス装置及び情報携帯装置
BR0202291A (pt) * 2001-01-31 2003-06-10 Ntt Docomo Inc Aperfeiçoamento introduzido em método e aparado para a entrega de um programa para o módulo de armazenagem de um terminal móvel
JP2004102698A (ja) * 2002-09-10 2004-04-02 Ntt Docomo Inc ダウンロード方法、領域管理装置、携帯通信端末、プログラムおよび記録媒体
US7360691B2 (en) * 2004-02-02 2008-04-22 Matsushita Electric Industrial Co., Ltd. Secure device and mobile terminal which carry out data exchange between card applications

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2006092504A1 *

Also Published As

Publication number Publication date
FR2882835A1 (fr) 2006-09-08
FR2882835B1 (fr) 2007-09-07
WO2006092504A1 (fr) 2006-09-08

Similar Documents

Publication Publication Date Title
EP1510037B1 (fr) Procede et systeme de verification de signatures electroniques et carte a microcircuit pour la mise en oeuvre du procede
EP1362466A1 (fr) Systeme de paiement electronique a distance
EP1238322A2 (fr) Systeme informatique pour application a acces par accreditation
EP1908215A1 (fr) Procédé de contrôle de transactions sécurisées mettant en oeuvre un dispositif physique unique à bi-clés multiples, dispositif physique, système et programme d'ordinateur correspondants
EP1690240A1 (fr) Procede et systeme de location automatique de bicyclettes
US20050027991A1 (en) System and method for digital rights management
EP1911194A1 (fr) Procede de controle de transactions securisees mettant en oeuvre un dispositif physique unique, dispositif physique, systeme, et programme d'ordinateur correspondants
EP3189485A1 (fr) Gestion de ticket électronique
WO2016207715A1 (fr) Gestion securisee de jetons électroniques dans un telephone mobile.
WO2006092504A1 (fr) Procede de transfert securise par carte securisee
FR3035248A1 (fr) Systeme-sur-puce a fonctionnement securise et ses utilisations
WO2000042731A1 (fr) Procede de chargement securise de donnees entre des modules de securite
WO2009016327A2 (fr) Gestion et partage de coffres-forts dematerialises
EP3095223B1 (fr) Méthode de transmission de données chiffrées, méthode de réception, dispositifs et programmes d'ordinateur correspondants
EP1299837A1 (fr) Procede de distribution commerciale en ligne de biens numeriques par l'intermediaire d'un reseau de communication et dispositif electronique d'achat de biens numeriques distribues par ce procede
EP1749415A2 (fr) Procedes de securisation d'appareils tels que des terminaux mobiles, et ensembles securises comprenant de tels appareils
FR2730076A1 (fr) Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants
FR2898423A1 (fr) Procede securise de configuration d'un dispositif de generation de signature electronique.
EP2831829B1 (fr) Procédé et système de fourniture d'un ticket numérique pour l'accès à au moins un objet numérique
FR3137769A1 (fr) Procédé de sauvegarde de données personnelles sensibles sur une chaîne de blocs
WO2021123527A1 (fr) Procede et dispositif de gestion d'une autorisation d'acces a un service de paiement fourni a un utilisateur
FR3018021A1 (fr) Procede et systeme de securisation de transactions offertes par une pluralite de services entre un appareil mobile d'un utilisateur et un point d'acceptation
FR2973184A1 (fr) Procede de generation et d'utilisation d'un titre dematerialise dans un dispositif portable et systeme de gestion de titres correspondant
FR3007929A1 (fr) Procede d'authentification d'un utilisateur d'un terminal mobile
FR2927750A1 (fr) Terminal de paiement electronique pour l'echange de donnees securise sur un reseau ouvert

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20070912

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20080904

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20111127