EP2084679A1 - Portable electronic entity and method for remotely blocking a functionality of said portable electronic entity - Google Patents

Portable electronic entity and method for remotely blocking a functionality of said portable electronic entity

Info

Publication number
EP2084679A1
EP2084679A1 EP07866428A EP07866428A EP2084679A1 EP 2084679 A1 EP2084679 A1 EP 2084679A1 EP 07866428 A EP07866428 A EP 07866428A EP 07866428 A EP07866428 A EP 07866428A EP 2084679 A1 EP2084679 A1 EP 2084679A1
Authority
EP
European Patent Office
Prior art keywords
electronic entity
revocation
authorization
message
functionality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP07866428A
Other languages
German (de)
French (fr)
Inventor
Marc Bertin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia France SAS
Original Assignee
Oberthur Technologies SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oberthur Technologies SA filed Critical Oberthur Technologies SA
Publication of EP2084679A1 publication Critical patent/EP2084679A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data

Definitions

  • the present invention relates to a portable electronic entity and a method of remotely blocking a functionality of such a portable electronic entity.
  • the invention is particularly concerned with portable and removable electronic entities, preferably comprising a non-volatile memory and a microcontroller.
  • portable and removable electronic entities consist of an electronic key called "USB” (acronym for "Universal Serial Bus” for universal serial bus), that is to say a key whose physical interface with a host computer is compliant to the USB specification, and able to communicate according to a protocol compliant with the USB specification, a microcircuit card, for example a microcircuit card compliant with the ISO7816 standard, or an MMC card (acronym for "MultiMedia Card”).
  • Removable portable electronic entities are known that offer various features or services, for example:
  • USB memory keys which can be connected to a host station for storing, for example, data stored by this host station,
  • smart cards (compliant with the ISO7816 standard) that can, for example, be connected to a host station via a reader, or a USB key, to secure an internet transaction,
  • the issuer or service provider who owns the portable electronic entity is able to revoke certain electronic entities, for example when a holder of an electronic entity has stopped paying his subscription or when an electronic entity has been lost or stolen.
  • a typical solution for allowing this revocation is that the host stations on which the electronic entity connects to implement said functionality or provide said service or the servers that collaborate with the electronic entity to implement said functionality or provide said service can access "black" lists of portable electronic entities, which prohibit service or functionality for the revoked electronic entity.
  • Such an approach has the disadvantage of requiring that the black lists of host stations and servers are frequently updated, which is expensive and sometimes impossible.
  • a revoked electronic entity may continue to contribute to implementing said service in collaboration with a remote station or server whose blacklist has not yet been updated. The use of such a blacklist is not always feasible.
  • a conventional solution is to send revocation messages to the electronic entity.
  • a person attempting to fraudulently use the electronic entity may intercept and block said revocation messages by implementing, for example, the necessary means within the host station to which the electronic entity is connected.
  • the present invention aims to remedy these disadvantages.
  • the present invention provides a method for revoking and authorizing a feature of a portable electronic entity, which comprises: a step of determining the status of the electronic entity, by a server, from the identifier of said electronic entity, a step of sending to the electronic entity, by the server, according to said status, either of a message of revocation of said functionality, or of an authorization message of said functionality, said messages of revocation and authorization can not be distinguished, except by means of a secret memorized by the electronic entity,
  • the authorization and revocation messages have the same length, in number of data transmitted. Thanks to these provisions, the length of the messages can not be used to distinguish them.
  • said revocation step is irreversible.
  • the revocation can, for example, revoke the authorization mechanism of at least one feature.
  • the revocation step preferably renders inoperative the subsequent reception of an authorization message of the functionality.
  • said revocation step renders the electronic entity completely unusable. Thus, there is no more risk that the electronic entity is used fraudulently later.
  • said revocation step disables said functionality. Thanks to these provisions, the present invention can be used to suspend rights to services when the subscriber of these rights has not paid the amount of these subscriptions.
  • the method as briefly described above comprises a step of connecting said electronic entity to a host station and a step of transmitting the identifier of the electronic entity from said portable electronic entity to the server, by via a communication network.
  • said portable electronic entity is an electronic key known as "USB” (acronym for “Universal Serial Bus”), that is to say a key whose physical interface with a host computer is compliant with the USB specification, and able to communicate according to a protocol compliant with the USB specification.
  • USB an electronic key known as "USB” (acronym for "Universal Serial Bus”)
  • the step of determining the status is preceded by a step of sending an authorization request from the electronic entity to the server. Thanks to these provisions, the electronic entity, and therefore the issuer or the service provider owning the electronic entity can control the times at which the electronic entity can be revoked by the server.
  • the step of transmitting a request includes a step of authenticating the electronic entity. Thanks to these provisions, server attacks are avoided by a falsified electronic entity.
  • the step of issuing an authorization request takes place each time the electronic entity is powered up. It is thus sure that, as soon as the server is informed of the revocation of a feature on a portable electronic entity, it can no longer use this feature.
  • the method as briefly described above includes a step of signing, by the server, each authorization or revocation message.
  • These provisions prevent a virus or other malicious software on the host station may revoke one or all of the functionalities of the portable electronic entity.
  • the method as briefly described above includes a step of encryption, by the server, of each authorization or revocation message. This provides a simple and easy way to make the authorization and revocation messages indistinguishable.
  • the authorization and revocation messages recognized by the portable electronic entity are variable over time. Thus, they can be transmitted in the clear, but they have a different meaning over time, for example depending on the value of shared information, typically unknown to an attacker (for example, a counter of messages exchanged, messages authorization and revocation having, for example, inverted meanings when the counter is odd).
  • the authorization and / or revocation messages are for single use only. Thus, they can only be used once, which prohibits the use of a copied message to trigger a subsequent authorization.
  • an automatic launching of a communication application with the server is performed. This automatic loading can be carried out, for example, in the form of an application "autorun.exe” which starts automatically when the host station reads the contents of the portable electronic entity. In this way the application is easily launched without complex manipulation for the user.
  • the present invention relates to a portable electronic entity, which comprises:
  • a means of communicating an identifier means for producing, at least partially, a functionality
  • a revocation means adapted to revoke said functionality if the message is a revocation message
  • an authorization means adapted to authorize said functionality if the message is an authorization message.
  • FIG. 1 represents, schematically, an embodiment particular of the electronic entity object of the present invention connected to a host station and to a remote authorization server and
  • FIG. 2 represents, in the form of a logic diagram, the steps implemented in a particular embodiment of the method that is the subject of the present invention.
  • FIG. 1 shows a server 100 holding a database 110 of portable electronic entity statuses and connected to a communication network, or computer network 130, for example the Internet.
  • a server 120 implements services accessible to carriers of portable electronic entities.
  • a host station 140 is also connected to the network 130 and, via a connector 150, to a portable electronic entity 160 object of the present invention.
  • the host station 140 is, for example, a general purpose computer, or personal computer.
  • the portable electronic entity 160 comprises, in addition to a portion of the connector 150, a hub 165, a microcontroller 170, a non-volatile memory 175.
  • the microcontroller 170 includes a memory (not shown) retaining at least one secret necessary to decrypt a message and / or verify its signature, for example in the form of cryptographic keys.
  • the memory 175 retains a program 180 implementing, in collaboration with the microcontroller 170, connection and / or transaction securing.
  • the program 180 also implements functionalities of the portable electronic entity 160, for example banking transaction functionalities.
  • the memory 175 also retains an electronic address 185 of the server 100 and an identifier 190 of the portable electronic entity 160.
  • the hub 165 allows the communication of the host station with, on the one hand, the microcontroller 170 and, on the other hand, the nonvolatile memory 175.
  • the microcontroller 170 is of secure type, such as, for example a chip card microcontroller and includes an EEPROM memory (not shown). If it is secure, preferably the microcontroller complies with FIPS security requirements (acronym for "Federal
  • the non-volatile memory 175 is, for example, a flash memory.
  • the memory 175 is associated with a controller simulating a compact disc player, or CD-ROM.
  • the program 180 and the server 120 correspond, for example, to at least one functionality of banking applications, mobile telephony, identification, access an online service (voice over IP, for example) or pay television.
  • the program 180 is preferably of automatic launching type as soon as the portable electronic entity is powered via the connector 150.
  • the program 180 is, for example, of type
  • the program 180 is preferentially available in the memory 175 of the portable electronic entity 160, in several versions adapted to operate on different types of host station 200, for example with different operating systems.
  • the program implements cryptographic means.
  • the e-mail address 185 of the server 100 is, for example, a URL (acronym for "Universal Resource Locator” for universal resource locator).
  • the identifier of the portable electronic entity 190 is a unique identifier, that is to say that there are no two portable electronic entities that have the same identifier.
  • the portable electronic entity 160 is directly connected to the server 100 via a passive host station, for example of the portable electronic entity reader type.
  • the portable electronic entity 160 includes, for example, a contactless communication interface, preferably a short-range contactless contact interface. It can thus be a contactless smart card or dual interface (both non-contact and contact interface) for example in accordance with the IS014443 standard.
  • the portable electronic entity may also be a passport comprising in the thickness of its cover a secure microcontroller provided with contactless communication means in accordance with the ISO14443 standard. Communication with such an electronic entity can be achieved using the contactless interface, or the contact interface if the electronic entity also includes one.
  • the network 130 is a mobile communication network.
  • the portable electronic entity may be, for example, a USB key, a smart card or an MMC card.
  • FIG. 2 shows that, upon connection of the portable electronic entity 160 to the host station 140, step 205, the portable electronic entity is powered by the host station during a step 210.
  • the program 180 automatically loads into the memory of the host station 140, possibly after a selection, for example depending on the operating system of the host station 140.
  • the program 180 automatically starts on the host station 140.
  • the loading and automatic launching of the program 180 can be performed, for example, in the form of an "autorun.exe" application which is automatically launched when the host station 140 accesses the contents of the portable electronic entity 160. In this way the program 180 is easily launched without complex manipulation for the user.
  • the program 180 launched on the host station 140 connects to the server 100, implementing the e-mail address 185 of the server 100.
  • the program s' authenticates by implementing its cryptographic means and those of the portable electronic entity 160. With the authentication of the portable electronic entity 160, it is avoided, at the server 100, attacks by a falsified or simulated electronic entity.
  • the program 180 launched on the host station 140 sends, to the server 100, an authorization request for use of at least one feature, this request representing the identifier 190.
  • the server performs a search, in the database 110, of the status of each required functionality for the portable electronic entity, by implementing the identifier 190.
  • the server determines whether the status of the required functionality of the portable electronic entity is "authorized” or "revoked”. If the status is "revoked", during a step 245, the server 100 sends to the microcontroller 170, via the network 130 and the program 180 launched on the host station 140, a response formed of a message of signed and encrypted revocation.
  • the microcontroller 170 verifies the signature of the server 100. For example, the server uses a private key whose portable electronic entity knows or can know the public key. It is observed that, thanks to the signature of the messages, it is avoided that a virus or another malicious software present on the host station 140 can revoke one or all the functionalities of the portable electronic entity 160.
  • the microcontroller 170 decrypts the received message. For example, the server uses a public key whose portable electronic entity retains the associated private key. Then, during a step 255, the microcontroller 170 interprets the received message, that is to say determines whether it means a revocation, as in this case, or authorization. In the case where, as here, it is a revocation, the microcontroller 170 writes in its EEPROM, verified at each power up, a binary information representative of a "revoked" status of each required functionality. The microcontroller 170 then sends the program 180 a message blocking each revoked feature. In the case where all the features of the program 180 are revoked, the microcontroller no longer responds to the messages that are transmitted to it. More generally, according to the embodiments, the revocation step:
  • the server 100 sends to the microcontroller 170, via the network 130 and the program 180 launched on the host station 140, a response consisting of a signed and encrypted authorization message.
  • the microcontroller 170 verifies the signature of the server 100 and, if the signature is valid, performs the decryption of the received message.
  • the microcontroller 170 interprets the message received, that is, ie determines whether it means an authorization, as in this case, or a revocation.
  • the microcontroller 170 writes, in the memory 175, a binary value allowing the implementation of the functionality and, for example, the provision of digital content. , or access to another service, through the server 120.
  • the authorization and revocation messages have the same length, in number of data transmitted.
  • step 230 allows the electronic entity and, therefore, the issuer or the service provider owning the electronic entity, to control the times at which the electronic entity can be revoked by the server. .
  • the electronic entity instead of sending a request to the server 100 at each launch of the program 180 on the host station 140, the electronic entity keeps, in memory, a counter of the number of implementations of a feature that is incremented or decremented at each of these implementations. This counter is, for example, initialized, after each procedure in this authorization variant exposed with reference to FIG. 2, to such a value that, after one day, the number of authentication will not be exhausted, but probably exhausted after, say, a week.
  • a server of a mobile communication network may send authorization messages that cause the counter reset or a revocation message, for example every day.
  • the revocation and authorization messages can not be distinguished, except with the aid of a secret stored by the secure electronic entity.
  • the authorization and revocation messages may be masked by steganography methods.
  • the authorization and / or revocation messages are for single use, that is to say they can only be used once, which prohibits the use of a copied message to trigger subsequent authorization.
  • the portable electronic entity generates a pseudo-random code and transmits it to the server, in the request sent to the during step 230, the server using this code to generate the message transmitted in response.
  • the interpretation of the messages made during steps 255 and 270 is such that the authorization and revocation messages considered or recognized by this portable electronic entity 160 are variable over time. Thus, they can be transmitted in the clear, but they have a different meaning over time, for example according to the value of shared information, typically unknown to an attacker (for example, a counter of messages exchanged, messages authorization and revocation having, for example, inverted meanings when the counter is odd).
  • the portable electronic entity 160 expects, in order to implement a feature, an authorization message from an authorization server 100 and you can not distinguish a revocation message from an authorization message. It is therefore impossible to prevent the receipt of the revocation messages by the electronic entity without prohibiting the use of a feature by this portable electronic entity. It is observed that the use of the revocation messages makes it possible to limit the risks associated with attacks, in particular the attacks consisting in trying to fraudulently authorize the functionality.

Abstract

The invention relates to a method for cancelling or authorising a functionality of a portable electronic entity that comprises: the step (240) of determining the status of the electronic entity by a server based on the identifier of said electronic entity; the step (245, 260) of sending to the electronic entity, via the server and according to the status, a message cancelling said functionality or a message authorising said functionality, wherein the cancellation and authorisation messages cannot be distinguished unless using a secret stored in the electronic entity memory; upon reception of a cancellation message, the step (255) of cancelling said functionality by the electronic entity; and upon reception of an authorisation message, the step (270) of authorising said functionality by the electronic entity

Description

ENTITE ELECTRONIQUE PORTABLE ET PROCEDE DE BLOCAGE, A PORTABLE ELECTRONIC ENTITY AND BLOCKING METHOD,
DISTANCE, D'UNE FONCTIONNALITE D'UNE TELLE ENTITEDISTANCE OF A FUNCTIONALITY OF SUCH AN ENTITY
ELECTRONIQUE PORTABLEPORTABLE ELECTRONICS
La présente invention concerne une entité électronique portable et un procédé de blocage, à distance, d'une fonctionnalité d'une telle entité électronique portable. L'invention s'intéresse, particulièrement, aux entités électroniques portables et amovibles, préférentiellement comportant une mémoire non volatile et un microcontrôleur. Des exemples de telles entités sont constitués d'une clef électronique dite « USB » (acronyme de « Universal Sériai Bus » pour bus série universel), c'est-à-dire une clef dont l'interface physique avec un ordinateur hôte est conforme à la spécification USB, et apte à communiquer selon un protocole conforme à la spécification USB, une carte à microcircuit, par exemple une carte à microcircuit conforme à la norme ISO7816, ou une carte de MMC (acronyme de « MultiMedia Card »).The present invention relates to a portable electronic entity and a method of remotely blocking a functionality of such a portable electronic entity. The invention is particularly concerned with portable and removable electronic entities, preferably comprising a non-volatile memory and a microcontroller. Examples of such entities consist of an electronic key called "USB" (acronym for "Universal Serial Bus" for universal serial bus), that is to say a key whose physical interface with a host computer is compliant to the USB specification, and able to communicate according to a protocol compliant with the USB specification, a microcircuit card, for example a microcircuit card compliant with the ISO7816 standard, or an MMC card (acronym for "MultiMedia Card").
On connaît des entités électroniques portables amovibles qui offrent diverses fonctionnalités ou service, par exemple :Removable portable electronic entities are known that offer various features or services, for example:
- des clefs de mémorisation USB, pouvant être connectées à une station hôte pour mémoriser, par exemple, des données mémorisées par cette station hôte,USB memory keys, which can be connected to a host station for storing, for example, data stored by this host station,
- des cartes à puce (conformes à la norme ISO7816) pouvant, par exemple, être connectées à une station hôte par l'intermédiaire d'un lecteur, ou une clef USB, pour sécuriser une transaction sur internet,smart cards (compliant with the ISO7816 standard) that can, for example, be connected to a host station via a reader, or a USB key, to secure an internet transaction,
- des entités électroniques portables pour d'autres services ou fonctionnalités : données médicales personnelles, passeports, télévision à péage, contrôle d'accès, porte-monnaie électronique...- portable electronic entities for other services or functionalities: personal medical data, passports, pay television, access control, electronic purse ...
- des cartes bancaires pour effectuer des transactions bancaires. II est souhaitable que l'émetteur ou le fournisseur de service qui est propriétaire de l'entité électronique portable soit en mesure de révoquer certaines entités électroniques, par exemple lorsqu'un titulaire d'une entité électronique a cessé de payer son abonnement ou lorsqu'une entité électronique à été perdue ou volée.- bank cards to carry out banking transactions. It is desirable that the issuer or service provider who owns the portable electronic entity is able to revoke certain electronic entities, for example when a holder of an electronic entity has stopped paying his subscription or when an electronic entity has been lost or stolen.
Une solution classique pour permettre cette révocation consiste en ce que les stations hôtes sur lesquels se connecte l'entité électronique pour mettre en œuvre ladite fonctionnalité ou fournir ledit service ou les serveurs qui collaborent avec l'entité électronique pour mettre en œuvre ladite fonctionnalité ou fournir ledit service peuvent accéder à des listes « noires » d'entités électroniques portables, qui permettent d'interdire le service ou la fonctionnalité pour l'entité électronique révoquée.A typical solution for allowing this revocation is that the host stations on which the electronic entity connects to implement said functionality or provide said service or the servers that collaborate with the electronic entity to implement said functionality or provide said service can access "black" lists of portable electronic entities, which prohibit service or functionality for the revoked electronic entity.
Une telle approche à l'inconvénient de nécessiter que les listes noires des stations hôtes et les serveurs soient fréquemment mises à jour, ce qui est coûteux et parfois impossible. De plus, une entité électronique révoquée peut continuer à contribuer à mettre en œuvre ledit service en collaboration avec une station ou un serveur distant dont la liste noire n'a pas encore été mise à jour. L'utilisation de telle liste noire n'est d'ailleurs pas toujours réalisable. Pour remédier à cet inconvénient, une solution classique consiste à envoyer des messages de révocation à l'entité électronique. Cependant, une personne tentant d'utiliser frauduleusement l'entité électronique peut intercepter et bloquer lesdits messages de révocation en mettant, par exemple, en œuvre les moyens nécessaires au sein de la station hôte à laquelle est connectée l'entité électronique.Such an approach has the disadvantage of requiring that the black lists of host stations and servers are frequently updated, which is expensive and sometimes impossible. In addition, a revoked electronic entity may continue to contribute to implementing said service in collaboration with a remote station or server whose blacklist has not yet been updated. The use of such a blacklist is not always feasible. To overcome this disadvantage, a conventional solution is to send revocation messages to the electronic entity. However, a person attempting to fraudulently use the electronic entity may intercept and block said revocation messages by implementing, for example, the necessary means within the host station to which the electronic entity is connected.
La présente invention vise à remédier à ces inconvénients. A cet effet, selon un premier aspect, la présente invention vise un procédé de révocation et d'autorisation d'une fonctionnalité d'une entité électronique portable, qui comporte : - une étape de détermination du statut de l'entité électronique, par un serveur, à partir de l'identifiant de ladite entité électronique, - une étape d'envoi à l'entité électronique, par le serveur, en fonction dudit statut, soit d'un message de révocation de ladite fonctionnalité, soit d'un message d'autorisation de ladite fonctionnalité, lesdits messages de révocation et d'autorisation ne pouvant pas être distingués, sauf à l'aide d'un secret mémorisé par l'entité électronique,The present invention aims to remedy these disadvantages. For this purpose, according to a first aspect, the present invention provides a method for revoking and authorizing a feature of a portable electronic entity, which comprises: a step of determining the status of the electronic entity, by a server, from the identifier of said electronic entity, a step of sending to the electronic entity, by the server, according to said status, either of a message of revocation of said functionality, or of an authorization message of said functionality, said messages of revocation and authorization can not be distinguished, except by means of a secret memorized by the electronic entity,
- à réception d'un message de révocation, une étape de révocation de ladite fonctionnalité par ladite entité électronique etupon receipt of a revocation message, a step of revocation of said functionality by said electronic entity and
- à réception d'un message d'autorisation, une étape d'autorisation de ladite fonctionnalité par ladite entité électronique. Grâce à ces dispositions, l'entité électronique attend, pour mettre en oeuvre la fonctionnalité, un message d'autorisation et on ne peut pas distinguer un message de révocation d'un message d'autorisation. Il est donc impossible d'empêcher la réception des messages de révocation par l'entité électronique sans interdire l'utilisation de la fonctionnalité par cette entité électronique portable.- Upon receipt of an authorization message, a step of authorization of said functionality by said electronic entity. Thanks to these provisions, the electronic entity expects an authorization message to implement the functionality and it is not possible to distinguish a revocation message from an authorization message. It is therefore impossible to prevent the receipt of the revocation messages by the electronic entity without prohibiting the use of the functionality by this portable electronic entity.
On observe que l'existence des messages de révocation permet de limiter les risques liés à des attaques, notamment des attaques consistant à essayer d'autoriser frauduleusement la fonctionnalité.It is observed that the existence of the revocation messages makes it possible to limit the risks associated with attacks, in particular attacks consisting of trying to fraudulently authorize the functionality.
Selon des caractéristiques particulières, les messages d'autorisation et de révocation présentent la même longueur, en nombre de données transmises. Grâce à ces dispositions, la longueur des messages ne peut pas être utilisée pour les distinguer.According to particular characteristics, the authorization and revocation messages have the same length, in number of data transmitted. Thanks to these provisions, the length of the messages can not be used to distinguish them.
Selon des caractéristiques particulières, ladite étape de révocation est irréversible. La révocation peut, par exemple, révoquer le mécanisme d'autorisation d'au moins une fonctionnalité. Ainsi, l'étape de révocation rend préférentiellement inopérante la réception ultérieure d'un message d'autorisation de la fonctionnalité.According to particular features, said revocation step is irreversible. The revocation can, for example, revoke the authorization mechanism of at least one feature. Thus, the revocation step preferably renders inoperative the subsequent reception of an authorization message of the functionality.
Selon des caractéristiques particulières, ladite étape de révocation rend l'entité électronique complètement inutilisable. Ainsi, il n'y a plus de risques que l'entité électronique soit utilisée frauduleusement ultérieurement.According to particular features, said revocation step renders the electronic entity completely unusable. Thus, there is no more risk that the electronic entity is used fraudulently later.
Selon des caractéristiques particulières, ladite étape de révocation désactive ladite fonctionnalité. Grâce à ces dispositions, la présente invention peut être utilisée pour suspendre des droits à des services lorsque l'abonné à ces droits n'a pas réglé le montant de ces abonnements.According to particular features, said revocation step disables said functionality. Thanks to these provisions, the present invention can be used to suspend rights to services when the subscriber of these rights has not paid the amount of these subscriptions.
Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci-dessus comporte une étape de connexion de ladite entité électronique à une station hôte et une étape de transmission de l'identifiant de l'entité électronique depuis ladite entité électronique portable au serveur, par l'intermédiaire d'un réseau de communication.According to particular features, the method as briefly described above comprises a step of connecting said electronic entity to a host station and a step of transmitting the identifier of the electronic entity from said portable electronic entity to the server, by via a communication network.
Selon des caractéristiques particulières, ladite entité électronique portable est une clef électronique dite « USB » (acronyme de « Universal Sériai Bus » pour bus série universel), c'est-à-dire une clef dont l'interface physique avec un ordinateur hôte est conforme à la spécification USB, et apte à communiquer selon un protocole conforme à la spécification USB.According to particular features, said portable electronic entity is an electronic key known as "USB" (acronym for "Universal Serial Bus"), that is to say a key whose physical interface with a host computer is compliant with the USB specification, and able to communicate according to a protocol compliant with the USB specification.
Selon des caractéristiques particulières, l'étape de détermination du statut est précédée d'une étape d'émission d'une requête d'autorisation de la part de l'entité électronique à destination du serveur. Grâce à ces dispositions, l'entité électronique, et donc l'émetteur ou le fournisseur de service propriétaire de l'entité électronique peut contrôler les instants auxquels l'entité électronique pourra être révoquée par le serveur.According to particular characteristics, the step of determining the status is preceded by a step of sending an authorization request from the electronic entity to the server. Thanks to these provisions, the electronic entity, and therefore the issuer or the service provider owning the electronic entity can control the times at which the electronic entity can be revoked by the server.
Selon des caractéristiques particulières, l'étape d'émission d'une requête comprend une étape d'authentification de l'entité électronique. Grâce à ces dispositions, on évite des attaques du serveur par une entité électronique falsifiée.According to particular features, the step of transmitting a request includes a step of authenticating the electronic entity. Thanks to these provisions, server attacks are avoided by a falsified electronic entity.
Selon des caractéristiques particulières, l'étape d'émission d'une requête d'autorisation à lieu à chaque mise sous tension de l'entité électronique. On est ainsi sûr que, dès que le serveur est informé de la révocation d'une fonctionnalité sur une entité électronique portable, celle-ci ne peut plus utiliser cette fonctionnalité.According to particular characteristics, the step of issuing an authorization request takes place each time the electronic entity is powered up. It is thus sure that, as soon as the server is informed of the revocation of a feature on a portable electronic entity, it can no longer use this feature.
Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci-dessus comporte une étape de signature, par le serveur, de chaque message d'autorisation ou de révocation. Grâce à ces dispositions, on évite qu'un virus ou un autre logiciel malicieux présent sur la station hôte puisse révoquer une ou toutes les fonctionnalités de l'entité électronique portable.According to particular features, the method as briefly described above includes a step of signing, by the server, each authorization or revocation message. These provisions prevent a virus or other malicious software on the host station may revoke one or all of the functionalities of the portable electronic entity.
Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci-dessus comporte une étape de chiffrement, par le serveur, de chaque message d'autorisation ou de révocation. On constitue ainsi un moyen simple et facile à mettre en œuvre pour rendre les messages d'autorisation et de révocation indistinguables.According to particular features, the method as briefly described above includes a step of encryption, by the server, of each authorization or revocation message. This provides a simple and easy way to make the authorization and revocation messages indistinguishable.
Selon des caractéristiques particulières, les messages d'autorisation et de révocation reconnus par l'entité électronique portable sont variables au cours du temps. Ainsi, on peut les transmettre en clair, mais ils ont une signification différente au cours du temps, par exemple selon la valeur d'une information partagée, typiquement non connue d'un attaquant (par exemple, un compteur des messages échangés, les messages de d'autorisation et de révocation ayant, par exemple, des significations interverties lorsque le compteur est impair).According to particular characteristics, the authorization and revocation messages recognized by the portable electronic entity are variable over time. Thus, they can be transmitted in the clear, but they have a different meaning over time, for example depending on the value of shared information, typically unknown to an attacker (for example, a counter of messages exchanged, messages authorization and revocation having, for example, inverted meanings when the counter is odd).
Selon des caractéristiques particulières, les messages d'autorisation et/ou de révocations sont à usage unique. Ainsi, ils ne peuvent être utilisés qu'une seule fois, ce qui interdit l'utilisation d'un message copié pour déclencher une autorisation ultérieure. Selon des caractéristiques particulières, dès la mise sous tension de l'entité électronique portable, on effectue un lancement automatique d'une application de communication avec le serveur. Ce chargement automatique peut être effectué, par exemple, sous la forme d'une application « autorun.exe » qui se lance automatiquement lorsque la station hôte lit le contenu de l'entité électronique portable. De la sorte l'application est aisément lancée sans manipulation complexe pour l'utilisateur.According to particular characteristics, the authorization and / or revocation messages are for single use only. Thus, they can only be used once, which prohibits the use of a copied message to trigger a subsequent authorization. According to particular characteristics, as soon as the portable electronic entity is powered up, an automatic launching of a communication application with the server is performed. This automatic loading can be carried out, for example, in the form of an application "autorun.exe" which starts automatically when the host station reads the contents of the portable electronic entity. In this way the application is easily launched without complex manipulation for the user.
Selon un deuxième aspect, la présente invention vise une entité électronique portable, qui comporte :According to a second aspect, the present invention relates to a portable electronic entity, which comprises:
- un moyen de communication d'un identifiant ; - un moyen de réalisation, au moins partielle, d'une fonctionnalité,a means of communicating an identifier; means for producing, at least partially, a functionality,
- un moyen de réception d'un message de la part d'un serveur d'autorisation ; - un moyen de conservation d'un secret ;means for receiving a message from an authorization server; - a means of keeping a secret;
- un moyen d'interprétation dudit message pour déterminer, à l'aide dudit secret, s'il s'agit d'un message de révocation de ladite fonctionnalité ou d'un message d'autorisation de ladite fonctionnalité ; - un moyen de révocation adapté à révoquer ladite fonctionnalité si le message est un message de révocation etmeans for interpreting said message to determine, using said secret, whether it is a message of revocation of said functionality or an authorization message of said functionality; a revocation means adapted to revoke said functionality if the message is a revocation message and
- un moyen d'autorisation adapté à autoriser ladite fonctionnalité si le message est un message d'autorisation.an authorization means adapted to authorize said functionality if the message is an authorization message.
Les avantages, buts et caractéristiques particulières de cette entité électronique portable étant similaires à ceux du procédé tel que succinctement exposé ci-dessus, ils ne sont pas rappelés ici.Since the advantages, aims and particular characteristics of this portable electronic entity are similar to those of the method as succinctly set forth above, they are not recalled here.
D'autres avantages, buts et caractéristiques de la présente invention ressortiront de la description qui va suivre, faite, dans un but explicatif et nullement limitatif en regard des dessins annexés, dans lesquels : - la figure 1 représente, schématiquement, un mode de réalisation particulier de l'entité électronique objet de la présente invention connectée à une station hôte et à un serveur d'autorisation distant etOther advantages, aims and features of the present invention will emerge from the description which follows, made for an explanatory and non-limiting purpose with reference to the appended drawings, in which: FIG. 1 represents, schematically, an embodiment particular of the electronic entity object of the present invention connected to a host station and to a remote authorization server and
- la figure 2 représente, sous forme d'un logigramme, des étapes mises en œuvre dans un mode de réalisation particulier du procédé objet de la présente invention.FIG. 2 represents, in the form of a logic diagram, the steps implemented in a particular embodiment of the method that is the subject of the present invention.
Il est à noter que les éléments représentés en figure 1 ne sont pas à l'échelle.It should be noted that the elements represented in FIG. 1 are not to scale.
On observe, en figure 1 , un serveur 100 conservant une base de données 110 de statuts d'entités électroniques portables et relié à un réseau de communication, ou informatique 130, par exemple Internet. Un serveur 120 met en œuvre des services accessibles aux porteurs d'entités électronique portables.FIG. 1 shows a server 100 holding a database 110 of portable electronic entity statuses and connected to a communication network, or computer network 130, for example the Internet. A server 120 implements services accessible to carriers of portable electronic entities.
Une station hôte 140 est également connectée au réseau 130 et, par l'intermédiaire d'un connecteur 150, à une entité électronique portable 160 objet de la présente invention. La station hôte 140 est, par exemple, un ordinateur d'usage général, ou ordinateur personnel. L'entité électronique portable 160 comporte, outre une partie du connecteur 150, un hub 165, un microcontrôleur 170, une mémoire 175 non volatile. Le microcontrôleur 170 comporte une mémoire (non représentée) conservant au moins un secret nécessaire pour déchiffrer un message et/ou vérifier sa signature, par exemple sous la forme de clefs cryptographiques. La mémoire 175 conserve un programme 180 mettant en œuvre, en collaboration avec le microcontrôleur 170, une sécurisation de connexion et/ou de transaction.A host station 140 is also connected to the network 130 and, via a connector 150, to a portable electronic entity 160 object of the present invention. The host station 140 is, for example, a general purpose computer, or personal computer. The portable electronic entity 160 comprises, in addition to a portion of the connector 150, a hub 165, a microcontroller 170, a non-volatile memory 175. The microcontroller 170 includes a memory (not shown) retaining at least one secret necessary to decrypt a message and / or verify its signature, for example in the form of cryptographic keys. The memory 175 retains a program 180 implementing, in collaboration with the microcontroller 170, connection and / or transaction securing.
Le programme 180 implémente aussi des fonctionnalités de l'entité électronique portable 160, par exemple des fonctionnalités de transactions bancaires. La mémoire 175 conserve aussi une adresse électronique 185 du serveur 100 et un identifiant 190 de l'entité électronique portable 160.The program 180 also implements functionalities of the portable electronic entity 160, for example banking transaction functionalities. The memory 175 also retains an electronic address 185 of the server 100 and an identifier 190 of the portable electronic entity 160.
Le hub 165, de type connu, permet la communication de la station hôte avec, d'une part, le microcontrôleur 170 et, d'autre part, la mémoire non volatile 175. Le microcontrôleur 170 est de type sécurisé, comme, par exemple un microcontrôleur de carte à puce et comporte une mémoire EEPROM (non représentée). S'il est sécurisé, préférentiellement le microcontrôleur est conforme à des exigences de sécurité FIPS (acronyme de « FédéralThe hub 165, of known type, allows the communication of the host station with, on the one hand, the microcontroller 170 and, on the other hand, the nonvolatile memory 175. The microcontroller 170 is of secure type, such as, for example a chip card microcontroller and includes an EEPROM memory (not shown). If it is secure, preferably the microcontroller complies with FIPS security requirements (acronym for "Federal
Information Processing Standard » pour standard de traitement d'information fédéral) ou critère commun et/ou à la norme ISO7816.Information Processing Standard "for standard federal information processing) or common criterion and / or ISO7816 standard.
La mémoire non volatile 175 est, par exemple, une mémoire flash. La mémoire 175 est associée à un contrôleur simulant un lecteur de disques compacts, ou CD-ROM.The non-volatile memory 175 is, for example, a flash memory. The memory 175 is associated with a controller simulating a compact disc player, or CD-ROM.
Le programme 180 et le serveur 120 correspondent, par exemple, à au moins une fonctionnalité d'applications bancaires, de téléphonie mobile, d'identification, d'accès un service en ligne (voix sur IP, par exemple) ou de télévision payante.The program 180 and the server 120 correspond, for example, to at least one functionality of banking applications, mobile telephony, identification, access an online service (voice over IP, for example) or pay television.
Le programme 180 est, préférentiellement, de type à lancement automatique dès que l'entité électronique portable est alimentée, par l'intermédiaire du connecteur 150. Le programme 180 est, par exemple, de typeThe program 180 is preferably of automatic launching type as soon as the portable electronic entity is powered via the connector 150. The program 180 is, for example, of type
« autorun ». Le programme 180 est, préférentiellement, disponible, dans la mémoire 175 de l'entité électronique portable 160, en plusieurs versions adaptées à fonctionner sur différents types de station hôte 200, par exemple avec différents systèmes d'exploitation. Le programme met en œuvre des moyens cryptographiques."Autorun". The program 180 is preferentially available in the memory 175 of the portable electronic entity 160, in several versions adapted to operate on different types of host station 200, for example with different operating systems. The program implements cryptographic means.
L'adresse électronique 185 du serveur 100 est, par exemple une adresse URL (acronyme de « Universal Resource Locator » pour localiseur universel de ressources). L'identifiant de l'entité électronique portable 190 est un identifiant unique, c'est-à-dire qu'il n'existe pas deux entités électroniques portables qui possèdent le même identifiant.The e-mail address 185 of the server 100 is, for example, a URL (acronym for "Universal Resource Locator" for universal resource locator). The identifier of the portable electronic entity 190 is a unique identifier, that is to say that there are no two portable electronic entities that have the same identifier.
En variante, l'entité électronique portable 160 est directement connectée au serveur 100 par l'intermédiaire d'une station hôte passive, par exemple du type lecteur d'entités électroniques portables.As a variant, the portable electronic entity 160 is directly connected to the server 100 via a passive host station, for example of the portable electronic entity reader type.
Dans ce mode de réalisation, l'entité électronique portable 160 comporte, par exemple, une interface de communication sans contact, de préférence une interface sans contact de communication de courte portée. Il peut ainsi s'agir d'une carte à puce sans contact ou duale interface (interface à la fois sans contact et contact) par exemple conforme à la norme IS014443. L'entité électronique portable peut également être un passeport comportant dans l'épaisseur de sa couverture un microcontrôleur sécurisé muni de moyens de communication sans contact conforme à la norme ISO14443. La communication avec une telle entité électronique peut être réalisée en utilisant l'interface sans contact, ou l'interface avec contact si l'entité électronique en comprend également une.In this embodiment, the portable electronic entity 160 includes, for example, a contactless communication interface, preferably a short-range contactless contact interface. It can thus be a contactless smart card or dual interface (both non-contact and contact interface) for example in accordance with the IS014443 standard. The portable electronic entity may also be a passport comprising in the thickness of its cover a secure microcontroller provided with contactless communication means in accordance with the ISO14443 standard. Communication with such an electronic entity can be achieved using the contactless interface, or the contact interface if the electronic entity also includes one.
En variante, le réseau 130 est un réseau de communication mobile.In a variant, the network 130 is a mobile communication network.
Comme on le comprend, à la lecture de ce qui précède, l'entité électronique portable peut être, par exemple, une clef USB, une carte à puce ou une carte MMC.As can be understood, upon reading the above, the portable electronic entity may be, for example, a USB key, a smart card or an MMC card.
On observe, en figure 2 que, dès la connexion de l'entité électronique portable 160 à la station hôte 140, étape 205, l'entité électronique portable est alimentée par la station hôte, au cours d'une étape 210. Puis, au cours d'une étape 215, le programme 180 se charge automatiquement dans la mémoire de la station hôte 140, éventuellement après une sélection, par exemple en fonction du système d'exploitation de la station hôte 140. Au cours d'une étape 220, le programme 180 se lance automatiquement sur la station hôte 140. Le chargement et le lancement automatique du programme 180 peuvent être effectués, par exemple, sous la forme d'une application « autorun.exe » qui se lance automatiquement lorsque la station hôte 140 accède au contenu de l'entité électronique portable 160. De la sorte le programme 180 est aisément lancé sans manipulation complexe pour l'utilisateur.FIG. 2 shows that, upon connection of the portable electronic entity 160 to the host station 140, step 205, the portable electronic entity is powered by the host station during a step 210. During a step 215, the program 180 automatically loads into the memory of the host station 140, possibly after a selection, for example depending on the operating system of the host station 140. in a step 220, the program 180 automatically starts on the host station 140. The loading and automatic launching of the program 180 can be performed, for example, in the form of an "autorun.exe" application which is automatically launched when the host station 140 accesses the contents of the portable electronic entity 160. In this way the program 180 is easily launched without complex manipulation for the user.
Puis, au cours d'une étape 225, le programme 180 lancé sur la station hôte 140 se connecte au serveur 100, en mettant en œuvre l'adresse électronique 185 du serveur 100. Au cours de cette même étape 225, le programme s'authentifie en mettant en œuvre ses moyens cryptographiques et ceux de l'entité électronique portable 160. Grâce à l'authentification de l'entité électronique portable 160, on évite, au niveau du serveur 100, des attaques par une entité électronique falsifiée ou simulée. Puis, au cours d'une étape 230, le programme 180 lancé sur la station hôte 140 envoie, à destination du serveur 100, une requête d'autorisation d'utilisation d'au moins une fonctionnalité, cette requête représentant l'identifiant 190.Then, during a step 225, the program 180 launched on the host station 140 connects to the server 100, implementing the e-mail address 185 of the server 100. During this same step 225, the program s' authenticates by implementing its cryptographic means and those of the portable electronic entity 160. With the authentication of the portable electronic entity 160, it is avoided, at the server 100, attacks by a falsified or simulated electronic entity. Then, during a step 230, the program 180 launched on the host station 140 sends, to the server 100, an authorization request for use of at least one feature, this request representing the identifier 190.
Au cours d'une étape 235, le serveur effectue une recherche, dans la base de données 110, du statut de chaque fonctionnalité requise pour l'entité électronique portable, en mettant en œuvre l'identifiant 190.During a step 235, the server performs a search, in the database 110, of the status of each required functionality for the portable electronic entity, by implementing the identifier 190.
Au cours d'une étape 240, le serveur détermine si le statut de la fonctionnalité requise de l'entité électronique portable est « autorisé » ou « révoqué ». Si le statut est « révoqué », au cours d'une étape 245, le serveur 100 envoie au microcontrôleur 170, par l'intermédiaire du réseau 130 et du programme 180 lancé sur la station hôte 140, une réponse formée d'un message de révocation signé et chiffré. Au cours d'une étape 250, le microcontrôleur 170 vérifie la signature du serveur 100. Par exemple, le serveur utilise une clef privée dont l'entité électronique portable connaît ou peut connaître la clef publique. On observe que, grâce à la signature des messages, on évite qu'un virus ou un autre logiciel malicieux présent sur la station hôte 140 puisse révoquer une ou toutes les fonctionnalités de l'entité électronique portable 160. Si la signature est valide, le microcontrôleur 170 effectue le déchiffrement du message reçu. Par exemple, le serveur utilise une clef publique dont l'entité électronique portable conserve la clef privée associée. Puis, au cours d'une étape 255, le microcontrôleur 170 interprète le message reçu, c'est-à-dire détermine s'il signifie une révocation, comme dans le cas présent, ou une autorisation. Dans le cas où, comme ici, il s'agit d'une révocation, le microcontrôleur 170 écrit dans sa mémoire EEPROM, vérifiée à chaque mise sous tension, une information binaire représentative d'un statut « révoqué » de chaque fonctionnalité requise. Le microcontrôleur 170 envoie alors, au programme 180, un message bloquant chaque fonctionnalité révoquée. Dans le cas où toutes les fonctionnalités du programme 180 sont révoquées, le microcontrôleur ne répond plus aux messages qui lui sont transmis. D'une manière plus générale, selon les modes de réalisation, l'étape de révocation :During a step 240, the server determines whether the status of the required functionality of the portable electronic entity is "authorized" or "revoked". If the status is "revoked", during a step 245, the server 100 sends to the microcontroller 170, via the network 130 and the program 180 launched on the host station 140, a response formed of a message of signed and encrypted revocation. During a step 250, the microcontroller 170 verifies the signature of the server 100. For example, the server uses a private key whose portable electronic entity knows or can know the public key. It is observed that, thanks to the signature of the messages, it is avoided that a virus or another malicious software present on the host station 140 can revoke one or all the functionalities of the portable electronic entity 160. If the signature is valid, the microcontroller 170 decrypts the received message. For example, the server uses a public key whose portable electronic entity retains the associated private key. Then, during a step 255, the microcontroller 170 interprets the received message, that is to say determines whether it means a revocation, as in this case, or authorization. In the case where, as here, it is a revocation, the microcontroller 170 writes in its EEPROM, verified at each power up, a binary information representative of a "revoked" status of each required functionality. The microcontroller 170 then sends the program 180 a message blocking each revoked feature. In the case where all the features of the program 180 are revoked, the microcontroller no longer responds to the messages that are transmitted to it. More generally, according to the embodiments, the revocation step:
- est irréversible, la révocation touchant alors le mécanisme d'autorisation d'au moins une fonctionnalité, ce qui rend inopérante la réception ultérieure d'un message d'autorisation de la fonctionnalité, - rend l'entité électronique complètement inutilisable, ce qui élimine les risques que l'entité électronique soit utilisée frauduleusement ultérieurement ou- is irreversible, the revocation then affecting the mechanism of authorization of at least one functionality, which renders inoperative the subsequent reception of an authorization message of the functionality, - renders the electronic entity completely unusable, which eliminates the risks that the electronic entity is fraudulently used subsequently or
- désactive la ou les fonctionnalité(s) requises, c'est-à-dire identifiées dans la requête émise au cours de l'étape 230, ce type de révocation permettant de suspendre des abonnements à des services lorsque l'abonné n'a pas réglé le montant de ces abonnements.deactivates the required functionality (s), that is to say, identified in the request issued during step 230, this type of revocation making it possible to suspend subscriptions to services when the subscriber has not not paid the amount of these subscriptions.
Si le statut déterminé au cours de l'étape 240 est « autorisé », au cours d'une étape 260, le serveur 100 envoie au microcontrôleur 170, par l'intermédiaire du réseau 130 et du programme 180 lancé sur la station hôte 140, une réponse formée d'un message d'autorisation signé et chiffré. Au cours d'une étape 265, le microcontrôleur 170 vérifie la signature du serveur 100 et, si la signature est valide, effectue le déchiffrement du message reçu. Puis, au cours d'une étape 270, le microcontrôleur 170 interprète le message reçu, c'est- à-dire détermine s'il signifie une autorisation, comme dans le cas présent, ou une révocation. Dans le cas où, comme ici, il s'agit d'une autorisation, le microcontrôleur 170 écrit, dans la mémoire 175, une valeur binaire autorisant la mise en œuvre de la fonctionnalité et, par exemple, la fourniture d'un contenu numérique, ou l'accès à un autre service, par l'intermédiaire du serveur 120.If the status determined during step 240 is "authorized", during a step 260, the server 100 sends to the microcontroller 170, via the network 130 and the program 180 launched on the host station 140, a response consisting of a signed and encrypted authorization message. During a step 265, the microcontroller 170 verifies the signature of the server 100 and, if the signature is valid, performs the decryption of the received message. Then, during a step 270, the microcontroller 170 interprets the message received, that is, ie determines whether it means an authorization, as in this case, or a revocation. In the case where, as here, it is an authorization, the microcontroller 170 writes, in the memory 175, a binary value allowing the implementation of the functionality and, for example, the provision of digital content. , or access to another service, through the server 120.
Préférentiellement, les messages d'autorisation et de révocation présentent la même longueur, en nombre de données transmises.Preferably, the authorization and revocation messages have the same length, in number of data transmitted.
La mise en œuvre de l'étape 230 permet à l'entité électronique et, donc, à l'émetteur ou au fournisseur de service propriétaire de l'entité électronique, de contrôler les instants auxquels l'entité électronique pourra être révoquée par le serveur. Dans une variante non représentée, au lieu d'envoyer une requête au serveur 100 à chaque lancement du programme 180 sur la station hôte 140, l'entité électronique conserve, en mémoire, un compteur du nombre de mises en œuvre d'une fonctionnalité qui est incrémenté ou décrémenté à chacune de ces mises en oeuvre. Ce compteur est, par exemple, initialisé, après chaque procédure dans cette variante d'autorisation exposée en regard de la figure 2, à une valeur telle, qu'au bout d'une journée, le nombre d'authentification ne sera pas épuisé, mais qu'il soit probablement épuisé au bout de, par exemple, une semaine. Un serveur d'un réseau de communication mobile peut envoyer des messages d'autorisation qui provoquent la réinitialisation du compteur ou un message de révocation, par exemple tous les jours.The implementation of step 230 allows the electronic entity and, therefore, the issuer or the service provider owning the electronic entity, to control the times at which the electronic entity can be revoked by the server. . In a variant not shown, instead of sending a request to the server 100 at each launch of the program 180 on the host station 140, the electronic entity keeps, in memory, a counter of the number of implementations of a feature that is incremented or decremented at each of these implementations. This counter is, for example, initialized, after each procedure in this authorization variant exposed with reference to FIG. 2, to such a value that, after one day, the number of authentication will not be exhausted, but probably exhausted after, say, a week. A server of a mobile communication network may send authorization messages that cause the counter reset or a revocation message, for example every day.
Ainsi, à la suite de l'une des étapes 245 ou 260, les messages de révocation et d'autorisation ne peuvent pas être distingués, sauf à l'aide d'un secret mémorisé par l'entité électronique sécurisée. En variante du chiffrement des étapes 245 et 260, les messages d'autorisation et de révocation peuvent être dissimulés par des méthodes de stéganographie.Thus, following one of the steps 245 or 260, the revocation and authorization messages can not be distinguished, except with the aid of a secret stored by the secure electronic entity. As an alternative to the encryption of steps 245 and 260, the authorization and revocation messages may be masked by steganography methods.
Préférentiellement, les messages d'autorisation et/ou de révocations sont à usage unique, c'est-à-dire qu'ils ne peuvent être utilisés qu'une seule fois, ce qui interdit l'utilisation d'un message copié pour déclencher une autorisation ultérieure. Par exemple, l'entité électronique portable génère un code pseudo-aléatoire et le transmet au serveur, dans la requête émise au cours de l'étape 230, le serveur utilisant ce code pour générer le message transmis en réponse.Preferably, the authorization and / or revocation messages are for single use, that is to say they can only be used once, which prohibits the use of a copied message to trigger subsequent authorization. For example, the portable electronic entity generates a pseudo-random code and transmits it to the server, in the request sent to the during step 230, the server using this code to generate the message transmitted in response.
Dans des variantes, l'interprétation des messages effectuée au cours des étapes 255 et 270 est telle que les messages d'autorisation et de révocation considérés ou reconnus par cette entité électronique portable 160 sont variables au cours du temps. Ainsi, on peut les transmettre en clair, mais ils ont une signification différente au cours du temps, par exemple selon la valeur d'une information partagée, typiquement non connue d'un attaquant (par exemple, un compteur de messages échangés, les messages de d'autorisation et de révocation ayant, par exemple, des significations interverties lorsque le compteur est impair).In variants, the interpretation of the messages made during steps 255 and 270 is such that the authorization and revocation messages considered or recognized by this portable electronic entity 160 are variable over time. Thus, they can be transmitted in the clear, but they have a different meaning over time, for example according to the value of shared information, typically unknown to an attacker (for example, a counter of messages exchanged, messages authorization and revocation having, for example, inverted meanings when the counter is odd).
Comme on le comprend à la lecture de ce qui précède, conformément à la présente invention, l'entité électronique portable 160 attend, pour mettre en œuvre une fonctionnalité, un message d'autorisation de la part d'un serveur d'autorisation 100 et on ne peut pas distinguer un message de révocation d'un message d'autorisation. Il est donc impossible d'empêcher la réception des messages de révocation par l'entité électronique sans interdire l'utilisation d'une fonctionnalité par cette entité électronique portable. On observe que l'utilisation des messages de révocation permet de limiter les risques liés à des attaques, notamment les attaques consistant à essayer d'autoriser frauduleusement la fonctionnalité. As is understood from the above, in accordance with the present invention, the portable electronic entity 160 expects, in order to implement a feature, an authorization message from an authorization server 100 and you can not distinguish a revocation message from an authorization message. It is therefore impossible to prevent the receipt of the revocation messages by the electronic entity without prohibiting the use of a feature by this portable electronic entity. It is observed that the use of the revocation messages makes it possible to limit the risks associated with attacks, in particular the attacks consisting in trying to fraudulently authorize the functionality.

Claims

REVENDICATIONS
1 - Procédé de révocation et d'autorisation d'une fonctionnalité d'une entité électronique portable (160), qui comporte :1 - Method for revoking and authorizing a feature of a portable electronic entity (160), which comprises:
- une étape (240) de détermination du statut de l'entité électronique, par un serveur (100), à partir de l'identifiant (190) de ladite entité électronique,a step (240) for determining the status of the electronic entity, by a server (100), from the identifier (190) of said electronic entity,
- une étape (245, 260) d'envoi à l'entité électronique, par le serveur, en fonction dudit statut, soit d'un message de révocation de ladite fonctionnalité, soit d'un message d'autorisation de ladite fonctionnalité, lesdits messages de révocation et d'autorisation ne pouvant pas être distingués, sauf à l'aide d'un secret mémorisé par l'entité électronique,a step (245, 260) of sending to the electronic entity, by the server, according to said status, either a revocation message of said functionality, or an authorization message of said functionality, said revocation and authorization messages that can not be distinguished, except by means of a secret stored by the electronic entity,
- à réception d'un message de révocation, une étape (255) de révocation de ladite fonctionnalité par ladite entité électronique et - à réception d'un message d'autorisation, une étape (270) d'autorisation de ladite fonctionnalité par ladite entité électronique.- upon receipt of a revocation message, a step (255) of revocation of said functionality by said electronic entity and - upon receipt of an authorization message, a step (270) of authorization of said functionality by said entity electronic.
2 - Procédé selon la revendication 1 , caractérisé en ce que les messages d'autorisation et de révocation présentent la même longueur, en nombre de données transmises. 3 - Procédé selon l'une quelconque des revendications 1 ou 2, caractérisé en ce que ladite étape (255) de révocation est irréversible.2 - Method according to claim 1, characterized in that the authorization and revocation messages have the same length, in number of data transmitted. 3 - Process according to any one of claims 1 or 2, characterized in that said step (255) of revocation is irreversible.
4 - Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce que ladite étape (255) de révocation rend l'entité électronique complètement inutilisable. 5 - Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que ladite étape (255) de révocation désactive ladite fonctionnalité.4 - Process according to any one of claims 1 to 3, characterized in that said step (255) of revocation makes the electronic entity completely unusable. 5 - Process according to any one of claims 1 to 4, characterized in that said step (255) of revocation disables said functionality.
6 - Procédé selon l'une quelconque des revendications 1 à 5, caractérisé en ce qu'il comporte une étape (205) de connexion de ladite entité électronique à une station hôte et une étape (230) de transmission de l'identifiant de l'entité électronique depuis l'entité électronique portable au serveur (100), par l'intermédiaire d'un réseau de communication (130). 7 - Procédé selon l'une quelconque des revendications 1 à 6, caractérisé en ce que ladite entité électronique portable (160) est une clef électronique dite « USB » (acronyme de « Universal Sériai Bus » pour bus série universel), c'est-à-dire une clef dont l'interface physique avec un ordinateur hôte est conforme à la spécification USB, et apte à communiquer selon un protocole conforme à la spécification USB.6 - Process according to any one of claims 1 to 5, characterized in that it comprises a step (205) of connection of said electronic entity to a host station and a step (230) of transmission of the identifier of the electronic entity from the portable electronic entity to the server (100), via a communication network (130). 7 - Process according to any one of claims 1 to 6, characterized in that said portable electronic entity (160) is an electronic key called "USB" (acronym for "Universal Serial Bus" for universal serial bus) is that is, a key whose physical interface with a host computer complies with the USB specification, and capable of communicating according to a protocol compliant with the USB specification.
8 - Procédé selon l'une quelconque des revendications 1 à 7, caractérisé en ce que l'étape de détermination du statut (240) est précédée d'une étape (230) d'émission d'une requête d'autorisation de la part de l'entité électronique (160) à destination du serveur (100).8 - Process according to any one of claims 1 to 7, characterized in that the step of determining the status (240) is preceded by a step (230) for issuing a request for authorization from the electronic entity (160) to the server (100).
9 - Procédé selon la revendication 8, caractérisé en ce que l'étape (230) d'émission d'une requête comprend une étape d'authentification de l'entité électronique.9 - Process according to claim 8, characterized in that the step (230) for transmitting a request comprises a step of authentication of the electronic entity.
10 - Procédé selon l'une quelconque des revendications 8 ou 9, caractérisé en ce que l'étape (230) d'émission d'une requête d'autorisation à lieu à chaque mise sous tension de l'entité électronique.10 - Process according to any one of claims 8 or 9, characterized in that the step (230) of issuing an authorization request takes place at each power up of the electronic entity.
11 - Procédé selon l'une quelconque des revendications 1 à 10, caractérisé en ce qu'il comporte une étape (245, 260) de signature, par le serveur (100), de chaque message d'autorisation ou de révocation. 12 - Procédé selon l'une quelconque des revendications 1 à 11 , caractérisé en ce qu'il comporte une étape (245, 260) de chiffrement, par le serveur (100), de chaque message d'autorisation ou de révocation.11 - Process according to any one of claims 1 to 10, characterized in that it comprises a step (245, 260) signature by the server (100) of each authorization message or revocation. 12 - Process according to any one of claims 1 to 11, characterized in that it comprises a step (245, 260) of encryption by the server (100) of each authorization message or revocation.
13 - Procédé selon l'une quelconque des revendications 1 à 12, caractérisé en ce que les messages d'autorisation et de révocation reconnus par l'entité électronique portable sont variables au cours du temps.13 - Process according to any one of claims 1 to 12, characterized in that the authorization and revocation messages recognized by the portable electronic entity are variable over time.
14 - Procédé selon l'une quelconque des revendications 1 à 13, caractérisé en ce que les messages d'autorisation et/ou de révocations sont à usage unique.14 - Method according to any one of claims 1 to 13, characterized in that the authorization messages and / or revocations are for single use.
15 - Procédé selon l'une quelconque des revendications 1 à 14, caractérisé en ce que dès la mise sous tension (210) de l'entité électronique portable, on effectue un lancement automatique (215, 220, 225) d'une application de communication à destination du serveur (100). 16 - Entité électronique portable (100) qui comporte un moyen (175, 180) de communication d'un identifiant (190) et un moyen (170, 175, 180) de réalisation, au moins partielle, d'une fonctionnalité, caractérisée en ce qu'elle comporte : - un moyen (170) de réception d'un message de la part d'un serveur d'autorisation (100) ;15 - Process according to any one of claims 1 to 14, characterized in that upon power up (210) of the portable electronic entity, an automatic launch (215, 220, 225) of an application of communication to the server (100). 16 - portable electronic entity (100) which comprises means (175, 180) for communicating an identifier (190) and means (170, 175, 180) for producing, at least partially, a feature, characterized in it comprises: - means (170) for receiving a message from an authorization server (100);
- un moyen de conservation d'un secret ;- a means of keeping a secret;
- un moyen (170) d'interprétation dudit message pour déterminer, à l'aide dudit secret, s'il s'agit d'un message de révocation de ladite fonctionnalité ou d'un message d'autorisation de ladite fonctionnalité ;means (170) for interpreting said message to determine, using said secret, whether it is a revocation message of said functionality or an authorization message of said functionality;
- un moyen (170) de révocation adapté à révoquer ladite fonctionnalité si le message est un message de révocation etrevocation means (170) adapted to revoke said functionality if the message is a revocation message and
- un moyen (170) d'autorisation adapté à autoriser ladite fonctionnalité si le message est un message d'autorisation. authorization means (170) adapted to authorize said functionality if the message is an authorization message.
EP07866428A 2006-11-02 2007-10-24 Portable electronic entity and method for remotely blocking a functionality of said portable electronic entity Ceased EP2084679A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0654698A FR2908194B1 (en) 2006-11-02 2006-11-02 PORTABLE ELECTRONIC ENTITY AND METHOD FOR REMOTELY BLOCKING A FUNCTIONALITY OF SUCH A PORTABLE ELECTRONIC ENTITY
PCT/FR2007/001754 WO2008053095A1 (en) 2006-11-02 2007-10-24 Portable electronic entity and method for remotely blocking a functionality of said portable electronic entity

Publications (1)

Publication Number Publication Date
EP2084679A1 true EP2084679A1 (en) 2009-08-05

Family

ID=38123749

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07866428A Ceased EP2084679A1 (en) 2006-11-02 2007-10-24 Portable electronic entity and method for remotely blocking a functionality of said portable electronic entity

Country Status (3)

Country Link
EP (1) EP2084679A1 (en)
FR (1) FR2908194B1 (en)
WO (1) WO2008053095A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8320962B2 (en) * 2009-06-05 2012-11-27 Visa International Service Association Contactless disablement
FR2999747B1 (en) * 2012-12-19 2018-05-04 Idemia France METHOD FOR SECURING A DEVICE SUITABLE TO COMMUNICATE WITH A READER ACCORDING TO TWO AUTHENTICATION PROTOCOLS

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6005942A (en) * 1997-03-24 1999-12-21 Visa International Service Association System and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
US20040203601A1 (en) * 2002-12-19 2004-10-14 Morriss Matthew James Method and apparatus for activating a restrictive operating mode of a wireless communication device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6612487B2 (en) * 2000-02-14 2003-09-02 Mas Inco Corporation Method and system for account activation
US20020186845A1 (en) * 2001-06-11 2002-12-12 Santanu Dutta Method and apparatus for remotely disabling and enabling access to secure transaction functions of a mobile terminal
DE10143876A1 (en) * 2001-09-06 2003-03-27 Alcatel Sa Blocking Server
US7503066B2 (en) * 2002-04-16 2009-03-10 Panasonic Corporation Deactivation system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6005942A (en) * 1997-03-24 1999-12-21 Visa International Service Association System and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
US20040203601A1 (en) * 2002-12-19 2004-10-14 Morriss Matthew James Method and apparatus for activating a restrictive operating mode of a wireless communication device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of WO2008053095A1 *

Also Published As

Publication number Publication date
FR2908194A1 (en) 2008-05-09
FR2908194B1 (en) 2009-02-13
WO2008053095A1 (en) 2008-05-08

Similar Documents

Publication Publication Date Title
EP3221815B1 (en) Method for securing a payment token
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
EP2249543B1 (en) Method for authorising a connection between a computer terminal and a source server
FR2989799A1 (en) METHOD FOR TRANSFERRING A DEVICE TO ANOTHER RIGHTS OF ACCESS TO A SERVICE
WO2012031755A2 (en) Method of authentification for access to a website
EP1911194A1 (en) Method for controlling secure transactions using a single physical device, corresponding physical device, system and computer programme
WO2006106250A1 (en) Secure communication between a data processing device and a security module
EP1851901A1 (en) Method for fast pre-authentication by distance recognition
CA2888662A1 (en) System and method for securing data exchange, portable user object and remote device for downloading data
WO2020064890A1 (en) Method for processing a transaction, device, system and corresponding program
EP2118825B1 (en) Portable electronic entity and communication method
EP2306668B1 (en) System and method for secure on-line transactions
EP3588418A1 (en) Method for conducting a transaction, terminal, server and corresponding computer program
EP2084679A1 (en) Portable electronic entity and method for remotely blocking a functionality of said portable electronic entity
EP3136283B1 (en) Device and method for securing commands exchanged between a terminal and an integrated circuit
EP3095223B1 (en) Method of transmitting encrypted data, method of reception, devices and computer programs corresponding thereto
CA2973836A1 (en) Data-processing method by an electronic data-acquisition device, device and corresponding program
FR3053549A1 (en) METHOD OF AUTHENTICATING PAYMENT DATA, DEVICES AND PROGRAMS THEREFOR.
EP3570238B1 (en) Method for conducting a transaction, terminal, server and corresponding computer program
WO2017077211A1 (en) Communication between two security elements inserted into two communicating objects
FR3053548A1 (en) METHOD OF AUTHENTICATING PAYMENT DATA, DEVICES AND PROGRAMS THEREFOR.
FR3007929A1 (en) METHOD FOR AUTHENTICATING A USER OF A MOBILE TERMINAL
FR3124288A1 (en) Technique for accessing a storage medium.
WO2016034812A1 (en) Securing of encryption keys for transactions on a device lacking a secure module
EP2452286A1 (en) Making the location of a remote code secure through the recipient's imprint

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20081127

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20091204

DAX Request for extension of the european patent (deleted)
REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20151126