FR2856211A1 - Dispositif amovible permettant a un individu de s'identifier, s'authentifier et de signer ses actes sur des reseaux electroniques, et a un emetteur de contenus de gerer des droits d'acces - Google Patents

Dispositif amovible permettant a un individu de s'identifier, s'authentifier et de signer ses actes sur des reseaux electroniques, et a un emetteur de contenus de gerer des droits d'acces Download PDF

Info

Publication number
FR2856211A1
FR2856211A1 FR0307024A FR0307024A FR2856211A1 FR 2856211 A1 FR2856211 A1 FR 2856211A1 FR 0307024 A FR0307024 A FR 0307024A FR 0307024 A FR0307024 A FR 0307024A FR 2856211 A1 FR2856211 A1 FR 2856211A1
Authority
FR
France
Prior art keywords
host
removable device
removable
smart card
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0307024A
Other languages
English (en)
Other versions
FR2856211B1 (fr
Inventor
Laurent Olivier Philipp Maitre
Julien Jean Zuccarelli
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to FR0307024A priority Critical patent/FR2856211B1/fr
Publication of FR2856211A1 publication Critical patent/FR2856211A1/fr
Application granted granted Critical
Publication of FR2856211B1 publication Critical patent/FR2856211B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un dispositif permettant à un individu de réaliser des opérations sur des réseaux électroniques en toute sécurité. Cette sécurité s'entend dans le sens où le dispositif permet à l'individu de s'identifier et de s'authentifier vis-à-vis d'un serveur distant et de signer électroniquement ses actions.Il s'agit d'un dispositif nomade qu'un utilisateur pourra connecter de façon transparente dans n'importe quel hôte (c'est-à-dire sans installer de matériel ni de logiciel), en vue d'utiliser des fonctions de sécurité intrinsèque d'une carte à puce ou encore d'un système de reconnaissance biométrique, qui sont les deux technologies les plus à même de répondre aux problématiques de sécurité actuelles.L'invention propose une solution innovante qui supprime le besoin d'un dispositif matériel fixe ajouté à l'hôte et d'un logiciel installé préalablement, par un objet comprenant un mode de connexion à un hôte, standard et transparent pour cet hôte, un ou plusieurs types de mémoire et un microcontrôleur relié à la ou les mémoires d'une part et, d'autre part, à un sous-ensemble de sécurité embarqué proposant des fonctions de sécurité, comme, par exemple, un couple « lecteur de carte à puce et carte à puce ».

Description

La présente invention a pour objet un dispositif permettant à un individu
de réaliser des opérations sur des réseaux électroniques, comme le réseau Internet par exemple, en toute sécurité. Cette sécurité s'entend dans le sens o le dispositif permet à l'individu de s'identifier et de s'authentifier vis-à-vis d'un serveur distant et de signer ses 5 actions. Ce serveur distant sera sous le contrôle (ou opéré pour le compte) d'un émetteur
de contenus ou de services, souhaitant gérer des droits d'accès à ses contenus ou services. Cette gestion des droits se fera notamment en s'assurant de l'identité des individus qui demandent accès à ses contenus ou services (fonction identification et authentification) et en demandant aux utilisateurs autorisés de signer électroniquement 0 leurs actions pour permettre la facturation éventuelle.
Le développement des réseaux électroniques comme Internet a créé de nouveaux besoins en matière de sécurité. En effet, lorsque les ordinateurs n'étaient pas connectés entre eux par un réseau ouvert, la confidentialité des données stockées sur un 5 ordinateur pouvait être assurée par un certain nombre de mesures physiques interdisant l'accès à l'ordinateur. L'interconnexion des ordinateurs sur des réseaux, et notamment sur des réseaux ouverts comme Internet a fait émerger de nouveaux risques, comme, par exemple, I'intrusion non autorisée et depuis un ordinateur distant connecté à Internet, d'une personne malveillante sur son propre ordinateur, ou encore l'utilisation de l'identité 20 de quelqu'un d'autre pour réaliser des actes en son nom.
Plusieurs solutions techniques ont été développées, certaines mettant en oeuvre une carte à puce (carte à microprocesseur ou carte à mémoire décrites dans les normes ISO 7816), permettant d'amener un niveau de sécurité satisfaisant.
Malheureusement, la carte à puce n'est pas un objet qui s'utilise naturellement dans un 25 ordinateur et aujourd'hui, toutes les solutions existantes impliquent un certain nombre de contraintes.
Parmi ces contraintes, on trouve la nécessité d'ajouter préalablement un logiciel sur l'ordinateur pour assurer le dialogue avec le microprocesseur de la carte ou encore l'interface applicative entre la carte et le monde extérieur. Or, un des 30 avantages principaux de la carte à puce est sa portabilité, permettant à son porteur de l'insérer dans un dispositif de lecture quand, et seulement quand, il souhaite utiliser ses fonctions.
D'autre part, pour être utilisé dans un ordinateur, un lecteur de carte compatible doit être connecté à cet équipement. Ce qui fait que la portabilité de la carte à 35 puce est limitée aux ordinateurs équipés d'un tel lecteur.
Ces deux contraintes ont contribué à limiter le déploiement d'applications à base de cartes à puce dans des environnements réseaux, à des applications professionnelles, o l'administrateur des postes informatiques maîtrisait les environnements logiciels et matériels.
D'autres systèmes consistent, de la part du fournisseur de contenus ou services, à faire émettre un certificat électronique personnel par un tiers de confiance et 5 à destination d'un utilisateur identifié avec certitude (par exemple en demandant à l'utilisateur de se déplacer en personne pour venir requérir son certificat). Dans cette catégorie de solutions, le certificat est ensuite installé sur un ordinateur et l'utilisation des services associés est limitée à l'ordinateur o il se trouve stocké, puisque c'est la présentation de ce certificat, o tout autre opération nécessitant sa possession, qui 10 permet au fournisseur de contenus ou de services de vérifier la validité des droits de l'utilisateur.
Pour toutes ces raisons, la plupart des systèmes d'identification et d'authentification actuels sont basés sur l'utilisation d'un couple " nom d'utilisateur " et " mot de passe " qui n'assure pas un niveau de sécurité suffisant pour le respect de la 15 vie privée ou encore la certification de nombreux actes financiers ou légaux, par
exemple.
L'objectif de l'invention est d'apporter une meilleure réponse à ces problèmes en proposant une solution innovante qui supprime le besoin d'un dispositif 20 matériel fixe ajouté à l'hôte (par exemple un lecteur de carte à puce) et d'un logiciel installé préalablement (pour gérer le dialogue avec la carte à puce tout en pilotant le lecteur, par exemple). Il s'agit de créer un dispositif nomade qu'un utilisateur, particulier ou professionnel, pourra connecter de façon transparente dans n'importe quel hôte (c'est-à-dire sans installer de matériel ni de logiciel), en vue d'utiliser des fonctions de 25 sécurité intrinsèque d'une carte à puce (amovible ou résidente), ou encore d'un système de reconnaissance biométrique (par exemple d'empreinte digitale), qui sont les deux technologies les plus à même de répondre aux problématiques de sécurité décrites précédemment. Ce modèle reste valide quel que soit le réseau de communication et le type d'hôte: Internet filaire ou sans-fil et ordinateurs, radiocommunication GSM ou 30 équivalent et téléphone mobile, etc. Sur les dessins annexés, donnés à titre d'exemples non limitatifs de formes de réalisation conformes à la présente demande, la figure 1 (références 100 à 103) représente un schéma de principe d'un système complet mettant en oeuvre le 35 dispositif objet de la présente invention. Les figures 2 (références 200 à 203) et 3 (références 300 à 304) représentent deux versions de réalisations du dispositif nomade conformes à la présente demande.
L'invention consiste en un objet qui utilise un mode de connexion standard existant sur la quasi-totalité des hôtes d'une même famille. La première implémentation portera sur les hôtes de type ordinateur PC (100) o le mode de connexion actuel de référence est le Bus Série Universel (de l'anglais Universal Serial 5 Bus - USB). La première implémentation de l'invention utilise ce mode de connexion (200 et 300).
Pour que la connexion soit transparente, le dispositif se déclare comme étant un dispositif standard avec lequel l'ordinateur sait échanger des informations sans besoin d'ajouter un matériel ou un logiciel spécifique.
Outre la connectique (200 et 300), le dispositif embarque un ou plusieurs types de mémoires (201 et 301) pour stocker des applications, un microcontrôleur (202 et 302) et un ou plusieurs dispositifs de lecture de carte à puce (203 et 303) ou de reconnaissance biométrique, ou encore une combinaison de ces derniers dispositifs.
Dans la mémoire embarquée (201 et 301), sont stockés un ou plusieurs logiciels applicatifs qui pourront être exécutés automatiquement par l'ordinateur hôte (100) lors de la connexion du dispositif, ou bien exécutés à la demande de l'utilisateur par une action spécifique (par exemple en choisissant une option présentée par un logiciel tiers présent sur l'ordinateur hôte).
Le microcontrôleur embarqué (202 et 302) est relié, à la fois à la mémoire embarquée (201 et 301) précédemment décrite, mais aussi aux lecteurs de carte à puce (un ou plusieurs selon le cas) (203 dans le cas d'un lecteur et 303, 304 dans le cas de deux lecteurs). D'un point de vue fonctionnel, le microcontrôleur est apte à recevoir des sollicitations en provenance de l'extérieur et à interagir avec la ou les 25 cartes à puce insérées dans les lecteurs (203 dans le cas d'un lecteur et 303, 304 dans le cas de deux lecteurs), mais aussi à réaliser des opérations entre les deux cartes (simultanément ou séquentiellement), le cas échéant.
Outre les fonctions strictement dédiées à une application en particulier, le ou les logiciels embarqués dans la mémoire du dispositif (201 et 301), et exécutés sur 30 l'ordinateur hôte (100), savent envoyer une requête spécifique au microcontrôleur (202 et 302) embarqué dans le dispositif (103) pour que ce dernier interroge la carte à puce insérée dans le lecteur embarqué (203 et 303 ou 304).
A titre d'exemple, on peut envisager une application Internet administrative gouvernementale qui permet à un utilisateur distant d'accéder à son 35 dossier administratif personnel stocké sur un serveur distant (102). Pour respecter la vie privée de l'individu, I'application a besoin qu'il s'identifie de façon certaine. Il lui demandera donc, par l'intermédiaire d'une page web transmise par Internet (101) à I'ordinateur de l'individu (100), d'utiliser le dispositif (103), objet de la présente invention, avec sa carte à puce personnelle. L'insertion de l'objet fera s'exécuter l'application embarquée qui enverra une requête au serveur de l'administration (102) pour demander des paramètres. Une fois les paramètres reçus, ils seront transmis, par l'application du 5 dispositif au microcontrôleur (202), par exemple en allant écrire des données dans une zone mémoire spéciale de la mémoire embarquée (201). Cette action aura pour effet d'activer le microcontrôleur (202) qui dialoguera avec la carte à puce (203) en vue de préparer un message en réponse (avec, par exemple, l'utilisation de secrets et de moyens de signature). La carte à puce déterminera si les conditions dans lesquelles la 0 requête lui a été présentée sont normales. Dans le cas contraire, elle estimera ne pas être dans des conditions de sécurité suffisante et refusera de répondre en mettant en oeuvre des parades sécuritaires spécifiques. Si les conditions sont jugées normales le message de réponse constitué sera transmis de la carte à puce (203) au microcontrôleur (202), puis à l'application en cours d'exécution sur l'ordinateur hôte (100) qui l'enverra, par le réseau Internet (101) au serveur de l'administration (102) pour valider l'identification de l'utilisateur.
Vis-à-vis de l'ordinateur hôte, le dispositif est reconnu comme un objet nomade embarquant des applications. L'hôte ne peut pas identifier qu'il y a un lecteur de 20 carte à puce et une carte à puce ou un dispositif de reconnaissance biométrique dans le dispositif. Seul le logiciel embarqué peut accéder au microcontrôleur lequel peut dialoguer avec la carte à puce, via l'utilisation de secrets stockés dans des zones mémoires spéciales ou tout autre dispositif de sécurité équivalent.
Un dispositif d'horloge permettant, notamment, de comptabiliser le 25 temps écoulé entre plusieurs requêtes, pourra être embarqué dans le dispositif, en plus du microcontrôleur. Cette horloge interne ajoutera de la sécurité au dispositif pour reconnaître d'éventuelles attaques sous la forme de requêtes répétées dans des délais très courts et visant à rendre le dispositif instable.
Le dispositif ne possède pas obligatoirement d'alimentation en énergie 30 propre et peut utiliser les ressources fournies en standard par la connexion, le cas échéant.
Le positionnement des divers éléments constitutifs donne à l'objet de l'invention un maximum d'effets utiles qui n'avaient pas été, à ce jour, obtenus par des 35 systèmes similaires.

Claims (12)

REVENDICATIONS
1. Dispositif amovible permettant à un individu de s'identifier, de s'authentifier et de signer ses actes sur des réseaux électroniques caractérisé par la combinaison d'un mode de connexion à un hôte standard et transparent pour cet hôte, d'un ou plusieurs types de mémoire (201) servant à stocker des logiciels destinés à être exécutés sur l'hôte et des données, d'un microcontrôleur (202) relié à la ou les mémoires d'une part et à un sous-ensemble de sécurité embarqué proposant des fonctions de sécurité, d'autre part.
2. Dispositif amovible selon la revendication 1, se caractérisant par le fait que l'hôte est un ordinateur (100).
3. Dispositif amovible selon les revendications 1 et 2, se caractérisant par le fait que l'hôte (100) est relié à un réseau électronique de type Internet (101).
4. Dispositif amovible selon la revendication 1, se caractérisant par le fait que l'hôte est un téléphone mobile relié à un réseau de radiocommunications.
5. Dispositif amovible selon la revendication 1, se caractérisant par le fait que le sous-ensemble de sécurité embarqué est composé d'un couple composé " d'un lecteur de carte à puce et d'une carte à puce amovible ou résidente " (203).
6. Dispositif amovible selon la revendication 1, se caractérisant par le 20 fait que le sous-ensemble de sécurité embarqué est composé de plusieurs couples " lecteur de carte à puce et carte à puce amovible ou résidente " (303 et 304).
7. Dispositif amovible selon la revendication 1, se caractérisant par le fait que le sous-ensemble de sécurité embarqué est composé d'un système de reconnaissance biométrique d'empreinte digitale et d'un couple " lecteur de carte à puce 25 et carte à puce amovible ou résidente ".
8. Dispositif amovible selon les revendications 1 à 3 et 5 à 7, se caractérisant par le fait que le mode de connexion standard (200) respecte la norme Bus Série Universel (Universal Serial Bus - USB).
9. Dispositif amovible selon la revendication 8, se caractérisant par le 30 fait que le dispositif amovible (103) est reconnu, lors de la connexion, par l'hôte (100) comme un dispositif standard avec lequel l'hôte (100) sait échanger des informations sans qu'il soit besoin d'ajouter un matériel ou un logiciel supplémentaire.
10. Dispositif amovible selon les revendications 1 à 3 et 5 à 7, se caractérisant par le fait que le dispositif amovible (103) est reconnu par l'hôte (100) 35 comme un dispositif standard avec lequel l'hôte (100) sait échanger des informations sans qu'il soit besoin d'ajouter un matériel ou un logiciel supplémentaire.
11. Dispositif amovible selon les revendications 1 à 3 et 5 à 7 se caractérisant par le fait que les logiciels stockés dans la mémoire du dispositif, et destinés à être exécutés sur l'hôte, sont suffisants pour interagir localement avec le sous-ensemble de sécurité embarqué dans le dispositif. 5s
12. Dispositif amovible selon l'une quelconque des revendications 5, 6 et 7, se caractérisant par le fait qu'un dispositif d'horloge permettant de mesurer un délai temporel, est embarqué et relié aux autres sous-ensembles, notamment le microcontrôleur (202) et le couple " lecteur de carte et carte à puce " (203).
FR0307024A 2003-06-11 2003-06-11 Dispositif amovible permettant a un individu de s'identifier, s'authentifier et de signer ses actes sur des reseaux electroniques, et a un emetteur de contenus de gerer des droits d'acces Expired - Fee Related FR2856211B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0307024A FR2856211B1 (fr) 2003-06-11 2003-06-11 Dispositif amovible permettant a un individu de s'identifier, s'authentifier et de signer ses actes sur des reseaux electroniques, et a un emetteur de contenus de gerer des droits d'acces

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0307024A FR2856211B1 (fr) 2003-06-11 2003-06-11 Dispositif amovible permettant a un individu de s'identifier, s'authentifier et de signer ses actes sur des reseaux electroniques, et a un emetteur de contenus de gerer des droits d'acces

Publications (2)

Publication Number Publication Date
FR2856211A1 true FR2856211A1 (fr) 2004-12-17
FR2856211B1 FR2856211B1 (fr) 2006-01-20

Family

ID=33484355

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0307024A Expired - Fee Related FR2856211B1 (fr) 2003-06-11 2003-06-11 Dispositif amovible permettant a un individu de s'identifier, s'authentifier et de signer ses actes sur des reseaux electroniques, et a un emetteur de contenus de gerer des droits d'acces

Country Status (1)

Country Link
FR (1) FR2856211B1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000042491A1 (fr) * 1999-01-15 2000-07-20 Rainbow Technologies, Inc. Cle personnelle compatible avec le bus serie universel, a dispositifs integres d'entree et de sortie
WO2001096990A2 (fr) * 2000-06-15 2001-12-20 Rainbow Technologies, B.V. Cle personnelle compatible avec le bus serie universel faisant appel a un processeur de carte a puce et a un emulateur de lecteur de carte a puce
EP1168137A1 (fr) * 2000-06-23 2002-01-02 IPM-NET S.p.A. Lecteur de carte à puce avec interface USB pour permettre une connection avec des ordinateurs personnels
WO2002025432A2 (fr) * 2000-09-13 2002-03-28 Lightsurf Technologies, Inc. Systeme et procede pour le telechargement et l'execution dynamique d'applications et de pilotes entre dispositifs

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000042491A1 (fr) * 1999-01-15 2000-07-20 Rainbow Technologies, Inc. Cle personnelle compatible avec le bus serie universel, a dispositifs integres d'entree et de sortie
WO2001096990A2 (fr) * 2000-06-15 2001-12-20 Rainbow Technologies, B.V. Cle personnelle compatible avec le bus serie universel faisant appel a un processeur de carte a puce et a un emulateur de lecteur de carte a puce
EP1168137A1 (fr) * 2000-06-23 2002-01-02 IPM-NET S.p.A. Lecteur de carte à puce avec interface USB pour permettre une connection avec des ordinateurs personnels
WO2002025432A2 (fr) * 2000-09-13 2002-03-28 Lightsurf Technologies, Inc. Systeme et procede pour le telechargement et l'execution dynamique d'applications et de pilotes entre dispositifs

Also Published As

Publication number Publication date
FR2856211B1 (fr) 2006-01-20

Similar Documents

Publication Publication Date Title
EP2545721B1 (fr) Protection contre un deroutement d'un canal de communication d'un circuit nfc
EP1872507A2 (fr) Procédé et dispositif d'acces a une carte sim logée dans un terminal mobile
KR101221272B1 (ko) 이동식 스마트카드 기반 인증
EP2545722B1 (fr) Detection d'un deroutement d'un canal de communication d'un dispositif de telecommunication couple a un circuit nfc
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
EP0719438A1 (fr) Systeme de controle d'acces limites a des plages horaires autorisees et renouvelables au moyen d'un support de memorisation portable
WO2011110438A1 (fr) Protection d'un canal de communication entre un module de securite et un circuit nfc
EP2545724A1 (fr) Protection d'un module de securite dans un dispositif de telecommunication couple a un circuit nfc
Mantoro et al. Smart card authentication for Internet applications using NFC enabled phone
FR2912591A1 (fr) Procede et dispositif pour controler l'execution d'au moins une fonction dans un module de communication sans fil de courte portee d'un appareil mobile.
US20090013392A1 (en) Network Information Protection Method and Storage Medium
EP3110190B1 (fr) Procédé et dispositif de gestion d'applications sans contact
CN104320261A (zh) 金融智能卡上实现身份认证的方法、金融智能卡和终端
EP3963823A1 (fr) Procédé de connexion sécurisée à un service web embarqué et dispositif correspondant
KR100742778B1 (ko) 무선 식별 전자서명을 이용한 사용자 인증 방법, 그 기록매체 및 무선 식별 전자서명을 이용한 사용자 인증 장치
FR2856211A1 (fr) Dispositif amovible permettant a un individu de s'identifier, s'authentifier et de signer ses actes sur des reseaux electroniques, et a un emetteur de contenus de gerer des droits d'acces
JP2007524317A (ja) デジタル証明書の作成方法、関連するデジタル証明書およびその使用方法
FR2730076A1 (fr) Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants
FR2908194A1 (fr) Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable
EP3570518B1 (fr) Systeme et procede d'authentification utilisant un jeton a usage unique de duree limitee
KR100449776B1 (ko) 휴대용 기록매체를 이용한 피케이아이 인증방법
WO2014135519A1 (fr) Système et procédé de gestion d'au moins une application en ligne, objet portable utilisateur communiquant par un protocole radioélectrique et dispositif distant du système
Jakobsson Secure authentication in near field communication based access control systems
FR3003058A1 (fr) Systeme et procede de gestion d’au moins une application en ligne, objet portable utilisateur usb et dispositif distant du systeme
EP1453277A2 (fr) Procédé pour la gestion securisée des droits d'exploitation d'un fichier numerique

Legal Events

Date Code Title Description
TP Transmission of property
TQ Partial transmission of property
ST Notification of lapse

Effective date: 20140228