FR2885246A1 - Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise - Google Patents

Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise Download PDF

Info

Publication number
FR2885246A1
FR2885246A1 FR0504389A FR0504389A FR2885246A1 FR 2885246 A1 FR2885246 A1 FR 2885246A1 FR 0504389 A FR0504389 A FR 0504389A FR 0504389 A FR0504389 A FR 0504389A FR 2885246 A1 FR2885246 A1 FR 2885246A1
Authority
FR
France
Prior art keywords
coupler
time window
terminal according
write
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0504389A
Other languages
English (en)
Other versions
FR2885246B1 (fr
Inventor
Athis Thierry D
Philippe Dailly
Pascal Morin
Denis Ratier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to FR0504389A priority Critical patent/FR2885246B1/fr
Application filed by Thales SA filed Critical Thales SA
Priority to RU2007144513/08A priority patent/RU2412484C2/ru
Priority to CA002610049A priority patent/CA2610049A1/fr
Priority to BRPI0610977-2A priority patent/BRPI0610977A2/pt
Priority to US11/912,933 priority patent/US8719570B2/en
Priority to CNA2006800233448A priority patent/CN101208717A/zh
Priority to MX2007013557A priority patent/MX2007013557A/es
Priority to PCT/EP2006/061944 priority patent/WO2006117351A2/fr
Priority to EP06754934A priority patent/EP1875426A2/fr
Publication of FR2885246A1 publication Critical patent/FR2885246A1/fr
Application granted granted Critical
Publication of FR2885246B1 publication Critical patent/FR2885246B1/fr
Priority to EGNA2007001178 priority patent/EG25527A/xx
Priority to MA30413A priority patent/MA29525B1/fr
Priority to ZA200710305A priority patent/ZA200710305B/xx
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Credit Cards Or The Like (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Abstract

La présente invention concerne un terminal nomade de transactions électroniques. Elle concerne également un système de transactions électroniques sécurisé comportant des un ou plusieurs terminaux nomades. Le terminal (1) comporte un support applicatif (2) et un coupleur (3) pour réaliser les opérations de lectures et d'écritures sur un média nécessaires aux transactions électroniques en relation avec l'applicatif. Le coupleur (3) comporte des moyens pour créer une fenêtre temporelle d'écriture et une fenêtre temporelle de lecture à partir d'un signal d'entrée sécurisé, toute écriture et toute lecture étant bloquée en dehors des fenêtres correspondantes.L'invention s'applique notamment pour la sécurisation de terminaux opérant des contrôles et des transactions contractuelles sur des supports équipés de processeurs et de mémoires, ces supports pouvant être par des cartes à lecture et écriture sans contact comportant par exemple des titres de transport, des moyens de paiement ou tous autres titres à faire valoir.

Description

TERMINAL NOMADE DE TRANSACTIONS ELECTRONIQUES SECURISE
ET SYSTEME DE TRANSACTIONS ELECTRONIQUES SECURISE
La présente invention concerne un terminal nomade de transactions électroniques. Elle concerne également un système de transactions électroniques sécurisé comportant des un ou plusieurs terminaux nomades.
L'invention s'applique notamment pour la sécurisation de terminaux opérant des contrôles et des transactions contractuelles sur des supports équipés de mémoires, ces supports pouvant être par des cartes à lecture et écriture sans contact comportant par exemple des titres de transport, des moyens de paiement ou tous autres titres à faire valoir.
Un exemple de transactions électroniques utilisant des cartes sans contact concerne les titres de transport. Ces cartes permettent aux usagers d'accéder aux moyens de transport en passant ces dernières en regard de lecteurs placés aux points d'entrée des stations ou à l'entrée des véhicules.
Les titres sont dématérialisés et stockés dans la mémoire des cartes. Comme pour des moyens classiques, du type par exemple des cartes oranges en région parisienne, les titres stockés dans les cartes correspondent à différents types d'abonnement ou de contrats en fonction notamment de la zone géographique couverte, de la qualité de l'usager et de la durée. Le contrôle de la validité d'un abonnement nécessite des moyens particuliers contrairement à un titre classique en papier où les caractéristiques de l'abonnement sont visibles. Il faut notamment des moyens de lectures électroniques permettant de lire le contenu du contrat mémorisé dans une carte. Les agents en charge du contrôle des titres de transport doivent donc être équipés en permanence d'appareil de lecture de supports électroniques tels que des cartes à mémoire par exemple. Ces agents, les contrôleurs, doivent aussi avoir la possibilité de délivrer des titres de transports ou de modifier les contrats, par exemple les abonnements. Leurs appareils doivent donc aussi être capable de lire et écrire les données inscrites dans la mémoire des cartes.
Ces appareils de lectures et d'écritures peuvent aussi être utilisés dans des points de ventes fixes par exemple chez des buralistes qui sont habilités à délivrer des titres de transport. En particulier les usagers doivent pouvoir faire recharger leurs cartes dans ces points de ventes fixes.
Le problème de la sécurité se pose pour les agents ou pour les points de ventes, chez les buralistes par exemple. II faut en particulier empêcher l'exploitation de transactions électroniques en cas de vol de ces terminaux de lectures et d'écriture qui sont généralement de type nomade, qu'ils soient portés par des agents ou installés dans des points de vente.
Un but de l'invention est notamment d'empêcher toute utilisation malveillante ou frauduleuse d'un terminal de transactions électroniques. A cet effet, l'invention a pour objet un terminal nomade de transactions électroniques comportant un support applicatif et un coupleur pour réaliser les opérations de lectures et d'écritures sur un média nécessaires aux transactions électroniques en relation avec l'applicatif. Le coupleur comporte des moyens pour créer une fenêtre temporelle d'écriture et une fenêtre temporelle de lecture à partir d'un signal d'entrée sécurisé, toute écriture et toute lecture étant bloquée en dehors des fenêtres correspondantes.
Dans un mode de réalisation particulier, le coupleur comporte une horloge, un premier registre pour compter le temps de la fenêtre temporelle en lecture et un deuxième registre pour compter le temps de la fenêtre temporelle en écriture, les registres étant initialisés en fonction du signal sécurisé. La valeur du premier registre est comparée à une première valeur REG_R définissant la fenêtre temporelle de lecture et la valeur du deuxième registre est comparée à une deuxième valeur REG_W définissant la valeur temporelle d'écriture, la lecture étant bloquée lorsque la valeur du premier registre atteint la première valeur REG_R et l'écriture étant bloquée lorsque la valeur du deuxième registre atteint la deuxième valeur REG_W.
Avantageusement, la fenêtre temporelle de lecture et la fenêtre temporelle d'écriture ont des valeurs différentes. La fenêtre temporelle d'écriture est par 30 exemple inférieure à la fenêtre temporelle de lecture.
Les échanges avec le coupleur se font par exemple selon deux canaux: le coupleur et le support applicatif communiquent entre-eux par une liaison confidentielle; - le coupleur communique avec un organe de contrôle extérieur (5) par une liaison sécurisée; la clé Kv permettant d'ouvrir la session confidentielle étant générée par le coupleur, l'ouverture d'une session confidentielle étant réalisée par identification mutuelle au moyen de la clé Kv. Avantageusement, cette clé Kv est fournie au support applicatif par l'intermédiaire de l'organe de contrôle extérieur.
La liaison entre le coupleur et l'organe de contrôle passe par exemple par le o support applicatif qui comporte un programme de routage pour router les données du coupleur vers l'organe de contrôle.
Le signal sécurisé dont est issue l'initialisation des fenêtres temporelles d'écriture et de lecture est par exemple généré par l'ouverture d'une session de communication entre le coupleur et l'organe de contrôle. Une fenêtre temporelle peut par exemple être initialisée par un signal codé saisi sur le support applicatif. Avantageusement, seule la fenêtre temporelle d'écriture peut être initialisée par un signal saisi sur le support applicatif.
Avantageusement, le support applicatif et le coupleur comportent par exemple chacun un historique des transactions électroniques effectuées dans une période donnée, les historiques étant envoyés à un organe de contrôle qui effectue un rapprochement des historiques, un défaut de rapprochement révélant une transaction manquante ou falsifiée.
L'invention concerne également un système de transactions électroniques sécurisé composé d'un organe de contrôle et d'un ou plusieurs terminaux tel que celui décrit précédemment. Avantageusement, l'organe de contrôle et le coupleur communique sous forme de session sécurisée par authentification mutuelle basée sur une clé contenue dans l'organe de contrôle et dans le coupleur.
L'invention a pour principaux avantages qu'elle sécurise l'utilisation d'un terminal de transactions électroniques nomade, qu'elle permet de détecter 35 des chargements de données ou de logiciels frauduleux sur ce type de terminal et d'en empêcher l'utilisation, et qu'elle est adaptée à tous types d'applications de transactions électroniques.
D'autres caractéristiques et avantages de l'invention apparaîtront à l'aide de 5 la description qui suit faite en regard de dessins annexés qui représentent: la figure 1, par un synoptique un terminal de transactions électroniques selon l'invention; - la figure 2, une illustration d'un mode de réalisation possible d'un système et d'un terminal selon l'invention; la figure 3, un exemple de durées relatives d'une fenêtre temporelle d'écriture et d'une fenêtre temporelle de lecture.
La figure 1 présente par un synoptique un terminal nomade de transactions électroniques selon l'invention. Le terminal 1 comporte un support d'applicatif 2 et un coupleur 3. Le support 2 et le coupleur 3 échangent des données par une liaison 4. Le terminal peut dialoguer avec un serveur 5 par une liaison 6. L'applicatif porté par le support 2 traite par exemple toute une application billettique, allant par exemple du contrôle des titres à la délivrance des titres et à la génération ou modification de contrats d'abonnement. Le support 2 est par exemple du type ordinateur de poche plus communément appelé PDA. Le coupleur 3 comporte notamment la fonction de lecture du contenu d'un support électronique et/ou la fonction d'écriture sur ce même support. Ce support électronique est par exemple une carte intelligente sans contact avec possibilité de lecture et d'écriture. Le coupleur n'est pas dédié en tant que tel à une application particulière, c'est un simple périphérique de lecture et d'écriture d'une carte sans contact par exemple.
Dans la suite de la description et à titre d'exemple il sera fait référence à une application billettique. Le coupleur 3 sera appelé coupleur billettique et sera destiné à effectuer des opérations de lectures et d'écriture sur des cartes sans contact, ces dernières comportant les titres contrôlés ou délivrés par l'application. Toujours dans le cadre d'un exemple d'application, les titres en question seront des titres de transport et le support d'application sera du type PDA porté par un agent. Lorsqu'il sera en mission, cet agent sera donc équipé du PDA 2 et du coupleur billettique 3.
La figure 2 présente par un synoptique plus détaillé un exemple de réalisation d'un terminal 1 selon l'invention. Le terminal 1 est un appareil pour le contrôle et la vente de titres de transports dématérialisés, stockés sur des cartes à lecture sans contact. Il comporte un PDA 2 et un coupleur billettique 3. Le PDA 2 comporte le programme d'application billettique 21. Cette application traite par exemple le contrôle des titres de transport stockés dans les cartes sans contact ainsi que la délivrance de titres. Elle traite aussi des modifications ou des renouvellements de contrat d'abonnement. Un contrôle de titre se fait par une opération lecture de la carte. Une délivrance 1 o de titre ou de modification / renouvellement de contrat se fait par une opération de lecture et d'écriture sur la carte. La nature et la durée d'un abonnement sont stockés sur une carte par une opération d'écriture. Pour déterminer le prix à payer par l'usager une opération de lecture peut être nécessaire pour vérifier les caractéristiques de l'usager, ses droits à réduction par exemple. Pour traiter l'ensemble des opérations de billettique l'applicatif 21 contenu dans le PDA mémorise par exemple tous les types de contrats par types d'usager, par durées, par zones géographiques, par moyens de transport etc...
Le PDA échangent des données avec le coupleur 3 par une liaison 4. Cette liaison peut être sans fil, du type bluetooth par exemple. A l'initialisation, l'application ou une partie de l'application billettique est chargée dans le coupleur par cette liaison 4 dans un espace mémoire 22 prévu à cet effet. Le terminal 1 comporte par ailleurs une liaison 6 avec un serveur 5.
La liaison 4 entre le PDA 2 et le coupleur 3 permet donc l'échange de données entre ces deux éléments. La confidentialité des échanges entre le coupleur et le PDA est assurée par une clé Kv qui sert d'identification mutuelle. La clé Kv sert d'identification mutuelle par exemple par échange de clés tirées aléatoirement. Elle est par exemple changée régulièrement sur l'initiative du coupleur ou de PDA. Dans un mode de fonctionnement, cette clé Kv est par exemple renouvelée aléatoirement par le coupleur et fournie au PDA. Ainsi, une clé Kv;+1 est par exemple envoyée au PDA chiffrée avec la clé de session précédente Kv;. A cet effet, le coupleur 3 comporte un programme 23 de gestion de cette clé Kv, notamment de la génération aléatoire des différentes clés Kv; qui la composent. Le PDA n'étant pas réputé fiable, cette clé est simplement confidentielle.
Le coupleur 3 est l'élément sécurisé du terminal nomade 1. H comporte par exemple une application billettique pour effectuer les lectures et écritures de titres, le traitement billettique étant mis en oeuvre par ailleurs par PDA. Seul le coupleur 3 peut exécuter les opérations de lecture et d'écriture de cartes sans contact nécessaires aux transactions électroniques de billettique.
La liaison 6 entre le terminal 1 et le serveur 5 permet notamment l'échange de données entre le coupleur 3 et le serveur 5. La connexion entre le coupleur et le serveur est par exemple sécurisée par authentification mutuelle basée sur des clés Kab 24, 25 contenues dans le serveur 5 et dans le coupleur 3. L'authentification répond par exemple au protocole ISO 9798-2. Le coupleur et le serveur étant réputés fiables, ces clés sont secrètes. Le PDA 2 peut servir de relais de communication entre le coupleur et le serveur. Il comporte par exemple à cet effet un programme de routage 26. Les échanges qu'il route par l'intermédiaire de ce programme 26 sont donc cryptés par la clé Kab et ne sont donc connus que des extrémités de la chaîne, à savoir le coupleur 3 et le serveur 5.
Le coupleur 3 est considéré comme un périphérique du point de vue billettique. Cependant il n'est pas en tant que tel dédié à une application billettique. L'application dépend notamment du logiciel chargé dans la mémoire 22 du coupleur dédié à l'application. Il est possible de charger tous types d'application, en particulier autres que billettique.
Les transactions électroniques se font avec le coupleur. II fait office de périphérique de lecture et d'écriture. En effet il lit les cartes et écrit sur les cartes nécessaires à l'application billettique, alors que le PDA traite ces applications de billettiques en particulier il effectue le traitement des titres de transport tels que les ventes ou délivrance de titres ou les ventes ou modifications d'abonnement par exemple.
Le coupleur communique avec le PDA et avec le serveur. Ses liaisons avec l'extérieur se font donc par deux canaux: sous forme de session sécurisée par la clé Kab avec le serveur 5 via 35 la liaison 6 coupleur- serveur; sous forme de session confidentielle par la clé Kv avec le PDA 2 via la liaison coupleur-PDA.
La session confidentielle empêche de faire fonctionner un coupleur non appairé avec un PDA. La session confidentielle est établie à travers la liaison 4 entre le coupleur et le PDA. Si le PDA ne connaît pas la clé Kv générée par le coupleur 3, l'ouverture de sessions entre le PDA et le coupleur n'est pas possible. Les deux éléments 2, 3 ne peuvent pas être appairés et le terminal 1 ne fonctionne pas.
La session sécurisée 6 est notamment la seule qui permette de recharger les données internes nécessaires au fonctionnement du coupleur, c'est-àdire notamment l'applicatif. Elle permet donc de charger le logiciel d'application 22 propre au coupleur, dans le cas de l'exemple de la figure 2, et les autres données internes nécessaires. Par cette session sécurisée, le serveur 5 permet aussi d'appairer le coupleur et le PDA en fournissant au PDA la clé Kv, confidentielle, lorsque le coupleur la lui donne sous session sécurisée par clé Kab. En particulier dans le cas où le PDA a perdu sa clé Kv, le moyen de la retrouver est de se connecter au serveur d'une manière sécurisée par la liaison coupleur-serveur 6. II en est ainsi notamment dans le cas de la première initialisation où le serveur recharge la clé Kv dans le PDA après en avoir pris connaissance de la part du coupleur sous session sécurisée obtenue avec la clé Kab.
Cette session sécurisée permet aussi d'ouvrir une fenêtre temporelle de fonctionnement du coupleur.
En particulier, le coupleur 3 comporte une horloge temps réel 27 et des registres de mémorisation de valeurs de fenêtres temporelles de lecture 10 et d'écriture 11. Le coupleur 3 comporte aussi des registres temporels 28, 29 associés à l'horloge 27 pour mesurer des intervalles de temps. Plus particulièrement un premier registre temporel 28 est affecté au comptage du temps de la fenêtre temporelle de lecture et un deuxième registre temporel 29 est affecté au comptage du temps de la fenêtre temporelle d'écriture. L'horloge et ses registres associés 28, 29 évoluent même hors tension. Lorsque la liaison est établie entre le serveur 5 et le coupleur 3 par authentification mutuelle, les registres 28, 29 sont initialisés à la valeur de l'horloge 27, égale à REG H.. A cet effet l'horloge 27 est par exemple un compteur incrémenté par des fronts d'un oscillateur à quartz. En fonctionnement, le coupleur compare la valeur REG_R et REG_W de ces registres 28, 29 avec les données la valeur REG_H de l'horloge 27 majorée de respectivement T_R et T_W inscrits dans les registres 10, 11. Ces données T_R et T_W définissent respectivement la valeur de l'ouverture temporelle en lecture et de l'ouverture temporelle en écriture. Lorsque la valeur REG_W du registre 29 dédié à l'écriture dépasse par exemple la valeur REG_H + T_W le coupleur est bloqué en écriture. Il ne peut plus alors exécuter des opérations de vente de billets ou d'abonnement, ou encore de modification de contrat par exemple. Lorsque la valeur REG_R du registre 28 dédié à la lecture dépasse par exemple la valeur REG_H + T_R le coupleur est bloqué en lecture. II ne peut plus alors exécuter des opérations de contrôle. T_W peut par exemple être fixé à un jour et T_R peut par exemple être fixé à une semaine.
La figure 3 illustre par deux chronogrammes un exemple de fenêtre temporelle 31 pour l'écriture et un exemple de fenêtre temporelle 32 pour la lecture. Grâce à l'horloge 27 le coupleur mémorise l'instant de la dernière initialisation des registres temporels 28, 29. Cette initialisation est effectuée à un instant to lors d'une communication établie avec le serveur 5. A l'occasion de cette initialisation, le serveur peut aussi modifier les valeurs des registres 10, 11 de définition des fenêtres temporelles. En fait, lors d'une session de communication avec le serveur 5, les données suivantes peuvent être rechargées: un logiciel d'application, par exemple billettique; - les valeurs T_R et T_W des durées des fenêtres temporelles de lecture et d'écritures.
Ainsi à l'établissement d'une communication par authentification mutuelle entre le serveur 5 et le coupleur 3, une fenêtre temporelle en écriture est initialisée et une fenêtre en lecture est initialisée. Au-delà de la première fenêtre toute opération d'écriture est impossible et au-delà de la deuxième fenêtre toute opération de lecture est impossible. Un agent peut ainsi connecter le coupleur 3 au serveur 5 en début de mission par exemple. Puis il se déconnecte et part en mission. Si son terminal 1 est volé ou perdu, les opérations de ventes de billets ou de contrats d'abonnement ne pourront pas excéder 24 heures à compter de la connexion d'initialisation au serveur. De même au-delà d'une semaine toute opération de lecture sera impossible. Ces durées de fenêtres temporelles de lecture et d'écriture peuvent bien sûr être paramétrées en fonction du type de mission.
Dans l'exemple de la figure 3 les durées des fenêtres temporelles n'ont pas la même durée pour l'écriture et la lecture. Pour certaines applications ces fenêtres pourraient être de mêmes durées. Un avantage apporté par des durées de fenêtres 31, 32 différentes est la souplesse d'utilisation. Le cas d'un agent de contrôle et de délivrance de titres de transport illustre notamment cet avantage. A l'instant to l'agent connecte son terminal 1 au io serveur. Plus particulièrement le coupleur 3 entre en communication avec le serveur 5. La fenêtre temporelle pour l'écriture est alors ouverte par exemple pour une durée 24 heures et la fenêtre temporelle pour la lecture est alors ouverte pour une durée d'une semaine. Dans ce cas on peut prévoir la possibilité de réarmer le registre temporel 29 prévu pour la fenêtre temporelle d'écriture un certain nombre de fois sans connexion directe au serveur.
L'agent peut alors téléphoner à un service qui lui procure un code pour réarmer ce registre temporel 29, la fenêtre temporelle étant réinitialisée pour 24 heures. L'opération peut se répéter une semaine pendant la durée d'ouverture de la fenêtre temporelle de lecture 32. Cette fenêtre 32 nécessite une connexion au serveur 5 pour être réinitialisée. Avantageusement, un agent qui habite loin du lieu de stockage du serveur 5 n'a pas besoin de se déplacer tous les jours pour réinitialiser la fenêtre temporelle pour l'écriture auprès du serveur ou à proximité. Au-delà d'une semaine toute utilisation du terminal est néanmoins impossible car la fenêtre temporelle pour la lecture est fermée et elle ne peut être réactivée que par une connexion par authentification mutuelle sur le serveur. En cas dysfonctionnement de l'horloge ou des registres temporels, un système est par exemple prévu pour inhiber le fonctionnement du coupleur. Dans l'exemple de réalisation de la figure 2 l'initialisation des fenêtres temporelles d'écriture 31 et de lecture 32 se fait par une connexion sécurisée au serveur 5. Ainsi dans ce cas, les initialisations des fenêtres temporelles se font par un signal sécurisé provenant d'un serveur ou de tout autre organe extérieur. Toutefois il est possible de prévoir un autre mode d'initialisation, fonctionnant par exemple en parallèle. Ce signal sécurisé peut aussi être entré sous forme de code saisi par un agent ou un utilisateur sur le coupleur, notamment et de façon avantageuse pour l'ouverture de la fenêtre d'écriture 31.
Le coupleur 3 comporte par exemple par ailleurs un registre 12 qui comporte l'historique des transactions effectuées par le coupleur 3 pendant une période donnée limitée ou non. Ce dernier mémorise dans cet historique 12 toutes les cartes qu'il a traitées. En particulier il peut mémoriser pour chaque transaction un numéro de séquence 121, un code d'opération 122 et un numéro physique de la carte 123 ou tout autre code d'identification de la carte. Cet historique est envoyé par session sécurisée au serveur 5, par exemple à chaque fois que le coupleur est mis en communication par authentification mutuelle avec le serveur. Comme indiqué précédemment la session sécurisée peut se faire par la liaison 6 entre le coupleur et le serveur par l'utilisation de la clé Kab.
Le PDA 2 comporte lui aussi un historique des transactions 13 pendant une période donnée, limitée ou non. II s'agit des transactions effectuées par PDA lui-même. Les transactions mémorisées dans cet historique sont stockées à chaque transaction effectuée par le PDA 2. L'historique 13 du PDA comporte pour chaque transaction mémorisée le numéro de séquence 131 vu du PDA, le numéro 132 du PDA ou tout autre identifiant de celui-ci et le numéro physique 133 de la carte objet de la transaction ou tout autre code permettant d'identifier cette carte. L'identifiant de la carte est envoyé par le coupleur via la liaison 4. Les transactions mémorisées par le PDA correspondent aux transactions mémorisées par le coupleur.
Les historiques 12, 13 comportent par exemple l'instant de chaque transaction, l'instant étant par exemple fourni par l'horloge 27 du coupleur 3. L'historique 13 peut-être envoyé régulièrement au serveur 5, par exemple par l'intermédiaire de la liaison 6 entre le coupleur 3 et le serveur 5 qui transite par le PDA. L'historique 13 du PDA peut aussi être envoyé par tout autre moyen vers le serveur, par exemple par liaison téléphonique ou par réseau.
Le serveur dispose ainsi des deux historiques des transactions, l'historique 12 mémorisé par le coupleur et l'historique 13 mémorisé par le PDA.
Théoriquement ces historiques concernent les mêmes transactions. Le serveur peut ainsi comporter une fonction de comparaison de ces deux historiques 12, 13. Avantageusement ces deux historiques apportent un degré de sécurité supplémentaire au terminal 1. En particulier, cette sécurité permet de détecter des transactions frauduleuses. Une différence entre les deux historiques, par exemple une transaction qui manque dans l'historique 13 du PDA relève une fraude. Cette fraude peut-être due par exemple à une vente frauduleuse mémorisée dans l'historique 12 du coupleur mais non stockée dans l'historique 13 de PDA, ou vice versa. On peut ainsi détecter et identifier des transactions supprimées ou modifiées par un agent ou utilisateur malveillant.
io Ainsi, le serveur 5 peut corréler les données des transactions qu'il reçoit du PDA 2, qui sont non fiables, avec les données des transactions, sûres, qu'il reçoit du coupleur 3 sous forme d'historique. Son rôle de surveillance s'étend à d'autres terminaux. Il vérifie notamment que ce qui été validé a bien été vendu et ce qui a été vendu a bien été payé. Il permet d'appairer un coupleur à un PDA en fournissant au PDA la clé Kv confidentielle lorsque le coupleur la lui donne sous session sécurisée par la clé Kab. Un système composé du serveur 5 et d'un ou plusieurs terminaux de transactions électroniques nomades tel que celui présenté précédemment forme alors un système de transactions électroniques sécurisé.
Le serveur 5 est le seul élément du système qui permette de recharger le coupleur puisque c'est le seul à connaître la clé Kab. Les historiques 12, 13 pourraient être envoyés à d'autres organes de contrôle que le serveur 5 pour effectuer leur rapprochement, avec les liaisons appropriées. Cet organe de contrôle 5 effectue un rapprochement des transactions mémorisées dans l'historique 12 du coupleur 3 de celles mémorisées dans l'historique 13 du PDA 2. Un défaut de rapprochement, c'est-à-dire une transaction présente dans un registre et non dans l'autre, relève une transaction erronée, frauduleuse ou non. Un exemple de rapprochement est la comparaison effectuée sur les données précitées121, 122, 123, 131, 132, 133 des historiques 12, 13. D'autres types de rapprochements des transactions mémorisées dans ces historiques 12, 13 sont possibles.
L'invention a été présentée pour une application billettique, plus particulièrement pour le traitement de titres de transport par un terminal nomade. Elle peut bien sûr s'appliquer à d'autres domaines et plus généralement à d'autres types de transactions électroniques faisant appel à un terminal nomade nécessitant un certain niveau de sécurisation. Par ailleurs le média utilisé dans l'exemple d'application est une carte à lecture et écriture sans contact. Il est évidemment possible d'utiliser d'autres types de média. De même le support applicatif 2 a été décrit comme étant un PDA. Il est possible d'utiliser d'autres types de supports applicatif, par exemple un ordinateur portable, un téléphone portable ou tous autres types de d'interface homme-machine capable de se connecter à un serveur 5 et à un coupleur 3. La liaison 6 entre le coupleur 3 et le serveur 5 et la liaison 4 entre le coupleur io et le PDA ont été décrite comme étant des liaisons sans fil, par exemple de type bluetooth. Ces liaisons ont l'avantage de rendre plus pratique l'utilisation du PDA. D'autres types de liaisons peuvent être utilisés.
Enfin le support applicatif 2 et le coupleur 3 ont été présentés comme deux composants ayant des supports physiques différents. Dans un autre mode de réalisation, le support applicatif 2 et le coupleur 3 pourraient être placés sur un même support physique. Néanmoins la séparation du support applicatif 1 et du coupleur 3, c'est-à-dire le fait de communiquer par une liaison confidentielle 4, apporte un élément de sécurité supplémentaire. En particulier le serveur 5 ou tout autre organe de contrôle extérieur permet seul d'appairer un coupleur 3 et un support applicatif 2. En effet la clé Kv par exemple qui permet d'ouvrir les sessions de communications entre le support applicatif 2 et le coupleur 3 est fournie par le serveur 5 au coupleur par liaison sécurisé, au moyen de la clé Kab par exemple. Le coupleur transmet ensuite cette clé Kv au support applicatif 2. Comme il a été indiqué précédemment cette clé peutêtre renouvelée, par exemple de manière aléatoire.

Claims (16)

REVENDICATIONS
1. Terminal nomade de transactions électroniques, caractérisé en ce qu'il comporte un support applicatif (2) et un coupleur (3) pour réaliser les opérations de lectures et d'écritures sur un média nécessaires aux transactions électroniques en relation avec l'applicatif, le coupleur (3) comportant des moyens pour créer une fenêtre temporelle d'écriture (31) et une fenêtre temporelle de lecture (32) à partir d'un signal d'entrée sécurisé, toute écriture et toute lecture étant bloquée en dehors des fenêtres correspondantes.
2. Terminal selon la revendication 1, caractérisé en ce que le coupleur (3) comporte une horloge (27), un premier registre (28) pour fixer la fenêtre temporelle en lecture et un deuxième registre (29) pour fixer la fenêtre temporelle en écriture, les registres (28, 29) étant initialisés en fonction du signal sécurisé, la fenêtre temporelle en lecture commençant à un instant REG_R du registre (28) et durant une durée T_R mémorisée dans un registre (10), la fenêtre temporelle en écriture commençant à un instant REG_W du registre (29) et durant une durée T_W mémorisée dans un registre (11), la lecture étant bloquée lorsque la valeur de l'horloge (27) atteint la valeur REG_R augmentée de la durée T_R et l'écriture étant bloquée lorsque la valeur de l'horloge (27) atteint la valeur REG_W augmentée de la durée T_W.
3. Terminal selon l'une quelconque des revendications précédentes, caractérisé en ce que la fenêtre temporelle de lecture (32) et la fenêtre 25 temporelle d'écriture (31) ont des valeurs différentes.
4. Terminal selon la revendication 3, caractérisé en ce que la fenêtre temporelle d'écriture (31) est incluse dans la fenêtre temporelle de lecture (32).
5. Terminal selon l'une quelconque des revendications précédentes, caractérisé en ce que: le coupleur (3) et le support applicatif (2) communiquent entre-eux par une liaison confidentielle (4) ; - le coupleur (3) communique avec un organe de contrôle extérieur (5) par une liaison sécurisée (6) ; la clé (Kv) permettant d'ouvrir la session confidentielle étant générée par le coupleur (3), l'ouverture d'une session confidentielle étant réalisée par identification mutuelle au moyen de la clé (Kv), cette clé (Kv) étant fournie au support applicatif (2) par l'intermédiaire de l'organe de contrôle extérieur (5).
6. Terminal selon la revendication 5 caractérisé en ce que la liaison (6) entre le coupleur (3) et l'organe de contrôle (5) passe par le support applicatif (2) qui comporte un programme de routage (26) pour router les données du coupleur (3) vers l'organe de contrôle (5).
7. Terminal selon l'une quelconque des revendications précédentes caractérisé en ce que le signal sécurisé dont est issue l'initialisation des fenêtres temporelles d'écriture (31) et de lecture (32) est généré par l'ouverture d'une session de communication entre le coupleur (3) et l'organe de contrôle (5).
8. Terminal selon l'une quelconque des revendications précédentes caractérisé en ce qu'une fenêtre temporelle (31, 32) est initialisée par un signal codé saisi sur le support applicatif (2) et transmis au coupleur (3).
9. Terminal selon la revendication 8, caractérisé en ce que seule la fenêtre 25 temporelle d'écriture peut être initialisée par un signal saisi sur le support applicatif (2) et transmis au coupleur (3).
10. Terminal selon l'une quelconque des revendications précédentes, caractérisé en ce que le support applicatif (2) et le coupleur (3) comportent chacun un historique (12, 13) des transactions électroniques effectuées dans une période donnée, les historiques étant envoyés à un organe de contrôle (5) qui effectue un rapprochement des historiques, un défaut de rapprochement révélant une transaction erronée.
11. Terminal selon l'une quelconque des revendications précédentes, caractérisé en ce que l'organe de contrôle (5) est un serveur.
12. Terminal selon l'une quelconque des revendications précédentes, 5 caractérisé en ce que le support applicatif (2) est un ordinateur de poche du type PDA.
13. Terminal selon l'une quelconque des revendications précédentes, caractérisé en ce que le support applicatif (2) comporte une application de 1 o traitement billettique.
14. Terminal selon l'une quelconque des revendications précédentes, caractérisé en ce que le média est une carte à lecture sans contact.
15. Système de transactions électroniques caractérisé en ce qu'il comporte un organe de contrôle (5) et au moins un terminal selon l'une quelconque des revendications précédentes.
16. Système selon la revendication 15, caractérisé en ce que l'organe de contrôle (5) et le coupleur (3) communique sous forme de session sécurisée par authentification mutuelle basée sur une clé (Kab) contenue dans l'organe de contrôle (5) et dans le coupleur (3).
FR0504389A 2005-04-29 2005-04-29 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise Expired - Fee Related FR2885246B1 (fr)

Priority Applications (12)

Application Number Priority Date Filing Date Title
FR0504389A FR2885246B1 (fr) 2005-04-29 2005-04-29 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise
EP06754934A EP1875426A2 (fr) 2005-04-29 2006-04-28 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise
BRPI0610977-2A BRPI0610977A2 (pt) 2005-04-29 2006-04-28 terminal móvel de transações eletrÈnicas seguras e sistema de transações eletrÈnicas seguras
US11/912,933 US8719570B2 (en) 2005-04-29 2006-04-28 Mobile terminal for secure electronic transactions and secure electronic transaction system
CNA2006800233448A CN101208717A (zh) 2005-04-29 2006-04-28 安全电子交易移动终端及安全电子交易系统
MX2007013557A MX2007013557A (es) 2005-04-29 2006-04-28 Terminal movil de transacciones electronicas seguras y sistema de transacciones electronicas seguras.
RU2007144513/08A RU2412484C2 (ru) 2005-04-29 2006-04-28 Защищенный переносной терминал для электронных транзакций и защищенная система электронных транзакций
CA002610049A CA2610049A1 (fr) 2005-04-29 2006-04-28 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise
PCT/EP2006/061944 WO2006117351A2 (fr) 2005-04-29 2006-04-28 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise
EGNA2007001178 EG25527A (en) 2005-04-29 2007-10-29 Mobile terminal for secure electronic transactionsand secure electronic transaction system
MA30413A MA29525B1 (fr) 2005-04-29 2007-11-22 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise
ZA200710305A ZA200710305B (en) 2005-04-29 2007-11-28 Mobile terminal for secure electronic transactions and secure electronic transaction system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0504389A FR2885246B1 (fr) 2005-04-29 2005-04-29 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise

Publications (2)

Publication Number Publication Date
FR2885246A1 true FR2885246A1 (fr) 2006-11-03
FR2885246B1 FR2885246B1 (fr) 2007-06-15

Family

ID=35276387

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0504389A Expired - Fee Related FR2885246B1 (fr) 2005-04-29 2005-04-29 Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise

Country Status (12)

Country Link
US (1) US8719570B2 (fr)
EP (1) EP1875426A2 (fr)
CN (1) CN101208717A (fr)
BR (1) BRPI0610977A2 (fr)
CA (1) CA2610049A1 (fr)
EG (1) EG25527A (fr)
FR (1) FR2885246B1 (fr)
MA (1) MA29525B1 (fr)
MX (1) MX2007013557A (fr)
RU (1) RU2412484C2 (fr)
WO (1) WO2006117351A2 (fr)
ZA (1) ZA200710305B (fr)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8719232B2 (en) * 2011-06-30 2014-05-06 Verisign, Inc. Systems and methods for data integrity checking
CN102364515B (zh) * 2011-10-24 2014-12-17 深圳盒子支付信息技术有限公司 一种移动支付终端的支付电路
JP6349319B2 (ja) * 2012-10-26 2018-06-27 アブソリュート ソフトウェア コーポレイション 異なるタイプの通信に最適化された複数のサーバを用いるデバイス監視
WO2020145964A1 (fr) * 2019-01-09 2020-07-16 Hewlett-Packard Development Company, L.P. Transactions sécurisées

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020031229A1 (en) * 2000-09-14 2002-03-14 National Institute Of Advanced Industrial Science And Technology Deputy information processing system
US20030065528A1 (en) * 2001-09-29 2003-04-03 Kozo Matsumoto Ticket issuing and examining system and a method for issuing a ticket
US20030088780A1 (en) * 2001-02-28 2003-05-08 Kuo Chih Jen Smart card enabled secure computing environment system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716486B2 (en) * 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
RU2300844C2 (ru) * 2002-06-18 2007-06-10 Ооо "Крейф" Персональный криптозащитный комплекс

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020031229A1 (en) * 2000-09-14 2002-03-14 National Institute Of Advanced Industrial Science And Technology Deputy information processing system
US20030088780A1 (en) * 2001-02-28 2003-05-08 Kuo Chih Jen Smart card enabled secure computing environment system
US20030065528A1 (en) * 2001-09-29 2003-04-03 Kozo Matsumoto Ticket issuing and examining system and a method for issuing a ticket

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WALTER T ET AL: "Secure mobile business applications - framework, architecture and implementation", INFORMATION SECURITY TECHNICAL REPORT, ELSEVIER ADVANCED TECHNOLOGY, vol. 9, no. 4, December 2004 (2004-12-01), pages 6 - 21, XP004725489, ISSN: 1363-4127 *

Also Published As

Publication number Publication date
FR2885246B1 (fr) 2007-06-15
CN101208717A (zh) 2008-06-25
CA2610049A1 (fr) 2006-11-09
WO2006117351A3 (fr) 2007-01-25
BRPI0610977A2 (pt) 2010-08-10
MA29525B1 (fr) 2008-06-02
EP1875426A2 (fr) 2008-01-09
RU2412484C2 (ru) 2011-02-20
ZA200710305B (en) 2008-12-31
MX2007013557A (es) 2008-04-04
RU2007144513A (ru) 2009-06-10
US8719570B2 (en) 2014-05-06
US20080294898A1 (en) 2008-11-27
EG25527A (en) 2012-02-01
WO2006117351A2 (fr) 2006-11-09

Similar Documents

Publication Publication Date Title
EP3113099B1 (fr) Conteneur de paiement, procédé de création, procédé de traitement, dispositifs et programmes correspondants
EP0426541B1 (fr) Procédé de protection contre l'utilisation frauduleuse de cartes à microprocesseur, et dispositif de mise en oeuvre
CH633379A5 (fr) Installation de securite notamment pour l'execution d'operations bancaires.
FR2497617A1 (fr) Procede et dispositif de securite pour communication tripartie de donnees confidentielles
FR2882880A1 (fr) Procede de securisation d'une transaction avec une carte de paiement, et centre d'autorisation pour la mise en oeuvre de ce procede
FR2922669A1 (fr) Dispositif electronique portable pour l'echange de valeurs et procede de mise en oeuvre d'un tel dispositif
FR2885246A1 (fr) Terminal nomade de transactions electroniques securise et systeme de transactions electroniques securise
FR2923635A1 (fr) Systeme pour des transactions de commerce electronique, dispositif electronique portatif, reseau de communication, produit programme d'ordinateur et methode correspondants.
CA2398317A1 (fr) Systeme et procede de securisation des transmissions d'informations
FR2697929A1 (fr) Protocole sécurisé d'échange de données entre un dispositif de transfert et un objet portatif.
WO2002052389A2 (fr) Methode anti-clonage d'un module de securite
EP1451783B1 (fr) Procede, systeme et dispositif permettant d'authentifier des donnees transmises et/ou recues par un utilisateur
EP0909432B1 (fr) Dispositif portatif destine a effectuer des transactions securisees en interne et par carte a micro-circuits, et procede de mise en oeuvre correspondant
FR3080934A1 (fr) Procede et systeme pour effectuer un echange de donnees securise
EP2053553A1 (fr) Procédé et dispositif pour l'échange de valeurs entre entités électroniques portables personnelles
EP1749415B1 (fr) Procedes de securisation d'appareils tels que des terminaux mobiles, et ensembles securises comprenant de tels appareils
FR2750273A1 (fr) Procede de rechargement de cartes prepayees virtuelles
EP1354288B1 (fr) Procede utilisant les cartes de paiement electroniques pour securiser les transactions
FR2730076A1 (fr) Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants
FR2932296A1 (fr) Procedes et dispositif pour entites electroniques pour l'echange et l'utilisation de droits
WO2009077380A1 (fr) Procede pour communiquer, depuis un terminal de transaction, a un serveur, terminal, serveur et systeme electroniques correspondants
FR2566155A1 (fr) Procede et systeme pour chiffrer et dechiffrer des informations transmises entre un dispositif emetteur et un dispositif recepteur
EP0817144B1 (fr) Procédé de contrôle de l'utilisation d'un messageur, messageur fonctionnant selon ce procédé et carte à puce pour l'accès conditionné à un messageur
EP3564914A1 (fr) Procédé et système pour effectuer un échange de données sécurisé
FR2796742A1 (fr) Supports et systemes d'echange de donnees securises notamment pour paiements et telepaiements

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20151231