FR3025377A1 - Gestion de tickets electroniques - Google Patents

Gestion de tickets electroniques Download PDF

Info

Publication number
FR3025377A1
FR3025377A1 FR1458202A FR1458202A FR3025377A1 FR 3025377 A1 FR3025377 A1 FR 3025377A1 FR 1458202 A FR1458202 A FR 1458202A FR 1458202 A FR1458202 A FR 1458202A FR 3025377 A1 FR3025377 A1 FR 3025377A1
Authority
FR
France
Prior art keywords
ticket
mobile terminal
security element
electronic ticket
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR1458202A
Other languages
English (en)
Inventor
Jean-Luc Grimault
Jean Lemauviel
Franck Grupeli
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR1458202A priority Critical patent/FR3025377A1/fr
Priority to PCT/FR2015/052314 priority patent/WO2016034810A1/fr
Priority to US15/508,152 priority patent/US20170286873A1/en
Priority to EP15767215.5A priority patent/EP3189485A1/fr
Publication of FR3025377A1 publication Critical patent/FR3025377A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/02Reservations, e.g. for tickets, services or events
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/045Payment circuits using payment protocols involving tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/045Payment circuits using payment protocols involving tickets
    • G06Q20/0457Payment circuits using payment protocols involving tickets the tickets being sent electronically
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3229Use of the SIM of a M-device as secure element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B15/00Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Tourism & Hospitality (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Finance (AREA)
  • Telephone Function (AREA)
  • Telephonic Communication Services (AREA)

Abstract

L'invention concerne un procédé de mise à disposition d'un ticket électronique (4) par un élément de sécurité (C, SIM) associé à un terminal mobile (T). Le ticket (4) est stocké dans le terminal mobile et prévu pour accéder à un service via un dispositif de contrôle d'accès (B). Le procédé est caractérisé en ce qu'il comporte les étapes suivantes dans l'élément de sécurité (C) : - une étape (E10) de réception du ticket électronique (4) en provenance du terminal mobile (T) ; - une étape (E11) de mémorisation du ticket électronique (4) dans l'élément de sécurité (SIM) ; - une étape (E13) de mise à disposition du ticket électronique pour le dispositif de contrôle d'accès (B) ; - une étape (E14, E15) d'authentification prenant en compte au moins une donnée contenue dans le ticket et une donnée liée à l'élément de sécurité.

Description

1 Gestion de tickets électroniques. Domaine technique L'invention se rapporte au domaine général de la dématérialisation des titres de propriété autrement connus sous le nom de « tickets électroniques » et plus particulièrement au domaine d'application dans lequel un ticket électronique est destiné à être mémorisé dans un terminal mobile apte à restituer ledit ticket pour permettre à son utilisateur d'accéder à un bien ou plus généralement à un service. Elle trouve une application privilégiée, mais non limitative, dans les applications pour lesquelles le terminal mobile restitue le ticket électronique en utilisant une technique de communication par champ proche. Etat de la technique Les techniques de communication "en champ proche" se développent largement ; la plus utilisée de ces technologies pour la téléphonie mobile est celle connue sous l' acronyme de NFC (en anglais « Near Field Communication »). On rappelle que les communications « NFC », basées principalement sur la norme ISO (International Standard Organisation) 14443, utilisent des technologies sans fil pour permettre un échange d'informations entre deux périphériques éloignés d'une courte distance, typiquement inférieure à dix centimètres.
Il a déjà été démontré la faisabilité de services de dématérialisation de tickets électroniques sur terminaux mobiles au moyen de la technologie sans contact. On connait notamment des services de transport dans lesquels les usagers des transports publics utilisent une application dédiée de leur terminal mobile pour acheter des tickets électroniques et pour valider leur ticket à l'entrée du bus ou du tramway en approchant leur terminal mobile d'un dispositif de contrôle d'accès apte à communiquer avec le terminal mobile, ou plus exactement avec un élément 3025377 2 de sécurité du terminal mobile, par des moyens de communication en champ proche NFC pour obtenir le ticket électronique afin d'en vérifier la validité. Par « élément de sécurité », on entend ici un élément de stockage et de manipulation des données permettant de garantir à un utilisateur du terminal 5 mobile une sécurité élevée puisque les données enregistrées dans l'élément de sécurité ne sont pas accessibles à un utilisateur non autorisé. Par « utilisateur » on entend l'utilisateur du terminal mobile, qui est aussi le client du fournisseur de tickets. Cet élément de sécurité peut par exemple être constitué par une carte SIM (de l'anglais Subscriber Identity Module), utilisée en téléphonie mobile pour 10 stocker les informations spécifiques à l'abonné d'un réseau mobile et des applications de l'utilisateur, de son opérateur ou dans certains cas de tierces parties. Cet élément de sécurité peut encore être un support amovible de type "Secure SD Card" ou un élément de sécurité intégré au terminal ("Embedded Secure Element") ou encore une zone sécurisée du processeur applicatif grâce à 15 l'utilisation d'une technologie de sécurité intégrée dans le processeur et ses composants périphériques (par exemple la technologie « TrustZone », marque déposée de la société ARM). Dans le cas d'un terminal supportant des applications de type Android (on rappelle qu'une application Android est une application mobile spécifiquement développée pour les terminaux mobiles utilisant le système 20 d'application Android développé par la société Google), des applications sécurisées peuvent également s'exécuter dans le terminal Android lui-même (à partir de la version 4.4. "KitKat"), grâce à la technologie "HCE" ("Host Card Emulation"). Par la suite, on utilisera indifféremment les termes « élément de 25 sécurité » et « carte SIM ». Par « dispositif de contrôle d'accès » on entend un dispositif physique apte à prendre connaissance du contenu du ticket électronique et en vérifier la validité en association avec un ou plusieurs serveurs de vérification (de la date de validité du ticket, etc.) et d'authentification (de l'élément de sécurité associé à 3025377 3 l'utilisateur du terminal mobile). Par la suite, on utilisera indifféremment les termes « dispositif de contrôle d'accès » et « borne ». Par « validation du ticket », on entendra l'ensemble des deux opérations, à savoir vérification du ticket et authentification de l'élément de sécurité.
5 On peut également citer, selon un autre exemple, l'expérimentation « M- Stadium », à Caen, France, qui a montré l'intégration de la technologie sans contact tout au long du parcours d'un public dans un stade : acquisition et dématérialisation de tickets électroniques sur des terminaux mobiles, contrôle des tickets électroniques et lecture d'étiquettes interactives dans le stade, etc. Les 10 utilisateurs d'un tel système chargent préalablement un ticket au moyen d'une application mobile de leur terminal mobile équipé de la technologie sans contact. Les données ainsi chargées, relatives au ticket, sont mémorisées et gérées dans un élément de sécurité associé au terminal mobile, en l'occurrence la carte SIM de l'utilisateur, puis contrôlées à l'entrée du stade au moyen d'un terminal de 15 contrôle. On connaît également, selon encore un autre exemple choisi dans le monde bancaire, des services de paiement pour lesquels certaines banques ont déployé, chez des commerçants, des terminaux de paiement électroniques sans contact utilisables aussi bien avec une carte bancaire qu'avec un terminal mobile 20 NFC doté d'un élément de sécurité comme la carte SIM. Dans tous ces exemples, une application spécifique au service est développée puis installée dans l'élément de sécurité, de sorte que celui-ci peut assurer l'authentification de l'utilisateur pour l'accès au service (abonnement transport, accès au stade de football, etc.) et en même temps gérer des données 25 propres aux services. Des techniques relativement complexes doivent être utilisées pour charger des applications dans l'élément de sécurité via des plateformes de service situées dans l'infrastructure de l'opérateur mobile et/ou des fournisseurs de services, techniques dites OTA (pour "Over The Air") qui sont conformes aux spécifications éditées par l'association « Global Platform ». De telles plateformes 3025377 4 sont coûteuses. L'utilisateur ne peut pas installer lui-même une telle application dans une carte SIM. De plus, la multiplication des applications dédiées charge considérablement la carte SIM qui est généralement limitée en ressources mémoire.
5 L'invention propose un système de contrôle d'accès à un service par l'utilisateur d'un terminal mobile équipé d'un élément de sécurité, par validation d'un ticket électronique, qui ne présente pas de tels inconvénients. L'invention Selon un premier aspect fonctionnel, l'invention a pour objet un procédé de 10 mise à disposition d'un ticket électronique par un élément de sécurité associé à un terminal mobile, le ticket étant stocké dans le terminal mobile et prévu pour accéder à un service via un dispositif de contrôle d'accès, le procédé étant caractérisé en ce qu'il comporte les étapes suivantes dans l'élément de sécurité : - une étape de réception du ticket électronique en provenance du 15 terminal mobile ; - une étape de mémorisation du ticket électronique dans l'élément de sécurité ; - une étape de mise à disposition du ticket électronique pour le dispositif de contrôle d'accès ; 20 - une étape d'authentification prenant en compte au moins une donnée contenue dans le ticket et une donnée liée à l'élément de sécurité. Avantageusement selon l'invention, le ticket n'est pas exploité par l'élément de sécurité mais seulement mis à la disposition du dispositif de contrôle d'accès par une application de l'élément de sécurité, dite application sécuritaire 25 (en langage informatique, applet). Ainsi, l'invention se distingue des techniques actuelles qui nécessitent l'installation d'une application spécifique à chaque service dans l'élément de sécurité du terminal mobile (carte SIM notamment), par exemple une application pour l'accès à un spectacle et une autre application pour les tickets de transport.
3025377 5 Il est avantageux d'héberger une seule application sécuritaire de mise à disposition du ticket qui va être consommé dans l'élément de sécurité, quel que soit le type de ce ticket. En effet, le stockage d'applications dans la carte SIM demande des infrastructures complexes de type OTA. De plus, installer une 5 application sécuritaire spécifique à chaque service dans la carte SIM suppose que la carte dispose de suffisamment de mémoire, ce qui n'est pas toujours le cas, et ce d'autant plus que le nombre de services augmente, augmentant de ce fait les besoins en mémoire et complexité. Enfin, une application sécuritaire dans la carte SIM ne suffit souvent pas 10 à couvrir les besoins du service et il faut lui associer une application sur le mobile, notamment une interface graphique adaptée au service. Cet ensemble constitué de l'application spécifique sur mobile interagissant avec l'application sécuritaire spécifique sur la carte SIM constitue un ensemble technique complexe à mettre au point et à tester.
15 L'élément de sécurité du terminal mobile (carte SIM par exemple) est utilisé comme moyen d'authentification forte, à savoir pour fournir la preuve que le terminal mobile approché de la borne comporte le bon élément de sécurité, c'est-à-dire celui de l'utilisateur du terminal mobile auquel est associée l'élément de sécurité (la carte SIM de l'utilisateur). Il est donc important que cette fonction 20 d'authentification forte reste dédiée à la carte SIM. En résumé, l'invention évite la nécessité de charger une application sécuritaire spécifique à chaque service dans l'élément de sécurité (application qui devrait gérer spécifiquement les tickets selon le service à rendre, i.e. une application pour le transport, une application pour le paiement, une troisième pour les spectacles, 25 etc.) Elle conserve cependant les avantages de l'élément sécurisé, c'est à dire l'authentification forte de la carte SIM qui stocke le ticket électronique, sous contrôle d'une applet sécuritaire qui se contente de mettre le ticket à disposition de la borne et n'exécute donc aucune analyse ou gestion particulière des données du ticket.
3025377 6 Selon un mode de mise en oeuvre particulier de l'invention, un procédé tel que décrit ci-dessus inclut en outre les étapes suivantes : - une étape de réception, en provenance du terminal mobile, d'un ordre d'effacement du ticket mémorisé ; 5 - une étape d'effacement du ticket. Avantageusement selon l'invention, le ticket n'est donc stocké dans l'élément de sécurité que de manière temporaire. Il est typiquement supprimé de la carte SIM lorsque l'utilisateur a bénéficié du service (e.g. a passé la porte du portique associé au dispositif de contrôle d'accès) et n'a donc plus besoin du ticket 10 dans la SIM. Le ticket peut cependant être conservé dans le mobile (par exemple s'il s'agit d'un ticket de transport valable sur plusieurs jours). Il est avantageux, conformément à l'invention, de stocker les tickets dans le téléphone mobile et de les mettre à disposition de manière temporaire dans la mémoire sécurisée de la carte SIM, car les tickets peuvent être volumineux (en nombre d'octets) et occuper 15 un espace mémoire important dans la carte SIM. Par « effacement » on entend ici suppression ou remplacement du ticket, la suppression consistant à libérer la mémoire alors que le remplacement consiste à stoker un autre ticket (également temporaire) à la place du ticket à effacer, typiquement le ticket suivant sélectionné par le terminal mobile. Ce mode de mise en oeuvre de l'invention permet, tout en 20 bénéficiant des capacités d'authentification et de sécurité liées naturellement à l'élément de sécurité, de ne pas le surcharger. Selon un second mode de mise en oeuvre particulier de l'invention, qui pourra être mis en oeuvre alternativement ou cumulativement avec le précédent, un procédé tel que décrit ci-dessus est tel que ledit ticket comprend au moins une clé 25 publique de l'élément de sécurité, et est caractérisé en ce qu'il comporte les étapes de : - réception d'un aléa en provenance du dispositif de contrôle d'accès ; - signature de l'aléa au moyen de la clé privée de l'élément de sécurité ; - mise à disposition de l'aléa signé pour le dispositif de contrôle d'accès.
3025377 7 La procédure de sécurité mise en oeuvre selon l'invention est très simple : le ticket émis par le fournisseur de tickets comprend une clé publique de la carte SIM de l'utilisateur, alors que l'élément de sécurité (carte SIM) comprend classiquement la clé privée correspondante. Si l'aléa est correctement signé par la 5 carte SIM, le dispositif de contrôle d'accès pourra le déchiffrer au moyen de la clé publique contenue dans le ticket, assurant ainsi l'authentification de la carte SIM et donc de l'utilisateur du terminal mobile. Selon un troisième mode de mise en oeuvre particulier de l'invention, qui pourra être mis en oeuvre alternativement ou cumulativement avec les précédents, 10 un procédé tel que décrit ci-dessus est en outre caractérisé en ce que au moins une partie du ticket a été signée au moyen d'une clé privée de l'entité émettrice. Avantageusement, cette signature du message, ou d'une partie du message contenu dans le ticket par la clé secrète de l'entité émettrice permet d'ajouter une authentification supplémentaire portant sur l'identité du fournisseur 15 de service (et tickets) : le dispositif de contrôle d'accès ayant accès, directement ou indirectement, à la clé publique de l'entité émettrice qui fournit les tickets, pourra vérifier l'authenticité de ce fournisseur en déchiffrant le message chiffré. Selon un autre aspect fonctionnel, l'invention a aussi pour objet un 20 procédé de gestion d'un ticket électronique dans un terminal mobile auquel est associé un élément de sécurité, le ticket étant prévu pour accéder à un service via un dispositif de contrôle d'accès, ce procédé étant caractérisé en ce qu'il comporte les étapes suivantes au niveau du terminal mobile : - une étape de sélection d'un ticket électronique mémorisé par le 25 terminal ; - une étape d'envoi dudit ticket vers le module de sécurité. Avantageusement, le ticket électronique est donc stocké et géré au sein du terminal mobile par une application de gestion de tickets qui s'exécute sur le 3025377 8 terminal mobile et communique avec l'élément de sécurité. Le ticket électronique est stocké dans une mémoire du terminal mobile hors de l'élément sécurisé et transféré seulement après qu'il a été sélectionné, par exemple par l'utilisateur au moyen d'une interface graphique lui proposant un choix de tickets.
5 Conformément à l'invention, les tickets électroniques et l'application associée (application de gestion des tickets) sont chargés dans le terminal mobile par des techniques souples et simples connues de l'homme du métier (par exemple messages courts de type SMS (Short Message Service) ou MMS (Multimedia Message Service), téléchargement sur un serveur du réseau mobile ou du réseau 10 Internet via le réseau mobile, etc.) sans qu'il soit nécessaire de recourir aux techniques complexes utilisées pour charger des applications ou des données dans une carte SIM via des plateformes OTA. Dans un tel contexte, l'utilisateur de l'invention peut avantageusement installer lui-même l'application sur son terminal mobile (par exemple une application de type Android ou Apple). Une telle 15 application peut être adaptée à chaque type de service ou même à chaque service (graphisme et menus adaptés) sans qu'il y ait d'interaction complexe entre cette application et l'application sécuritaire d'authentification et de mise à disposition du ticket qui se trouve dans l'élément sécurisé. Une telle application peut être dédiée à un certain type de services ou au contraire une seule application sur le mobile 20 peut gérer tous les tickets de tous les services, sans perte de généralités pour l'invention. Ainsi, l'utilisateur peut charger plusieurs applications de gestion dans son téléphone mobile qui dispose généralement d'une mémoire plus large que la carte SIM. Dans le même temps, le stockage temporaire du ticket dans la carte SIM 25 limite le nombre de sessions de communication à enchaîner entre la borne et l'ensemble SIM-MOBILE : en effet si la borne devait dialoguer simultanément avec une application sur le téléphone mobile et une autre application sur la carte SIM, il devrait ouvrir deux sessions distinctes, par exemple une session Bluetooth (avec le terminal mobile) et une session NFC (avec la carte SIM) ou deux sessions 3025377 9 NFC, etc. Il est naturellement plus simple d'ouvrir une seule session vers la carte SIM au moment où elle dispose du ticket. Selon un mode de mise en oeuvre particulier, un procédé de gestion tel que décrit ci-dessus est en outre caractérisé en ce que la communication entre 5 l'élément de sécurité et le dispositif de contrôle d'accès est effectuée en champ proche. La communication en champ proche offre de nombreux avantages dans ce contexte de tickets dématérialisés : une sécurité intrinsèque à ce mode de communication, puisque l'utilisateur du terminal mobile doit être à quelques 10 centimètres seulement de la borne pour pouvoir valider son ticket ; mais encore, le NFC permet la consommation du ticket même lorsque la batterie du terminal mobile est déchargée ou lorsque le mobile est éteint : en effet le dispositif de contrôle d'accès est capable d'alimenter la carte SIM via son champ NFC, assurant ainsi la lecture du ticket et de l'aléa signé en l'absence même de batterie.
15 Selon un second mode de mise en oeuvre particulier de l'invention, qui pourra être mis en oeuvre alternativement ou cumulativement avec le précédent, un procédé de gestion tel que décrit ci-dessus inclut en outre une étape d'émission vers le module de sécurité d'un ordre d'effacement dudit ticket. Avantageusement, comme noté précédemment, cet aspect de l'invention 20 réduit la place occupée par les tickets dans l'élément de sécurité. L'effacement peut être une suppression ou un remplacement du ticket (par un autre ticket). Selon un troisième mode de mise en oeuvre particulier de l'invention, qui pourra être mis en oeuvre alternativement ou cumulativement avec les précédents, un procédé de gestion tel que décrit plus haut inclut en outre une étape préalable 25 de réception d'un ticket électronique en provenance d'une entité émettrice, ledit ticket comprenant au moins une clé publique de l'utilisateur du terminal mobile correspondant à la clé privée qui se trouve dans l'élément de sécurité.
3025377 10 Avantageusement, comme noté précédemment, si le ticket émis par le fournisseur de tickets comprend une clé publique de la carte SIM de l'utilisateur, alors que l'élément de sécurité comprend la clé privée correspondante, authentification de la carte SIM et donc de l'utilisateur du terminal mobile est 5 facilement assurée. Selon un quatrième mode de mise en oeuvre particulier de l'invention, qui pourra être mis en oeuvre alternativement ou cumulativement avec les précédents, un procédé de gestion tel que décrit plus haut est en outre caractérisé en ce que l'étape de sélection est automatique si le niveau d'alimentation du téléphone 10 mobile se trouve en-dessous d'un seuil prédéterminé, et s'effectue selon une règle préétablie. Avantageusement, il est ainsi possible de traiter le ticket même lorsque le téléphone mobile est presque déchargé : une fois le ticket transféré dans la carte SIM, cette dernière peut être alimentée via le champ proche NFC et donc ne 15 nécessite plus d'alimentation de la part du terminal mobile, qui peut même être éteint. Selon une variante de ce mode de réalisation de l'invention, un procédé de gestion selon l'invention est en outre caractérisé en ce que la règle préétablie consiste à sélectionner le dernier ticket consulté par l'utilisateur.
20 Avantageusement, le dernier ticket visualisé ou accédé par l'utilisateur est sélectionné comme étant le choix le plus probable qu'aurait fait l'utilisateur s'il avait lui-même effectué cette sélection, par exemple dans une liste de tickets. Selon un cinquième mode de mise en oeuvre particulier de l'invention, qui pourra être mis en oeuvre alternativement ou cumulativement avec les 25 précédents, un procédé de gestion tel que décrit plus haut est en outre caractérisé en ce que l'étape de sélection est automatique si les données contenues dans le ticket comportent certaines caractéristiques prédéfinies relatives à la validité du ticket.
3025377 11 Avantageusement, le ticket le plus proche de sa date d'expiration peut être ainsi « poussé » automatiquement vers le module de sécurité. Selon un aspect matériel, l'invention concerne également un élément de sécurité associé à un terminal mobile apte à mettre à disposition d'un dispositif de 5 contrôle d' accès un ticket électronique stocké dans le terminal mobile, caractérisé en ce qu'il comporte les modules suivants : - un module de réception agencé pour recevoir du terminal mobile un ticket électronique ; - un module de mémorisation du ticket ; 10 - un module de mise à disposition du ticket électronique pour le dispositif de contrôle d' accès. - un module d'authentification apte à prendre en compte au moins une donnée contenue dans le ticket et une donnée liée à l'élément de sécurité.
15 Le terme module peut correspondre aussi bien à un composant logiciel qu'à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d'ordinateur ou de manière plus générale à tout élément d'un programme apte à mettre en oeuvre une fonction ou un ensemble de fonctions 20 telles que décrites pour les modules concernés. De la même manière, un composant matériel correspond à tout élément d'un ensemble matériel (ou hardware) apte à mettre en oeuvre une fonction ou un ensemble de fonctions pour le module concerné (circuit intégré, carte à puce, carte à mémoire, etc.). Selon un autre aspect matériel, l'invention concerne également un terminal 25 mobile auquel est associé un élément de sécurité, apte à gérer un ticket prévu pour accéder à un service via un dispositif de contrôle d'accès, caractérisé en ce qu'il comporte les modules suivants : - un module de sélection d'un ticket électronique dans la mémoire du terminal; - un module d'envoi dudit ticket vers le module de sécurité ; 3025377 12 Selon un autre aspect matériel, l'invention concerne également un programme d'ordinateur apte à être mis en oeuvre par un procédé de mise à disposition de tickets électroniques tel que défini ci-dessus, le programme comprenant des instructions de code qui, lorsque le programme est exécuté par un 5 processeur, réalise les étapes du procédé de mise à disposition de tickets électroniques. Selon un autre aspect matériel, l'invention concerne également un programme d'ordinateur apte à être mis en oeuvre par un procédé de gestion de tickets électroniques tel que défini ci-dessus, le programme comprenant des 10 instructions de code qui, lorsque le programme est exécuté par un processeur, réalise les étapes du procédé de gestion de tickets électroniques. Cet élément de sécurité, ce terminal et ces programmes d'ordinateur présentent des caractéristiques et avantages analogues à ceux décrits précédemment en relation avec les procédés de mise à disposition et de gestion de 15 tickets. Selon encore un autre aspect matériel, l'invention a trait à un support d'enregistrement lisible par un processeur de données sur lequel est enregistré un programme comprenant des instructions de code de programme pour l'exécution des étapes des procédés définis ci-dessus.
20 L'invention sera mieux comprise à la lecture de la description qui suit, donnée à titre d'exemple et faite en référence aux dessins annexés. Les figures: La figure 1 représente le contexte général d'un mode de réalisation de 25 l'invention.
3025377 13 La figure 2 représente une architecture d'un équipement mobile équipé d'un module d'identité d'abonné et d'un module NFC, apte à mettre en oeuvre un mode de réalisation de l'invention. La figure 3 représente la structure possible d'un ticket électronique selon 5 un mode de réalisation de l'invention. La figure 4 représente un organigramme illustrant les différentes étapes du procédé selon un mode de réalisation de l'invention. Description détaillée d'un exemple de réalisation illustrant l'invention 10 La figure 1 correspond au contexte général d'un mode de réalisation de l'invention ; il s'agit du contrôle local, par un dispositif de contrôle d'accès ou borne (B), de tickets dématérialisés stockés sur le mobile (T) d'un utilisateur (1), avec une authentification par l'élément de sécurité (C). Dans ce mode de réalisation de l'invention, le terminal mobile (T) dispose également d'un module 15 NFC (3) permettant l'usage de communications sans contact entre le mobile, la carte SIM associée (on parle aussi dans ce cas de SIM-NFC) et la borne (B). On rappelle que les usages visés par l'invention sont ceux pour lesquels l'utilisateur doit prouver être en possession d'un droit d'accès à un service avec une validité limitée à une date précise ou durant une durée définie (par exemple, 20 un abonnement de transport pour le mois d'octobre 2014) ou avec un numéro de ticket électronique pouvant être vérifié lors de l'accès au service (par exemple, un accès à un concert, une compétition sportive, etc.). On considère, dans ce mode de réalisation, que l'application visée est une application de billetterie délivrant des tickets de concert.
25 On suppose ici que les tickets électroniques sont livrés par SMS à l'utilisateur : il a choisi un ticket électronique (ici, de concert) auprès d'un fournisseur de services (5). Le fournisseur de services (ici, un fournisseur de 3025377 14 tickets de concert), situé dans l'exemple dans un réseau (9), a généré un ticket (4), l'a signé avec sa clé privée, puis transmis par SMS au téléphone mobile de l'utilisateur (T) (ou plusieurs SMS, du fait de la limitation intrinsèque de la taille d'un SMS). Le réseau (9) est ici un réseau mobile mais d'autres types de réseaux 5 seraient possibles, par exemple Internet, un réseau Intranet, etc. L'utilisateur peut commander son ticket sur le serveur du fournisseur de services (5), avec son terminal mobile, à travers une connexion de données du réseau mobile se prolongeant vers l'Internet, et recevoir son ticket sur son mobile sous forme de SMS.
10 Avant de délivrer le ticket, le fournisseur de services a vérifié que le l'utilisateur est enregistré auprès d'une autorité de confiance (non représentée). Il s'est procuré auprès d'une l'autorité de confiance la clé publique de l'utilisateur, le nom de l'algorithme associé et la référence de la clé. On rappelle que les systèmes de cryptographie "à clé publique" (appelée aussi "cryptographie 15 asymétrique") sont des méthodes qui reposent sur l'utilisation d'une clé publique (qui est diffusée) et d'une clé privée (qui est gardée secrète). Dans le cadre de la signature, la clé privée est utilisée pour signer un message et la clé publique sert à vérifier la validité de la signature du message. Une entité qui dispose d'un certificat de la clé publique (certificat fourni par une autorité de confiance) peut 20 ainsi authentifier l'auteur du message. La clé publique de l'utilisateur que fournit l'autorité de confiance au fournisseur de tickets est la clé publique dont la clé privée correspondante est contenue dans la carte SIM de l'utilisateur. Dans le contexte de ce mode de réalisation de l'invention, elle est gérée par une application sécuritaire 25 d'authentification et de transit, que l'on appelle application de mise à disposition de tickets, ou de manière raccourcie, application sécuritaire, que l'on va décrire plus loin. Dans un but ultérieur d'authentification, le fournisseur de services peut avoir intégré dans le ticket des informations fournies par l'autorité de confiance et l'utilisateur. Un format possible pour un tel ticket sera décrit plus tard à l'appui de 30 la figure 3.
3025377 15 Le terminal mobile (T) contient une application mobile (par exemple une application Android) de gestion des tickets électroniques qui permet notamment à l'utilisateur de visualiser les informations pertinentes liées aux données du ticket (nom du spectacle, date et heure, etc.).
5 Lorsque le terminal mobile reçoit un SMS, l'application mobile détecte le ticket, par exemple à la réception d'un SMS commençant par un identifiant donné. Ce ticket est stocké sur le mobile. Tous les tickets stockés sur le mobile apparaissent dans l'interface que l'application mobile de gestion des tickets propose à l'utilisateur, et sont utilisables si leur date de fin de validité n'est pas 10 antérieure à la date actuelle. Alternativement, les tickets peuvent être gérés par plusieurs applications sur le mobile (une pour le transport, une autre pour les spectacles, etc.). Les tickets électroniques dématérialisés ne sont donc pas stockés dans l'élément de sécurité mais sur le terminal mobile. Comme on le verra par la suite, l'élément de sécurité sert uniquement à authentifier l'utilisateur et à faire 15 transiter le ticket (stockage temporaire avant lecture par la borne (B)). Chaque ticket est sélectionnable par l'utilisateur, par exemple par une pression du doigt sur l'écran tactile du téléphone mobile, et une boite de dialogue peut lui demander une confirmation de la sélection du ticket. L'élément de sécurité (C), ou carte SIM, contient une application 20 sécuritaire, aussi appelée applet (APS) qui est installée sur les cartes SIM des utilisateurs de terminaux mobiles désirant avoir accès au service de ticket dématérialisé. 11 s'agit d'une application unique pour tous les tickets. On l'appelle par la suite Applet, ou application sécuritaire, ou encore APS. Elle peut accéder à la clé privée de l'utilisateur dans la mémoire de la carte SIM, ce qui permet à la 25 carte SIM, et donc à l'utilisateur, de s'authentifier auprès de la borne d'accès. Cette applet permet aussi de stocker temporairement le ticket qui va être lu par la borne.
3025377 16 Lorsque l'utilisateur sélectionne le ticket (4) sur son terminal mobile, l'application mobile de gestion APM envoie le ticket à l' applet de la carte SIM puis demande à l'utilisateur de présenter son terminal mobile à la borne. Lorsque l'utilisateur présente son terminal mobile à la borne d'accès, une 5 communication NFC s'établit entre la borne et la carte SIM-NFC contenue dans le le terminal mobile de l'utilisateur. La borne peut alors communiquer avec la carte SIM pour lire le ticket préalablement mémorisé. L'applet de la SIM permet ensuite d'authentifier l'utilisateur, dont seule la carte SIM possède la clé privée correspondant à la clé publique contenue dans le ticket.
10 La borne (B) dialogue par ailleurs avec un serveur « métier » (7) de vérification des tickets qui est lui-même en relation avec un serveur de vérification des signatures disposant de la clé publique du fournisseur de service (5) et vérifie que la signature du ticket (c'est-à-dire la signature par le fournisseur de services) est correcte. Ces deux serveurs sont, selon cet exemple, des serveurs locaux. Ils 15 peuvent alternativement se trouver dans la borne elle-même ou dans un réseau local, ou encore dans le réseau étendu. Après la phase de réception du ticket par NFC, suivi de la phase d'envoi d'aléa à la carte SIM et de réception de cet aléa signé, la borne NFC attend la réponse des phases de vérification du ticket effectuées par le serveur métier (6) et 20 le serveur de vérification des signatures (7). La borne NFC peut comporter une interface graphique, non représentée, qui lui permet d' afficher des informations à destination du porteur du terminal mobile. Par exemple, une partie « état » indique l'état de la vérification : l' affichage de la borne indique en vert que l' accès est autorisé, en gris ce que doit faire l'utilisateur et en rouge toute erreur survenue. Si 25 la phase de vérification de la signature de l'aléa par la carte SIM, suivie par la phase de vérification des champs « métier » du ticket, suivie par la phase vérification de la signature du fournisseur de services sont correctement validés par les serveurs, alors la borne répond positivement à la requête de l'utilisateur, par exemple elle ouvre un portillon pour le laisser passer. La borne détecte quand 3025377 17 le terminal mobile n'est plus posé sur le lecteur NFC, et peut alors lancer alors une nouvelle vérification quand un nouveau terminal s'approche de la borne NFC. En référence à la figure 2, un système comprend un terminal T apte à 5 communiquer avec un réseau (9) comportant un fournisseur de tickets, et un élément de sécurité (C) apte à être inséré dans le terminal (T) et à communiquer avec une borne (B) pour effectuer la validation d'un ticket électronique. Le terminal T est, par exemple, un téléphone mobile ou un PDA (pour "Personal Digital Assistant") ou encore une tablette.
10 Le terminal T comprend classiquement une unité de traitement, ou « CPU » (pour « Central Processing Unit »), destinée à charger des instructions en mémoire, à les exécuter, à effectuer des opérations ; un ensemble de mémoires M, dont une mémoire volatile, ou "RAM" (pour "Random Access Memory") utilisée pour exécuter des instructions de code, stocker des variables, etc. et une mémoire 15 non volatile, de type « ROM » (de l'anglais « Read Only Memory »), ou « EEPROM » (pour « Electronically Erasable Programmable Read Only Memory ») destinée à contenir des données persistantes, utilisées par exemple pour stocker les tickets électroniques et l'application APM de gestion des tickets. Le terminal T comporte par ailleurs : 20 - un premier module de communication MC1 apte à communiquer avec l'élément de sécurité C, via une première interface de communication (Il). - un deuxième module de communication MR, permettant une communication, via un réseau de communication, avec des serveurs distants, par exemple avec le fournisseur de tickets (5) qui se trouve dans le réseau Internet (9) 25 accessible via le réseau mobile ou sur un réseau de téléphonie mobile. C'est par ce biais que le terminal mobile (T) reçoit notamment l'application APM (Application dans le Mobile) de gestion des tickets (selon notre exemple, de concert) chargée dans une mémoire M du mobile, puis les tickets. - un troisième module de communication sans contact NFC (3), apte à faire 30 communiquer l'élément de sécurité avec un équipement distant via une liaison sans contact NFC, par exemple la borne B située à proximité du terminal T. Le 3025377 18 module sans contact NFC est également apte à dialoguer avec l'élément de sécurité C, via un module de communication MC2 et une deuxième interface de communication 12. Il dialogue avec le terminal mobile via une interface MC3. Le module NFC comporte classiquement une antenne adaptée pour émettre et 5 recevoir des messages modulés sur la voie radio en NFC. L'élément de sécurité C est par exemple un support amovible de type UICC (pour "Universal Integrated Circuit Card"), appelé aussi "carte SIN/1", une carte à mémoire hébergeant un élément sécurisé (SD card, Embeded Secure controler ...) ou encore une zone mémoire spécifique du terminal comme dans le contexte de la 10 norme HCE définie ci-avant. L'élément de sécurité C, couramment utilisé pour l'authentification au réseau mobile (cas de la carte SIM) a pour fonction, outre de s'authentifier auprès de la borne, de stocker les informations spécifiques à l'abonné mobile (ici appelé utilisateur) et les processus qui permettent à l'équipement de s'authentifier sur le 15 réseau mobile. A cet effet il possède la clé privée (K) de l'utilisateur. Il comporte un premier module d'émission-réception MCF apte à dialoguer avec le terminal T via la première interface de communication Il, un deuxième module d'émission-réception MC2' apte à communiquer avec le module NFC via la deuxième interface de communication 12.
20 Dans ce mode de réalisation de l'invention, l'élément de sécurité C est une carte SIM et comporte classiquement des mémoires M' de type ROM contenant notamment le système d'exploitation de l'élément de sécurité et des programmes implémentant les mécanismes de sécurité, entre autres l'algorithme d'authentification de la carte, des mémoires de type EEPROM contenant de 25 manière permanente des répertoires et données définis par la norme mobile (e.g. GSM, UMTS, etc.), la clé d'authentification (K), ou clé privée (de l'utilisateur), ainsi que des applications spécifiques (APS) aussi appelées applets s'exécutant dans une mémoire de type RAM. Les applets sont par exemple des programmes logiciels utilisant les protocoles « SIM Application Toolkit » selon la 30 recommandation ETSI 102.223, qui permettent de contrôler certaines fonctions du téléphone mobile, par exemple de dialoguer avec l'abonné via l'interface de 3025377 19 communication Il entre la SIM et le téléphone mobile T. Sur la figure 2 est représentée l'applet APS sécuritaire commune à tous les services de tickets électroniques. Elle met en oeuvre les fonctions de transit/stockage temporaire de tickets, la mise à disposition du ticket pour la lecture via NFC et la signature d'un aléa 5 reçu par NFC. Pour communiquer avec la carte SIM, l'application sur le mobile utilise l'API SmartCard selon la recommandation ETSI 102.221. Elle permet d'ouvrir un canal de communication avec les applets de la carte SIM pour l'envoi des données (e.g. le ticket) sous forme de paquets. Une fois la communication terminée, 10 l'application Android ferme le canal pour permettre à d'autres applications Android ou à des lecteurs NFC d'interagir avec l'applet de la carte La figure 3 représente la structure possible d'un ticket électronique selon un mode de réalisation de l'invention 15 Le ticket électronique est structuré de façon à pouvoir fournir toutes les informations, ou données, permettant l'authentification de l'utilisateur. Il contient également des informations sur la date de fin de validité, le numéro de la place, le nom de l'événement, la date, etc. pour un ticket d'accès à une salle de concert. Chaque fournisseur de service structure son ticket de manière à ce qu'il puisse être 20 lu par l'application mobile APM qui reçoit les tickets. On peut utiliser par exemple un système de codage de type « identifiant / valeur » : les données utiles sont alors précédées d'un identifiant et sont séparées les unes des autres par des données de séparation. Le ticket (4) représenté à la figure 3 comprend les champs de données suivants : 25 - L'objet du ticket (M1) contient le nom de l'événement, le numéro de la place, le prix, la date, etc. - La période de temps de validité (M2) contient la date de fin de validité du ticket. 3025377 20 - La référence bi-clé (Cl) contient la référence de la paire de clés de l'utilisateur. Le terme « bi-clé » recouvre l'ensemble constitué de la clé privée contenue dans la carte SIM et de la clé publique correspondant à cette clé privée. La clé privée est utilisée par la carte SIM pour signer l'aléa envoyé par 5 la borne (B); la clé publique correspondante sert à la borne à vérifier cette signature. Généralement tous les services utilisent la même bi-clé, mais quelquefois des services offerts par de grandes entreprises (exemple sociétés de transports) peuvent désirer utiliser une bi-clé qui leur est propre. Cette référence (Cl) sert donc à la borne à connaître la bi-clé à utiliser. Grâce à 10 cette référence lue dans le ticket, la borne (B) indique à la carte SIM quelle clé privée elle doit utiliser pour signer l'aléa et q'elle clé publique correspondante la borne doit elle-même utiliser pour vérifier la signature de l'aléa. - La référence de l'algorithme d'authentification SIM (C2) est la référence de l'algorithme qui est associé à la paire de clés de l'utilisateur (Cl). En effet, 15 certaines entreprises peuvent désirer, non seulement leur bi-clé en propre, mais aussi leur algorithme d'authentification en propre. Avantageusement, il n'y a qu'une seule clé privée dans la carte SIM et un seul algorithme pour tous les services, ce qui simplifie la carte SIM, en évitant toute spécificité aux services dans la carte. 20 - La clé publique de la carte SIM (C3) est la clé publique de l'utilisateur selon la référence de bi-clé (Cl). - L'identifiant « vendeur ticket » (Si) est la référence du fournisseur de service qui a vendu et signé le ticket. - La référence de l'algorithme de signature (S2) est la référence de l'algorithme 25 qui est associé à la paire de clés du vendeur. - La signature (S3) est la signature obtenue en signant les champs M1, M2, Cl, C2, C3, Si et S2. Cette signature est effectuée par le fournisseur de service (vendeur de tickets) avant l'envoi du ticket sur le mobile de l'utilisateur.
30 3025377 21 La figure 4 représente une cinématique des échanges entre les différentes entités de l'invention. On suppose ici que les prérequis concernant l'obtention du ticket, déjà décrits à l'appui de la figure 1, ont été remplis lors d'une étape EO : le ticket de 5 concert (4) a été chargé sur le mobile de l'utilisateur qui souhaite passer la borne de la salle de concert. Un enchaînement d'étapes, transparentes pour l'utilisateur, sont alors effectuées entre le mobile (T), la carte SIM-NFC (C) et la borne (B), représentés en haut de la figure 4 : Lorsque l'utilisateur s'approche, lors d'une étape El, de la borne (B), 10 avec son mobile (T) hébergeant le ticket, il sélectionne sur son application mobile le ticket (4) qu'il souhaite consommer L'application APM de gestion de tickets sur le mobile envoie le ticket, lors d'une étape E2, à l'applet APS de la carte SIM et le ticket est stocké temporairement à l'étape El 1 dans une mémoire (M') de la carte SIM. Il s'agit d'un stockage temporaire avant lecture par la borne (B).
15 Comme il est bien connu de l'homme du métier, pour être sûr que le ticket est envoyé à la bonne applet, celle-ci peut être identifiée par un numéro d'identification (appelé AID). On rappelle ici que l'applet sécurisée ne connaît, ni ne gère, le contenu du ticket : elle n'effectue qu'un stockage temporaire du ticket qui va être consommé 20 L'applet de la carte SIM vérifie au cours d'une étape E12 que le ticket est bien reçu (le chargement du ticket peut nécessiter plusieurs paquets de données), puis renvoie facultativement une réponse attestant de la bonne réception à l'application APM de gestion du ticket sur le mobile, qui la reçoit lors d'une étape E3 et peut alors demander à l'utilisateur de présenter son téléphone à la 25 borne d'accès. Lorsque l'utilisateur se trouve suffisamment proche de la borne, celle-ci lit le ticket (E20) dans la mémoire de la carte SIM sous contrôle du module NFC (E13) : la borne B plonge le terminal mobile dans un champ électromagnétique issu de son module NFC. Lorsque le champ électromagnétique émis est 3025377 22 suffisamment élevé pour alimenter correctement le module NFC de la carte c'est-à-dire lorsque le téléphone mobile est suffisamment proche de la borne pour que le module NFC de la carte SIM soit alimenté, une communication peut être établie selon le protocole NFC entre les deux dispositifs. En particulier, comme 5 schématisé par la flèche bidirectionnelle surmontée du ticket, la borne peut lire le ticket dans la mémoire de la SIM-NFC. Une telle communication NFC est bien connue de l'homme du métier et ne sera donc pas détaillée plus avant. On notera cependant que, lors des phases de lecture et d'authentification ultérieure, le flux des données de la session NFC passe par un contrôleur (CLF pour ContactLess 10 Frontend) du module NFC, qui redirige les données vers la carte SIM-NFC via le protocole SWP (Single Wire Protocol). L'invention permet d'ouvrir une seule session vers la carte SIM, via l'interface 12, et aucune vers le mobile. Au cours d'une étape E20, la borne lit la référence de clé (Cl) et la référence d'algorithme (C2) à faire utiliser à la carte SIM pour la signature de 15 l'aléa qui va suivre. Avantageusement, il n'y a qu'une seule clé privée dans la carte SIM et un seul algorithme de signature pour tous les services, ce qui simplifie la carte SIM, en évitant toute spécificité aux différents services. Au cours d'une étape E21 d'authentification, la borne envoie à la SIMNFC un nombre généré aléatoirement, aussi appelé aléa. Le fait d'avoir un nombre 20 aléatoire différent à chaque fois permet d'éviter qu'une personne ayant réussi à récupérer une signature d'un ancien nombre aléatoire puisse la réutiliser. La carte SIM reçoit l'aléa (A) au cours d'une étape E14. Au cours de l'étape E15 elle le signe en utilisant sa clé privée, et renvoie l'aléa signé S {A} vers la borne. Pour signer le nombre aléatoire, l'applet utilise des bibliothèques 25 cryptographiques de la carte SIM bien connues de l'homme du métier. On notera que seule la carte SIM de l'utilisateur du terminal mobile possède cette clé, ce qui implique que l'utilisateur est authentifié de manière forte grâce à cette signature. La borne reçoit la signature S {A} au cours de l'étape E22 et vérifie ensuite (E23) à l'aide de la clé publique de l'utilisateur, qu'elle a lue dans le 3025377 23 ticket, que la signature de ce nombre aléatoire a bien été réalisée avec la clé privée de l'utilisateur. Si l'étape E23 échoue, le processus s'arrête et la borne ne donne pas accès au service. La carte SIM de l'utilisateur étant correctement authentifiée, la borne 5 vérifie au cours de l'étape E24 la date de validité du ticket : si elle est incorrecte, le processus s'arrête et la borne ne donne pas accès au service. L'utilisateur étant correctement authentifié (via sa carte SIM) et la date valide, la borne envoie lors d'une étape E24 les champs « métier » du ticket (M1, M2 : nom du concert, date, numéro de place, etc.) au serveur métier (6). Le 10 serveur métier vérifie (E30) que les champs métier sont corrects. S'ils sont incorrects, le processus s'arrête et la borne ne donne pas accès au service. Le serveur métier fait vérifier (étape E31) par le serveur (7) de vérification des signatures la signature (S3) du ticket, car le serveur (7) dispose de la clé publique du fournisseur de service qui a signé le ticket. Si la signature du 15 ticket est valide, le serveur métier envoie à la borne (E32) son accord pour autoriser l'utilisateur à accéder au service, c'est-à-dire ici entrer dans la salle. La borne ouvre le portique (E25) et l'utilisateur peut rentrer. Si la signature n'est pas correcte à l'issue de l'étape E31, le processus s'arrête et la borne ne donne pas accès au service.
20 Une fois que l'utilisateur est entré, le ticket peut être déchargé de la mémoire de la carte SIM (E16). Selon un premier exemple, la carte SIM ne contient qu'un seul ticket à la fois (ticket en transit) ; un nouveau ticket (du concert 2) chasse le ticket du concert 1 dans la SIM : quand l'utilisateur sélectionne le ticket 2, il est transmis à la SIM qui efface le ticket 1, et de même 25 pour les tickets suivants. On évite ainsi de surcharger inutilement la mémoire du mobile. Alternativement, un ordre est émis par l'application de gestion sur le mobile (APM) vers l'applet (APS) de la carte SIM (E4).
3025377 24 On notera que, même lorsque la batterie du terminal mobile est sur le point d'être épuisée, l'invention peut néanmoins rendre le service à l'utilisateur. Par exemple, selon une variante de l'invention, lorsque la batterie atteint un seuil critique, le ticket dont la date de validité expire le plus tôt peut être sélectionné et 5 donc stocké dans la carte SIM. Ainsi, même si la batterie du mobile est épuisée lorsque l'utilisateur le présente à la borne, cette dernière sera capable de récupérer le ticket stocké dans la carte SIM en l'alimentant via le champ électromagnétique NFC. D'autres variantes de sélection automatique du ticket lorsque le seuil de 10 batterie est atteint peuvent être imaginés : sélection du dernier ticket consulté par l'utilisateur, sélection en fonction des données relatives à la durée de validité du ticket, sélection en fonction de l'environnement (privilégier un ticket de métro si on est à proximité d'une station), etc. On peut de surcroît prévoir de stocker non plus un seul, mais quelques tickets dans la carte 15 Il va de soi que le mode de réalisation qui a été décrit ci-dessus a été donné à titre purement indicatif et nullement limitatif, et que de nombreuses modifications peuvent être facilement apportées par l'homme de l'art sans pour autant sortir du cadre de l'invention. 20

Claims (15)

  1. REVENDICATIONS1. Procédé de mise à disposition d'un ticket électronique (4) par un élément de sécurité (C,SIM) associé à un terminal mobile (T), le ticket (4) étant stocké dans le terminal mobile et prévu pour accéder à un service via un dispositif de contrôle d'accès (B), le procédé étant caractérisé en ce qu'il comporte les étapes suivantes dans l'élément de sécurité (C): - une étape (E10) de réception du ticket électronique (4) en provenance du terminal mobile (T) ; - une étape (E11) de mémorisation du ticket électronique (4) dans l'élément de sécurité (SIN/1) ; - une étape (E13) de mise à disposition du ticket électronique pour le dispositif de contrôle d'accès (B) ; - une étape (E14, E15) d'authentification prenant en compte au moins une donnée contenue dans le ticket et une donnée liée à l'élément de sécurité.
  2. 2. Procédé de mise à disposition d'un ticket électronique (4) selon la revendication 1, caractérisé en ce qu'il comporte en outre les étapes suivantes : - une étape (E16) de réception, en provenance du terminal mobile (T), d'un ordre d'effacement du ticket mémorisé dans l'élément de sécurité ; - une étape d'effacement du ticket (4).
  3. 3. Procédé de mise à disposition d'un ticket électronique (4) selon la revendication 1, ledit ticket comprenant au moins une clé publique de l'élément de sécurité, caractérisé en ce qu'il comporte les étapes de : - réception (E14) d'un aléa en provenance du dispositif de contrôle d'accès (B) ; - signature (E14) de l'aléa au moyen de la clé privée de l'élément de sécurité ; - mise à disposition (E15) de l'aléa signé pour le dispositif de contrôle d'accès. 3025377 26
  4. 4. Procédé de mise à disposition d'un ticket électronique (4) selon la revendication 1 caractérisé en ce que au moins une partie du ticket a été signée au moyen d'une clé privée de l'entité émettrice.
  5. 5. Procédé de gestion d'un ticket électronique dans un terminal mobile (T), 5 terminal auquel est associé un élément de sécurité (C, le ticket (4) étant prévu pour accéder à un service via un dispositif de contrôle d'accès (B), ce procédé étant caractérisé en ce qu'il comporte les étapes suivantes au niveau du terminal mobile : - une étape (El) de sélection d'un ticket électronique mémorisé par le 10 terminal ; - une étape (E2) d'envoi dudit ticket vers le module de sécurité.
  6. 6. Procédé de gestion d'un ticket électronique (4) selon la revendication 5, caractérisé en ce que la communication entre l'élément de sécurité (SIM, C) et le dispositif de contrôle d'accès (B) est effectuée en champ proche (NFC). 15
  7. 7. Procédé de gestion d'un ticket électronique dans un terminal mobile (T) selon la revendication 5, caractérisé en ce qu'il comporte en outre une étape (E3) d'émission vers le module de sécurité d'un ordre d'effacement dudit ticket.
  8. 8. Procédé de gestion d'un ticket électronique dans un terminal mobile (T) selon la revendication 5, caractérisé en ce qu'il comporte en outre une étape 20 préalable (EO) de réception d'un ticket électronique en provenance d'une entité émettrice (5,9), ledit ticket comprenant au moins une clé publique de l'utilisateur du terminal mobile correspondant à la clé privée qui se trouve dans l'élément de sécurité.
  9. 9. Procédé de gestion d'un ticket électronique dans un terminal mobile (T) selon 25 la revendication 5, caractérisé en ce que l'étape de sélection (El) est automatique si le niveau d'alimentation du téléphone mobile (T) se trouve en-dessous d'un seuil prédéterminé, et s'effectue selon une règle préétablie. 3025377 27
  10. 10. Procédé de gestion d'un ticket électronique dans un terminal mobile (T) selon la revendication 9, caractérisé en ce que la règle préétablie consiste à sélectionner le dernier ticket consulté par l'utilisateur.
  11. 11. Procédé de gestion d'un ticket électronique dans un terminal mobile (T) selon 5 la revendication 5, caractérisé en ce que l'étape de sélection est automatique si les données contenues dans le ticket comportent certaines caractéristiques prédéterminées relatives à la validité du ticket.
  12. 12. Elément de sécurité (C,SIM) associé à un terminal mobile (T) apte à mettre à disposition d'un dispositif de contrôle d'accès (B) un ticket électronique (4) 10 stocké dans le terminal mobile caractérisé en ce qu'il comporte les modules suivants : - un module (MCF) de réception agencé pour recevoir du terminal mobile (T) un ticket électronique, - un module (M') de mémorisation du ticket ; 15 - un module (MC2') de mise à disposition du ticket électronique pour le dispositif de contrôle d'accès (B) ; - un module (APS) d'authentification de l'élément de sécurité (C) apte à prendre en compte au moins une donnée contenue dans le ticket (C3) et une donnée (K) liée à l'élément de sécurité. 20
  13. 13. Terminal mobile (11) auquel est associé un élément de sécurité (C, , apte à gérer un ticket (4) prévu pour accéder à un service (S) via un dispositif de contrôle d'accès (B), caractérisé en ce qu'il comporte les modules suivants : - Un module (APM) de sélection d'un ticket électronique dans la mémoire (M) du terminal ; 25 - Un module (MC1) d'envoi dudit ticket vers le module de sécurité.
  14. 14. Programme d'ordinateur comportant des instructions de code pour la mise en oeuvre du procédé de mise à disposition de tickets électroniques conforme à la revendication 1, lorsque celle-ci est exécutée par un processeur. 3025377 28
  15. 15. Programme d'ordinateur comportant des instructions de code pour la mise en oeuvre du procédé de gestion de tickets conforme à la revendication 5, lorsque celle-ci est exécutée par un processeur.
FR1458202A 2014-09-02 2014-09-02 Gestion de tickets electroniques Withdrawn FR3025377A1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FR1458202A FR3025377A1 (fr) 2014-09-02 2014-09-02 Gestion de tickets electroniques
PCT/FR2015/052314 WO2016034810A1 (fr) 2014-09-02 2015-09-01 Gestion de ticket électronique
US15/508,152 US20170286873A1 (en) 2014-09-02 2015-09-01 Electronic ticket management
EP15767215.5A EP3189485A1 (fr) 2014-09-02 2015-09-01 Gestion de ticket électronique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1458202A FR3025377A1 (fr) 2014-09-02 2014-09-02 Gestion de tickets electroniques

Publications (1)

Publication Number Publication Date
FR3025377A1 true FR3025377A1 (fr) 2016-03-04

Family

ID=52016748

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1458202A Withdrawn FR3025377A1 (fr) 2014-09-02 2014-09-02 Gestion de tickets electroniques

Country Status (4)

Country Link
US (1) US20170286873A1 (fr)
EP (1) EP3189485A1 (fr)
FR (1) FR3025377A1 (fr)
WO (1) WO2016034810A1 (fr)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3015725A1 (fr) * 2013-12-19 2015-06-26 Orange Systeme et procede pour fournir un service a l'utilisateur d'un terminal mobile
TWI529638B (zh) * 2014-05-26 2016-04-11 國立成功大學 藉由近場通訊技術在行動裝置上安全移轉電子票證的系統及方法
US20180060989A1 (en) * 2016-08-30 2018-03-01 MaaS Global Oy System, method and device for digitally assisted personal mobility management
FR3073304B1 (fr) * 2017-11-03 2021-03-05 Thales Sa Procede de legitimation d'un titre de transport porte par un terminal mobile, programme d'ordinateur et terminal mobile associe
TWI770279B (zh) * 2018-09-19 2022-07-11 財團法人工業技術研究院 憑證驗證輔助裝置、系統及其方法
DE102019114844A1 (de) * 2019-06-03 2020-12-03 VDV eTicket Service GmbH & Co. KG Verfahren und Kontrollgerät zur sicheren Überprüfung eines elektronischen Tickets
US11182786B2 (en) 2020-01-29 2021-11-23 Capital One Services, Llc System and method for processing secure transactions using account-transferable transaction cards
US11954205B2 (en) * 2022-06-24 2024-04-09 GM Global Technology Operations LLC Security control for electronic control unit

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000062260A1 (fr) * 1999-04-07 2000-10-19 Swisscom Mobile Ag Procede et systeme permettant de commander, charger et utiliser des billets d'acces
EP2306358A1 (fr) * 2009-09-18 2011-04-06 Oberthur Technologies Procédé de vérification de la validité d'un ticket électronique de stationnement

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020065713A1 (en) * 2000-11-29 2002-05-30 Awada Faisal M. Coupon delivery via mobile phone based on location
KR20030072852A (ko) * 2002-03-07 2003-09-19 인터내셔널 비지네스 머신즈 코포레이션 전자티켓을 구매하고 인증하기 위한 시스템 및 방법
EP1439495B1 (fr) * 2003-01-17 2019-04-17 QUALCOMM Incorporated Dispositif de commande et de validation d'un ticket électronique
GB0525635D0 (en) * 2005-12-16 2006-01-25 Innovision Res & Tech Plc Chip card and method of data communication
US11195163B2 (en) * 2006-09-01 2021-12-07 Mastercard International Incorporated Methods, systems and computer readable media for over the air (OTA) provisioning of soft cards on devices with wireless communications capabilities
DE102010017861A1 (de) * 2010-04-22 2011-10-27 Giesecke & Devrient Gmbh Verfahren zur Handhabung von elektronischen Tickets
US9204398B2 (en) * 2011-03-21 2015-12-01 Nokia Technologies Oy Method and apparatus for battery with secure element
US9767452B2 (en) * 2011-11-03 2017-09-19 Mastercard International Incorporated Methods, systems, and computer readable media for provisioning and utilizing an aggregated soft card on a mobile device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000062260A1 (fr) * 1999-04-07 2000-10-19 Swisscom Mobile Ag Procede et systeme permettant de commander, charger et utiliser des billets d'acces
EP2306358A1 (fr) * 2009-09-18 2011-04-06 Oberthur Technologies Procédé de vérification de la validité d'un ticket électronique de stationnement

Also Published As

Publication number Publication date
US20170286873A1 (en) 2017-10-05
WO2016034810A1 (fr) 2016-03-10
EP3189485A1 (fr) 2017-07-12

Similar Documents

Publication Publication Date Title
EP3189485A1 (fr) Gestion de ticket électronique
EP3243176B1 (fr) Procédé de traitement d'une transaction à partir d'un terminal de communication
EP1687953B1 (fr) Méthode d'authentification d'applications
EP3085133B1 (fr) Système et procédé pour fournir un service a l'utilisateur d'un terminal mobile
CA2941313C (fr) Procede de controle d'acces a une zone reservee avec controle de la validite d'un titre d'acces stocke dans la memoire d'un terminal mobile
FR2989799A1 (fr) Procede de transfert d'un dispositif a un autre de droits d'acces a un service
WO2015059389A1 (fr) Procede d'execution d'une transaction entre un premier terminal et un deuxieme terminal
WO2016207715A1 (fr) Gestion securisee de jetons électroniques dans un telephone mobile.
WO2020064890A1 (fr) Procede de traitement d'une transaction, dispositif, systeme et programme correspondant
EP3552327A1 (fr) Procédé de personnalisation d'une transaction sécurisée lors d'une communication radio
WO2002059845A1 (fr) Carte a circuit(s) integre(s) ou carte a puce(s) integrant une couche logicielle de securisation et dispositif de communication cooperant avec une telle carte
EP2471237B1 (fr) Dispositif électronique nomade configuré pour établir une communication sans fil sécurisé
EP2911365B1 (fr) Procédé et système de sécurisation de transactions offertes par une pluralité de services entre un appareil mobile d'un utilisateur et un point d'acceptation
EP4078922B1 (fr) Procédé d'obtention d'une commande relative à un profil d'accès réseau d'un module de sécurité de type euicc
WO2017005644A1 (fr) Procédé et système de contrôle d'accès à un service via un média mobile sans intermediaire de confiance
WO2020148492A1 (fr) Autorisation du chargement d'une application dans un élément de sécurité
WO2022254002A1 (fr) Procédé de traitement d'une transaction, dispositif et programme correspondant.
EP2448235B1 (fr) Entité électronique gérant un crédit d'utilisation d'une ressource dont l'accès est contrôlé par un dispositif de contrôle
WO2017077210A1 (fr) Procédé de verification d'identité lors d'une virtualisation
WO2016051059A1 (fr) Procédé de protection d'un terminal mobile contre des attaques
WO2013045793A1 (fr) Procede de distribution de contenus, dispositif d'obtention et programme d'ordinateur correspondant
FR2998398A1 (fr) Procede d'activation d'un service en ligne a partir d'un equipement mobile

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20160304

ST Notification of lapse

Effective date: 20170531