IT202100029477A1 - Sistemi e metodi di validazione titoli di trasporto in modalita’ ibrida ottica / bluetooth low energy - Google Patents

Sistemi e metodi di validazione titoli di trasporto in modalita’ ibrida ottica / bluetooth low energy Download PDF

Info

Publication number
IT202100029477A1
IT202100029477A1 IT102021000029477A IT202100029477A IT202100029477A1 IT 202100029477 A1 IT202100029477 A1 IT 202100029477A1 IT 102021000029477 A IT102021000029477 A IT 102021000029477A IT 202100029477 A IT202100029477 A IT 202100029477A IT 202100029477 A1 IT202100029477 A1 IT 202100029477A1
Authority
IT
Italy
Prior art keywords
code
validation
validator
user device
validation system
Prior art date
Application number
IT102021000029477A
Other languages
English (en)
Inventor
Giovanni Becattini
Michele COLLU
Roberto Dell'eva
Original Assignee
Aep Ticketing Solutions S R L
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aep Ticketing Solutions S R L filed Critical Aep Ticketing Solutions S R L
Priority to IT102021000029477A priority Critical patent/IT202100029477A1/it
Priority to EP22826203.6A priority patent/EP4437518A1/en
Priority to PCT/IB2022/061262 priority patent/WO2023089590A1/en
Publication of IT202100029477A1 publication Critical patent/IT202100029477A1/it

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B15/00Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points
    • G07B15/02Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points taking into account a variable factor such as distance or time, e.g. for passenger transport, parking systems or car rental systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/29Individual registration on entry or exit involving the use of a pass the pass containing active electronic elements, e.g. smartcards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Finance (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Saccharide Compounds (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
  • Electrochromic Elements, Electrophoresis, Or Variable Reflection Or Absorption Elements (AREA)

Description

Domanda di brevetto per invenzione industriale dal titolo
?SISTEMI E METODI DI VALIDAZIONE TITOLI DI TRASPORTO IN MODALITA? IBRIDA OTTICA / BLUETOOTH LOW ENERGY?
Campo dell?invenzione
La presente invenzione si riferisce a un sistema per la gestione e la validazione di titoli di viaggio del trasporto pubblico basato sull?impiego della tecnologia ibrida ottica / Bluetooth Low Energy (BLE).
In particolare la presente invenzione si riferisce a un sistema per la validazione/verifica di titoli di viaggio del trasporto pubblico basato sull?impiego della tecnologia di lettura ottica di codici a barre bidimensionali (codici QR-code) con l?impiego di uno smartphone dell?utente viaggiatore dotato di connettivit? Bluetooth Low Energy.
La soluzione prevede quindi uno scambio sicuro di supporti di validazione (biglietti e/o carte virtuali) tramite protocollo Bluetooth Low Energy.
Stato della tecnica
Sono attualmente disponibili diverse soluzioni note per la validazione di titoli di viaggio. Ad esempio ? possibile acquistare in anticipo dei titoli di viaggio che sono poi resi disponibili sul telefono cellulare (vedi smartphone) dell?utente, che li potr? quindi utilizzare e validare all?occorrenza.
Sono note nella tecnica diverse soluzioni per ottenere la validazione di un titolo di viaggio precedentemente acquistato dall?utente.
Una prima modalit? prevede la validazione direttamente sullo smartphone dell?utente, il quale seleziona uno dei titoli di viaggio che ha precedentemente acquistato e di cui ha la disponibilit? e lo valida o in modo manuale selezionando il titolo e ?timbrandolo? virtualmente tramite una APP, oppure avvicinando il telefono cellulare ad un validatore che per mezzo della tecnologia NFC valida il titolo di viaggio selezionato. Tali modalit? hanno lo svantaggio che ad esempio non funzionano con smartphone del produttore Apple in quanto tali dispositivi non supportano le funzionalit? NFC in lettura e scrittura.
In alternativa per validare un titolo di viaggio a bordo del veicolo ? possibile inquadrare con la fotocamera dello smartphone un codice QR statico stampato sul validatore o nelle sue vicinanze (ad esempio su di un mezzo o nei pressi di un varco della metropolitana).
Una ulteriore modalit? di convalida prevede invece che sia il validatore di bordo a leggere il codice QR relativo ad un titolo di viaggio che viene mostrato dall?utente sullo schermo dello smartphone, in modo che il sistema a bordo possa attivare e validare il titolo di viaggio tramite connessione con il centro di controllo: tale validazione funziona se e solo se il validatore ? in grado di connettere il centro di controllo mentre fallisce se il validatore non ha connessione dati.
Come gi? detto, alcuni dei sistemi di bigliettazione pi? evoluti prevedono l?utilizzo di titoli di viaggio basati su meccanismi di tipo Account Based (validazione al centro) utilizzando, ad esempio, lo smartphone dell?utente per inquadrare un codice QR statico opportunamente posizionato a bordo mezzo e, a seguito di tale lettura, una apposita APP presente sullo smartphone dell?utente procede col richiedere la validazione di un titolo in modalit? Account Based (al centro) utilizzando il contenuto del codice QR statico letto sul mezzo per localizzare la validazione stessa.
Ad esempio il codice QR letto dallo smartphone potrebbe contenere i dati del veicolo e un servizio dedicato al centro potrebbe incrociare tali informazioni, con i dati di localizzazione del veicolo in questione disponibili di solito centralmente nei sistemi di monitoraggio della flotta, detti AVM - Automatic Vehicle Monitoring.
I dati di posizione sono poi usati dai servizi di validazione al centro per capire dove si trova il mezzo in quel momento e quindi procedere con la validazione corretta del titolo di viaggio in modalit? Account Based.
In questi sistemi il codice QR, contenente le informazioni di contesto ed istallato a bordo mezzo o nei pressi di un varco di ingresso (ad esempio all?ingresso di una metropolitana) ? del tutto passivo e statico.
Questa caratteristica di passivit? e staticit? non permette di avviare azioni a seguito della validazione stessa come, ad esempio, l?emissione di un segnale acustico e/o visivo a bordo mezzo oppure l?apertura di un varco e/o di un tornello. Si pensi ad esempio ad un varco della metropolitana, in questo caso l?azione di convalida effettuata dall?utente al centro non sarebbe recepita dal varco che rimarrebbe quindi chiuso.
Lo stesso scenario ? applicabile, in generale, a tutti i casi ove sia presente un varco di accesso non presidiato.
Oltre al problema segnalato sopra, il codice QR statico posizionato a bordo mezzo potrebbe anche essere soggetto ad un utilizzo fraudolento in quanto esso pu? essere fotografato dall?utente stesso in salita o da un suo complice ed utilizzato poi per validare un titolo di viaggio in un secondo momento solo a seguito della salita sul mezzo di un controllore. Per cui se il controllore non sale sul mezzo, l?utente non effettua la validazione ?reale? del titolo di viaggio, ma esegue solo una fotografia del codice QR statico e quindi il titolo di viaggio Account Based non viene consumato e resta valido per il prossimo viaggio.
Esistono quindi sistemi che prevedono l?acquisto di titoli di viaggio tramite smartphone e la loro convalida in modalit? ottica (tramite codici QR-code) ma che non offrono caratteristiche soddisfacenti di sicurezza e/o resistenza a possibili attacchi. Essi prevedono infatti un dialogo monodirezionale tra smartphone e apparato di validazione/verifica tramite la lettura di un QR-code mostrato sullo schermo dello smartphone stesso. Questa modalit? di scambio dati (monodirezionale e in sola lettura) rende possibile un attacco che prevede la semplice duplicazione grafica (clonazione) del QR-code mostrato a video, sul device utente indicato come ?smartphone lecito?, mediante una copia dello schermo o una fotografia fatta con altro device ed un suo successivo inoltro ad un complice (il suo device verr? indicato come ?smartphone attaccante?). In questo scenario il lettore ottico del validatore/verificatore non ha modo di distinguere se sta leggendo il dato originale dallo smartphone lecito o da quello presente sullo schermo dell?attaccante (il QR-code clone).
Inoltre, in generale, il validatore deve poter comunicare costantemente con il centro per capire se il QR-code letto fa riferimento ad un biglietto ancora da validare o ad un biglietto gi? validato in passato.
Inoltre sono sostanzialmente non praticabili applicazioni che prevedano la validazione di titoli di viaggio validi su un periodo, esempio titoli settimanali o mensili, in quanto il validatore non distinguerebbe il titolo QR-code originale dalla copia e qualsiasi tentativo di limitare i viaggi tramite una connessione al centro (es. ABT dove con il termine ABT si intende Account Based Ticketing) fallirebbe, in quanto sarebbe comunque impossibile distinguere il QR-code originale dalla copia, ovvero punterebbero entrambi allo stesso abbonamento ABT che sarebbe quindi valido per entrambi.
Pertanto tali meccanismi di validazione ottica basati su QR-code sono facilmente aggirabili tramite copie dello schermo e/o fotografie dello schermo e successivo invio ?a terzi? tramite messaggistica istantanea.
Tale QR Code ? esposto ad attacchi di tipo ?a clonazione?. Nel caso di verifica a vista dal controllore, questo potrebbe forse accorgersi che si tratta di una copia (es. foto o copia dello schermo) grazie a meccanismi vari quali, ad esempio, la visualizzazione dell?ora corrente sulla stessa pagina.
Tuttavia un apparato hardware (es. validatore) non ? minimamente in grado di distinguere l?originale dalla copia. Tutte le contro-misure adottate per impedire la cosa come, ad esempio, la generazione di codici QR variabili ogni pochi secondi/minuti sono facilmente aggirabili grazie alla nuova tecnologia, ad esempio: aggiornamento e visualizzazione del QR code aggiornato, copia dello schermo, invio a complice tramite applicazione di messaggistica rapida, validazione da parte del complice sul suo device (direttamente dalla APP di messaggistica) e validazione su validatore remoto. Tale operazione pu? avvenire in una manciata di secondi vanificando qualsiasi meccanismo di codice QR variabile a protezione.
Altre contromisure prevedono la validazione e la ?bruciatura? del titolo direttamente al centro (su un server centrale) ma richiedono una connessione affidabile e continua tra validatore e server centrale, inoltre tali contro-misure possono essere applicate solo su titoli a scalare e/o di singola corsa e non possono minimamente essere applicate, per ovvi motivi, a titoli a durata (es. 100 minuti dalla convalida, giornalieri, abbonamenti mensili, abbonamenti annuali, etc.) in quanto, a causa dei problemi descritti sopra, nessun sistema di bigliettazione utilizza un QR Code per validare un titolo a durata ?ampia? come un abbonamento (settimanale, mensile, annuale, etc.) in quanto sarebbe subito utilizzato da migliaia di utenti per tutto il periodo di validit?.
Sommario dell?invenzione
Per superare i limiti dovuti alla validazione tramite codici QR in cui il codice QR contiene il ?dato? o ?informazione? da analizzare, il sistema qui proposto utilizza il codice QR solo per identificare lo smartphone che contiene il ?dato? o ?informazione? da analizzare e non per contenere il dato stesso.
? poi compito dell?apparato di verifica o controllo, ovvero del validatore o del varco di ingresso, connettersi (sfruttando la tecnologia Bluetooth Low Energy BLE) per prelevare il ?dato? o ?informazione? da validare/verificare e poi restituirlo, sempre tramite modalit? Bluetooth Low Energy, allo smartphone lecito. Qualsiasi copia del codice QR non far? altro che chiedere nuovamente il titolo da validare allo stesso identico dispositivo per cui si ricade nel caso classico di ?anti-passback?.
Si noti che, come sar? descritto tra breve, il validatore pu? lavorare in totale autonomia e non necessita di possedere nessuna connessione dati con il server centrale dedicata ai fini della validazione dei titoli basati di QR-code.
L? invenzione qui descritta, pur essendo applicabile in un contesto autonomo ed indipendente, pu? essere utilizzata in unione a quella contenuta nel Brevetto Italiano numero 102018000010314 rilasciato il 19.10.2020 alla stessa Richiedente, permette di trasferire in modalit? Bluetooth Low Energy, supporti virtuali del chiamati V-Token permettendo non solo la validazione sicura di biglietti del tipo a codice QR, ma anche di abbonamenti su carta virtuale (ovvero un V-Token contenente una carta virtuale scambiata col validatore tramite Bluetooth Low Energy come descritto in questo documento). Per cui, l?unione delle due invenzioni, rende possibile anche la validazione di carte virtuali tramite QR-code oltre che dei titoli basati su QR-code in generale.
Tale caratteristica innovativa ? dovuta al fatto di utilizzare il codice QR non per contenere il dato da scambiare ma ?la sua posizione? e di utilizzare poi un protocollo come il Bluetooth Low Energy per scambiare il dato stesso. L?utilizzo del Bluetooth Low Energy come meccanismo di scambio dati tra smartphone e apparato di validazione/verifica permette di restituire allo smartphone stesso l?oggetto validato e/o verificato permettendo quindi meccanismi di anti-passback non facilmente emulabile con un semplice QR code letto in ottico che, per sua natura ? un canale di comunicazione dati monodirezionale (sola lettura).
Lo scopo dell?invenzione ? stato raggiunto da sistema di validazione di titoli di viaggio come definito nella rivendicazione 1.
In particolare il sistema di validazione di titoli di viaggio basato sullo scambio dati in modalit? sicura comprende un dispositivo utente viaggiatore e un dispositivo validatore. Il dispositivo utente viaggiatore comprende una app per la generazione di un codice QR ed ? dotato di uno schermo per visualizzare il codice QR e di un?antenna di trasmissione e ricezione Bluetooth Low Energy. Il dispositivo validatore ? dotato di un lettore ottico in grado di leggere un codice QR ed ? dotato di un?antenna di trasmissione e ricezione Bluetooth Low Energy.
Il codice QR generato da una app presente sul dispositivo utente viaggiatore contiene al suo interno, oltre ad altri dati, anche l?indirizzo MAC Address del dispositivo utente viaggiatore (dove MAC sta per Media Access Control).
Il dispositivo validatore estrae dal codice QR inquadrato dal lettore ottico l?indirizzo MAC Address del dispositivo utente viaggiatore e lo utilizza per connettersi in modalit? Bluetooth Low Energy tramite l?antenna di trasmissione e ricezione Bluetooth Low Energy, al dispositivo utente viaggiatore per eseguire l?operazione di validazione del titolo di viaggio.
Pertanto il dispositivo validatore e il dispositivo utente viaggiatore instaurano tra di loro una trasmissione univoca in modalit? Bluetooth Low Energy.
In forme di attuazione preferite il dispositivo validatore dialoga con un solo dispositivo utente viaggiatore alla volta.
Il sistema di validazione prevede un meccanismo di ?anti-passback? del titolo di viaggio che permette di bloccare i successivi tentativi di validazione dello stesso identico titolo di viaggio appena validato. Questa caratteristica ? dovuta al fatto che il titolo di viaggio validato viene restituito, tramite BLE, allo smartphone a valle della validazione stessa (e quindi modificato con la data di validazione), per cui un secondo tentativo di validazione non permesso o troppo ravvicinato temporalmente verrebbe subito individuato.
Preferibilmente il codice QR oltre al MAC Address contiene anche delle credenziali di accesso sicuro/univoco per non rendere possibile un attacco del tipo man in the middle / replay che ? un tipo di problema di sicurezza in cui una terza parte intercetta le trasmissioni di dati con lo scopo di utilizzare tali dati in qualche modo, ad esempio rinviando la stessa sequenza dati o parte di essa. Questa problematica ? particolarmente sentita nel contesto BLE in quanto la trasmissione dati ? liberamente intercettabile da chiunque in un raggio di alcune decine di metri.
Le credenziali di accesso sicuro, introdotte per contrastare l?attacco descritto sopra, comprendono una chiave per la crittografazione simmetrica. L?invenzione qui contenuta descriver? una possibile implementazione dell?algoritmo a crittografazione simmetrica. Tuttavia i concetti qui descritti sono totalmente generici ed indipendenti dall?algoritmo di crittografazione utilizzato, permettendo quindi l?utilizzo di altri algoritmi di crittografazione sia attuali che futuri.
In alcune forme di attuazione, come quella qui descritta, la chiave per la crittografazione simmetrica ? di tipo Advanced Encryption Standard e la stessa chiave segreta viene utilizzata sia per la crittografia che per la de-crittografia.
In particolare l?implementazione qui descritta prevede che la chiave simmetrica non sia mai scambiata tra il dispositivo validatore e il dispositivo utente viaggiatore, ma prevede che venga scambiato solo un indice identificativo della chiave da utilizzare. Tale indice identifica in modo univoco la chiave all?interno di una lista presente sia nel dispositivo validatore che nel dispositivo utente viaggiatore.
Il dispositivo validatore tramite le credenziali di accesso ottenute interpretando il codice QR instaura un canale di comunicazione sicuro cifrato con il dispositivo utente viaggiatore.
Breve descrizione delle figure
Ulteriori caratteristiche e vantaggi dell?invenzione risulteranno evidenti dalla lettura della descrizione seguente fornita a titolo esemplificativo e non limitativo, con l?ausilio delle figure illustrate nelle tavole allegate, in cui:
- la Figura 1 mostra uno scenario secondo la presente invenzione di validazione di titoli di viaggio basato sull?impiego della tecnologia di lettura ottica di codici a barre bidimensionali con l?impiego di uno smartphone dell?utente viaggiatore dotato di connettivit? Bluetooth Low Energy.
- la Figura 2 mostra uno scenario, secondo la presente invenzione, di validazione in un contesto in cui viene evitato un attacco locale grazie al meccanismo di anti-passback intrinseco nel sistema.
- la Figura 3 mostra uno scenario, secondo la presente invenzione, nel quale un controllore verifica il titolo posseduto da un utente utilizzando la stessa modalit? di scambio dati sicuro utilizzato nella validazione.
- la Figura 4 mostra uno scenario, secondo la presente invenzione, nel quale un utente utilizza la presente invenzione per superare un varco regolato da un validatore che implementa questa tecnologia.
Descrizione dettagliata dell?invenzione
Il sistema proposto si pone pertanto come complemento ideale dei sistemi gi? oggi esistenti e diffusi, che prevedono l?acquisto di titoli di viaggio tramite smartphone e la loro convalida in modalit? ottica (codice QR), ma che attualmente non offrono caratteristiche soddisfacenti di sicurezza, resistenza a possibili attacchi ed utilizzo in contesto di parziale/totale assenza di connettivit? tra validatore e server centrale come, ad esempio, un percorso automobilistico extraurbano.
Pertanto con alcune opportune modifiche ? possibile rendere tali sistemi resistenti ad attacchi di tipo fraudolento e permettere il loro utilizzo anche in contesti dove il validatore (o il controllore) non sono dotati di connessione dati presente/stabile. La soluzione qui descritta utilizza anch?essa un codice QR ma, in questo caso, esso non contiene il titolo/dato da validare/verificare, come avviene di solito nella tecnica nota, ma contiene la sua ?posizione? ovvero un riferimento al dispositivo fisico (smartphone del viaggiatore) che lo contiene.
Inoltre la validazione avviene in un contesto prettamente locale (tramite BLE, abilitando cos? l?utilizzo anche per smartphone Apple) e sconnesso ovvero senza coinvolgere server centrali nella validazione del QR-code stessa, tranne nel caso in cui si effettui una validazione Account Based (ABT).
La modalit? Account Based ?classica?, validata tramite QRC, funziona nel modo seguente:
- Al centro, memorizzato in un database DB c?? il vero titolo TK.
- Lo smartphone dell?utente viaggiatore ha un riferimento al titolo di viaggio memorizzato nel database, ovvero un numero seriale identificato come ?Alias ID?. - Normalmente nel caso di validazione tramite codici QRC questo numero seriale univoco indicato con Alias ID viene codificato all?interno del codice QRC (in uno qualsiasi dei diversi modi a disposizione).
- Il validatore legge il numero seriale Alias ID dal codice QRC mostrato sullo smartphone del viaggiatore e si connette al centro e ?valida online? il biglietto o ticket TK corrispondente al numero seriale ?Alias ID?.
- Nel caso in cui il codice QR sia stato clonato il validatore non sa e non pu? distinguere il codice QRC originale dalla sua copia, e pertanto l?Alisa ID letto in ottico ? ?esposto?. La soluzione qui proposta prevede che lo smartphone utente (smartphone lecito) abbia una connessione Bluetooth Low Energy disponibile/attiva e che il codice QR contenga l?indirizzo dello smartphone stesso ovvero il suo Bluetooth MAC address.
L?apparato di validazione e/o controllo, appena legge il codice QR, ne estrae il dato ?Bluetooth MAC address? e lo utilizza per connettersi in modo univoco in Bluetooth Low Energy, allo smartphone lecito per trasferire poi, sempre in Bluetooth Low Energy, il titolo da validare. Questa caratteristica di univocit? ? fondamentale nel caso delle connessioni Bluetooth Low Energy in quanto in questi sistemi tutti parlano con tutti (nel raggio d?azione disponibile).
Nella soluzione proposta si prevede che il validatore/verificatore dialoghi con un solo apparato alla volta, ovvero lo smartphone dell?utente viaggiatore che mostra il QR-code sullo schermo.
Nel prosieguo della descrizione si far? riferimento ad una validazione di biglietto o smartcard virtuali scambiate tramite Bluetooth Low Energy, ma, in generale, sono possibili anche validazioni effettuate in modalit? Account Based (ABT).
In questo secondo caso, ovvero nella validazione in modalit? ABT, non viene scambiato via Bluetooth Low Energy il supporto virtuale da validare, ovvero il ticket, ma bens? un suo riferimento (ovvero un identificativo del titolo memorizzato nel database DB del server centrale). Si noti che anche in questo caso il riferimento al ticket nella modalit? ABT non ? scritto direttamente nel QR-code per cui non ? clonabile/replicabile esattamente come nel caso di titolo di viaggio locale allo smartphone.
Nel caso di validazione in modalit? Account Based (ABT) si avranno le seguenti operazioni.
- Anche qui, al centro, memorizzato in un database DB c?? il vero titolo TK.
- Anche in questo caso lo smartphone dell?utente viaggiatore ha un riferimento al titolo di viaggio TK memorizzato nel database DB, ovvero un numero seriale univoco identificato come ?Alias ID?.
- Nella soluzione qui proposta a differenza del caso sopra descritto il numero seriale Alias ID non ? direttamente codificato nel codice QRC, ma viene scambiato via BLE tra smartphone e validatore.
- Il validatore quindi accede al numero seriale Alias ID tramite BLE, ovvero lo legge dallo smartphone del viaggiatore, e poi si collega e si connette al centro e ?valida online? il biglietto o ticket TK generando un ticket validato TKa.
- Infine il validatore invia in modalit? BLE allo smartphone del viaggiatore il titolo validato TKa.
In questo caso quindi non serve pi? fotocopiare il codice QRC dallo schermo dello smartphone perch? esso non contiene il riferimento al biglietto, ovvero non contiene il numero univoco Alias ID. In passato sono stati utilizzati meccanismi di validazione ottica basati su codici QR, tuttavia tali sistemi sono facilmente aggirabili tramite copie dello schermo e/o fotografie dello schermo (screen-shot) e successivo invio ?a terzi? tramite app di messaggistica istantanea e richiedono, quasi sempre, una connessione dati presente e stabile tra il validatore e un qualche server centrale che mantenga ?lo stato di validazione? del titolo stesso. Questo a causa della monodirezionalit? intrinseca alla base della lettura di un QR-code.
La modalit? di validazione ottica/Bluetooth Low Energy qui proposta ? immune da questi problemi in quanto, anche se un attaccante copia (ovvero clona) il codice QR dallo smartphone del possessore lecito del titolo e lo invia ad un complice (smartphone attaccante), lo scambio dati Bluetooth Low Energy che risulterebbe al tentativo di validazione della copia (clone) fallirebbe in quanto, il validatore che legge il codice QR ?clone? non sar? mai in grado di connettersi in Bluetooth Low Energy allo smartphone che ha generato il QR-code originale, in quanto i due MAC Address non coinciderebbero ovvero lo smartphone del possessore lecito del titolo non sarebbe nel raggio Bluetooth Low Energy del validatore che sta leggendo il codice QR clone. Anche se lo smartphone del possessore lecito del titolo fosse nel raggio Bluetooth Low Energy del validatore utilizzato dall?attaccante, quest?ultimo si connetterebbe comunque allo smartphone del possessore lecito del titolo e non quello dell?attaccante (attacco in locale).
Per evitare un attacco ?totalmente in locale? ovvero quando i due smartphone sono entrambi nel raggio di copertura Bluetooth Low Energy dei due validatori, ad esempio su altri validatori dello stesso mezzo o sui validatori contenuti in varchi vicini nel caso di una metropolitana, un meccanismo di ?anti-passback? del titolo, previsto in questa invenzione e descritto qui di seguito, impedirebbe comunque la seconda validazione.
Il meccanismo di anti-passback, descritto dopo nel dettaglio, protegge il seguente scenario: due complici hanno la stessa copia del codice QR sullo schermo del proprio smartphone (un QR-code ? quello originale mentre il secondo ? la copia o clone). I due utenti viaggiatori provano, in contemporanea, la validazione, su due validatori diversi dello stesso mezzo, ad esempio i due compici sono saliti sullo stesso bus, uno in testa e uno in coda al mezzo. In entrambe le validazioni i due validatori si connetterebbero allo stesso device (smartphone che contiene il QR-code originale) in quanto ? il suo il MAC Address contenuto nel codice QR mostrato ai validatori. La prima validazione andr? a buon fine, la seconda fallir? per ?antipassback? dato che si sta tentando di validare nuovamente lo stesso titolo di viaggio ovvero il secondo validatore rivalider? (dopo averlo ricevuto in Bluetooth Low Energy) lo stesso identico ?oggetto? appena validato del primo validatore. Lo stesso meccanismo di ?anti-passback? funziona anche nel caso di varchi affiancati di una metropolitana.
Nel caso in cui il secondo validatore, quello utilizzato dall?attaccante, sia al di fuori del raggio Bluetooth Low Energy del primo device (smartphone lecito) allora la validazione fallisce per fallita connessione Bluetooth Low Energy.
Il sistema oggetto della presente invenzione impiega una combinazione di lettura ottica di un codice QR dallo schermo di uno smartphone e uno scambio dati bidirezionale mediate protocollo Bluetooth Low Energy.
In particolare sar? descritto un possibile scenario di utilizzo della soluzione nell?ambito della bigliettazione elettronica ovvero la validazione di titoli basati su supporti virtuali ospitati nello smartphone e scambiati tra due apparati (validatore e smartphone) utilizzando questa invenzione.
Si fa comunque notare che, la stessa invenzione, pu? essere adottata in tutte le applicazioni che prevedono una lettura sicura di dati tra un apparato di controllo/verifica (lettore) e una applicazione su smartphone (detentore del dato) come, ad esempio: il controllo accessi e la lettura di dati sensibili non esponibili a terzi tramite un ?semplice? codice QR come, ad esempio, dati sanitari e/o dati personali.
Il protocollo Bluetooth Low Energy ha indubbi vantaggi, rispetto ad altre soluzioni del tipo a scambio dati in emulazione contactless (vedi NFC-HCE ovvero Near-Field Communication ? Host Card Emulation) in quanto, a differenza del protocollo NFC-HCE, il protocollo Bluetooth Low Energy ? utilizzabile in maniera libera (senza restrizioni) anche su apparati smartphone del produttore Apple.
Viene ora descritto il meccanismo di scambio dati.
Con riferimento alla Figura 1, un utente viaggiatore possiede un dispositivo utente viaggiatore, come ad esempio uno smartphone, indicato con il riferimento 1. All?interno dello smartphone 1 si ha un titolo di viaggio TK che deve essere verificato/validato da un dispositivo validatore idoneo. In alternativa nel caso di modalit? ABT all?interno dello smartphone 1 si ha un riferimento Alias ID al titolo di viaggio TK memorizzato nel database DB al centro. Il dispositivo validatore ? indicato con il riferimento 4 nella Figura 1. L?utente viaggiatore visualizza un codice QR (rappresentante la richiesta di validazione di un titolo di viaggio TK), indicato con il riferimento 2, sullo schermo 1a del proprio smartphone 1.
Tale codice QR 2 viene generato da una app disponibile sullo smartphone 1 e contiene al suo interno, oltre ad altri dati, come ad esempio la data/ora dell?ultima generazione del codice QR 2 da parte dello smartphone e le sicurezze contro la contraffazione del codice QR stesso (vedi firma digitale del codice QR), anche l?indirizzo MAC Address 3a che ? un riferimento che permette di identificare in modo univoco lo smartphone 1 che ha generato tale codice QR 2 e che possiede il titolo di viaggio TK (o il riferimento Alias ID)al titolo di viaggio memorizzato nel database al centro nella sua memoria.
Pertanto, il codice QR 2, oltre a contenere dati per permettere uno scambio Bluetooth Low Energy sicuro contiene anche l?indirizzo MAC Address 3a del trasmettitore Bluetooth Low Energy presente sullo smartphone 1 che ha generato il codice QR 2. Ad esempio il trasmettitore Bluetooth Low Energy dello smartphone 1 ? una antenna Bluetooth Low Energy indicata con il riferimento 3. Pertanto, l?informazione relativa all?indirizzo MAC Address 3a dello smartphone 1 viene inclusa nel codice QR 2 per avere una identificazione univoca dello smartphone 1. Dopo aver reso visibile sullo schermo 1a dello smartphone 1 il codice QR 2 cos? generato, l?utente viaggiatore avvicina lo smartphone 1 al dispositivo validatore 4 per la validazione/verifica del titolo o biglietto TK memorizzato in locale nello smartphone o nel database al centro.
Il dispositivo validatore 4 tramite un lettore ottico 5 in grado di leggere un codice QR inquadra e legge il codice QR 2 generato dalla app e visualizzato sullo schermo 1a dello smartphone 1ed estrae da esso l?indirizzo MAC Address 3a dello smartphone 1.
A questo punto, dopo aver verificato la correttezza della firma digitale di QR 2, il dispositivo validatore 4, tramite il suo trasmettitore Bluetooth Low Energy, ad esempio una antenna Bluetooth Low Energy indicata con il riferimento 6, contatta lo smartphone 1 utilizzando l?indirizzo MAC Address 3a letto ed estratto dal codice QR 2 inquadrato dal lettore ottico 5. Infine, tramite le credenziali di accesso CA (ovvero tipo di protocollo/cifratura e indice ?j? della chiave simmetrica KEY da utilizzare per la cifratura della comunicazione BLE) ottenute interpretando il codice QR 2, il dispositivo validatore 4 instaura un canale di comunicazione sicuro cifrato con lo smartphone 1.
Si noti che i due apparati (validatore e smartphone) scambiano tra loro solo l?indice della chiave da utilizzare (indice ?j?) e non la chiave stessa (KEY). Il ?set di chiavi? (lista chiavi simmetriche LK) deve ovviamente essere noto ad entrambi prima del processo di validazione (fase di configurazione del sistema).
Questa operazione di apertura comunicazione tra il validatore 4 e lo smartphone 1 ? indicata in Figura 1 con il riferimento 7. In questa fase il validatore 4 invia allo smartphone 1 un challenge di autenticazione ottenuto firmando digitalmente il codice QR 2 letto tramite la chiave simmetrica KEY.
Lo smartphone 1, dopo aver verificato le credenziali di accesso CA (verifica della correttezza del challenge), invia il biglietto da validare TK o il riferimento (Alias ID) al titolo di viaggio memorizzato nel database al centro, al dispositivo validatore 4. Questa seconda operazione di comunicazione tra lo smartphone 1 e il validatore 4 viene indicata con il riferimento 8.
Infine, il dispositivo validatore 4 riceve quindi il biglietto TK o il riferimento (Alias ID) al titolo di viaggio memorizzato nel database al centro tramite protocollo Bluetooth Low Energy, lo interpreta (ovvero lo valida), e lo restituisce validato TKa allo smartphone 1 nell?operazione indicata con il riferimento 9. Lo smartphone 1 memorizza il biglietto validato TKa, in maniera sicura, al proprio interno.
Come detto, il biglietto validato TKa scambiato tra validatore 4 e smartphone 1 ? la rappresentazione virtuale del titolo di viaggio TK da validare o un suo riferimento al centro Alias ID (vedi ABT). Con riferimento al Brevetto Italiano numero 102018000010314 rilasciato il 19/10/2020 alla Richiedente stessa, il dato TK qui indicato potrebbe essere rappresentato anche da un V-Token che verrebbe memorizzato, in maniera sicura, in un apposito contenitore cifrato (detto Wallet) all?interno dello smartphone stesso. Si noti tuttavia che il biglietto TK ? totalmente generico e potrebbe essere materializzato anche con un contenuto diverso rispetto al V-Token. In pratica il biglietto TK rappresenta il dato ?privato? e ?sensibile? da scambiare in maniera sicura ed affidabile tra i due apparati (smartphone 1 e apparato di verifica/convalida 4).
Con riferimento alla Figura 1 il passo 7 avviene solo a seguito della verifica della correttezza del codice QR 2 da parte del validatore 4. Ovvero di quest?ultimo, ovvero del codice QR 2, ne viene verificata la firma digitale e la data/ora di ultima generazione che non deve discostarsi troppo dalla data/ora corrente per evitare riutilizzi non voluti. Nel passo 7 il validatore 4 spedisce allo smartphone 1 una seconda firma digitale opportunamente calcolata dal validatore 4 e verificata dallo smartphone 1 relativa al codice QR 2 letto poco prima (ovvero un suo hash firmato poi con una chiave segreta). Tale seconda firma potrebbe essere fatta, volendo, utilizzando la chiave KEY stessa. Questa seconda firma non ? obbligatoria ai fini dell?invenzione, ma pu? servire per evitare che un apparato attaccante possa avere accesso al dato sullo smartphone utente 1 emulando il validatore 4 stesso ovvero ripetendo, tramite BLE, un vecchio scambio dati o una sua parte.
Il passo 8 rappresenta l?invio del biglietto TK (V-Token da validare) o del suo riferimento in modalit? Account Based dallo smartphone 1 al validatore 4.
Il passo 9 rappresenta l?invio del biglietto validato TKa (ad esempio un V-Token validato) e l?esito della validazione stessa (OK/KO) dal validatore 4 allo smartphone 1 per avvertire l?utente.
Questo invio dell?esito della validazione a posteriori ? particolarmente utile nel contesto di questa invenzione in quanto la trasmissione dati BLE, permettendo una comunicazione a medio raggio, permette l?invio della risposta all?utente (titolo validato ed esito della validazione) anche se l?utente non si trova pi? in prossimit? del validatore 4 come invece ? necessario fare nel caso di validazione basata su protocollo NFC. Questa interessante caratteristica, spiegata nello scenario di Figura 4, pu? essere sfruttata per velocizzare i passaggi degli utenti nel caso in cui il validatore 4 regoli l?accesso ad un varco presidiato. In questo caso il varco potrebbe essere aperto in anticipo rispetto alla notifica all?utente. La notifica, e la consegna del titolo validato TKa, verrebbe fatta solo in un secondo tempo ovvero quando l?utente ha gi? superato/liberato l?entrata regolata dal varco stesso.
Come accennato sopra il codice QR 2 mostrato sullo schermo 1a dello smartphone 1 oltre al MAC Address 3a dello smartphone 1 stesso, contiene anche le credenziali di accesso CA sicuro. Tali credenziali CA, pur non essendo un requisito obbligatorio per questa invenzione, servono ad evitare un attacco di tipo man in the middle/replay. In questo scenario quindi il codice QR 2 contiene al suo interno come credenziali di accesso CA sicuro un indice ?j? della chiave KEY da utilizzare per la crittografazione simmetrica e le informazioni sull?algoritmo di cifratura da utilizzare (ad esempio AES 128 bit, dove con AES si intende Advanced Encryption Standard, un algoritmo di crittografazione dati basato su chiave simmetrica in cui la stessa chiave segreta viene utilizzata sia per la crittografia che per la de-crittografia, anche se ? ovviamente possibile l?utilizzo di altri algoritmi di crittografazione).
In questo scenario di soluzione il mittente e il destinatario dei dati hanno bisogno di una copia della chiave. Tale copia di chiave viene ?negoziata? (tramite l?indice ?j?) su un canale dati indipendente (ovvero ottico, vedi QR-code) rispetto al canale dati che utilizzer? la cifratura vera e propria (ovvero il BLE).
Questa separazione ?fisica? tra chiave e suo utilizzo rende ancora pi? difficile per un attaccante intercettare e decodificare lo scambio dati ?in aria? (ovvero la trasmissione BLE). Si noti che viene scambiato solo l?indice e che tale indice viene scelto a caso ogni volta ovvero ogni volta che il codice QR 2 viene aggiornato sullo schermo dello smartphone 1. L?attaccante non pu? ?forzare? la scelta dell?indice in quanto abbiamo gi? spiegato che il codice QR 2 viene firmato digitalmente dalla applicazione sullo smartphone 1 e verificato, preventivamente, dal validatore 4 prima di utilizzarne i dati ivi contenuti.
Si noti che la tipologia di codifica/crittografia da utilizzare per lo scambio dati nelle operazioni 8 e 9 viene indicata dal validatore 4 allo smartphone 1 nel passo 7, per cui sar? possibile, in futuro, utilizzare nuovi algoritmi di cifratura a chiave simmetrica e/o chiavi di maggiore lunghezza preservando quindi la retro-compatibilit? dei nuovi smartphone 1 con software aggiornato con i vecchi validatori 4. In particolare l?algoritmo qui descritto (AES) viene indicato solo per fini esplicativi essendo infatti possibile utilizzare un qualsiasi algoritmo di cifratura. Paradossalmente anche ?nessuno? se si decide di affidarsi alla sola cifratura/protezione dati presente internamente al protocollo BLE stesso.
In questo esempio la chiave KEY scelta per la crittografazione simmetrica viene utilizzata poi nello scambio dati tra il validatore 4 e lo smartphone 1 e viceversa, ovvero nelle operazioni 7, 8 e 9. Si noti che la chiave simmetrica KEY non viene mai scambiata tra i due apparati, ovvero lo smartphone 1 e il dispositivo validatore 4, ma viene scambiato solo l?indice j identificativo della chiave KEY da utilizzare (tale indice j viene calcolato a caso tra il numero delle chiavi possibili). I due dispositivi che comunicano, ovvero lo smartphone 1 e il dispositivo validatore 4, contengono al loro interno il set LK di possibili chiavi da utilizzare in questo contesto. Il set LK viene inserito all?interno dei due software in maniera sicura (ovvero cifrato a sua volta) nel momento del rilascio del software stesso.
L?utilizzo della chiave simmetrica KEY (scambiata mediante indicazione dell?indice j della chiave stessa) serve anche come mutua-autenticazione in quanto serve per provare che i due device condividono lo stesso contesto di sicurezza in quanto l?utilizzo della stessa chiave KEY prova che il set di chiavi LK ? omogeneo e della versione corretta. Si ipotizza infatti di variare nel tempo tale ?set?.
L?utilizzo di due chiavi simmetriche diverse (tra validatore 4 e smartphone 1) provoca una immediata interruzione dello scambio dati, per errore di decodifica, in quanto il ricevitore non sarebbe in grado di decodificare correttamente il dato spedito dal trasmettitore stesso.
Viene ora descritto il meccanismo di protezione anti-passback.
Con riferimento alla Figura 2, un utente viaggiatore possiede un dispositivo utente viaggiatore, come ad esempio uno smartphone, indicato con il riferimento 1. All?interno dello smartphone 1 si ha un titolo di viaggio TK, o il riferimento (Alias ID) al titolo di viaggio memorizzato nel database al centro, che deve essere verificato/validato da un dispositivo validatore 4 idoneo. Il dispositivo validatore ? indicato con il riferimento 4 nella Figura 2. Come nel caso precedente (Figura 1) il validatore 4 legge il codice QR 2 dallo schermo 1a dello smartphone utente 1, e si connette (operazione 7) via BLE all?antenna 3 dello smartphone 1 utilizzando l?indirizzo MAC Address 3a letto dal QR 2. Come nel caso precedente il validatore 4 legge il titolo da validare TK o il suo riferimento Alias ID nel database a centro, nell?operazione indicata con il riferimento 8 e lo restituisce validato TKa nell?operazione indicata con il riferimento 9. A valle della validazione lo smartphone 1 ha una nuova versione validata del titolo di viaggio TKa (ovvero TK validato). A questo punto inizia l?attacco ovvero il possessore dello smartphone 1 invia il suo QR 2 (una copia dell?immagine generata) all?utente dello smartphone 1f che lo visualizza sul suo schermo ottenendo il QR 2f. Tale codice QR 2f viene poi mostrato al lettore 5bis di un nuovo validatore 4bis per tentare la convalida.
Il validatore 4bis effettua le verifiche preliminari (esempio verifica firma digitale), tali verifiche ovviamente saranno superate essendo il QR 2f una copia perfetta di QR 2. Come prima il validatore 4bis estrae dal QR 2f l?indirizzo MAC Address 3a da contattare, solo che l?indirizzo letto sar? quello dello smartphone 1 e non quello dello smartphone 1f come vorrebbe invece l?attaccante.
A questo punto il validatore 4bis, utilizzando la propria antenna 6bis, si connette allo smartphone 1 (con la connessione indicata in Figura 2 con la freccia 7bis) e scarica il titolo di viaggio da validare (con la connessione indicata in Figura 2 con la freccia 8bis). Tale titolo essendo TKa (e non pi? TK) risulta gi? validato (come indicato dalla freccia 9) per cui la seconda validazione fallisce per ripetizione di un?operazione di convalida sullo stesso identico titolo. Nel mondo della bigliettazione questa protezione contro una seconda convalida si chiama appunto ?anti-passback? in quando tende a contrastare il passaggio di un biglietto, appena validato, ad un complice dietro di lui per permettergli, a sua volta, l?ingresso.
Viene ora descritto il meccanismo di verifica del titolo di viaggio da parte del controllore.
Con riferimento alla Figura 3, un controllore, tramite il suo palmare di controllo 4c chiede ad un utente di esibire il titolo di viaggio validato (TKa). L?utente mostra quindi al controllore il proprio smartphone 1 sul quale ? presente il QR-code 2 (lo stesso utilizzato in validazione). L?apparato di controllo (palmare 4c) legge il QR 2, ne verifica l?integrit? (firma digitale) e instaura una connessione BLE utilizzando l?indirizzo MAC Address 3a letto da QR 2 (esattamente come in validazione). Tale connessione ? mostrata nell?operazione indicata con il riferimento 17. Lo smartphone 1 risponde alla richiesta 17 inviando il titolo di viaggio validato (TKa) sempre tramite BLE. Tale operazione ? visibile nell?operazione indicata con il riferimento 18. A questo punto il palmare del controllore 4c, avendo avuto accesso al titolo di viaggio Tka pu? effettuare le normali operazioni di verifica/controllo su tale oggetto. Ovviamente nel caso in cui il titolo non sia stata validato e/o non compatibile con il contesto di viaggio, il controllore, tramite il suo palmare 4c, potr? accorgersene e quindi potr? elevare una multa all?utente.
Viene ora descritto il meccanismo di validazione del titolo di viaggio per superare un varco regolato da un validatore che implementa questa tecnologia.
Con riferimento alla Figura 4, un utente viaggiatore possiede un dispositivo utente viaggiatore, come ad esempio uno smartphone, indicato con il riferimento 1. All?interno dello smartphone 1 si ha un titolo di viaggio TK, o il riferimento Alias ID al titolo di viaggio memorizzato nel database al centro, e si avvicina ad un varco (indicato con GATE). Il dispositivo validatore del varco ? indicato con il riferimento 4tris nella Figura 4. Come nei casi precedenti il validatore 4tris legge il codice QR dallo schermo dello smartphone utente 1, e si connette (come mostrato nell?operazione indicata con il riferimento 27) via BLE all?antenna dello smartphone utilizzando l?indirizzo MAC Address 3a letto dal codice QR 2. Come nel caso precedente il validatore 4tris legge il titolo da validare TK, o il riferimento Alias ID al titolo di viaggio memorizzato nel database al centro, come mostrato nell?operazione indicata con il riferimento 28 ma, in questo esempio, lo restituisce validato (TKa) nell?operazione indicata con il riferimento 29 quando ormai l?utente ha superato il varco GATE. Questa caratteristica particolare permette di separare temporalmente l?evento di convalida del titolo da quello della sua consegna permettendo la velocizzazione del passaggio degli utenti nel caso in cui il transito sia regolato da una barriera (varco GATE).
Naturalmente, fermo restando il principio dell?invenzione, i particolari di costruzione e le forme di attuazione potranno ampiamente variare rispetto a quanto descritto ed illustrato a puro titolo di esempio, senza per questo uscire dall'ambito della presente invenzione.

Claims (20)

RIVENDICAZIONI
1. Un sistema di validazione di titoli di viaggio (TK) basato sullo scambio dati in modalit? sicura comprende:
- un dispositivo utente viaggiatore (1), e
- un dispositivo validatore (4),
in cui detto dispositivo utente viaggiatore (1) comprende una app per la generazione di un codice QR (2) ed ? dotato di uno schermo (1a) per visualizzare detto codice QR (2) e di un?antenna di trasmissione e ricezione Bluetooth Low Energy (3),
in cui detto dispositivo validatore (4) ? dotato di un lettore ottico (5) in grado di leggere un codice QR (2), ed ? dotato di un?antenna di trasmissione e ricezione Bluetooth Low Energy (6),
in cui detto codice QR (2) generato da detta app presente sul dispositivo utente viaggiatore (1) contiene al suo interno, oltre ad altri dati, anche l?indirizzo MAC Address (3a) di detto dispositivo utente viaggiatore (1),
ed in cui detto dispositivo validatore (4) estrae da detto codice QR (2) inquadrato dal lettore ottico (5) l?indirizzo MAC Address (3a) del dispositivo utente viaggiatore (1) e lo utilizza per connettersi in modalit? Bluetooth Low Energy tramite l?antenna di trasmissione e ricezione Bluetooth Low Energy (6), al dispositivo utente viaggiatore (1) per eseguire l?operazione di validazione del titolo di viaggio (TK) che genera un titolo validato (TKa) che viene restituito al dispositivo utente viaggiatore (1).
2. Il sistema di validazione secondo la rivendicazione 1, in cui detta operazione di validazione del titolo di viaggio (TK) avviene in modalit? Account Based.
3. Il sistema di validazione secondo la rivendicazione 2, in cui detto dispositivo utente viaggiatore (1) ha memorizzato al suo interno un riferimento (Alias ID) al titolo di viaggio memorizzato nel database a centro.
4. Il sistema di validazione secondo la rivendicazione 3, in cui detto riferimento al titolo di viaggio ? un numero seriale univoco (Alias ID).
5. Il sistema di validazione secondo la rivendicazione 1, in cui detto codice QR (2) contiene la posizione del titolo di viaggio (TK) da validare ovvero l?indirizzo MAC Address (3a) che serve per identificare il dispositivo utente viaggiatore (1) che contiene il titolo di viaggio (TK).
6. Il sistema di validazione secondo la rivendicazione 1 o la rivendicazione 5, in cui detto dispositivo validatore (4) estrae da detto codice QR (2) l?indirizzo MAC Address (3a) e lo utilizza per connettersi in modalit? Bluetooth Low Energy al dispositivo utente viaggiatore (1) per trasferire, tramite uno scambio dati bidirezionale sempre in Bluetooth Low Energy, il titolo di viaggio (TK) da validare.
7. Il sistema di validazione secondo una o pi? delle precedenti rivendicazioni, in cui detto dispositivo validatore (4) e detto dispositivo utente viaggiatore (1) instaurano tra di loro una trasmissione univoca in modalit? Bluetooth Low Energy.
8. Il sistema di validazione secondo una o pi? delle precedenti rivendicazioni, in cui detto dispositivo validatore (4) dialoga con un solo dispositivo utente viaggiatore (1) alla volta.
9. Il sistema di validazione secondo una o pi? delle precedenti rivendicazioni, in cui in detto sistema viene adottato un meccanismo di ?antipassback? del titolo di viaggio (TK) che permette di bloccare i successivi tentativi di validazione dello stesso identico titolo di viaggio (TK) appena validato.
10. Il sistema di validazione secondo una o pi? delle precedenti rivendicazioni, in cui il codice QR (2) oltre al MAC Address (3a) contiene anche delle credenziali di accesso (CA) sicuro.
11. Il sistema di validazione secondo la rivendicazione 9, in cui dette credenziali di accesso (CA) sicuro comprendono una chiave (KEY) per la crittografazione simmetrica.
12. Il sistema di validazione secondo la rivendicazione 10, in cui dette credenziali di accesso (CA) sicuro comprendono una chiave (KEY) per la crittografazione.
13. Il sistema di validazione secondo la rivendicazione 11, in cui la stessa chiave segreta (KEY) viene utilizzata sia per la crittografia che per la de-crittografia.
14. Il sistema di validazione secondo la rivendicazione 12, in cui la stessa chiave segreta (KEY) viene utilizzata nello scambio dati (7,8,9) tra il dispositivo validatore (4) e il dispositivo utente viaggiatore (1) e viceversa.
15. Il sistema di validazione secondo la rivendicazione 13, in cui la chiave simmetrica (KEY) non viene mai scambiata tra il dispositivo validatore (4) e il dispositivo utente viaggiatore (1), ma viene scambiato solo un indice (j) identificativo della chiave (KEY) da utilizzare.
16. Il sistema di validazione secondo la rivendicazione 14, in cui il dispositivo validatore (4) e il dispositivo utente viaggiatore (1) contengono al loro interno un set (LK) di possibili chiavi (KEY) da utilizzare.
17. Il sistema di validazione secondo una o pi? delle precedenti rivendicazioni, in cui il dispositivo validatore (4), tramite dette credenziali di accesso (CA) ottenute interpretando il codice QR (2) instaura un canale di comunicazione sicuro cifrato con il dispositivo utente viaggiatore (1).
18. Il sistema di validazione secondo la rivendicazione 16, in cui il dispositivo utente viaggiatore (1) dopo aver verificato le credenziali di accesso (CA), invia il titolo di viaggio (TK) o il riferimento (Alias ID) al titolo di viaggio memorizzato nel database al centro, al dispositivo validatore (4).
19. Il sistema di validazione secondo la rivendicazione 17, in cui il dispositivo validatore (4) riceve il titolo di viaggio (TK) o il riferimento (Alias ID) al titolo di viaggio memorizzato nel database al centro, tramite protocollo BLE, lo valida in locale o in modalit? Account Based e lo restituisce validato (TKa) al dispositivo utente viaggiatore (1).
20. Il sistema di validazione secondo la rivendicazione 18, in cui il dispositivo utente viaggiatore (1) memorizza al suo interno il titolo di viaggio (TKa) validato per eventuale controllo da parte di un controllore.
IT102021000029477A 2021-11-22 2021-11-22 Sistemi e metodi di validazione titoli di trasporto in modalita’ ibrida ottica / bluetooth low energy IT202100029477A1 (it)

Priority Applications (3)

Application Number Priority Date Filing Date Title
IT102021000029477A IT202100029477A1 (it) 2021-11-22 2021-11-22 Sistemi e metodi di validazione titoli di trasporto in modalita’ ibrida ottica / bluetooth low energy
EP22826203.6A EP4437518A1 (en) 2021-11-22 2022-11-22 Systems and methods for validating travel documents in hybrid optical/bluetooth low energy mode
PCT/IB2022/061262 WO2023089590A1 (en) 2021-11-22 2022-11-22 Systems and methods for validating travel documents in hybrid optical/bluetooth low energy mode

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102021000029477A IT202100029477A1 (it) 2021-11-22 2021-11-22 Sistemi e metodi di validazione titoli di trasporto in modalita’ ibrida ottica / bluetooth low energy

Publications (1)

Publication Number Publication Date
IT202100029477A1 true IT202100029477A1 (it) 2023-05-22

Family

ID=80121798

Family Applications (1)

Application Number Title Priority Date Filing Date
IT102021000029477A IT202100029477A1 (it) 2021-11-22 2021-11-22 Sistemi e metodi di validazione titoli di trasporto in modalita’ ibrida ottica / bluetooth low energy

Country Status (3)

Country Link
EP (1) EP4437518A1 (it)
IT (1) IT202100029477A1 (it)
WO (1) WO2023089590A1 (it)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2306692A1 (en) * 2009-10-02 2011-04-06 Research In Motion Limited Methods and devices for facilitating bluetooth pairing using a camera as a barcode scanner
US20160196507A1 (en) * 2013-06-13 2016-07-07 Transportme Pty Ltd Ticket and conveyance management systems
IT201800010314A1 (it) 2018-11-14 2020-05-14 Aep Ticketing Solutions S R L Sistema e metodo di bigliettazione elettronica virtuale
EP3770866A1 (fr) * 2019-07-25 2021-01-27 Spirtech Procédé d'identification et de couplage d'un terminal cible proche d'un objet rotatif parmi une pluralité de terminaux à portée de communication sans fil avec l'objet portatif

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2306692A1 (en) * 2009-10-02 2011-04-06 Research In Motion Limited Methods and devices for facilitating bluetooth pairing using a camera as a barcode scanner
US20160196507A1 (en) * 2013-06-13 2016-07-07 Transportme Pty Ltd Ticket and conveyance management systems
IT201800010314A1 (it) 2018-11-14 2020-05-14 Aep Ticketing Solutions S R L Sistema e metodo di bigliettazione elettronica virtuale
EP3770866A1 (fr) * 2019-07-25 2021-01-27 Spirtech Procédé d'identification et de couplage d'un terminal cible proche d'un objet rotatif parmi une pluralité de terminaux à portée de communication sans fil avec l'objet portatif

Also Published As

Publication number Publication date
WO2023089590A1 (en) 2023-05-25
EP4437518A1 (en) 2024-10-02

Similar Documents

Publication Publication Date Title
CN101897165B (zh) 数据处理系统中验证用户的方法
KR101111381B1 (ko) 유비쿼터스 인증 관리를 위한 사용자 인증 시스템, 사용자 인증장치, 스마트 카드 및 사용자 인증방법
EP2378451B1 (en) User authentication in a tag-based service
CN104662864B (zh) 使用了移动认证应用的用户方便的认证方法和装置
KR102277646B1 (ko) 자동 기계에 대한 사용자의 인증 방법
JP6296060B2 (ja) e文書に署名するための追加的な確認を備えたアナログデジタル(AD)署名を使用する方法
JP5959410B2 (ja) 決済方法、これを実行する決済サーバ、これを実行するためのプログラム及びこれを実行するシステム
US6829711B1 (en) Personal website for electronic commerce on a smart java card with multiple security check points
EP1669883A1 (en) Information processing server and information processing method
US7500605B2 (en) Tamper resistant device and file generation method
KR102009863B1 (ko) 보안카드와 모바일 단말을 이용한 출입 보안 시스템 및 그 보안 방법
EP2237519A1 (en) Method and system for securely linking digital user's data to an NFC application running on a terminal
CA3078589A1 (en) Authentication of a person using a virtual identity card
US8601270B2 (en) Method for the preparation of a chip card for electronic signature services
CN107077666B (zh) 用于对自助系统处的动作进行授权的方法和装置
JPWO2005031560A1 (ja) 出力情報管理システム
CN107239936A (zh) 一种电子印章管理系统
CN101222334A (zh) 一种采用图片干扰的密码令牌安全认证方法
CZ2015472A3 (cs) Způsob navazování chráněné elektronické komunikace, bezpečného přenášení a zpracování informací mezi třemi a více subjekty
IT202100029477A1 (it) Sistemi e metodi di validazione titoli di trasporto in modalita’ ibrida ottica / bluetooth low energy
US20200090139A1 (en) Voucher verification auxiliary device, voucher verification auxiliary system, and voucher verification auxiliary method
WO2009116220A1 (ja) 認証サーバ及び回線サーバ
JP2009277051A (ja) 認証システム、認証サーバ、サービス提供装置及びサービス提供方法
JP5259665B2 (ja) 回線サーバ
CN104980275A (zh) 一种可代签的基于二维码的数字签名认证方案