WO2001043092A1 - Procede et systeme de gestion d'une transaction securisee a travers un reseau de communication - Google Patents

Procede et systeme de gestion d'une transaction securisee a travers un reseau de communication Download PDF

Info

Publication number
WO2001043092A1
WO2001043092A1 PCT/FR2000/003440 FR0003440W WO0143092A1 WO 2001043092 A1 WO2001043092 A1 WO 2001043092A1 FR 0003440 W FR0003440 W FR 0003440W WO 0143092 A1 WO0143092 A1 WO 0143092A1
Authority
WO
WIPO (PCT)
Prior art keywords
customer
management server
client
merchant site
product
Prior art date
Application number
PCT/FR2000/003440
Other languages
English (en)
Inventor
Bruno Duval
Original Assignee
Bruno Duval
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bruno Duval filed Critical Bruno Duval
Priority to AU25250/01A priority Critical patent/AU2525001A/en
Publication of WO2001043092A1 publication Critical patent/WO2001043092A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation

Definitions

  • the invention relates to a method for managing a secure transaction through a communication network, for example of the Internet type, in which a customer, when ordering a product on a merchant site, transmits his identifier number , different from the credit card number, to the merchant site through the communication network. It also relates to a transaction management system implementing said method.
  • the Internet-type communication network is an insecure network in which information passing from one point to another can be intercepted.
  • This state of affairs is an obstacle to the development of electronic commerce. Indeed, buyers are hesitant to give their credit card number to merchant sites across the Internet.
  • merchant sites and banks face numerous complaints for stolen credit cards or unconfirmed purchase, the buyer refusing the purchase stating that he has not confirmed his purchase.
  • merchant sites do not trust buyers and delay delivering products to buyers, and banks keep transaction money as long as possible before crediting merchant sites.
  • the document WO9600485 relates to a system for authenticating a customer making a purchase through a communication network.
  • a terminal such as a computer or a telephone
  • an authentication center transmits a challenge to a customer's mobile telephone.
  • This telephone includes an algorithm for determining a response code according to the challenge, a customer PIN code and possibly a secret code stored in the mobile telephone.
  • the response code is then entered into the terminal in order to be able to access the service.
  • a mobile communications operator has developed a secure payment system in which the merchant site sends a message directly according to the SMS standard.
  • SIM Subscriber Identity Module
  • the invention aims to provide a solution to the problems mentioned above by proposing a secure transaction system which establishes a climate of trust between buyers and merchant sites.
  • An object of the invention is to propose an inexpensive technology to implement and requiring a minimum investment for the client.
  • Another object of the invention is to provide a technology capable of being integrated into any type of mobile telephone capable of receiving messages according to the SMS standard, for example.
  • the invention therefore provides a method of managing a secure transaction through a communication network, for example of the Internet type, in which a customer, when ordering a product on a merchant site, transmits its identifier number to the merchant site through the communication network.
  • a communication network for example of the Internet type, in which a customer, when ordering a product on a merchant site, transmits its identifier number to the merchant site through the communication network.
  • the merchant site transmits the product references, the customer identifier and the identifier of said merchant site to a management server.
  • the management server transmits a message to the mobile phone of said client in order to obtain the client's agreement and an authentication of said client, said authentication implementing a client identification table stored in a storage means of the mobile phone as well that in the management server and then
  • the management server confirms the customer's agreement to the merchant site which delivers the product ordered to the customer.
  • the management server keeps track of the transaction which will have taken place in a non-repudiable manner.
  • this management server has a database capable of managing a multitude of tables for a multitude of clients.
  • a secure identification process which has been the subject of a patent under the publication number FR2745136.
  • This document describes a secure identification method for communication between a user station and a server station via an unsecured communication network of the Internet type.
  • the user station is intended to read the content of an identification medium such as a matrix, according to information coming from the server station.
  • a connection is established between the server station and the user station, a server code is chosen randomly at the server station, data representative of the server code is transmitted in the first direction server-user, it is recognized, using said data, in the content of the identification medium, a corresponding user code, the user code is transmitted in a second user-server direction, and the identification of the user if the user code is identical to the server code.
  • This process does not involve any trusted third party unlike the conventional RSA type encryption system which requires a trusted third party to whom we entrust decryption keys.
  • the secu ⁇ see identification process is used here to allow the management server to authenticate the client.
  • the customer identification table can be stored in the storage means of the customer's mobile phone in a coded manner so that access to said identification table by communication software requires a secret code only known to the client and the management server (SG).
  • the communication software stored in the client's storage medium is a small computer program which manages the communication with the management server.
  • the customer identification table is preferably a table containing alphanumeric characters. Each character is suitably addressed.
  • the storage means which may be a SIM card, of the mobile telephone
  • the customer identification table can be stored in an encoded manner, that is to say with an offset of the alphanumeric characters so that the addressing is distorted.
  • the communication software requires the secret code.
  • the secret code used may be a multi-digit code also used to secure the keypad of the customer's mobile phone. Those skilled in the art will readily understand that any system making it possible to authenticate the client can be used.
  • the management server reduces the client identification table stored in said management server (SG) In fact, after each authentication, the management server performs a setting update by removing from the customer identification table the characters used to perform the authentication to prevent the same characters from being used twice.
  • the management server has a set of data on the client, in particular the bank details necessary to debit the bank account of said client.
  • the management server has a "client" database in which it lists all of the information concerning the client.
  • the information concerning the customer can come from the mobile operator with which the customer is affiliated or a partner bank, or directly from the customer when registering with the management server.
  • the management server has a set of data on the merchant site, in particular the bank details necessary to supply the bank account of said merchant site once the customer has received the product ordered.
  • the merchant site is referenced in the management server thanks to a "merchant" database.
  • the management server can only accept merchant sites under certain quality conditions.
  • the communication between the management server and the merchant site can be carried out in an encrypted manner. It is also possible to communicate between the management server and the merchant site using the secure identification method by having previously stored in the merchant site and in the management server an identification table of said merchant site.
  • the customer identifier number is a number of the customer's mobile phone.
  • the identifier number can advantageously be the mobile phone number accompanied by the country of residence of the client.
  • the identifier number can be a reference number that the client obtained when he joined the secure transaction service on a site of the management server, for example.
  • the message sent to the client by the management server comprises the references of the ordered product, and the messages exchanged between the client and the management server are encrypted.
  • the product references can be the product name, the price of the product and the name of the merchant site.
  • the product sold can for example be an object to be shipped or information to be communicated via the Internet.
  • the present invention also relates to a system for managing a secure transaction through a communication network, for example of the Internet type, comprising: a merchant site connected to the communication network, an access point connected to the merchant site through the communication network, the access point being used by a customer wishing to buy a product on the merchant site, a management server for:
  • the customer's mobile telephone includes a storage means in which communication software with the management server is stored.
  • the management server is arranged to manage, on the one hand for each client, a list of transactions carried out over a given period, and on the other hand for each merchant site, a list of orders obtained over a given period.
  • Figure 1 is a simplified diagram implementing the method according to the invention
  • Figure 2 is a simplified flowchart of the steps of the method according to the invention.
  • the first category is client C wishing to buy a book on the Internet I.
  • the second category is the merchant site SM offering a service for selling books on the Internet.
  • the third category is the SG management server which manages the financial transactions between the customer and the merchant site.
  • the fourth category includes the bank BC of client C, the bank BSG of the management server SG and the bank BSM of the merchant site SM. Only the management server SG is in contact with the banks BC, BSG and BSM.
  • Client C has a microcomputer MO with which he can connect to the Internet network I.
  • Client C has also a TM mobile phone with a SIM card.
  • the SIM card contains a small PI computer program which has been stored by the mobile operator with which the customer is affiliated when acquiring the mobile phone.
  • the computer program PI can also be downloaded via the GSM link to the SIM card when the customer registers for a secure transaction service managed by the management server SG according to the invention.
  • the computer program PI is intended to manage the communication between the management server SG and a table T, containing alphanumeric characters, stored in the SIM card. Table T was also downloaded to the SIM card by the mobile operator.
  • the table T is downloaded into the SIM card via GSM link by the mobile operator, by the management server SG or by a partner bank. Communication via GSM link is carried out according to the SMS standard.
  • the management server SG has a copy of the table T.
  • Access to the table T by the computer program PI requires a secret code.
  • the secret code can be a key allowing the computer program PI to decode the table T previously stored in coded form (for example a shift of all the characters by three boxes to the right).
  • the secret code can for example be transmitted to the client, by mail or other means, when downloading the coded table T. However, the client can subsequently modify his secret code (the coded table T is consequently modified by the computer program PI) so that from now on only the client knows his new secret code.
  • the merchant site SM subscribes to the service linked to the secure transaction according to the invention and offers in its sales site a means of payment using said service.
  • the merchant site SM contains a simple computer program for communication with the management server SG.
  • a simple computer program stored in the merchant site SM makes it possible to keep the intelligence of the communication in the management server SG and thus to avoid numerous updates.
  • the management server SG has a “client” database in which the client C is listed as well as other data supplied, for example, by the mobile operator. The other data are for example the bank details and the main residence address of the customer C.
  • the management server SG also has a “merchant” database in which all the merchant sites subscribed to the secure transaction service are listed. as well as their bank details.
  • the management server SG can only grant the subscription to merchant sites it considers reliable, this has the effect of increasing the customer's confidence in the purchase to be made on a merchant site guaranteed by the management server.
  • the customer C connects to the merchant site SM through the Internet network I, chooses the book L which he wishes to buy and transmits his mobile telephone number as well as his country of residence after having chosen the payment by secure transaction.
  • the customer can join, in place of the mobile phone number and the country of residence, a reference number obtained at the time of his direct registration on a site of the management server SG or with a mobile telecommunications operator.
  • the merchant site SM sends, in conventionally encrypted form, the title of the book, the price of the book, the customer's telephone number and the customer's country of residence to the management server SG through the Internet network I.
  • the management server SG receives the information transmitted by the merchant site SM and verifies, by consulting the “customer” database, that the customer's telephone number and his country of residence correspond to a customer subscribed to the secure transaction service. .
  • the management server SG will check, during steps 3 and 4, the authenticity of the client and obtain its agreement for the purchase of the book L.
  • Steps 3 and 4 implement the patented secure identification process under the publication number FR2745136 to which the reader is invited to refer.
  • the management server SG calls the mobile phone TM of client C.
  • the mobile phone TM alerts client C of the arrival of a message.
  • the management server SG sends in step 3 a message containing the information on the book L, the name of the merchant site SM and a sentence asking the client C to type in his secret code s' he wishes to confirm the purchase of book L.
  • the message is displayed on the screen of the mobile phone TM of client C.
  • the management server SG also sends a challenge according to the SMS standard using the secure identification process.
  • the challenge is to randomly choose from the table T stored in the management server SG, a set of characters called server code, to determine the address of the server code, then to include the address of the server code in the message of the step 3.
  • the address of the server code is not displayed and is supported by the computer program PI stored in the SIM card of the mobile phone TM.
  • the computer program PI calculates a non-repudiable response based on the table T contained in the SIM card, the secret code, the challenge (server code) sent by the management server as well as the information contained in the SMS message sent by the management server.
  • said calculation may consist of shifting all the characters by three boxes to the left. We thus determine a set of characters called client code.
  • the computer program PI sends, according to the SMS standard, a message containing the client code to the management server SG.
  • the management server SG compares the server code and the client code. The purchase is validated when the client code equals the server code. Then, the management server SG performs an update by deleting the server code, that is to say the characters which were used for authentication, from the client's identification table stored there.
  • the address sent via GSM link is never the same for a given customer making many purchases.
  • the management server can then in step 5 contact the bank BC of the client C so that the bank BC debits the account of the client C of the sum corresponding to the book L and credits in step 6 the bank account of the management server SG in the bank BSG.
  • the management server SG informs the merchant site SM in step 7 that the transaction has gone well and that the book L can be sent to the client C.
  • the server ofsource SG also provides the full address of customer C to the merchant site SM.
  • the merchant site SM sends in step 8 the book L to the customer C.
  • central management server linked to a plurality of secondary management servers, each secondary management server being linked to a given mobile telephone operator so as to process steps 3 and 4.
  • the management server When the client C receives the book L, the management server is informed for example using an acknowledgment of receipt sent by the delivery service of the book L. Then, at step 9, the management server SG contact his bank BSG in order to debit his account for a certain amount and credit in step 10 the account of the merchant site SM to the bank BSM.
  • steps 2 and 7 of communication between the management server SG and the merchant site SM can be carried out using the secure identification process through the Internet.
  • the management server SG and the merchant site SM then each have an identical data table in order to use the secu ⁇ see identification process.
  • Step 2 can be carried out as follows. - the merchant site sends a message to the management server SG, - by receiving the message, the management server SG launches a challenge to the merchant site SM in order to verify the identity of said merchant site SM using a server code,
  • Step 7 can be carried out as follows:
  • the management server SG sends a challenge to the merchant site SM
  • the management server SG checks the merchant code, if the merchant code is correct (server code equals merchant code), the management server SG informs the merchant site SM that the transaction with the client went well.
  • the management server SG sends the customer's contact details to the merchant site SM as well as the delivery order of the product purchased by the customer. Furthermore, steps 2 and 7 can be carried out in encrypted form in a conventional manner over the Internet.
  • step 2 we can link directly client C to the management server SG.
  • the computer program stored in the merchant site connects, by a hypertext link for example, the client C to a site of the management server SG.
  • Client C then directly transmits his contact details (mobile phone number and country of residence for example) to the management server SG.
  • FIG. 2 shows a chronological progression of an embodiment of the invention.
  • the merchant site asks him the type of payment.
  • the client designates the type of payment managed by the management server SG.
  • the customer communicates his number mobile phone to the merchant site.
  • the merchant site securely transmits its reference number, purchase information and the customer's telephone number to the management server.
  • the management server validates the registration of the merchant site and the customer and calls the customer's mobile phone via a telecommunications operator.
  • the management server sends the information concerning the purchase according to the SMS standard, requests that the customer confirms by typing their secret code, at the same time the management server launches a challenge.
  • the customer validates his purchase by typing his secret code.
  • the management server records the confirmation, which it then communicates to the merchant site with the customer's contact details. At the same time, the management server transfers the sum corresponding to the purchase to the bank account, the said sum being taken from the customer's bank account. It confirms the transfer to the customer according to the SMS standard.
  • the merchant site sends the item to the customer. When the item is delivered to the customer, and after delivery confirmation obtained directly from the deliverers, the management server contacts its bank which transfers the amount of the purchase to the bank account of the merchant site.
  • the customer has the possibility of connecting to the management server with password to consult the list of his purchases in the month or for a determined period.
  • the management server manages the list of orders obtained by the merchant site in the same way.
  • the method described above makes it possible to carry out a secure transaction without transmitting a credit card number through the communication network, thereby limiting the risks of theft.
  • the merchant site does not dispatch the customer's purchase until said customer has paid, and the merchant site's bank account is only credited when the customer has received his purchase.
  • the process makes it possible to reference both customers and merchant sites, and it consumes little memory capacity used in the SIM card.
  • the present invention is not limited to the examples which have just been described. Thus, for example, it is possible to envisage modes of message transmission other than SMS messages.
  • information carriers other than SIM standard cards can be used in mobile phones to hold tables.

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

L'invention concerne un procédé de gestion d'une transaction sécurisée à travers un réseau de communication (I), par exemple de type Internet, dans lequel un client (C), lors de la commande d'un produit (L) sur un site marchand (SM), transmet (1) son numéro d'identifiant vers le site marchand à travers le réseau de communication. Selon l'invention, le site marchand transmet (2) ensuite les références du produit, l'identifiant du client et l'identifiant dudit site marchand vers un serveur de gestion (SG). Puis le serveur de gestion (SG) contacte (3) le client (C) en envoyant un message sur le téléphone mobile (TM) dudit client afin d'obtenir (4) l'accord du client et une authentification dudit client. Enfin, le serveur de gestion (SG) confirme (7) l'accord du client au site marchand (SM) qui délivre (8) le produit commandé (L) au client (C).

Description

Procédé et système de gestion d'une transaction sécurisée à travers un réseau de communication.
L'invention concerne un procédé de gestion d'une transaction sécurisée à travers un réseau de communication, par exemple de type Internet, dans lequel un client, lors de la commande d'un produit sur un site marchand, transmet son numéro d'identifiant, différent du numéro de carte de crédit, vers le site marchand à travers le réseau de communication. Elle vise également un système de gestion de transaction mettant en œuvre ledit procédé.
Le réseau de communication de type Internet est un réseau non sécurisé dans lequel les informations transitant d'un point à un autre peuvent être interceptées . Cet état de fait est un obstacle à l'évolution du commerce électronique. En effet, les acheteurs hésitent à donner leur numéro de carte de crédit à des sites marchands à travers l'Internet. D'une autre part, les sites marchands et les banques font face à de nombreuses plaintes pour cartes de crédits volées ou achat non confirmé, l'acheteur refusant l'achat en affirmant n'avoir pas confirmé son achat. Ainsi les sites marchands ne font pas confiance aux acheteurs et tardent à livrer les produits aux acheteurs, et les banques conservent l'argent des transactions le plus longtemps possible avant de créditer les sites marchands.
On connaît des systèmes qui, pour améliorer la sécurité, se basent sur la téléphonie mobile car celle-ci présente l'intérêt d'être nominative. Ainsi il existe déjà un système de transaction sécurisée basé sur une infrastructure à clé publique mettant en œuvre notamment l'algorithme RSA. Ce système implique un opérateur ainsi qu'une technologie de chiffrement à base de tiers de confiance.
Le document WO9600485 concerne un système d' authentification d'un client réalisant un achat à travers un réseau de communication. Lorsque le client désire accéder à un service via un terminal tel qu'un ordinateur ou un téléphone, un centre d' authentification transmet un défi vers un téléphone portable du client. Ce téléphone comprend un algorithme pour déterminer un code-réponse en fonction du défi, d'un code PIN du client et éventuellement d'un code secret stocké dans le téléphone portable. Le code-réponse est ensuite introduit dans le terminal pour pouvoir accéder au service.
Par ailleurs, un opérateur de communication mobile a développé un système de paiement sécurisé dans lequel le site marchand envoie directement un message selon la norme SMS
(« Short Message Service » en langue anglaise) sur le téléphone mobile de l'acheteur. Le téléphone mobile de l'acheteur comporte un double lecteur pour une carte SIM ( « Subscriber Identity Module », en langue anglaise) et une carte bancaire, et permet d'envoyer une demande d'autorisation directement à la banque de l'acheteur. Un tel système ne pourrait actuellement être déployé à grande échelle puisqu' il est lié à un opérateur unique et qu'il implique l'utilisation de téléphones mobiles adaptés qui ne représentent qu'une faible partie du parc actuel de téléphones mobiles.
L' invention vise à apporter une solution aux problèmes cités ci-dessus en proposant un système de transaction sécurisé qui instaure un climat de confiance entre les acheteurs et les sites marchands.
Un but de l'invention est de proposer une technologie peu onéreuse à mettre en œuvre et demandant un investissement minimum pour le client.
Un autre but de l'invention est de réaliser une technologie capable de s'intégrer dans tout type de téléphone mobile capable de recevoir des messages selon la norme SMS par exemple.
Pour atteindre les buts ci-dessus, l'invention propose donc un procédé de gestion d'une transaction sécurisée à travers un réseau de communication, par exemple de type Internet, dans lequel un client, lors de la commande d'un produit sur un site marchand, transmet son numéro d' identifiant vers le site marchand à travers le réseau de communication. Selon l'invention :
- le site marchand transmet ensuite les références du produit, l'identifiant du client et l'identifiant dudit site marchand vers un serveur de gestion. le serveur de gestion transmet un message sur le téléphone mobile dudit client afin d'obtenir l'accord du client et une authentification dudit client, ladite authentification mettant en œuvre une table d'identification du client stockée dans un moyen de stockage du téléphone mobile ainsi que dans le serveur de gestion, puis
- le serveur de gestion confirme l'accord du client au site marchand qui délivre le produit commandé au client.
Par ailleurs, le serveur de gestion conserve la trace de la transaction qui se sera déroulée de façon non repudiable. En outre ce serveur de gestion possède une base de données capable de gérer une multitude de tables d'une multitude de clients. Pour effectuer l' authentification, on peut avantageusement utiliser un procédé d'identification sécurisée ayant fait l'objet d'un brevet sous le numéro de publication FR2745136. Ce document décrit un procédé d'identification sécurisée pour la communication entre un poste utilisateur et un poste serveur par l'intermédiaire d'un réseau de communication non sécurisé de type Internet. D'une manière générale, le poste utilisateur est destiné à lire le contenu d'un support d'identification tel qu'une matrice, en fonction d'informations provenant du poste serveur. Pour ce faire, on établit une liaison entre le poste serveur et le poste utilisateur, on choisit un code serveur de manière aléatoire au niveau du poste serveur, on transmet dans un premier sens serveur-utilisateur des données représentatives du code serveur, on reconnaît, à l'aide desdites données, dans le contenu du support d' identification, un code utilisateur correspondant, on transmet dans un second sens utilisateur- serveur le code utilisateur, et on valide l'identification de l'utilisateur si le code utilisateur est identique au code serveur. Ce procède ne fait intervenir aucun tiers de confiance contrairement au système de cryptage classique de type RSA qui nécessite un tiers de confiance a qui l'on confie des clés de décryptage.
Le procède d'identification secuπsee est utilise ici afin de permettre au serveur de gestion d'authentifier le client.
Selon une caractéristique de l'invention, la table d'identification du client peut être stockée dans le moyen de stockage du téléphone mobile du client de manière codée de sorte que l'accès a ladite table d'identification par un logiciel de communication nécessite un code secret uniquement connu par le client et par le serveur de gestion (SG) . Le logiciel de communication stocke dans le moyen de stockage du client est un programme informatique de faible taille qui gère la communication avec le serveur de gestion.
La table d' identification du client est de préférence une table contenant des caractères alphanumériques . Chaque caractère est convenablement adresse. Dans le moyen de stockage, qui peut être une carte SIM, du téléphone mobile, la table d' identification du client peut être stockée de manière codée, c'est-a-dire avec un décalage des caractères alphanumériques de sorte que l'adressage soit faussée. Ainsi pour adresser correctement ladite table d'identification du client, le logiciel de communication nécessite le code secret.
Le code secret utilise peut être un code a plusieurs chiffres également utilise pour sécurise le clavier du téléphone mobile du client. L'homme du métier comprendra aisément que tout système permettant d'authentifier le client peut être utilise.
Selon l'invention, a chaque authentification du client, le serveur de gestion (SG) réduit la table d'identification du client stockée dans ledit serveur de gestion (SG) En fait, après chaque authentification, le serveur de gestion effectue une mise a jour en supprimant de la table d'identification du client les caractères utilises pour réaliser l' authentification afin d'éviter que les mêmes caractères ne soient utilisés deux fois .
Suivant une caractéristique avantageuse de l'invention, le serveur de gestion possède un ensemble de données sur le client, notamment des coordonnées bancaires nécessaires pour débiter le compte bancaire dudit client. En fait le serveur de gestion possède une base de données « client » dans laquelle il répertorie l'ensemble des informations concernant le client. Les informations concernant le client peuvent provenir de l'opérateur de téléphonie mobile chez qui le client est affilié ou une banque partenaire, ou directement du client lors de son inscription au serveur de gestion.
Suivant une autre caractéristique avantageuse de l'invention, le serveur de gestion possède un ensemble de données sur le site marchand, notamment des coordonnées bancaires nécessaires pour alimenter le compte bancaire dudit site marchand une fois que le client a reçu le produit commandé. De la même façon que pour le client, le site marchand est référencé dans le serveur de gestion grâce à une base de données « marchand ». Le serveur de gestion peut n'accepter des sites marchands que sous certaines conditions de qualité.
Avantageusement la communication entre le serveur de gestion et le site marchand peut s'effectuer de manière chiffrée. On peut également réaliser la communication entre le serveur de gestion et le site marchand à l' aide du procédé d' identification sécurisée en ayant préalablement stockée dans le site marchand et dans le serveur de gestion une table d'identification dudit site marchand.
De préférence, le numéro d'identifiant du client est un numéro du téléphone mobile du client. Le numéro d'identifiant peut avantageusement être le numéro de téléphone mobile accompagné du pays de résidence du client. Dans une autre variante de l'invention, le numéro d'identifiant peut être un numéro de référence que le client a obtenu lors de son affiliation au service de transaction sécurisée sur un site du serveur de gestion par exemple. Selon un mode de mise en œuvre de l'invention, le message envoyé au client par le serveur de gestion comprend les références du produit commandé, et les messages échangés entre le client et le serveur de gestion sont chiffrés. Les références du produit peuvent être le nom du produit, le prix du produit et le nom du site marchand. Le produit vendu peut par exemple être un objet à expédier ou une information à communiquer par Internet.
La présente invention concerne également un système de gestion d'une transaction sécurisée à travers un réseau de communication, par exemple de type Internet, comprenant : un site marchand connecté au réseau de communication, un point d'accès connecté au site marchand à travers le réseau de communication, le point d'accès étant utilisé par un client désirant acheter un produit sur le site marchand, un serveur de gestion pour :
- recevoir un identifiant du client par le site marchand, - authentifier le client en communicant avec ledit client à travers un téléphone mobile dudit client, l' authentification nécessitant notamment que le client tape un code secret sur son téléphone mobile, - débiter le compte bancaire du client,
- adresser une confirmation de transaction audit site marchand une fois le client authentifié et son compte bancaire débité, et
- recevoir une confirmation de livraison du produit chez le client afin de créditer le compte bancaire du site marchand. Le système est remarquable par le fait qu'il utilise la table d'identification du client stockée dans un moyen de stockage du téléphone mobile ainsi que dans le serveur de gestion pour réaliser l'opération d' authentification. Selon un mode de réalisation préféré du système, le téléphone mobile du client comporte un moyen de stockage dans lequel est stocké un logiciel de communication avec le serveur de gestion. De préférence, le serveur de gestion est agencé pour gérer, d'une part pour chaque client, une liste des transactions effectuées sur une période donnée, et d'autre part pour chaque site marchand, une liste des commandes obtenues sur une période donnée. D'autres avantages et caractéristiques de l'invention apparaîtront à l'examen de la description détaillée d'un mode de mise en œuvre nullement limitatif, et des dessins annexés sur lesquels :
- la figure 1 est un schéma simplifié mettant en œuvre le procédé selon l'invention, et la figure 2 est un organigramme simplifié des étapes du procédé selon l'invention.
Bien que l'invention n'y soit pas limitée, on va maintenant décrire l'application du procédé selon l'invention à l'achat, par un client, d'un livre sur un site marchand à travers le réseau Internet.
On voit sur la figure 1 l'ensemble des éléments
(référencés par des lettres) et des mouvements d'informations
(référencés par des numéros) qui permettent essentiellement de réaliser le procédé selon l'invention. On distingue quatre catégories d'éléments. La première catégorie est le client C désireux d'acheter un livre sur le réseau Internet I. La deuxième catégorie est le site marchand SM proposant un service de vente de livres sur le réseau Internet. La troisième catégorie est le serveur de gestion SG qui gère les transactions financières entre le client et le site marchand
SM. La quatrième catégorie regroupe la banque BC du client C, la banque BSG du serveur de gestion SG et la banque BSM du site marchand SM. Seul le serveur de gestion SG est en contact avec les banques BC, BSG et BSM.
Le client C possède un micro ordinateur MO avec lequel il peut se connecter sur le réseau Internet I. Le client C possède également un téléphone mobile TM muni d'une carte SIM. La carte SIM contient un programme informatique PI de faible taille qui a été stocké par l'opérateur de téléphonie mobile auquel le client est affilié lors de l'acquisition du téléphone mobile. Le programme informatique PI peut également être téléchargé via la liaison GSM sur la carte SIM lors d'une inscription par le client à un service de transaction sécurisé géré par le serveur de gestion SG selon l'invention. Le programme informatique PI est destiné à gérer la communication entre le serveur de gestion SG et une table T, contenant des caractères alphanumériques, stockée dans la carte SIM. La table T a également été téléchargée dans la carte SIM par l'opérateur de téléphonie mobile. D'une façon générale, on peut envisager que la table T soit téléchargée dans la carte SIM via liaison GSM par l'opérateur de téléphonie mobile, par le serveur de gestion SG ou par une banque partenaire. La communication via liaison GSM est effectuée selon la norme SMS. Le serveur de gestion SG possède une copie de la table T. L'accès à la table T par le programme informatique PI nécessite un code secret. Le code secret peut être une clé permettant au programme informatique PI de décoder la table T préalablement stockée sous forme codé (par exemple un décalage de tous les caractères de trois cases vers la droite) . Le code secret peut par exemple être transmis au client, par courrier ou autre moyen, lors du téléchargement de la table T codée. Cependant le client peut par la suite modifier son code secret (la table T codée est par conséquent modifiée par le programme informatique PI) de sorte que désormais seul le client connaît son nouveau code secret.
Le site marchand SM est abonné au service lié à la transaction sécurisée selon l'invention et propose dans son site de vente un moyen de paiement utilisant ledit service. Le site marchand SM contient un programme informatique simple de communication avec le serveur de gestion SG. Un programme informatique simple stocké dans le site marchand SM permet de conserver l'intelligence de la communication dans le serveur de gestion SG et d'éviter ainsi de nombreuses mises à jour. Le serveur de gestion SG possède une base de données « client » dans laquelle est répertorié le client C ainsi que d'autres données fournies, par exemple, par l'opérateur de téléphonie mobile. Les autres données sont par exemple les coordonnées bancaires et l'adresse de résidence principale du client C. Le serveur de gestion SG possède également une base de données « marchand » dans laquelle est répertorié l'ensemble de sites marchands abonnés au service de transaction sécurisée ainsi que leurs coordonnées bancaires. Le serveur de gestion SG peut n'accorder l'abonnement qu'aux sites marchands qu'il considère fiable, ceci a pour effet d'accroître la confiance du client vis à vis de l'achat à effectuer sur un site marchand garanti par le serveur de gestion.
On voit sur la figure 1, les différentes étapes du procédé selon l'invention, numérotées de 1 à 10 lors d'une opération d'achat. Au cours de l'étape 1, le client C se connecte au site marchand SM à travers le réseau Internet I, choisit le livre L qu' il désire acheter et transmet son numéro de téléphone mobile ainsi que son pays de résidence après avoir choisi le paiement par transaction sécurisée. Le client peut joindre, à la place du numéro de téléphone mobile et du pays de résidence, un numéro de référence obtenu au moment de son inscription directe sur un site du serveur de gestion SG ou auprès d'un opérateur de télécommunication mobile. Le site marchand SM envoie, sous forme chiffrée de manière classique, le titre du livre, le prix du livre, le numéro de téléphone du client et le pays de résidence du client au serveur de gestion SG à travers le réseau Internet I . Le serveur de gestion SG reçoit les informations transmises par le site marchand SM et vérifie, en consultant la base de données « client », que le numéro de téléphone du client et son pays de résidence correspondent bien à un client abonné au service de transaction sécurisée .
Ensuite, le serveur de gestion SG va vérifier, au cours des étapes 3 et 4, l'authenticité du client et obtenir son accord pour l'achat du livre L. Les étapes 3 et 4 mettent en œuvre le procédé d' identification sécurisée breveté sous le numéro de publication FR2745136 auquel le lecteur est invité à se reporter. D'une façon générale, le serveur de gestion SG appelle le téléphone mobile TM du client C. Le téléphone mobile TM prévient le client C de l'arrivée d'un message. A l'aide de la norme SMS, le serveur de gestion SG envoie à l'étape 3 un message contenant les informations sur le livre L, le nom du site marchand SM et une phrase demandant au client C de taper son code secret s'il désire valider l'achat du livre L. Le message s'affiche sur l'écran du téléphone mobile TM du client C. Le serveur de gestion SG envoie également un défi selon la norme SMS en utilisant le procédé d'identification sécurisée. Le défi consiste à choisir aléatoirement dans la table T stockée dans le serveur de gestion SG, un ensemble de caractères dit code serveur, à déterminer l'adresse du code serveur, puis à inclure l'adresse du code serveur dans le message de l'étape 3. L'adresse du code serveur n'est pas affichée et est prise en charge par le programme informatique PI stocké dans la carte SIM du téléphone mobile TM. Lorsque le client C valide l'achat en tapant son code secret, le programme informatique PI calcule une réponse non repudiable basée sur la table T contenue dans la carte SIM, le code secret, le défi (code serveur) envoyé par le serveur de gestion ainsi que les informations contenues dans le message SMS envoyé par le serveur de gestion. A titre d'exemple non limitatif, ledit calcul peut consister à un décalage de tous les caractères de trois cases vers la gauche. On détermine ainsi un ensemble de caractères dit code client.
Ensuite, à l'étape 4, le programme informatique PI envoie, selon la norme SMS, un message contenant le code client au serveur de gestion SG. Le serveur de gestion SG compare le code serveur et le code client. L'achat est validé lorsque le code client égale le code serveur. Puis, le serveur de gestion SG effectue une mise à jour en supprimant de la table d'identification du client stockée chez lui le code serveur, c'est-à-dire les caractères qui ont servi à l' authentification. Ainsi, l'adresse envoyée via liaison GSM n'est jamais la même pour un client donné effectuant de nombreux achats. Le fait de stocker la table d'identification du client de manière codée et de supprimer de la table d'identification du client stockée dans le serveur de gestion les caractères utilises pour 1' authentification, permet de renforcer la sécurité et de rendre inutilisable une table d'identification volée.
Ainsi lorsque le client est authentifie, le serveur de gestion peut alors a l'étape 5 contacter la banque BC du client C pour que la banque BC débite le compte du client C de la somme correspondant au livre L et crédite a l'étape 6 le compte bancaire du serveur de gestion SG dans la banque BSG. Lorsque l'opération de l'étape 6 est effectuée, le serveur de gestion SG informe le site marchand SM a l'étape 7 que la transaction s'est bien déroulée et que le livre L peut être expédie au client C. Le serveur de gestion SG fournit également l'adresse complète du client C au site marchand SM. Le site marchand SM expédie a l'étape 8 le livre L au client C.
Pour un nombre eleve de transactions, on peut envisager un serveur de gestion central relie a une pluralité de serveurs de gestion secondaires, chaque serveur de gestion secondaire étant lie a un operateur de téléphonie mobile donne de façon a traiter les étapes 3 et 4.
Lorsque le client C reçoit le livre L, le serveur de gestion est informe par exemple a l'aide d'un accuse de réception envoyé par le service de livraison du livre L. Puis, a l'étape 9, le serveur de gestion SG contacte sa banque BSG afin de débiter son compte d' une certaine somme et créditer a l'étape 10 le compte du site marchand SM a la banque BSM.
Afin d'améliorer la sécurité, on peut réaliser les étapes 2 et 7 de communication entre le serveur de gestion SG et le site marchand SM a l' aide du procède d' identification secuπsee a travers le reseau Internet. Le serveur de gestion SG et le site marchand SM possèdent alors chacun une table de données identique afin d'utiliser le procède d'identification secuπsee. L'étape 2 peut être réalisée de la façon suivante . - le site marchand envoie un message au serveur de gestion SG, - en recevant le message, le serveur de gestion SG lance un défi au site marchand SM afin de vérifier l'identité dudit site marchand SM à l'aide d'un code serveur,
- le site marchand SM répond au défi en retournant un code marchand, le serveur de gestion SG valide le message lorsque le code marchand égale le code serveur. L'étape 7 peut être réalisée de la façon suivante :
- le serveur de gestion SG envoie un défi au site marchand SM,
- le site marchand SM retourne un code marchand, le serveur de gestion SG vérifie le code marchand, si le code marchand est exact (code serveur égal code marchand) , le serveur de gestion SG informe le site marchand SM que la transaction avec le client s'est bien passée. Le serveur de gestion SG envoie les coordonnées du client au site marchand SM ainsi que l'ordre de livraison du produit acheté par le client. Par ailleurs, les étapes 2 et 7 peuvent être réalisées sous forme chiffrée de manière classique à travers le réseau Internet .
Finalement, on peut encore envisager un autre mode de réalisation de l'étape 2. En fait, au lieu que le numéro de téléphone du client passe d'abord par le site marchand SM pour atteindre le serveur de gestion SG, on peut relier directement le client C au serveur de gestion SG. Pour ce faire, lorsque le client choisit de payer par la transaction sécurisée, le programme informatique stocké dans le site marchand connecte, par un lien hypertexte par exemple, le client C sur un site du serveur de gestion SG. Le client C transmet alors directement ses coordonnées (numéro de téléphone mobile et pays de résidence par exemple) au serveur de gestion SG.
On voit sur la figure 2 une progression chronologique d'un mode de réalisation de l'invention. Après que le client a choisi son article, le site marchand lui demande le type de paiement. Le client désigne le type de paiement géré par le serveur de gestion SG. Ensuite le client communique son numéro de téléphone mobile au site marchand. Le site marchand transmet de manière sécurisée vers le serveur de gestion son numéro de référence, les informations concernant l'achat, ainsi que le numéro de téléphone du client. Le serveur de gestion valide l'enregistrement du site marchand et du client et appelle le téléphone mobile du client via un opérateur de télécommunication. Le serveur de gestion envoie les informations concernant l'achat selon la norme SMS, demande que le client confirme en tapant son code secret, parallèlement le serveur de gestion lance un défi. Le client valide son achat en tapant son code secret. Le serveur de gestion enregistre la confirmation qu' il communique ensuite au site marchand avec les coordonnées du client. En même temps, le serveur de gestion vire sur con compte bancaire la somme correspondant à l'achat, ladite somme étant prélevée sur le comte bancaire du client. Il confirme le virement au client selon la norme SMS. Le site marchand envoie l'article au client. Lorsque l'article est livré au client, et après confirmation de livraison obtenue directement auprès des livreurs, le serveur de gestion contacte sa banque qui vire le montant de l'achat sur le compte bancaire du site marchand. On peut envisager que le client ait la possibilité de se connecter au serveur de gestion avec mot de passe pour consulter la liste de ses achats dans le mois ou sur une période déterminée. Du côté du site marchand, on peut envisager que le serveur de gestion gère de la même manière la liste des commandes obtenues par le site marchand.
Le procédé décrit ci-dessus permet de réaliser une transaction sécurisée sans transmission de numéro de carte de crédit à travers le réseau de communication en limitant ainsi les risques de vol. Le site marchand n'expédie l'achat du client que lorsque ledit client a payé, et le compte bancaire du site marchand n'est créditer que lorsque le client a reçu son achat. Le procédé permet de référencer aussi bien les clients que les sites marchands, et il est peu gourmand en capacité de mémoire utilisée dans la carte SIM. Bien sûr, la présente invention n'est pas limitée aux exemples qui viennent d'être décrits. Ainsi on pourra par exemple envisager des modes de transmission de messages autres que les messages SMS. Par ailleurs, des supports d'information autres que les cartes au standard SIM pourront être mis en œuvre dans les téléphones mobiles pour contenir les tables.

Claims

REVENDICATIONS
1. Procédé de gestion d'une transaction sécurisée à travers un réseau de communication (I), par exemple de type Internet, dans lequel un client (C) , lors de la commande d'un produit (L) sur un site marchand (SM) , transmet (1) son numéro d'identifiant vers le site marchand à travers le réseau de communication, caractérisé en ce que :
- le site marchand transmet (2) ensuite les références du produit, l'identifiant du client et l'identifiant dudit site marchand vers un serveur de gestion (SG) ,
- le serveur de gestion (SG) transmet un message sur le téléphone mobile (TM) dudit client afin d'obtenir (4) l'accord du client et une authentification dudit client, ladite authentification mettant en œuvre une table d'identification du client (C) stockée dans un moyen de stockage du téléphone mobile ainsi que dans le serveur de gestion (SG) , puis le serveur de gestion (SG) confirme (7) l'accord du client au site marchand (SM) qui délivre (8) le produit commandé (L) au client (C) .
2. Procédé selon la revendication 1, caractérisé en ce que la table d' identification du client est stockée dans le moyen de stockage du téléphone mobile du client de manière codée de sorte que l'accès à ladite table d'identification par un logiciel de communication (PI) nécessite un code secret uniquement connu par le client et par le serveur de gestion (SG) .
3. Procédé selon l'une des revendications 1 ou 2 , caractérisé en ce que, à chaque authentification du client, le serveur de gestion (SG) réduit la table d'identification du client stockée dans ledit serveur de gestion (SG) .
4. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le serveur de gestion possède un ensemble de données sur le client, notamment des coordonnées bancaires nécessaires pour débiter (5, 6) le compte bancaire dudit client.
5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le serveur de gestion possède un ensemble de données sur le site marchand, notamment des coordonnées bancaires nécessaires pour alimenter (9, 10) le compte bancaire dudit site marchand une fois que le client a reçu le produit commandé.
6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que la communication (2, 7) entre le serveur de gestion (SG) et le site marchand (SM) s'effectue de manière chiffrée.
7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le numéro d'identifiant du client est un numéro du téléphone mobile (TM) du client (C) .
8. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le message envoyé (3) au client par le serveur de gestion comprend les références du produit commandé, et en ce que les messages échangés (3, 4) entre le client et le serveur de gestion sont chiffrés.
9. Système de gestion d'une transaction sécurisée à travers un réseau de communication, par exemple de type Internet, comprenant : - un site marchand (SM) connecté au réseau de communication (I),
- un point d' accès (MO) connecté au site marchand à travers le réseau de communication, le point d'accès étant utilisé par un client (C) désirant acheter un produit sur le site marchand, caractérisé en ce qu'il comprend en outre :
- un serveur de gestion (SG) pour : - recevoir (2) un identifiant du client (C) par le site marchand (SM) , authentifier le client en communicant (3, 4) avec ledit client à travers un téléphone mobile (TM) dudit client, l' authentification nécessitant notamment que le client tape un code secret sur son téléphone mobile, débiter (5, 6) le compte bancaire du client, adresser (7) une confirmation de transaction audit site marchand une fois le client authentifié et son compte bancaire débité, et recevoir une confirmation de livraison du produit chez le client afin de créditer (9, 10) le compte bancaire du site marchand; et - une table d'identification du client stockée dans un moyen de stockage du téléphone mobile ainsi que dans le serveur de gestion (SG) pour réaliser l'opération d' authentification.
10. Système selon la revendication précédente, caractérisé en ce que le téléphone mobile du client comporte un moyen de stockage dans lequel est stocké un logiciel de communication (PI) avec le serveur de gestion.
11. Système selon l'une des revendications 10 ou 11, caractérisé en ce que le serveur de gestion est agencé pour gérer, pour chaque client, une liste des transactions effectuées sur une période donnée.
12. Système selon l'une des revendications 10 à 12, caractérisé en ce que le serveur de gestion est agencé pour gérer, pour chaque site marchand, une liste des commandes obtenues sur une période donnée.
PCT/FR2000/003440 1999-12-07 2000-12-07 Procede et systeme de gestion d'une transaction securisee a travers un reseau de communication WO2001043092A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AU25250/01A AU2525001A (en) 1999-12-07 2000-12-07 Method and system for managing a secure transaction over a communications network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9915437A FR2801995B1 (fr) 1999-12-07 1999-12-07 Procede et systeme de gestion d'une transaction securisee a travers un reseau de communication
FR99/15437 1999-12-07

Publications (1)

Publication Number Publication Date
WO2001043092A1 true WO2001043092A1 (fr) 2001-06-14

Family

ID=9552990

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2000/003440 WO2001043092A1 (fr) 1999-12-07 2000-12-07 Procede et systeme de gestion d'une transaction securisee a travers un reseau de communication

Country Status (3)

Country Link
AU (1) AU2525001A (fr)
FR (1) FR2801995B1 (fr)
WO (1) WO2001043092A1 (fr)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2367411A (en) * 2000-07-10 2002-04-03 Garry Harold Gibson Payment system
WO2003036575A1 (fr) * 2001-10-26 2003-05-01 Servicios Para Medios De Pago, S.A. Activateur universel de paiements via le reseau de telephonie mobile
GB2381633A (en) * 2001-11-02 2003-05-07 Nokia Corp Controlling transactions
WO2003042896A1 (fr) * 2001-11-15 2003-05-22 Ideaok Corporation Procede pour service de commande/reservation
WO2003094491A1 (fr) * 2002-04-28 2003-11-13 Paycool International Limited Systeme permettant a un operateur de telecommunication de fournir des services de transactions financieres et procedes de mise en oeuvre de ces transactions
EP1461897A1 (fr) * 2001-12-04 2004-09-29 Conceptm Company Limited Systeme et procede pour faciliter les transactions financieres electroniques a l'aide d'un dispositif de telecommunication mobile
WO2005024743A1 (fr) * 2003-09-05 2005-03-17 International Business Machines Corporation Octroi d'acces a un systeme sur la base de l'utilisation d'une carte sur laquelle des donnees sur l'utilisateur sont enregistrees
SG124290A1 (en) * 2001-07-23 2006-08-30 Ntt Docomo Inc Electronic payment method, system, and devices
FR2908211A1 (fr) * 2006-11-08 2008-05-09 Paycool Int Ltd Procede et systeme de retrait d'argent a l'aide d'un telephone mobile
EP2015242A1 (fr) * 2007-06-26 2009-01-14 Alcatel Lucent Procédé et système pour sécuriser des transactions en ligne
WO2010010062A2 (fr) * 2008-07-21 2010-01-28 Andreas Traint Système de paiement anonyme inviolable
WO2011056156A1 (fr) * 2009-11-03 2011-05-12 Kartek Kart Ve Bilisim Teknolojileri Ticaret Limited Sirketi Procede de paiement mobile hautement securise et systeme d'autorisation relatif a ce procede
WO2013181283A1 (fr) * 2012-05-30 2013-12-05 Alibaba Group Holding Limited Traitement de données
CN104756142A (zh) * 2012-09-14 2015-07-01 新克特股份有限公司 电子商务交易中的电话认证方法,以及将电子商务交易中的电话认证软件记录的计算机可读记录媒体
US10255591B2 (en) 2009-12-18 2019-04-09 Visa International Service Association Payment channel returning limited use proxy dynamic value

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6928547B2 (en) 1998-07-06 2005-08-09 Saflink Corporation System and method for authenticating users in a computer network
EP1428183B1 (fr) * 2001-07-25 2007-04-25 Credit Lyonnais Procede et systeme permettant de valider, en mettant en oeuvre un objet portable d'un utilisateur, une requete aupres d'une entite
WO2003015043A1 (fr) * 2001-08-03 2003-02-20 Haltfern Limited Systeme de securite de carte de credit
FR2829647A1 (fr) * 2001-09-11 2003-03-14 Mathieu Schnee Procede et systeme permettant a un utilisateur d'authentifier une transaction relative a l'acquisition de biens ou de services, au moyen d'un terminal nomade
EP1361551A1 (fr) * 2002-05-08 2003-11-12 Encorus Technologies GmbH Méthode et ensemble de communication de données, particulièrement pour des transactions de paiement privées
US20050256802A1 (en) * 2001-11-14 2005-11-17 Dirk Ammermann Payment protocol and data transmission method and data transmission device for conducting payment transactions
JP2004310257A (ja) * 2003-04-03 2004-11-04 Nec Corp 非接触ic搭載携帯情報端末、取引情報転送方法、およびプログラム
EP1505790A1 (fr) * 2003-08-06 2005-02-09 Netlife Internet Consulting und Software GmbH Systeme pour authoriser une transaction par l'utilisateur
US20050165684A1 (en) * 2004-01-28 2005-07-28 Saflink Corporation Electronic transaction verification system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996000485A2 (fr) 1994-06-24 1996-01-04 Telefonaktiebolaget Lm Ericsson Procede et appareil d'authentification d'un utilisateur
WO1996029667A1 (fr) * 1995-03-20 1996-09-26 Sandberg Diment Erik Fourniture d'informations de verification relative a une transaction
WO1998037524A1 (fr) * 1997-06-27 1998-08-27 Swisscom Ag Procede de transaction avec un telephone mobile
WO1998040809A2 (fr) * 1997-03-13 1998-09-17 Cha! Technologies, Inc. Procede et systeme de traitement protege de transaction en direct
WO1999023617A2 (fr) * 1997-11-04 1999-05-14 Gilles Kremer Procede de transmission d'information et serveur le mettant en oeuvre
US5986565A (en) * 1997-11-24 1999-11-16 Attention System Co., Ltd. Individual recognition system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2745136B1 (fr) 1996-02-15 1998-04-10 Thoniel Pascal Procede et dispositif d'identification securisee entre deux terminaux

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996000485A2 (fr) 1994-06-24 1996-01-04 Telefonaktiebolaget Lm Ericsson Procede et appareil d'authentification d'un utilisateur
WO1996029667A1 (fr) * 1995-03-20 1996-09-26 Sandberg Diment Erik Fourniture d'informations de verification relative a une transaction
WO1998040809A2 (fr) * 1997-03-13 1998-09-17 Cha! Technologies, Inc. Procede et systeme de traitement protege de transaction en direct
WO1998037524A1 (fr) * 1997-06-27 1998-08-27 Swisscom Ag Procede de transaction avec un telephone mobile
WO1999023617A2 (fr) * 1997-11-04 1999-05-14 Gilles Kremer Procede de transmission d'information et serveur le mettant en oeuvre
US5986565A (en) * 1997-11-24 1999-11-16 Attention System Co., Ltd. Individual recognition system

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7447662B2 (en) 2000-07-10 2008-11-04 Vett (Uk) Limited Transaction processing system
GB2367411B (en) * 2000-07-10 2004-07-28 Garry Harold Gibson Payment system
GB2367411A (en) * 2000-07-10 2002-04-03 Garry Harold Gibson Payment system
SG124290A1 (en) * 2001-07-23 2006-08-30 Ntt Docomo Inc Electronic payment method, system, and devices
WO2003036575A1 (fr) * 2001-10-26 2003-05-01 Servicios Para Medios De Pago, S.A. Activateur universel de paiements via le reseau de telephonie mobile
GB2381633A (en) * 2001-11-02 2003-05-07 Nokia Corp Controlling transactions
WO2003042896A1 (fr) * 2001-11-15 2003-05-22 Ideaok Corporation Procede pour service de commande/reservation
EP1461897A1 (fr) * 2001-12-04 2004-09-29 Conceptm Company Limited Systeme et procede pour faciliter les transactions financieres electroniques a l'aide d'un dispositif de telecommunication mobile
EP1461897A4 (fr) * 2001-12-04 2007-05-02 Conceptm Company Ltd Systeme et procede pour faciliter les transactions financieres electroniques a l'aide d'un dispositif de telecommunication mobile
US7379920B2 (en) 2001-12-04 2008-05-27 Gary Leung System and method for facilitating electronic financial transactions using a mobile telecommunication device
CN100433617C (zh) * 2001-12-04 2008-11-12 M概念有限公司 使用移动电信设备以便于电子财务交易的系统及方法
WO2003094491A1 (fr) * 2002-04-28 2003-11-13 Paycool International Limited Systeme permettant a un operateur de telecommunication de fournir des services de transactions financieres et procedes de mise en oeuvre de ces transactions
WO2005024743A1 (fr) * 2003-09-05 2005-03-17 International Business Machines Corporation Octroi d'acces a un systeme sur la base de l'utilisation d'une carte sur laquelle des donnees sur l'utilisateur sont enregistrees
FR2908211A1 (fr) * 2006-11-08 2008-05-09 Paycool Int Ltd Procede et systeme de retrait d'argent a l'aide d'un telephone mobile
EP2015242A1 (fr) * 2007-06-26 2009-01-14 Alcatel Lucent Procédé et système pour sécuriser des transactions en ligne
WO2010010062A3 (fr) * 2008-07-21 2010-03-18 Andreas Traint Système de paiement anonyme inviolable
WO2010010062A2 (fr) * 2008-07-21 2010-01-28 Andreas Traint Système de paiement anonyme inviolable
WO2011056156A1 (fr) * 2009-11-03 2011-05-12 Kartek Kart Ve Bilisim Teknolojileri Ticaret Limited Sirketi Procede de paiement mobile hautement securise et systeme d'autorisation relatif a ce procede
US10255591B2 (en) 2009-12-18 2019-04-09 Visa International Service Association Payment channel returning limited use proxy dynamic value
WO2013181283A1 (fr) * 2012-05-30 2013-12-05 Alibaba Group Holding Limited Traitement de données
CN103457913A (zh) * 2012-05-30 2013-12-18 阿里巴巴集团控股有限公司 数据处理方法、通信终端、服务器及系统
CN104756142A (zh) * 2012-09-14 2015-07-01 新克特股份有限公司 电子商务交易中的电话认证方法,以及将电子商务交易中的电话认证软件记录的计算机可读记录媒体
EP2897094A4 (fr) * 2012-09-14 2016-05-04 Thinkat Co Ltd Procédé d'authentification téléphonique dans des transactions de commerce électronique et support d'enregistrement lisible par ordinateur ayant un programme enregistré sur celui-ci pour une authentification téléphonique dans des transactions de commerce électronique
AU2016259459B2 (en) * 2012-09-14 2019-05-09 Thinkat Co., Ltd. Method for phone authentication in e-business transactions and computer-readable recording medium having program for phone authentication in e-business transactions recorded thereon

Also Published As

Publication number Publication date
AU2525001A (en) 2001-06-18
FR2801995B1 (fr) 2005-09-09
FR2801995A1 (fr) 2001-06-08

Similar Documents

Publication Publication Date Title
WO2001043092A1 (fr) Procede et systeme de gestion d'une transaction securisee a travers un reseau de communication
EP1153376B1 (fr) Procede de telepaiement et systeme pour la mise en oeuvre de ce procede
EP1596342B1 (fr) Procédé et dispositif de rechargement d'une carte à puce sans contact
EP1014317B1 (fr) Procédé de paiement sécurisé
FR2820853A1 (fr) Procede et systeme de telepaiement
FR2779896A1 (fr) PROCEDE POUR PAYER A DISTANCE, AU MOYEN D'UN RADIOTELEPHONIQUE MOBILE, l'ACQUISITION D'UN BIEN ET/OU D'UN SERVICE ET SYSTEME ET RADIOTELEPHONE MOBILE CORRESPONDANTS
EP1299838A1 (fr) Systeme et procede de gestion de transactions de micropaiement, terminal de client et equipement de marchand correspondants
WO2015059389A1 (fr) Procede d'execution d'une transaction entre un premier terminal et un deuxieme terminal
WO2019002703A1 (fr) Contrôle de validité d'une interface de paiement à distance
FR2837953A1 (fr) Systeme d'echange de donnees
EP2824625B1 (fr) Méthode de réalisation de transaction, terminal et programme d'ordinateur correspondant
FR2829647A1 (fr) Procede et systeme permettant a un utilisateur d'authentifier une transaction relative a l'acquisition de biens ou de services, au moyen d'un terminal nomade
EP4074005A1 (fr) Procede, serveur et systeme d'authentification de transaction utilisant deux canaux de communication
WO2001073706A1 (fr) Systeme de paiement permettant de ne pas divulguer d'information bancaire sur le reseau public et quasi-public
FR2823882A1 (fr) Procede et systeme de validation de paiement
EP2800072A2 (fr) Procédé de délivrance par un automate de cartes de téléphonie mobile SIM à abonnement prépayé ou postpayé
FR2980890A1 (fr) Procede et systeme de paiement, application a la location automatisee de vehicules.
WO2001089148A2 (fr) Installation perfectionnee d'echange de donnees dans un reseau, et carte de paiement et procede associes
FR2828966A1 (fr) Procede pour communiquer de facon securisee des donnees d'identification d'une carte de paiement
FR2812424A1 (fr) Procede et systeme pour effectuer des transactions securisees de biens et de services au moyen d'un telephone mobile via un reseau de communication cellulaire
FR2837952A1 (fr) Procede de paiement en ligne
EP3223219A1 (fr) Procédé de transfert de transaction, procédé de transaction et terminal mettant en oeuvre au moins l'un d'eux
WO2003027919A2 (fr) Installation de traitement de donnees pour des portes-monnaie electroniques, et procede associe
WO2006040459A1 (fr) Procede d'intermediation dans une transaction entre un terminal client et un serveur fournisseur de reponses, et serveur associe
FR2831361A1 (fr) Jeton informatique

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CR CU CZ DE DK DM DZ EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP