WO2001093215A1 - Securisation d'echanges de donnees entre des controleurs - Google Patents

Securisation d'echanges de donnees entre des controleurs Download PDF

Info

Publication number
WO2001093215A1
WO2001093215A1 PCT/FR2001/001621 FR0101621W WO0193215A1 WO 2001093215 A1 WO2001093215 A1 WO 2001093215A1 FR 0101621 W FR0101621 W FR 0101621W WO 0193215 A1 WO0193215 A1 WO 0193215A1
Authority
WO
WIPO (PCT)
Prior art keywords
controller
key
sim
application
card
Prior art date
Application number
PCT/FR2001/001621
Other languages
English (en)
Inventor
Pierre Girard
Original Assignee
Gemplus
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus filed Critical Gemplus
Priority to AU2001264025A priority Critical patent/AU2001264025A1/en
Priority to EP01938340A priority patent/EP1290646A1/fr
Publication of WO2001093215A1 publication Critical patent/WO2001093215A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Definitions

  • the present invention relates to securing data exchange between two controllers.
  • a known solution consists in storing a mother key in the first controller, such as for example that of a security module in a point of sale terminal, and in pre-memorizing in second controllers.
  • user smart cards such as credit cards or electronic purse cards, daughter keys.
  • the daughter key of a second controller results from the application of the mother key and a serial number of the second controller, the smart card, to a key diversification algorithm.
  • the invention relates more particularly to another context in which two controllers emanate from two distinct legal persons which a priori are not sufficiently linked for one to impose security data on the other.
  • one of the legal persons is an operator of a radiotelephone network which markets removable SIM smart cards (Subscriber Identity Mobile) in mobile radiotelephone terminals and each containing a "first" controller.
  • the other legal person is an editor of application smart cards, called additional cards, each containing a "second" controller, which are inserted into additional card readers of the terminals.
  • the user of each terminal can acquire different additional cards from different card issuers, and a priori each containing several applications.
  • the telephone operator marketing SIM cards is unable to foresee, when they are configured, the introduction of all the mother keys in each SIM card, relating to the different additional cards or to the applications which they contain. It is therefore impossible to memorize all the mother keys of the additional cards in the SIM identity cards.
  • the invention aims to overcome the shortcomings of the prior art at least for the particular context above, so as to secure a data exchange between the controllers of any card and any additional card.
  • a method for securing data exchanges between first and second controllers the first controller managing communications to a telecommunications network for applications implemented in the second controller, the second controller containing a controller identifier and keys. of applications deduced from a mother key, is characterized by the following steps for each application selected in the second controller: transmitting the identifier of the second controller and an identifier of the application selected from the second controller to a remote security means at through the first controller, match the identifier of the second controller with a mother key in the security means, determine the key of the selected application as a function of the selected application identifier transmitted, the corresponding mother key and 1 second controller identifier in the security means, transmit at least one parameter depending on the application key determined from the remote security means to the first controller, and use the parameter in at least the first controller to secure at least one exchange of application data ation selected between the first and second controllers.
  • the first controller such as that of a SIM identity card
  • the SIM card is not personalized for exchanging data with a predetermined additional card and does not previously contain a predetermined key, but is provisionally personalized to exchange data with an additional card whose issuer is recognized in the security means.
  • the parameter is the application key determined itself which is transmitted in encrypted form from the remote security means to the first controller.
  • the remote security means is, according to the first embodiment, a server in said telecommunications network and contains a table for matching sets of identifiers of the second controller to mother keys.
  • the remote security means comprises a first server included in the telecommunications network and containing a table for matching sets of identifiers of second controller to addresses of second servers, and of second servers linked to the first server and associated respectively with sets of identifiers of the second controller corresponding to mother keys.
  • the second server is addressed by the first server in response to the identifier of the second controller transmitted, determines the key of the selected application and transmits at least said parameter to the first controller through the first server.
  • the application key is used in the first controller to participate in an authentication of one of the first and second controllers by the other controller, then in an authentication of the other controller by said controller in response to the authenticity of said one controller, before executing a session of the selected application only in response to the authenticity of said other controller.
  • the application key is used in the first controller to determine an encryption key depending on a first random number supplied by the second controller to the first controller and on a second random number, which is provided by the first controller to the second controller to determine the encryption key in the second controller, from
  • the third embodiment instead of the key of the selected application, several sets of parameters depending on the determined key and not including it are transmitted by the second server to the first controller.
  • the key is not thus transmitted to the first controller, which increases security, and it is only pairs of a number and a parameter depending on this number and the key which are transmitted.
  • FIG. 1 is a block diagram of a network system for implementing the method of securing the invention from a mobile terminal;
  • FIG. 2 is a detailed functional block diagram of a mobile radio terminal provided with an additional smart card
  • - Figure 3 is a security algorithm according to a first embodiment of one invention
  • FIG. 4 is an algorithm for mutual authentication of cards for the first embodiment or a second embodiment of the invention
  • FIG. 5 is an algorithm for determining a data unit encryption key for the first and second embodiments of the invention.
  • FIG. 6 is a security algorithm according to the second embodiment of the invention.
  • Figure 7 is a security algorithm according to a third embodiment of the invention
  • Figure 8 is a mutual card authentication algorithm for the third embodiment of the invention.
  • FIG. 9 is a data unit encryption key determination algorithm for the third embodiment.
  • a mobile radiotelephone terminal TE of the radiotelephone network comprises a first SIM smart card constituting an identity module to removable microcontroller of the terminal, as well as a second smart card CA, called additional application card.
  • the CA card is removably housed in an additional LE card reader integrated in the terminal, or possibly separate from the terminal and connected to the latter.
  • the radiotelephony network RR is shown schematically by a switch of the mobile service MSC for the location area where the mobile terminal TE is at a given time, and a base station BTS connected to the switch MSC by a controller BSC base station and TE terminal by radio.
  • the MSC, BSC and BTS entities mainly constitute a fixed network through which signaling, control, data and voice messages are transmitted.
  • the main entity of the RR network capable of interacting with the SIM card in the TE terminal is the switch of the mobile service MSC associated with a visitor location recorder VLR and connected to at least one telephone switch with autonomy of routing CAA of the PSTN switched telephone network.
  • the MSC switch manages communications for visiting mobile terminals, including the TE terminal, located at a given time in the location area served by the MSC switch.
  • the controller 'of BSC base station handles particular channel allocation visitors mobile terminals and base station BTS covers the radio cell where the terminal MS is located at the given time.
  • the RR radio network also includes a HLR nominal location recorder connected to the VLR recorders and analogous to a database.
  • the HLR recorder contains for each radiotelephone terminal, in particular the international identity IMSI (International Mobile Subscriber Identity) of the SIM smart card (Subscriber Identity Mobile), known as the identity card, included in the terminal TE, that is to say the identity of the 'subscriber owning the SIM card, the subscription profile of the subscriber and the number of the VLR recorder to which the mobile terminal is temporarily attached.
  • IMSI International Mobile Subscriber Identity
  • SIM smart card Subscriber Identity Mobile
  • the mobile radiotelephone terminal TE detailed in FIG. 2 comprises a radio interface 30 with the radiotelephone network RR, mainly comprising a duplexer of transmission and reception channels, frequency transposition circuits, analog-digital and digital-analog converters , a modulator and a demodulator, and a circuit for coding and decoding of
  • the terminal TE also includes a speech coding and decoding circuit 31 connected to a microphone 310 and a loudspeaker 311, a microprocessor 32 associated with a non-volatile memory of EEPROM programs 33 and a RAM data memory 34 , and an input-output interface 35 serving the SIM and CA smart cards, a keyboard 36 and a graphic display 37.
  • the microprocessor 32 is connected by a bus BU to the interface 30, to the circuit 31, and to the memories 33 and 34 and " by another bus BS at the input-output interface 35.
  • the microprocessor 32 manages all the processing of the baseband data that the terminal receives and transmits after frequency transposition, in particular relating to the protocol layers 1, 2 and 3 of the ISO model, and supervises data exchanges between the RR network through the radio interface 30 and the SIM card through the input-output interface 35.
  • the SIM smart card is connected to the input-output interface 35 including at least one LE card reader in the terminal, and peripheral sockets of the mobile terminal.
  • a first controller mainly comprising a microprocessor 10, a memory 11 of ROM type including an operating system of the card and communication and application algorithms, a non-volatile memory 12 of EEPROM type which contains all the characteristics linked to the subscriber, in particular the international identity of the IMSI subscriber, and a memory 13 of RAM type intended essentially for processing data to be received from the microcontroller 32 included in the terminal and the second card CA and to transmit to them.
  • ROM 11 and EEPROM 12 memories to manage applications in additional CA cards.
  • the algorithm of the security method according to the invention shown in FIG. 3, or 6, or 7 is implemented in memories 11 and 12.
  • Authentication algorithms AA1 and AA2 used for security according to the invention are also implemented in memories 11 and 12.
  • the additional smart card CA integrates a second controller mainly comprising a microprocessor 20, a ROM memory 21 including an operating system of the CA card and one or more applications AP and the authentication algorithms AA1 and AA2 specific to the invention, a non-volatile memory 12 of the EEPROM type, and a RAM memory 13 which processes data to be received from the microcontroller 32 and from the processor 10.
  • the non-volatile memory 22 also contains, according to the invention, an identifier of the card CA consisting of a serial number NS determined by the supplier of the card CA, and a respective identifier AID and a respective key KA for each application.
  • the CA card is for example a bank card, an electronic purse card, or a games card.
  • the ROM and EEPROM memories 11, 12, 21 and 22 in the SIM and CA cards include communication software to communicate on the one hand with the microprocessor 32 of the terminal TE, on the other hand between the processors 10 and 20 through the TE terminal, i.e. through the microprocessor 32 and the input-output interface 36.
  • the TE terminal periodically interrogates to receive menus to be displayed transmitted by the card.
  • the aforementioned recommendation extends the set of commands of the operating system included in the memory 11, 21 of the smart card SIM, CA to make available to the other CA card, SIM data transmitted by the smart card CA, SIM.
  • the TE terminal is considered to be transparent to data exchanges between the SIM and CA cards within the framework of the security method according to the invention.
  • the controller in the additional card CA communicates with the terminal TE by means of exchanges of commands and responses between the controllers in the two cards SIM and CA, then relayed by exchanges of commands and responses between the controller of the SIM card and terminal. All the typically proactive exchanges between the terminal and the CA card are thus carried out through the SIM card which appears, for the terminal, as the executor of each application selected in the CA card.
  • a first specialized server SO belonging to the operator of the radiotelephony network RR.
  • the server SO is for example a short message service center (Short Message Service Center) which is connected to the switch MSC of the radiotelephony network RR through an access network RA, for example a digital network with integrated ISDN services.
  • the address ASO of the server SO is stored in the non-volatile memory 12 of the SIM card.
  • the IMSI identity is introduced there so that the server SO can transmit a response to the SIM card despite the mobility of the terminal TE, after having found the pair VLR-MSC in the data logger. nominal location HLR.
  • the SIM card and the SO short message server communicate through a bidirectional short message service (SMS) channel.
  • SMS short message service
  • the SO server can be a server linked to the station controllers.
  • GPRS radio General Packet Radio Service
  • the method of securing the invention comprises main steps E0 to E8.
  • the service supplier has entrusted a mother key KM to the operator, which mother key has been stored in the operator's short message server SO.
  • the terminal TE has been started by pressing an on-off button, and that a confidential code composed on the terminal keyboard has been validated so as to display a main menu on the TE terminal screen.
  • next step E1 which can be almost simultaneous with step E0, the terminal TE verifies that an additional card CA has been inserted in the reader LE of the terminal. If the CA card is present in the reader, the main menu displays either the name of the CA card and / or its supplier in order to select this item to display the list of names of the AP applications contained in the CA card, when it contains several, which will be assumed hereinafter, that is to say directly the list of proactive applications available in the card, in the next step E2.
  • the previous characteristics of the additional card CA are displayed after the SIM card has validated at an intermediate step E101 the code of at least one PLMN (Public Land Mobile Network) radiotelephony network read from the additional card CA and accessible via the SIM card and the RR radiotelephony network. If none of the radiotelephony network codes is recognized by the SIM card (step E102), a message "additional card rejected" is displayed on the terminal screen and the process returns to the main menu, in step E0. If after step E1, or E101, the additional card CA is considered to be introduced and / or validated, it transmits a list of identifiers of the proactive applications available in the card CA in order to display them at step E2.
  • PLMN Public Land Mobile Network
  • the user of the terminal TE selects a proactive application AP from among several proactive applications available in the card CA, for example by means of an elevator or navigation key, and validates this selection.
  • the proactive application selected in the "second" controller in the CA card is designated by AP in the following description.
  • the card CA then transmits to the SIM card the identifier AID of the selected proactive application AP and a serial number NS of the card CA, constituting an identifier of the controller of the card CA, read in the non-volatile memory 22 in step E3.
  • the processor 20 in the card CA marks in the memory 22 the proactive application selected AP by a correspondence between the identifier AID and a respective key KA of the application.
  • the SIM card establishes a short message containing the parameters received NS and AID and the identity of the IMSI card.
  • the server SO Upon receipt of the short message, the server SO temporarily stores the IMSI identity, the selected application identifier AID and the serial number of the NS card, and searches a correspondence table for a mother key KM corresponding to the number NS serial number transmitted, or else with a prefix contained in the serial number, in step E5.
  • the mother key specializes in a set of additional cards from the same card supplier, generally corresponding to a range of card serial numbers.
  • the mother key is diversified into "daughter" keys respectively associated with the additional cards and with the applications offered by the supplier's additional card or cards.
  • step E5 the server SO does not recognize the serial number NS, it transmits to the SIM card a message of refusal of application selected so as to announce it to the user, by a message displayed of the type "Selected application refused", and to break the communication of the SIM card with the server SO, in step E51.
  • step E5 a mother key KM corresponds to the serial number NS of the additional card CA
  • the server SO determines the "daughter" key KA corresponding to the selected application AP by applying to a key determination algorithm d application AL, the identifier AID of the selected application AP, the corresponding mother key KM and the serial number NS of the card CA, in the next step E6.
  • This procedure ensures that the application key will be different for each card and each application on the same card.
  • the daughter key KA is established in two stages, first with respect to the serial number NS and the mother key, then with respect to the selected application identifier AID, or Conversely.
  • the “daughter” key KA thus determined is then encrypted into an encrypted key KAC in step E7, which is transmitted in a short message addressed to the SIM card in the terminal TE, according to the identity IMSI previously stored.
  • the SIM card decrypts the key KAC into the key KA in step E8 and stores it in order to approach mutual authentication of the SIM and CA cards, or else a determination of the encryption key in the SIM and CA cards, described below. after with reference to Figure 4 or 5.
  • the mutual authentication triggered by the SIM card comprises, according to the embodiment illustrated in FIG. 4, a first authentication A1 of the first SIM card by the second card CA, then in response to the authenticity of the SIM card, a second authentication A2 of the second CA card by the first SIM card.
  • the order of authentications is reversed: the authentication A2 of the card CA by the SIM card is first carried out, then in response to the authenticity of the second card, the authentication Al of the SIM card by the CA card is then performed.
  • the authentication is only the first or the second authentication A1 or A2.
  • the first authentication A1 assures the additional card C1 that the "daughter" key KA of the selected application AP has indeed been determined by the network RR, that is to say by the server SO.
  • the first authentication A1 includes steps Ail to A16. Following step E8, the SIM card transmits a random number request message to the card CA in step Ail.
  • the card CA reads a random number NC from its non-volatile memory 22, or else supplies this random number NC thanks to a pseudo-random generator included in the processor 20, in step A12.
  • the random number NC is transmitted from the CA card to the SIM card which stores it temporarily.
  • the signature SS received by the card CA is compared to the result RC in step A15. If the signature SS is different from the result RC, the selected application AP is refused in step A151 and the terminal TE displays a message "Selected application refused".
  • the card CA requests to execute the second authentication A2 to the SIM card, by transmitting an authentication request to it in step A21.
  • the second authentication A2 has steps A22 to A25 equivalent to steps A12 to A15 in the first authentication A1, as if the cards were interchanged.
  • the SIM card selects a pseudo-random number NS read from the non-volatile memory 12, or supplied by - a pseudo-random generator included in the processor 10, to step A22, and transmits it in a command to the additional card CA, which stores it in RAM 23.
  • the processor 20 of the additional card CA again reads the selected application key KA in the memory 22 for the apply with the random number received NS to a second authentication algorithm AA2 in step A23.
  • step A25 in the SIM card the result RS determined in step A24 and the signature
  • the authentication algorithms AA1 and AA2 are considered above to be different, they can alternatively be identical.
  • the method of mutual authentication shown in FIG. 4 is replaced by a method of determining the data unit encryption key shown in FIG. 5.
  • step A11 the authentication request is replaced by a securing request so that on the one hand the card CA transmits the random number NC to the SIM card in step A12, on the other hand the card SIM transmits the random number NS to the card CA in step A22.
  • the random numbers NC and NS which are transmitted from one card to the other are respectively stored in steps A13 and A23.
  • an encryption key KC is determined by applying the random numbers NC and
  • the encryption key KC is used in a step A28 to encrypt an application protocol data unit APDU to be transmitted from one of the cards, for example the SIM card, to the other card CA and in a step A29 to decrypt the APDUC encrypted unit in said other card.
  • the same encryption key can be used to encrypt-decrypt a first data unit, such as a command from the SIM card to the CA card, and a second data unit, such as a response from the card. CA to the SIM card. Whenever a couple of command- response must be exchanged, a respective encryption key is thus determined.
  • the key KC is used to sign each data unit APDU to be transmitted, or else is used to sign and encrypt each data unit.
  • the data unit encryption / signature key can be used longer than for the encryption of a command / response pair, for example for the entire duration of a session.
  • session we mean the time that elapses between the start of the use of an AID application and the end of its use.
  • the second embodiment of the method of the invention is implemented when the supplier of the additional cards does not trust the operator of the radiotelephone network RR sufficiently to entrust him with his mother key KM.
  • the operator's server SO which supplies the requested key KA but a second server SP belonging to the service provider issuing the additional cards.
  • the server SP (Service Provider) is located outside of the radiotelephone network RR and is for example connected to the switched telephone network PSTN through a broadband network RHD such as the Internet network.
  • RHD broadband network
  • the SIM card does not communicate directly with the server SP of the service provider, but through the server SO of the operator.
  • the SO server is also connected to the RHD broadband network and includes a table addresses of servers of additional card providers so as to correspond to each NS serial number of additional cards, or to a prefix of this serial number, that is to say to a category of additional cards, a ASP address of a respective SP server.
  • the SO server receives short messages transmitted by the MSC switch to which the TE terminal is temporarily attached, interprets them, as we will see below, and encapsulates them into IP (Internet Protocol) messages to route them to the SP server. through the RHD network.
  • IP Internet Protocol
  • the server SO retrieves IP data messages containing selected application keys, transmitted by the server SP and decapsulates them appropriately to transmit them, preferably after decryption and encryption, via the RA and RR to the TE terminal containing the SIM card.
  • the securing method according to this second embodiment comprises, as shown in FIG. 6, the steps E0 to E4 already described with reference to FIG. 3, and after the step E4, steps E9 to E15.
  • the server SO In response to the short message containing the identity IMSI of the SIM card, the serial number NS of the additional card CA and the identifier AID of the selected application AP transmitted in step E4, the server SO stores the identity IMSI, the identifier AID and the serial number NS and consults a correspondence table between the serial numbers of the additional cards and the addresses of the servers of suppliers of these additional cards, in step E9. If the NS serial number of the CA card is not found in the previous table, the SO server transmits a message application refusal selected on the SIM card, which displays the message "Application selected refused" and breaks the communication with the server SO, in step E91.
  • the SO server establishes an IP message containing the ASP provider server address read in the table, the ASO address of the SO server , the selected application identifier AID and the card serial number NS, in step E10.
  • the server SP stores the data ASO, AID and NS, and applies to an application key determination algorithm AL the application identifier received AID, the serial number received NS and the key corresponding mother KM for the category of cards to which the additional card CA belongs, at step Eli.
  • Execution of the diversified key algorithm AL produces a "daughter" key KA.
  • the key KA is then encrypted in an encrypted key KACH which is encapsulated in an IP message to be transmitted as a function of the address ASO to the short message server SO, through the network RHD, in step E12.
  • the encrypted key KACH is decrypted into the key KA which is stored in the server SO in step E13.
  • the server SO reads the identity IMSI so as to find the terminal TE via the register HLR, encrypts the key received KA in another encrypted key KAC which is encapsulated in a short message transmitted to the terminal TE at l 'step E14.
  • the encrypted key KAC which is decrypted into the initial key KA in step E15.
  • the key KA is then stored in the RAM memory 13 of the SIM card so to use it for mutual authentication of the SIM and CA cards according to the algorithm shown in FIG. 4, or for the determination of the data unit encryption key according to the algorithm shown in FIG. 5.
  • the encrypted keys KAC and KACI are different a priori, the encryption-decryption algorithm between the server SP and SO being a priori different from the encryption-decryption algorithm between the server SO and the SIM card.
  • the supplier of additional cards has even less confidence in the operator of the radiotelephone network RR and does not wish to communicate to him the key KA associated with the selected application AP.
  • the supplier communicates to the operator only pairs of pairs of random numbers and "session keys".
  • the session keys are signatures or results within the meaning of the authentifications A1 and A2 already described with reference to FIG. 4 and are stored in the SIM card to be used as and when the sessions of the selected application AP.
  • the third embodiment of the invention comprises steps E0 to E4 described with reference to FIG. 3 and steps E9 to Eli described with reference to FIG. 6, as well as steps El6 to E20 after step Eli as shown in figure 7.
  • the server SP of the additional card supplier has supplied the daughter key KA of the selected application AP as a function of the identifier AID, the serial number NS and the mother key KM
  • the server SP search in a quadruple list table, a list corresponding to . the application key KA, in step E16.
  • This list includes several sets of parameters depending on the determined key KA, such as I quadruplets [NC1, SS1, NSI, RS1] to [NCI, SSI, NSI, RSI] respectively for I sessions SE1 to SEI of the selected application.
  • a session of the selected application is the execution of the application between two tasks executed by the SIM card, for example after switching on the TE terminal or after leaving another application.
  • the integer I can be equal to a few tens.
  • the list of I quadruplets is then encapsulated in an IP message which is transmitted as a function of the address ASO from the server SP to the short message server SO through the network RHD.
  • the SO server decapsulates the IP message and stores the list of I quadruplets.
  • the IMSI identity attached to the SIM card is read from the SO server in order to find the TE terminal via of the HLR recorder, in step E17.
  • the list of quadruplets is then encapsulated in short messages transmitted from the server SO to the SIM card through the RA and RR networks.
  • the I quadruplets are extracted from the short messages received and stored in the non-volatile memory 22 of the SIM card in order to use them for the next I sessions of the selected application AP, which each begin with mutual authentication of the SIM cards and CA, as shown in Figure 8, or by determining the data unit encryption key according to the algorithm in Figure 9.
  • step E19 in FIG. 7 the method returns to step E19 following a request for a list of quadruplets by the SIM card to the server SP through the server SO in step E20.
  • the SP server then provides a new list of quadruplets.
  • the SIM and CA cards authenticate each other, in a manner analogous to the authentications A1 and A2, as shown in FIG. 8.
  • the first and second authentications are designated by the marks al and a2, due to the few differences which will appear below.
  • the SIM card Prior to the first authentication a1, it is assumed that the SIM card has stored at least the quadruplet [NCi, SSi, NSi, RSi] normally intended for the session SEi which is activated at an initial step a0.
  • the SIM card ignores the selected application key KA.
  • the additional card CA cannot randomly generate the number NCi since it is impossible for the list communicated to the SIM card to contain all the signatures corresponding to all the random numbers.
  • the additional card CA increments by a unit a session number counter NSE included in the processor 20, in a step all1.
  • the counter has a sufficiently high maximum count, for example corresponding to at least four bytes, so that its count can be incremented by one unit at each session during the lifetime of the CA card.
  • the card CA determines the number NCi in step all2 by applying the integer NSE and the application key KA read from memory 22 to the function f contained in the ROM memory 21.
  • the determined number NCi is then transmitted to "first "controller in the SIM card so that the latter selects the set of parameters [NCi, SSi, NSi, RSi] in the quadruplet table received as a function of the determined number NCi transmitted in step al3.
  • the first authentication a1 of the SIM card in the card CA consists in communicating the signature SSi of the SIM card in the card CA, and in performing steps a14, a5 and a51 like steps A14, A15 and A151 to calculate the result RCi of the application of the determined number NCi and the key KA to the first algorithm AA1 and compare the result RCi with the signature SSi of the selected set.
  • the second authentication a2 of the card CA in the SIM card begins with a request by the card CA in step a21 and a communication of the random number NSi of the selected set, from the SIM card to the card CA, in step a22. Then steps a23 and a25, a251 and a252 similar to steps A22, A23, A25, A251 and A252 are executed to determine a signature SCi resulting from the application of the communicated random number NSi and the key KA to the second algorithm AA2 in the CA card, then to compare the RSi result of the selected set with the signature SCi communicated by the CA card to the SIM card.
  • step a15 or step a25 when the corresponding comparison is negative, the session of the selected application is refused (step al51 or a251).
  • step a25 when the result RSi is equal to the signature SCi, the session SEi of the selected application is started (step a252).
  • the SIM and CA cards do not communicate the signatures SSi and SCi to each other and communicate only the numbers NCi and NSi, and the comparison steps a15 and a25 in FIG. 8 are deleted for the determination of an encryption key, for example when the SIM card wishes to transmit an APDU unit in step a10.
  • the encryption key results from the following steps: increment in step alll an integer NSE by one unit to determine with the application key KA a number NCi in step all2, transmit to 1 step al2 the determined number NCi at the "first" SIM card controller to select in step al3 the set of parameters NCi, SSi, NSi and RSi containing the number determined in the SIM card, determine in step al4 the result RCi of the set of parameters selected as a function of the application of said determined number NCi and of the key KA to the first algorithm AA1 in the "second" controller of the additional card CA, communicate in step a22 the random number NSi of the set of parameters selected on the card CA, determine in step a23 the signature SCi of the set of parameters selected by applying the random number communicated NSi and the key KA to the second algorithm AA2 in l a CA card, and determine in steps a26 and a27 an encryption key KC according to the set of parameters selected in the SIM card and the CA card, so as to
  • the invention has been described above with respect to securing data exchange between the controllers of two SIM and CA smart cards, the invention applies generally to securing between any first controller and any second controller having to communicate with each other, the term controller covering a data processing means or unit, such as a microprocessor, or even more completely an entity, such as a terminal, a server, etc.
  • the first controller may be a point of sale terminal and the second controller a credit card, the telecommunications network to which the terminal is connected then being the switched telephone network.
  • the first and second controllers are those of a dual-mode radiotelephone terminal.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Des échanges de données sont sécurisés entre des premier et deuxième contrôleurs (SIM, CA), tels qu'une carte d'identité (SIM) d'un terminal radiotéléphonique (TE) gérant des communications vers un réseau de télécommunciations (RR) pour des applications dans une carte additionnelle (CA). Un serveur (SO) de l'opérateur de la carte d'identité, ou un serveur (SP) de l'émetteur de la carte additionnelle fait correspondre à l'identificateur de la carte additionnelle une clé mère pour déterminer la clé d'une application sélectionnée dans la carte additionnelle. Au moins un paramètre dépendant de la clé est transmis à la carte d'identité (SIM) pour sécuriser un échange de données. La carte d'identité est ainsi personnalisée en ligne pour chaque application.

Description

Sécurisation d'échanges de données entre des contrôleurs
La présente invention concerne la sécurisation d'échange de données entre deux contrôleurs.
Pour sécuriser le dialogue entre les deux contrôleurs, une solution connue consiste à prémémoriser une clé mère dans le premier contrôleur, tel que par exemple celui d'un module de sécurité dans un terminal point de vente, et à pré-mémoriser dans des deuxièmes contrôleurs de cartes à puce d'usager, tels que des cartes de crédit ou des cartes de porte-monnaie électronique, des clés filles. La clé fille d'un deuxième contrôleur résulte de l'application de la clé mère et d'un numéro de série du deuxième contrôleur, la carte à puce, à un algorithme de diversification de clé.
Cependant, l'invention a trait plus particulièrement à un autre contexte dans lequel deux contrôleurs émanent de deux personnes morales distinctes qui a priori ne sont pas assez liées pour que l'une impose à l'autre des données de sécurité. Selon un exemple auquel on se référera dans la suite, l'une des personnes morales est un opérateur d'un réseau de radiotéléphonie qui commercialise des cartes à puce d'identité amovibles SIM (Subscriber Identity Mobile) dans des terminaux radiotelephoniques mobiles et contenant chacune un "premier" contrôleur. L'autre personne morale est un éditeur de cartes à puce d'application, dites cartes additionnelles, contenant chacune un "deuxième" contrôleur, qui sont introduites dans des lecteurs de carte additionnelle des terminaux. Dans ce cas, l'usager de chaque terminal peut acquérir différentes cartes additionnelles émanant de différents émetteurs de cartes, et contenant a priori chacune plusieurs applications. L'opérateur téléphonique commercialisant les cartes SIM est incapable de prévoir, lorsqu'elles sont paramétrées, l'introduction de toutes les clés mères dans chaque carte SIM, relatives aux différentes cartes additionnelles ou aux applications qu'elles contiennent. Il est donc impossible de prémémoriser toutes les clés mères des cartes additionnelles dans les cartes d'identité SIM.
Outre l'aspect pratique de la mémorisation des clés mères dans toutes les cartes SIM, il y a un risque très important à confier la clé mère à tous les utilisateurs. En effet, en matière de sécurité, si une carte est "cassée"/ c'est-à-dire si toutes les clés qu'elle contient sont obtenues, en aucun cas l'ensemble des moyens de sécurisation doit être menacé. Ce principe est précisément bafoué si les cartes SIM contiennent la clé mère. L'obtention d'une seule de ces clés mères associée à une seule des cartes SIM permettrait de fabriquer des clones de n'importe quelle carte additionnelle.
L'invention vise à pallier les insuffisances de la technique antérieure au moins pour le contexte particulier ci -dessus, de manière à sécuriser un échange de données entre les contrôleurs d'une carte quelconque et d'une carte additionnelle quelconque.
A cette fin, un procédé pour sécuriser des échanges de données entre des premier et deuxième contrôleurs, le premier contrôleur gérant des communications vers un réseau de télécommunications pour des applications implémentées dans le deuxième contrôleur, le deuxième contrôleur contenant un identificateur de contrôleur et des clés . des applications déduites d'une clé mère, est caractérisé par les étapes suivantes pour chaque application sélectionnée dans le deuxième contrôleur : transmettre l'identificateur du deuxième contrôleur et un identificateur de l'application sélectionnée depuis le deuxième contrôleur vers un moyen de sécurisation distant à travers le premier contrôleur, faire correspondre à 1 ' identificateur de deuxième contrôleur une clé mère dans le moyen de sécurisation, déterminer la clé de l'application sélectionnée en fonction de l'identificateur d'application sélectionnée transmis, la clé mère correspondante et de 1 ' identificateur de deuxième contrôleur dans le moyen de sécurisation, transmettre au moins un paramètre dépendant de la clé d'application déterminée depuis le moyen de sécurisation distant au premier contrôleur, et utiliser le paramètre dans au moins le premier contrôleur pour sécuriser au moins un échange de données relatif à l'application sélectionnée entre les premier et deuxième contrôleurs .
Le premier contrôleur, tel que celui d'une carte d'identité SIM, est personnalisé en ligne pour chaque utilisation d'une carte additionnelle contenant le deuxième contrôleur, c'est-à-dire pour chaque application, par le paramètre dépendant de la clé déterminée de l'application sélectionnée. La carte SIM n'est pas personnalisée pour échanger des données avec une carte additionnelle prédéterminée et ne contient pas préalablement une clé prédéterminée, mais est provisoirement personnalisée pour échanger des données avec une carte additionnelle dont l'émetteur est reconnu dans le moyen de sécurisation. Selon des première et deuxième réalisations, le paramètre est la clé d'application déterminée elle- même qui est transmise sous forme chiffrée depuis le moyen de sécurisation distant vers le premier contrôleur. Même dans ces réalisations, la clé n'est pas utilisée directement pour sécuriser les échanges de données entre les contrôleurs, mais est diversifiée à chaque session de l'application, ou bien à chaque transmission d'une unité de données de l'un vers l'autre des contrôleurs, comme on le verra dans la description détaillée de l'invention. Le moyen de sécurisation distant est, selon la première réalisation, un serveur dans ledit réseau de télécommunications et contient une table pour faire correspondre des ensembles d'identificateurs de deuxième contrôleur à des clés mères . Selon la deuxième réalisation ou une troisième réalisation, le moyen de sécurisation distant comprend un premier serveur inclus dans le réseau de télécommunications et contenant une table pour faire correspondre des ensembles d'identificateurs de deuxième contrôleur à des adresses de deuxièmes serveurs, et des deuxièmes serveurs reliés au premier serveur et associés respectivement à des ensembles d'identificateurs de deuxième contrôleur correspondant à des clés mères . Le deuxième serveur est adressé par le premier serveur en réponse à l'identificateur du deuxième contrôleur transmis, détermine la clé de l'application sélectionnée et transmet au moins ledit paramètre au premier contrôleur à travers le premier serveur. Selon une première variante, la clé d'application est utilisée dans le premier contrôleur pour participer à une authentification de l'un des premier et deuxième contrôleurs par l'autre contrôleur, puis à une authentification de l'autre contrôleur par ledit contrôleur en réponse à l'authenticité dudit un contrôleur, avant d'exécuter une session de l'application sélectionnée seulement en réponse à l'authenticité dudit autre contrôleur. Selon une deuxième variante, la clé d'application est utilisée dans le premier contrôleur pour déterminer une clé de chiffrement en dépendance d'un premier nombre aléatoire fourni par le deuxième contrôleur au premier contrôleur et d'un deuxième nombre aléatoire, lequel est fourni par le premier contrôleur au deuxième contrôleur pour déterminer la clé de chiffrement dans le deuxième contrôleur, de
" manière à chiffrer et/ou signer une unité de données avec la clé de chiffrement à transmettre de l'un vers , l'autre des contrôleurs.
Selon la troisième réalisation, au lieu de la clé de l'application sélectionnée, plusieurs ensembles de paramètres dépendant de la clé déterminée et ne comprenant pas celle-ci sont transmis par le deuxième serveur au premier contrôleur. La clé n'est pas ainsi transmise au premier contrôleur, ce qui augmente la sécurisation, et ce ne sont que des couples d'un nombre et d'un paramètre dépendant de ce nombre et de la clé qui sont transmis.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention en référence aux dessins annexés correspondants dans lesquels :
- la figure 1 est un bloc-diagramme d'un système de réseaux pour la mise en œuvre du procédé de sécurisation de l'invention depuis un terminal mobile ;
- la figure 2 est un bloc-diagramme fonctionnel détaillé d'un terminal radiotéléphonique mobile muni d'une carte à puce additionnelle ; - la figure 3 est un algorithme de sécurisation selon une première réalisation de 1 ' invention ; la figure 4 est un algorithme d ' authentification mutuelle de cartes pour la première réalisation ou une deuxième réalisation de 1 ' invention ;
- la figure 5 est un algorithme de détermination de clé de chiffrement d'unité de données pour les première et deuxième réalisations de l'invention ;
- la figure 6 est un algorithme de sécurisation selon la deuxième réalisation de l'invention ;
- la figure 7 est un algorithme de sécurisation selon une troisième réalisation de 1 ' invention ; la figure 8 est un algorithme d ' authentification mutuelle de cartes pour la troisième réalisation de 1 ' invention ; et
- la figure 9 est un algorithme de détermination de clé de chiffrement d'unité de données pour la troisième réalisation.
On se réfère, à titre d'exemple, au contexte d'un réseau de télécommunications du type réseau de radiotéléphonie cellulaire numérique RR, comme montré à la figure 1. Un terminal radiotéléphonique mobile TE du réseau de radiotéléphonie comprend une première carte à puce SIM constituant un module d'identité à microcontrôleur amovible du terminal, ainsi qu'une deuxième carte à puce CA, dite carte applicative additionnelle. La carte CA est logée de manière amovible dans un lecteur additionnel de carte LE intégré dans le terminal, ou éventuellement distinct du terminal et relié à celui-ci.
Dans - la figure 1, le réseau de radiotéléphonie RR est schématisé par un commutateur du service mobile MSC pour la zone de localisation où le terminal mobile TE se trouve à un instant donné, et une station de base BTS reliée au commutateur MSC par un contrôleur de station de base BSC et au terminal TE par voie radio. Les entités MSC, BSC et BTS constituent principalement un réseau fixe à travers lequel sont transmis notamment des messages de signalisation, de contrôle, de données et de voix. L'entité principale du réseau RR susceptible d' interagir avec la carte SIM dans le terminal TE est le commutateur du service mobile MSC associé à un enregistreur de localisation des visiteurs VLR et relié à au moins un commutateur téléphonique à autonomie d'acheminement CAA du réseau téléphonique commuté RTC. Le commutateur MSC gère des communications pour des terminaux mobiles visiteurs, y compris le terminal TE, se trouvant à un instant donné dans la zone de localisation desservie par le commutateur MSC. Le contrôleur 'de station de base BSC gère notamment l'allocation de canaux aux terminaux mobiles visiteurs, et la station de base BTS couvre la cellule radioélectrique où le terminal MS se trouve à l'instant donné.
Le réseau de radiotéléphonie RR comprend également un enregistreur de localisation nominal HLR relié aux enregistreurs VLR et analogue à une- base de données. L'enregistreur HLR contient pour chaque terminal radiotéléphonique notamment l'identité internationale IMSI (International Mobile Subscriber Identity) de la carte à puce SIM (Subscriber Identity Mobile), dite carte d'identité, incluse dans le terminal TE, c'est-à-dire l'identité de l'abonné possesseur de la carte SIM, le profil d'abonnement de 1 ' abonné et le numéro de 1 ' enregistreur VLR auquel est rattaché momentanément le terminal mobile.
Le terminal radiotéléphonique mobile TE détaillé à la figure 2 comprend une interface radio 30 avec le réseau de radiotéléphonie RR, comprenant principalement un duplexeur de voies de transmission et de réception, des circuits de transposition de fréquence, des convertisseurs analogique-numérique et numérique-analogique, un modulateur et un démodulateur, et un circuit de codage et décodage de
" canal . Le terminal TE comprend également un circuit de codage et décodage de parole 31 relié à un microphone 310 et un haut-parleur- 311, un microprocesseur 32 associé à une mémoire non volatile de programmes EEPROM 33 et une mémoire de données RAM 34, et une interface entrée-sortie 35 desservant les cartes à puce SIM et CA, un clavier 36 et un afficheur graphique 37. Le microprocesseur 32 est relié par un bus BU à l'interface 30, au circuit 31, et aux mémoires 33 et 34 et" par un autre bus BS a l'interface entrée-sortie 35. Le microprocesseur 32 gère tous les traitements des données en bande de base que le terminal reçoit et transmet après transposition en fréquence, notamment relatifs aux couches de protocole 1, 2 et 3 du modèle ISO, et supervise des échanges de données entre le réseau RR à travers l'interface radio 30 et la carte SIM à travers l'interface entrée-sortie 35. La carte à puce SIM est reliée à l'interface entrée-sortie 35 incluant au moins un lecteur de carte LE dans le terminal, et des prises périphériques du terminal mobile. Dans la carte à puce SIM est intégré un premier contrôleur comprenant principalement un microprocesseur 10, une mémoire 11 de type ROM incluant un système d'exploitation de la carte et des algorithmes de communication et d'application, une mémoire non volatile 12 de type EEPROM qui contient toutes les caractéristiques liées à l'abonné, notamment l'identité internationale de l'abonné IMSI, et une mémoire 13 de type RAM destinée essentiellement au traitement de données à recevoir du microcontrôleur 32 inclus dans le terminal et la deuxième carte CA et à transmettre vers ceux-ci.
Selon 1 ' invention, plusieurs logiciels sont préalablement inclus dans les mémoires ROM 11 et EEPROM 12 pour gérer des applications dans des cartes additionnelles CA. En particulier, l'algorithme du procédé de sécurisation selon l'invention montré à la figure 3, ou 6 , ou 7 est implémenté dans les mémoires 11 et 12. Des algorithmes d ' authentification AA1 et AA2 utilisés pour la sécurisation selon l'invention sont également implémentés dans les mémoires 11 et 12.
Comme la carte SIM Cl, la carte à puce additionnelle CA intègre un deuxième contrôleur comportant principalement un microprocesseur 20, une mémoire ROM 21 incluant un système d'exploitation de la carte CA et une ou plusieurs applications AP et les algorithmes d ' authentification AA1 et AA2 spécifiques à 1 ' invention, une mémoire non volatile 12 de type EEPROM, et une mémoire RAM 13 qui traite des données à recevoir du microcontrôleur 32 et du processeur 10. La mémoire non volatile 22 contient en outre, selon l'invention, un identificateur de la carte CA constitué par un numéro de série NS déterminé par le fournisseur de la carte CA, et un identificateur respectif AID et une clé respective KA pour chaque application.
La carte CA est par exemple une carte bancaire, une carte de porte-monnaie électronique, ou une carte de jeux.
Les mémoires ROM et EEPROM 11, 12, 21 et 22 dans les cartes SIM et CA comprennent des logiciels de communication pour dialoguer d'une part avec le microprocesseur 32 du terminal TE, d'autre part entre les processeurs 10 et 20 à travers le terminal TE, c'est-à-dire à travers le microprocesseur 32 et l'interface entrée-sortie 36.
Pour dialoguer entre elles, la carte SIM et la carte additionnelle CA sont pro-actives afin de déclencher des actions dans le terminal mobile MS au moyen de commandes pré- ormatées suivant le protocole "T = 0" de la norme ISO 7816-3 et encapsulées selon la recommandation GSM 11.14 (SIM Toolkit) . Par exemple, le terminal TE interroge périodiquement pour recevoir des menus à afficher transmis par la carte. La recommandation précitée étend le jeu de commandes du système d'exploitation inclus dans la mémoire 11, 21 de la carte à puce SIM, CA pour mettre à disposition de l'autre carte CA, SIM des données transmises par la carte à puce CA, SIM.
Comme on le verra dans la suite, le terminal TE est considéré comme transparent à des échanges de données entre les cartes SIM et CA dans le cadre du procédé de sécurisation selon l'invention. Typiquement, le contrôleur dans la carte additionnelle CA communique avec le terminal TE par l'intermédiaire d'échanges de commandes et réponses entre les contrôleurs dans les deux cartes SIM et CA, alors relayés par des échanges de commandes et réponses entre le contrôleur de la carte SIM et le terminal. Tous les échanges typiquement pro-actifs entre le terminal et la carte CA sont ainsi effectués à travers la carte SIM qui apparaît, pour le terminal, comme l'exécutant de chaque application sélectionnée dans la carte CA.
Pour les trois réalisations préférées du procédé de 1 ' invention, il est prévu un premier serveur spécialisé SO appartenant à l'opérateur du réseau de radiotéléphonie RR. Le serveur SO est par exemple un serveur de services de messages courts (Short Message Service Center) qui est relié au commutateur MSC du réseau de radiotéléphonie RR à travers un réseau d'accès RA, par exemple un réseau numérique à intégration de services RNIS. L'adresse ASO du serveur SO est prémémorisée dans la mémoire non volatile 12 de la carte SIM. Dans chaque message court établi par la carte SIM, l'identité IMSI y est introduite afin que le serveur SO puisse transmettre une réponse à la carte SIM malgré la mobilité du terminal TE, après avoir trouvé le couple VLR-MSC dans l'enregistreur de localisation nominale HLR.
La carte SIM et le serveur de messages courts SO dialoguent à travers un canal bidirectionnel de messages courts SMS (Short Message Service) . Le terminal TE est ainsi transparent aux messages courts entre la carte SIM et le serveur SO.
Selon une autre variante, le serveur SO peut être un serveur relié aux contrôleurs de station de base BSC du réseau de radiotéléphonie RR à travers le réseau Internet et un réseau à commutation par paquets avec gestion de la mobilité et accès par voie radio GPRS (General Packet Radio Service) .
Selon une première réalisation montrée à la figure 3, le procédé de sécurisation de l'invention comprend des étapes principales E0 à E8. Lorsqu'il existe une relation de confiance entre l'opérateur du réseau de radiotéléphonie RR et le fournisseur d'applications liées a la carte additionnelle CA, le fournisseur de services a confié une clé mère KM à l'opérateur, laquelle clé mère a été prémémorisée dans le serveur de messages courts SO de l'opérateur. Initialement, il est supposé à une étape E0 que le terminal TE a été mis en marche par sollicitation d'un bouton marche-arrêt, et qu'un code confidentiel composé au clavier du terminal a été validé de manière à afficher un menu principal sur l'écran du terminal TE.
A l'étape suivante El, qui peut être quasi- simultanée avec l'étape E0 , le terminal TE vérifie qu'une carte additionnelle CA a été introduite dans le lecteur LE du terminal . Si la carte CA est présente dans le lecteur, le menu principal affiche soit le nom de la carte CA et/ou du fournisseur de celle-ci afin de sélectionner cet item pour afficher la liste des noms des applications AP contenues dans la carte CA, lorsque celle-ci en contient plusieurs, ce qui sera supposé dans la suite, soit directement la liste des applications pro-actives disponibles dans la carte, à l'étape suivante E2.
En variante, les caractéristiques précédentes de la carte additionnelle CA sont affichées après que la carte SIM ait validée à une étape intermédiaire E101 l'indicatif d'au moins un réseau de radiotéléphonie PLMN (Public Land Mobile Network) lu dans la carte additionnelle CA et accessible à travers la carte SIM et le réseau de radiotéléphonie RR. Si aucun des indicatifs de réseau de radiotéléphonie n'est reconnu par la carte SIM (étape E102), un message "carte additionnelle rejetée" est affiché sur l'écran du terminal et le procédé revient au menu principal, à 1 'étape E0. Si après l'étape El, ou E101, la carte additionnelle CA est considérée comme introduite et/ou validée, celle-ci transmet une liste d'identificateurs des applications pro-actives disponibles dans la carte CA afin de les afficher à l'étape E2. L'usager du terminal TE sélectionne une application pro-active AP parmi plusieurs applications pro-actives disponibles dans la carte CA, par exemple au moyen d'une touche ascenseur ou de navigation, et valide cette sélection. L'application pro-active sélectionnée dans le "deuxième" contrôleur dans la carte CA est désignée par AP dans la suite de la description.
La carte CA transmet alors à la carte SIM l'identificateur AID de l'application pro-active sélectionnée AP et un numéro de série NS de la carte CA, constituant un identificateur du contrôleur de la carte CA, lus dans la mémoire non volatile 22 à l'étape E3. Le processeur 20 dans la carte CA marque dans la mémoire 22 l'application pro-active sélectionnée AP par une correspondance entre 1 ' identificateur AID et une clé respective KA de 1 ' application.
A l'étape E , la carte SIM établit un message court contenant les paramètres reçus NS et AID et l'identité de carte IMSI. A la réception du message court, le serveur SO mémorise temporairement l'identité IMSI, l'identificateur d'application sélectionnée AID et le numéro de série de carte NS, et recherche dans une table de correspondance une clé mère KM en correspondance avec le numéro de série NS transmis, ou bien avec un préfixe contenu dans le numéro de série, à l'étape E5. La clé mère particularise un ensemble de cartes additionnelles d'un même fournisseur de carte, correspondant en général à une plage de numéros de série de carte. La clé mère est diversifiée en des clés "filles" respectivement associées aux cartes additionnelles et aux applications proposées par la ou les cartes additionnelles du fournisseur. Si à l'étape E5, le serveur SO ne reconnaît pas le numéro de série NS, il transmet à la carte SIM un message de refus d'application sélectionnée de manière à l'annoncer à l'usager, par un message affiché du type "Application sélectionnée refusée", et à rompre la communication de la carte SIM avec le serveur SO, à l'étape E51.
Si a l'étape E5, une clé mère KM correspond au numéro de série NS de la carte additionnelle CA, le serveur SO détermine la clé "fille" KA correspondant à l'application sélectionnée AP en appliquant à un algorithme de détermination de clé d'application AL, l'identificateur AID de l'application sélectionnée AP, la clé mère correspondante KM et le numéro de série NS de la carte CA, à l'étape suivante E6. Cette procédure assure que la clé applicative sera différente pour chaque carte et chaque application d'une même carte. En variante, la clé fille KA est établie en deux étapes, d'abord par rapport au numéro de série NS et la clé mère, puis par rapport à l'identificateur d'application sélectionnée AID, ou inversement. La clé "fille" KA ainsi déterminée est ensuite chiffrée en une clé chiffrée KAC à l'étape E7, laquelle est transmise dans un message court adressé à la carte SIM dans le terminal TE, en fonction de l'identité IMSI précédemment mémorisée. La carte SIM déchiffre la clé KAC en la clé KA à l'étape E8 et la mémorise afin d'aborder une authentification mutuelle des cartes SIM et CA, ou bien une détermination de clé de chiffrement dans les cartes SIM et CA, décrite ci-après en référence à la figure 4 ou 5.
L ' authentification mutuelle déclenchée par la carte SIM comprend, selon la réalisation illustrée a la figure 4, une première authentification Al de la première carte SIM par la deuxième carte CA, puis en réponse à l'authenticité de la carte SIM, une deuxième authentification A2 de la deuxième carte CA par la première carte SIM. Selon une autre variante de l'invention, l'ordre des authentifications est inversé : 1 ' authentification A2 de la carte CA par la carte SIM est d'abord effectuée, puis en réponse à l'authenticité de la deuxième carte, 1 ' authentification Al de la carte SIM par la carte CA est ensuite effectuée.
Selon encore d'autres variantes, 1 ' authentification est seulement la première ou la deuxième authentification Al ou A2.
La première authentification Al assure à la carte additionnelle Cl que la clé "fille" KA de l'application sélectionnée AP a bien été déterminée par le réseau RR, c'est-à-dire par le serveur SO . La première authentification Al comprend des étapes Ail à A16. A la suite de l'étape E8 , la carte SIM transmet un message de demande de nombre aléatoire à la carte CA à l'étape Ail. La carte CA lit un nombre aléatoire NC dans sa mémoire non volatile 22, ou bien fournit ce nombre aléatoire NC grâce à un générateur pseudoaléatoire inclus dans le processeur 20, à l'étape A12. Le nombre aléatoire NC est transmis de la carte CA à la carte SIM qui le mémorise temporairement. En parallèle, à des étapes A13 et A14, la carte SIM applique un algorithme de première authentification AA1 à la clé d'application sélectionnée KA, qui était transmise par le serveur SO, et au nombre aléatoire reçu NC, afin de fournir une signature SS = AA1 (KA, NC) transmise à la carte CA ; la carte CA applique à l'algorithme d ' authentification AA1 le nombre aléatoire NC et la clé KA lue dans sa mémoire 22 pour fournir un résultat RC = AA1 (KA, NC) . La signature SS reçue par la carte CA est comparée au résultat RC à 1 ' étape A15. Si la signature SS est différente du résultat RC, l'application sélectionnée AP est refusée à l'étape A151 et le terminal TE affiche un message "Application sélectionnée refusée".
Si la signature SS est égale au résultat RC, la carte CA demande d'exécuter la deuxième authentification A2 à la carte SIM, en lui transmettant une demande d ' authentification à l'étape A21.
Puis, la deuxième authentification A2 présente des étapes A22 à A25 équivalentes aux étapes A12 a A15 dans la première authentification Al, comme si les cartes étaient interchangées .
A la suite de l'étape A21, la carte SIM sélectionne un nombre pseudo-aléatoire NS lu dans la mémoire non volatile 12, ou fourni par - un générateur pseudo-aléatoire inclus dans le processeur 10, à l'étape A22, et le transmet dans une commande à la carte additionnelle CA, qui le mémorise en mémoire RAM 23. Le processeur 20 de la carte additionnelle CA lit de nouveau la clé d'application sélectionnée KA dans la mémoire 22 pour l'appliquer avec le nombre aléatoire reçu NS à un algorithme de deuxième authentification AA2 à l'étape A23. Le processeur 20 produit une signature SC = AA1 (KA, NS) . En parallèle à l'étape A24, le processeur 10 de la carte SIM lit de nouveau la clé KA dans la mémoire 13 pour l'appliquer avec le nombre aléatoire NS fourni à l'algorithme de deuxième authentification AA2 afin de produire un résultat RS = AA2 (KA, NS) .
Puis à l'étape A25 dans la carte SIM, le résultat RS déterminé à l'étape A24 et la signature
SC transmise par la carte CA à l'étape A23 sont comparés. Si le résultat RS est différent de la signature SC, l'application sélectionnée est refusée et un message "Application sélectionnée refusée" est affiché dans le terminal à l'étape A251. Sinon, en réponse à l'authenticité de la carte additionnelle CA par la carte SIM signalée par RS == SC, une session de l'application pro-active sélectionnée est exécutée à 1 ' étape A252. Bien que les algorithmes d ' authentification AA1 et AA2 soient considérés ci-dessus comme différents, ils peuvent être en variante identiques.
Selon des variantes des première et deuxième réalisations, le procédé d ' authentification mutuelle montré à la figure 4 est remplacé par un procédé de détermination de clé de chiffrement d'unité de données montré à la figure 5.
Ce procédé comprend des étapes Ail à A14 analogues à celles de la première authentification dans la première authentification Al, et des étapes A22 à A24 analogues à celles dans la deuxième authentification A2. Toutefois, à l'étape Ail, la demande d ' authentification est remplacée par une demande de sécurisation afin que d'une part la carte CA transmette le nombre aléatoire NC à la carte SIM à l'étape A12, d'autre part la carte SIM transmette le nombre aléatoire NS à la carte CA à l'étape A22. Selon cette sécurisation d'unité de données, ni la signature SS de la carte SIM, ni la signature SC de la carte additionnelle CA ne sont échangées ; les nombres aléatoires NC et NS qui sont transmis d'une carte vers l'autre sont respectivement mémorisés aux étapes A13 et A23. Après les étapes de détermination de résultat et de signature A13 et A24 dans la carte SIM, et A14 et
A23 dans la carte CA, une clé de chiffrement KC est déterminée en appliquant les nombres aléatoires NC et
NS , la signature SS et le résultat RS à un algorithme de génération de clé de chiffrement AG à une étape A26 dans la carte SIM, et à une étape A27 dans la carte additionnelle CA.
La clé de chiffrement KC est utilisée à une étape A28 pour chiffrer une unité de données de protocole applicatif APDU à transmettre de l'une des cartes, par exemple la carte SIM, vers l'autre carte CA et à une étape A29 pour déchiffrer l'unité chiffrée APDUC dans ladite autre carte.
En pratique, la même clé de chiffrement peut être utilisée pour chiffrer-déchiffrer une première unité de données, telle qu'une commande de la carte SIM vers la carte CA, et une deuxième unité de données, telle qu'une réponse de la carte CA vers la carte SIM. Chaque fois qu'un couple de commande- réponse doit être échangé, une clé de chiffrement respective est ainsi déterminée.
En variante, la clé KC sert à signer chaque unité de données APDU à transmettre, ou bien sert à signer et à chiffrer chaque unité de données.
La clé de chiffrement/signature d'unité de données peut être utilisée plus longtemps que pour le chiffrement d'un couple commande/réponse, par exemple pour toute la durée d'une session. Par session, on entend la durée qui s'écoule entre le début de l'utilisation d'une application AID et la fin de son utilisation.
La deuxième réalisation du procédé de 1 ' invention est mise en œuvre lorsque le fournisseur des cartes additionnelles ne fait pas suffisamment confiance à l'opérateur du réseau radiotéléphonique RR pour lui confier sa clé mère KM. En réponse à la demande de clé d'application sélectionnée par la carte SIM, ce n'est pas le serveur SO de l'opérateur qui fournit la clé demandée KA mais un deuxième serveur SP appartenant au fournisseur de services émettant les cartes additionnelles.
Comme illustré à la figure 1, le serveur SP (Service Provider) est situé à l'extérieur du réseau radiotéléphonique RR et est par exemple relié au réseau téléphonique commuté RTC à travers un réseau à haut débit RHD tel que le réseau Internet . Comme on le verra dans la suite pour cette deuxième réalisation, mais également pour une troisième réalisation de l'invention, la carte SIM ne communique pas directement avec le serveur SP du fournisseur de services, mais à travers le serveur SO de l'opérateur. Le serveur SO est également relié au réseau à haut débit RHD et comporte une table d'adresses de serveurs de fournisseurs de cartes additionnelles de manière à faire correspondre à chaque numéro de série NS de cartes additionnelles, ou à un préfixe de ce numéro de série, c'est-à-dire à une catégorie de cartes additionnelles, une adresse ASP d'un serveur respectif SP.
Le serveur SO reçoit des messages courts transmis par le commutateur MSC auquel le terminal TE est rattaché momentanément, les interprète, comme on le verra ci-après, et les encapsule en des messages IP (Internet Protocol) pour les router vers le serveur SP à travers le réseau RHD. Suivant l'autre sens de transmission, le serveur SO récupère des messages de données IP contenant des clés d'application sélectionnée, transmis par le serveur SP et les désencapsule convenablement pour les transmettre, de préférence après déchiffrement et chiffrement, via les réseaux RA et RR vers le terminal TE contenant la carte SIM. Le procédé de sécurisation selon cette deuxième réalisation comprend, comme montré à la figure 6, les étapes E0 à E4 déjà décrites en référence à la figure 3, et après l'étape E4 , des étapes E9 à E15.
En réponse au message court contenant l'identité IMSI de la carte SIM, le numéro de série NS de la carte additionnelle CA et 1 ' identificateur AID de l'application sélectionnée AP transmis à l'étape E4, le serveur SO mémorise l'identité IMSI, 1 ' identificateur AID et le numéro de série NS et consulte une table de correspondance entre les numéros de série des cartes additionnelles et les adresses des serveurs de fournisseurs de ces cartes additionnelles, à l'étape E9. Si le numéro de série NS de la carte CA n'est pas retrouvé dans la table précédente, le serveur SO transmet un message de refus d'application sélectionné à la carte SIM, laquelle affiche le message "Application sélectionnée refusée" et rompt la communication avec le serveur SO, à l'étape E91. Si une adresse ASP de serveur SP est trouvée dans la table en correspondance avec le numéro de série reçu NS , le serveur SO établit un message IP contenant l'adresse de serveur de fournisseur ASP lue dans la table, l'adresse ASO du serveur SO, l'identificateur d'application sélectionnée AID et le numéro de série de carte NS , à l'étape E10.
En réponse à ce message IP, le serveur SP mémorise les données ASO, AID et NS, et applique à un algorithme de détermination de clé d'application AL l'identificateur d'application reçu AID, le numéro de série reçu NS et la clé mère correspondante KM pour la catégorie de cartes à laquelle appartient la carte additionnelle CA, à l'étape Eli. L'exécution de l'algorithme de clé diversifiée AL produit une clé "fille" KA. La clé KA est ensuite chiffrée en une clé chiffrée KACH qui est encapsulée dans un message IP pour être transmis en fonction de l'adresse ASO au serveur de messages courts SO, à travers le réseau RHD, à l'étape E12. La clé chiffrée KACH est déchiffrée en la clé KA qui est mémorisée dans le serveur SO à l'étape E13. Puis le serveur SO lit 1 ' identité IMSI de manière à retrouver le terminal TE par l'intermédiaire de l'enregistreur HLR, chiffre la clé reçue KA en une autre clé chiffrée KAC qui est encapsulée dans un message court transmis au terminal TE à l'étape E14.
Du message court reçu par la carte SIM est extrait la clé chiffrée KAC qui est déchiffrée en la clé initiale KA à l'étape E15. La clé KA est alors mémorisée dans la mémoire RAM 13 de la carte SIM afin de l'utiliser pour 1 ' authentification mutuelle des cartes SIM et CA selon l'algorithme montré à la figure 4, ou pour la détermination de clé de chiffrement d'unité de données selon l'algorithme montré à la figure 5.
Il est à noter que les clés chiffrées KAC et KACI sont différentes a priori, l'algorithme de chiffrement-déchiffrement entre le serveur SP et SO étant a priori différent de l'algorithme de chiffrement-déchiffrement entre le serveur SO et la carte SIM.
Dans la troisième réalisation du procédé de sécurisation de 1 ' invention, le fournisseur de cartes additionnelles fait encore moins confiance à l'opérateur du réseau radiotéléphonique RR et ne désire pas lui communiquer la clé KA associée à l'application sélectionnée AP . Le fournisseur ne communique à l'opérateur que des paires de couples de nombre aléatoire et de "clés de session". Les clés de session sont des signatures ou des résultats au sens des authentifications Al et A2 déjà décrites en référence à la figure 4 et sont mémorisées dans la carte SIM pour être utilisées au fur et à mesure des sessions de l'application sélectionnée AP .
La troisième réalisation de l'invention comprend les étapes E0 à E4 décrites en référence à la figure 3 et les étapes E9 à Eli décrites en référence à la figure 6, ainsi que des étapes El6 à E20 après l'étape Eli comme montré à la figure 7.
Après l'étape Eli, lorsque le serveur SP du fournisseur de carte additionnelle a fourni la clé fille KA de l'application sélectionnée AP en fonction de l'identificateur AID, du numéro de série NS et de la clé mère KM, le serveur SP recherche dans une table de listes de quadruplets, une liste correspondant à. la clé d'application KA, à l'étape E16. Cette liste comprend plusieurs ensembles de paramètres dépendant de la clé déterminée KA, tels que I quadruplets [NC1, SS1, NSI, RS1] à [NCI , SSI, NSI, RSI] respectivement pour I sessions SE1 à SEI de l'application sélectionnée . AP . Une session de l'application sélectionnée est l'exécution de l'application entre deux tâches exécutées par la carte SIM, par exemple après avoir mis en marche le terminal TE ou après avoir quitté une autre application. L'entier I peut être égal à quelques dizaines .
Comme pour la signature SS selon la première authentification Al, une signature SSi, avec 1 < i <
I, résulte de l'application de la clé KA et d'un nombre déterminé NCi au premier algorithme d' authentification AA1 , soit SSi = AA1 (KA, NCi). Le nombre NCi n'est pas aléatoire comme on le verra ci- après, mais est déterminé par l'application de la clé KA et d'un nombre entier respectif à une fonction f, le nombre entier étant incrémenté d'une unité au fur et à mesure de la création des quadruplets . Comme pour le résultat RS dans la deuxième authentification A2 , un résultat résulte de l'application de la clé KA et d'un nombre aléatoire NSi au deuxième algorithme d' authentification AA2 , soit RSi = AA2 (KA, NSi).
La liste des I quadruplets est ensuite encapsulée dans un message IP qui est transmis en fonction de l'adresse ASO depuis le serveur SP au serveur de messages courts SO à travers le réseau RHD. Le serveur SO désencapsule le message IP et mémorise la liste des I quadruplets. L'identité IMSI attachée à la carte SIM est lue dans le serveur SO afin de retrouver le terminal TE par l'intermédiaire de l'enregistreur HLR, à l'étape E17. La liste des quadruplets est ensuite encapsulée dans des messages courts transmis depuis le serveur SO vers la carte SIM à travers les réseaux RA et RR. Finalement, les I quadruplets sont extraits des messages courts reçus et mémorisés dans la mémoire non volatile 22 de la carte SIM afin de les utiliser pour les I prochaines sessions de l'application sélectionnée AP, qui commencent chacune par une authentification mutuelle des cartes SIM et CA, comme montré à la figure 8, ou par la détermination de clé de chiffrement d'unité de données selon l'algorithme à la figure 9.
Lorsque le stock des I quadruplets est épuisé après I sessions de l'application sélectionnée, c'est-à-dire lorsque les I quadruplets ont été utilisés chacun au plus une fois, comme indiqué à l'étape E19 dans la figure 7, le procédé revient à l'étape E19 à la suite d'une demande de liste de quadruplets par la carte SIM au serveur SP à travers le serveur SO à l'étape E20. Le serveur SP fournit alors une nouvelle liste de quadruplets.
Selon une première variante, pour chaque session, les cartes SIM et CA s'authentifient mutuellement, d'une manière analogue aux authentifications Al et A2 , comme montré à la figure 8. Dans cette figure, les première et deuxième authentifications sont désignées par les repères al et a2 , en raison des quelques différences qui apparaîtront ci-après. Préalablement à la première authentification al, il est supposé que la carte SIM a mémorisé au moins le quadruplet [NCi, SSi, NSi, RSi] normalement destiné à la session SEi qui est activée à une étape initiale alO . Comparativement à 1 ' authentification Al, la carte SIM méconnaît la clé d'application sélectionnée KA. La carte additionnelle CA ne peut générer aléatoirement le nombre NCi puisqu'il est impossible que la liste communiquée à la carte SIM contienne toutes les signatures correspondant à tous les nombres aléatoires . Aussi après la demande de nombre aléatoire à l'étape ail, la carte additionnelle CA incrémente d'une unité un compteur de numéro de session NSE inclus dans le processeur 20, à une étape alll. Le compteur a un compte maximum suffisamment élevé, par exemple correspondant à au moins quatre octets, afin que son compte puisse être incrémente d'une unité à chaque session pendant la durée de vie de la carte CA. La carte CA détermine alors le nombre NCi à 1 ' étape all2 en appliquant le nombre entier NSE et la clé d'application KA lue en mémoire 22 à la fonction f contenue dans la mémoire ROM 21. Le numéro déterminé NCi est alors transmis au "premier" contrôleur dans la carte SIM afin que celui-ci sélectionne l'ensemble de paramètres [NCi, SSi, NSi, RSi] dans la table des quadruplets reçue en fonction du nombre déterminé NCi transmis à 1 ' étape al3.
Bien qu'a priori le nombre NCi soit redondant avec le nombre NCi contenu dans le quadruplet correspondant, cet adressage de la table des quadruplets reçue par le nombre transmis NCi remédie par exemple à une phase d ' authentification qui s'est terminée de façon anormale, par exemple à cause d'une mise hors-tension du terminal radiotéléphonique TE au cours de cette phase. Ceci induit un décalage dans le numéro NSE de la session en cours SSi. Si la carte SIM constate que le numéro NCi a déjà été utilisé pour une authentification al depuis la réception de la dernière liste de quadruplets, elle redemande un autre nombre à l'étape ail, comme indiqué en pointillé entre les étapes al3 et ail dans la figure 8 ; la carte SIM marque les quadruplets inutilisés correspondant aux nombres NCi qui ont été sautés entre les nombres NCi trouvés correspondant à deux sessions successives.
A l'étape al3, la première authentification al de la carte SIM dans la carte CA consiste à communiquer la signature SSi de la carte SIM à la carte CA, et à effectuer des étapes al4, al5 et al51 comme les étapes A14, A15 et A151 pour calculer le résultat RCi de l'application du nombre déterminé NCi et de la clé KA au premier algorithme AA1 et comparer le résultat RCi à la signature SSi de l'ensemble sélectionné.
De même, la deuxième authentification a2 de la carte CA dans la carte SIM commence par une demande par la carte CA à l'étape a21 et une communication du nombre aléatoire NSi de l'ensemble sélectionné, de la carte SIM à la carte CA, à l'étape a22. Puis des étapes a23 et a25, a251 et a252 analogues aux étapes A22, A23, A25, A251 et A252 sont exécutées pour déterminer une signature SCi résultant de l'application du nombre aléatoire communiqué NSi et de la clé KA au deuxième algorithme AA2 dans la carte CA, puis pour comparer le résultat RSi de l'ensemble sélectionné à la signature SCi communiquée par la carte CA à la carte SIM.
Après l'étape al5 ou l'étape a25, lorsque la comparaison correspondante est négative, la session de l'application sélectionnée est refusée (étape al51 ou a251) . Par contre, après l'étape a25, lorsque le résultat RSi est égal à la signature SCi, la session SEi de l'application sélectionnée est commencée (étape a252) . Selon une deuxième variante montrée à la figure 9, par analogie avec la figure 5, les cartes SIM et CA ne se communiquent pas mutuellement les signatures SSi et SCi et ne se communiquent que les nombres NCi et NSi, et les étapes de comparaison al5 et a25 de la figure 8 sont supprimées pour la détermination d'une clé de chiffrement, par exemple lorsque la carte SIM souhaite transmettre une unité APDU à l'étape alO . Après l'étape alO, la clé de chiffrement résulte des étapes suivantes : incrémenter à l'étape alll un nombre entier NSE d'une unité pour déterminer avec la clé d'application KA un nombre NCi à l'étape all2, transmettre à 1 ' étape al2 le nombre déterminé NCi au "premier" contrôleur de la carte SIM pour sélectionner à l'étape al3 l'ensemble de paramètres NCi, SSi, NSi et RSi contenant le nombre déterminé dans la carte SIM, déterminer à l'étape al4 le résultat RCi de l'ensemble de paramètres sélectionné en fonction de l'application dudit nombre déterminé NCi et de la clé KA au premier algorithme AA1 dans le "deuxième" contrôleur de la carte additionnelle CA, communiquer à l'étape a22 le nombre aléatoire NSi de l'ensemble de paramètres sélectionné à la carte CA, déterminer à l'étape a23 la signature SCi de l'ensemble de paramètres sélectionné en appliquant le nombre aléatoire communiqué NSi et la clé KA au deuxième algorithme AA2 dans la carte CA, et déterminer aux étapes a26 et a27 une clé de chiffrement KC en fonction de l'ensemble de paramètres sélectionné dans la carte SIM et la carte CA, de manière à chiffrer et/ou signer une unité de données APDU avec la clé de chiffrement KC à transmettre de l'une vers l'autre des cartes.
Bien que l'invention a été décrite ci-dessus relativement à la sécurisation d'échange de données entre les contrôleurs de deux cartes à puce SIM et CA, l'invention s'applique de manière générale à la sécurisation entre un premier contrôleur quelconque et un deuxième contrôleur quelconque devant communiquer entre eux, le terme contrôleur recouvrant un moyen ou unité de traitement de données, tel qu'un microprocesseur, ou bien plus complètement une entité, telle qu ' un - terminal , un serveur, etc. Par exemple, le premier contrôleur peut être un terminal point de vente et le deuxième contrôleur une carte de crédit, le réseau de télécommunications auquel est relié le terminal étant alors le réseau téléphonique commuté. Selon un autre exemple, les premier et deuxième contrôleurs sont ceux d'un terminal radiotéléphonique bimode .

Claims

REVENDICATIONS
1 - Procédé pour sécuriser des échanges de données entre des premier et deuxième contrôleurs (SIM, CA) , le premier contrôleur (SIM) gérant des communications vers un réseau de télécommunications
(RR) pour des applications implémentées dans le deuxième contrôleur, le deuxième contrôleur contenant un identificateur de contrôleur (NS) et des clés (KA) des applications déduites d'une clé mère (KM), caractérisé par les étapes suivantes pour chaque application sélectionnée (AP) dans le deuxième contrôleur (CA) : transmettre (E3, E4) l'identificateur (NS) du deuxième contrôleur (CA) et un identificateur (AID) de l'application sélectionnée (AP) depuis le deuxième contrôleur (CA) vers un moyen de sécurisation distant (SO ; SO, SP) à travers le premier contrôleur (SIM) , faire correspondre (E5, E9) à l'identificateur de deuxième contrôleur (NS) une clé mère (KM) dans le moyen de sécurisation, déterminer (E6, Eli) la clé (KA) de l'application sélectionnée en fonction de l'identificateur d'application sélectionnée transmis (AID) , la clé mère correspondante (KM) et de l'identificateur de deuxième contrôleur (NS) dans le moyen de sécurisation, transmettre (E7, E8 ; E12-E15) au moins un paramètre (KA ; SSi, RSi) dépendant de la clé d'application déterminée (KA) depuis le moyen de sécurisation distant au premier contrôleur (SIM) , et utiliser (A11-A25 ,- al0-a29) le paramètre dans au moins le premier contrôleur (SIM) pour sécuriser au moins un échange de données relatif à l'application sélectionnée entre les premier et deuxième contrôleurs .
2 - Procédé conforme à la revendication 1, selon lequel ledit paramètre est la clé d'application déterminée elle-même (KA) qui est transmise (E7-E8 ; E12-E15) sous forme chiffrée (KACI, KAC) depuis le moyen de sécurisation distant (SO ; SO, SP) vers le premier contrôleur (SIM) .
3 - Procédé conforme à la revendication 1 ou 2, selon lequel le moyen de sécurisation distant est un serveur (SO) dans ledit réseau de télécommunications (RR) et contient une table (E5) pour faire correspondre des ensembles d'identificateurs de deuxième contrôleur (NS) à des clés mères (KM) .
4 - Procédé conforme à la revendication 1 ou 2, selon lequel le moyen de sécurisation distant comprend un premier serveur (SO) inclus dans le réseau de télécommunications (RR) et contenant une table (E9) pour faire correspondre des ensembles d'identificateurs de deuxième contrôleur (NS) à des adresses (ASP) de deuxièmes serveurs, et des deuxièmes serveurs (SP) reliés au premier serveur (SO) et associés respectivement à des ensembles d'identificateurs (NS) de deuxième contrôleur correspondant à des clés mères, et selon lequel le deuxième serveur (SP) est adressé par le premier serveur (SO) en réponse à l'identificateur (NS) du deuxième contrôleur transmis, détermine (Eli) la clé (KA) de l'application sélectionnée et transmet (E12) au moins ledit paramètre (KA) au premier contrôleur (CA) à travers le premier serveur (SO) . 5 - Procédé conforme à la revendication 3 ou , selon lequel ledit paramètre est -la clé d'application déterminée elle-même (KA) et est utilisé dans le premier contrôleur (SIM) pour participer à une authentification (Al) de l'un des premier et deuxième contrôleurs par l'autre contrôleur, puis à une authentification (A2) de l'autre contrôleur par ledit contrôleur en réponse à l'authenticité dudit un contrôleur, avant d'exécuter une session de l'application sélectionnée seulement en réponse à l'authenticité dudit autre contrôleur.
6 - Procédé conforme à la revendication 3 ou 4, selon lequel ledit paramètre est la clé déterminée elle-même (KA) de l'application sélectionnée (AP) et est utilisé dans le premier contrôleur (SIM) pour déterminer (A26) une clé de chiffrement (KC) en dépendance d'un premier nombre aléatoire (NC) fourni
(A12) par le deuxième contrôleur (CA) au premier contrôleur (SIM) et d'un deuxième nombre aléatoire (NS) , lequel est fourni (A22) par le premier contrôleur (SIM) au deuxième contrôleur (CA) pour déterminer (A27) la clé de chiffrement dans le deuxième contrôleur, de manière à chiffrer et/ou signer (A28, A29) une unité de données (APDU) avec la clé de chiffrement (KC) à transmettre de l'un vers 1 ' autre des contrôleurs .
7 - Procédé conforme à la revendication 4, selon lequel plusieurs ensembles de paramètres (NCi, SSi,
NSi, RSi) dépendant de la clé déterminée (KA) et ne comprenant pas celle-ci sont transmis par le deuxième serveur (SP) au premier contrôleur (SIM) , et chaque ensemble de paramètres comprend un nombre (NCi) qui est déterminé en fonction de la clé déterminée (KA) et d'un nombre entier respectif (NSE), une signature (SSi) résultant de l'application de la clé déterminée (KA) et du nombre déterminé (NCi) à un premier algorithme (AA1) , un nombre aléatoire (NSi) , et un résultat (RSi) résultant de l'application de la clé déterminée (KA) et du nombre aléatoire à un deuxième algorithme (AA2) .
8 - Procédé conforme à la revendication 7, comprenant, avant l'exécution de chaque session de l'application sélectionnée (AP) dans le deuxième contrôleur (CA) , les étapes suivantes : incré enter (alll) un nombre entier (NSE) d'une unité modulo le nombre d'ensembles de paramètres pour déterminer (a!12) avec la clé d'application (KA) un nombre (NCi) , transmettre (al2) ledit nombre déterminé (NCi) au premier contrôleur (SIM) pour sélectionner (al3) l'ensemble de paramètres (NCi, SSi, NSi, RSi) contenant ledit nombre déterminé dans le premier contrôleur (SIM) , authentifier (al) le premier contrôleur (SIM) dans le deuxième contrôleur (CA) en comparant la signature (SSi) de l'ensemble sélectionné et un résultat (RCi) de l'application dudit nombre déterminé (NCi) et de la clé (KA) au premier algorithme (AA1) , communiquer (a22) le nombre aléatoire (NSi) de 1 ' ensemble sélectionné au deuxième contrôleur (CA) , et authentifier (a2) le deuxième contrôleur (CA) dans le premier contrôleur (SIM) en comparant (a25) le résultat (RSi) de l'ensemble sélectionné et une signature (SCi) résultant (a23) de l'application du nombre aléatoire communiqué (NSi) et de la clé (KA) au deuxième algorithme (AA2) dans le deuxième contrôleur (CA) .
9 - Procédé conforme à la revendication 7, selon lequel incrémenter (alll) un nombre entier (NSE) d'une unité pour déterminer (all2) avec la clé d'application (KA) un nombre (NCi), transmettre (al2) ledit nombre déterminé (NCi) au premier contrôleur (SIM) pour sélectionner (al3) l'ensemble de paramètres (NCi, SSi, NSi, RSi) contenant ledit nombre déterminé dans le premier contrôleur (SIM) , déterminer (al4) le résultat (RCi) de l'ensemble de paramètres sélectionnés en fonction de l'application dudit nombre déterminé (NCi) et de la clé (KA) au premier algorithme (AA1) dans le deuxième contrôleur (CA) , communiquer (a22) le nombre aléatoire (NSi) de l'ensemble de paramètres sélectionné au deuxième contrôleur (CA) , déterminer (a23) la signature (SCi) de l'ensemble de paramètres sélectionné en appliquant le nombre aléatoire communiqué (NSi) et la clé (KA) au deuxième algorithme (AA2) dans le deuxième contrôleur
(CA) , et déterminer (a26, a27) une clé de chiffrement (KCi) en fonction dudit ensemble de paramètres sélectionné dans les premier et deuxième contrôleurs (SIM, CA) , de manière à chiffrer et/ou signer une unité de données (APDU) avec la clé de chiffrement (KC) à transmettre de l'un vers l'autre des contrôleurs . 10 - Procédé conforme à l'une quelconque des revendications 1 à 9, selon lequel le premier contrôleur est celui d'une carte d'identité (SIM) dans un terminal radiotéléphonique mobile (TE) et le deuxième contrôleur est celui d'une carte additionnelle (CA) pouvant être introduite dans un lecteur (LE) du terminal.
PCT/FR2001/001621 2000-05-26 2001-05-25 Securisation d'echanges de donnees entre des controleurs WO2001093215A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
AU2001264025A AU2001264025A1 (en) 2000-05-26 2001-05-25 Making secure data exchanges between controllers
EP01938340A EP1290646A1 (fr) 2000-05-26 2001-05-25 Securisation d'echanges de donnees entre des controleurs

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0006880A FR2809555B1 (fr) 2000-05-26 2000-05-26 Securisation d'echanges de donnees entre des controleurs
FR00/06880 2000-05-26

Publications (1)

Publication Number Publication Date
WO2001093215A1 true WO2001093215A1 (fr) 2001-12-06

Family

ID=8850755

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2001/001621 WO2001093215A1 (fr) 2000-05-26 2001-05-25 Securisation d'echanges de donnees entre des controleurs

Country Status (6)

Country Link
US (1) US20030119482A1 (fr)
EP (1) EP1290646A1 (fr)
CN (1) CN1185586C (fr)
AU (1) AU2001264025A1 (fr)
FR (1) FR2809555B1 (fr)
WO (1) WO2001093215A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100407129C (zh) * 2001-12-25 2008-07-30 株式会社Ntt都科摩 通信设备和限制内容访问与存储的方法

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2825555B1 (fr) * 2001-05-30 2004-03-12 Nilcom Systeme de messages courts, notamment de messages prepayes
US7551913B1 (en) 2001-12-05 2009-06-23 At&T Mobility Ii Llc Methods and apparatus for anonymous user identification and content personalization in wireless communication
US8060139B2 (en) 2002-06-24 2011-11-15 Toshiba American Research Inc. (Tari) Authenticating multiple devices simultaneously over a wireless link using a single subscriber identity module
US20090015379A1 (en) * 2004-05-19 2009-01-15 Einar Rosenberg Apparatus and method for context-based wireless information processing
US8676249B2 (en) * 2003-05-19 2014-03-18 Tahnk Wireless Co., Llc Apparatus and method for increased security of wireless transactions
WO2004105359A2 (fr) * 2003-05-19 2004-12-02 Einar Rosenberg Dispositif et procede permettant d'obtenir une securite accrue au cours de transactions par voie hertzienne
FR2856229B1 (fr) * 2003-06-11 2005-09-16 Ercom Engineering Reseaux Comm Systeme permettant de securiser des donnees transmises au moyen de telephones mobiles programmables via un reseau de telephonie mobile, notamment de type gsm
CN1879071B (zh) * 2003-11-07 2010-06-09 意大利电信股份公司 用于认证数据处理系统的用户的方法和系统
FR2863425B1 (fr) * 2003-12-04 2006-02-10 Gemplus Card Int Procede et systeme de configuration automatique d'appareil dans un reseau de communication
US7907935B2 (en) * 2003-12-22 2011-03-15 Activcard Ireland, Limited Intelligent remote device
US7613480B2 (en) * 2003-12-31 2009-11-03 At&T Mobility Ii Llc Multiple subscription subscriber identity module (SIM) card
ATE413077T1 (de) * 2004-06-25 2008-11-15 Telecom Italia Spa Verfahren und system zum schutz von während der kommunikation zwischen benutzern ausgetauschten informationen
TWI280770B (en) * 2004-07-09 2007-05-01 Inventec Appliances Corp System against illegal use of mobile phone
US20060099991A1 (en) * 2004-11-10 2006-05-11 Intel Corporation Method and apparatus for detecting and protecting a credential card
JP4709556B2 (ja) * 2005-01-13 2011-06-22 株式会社東芝 端末機器に装着される電子装置及び通信システム
KR101207467B1 (ko) * 2005-12-16 2012-12-03 삼성전자주식회사 이동 통신 시스템에서 세션 정보 관리 방법 및 시스템과 그장치
CN101102190A (zh) * 2006-07-04 2008-01-09 华为技术有限公司 生成本地接口密钥的方法
WO2008042302A2 (fr) * 2006-09-29 2008-04-10 Narian Technologies Corp. Dispositif et procédé utilisant des communications en champ proche
US8254573B2 (en) * 2007-03-30 2012-08-28 Tektronix, Inc. System and method for ciphering key forwarding and RRC packet deciphering in a UMTS monitoring system
HU230695B1 (hu) * 2007-10-20 2017-09-28 Andrá Vilmos Eljárás egyedi hozzáférésű információtartalom kommunikációs eszköz biztonságos tároló részegységében történő elhelyezésének előkészítésére, valamint elhelyezésére
CN101459512B (zh) * 2007-12-11 2010-11-10 结行信息技术(上海)有限公司 通过不受信任通讯渠道对智能卡安装/初始化应用的方法
US9189256B2 (en) * 2008-11-20 2015-11-17 Nokia Technologies Oy Method and apparatus for utilizing user identity
US8447699B2 (en) * 2009-10-13 2013-05-21 Qualcomm Incorporated Global secure service provider directory
WO2011085314A1 (fr) * 2010-01-08 2011-07-14 Gallagher Kevin N Présentoir d'addition pour le client comportant un dispositif de communication sans fil
EP2458808A1 (fr) * 2010-11-30 2012-05-30 Gemalto SA Procédé d'accès à un élément sécurisé et élément et système sécurisés correspondants
US9064253B2 (en) * 2011-12-01 2015-06-23 Broadcom Corporation Systems and methods for providing NFC secure application support in battery on and battery off modes
FR2999748A1 (fr) * 2012-12-14 2014-06-20 France Telecom Procede de securisation d'une demande d'execution d'une premiere application par une deuxieme application

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2719925A1 (fr) * 1994-05-10 1995-11-17 Bull Cp8 Procédé pour produire une clé commune dans deux dispositifs en vue de mettre en Óoeuvre une procédure cryptographique commune, et appareil associé.
FR2771528A1 (fr) * 1997-11-25 1999-05-28 Gemplus Card Int Procede de gestion des donnees dans une carte a puce

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9104909D0 (en) * 1991-03-08 1991-04-24 Int Computers Ltd Access control in a distributed computer system
US5369705A (en) * 1992-06-03 1994-11-29 International Business Machines Corporation Multi-party secure session/conference
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
US6069957A (en) * 1997-03-07 2000-05-30 Lucent Technologies Inc. Method and apparatus for providing hierarchical key system in restricted-access television system
US6418472B1 (en) * 1999-01-19 2002-07-09 Intel Corporation System and method for using internet based caller ID for controlling access to an object stored in a computer
US6952770B1 (en) * 2000-03-14 2005-10-04 Intel Corporation Method and apparatus for hardware platform identification with privacy protection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2719925A1 (fr) * 1994-05-10 1995-11-17 Bull Cp8 Procédé pour produire une clé commune dans deux dispositifs en vue de mettre en Óoeuvre une procédure cryptographique commune, et appareil associé.
FR2771528A1 (fr) * 1997-11-25 1999-05-28 Gemplus Card Int Procede de gestion des donnees dans une carte a puce

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100407129C (zh) * 2001-12-25 2008-07-30 株式会社Ntt都科摩 通信设备和限制内容访问与存储的方法

Also Published As

Publication number Publication date
AU2001264025A1 (en) 2001-12-11
CN1185586C (zh) 2005-01-19
US20030119482A1 (en) 2003-06-26
CN1444755A (zh) 2003-09-24
FR2809555B1 (fr) 2002-07-12
FR2809555A1 (fr) 2001-11-30
EP1290646A1 (fr) 2003-03-12

Similar Documents

Publication Publication Date Title
WO2001093215A1 (fr) Securisation d&#39;echanges de donnees entre des controleurs
EP1190399B1 (fr) Procede de pre-controle d&#39;un programme contenu dans une carte a puce additionnelle d&#39;un terminal
EP1757130B1 (fr) Deverrouillage securise d&#39;un terminal mobile
EP1547426B1 (fr) Identification d un terminal aupres d un serveur
EP1179271B1 (fr) Terminal radiotelephonique avec une carte a puce dotee d&#39;un navigateur
EP1371207B1 (fr) Dispositif portable pour securiser le trafic de paquets dans une plate-forme hote
EP1909462B1 (fr) Procédé de mise à disposition cloisonnée d&#39;un service électronique
CA2566186A1 (fr) Transfert de donnees entre deux cartes a puce
EP1157575B1 (fr) Authentification dans un reseau de radiotelephonie
EP2047697B1 (fr) Personnalisation d&#39;un terminal de radiocommunication comprenant une carte sim
FR2820848A1 (fr) Gestion dynamique de listes de droits d&#39;acces dans un objet electronique portable
EP1190398B1 (fr) Preparation et execution d&#39;un programme dans une carte a puce additionnelle d&#39;un terminal
WO2007066039A2 (fr) Recouvrement de cles de dechiffrement perimees
EP1400090B1 (fr) Procede et dispositif de securisation des communications dans un reseau informatique
WO2001093528A2 (fr) Procede de communication securisee entre un reseau et une carte a puce d&#39;un terminal
EP3021273A1 (fr) Procédé de sécurisation d&#39;une transaction entre un terminal mobile et un serveur d&#39;un fournisseur de service par l&#39;intermédiaire d&#39;une plateforme
WO2003079714A1 (fr) Procede d&#39;echange d&#39;informations d&#39;authentification entre une entite de communciation et un serveur-operateur
WO2004114229A1 (fr) Methode d´allocation de ressources securisees dans un module de securite
EP1321005B1 (fr) Procede d&#39;implantation d&#39;informations sur un identifiant
EP1413158A1 (fr) Procede d&#39;acces a un service specifique propose par un operateur virtuel et carte a puce d&#39;un dispositif correspondant
WO2001099449A1 (fr) Filtrage d&#39;unites de donnees dans une carte d&#39;identite d&#39;un terminal avec lecteur de carte a puce additionnelle
WO2003061312A1 (fr) Procede de transmission de donnees entre un terminal d&#39;un reseau de telecommunication et un equipement de ce reseau
EP1808831A1 (fr) Préparation et exécution d&#39;un programme dans une carte à puce additionnelle d&#39;un terminal
FR2872978A1 (fr) Procede d&#39;authentification securise sur un reseau sans fil conforme a la norme 802.11, systeme et dispositif pour la mise en oeuvre du procede
WO2003003655A1 (fr) Procede de communication radiofrequence securisee

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2001938340

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 10296547

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 018133568

Country of ref document: CN

WWP Wipo information: published in national office

Ref document number: 2001938340

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Ref document number: 2001938340

Country of ref document: EP