WO2005006646A1 - Méthode de sécurisation d'un certificat électronique - Google Patents
Méthode de sécurisation d'un certificat électronique Download PDFInfo
- Publication number
- WO2005006646A1 WO2005006646A1 PCT/IB2004/051129 IB2004051129W WO2005006646A1 WO 2005006646 A1 WO2005006646 A1 WO 2005006646A1 IB 2004051129 W IB2004051129 W IB 2004051129W WO 2005006646 A1 WO2005006646 A1 WO 2005006646A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- certificate
- authority
- hid
- holder
- identifier
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007420 reactivation Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Definitions
- a verification phase is activated when the certificate holder operates his user unit by using the certificate together with a predetermined service from a service provider. It includes the following steps:
- the user-specific network identifier consists of data that uniquely identifies the unit to a telecommunications network. This network serving to successively access the authority and the service provider, this identifier not being transmitted as such by the user unit but determined autonomously by either the authority or the provider on the basis of the material parameters of the communication. According to the method of the invention, it is a matter of matching the certificate with the equipment of the user unit or more precisely with the unit that uses online services in order to avoid the abusive copy of the certificate from the memory of one unit to that of another.
- each computer transmits a number which uniquely defines it on the network.
- This number called a Media Access Control (MAC) address
- MAC Media Access Control
- identifying a user's hardware configuration is determined automatically by the service provider's server.
- the certificate of a user unit connected to this server can thus be 'customized' using this address.
- This address is therefore not communicated as a parameter by the user unit but results from its ability to communicate over a network.
- This address can not be modified (at least easily) by the certificate holder or by a third party having copied this certificate.
- IMEI International Mobile Equipment Identity
- a pay-TV decoder with a return channel can be identified by an operator by its unique number characterizing its hardware or by the telephone number used by the modem of the return channel.
- any device connected to a network has an address or a number specific to its hardware configuration allowing its identification by a server or other devices with which it communicates.
- the user unit is directly connected to a server managed by the authority responsible, on the one hand, to receive data relating to the certificate or the certificate in full, and on the other hand to determine a network identifier for the user unit.
- the authority stores this identifier in a database by linking it with the certificate concerned.
- This initialization is preferably done once with a given certificate in order to avoid multiple registrations of network identifiers from multiple units for the same certificate.
- This procedure is preferably related to the installation of the certificate in the user's device.
- This procedure includes a call to the authority to establish and add to the certificate data, the network identifier of this device. It is possible to make this connection mandatory, for example during this dialogue between the authority and the user device, the authority transmits an instruction which validates the certificate and authorizes it to use.
- a code or password can be used during the connection of the user to the server of the authority.
- This code serves to somehow allow the link between the network identifier and a certificate from the issuing authority. It is preferably transmitted to the user by a separate path from that of the certificate to maintain its confidentiality.
- this password or PIN code can be sent to the user by post as is practiced for bank cards. After registering the network identifier with the certificate, the password can be made unusable to avoid multiple registration of the same certificate for different units.
- FIG. 1 shows a block diagram illustrating the initialization phase of a certificate on a user unit
- FIG. 2 shows a block diagram illustrating the verification phase of a certificate on a user unit
- the Authority Management Center consists of a certificate issuing center (CI) responsible for producing and managing certificates and a Verification Center (VE) linked to a database (BD) containing certificates (C) accompanied by proprietary information (HID) to units operated by certificate holders (C).
- CI certificate issuing center
- VE Verification Center
- BD database
- C certificates
- HID proprietary information
- the services using the certificates consist, for example, of a secure connection for electronic commerce, privileged access to programs or protected data.
- This initialization step can be done with several devices that may contain the certificate of the user if for example this certificate is on a removable medium such as a smart card. All HID network credentials will be associated with this certificate by entering the password. In order to simplify the procedure at the user level, it is not necessary or useful that the HID identifier is known to the user. The registration of this parameter with the certificate C is thus done automatically after the introduction of a valid PIN code.
- the certificate C is thus activated and usable as long as the user keeps it on the device whose HID identifier has been registered. A transfer of this certificate C on another computer is possible, but it becomes unusable because the MAC address of the second computer is not recorded in the database BD AU authority. It can be seen that the certificate is linked to a particular computer which is different from the others, in this example, by its MAC address.
- FIG. 2 illustrates the phase of use of such a certificate.
- the user accesses a service managed by an SP service provider.
- the latter reads the certificate sent by the user and determines an HID identifier for defining the device of the PC user on the network used to access the SP provider.
- the identifier is the MAC address of the certificate holder's PC.
- the service provider SP determines the MAC address of the PC computer connected to it and then transmits this address to the verification center VE with the certificate C.
- the verification center can compare the data transmitted by the provider SP with that stored in the database BD. The result of the comparison will be transmitted to the SP provider which allows the use of the service only if the current MAC address of the computer requesting a service matches that associated with the certificate C in the database BD.
- a certificate (C) may be registered with multiple IP addresses belonging to computers managed by the same holder.
- the certificate may be stored in the authority database with links pointing to the different addresses with which it has been activated.
- a certificate, registered with the authority according to the method of the invention, can also be deactivated. Indeed, it is desirable to allow a holder to be able to update the authority's database when he changes his unit or wishes to cancel his certificate. Since the authority does not have direct control over the peculiarities of the users' computers, the changes are made in a manner similar to the activation of a new certificate during the initialization phase.
- the holder Upon request, the holder receives a new PIN or password to reactivate a predefined certificate on a new computer and / or disable it. In the case of reactivation, when the holder accesses the authority, the latter determines the new MAC address to transmit it to the database in order to associate this new address with the certificate.
- the identification of the certificate holder is done by determining the HID network identifier.
- the holder passes the certificate to the verification center and determines the HID network identifier.
- the comparison with the data contained in the database BD makes it possible to authenticate the user and to authorize him to introduce modifications of his profile.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Credit Cards Or The Like (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Le but de la présente invention est d'empêcher l'utilisation d'un certificat électronique par d'autres personnes que le titulaire et d'éviter tous dommages au titulaire en cas de vol ou de copie d'un certificat. Ce but est atteint par une méthode de sécurisation et de vérification d'un certificat électronique (C) délivré par une autorité (AU) à un titulaire, ledit certificat (C) étant stocké dans une mémoire d'une unité utilisateur (PC) exploitée par le titulaire, ladite unité utilisateur (PC) transmet tout ou partie des données du certificat (C) à l'autorité (AU), caractérisée en ce que, lors d'une phase d'initialisation, ladite méthode comprend les étapes suivantes: - détermination par l'autorité (AU) d'un identifiant réseau (HID) propre à l'unité utilisateur (PC), - mémorisation par l'autorité (AU) dudit identifiant (HID) en liaison avec les données du certificat (C).
Description
transmet tout ou partie des données du certificat à l'autorité, caractérisée en ce que, lors d'une phase d'initialisation, ladite méthode comprend les étapes suivantes:
[10] • détermination par l'autorité d'un identifiant réseau propre à l'unité utilisateur,
[11] • mémorisation par l'autorité dudit identifiant en liaison avec les données du certificat.
[12] Ces étapes concernent essentiellement la phase d'initialisation. Lors de l'exploitation, une phase de vérification est activée lorsque le titulaire du certificat exploite son unité utilisateur en se servant du certificat conjointement à un service prédéterminé provenant d'un fournisseur de services. Elle comprend les étapes suivantes:
[13] • identification du titulaire par la transmission du certificat au fournisseur de services,
[14] • détermination d'un identifiant réseau propre à l'unité utilisateur par le fournisseur de services,
[15] • transmission de l'ensemble formé par le certificat et l'identifiant de réseau à l'autorité,
[16] • vérification dudit ensemble par comparaison avec les informations enregistrées dans la base de donnée lors de la phase d'initialisation,
[17] • transmission du résultat de la comparaison au fournisseur de service qui autorise le service préalablement requis à l'utilisateur connecté en fonction dudit résultat.
[18] L'identifiant réseau propre à l'unité utilisateur consiste en des données servant à identifier de manière unique l'unité auprès d'un réseau de télécommunication. Ce réseau servant à accéder successivement l'autorité et le fournisseur de services, cet identifiant n'étant pas transmis en tant que tel par l'unité d'utilisateur mais déterminé d'une manière autonome par soit l'autorité, soit le fournisseur sur la base des paramètres matériels de la communication. Selon la méthode de l'invention, il s'agit d'apparier le certificat avec le matériel de l'unité d'utilisateur ou plus précisément avec l'unité qui utilise des services en ligne dans le but d'éviter la copie abusive du certificat de la mémoire d'une unité vers celle d'une autre.
[19] Dans le cas de la connexion à Internet, chaque ordinateur transmet un numéro le définissant de manière unique sur le réseau. Ce numéro, appelé adresse MAC (Media Access Control), identifiant la configuration du matériel d'un utilisateur est déterminé automatiquement par le serveur du fournisseur de services. Le certificat d'une unité utilisateur connectée à ce serveur peut être ainsi 'personnalisé' à l'aide de cette adresse. Cette adresse n'est donc pas communiquée comme un paramètre par l'unité d'utilisateur mais résulte de sa capacité à communiquer sur un réseau. Cette adresse ne peut être modifiée (au moins facilement) par le titulaire du certificat ou par un tiers ayant copié ce certificat.
[20] Dans le cadre de la téléphonie mobile GSM, le numéro unique identifiant chaque téléphone portable, appelé IMEI (International Mobile Equipment Identity), connecté
au réseau peut être utilisé comme identificateur de l'unité utilisée.
[21] De manière similaire, un décodeur de télévision à péage disposant d'une voie de retour peut être identifié par un opérateur par son numéro unique caractérisant son matériel ou par le numéro de téléphone utilisé par le modem de la voie de retour.
[22] En général, tout appareil connecté à un réseau possède une adresse ou un numéro spécifique à sa configuration matérielle permettant son identification par un serveur ou par les autres appareils avec lesquels il communique.
[23] Durant la phase d'initialisation, l'unité utilisateur est connectée directement à un serveur géré par l'autorité chargé d'une part de recevoir des données relatives au certificat ou le certificat en entier et d'autre part de déterminer un identifiant réseau concernant l'unité utilisateur. L'autorité enregistre dans une base de données cet identifiant en le reliant avec le certificat concerné.
[24] Cette initialisation s'effectue de préférence une seule fois avec un certificat donné afin d'éviter des enregistrements multiples d'identifiants réseau en provenance de plusieurs unités pour un même certificat.
[25] Il est aussi possible de limiter l'initialisation dans le temps en fixant une période maximale pendant laquelle il est possible d'enregistrer un certificat auprès de l'autorité, par exemple à partir de la transmission du certificat à l'utilisateur.
[26] Cette procédure est de préférence liée à l'installation du certificat dans l'appareil de l'utilisateur. Cette procédure inclut un appel à l'autorité pour établir et ajouter aux données du certificat, l'identifiant de réseau de cet appareil. Il est possible de rendre cette connexion obligatoire, par exemple lors de ce dialogue entre l'autorité et l'appareil utilisateur, l'autorité transmet une instruction qui valide le certificat et l'autorise à l'utilisation.
[27] Selon une variante de la méthode de l'invention, un code ou mot de passe peut être utilisé lors de la connexion de l'utilisateur au serveur de l'autorité. Ce code sert en quelque sorte à autoriser le lien entre l'identifiant de réseau et un certificat auprès de l'autorité émettrice du certificat. Il est de préférence transmis à l'utilisateur par une voie distincte de celle du certificat afin de conserver sa confidentialité. Par exemple, ce mot de passe ou PIN code peut être envoyé à l'utilisateur par voie postale comme cela se pratique pour les cartes bancaires. Après l'enregistrement de l'identifiant réseau avec le certificat, le mot de passe peut être rendu inutilisable afin d'éviter l'enregistrement multiple d'un même certificat pour des unités différentes.
[28] Dans cette variante, une durée de validité du code peut être fixée de manière analogue à la variante précédente afin de permettre un enregistrement dans une période limitée. En cas de dépassement de cette période, il serait nécessaire de requérir un nouveau code auprès de l'autorité moyennant d'éventuels frais supplémentaires.
[29] Selon une autre variante de la méthode selon l'invention, plusieurs unités appartenant à un utilisateur commun et ayant chacune un identifiant réseau différent peuvent être enregistrées en association avec un même certificat. Ceci pourrait se
présente lords de l'utilisation d'un certificat sur un support amovible telle qu'une carte à puce. L'utilisation du certificat est alors limitée pour le groupe d'unités dont l'identifiant est dûment enregistré dans la base de données de l'autorité. Ce type d'enregistrement pourrait s'effectuer non seulement avec un mot de passe unique mais avec une liste de mot de passe, différent pour chaque unité.
[30] L'invention sera mieux comprise grâce à la description détaillée qui va suivre et qui se réfère aux figures annexées, illustrant la méthode selon l'invention, données à titre d'exemple nullement limitatif.
[31] - La figure 1 représente un schéma bloc illustrant la phase d'initialisation d'un certificat sur une unité utilisateur
[32] - La figure 2 représente un schéma bloc illustrant la phase de vérification d'un certificat sur une unité utilisateur
[33] Le centre de gestion de l'autorité (AU) regroupe un centre d'émission de certificats (CI) chargé de produire et gérer les certificats et un centre de vérification (VE) relié à une base de données (BD) contenant les certificats (C) accompagnés d'informations propres (HID) aux unités exploitées par les titulaires des certificats (C).
[34] Dans le cas d'ordinateurs connectés à Internet, les services utilisant les certificats consistent par exemple en une connexion sécurisée pour le commerce électronique, un accès privilégié à des programmes ou à des données protégées.
[35] A l'initialisation soit lors de l'acquisition d'un certificat par un utilisateur, ce dernier reçoit avec son nouveau certificat (C) un mot de passe qui est en général sous forme d'un code PIN (Personal Identification Number). L'utilisateur va pouvoir se connecter auprès du centre de vérification VE et annoncer les caractéristiques de son certificat. Ce code lui permet de prouver qu'il est le titulaire légitime de ce certificat et une fois introduit, le centre de vérification VE va lire l'identifiant de réseau HID de l'utilisateur et associer cet identifiant au certificat C.
[36] Cette étape d'initialisation peut se faire avec plusieurs dispositifs pouvant contenir le certificat de l'utilisateur si par exemple ce certificat est sur un support amovible telle qu'une carte à puce. Tous les identifiants de réseau HID seront associés avec ce certificat grâce à l'introduction du mot de passe. Dans le but de simplifier la procédure au niveau de l'utilisateur, il n'est pas nécessaire, ni utile, que l'identifiant HID soit connu de ce dernier. L'enregistrement de ce paramètre avec le certificat C s'effectue donc de manière automatique après l'introduction d'un code PIN valide.
[37] Le certificat C est ainsi activé et utilisable pour autant que l'utilisateur le conserve sur le dispositif dont l'identifiant HID a été enregistré. Un transfert de ce certificat C sur un autre ordinateur reste possible, mais celui-ci devient inutilisable car l'adresse MAC de ce second ordinateur n'est pas enregistrée dans la base de donnée BD de l'autorité AU. On constate ainsi que le certificat est lié à un ordinateur bien particulier qui se distingue des autres, dans cet exemple, par son adresse MAC.
[38] La figure 2 illustre la phase d'utilisation d'un tel certificat. L'utilisateur accède à un
service géré par un fournisseur de service SP. Ce dernier lit le certificat que lui transmet l'utilisateur et détermine un identifiant HID permettant de définir le dispositif de l'utilisateur PC sur le réseau utilisé pour accéder au fournisseur SP.
[39] Dans cet exemple, l'identificateur correspond à l'adresse MAC de l'ordinateur PC du titulaire du certificat C.
[40] Le fournisseur de services SP détermine l'adresse MAC de l'ordinateur PC qui lui est connecté puis transmet cette adresse au centre de vérification VE avec le certificat C.
[41] Le centre de vérification peut comparer les données transmises par le fournisseur SP avec celles stockées dans la base de données BD. Le résultat de la comparaison sera transmis au fournisseur SP qui autorise l'utilisation du service seulement si l'adresse MAC courante de l'ordinateur requérant un service correspond à celle associée au certificat C dans la base de données BD.
[42] Selon une variante, un certificat (C) peut être enregistré avec plusieurs adresses IP appartenant à des ordinateurs gérés par un même titulaire. Dans un tel cas, le certificat peut être stocké dans la base de données de l'autorité avec des liens pointant vers les différentes adresses avec lesquelles il a été activé.
[43] Un certificat, enregistré auprès de l'autorité selon la méthode de l'invention, peut aussi être désactivé. En effet, il est souhaitable de permettre à un titulaire de pouvoir mettre à jour la base de donnée de l'autorité lorsqu'il change d'unité ou désire résilier son certificat. Comme l'autorité n'a pas de contrôle direct sur les particularités des ordinateurs des utilisateurs, les modifications sont effectuées d'une façon similaire à l'activation d'un nouveau certificat lors de la phase d'initialisation.
[44] Sur requête, le titulaire reçoit un nouveau code PIN ou mot de passe servant à réactiver un certificat prédéfini sur un nouvel ordinateur et/ou le désactiver. Dans le cas d'une réactivation, lors de l'accès du titulaire à l'autorité, cette dernière détermine la nouvelle adresse MAC pour la transmettre à la base de données afin d'associer cette nouvelle adresse avec le certificat.
[45] Lors d'une modification de configuration telle qu'une désactivation, dans une première variante l'identification du titulaire d'un certificat se fait par la détermination de l'identifiant réseau HID. Le titulaire transmet le certificat au centre de vérification et se dernier détermine l'identifiant réseau HID. La comparaison avec les données contenues dans la base de données BD permet d'authentifier l'utilisateur et de l'autoriser à introduire des modifications de son profil.
[46] Dans une autre variante, l'introduction d'un mot de passe PIN est impérativement requise pour toute modification.
Claims
[1] 1. Méthode de sécurisation et de vérification d'un certificat électronique (C) délivré par une autorité (AU) à un titulaire, ledit certificat (C) étant stocké dans une mémoire d'une unité utilisateur (PC) exploitée par le titulaire, ladite unité utilisateur (PC) transmet tout ou partie des données du certificat (C) à l'autorité (AU), caractérisée en ce que, lors d'une phase d'initialisation, ladite méthode comprend les étapes suivantes: - détermination par l'autorité (AU) d'un identifiant réseau (HID) propre à l'unité utilisateur (PC), - mémorisation par l'autorité (AU) dudit identifiant (HID) en liaison avec les données du certificat (C).
2. Méthode selon la revendication 1, caractérisée en ce que la mémorisation de l'identifiant (HID) en liaison avec le certificat (C) est soumise à l'introduction d'un mot de passe (PIN) par le titulaire.
3. Méthode selon la revendication 2, caractérisée en ce que le mot de passe (PIN) associé au certificat est reçu par le titulaire du certificat par une voie distincte de celle par laquelle est transmis le certificat.
4. Méthode selon la revendication 2, caractérisée en ce que le mot de passe (PIN) associé au certificat est mis hors service après l'opération de liaison du certificat (C) avec l'identifiant réseau (HID) dans la base de données de l'autorité (AU).
5. Méthode selon la revendication 1, caractérisée en ce que l'identifiant réseau (HID) consiste en un identificateur définissant la configuration matérielle de ladite unité d'utilisateur (PC) telle qu'une adresse ou un numéro identifiant de manière unique l'unité sur le réseau auquel elle est connectée.
6. Méthode selon la revendication 1, caractérisée en ce qu'une phase de vérification est effectuée lors de l'accès à un service auprès d'un fournisseur de service (SP) par l'unité d'utilisateur (PC), cette méthode comprenant les étapes suivantes : - identification du titulaire par la transmission du certificat (C) au fournisseur de services (PC), - détermination d'un identifiant réseau (HID) propre à l'unité utilisateur par le fournisseur de services (SP), - transmission de l'ensemble formé par le certificat (C) et l'identifiant de réseau (HID) à l'autorité (AU), - vérification dudit ensemble par comparaison avec les informations enregistrées dans la base de donnée (BD) lors de la phase d'initialisation, - transmission du résultat de la comparaison au fournisseur de service (SP) qui autorise le service préalablement requis à l'utilisateur connecté en fonction dudit résultat.
Priority Applications (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CA2532521A CA2532521C (fr) | 2003-07-14 | 2004-07-06 | Methode de securisation d'un certificat electronique |
| CN2004800201005A CN1823494B (zh) | 2003-07-14 | 2004-07-06 | 保护电子证书的方法 |
| EP04744497A EP1645070B1 (fr) | 2003-07-14 | 2004-07-06 | Methode de securisation d'un certificat electronique |
| AT04744497T ATE464715T1 (de) | 2003-07-14 | 2004-07-06 | Verfahren zur sicherung eines elektronischen zertifikats |
| DE602004026585T DE602004026585D1 (de) | 2003-07-14 | 2004-07-06 | Verfahren zur sicherung eines elektronischen zertifikats |
| PL04744497T PL1645070T3 (pl) | 2003-07-14 | 2004-07-06 | Sposób zabezpieczania certyfikatu elektronicznego |
| JP2006520052A JP4764339B2 (ja) | 2003-07-14 | 2004-07-06 | 電子証明のセキュア化及び確認方法 |
| BRPI0411625-9A BRPI0411625A (pt) | 2003-07-14 | 2004-07-06 | método para proteger um certificado eletrÈnico |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CH01232/03 | 2003-07-14 | ||
| CH12322003 | 2003-07-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| WO2005006646A1 true WO2005006646A1 (fr) | 2005-01-20 |
| WO2005006646A9 WO2005006646A9 (fr) | 2005-05-26 |
Family
ID=33569575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/IB2004/051129 WO2005006646A1 (fr) | 2003-07-14 | 2004-07-06 | Méthode de sécurisation d'un certificat électronique |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US7958348B2 (fr) |
| EP (1) | EP1645070B1 (fr) |
| JP (1) | JP4764339B2 (fr) |
| KR (1) | KR101066693B1 (fr) |
| CN (1) | CN1823494B (fr) |
| AT (1) | ATE464715T1 (fr) |
| BR (1) | BRPI0411625A (fr) |
| CA (1) | CA2532521C (fr) |
| DE (1) | DE602004026585D1 (fr) |
| ES (1) | ES2344108T3 (fr) |
| PL (1) | PL1645070T3 (fr) |
| PT (1) | PT1645070E (fr) |
| TW (1) | TWI350686B (fr) |
| WO (1) | WO2005006646A1 (fr) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007249629A (ja) * | 2006-03-16 | 2007-09-27 | Dainippon Printing Co Ltd | 生体情報登録システム |
| US9087183B2 (en) * | 2006-10-04 | 2015-07-21 | Rob Bartlett | Method and system of securing accounts |
| USRE47533E1 (en) * | 2006-10-04 | 2019-07-23 | Aaa Internet Publishing Inc. | Method and system of securing accounts |
| WO2008052310A1 (fr) * | 2006-10-04 | 2008-05-08 | Pgmx Inc | Procédé et système de sécurisation de comptes |
| KR100715359B1 (ko) * | 2006-12-19 | 2007-05-09 | 한국버추얼페이먼트 주식회사 | 모바일 결제 인증 시스템 및 방법 |
| WO2010045706A1 (fr) * | 2008-10-22 | 2010-04-29 | Research In Motion Limited | Poussée de chaînes de certificats vers des dispositifs distants |
| US20120171992A1 (en) * | 2010-12-30 | 2012-07-05 | Sk C&C | System and method for secure containment of sensitive financial information stored in a mobile communication terminal |
| KR101561534B1 (ko) * | 2010-12-30 | 2015-10-20 | 모지도코화이어코리아 유한회사 | 프로파일 사용과 데이터 준비를 통한 어플리케이션 ota 프로비저닝 관리 시스템 및 방법 |
| US9374244B1 (en) * | 2012-02-27 | 2016-06-21 | Amazon Technologies, Inc. | Remote browsing session management |
| USRE49392E1 (en) | 2012-10-05 | 2023-01-24 | Aaa Internet Publishing, Inc. | System and method for monitoring network connection quality by executing computer-executable instructions stored on a non-transitory computer-readable medium |
| US11838212B2 (en) | 2012-10-05 | 2023-12-05 | Aaa Internet Publishing Inc. | Method and system for managing, optimizing, and routing internet traffic from a local area network (LAN) to internet based servers |
| US10917299B2 (en) | 2012-10-05 | 2021-02-09 | Aaa Internet Publishing Inc. | Method of using a proxy network to normalize online connections by executing computer-executable instructions stored on a non-transitory computer-readable medium |
| JP2018533142A (ja) * | 2015-07-20 | 2018-11-08 | ノタライゼ, インク.Notarize, Inc. | 電子署名セッションのオーサーシップを認証するためのシステム及び方法 |
| US10298396B1 (en) | 2015-11-10 | 2019-05-21 | Wells Fargo Bank, N.A. | Identity management service via virtual passport |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001039143A1 (fr) * | 1999-11-19 | 2001-05-31 | Swisscom Mobile Ag | Procede et systeme de demande et de mise a disposition de certificats numeriques |
| EP1282026A2 (fr) * | 2001-08-03 | 2003-02-05 | T.I.S.S. S.R.L. | Procédé d'authentification aux moyens d'un dispositif de stockage |
| US20030084172A1 (en) * | 2001-10-29 | 2003-05-01 | Sun Microsystem, Inc., A Delaware Corporation | Identification and privacy in the World Wide Web |
| WO2003056749A1 (fr) * | 2001-12-21 | 2003-07-10 | Societe Francaise Du Radiotelephone | Procede de signature electronique |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5982898A (en) | 1997-03-07 | 1999-11-09 | At&T Corp. | Certification process |
| JP3595109B2 (ja) * | 1997-05-28 | 2004-12-02 | 日本ユニシス株式会社 | 認証装置、端末装置、および、それら装置における認証方法、並びに、記憶媒体 |
| JP3587045B2 (ja) * | 1998-02-04 | 2004-11-10 | 三菱電機株式会社 | 認証管理装置及び認証管理システム |
| US7111173B1 (en) * | 1998-09-01 | 2006-09-19 | Tecsec, Inc. | Encryption process including a biometric unit |
| JP2000201143A (ja) * | 1999-01-05 | 2000-07-18 | Nec Corp | 端末認証装置 |
| KR100620192B1 (ko) | 1999-02-25 | 2006-09-01 | 사이버소스 코포레이션 | 저장값 전자 인증서 처리 |
| AU3712300A (en) * | 1999-06-11 | 2001-01-02 | Liberate Technologies | Hierarchical open security information delegation and acquisition |
| FI109253B (fi) | 2000-08-22 | 2002-06-14 | Smarttrust Systems Oy | Varmennettu identiteettiketju |
| BR0107346A (pt) * | 2000-10-20 | 2005-02-09 | Wave Sys Corp | Sistema e método para o gerenciamento de confiança entre clientes e servidores |
| US6968242B1 (en) * | 2000-11-07 | 2005-11-22 | Schneider Automation Inc. | Method and apparatus for an active standby control system on a network |
| KR20010008101A (ko) * | 2000-11-08 | 2001-02-05 | 제경성 | 하드웨어의 고유번호를 이용한 전자거래 시스템 및 그 방법 |
| KR20020096581A (ko) | 2001-06-21 | 2002-12-31 | 스타브리지커뮤니케이션 주식회사 | 지불결제용 단말기인증방법 및 이를 이용한 지불결제방법 |
| JP2003046533A (ja) * | 2001-08-02 | 2003-02-14 | Nec Commun Syst Ltd | ネットワークシステム、その認証方法及びそのプログラム |
| JP4280036B2 (ja) * | 2001-08-03 | 2009-06-17 | パナソニック株式会社 | アクセス権制御システム |
| JP2003046500A (ja) * | 2001-08-03 | 2003-02-14 | Nec Corp | 個人情報管理システム及び個人情報管理方法、並びに情報処理サーバ |
| US7925878B2 (en) | 2001-10-03 | 2011-04-12 | Gemalto Sa | System and method for creating a trusted network capable of facilitating secure open network transactions using batch credentials |
| US20030069915A1 (en) * | 2001-10-09 | 2003-04-10 | James Clough | Method for authenticating mobile printer users |
| FI114956B (fi) * | 2001-12-27 | 2005-01-31 | Nokia Corp | Menetelmä palvelun käyttämiseksi, järjestelmä ja päätelaite |
| EP1383327B1 (fr) * | 2002-06-11 | 2013-12-25 | Panasonic Corporation | Système de distribution de contenu et dispositif de contrôle de communication de données |
| US7581095B2 (en) * | 2002-07-17 | 2009-08-25 | Harris Corporation | Mobile-ad-hoc network including node authentication features and related methods |
| US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| US7565688B2 (en) * | 2002-12-23 | 2009-07-21 | Hewlett-Packard Development Company, L.P. | Network demonstration techniques |
| US7302565B2 (en) * | 2003-06-24 | 2007-11-27 | Arraycomm Llc | Terminal identity masking in a wireless network |
-
2004
- 2004-06-28 TW TW093118841A patent/TWI350686B/zh not_active IP Right Cessation
- 2004-07-06 CA CA2532521A patent/CA2532521C/fr not_active Expired - Fee Related
- 2004-07-06 BR BRPI0411625-9A patent/BRPI0411625A/pt active IP Right Grant
- 2004-07-06 KR KR1020067000686A patent/KR101066693B1/ko active IP Right Grant
- 2004-07-06 DE DE602004026585T patent/DE602004026585D1/de active Active
- 2004-07-06 PL PL04744497T patent/PL1645070T3/pl unknown
- 2004-07-06 WO PCT/IB2004/051129 patent/WO2005006646A1/fr active Search and Examination
- 2004-07-06 PT PT04744497T patent/PT1645070E/pt unknown
- 2004-07-06 AT AT04744497T patent/ATE464715T1/de not_active IP Right Cessation
- 2004-07-06 JP JP2006520052A patent/JP4764339B2/ja active Active
- 2004-07-06 ES ES04744497T patent/ES2344108T3/es active Active
- 2004-07-06 EP EP04744497A patent/EP1645070B1/fr active Active
- 2004-07-06 CN CN2004800201005A patent/CN1823494B/zh active Active
- 2004-07-14 US US10/890,266 patent/US7958348B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001039143A1 (fr) * | 1999-11-19 | 2001-05-31 | Swisscom Mobile Ag | Procede et systeme de demande et de mise a disposition de certificats numeriques |
| EP1282026A2 (fr) * | 2001-08-03 | 2003-02-05 | T.I.S.S. S.R.L. | Procédé d'authentification aux moyens d'un dispositif de stockage |
| US20030084172A1 (en) * | 2001-10-29 | 2003-05-01 | Sun Microsystem, Inc., A Delaware Corporation | Identification and privacy in the World Wide Web |
| WO2003056749A1 (fr) * | 2001-12-21 | 2003-07-10 | Societe Francaise Du Radiotelephone | Procede de signature electronique |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE464715T1 (de) | 2010-04-15 |
| KR20060056319A (ko) | 2006-05-24 |
| CA2532521C (fr) | 2013-11-26 |
| CN1823494A (zh) | 2006-08-23 |
| CN1823494B (zh) | 2011-11-16 |
| ES2344108T3 (es) | 2010-08-18 |
| WO2005006646A9 (fr) | 2005-05-26 |
| DE602004026585D1 (de) | 2010-05-27 |
| PL1645070T3 (pl) | 2010-07-30 |
| TWI350686B (en) | 2011-10-11 |
| EP1645070A1 (fr) | 2006-04-12 |
| US20050015587A1 (en) | 2005-01-20 |
| KR101066693B1 (ko) | 2011-09-21 |
| PT1645070E (pt) | 2010-07-19 |
| JP2007519062A (ja) | 2007-07-12 |
| CA2532521A1 (fr) | 2005-01-20 |
| US7958348B2 (en) | 2011-06-07 |
| BRPI0411625A (pt) | 2006-08-08 |
| EP1645070B1 (fr) | 2010-04-14 |
| JP4764339B2 (ja) | 2011-08-31 |
| TW200507580A (en) | 2005-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1687953B1 (fr) | Méthode d'authentification d'applications | |
| EP1683388B1 (fr) | Methode de gestion de la sécurité d'applications avec un module de sécurité | |
| EP1190399A1 (fr) | Procede de pre-controle d'un programme contenu dans une carte a puce additionnelle d'un terminal | |
| WO2005006646A1 (fr) | Méthode de sécurisation d'un certificat électronique | |
| WO2002102018A1 (fr) | Procede d'authentification entre un objet de telecommunication portable et une borne d'acces public | |
| WO2000049585A1 (fr) | Procede de telepaiement et systeme pour la mise en oeuvre de ce procede | |
| EP1254437A1 (fr) | Activation de service par carte pre-payee virtuelle | |
| WO2016185129A1 (fr) | Chargement de profil d'abonnement dans une carte sim embarquée | |
| EP2001196A1 (fr) | Gestion d'identité d'usager pour accéder à des services | |
| EP1393272A1 (fr) | Proc d et dispositif de certification d'une transaction | |
| EP1637989A1 (fr) | Procédé et système de séparation de comptes de données personnelles | |
| EP1905217B1 (fr) | Procede de configuration d'un terminal a travers un reseau d'acces | |
| JP2003178022A (ja) | 識別情報発行装置及び方法、識別情報発行プログラムを記憶した記憶媒体、識別情報発行プログラム、情報処理装置及び方法、情報処理プログラムを記憶した記憶媒体、情報処理プログラム、情報処理システム | |
| EP1449092A2 (fr) | Procede de securisation d un acces a une ressource numerique | |
| FR3114714A1 (fr) | Procédé d’accès à un ensemble de données d’un utilisateur. | |
| FR2864283A1 (fr) | Procede et dispositif de controle d'acces a un document partage dans une reseau de communication poste a poste | |
| FR2888437A1 (fr) | Procede et systeme de controle d'acces a un service d'un fournisseur d'acces implemente sur un serveur multimedia, module, serveur, terminal et programmes pour ce systeme | |
| EP4320534A1 (fr) | Méthode de contrôle d'accès à un bien ou service distribué par un réseau de communication de données | |
| FR3023039A1 (fr) | Authentification d'un utilisateur | |
| FR3049369A1 (fr) | Procede de transfert de transaction, procede de transaction et terminal mettant en œuvre au moins l'un d'eux | |
| WO2004017653A2 (fr) | Procede de systeme de telechargement, sur un equipement de telecommunications, de donnees confidentielles relatives au detenteur de cet equipement, et de controle de ces donnees | |
| FR3046272A1 (fr) | Procede et dispositif de connexion a un serveur distant |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WWE | Wipo information: entry into national phase |
Ref document number: 200480020100.5 Country of ref document: CN |
|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| COP | Corrected version of pamphlet |
Free format text: PAGE 1, DESCRIPTION, REPLACED BY A NEW PAGE 1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 28/DELNP/2006 Country of ref document: IN |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2006520052 Country of ref document: JP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 1020067000686 Country of ref document: KR |
|
| ENP | Entry into the national phase |
Ref document number: 2532521 Country of ref document: CA |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2004744497 Country of ref document: EP |
|
| WWP | Wipo information: published in national office |
Ref document number: 2004744497 Country of ref document: EP |
|
| DPEN | Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed from 20040101) | ||
| WWP | Wipo information: published in national office |
Ref document number: 1020067000686 Country of ref document: KR |
|
| ENP | Entry into the national phase |
Ref document number: PI0411625 Country of ref document: BR |