WO1999003074A1 - Procede de gestion d'un terminal securise - Google Patents

Procede de gestion d'un terminal securise Download PDF

Info

Publication number
WO1999003074A1
WO1999003074A1 PCT/FR1998/001464 FR9801464W WO9903074A1 WO 1999003074 A1 WO1999003074 A1 WO 1999003074A1 FR 9801464 W FR9801464 W FR 9801464W WO 9903074 A1 WO9903074 A1 WO 9903074A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
circuit
sensitive
operations
counter
Prior art date
Application number
PCT/FR1998/001464
Other languages
English (en)
Inventor
Lionel Jean
Jean Claude Ouvray
Original Assignee
Gemplus S.C.A.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus S.C.A. filed Critical Gemplus S.C.A.
Priority to US09/462,925 priority Critical patent/US7246375B1/en
Priority to CA002296009A priority patent/CA2296009A1/fr
Priority to JP2000502483A priority patent/JP2002511610A/ja
Priority to AU85453/98A priority patent/AU8545398A/en
Priority to EP98936471A priority patent/EP0995175A1/fr
Publication of WO1999003074A1 publication Critical patent/WO1999003074A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/0013Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/0013Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers
    • G06K7/0086Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers the connector comprising a circuit for steering the operations of the card connector
    • G06K7/0091Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers the connector comprising a circuit for steering the operations of the card connector the circuit comprising an arrangement for avoiding intrusions and unwanted access to data inside of the connector
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1083Counting of PIN attempts

Definitions

  • the subject of the present invention is a method for managing a secure terminal also called a reader, as well as a security circuit for implementing the method. It relates to the field of so-called chip microcircuit cards and more generally the field of portable smart objects. This field is that by which with electronic circuits either we authenticate the holders of smart cards, or we authenticate information contents which the memories of these cards, or finally one makes payments, or increases of credits, in modifying a number stored in the card and representative of payment units or loyalty points.
  • the object of the invention is, in view of the very significant development of transactions accessible with smart cards, to make more secure and secure the reading terminals, the number of which available increases in parallel with the uses of smart cards.
  • a process for managing transactions using smart cards is, for example, described in European patent application EP-A-91 400 201.9 filed on 29.01.1991.
  • the security systems currently in force include, in the readers, security circuits whose task is notably to control the execution of all these verification or authentication protocols executable by the reader.
  • These safety circuits called SAM circuit in Anglo-Saxon literature (SECURE APPLICATION MICROMODULE), are generally removable and are connected to the reader to on the one hand ensure this control of the security operations, and on the other hand to specify certain operations linked to a particular application implemented by the reader.
  • An application is a series of operations executed by a reader, or a device to which this reader is connected, and which lead to the satisfaction of a need (in goods or services) expressed by the card holder.
  • the removable nature of these security circuits makes them fragile vis-à-vis fraudsters who are suspected to want to know the secret. This will be all the more feasible as the number of safety circuits will be large.
  • One of the objects of the invention is to guarantee that the terminals and the security modules are not used outside the application to which they are dedicated. Indeed, the illegal use of a security circuit, without terminal, is critical from a security point of view because it is possible for a fraudster to have information on the secrets contained in the security circuit.
  • the use of a terminal without its security circuit is generally irrelevant because the terminal does not hold the secrets of the application. So he is not able to do much.
  • the use of a terminal and its security circuit is also in certain cases also critical. Indeed, the terminal plus safety circuit assembly allows complete operations to be carried out on real cards. It is therefore essential to limit the use of safety circuits alone and more terminal safety circuit assemblies.
  • the operation of this safety circuit is blocked. In this case, this safety circuit can no longer perform its safety work. Under these conditions, each time it is requested by the terminal, the transactions carried out by the terminal, and for which its operation is required are blocked. In an improvement, of course, the counter of this safety circuit can be reset by respecting a procedure which itself is secure.
  • the subject of the invention is therefore a method of managing a secure terminal used for transactions with smart cards comprising the following steps
  • this program comprising sensitive actions relating to securing transactions, characterized in that - the number of times the terminal is called upon to execute sensitive operations is counted, and
  • this terminal is limited as soon as this account reaches a fixed value.
  • the invention also relates to a safety circuit for the implementation of the above method. It is characterized in that it includes management means capable of identifying and accounting for requests from outside and limiting its functions as soon as the accounting reaches a predetermined number.
  • the requests can come either from the terminal, or from the master system, or from a terminal emulator which would be created by a fraudster.
  • FIG. 1 a schematic representation of a terminal usable for implementing the method of one invention
  • FIG. 2 a flowchart showing the main steps of the method of the invention
  • FIG. 1 shows a terminal 1 usable for implementing the method of the invention.
  • the terminal 1 preferably comprises, in a known manner, a keyboard 2, a screen 3 and a slot 4 for inserting therein a smart card 5 to be read with the reader terminal 1.
  • the terminal 1 can moreover be in relation with a master system 6.
  • the relation can in particular be of the telecommunications type, the master system 6 being remote.
  • Telecommunications can for example be wireless.
  • Terminal 1 is however able to perform a certain number of operations independently and it is these which are mainly discussed.
  • the safety circuit usable in the terminal 1 is removable: it is a circuit 7 embedded in a portable smart object 8.
  • the portable smart object 8 can have the same shape as a smart card 5. Preferably, it has a different shape with in particular a geometric coding part 9 to prevent users from misplacing it.
  • the object 8 is intended to be inserted into a slot 10 for reading the terminal 1 intended to receive it alone.
  • FIG. 3 shown below Figure 1, shows for the corresponding parts the architecture of the electronic system thus formed.
  • the circuit 7 thus preferably comprises a microprocessor 11 linked by a data and control address bus 12, on the one hand with an input-output interface 13 represented by a connector.
  • the microprocessor is also related to a set of memories 14 and 15 and counters 16 and 17.
  • the electronic system of the reader 1 comprises a microprocessor 18 in relation to a bus 19, of the same type as bus 12, with two input-output interfaces 20 and 21 respectively to communicate with circuit 7 on the one hand, and with a electronic microcircuit 22 of the smart card 5 on the other hand.
  • the bus 19 is also in relation to the keyboard 2 and the screen 3.
  • the microprocessor 18 also executes programs which are contained in a program memory 23.
  • each incrementation of the counter means changing the state of one of the memory cells of a register, serving as an abacus, and playing the role of counter. When all the memory cells have switched over, the counter a has reached the fixed value.
  • the counter can be produced in the form of a recording recorded in a data memory 50 associated with a counting software for circuit 7.
  • the counting software consisting, at each increment, in going to read the old value of the counter, increment its value by units, and write the new counter value in place of this record.
  • the fixed value is contained in the counting software.
  • the keyboard 2 and screen 3 are only necessary insofar as the application implemented by the terminal 1 requires viewing and entering the information of the card holder. In some cases, they can be omitted, the exchange protocol between the card 5 and the terminal 1 being automatic.
  • FIG. 2 shows the main steps of the management method of the invention.
  • an operator puts a smart card 5 in contact with the terminal 1.
  • the terminal 1 in application of the instructions of its program 26 stored in the memory 23, and executed by the microprocessor 18 reacts to this insertion and makes a transaction request 25.
  • This transaction request can simply be the configuration of the microprocessor 18 to make it available to the microprocessor 11.
  • the transaction request can thus, for example in the case of verification of the holder of a chip card, be the request for verification of the secret code of this wearer.
  • the program 26 stored in the memory 23 includes an instruction of the type: "Launching of the verification operation of the holder's secret code by the security circuit 7".
  • This transaction request sent by the microprocessor 18 to the microprocessor 11 may nevertheless be different and correspond to all the security operations mentioned above.
  • the safety circuit 7 then performs the sequence of operations 27 in FIG. 2.
  • the microprocessor 11 of circuit 7 checks whether an instruction 29 of its security program 30 loaded in memory 14, is an instruction of sensitive or non-sensitive type. It is of the sensitive type, if it is assigned for example an attribute, a flag, which is associated with it for this purpose. Such a flag can for example be a particular configuration of bits of the instruction code of instruction 29. If it is not a sensitive type instruction, if it is not of the type for which the number of times must be counted where it was implemented, the rest of the transaction is immediate. Circuit 7 and / or reader 1 then continue, through operation 31 to operate as in the prior art.
  • the microprocessor 11 interposes in the progress of the program 30 a program 32 for managing the counter also stored in the memory 14.
  • the program 32 there is has a first test 33 by which it is sought to know whether a safety counter, for example the counter 16, has a value lower than a value fixed in advance. If this is the case, the securing operation 34 implied by the instruction 29 is executed.
  • the program 30 includes a verification 35 that the operation 34 has been successful. If during the corresponding test 35 it is detected that the security operation 34 has not been successful, the circuit 7 delivers a rejection signal transmitted by the connector 13 to the interface 3. In this case the terminal 1 produces on screen 3 a message indicating failure.
  • Securing may for example relate to verifying that a secret code entered on the keyboard 2 by a user corresponds to a secret code stored in the circuit 22 of the card 5.
  • the counter 17 As regards operations 28, 33 and 36, a duplication of these operations has been shown. This is related to the existence of another counter: the counter 17.
  • each class is assigned a different counter.
  • the test 28 will seek to know if the requested transaction 25 is a transaction corresponding to an instruction 29 or if it is also a transaction corresponding to another instruction 37 of the program 30.
  • the counter 16 counts the number of times the instruction 29 is used
  • the counter 17 counts the number of times the instruction 37 is used.
  • the class is differentiated in the attribute.
  • the values of counters 16 or 17 are not less than the fixed value when they have reached this fixed value in a previous transaction.
  • the counter 16 or 17 concerned is reset.
  • This re-initialization operation is nothing different, in the invention, from the forms which it can moreover have in a manner known in the state of the art.
  • the subroutine 39 may include in particular a secure procedure, in particular verifications of secret codes as will be explained below.
  • the card's microprocessor is capable of implementing an encryption algorithm to encrypt the hazard as a function of the value of the secret code. This encryption results in an encrypted hazard produced by the card.
  • the card then transmits the encrypted hazard from its connector to the interface 21 of terminal 1.
  • Terminal 1 is capable of encrypting the hazard (he knows it since it is he who produced it) by a Personal Identification Number (PIN) typed on the keyboard by the user. This latter encryption results in a PIN encrypted.
  • Terminal 1 then causes the encrypted hazard to be compared to the encrypted PIN. If the comparison is positive, the rest of the transaction occurs otherwise the terminal 1 causes its rejection.
  • PIN Personal Identification Number
  • This operation 38 will therefore include a request, displayed on the screen 3 of terminal 1 made the operator to dial a secret reset number.
  • This secret number will not be a PIN number but something equivalent.
  • circuit 7 will perform the direct comparison in this case of the secret number dialed with an expected number stored in its memory 50. If the comparison is positive, the counter selected is re-initialized. It is available for the same number of transactions.
  • the reinitialization is carried out remotely by a master system, for example following an operation for collecting data from daily transactions.
  • circuit 7 To prevent the fraudster from using a reader 1 to fraudulently attempt to reactivate circuit 7, provision may be made in operation 38 for another counter in circuit 7, for example limited to three operations, beyond which circuit 7 will be definitively neutralized if the secret number dialed is false three times in a row. This count up to three can be carried out by terminal 1 (in its program 26), it is preferably carried out by circuit 7 itself. As a variant, circuit 7 is for single use, as soon as counter 16 or 17 is blocked, it must be replaced by a new circuit 7. If necessary, a procedure for erasing the contents of the SAM is automatically initiated. , secrets and encryption algorithms.
  • a sensitive action is therefore an authentication of a holder of the smart card.
  • a sensitive operation may simply be a cryptogram of certain data, a procedure of reciprocal authentication. Data are thus transmitted to the security circuit 7 which restores them in an encrypted form, usable for their transmission, or their storage in the smart card 5.
  • the smart card includes a statement of the wallet balance and a certificate.
  • the certificate is a cryptogram representative of the consistency of the balance of the wallet with information relating to the card, for example its serial number, and variable information, for example an operation counter which counts the number of times that one used the wallet.
  • the cryptogram verification operation a sensitive operation, carried out by the secure circuit consists in recalculating the certificate on these bases, and in verifying that the one which was recorded in the smart card wallet is the same. To limit operations, we can already prevent them completely. This has been seen so far. Nevertheless, and this is represented diagrammatically by the link 41 in dashes, FIG. 2, one can accept a degraded operation of the terminal 1. In this degraded operation, of course no sensitive operation can be carried out. However, harmless operations, viewing account balances, transmitting non-confidential information (serial number, bank account number, bearer's name and address) may be authorized. In this case the program 26 may continue to run according to what has been planned by its designer. In fact, the program 26 represents a part of the application and it is possible that certain actions can be executed even if, moreover, other sensitive operations could not be verified. The other part of the application is contained in program 30.

Abstract

On résout les problèmes de sécurité résultant de l'adjonction d'un circuit de sécurité à un terminal de lecture de carte à puce en prévoyant, pour ce circuit de sécurité de compter (36) le nombre d'occasions (34) de sollicitation de ce circuit de sécurité pour effectuer certaines opérations sensibles. Lorsque le compte de ces opérations atteint une valeur fixée (33) on empêche ce circuit de sécurité de fonctionner jusqu'à sa prochaine ré-initialisation (38). Eventuellement on peut être amené à devoir remplacer le circuit par un autre.

Description

PROCEDE DE GESTION D'UN TERMINAL SECURISE
La présente invention a pour objet un procédé de gestion d'un terminal sécurisé dit aussi lecteur, ainsi qu'un circuit de sécurité pour la mise en oeuvre du procédé. Elle concerne le domaine des cartes à microcircuit dites à puces et plus généralement le domaine des objets portables à puce. Ce domaine est celui par lequel avec des circuits électroniques soit on authentifie des porteurs de cartes à puce, soit on authentifie des contenus d'informations que contiennent les mémoires de ces cartes, soit enfin on effectue des paiements, ou des augmentations de crédits, en modifiant un nombre mémorisé dans la carte et représentatif d'unités de paiement ou de points de fidélité. L'invention a pour objet, devant le développement très important des transactions accessibles avec des cartes à puces, de rendre plus sûr, de sécuriser, les terminaux de lecture, dont le nombre disponible croît parallèlement aux utilisations des cartes à puces. Un procédé de gestion de transactions utilisant des cartes à puce, est par exemple décrit dans la demande de brevet Européen EP-A-91 400 201.9 déposée le 29.01.1991.
Les systèmes de sécurité actuellement en vigueur comportent, dans les lecteurs, des circuits de sécurité dont la tâche est notamment de contrôler l'exécution de tous ces protocoles de vérification ou d' authentification exécutables par le lecteur. Ces circuits de sécurité, appelés circuit SAM dans la littérature anglo-saxonne (SECURE APPLICATION MICROMODULE) , sont généralement amovibles et sont connectés au lecteur pour d'une part assurer ce contrôle des opérations de sécurité, et d'autre part préciser certaines opérations liées à une application particulière mise en oeuvre par le lecteur. Une application est une série d'opérations exécutées par un lecteur, ou un appareil auquel ce lecteur est relié, et qui amènent à la satisfaction d'un besoin (en biens ou en services) exprimé par le porteur de la carte. Le caractère amovible de ces circuits de sécurité les rend fragiles vis-à-vis des fraudeurs dont on soupçonne qu'il voudront en connaître le secret. Ceci sera d'autant plus réalisable que le nombre de circuits de sécurité sera grand.
Un des but de l'invention est de garantir que les terminaux et les modules de sécurité ne soient pas utilisés en dehors de l'application à laquelle il sont dédiés. En effet, l'utilisation illégale d'un circuit de sécurité, sans terminal, est critique du point de vue de la sécurité car il est possible à un fraudeur d'avoir des informations sur les secrets contenus dans le circuit de sécurité. L'utilisation d'un terminal sans son circuit de sécurité est généralement sans intérêt car le terminal ne détient pas les secrets de l'application. Il n'est donc pas capable de faire grand chose. L'utilisation d'un terminal et de son circuit de sécurité est par ailleurs dans certains cas elle aussi critique. En effet l'ensemble terminal plus circuit de sécurité permet de réaliser des opérations complètes sur de vraies cartes. Il est donc indispensable de limiter l'utilisation des circuits de sécurité seuls et des ensembles circuit de sécurité plus terminal.
Dans l'invention, pour remédier aux problèmes cités, on préconise de compter le nombre de fois où le circuit de sécurité est utilisé pour des commandes dites sensibles. On considérera comme commandes sensibles des commandes permettant notamment de donner des droits d'accès, d'authentifier, de garantir la confidentialité, de produire des cryptogrammes, de vérifier des certificats, etc.. D'une manière générale, toute commande pourra être à considérer comme sensible. Dans ce cas son existence sera assortie d'un attribut qui lui donne ou non ce caractère.
Dans l'invention, lorsque le compte du nombre d'utilisations du circuit de sécurité atteint une valeur fixée, on bloque le fonctionnement de ce circuit de sécurité. Dans ce cas, ce circuit de sécurité ne peut plus effectuer son travail de sécurité. Dans ces conditions, à chaque fois qu'il est sollicité par le terminal, les transactions menées par le terminal, et pour lesquelles son fonctionnement est requis sont bloquées. Dans un perfectionnement bien entendu le compteur de ce circuit de sécurité peut être réinitialisé en respectant une procédure qui elle-même est sécurisée.
L'invention a donc pour objet un procédé de gestion d'un terminal sécurisé utilisé pour des transactions avec des cartes à puce comportant les étapes suivantes
- on met une carte à puce en relation avec le terminal,
- on fait exécuter un programme par le terminal, ce programme comportant des actions sensibles relatives à la sécurisation des transactions, caractérisé en ce que - on compte le nombre de fois où le terminal est sollicité pour exécuter des opérations sensibles, et
- on limite l'action de ce terminal dès que ce compte atteint une valeur fixée. Au sens de l'invention, il peut y avoir sollicitation dès la réception et identification par le terminal ou le module de sécurité d'une instruction ou d'une commande sensible. Il est donc possible de comptabiliser les commandes sensibles indépendamment de leur exécution et/ou du résultat de leur exécution.
L'invention a également pour objet un circuit de sécurité pour la mise en oeuvre du procédé ci-dessus. Il est caractérisé en ce qu'il comporte des moyens de gestion aptes à identifier et comptabiliser des sollicitations provenant de l'extérieur et à limiter ses fonctions dès que la comptabilisation atteint un nombre prédéterminé. Les sollicitations peuvent provenir soit du terminal, soit du système maître, soit d'un émulateur de terminal qui serait réalisé par un fraudeur.
L'invention sera mieux comprise à la lecture de la description qui suit et à l'examen des figures qui l'accompagnent. Celles-ci ne sont données qu'à titre indicatif et nullement limitatif de l'invention. Les figures montrent:
- figure 1: une représentation schématique d'un terminal utilisable pour mettre en oeuvre le procédé de 1 ' invention; - figure 2: un organigramme montrant les principales étapes du procédé de l'invention;
- figure 3: l'architecture des moyens électroniques mis en oeuvre dans le terminal de la figure 1;
- figure 4: un exemple d'opération sensible de sécurité effectuée par le circuit de sécurité de
1 * invention.
La figure 1 montre un terminal 1 utilisable pour mettre en oeuvre le procédé de l'invention. Le terminal 1 comporte d'une manière connue, de préférence, un clavier 2 , un écran 3 et une fente 4 pour y introduire une carte 5 à puce à lire avec le terminal lecteur 1. Le terminal 1 peut par ailleurs être en relation avec un système maître 6. La relation peut notamment être du type télécommunication, le système maître 6 étant distant. Les télécommunications peuvent par exemple être hertziennes. Le terminal 1 est cependant apte à effectuer un certain nombre d'opérations de manière autonome et c'est de celles-ci dont il est principalement question. Dans un exemple particulier montré sur la figure 1, le circuit de sécurité utilisable dans le terminal 1 est amovible: c'est un circuit 7 enchâssé dans un objet 8 portable à puce. L'objet 8 portable à puce peut avoir la même forme qu'une carte à puce 5. De préférence, il a une forme différente avec notamment une partie géométrique de détrompage 9 pour empêcher les utilisateurs de mal le placer. L'objet 8 est destiné à être introduit dans une fente 10 de lecture du terminal 1 destiné à le recevoir lui seul.
La figure 3, montrée en dessous de la figure 1, montre pour les parties correspondantes l'architecture du système électronique ainsi constitué. Le circuit 7 comporte ainsi, de préférence, un micro-processeur 11 en relation par un bus d'adresses de données et de commande 12, d'une part avec une interface d'entrée sortie 13 représentée par un connecteur. Le microprocesseur est d'autre part en relation avec un jeu de mémoires 14 et 15 et de compteurs 16 et 17. De la même façon, le système électronique du lecteur 1 comporte un micro-processeur 18 en relation avec un bus 19, du même type que le bus 12, avec deux interfaces d' entrée-sortie respectivement 20 et 21 pour communiquer avec le circuit 7 d'une part, et avec un microcircuit électronique 22 de la carte à puce 5 d'autre part. Le bus 19 est encore en relation avec le clavier 2 et l'écran 3. Le micro-processeur 18 exécute par ailleurs des programmes qui sont contenus dans une mémoire programme 23.
Les structures physiques des micro-processeurs, des mémoires programmes, des bus et des interfaces peuvent être variées. De préférence, les mémoires sont des mémoires de type non volatiles. Les compteurs 16 et 17 sont des compteurs non volatiles. Ils peuvent être réalisés à la méthode d'un boulier: chaque incrémentation du compteur revenant à faire changer d'état une des cellules mémoires d'un registre, servant de boulier, et jouant le rôle de compteur. Lorsque toutes les cellules mémoires ont basculé, le compteur a a atteint la valeur fixée. De préférence néanmoins, le compteur pourra être réalisé sous la forme d'une enregistrement enregistré en une mémoire 50 de données associée à un logiciel de comptage du circuit 7. Le logiciel de comptage consistant, à chaque incrément, à aller lire la valeur ancienne du compteur, à incrémenter sa valeur d'unités, et à inscrire à la place de cet enregistrement la nouvelle valeur du compteur. Dans ce cas, la valeur fixée est contenue dans le logiciel de comptage. De plus, les clavier 2 et écran 3 ne sont nécessaires que dans la mesure ou l'application mise en oeuvre par le terminal 1 requiert la visualisation et la saisie de l'information du porteur de la carte. Dans certains cas, ils peuvent être omis, le protocole d'échange entre la carte 5 et le terminal 1 étant automatique.
La figure 2 montre les étapes principales du procédé de gestion de l'invention. Au cours d'une étape 24 un opérateur met une carte à puce 5 en relation avec le terminal 1. Le terminal 1, en application des instructions de son programme 26 mémorisé dans la mémoire 23, et exécuté par le micro-processeur 18 réagit à cette insertion et effectue une demande de transaction 25. Cette demande de transaction peut être simplement la configuration du micro-processeur 18 pour le mettre à la disposition du micro-processeur 11. La demande de transaction peut ainsi, par exemple dans le cas de la vérification du porteur d'une carte à puce, être la demande de vérification du code secret de ce porteur. Dans ce cas, le programme 26 mémorisé dans la mémoire 23 comporte une instruction du type: "Lancement de l'opération de vérification du code secret du titulaire par le circuit de sécurité 7". Cette demande de transaction adressée par le microprocesseur 18 au microprocesseur 11 peut néanmoins être différente et correspondre à toutes les opérations de sécurité évoquées ci-dessus.
Selon l'invention, le circuit de sécurité 7 effectue alors la suite des opérations 27 de la figure 2. Au cours d'une première opération 28 de cette suite 27, le micro-processeur 11 du circuit 7 regarde si une instruction 29 de son programme 30 de sécurité chargé en mémoire 14, est une instruction de type sensible ou non. Elle est du type sensible, si elle est affectée par exemple d'un attribut, d'un drapeau, qui lui est associé à cet effet. Un tel drapeau peut par exemple être une configuration particulière de bits du code instruction de l'instruction 29. Si elle n'est pas une instruction de type sensible, si elle n'est pas du type pour lequel il faut compter le nombre de fois où elle a été mise en oeuvre, la suite de la transaction est immédiate. Le circuit 7 et/ou le lecteur 1 continuent alors, par l'opération 31 à fonctionner comme dans l'état de la technique. Par contre, si l'opération demandée relative à l'instruction 29 est une opération sensible, le microprocesseur 11 intercale dans le déroulement du programme 30 un programme 32 de gestion du compteur mémorisé lui aussi dans la mémoire 14. Dans le programme 32 il y a un premier test 33 par lequel on cherche à savoir si un compteur de sécurité, par exemple le compteur 16, comporte une valeur inférieure à une valeur fixée d'avance. Si c'est le cas, l'opération de sécurisation 34 impliquée par l'instruction 29 est exécutée. D'une manière classique le programme 30 comporte une vérification 35 de ce que l'opération 34 a été réussie. Si au cours du test 35 correspondant on détecte que l'opération de sécurisation 34 n'a pas été réussie, le circuit 7 délivre un signal de rejet transmis par le connecteur 13 à l'interface 3. Dans ce cas le terminal 1 produit sur l'écran 3 un message indiquant l'échec. La sécurisation peut par exemple concerner la vérification de ce qu'un code secret frappé sur le clavier 2 par un utilisateur correspond à un code secret mémorisé dans le circuit 22 de la carte 5.
Par contre si l'opération 34 a été réussie, alors on décide, selon l'invention, en une opération 36 d'augmenter le contenu du compteur 16. Après l'incrément 36 du compteur 16, le programme 32 aboutit à l'opération 31 comme auparavant.
Sur la figure 2, en ce qui concerne les opérations 28, 33 et 36 on a montré une duplication de ces opérations. Ceci est à mettre en rapport avec l'existence d'un autre compteur: le compteur 17. Selon l'invention on prévoit en effet de classer les demandes de transactions, selon leur nature, en plusieurs classes. Il peut y avoir par exemple la classe des authentifications, la classe des cryptages, la classe des déchiffrages de cryptogramme (lecture de certificat) et ainsi de suite. On crée alors autant de compteurs 16, 17 qu'il y a de classes gérées par les tests 28. On attribue de préférence à chaque classe un compteur différent. Ici on a montré deux classes correspondant aux compteurs 16 et 17. Autrement dit le test 28 cherchera à savoir si la transaction 25 demandée est une transaction correspondante à une instruction 29 ou si elle est par ailleurs une transaction correspondant à une autre instruction 37 du programme 30. Le compteur 16 compte le nombre de fois où l'instruction 29 est utilisée, le compteur 17 compte le nombre de fois où l'instruction 37 est utilisée. La classe est différenciée dans l'attribut.
On a préféré effectuer 1 ' incrément du compteur après la vérification 35 de ce que l'opération 34 de sécurisation avait été réussie de manière à ne pas comptabiliser inutilement des opérations dans le circuit de sécurité 7 mis en place dans le lecteur 1 si un opérateur se trompe au cours de l'opération 34 en composant son numéro de code avec le clavier 2. La position de l'opération 36 dans l'arborescence issue de l'opération 33 peut néanmoins être quelconque, par exemple situé entre l'étape 33 et l'étape 34. Selon ce qui vient d'être dit de préférence elle est située à la fin de cette arborescence.
Les valeurs des compteurs 16 ou 17 ne sont pas inférieures à la valeur fixée lorsqu'ils ont atteint, en une transaction précédente, cette valeur fixée. Dans ce cas, en une opération 38 correspondant à un sous programme 39 mémorisé dans la mémoire 15 on provoque la ré-initialisation du compteur 16 ou 17 concerné. Cette opération de ré-initialisation n'a rien de différent, dans l'invention, des formes qu'elle peut par ailleurs avoir d'une manière connue dans l'état de la technique. Le sous programme 39 pourra comporter notamment une procédure sécurisée, en particulier des vérifications de codes secrets comme cela va être expliqué ci-après.
Ces programmes 30, 32 et 39 peuvent être compris dans un programme principal unique. La représentation qui en est donnée ici est indiquée pour bien montrer l'apport de l'invention. Dans l'état de la technique seul existait le programme 30. Dans l'invention il existe en plus le programme 32 pour la mise en oeuvre des nouvelles opérations 33 et 36 et le programme 39 pour effectuer l'opération 38. A titre d'exemple, une opération d ' authentification entre un terminal 1 et une carte 5 est montrée sur la figure 4. Dans celle-ci, le terminal 1 envoie un aléa, une chaîne de caractères, toujours différente d'une session à une autre, à la carte à puce 5. La carte 5 reçoit dans son circuit 22 la valeur de cet aléa. La carte 5 possède des moyens, notamment généralement un micro-processeur du même type que les micro-processeurs 11 et 18, et par ailleurs des indications secrètes, un code secret. Le micro-processeur de la carte est capable de mettre en oeuvre un algorithme de chiffrement pour chiffrer l'aléa en fonction de la valeur du code secret. Ce chiffrement résulte en un aléa crypté produit par la carte. La carte transmet alors l'aléa crypté de son connecteur à l'interface 21 du terminal 1. Le terminal 1 est capable d'effectuer un cryptage de l'aléa (il le connaît puisque c'est lui qui l'a produit) par un numéro d'identification personnel (PIN: Personal Identification Number) frappé au clavier par l'utilisateur. Ce dernier cryptage résulte en un PIN crypté. Le terminal 1 provoque alors la comparaison de l'aléa crypté au PIN crypté. Si la comparaison est positive, la suite de la transaction se produit sinon le terminal 1 en provoque le rejet. Ces opérations ainsi montrées sous la référence 40 sont typiquement des opérations sensibles effectuées par le circuit de sécurité 7 à l'intérieur du terminal 1.
D'une manière comparable on peut prévoir qu'une combinaison de touches du clavier 2 conduise à une opération 38 de ré-initialisation du ou des compteurs 16 ou 17. Cette opération 38 comportera dans ce but une demande, affichée sur l'écran 3 du terminal 1 faite à l'opérateur de composer un numéro secret de ré- initialisation. Ce numéro secret ne sera pas un numéro PIN mais quelque chose d'équivalent. Une fois ce numéro secret composé, et une touche validation du clavier 2 enfoncée, le circuit 7 effectuera la comparaison, directe dans ce cas, du numéro secret composé avec un numéro attendu mémorisé dans sa mémoire 50. Si la comparaison est positive le compteur sélectionné est ré-initialisé. Il est disponible pour un même nombre de transactions .
De préférence, on effectue la ré-initialisation à distance par un système maître, par exemple à la suite d'une opération de collecte des données des transactions quotidiennes.
Pour empêcher que le fraudeur ne se serve d'un lecteur 1 pour tenter, frauduleusement, de réactiver le circuit 7, on pourra prévoir dans l'opération 38, un autre compteur du circuit 7 , par exemple limité à trois opérations, au delà desquelles le circuit 7 sera définitivement neutralisé si le numéro secret composé est faux trois fois de suite. Ce comptage jusqu'à trois peut être effectué par le terminal 1 (dans son programme 26) , il est de préférence effectué par le circuit 7 lui-même. En variante, le circuit 7 est à usage unique, dès que le compteur 16 ou 17 est bloqué, il faut le remplacer par un nouveau circuit 7. Le cas échéant, on engage automatiquement une procédure d'effacement du contenu du SAM, en particulier, secrets et algorithmes de chiffrement.
En agissant ainsi on se rend compte qu'un fraudeur n'aura qu'un nombre limité d'accès au circuit de sécurité 7. Au delà, le circuit 7 neutralisera tous les lecteur 1 dans lesquels il sera introduit.
Dans un exemple une action sensible est donc une authentification d'un porteur de la carte à puce. Dans un autre exemple, une opération sensible peut tout simplement être un cryptogramme de certaines données, une procédure d ' authentification réciproque. Des données sont ainsi transmises au circuit de sécurité 7 qui les restitue sous une forme cryptée, utilisable en vue de leur transmission, ou de leur stockage dans la carte à puce 5. Dans le domaine du porte-monnaie électronique, il est prévu que la carte à puce comporte un état du solde du porte-monnaie et un certificat. Le certificat est un cryptogramme représentatif de la cohérence du solde du porte-monnaie avec une information relative à la carte, par exemple son numéro de série, et une information variable, par exemple un compteur d'opérations qui compte le nombre de fois où on s'est servi du porte-monnaie. L'opération de vérification de cryptogramme, opération sensible, effectuée par le circuit sécurisé consiste à recalculer le certificat sur ces bases, et à vérifier que celui qui était enregistré dans la carte à puce porte-monnaie est le même. Pour limiter les opérations, on peut déjà les empêcher complètement. C'est ce qui a été vu jusqu'ici. Néanmoins, et ceci est représenté schematiquement par la liaison 41 en tirets, figure 2, on peut accepter un fonctionnement dégradé du terminal 1. Dans ce fonctionnement dégradé, bien entendu aucune opération sensible ne peut être effectuée. Par contre des opérations anodines, visualisation de solde de compte, transmission d'informations non confidentielles (numéro de série, numéro de compte en banque, nom et adresse du porteur) peuvent être autorisées. Dans ce cas le programme 26 pourra continuer à se dérouler selon ce qui a été prévu par son concepteur. En effet, le programme 26 représente une partie de l'application et il est possible que certaines actions puissent être exécutées même si par ailleurs d'autres opérations sensibles n'ont pu être vérifiées. L'autre partie de l'application est contenue dans le programme 30.

Claims

REVENDICATIONS
1 - Procédé de gestion d'un terminal (1) sécurisé (7) utilisé pour des transactions avec des cartes à puce comportant les étapes suivantes
- on met une carte (5) à puce (22) en relation avec le terminal, on fait exécuter un programme (26) par le terminal, ce programme comportant des opérations (29) sensibles relatives à la sécurisation des transactions, caractérisé en ce que - on compte (32,16) le nombre de fois où le terminal est sollicité pour exécuter des opérations sensibles, et
- on limite l'action de ce terminal dès que ce compte atteint (33) une valeur fixée. 2 - Procédé selon la revendication 1, caractérisé en ce que on munit le terminal d'un circuit (8) électronique amovible de sécurité, et on compte (16) dans ce circuit le nombre d'opérations sensibles sollicitées auprès de lui ou exécutées par lui .
3 - Procédé selon l'une des revendications 1 à 2, caractérisé en ce que
- on répartit les opérations sensibles en plusieurs classes et
- on établit un compte (16,17) pour chaque classe.
4 - Procédé selon l'une des revendications 1 à 3, caractérisé en ce que - comme opération sensible on exécute une procédure d'identification réciproque entre le terminal et la carte.
5 - Procédé selon l'une des revendications 1 à 4, caractérisé en ce que
- comme opération sensible on effectue une authentification (PIN) d'un porteur de la carte à puce.
6 - Procédé selon l'une des revendications 1 à 5, caractérisé en ce que - comme opération sensible on effectue une vérification d'un certificat provenant d'une carte à puce.
7 - Procédé selon l'une des revendications 1 à 6, caractérisé en ce que - on ré-initialise le compteur par une procédure sécurisée comportant une vérification d'un code secret par le terminal ou le circuit de sécurité.
8 - Procédé selon la revendication 7, caractérisé en ce que - la procédure sécurisée comporte une vérification d'un code secret par le terminal ou le circuit de sécurité.
9 - Procédé selon la revendication 7 , caractérisé en ce que - la ré-initialisation est effectuée à distance par un système maître.
10 - Procédé selon l'une des revendications 1 à 9, caractérisé en ce que
- on incrémente le compteur après une opération sensible réussie.
11 - Procédé selon l'une des revendications 1 à 10, caractérisé en ce que pour limiter, on interdit une partie (47) seulement des opérations de la transaction projetée.
12 - Circuit de sécurité pour la mise en oeuvre du procédé selon l'une quelconque des revendications 1 à 11, caractérisé en ce qu'il comporte des moyens de gestion (16, 17, 32, 39) aptes à:
- identifier et comptabiliser des sollicitations provenant de l'extérieur et à limiter ses fonctions dès que la comptabilisation atteint un nombre prédéterminé.
PCT/FR1998/001464 1997-07-10 1998-07-08 Procede de gestion d'un terminal securise WO1999003074A1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
US09/462,925 US7246375B1 (en) 1997-07-10 1998-07-08 Method for managing a secure terminal
CA002296009A CA2296009A1 (fr) 1997-07-10 1998-07-08 Procede de gestion d'un terminal securise
JP2000502483A JP2002511610A (ja) 1997-07-10 1998-07-08 安全化された端末の管理方法
AU85453/98A AU8545398A (en) 1997-07-10 1998-07-08 Method for managing a secure terminal
EP98936471A EP0995175A1 (fr) 1997-07-10 1998-07-08 Procede de gestion d'un terminal securise

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9708813A FR2765985B1 (fr) 1997-07-10 1997-07-10 Procede de gestion d'un terminal securise
FR97/08813 1997-07-10

Publications (1)

Publication Number Publication Date
WO1999003074A1 true WO1999003074A1 (fr) 1999-01-21

Family

ID=9509114

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR1998/001464 WO1999003074A1 (fr) 1997-07-10 1998-07-08 Procede de gestion d'un terminal securise

Country Status (8)

Country Link
US (1) US7246375B1 (fr)
EP (1) EP0995175A1 (fr)
JP (1) JP2002511610A (fr)
AR (1) AR015399A1 (fr)
AU (1) AU8545398A (fr)
CA (1) CA2296009A1 (fr)
FR (1) FR2765985B1 (fr)
WO (1) WO1999003074A1 (fr)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1100057A1 (fr) * 1999-11-11 2001-05-16 Europay (Switzerland) SA Méthode pour fournir un code d'accès pour un support de stockage
FR2832829B1 (fr) * 2001-11-28 2004-02-27 Francois Brion Procede, systeme et dispositif permettant d'authentifier des donnees transmises et/ou recues par un utilisateur
FR2834366B1 (fr) * 2001-12-28 2004-08-20 Ct D Echanges De Donnees Et D Carte a puce autoverrouillable, dispositif de securisation d'une telle carte et procedes associes
FR2853785B1 (fr) * 2003-04-09 2006-02-17 Oberthur Card Syst Sa Entite electronique securisee avec compteur modifiable d'utilisations d'une donnee secrete
DE10340181A1 (de) * 2003-09-01 2005-03-24 Giesecke & Devrient Gmbh Verfahren zur kryptographischen Absicherung der Kommunikation mit einem tragbaren Datenträger
KR101087879B1 (ko) * 2003-10-16 2011-11-30 파나소닉 주식회사 기록 캐리어에 저장된 데이터의 조건부 액세스를 위한 기록 캐리어, 시스템, 방법 및 기록매체
EP1752937A1 (fr) * 2005-07-29 2007-02-14 Research In Motion Limited Système et méthode d'entrée chiffrée d'un numéro d'identification personnel d'une carte à circuit intégré
US8002183B2 (en) * 2005-10-20 2011-08-23 Metrologic Instruments, Inc. Scanner flipper integrity indicator
DE102006037879A1 (de) 2006-08-11 2008-02-14 Bundesdruckerei Gmbh Lesegerät für ein Dokument, Verfahren zum Lesen eines Datenobjekts und Computerprogrammprodukt
FR2919974B1 (fr) * 2007-08-08 2010-02-26 Fidalis Systeme d'information et procede d'identification par un serveur d'application d'un utilisateur
EP2263359B1 (fr) * 2008-03-31 2014-09-03 Orange Procédé d'accès et de transfert de données liées à une application installée sur un module de sécurité associé à un terminal mobile, module de sécurité, serveur de gestion et système associés
DE102008056708B3 (de) * 2008-11-11 2010-04-22 Giesecke & Devrient Gmbh Verfahren zum Zuordnen eines tragbaren Datenträgers, insbesondere einer Chipkarte, zu einem Endgerät
US8294969B2 (en) * 2009-09-23 2012-10-23 Metrologic Instruments, Inc. Scan element for use in scanning light and method of making the same
US8390909B2 (en) 2009-09-23 2013-03-05 Metrologic Instruments, Inc. Molded elastomeric flexural elements for use in a laser scanning assemblies and scanners, and methods of manufacturing, tuning and adjusting the same
US8059324B2 (en) * 2009-09-23 2011-11-15 Metrologic Instruments, Inc. Scan element for use in scanning light and method of making the same
KR101418962B1 (ko) * 2009-12-11 2014-07-15 한국전자통신연구원 부채널 공격 방지를 위한 보안 장치 및 방법
US8915439B2 (en) 2012-02-06 2014-12-23 Metrologic Instruments, Inc. Laser scanning modules embodying silicone scan element with torsional hinges
US8746563B2 (en) 2012-06-10 2014-06-10 Metrologic Instruments, Inc. Laser scanning module with rotatably adjustable laser scanning assembly
KR102102179B1 (ko) * 2013-03-14 2020-04-21 삼성전자 주식회사 임베디드 시스템, 이를 포함하는 인증 시스템, 및 인증 방법
JP6014549B2 (ja) * 2013-05-20 2016-10-25 日立オムロンターミナルソリューションズ株式会社 Icカードリーダライタ
US10601593B2 (en) * 2016-09-23 2020-03-24 Microsoft Technology Licensing, Llc Type-based database confidentiality using trusted computing

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0157303A2 (fr) * 1984-03-31 1985-10-09 Kabushiki Kaisha Toshiba Dispositif de traitement de données
FR2674647A1 (fr) * 1991-03-29 1992-10-02 Widmer Michel Appareil formant chequier electronique pour transactions financieres et procede d'utilisation d'un tel appareil.
EP0626662A1 (fr) * 1993-05-26 1994-11-30 Gemplus Card International Puce de carte à puce munie d'un moyen de limitation du nombre d'authentifications
EP0696016A2 (fr) * 1994-08-01 1996-02-07 Fujitsu Limited Méthode pour administrer la sécurité pour un support de données sous forme de carte et support de données sous forme de carte

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5229764A (en) * 1991-06-20 1993-07-20 Matchett Noel D Continuous biometric authentication matrix
WO1993025024A1 (fr) * 1992-05-26 1993-12-09 Cyberlock Data Intelligence, Inc. Systeme antivirus informatique
IL111151A (en) * 1994-10-03 1998-09-24 News Datacom Ltd Secure access systems
US5979773A (en) * 1994-12-02 1999-11-09 American Card Technology, Inc. Dual smart card access control electronic data storage and retrieval system and methods
FR2745135B1 (fr) * 1996-02-15 1998-09-18 Cedric Colnot Procede pour faire autoriser par un serveur l'acces a un service a partir de dispositifs portatifs a microcircuits electroniques du type carte a memoire par exemple
FR2745136B1 (fr) * 1996-02-15 1998-04-10 Thoniel Pascal Procede et dispositif d'identification securisee entre deux terminaux
EP0795844A1 (fr) * 1996-03-11 1997-09-17 Koninklijke KPN N.V. Méthode pour modifier avec sécurité des données d'une carte à puce
ATE196398T1 (de) * 1996-03-18 2000-09-15 News Datacom Ltd Chipkartenkopplung für pay-tv-systeme
DE19617943C2 (de) * 1996-04-29 1998-12-17 Mannesmann Ag Verfahren zum Zugänglichmachen von Mikroprozessorkarten
US6328217B1 (en) * 1997-05-15 2001-12-11 Mondex International Limited Integrated circuit card with application history list
US6226744B1 (en) * 1997-10-09 2001-05-01 At&T Corp Method and apparatus for authenticating users on a network using a smart card
KR100382181B1 (ko) * 1997-12-22 2003-05-09 모토로라 인코포레이티드 단일 계좌 휴대용 무선 금융 메시지 유닛
US6151647A (en) * 1998-03-26 2000-11-21 Gemplus Versatile interface smart card
US6199128B1 (en) * 1998-03-26 2001-03-06 Gemplus, S.C.A. Smart card system for use with peripheral devices
US6539093B1 (en) * 1998-12-31 2003-03-25 International Business Machines Corporation Key ring organizer for an electronic business using public key infrastructure
WO2001008111A1 (fr) * 1999-07-22 2001-02-01 Koninklijke Philips Electronics N.V. Support de donnees pour le stockage de donnees et systeme de circuit pour ce support de donnees

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0157303A2 (fr) * 1984-03-31 1985-10-09 Kabushiki Kaisha Toshiba Dispositif de traitement de données
FR2674647A1 (fr) * 1991-03-29 1992-10-02 Widmer Michel Appareil formant chequier electronique pour transactions financieres et procede d'utilisation d'un tel appareil.
EP0626662A1 (fr) * 1993-05-26 1994-11-30 Gemplus Card International Puce de carte à puce munie d'un moyen de limitation du nombre d'authentifications
EP0696016A2 (fr) * 1994-08-01 1996-02-07 Fujitsu Limited Méthode pour administrer la sécurité pour un support de données sous forme de carte et support de données sous forme de carte

Also Published As

Publication number Publication date
EP0995175A1 (fr) 2000-04-26
AU8545398A (en) 1999-02-08
CA2296009A1 (fr) 1999-01-21
JP2002511610A (ja) 2002-04-16
AR015399A1 (es) 2001-05-02
FR2765985A1 (fr) 1999-01-15
FR2765985B1 (fr) 1999-09-17
US7246375B1 (en) 2007-07-17

Similar Documents

Publication Publication Date Title
EP0995175A1 (fr) Procede de gestion d'un terminal securise
EP0252849B1 (fr) Procédé pour authentifier une donnée d'habilitation externe par un objet portatif tel qu'une carte à mémoire
CA2144124C (fr) Procede et dispositif pour authentifier un support de donnees destine a permettre une transaction ou l'acces a un service ou a un lieu, et support correspondant
EP0096599B1 (fr) Procédé pour authentifier ou certifier au moins une information contenue dans une mémoire d'un support électronique, notamment amovible et portatif tel qu'une carte
EP0414314B1 (fr) Procédé de génération de nombre unique pour carte à micro-circuit et application à la coopération de la carte avec un système hÔte
EP0981807B1 (fr) Carte a circuit integre a liste d'historique d'applications
KR100768754B1 (ko) 휴대용 전자식 청구 및 인증 장치와 이를 위한 방법
EP2048814A1 (fr) Procédé d'authentification biométrique, programme d'ordinateur, serveur d'authentification, terminal et objet portatif correspondants.
TW577000B (en) Device for carrying out secure transactions in a communications network
FR2777673A1 (fr) Dispositif de traitement de l'information comprenant des moyens pour gerer une memoire virtuelle, et procede de stockage d'informations associe
FR3018655A1 (fr) Procede de controle d'acces a une zone reservee avec controle de la validite d'un titre d'acces stocke dans la memoire d'un terminal mobile
FR2757661A1 (fr) Procede de transfert securise de donnees par un reseau de communication
EP3542335B1 (fr) Procédé de traitement de données transactionnelles, terminal de communication, lecteur de cartes et programme correspondant
FR2832829A1 (fr) Procede, systeme et dispositif permettant d'authentifier des donnees transmises et/ou recues par un utilisateur
WO1997040474A1 (fr) Systeme securise de controle d'acces permettant le transfert d'habilitation a produire des cles
FR2922395A1 (fr) Procede de transmission d'un code confidentiel, terminal lecteur de cartes, serveur de gestion et produits programme d'ordinateur correspondants
EP0246119B1 (fr) Système optionnel de protection de l'accès à un ordinateur
EP0956540A1 (fr) Systeme securise de controle d'acces permettant l'invalidation automatique de cles electroniques volees ou perdues et/ou le transfert d'habilitation a produire des cles
EP0910839B1 (fr) Procede de stockage des unites de valeur dans une carte a puce de facon securisee et systeme de transaction monetaire avec de telles cartes
EP3032450B1 (fr) Procédé de contrôle d'une authenticité d'un terminal de paiement et terminal ainsi sécurisé
EP0979495A1 (fr) Procede de certification d'un cumul dans un lecteur
FR2808636A1 (fr) Procede de paiement securise sur le reseau internet et dispositif pour sa mise en oeuvre
FR2933560A1 (fr) Dispositif d'attestation electronique
EP1922856A2 (fr) Procede d'authentification d'un utilisateur et dispositif de mise en oeuvre
MXPA99011648A (es) Metodo para operar una terminal de seguridad

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AL AU BA BB BG BR CA CN CU CZ EE GE HU ID IL IS JP KP KR LC LK LR LT LV MG MK MN MX NZ PL RO SG SI SK SL TR TT UA US UZ VN YU

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW SD SZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 1998936471

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: PA/a/1999/011648

Country of ref document: MX

WWE Wipo information: entry into national phase

Ref document number: 85453/98

Country of ref document: AU

ENP Entry into the national phase

Ref document number: 2296009

Country of ref document: CA

Ref country code: CA

Ref document number: 2296009

Kind code of ref document: A

Format of ref document f/p: F

NENP Non-entry into the national phase

Ref country code: KR

WWP Wipo information: published in national office

Ref document number: 1998936471

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 09462925

Country of ref document: US