FR2961330A1 - Method for securing electronic transaction between user of e.g. personal computer and goods or service merchant during purchasing of train tickets, involves assuring coherence between constitutive elements of contract and signed message - Google Patents
Method for securing electronic transaction between user of e.g. personal computer and goods or service merchant during purchasing of train tickets, involves assuring coherence between constitutive elements of contract and signed message Download PDFInfo
- Publication number
- FR2961330A1 FR2961330A1 FR1002516A FR1002516A FR2961330A1 FR 2961330 A1 FR2961330 A1 FR 2961330A1 FR 1002516 A FR1002516 A FR 1002516A FR 1002516 A FR1002516 A FR 1002516A FR 2961330 A1 FR2961330 A1 FR 2961330A1
- Authority
- FR
- France
- Prior art keywords
- zis
- user
- terminal
- contract
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/031—Protect user input by software means
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Accounting & Taxation (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Finance (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
DESCRIPTION Procédé de sécurisation des interactions utilisateur sur un terminal hostile Le domaine de l'invention est celui de la délivrance de biens ou de services sécurisés. Plus précisément, il concerne la sécurisation des interactions entre un utilisateur et un terminal personnel de cet utilisateur. Cette sécurisation est mise en oeuvre lors de la réalisation d'une transaction électronique entre l'utilisateur d'un terminal personnel et un prestataire. On considère comme terminal personnel un PC, un téléphone mobile ou tout équipement électronique pourvu d'une interface homme-machine. On se place dans l'hypothèse d'un terminal personnel non sûr, car pouvant être affecté par des logiciels malicieux de type virus. DESCRIPTION The method of securing user interactions on a hostile terminal The field of the invention is that of the delivery of secure goods or services. More specifically, it relates to securing interactions between a user and a personal terminal of this user. This security is implemented during the realization of an electronic transaction between the user of a personal terminal and a provider. A personal terminal is considered to be a PC, a mobile telephone or any electronic equipment provided with a man-machine interface. It is assumed in the hypothesis of an unsafe personal terminal, because can be affected by malicious software type virus.
Dans l'état de la technique, les transactions électroniques se conforment au modèle d'achat d'un bien ou d'un service décrit dans la figure 1, non limitatif de l'invention à savoir : o L'utilisateur 1 (qui a un terminal personnel (2)) choisit un bien ou un service : ce choix peut se faire par exemple o pour le mode distant, dans un magasin virtuel au travers d'un réseau de communication (3) comme le réseau internet,; dans ce cas le terminal permet la « navigation » sur Internet par l'usage d'une application généralement nommée « browser », o pour le mode local, dans un magasin réel, l'utilisateur paye à la caisse le bien, produit ou service choisit. o Le terminal personnel reçoit un « contrat » (5) du prestataire (4) (dans notre exemple le prestataire est le marchand du bien ou du service en cours d'achat) , résumant les caractéristiques principales de la transaction, et l'affiche (6). o L'utilisateur vérifie le contrat (6) au travers de l'interface homme/machine de son terminal personnel, s'il est d'accord, confirme son accord, en saisissant son code confidentiel de transaction (7) (dénommé CC dans la suite du document) sur l'interface homme/machine de son terminal personnel (par exemple le clavier de son téléphone). Il est le seul à connaître ce code, qui est généralement fourni par un prestataire ou opérateur de paiement, et cette action de saisie constitue donc une preuve de son accord. o Le terminal personnel renvoie alors une signature (8) calculée après vérifications, notamment du CC. Cet accord peut avoir une valeur juridique probante dans certains types de transactions. In the state of the art, the electronic transactions conform to the model of purchase of a good or a service described in FIG. 1, which is not restrictive of the invention, namely: o User 1 (who has a personal terminal (2)) chooses a good or a service: this choice can be done for example o for the remote mode, in a virtual store through a communication network (3) such as the Internet,; in this case the terminal allows the "navigation" on the Internet by the use of an application generally called "browser", o for the local mode, in a real store, the user pays at the cash desk the good, product or service chooses. o The personal terminal receives a "contract" (5) from the provider (4) (in our example the service provider is the merchant of the good or service being purchased), summarizing the main characteristics of the transaction, and the poster (6). o The user checks the contract (6) through the man / machine interface of his personal terminal, if he agrees, confirms his agreement, by entering his confidential transaction code (7) (called CC in the rest of the document) on the human / machine interface of his personal terminal (for example the keypad of his telephone). He is the only one to know this code, which is generally provided by a service provider or payment operator, and this seizure action is therefore proof of his agreement. o The personal terminal then sends a signature (8) calculated after verifications, in particular of the CC. This agreement may have probative legal value in certain types of transactions.
Ce modèle s'applique au paiement de contact ou à distance, à la signature électronique, aux enchères...etc. Dans le cas du paiement de contact, il faut un moyen de communication local entre le terminal personnel (le mobile) et le terminal prestataire qui peut être basé sur différentes technologies standardisées, telles que le NFC, Bluetooth , Zigbee, ou code barre 2D' ... Dans la suite on évoque plutôt le NFC comme domaine privilégié d'application de l'invention, mais elle s'étend de façon immédiate aux domaines correspondants à ces autres technologies. This template applies to contact or remote payment, electronic signature, auction ... etc. In the case of the contact payment, a means of local communication is required between the personal terminal (the mobile) and the service terminal which can be based on different standardized technologies, such as NFC, Bluetooth, Zigbee, or 2D barcode. ... In the following we talk about the NFC as the preferred field of application of the invention, but it extends immediately to the areas corresponding to these other technologies.
Une transaction se traduit donc par une signature électronique prouvant au marchand ou prestataire l'accord du client et engageant celui-ci. Le calcul de la signature, la vérification du NFC : Near Field Communication : technique standardisée conférant aux mobiles la capacité d'être utilisés comme une carte sans contact, ou un terminal sans contact Bluetooth : www.bluetooth.org; Zigbee : https://www.zigbee.org/; code barre 2D ou Flashcode: :norme ISO/IEC 18004, 1 A transaction therefore results in an electronic signature proving to the merchant or service provider the agreement of the customer and committing it. The calculation of the signature, the NFC verification: Near Field Communication: standardized technique giving the mobile the ability to be used as a contactless card, or a Bluetooth contactless terminal: www.bluetooth.org; Zigbee: https://www.zigbee.org/; 2D bar code or Flashcode:: ISO / IEC 18004 standard, 1
CC et des vérifications complémentaires peuvent être faites directement dans le terminal personnel. Cette vérification au niveau du terminal personnel est sujette à caution car les terminaux grands publics ne sont généralement pas des terminaux sécurisés du fait de leurs couts et de la complexité des composants constituants lesdits terminaux personnels, il est très difficile aujourd'hui d'évaluer sur le plan de leur sécurité intrinsèque les terminaux personnels, et ceux ci restent malheureusement exposés aux risques des logiciels malveillants, chevaux de troie, virus ou bot-net, etc. CC and additional checks can be made directly in the personal terminal. This verification at the personal terminal is questionable because the public terminals are generally not secure terminals because of their costs and the complexity of the components constituting said personal terminals, it is very difficult today to assess on the plan of their intrinsic security personal terminals, and those are unfortunately exposed to the risks of malware, trojans, viruses or bot-net, etc.
Au niveau de l'état de l'art, on résout ce problème de sécurisation en adjoignant un « secure element » SE aux terminaux personnels, dans lequel seront confinés l'ensemble des éléments et tâches sensibles en termes de sécurité (clef de chiffrement et authentification, algorithme de chiffrement, PIN code etc...). Dans le cadre des terminaux personnels de type téléphones mobiles les SE les plus couramment utilisés sont les cartes USIM (sur une base UICC), ou les cartes SD`m sécurisées. Avec les PC ce peut être une carte à puce traditionnelle si le PC a un lecteur de cartes adéquat, mais plus simplement ce peut être une clé USB de sécurité. Le SE peut également être partie intégrante du terminal, mais constitué de telle façon que ses données et programmes soient protégés : c'est le cas par exemple avec les normes TCG2. At the level of the state of the art, this security problem is solved by adding a "secure element" SE to the personal terminals, in which all the elements and tasks that are sensitive in terms of security (encryption key and authentication, encryption algorithm, PIN code etc ...). In the case of mobile-type personal terminals, the most commonly used SEs are USIM cards (on a UICC basis), or secure SD`m cards. With PCs it can be a traditional smart card if the PC has a suitable card reader, but more simply it can be a USB security key. The ES can also be an integral part of the terminal, but made in such a way that its data and programs are protected: this is the case for example with the TCG2 standards.
La figure 2 schématise un état de l'art des échanges pour la réalisation d'une transaction électronique(TE) entre le prestataire fournisseur du bien ou du service, le terminal personnel(2) et le SE (9) de l'utilisateur client (1) requérant la transaction électronique(TE), dans les deux cas : à gauche le terminal est un PC relié à un serveur prestataire via internet ; à droite le terminal est un mobile relié à un terminal prestataire lors d'une transaction NFC3, ou relié à un serveur prestataire via internet. Ces deux cas sont équivalents du point de vue de la matière de l'invention. Le terminal reçoit de la part du prestataire un contrat décrivant la nature de la transaction (par exemple : achat d'un bien ou d'un service) et le présente à l'utilisateur sur son interface homme/machine. Le terminal, après saisie par l'utilisateur client sur l'interface homme/machine du terminal du CC, envoie au SE (9) et à l'application de signature (11) embarquée dans le SE, le CC accompagné du contrat, par le message (10); l'application (1l) vérifie le CC , peut réaliser certains tests complémentaires dépendant de l'application considérée, puis calcule si le contrôle est positif une signature qu'il renvoie au terminal : message (12). Le terminal renvoie alors au serveur ou terminal prestataire cette signature par le message (8). Au niveau de l'état de l'art antérieur on constate que cette solution met à l'abri les données (clés, algorithmes, contrôles) les plus sensibles mais ne protège en rien l'ensemble de la réalisation de la transaction électronique contre des attaques par virus destinées par exemple à tromper l'utilisateur sur le montant qui va réellement lui être prélevé lors d'un paiement, ou des attaques destinées à lui voler son CC. Ce constat reste malheureusement valide lorsque l'on prend l'hypothèse que le SE est intrinsèquement sûr. FIG. 2 schematizes a state of the art of the exchanges for the realization of an electronic transaction (TE) between the provider provider of the good or the service, the personal terminal (2) and the SE (9) of the client user (1) requiring the electronic transaction (TE), in both cases: on the left the terminal is a PC connected to a server provider via the Internet; on the right, the terminal is a mobile connected to a provider terminal during an NFC3 transaction, or connected to a provider server via the Internet. These two cases are equivalent from the point of view of the subject matter of the invention. The terminal receives from the provider a contract describing the nature of the transaction (for example: purchase of a good or a service) and presents it to the user on his man / machine interface. The terminal, after input by the client user on the man / machine interface of the terminal of the CC, sends the SE (9) and the signature application (11) embedded in the SE, the CC accompanied by the contract, by the message (10); the application (1l) checks the CC, can perform some additional tests depending on the application considered, then calculates if the control is positive a signature that refers to the terminal: message (12). The terminal then sends back to the server or terminal providing this signature by the message (8). At the level of the state of the prior art, it can be seen that this solution protects the most sensitive data (keys, algorithms, controls) but in no way protects the entire realization of the electronic transaction against virus attacks intended for example to mislead the user on the amount that will actually be taken from him during a payment, or attacks intended to steal his CC. This observation unfortunately remains valid when we assume that the ES is intrinsically safe.
Dans la mesure où l'on ne peut avoir une confiance totale en le terminal, on peut alors craindre qu'il ne devienne la cible d'attaques par virus ou chevaux de Troie le transformant en terminal « hostile ». Au niveau de l'état de l'art antérieur, les attaques possibles sont de deux ordres, tel que représenté sur la figue 3 : o Attaque sur l'intégrité du contrat, par exemple faire croire à l'utilisateur qu'il va payer 10E alors que le montant de la transaction signée serait de 100E. C'est le cas dans la figure 3 si le contrat proposé en 5 stipule par exemple 100E, mais que le virus modifie le contrat affiché en 6 en changeant 100E en 10 E. Pour être intéressante, ce type d'attaque doit se faire en collusion entre le prestataire et l'émetteur du virus, et ce scénario n'est pas z TCG : Trusted Computing Group : https://www.trustedcomputinggroup.org/ NFC : Near Field Communication : technique standardisée conférant aux mobiles la capacité d'être utilisés comme une carte sans contact, ou un terminal sans contact 2 totalement irréaliste, notamment avec la catégorie de virus appelés « botnet ». De plus, la simple possibilité technique de mener une telle attaque remettrait complètement en cause l'image de sécurité qui doit être attachée aux types de transactions considérés. o Attaque sur la confidentialité CC, toute capture de ce CC au moment de la saisie de celui-ci par l'utilisateur sur l'interface homme/machine du terminal personnel à l'insu de l'utilisateur permet de « forcer » ou simuler son « accord » sur des transactions fictives. Dans ce cas, l'utilisateur n'a plus aucun contrôle sur les transactions qu'il génère involontairement ! Il est important de se protéger contre de telles attaques, qui peuvent paraître un peu théoriques, que l'on soit dans un contexte PC ou Mobiles. Même si leur mise en oeuvre n'est pas simple, elles pourraient, par le biais des médias, résulter en une dégradation importante de la confiance du public, ou même remettre en cause certaines caractéristiques contractuelles des applications attaquées, et donc avoir des conséquences business extrêmement néfastes. Since we can not have complete trust in the terminal, we can fear that it will become the target of virus or Trojan attacks turning it into a "hostile" terminal. At the level of the state of the prior art, the possible attacks are twofold, as shown in Fig. 3: o Attack on the integrity of the contract, for example to make the user believe that he will pay 10E while the amount of the transaction signed would be 100E. This is the case in figure 3 if the contract proposed in 5 stipulates for example 100E, but that the virus modifies the contract displayed in 6 by changing 100E in 10 E. To be interesting, this type of attack must be done in collusion between the provider and the issuer of the virus, and this scenario is not z TCG: Trusted Computing Group: https://www.trustedcomputinggroup.org/ NFC: Near Field Communication: standardized technique giving mobile the ability to be used as a contactless card, or a contactless terminal 2 completely unrealistic, especially with the category of viruses called "botnet". Moreover, the mere technical possibility of carrying out such an attack would completely call into question the security image that must be attached to the types of transactions considered. o Attack on CC confidentiality, any capture of this CC at the time of the entry of this one by the user on the human / machine interface of the personal terminal without the knowledge of the user allows to "force" or simulate his "agreement" on fictitious transactions. In this case, the user no longer has any control over the transactions he generates involuntarily! It is important to protect yourself against such attacks, which may seem a little theoretical, whether you are in a PC or mobile context. Even if their implementation is not simple, they could, through the media, result in a significant degradation of the public trust, or even call into question certain contractual characteristics of the applications attacked, and thus have business consequences. extremely harmful.
Le but de l'invention est de contrer les attaques décrites figure 3, sans imposer des contraintes particulières au terminal ni requérir l'usage de terminaux certifiés d'un point de vu sécurité. Au niveau de l'état de l'art antérieur, ce type de sécurisation mis en oeuvre sans usage de terminaux certifiés est très difficile à réaliser et à déployer, les terminaux personnels de type mobile ou PC ne pouvant interdire le chargement et l'installation de logiciels applicatifs choisis par leur utilisateur ou un tiers malicieux (virus). The object of the invention is to counter the attacks described in Figure 3, without imposing particular constraints on the terminal or require the use of certified terminals from a security point of view. At the level of the state of the prior art, this type of security implemented without the use of certified terminals is very difficult to achieve and deploy, the mobile-type personal terminals or PC can not prohibit charging and installation software applications chosen by their user or a malicious third party (virus).
Dans l'invention on résout ce problème de sécurité transactionnelle en mettant en oeuvre un concept de «Zone d'Interaction Sécurisée », dénommée ZIS, telle que représentée dans un exemple non limitatif de transaction d'achat d'un billet de train figure 7. La ZIS est ici un objet graphique présenté sur l'écran du terminal de l'utilisateur, par exemple constituant une fenêtre graphique pour un terminal de type PC ou constituant un bandeau sur l'écran d'un terminal de type téléphone mobile. Cet objet graphique permet d'afficher le contenu du contrat relatif à une transaction d'achat d'un billet, ou tout au moins ses éléments importants : o En y intégrant une variabilité de structure et de présentation entre deux transactions différentes, rendant son contenu non prédictible par un attaquant et donc en empêchant toute attaque automatisée contre l'usager du terminal ( au travers d'un logiciel malicieux par exemple). o En rendant difficile des modifications lors d'une attaque automatisée (par un logiciel malicieux dans le terminal) contre l'usager du terminal. o Mais en gardant certaines caractéristiques de forme ou de présentation permettant une reconnaissance par l'utilisateur de la validité et de l'origine des informations de cette ZIS o En permettant de plus à l'utilisateur de confirmer son accord par introduction de son code confidentiel de confirmation de transaction CC. In the invention, this transactional security problem is solved by implementing a concept of a "Secure Interaction Area", called ZIS, as represented in a non-limiting example of a purchase transaction for a train ticket. Here, the ZIS is a graphic object presented on the screen of the user's terminal, for example constituting a graphic window for a terminal of the PC type or constituting a banner on the screen of a terminal of the mobile phone type. This graphic object is used to display the content of the contract relating to a purchase transaction of a ticket, or at least its important elements: o Incorporating a variability of structure and presentation between two different transactions, making its content not predictable by an attacker and thus preventing any automated attack against the user of the terminal (through a malicious software for example). o Making difficult modifications during an automated attack (by a malicious software in the terminal) against the user of the terminal. o But keeping some characteristics of form or presentation allowing a recognition by the user of the validity and the origin of the information of this ZIS o By allowing more the user to confirm his agreement by introduction of his confidential code CC transaction confirmation.
L'invention a donc pour objet un procédé de sécurisation de transaction électronique entre un utilisateur et un prestataire ledit procédé comportant au moins les étapes suivantes : L'émission par ledit prestataire par l'intermédiaire d'un contrat envoyé dans un message vers le terminal du dit utilisateur et transmis par le terminal à un élément de sécurité SE, Fourniture par ledit élément de sécurité SE des éléments de la transaction au terminal pour affichage à l'utilisateur et acceptation de la transaction, Collecte par ledit terminal de l'acceptation ou du refus par l'utilisateur du contrat proposé, 3 Transmission par ledit terminal de l'acceptation vers l'élément de sécurité SE pour traitement en vue d'une émission d'un message d'acceptation signé (ou refus) , au travers du terminal, vers le prestataire ledit procédé étant caractérisé en ce que : The subject of the invention is therefore a method for securing electronic transaction between a user and a provider, said method comprising at least the following steps: Transmission by said provider via a contract sent in a message to the terminal of said user and transmitted by the terminal to a security element SE, Provision by said security element SE elements of the transaction to the terminal for display to the user and acceptance of the transaction, collection by said terminal of the acceptance or the refusal by the user of the proposed contract, 3 Transmission by said terminal of acceptance to the security element SE for processing with a view to issuing a signed acceptance message (or refusal), through the terminal, to the provider, said method being characterized in that:
Le contrat fourni par le SE au terminal pour affichage à l'utilisateur est un objet graphique appelé ZIS, et conçu pour être protégé en intégrité, L'objet ZIS est constitué par un assemblage variable des représentations graphiques des éléments constitutifs du contrat entre le prestataire et l'utilisateur, L'objet ZIS est de plus perturbé par l'ajout d'éléments graphiques non constitutifs du contrat, l'élément de sécurité SE procède à une analyse de l'acceptation de l'utilisateur (ou du refus) et calcule le cas échéant un message de validation et d'acceptation signé de la transaction, The contract provided by the OS to the terminal for display to the user is a graphic object called ZIS, and designed to be protected in integrity, The ZIS object consists of a variable assembly of graphical representations of the elements of the contract between the provider and the user, The ZIS object is further disturbed by the addition of graphic elements not constituting the contract, the security element SE carries out an analysis of the acceptance of the user (or refusal) and calculates, if necessary, a signed validation and acceptance message of the transaction,
Dans une variante, le procédé selon l'invention est aussi caractérisé en ce que la ZIS peut être un objet multimédia non limité à des informations graphiques : son (pour vocaliser des champs tels que le montant) ou même vidéo (pour présenter par exemple des données du contrat telles que la description de la prestation achetée). In one variant, the method according to the invention is also characterized in that the ZIS can be a multimedia object that is not limited to graphic information: sound (to vocalize fields such as the amount) or even video (to present for example contract data such as the description of the service purchased).
Différents modes de réalisation sont possibles, correspondant à différentes revendications secondaires ; ces différents modes sont : o mode local : les traitements sont réalisés totalement dans le SE, ce qui suppose une architecture logicielle et une cinématique des échanges décrite ci-après ; o la puissance de calcul du SE étant limitée, deux modes de réalisation optimisés dans ce cas sont décrits ci-après o mode distant : les traitements sont réalisés dans un serveur distant, sur la demande du SE ce qui constitue un autre type de cinématique possible L'invention sera mieux comprise à la lecture de la description qui suit et à l'examen des figures qui l'accompagnent. Celles-ci sont présentées à titre indicatif et nullement limitatif de l'invention. Les figures montrent : Figure 4 : le principe de réalisation de la ZIS : schématise les échanges entre prestataire, terminal, et SE liés au concept de ZIS, objet de l'invention. Figure 5 : la cinématique des échanges dans le cas CS : détaille la figure 4 dans le cas du mode de saisie de l'acceptation sécurisée par le code secret CS. Figure 6 : la cinématique des échanges dans le cas CVD : détaille la figure 4 dans le cas du mode de saisie de l'acceptation de l'utilisateur sur un clavier virtuel dynamique. Figure 7 : un exemple de représentation graphique d'un contrat Figure 8 : un exemple de deux transactions différentes sur les mobiles de deux utilisateurs différents, illustrant la variabilité/invariance de la ZIS Figure 9 : Serveur distant pour le calcul de la ZIS, adaptant la cinématique de la figure 4 à ce cas particulier. Different embodiments are possible, corresponding to different secondary claims; these different modes are: o local mode: the treatments are carried out totally in the SE, which supposes a software architecture and a kinematics of the exchanges described hereafter; o The computing power of the OS being limited, two optimized embodiments in this case are described below o remote mode: the processing is performed in a remote server, at the request of the SE which is another type of possible kinematics The invention will be better understood on reading the description which follows and on examining the figures which accompany it. These are presented as an indication and in no way limitative of the invention. The figures show: FIG. 4: the principle of realization of the ZIS: schematizes the exchanges between provider, terminal, and SE related to the concept of ZIS, object of the invention. Figure 5: the kinematics of exchanges in the case CS: details Figure 4 in the case of the mode of entry of the secure acceptance by the secret code CS. Figure 6: the kinematics of the exchanges in the case CVD: details figure 4 in the case of the mode of seizure of the acceptance of the user on a dynamic virtual keyboard. Figure 7: An example of a graphical representation of a contract Figure 8: An example of two different transactions on the mobiles of two different users, illustrating the variability / invariance of the ZIS Figure 9: Remote server for the calculation of the ZIS, adapting the kinematics of Figure 4 to this particular case.
La ZIS est générée par un élément de confiance suite à la réception par celui-ci du message 5, message correspondant au contrat proposé par le prestataire. Cet élément de confiance est soit le SE lui-même, soit un serveur distant accessible par un moyen de communication du terminal de 4 l'utilisateur, ce moyen permettant d'établir un canal sécurisé entre le terminal de l'utilisateur et le SE lorsque le réseau de transport utilisé est ouvert et public comme les réseaux de type Internet. The ZIS is generated by a trusted element following receipt by the latter of the message 5, message corresponding to the contract proposed by the provider. This trusted element is either the OS itself or a remote server accessible by means of communication of the user's terminal, this means making it possible to establish a secure channel between the user's terminal and the OS when the transport network used is open and public like Internet-type networks.
Le format/structure de la ZIS (position des champs, fond, couleurs, orientations...) est variable pour chacun des utilisateurs pour chaque transaction. Dans une mise en oeuvre alternative de l'invention la structure de la ZIS pourrait être définie par l'utilisateur, ce qui lui permettrait de participer à la vérification de l'authenticité et de l'intégrité des informations présentées dans la ZIS du fait du respect de la structure préalablement définie. Cette description spécifique de l'utilisateur impose alors au SE (qui est la propriété d'un utilisateur) ou au serveur distant (qui est commun à un ensemble d'utilisateurs) la gestion de données de format et de structure de la ZIS associée à cet utilisateur. Dans une mise en oeuvre secondaire de l'invention une interface appropriée permet sur le terminal de l'utilisateur, après une phase d'authentification, de définir et structurer sa propre ZIS en y insérant les éléments de son choix, éléments correspondant aux capacités de génération par le SE des ZIS. L'objet de cette variation pour chacune des transactions de la structure de la ZIS est de rendre très difficile les attaques automatiques sur des formats non connus à priori et ne pouvant pas être prédits du fait des algorithmes de générations mis en oeuvre par le composant SE. The format / structure of the ZIS (position of the fields, background, colors, orientations ...) is variable for each user for each transaction. In an alternative implementation of the invention the structure of the ZIS could be defined by the user, which would allow him to participate in the verification of the authenticity and integrity of the information presented in the ZIS because of the respect of the previously defined structure. This user-specific description then imposes on the OS (which is the property of a user) or on the remote server (which is common to a set of users) the management of format and structure data of the ZIS associated with the user. this user. In a secondary implementation of the invention an appropriate interface allows the user's terminal, after an authentication phase, to define and structure its own ZIS by inserting the elements of its choice, elements corresponding to the capabilities of the user. generation by the SE of ZIS. The object of this variation for each of the transactions of the ZIS structure is to make very difficult the automatic attacks on formats not known a priori and can not be predicted because of the generation algorithms implemented by the component SE .
L'invention repose donc sur un procédé de génération de l'objet ZIS et sa prise en compte dans les différentes étapes de la transaction : cet objet a donc les particularités suivantes : The invention is therefore based on a method of generating the ZIS object and taking it into account in the various steps of the transaction: this object therefore has the following particularities:
a. une attaque de l'intégrité de la ZIS (par exemple pour modifier le montant ou description de la prestation) nécessiterait une analyse complexe pour en comprendre les différents champs de contenu, et réaliser des modifications pertinentes et consistantes. b. Le contrôle de l'acceptation de l'utilisateur se fait grâce à un code confidentiel (CC) classique. Le vol de l'authentifiant de l'utilisateur (CC) est contré o par l'utilisation d'un code secret CS généré aléatoirement par le SE, visualisé selon les principes a/ ci-dessus, et que seul l'utilisateur est capable de lire, et donc de taper sur le clavier en plus de son code confidentiel o ou/et par une technique de saisie sur un clavier virtuel dynamique visualisé selon les principes a/ ci-dessus. Le choix de l'une ou l'autre des méthodes et de la valeur du CC se fait lors de l'enregistrement de l'utilisateur et la personnalisation du SE. at. an attack on the integrity of the ZIS (for example to change the amount or description of the service) would require a complex analysis to understand the different content fields, and make relevant and consistent changes. b. The control of the user acceptance is done through a conventional confidential code (CC). The theft of the authenticator of the user (CC) is countered by the use of a secret code CS generated randomly by the SE, visualized according to the principles a / above, and that only the user is capable of to read, and thus to type on the keyboard in addition to its confidential code o or / and by a technique of input on a dynamic virtual keyboard visualized according to the principles a / above. The choice of one or the other of the methods and the value of the CC is made during the registration of the user and the personalization of the SE.
Plus précisément les caractéristiques suivantes sont appliquées: More precisely, the following characteristics are applied:
Génération de la ZIS - Le calcul de la ZIS par le SE (9) peut se limiter aux portions de la ZIS qui sont à protéger, de façon à minimiser les calculs à faire dans le SE (9). - La ZIS (ou les portions de la ZIS à protéger) est un objet graphique sur l'écran du terminal personnel, reprenant entre autres principes les notions de « captcha » ; la cinématique associée est décrite par la figure 4 - Elle est générée par le SE (9), qui est un élément de confiance, par une application Appli_ZIS (14) s'exécutant dans le SE (9) qui reçoit le contrat grâce au message (13) envoyé par le terminal au SE (9) après réception du message (5) contenant le contrat envoyé par le prestataire (4) au terminal (2). Elle est envoyée par le SE (9) au terminal (2) sous forme d'une suite de pixels, afin de rendre difficile pour un virus dans le terminal (2) toute modification significative . - La ZIS est authentifiable par le client grâce à ses propriétés graphiques 5 - Elle ne peut être modifiée par un virus dans le terminal: Une modification significative nécessiterait une compréhension des informations dans la fenêtre Ceci nécessiterait une analyse de l'image, segmentation/ transformation 2D/séparation des champs, et reconnaissance de caractères dans des temps limités à quelques secondes qui est le délai maximum que doit respecter l'utilisateur pour accepter ou refuser le contrat. Generation of the ZIS - The calculation of the ZIS by the SE (9) can be limited to the portions of the ZIS that are to be protected, so as to minimize the calculations to be made in the SE (9). - The ZIS (or the portions of the ZIS to protect) is a graphic object on the screen of the personal terminal, incorporating among other principles the concepts of "captcha"; the associated kinematics is described in figure 4 - It is generated by the SE (9), which is a trusted element, by an application Appli_ZIS (14) executing in the SE (9) which receives the contract thanks to the message (13) sent by the terminal to the SE (9) after receiving the message (5) containing the contract sent by the provider (4) to the terminal (2). It is sent by the SE (9) to the terminal (2) in the form of a sequence of pixels, to make it difficult for a virus in the terminal (2) any significant change. - The ZIS is authenticated by the client thanks to its graphic properties 5 - It can not be modified by a virus in the terminal: A significant change would require an understanding of the information in the window This would require an image analysis, segmentation / transformation 2D / separation of fields, and recognition of characters in limited time to a few seconds which is the maximum time that the user must respect to accept or refuse the contract.
Confirmation de l'accord : Selon la figure 4, si l'utilisateur est d'accord, il fournit à son terminal le code confidentiel CC (message 7). Le SE (9) contient une application Appli_ZIS (11) qui contrôle le CC, effectue certains contrôles complémentaires propres à l'application considérée, et calcule la signature qu'il renvoie au terminal par le message (12) . L'invention décrit deux méthodes pour la saisie et le contrôle du code confidentiel, et qui toutes deux préviennent une attaque de type vol du CC, correspondant à deux modes de réalisation de l'invention décrits ci-dessous. Ces deux méthodes peuvent être utilisées simultanément. Confirmation of the agreement: According to Figure 4, if the user agrees, he provides his terminal the confidential code CC (message 7). The SE (9) contains an application Appli_ZIS (11) which controls the CC, performs certain additional checks specific to the application in question, and calculates the signature that it sends back to the terminal by the message (12). The invention describes two methods for entering and controlling the PIN, both of which prevent a DC-type attack, corresponding to two embodiments of the invention described below. Both methods can be used simultaneously.
- Code secret CS : Les interactions relatives à ce mode sont décrites figure 5. Un code secret CS est généré aléatoirement en même temps que la ZIS par l'application Appli_ZIS (14) dans le SE (9). - Secret code CS: The interactions relating to this mode are described in FIG. 5. A secret code CS is generated randomly at the same time as the ZIS by the application Appli_ZIS (14) in the SE (9).
L'Appli_ZIS envoie à l'Appli_SIG par le message (16) les données nécessaires pour conclure la transaction, donc valeur du CS généré et les données du contrat obtenues en (13). Le CS fait partie des éléments graphiques de la ZIS, et ne peut donc être lu par un virus dans le terminal. La ZIS et ce CS sont transmis au terminal par le message (15), et le terminal l'affiche sur l'écran : (6). La figure 7 donne un exemple de représentation graphique de la ZIS où apparaît le CS avec la valeur « 143 » ; mais un autre utilisateur pourrait avoir une ZIS totalement différente du point de vue du fond et de la présentation des différents champs. L'utilisateur s'il est d'accord renseigne les champs CC et CS (avec ce qu'il lit sur l'écran : « 143 ») : message (7) Le SE contrôle CC (donnée permanente enregistrée à la personnalisation) et le CS (donnée générée par l'application Appli_ZIS (14) et envoyée à l'application Appli_SIG (11) dans le message (16) . Si un virus «vole » le CC, le CS étant variable à chaque transaction, ce virus ne peut seul « forcer » l'accord du client. L'application (Il) peut réaliser des contrôles ou traitements complémentaires spécifiques du type de transaction, puis elle élabore une signature des éléments du contrat reçus dans le message (16). Cette signature vaut accord de l'utilisateur, et est envoyée en (12) au terminal, qui la renvoie en (8) au prestataire notons de plus que cette façon de procéder permet aussi de contrer une attaque par rejeu : le logiciel malveillant dans le terminal (2) ré-utiliserait une ZIS d'une transaction précédente, puisque le CS change à chaque transaction. C'est la raison pour laquelle elle peut aussi être utilisée avec la méthode décrite ci-après. Ce procédé s'adapte aisément au cas où le CC est remplacé par une caractéristique biométrique propre à l'utilisateur, mesurée sur le terminal. Dans les messages (7) et (10), il faut alors remplacer la donnée CC par une donnée caractéristique de la donnée biométrique mesurée, et qui est vérifiée par l'application Appli_SIG (11). Des exemples de caractéristique biométrique particulièrement adaptée au contexte de l'invention sont l'empreinte digitale, la dynamique de frappe au clavier, la reconnaissance de visage.... The Appli_ZIS sends to the Appli_SIG by the message (16) the data necessary to conclude the transaction, therefore value of the generated CS and the data of the contract obtained in (13). The CS is part of the graphic elements of the ZIS, and can not be read by a virus in the terminal. The ZIS and this CS are transmitted to the terminal by the message (15), and the terminal displays it on the screen: (6). Figure 7 gives an example of a graphical representation of the ZIS where the CS appears with the value "143"; but another user could have a totally different ZIS from the point of view of the background and the presentation of the different fields. The user if he agrees informs the fields CC and CS (with what he reads on the screen: "143"): message (7) The CC control (permanent data recorded at the personalization) and the CS (data generated by the application Appli_ZIS (14) and sent to the application Appli_SIG (11) in the message (16) .If a virus "steals" the CC, the CS being variable with each transaction, this virus does not can only "force" the agreement of the client.The application (II) can carry out additional controls or complementary processing specific to the type of transaction, then it elaborates a signature of the elements of the contract received in the message (16) .This signature is valid user agreement, and is sent to (12) the terminal, which returns it in (8) to the service provider note that this procedure also allows to counter a replay attack: the malware in the terminal (2 ) would re-use a ZIS from a previous transaction, since the CS changes to a This is why it can also be used with the method described below. This method is easily adapted to the case where the CC is replaced by a biometric characteristic specific to the user, measured on the terminal. In the messages (7) and (10), it is then necessary to replace the data CC with a characteristic data of the measured biometric data, which is verified by the Appli_SIG application (11). Examples of biometric characteristics particularly suited to the context of the invention are the fingerprint, the typing dynamics, the face recognition ....
- Clavier virtuel dynamique (CVD) 6 - Dynamic Virtual Keyboard (CVD) 6
De façon à éviter l'espionnage par un logiciel malveillant des caractères du CC saisis sur le clavier du terminal, on utilise ici un clavier dynamique (la position des touches est varaible à chaque transaction) dessiné sur l'écran du terminal (2) à l'intérieur de la ZIS. Ce mode de réalisation peut être combiné avec le mode précédent. In order to avoid the spying by malicious software CC characters entered on the keyboard of the terminal, we use here a dynamic keyboard (the position of the keys is varaible to each transaction) drawn on the screen of the terminal (2) to inside the ZIS. This embodiment can be combined with the previous mode.
Le clavier dynamique (c'est-à-dire l'ordre des touches du clavier numérique affiché à l'écran) est généré aléatoirement dans le SE (9) par l'application Appli_ZIS (14) et transmis au terminal (message 15) ; le terminal affiche la fenêtre graphique et le clavier dynamique sur l'écran : 6. L'Appli_ZIS envoie à l'Appli_SIG par le message (16) les données nécessaires pour conclure la transaction, donc la description du CVD généré et les données du contrat obtenues en (13). L'utilisateur, s'il est d'accord, saisit en (7) son CC sur le clavier virtuel. Le terminal transmet les positions des clics (coordonnées x,y des clics) en (10). Les positions des clics sont reconnues par l'application Appli_SIG (Il) par rapport au clavier dynamique généré dans l'étape précédente par l'Appli_ZIS (14), et envoyé à l'application (11) par le message (16). Il s'agit par exemple d'une table contenant un ensemble d'éléments {symbole ; position x,y ; dimension touche} où symbole est un des symboles { 1 2 3 4 5 } . L'application (Il) en déduit donc les chiffres du CC tapé par l'utilisateur, qu'elle compare au CC enregistré à la personnalisation du SE. Si ce contrôle du CC est positif, l'application Appli_SIG (11) peut réaliser des contrôles ou traitements complémentaires spécifiques du type de transaction, puis elle élabore une signature des éléments du contrat reçus dans le message (16). Cette signature vaut accord de l'utilisateur, et est envoyée en (12) au terminal, qui la renvoie en (8) au prestataire The dynamic keyboard (ie the order of the keys of the numeric keypad displayed on the screen) is generated randomly in the SE (9) by the application Appli_ZIS (14) and transmitted to the terminal (message 15) ; the terminal displays the graphic window and the dynamic keyboard on the screen: 6. The Appli_ZIS sends to the Appli_SIG by the message (16) the data necessary to conclude the transaction, therefore the description of the CVD generated and the data of the contract obtained in (13). The user, if he agrees, enters (7) his CC on the virtual keyboard. The terminal transmits the positions of the clicks (x, y coordinates of the clicks) in (10). The positions of the clicks are recognized by the application Appli_SIG (II) compared to the dynamic keyboard generated in the previous step by the Appli_ZIS (14), and sent to the application (11) by the message (16). This is for example a table containing a set of elements {symbol; position x, y; dimension key} where symbol is one of the symbols {1 2 3 4 5}. The application (II) therefore deduces the numbers of the CC typed by the user, which it compares to the CC registered personalization of the SE. If this control of the DC is positive, the application Appli_SIG (11) can carry out additional controls or complementary processing specific to the type of transaction, then it elaborates a signature of the elements of the contract received in the message (16). This signature is the user's agreement, and is sent to the terminal (12), which sends it back to the service provider (8).
Génération de la fenêtre graphique Pour rendre la reconnaissance et la modification par software dans le terminal (2) difficile, une ou plusieurs des méthodes suivantes peuvent être utilisées, tel que représenté sur la figure 7 . Les caractéristiques de la ZIS sont variables en fonction de l'utilisateur, qui peut en choisir certaines ; elles sont fixées lors de la personnalisation du SE pour un utilisateur donné : - ordre et position des champs, - polices de caractère utilisées, - orientation caractère de certains champs, espacement, superposition - fond : motif se mélangeant (notamment même couleur) que les textes dont la reconnaissance doit être empêchée. - redondance (par exemple le montant qui est un champ particulièrement important peut être dupliqué) ; ainsi une modification partielle par un virus serait détectée par l'utilisateur qui verrait que les deux montants ne sont pas identiques) - dessin par l'utilisateur de sa propre police de caractère (c'est le cas de la figure 7 pour les champs montant et code de sécurité). - Perturbation aléatoire pour éviter que des logiciels malveillants puissent agir par corrélation/reconnaissance de forme (cas de la figure 7 ) Generation of the graphic window In order to make recognition and modification by software in the terminal (2) difficult, one or more of the following methods can be used, as shown in FIG. The characteristics of the ZIS vary according to the user, who can choose some; they are fixed during the customization of the OS for a given user: - order and position of the fields, - fonts used, - character orientation of certain fields, spacing, superposition - background: pattern mixing (including same color) that the texts whose recognition must be prevented. - redundancy (for example the amount which is a particularly important field can be duplicated); thus a partial modification by a virus would be detected by the user who would see that the two amounts are not identical) - drawing by the user of his own font (this is the case of Figure 7 for the rising fields) and security code). - Random disruption to prevent malware from acting by correlation / pattern recognition (case of Figure 7)
Dépendance du mobile et indépendance de la transaction La sécurité de la ZIS nécessite que l'utilisateur ait une connaissance préalable de sa présentation à l'écran, afin de détecter toute tentative d'attaque par un virus qui utiliserait une ZIS standard. Donc la ZIS s'affiche tel que représenté sur la figure 8, et dans le cas du mode de réalisation de la protection du code confidentiel basé sur le CS (l'adaptation à l'autre mode (CVD) est immédiate). o De façon spécifique pour chaque utilisateur : des couleurs, des textures, des formes de la ZIS varient d'un mobile à l'autre : par exemple la clé qui symbolise une 7 Mobile Dependency and Transaction Independence The security of the ZIS requires that the user have prior knowledge of their on-screen presentation, in order to detect any attempted attack by a virus that would use a standard ZIS. Thus, the ZIS is displayed as shown in FIG. 8, and in the case of the embodiment of the protection of the confidential code based on the CS (the adaptation to the other mode (CVD) is immediate). o Specifically for each user: colors, textures, shapes of the ZIS vary from one mobile to another: for example the key that symbolizes a 7
transaction sécurisée apparaît dans une couleur et une position différente sur les mobiles des utilisateurs 1 et 2 de la figure 8. Ces caractéristiques sont donc dépendantes du mobile de l'utilisateur considéré. o Pour un utilisateur, de façon semblable d'une transaction à l'autre. donc l'utilisateur pourra reconnaître des couleurs, des textures, des formes qu'il retrouve à chaque transaction, comme représenté à la figure 8 o Notons que ces principes de bon sens n'empêchent pas d'introduire des perturbations graphiques dans la ZIS pour un utilisateur donné et diverses transactions, dans le but d'éviter des attaques par corrélation. o Le seul principe à respecter est que ces variations n'empêchent pas l'utilisateur de détecter un comportement anormal des logiciels de traitement des transactions, révélant une attaque. Un exemple est donné figure 7. les zones montant et CS utilisent une police de caractère spécifique à l'utilisateur, sur un fond de motif variable, et de plus, des trait variables se superposent à ces zones sans en altérer la lisibilité par un oeil humain, tout en rendant toute corrélation et reconnaissance de caractère quasi impossible. L'ensemble des paramètres correspondant aux caractéristiques de la ZIS invariantes pour un utilisateur donné, sont inscrites lors de l'enregistrement de cet utilisateur, dans son SE. secure transaction appears in a different color and position on the mobile users 1 and 2 of Figure 8. These characteristics are dependent on the mobile of the user considered. o For a user, similarly from one transaction to another. therefore, the user will be able to recognize colors, textures, forms that he finds at each transaction, as shown in Figure 8 o Note that these common sense principles do not prevent the introduction of graphical disturbances in the ZIS for a given user and various transactions, in order to avoid correlation attacks. o The only principle to be respected is that these variations do not prevent the user from detecting an abnormal behavior of the transaction processing software, revealing an attack. An example is given in FIG. 7. The rising and CS zones use a user-specific font, on a background of variable motive, and moreover, variable lines are superimposed on these zones without altering their readability by one eye. human, while making any correlation and recognition of character almost impossible. The set of parameters corresponding to the characteristics of the invariant ZIS for a given user, are registered during the registration of this user, in his SE.
Une variante de l'invention utilise l'audio Il est possible en plus ou en remplacement d'afficher le contrat sur l'écran PC ou Mobile, de vocaliser certains de ses champs. Cette vocalisation doit être faite au maximum dans le SE, qui doit envoyer au terminal des indications sur les formants des messages à prononcer, donc un ensemble (ton, durée, transition avec le phonème suivant). C'est la raison pour laquelle on se limite en pratique à la vocalisation de champs numériques tels que le montant financier, car une synthèse alphanumérique complète du contrat serait en dehors des possibilités du SE. Là aussi il est nécessaire de garder le principe de la dépendance du mobile et d'indépendance de la transaction : le bruit de fond, la tonalité utilisée.., seront spécifiques d'un utilisateur particulier, et permettront donc à celui-ci d'être alerté par tout changement par rapport à ce à quoi il est habitué. La confirmation de l'accord de l'utilisateur est identique à ce qui est décrit précédemment. A variant of the invention uses audio It is possible in addition or in replacement to display the contract on the PC or Mobile screen, to vocalize some of its fields. This vocalization must be done to the maximum in the OS, which must send to the terminal indications on the formants of the messages to be pronounced, therefore a set (tone, duration, transition with the next phoneme). This is the reason why in practice it is limited to the vocalization of numerical fields such as the financial amount, since a complete alphanumeric summary of the contract would be outside the possibilities of the ES. Here again it is necessary to keep the principle of mobile dependence and transaction independence: the background noise, the tone used .., will be specific to a particular user, and thus allow this one to be alerted to any changes from what he is used to. The confirmation of the user's agreement is identical to that described above.
Une autre variante de l'invention utilise la vidéo Certains champs peuvent être présentés avec défilement, selon des paramètres imposés par le SE au terminal. La confirmation de l'accord de l'utilisateur est identique à ce qui est décrit précédemment Un mode de réalisation de l'invention se base sur les principes suivants pour calculer la ZIS dans le SE (9) par l'application (14) Afin de limiter la charge de calculs du SE (qui est une simple puce de carte à puce) qui pourraient être rédhibitoire sans une implémentation appropriée. Par ailleurs, ce traitement peut se limiter à la portion de la ZIS qui doit être protégée, le reste pouvant être fait dans le terminal : dans la figure 7, seuls deux champs sont protégés : le montant, et le CS auquel est rajouté le montant Another variant of the invention uses video Some fields may be presented with scrolling, according to parameters imposed by the OS at the terminal. The confirmation of the agreement of the user is identical to that described above One embodiment of the invention is based on the following principles to calculate the ZIS in the SE (9) by the application (14) to limit the computing load of the OS (which is a simple smart card chip) that could be crippling without an appropriate implementation. Furthermore, this processing can be limited to the portion of the ZIS that must be protected, the rest can be done in the terminal: in Figure 7, only two fields are protected: the amount, and the CS to which is added the amount
o Les données graphiques sont figées à la personnalisation de la puce, puisque ces données sont constantes pour un utilisateur donné. Ces données sont : a. Taille de la fenêtre ZIS (ou de la portion de ZIS) : n, m b. Fond : n. m pixels 8 c. Les paramètres d'un champ sont : 1. Son identifiant 2. Position de l'origine du champ dans la ZIS (ou de la portion de ZIS), 3. police de caractères utilisée, 4. nombre de caractères, 5. dx,dy = valeurs de décalage entre caractères (dy=0 pour une variation horizontale) 6. orientation du caractère (parmi un nombre restreint d'orientations : -20°, 0°,+20°) d. Police de caractères : on se limite par exemple aux dix chiffres pour le montant d'une transaction de paiement, ou le CS. Lorsque des orientations variables sont permises, (3 dans le cas précédent) la police est décrite autant de fois que de possibilité (trois) dans le cas précédent. 1. Dimension rectangle contenant les caractères 2. Valeurs des pixels du rectangle o The graphic data are fixed to the personalization of the chip, since these data are constant for a given user. These data are: a. Size of the ZIS window (or portion of ZIS): n, m b. Background: n. m pixels 8 c. The parameters of a field are: 1. Its identifier 2. Position of the origin of the field in the ZIS (or of the portion of ZIS), 3. font used, 4. number of characters, 5. dx, dy = offset values between characters (dy = 0 for horizontal variation) 6. character orientation (among a small number of orientations: -20 °, 0 °, + 20 °) d. Font: for example, it is limited to ten digits for the amount of a payment transaction, or the CS. When variable orientations are allowed, (3 in the previous case) the font is described as many times as possible (three) in the previous case. 1. Rectangle dimension containing the characters 2. Rectangle pixel values
o Il n'y a pas de transformation géométrique à effectuer lors de la transaction (translation, rotation, échelle) : en effet, le calcul des pixels de la ZIS (ou de la portion de ZIS) o Affichage : c'est une simple fonction d'assemblage qui se base sur une primitive de calcul de pixel de position (x,y) dans la ZIS (ou de la portion de ZIS) o en déduire avec les paramètres c2 et c5 le champ concerné, et s'il n'y en a pas, en déduire le pixel avec le paramètre b, et fin o en déduire le caractère concerné avec le paramètre c5 o avec les paramètres c3 et c6 en déduire le pictogramme du caractère o en déduire avec le paramètre dl les coordonnées relatives x' y' par rapport au caractère o avec le paramètre d2, calculer pixel avec le pixel du caractère ou le pixel (x,y) du fond si le pixel n'est pas sur le tracé du caractère. o Fin : passer au pixel suivant : si x<n, (x+1,y), et sinon si y<m, (0,y+1) ou sinon le calcul de la ZIS (ou de la portion de ZIS) est terminé. o There is no geometric transformation to perform during the transaction (translation, rotation, scale): indeed, the calculation of the pixels of the ZIS (or the portion of ZIS) o Display: it is a simple an assembly function which is based on a position pixel computation primitive (x, y) in the ZIS (or the portion of ZIS) o deduce with the parameters c2 and c5 the field concerned, and if n there is none, deduce the pixel with the parameter b, and end o deduce the character concerned with the parameter c5 o with the parameters c3 and c6 deduce the pictogram of the character o deduce with the parameter dl the relative coordinates x 'y' with respect to the character o with the parameter d2, calculate pixel with the pixel of the character or the pixel (x, y) of the background if the pixel is not on the character's path. o End: go to the next pixel: if x <n, (x + 1, y), and if not if y <m, (0, y + 1) or otherwise calculate the ZIS (or the portion of ZIS) is finished.
Un autre mode de réalisation : Il se base sur la création par l'utilisateur de sa propre police de caractères : il dessine sur un moyen d'entrée graphique les symboles graphiques représentant les 10 chiffres. Ceci peut se faire facilement sur n'importe quel « smart-phone », puisque leurs écrans sont graphiques et pointables avec un stylet. On comprend que ce mode de réalisation répond bien au principe de dépendance du mobile et indépendance des transactions, permettant à l'utilisateur de détecter toute présence de logiciel malveillant. En effet aucun algorithme de reconnaissance de caractères utilisé par ce logiciel malveillant ne peut fonctionner avec des polices de caractère totalement imprévisibles, comme c'est bien le cas dans cette variante. La figure 7 se place dans cette hypothèse : on voit que les chiffres qui apparaissent dans le montant et le CS ne correspondent pas à des polices habituelles ! Cas de l'audio Etant donné le contexte très limité de synthèse vocale dans lequel on se place (vocalisation uniquement de données numériques) la technique des « phonèmes » est classique et éprouvée, et implémentable dans un SE. 9 2961330 Implémentation distante grâce à un canal sécurisé avec un serveur de confiance Another embodiment: It is based on the creation by the user of his own font: it draws on a graphical input means the graphic symbols representing the 10 digits. This can be done easily on any "smart-phone", since their screens are graphic and pointy with a stylus. It is understood that this embodiment responds well to the principle of mobile dependence and transaction independence, allowing the user to detect any presence of malicious software. Indeed, no character recognition algorithm used by this malware can work with fonts completely unpredictable, as is the case in this variant. The figure 7 is placed in this hypothesis: one sees that the figures which appear in the amount and the CS do not correspond to usual fonts! The case of audio Given the very limited context of speech synthesis in which we place ourselves (vocalization only of digital data) the technique of "phonemes" is classic and proven, and implementable in an SE. 9 2961330 Remote implementation through a secure channel with a trusted server
Le SE, dans le cas de la SIM, peut établir une communication sécurisée avec un serveur 5 distant, comme présenté sur la figure 9. Cette sécurité s'entend de bout en bout . Les standards ETSI ETSI TS 102 484 V7.1.0 (2008-07) Technical Specification : Smart Cards; Secure channel between a UICC and an end-point terminal décrivent une telle possibilité, et ETSI TS 102 225 Technical Specification Smart Cards; Secured packet structure for UICC based applications décrivent cette fonctionnalité.The OS, in the case of the SIM, can establish secure communication with a remote server, as shown in FIG. 9. This security is end-to-end. Standards ETSI ETSI TS 102 484 V7.1.0 (2008-07) Technical Specification: Smart Cards; Secure channel between UICC and an end-point terminal describe such a possibility, and ETSI TS 102 225 Technical Specification Smart Cards; Secured packet structure for UICC based applications describe this feature.
10 La ZIS peut donc être réalisée non par le SE lui-même, mais par un serveur de confiance (17), non attaquable, avec lequel le SE et le terminal communiquent via le réseau internet filaire (cas des PCs) ou radio (cas des mobiles) : o Le SE établit un canal sécurisé (18) de bout en bout, à travers le terminal, 15 permettant de véhiculer du SE vers le serveur les données du contrat en toute sécurité, ainsi que la description du CVD ou la valeur du CS générés par l'Appli_ZIS (14). Le vol de ces données permettrait à un logiciel malveillant sur le terminal (2) de forcer l'accord de l'utilisateur, d'où l'importance du canal sécurisé à ce niveau. 20 o Le serveur renvoie (19) vers le terminal de visualisation les données graphiques de la ZIS (sans sécurité, à ce niveau, du fait des propriétés d'intégrité de la ZIS décrites précédemment) o Le terminal affiche la ZIS : (6). o Le reste des échanges est identique aux cinématiques précédentes.The ZIS can therefore be carried out not by the SE itself, but by a non-attackable trusted server (17) with which the OS and the terminal communicate via the wired internet network (case of the PCs) or radio (case mobile): o The OS establishes a secure end-to-end secure channel (18) through the terminal, enabling the contract data to be securely conveyed from the SE to the server, as well as the description of the CVD or the value of CS generated by the Appli_ZIS (14). The theft of this data would allow malicious software on the terminal (2) to force the agreement of the user, hence the importance of the secure channel at this level. O The server returns (19) to the display terminal the graphic data of the ZIS (without security, at this level, because of the integrity properties of the ZIS described above) o The terminal displays the ZIS: (6) . o The rest of the exchanges are identical to the previous cinematics.
25 Notons que cette variante s'adapte bien au cas d'une ZIS multimédia, car dans ce cas, la puissance de calcul du serveur peut s'accommoder d'une absence totale de restriction en ce qui concerne le format multimédia utilisé. Le message 19 peut être une vidéo avec le son associé, envoyé dans un des formats classiques existant sur Internet. 30 10 Note that this variant is well suited to the case of a multimedia ZIS, because in this case, the computing power of the server can accommodate a complete lack of restriction with respect to the multimedia format used. The message 19 may be a video with the associated sound, sent in one of the conventional formats existing on the Internet. 30 10
Claims (4)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1002516A FR2961330A1 (en) | 2010-06-14 | 2010-06-14 | Method for securing electronic transaction between user of e.g. personal computer and goods or service merchant during purchasing of train tickets, involves assuring coherence between constitutive elements of contract and signed message |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1002516A FR2961330A1 (en) | 2010-06-14 | 2010-06-14 | Method for securing electronic transaction between user of e.g. personal computer and goods or service merchant during purchasing of train tickets, involves assuring coherence between constitutive elements of contract and signed message |
Publications (1)
Publication Number | Publication Date |
---|---|
FR2961330A1 true FR2961330A1 (en) | 2011-12-16 |
Family
ID=43617896
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR1002516A Withdrawn FR2961330A1 (en) | 2010-06-14 | 2010-06-14 | Method for securing electronic transaction between user of e.g. personal computer and goods or service merchant during purchasing of train tickets, involves assuring coherence between constitutive elements of contract and signed message |
Country Status (1)
Country | Link |
---|---|
FR (1) | FR2961330A1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9552465B2 (en) | 2012-07-20 | 2017-01-24 | Licentia Group Limited | Authentication method and system |
US10592653B2 (en) | 2015-05-27 | 2020-03-17 | Licentia Group Limited | Encoding methods and systems |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6195698B1 (en) * | 1998-04-13 | 2001-02-27 | Compaq Computer Corporation | Method for selectively restricting access to computer systems |
WO2007056808A1 (en) * | 2005-11-18 | 2007-05-24 | Ewise Systems Pty Ltd | A method and apparatus for facilitating a secure transaction |
EP1843288A1 (en) * | 2006-04-05 | 2007-10-10 | Elca Informatique S.A. | System for securing electronic transactions over an open network |
EP2043021A1 (en) * | 2007-09-25 | 2009-04-01 | Fiducia IT AG | Online banking system and method for electronic communication that keeps data secure |
-
2010
- 2010-06-14 FR FR1002516A patent/FR2961330A1/en not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6195698B1 (en) * | 1998-04-13 | 2001-02-27 | Compaq Computer Corporation | Method for selectively restricting access to computer systems |
WO2007056808A1 (en) * | 2005-11-18 | 2007-05-24 | Ewise Systems Pty Ltd | A method and apparatus for facilitating a secure transaction |
EP1843288A1 (en) * | 2006-04-05 | 2007-10-10 | Elca Informatique S.A. | System for securing electronic transactions over an open network |
EP2043021A1 (en) * | 2007-09-25 | 2009-04-01 | Fiducia IT AG | Online banking system and method for electronic communication that keeps data secure |
Non-Patent Citations (1)
Title |
---|
JUN XU ET AL: "Mandatory human participation: a new authentication scheme for building secure systems", COMPUTER COMMUNICATIONS AND NETWORKS, 2003. ICCCN 2003. PROCEEDINGS. T HE 12TH INTERNATIONAL CONFERENCE ON DALLAS, TX, USA 20-22 OCT. 2003, PISCATAWAY, NJ, USA,IEEE, 20 October 2003 (2003-10-20), pages 547 - 552, XP010695028, ISBN: 978-0-7803-7945-9 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9552465B2 (en) | 2012-07-20 | 2017-01-24 | Licentia Group Limited | Authentication method and system |
US10366215B2 (en) | 2012-07-20 | 2019-07-30 | Licentia Group Limited | Authentication method and system |
US10565359B2 (en) | 2012-07-20 | 2020-02-18 | Licentia Group Limited | Authentication method and system |
US11048784B2 (en) | 2012-07-20 | 2021-06-29 | Licentia Group Limited | Authentication method and system |
US11048783B2 (en) | 2012-07-20 | 2021-06-29 | Licentia Group Limited | Authentication method and system |
US11194892B2 (en) | 2012-07-20 | 2021-12-07 | Licentia Group Limited | Authentication method and system |
US10592653B2 (en) | 2015-05-27 | 2020-03-17 | Licentia Group Limited | Encoding methods and systems |
US10740449B2 (en) | 2015-05-27 | 2020-08-11 | Licentia Group Limited | Authentication methods and systems |
US11036845B2 (en) | 2015-05-27 | 2021-06-15 | Licentia Group Limited | Authentication methods and systems |
US11048790B2 (en) | 2015-05-27 | 2021-06-29 | Licentia Group Limited | Authentication methods and systems |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ali et al. | Consumer-facing technology fraud: Economics, attack methods and potential solutions | |
US10574692B2 (en) | Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements | |
EP2567502A2 (en) | Method for authenticating a user requesting a transaction with a service provider | |
US7659869B1 (en) | System and method for authenticating an end user | |
US8060447B2 (en) | Method of providing transactions employing advertising based verification | |
US8924309B2 (en) | Method of providing assured transactions by watermarked file display verification | |
EP2619941B1 (en) | Method, server and system for authentication of a person | |
US20070028111A1 (en) | Methods and apparatus for authentication of content delivery and playback applications | |
US20070043681A1 (en) | Online transactions systems and methods | |
US20140040140A1 (en) | Authentication of an end user | |
CN116420148A (en) | Initiating device security settings upon detection of a condition indicative of fraudulent capture of machine-readable code | |
US8355993B2 (en) | Authentication of an end user | |
JP2006244474A (en) | Method and system for safely disclosing distinguishing information through the internet | |
EP2987124B1 (en) | Method and system for improving the security of electronic transactions | |
CN101222334B (en) | Cipher token safety authentication method adopting picture interference | |
Valcke | Best practices in mobile security | |
FR2961330A1 (en) | Method for securing electronic transaction between user of e.g. personal computer and goods or service merchant during purchasing of train tickets, involves assuring coherence between constitutive elements of contract and signed message | |
EP2005379B1 (en) | System for securing electronic transactions over an open network | |
GB2449240A (en) | Conducting secure online transactions using CAPTCHA | |
EP2954449B1 (en) | Digitised handwritten signature authentication | |
EP3350973B1 (en) | Method for website authentication and for securing access to a website | |
EP1337982B1 (en) | Authenticating method and device | |
FR2950768A1 (en) | SYSTEM AND METHOD FOR SECURE ONLINE TRANSACTION | |
Afriyie | Exploring Methods Cybersecurity Managers Need to Implement to Minimize Cyber-Frauds in Mobile Money Services in Ghana | |
FR2974923A1 (en) | Method for securing information in image sent from server to user terminal e.g. personal computer, involves establishing mark containing recognizable data in image, and sending image incorporating mark to user terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLFP | Fee payment |
Year of fee payment: 6 |
|
ST | Notification of lapse |
Effective date: 20170228 |