FR2812424A1 - Procede et systeme pour effectuer des transactions securisees de biens et de services au moyen d'un telephone mobile via un reseau de communication cellulaire - Google Patents

Procede et systeme pour effectuer des transactions securisees de biens et de services au moyen d'un telephone mobile via un reseau de communication cellulaire Download PDF

Info

Publication number
FR2812424A1
FR2812424A1 FR0009893A FR0009893A FR2812424A1 FR 2812424 A1 FR2812424 A1 FR 2812424A1 FR 0009893 A FR0009893 A FR 0009893A FR 0009893 A FR0009893 A FR 0009893A FR 2812424 A1 FR2812424 A1 FR 2812424A1
Authority
FR
France
Prior art keywords
agent
transaction
mobile telephone
client
goods
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR0009893A
Other languages
English (en)
Inventor
Jean Luc Stehle
Michael Stern
Nicolas Stehle
Didier Toubia
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
EVERBEE WIRELESS Ltd
Original Assignee
EVERBEE WIRELESS Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by EVERBEE WIRELESS Ltd filed Critical EVERBEE WIRELESS Ltd
Priority to FR0009893A priority Critical patent/FR2812424A1/fr
Publication of FR2812424A1 publication Critical patent/FR2812424A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/325Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Le proc ed e et système d ecrits permettent de r ealiser une transaction mon etaire s ecuris ee sur Internet ou autres, au moyen d'un terminal mobile de type t el ephone cellulaire reli e au r eseau d'un agent (T) de type op erateur cellulaire sans n ecessiter le recours à une autorit e de certification ou à l'utilisation d'une carte bancaire. L'agent (T) assure le rôle de tiers de confiance. Le proc ed e est ind ependant de l'environnement du t el ephone cellulaire (protocole WAP), du standard du r eseau de t el ephonie (GSM, CDMA, TDMA... ) et ne n ecessite pas de modification physique du t el ephone cellulaire telle l'ajout d'une fente r eserv ee à l'insertion d'une carte bancaire. Il est simple d'utilisation pour le client (C), ne n ecessitant ni l'introduction d'une carte bancaire, ni la saisie d'informations personnelles, la base de donn ees de l'agent (T) etant utilis ee pour la r ealisation de la transaction commerciale. Le modèle inclut(a) un d edoublement des voies de communication, l'agent (T) ayant accès aux deux voies de communication,(b) une authentification du client (C) et du vendeur (V) au moyen d'un code d'identification personnel du client et d'un algorithme de cryptage utilisant des cl es publiques.

Description

1 2812424
PROCEDE ET SYSTEME POUR EFFECTUER DES TRANSACTIONS
SECURISEES DE BIENS ET DE SERVICES AU MOYEN D'UN TELEPHONE MOBILE VIA UN RESEAU DE COMMUNICATION CELLULAIRE.5
Dans la décennie à venir, les individus voudront communiquer, interagir, s'informer, s'organiser sans contrainte de temps ou de lieu. Alors que l'accès au réseau Internet devient possible à partir d'un10 téléphone cellulaire, les exigences des consommateurs concernant le commerce électronique à partir d'un terminal mobile et en particulier d'un téléphone cellulaire vont croître considérablement. D'autre part, les opérateurs cellulaires font actuellement15 face à une baisse importante de leur revenu par abonné en raison d'une concurrence accrue dans les services de téléphonie classique. Les opérateurs cellulaires cherchent donc de nouveaux services rémunérateurs à proposer à leurs abonnés. Parmi20 l'ensemble des services susceptibles de se développer, l'accès au commerce électronique à partir
d'un terminal portable semble le plus créateur de valeur pour l'opérateur. Les opérateurs souhaitent donc se positionner sur ce nouveau marché et25 cherchent des solutions technologiques adéquates.
L'explosion attendue du marché du commerce électronique, en particulier sur le réseau Internet, à partir d'un terminal mobile est conditionné à l'existence d'un moyen de paiement adapté à ce nouveau genre de transactions. Ce nouveau moyen de paiement doit être sûr, rapide, simple à implémenter et facile d'utilisation. Bien que le souci de développer des technologies et procédés sécurisant des transactions sur le réseau Internet existe depuis de nombreuses années (ex.: brevets US 6,029,150; US 6,009,177; US 5,995,626), la recherche de technologies et procédés concernant les achats à partir d'un terminal relié à un réseau de téléphonie cellulaire est très récente.40 Schlumberger et Entrust collaborent dans le domaine de la sécurisation du commerce électronique sur le réseau Internet à partir d'un téléphone mobile de type GSM fonctionnant sur protocole WAP (Wireless Application Protocole). La solution combine une
_ 2812424
nouvelle génération de carte à puce WAP Identity Module (WIM) développée par Schlumberger et les produits PKI (Public Key Infrastructure) de Entrust. La solution permet d'implémenter des transactions5 sécurisées basées sur protocole WAP telles que le paiement, les opérations de banque mobile et les achats et ventes d'actions. Le système WIM permet de réaliser les fonctions sécurisant (1) la couche de transport (WTLS Wireless Transport Layer Security) au moyen d'un algorithme de cryptage stocké dans la puce WIM (2) le niveau applicatif au moyen d'une signature digitale et d'une technique de non-répudiation. Le PKI permet de sécuriser l'infrastructure en émettant et gérant un certificat électronique. ECash propose un protocole permettant de réaliser une transaction de type paiement à partir d'un téléphone cellulaire. ECash utilise une cryptographie basée sur des clés publiques et une20 technologie de signature digitale. Un algorithme codant pour une signature aveugle permet le retrait d'une somme d'argent à partir d'une institution financière et son stockage chez un agent tiers. Lors d'un achat, cette somme est utilisée pour régler la25 marchandise grâce à un programme informatique installé chez l'acheteur ou chez l'institution financière. Le programme installé chez le vendeur vérifie alors automatiquement la validité du paiement par une demande de validité sur le réseau Internet.30 ECash propose un paiement au moyen d'une seule touche, sans numéro d'identification, code secret, ou informations personnelles à saisir de la part de l'acheteur. Itineris de France Télécom propose un service
permettant de régler ses achats avec un téléphone cellulaire au moyen d'une carte bancaire (Itiachat).
Le client contacte le commerçant par téléphone ou Internet (via un ordinateur portable), passe une commande et communique son numéro de téléphone. Le40 commerçant envoie une demande de confirmation de paiement qui s'affiche sur l'écran du téléphone du client. Celui-ci insère alors sa carte bancaire dans une fente de son téléphone réservée à cet effet, et compose son code secret. Le code secret provoque
3 2812424
l'envoie du numéro de carte bancaire sur le réseau de
l'opérateur de manière cryptée. Les coordonnées de la carte sont transmises de manière sécurisée à la banque et le montant de la transaction est alors5 débité sur le relevé de carte bancaire du client.
Sonera est un opérateur proposant un service de transaction sécurisée au moyen d'un PKI implémenté sur la carte à puce (SIM) d'un téléphone cellulaire de type GSM (SmartTrust). La sécurisation deio l'architecture de commerce électronique nécessite alors l'utilisation de certificats, d'une autorité de certification, d'un algorithme de cryptage asymétrique et de signatures digitales. Lors du règlement d'une facture, l'utilisateur accepte ou15is rejette un paiement via Short Message Service (SMS) en entrant un code PIN (Personnal Identification
Number) qui active la signature digitale. De cette manière, l'utilisateur signe digitalement le message et, s'il le souhaite, le crypte au moyen de la clé20 publique du recevant. Le modèle inclut une signature digitale de 1024 bits et un cryptage fort (RSA 1024).
La présente invention permet de réaliser une transaction monétaire sécurisée sur Internet ou autres, au moyen d'un terminal mobile de type25 téléphone cellulaire relié au réseau d'un agent de type opérateur cellulaire sans nécessiter le recours à une autorité de certification ou à l'utilisation d'une carte bancaire. L'agent assure le rôle de tiers de confiance. Le procédé est indépendant de30 l'environnement du téléphone cellulaire (protocole WAP), du standard du réseau de téléphonie (GSM, CDMA, TDMA...) et ne nécessite pas de modification physique du téléphone cellulaire telle l'ajout d'une fente réservée à l'insertion d'une carte bancaire. Il est35 simple d'utilisation pour le client, ne nécessitant ni l'introduction d'une carte bancaire, ni la saisie d'informations personnelles, la base de données du tiers de confiance étant utilisée pour la réalisation de la transaction commerciale. Le modèle inclut40 (a) un dédoublement des voies de communication, l'agent ayant accès aux deux voies de communication, (b) une authentification du client et du vendeur au moyen d'un code d'identification personnel du client
4 2812424
et d'un algorithme de cryptage utilisant des clés publiques. Pour mieux faire comprendre l'invention, on va en décrire maintenant, à titre d'exemple purement illustratif et non limitatif, plusieurs modes de réalisation. Sur le dessin: La figure 1 représente un schéma général du procédé pour effectuer des transactions sécurisées de biens et services au moyen d'un téléphone mobile via un réseau de communication cellulaire. La figure 1 représente un client C, un vendeur V et un agent T. La flèche Fl montre le choix du client C du contenu de la transaction auprès du vendeur V; le client C informe le vendeur V de son souhait de régler la transaction au moyen de son terminal mobile. La flèche F2 indique la communication entre20 le vendeur V et l'agent T au moyen du réseau Internet. La flèche F3 représente une demande de confirmation de l'agent T au client C via le réseau cellulaire de l'agent T. La flèche F4 montre le résultat de la demande de confirmation. La flèche F525 représente le message de confirmation de la transaction par l'agent T au vendeur V. La sécurité repose sur un secret client c qui permet l'authentification des clients, le chiffrement et la signature électronique.30 Ce secret est contenu dans un dispositif physique qui ne le divulguera que lorsque le client C se sera authentifié (par son code PIN ou par ses caractéristiques biométriques). Dans le cas de la téléphonie mobile, un premier35 niveau de sécurité est assuré par le système classique utilisé en téléphonie mobile pour identifier l'utilisateur. Néanmoins, il est toujours possible que l'utilisateur ait laissé traîner son téléphone mobile branché, et que celui-ci soit40 "emprunté" par une personne indélicate le temps d'un achat électronique. Il faut donc une authentification
et une validation fortes de l'utilisateur au moment de l'acte d'achat.
Le téléphone mobile du client C connaît un nombre secret c qui ne sera jamais lisible directement. Au moment de l'acte d'achat, il sera demandé au client C d'entrer son code PIN sur son5 clavier de téléphone. Si le code est correct, un certain nombre pourra être élevé à la puissance c modulo N o N est un très grand nombre (par exemple de l'ordre de 512 bits) et ce résultat pourra être utilisé et communiqué. Le nombre secret c lui-même10 n'est jamais accessible. Avant l'utilisation du téléphone mobile pour un paiement électronique sécurisé, une initialisation doit avoir lieu, permettant de préparer certaines informations et d'accélérer la validation proprement15 dite de l'achat. Cette initialisation se fait comme suit: Données publiques: Les nombres N et g (Ce sont de très grands nombres, par exemple à 512 bits) Données secrètes: Chaque client C connaît, et est le seul à connaître, un nombre secret c, défini modulo N. Données connues de l'agent T: Les nombres g^c [N] sont connus de l'agent T. Au moment o le client C branche son téléphone portable (ou à intervalles réguliers, par exemple une fois par jour, à l'initiative de T, et éventuellement après chaque transaction) se déroulent les opérations35 suivantes: a. T génère un nombre aléatoire en utilisant son générateur de nombres aléatoires b. T calcule g^A [N] et l'envoie à C
6 2812424
c. T calcule e = (g^c) [N] Le nombre g^A [N] est stocké en mémoire volatile dans le téléphone mobile, mais il ne sera pas utilisé5 avant que le client C ne rentre un code PIN ou s'identifie de quelque autre manière (empreintes
digitales, fond d'oeil,...).
Le déroulement d'une transaction suivant le procédé décrit suit 11 étapes: 1.Le client C choisit le contenu de la transaction auprès d'un vendeur V. Le client informe le vendeur de son souhait de régler la transaction au moyen de son terminal mobile et lui communique un identifiant pouvant être par
exemple son numéro de terminal mobile.
2.Le vendeur V communique à l'agent T, assurant le rôle de tiers de confiance, le contenu de la transaction au moyen du réseau Internet. La communication entre V et T se fait de façon
sécurisée de manière connue en soi.
3.L'agent T envoie au client C une demande de confirmation du contenu de la transaction au moyen de son réseau cellulaire. Cette demande se fait sous la forme d'un message électronique M qui comporte un identifiant du vendeur V, le montant à payer, la date et l'heure et un numéro unique de transaction. L'agent T contacte le client C soit par un message textuel, soit par
un message vocal.
Le numéro de transaction est un numéro attribué par le tiers de confiance, et différent d'une transaction à l'autre, caractérisant ainsi de manière unique la transaction. La date et l'heure sont indiqués par sécurité. Un éventuel piratage de la communication avec cassage du code permettra tout au plus de valider ou d'invalider la transaction en cours (même
7 2812424
numéro) et ce au même instant, et ne sera d'aucun secours au pirate pour pirater une autre transaction. Cela permet donc de contrer des attaques statistiques sur cette communication5 4.Le client C écoute éventuellement le message audio, et voit s'afficher sur l'écran de son mobile le nom du vendeur et le montant de la
transaction.
5.Selon qu'il désire valider ou non la transaction, le client C tape sur son clavier (l'ordre peut également être vocal) un code
correspondant à "oui" ou à "non".
6.En cas d'accord, un message sur l'écran de son téléphone lui demande de taper sur le clavier du téléphone son code PIN (ou éventuellement dans des versions ultérieures de s'authentifier à l'aide d'empreintes digitales, ou autres) 7.La frappe correcte du code PIN permet au téléphone mobile d'utiliser le secret c qu'il possède pour calculer e = (g^A)^c [N] puis Me [N], puis E = H(M^e[N]) Ici H est une empreinte vérifiant les propriétés suivantes: -H(K) est très rapide à calculer connaissant un message K -H(K) est de longueur fixée quel que soit le message K -Etant donné H(K), il est quasiment impossible de retrouver K - Etant donné H(K), il est quasiment impossible de trouver un message K' tel que H(K)=H(K')
et ce même si K est connu.
8.Le téléphone mobile du client C envoie E à l'agent T. 9. Pendant ce temps, l'agent T avait calculé E de
son côté.
8 2812424
10. L'agent T vérifie la cohérence de l'empreinte E ce qui authentifie le client C et
valide l'acte d'achat.
11. L'agent T envoie au vendeur V un message de
confirmation de la transaction.
Une fois cet acte d'achat terminé, on peut îo relancer une nouvelle initialisation de façon à utiliser une nouvelle valeur de lors de la prochaine transaction Dans le protocole décrit précédemment le contrôle du code PIN se fait en local, (à l'exemple de ce qui se fait actuellement pour les cartes bancaires classiques). Cela introduit une faille potentielle dans le protocole, car le code PIN est connu du téléphone et un pirate astucieux et bien équipé pourrait réussir à le retrouver (il y a le
même problème dans les cartes bancaires actuelles).
On peut augmenter la sécurité du protocole et imposer que le code PIN p du client ne soit pas connu du dispositif local mais soit vérifié par l'opérateur T. Après trois essais erronés de frappe25 du code PIN, la carte pourra alors être invalidée et un nouveau code PIN devra être créé et communiqué au client pour qu'il puisse utiliser à nouveau le système (ce sans intervention physique sur son téléphone mobile).30 Cela nécessite que l'opérateur connaisse le code PIN p du client, et que cette information soit, bien entendu, stockée de façon confidentielle et sécurisée chez (T). A l'étape 7 le téléphone mobile calculera alors e = (g^p)^c [N], et (T) aura35 préalablement calculé cette quantité de son côté. Comme le nombre p est petit (4 à 6 chiffres) l'augmentation de temps de calcul est négligeable. Cette variante permet de mettre en place un système bien plus sûr que celui des actuelles cartes bancaires. Si ce dernier donne actuellement satisfaction, il ne faut pas oublier que les progrès continuels de la technologie mettent à la disposition
du pirate des moyens inenvisageables il y a quelques années.
L'invention concerne un procédé pour effectuer des transactions sécurisées de biens et services au moyen d'un téléphone mobile via un réseau de communication cellulaire, ledit procédé comprenant les étapes suivantes: a. l'étape de transmettre vers un agent (T) notamment un opérateur cellulaire et vers un client (C) des informations relatives au contenu de la transaction via un premier réseau de communication notamment de type Internet, b. l'étape de transmettre au client (C) une demande de confirmation du contenu de la transaction et à l'agent (T) le résultat de cette demande via le réseau de communication
cellulaire dudit agent.
Elle concerne aussi un tel procédé qui comprend les étapes suivantes: a. l'étape de procéder au niveau du téléphone mobile au calcul d'une fonction de hachage ayant pour argument la demande de confirmation du contenu de la transaction se présentant sous la forme d'un message électronique M élevé à la puissance e modulo N o N est un très grand nombre de plusieurs centaines de bits et o e est fonction d'un secret détenu par le téléphone mobile c et d'un nombre g^" [N] émis par l'agent, b. l'étape de procéder au niveau de l'agent au calcul de la fonction de hachage ayant pour argument la demande de confirmation du contenu de la transaction se présentant sous la forme d'un message électronique M, ledit message est élevé à la puissance e' modulo N o e' est fonction d'un secret détenu par l'agent et d'un nombre g^c [N]] émis par le téléphone mobile, c. l'étape de transmettre par le téléphone mobile le résultat de la demande de confirmation du contenu de la transaction audit agent, ledit résultat comprenant en outre le
résultat du calcul faisant l'objet de l'étape (a) ci-dessus.
L'étape par le dit agent de comparer le résultat du calcul faisant l'objet de l'étape (b) ci-dessus au résultat du calcul
transmis selon l'étape (c) ci-dessus.
L'invention se rapporte aussi à un système pour effectuer des transactions sécurisées de biens et services au moyen d'un téléphone mobile via un réseau de communication cellulaire, ledit système étant tel qu'il comprend les moyens permettant de mettre en oeuvre les étapes faisant l'objet du
procédé défini ci-dessus.
L'invention concerne également un serveur pour effectuer des transactions sécurisées de biens et services au moyen d'un téléphone mobile via un réseau de communication cellulaire, ledit serveur étant tel qu'il comprend les moyens permettant de transmettre les demandes de confirmation, de recevoir les résultats correspondants aux dites demandes et de procéder aux comparaisons faisant l'objet de l'étape (d) du
procédé défini ci-dessus.

Claims (4)

REVENDICATIONS
1. Procédé pour effectuer des transactions sécurisées de biens et services au moyen d'un téléphone mobile via un réseau de communication cellulaire, ledit procédé comprenant les étapes suivantes: a. l'étape de transmettre vers un agent (T) notamment un opérateur cellulaire et vers un client (C) des informations relatives au contenu de la transaction via un premier réseau de communication notamment de type Internet, b. l'étape de transmettre au client (C) une demande de confirmation du contenu de la transaction et à l'agent (T) le résultat de cette demande via le réseau de communication
cellulaire dudit agent.
2. Procédé selon la revendication 1, caractérisé en ce qu'il comprend les étapes suivantes: a. l'étape de procéder au niveau du téléphone mobile au calcul d'une fonction de hachage ayant pour argument la demande de confirmation du contenu de la transaction se présentant sous la forme d'un message électronique M élevé à la puissance e modulo N o N est un très grand nombre de plusieurs centaines de bits et o e est fonction d'un secret détenu par le téléphone mobile c et d'un nombre g^A [N] émis par l'agent, b. l'étape de procéder au niveau de l'agent au calcul de la fonction de hachage ayant pour argument la demande de confirmation du contenu de la transaction se présentant sous la forme d'un message électronique M, ledit message est élevé à la puissance e' modulo N o e' est fonction d'un secret détenu par l'agent et d'un nombre gAc [N]] émis par le téléphone mobile, c. l'étape de transmettre par le téléphone mobile le résultat de la demande de confirmation du contenu de la transaction audit agent, ledit résultat comprenant en outre le résultat du calcul faisant l'objet de l'étape (a) ci-dessus, d. l'étape par le dit agent de comparer le résultat du calcul faisant l'objet de l'étape (b) ci- dessus au résultat
du calcul transmis selon l'étape (c) ci-dessus.
3. Système pour effectuer des transactions sécurisées de biens et services au moyen d'un téléphone mobile via un réseau de communication cellulaire, ledit système étant tel qu'il comprend les moyens permettant de mettre en ouvre les
étapes faisant l'objet du procédé selon la revendication 1 ou 2.
4. Serveur pour effectuer des transactions sécurisées de biens et services au moyen d'un téléphone mobile via un réseau de communication cellulaire, ledit serveur étant tel qu'il comprend les moyens permettant de transmettre les demandes de confirmation, de recevoir les résultats correspondants aux dites demandes et de procéder aux comparaisons faisant l'objet
de l'étape (d) de la revendication de procédé 2.
FR0009893A 2000-07-28 2000-07-28 Procede et systeme pour effectuer des transactions securisees de biens et de services au moyen d'un telephone mobile via un reseau de communication cellulaire Withdrawn FR2812424A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0009893A FR2812424A1 (fr) 2000-07-28 2000-07-28 Procede et systeme pour effectuer des transactions securisees de biens et de services au moyen d'un telephone mobile via un reseau de communication cellulaire

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0009893A FR2812424A1 (fr) 2000-07-28 2000-07-28 Procede et systeme pour effectuer des transactions securisees de biens et de services au moyen d'un telephone mobile via un reseau de communication cellulaire

Publications (1)

Publication Number Publication Date
FR2812424A1 true FR2812424A1 (fr) 2002-02-01

Family

ID=8853007

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0009893A Withdrawn FR2812424A1 (fr) 2000-07-28 2000-07-28 Procede et systeme pour effectuer des transactions securisees de biens et de services au moyen d'un telephone mobile via un reseau de communication cellulaire

Country Status (1)

Country Link
FR (1) FR2812424A1 (fr)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006092539A2 (fr) 2005-03-03 2006-09-08 France Telecom Securisation de donnees pour programmes de fidelisation de clientele
WO2007092366A2 (fr) * 2006-02-02 2007-08-16 Lucent Technologies Inc. Services d'authentification et de vérification pour fournisseurs indépendants utilisant des dispositifs mobiles
EP2587434A1 (fr) * 2011-10-31 2013-05-01 Money and Data Protection Lizenz GmbH & Co. KG Procédé d'authentification

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB191115884A (en) * 1911-07-08 1912-03-21 Eugene Ward Improved Device for use in connection with Baking Pans and like Cooking Utensils.
JPH11127089A (ja) * 1997-10-23 1999-05-11 Fujitsu Ltd Cdma受信装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB191115884A (en) * 1911-07-08 1912-03-21 Eugene Ward Improved Device for use in connection with Baking Pans and like Cooking Utensils.
JPH11127089A (ja) * 1997-10-23 1999-05-11 Fujitsu Ltd Cdma受信装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006092539A2 (fr) 2005-03-03 2006-09-08 France Telecom Securisation de donnees pour programmes de fidelisation de clientele
WO2006092539A3 (fr) * 2005-03-03 2006-11-30 France Telecom Securisation de donnees pour programmes de fidelisation de clientele
WO2007092366A2 (fr) * 2006-02-02 2007-08-16 Lucent Technologies Inc. Services d'authentification et de vérification pour fournisseurs indépendants utilisant des dispositifs mobiles
WO2007092366A3 (fr) * 2006-02-02 2007-10-04 Lucent Technologies Inc Services d'authentification et de vérification pour fournisseurs indépendants utilisant des dispositifs mobiles
US8934865B2 (en) 2006-02-02 2015-01-13 Alcatel Lucent Authentication and verification services for third party vendors using mobile devices
US9256869B2 (en) 2006-02-02 2016-02-09 Alcatel Lucent Authentication and verification services for third party vendors using mobile devices
US11087317B2 (en) 2006-02-02 2021-08-10 Alcatel Lucent Authentication and verification services for third party vendors using mobile devices
EP2587434A1 (fr) * 2011-10-31 2013-05-01 Money and Data Protection Lizenz GmbH & Co. KG Procédé d'authentification

Similar Documents

Publication Publication Date Title
EP1153376B1 (fr) Procede de telepaiement et systeme pour la mise en oeuvre de ce procede
EP1360665A1 (fr) Procede et systeme de telepaiement
WO2002067534A1 (fr) Systeme de paiement electronique a distance
WO2002082388A1 (fr) Dispositif securise d'echange de donnees
EP1456999B1 (fr) Procede de signature electronique
WO2001043092A1 (fr) Procede et systeme de gestion d'une transaction securisee a travers un reseau de communication
EP1171851A1 (fr) Procede et systeme de securisation de l'utilisation de cartes comportant des moyens d'identification et/ou d'authentification
EP3163487B1 (fr) Procédé de sécurisation de traitement de données transactionnelles, terminal et programme d'ordinateur correspondant
EP1299838A1 (fr) Systeme et procede de gestion de transactions de micropaiement, terminal de client et equipement de marchand correspondants
FR2922669A1 (fr) Dispositif electronique portable pour l'echange de valeurs et procede de mise en oeuvre d'un tel dispositif
CA2398317A1 (fr) Systeme et procede de securisation des transmissions d'informations
EP2369780B1 (fr) Procédé et système de validation d'une transaction, terminal transactionnel et programme correspondants.
WO2007006771A1 (fr) Procede et dispositif d'autorisation de transaction
FR2812424A1 (fr) Procede et systeme pour effectuer des transactions securisees de biens et de services au moyen d'un telephone mobile via un reseau de communication cellulaire
EP2053553A1 (fr) Procédé et dispositif pour l'échange de valeurs entre entités électroniques portables personnelles
EP1323140B1 (fr) Procede pour fournir des donnees d'identification d'une carte de paiement a un usager
WO2002039392A2 (fr) Procede et installation de securisation de l'utilisation de supports associes a des identifiants et a des dispositifs electroniques
EP2824625B1 (fr) Méthode de réalisation de transaction, terminal et programme d'ordinateur correspondant
FR2829647A1 (fr) Procede et systeme permettant a un utilisateur d'authentifier une transaction relative a l'acquisition de biens ou de services, au moyen d'un terminal nomade
EP1354288B1 (fr) Procede utilisant les cartes de paiement electroniques pour securiser les transactions
FR2914763A1 (fr) Cryptogramme dynamique
EP1301910B1 (fr) Procede pour securiser une transaction via un reseau de telecommunication, et systeme de mise en oeuvre du procede
WO2023274979A1 (fr) Procédé d'authentification de transaction utilisant deux canaux de communication
FR2828966A1 (fr) Procede pour communiquer de facon securisee des donnees d'identification d'une carte de paiement
WO2002075674A2 (fr) Systeme et methode de renouvellement de donnees d'identification sur un dispositif de transaction portatif

Legal Events

Date Code Title Description
ST Notification of lapse