[go: up one dir, main page]

FR2988196A1 - Procede d'authentification d'un individu porteur d'un objet d'identification - Google Patents

Procede d'authentification d'un individu porteur d'un objet d'identification Download PDF

Info

Publication number
FR2988196A1
FR2988196A1 FR1252444A FR1252444A FR2988196A1 FR 2988196 A1 FR2988196 A1 FR 2988196A1 FR 1252444 A FR1252444 A FR 1252444A FR 1252444 A FR1252444 A FR 1252444A FR 2988196 A1 FR2988196 A1 FR 2988196A1
Authority
FR
France
Prior art keywords
key
server
security component
identity
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1252444A
Other languages
English (en)
Other versions
FR2988196B1 (fr
Inventor
Bruno Benteo
Philippe Bertiaux
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia Identity & Security France Fr
Original Assignee
Morpho SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to FR1252444A priority Critical patent/FR2988196B1/fr
Application filed by Morpho SA filed Critical Morpho SA
Priority to US14/382,920 priority patent/US10007773B2/en
Priority to PCT/FR2013/050575 priority patent/WO2013140079A1/fr
Priority to RU2014142045A priority patent/RU2621625C2/ru
Priority to CN201380027190.XA priority patent/CN104321777B/zh
Priority to EP13719893.3A priority patent/EP2828788A1/fr
Priority to BR112014023361-6A priority patent/BR112014023361A2/pt
Publication of FR2988196A1 publication Critical patent/FR2988196A1/fr
Application granted granted Critical
Publication of FR2988196B1 publication Critical patent/FR2988196B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Collating Specific Patterns (AREA)

Abstract

Procédé d'authentification d'un individu porteur d'un objet d'identification, le procédé incluant une phase d'initialisation comprenant les étapes suivantes : - saisie d'une donnée biométrique initiale (Bio) de l'individu ; - génération d'une première clé (K ) issue de la donnée biométrique ; - génération d'une deuxième clé (K ) issue d'une donnée (P1) générée par le composant de sécurité de l'objet ; - génération d'une clé de chiffrement initiale combinant ladite première clé et ladite deuxième clé ; - communication avec un serveur d'une première identité de l'individu en association avec la clé de chiffrement initiale ; - génération par le serveur d'une identité publique par chiffrement de la première identité à l'aide de clé de chiffrement initiale, ladite identité publique étant stockée auprès du serveur en association avec la clé de chiffrement initiale. L'identité publique est non signifiante mais sécurisée par le lien fort entre l'objet et la biométrie de l'individu.

Description

PROCEDE D'AUTHENTIFICATION D'UN INDIVIDU PORTEUR D'UN OBJET D'IDENTIFICATION La présente invention concerne l'authentification ou l'identification d'un individu à l'aide d'un dispositif électronique.
On notera que, dans l'ensemble du présent texte, lorsqu'on parle d'authentification ou d'identification, le "ou" est inclusif, c'est-à-dire qu'il signifie "et/ou", de sorte que la présente invention est applicable aussi bien à de l'authentification qu'à de l'identification, voire même aux deux à la fois. L'identification vise à permettre de connaitre l'identité d'une entité, par exemple à l'aide d'un identifiant qui peut être un nom d'utilisateur ou un identifiant réseau (numéro de téléphone par exemple). L'authentification permet de vérifier l'identité d'une entité pour lui autoriser l'accès à des services ou des ressources. L'authentification ou l'identification utilise régulièrement un serveur stockant des données relatives à des entités, i.e. individus ayant préalablement fait l'objet d'une phase dite d'enregistrement (ou d'inscription) auprès dudit serveur pour se voir délivrer, lors de l'authentification ou de l'identification, un droit quelconque (délivrance d'un permis de conduire, d'un titre de transport, d'une indemnisation, autorisation d'accès à un local, autorisation d'accès à un service, mise en oeuvre d'un service, paiement électronique, etc.).
Les données traditionnellement utilisées pour l'enregistrement d'individus auprès du serveur sont des données personnelles, le plus souvent alphanumériques, telles que des mots de passe, des adresses de dispositifs électroniques utilisées par les individus (e.g. adresses IP), des identités et/ou autres. Pour être suffisamment discriminantes et ainsi permettre une authentification ou une identification avec un taux de succès acceptable, les données utilisées peuvent être relativement complexes du point de vue des individus. A titre d'exemple, plus un mot de passe contient de caractères, plus il permettra une identification fiable, mais plus sa mémorisation par un individu deviendra difficile. Par ailleurs, la notion d'identité devient omniprésente et quotidienne dans l'environnement digital et particulièrement dans celui dit « mobile ». Par exemple, un objet communiquant, de type carte à puce, « smart phone », tablette numérique ou autre, peut être utilisé comme support d'identification. Il convient que cet objet puisse être utilisé par son porteur de manière fiable et sécurisé, tout en restant ergonomique dans son utilisation par son porteur. - 2 - Des données biométriques peuvent être utilisées en association avec un objet communiquant pour garantir l'unicité de l'individu porteur de l'objet. Un passeport biométrique constitue par exemple un tel objet d'identification sécurisé. Lorsque des données biométriques sont utilisées en association avec un objet d'identification, l'anonymat du porteur doit pouvoir être préservé. A cet effet, le serveur d'enregistrement peut ne contenir que des liens faibles entre les données biométriques du porteur et son identité ; on peut se référer par exemple au document FR-A-2 867 881, de même les données biométriques peuvent n'être stockées que dans l'objet du porteur sans partage avec une base. Par ailleurs, la lecture des données biométriques depuis l'objet d'identification est subordonnée à une authentification mutuelle entre l'élément de sécurité de l'objet (une puce électronique par exemple) et un serveur distant via un lecteur de l'objet (selon le protocole EAC, pour « Extended Access Control » par exemple), ce qui permet une vérification en mode local (données dans l'objet du porteur) et/ou en mode distant avec partage d'informations avec un serveur. Un tel mode opératoire, conçu pour la vérification de l'identité régalienne des individus, est difficile à généraliser pour des applications de vie quotidienne qui nécessitent cependant une authentification de l'individu. On souhaite pourtant pouvoir généraliser l'utilisation de données biométriques pour authentifier un porteur d'un support d'identification, tout en protégeant son anonymat, son (ses) identité(s) numérique(s) et sa légitimité. La présente invention vise à répondre à ce besoin. L'invention propose ainsi un procédé d'authentification d'un individu porteur d'un objet d'identification comprenant au moins un composant de sécurité, le procédé incluant une phase d'initialisation comprenant les étapes suivantes : saisie d'une donnée biométrique initiale de l'individu ; génération d'une première clé issue de la donnée biométrique ; génération d'une donnée par un composant de sécurité de l'objet ; génération d'une deuxième clé issue de la donnée générée par le composant de sécurité de l'objet ; génération d'une clé de chiffrement initiale combinant ladite première clé et ladite deuxième clé ; - 3 - communication avec un serveur d'une première identité de l'individu en association avec la clé de chiffrement initiale ; génération par le serveur d'une identité publique par chiffrement de la première identité à l'aide de clé de chiffrement initiale, ladite identité publique étant stockée auprès du serveur en association avec la clé de chiffrement initiale. Un premier aspect de l'invention consiste en une phase d'initialisation. Cette phase d'initialisation a pour but d'enregistrer l'individu couplé à un objet d'identification de son choix - téléphone portable, carte, tablette ou autre - auprès d'un serveur qui lui délivrera une identité publique. L'identité publique délivrée par le serveur à l'issu de la phase d'enregistrement est non signifiante, c'est-à-dire qu'elle ne permet en aucun cas de retrouver directement l'état civil du porteur ; elle est cependant construite à partir d'un lien fort entre l'objet et la biométrie de l'individu. L'objet d'identification ne peut être valablement utilisé sans son porteur légitime.
Selon les modes de réalisation, la phase d'initialisation du procédé selon l'invention peut comprendre en outre une ou plusieurs des caractéristiques suivantes : La donnée générée par le composant de sécurité de l'objet peut être une valeur numérique non prédictible (PUF, Physical Unclonable Feature) produite par le composant de sécurité de l'objet ou un aléa stocké dans le composant de sécurité de l'objet après tirage. La première clé est obtenue par application, à une donnée digitale de référence dérivée de la donnée biométrique, d'une fonction de signature et/ou de cryptage. Cette première clé peut être générée dans le composant de sécurité de l'objet d'identification ou dans un élément sécurisé tiers La deuxième clé est générée dans le composant de sécurité de l'objet d'identification La clé de chiffrement initiale peut être générée par le composant de sécurité de l'objet d'identification, puis transmise au serveur ; ou peut être générée par le serveur.
Selon une application, un diversifiant peut être introduit à la clé de chiffrement initiale. Par exemple, le serveur peut introduire un diversifiant à la clé de chiffrement initiale avant génération de l'identité publique, ou la première ou la deuxième clé peut être générée en introduisant un diversifiant reçu du serveur. L'introduction d'un - 4 - diversifiant dans la clé de chiffrement lors de la création de l'identité publique permet de créer une identité publique propre à chaque fournisseur de service. Chaque identité numérique ainsi diversifiée pourra être associée à des fonctions d'audit propres au service concerné.
Selon un mode de réalisation, une pluralité d'identités publiques diversifiées peut être générée et stockée auprès du serveur ou d'une pluralité de serveurs en association avec une clé de chiffrement initiale diversifiée respective. La ou les identités publiques peuvent en outre être transmises et stockées dans l'objet d'identification, pour servir ultérieurement d'identifiant auprès d'un serveur lors d'une demande d'accès à des services. Le procédé selon l'invention comprend aussi une phase de vérification de l'identité de l'individu porteur de l'objet d'identification, la phase de vérification comprenant les étapes suivantes: saisie d'une donnée biométrique courante de l'individu ; génération d'une donnée courante par le composant de sécurité de l'objet ; - génération d'une clé de chiffrement courante à partir de la donnée biométrique courante et de la donnée courante générée par le composant de sécurité de l'objet ; - comparaison de ladite clé de chiffrement courante avec la clé de chiffrement initiale ; - en cas de comparaison positive, valider l'identité de l'individu porteur de l'objet d'identification ; - en cas de comparaison négative, réfuter l'identité de l'individu porteur de l'objet d'identification.
Selon les modes de mise en oeuvre, la comparaison peut être effectuée dans le composant de sécurité de l'objet d'identification et/ou auprès du serveur. Un deuxième aspect de l'invention consiste en une phase de vérification de l'identité de l'individu porteur de l'objet d'identification. Grâce au procédé de l'invention, un individu n'a pas besoin de décliner son identité régalienne pour attester de son droit à accéder à des services pour lesquels il s'est enregistré avec l'objet de son choix. L'identité publique construite lors de la phase d'initialisation peut être validée sur simple présentation de l'objet et de la biométrie du porteur de l'objet. Dans ce contexte, l'usage de la biométrie vient protéger l'anonymat de l'individu. -5- L'invention concerne aussi un dispositif électronique comprenant un composant de sécurité adapté à mettre en oeuvre les étapes du procédé selon l'invention. Un tel dispositif peut comprendre en outre des moyens de saisie d'une donnée biométrique. Selon un mode de mise en oeuvre, le dispositif électronique peut accéder à une mémoire dans laquelle est stockée une pluralité d'identités publiques diversifiées. Un même dispositif électronique peut alors servir d'identifiant pour accéder à des services totalement distincts et hermétiques les uns des autres. L'invention concerne également un système d'authentification d'un porteur d'un objet d'identification, le système comprenant un dispositif électronique selon l'invention et au moins un serveur d'authentification comprenant au moins une identité publique stockée en association avec clé de chiffrement initiale. Selon un mode de réalisation, le système comprend une pluralité de serveurs d'authentification comprenant chacun au moins une identité publique stockée en association avec clé de chiffrement initiale diversifiée.
D'autres particularités et avantages de la présente invention apparaîtront dans la description ci-après d'exemples de réalisation non limitatifs, en référence aux dessins annexés, dans lesquels : la figure 1 est un organigramme d'un exemple d'une phase d'initialisation lors de la mise en oeuvre du procédé selon l'invention ; la figure 2 est un schéma montrant un exemple d'une phase d'initialisation pouvant être mise en oeuvre selon un mode de réalisation de l'invention ; - la figure 3 est un exemple d'un objet d'identification pouvant être utilisé lors de la mise en oeuvre du procédé selon l'invention ; - la figure 4 est un autre exemple d'un objet d'identification pouvant être utilisé lors de la mise en oeuvre du procédé selon l'invention ; la figure 5 est un schéma montrant un exemple d'une phase de vérification pouvant être mise en oeuvre selon un mode de réalisation de l'invention.
Un premier aspect de l'invention consiste en une phase d'initialisation. Cette phase d'initialisation a pour but de d'enregistrer un individu en association avec un objet d'identification de son choix - téléphone portable, carte, tablette ou autre auprès d'un serveur pour permettre à l'individu de se voir délivrer ultérieurement un droit quelconque (délivrance d'un permis de conduire, d'un titre de transport, d'une indemnisation, autorisation d'accès à un local, autorisation d'accès à un service, mise -6- en oeuvre d'un service, paiement électronique, etc.) sur présentation de l'objet. L'objet d'identification peut être une carte à puce, un téléphone portable ou tout autre objet portable comportant au moins un composant de sécurité. L'objet d'identification peut être utilisé comme une carte de fidélité, une carte de membre pour accéder à des services, une carte d'assurance ou un support porteur d'une identité régalienne. La phase d'initialisation est illustrée sur la figure 1. Une donnée biométrique initiale Bio de l'individu est saisie. Cette donnée biométrique initiale Bio peut être une empreinte digitale, une empreinte d'iris ou une photo du visage, de l'oreille ou de toute autre partie discriminante du corps de l'individu, tel qu'un tatouage, une cicatrice, ou autre. Cette donnée biométrique initiale Bio de l'individu est numérisée et traitée pour créer une donnée digitale de référence dérivée de la donnée biométrique initiale. Seule la donnée digitale de référence dérivée de la donnée biométrique initiale est mémorisée dans le composant de sécurité de l'objet. La donnée biométrique initiale Bio n'a pas à être mémorisée dans l'objet d'identification. Aucun détournement des données biométriques d'un individu ne peut donc être opéré en cas de vol ou de perte de l'objet d'identification. Cette donnée biométrique initiale Bio est utilisée pour générer une première clé '<bic). Cette première clé Kbio peut être obtenue par application, à la donnée digitale dérivée de la donnée biométrique, d'une fonction de signature et/ou de cryptage. Par ailleurs, une donnée de signature P1 est générée par le composant de sécurité de l'objet. Cette donnée P1 est non prédictible et ne dépend que de l'électronique du composant de sécurité de l'objet ; elle n'est pas stockée dans la mémoire de l'objet d'identification mais générée à chaque usage comme une signature du composant électronique de sécurité. Une telle donnée P1 peut être désignée par l'acronyme PUF pour « Physical Unclonable Feature » ; elle se compose d'une série de valeurs binaires non prédictibles et non disponibles en dehors de l'objet. Selon une variante, la donnée de signature Pi générée par le composant de sécurité de l'objet peut également être un aléa stocké après tirage dans le composant de sécurité de l'objet. Cette donnée de signature P1 du composant de sécurité de l'objet est utilisée pour générer une deuxième clé KHw, par exemple les valeurs du PUF ou de l'aléa généré par le composant de sécurité de l'objet peuvent être utilisés directement ou après cryptage pour former une clé. - 7 - Une clé de chiffrement initiale Kc',, peut alors être déterminée. Cette clé de chiffrement initiale combine les première et deuxième clés Kb,' et KHW, par exemple avec un algorithme qui utilise l'une des première ou deuxième clés pour chiffrer l'autre. Cette clé de chiffrement initiale Kcon, est alors utilisée auprès d'un serveur d'authentification pour enregistrer l'individu auprès dudit serveur pour se voir délivrer, lors d'une l'authentification ultérieure, un droit quelconque sur présentation de l'objet et vérification de l'authenticité du couple porteur-objet. Cette étape d'enregistrement est illustrée sur la figure 2 qui montre l'objet d'identification 10 d'une part et un serveur d'authentification 30 d'autre part.
L'objet d'identification 10 choisi par l'individu a généré une clé de chiffrement initiale Kcom comme décrit en référence à la figure 1. Cette clé de chiffrement initiale K', est communiquée au serveur 30 en association avec une première identité Idi de l'individu. Cette première identité Idl de l'individu peut être son identité régalienne ou une identité de type identifiant choisi par l'individu pour un service particulier (identifiant facebook, identifiant fnac, ...). Le serveur 30 génère alors une identité publique 1d2 par chiffrement de la première identité Idl à l'aide de la clé de chiffrement initiale Kcom' par un processus standard de cryptographie à clé publique (PKI pour « Public Key Infrastructure ») par exemple.
L'identité publique Id2 est alors stockée auprès du serveur 30 en association avec la clé de chiffrement initiale Kcom pour authentification ultérieure de l'individu. L'identité publique 1d2 peut en outre être transmise à l'objet d'identification 10 pour y être stockée. Cette identité publique Id2 n'est pas forcement stockée de manière sécurisée car elle n'est pas significative comme expliqué plus haut. En revanche, la clé de chiffrement initiale Kcom pourra être stockée dans le composant de sécurité de l'objet 10 pour usage ultérieur d'un processus connu sous l'acronyme de MOC pour « Match On Card ». Les figures 3 et 4 illustrent des exemples d'objets d'identification pouvant être utilisés dans le cadre de l'invention. Par exemple, l'objet d'identification 10 peut être un téléphone portable (figure 3) comprenant un composant de sécurité 11 aménagé dans une carte SIM ou tout autre élément de sécurité embarqué. Le téléphone 10 peut comprendre un moyen de capture d'image 12 et/ou de son et/ou un lecteur d'empreinte digitale 13, ou tout autre moyen de saisie de données biométriques. Le téléphone 10 comprend également des moyens de communication 14 avec un réseau -8- cellulaire ; il peut également inclure des moyens de communication avec un réseau local (de type Wifi ou BT) ou des moyens de communication en champ proche (NFC). Le téléphone 10 peut ainsi communiquer avec un serveur d'authentification pour déclencher l'accès aux droits ou services requis par le porteur après vérification de son identité. Selon un autre exemple, l'objet d'identification 10 peut être une carte à puce (figure 4) comprenant un élément de sécurité 11 sous forme d'une puce électronique de la carte. La carte 10 peut comprendre un lecteur d'empreinte digitale 13 ou tout autre moyen de saisie de données biométriques. La carte 10 est également communicante par lecture des données de la puce 11 via un lecteur approprié en mode contact et/ou par des moyens de communication en sans contact comme le modèle en champ proche (NFC) via une antenne dans la carte 10. La carte 10 peut ainsi, par exemple communiquer avec une borne ou un téléphone pour déclencher l'accès aux droits ou services requis par le porteur après vérification de son identité.
La vérification de l'identité de l'individu à l'aide d'une carte à puce 10 est réalisée selon le même processus que celui décrit pour un téléphone en référence à la figure 3. Selon les modes de réalisation, les différents éléments décrits ci-dessus peuvent être répartis différemment entre l'objet d'identification 10 et le serveur d'authentification 30.
Selon un premier mode de réalisation possible, la première clé Kbio, la deuxième clé Kyw et la clé de chiffrement initiale Km, sont générées dans le composant de sécurité de l'objet et seule la clé de chiffrement initiale est transmise vers le serveur 30 (comme illustré figure 2). Par exemple, la donnée biométrique Bio peut être saisie par l'individu à l'aide de l'objet d'identification 10 lui-même ; par exemple dans le cas où l'objet d'identification est un téléphone portable équipé d'une caméra ou d'un lecteur d'empreinte comme décrit plus bas en référence à la figure 3. La première clé Kb,' peut alors être générée par l'objet d'identification 10 lui-même, par application, à la donnée biométrique saisie, d'un algorithme stocké dans le composant de sécurité de l'objet, par exemple un algorithme permettant de créer une signature digitale stable comme décrit dans le document FR-A-2 925 732, puis par application d'une fonction de cryptage, telle qu'une fonction de hachage par exemple. La donnée digitale de référence dérivée de la donnée biométrique saisie peut en outre être mémorisée dans le composant de sécurité de l'objet pour mise en oeuvre ultérieure possible d'un processus MOC. -9- Alternativement, la donnée biométrique Bio peut être saisie à partir d'un lecteur appropriée qui la transmet à l'objet d'identification 10 pour génération de la première clé Kbio. La donnée biométrique Bio peut être transmise directement à l'objet d'identification 10, par communication en champ proche NFC par exemple si l'objet est équipé de cette fonction, ou par communication cellulaire ou wifi si l'objet est équipé de cette fonction ; l'objet 10 calcule alors lui-même une donnée digitale de référence dérivée de la donnée biométrique. Alternativement, la donnée digitale de référence dérivée de la donnée biométrique Bio peut être calculée dans le moyen de saisie puis transmise directement à l'objet d'identification 10, par communication en champ proche NFC ou par communication cellulaire ou wifi. La deuxième clé KHw est générée dans le composant de sécurité de l'objet 10 car la donnée P1 est produite par le composant de sécurité de l'objet et ne peut être transmise hors de l'objet 10. Si la première clé Kbio et la deuxième clé KHw sont générées dans le composant de sécurité de l'objet 10, il est avantageux que la clé de chiffrement initiale Kcom soit également générée dans le composant de sécurité de l'objet 10 afin de limiter les échanges de données sensibles. Selon un autre mode de réalisation possible, la clé de chiffrement initiale Kcom peut être générée directement par le serveur 30 qui reçoit de manière sécurisée les première et deuxième clés Kbio et KHW. Par exemple la donnée biométrique Bio peut être saisie à partir d'un lecteur approprié, tel qu'une borne de lecture d'empreinte digitale ou une webcam installé sur un PC par exemple. La première clé Kbio peut alors être générée, soit par un élément sécurisé tiers ayant recueilli la donnée biométrique Bio, soit par le serveur 30 si la donnée biométrique Bio ou la donnée digitale de référence dérivée de la donnée biométrique lui est transmise. Par ailleurs, bien que la donnée Pl produite par le composant de sécurité de l'objet ne soit pas disponible en dehors de l'objet 10, la deuxième clé KHW générée dans le composant de sécurité de l'objet 10 peut être transmise hors de l'objet. Le cas échéant, si la clé de chiffrement initiale Kcom a été générée par le serveur 30, elle peut être transmise à l'objet d'identification 10 pour y être stockée pour application d'un processus MOC ultérieur. Que la clé de chiffrement initiale Kcom soit générée par le serveur 30 ou par le -10- composant de sécurité de l'objet 10, puis transmise au serveur, la clé de chiffrement initiale Kcom est utilisée par le serveur pour créer une identité publique 1d2 par chiffrement de la première identité !dl. Le serveur 30 peut introduire un diversifiant à la clé de chiffrement initiale Kcom avant génération de identité publique 1c12. L'introduction d'un tel diversifiant dans la clé de chiffrement lors de la création de l'identité publique 1d2 permet de créer une identité publique propre au serveur qui la crée. Notamment, une pluralité d'identités publiques diversifiées Id2n peut être générée et stockée auprès d'un ou plusieurs serveurs. Chaque d'identités publiques diversifiées Id2n est stockée en association avec une clé de chiffrement initiale diversifiée respective. Chaque identité numérique ainsi diversifiée pourra être associée à des droits spécifiques auprès du serveur d'un service spécifique. Par exemple, un individu souhaite utiliser un même objet d'indentification pour s'enregistrer auprès de serveurs de différents services. Afin de permettre des fonctions d'audit propres au service concerné - notamment répudiation ou niveau de sécurité - il est préférable que l'identité publique Id2 ne soit pas la même pour l'ensemble des services. Un diversifiant provenant du serveur du fournisseur est donc introduit lors de la génération de l'identité publique Id2. Selon les modes de réalisation, le diversifiant peut être introduit par le serveur 30 directement à la clé de chiffrement initiale Kcom avant génération de l'identité publique Id2, que la clé de chiffrement initiale Kcon, soit générée par le serveur ou par le composant de sécurité de l'objet qui reçoit alors le diversifiant du serveur lorsqu'il génère la clé de chiffrement initiale Kcom. Alternativement, le diversifiant peut être introduit lors de la génération de la première clé Kb,, ou de la deuxième clé KHw, soit par le serveur lui-même s'il génère la première clé Kho comme mentionné plus haut, soit par le composant de sécurité de l'objet qui reçoit alors le diversifiant du serveur. Un même objet d'identification peut alors être utilisé par l'individu pour accéder à des services différents sur vérification de son identité. La phase de vérification est illustrée sur la figure 5.
Un individu souhaite accéder à un service donné auprès duquel il est enregistré avec une identité publique Id2n donnée. La vérification de l'identité de l'individu est réalisée en générant une clé de chiffrement courante K','', selon le même procédé que celui décrit en référence à la figure 1, à partir de données biométrique courante Bio' et d'une donnée courante Pl' générée par l'objet d'identification 10 - carte, téléphone ou autre. Si un diversifiant a été introduit lors de la génération de la clé chiffrement initiale Kcom, le même diversifiant est introduit de la même manière lors de la génération de la clé de chiffrement courante K'm'.
Eventuellement, la donnée digitale dérivée de la donnée biométrique courante Bio' est validée en interne par une comparaison effectuée dans l'objet lui-même, selon un processus MOC. La comparaison entre la clé de chiffrement courante Kcom' et la clé de chiffrement initiale Kcom peut être faite dans l'objet lui-même par un processus MOC avant transmission de ladite clé de chiffrement courante Kcom' ou d'une attestation d'identité à un serveur ou une borne d'accès aux droits ou services requis. En l'absence de processus MOC ou en complément, le serveur 30n reçoit la clé de chiffrement courante Kcom' et la compare avec la clé de chiffrement initiale Km,. Si la comparaison est positive, l'identité de l'individu est validée et les droits requis accordés, sinon l'identité de l'individu est réfutée et les droits requis refusés. L'utilisation d'identités publiques diversifiées Id2n permet de limiter la capacité de réfutation d'un service alors que le même objet d'identification est utilisé par l'individu. Un même objet d'identification peut alors être utilisé par l'individu pour établir une communication sécurisée avec un serveur distant, l'objet pouvant servir d'interface graphique, de clavier et de modem, éventuellement en complément de l'échange standard d'information dans une infrastructure existante (Banque, Gestionnaire de risques, Organisme de santé, etc.). Un tel objet d'indentification peut être utilisé dans le cadre de transactions virtuelles pour maitriser la fraude et éviter toute répudiation des transactions puisque la vérification de l'identité de l'individu utilisant l'objet d'identification est basée sur ses données biométriques. Les transmissions de données - Bio, Kcom, Id2 ou leurs valeurs dérivées peuvent être directes ou bien transiter par un ou plusieurs dispositifs intermédiaires, comme par exemple dans le cas où la transmission se fait à travers un réseau de communication. Le format des données transmises peut être quelconque. Avantageusement, ces transmissions sont effectuées de façon sécurisées. A cet effet, toute procédure appropriée de sécurisation de la transmission peut être envisagée, comme par exemple le recours au protocole HTTPS, SSL/TLS ou autre. Un unique serveur 30 peut être utilisé ou plusieurs entités peuvent assurer des fonctions respectives ; par exemple une entité peut être dédiée au calcul ou à la mémorisation -12- des données issues des valeurs biométriques utilisées, et une autre entité peut être dédiée au stockage et à la comparaison de l'identité numérique. De façon avantageuse, une ou plusieurs données personnelles de l'individu peuvent être transmises au serveur 30 dans les mêmes configurations que pour la première identité !dl. Ces données personnelles peuvent comprendre toutes données susceptibles d'être utilisées dans le cadre d'une authentification ou d'une identification. A titre illustratif, elles peuvent comprendre l'un au moins parmi : un mot de passe, une adresse électronique de l'objet d'identification, une identité, ou autre. Dans ce cas, les différentes données relatives à l'individu sont stockées en association par ou pour le serveur 30. Ainsi, chaque donnée associée à une identité numérique peut être utilisée pour des fonctions ou des services (locaux ou distants) distinctes. On notera que, bien que la description ci-avant ait été décrite avec l'hypothèse qu'une seule donnée biométrique initiale est capturée lors de la phase d'initialisation, l'invention s'applique également au cas où plusieurs données biométriques complémentaires seraient saisies et combinées dans la génération de la première clé Kbio. D'autres mécanismes et d'autres architectures sont bien sûr également envisageables, comme cela apparaîtra à l'homme du métier, notamment des partages différents de ceux illustrés sur aux figures 2 et 5. Tout ou partie des opérations qui ont été décrites jusque là peuvent être mises en oeuvre par un ou plusieurs programmes d'ordinateur comprenant des instructions de code appropriées permettant de mettre en oeuvre le procédé de l'invention. Un tel programme d'ordinateur peut être chargé et exécuté sur le composant de sécurité d'un objet d'identification communiquant.

Claims (22)

  1. REVENDICATIONS1. Procédé d'authentification d'un individu porteur d'un objet d'identification (10) comprenant au moins un composant de sécurité (11), le procédé incluant une phase d'initialisation comprenant les étapes suivantes : saisie d'une donnée biométrique initiale (Bio) de l'individu ; génération d'une première clé (Kbio) issue de la donnée biométrique ; génération d'une deuxième clé (KHW) issue d'une donnée (P1) générée par le composant de sécurité de l'objet ; génération d'une clé de chiffrement initiale (Kcom) combinant ladite première clé (Kbio) et ladite deuxième clé (KHw) ; communication avec un serveur (30) d'une première identité (Id1) de l'individu en association avec la clé de chiffrement initiale (Koem) ; génération par le serveur d'une identité publique (Id2) par chiffrement de la première identité (Idi) à l'aide de clé de chiffrement initiale (Kcom), ladite identité publique (Id2) étant stockée auprès du serveur (30) en association avec la clé de chiffrement initiale (Kcom).
  2. 2. Procédé selon la revendication 1, dans lequel la donnée (P1) générée par le composant de sécurité de l'objet est une valeur numérique non prédictible (PUF, Physical Unclonable Feature) produite par le composant de sécurité de l'objet.
  3. 3. Procédé selon la revendication 1, dans lequel la donnée (P1) générée par le composant de sécurité de l'objet est un aléa stocké dans le composant de sécurité de l'objet après tirage.
  4. 4. Procédé selon l'une quelconque des revendications précédentes, dans lequel la première clé (Kb,o) est obtenue par application, à une donnée digitale de référence dérivée de la donnée biométrique, d'une fonction de signature et/ou de cryptage.
  5. 5. Procédé selon l'une quelconque des revendications 1 à 4, dans lequel la première clé (Kb,') est générée dans le composant de sécurité (11) de l'objet d'identification.-14-
  6. 6. Procédé selon l'une quelconque des revendications 1 à 4, dans lequel la première clé (Kbio) est générée dans un élément sécurisé tiers.
  7. 7. Procédé selon l'une quelconque des revendications précédentes, dans lequel la deuxième clé (KHW) est générée dans le composant de sécurité (11) de l'objet d'identification.
  8. 8. Procédé selon l'une quelconque des revendications 1 à 7, dans lequel la clé de chiffrement initiale (K',) est générée par le composant de sécurité (11) de l'objet d'identification (10), puis transmise au serveur (30).
  9. 9. Procédé selon l'une quelconque des revendications 1 à 7, dans lequel la clé de chiffrement initiale (Koom) est générée par le serveur (30).
  10. 10. Procédé selon l'une quelconque des revendications 1 à 9, dans lequel le serveur (30) introduit un diversifiant à la clé de chiffrement initiale (Koom) avant génération de l'identité publique (Id2).
  11. 11. Procédé selon l'une quelconque des revendications 1 à 9, dans lequel la première clé (Kb ) est générée en introduisant un diversifiant reçu du serveur (30).
  12. 12. Procédé selon l'une quelconque des revendications 1 à 9, dans lequel la deuxième clé (KHW) est générée en introduisant un diversifiant reçu du serveur (30).
  13. 13. Procédé selon l'une quelconque des revendications 10 à 12, dans lequel une pluralité d'identités publiques diversifiées (1d2n) est générée et stockée auprès du serveur (30) ou d'une pluralité de serveurs (30n) en association avec une clé de chiffrement initiale diversifiée (Koom) respective.
  14. 14. Procédé selon l'une quelconque des revendications précédentes, dans lequel la ou les identités publiques (Id2) sont en outre transmises et stockées dans l'objet d'identification (10).
  15. 15. Procédé selon l'une quelconque des revendications précédentes, incluant en outre une phase de vérification de l'identité de l'individu porteur de l'objet d'identification, la phase de vérification comprenant les étapes suivantes : saisie d'une donnée biométrique courante (Bio') de l'individu ; génération d'une donnée courante (P1') par le composant de sécurité (11) de l'objet ;-15- - génération d'une clé de chiffrement courante à partir de la donnée biométrique courante (Bio') et de la donnée courante (P1') générée par le composant de sécurité (11) de l'objet ; comparaison de ladite clé de chiffrement courante (K'com) avec la clé de chiffrement initiale (Knom) ; - en cas de comparaison positive, valider l'identité de l'individu porteur de l'objet d'identification ; - en cas de comparaison négative, réfuter l'identité de l'individu porteur de l'objet d'identification.
  16. 16. Procédé selon la revendication 15, dans lequel la comparaison est effectuée dans le composant de sécurité (11) de l'objet d'identification (10).
  17. 17. Procédé selon la revendication 15, dans lequel la comparaison est effectuée auprès du serveur (30).
  18. 18. Dispositif électronique (10) comprenant un composant de sécurité (11) adapté à mettre en oeuvre les étapes du procédé selon l'une quelconque des revendications précédentes.
  19. 19. Dispositif électronique selon la revendication 18, comprenant en outre des moyens de saisie d'une donnée biométrique (Bio, Bio').
  20. 20. Dispositif électronique selon l'une des revendications 18 à 19, dans lequel le composant de sécurité (11) accède à une mémoire dans laquelle est stockée une pluralité d'identités publiques (Id2n).
  21. 21. Système d'authentification d'un porteur d'un objet d'identification, le système comprenant : - un dispositif électronique (10) selon l'une des revendications 18 à 20 ; au moins un serveur d'authentification (30) comprenant au moins une d'identité publique (Id2) stockée en association avec la clé de chiffrement initiale (Kcorn).
  22. 22. Système selon la revendication 21, comprenant une pluralité de serveurs d'authentification (30m) comprenant chacun au moins une identité publique (Id2n) diversifiée.
FR1252444A 2012-03-19 2012-03-19 Procede d'authentification d'un individu porteur d'un objet d'identification Active FR2988196B1 (fr)

Priority Applications (7)

Application Number Priority Date Filing Date Title
FR1252444A FR2988196B1 (fr) 2012-03-19 2012-03-19 Procede d'authentification d'un individu porteur d'un objet d'identification
PCT/FR2013/050575 WO2013140079A1 (fr) 2012-03-19 2013-03-18 Procede de generation d'identite publique pour l'authentification d'un individu porteur d'un objet d'identification
RU2014142045A RU2621625C2 (ru) 2012-03-19 2013-03-18 Способ генерации открытого идентификатора для аутентификации индивидуума, держателя объекта идентификации
CN201380027190.XA CN104321777B (zh) 2012-03-19 2013-03-18 生成公共标识以验证携带识别对象的个人的方法
US14/382,920 US10007773B2 (en) 2012-03-19 2013-03-18 Method for generating public identity for authenticating an individual carrying an identification object
EP13719893.3A EP2828788A1 (fr) 2012-03-19 2013-03-18 Procede de generation d'identite publique pour l'authentification d'un individu porteur d'un objet d'identification
BR112014023361-6A BR112014023361A2 (pt) 2012-03-19 2013-03-18 método para gerar uma identidade pública para autenticar um indivíduo que transporta um objeto de identificação, dispositivo eletrônico, e, sistema para autenticar um titular de um objeto de identificação

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1252444A FR2988196B1 (fr) 2012-03-19 2012-03-19 Procede d'authentification d'un individu porteur d'un objet d'identification

Publications (2)

Publication Number Publication Date
FR2988196A1 true FR2988196A1 (fr) 2013-09-20
FR2988196B1 FR2988196B1 (fr) 2014-03-28

Family

ID=46754535

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1252444A Active FR2988196B1 (fr) 2012-03-19 2012-03-19 Procede d'authentification d'un individu porteur d'un objet d'identification

Country Status (7)

Country Link
US (1) US10007773B2 (fr)
EP (1) EP2828788A1 (fr)
CN (1) CN104321777B (fr)
BR (1) BR112014023361A2 (fr)
FR (1) FR2988196B1 (fr)
RU (1) RU2621625C2 (fr)
WO (1) WO2013140079A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3449410B1 (fr) * 2016-04-27 2021-11-17 VTIP Sàrl Système d'authentification biométrique basé sur les réseaux veineux et des codages uniques et non falsifiables de structures arborescentes et procédé associé
EP4310754A4 (fr) * 2021-03-18 2025-03-12 Kabushiki Kaisha Toshiba Système d'émission à distance et serveur de génération de données

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013203436A1 (de) * 2013-02-28 2014-08-28 Siemens Aktiengesellschaft Generieren eines Schlüssels zum Bereitstellen von Berechtigungsinformationen
CN104899496B (zh) * 2014-09-26 2020-01-31 腾讯科技(深圳)有限公司 一种数据读取方法及其终端
US9621342B2 (en) * 2015-04-06 2017-04-11 Qualcomm Incorporated System and method for hierarchical cryptographic key generation using biometric data
RU2019140423A (ru) * 2015-12-22 2020-02-05 Файненшел Энд Риск Организейшн Лимитед Способы и системы для создания удостоверений личности, их проверки и управления ими
US10097348B2 (en) * 2016-03-24 2018-10-09 Samsung Electronics Co., Ltd. Device bound encrypted data
KR101806390B1 (ko) * 2016-05-31 2017-12-07 주식회사지니 생체 정보를 이용한 카드 결제 처리 시스템 및 그의 처리 방법
CN109791583B (zh) * 2017-07-27 2023-04-14 指纹卡安娜卡敦知识产权有限公司 允许基于生物识别数据在安全通信信道上进行客户端设备的用户的认证的方法和设备
US11165772B2 (en) * 2017-09-13 2021-11-02 Fingerprint Cards Ab Methods and devices of enabling authentication of a user of a client device over a secure communication channel based on biometric data
JP7337817B2 (ja) * 2018-02-13 2023-09-04 フィンガープリント カーズ アナカタム アイピー アクチボラグ 生体認証テンプレート保護鍵の更新
EP3867785A1 (fr) 2018-10-17 2021-08-25 Nokia Solutions and Networks Oy Cryptoprocesseur sécurisé
US12026247B2 (en) 2019-09-25 2024-07-02 Amod Ashok Dange System and method for enabling a user to create an account on an application or login into the application without having the user reveal their identity
US12028347B2 (en) * 2019-09-25 2024-07-02 Amod Ashok Dange System and method for enabling a user to obtain authenticated access to an application using a biometric combination lock
US20240378318A1 (en) * 2019-09-25 2024-11-14 Amod Ashok Dange System and method for managing tokenized personally identifiable information
US20240380598A1 (en) * 2019-09-25 2024-11-14 Amod Ashok Dange System and method for managing an operating system using tokenized identity
US12072963B2 (en) * 2019-09-25 2024-08-27 Amod Ashok Dange System and method for affixing a signature using biometric authentication
US12079367B2 (en) * 2019-09-25 2024-09-03 Amod Ashok Dange System and method for enabling social network users to grant their connections granular visibility into their personal data without granting the same visibility to the network operator
EP4369652A1 (fr) * 2022-11-08 2024-05-15 Electronics and Telecommunications Research Institute Appareil de portefeuille froid et son procédé de commande

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6463533B1 (en) * 1999-04-15 2002-10-08 Webtv Networks, Inc. System for generating site-specific user aliases in a computer network
WO2010116310A1 (fr) * 2009-04-10 2010-10-14 Koninklijke Philips Electronics N.V. Dispositif et authentification d'utilisateur
US20110191837A1 (en) * 2008-09-26 2011-08-04 Koninklijke Philips Electronics N.V. Authenticating a device and a user

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040123113A1 (en) * 2002-12-18 2004-06-24 Svein Mathiassen Portable or embedded access and input devices and methods for giving access to access limited devices, apparatuses, appliances, systems or networks
FR2867881B1 (fr) 2004-03-17 2006-06-30 Sagem Procede de controle d'identification de personnes et systeme pour la mise en oeuvre du procede
US7805614B2 (en) * 2004-04-26 2010-09-28 Northrop Grumman Corporation Secure local or remote biometric(s) identity and privilege (BIOTOKEN)
US8171531B2 (en) * 2005-11-16 2012-05-01 Broadcom Corporation Universal authentication token
EP1811421A1 (fr) * 2005-12-29 2007-07-25 AXSionics AG Jeton de sécurité et procédé d'authentification d'un utilisateur au moyen du jeton de sécurité
US8245052B2 (en) * 2006-02-22 2012-08-14 Digitalpersona, Inc. Method and apparatus for a token
US20110002461A1 (en) * 2007-05-11 2011-01-06 Validity Sensors, Inc. Method and System for Electronically Securing an Electronic Biometric Device Using Physically Unclonable Functions
JP5028194B2 (ja) * 2007-09-06 2012-09-19 株式会社日立製作所 認証サーバ、クライアント端末、生体認証システム、方法及びプログラム
FR2925732B1 (fr) 2007-12-21 2010-02-12 Sagem Securite Generation et utilisation d'une cle biometrique
US20090307140A1 (en) * 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
EP2433251A1 (fr) * 2009-05-20 2012-03-28 Koninklijke Philips Electronics N.V. Procédé et dispositif d'activation d'une réputation d'utilisateur de portable
ES2572159T3 (es) * 2009-11-12 2016-05-30 Morpho Cards Gmbh Un método de asignación de un secreto a un testigo de seguridad, un método de operación de un testigo de seguridad, un medio de almacenamiento y un testigo de seguridad
US8868923B1 (en) * 2010-07-28 2014-10-21 Sandia Corporation Multi-factor authentication
US8667265B1 (en) * 2010-07-28 2014-03-04 Sandia Corporation Hardware device binding and mutual authentication
US8516269B1 (en) * 2010-07-28 2013-08-20 Sandia Corporation Hardware device to physical structure binding and authentication
US8762723B2 (en) * 2011-07-07 2014-06-24 Verayo, Inc. Cryptographic security using fuzzy credentials for device and server communications
US20140237256A1 (en) * 2013-02-17 2014-08-21 Mourad Ben Ayed Method for securing data using a disposable private key

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6463533B1 (en) * 1999-04-15 2002-10-08 Webtv Networks, Inc. System for generating site-specific user aliases in a computer network
US20110191837A1 (en) * 2008-09-26 2011-08-04 Koninklijke Philips Electronics N.V. Authenticating a device and a user
WO2010116310A1 (fr) * 2009-04-10 2010-10-14 Koninklijke Philips Electronics N.V. Dispositif et authentification d'utilisateur

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3449410B1 (fr) * 2016-04-27 2021-11-17 VTIP Sàrl Système d'authentification biométrique basé sur les réseaux veineux et des codages uniques et non falsifiables de structures arborescentes et procédé associé
AU2017257417B2 (en) * 2016-04-27 2022-10-27 Vtip Sàrl Biometric authentication system based on the venous networks and unique non-falsifiable codes of tree structures and associated method
EP4310754A4 (fr) * 2021-03-18 2025-03-12 Kabushiki Kaisha Toshiba Système d'émission à distance et serveur de génération de données

Also Published As

Publication number Publication date
WO2013140079A1 (fr) 2013-09-26
RU2621625C2 (ru) 2017-06-06
US10007773B2 (en) 2018-06-26
CN104321777A (zh) 2015-01-28
EP2828788A1 (fr) 2015-01-28
CN104321777B (zh) 2019-11-22
FR2988196B1 (fr) 2014-03-28
US20150046699A1 (en) 2015-02-12
BR112014023361A2 (pt) 2020-10-27
RU2014142045A (ru) 2016-05-10

Similar Documents

Publication Publication Date Title
FR2988196A1 (fr) Procede d&#39;authentification d&#39;un individu porteur d&#39;un objet d&#39;identification
EP2071798B1 (fr) Procédé et serveur de coffres-forts électroniques avec mutualisation d&#39;informations
EP3623975B1 (fr) Procédé et système de vote électronique à identification biométrique
EP2891268B1 (fr) Signature de groupe utilisant un pseudonyme
EP3991381A1 (fr) Procédé et système de génération de clés de chiffrement pour données de transaction ou de connexion
WO2012156648A1 (fr) Acces protege par biometrie a des dispositifs electroniques
EP3398104A1 (fr) Deuxieme authentification dynamique d&#39;une signature electronique utilisant un module materiel securise
FR3035248A1 (fr) Systeme-sur-puce a fonctionnement securise et ses utilisations
EP3673633B1 (fr) Procédé d&#39;authentification d&#39;un utilisateur auprès d&#39;un serveur d&#39;authentification
EP2813962B1 (fr) Méthode de contrôle d&#39;accès à un type de services spécifique et dispositif d&#39;authentification pour le contrôle de l&#39;accès à un tel type de services.
WO2013140078A1 (fr) Procede de generation et de verification d&#39;identite portant l&#39;unicite d&#39;un couple porteur-objet
WO2020254026A1 (fr) Procede et dispositif d&#39;authentification d&#39;un utilisateur utilisant la conductivité du corps humain
FR3073998B1 (fr) Procede numerique de controle d&#39;acces a un objet, une ressource ou service par un utilisateur
CA2647239C (fr) Procede et serveur pour l&#39;acces a un coffre-fort electronique via plusieurs entites
FR3002056A1 (fr) Authentification de signature manuscrite numerisee.
FR3032292A1 (fr) Element securise et procede mis en œuvre dans un tel element securise
EP3063898B1 (fr) Signature à pseudonyme pour carte à puce
WO2025120454A1 (fr) Procédé de gestion centralisée d&#39;au moins un processus d&#39;approbation d&#39;une action
WO2024180049A1 (fr) Procede de delivrance d&#39;une autorisation d&#39;acces pour un individu et procede de verification
FR2984648A1 (fr) Dispositif electronique individuel et procede de reponse par un dispositif electronique individuel a une sollicitation
WO2021249854A1 (fr) Procédé d&#39;acquisition et de traitement sécurisé d&#39;une information secrète acquise
WO2002030039A1 (fr) Procede d&#39;authentification de document electronique
WO2007101966A1 (fr) Authentification d&#39;un dispositif informatique au niveau utilisateur

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

CA Change of address

Effective date: 20230220

CD Change of name or company name

Owner name: IDEMIA IDENTITY & SECURITY FRANCE, FR

Effective date: 20230220

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14