ES2534478T3 - Procedimiento de protección contra la modificación fraudulenta de datos enviados a un medio electrónico seguro - Google Patents
Procedimiento de protección contra la modificación fraudulenta de datos enviados a un medio electrónico seguro Download PDFInfo
- Publication number
- ES2534478T3 ES2534478T3 ES01936570.9T ES01936570T ES2534478T3 ES 2534478 T3 ES2534478 T3 ES 2534478T3 ES 01936570 T ES01936570 T ES 01936570T ES 2534478 T3 ES2534478 T3 ES 2534478T3
- Authority
- ES
- Spain
- Prior art keywords
- data sent
- user
- words
- electronic medium
- secure electronic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0806—Details of the card
- G07F7/0813—Specific details related to card security
- G07F7/082—Features insuring the integrity of the data on or in the card
Landscapes
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Business, Economics & Management (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
Abstract
Método de protección contra la modificación de datos enviados por un usuario a un medio seguro a través de un lector, y recibidos en un modo de comunicación no seguro, caracterizado porque consiste en seleccionar y almacenar algunos de los datos recibidos en un modo de comunicación no seguro y obtener confirmación de la autenticidad de dichos datos seleccionados verificando que son idénticos a los entrados a petición por el usuario en un modo de comunicación seguro del lector.
Description
figura 2. La tarjeta puede así seleccionar para confirmar elementos importantes como fechas o cantidades.
Se pueden también imaginar textos estándar "con blancos" donde sólo la información personal, fechas y cantidades, por ejemplo, falten por completar.
Por último destacar que la tarjeta puede tener una estrategia mixta, complementando su elección determinista con palabras seleccionadas aleatoriamente.
Además de la elección y el número de palabras a confirmar, es importante designar con precisión estas palabras.
De hecho, es obvio que la confirmación de la presencia de un número de palabras en un documento no es suficiente para establecer su significado. También debemos aseguramos de que el orden de las palabras es respetado. Por ejemplo, es importante asegurarse de que la palabra "ciento" no ha sido agregada entre las palabras "de" y "cuatro". Será importante designar con precisión la ubicación respectiva de las palabras "de" y "cuatro".
Esto se puede lograr usando un texto organizado en filas y columnas, como el ilustrado en la figura 3, a fin de designar con precisión la ubicación de las palabras a confirmar.
Al entrar las palabras de confirmación, la tarjeta puede también pedir al usuario que introduzca para confirmación las palabras 4 a 7 de línea 2 y también la palabra 1 de la línea 3. El usuario introducirá entonces las palabras solicitadas y su emplazamiento en el texto. Un acuerdo podría ser "12m4 de" para confirmar la palabra "de" en la posición 4 de la línea 2.
Para evitar las supresiones, inserciones y desplazamiento de palabras, una posible estrategia consiste en solicitar confirmación de columnas de texto. En nuestro ejemplo, si la tarjeta solicita confirmación de la columna 14, el usuario introducirá "c14 Pmin".
La implementación del método de acuerdo con la invención se resume en el siguiente ejemplo completo, con referencia al organigrama de la figura 4:
El método se implementa mediante un software adecuado almacenado en un PC quepuede comunicarse con una tarjeta inteligente mediante un lector del tipo GEMPC420.
- 1.
- El software muestra en la pantalla del usuario el documento a firmar (siempre usamos el ejemplo de las figuras 2 y 3).
- 2.
- El software cambia el GemPC420 a modo 3. El usuario verifica que el LED verde parpadea.
- 3.
- El usuario indica a la tarjeta las palabras que quiere introducir en la confirmación mediante la introducción de "12m4-7 de noventa 13m1 francos".
- 4.
- El software cambia el GemPC420 a modo 2, luego transmite el texto a firmar a la tarjeta. Si el volumen de texto a firmar es importante, la tarjeta puede cortar sobre la marcha, efectuando las dos etapas siguientes.
11
- 7.
- El usuario Introduce en el teclado del lector (de la tarjeta) las palabras a confirmar: "14m3-5 31 enero 2000 c21 Guao 11m3 Pierre".
- 8.
- La tarjeta verifica que los datos de confirmación son compatibles con el documento recibido, sino el protocolo se termina (evitando asilos ataques de un troyano y/o por parte de un usuario de mala fe).
- 9.
- El software le pide al usuario que introduzca su PIN para confirmar su voluntad de firmar el documento.
- 10.
- El usuario introduce su PIN.
- 11.
- La tarjeta verifica el PIN y, si es correcto, firma el documento y devuelve la firma al software.
El método de la invención también puede implementarse en terminales del tipo GSM (teléfonos móviles) o PDA (Personal Digital Assistant) con la condición de que tengan al menos una tecla o una secuencia de teclas de función para activar un modo seguro y una salida que permita saber si el modo de seguridad está activado o no.
Se pueden prever varias posibles implementaciones del método de acuerdo con la invención.
El primero consiste en realizar una interfaz entre el sistema propuesto por la invención (el software que implementa el método de acuerdo con la invención que es capaz de conducir el lector de tarjetas y proporcionar instrucciones al usuario) y los softwares como el Word o Excel que son extensibles. En este marco, se debe codificar en Visual Basic una interfaz con las API (Application Programming Interface) de firma y se recuperan las funcionalidades de subrayar en el texto las palabras.
Otra posible implementación de este sistema se puede obtener mediante la integración del software de implementación de la invención en una página Web por medio de una aplicación Java.
Además, uno de los inconvenientes del método de la invención reside en el esfuerzo requerido para la introducción de ciertas palabras por parte del usuario, lo que va en contra de la evolución de los interfaces para facilidad de uso. Una solución a este problema puede consistir en añadir al sistema que implementa la invención un miniescáner seguro conectado al mismo puerto de comunicación que el lector o directamente en el lector mismo. En caso de que el lector y el mini-escáner estén conectados a un mismo puerto, el lector estará obviamente dispuesto entre el PC y el mini-escáner, como en el caso del teclado para el GemPC420. El mini-escáner permite al usuario introducir palabras que se muestran en la pantalla o impresas, evitando así una nueva entrada.
El proceso de protección de acuerdo con la invención también puede aplicarse al problema de la modificación de órdenes enviadas a la tarjeta por un troyano.
La invención proporciona para este propósito un procedimiento de protección contra la modificación de la orden enviada al medio seguro (la tarjeta inteligente en el ejemplo considerado). Este método implementa las mismos pasos que se describen en referencia a la protección contra la modificación de un documento firmado.
13
Claims (1)
-
imagen1 imagen2
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0007041 | 2000-05-31 | ||
| FR0007041A FR2809892B1 (fr) | 2000-05-31 | 2000-05-31 | Procede de protection contre la modification frauduleuse de donnees envoyees a un support electronique securise |
| PCT/FR2001/001522 WO2001092996A1 (fr) | 2000-05-31 | 2001-05-17 | Procede de protection contre la modification frauduleuse de donnees envoyees a un support electronique securise |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2534478T3 true ES2534478T3 (es) | 2015-04-23 |
Family
ID=8850872
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES01936570.9T Expired - Lifetime ES2534478T3 (es) | 2000-05-31 | 2001-05-17 | Procedimiento de protección contra la modificación fraudulenta de datos enviados a un medio electrónico seguro |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7360247B2 (es) |
| EP (1) | EP1290528B1 (es) |
| CN (1) | CN100492247C (es) |
| AU (1) | AU2001262451A1 (es) |
| ES (1) | ES2534478T3 (es) |
| FR (1) | FR2809892B1 (es) |
| WO (1) | WO2001092996A1 (es) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2790844B1 (fr) * | 1999-03-09 | 2001-05-25 | Gemplus Card Int | Procede et dispositif de surveillance du deroulement d'un programme, dispositif programme permettant la surveillance de son programme |
| EP2033145B1 (en) * | 2006-06-15 | 2011-04-06 | Kabushiki Kaisha Toshiba | Portable electronic device and control method thereof |
| US9292619B2 (en) * | 2006-06-29 | 2016-03-22 | International Business Machines Corporation | Method and system for detecting movement of a signed element in a structured document |
| CN101241572B (zh) * | 2007-02-08 | 2015-12-09 | 天地融科技股份有限公司 | 一种电子签名工具的操作方法及电子签名工具 |
| JP5043527B2 (ja) * | 2007-06-15 | 2012-10-10 | キヤノン株式会社 | 文書検証方法、文書検証装置、文書検証プログラム、および文書検証プログラムを記憶した記憶媒体 |
| FR2933560B1 (fr) * | 2008-07-07 | 2012-09-28 | Eci Sarl | Dispositif d'attestation electronique |
| WO2010003283A1 (zh) * | 2008-07-07 | 2010-01-14 | Xu Jianzhuo | 网络交互方法、系统及其安全设备 |
| FR2934910B1 (fr) | 2008-08-05 | 2013-08-16 | Inside Contactless | Procede de securisation d'une transaction executee au moyen d'un dispositif portable programmable. |
| KR101089023B1 (ko) * | 2010-08-06 | 2011-12-01 | 삼성에스디에스 주식회사 | 스마트 카드, 및 이를 이용한 안티-바이러스 시스템 및 스캐닝 방법 |
| CN102402820B (zh) * | 2010-09-13 | 2014-06-11 | 中国移动通信有限公司 | 电子交易方法及终端设备 |
| US11184168B2 (en) * | 2016-02-19 | 2021-11-23 | Nec Corporation | Method for storing data on a storage entity |
| CN109472144B (zh) * | 2017-12-29 | 2021-09-28 | 北京安天网络安全技术有限公司 | 一种防御病毒对文件进行操作的方法、装置和存储介质 |
| US11029802B2 (en) * | 2018-02-27 | 2021-06-08 | International Business Machines Corporation | Automated command-line interface |
| CN112396418A (zh) * | 2020-12-07 | 2021-02-23 | 北京华大智宝电子系统有限公司 | 一种信息处理方法、装置及系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5596718A (en) * | 1992-07-10 | 1997-01-21 | Secure Computing Corporation | Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor |
| IL103062A (en) * | 1992-09-04 | 1996-08-04 | Algorithmic Res Ltd | Data processor security system |
| EP0763791A1 (en) * | 1995-09-14 | 1997-03-19 | Hewlett-Packard Company | Computer keyboard unit with smartcard interface |
| FR2749680B1 (fr) * | 1996-06-05 | 1998-08-28 | Ckd Sa | Dispositif pour la securisation de transactions informatisees, notamment pour le paiement electronique |
| US5844497A (en) * | 1996-11-07 | 1998-12-01 | Litronic, Inc. | Apparatus and method for providing an authentication system |
| FR2766942B1 (fr) * | 1997-07-31 | 1999-10-01 | Gemplus Card Int | Lecteur de carte a puce avec microcontroleur et composant de securite |
| IL126259A0 (en) * | 1998-09-17 | 1999-05-09 | Redler Yeshayahu | Secure data entry peripheral device |
| AU1602500A (en) * | 1998-11-02 | 2000-05-22 | Smartdisk Corporation | Home point of sale (pos) terminal and electronic commerce method |
| FR2800540B1 (fr) * | 1999-10-28 | 2001-11-30 | Bull Cp8 | Terminal securise muni d'un lecteur de carte a puce destine a communiquer avec un serveur via un reseau de type internet |
| JP3250557B2 (ja) * | 1999-12-20 | 2002-01-28 | いわき電子株式会社 | 暗号表示カード |
| EP2290577B1 (en) * | 2000-02-18 | 2017-08-16 | Vasco Data Security International GmbH | Token device having a USB connector |
| DE60200093T2 (de) * | 2002-03-18 | 2004-04-22 | Ubs Ag | Sichere Benutzerauthenifizierung über ein Kommunikationsnetzwerk |
| DE60200081T2 (de) * | 2002-03-18 | 2004-04-22 | Ubs Ag | Sichere Benutzer- und Datenauthenifizierung über ein Kommunikationsnetzwerk |
-
2000
- 2000-05-31 FR FR0007041A patent/FR2809892B1/fr not_active Expired - Fee Related
-
2001
- 2001-05-17 CN CNB018103901A patent/CN100492247C/zh not_active Expired - Lifetime
- 2001-05-17 AU AU2001262451A patent/AU2001262451A1/en not_active Abandoned
- 2001-05-17 ES ES01936570.9T patent/ES2534478T3/es not_active Expired - Lifetime
- 2001-05-17 EP EP01936570.9A patent/EP1290528B1/fr not_active Expired - Lifetime
- 2001-05-17 US US10/276,920 patent/US7360247B2/en not_active Expired - Lifetime
- 2001-05-17 WO PCT/FR2001/001522 patent/WO2001092996A1/fr not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| EP1290528B1 (fr) | 2014-11-05 |
| FR2809892B1 (fr) | 2002-09-06 |
| US7360247B2 (en) | 2008-04-15 |
| AU2001262451A1 (en) | 2001-12-11 |
| EP1290528A1 (fr) | 2003-03-12 |
| CN1432148A (zh) | 2003-07-23 |
| FR2809892A1 (fr) | 2001-12-07 |
| CN100492247C (zh) | 2009-05-27 |
| WO2001092996A1 (fr) | 2001-12-06 |
| US20040088555A1 (en) | 2004-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2534478T3 (es) | Procedimiento de protección contra la modificación fraudulenta de datos enviados a un medio electrónico seguro | |
| US6254001B1 (en) | Electronic business card device | |
| US10818120B2 (en) | Information processing system, control information processing device, and program | |
| KR930014126A (ko) | 데이터이전시스템 및 휴대단말장치 | |
| ES2284696T3 (es) | Procedimiento y sistema para transmitir una suma de dinero electronica desde una memoria de credito. | |
| CN1610911A (zh) | 具有防止未经授权的使用的安全性的交易卡系统 | |
| US20080017703A1 (en) | Smart card capable of processing financial transaction messages and operating method therein | |
| US9805364B2 (en) | ID authentication | |
| ES2393220T3 (es) | Método y sistema para el incremento de la seguridad en la elaboración de firmas electrónicas mediante tarjeta con chip | |
| CA2759787A1 (en) | Method and apparatus for providing user interaction via transponders | |
| EP1412907A1 (en) | System and method for indetifying applications loaded in the smart card | |
| CN103413084B (zh) | 密码框显示内容的控制方法及装置 | |
| EA200500478A1 (ru) | Система идентификации | |
| ES2733775T3 (es) | Procedimiento y sistema de procesamiento de documentos en un dispositivo de comunicaciones inalámbricas | |
| WO1996008806A1 (en) | Method and device for facilitating access to a multitude of alphanumeric sequences | |
| WO2000074003A3 (de) | Verfahren und vorrichtung zum abspeichern und wiederauffinden von pin-codes | |
| JP5692855B2 (ja) | パスワード設定具 | |
| Nandhini et al. | Mobile communication based security for ATM PIN entry | |
| EP2791845B1 (en) | Method for entering a personal identification code in a device | |
| CN106683202A (zh) | 一种基于智能终端的电子票证查验系统 | |
| CN104580635B (zh) | 根据基本文件数据有效性来连结联络人信息的方法 | |
| JP4443344B2 (ja) | 表示装置及び表示システム | |
| CN106250072A (zh) | 一种移动终端安全打印方法及系统 | |
| US20060003805A1 (en) | System for accessing auxiliary content data | |
| CN101667249A (zh) | 基于字符几何特性的二维编码及其识别方法 |