MORPHEO. 1 - Serveur de rechargement MIFARE. 2 - Web service sécurisé. 3 - Couche de sécurité intégrée au lecteur sans contact



Documents pareils
Michel Leduc VP Marketing Neowave 28 Mars 2013 XIXème Forum Systèmes et Logiciels pour les NTIC dans le Transport

Dématérialisation : «L arlésienne» du Mobile NFC vs les déploiements du Smart Object NFC

ANNEXE 5 PROJET TECHNIQUE SYSTEME TELE-BILLETTIQUE DE LMCU

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Quel avenir pour les déplacements régionaux? La billettique intégrée. Nathalie AMIEL DIRECTION DELEGUEE TER PACA INTERMODALITE, BILLETTIQUE

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

NOMENCLATURE. PARTIE 1 : PRODUITS, MATERIAUX et EQUIPEMENTS

Protocoles cryptographiques

TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES

Sécurité des réseaux sans fil

L expérience de développement de la billettique interopérable de Lisbonne

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

DESCRIPTION DU COMPOSANT

[ Sécurisation des canaux de communication

Outil de démonstration : Application PassNFC

Didier Perrot Olivier Perroquin In-Webo Technologies

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

contactless & payment des solutions de test pour mener à bien vos projets

Le protocole SSH (Secure Shell)

La sécurité dans les grilles

Copyright Crypto-sud PROGRAMME DE FIDÉLITÉ TOTARA - CARTES MULTI-COMMERCES COMMUNICANTES CRYPTO-SUD

Avancées de la normalisation de la communication sans contact dans les systèmes billettiques

DOSSIER DE PRESSE. TCL SYTRAL lance la première agence en ligne. Janvier 2013

NOVEMBRE 2009 DOCUMENT FONCTIONNEL COMMUN (DOFOCO) DES APPLICATIONS BILLETTIQUES SUR MOBILE NFC

MISE A JOUR : 04 FEVRIER 2011 PROCÉDURE D INSTALLATION. Cegid Business COMMENT INSTALLER CEGID BUSINESS V9 SOUS WINDOWS XP, VISTA ET 7

Quel terminal vous faut-il? Et correspondant à toutes vos exigences.

Du 03 au 07 Février 2014 Tunis (Tunisie)

Pré-requis techniques

ALERT NOTICE D UTILISATION DU DRIVER PC-TEXTE

Elle supporte entièrement la gestion de réseau sans fil sous Windows 98SE/ME/2000/XP.

Sécurité des applications Retour d'expérience

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

SOLUTIONS DE VALIDATION

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Traitement de données

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Mise en œuvre des serveurs d application

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

Guide de configuration de SQL Server pour BusinessObjects Planning

Projet de Conception N 1 Automatisation d'un processus de paiement. Livrable: Spécification du système de compensation

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Outils logiciels SPC - une façon simple d optimiser les performances et la protection

HCE & Authentification de seconde génération

La Technologie Carte à Puce EAP TLS v2.0

Administration de systèmes

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Rapport de certification PP/0002

Sécuriser le e-commerce avec la technologie XCA. «Une sécurité qui inspire la confiance»

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

34BGuide de l utilisateur de la boutique en ligne. TAccueil de la boutique e-transco de la Côte-d Or

Chiffrement des terminaux : comment ça marche?

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Tsoft et Groupe Eyrolles, 2005, ISBN :

Système Expresso Loto Nouvelle génération de système de prise de paris

Serveur FTP. 20 décembre. Windows Server 2008R2

Les solutions de paiement CyberMUT (Crédit Mutuel) et CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Mise en œuvre et sécurisation d une plateforme monétique pédagogique

JetClouding Installation

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Nouveau Programme Formation Monétique

Projet de Veille Technologique

Sécurité des réseaux IPSec

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

SSH, le shell sécurisé

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Paiements mobiles NFC au Canada

TEPZZ A_T EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Cours 14. Crypto. 2004, Marc-André Léger

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

livre blanc la communication NFC une révolution pour la relation client

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

Enseignant: Lamouchi Bassem Cours : Système à large échelle et Cloud Computing

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

SafeNet La protection

Le contexte. 1) Sécurité des paiements et protection du consommateur

LES SOLUTIONS POUR LA DEMATERIALISATION DE PRODUITS ET SERVICES PREPAYES

L énergie en quelques minutes

1. Présentation de WPA et 802.1X

Assises de l Embarqué Projet ITEA2 Smart-Urban Spaces 28 Octobre Serge Chaumette, LaBRI, U. Bordeaux Jean-Pierre Tual, Gemalto

Cours CCNA 1. Exercices

EJBCA Le futur de la PKI

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Le modèle client-serveur

Un nouveau modèle d'identité NFC compatible avec l'écosystème mobile, et cas d'usage

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

Sécurisation des architectures traditionnelles et des SOA

Machines virtuelles Cours 1 : Introduction

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

SuisseID Mon «moi numérique»

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

L authentification de NTX Research au service des Banques

EAI urbanisation comment réussir?

Suite logicielle ZOOM version 7.1 Guide d installation 94ZM-ZMJ1F-712

Transcription:

MORPHEO Solution sécurisée de rechargement en ligne de supports 1 - Serveur de rechargement 2 - Web service sécurisé 3 - Couche de sécurité intégrée au lecteur sans contact 4 - Lecteur sans contact personnalisé

MORPHEO Solution sécurisée de rechargement en ligne de supports Introduction Les Smart Objects Weneo de Neowave annoncent l aube d une nouvelle ère pour la billettique Transport et d autres applications transactionnelles, celle de la dématérialisation et des offres de bouquets de services aux usagers. Les nouveaux supports de dématérialisation comme les Smart Objects (Weneo, téléphone mobile NFC ) constituent une réponse parfaite à l appétence du grand public vers ces nouveaux bouquets de services. Le déploiement des services s appuiera sur ces nouveaux supports qui offrent directement la sécurité et l ergonomie requises pour des transactions en ligne mais devra aussi prendre en compte les supports déjà distribués comme les cartes sans contact ou les cartes duales. Dans le monde du transport, il apparait comme extrêmement risqué en termes de sécurité de vouloir effectuer du rechargement en ligne à partir de carte comme on peut le faire avec des cartes Calypso avec un simple lecteur de carte à puce connecté à un PC. En effet la sécurité proposée par les cartes a été cassée et des méthodes pour accéder aux données sensibles sont disponibles sur internet, donnant naissance à une multitude de fraudeurs potentiels. Dans cette note d application, Neowave décrit l architecture qu elle a mise en place pour offrir un niveau de sécurité suffisant pour autoriser des transactions en ligne à partir de cartes Classic. Cette solution constitue une ouverture potentielle vers les services en ligne en toute sécurité pour des centaines de millions de cartes déjà utilisées dans le monde du transport et dans d autres applications transactionnelles.

La problématique des environnements pour le rechargement en ligne Pourquoi faut-il une architecture de sécurité spécifique dans les environnements? Cas des autres cartes sans contact (à microprocesseur) Quand on considère des environnements à base de carte à microprocesseur pour faire du rechargement en ligne comme c est le cas dans les systèmes Calypso ou Global Platform, on peut mettre en place des mécanismes de sécurité qui s appuient sur ceux créés pour les transactions sans contact sur les valideurs ou sur les terminaux et qui comprennent généralement : Une authentification du terminal Une authentification de la carte La création d un canal sécurisé pour réaliser la session de transaction L authentification des données transmises La preuve que la carte a correctement réceptionné les données et/ou modification demandées Pour le rechargement en ligne à domicile de cartes sans contact, le terminal est remplacé par un lecteur simple et transparent, c est donc directement au niveau du serveur que la sécurité va être gérée et que le dialogue sécurisé avec la carte va pouvoir s établir. Comme indiqué dans le diagramme d architecture en page précédente, c est le serveur en liaison avec le gestionnaire de SAM qui va mettre en œuvre les processus d authentification réciproque avec la carte et assurer la sécurité de la transaction avec celle-ci. Cas des environnements Cette solution qui a été validée et qui est utilisée dans de nombreuses applications, ne peut malheureusement pas s appliquer quand on considère un parc de cartes. En effet pour lire et écrire dans une carte, il faut un lecteur sans contact compatible avec un composant frontal RF pour mettre en œuvre l algorithme propriétaire CRYPTO1 de NXP pour réaliser le processus d authentification mutuelle avec la carte. Pour cela il faut fournir au lecteur la clé A ou B, et l on devine aisément la difficulté de transmettre ces clés extrêmement sensibles à travers internet vers un lecteur bas cout dans un environnement grand public et par conséquent non sécurisé. En effet, l envoi peut être facilement intercepté par un tiers malveillant à de nombreux endroits dans l architecture système : sur internet, sur l ordinateur de l usager, dans la liaison entre l ordinateur de l usager et le lecteur, et dans le lecteur lui-même MORPHEO La Solution de Neowave pour le rechargement en ligne de cartes Pour s affranchir de ce problème de sécurité crucial et pouvoir ouvrir les solutions de rechargement en ligne aux cartes, Neowave à créé un protocole de sécurisation de haut niveau qui s intègre parfaitement dans une solution de vente à distance multi-supports : cartes sans contact ou duale Calypso, clé USB RFID Calypso, cartes, clé USB RFID avec émulation ) Serveur de rechargement WebService de sécurité Commandes en clair Commandes chiffrées/signées Support SAM SAM GlobalPlatform Weneo NFC

Ce protocole de sécurité repose sur une implémentation des algorithmes de cryptographie Global Platform largement utilisés dans le monde de la carte à puce. Une clé maître (MK, Master Key) est générée spécifiquement pour les lecteurs lors d'une cérémonie de clés formelle (dans un lieu isolé, avec des officiers de sécurité, etc.), puis déployée dans des SAM (ou HSM) connectés à un Web Service dédié pour la gestion de la sécurité du lecteur. Lorsque la logique de gestion du contenu de la zone a besoin de transmettre des commandes au support, elle demande leur encapsulation à ce Web Service. Dans chaque lecteur sans contact comportant la couche de sécurité Neowave MORPHEO, lors de la personnalisation sont injectés un diversifiant unique pour chaque lecteur et trois clés de base (clé de chiffrement, clé de signature, clé de sur-chiffrement) diversifiées à partir de la clé maître et du diversifiant du lecteur. Lors de la phase d'authentification mutuelle du lecteur, ce dernier fournit son diversifiant, ce qui permet au SAM côté Web Service de recalculer les clés de base à partir de la MK présente dans le SAM. Des nombres aléatoires sont alors échangés afin de calculer des clés de session qui seront utilisés pour gérer la confidentialité et l'intégrité des échanges de commandes suivants. L'utilisation de clés de session garantit l'anti-rejeu d'une transaction. Toutes les clés mises en œuvre (clé maître, clés de bases, clés de session) sont des clés Triple-DES à deux clés. Weneo NFC contient également un numéro de série unique qu'il est possible d'obtenir avec une pseudocommande APDU spécifique. Le serveur de rechargement implémente la logique de gestion du contenu du support (c'est-à-dire, quels sont les blocs à lire et écrire lors d'une opération de consultation ou de rechargement d'un titre). Les commandes à envoyer au support sont générées par le SAM puis transmises en clair au Web Service de sécurité pour encapsulation. A la réception de la première commande à transmettre au support, le Web Service de sécurité établit la session sécurisée avec le lecteur sans contact Weneo NFC en mettant en œuvre la clé maître Global Platform stockée dans le SAM Global Platform.Les commandes sont alors transmises chiffrées et signées au lecteur Weneo NFC. Le WebService de sécurité peut également être mis en œuvre pour la transmission de toute commande destinée à un support sans contact, y compris donc un support Calypso (protocole Type B ou Innovatron). Une solution ouverte La technologie de sécurité de bout en bout NORSSOM est implémentée dans les lecteurs sans contact de la gamme Neowave mais peut-être implémentée sous licence dans d autres lecteurs sans contact ayant les ressources nécessaires pour l implémentation de la couche de sécurité décrite cidessus (comme par ex. le lecteur Prox'N'Roll de SpringCard) Les composantes de la solution MORPHEO de Neowave Serveur de rechargement o Avec les SAM associés Web service de sécurité o Avec la cérémonie de clé associée o Et la génération des SAM GlobalPlatform Couche de sécurité intégrée au lecteur sans contact o Option logicielle : le mécanisme de sécurité est implémenté dans le firmware du processeur du lecteur sans contact o Option SAM : le mécanisme de sécurité est implémenté dans un SAM spécifique de la solution MORPHEO qui est inséré dans le logement du lecteur sans contact (quand il intégre cette option) Lecteur sans contact personnalisé o Weneo NFC o Prox'N'Roll de SpringCard o ou tout autre lecteur sans contact intégrant la couche de sécurité MORPHEO

v Weneo NFC et MORPHEO Weneo NFC de Neowave avec sa fonction lecteur sans contact de rechargement intégrant la solution MORPHEO Les bénéfices de la solution MORPHEO Une sécurité de bout en bout pour du rechargement en ligne qui autorise l utilisation de cartes en toute sécurité Une solution qui s adapte à tout type de support sans contact pour la mise en œuvre de transactions sécurisées utilisant des environnements non sécurisés comme le web Une solution complète intégrant les modules côté serveur et les modules côté lecteur Une solution ouverte qui peut s implémenter dans de multiples lecteurs sans contact Une solution «low-cost» tant au niveau de l intégration sur le lecteur que de l intégration sur le serveur

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back