[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

EP3394812A1 - Authentication method - Google Patents

Authentication method

Info

Publication number
EP3394812A1
EP3394812A1 EP16829414.8A EP16829414A EP3394812A1 EP 3394812 A1 EP3394812 A1 EP 3394812A1 EP 16829414 A EP16829414 A EP 16829414A EP 3394812 A1 EP3394812 A1 EP 3394812A1
Authority
EP
European Patent Office
Prior art keywords
authentication
server
transaction data
dcw
security code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP16829414.8A
Other languages
German (de)
French (fr)
Inventor
Stéphane GIRODON
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia France SAS
Original Assignee
Idemia France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Idemia France SAS filed Critical Idemia France SAS
Publication of EP3394812A1 publication Critical patent/EP3394812A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4018Transaction verification using the card verification value [CVV] associated with the card
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Definitions

  • the present invention is in the field of authentication mechanisms and more particularly relates to an authentication from a security code of a smart card.
  • the invention may in particular be used to control a user's access to an online service accessible via a telecommunications network such as the Internet for example.
  • 3DS authentication protocol for "3-D Secure” has been developed. This protocol provides for the sending of a secret code to the user, via for example an email or an SMS, in order to authenticate the user when the latter attempts to perform a transaction remotely with his credit card.
  • the 3DS authentication protocol well known to those skilled in the art reduces the risk of fraud in a remote financial transaction, but this protocol also has certain disadvantages.
  • a window usually opens in the user's Internet browser to invite the user to enter the secret code that he has just received by SMS or email.
  • This phase sometimes disturbs the user who can in some cases lose trust and abandon the current transaction, especially if there is any doubt about the authenticity of this invitation window.
  • the user is not always able to receive the secret code that has been sent to him as part of the 3DS protocol, or does not have the time or the desire to enter this secret code when the invitation is made to him.
  • the present invention relates to an authentication method implemented by an authentication server, comprising:
  • the present invention is advantageous in that it makes it possible to dispense with the authentication mechanism according to the 3DS protocol when it is possible to authenticate the user of the transaction by verifying a dynamic security code DCW generated by the card. user's smart card (when said card is of DCW type).
  • the authentication according to the 3DS protocol has certain disadvantages, in particular in that it can cause discomfort for some users sometimes leading to the abandonment of the current transaction.
  • the invention makes it possible to inhibit the 3DS mechanism while maintaining a high level of security by verifying, where possible, a DCW code. Thanks to the invention, it is possible to facilitate the authentication of a user, and therefore his access to a service.
  • the authentication method comprises sending, to the access server, a positive authentication message transaction data if the validity of the DCW code is verified successfully during said cooperation.
  • the authentication method is such that: the authentication server determines whether the smart card is of the DCW type from a PAN identifier included in the received transaction data; and
  • the authentication server determines that the security code is DCW.
  • the authentication server prevents the realization of a 3DS authentication of said smart card.
  • the authentication server if the security code is of CW type and if the authentication server determines, from the transaction data, that it is authorized to perform a 3DS authentication, the authentication server authorizes performing a 3DS authentication of said smart card.
  • the smart card is a credit card
  • the transaction data comprises a PAN identifier and an expiration date of said bank card.
  • said cooperation comprises:
  • the smart card is a bank card and the authentication server is an access control server,
  • the access control server performs the following steps:
  • the smart card is a bank card and the authentication server is a 3DS directory server,
  • the 3DS directory server performs the following steps:
  • the authentication server configures itself, only if a parameter received from the access server with the transaction data is in a predefined state, to detect that no 3DS authentication must be performed if a code security included in the transaction data is of the DCVV type.
  • the invention also relates to a control method implemented by a server for access to a service, comprising:
  • the access server determines that the authentication is performed successfully on reception, from the control server, of a positive verification message of a security code DCW included in the data of transaction.
  • the access server sends, to the authentication server, a parameter with the transaction data, said parameter being in a predefined state to indicate that no 3DS authentication should be performed if a code of Security included in the transaction data is DCVV type.
  • the different steps of the authentication method implemented by the authentication server as defined above are determined by instructions of computer programs.
  • the different steps of the control method implemented by the access server as defined above are determined by instructions of computer programs.
  • the invention also relates to a computer program on an information carrier (or recording medium), this program being capable of being implemented in a server, or more generally in a computer, this program comprising instructions adapted to the implementation of the steps of at least one of the methods as defined above.
  • the invention also relates to a recording medium (or information carrier) readable by a computer, and including instructions of a computer program as mentioned above.
  • programs mentioned in this presentation may use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form , or in any other desirable form.
  • the recording media mentioned above can be any entity or device capable of storing the program.
  • the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording medium, for example a floppy disk or a disk. hard.
  • the recording media may correspond to a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can be downloaded in particular on an Internet type network.
  • the recording media may correspond to an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • FIG. 1A schematically represents a system comprising a terminal, a service access server, a 3DS directory server, an ACS server and a DCW verification server, according to a particular embodiment of the invention
  • FIG. 1B schematically shows a smart card according to a particular embodiment of the invention
  • FIG. 2 diagrammatically represents the structure of an access server according to a particular embodiment of the invention
  • - Figure 3 schematically shows modules implemented in the access server shown in Figure 1A and 2, according to a particular embodiment of the invention
  • FIG. 4 schematically represents the structure of an ACS server according to a particular embodiment of the invention.
  • FIG. 5 schematically shows modules implemented in the ACS server shown in Figures 1A and 4, according to a particular embodiment of the invention
  • FIG. 6 represents an example of a table stored in a memory of the server ACS represented in FIGS. 1A and 4, according to a particular embodiment of the invention
  • FIG. 7 represents, in the form of a diagram, the steps implemented in particular by the access server, the directory server 3DS and the server ACS, according to a particular embodiment of the invention
  • FIG. 8 represents, in the form of a diagram, the steps implemented in particular by the access server, the directory server 3DS and the server ACS, according to a variant of the embodiment illustrated in FIG. 7.
  • the present invention relates to the authentication mechanisms and relates more particularly to an authentication from a security code of a smart card.
  • a dynamic security code (called DCW) that changes over the life of the card.
  • the computer processing system of the financial service of the transaction is able to check the validity of this dynamic security code, depending for example on a time parameter, to validate or not the transaction.
  • the use of such a dynamic security code makes it possible to ensure that the user actually has in his possession the bank card concerned at the time of the transaction. If it is stolen, the dynamic security code has a limited usefulness since the validity of this code is only temporary.
  • a smart card DCW (or DCW card) will be called a smart card capable of generating dynamic security codes DCW.
  • DCW codes are known to those skilled in the art and will therefore not be described in more detail in this presentation.
  • the invention proposes to improve the existing authentication mechanisms by inhibiting the 3DS authentication protocol when it is possible to authenticate an ongoing transaction from a dynamic security code DCVV (for "Dynamic Card Verification Value”). "), In the case where such a dynamic code can be is generated by the user's smart card.
  • DCVV Dynamic Card Verification Value
  • transaction is understood here in a broad sense and includes, for example, in the banking field, any type of financial transaction, such as for example a payment transaction, a transfer transaction, or a consultation of 'a bank account.
  • the invention implements, for example, an authentication server able to receive, from a service access server, an authentication request comprising transaction data associated with an authentication server. Smartcard ; determining whether a security code included in the transaction data is of the DCVV type; and if so, detecting that no 3DS authentication must be performed to authenticate said card and to cooperate with a verification server to check the validity of the security code DCW.
  • the invention also relates to an access server adapted to receive transaction data associated with a smart card during a transaction with the access server; transmitting the transaction data to an authentication server to request authentication of the transaction according to the 3DS protocol; and to determine, from a message received from the authentication server, that no authentication according to the 3DS protocol must be performed if the smart card is of DCVV type.
  • the access server may for example determine that the transaction data is authentic from a message received from the authentication server, indicating that a DCW code included in the transaction data has been verified successfully.
  • FIG. 1A schematically represents a system SY according to one particular embodiment of the invention.
  • the SY system comprises in this example a terminal T, an access server SW, a directory server 3DS (or "3DS Directory Server” in English) here denoted SDIR, an access control server ACS (for "Access Control Server And a verification server SV, according to a particular embodiment of the invention.
  • a directory server 3DS or "3DS Directory Server” in English
  • SDIR an access control server ACS (for "Access Control Server And a verification server SV, according to a particular embodiment of the invention.
  • the SY system allows in this example to control the access of a user to a service S.
  • a user tries to use the service S, using a smart card C shown in Figure 1B.
  • the smart card C is here a bank card including credit card data, namely a bank identifier PAN (for "Primary Account Number”). "), An EXP expiry date, and a CSC card security code.
  • the security code CSC can be a static code (CW code for "Card Verification Value") on the card or a dynamic code (DCW for "Dynamic Card Verification Value”) that can be generated by the card.
  • the bank card C is for example in accordance with the EMV protocol. Other types of smart cards can be envisaged within the scope of the invention.
  • the user of the terminal T represented in FIG. 1A is here able to communicate, via an RI communications network such as the Internet for example, with an access server SW controlling access to the service S.
  • an access server SW controlling access to the service S.
  • the terminal T is able to send, to the access server SW, transaction data DT associated with the smart card C, for example to carry out a financial transaction (purchase %) with the service S.
  • the data of DT transactions include, for example, the PAN ID, the exp expiration date, and the CSC security code.
  • the server SW is for example a web server, walking or other type, able to manage the access of users to the web server S in question.
  • the service S can be any.
  • the service S is a marching service.
  • the access server SW is able to cooperate with a directory server 3DS SDIR to trigger if possible authentication according to the 3DS protocol of the user during a transaction. To do this, the access server SW is able to transmit, to the directory server 3DS SDIR, the transaction data DT to request authentication of the current transaction.
  • the access control server ACS is able, from the transaction data DT received, to determine whether a 3DS authentication of the transaction must be performed.
  • the ACS control server determines whether this 3DS authentication must be performed from the transaction data DT transmitted by the directory server 3DS SDIR.
  • the ACS server is configured to detect that no 3DS authentication must be performed if the security code CSC included in the transaction data DT is of the DCVV type.
  • the ACS server is further configured to cooperate with the verification server SV to check the validity of the DCVV type CSC security code. If the authentication of the security code CSC is positive, the server ACS then sends to the access server SW, via the directory server 3DS SDIR, a message of positive authentication of the transaction data DT. According to a particular example, this positive authentication message further indicates to the access server SW that no 3DS authentication is performed, for example by means of a parameter provided for this purpose in said message.
  • the ACS server is configured to detect that a 3DS authentication must be performed in association with the received transaction data DT.
  • the ACS access control server then performs the 3DS authentication according to the 3DS protocol well known to those skilled in the art.
  • FIG. 2 schematically shows the structure of the access server S according to a particular embodiment of the invention.
  • the access server SW comprises a processor 10, a non-volatile memory MR1 and a communication interface INT1.
  • the memory M RI is a rewritable non-volatile memory or a read only memory (ROM), this memory constituting a recording medium (or information carrier) according to a particular embodiment, readable by the access server SW, and on which is recorded a computer program PG1 according to a particular embodiment.
  • This computer program PG1 includes instructions for carrying out the steps of a control method according to a particular embodiment.
  • the processor 10 controlled by the computer program PG1 here implements a number of modules shown in FIG. 3, namely: a reception module M2, a transmission module M4 and a determination module M6.
  • the reception module M2 is able to receive the transaction data DT associated with the smart card C during a transaction with the access server SW.
  • the transmission module M4 is able to transmit the transaction data DT to the directory server 3DS SDIR to request authentication of the transaction according to the 3DS protocol.
  • the determination module M6 is able to determine, from a message received from the authentication server, that no authentication according to the 3DS protocol must be performed if the smart card is of the DCVV type.
  • FIG. 4 diagrammatically represents the structure of the ACS access control server according to a particular embodiment of the invention.
  • the server ACS comprises a processor 20, a nonvolatile memory MR2, a communication interface INT2 and a nonvolatile memory MR4 comprising a table TB.
  • the memory MR2 is a rewritable non-volatile memory or a read only memory (ROM), this memory constituting a recording medium (or information carrier) according to a particular embodiment, readable by the ACS server, and on which is recorded a PG2 computer program according to a particular embodiment.
  • This computer program PG2 includes instructions for performing the steps of an authentication method according to a particular embodiment.
  • the table TB comprises at least one correspondence between a PAN identifier and a DN data, said DN data indicating whether the bank card C associated with said PAN is DCW type.
  • the server ACS is able, from said data DN, to determine if the bank card C is of the DCVV type.
  • the server ACS can thus determine, from the table TB, whether the security code CSC included in the transaction data DT is of type DCVV. It is assumed here that the table TB identifies, for example, DN data in association with three identifiers PAN1, PAN2 and PAN3.
  • each data DN can take two distinct states indicating that the corresponding PAN identifier is respectively associated with a bank card type DCW and CW.
  • the processor 20 controlled by the computer program PG2 here implements a number of modules shown in FIG. 5, namely: a reception module M20, a determination module M22, a detection module M24 and a module of verification M 26.
  • the reception module M20 is able to receive, from the access server SW, an authentication request comprising transaction data DT associated with the smart card C.
  • the determination module M22 is configured to determine whether the security code CSC included in the transaction data DT is of type DCVV. If the security code CSC is determined to be of type DCW:
  • the detection module M24 is configured to detect that no 3DS authentication must be performed.
  • the M26 verification module is configured to cooperate with the SV verification server to check the validity of the DCW security code.
  • modules M2 to M6 illustrated in FIG. 3 and the modules M20 to M26 illustrated in FIG. 5 is only a non-limiting example of embodiment of the invention, other implementations being conceivable in the context of FIG. of the invention.
  • the access server SW implements a control method by executing the computer program PG1, and the server ACS. hereby implements an authentication method by executing the computer program PG2.
  • the transaction is a financial transaction, corresponding by example to a payment. It will be understood that other implementations are conceivable within the scope of the invention.
  • the terminal T of the user sends the access server SW transaction data DT associated with the bank card C.
  • the transaction data DT comprises the identifier PAN, the CSC access code and EXP expiration date of the card C.
  • the user firstly enter all or part of the transaction data DT on his terminal T in response to an invitation from the services.
  • the access server SW receives the transaction data DT during a reception step B2.
  • the access server SW then sends (B4) the transaction data DT to the directory server 3DS SDIR in an authentication request RQ1.
  • the authentication request RQ1 requires authentication according to the 3DS protocol.
  • the directory server 3DS SDIR determines (C6), from all or part of the transaction data DT (for example from the identifier PAN), if it is authorized to perform a 3DS authentication for the current transaction.
  • the SDIR server performs the C6 determination from a list of PAN identifiers excluded from the 3DS mechanism or from a list of PAN identifiers authorized to use the 3DS mechanism.
  • the SDIR server may optionally send a 3DS authentication refusal message to the access server SW.
  • the 3DS directory server SDIR determines (C10) that it is authorized to perform a 3DS authentication in association with the received transaction data DT, said SDIR server sends (C10) to the ACS server an authentication request RQ2 comprising the transaction data DT.
  • the access control server ACS receives the transaction data DT included in the authentication request RQ2 during a reception step D10.
  • the ACS server determines (DU), from the transaction data DT, whether the security code CSC is of DCW type. In a particular example, the ACS server determines (DU) whether the security code CSC is a DCW code from the identifier PAN included in the transaction data DT. According to one particular example, the server ACS uses the table TB to determine, from the identifier PAN, if the security code is of type DCW.
  • the authentication method of the invention ends (D12).
  • the ACS server can perform a 3DS authentication of the transaction (if this is possible), or send a refusal message of a 3DS transaction (if authentication according to the 3DS protocol is not possible ).
  • the ACS server authorizes (D12) performing a 3DS authentication of said bank card.
  • the user can receive via an SMS or email a secret code on a terminal (T or other), and be invited on his terminal T to enter this secret code to be authenticated by the ACS server.
  • the 3DS protocol is well known to those skilled in the art, it will not be described in more detail in this presentation for the sake of simplicity. If, on the other hand, it is determined in DU that the security code CSC is of type DCW, the server ACS:
  • the ACS server prevents the realization of a 3DS authentication of the bank card C.
  • the ACS server is configured to block performing a 3DS authentication for the transaction being authenticated.
  • the server ACS sends (D14) to the verification server SV, the transaction data DT comprising the security code CSC of the DCW type, the banking identifier PAN and the date EXP expiration.
  • the verification server verifies (E16) the validity of the dynamic security code CSC.
  • the verification server checks, for example, the validity of the dynamic security code CSC by generating a second DCW code and comparing it with the dynamic security code CSC received at E14.
  • the verification server SV obtains this second DCW code by applying a cryptographic function to the identifier PAN, EXP expiration date and a time data.
  • Other examples of verification of a DCW type dynamic security code are conceivable. Since the calculation and verification of the validity of a DCW security code are known per se, they will not be described in more detail in this disclosure.
  • the verification server SV then sends (E18) the result of the verification E16 (here in a message M2) to the server ACS.
  • the server ACS receives the result M2 of the validity check of the security code CSC during a reception step D20.
  • the server ACS then sends (D22) to the directory server 3DS SDIR, a message M4 positive authentication of the transaction data DT if the verification E16 of validity of the security code CSC has been passed successfully.
  • the server ACS sends (D22) a message M4 of negative authentication to the directory server 3DS SDIR.
  • the message M4 specifies whether the security code DCW present in the transaction data DT has been verified or not successfully.
  • the directory server 3DS SDIR transfers (C24) to the access server SW the message M4 indicating whether the authentication based on the dynamic security code CSC has been passed successfully.
  • the access server SW determines (B26) whether the authentication of the transaction is successfully passed from the message M4 received prior to the reception step B24. It will be understood that the access server SW may be configured to perform any appropriate processing depending on the result of the authentication.
  • the access server SW authorizes (B26) the current transaction with the user. In the opposite case, the access server SW refuses (B26) the transaction.
  • the present invention is advantageous in that it makes it possible to dispense with the authentication mechanism according to the 3DS protocol when it is possible to authenticate the user of the transaction by verifying a dynamic security code DCW generated by the card. user's smart card (when said card is of DCW type).
  • the authentication according to the 3DS protocol has certain disadvantages, in particular in that it can cause discomfort for some users sometimes leading to the abandonment of the current transaction.
  • the invention makes it possible to inhibit the 3DS mechanism while maintaining a high level of security by verifying, where possible, a DCW code. Thanks to the invention, it is possible to facilitate the authentication of a user, and therefore access to a service.
  • the verification server SV (or one of the server ACS, the directory server 3DS SDIR and the access server SW) sends (E18) in addition to an M6 message to the terminal T (or another terminal) of the user. From the received message M6 (A30), the user is then able to determine the result of the authentication of the security code CSC (DCW type) by the verification server SV.
  • the security code CSC DCW type
  • the ACS server includes in its positive authentication message M4 a parameter indicating to the access server SW that no authentication according to the 3DS protocol has been performed. From this parameter, the access server SW can thus deduce that the authentication mechanism 3DS has been blocked, but the authentication has nevertheless been successfully carried out thanks to a verification of a DCW security code.
  • FIG. 8 differs from the previous embodiment in that it is this time the 3DS directory server SDIR which determines (C50), from the transaction data DT, whether the bank card C is of DCW type. and, if so, which detects (C51) that no authentication according to the 3DS protocol is to be performed and which then cooperates (C52) with the ACS server, or directly with the verification server SV, to check the validity of the CSC dynamic security code.
  • the determination step C50 and the detection step C51 are carried out analogously to the respective steps D1 and D13 described above with reference to FIG. 7.
  • the 3DS directory server SDIR sends (C52) to the verification server SV a verification request RQ10 comprising the transaction data DT.
  • the 3DS directory server SDIR sends (C52) the verification request RQ10 to the server ACS which transmits (D52) it to the verification server SV.
  • the verification server SV checks (E16) the validity of the dynamic security code CSC as already described with reference to FIG. 7.
  • the verification server SV then sends a message M8 of positive or negative authentication (according to the result of E16) of the transaction data DT to the directory server 3DS SDIR, possibly via of the ACS server which transfers (D54) then said message.
  • the 3DS directory server SDIR or the ACS server which determines, from the transaction data DT, whether the bank card C is DCW type and, if so, which detects that no authentication according to the 3DS protocol should be performed and which causes the verification of the validity of the CSC dynamic security code of the C card.
  • the 3DS directory server SDIR and the server ACS can each constitute an authentication server within the meaning of the invention.
  • the authentication server of the invention is configured, only if a parameter received from the access server SW with the transaction data DT is in a predefined state, to detect that no 3DS authentication shall only be performed when a security code included in the transaction data is of the DCVV type.
  • the authentication server of the invention ie the 3DS directory server SDIR or the ACS server as the case may be
  • the authentication server of the invention is able to determine whether it should implement the inhibition mechanism of the 3DS authentication mechanism according to the invention.
  • the authentication server systematically attempts to trigger a 3DS authentication, and if said parameter is in a second predetermined state, the authentication server inhibits the 3DS mechanism if a authentication based on a DCW security code is possible.
  • the authentication server of the invention determines, based on historical data (banking for example) recorded in association with the PAN identifier, if it must implement the inhibition mechanism of the 3DS authentication in accordance with the invention.
  • the authentication server can thus judge, for the current transaction, a level of risk and deduce whether it is necessary to perform a 3DS authentication (possibly in addition to a verification of a security code DCW, according to the chosen configuration).

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Telephonic Communication Services (AREA)

Abstract

The invention relates to an authentication method implemented by an authentication server (ACS), comprising: receiving, from a service (S) access server (SW), an authentication request comprising transaction data (DT) associated with a chip card; determining whether a security code included in the transaction data is of the dCVV type; and if it is, detecting that no 3DS authentication is required and cooperating with a verification server (SV) in order to verify the validity of the dCVV security code.

Description

Procédé d'authentification  Authentication method
Arrière-plan de l'invention Background of the invention
La présente invention se situe dans le domaine des mécanismes d'authentification et porte plus particulièrement sur une authentification à partir d'un code de sécurité d'une carte à puce.  The present invention is in the field of authentication mechanisms and more particularly relates to an authentication from a security code of a smart card.
L'invention peut en particulier être utilisée pour contrôler l'accès d'un utilisateur à un service en ligne accessible via un réseau de télécommunications tel qu'Internet par exemple.  The invention may in particular be used to control a user's access to an online service accessible via a telecommunications network such as the Internet for example.
Les transactions financières réalisées à distance (en ligne ou par téléphone par exemple), en utilisant une carte bancaire, présentent des risques de fraude plus importants que lorsque l'utilisateur se présente dans un point de vente avec sa carte bancaire. Ces risques de fraude tiennent du fait qu'il y a toujours un risque que les données d'une carte bancaire soit dérobées et utilisées de façon malveillante à l'insu du titulaire légitime de la carte bancaire. Plus particulièrement, il existe un risque qu'un fraudeur subtilise l'identifiant bancaire PAN (pour « Primary Account Number»), le date d'expiration de la carte bancaire, ainsi que le code de sécurité statique (désigné sous l'appellation CW pour « Card Vérification Value ») figurant généralement au dos de la carte.  Financial transactions carried out remotely (online or by telephone for example), using a bank card, present greater risk of fraud than when the user comes to a point of sale with his credit card. These risks of fraud are due to the fact that there is always a risk that the data of a bank card is stolen and used in a malicious way without the knowledge of the legitimate holder of the bank card. In particular, there is a risk that a fraudster will steal the PAN (Primary Account Number), the expiry date of the bank card, and the static security code (referred to as CW). for "Card Check Value") generally appearing on the back of the card.
Afin de renforcer la sécurité des transactions financières à distance, un protocole d'authentification dit 3DS pour « 3-D Secure » a été développé. Ce protocole prévoit l'envoi d'un code secret à l'utilisateur, via par exemple un email ou un SMS, afin d'authentifier l'utilisateur lorsque ce dernier tente de réaliser une transaction à distance avec sa carte bancaire.  In order to enhance the security of remote financial transactions, a 3DS authentication protocol for "3-D Secure" has been developed. This protocol provides for the sending of a secret code to the user, via for example an email or an SMS, in order to authenticate the user when the latter attempts to perform a transaction remotely with his credit card.
Le protocole d'authentification 3DS bien connu de l'homme du métier permet de réduire les risques de fraude lors d'une transaction financière à distance, mais ce protocole présente aussi certains inconvénients. Lors d'une phase d'authentification 3DS sur Internet par exemple, une fenêtre s'ouvre généralement dans le navigateur Internet de l'utilisateur pour inviter ce dernier à saisir le code secret qu'il vient de recevoir par SMS ou email. Cette phase trouble parfois l'utilisateur qui peut dans certains cas perdre confiance et abandonner la transaction en cours, en particulier s'il a un doute sur l'authenticité de cette fenêtre d'invitation. Par ailleurs, l'utilisateur n'est pas toujours en mesure de recevoir le code secret qui lui a été adressé dans le cadre du protocole 3DS, ou bien n'a pas le temps ou l'envie de saisir ce code secret lorsque l'invitation lui en est faite. The 3DS authentication protocol well known to those skilled in the art reduces the risk of fraud in a remote financial transaction, but this protocol also has certain disadvantages. During a 3DS authentication phase on the Internet, for example, a window usually opens in the user's Internet browser to invite the user to enter the secret code that he has just received by SMS or email. This phase sometimes disturbs the user who can in some cases lose trust and abandon the current transaction, especially if there is any doubt about the authenticity of this invitation window. Moreover, the user is not always able to receive the secret code that has been sent to him as part of the 3DS protocol, or does not have the time or the desire to enter this secret code when the invitation is made to him.
Un besoin existe aujourd'hui pour un mécanisme d'authentification permettant de sécuriser efficacement une transaction à puce tout limitant les inconvénients évoqués ci- avant.  A need exists today for an authentication mechanism to effectively secure a chip transaction while limiting the disadvantages mentioned above.
Objet et résumé de l'invention / Résumé Object and Summary of the Invention / Summary
A cet effet, la présente invention concerne un procédé d'authentification mis en œuvre par un serveur d'authentification, comprenant :  For this purpose, the present invention relates to an authentication method implemented by an authentication server, comprising:
- réception, en provenance d'un serveur d'accès à un service, d'une requête d'authentification comprenant des données de transaction associées à une carte à puce ;  receiving, from a service access server, an authentication request comprising transaction data associated with a smart card;
- détermination de si un code de sécurité inclus dans les données de transaction est de type DCW ; et  determining whether a security code included in the transaction data is of the DCW type; and
- dans l'affirmative, détection qu'aucune authentification 3DS ne doit être réalisée et coopération avec un serveur de vérification pour vérifier la validité du code de sécurité DCW.  - if so, detection that no 3DS authentication should be performed and cooperation with a verification server to verify the validity of the DCW security code.
La présente invention est avantageuse en ce qu'elle permet de s'affranchir du mécanisme d'authentification selon le protocole 3DS lorsqu'il est possible d'authentifier l'utilisateur de la transaction en vérifiant un code de sécurité dynamique DCW généré par la carte à puce de l'utilisateur (lorsque ladite carte est de type DCW). Comme exposé ci- avant, l'authentification selon le protocole 3DS présente certains inconvénients, notamment en ce qu'elle peut causer une gêne pour certains utilisateurs entraînant parfois l'abandon de la transaction en cours. L'invention permet d'inhiber le mécanisme 3DS tout en maintenant un niveau de sécurité élevé grâce à la vérification, lorsque cela est possible, d'un code DCW. Grâce à l'invention, il est possible de faciliter l'authentification d'un utilisateur, et donc son accès à un service.  The present invention is advantageous in that it makes it possible to dispense with the authentication mechanism according to the 3DS protocol when it is possible to authenticate the user of the transaction by verifying a dynamic security code DCW generated by the card. user's smart card (when said card is of DCW type). As explained above, the authentication according to the 3DS protocol has certain disadvantages, in particular in that it can cause discomfort for some users sometimes leading to the abandonment of the current transaction. The invention makes it possible to inhibit the 3DS mechanism while maintaining a high level of security by verifying, where possible, a DCW code. Thanks to the invention, it is possible to facilitate the authentication of a user, and therefore his access to a service.
Selon un mode de réalisation particulier, le procédé d'authentification comprend l'envoi, au serveur d'accès, d'un message d'authentification positive des données de transaction si la validité du code DCW est vérifiée avec succès lors de ladite coopération.  According to a particular embodiment, the authentication method comprises sending, to the access server, a positive authentication message transaction data if the validity of the DCW code is verified successfully during said cooperation.
Selon un mode de réalisation particulier, le procédé d'authentification est tel que : - le serveur d'authentification détermine si la carte à puce est de type DCW à partir d'un identifiant PAN compris dans les données de transaction reçues ; etAccording to a particular embodiment, the authentication method is such that: the authentication server determines whether the smart card is of the DCW type from a PAN identifier included in the received transaction data; and
- uniquement dans l'affirmative, le serveur d'authentification détermine que le code de sécurité est de type DCW. - if yes, the authentication server determines that the security code is DCW.
Selon un mode de réalisation particulier, si le code de sécurité est de type DCW, le serveur d'authentification empêche la réalisation d'une authentification 3DS de ladite carte à puce.  According to a particular embodiment, if the security code is of DCW type, the authentication server prevents the realization of a 3DS authentication of said smart card.
Selon un mode de réalisation particulier, si le code de sécurité est de type CW et si le serveur d'authentification détermine, à partir des données de transaction, qu'il est autorisé de procéder à une authentification 3DS, le serveur d'authentification autorise la réalisation d'une authentification 3DS de ladite carte à puce.  According to a particular embodiment, if the security code is of CW type and if the authentication server determines, from the transaction data, that it is authorized to perform a 3DS authentication, the authentication server authorizes performing a 3DS authentication of said smart card.
Selon un mode de réalisation particulier, la carte à puce est une carte bancaire, et les données de transactions comprennent un identifiant PAN et un date d'expiration de ladite carte bancaire.  According to a particular embodiment, the smart card is a credit card, and the transaction data comprises a PAN identifier and an expiration date of said bank card.
Selon un mode de réalisation particulier, ladite coopération comprend :  According to a particular embodiment, said cooperation comprises:
- envoi, au serveur de vérification, des données de transaction comprenant le code de sécurité de type DCW, l'identifiant bancaire PAN et la date d'expiration ; et sending, to the verification server, transaction data comprising the DCW type security code, the PAN bank identifier and the expiry date; and
- réception, en réponse audit envoi, du résultat de la vérification de validité du code DCW. receiving, in response to said sending, the result of the validity check of the DCW code.
Selon un mode de réalisation particulier, la carte à puce est une carte bancaire et le serveur d'authentification est un serveur de contrôle d'accès,  According to a particular embodiment, the smart card is a bank card and the authentication server is an access control server,
dans lequel, si le code de sécurité est déterminé comme étant de type DCW, le serveur de contrôle d'accès réalise les étapes suivantes :  wherein, if the security code is determined to be of DCW type, the access control server performs the following steps:
- vérification, à partir des données de transaction, de si une authentification 3DS peut être réalisé pour la carte bancaire ; et  - checking, from the transaction data, if a 3DS authentication can be performed for the bank card; and
- dans l'affirmative, réalisation d'une authentification selon le protocole 3DS de ladite carte bancaire.  if so, performing an authentication according to the 3DS protocol of said bank card.
Selon un mode de réalisation particulier, la carte à puce est une carte bancaire et le serveur d'authentification est un serveur annuaire 3DS,  According to a particular embodiment, the smart card is a bank card and the authentication server is a 3DS directory server,
dans lequel, si le code de sécurité est déterminé comme étant de type DCW, le serveur annuaire 3DS réalise les étapes suivantes :  wherein, if the security code is determined to be of DCW type, the 3DS directory server performs the following steps:
- vérification, à partir des données de transaction, de si une authentification 3DS peut être réalisée pour la carte bancaire ; et - dans l'affirmative, transmission des données de transaction à un serveur de contrôle d'accès pour causer la réalisation d'une authentification de ladite carte bancaire selon le protocole 3DS. - checking, from the transaction data, if a 3DS authentication can be performed for the bank card; and if so, transmitting the transaction data to an access control server to cause the authentication of said bank card to be performed according to the 3DS protocol.
Selon un mode de réalisation particulier, le serveur d'authentification se configure, seulement si un paramètre reçu du serveur d'accès avec les données de transaction est dans un état prédéfini, pour détecter qu'aucune authentification 3DS ne doit être réalisée si un code de sécurité inclus dans les données de transaction est de type DCVV.  According to a particular embodiment, the authentication server configures itself, only if a parameter received from the access server with the transaction data is in a predefined state, to detect that no 3DS authentication must be performed if a code security included in the transaction data is of the DCVV type.
L'invention concerne également un procédé de contrôle mis en œuvre par un serveur d'accès à un service, comprenant :  The invention also relates to a control method implemented by a server for access to a service, comprising:
- réception de données de transaction associées à une carte à puce lors d'une transaction avec le serveur d'accès ;  receiving transaction data associated with a smart card during a transaction with the access server;
- transmission des données de transaction à un serveur d'authentification pour demander une authentification de la transaction selon le protocole 3DS ; et - transmission of the transaction data to an authentication server to request authentication of the transaction according to the 3DS protocol; and
- détermination, à partir d'un message reçu du serveur d'authentification, qu'aucune authentification selon le protocole 3DS ne doit être réalisée si la carte à puce est de type DCW. determination, from a message received from the authentication server, that no authentication according to the 3DS protocol must be carried out if the smart card is of the DCW type.
Selon un mode de réalisation particulier, le serveur d'accès détermine que l'authentification est réalisée avec succès sur réception, en provenance du serveur de contrôle, d'un message de vérification positive d'un code de sécurité DCW compris dans les données de transaction.  According to a particular embodiment, the access server determines that the authentication is performed successfully on reception, from the control server, of a positive verification message of a security code DCW included in the data of transaction.
Selon un mode de réalisation particulier, le serveur d'accès envoie, au serveur d'authentification, un paramètre avec les données de transaction, ledit paramètre étant dans un état prédéfini pour indiquer qu'aucune authentification 3DS ne doit être réalisée si un code de sécurité inclus dans les données de transaction est de type DCVV.  According to a particular embodiment, the access server sends, to the authentication server, a parameter with the transaction data, said parameter being in a predefined state to indicate that no 3DS authentication should be performed if a code of Security included in the transaction data is DCVV type.
Dans un mode particulier de réalisation, les différentes étapes du procédé d'authentification mis en œuvre par le serveur d'authentification comme défini ci-avant sont déterminées par des instructions de programmes d'ordinateurs.  In a particular embodiment, the different steps of the authentication method implemented by the authentication server as defined above are determined by instructions of computer programs.
De même, selon un mode de réalisation particulier, les différentes étapes du procédé de contrôle mis en œuvre par le serveur d'accès comme défini ci-avant sont déterminées par des instructions de programmes d'ordinateurs.  Similarly, according to a particular embodiment, the different steps of the control method implemented by the access server as defined above are determined by instructions of computer programs.
En conséquence, l'invention vise aussi un programme d'ordinateur sur un support d'informations (ou support d'enregistrement), ce programme étant susceptible d'être mis en œuvre dans un serveur, ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en œuvre des étapes de l'un au moins des procédés tels que définis ci-avant. Consequently, the invention also relates to a computer program on an information carrier (or recording medium), this program being capable of being implemented in a server, or more generally in a computer, this program comprising instructions adapted to the implementation of the steps of at least one of the methods as defined above.
L'invention vise aussi un support d'enregistrement (ou support d'informations) lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.  The invention also relates to a recording medium (or information carrier) readable by a computer, and including instructions of a computer program as mentioned above.
A noter que les programmes mentionnés dans le présent exposé peuvent utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.  Note that the programs mentioned in this presentation may use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form , or in any other desirable form.
De plus, les supports d'enregistrement mentionnés ci-avant peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.  In addition, the recording media mentioned above can be any entity or device capable of storing the program. For example, the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording medium, for example a floppy disk or a disk. hard.
D'autre part, les supports d'enregistrement peuvent correspondre à un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.  On the other hand, the recording media may correspond to a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means. The program according to the invention can be downloaded in particular on an Internet type network.
Alternativement, les supports d'enregistrement peuvent correspondre à un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.  Alternatively, the recording media may correspond to an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
Brève description des dessins Brief description of the drawings
D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent des exemples de réalisation dépourvus de tout caractère limitatif. Sur les figures:  Other features and advantages of the present invention will emerge from the description given below, with reference to the accompanying drawings which illustrate embodiments having no limiting character. In the figures:
- la figure 1A représente schématiquement un système comprenant un terminal, un serveur d'accès à un service, un serveur annuaire 3DS, un serveur ACS et un serveur de vérification DCW, conformément à un mode de réalisation particulier de l'invention ;  FIG. 1A schematically represents a system comprising a terminal, a service access server, a 3DS directory server, an ACS server and a DCW verification server, according to a particular embodiment of the invention;
- la figure 1B représente schématiquement une carte à puce selon un mode de réalisation particulier de l'invention ;  - Figure 1B schematically shows a smart card according to a particular embodiment of the invention;
- la figure 2 représente schématiquement la structure d'un serveur d'accès selon un mode de réalisation particulier de l'invention ; - la figure 3 représente schématiquement des modules mis en œuvre dans le serveur d'accès représenté en figure 1A et 2, conformément à un mode de réalisation particulier de l'invention ; FIG. 2 diagrammatically represents the structure of an access server according to a particular embodiment of the invention; - Figure 3 schematically shows modules implemented in the access server shown in Figure 1A and 2, according to a particular embodiment of the invention;
- la figure 4 représente schématiquement la structure d'un serveur ACS selon un mode de réalisation particulier de l'invention ;  FIG. 4 schematically represents the structure of an ACS server according to a particular embodiment of the invention;
- la figure 5 représente schématiquement des modules mis en œuvre dans le serveur ACS représenté en figures 1A et 4, conformément à un mode de réalisation particulier de l'invention ;  - Figure 5 schematically shows modules implemented in the ACS server shown in Figures 1A and 4, according to a particular embodiment of the invention;
- la figure 6 représente un exemple de table enregistrée dans une mémoire du serveur ACS représenté en figures 1A et 4, conformément à un mode de réalisation particulier de l'invention ;  FIG. 6 represents an example of a table stored in a memory of the server ACS represented in FIGS. 1A and 4, according to a particular embodiment of the invention;
- la figure 7 représente, sous la forme d'un diagramme, des étapes mises en œuvre notamment par le serveur d'accès, le serveur annuaire 3DS et le serveur ACS, conformément à un mode de réalisation particulier de l'invention ; et - la figure 8 représente, sous la forme d'un diagramme, des étapes mises en œuvre notamment par le serveur d'accès, le serveur annuaire 3DS et le serveur ACS, conformément à une variante du mode de réalisation illustré en figure 7.  FIG. 7 represents, in the form of a diagram, the steps implemented in particular by the access server, the directory server 3DS and the server ACS, according to a particular embodiment of the invention; and FIG. 8 represents, in the form of a diagram, the steps implemented in particular by the access server, the directory server 3DS and the server ACS, according to a variant of the embodiment illustrated in FIG. 7.
Description détaillée de plusieurs modes de réalisation Detailed description of several embodiments
Comme déjà indiquée, la présente invention concerne les mécanismes d'authentification et porte plus particulièrement sur une authentification à partir d'un code de sécurité d'une carte à puce.  As already indicated, the present invention relates to the authentication mechanisms and relates more particularly to an authentication from a security code of a smart card.
Afin de sécuriser les transactions à distance, une solution consiste à utiliser des cartes bancaires aptes à générer, et à afficher sur un écran de la carte, un code de sécurité dynamique (appelé DCW) qui change au cours de la vie de la carte. Le système de traitement informatique du service financier de la transaction est apte à vérifier la validité de ce code dynamique de sécurité, en fonction par exemple d'un paramètre temporel, pour valider ou non la transaction. L'utilisation d'un tel code dynamique de sécurité permet de s'assurer que l'utilisateur a réellement en sa possession la carte bancaire concernée au moment de la transaction. S'il est dérobé, le code dynamique de sécurité a une utilité limitée dans la mesure où la validité de ce code n'est que temporaire.  In order to secure transactions remotely, one solution is to use bank cards able to generate and display on a screen of the card, a dynamic security code (called DCW) that changes over the life of the card. The computer processing system of the financial service of the transaction is able to check the validity of this dynamic security code, depending for example on a time parameter, to validate or not the transaction. The use of such a dynamic security code makes it possible to ensure that the user actually has in his possession the bank card concerned at the time of the transaction. If it is stolen, the dynamic security code has a limited usefulness since the validity of this code is only temporary.
Dans le présent exposé, on appellera carte à puce DCW (ou carte DCW) une carte à puce apte à générer des codes dynamiques de sécurité DCW. Les codes DCW sont connus de l'homme du métier et ne seront donc pas décrits plus en détail dans le présent exposé. In the present disclosure, a smart card DCW (or DCW card) will be called a smart card capable of generating dynamic security codes DCW. DCW codes are known to those skilled in the art and will therefore not be described in more detail in this presentation.
L'invention propose d'améliorer les mécanismes d'authentification existants en inhibant le protocole d'authentification 3DS lorsqu'il est possible d'authentifier une transaction en cours à partir d'un code de sécurité dynamique DCVV (pour « Dynamic Card Vérification Value »), dans le cas où un tel code dynamique peut être est généré par la carte à puce de l'utilisateur.  The invention proposes to improve the existing authentication mechanisms by inhibiting the 3DS authentication protocol when it is possible to authenticate an ongoing transaction from a dynamic security code DCVV (for "Dynamic Card Verification Value"). "), In the case where such a dynamic code can be is generated by the user's smart card.
Il convient de noter que la notion de transaction est ici entendue au sens large et comprend par exemple, dans le domaine bancaire, tout type de transaction financière, telle que par exemple une transaction de paiement, une transaction de transfert, ou encore une consultation d'un compte bancaire.  It should be noted that the concept of transaction is understood here in a broad sense and includes, for example, in the banking field, any type of financial transaction, such as for example a payment transaction, a transfer transaction, or a consultation of 'a bank account.
L'invention, selon différents modes de réalisation, met par exemple en œuvre un serveur d'authentification apte à recevoir, en provenance d'un serveur d'accès à un service, une requête d'authentification comprenant des données de transaction associées à une carte à puce ; à déterminer si un code de sécurité inclus dans les données de transaction est de type DCVV ; et dans l'affirmative, à détecter qu'aucune authentification 3DS ne doit être réalisée pour authentifier ladite carte et à coopérer avec un serveur de vérification pour vérifier la validité du code de sécurité DCW.  The invention, according to different embodiments, implements, for example, an authentication server able to receive, from a service access server, an authentication request comprising transaction data associated with an authentication server. Smartcard ; determining whether a security code included in the transaction data is of the DCVV type; and if so, detecting that no 3DS authentication must be performed to authenticate said card and to cooperate with a verification server to check the validity of the security code DCW.
L'invention, selon un mode de réalisation particulier, vise également un serveur d'accès apte à recevoir des données de transaction associées à une carte à puce lors d'une transaction avec le serveur d'accès ; à transmettre les données de transaction à un serveur d'authentification pour demander une authentification de la transaction selon le protocole 3DS ; et à déterminer, à partir d'un message reçu du serveur d'authentification, qu'aucune authentification selon le protocole 3DS ne doit être réalisée si la carte à puce est de type DCVV. Le serveur d'accès peut par exemple déterminer que les données de transaction sont authentiques à partir d'un message, reçu du serveur d'authentification, indiquant qu'un code DCW inclus dans les données de transaction a été vérifié avec succès.  The invention, according to a particular embodiment, also relates to an access server adapted to receive transaction data associated with a smart card during a transaction with the access server; transmitting the transaction data to an authentication server to request authentication of the transaction according to the 3DS protocol; and to determine, from a message received from the authentication server, that no authentication according to the 3DS protocol must be performed if the smart card is of DCVV type. The access server may for example determine that the transaction data is authentic from a message received from the authentication server, indicating that a DCW code included in the transaction data has been verified successfully.
D'autres aspects et avantages de la présente invention ressortiront des exemples de réalisation décrits ci-dessous en référence aux dessins mentionnés ci-avant.  Other aspects and advantages of the present invention will emerge from the exemplary embodiments described below with reference to the drawings mentioned above.
Sauf indications contraires, les éléments communs ou analogues à plusieurs figures portent les mêmes signes de référence et présentent des caractéristiques identiques ou analogues, de sorte que ces éléments communs ne sont généralement pas à nouveau décrits par souci de simplicité. La figure 1A représente, de manière schématique, un système SY selon un mode de réalisation particulier de l'invention. Le système SY comprend dans cet exemple un terminal T, un serveur d'accès SW, un serveur annuaire 3DS (ou « 3DS Directory Server » en anglais) noté ici SDIR, un serveur de contrôle d'accès ACS (pour « Access control Server ») et un serveur SV de vérification, selon un mode de réalisation particulier de l'invention. Unless otherwise indicated, the elements common or similar to several figures bear the same reference signs and have identical or similar characteristics, so that these common elements are generally not described again for the sake of simplicity. FIG. 1A schematically represents a system SY according to one particular embodiment of the invention. The SY system comprises in this example a terminal T, an access server SW, a directory server 3DS (or "3DS Directory Server" in English) here denoted SDIR, an access control server ACS (for "Access Control Server And a verification server SV, according to a particular embodiment of the invention.
Le système SY permet dans cet exemple de contrôler l'accès d'un utilisateur à un service S. Dans l'exemple envisagé ici, un utilisateur tente d'utiliser le service S, à l'aide d'une carte à puce C représentée en figure 1B.  The SY system allows in this example to control the access of a user to a service S. In the example considered here, a user tries to use the service S, using a smart card C shown in Figure 1B.
Selon le mode de réalisation illustré en figure 1B, et comme exposé dans les exemples de réalisation qui suivent, la carte à puce C est ici une carte bancaire comportant des données de carte bancaire, à savoir un identifiant bancaire PAN (pour « Primary Account Number »), un date d'expiration EXP et un code de sécurité CSC de carte. On comprendra que le code de sécurité CSC peut être un code statique (code CW pour « Card Vérification Value ») figurant sur la carte ou un code dynamique (DCW pour « Dynamic Card Vérification value ») pouvant être généré par la carte.  According to the embodiment illustrated in FIG. 1B, and as explained in the following exemplary embodiments, the smart card C is here a bank card including credit card data, namely a bank identifier PAN (for "Primary Account Number"). "), An EXP expiry date, and a CSC card security code. It will be understood that the security code CSC can be a static code (CW code for "Card Verification Value") on the card or a dynamic code (DCW for "Dynamic Card Verification Value") that can be generated by the card.
La carte bancaire C est par exemple conforme au protocole EMV. D'autres types de cartes à puce peuvent être envisagés dans le cadre de l'invention.  The bank card C is for example in accordance with the EMV protocol. Other types of smart cards can be envisaged within the scope of the invention.
L'utilisateur du terminal T représenté en figure 1A est ici apte à communiquer, via un réseau de communications RI tel qu'Internet par exemple, avec un serveur d'accès SW contrôlant l'accès au service S. Au cours d'une transaction, le terminal T est apte à envoyer, au serveur d'accès SW, des données de transaction DT associées à la carte à puce C, par exemple pour réaliser une transaction financière (achat...) avec le service S. Les données de transaction DT comprennent par exemple l'identifiant PAN, la date EXP d'expiration et le code de sécurité CSC.  The user of the terminal T represented in FIG. 1A is here able to communicate, via an RI communications network such as the Internet for example, with an access server SW controlling access to the service S. During a transaction the terminal T is able to send, to the access server SW, transaction data DT associated with the smart card C, for example to carry out a financial transaction (purchase ...) with the service S. The data of DT transactions include, for example, the PAN ID, the exp expiration date, and the CSC security code.
Le serveur SW est par exemple un serveur Web, de type marchant ou autre, apte à gérer l'accès d'utilisateurs au serveur Web S en question. On comprendra que le service S peut être quelconque. Selon un exemple particulier, le service S est un service marchant.  The server SW is for example a web server, walking or other type, able to manage the access of users to the web server S in question. It will be understood that the service S can be any. In a particular example, the service S is a marching service.
Le serveur d'accès SW est apte à coopérer avec un serveur annuaire 3DS SDIR pour déclencher si possible une authentification selon le protocole 3DS de l'utilisateur lors d'une transaction. Pour ce faire, le serveur d'accès SW est apte à transmettre, au serveur annuaire 3DS SDIR, les données de transactions DT pour demander l'authentification de la transaction en cours. Le serveur de contrôle d'accès ACS est apte, à partir des données de transaction DT reçues, à déterminer si une authentification 3DS de la transaction doit être réalisée. Le serveur de contrôle ACS détermine si cette authentification 3DS doit être réalisée à partir des données de transactions DT transmises par le serveur annuaire 3DS SDIR. Selon un mode de réalisation particulier, le serveur ACS est configuré pour détecter qu'aucune authentification 3DS ne doit être réalisée si le code de sécurité CSC inclus dans les données de transaction DT est de type DCVV. The access server SW is able to cooperate with a directory server 3DS SDIR to trigger if possible authentication according to the 3DS protocol of the user during a transaction. To do this, the access server SW is able to transmit, to the directory server 3DS SDIR, the transaction data DT to request authentication of the current transaction. The access control server ACS is able, from the transaction data DT received, to determine whether a 3DS authentication of the transaction must be performed. The ACS control server determines whether this 3DS authentication must be performed from the transaction data DT transmitted by the directory server 3DS SDIR. According to a particular embodiment, the ACS server is configured to detect that no 3DS authentication must be performed if the security code CSC included in the transaction data DT is of the DCVV type.
Dans l'exemple envisagé ici, si aucune authentification 3DS ne doit être réalisée, le serveur ACS est en outre configuré pour coopérer avec le serveur de vérification SV pour vérifier la validité du code de sécurité CSC de type DCVV. Si l'authentification du code de sécurité CSC est positive, le serveur ACS envoie alors au serveur d'accès SW, via le serveur annuaire 3DS SDIR, un message d'authentification positive des données de transaction DT. Selon un exemple particulier, ce message d'authentification positive indique en outre au serveur d'accès SW qu'aucune authentification 3DS n'est réalisée, au moyen par exemple d'un paramètre prévu à cet effet dans ledit message.  In the example envisaged here, if no 3DS authentication is to be performed, the ACS server is further configured to cooperate with the verification server SV to check the validity of the DCVV type CSC security code. If the authentication of the security code CSC is positive, the server ACS then sends to the access server SW, via the directory server 3DS SDIR, a message of positive authentication of the transaction data DT. According to a particular example, this positive authentication message further indicates to the access server SW that no 3DS authentication is performed, for example by means of a parameter provided for this purpose in said message.
Selon un exemple de réalisation particulier, si le code de sécurité CSC est un code statique de type CVV, le serveur ACS est configuré pour détecter qu'une authentification 3DS doit être réalisée en association avec les données de transaction DT reçues. Le serveur de contrôle d'accès ACS réalise alors l'authentification 3DS selon le protocole 3DS bien connu de l'homme du métier.  According to a particular exemplary embodiment, if the security code CSC is a CVV type static code, the ACS server is configured to detect that a 3DS authentication must be performed in association with the received transaction data DT. The ACS access control server then performs the 3DS authentication according to the 3DS protocol well known to those skilled in the art.
La figure 2 représente schématiquement la structure du serveur d'accès S selon un mode de réalisation particulier de l'invention. Dans cet exemple, le serveur d'accès SW comprend un processeur 10, une mémoire non volatile MR1 et une interface de communication INT1.  Figure 2 schematically shows the structure of the access server S according to a particular embodiment of the invention. In this example, the access server SW comprises a processor 10, a non-volatile memory MR1 and a communication interface INT1.
Dans l'exemple envisagé ici, la mémoire M RI est une mémoire non volatile réinscriptible ou une mémoire morte (ROM), cette mémoire constituant un support d'enregistrement (ou support d'informations) conforme à un mode de réalisation particulier, lisible par le serveur d'accès SW, et sur lequel est enregistré un programme d'ordinateur PG1 conforme à un mode de réalisation particulier. Ce programme d'ordinateur PG1 comporte des instructions pour l'exécution des étapes d'un procédé de contrôle selon un mode de réalisation particulier.  In the example envisaged here, the memory M RI is a rewritable non-volatile memory or a read only memory (ROM), this memory constituting a recording medium (or information carrier) according to a particular embodiment, readable by the access server SW, and on which is recorded a computer program PG1 according to a particular embodiment. This computer program PG1 includes instructions for carrying out the steps of a control method according to a particular embodiment.
Le processeur 10 piloté par le programme d'ordinateur PG1, met ici en œuvre un certain nombre de modules représentés en figure 3, à savoir : un module de réception M2, un module de transmission M4 et un module de détermination M6. Selon un mode de réalisation particulier, le module de réception M2 est apte à recevoir les données de transaction DT associées à la carte à puce C lors d'une transaction avec le serveur d'accès SW. Le module de transmission M4 est apte à transmettre les données de transaction DT au serveur annuaire 3DS SDIR pour demander une authentification de la transaction selon le protocole 3DS. Le module de détermination M6 est apte à déterminer, à partir d'un message reçu du serveur d'authentification, qu'aucune authentification selon le protocole 3DS ne doit être réalisée si la carte à puce est de type DCVV. The processor 10 controlled by the computer program PG1 here implements a number of modules shown in FIG. 3, namely: a reception module M2, a transmission module M4 and a determination module M6. According to a particular embodiment, the reception module M2 is able to receive the transaction data DT associated with the smart card C during a transaction with the access server SW. The transmission module M4 is able to transmit the transaction data DT to the directory server 3DS SDIR to request authentication of the transaction according to the 3DS protocol. The determination module M6 is able to determine, from a message received from the authentication server, that no authentication according to the 3DS protocol must be performed if the smart card is of the DCVV type.
La figure 4 représente schématiquement la structure du serveur de contrôle d'accès ACS selon un mode de réalisation particulier de l'invention. Dans cet exemple, le serveur ACS comprend un processeur 20, une mémoire non volatile MR2, une interface de communication INT2 et une mémoire non volatile MR4 comprenant une table TB.  FIG. 4 diagrammatically represents the structure of the ACS access control server according to a particular embodiment of the invention. In this example, the server ACS comprises a processor 20, a nonvolatile memory MR2, a communication interface INT2 and a nonvolatile memory MR4 comprising a table TB.
Dans l'exemple envisagé ici, la mémoire MR2 est une mémoire non volatile réinscriptible ou une mémoire morte (ROM), cette mémoire constituant un support d'enregistrement (ou support d'informations) conforme à un mode de réalisation particulier, lisible par le serveur ACS, et sur lequel est enregistré un programme d'ordinateur PG2 conforme à un mode de réalisation particulier. Ce programme d'ordinateur PG2 comporte des instructions pour l'exécution des étapes d'un procédé d'authentification selon un mode de réalisation particulier.  In the example envisaged here, the memory MR2 is a rewritable non-volatile memory or a read only memory (ROM), this memory constituting a recording medium (or information carrier) according to a particular embodiment, readable by the ACS server, and on which is recorded a PG2 computer program according to a particular embodiment. This computer program PG2 includes instructions for performing the steps of an authentication method according to a particular embodiment.
Dans un exemple particulier, la table TB comprend au moins une correspondance entre un identifiant PAN et une donnée DN, ladite donnée DN indiquant si la carte bancaire C associée audit PAN est de type DCW. Le serveur ACS est apte, à partir de ladite donnée DN, à déterminer si la carte bancaire C est de type DCVV. Le serveur ACS peut ainsi déterminer, à partir de la table TB, si le code de sécurité CSC inclus dans les données de transaction DT est de type DCVV. On suppose ici que la table TB identifie par exemple des données DN en association avec trois identifiant PAN1, PAN2 et PAN3.  In a particular example, the table TB comprises at least one correspondence between a PAN identifier and a DN data, said DN data indicating whether the bank card C associated with said PAN is DCW type. The server ACS is able, from said data DN, to determine if the bank card C is of the DCVV type. The server ACS can thus determine, from the table TB, whether the security code CSC included in the transaction data DT is of type DCVV. It is assumed here that the table TB identifies, for example, DN data in association with three identifiers PAN1, PAN2 and PAN3.
Dans un exemple particulier, chaque donnée DN peut prendre deux états distincts indiquant que l'identifiant PAN correspondant est associé respectivement à une carte bancaire de type DCW et CW.  In a particular example, each data DN can take two distinct states indicating that the corresponding PAN identifier is respectively associated with a bank card type DCW and CW.
Le processeur 20 piloté par le programme d'ordinateur PG2, met ici en œuvre un certain nombre de modules représentés en figure 5, à savoir : un module de réception M20, un module de détermination M22, un module de détection M24 et un module de vérification M 26. Selon un mode de réalisation particulier, le module de réception M20 est apte à recevoir, en provenance du serveur d'accès SW, une requête d'authentification comprenant des données de transaction DT associées à la carte à puce C. Le module de détermination M22 est configuré pour déterminer si le code de sécurité CSC inclus dans les données de transaction DT est de type DCVV. Si le code de sécurité CSC est déterminé comme étant de type DCW : The processor 20 controlled by the computer program PG2, here implements a number of modules shown in FIG. 5, namely: a reception module M20, a determination module M22, a detection module M24 and a module of verification M 26. According to a particular embodiment, the reception module M20 is able to receive, from the access server SW, an authentication request comprising transaction data DT associated with the smart card C. The determination module M22 is configured to determine whether the security code CSC included in the transaction data DT is of type DCVV. If the security code CSC is determined to be of type DCW:
o le module de détection M24 est configuré pour détecter qu'aucune authentification 3DS ne doit être réalisée ; et  the detection module M24 is configured to detect that no 3DS authentication must be performed; and
o le module de vérification M26 est configuré pour coopérer avec le serveur de vérification SV pour vérifier la validité du code de sécurité DCW.  o The M26 verification module is configured to cooperate with the SV verification server to check the validity of the DCW security code.
On comprendra que la définition des modules M2 à M6 illustrés en figure 3 et des modules M20 à M26 illustrés en figure 5 ne constitue qu'un exemple non limitatif de réalisation de l'invention, d'autres mises en œuvre étant envisageables dans le cadre de l'invention.  It will be understood that the definition of the modules M2 to M6 illustrated in FIG. 3 and the modules M20 to M26 illustrated in FIG. 5 is only a non-limiting example of embodiment of the invention, other implementations being conceivable in the context of FIG. of the invention.
Un mode de réalisation particulier de l'invention est à présent décrit en référence à la figure 7. Plus précisément, le serveur d'accès SW met ici en œuvre un procédé de contrôle en exécutant le programme d'ordinateur PG1, et le serveur ACS met ici en œuvre un procédé d'authentification en exécutant le programme d'ordinateur PG2.  A particular embodiment of the invention is now described with reference to FIG. 7. More specifically, the access server SW implements a control method by executing the computer program PG1, and the server ACS. hereby implements an authentication method by executing the computer program PG2.
On suppose à présent qu'un utilisateur tente de réaliser une transaction avec le serveur d'accès SW (ou plus précisément avec le service S) en utilisant sa carte bancaire C. Dans un exemple particulier, la transaction est une transaction financière, correspondant par exemple à un paiement. On comprendra que d'autres mises en œuvre sont envisageables dans le cadre de l'invention.  It is now assumed that a user attempts to perform a transaction with the access server SW (or more precisely with the service S) using his bank card C. In a particular example, the transaction is a financial transaction, corresponding by example to a payment. It will be understood that other implementations are conceivable within the scope of the invention.
Au cours d'une étape d'envoi A2, le terminal T de l'utilisateur envoie au serveur d'accès SW des données de transaction DT associées à la carte bancaire C. Dans cet exemple, les données de transactions DT comprennent l'identifiant PAN, le code d'accès CSC et la date EXP d'expiration de la carte C. Pour ce faire, l'utilisateur saisit par exemple au préalable tout ou partie des données de transaction DT sur son terminal T en réponse à une invitation du service S.  During a sending step A2, the terminal T of the user sends the access server SW transaction data DT associated with the bank card C. In this example, the transaction data DT comprises the identifier PAN, the CSC access code and EXP expiration date of the card C. To do this, the user firstly enter all or part of the transaction data DT on his terminal T in response to an invitation from the services.
Le serveur d'accès SW reçoit les données de transaction DT lors d'une étape de réception B2. Le serveur d'accès SW envoie (B4) ensuite les données de transaction DT au serveur annuaire 3DS SDIR dans une requête d'authentification RQl. Dans un exemple particulier, la requête d'authentification RQl requière une authentification selon le protocole 3DS. Suite à la réception (C4) des données de transaction DT, le serveur annuaire 3DS SDIR détermine (C6), à partir de tout ou partie des données de transaction DT (par exemple à partir de l'identifiant PAN), s'il est autorisé de procéder à une authentification 3DS pour la transaction en cours. Dans un exemple particulier, le serveur SDIR réalise la détermination C6 à partir d'une liste d'identifiants PAN exclus du mécanisme 3DS ou à partir d'une liste d'identifiants PAN autorisés à utiliser le mécanisme 3DS. The access server SW receives the transaction data DT during a reception step B2. The access server SW then sends (B4) the transaction data DT to the directory server 3DS SDIR in an authentication request RQ1. In a particular example, the authentication request RQ1 requires authentication according to the 3DS protocol. Following the reception (C4) of the transaction data DT, the directory server 3DS SDIR determines (C6), from all or part of the transaction data DT (for example from the identifier PAN), if it is authorized to perform a 3DS authentication for the current transaction. In a particular example, the SDIR server performs the C6 determination from a list of PAN identifiers excluded from the 3DS mechanism or from a list of PAN identifiers authorized to use the 3DS mechanism.
S'il est déterminé en C6 qu'une authentification 3DS n'est pas autorisé, le procédé prend fin (C8). Le serveur SDIR peut éventuellement envoyer un message de refus d'authentification 3DS au serveur d'accès SW.  If it is determined in C6 that a 3DS authentication is not allowed, the process terminates (C8). The SDIR server may optionally send a 3DS authentication refusal message to the access server SW.
Si, en revanche, le serveur annuaire 3DS SDIR détermine (C10) qu'il est autorisé de réaliser une authentification 3DS en association avec les données de transaction DT reçues, ledit serveur SDIR envoie (C10) au serveur ACS une requête d'authentification RQ2 comprenant les données de transaction DT.  If, on the other hand, the 3DS directory server SDIR determines (C10) that it is authorized to perform a 3DS authentication in association with the received transaction data DT, said SDIR server sends (C10) to the ACS server an authentication request RQ2 comprising the transaction data DT.
Le serveur de contrôle d'accès ACS reçoit les données de transaction DT inclus dans la requête d'authentification RQ2 au cours d'une étape de réception D10.  The access control server ACS receives the transaction data DT included in the authentication request RQ2 during a reception step D10.
Le serveur ACS détermine (DU) ensuite, à partir des données de transaction DT, si le code de sécurité CSC est de type DCW. Dans un exemple particulier, le serveur ACS détermine (DU) si le code de sécurité CSC est un code DCW à partir de l'identifiant PAN inclus dans les données de transaction DT. Selon un exemple particulier, le serveur ACS utilise la table TB pour déterminer, à partir de l'identifiant PAN, si le code de sécurité est de type DCW.  The ACS server then determines (DU), from the transaction data DT, whether the security code CSC is of DCW type. In a particular example, the ACS server determines (DU) whether the security code CSC is a DCW code from the identifier PAN included in the transaction data DT. According to one particular example, the server ACS uses the table TB to determine, from the identifier PAN, if the security code is of type DCW.
S'il est déterminé en DU que le code CSC de la carte C n'est pas un code dynamique DCW, le procédé d'authentification de l'invention prend fin (D12). Au cours de l'étape D12, le serveur ACS peut réaliser une authentification 3DS de la transaction (si cela est possible), ou envoyer un message de refus d'une transaction 3DS (si une authentification selon le protocole 3DS n'est pas possible).  If it is determined in DU that the CSC code of the card C is not a DCW dynamic code, the authentication method of the invention ends (D12). During step D12, the ACS server can perform a 3DS authentication of the transaction (if this is possible), or send a refusal message of a 3DS transaction (if authentication according to the 3DS protocol is not possible ).
Selon un mode de réalisation particulier, si le code de sécurité CSC est un code statique de type CW et si le serveur ACS détermine, à partir des données de transaction, qu'il est autorisé de procéder à une authentification 3DS, le serveur ACS autorise (D12) la réalisation d'une authentification 3DS de ladite carte bancaire. Au cours d'une telle authentification 3DS, l'utilisateur peut recevoir via un SMS ou email un code secret sur un terminal (T ou autre), et être invité sur son terminal T à saisir ce code secret afin d'être authentifié par le serveur ACS. Le protocole 3DS étant bien connu de l'homme du métier, il ne sera pas décrit plus en détail dans le présent exposé par souci de simplicité. Si, en revanche, il est déterminé en DU que le code de sécurité CSC est de type DCW, le serveur ACS : According to a particular embodiment, if the security code CSC is a static code of type CW and if the server ACS determines, from the transaction data, that it is authorized to carry out a 3DS authentication, the ACS server authorizes (D12) performing a 3DS authentication of said bank card. During such a 3DS authentication, the user can receive via an SMS or email a secret code on a terminal (T or other), and be invited on his terminal T to enter this secret code to be authenticated by the ACS server. The 3DS protocol is well known to those skilled in the art, it will not be described in more detail in this presentation for the sake of simplicity. If, on the other hand, it is determined in DU that the security code CSC is of type DCW, the server ACS:
- détecte (D13) qu'aucune authentification 3DS ne doit être réalisée, et  detects (D13) that no 3DS authentication should be performed, and
- coopère (D14-D20) avec le serveur de vérification SV pour vérifier la validité du code de sécurité CSC.  - cooperates (D14-D20) with the verification server SV to check the validity of the security code CSC.
Selon un mode de réalisation particulier, si le code de sécurité est de type DCW (DU), le serveur ACS empêche la réalisation d'une authentification 3DS de la carte bancaire C. Autrement dit, lorsque la carte bancaire C est de type DCW, le serveur ACS est configuré pour bloquer la réalisation d'une authentification 3DS pour la transaction en cours d'authentification.  According to a particular embodiment, if the security code is of the DCW (DU) type, the ACS server prevents the realization of a 3DS authentication of the bank card C. In other words, when the bank card C is of DCW type, the ACS server is configured to block performing a 3DS authentication for the transaction being authenticated.
Selon un exemple particulier, lors de ladite coopération D14-D20, le serveur ACS envoie (D14) au serveur de vérification SV, les données de transaction DT comprenant le code de sécurité CSC de type DCW, l'identifiant bancaire PAN et la date EXP d'expiration. Une fois ces données reçues (E14), le serveur de vérification vérifie (E16) la validité du code de sécurité dynamique CSC. Le serveur de vérification vérifie par exemple la validité du code de sécurité dynamique CSC en générant un deuxième code DCW et en comparant celui-ci avec le code de sécurité dynamique CSC reçu en E14. Dans un exemple particulier, le serveur de vérification SV obtient ce deuxième code DCW en appliquant une fonction cryptographique à l'identifiant PAN, à la date EXP d'expiration et à une donnée temporelle. D'autres exemples de vérification d'un code de sécurité dynamique de type DCW sont envisageables. Le calcul et la vérification de la validité d'un code de sécurité DCW étant connus en soi, ils ne seront pas décrits plus en détail dans le présent exposé.  According to one particular example, during said cooperation D14-D20, the server ACS sends (D14) to the verification server SV, the transaction data DT comprising the security code CSC of the DCW type, the banking identifier PAN and the date EXP expiration. Once this data has been received (E14), the verification server verifies (E16) the validity of the dynamic security code CSC. The verification server checks, for example, the validity of the dynamic security code CSC by generating a second DCW code and comparing it with the dynamic security code CSC received at E14. In a particular example, the verification server SV obtains this second DCW code by applying a cryptographic function to the identifier PAN, EXP expiration date and a time data. Other examples of verification of a DCW type dynamic security code are conceivable. Since the calculation and verification of the validity of a DCW security code are known per se, they will not be described in more detail in this disclosure.
Le serveur de vérification SV envoie (E18) ensuite le résultat de la vérification E16 (ici dans un message M2) au serveur ACS.  The verification server SV then sends (E18) the result of the verification E16 (here in a message M2) to the server ACS.
Le serveur ACS reçoit le résultat M2 de la vérification de validité du code de sécurité CSC lors d'une étape de réception D20. Le serveur ACS envoie (D22) ensuite, au serveur annuaire 3DS SDIR, un message M4 d'authentification positive des données de transaction DT si la vérification E16 de validité du code de sécurité CSC a été passée avec succès. Dans le cas contraire, le serveur ACS envoie (D22) un message M4 d'authentification négative au serveur annuaire 3DS SDIR. Dans un exemple particulier, le message M4 spécifie si le code de sécurité DCW présent dans les données de transaction DT a été vérifié ou non avec succès. Une fois reçu (C22), le serveur annuaire 3DS SDIR transfère (C24) au serveur d'accès SW le message M4 indiquant si l'authentification sur la base du code de sécurité dynamique CSC a été passée avec succès. The server ACS receives the result M2 of the validity check of the security code CSC during a reception step D20. The server ACS then sends (D22) to the directory server 3DS SDIR, a message M4 positive authentication of the transaction data DT if the verification E16 of validity of the security code CSC has been passed successfully. In the opposite case, the server ACS sends (D22) a message M4 of negative authentication to the directory server 3DS SDIR. In a particular example, the message M4 specifies whether the security code DCW present in the transaction data DT has been verified or not successfully. Once received (C22), the directory server 3DS SDIR transfers (C24) to the access server SW the message M4 indicating whether the authentication based on the dynamic security code CSC has been passed successfully.
Le serveur d'accès SW détermine (B26) si l'authentification de la transaction est passée avec succès à partir du message M4 reçu préalablement à l'étape de réception B24. On comprendra que le serveur d'accès SW peut être configuré pour réaliser tout traitement approprié en fonction du résultat de l'authentification.  The access server SW determines (B26) whether the authentication of the transaction is successfully passed from the message M4 received prior to the reception step B24. It will be understood that the access server SW may be configured to perform any appropriate processing depending on the result of the authentication.
Selon un mode de réalisation particulier, s'il est déterminé (B26) que l'authentification est passée avec succès, le serveur d'accès SW autorise (B26) la transaction en cours avec l'utilisateur. Dans le cas contraire, le serveur d'accès SW refuse (B26) la transaction.  According to a particular embodiment, if it is determined (B26) that the authentication has passed successfully, the access server SW authorizes (B26) the current transaction with the user. In the opposite case, the access server SW refuses (B26) the transaction.
La présente invention est avantageuse en ce qu'elle permet de s'affranchir du mécanisme d'authentification selon le protocole 3DS lorsqu'il est possible d'authentifier l'utilisateur de la transaction en vérifiant un code de sécurité dynamique DCW généré par la carte à puce de l'utilisateur (lorsque ladite carte est de type DCW). Comme exposé ci- avant, l'authentification selon le protocole 3DS présente certains inconvénients, notamment en ce qu'elle peut causer une gêne pour certains utilisateurs entraînant parfois l'abandon de la transaction en cours. L'invention permet d'inhiber le mécanisme 3DS tout en maintenant un niveau de sécurité élevé grâce à la vérification, lorsque cela est possible, d'un code DCW. Grâce à l'invention, il est possible de faciliter l'authentification d'un utilisateur, et donc l'accès à un service.  The present invention is advantageous in that it makes it possible to dispense with the authentication mechanism according to the 3DS protocol when it is possible to authenticate the user of the transaction by verifying a dynamic security code DCW generated by the card. user's smart card (when said card is of DCW type). As explained above, the authentication according to the 3DS protocol has certain disadvantages, in particular in that it can cause discomfort for some users sometimes leading to the abandonment of the current transaction. The invention makes it possible to inhibit the 3DS mechanism while maintaining a high level of security by verifying, where possible, a DCW code. Thanks to the invention, it is possible to facilitate the authentication of a user, and therefore access to a service.
On comprendra que le mode de réalisation décrit ci-avant en référence à la figure 7 ne constitue qu'un exemple non limitatif de réalisation de l'invention, divers variantes de réalisation étant envisageables dans le cadre de l'invention.  It will be understood that the embodiment described above with reference to FIG. 7 is only a nonlimiting exemplary embodiment of the invention, various alternative embodiments being conceivable within the scope of the invention.
Selon un mode de réalisation particulier, une fois l'étape de vérification E16 réalisée, le serveur de vérification SV (ou l'un parmi le serveur ACS, le serveur annuaire 3DS SDIR et le serveur d'accès SW) envoie (E18) en outre un message M6 au terminal T (ou à un autre terminal) de l'utilisateur. A partir du message M6 reçu (A30), l'utilisateur est alors apte à déterminer le résultat de l'authentification du code de sécurité CSC (de type DCW) par le serveur de vérification SV.  According to a particular embodiment, once the verification step E16 has been performed, the verification server SV (or one of the server ACS, the directory server 3DS SDIR and the access server SW) sends (E18) in addition to an M6 message to the terminal T (or another terminal) of the user. From the received message M6 (A30), the user is then able to determine the result of the authentication of the security code CSC (DCW type) by the verification server SV.
Selon un mode de réalisation particulier, le serveur ACS inclut dans son message M4 d'authentification positive un paramètre indiquant au serveur d'accès SW qu'aucune authentification selon le protocole 3DS n'a été réalisée. A partir de ce paramètre, le serveur d'accès SW peut ainsi en déduire que le mécanisme d'authentification 3DS a été bloqué mais que l 'authentification a néanmoins été réalisée avec succès grâce à une vérification d'un code de sécurité DCW. According to a particular embodiment, the ACS server includes in its positive authentication message M4 a parameter indicating to the access server SW that no authentication according to the 3DS protocol has been performed. From this parameter, the access server SW can thus deduce that the authentication mechanism 3DS has been blocked, but the authentication has nevertheless been successfully carried out thanks to a verification of a DCW security code.
Un autre mode de réalisation est à présent décrit en référence à la figure 8. Dans ce mode de réalisation, les étapes A2, B2, B4 et C4 sont réalisées comme déjà décrites ci- avant en référence au mode de réalisation illustré en figure 7. Le mode de réalisation illustré en figure 8 diffère du mode de réalisation précédent en ce que c'est cette fois le serveur annuaire 3DS SDIR qui détermine (C50), à partir des données de transaction DT, si la carte bancaire C est de type DCW et, dans l'affirmative, qui détecte (C51) qu'aucune authentification selon le protocole 3DS ne doit être réalisée et qui coopère (C52) alors avec le serveur ACS, ou directement avec le serveur de vérification SV, pour vérifier la validité du code de sécurité dynamique CSC. L'étape de détermination C50 et l'étape de détection C51 sont réalisées de façon analogue aux étapes respectives DU et D13 décrites ci-avant en référence à la figure 7.  Another embodiment is now described with reference to FIG. 8. In this embodiment, the steps A2, B2, B4 and C4 are carried out as already described above with reference to the embodiment illustrated in FIG. 7. The embodiment illustrated in FIG. 8 differs from the previous embodiment in that it is this time the 3DS directory server SDIR which determines (C50), from the transaction data DT, whether the bank card C is of DCW type. and, if so, which detects (C51) that no authentication according to the 3DS protocol is to be performed and which then cooperates (C52) with the ACS server, or directly with the verification server SV, to check the validity of the CSC dynamic security code. The determination step C50 and the detection step C51 are carried out analogously to the respective steps D1 and D13 described above with reference to FIG. 7.
Comme illustré en figure 8, suite à l'étape de détection C51, le serveur annuaire 3DS SDIR envoie (C52) au serveur de vérification SV une requête de vérification RQ10 comprenant les données de transaction DT. Alternativement, le serveur annuaire 3DS SDIR envoie (C52) la requête de vérification RQ10 au serveur ACS qui transmets (D52) celle-ci au serveur de vérification SV.  As illustrated in FIG. 8, following the detection step C51, the 3DS directory server SDIR sends (C52) to the verification server SV a verification request RQ10 comprising the transaction data DT. Alternatively, the 3DS directory server SDIR sends (C52) the verification request RQ10 to the server ACS which transmits (D52) it to the verification server SV.
Le serveur de vérification SV vérifie (E16) la validité du code de sécurité dynamique CSC comme déjà décrit en référence à la figure 7.  The verification server SV checks (E16) the validity of the dynamic security code CSC as already described with reference to FIG. 7.
Au cours d'une étape d'envoi E54, le serveur de vérification SV envoie ensuite un message M8 d'authentification positive ou négative (selon le résultat de E16) des données de transaction DT au serveur annuaire 3DS SDIR, éventuellement par l'intermédiaire du serveur ACS qui transfère (D54) alors ledit message.  During a sending step E54, the verification server SV then sends a message M8 of positive or negative authentication (according to the result of E16) of the transaction data DT to the directory server 3DS SDIR, possibly via of the ACS server which transfers (D54) then said message.
On comprendra au vu de ce qui précède que, selon la mise en œuvre de l'invention, c'est le serveur annuaire 3DS SDIR ou le serveur ACS qui détermine, à partir des données de transaction DT, si la carte bancaire C est de type DCW et, dans l'affirmative, qui détecte qu'aucune authentification selon le protocole 3DS ne doit être réalisée et qui cause la vérification de la validité du code de sécurité dynamique CSC de la carte C. Aussi, le serveur annuaire 3DS SDIR et le serveur ACS peuvent chacun constituer un serveur d'authentification au sens de l'invention.  It will be understood from the foregoing that, according to the implementation of the invention, it is the 3DS directory server SDIR or the ACS server which determines, from the transaction data DT, whether the bank card C is DCW type and, if so, which detects that no authentication according to the 3DS protocol should be performed and which causes the verification of the validity of the CSC dynamic security code of the C card. Also, the 3DS directory server SDIR and the server ACS can each constitute an authentication server within the meaning of the invention.
Selon une variante des modes de réalisation précédents, le serveur d'authentification de l'invention se configure, seulement si un paramètre reçu du serveur d'accès SW avec les données de transaction DT est dans un état prédéfini, pour détecter qu'aucune authentification 3DS ne doit être réalisée lorsqu'un code de sécurité inclus dans les données de transaction est de type DCVV. Autrement dit, à partir d'un paramètre envoyé par le serveur d'accès SW, le serveur d'authentification de l'invention (i.e. le serveur annuaire 3DS SDIR ou le serveur ACS selon le cas) est apte à déterminer s'il doit mettre en œuvre le mécanisme d'inhibition du mécanisme d'authentification 3DS selon l'invention. Dans un exemple particulier, si ce paramètre est dans un premier état prédéterminé, le serveur d'authentification tente systématiquement de déclencher une authentification 3DS, et si ledit paramètre est dans un deuxième état prédéterminé, le serveur d'authentification inhibe le mécanisme 3DS si une authentification sur la base d'un code de sécurité DCW est possible. According to a variant of the preceding embodiments, the authentication server of the invention is configured, only if a parameter received from the access server SW with the transaction data DT is in a predefined state, to detect that no 3DS authentication shall only be performed when a security code included in the transaction data is of the DCVV type. In other words, from a parameter sent by the access server SW, the authentication server of the invention (ie the 3DS directory server SDIR or the ACS server as the case may be) is able to determine whether it should implement the inhibition mechanism of the 3DS authentication mechanism according to the invention. In a particular example, if this parameter is in a first predetermined state, the authentication server systematically attempts to trigger a 3DS authentication, and if said parameter is in a second predetermined state, the authentication server inhibits the 3DS mechanism if a authentication based on a DCW security code is possible.
Selon un mode de réalisation particulier, le serveur d'authentification de l'invention (i.e. le serveur annuaire 3DS SDIR ou le serveur ACS selon le cas), détermine, à partir de données d'historique (bancaire par exemple) enregistrées en association avec l'identifiant PAN, s'il doit mettre en œuvre le mécanisme d'inhibition de l'authentification 3DS conformément à l'invention. Le serveur d'authentification peut ainsi juger, pour la transaction en cours, un niveau de risque et en déduire s'il est nécessaire de réaliser une authentification 3DS (éventuellement en supplément d'une vérification d'un code de sécurité DCW, selon la configuration choisie).  According to a particular embodiment, the authentication server of the invention (ie the 3DS directory server SDIR or the ACS server as the case may be) determines, based on historical data (banking for example) recorded in association with the PAN identifier, if it must implement the inhibition mechanism of the 3DS authentication in accordance with the invention. The authentication server can thus judge, for the current transaction, a level of risk and deduce whether it is necessary to perform a 3DS authentication (possibly in addition to a verification of a security code DCW, according to the chosen configuration).
Un homme du métier comprendra que les modes de réalisation et variantes décrits ci- avant ne constituent que des exemples non limitatifs de mise en œuvre de l'invention. En particulier, l'homme du métier pourra envisager une quelconque adaptation ou combinaison des modes de réalisation et variantes décrits ci-avant afin de répondre à un besoin bien particulier.  Those skilled in the art will understand that the embodiments and variants described above are only non-limiting examples of implementation of the invention. In particular, those skilled in the art may consider any adaptation or combination of the embodiments and variants described above to meet a particular need.

Claims

REVENDICATIONS
1. Procédé d'authentification mis en œuvre par un serveur d'authentification (ACS ; SDIR), comprenant : An authentication method implemented by an authentication server (ACS; SDIR), comprising:
- réception (D10 ; C4), en provenance d'un serveur d'accès (SW) à un service (S), d'une requête d'authentification (RQ2 ; RQ1) comprenant des données de transaction (DT) associées à une carte à puce (C) ;  - receiving (D10; C4), from an access server (SW) to a service (S), an authentication request (RQ2; RQ1) comprising transaction data (DT) associated with a smart card (C);
- détermination (DU ; C50) de si un code de sécurité (CSC) inclus dans les données de transaction est de type DCW ; et  determination (DU; C50) of whether a security code (CSC) included in the transaction data is of the DCW type; and
- dans l'affirmative, blocage (D13 ; C51) de la réalisation d'une authentification 3DS de ladite carte à puce et coopération (D14 ; C52) avec un serveur de vérification (SV) pour vérifier la validité du code de sécurité DCW.  - If yes, blocking (D13; C51) of performing a 3DS authentication of said smart card and cooperation (D14; C52) with a verification server (SV) to check the validity of the security code DCW.
2. Procédé selon la revendication 1, comprenant l'envoi (D22 ; C56), au serveur d'accès (SW), d'un message (M4 ; M8) d'authentification positive des données de transaction si la validité du code DCW est vérifiée avec succès lors de ladite coopération. 2. Method according to claim 1, comprising sending (D22; C56), to the access server (SW), a message (M4; M8) for positive authentication of the transaction data if the validity of the code DCW. is successfully verified during such cooperation.
3. Procédé selon la revendication 1 ou 2, dans lequel : The method of claim 1 or 2, wherein:
- le serveur d'authentification (ACS ; SDIR) détermine si la carte à puce est de type DCW à partir d'un identifiant PAN compris dans les données de transaction (DT) reçues ; et  the authentication server (ACS; SDIR) determines whether the smart card is of the DCW type from a PAN identifier included in the received transaction data (DT); and
- uniquement dans l'affirmative, le serveur d'authentification détermine (DU ;  - only in the affirmative, the authentication server determines (DU;
C50) que le code de sécurité est de type DCW.  C50) that the security code is DCW type.
4. Procédé selon l'une quelconque des revendications 1 à 3, dans lequel si le code de sécurité est de type CW et si le serveur d'authentification détermine, à partir des données de transaction, qu'il est autorisé de procéder à une authentification 3DS, le serveur d'authentification autorise (D12) la réalisation d'une authentification 3DS de ladite carte à puce. A method according to any one of claims 1 to 3, wherein if the security code is of type CW and the authentication server determines, from the transaction data, that it is authorized to proceed with a 3DS authentication, the authentication server authorizes (D12) the realization of a 3DS authentication of said smart card.
5. Procédé selon l'une quelconque des revendications 1 à 4, dans lequel la carte à puce est une carte bancaire, et les données de transactions (DT) comprennent un identifiant PAN et un date d'expiration (EXP) de ladite carte bancaire (C). Procédé selon la revendication 5, dans lequel ladite coopération comprend : envoi (D14), au serveur de vérification (SV), des données de transaction (DT) comprenant le code de sécurité de type DCVV, l'identifiant bancaire PAN et la date d'expiration (EXP) ; et The method of any one of claims 1 to 4, wherein the smart card is a bank card, and the transaction data (DT) includes a PAN ID and an expiration date (EXP) of said bank card. (VS). A method according to claim 5, wherein said cooperating comprises: sending (D14) to the verification server (SV) transaction data (DT) comprising the security code of the DCVV type, the bank identifier PAN and the date d expiration (EXP); and
réception (D20), en réponse audit envoi, du résultat (M2) de la vérification de validité du code DCVV.  receiving (D20), in response to said sending, the result (M2) of the validity check of the DCVV code.
7. Procédé selon l'une quelconque des revendications 1 à 6, dans lequel la carte à puce (C) est une carte bancaire et le serveur d'authentification est un serveur de contrôle d'accès (ACS), 7. Method according to any one of claims 1 to 6, wherein the smart card (C) is a credit card and the authentication server is an access control server (ACS),
dans lequel, si le code de sécurité (CSC) est déterminé comme étant de type DCW, le serveur de contrôle d'accès (ACS) réalise les étapes suivantes :  wherein, if the security code (CSC) is determined to be of DCW type, the access control server (ACS) performs the following steps:
- vérification (D12), à partir des données de transaction (DT), de si une authentification 3DS peut être réalisé pour la carte bancaire ; et  - verification (D12), from the transaction data (DT), if a 3DS authentication can be performed for the bank card; and
- dans l'affirmative, réalisation (D12) d'une authentification selon le protocole 3DS de ladite carte bancaire.  - If yes, realization (D12) of an authentication according to the 3DS protocol of said bank card.
8. Procédé selon l'une quelconque des revendications 1 à 6, dans lequel la carte à puce est une carte bancaire et le serveur d'authentification est un serveur annuaire 3DS (SDIR), 8. Method according to any one of claims 1 to 6, wherein the smart card is a bank card and the authentication server is a directory server 3DS (SDIR),
dans lequel, si le code de sécurité (CSC) est déterminé comme étant de type DCW, le serveur annuaire 3DS (SDIR) réalise les étapes suivantes :  wherein, if the security code (CSC) is determined to be of DCW type, the 3DS directory server (SDIR) performs the following steps:
- vérification (C50), à partir des données de transaction, de si une authentification 3DS peut être réalisée pour la carte bancaire ; et  - checking (C50), from the transaction data, if a 3DS authentication can be performed for the bank card; and
- dans l'affirmative, transmission des données de transaction à un serveur de contrôle d'accès pour causer la réalisation d'une authentification de ladite carte bancaire selon le protocole 3DS.  if so, transmitting the transaction data to an access control server to cause the authentication of said bank card to be performed according to the 3DS protocol.
9. Procédé selon l'une quelconque des revendications 1 à 8, dans lequel, le serveur d'authentification se configure, seulement si un paramètre reçu du serveur d'accès (SW) avec les données de transaction (DT) est dans un état prédéfini, pour détecter qu'aucune authentification 3DS ne doit être réalisée si un code de sécurité (CSC) inclus dans les données de transaction est de type DCW. The method according to any one of claims 1 to 8, wherein the authentication server configures itself, only if a parameter received from the access server (SW) with the transaction data (DT) is in a state. predefined, to detect that no 3DS authentication should be performed if a security code (CSC) included in the transaction data is DCW type.
10. Procédé de contrôle mis en œuvre par un serveur d'accès (SW) à un service, comprenant : - réception (B2) de données de transaction (DT) associées à une carte à puce (C) lors d'une transaction avec le serveur d'accès ; 10. Control method implemented by an access server (SW) to a service, comprising: receiving (B2) transaction data (DT) associated with a smart card (C) during a transaction with the access server;
- transmission (B4) des données de transaction à un serveur d'authentification (ACS ; SDIR) pour demander une authentification de la transaction selon le protocole 3DS ; et  - transmission (B4) of the transaction data to an authentication server (ACS; SDIR) to request authentication of the transaction according to the 3DS protocol; and
- détermination (B26 ; B58), à partir d'un message reçu (M4 ; M8) du serveur d'authentification, qu'aucune authentification selon le protocole 3DS ne doit être réalisée si la carte à puce est de type DCW.  determination (B26; B58), based on a received message (M4; M8) from the authentication server, that no authentication according to the 3DS protocol is to be performed if the smart card is of the DCW type.
11. Procédé selon la revendication 10, dans lequel le serveur d'accès détermineThe method of claim 10, wherein the access server determines
(B26 ; B58) que l'authentification est réalisée avec succès sur réception (B26 ; B58), en provenance du serveur de contrôle, d'un message de vérification positive d'un code de sécurité DCW compris dans les données de transaction. (B26; B58) that authentication is successfully performed upon reception (B26; B58) from the control server of a positive verification message of a security code DCW included in the transaction data.
12. Procédé selon la revendication 10 ou 11, dans lequel le serveur d'accès envoie, au serveur d'authentification, un paramètre avec les données de transaction, ledit paramètre étant dans un état prédéfini pour indiquer qu'aucune authentification 3DS ne doit être réalisée si un code de sécurité inclus dans les données de transaction est de type DCW. The method of claim 10 or 11, wherein the access server sends, to the authentication server, a parameter with the transaction data, said parameter being in a predefined state to indicate that no 3DS authentication should be performed if a security code included in the transaction data is DCW type.
13. Programme d'ordinateur (PG1 ; PG2) comportant des instructions pour l'exécution des étapes d'un procédé de configuration selon l'une quelconque des revendications 1 à 12 lorsque ledit programme est exécuté par un ordinateur. Computer program (PG1; PG2) comprising instructions for performing the steps of a configuration method according to any one of claims 1 to 12 when said program is executed by a computer.
14. Support d'enregistrement (MR1 ; MR2) lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur (PG1 ; PG2) comprenant des instructions pour l'exécution des étapes d'un procédé selon l'une quelconque des revendications 1 à 12. 14. Recording medium (MR1; MR2) readable by a computer on which is stored a computer program (PG1; PG2) comprising instructions for carrying out the steps of a method according to any one of claims 1 at 12.
15. Serveur d'authentification (SA ; SS), comprenant : 15. Authentication server (SA; SS), comprising:
- un module de réception (M20) apte à recevoir, en provenance d'un serveur d'accès à un service, une requête d'authentification comprenant des données de transaction associées à une carte à puce ;  a reception module (M20) capable of receiving, from a service access server, an authentication request comprising transaction data associated with a smart card;
- un module de détermination (M22) pour déterminer si un code de sécurité inclus dans les données de transaction est de type DCW ; et  a determination module (M22) for determining whether a security code included in the transaction data is of the DCW type; and
- un module de détection (M24) et un module de vérification (M26), dans lequel, si le code de sécurité est déterminé comme étant de type DCW : o le module de détection est configuré pour bloquer la réalisation d'une authentification 3DS de ladite carte à puce ; et a detection module (M24) and a verification module (M26), in which, if the security code is determined to be of DCW type: o the detection module is configured to block the achievement of a 3DS authentication of said smart card; and
o le module de vérification est configuré pour coopérer avec un serveur de vérification pour vérifier la validité du code de sécurité DCW.  o The verification module is configured to cooperate with a verification server to verify the validity of the DCW security code.
16. Serveur d'accès (SW) à un service, comprenant : 16. Access server (SW) to a service, comprising:
- un module de réception (M2) pour recevoir des données de transaction associées à une carte à puce lors d'une transaction avec le serveur d'accès ;  a receiving module (M2) for receiving transaction data associated with a smart card during a transaction with the access server;
- un module de transmission (M4) pour transmettre les données de transaction à un serveur d'authentification pour demander une authentification de la transaction selon le protocole 3DS ; et  a transmission module (M4) for transmitting the transaction data to an authentication server to request authentication of the transaction according to the 3DS protocol; and
- un module de détermination (M6) pour déterminer, à partir d'un message reçu du serveur d'authentification, qu'aucune authentification selon le protocole 3DS ne doit être réalisée si la carte à puce est de type DCW.  a determination module (M6) for determining, from a message received from the authentication server, that no authentication according to the 3DS protocol is to be performed if the smart card is of the DCW type.
EP16829414.8A 2015-12-22 2016-12-21 Authentication method Withdrawn EP3394812A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1563034A FR3045877B1 (en) 2015-12-22 2015-12-22 AUTHENTICATION METHOD
PCT/FR2016/053604 WO2017109405A1 (en) 2015-12-22 2016-12-21 Authentication method

Publications (1)

Publication Number Publication Date
EP3394812A1 true EP3394812A1 (en) 2018-10-31

Family

ID=56068985

Family Applications (1)

Application Number Title Priority Date Filing Date
EP16829414.8A Withdrawn EP3394812A1 (en) 2015-12-22 2016-12-21 Authentication method

Country Status (5)

Country Link
US (1) US10909530B2 (en)
EP (1) EP3394812A1 (en)
CN (1) CN108701304B (en)
FR (1) FR3045877B1 (en)
WO (1) WO2017109405A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017222434A1 (en) * 2017-12-12 2019-06-13 Audi Ag Method for authenticating a motor vehicle
US11704632B2 (en) 2020-12-17 2023-07-18 Marqeta, Inc. Computer transaction security with delegated decisions

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7740168B2 (en) * 2003-08-18 2010-06-22 Visa U.S.A. Inc. Method and system for generating a dynamic verification value
US7761374B2 (en) * 2003-08-18 2010-07-20 Visa International Service Association Method and system for generating a dynamic verification value
US9251637B2 (en) * 2006-11-15 2016-02-02 Bank Of America Corporation Method and apparatus for using at least a portion of a one-time password as a dynamic card verification value
FR2914763B1 (en) * 2007-04-06 2013-02-15 Grp Des Cartes Bancaires DYNAMIC CRYPTOGRAM
US8359630B2 (en) * 2007-08-20 2013-01-22 Visa U.S.A. Inc. Method and system for implementing a dynamic verification value
US20100179909A1 (en) * 2009-01-14 2010-07-15 Jubin Dana User defined udk
US9105027B2 (en) * 2009-05-15 2015-08-11 Visa International Service Association Verification of portable consumer device for secure services
US10255601B2 (en) * 2010-02-25 2019-04-09 Visa International Service Association Multifactor authentication using a directory server
BR112014008941A2 (en) * 2011-10-12 2017-05-02 C-Sam Inc platform that enables secure multilayer mobile transactions
EP2997532A4 (en) * 2013-05-15 2016-05-11 Visa Int Service Ass Mobile tokenization hub
WO2015013522A1 (en) * 2013-07-24 2015-01-29 Visa International Service Association Systems and methods for communicating risk using token assurance data
US10496986B2 (en) * 2013-08-08 2019-12-03 Visa International Service Association Multi-network tokenization processing
US10223694B2 (en) * 2013-09-10 2019-03-05 Visa International Service Association Mobile payment application provisioning and personalization on a mobile device
US20150161612A1 (en) * 2013-12-05 2015-06-11 Mastercard International Incorporated Method and system for network based dynamic cvc authentication
US20150371234A1 (en) * 2014-02-21 2015-12-24 Looppay, Inc. Methods, devices, and systems for secure provisioning, transmission, and authentication of payment data
US10102529B2 (en) * 2014-03-05 2018-10-16 Mastercard International Incorporated Method and system for secure consumer identification
SG11201609220YA (en) * 2014-05-07 2016-12-29 Visa Int Service Ass Enhanced data interface for contactless communications
US10360558B2 (en) * 2015-03-17 2019-07-23 Ca, Inc. Simplified two factor authentication for mobile payments
EP3073429A1 (en) * 2015-03-26 2016-09-28 Gemalto Sa A method to validate a dynamic security code in a payment transaction

Also Published As

Publication number Publication date
US10909530B2 (en) 2021-02-02
CN108701304B (en) 2021-09-03
CN108701304A (en) 2018-10-23
FR3045877A1 (en) 2017-06-23
US20190005490A1 (en) 2019-01-03
WO2017109405A1 (en) 2017-06-29
FR3045877B1 (en) 2018-07-27

Similar Documents

Publication Publication Date Title
EP3113099B1 (en) Payment container, creation method, processing method, devices and programs therefor
EP3455812B1 (en) Method for securing an electronic device, and corresponding electronic device
EP3446436B1 (en) Method for obtaining a security token by a mobile terminal
EP3189485A1 (en) Electronic ticket management
WO2020064890A1 (en) Method for processing a transaction, device, system and corresponding program
EP3465584A1 (en) Method for securing an electronic device and corresponding electronic device
WO2001086601A1 (en) Method for authenticating a portable object, corresponding portable object, and apparatus therefor
WO2017109405A1 (en) Authentication method
EP3234848B1 (en) Method of dispatching an item of security information and electronic device able to implement such a method
EP3588418A1 (en) Method for conducting a transaction, terminal, server and corresponding computer program
WO2020128240A1 (en) Processing of an electronic ticket service
FR3061586A1 (en) METHOD FOR CONTROLLING USE HABITS AND ELECTRONIC DEVICE CAPABLE OF IMPLEMENTING SUCH A METHOD
FR3052895A1 (en) METHOD FOR SENDING SECURITY INFORMATION
EP3395042B1 (en) Authentication server for controlling access to a service
EP3570238B1 (en) Method for conducting a transaction, terminal, server and corresponding computer program
WO2008053095A1 (en) Portable electronic entity and method for remotely blocking a functionality of said portable electronic entity
FR3055761A1 (en) METHOD FOR CONTROLLING AN ELECTRONIC DEVICE AND CORRESPONDING ELECTRONIC DEVICE
WO2017005644A1 (en) Method and system for controlling access to a service via a mobile media without a trusted intermediary
WO2018011514A1 (en) Method for controlling an electronic device for processing a transaction
EP3912065A1 (en) Authorization for the loading of an application onto a security element
FR3076027A1 (en) SECURING THE PROCESSING OF A TRANSACTION
FR2857135A1 (en) Electronic payment system, has chip card readers for transferring electronic currency from chip card transmitter towards chip card receiver based on predetermined distribution rule that is stored in storing unit
FR2998398A1 (en) Method for activating on-line payment service from e.g. near field communication integrated tablet personal computer, involves starting subscription process by administration server from unique identifier if checking of sign is positive

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20180618

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20200318

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTG Intention to grant announced

Effective date: 20230301

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20230712