EP1649657A1 - Method and device for guaranteeing a user to a service provider - Google Patents

Method and device for guaranteeing a user to a service provider

Info

Publication number
EP1649657A1
EP1649657A1 EP03758197A EP03758197A EP1649657A1 EP 1649657 A1 EP1649657 A1 EP 1649657A1 EP 03758197 A EP03758197 A EP 03758197A EP 03758197 A EP03758197 A EP 03758197A EP 1649657 A1 EP1649657 A1 EP 1649657A1
Authority
EP
European Patent Office
Prior art keywords
accreditation
user
message
provider
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP03758197A
Other languages
German (de)
French (fr)
Inventor
Laurent Mainard
Jean-Michel Crom
Valérie MERCIER
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of EP1649657A1 publication Critical patent/EP1649657A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Definitions

  • the present invention relates to a method and a device for authenticating access to a plurality of services through a telecommunications network and a method and a device for transferring accreditation messages. More specifically, the invention is in the field of unique authentication to service providers such as electronic messaging or email in Anglo-Saxon terminology, news groups or News Group in Anglo-Saxon terminology, servers private or other information via a network such as the Internet.
  • service providers such as electronic messaging or email in Anglo-Saxon terminology, news groups or News Group in Anglo-Saxon terminology, servers private or other information via a network such as the Internet.
  • User authentication allows access to a service or resources to be limited to only authorized persons for reasons of confidentiality or because the service is chargeable.
  • the authentication of a user to a service also makes it possible to personalize the service rendered to the identified user.
  • User authentication is a process that allows a user to prove their identity to a verification entity.
  • the proof is provided by the user by providing the verification entity with a password that he previously obtained during registration.
  • An identity provider is an entity capable of creating, managing identities associated with users of services, managing rights of use of a service and providing, as a verification entity, an authentication service for these services. .
  • the password is either assigned by the identity provider or chosen by the user.
  • Other types of evidence also exist. These are, for example, authentication from magnetic or smart cards or from a specificity of the user such as his fingerprint, his voice, the features of his face or the iris of one of his eyes. . Today, it is common for the same user to subscribe to a large number of services.
  • the identity provider or Identity Provider in English created, manages identities associated with service users, manages rights to use a service and provides an authentication service for these services.
  • the service provider provides services over the Internet. It is for example a service provider such as a server of a banking establishment or a server capable of making flight reservations for an airline, vehicle reservations for a vehicle rental company.
  • a circle of trust or Circle of Trust in English is a set of identity providers and service providers sharing the identity provider between them and with which the users can carry out secure transactions.
  • a user of a service provider of a trust circle can use his identification with the other service providers of the same trust circle. The user accesses this system through their HTTP browser.
  • the communication protocol used between the HTTP browser and the identity and / or service provider is the HTTP protocol.
  • HTTP is the acronym for Hypertext Transfer Protocol or hyper text transfer protocol.
  • the user connects via his HTTP browser and the Internet to a service provider and the service provider redirects the latter to an identity provider.
  • the identity provider authenticates the user according to a standard registration by password and delivers in return an accreditation while redirecting the HTTP browser to the access provider to which the user had previously connected.
  • the accreditation is thus transmitted to the service provider in a transparent manner for the user to the provider.
  • the accreditation includes, among other things, the identity of the user and proves that the user has been authenticated by the identity provider. This accreditation thus allows the service provider to authenticate the user and authorize user access to the services he offers or to transfer to the user a personalized WEB page.
  • the accreditation is transferred from the identity provider to the HTTP browser in the form of a set of information, more precisely information of reduced size. This reduced-size information is known by the name
  • Cookies are stored on the hard drive of the user's computer by the HTTP browser. The information stored in the cookie is then transmitted by the user's HTTP browser to the service provider. It is accreditation.
  • the system as proposed by the Liberty Alliance project is a system based on the use of the HTTP communication protocol and Cookies.
  • the identity provider must in this case be able to process the various commands of these HTTP browsers, which makes the creation of such a browser more complex.
  • the user when the user wishes to connect to an electronic mail server or a news server, the latter must nevertheless authenticate in a conventional manner to these servers.
  • the invention aims to solve the drawbacks of the prior art by proposing a method of transferring information by client software of a telecommunications terminal for the accreditation of a user of the telecommunications terminal to a supplier of services, the client software being connected to the service provider via a telecommunication network, an identity provider being accessible by software accessing inter alia the identity provider of the telecommunication terminal via a telecommunication network, characterized in that that the method comprises the steps of generation by the client software of a message intended for the software accessing inter alia the identity provider of the telecommunication terminal to obtain an accreditation of the identity provider, of obtaining by the client software d '' an accreditation of the identity provider of the software accessing inter alia the identity provider of the telecommunications terminal, and of generation by the client software of at least one message intended for the service provider, the message comprising at least information of the accreditation obtained.
  • the invention provides a device for transferring information by client software of a telecommunication terminal for the accreditation of a user of the telecommunication terminal to a service provider, the client software being linked to the service provider.
  • an identity supplier being accessible by software accessing, inter alia, the identity supplier of the telecommunications terminal by means of a telecommunications network
  • the device includes means by the client software for generating a message intended for the software accessing, inter alia, the identity provider of the telecommunications terminal in order to obtain accreditation from the identity provider, means for obtaining, by the client software, accreditation from the software identity provider accessing, among other things, the identities of the telecommunication terminal, and means of generation by the client software of at least one message intended for the service provider, the message comprising at least information of the accreditation obtained.
  • the user of a telecommunications terminal comprising the present invention no longer has to communicate his username and password to each service provider and to each access to the service providers, this is done automatically, and without any user intervention.
  • the tasks of the user are thus simplified, the user only has to register once with the identity provider by communicating his username and password.
  • a telecommunication terminal comprises a plurality of software capable of accessing an identity provider, only one of these software has access to the service provider. This improves the performance of the accreditation system and also allows access to the identity provider with the most suitable software.
  • the information exchanged between the client software of the telecommunication terminal and the service provider conforms to a first communication protocol and the information exchanged between the software accessing inter alia the identity provider of the telecommunication terminal and the provider of identities conform to a second communication protocol different from the first protocol.
  • the client software activates the software accessing inter alia the identity provider of the telecommunication terminal.
  • the tasks of the user are simplified, all these operations are carried out automatically and without intervention of the latter.
  • the information on the accreditation obtained is an accreditation code.
  • the message generated by the client software intended for the software accessing, inter alia, the identity provider of the telecommunications terminal comprises an identifier of the user of the telecommunications terminal, an identifier of the service provider and an identifier of the provider d 'identities.
  • the software accessing, inter alia, the identity provider has all the information necessary for accreditation by the identity provider of the telecommunications terminal user. More particularly, the software accessing inter alia the identity provider generates at least one message intended for the identity provider comprising at least the identifier of the user of the telecommunications terminal and the identifier of the service provider, obtains a accreditation of the identity provider, the accreditation being in the form of a cookie comprising the identity of the user, the identity of the identity provider, the identity of the service provider and an accreditation code and transfers at least the client software accreditation code.
  • the transfer of information between the software accessing inter alia the identity provider and the identity provider remains in accordance with single authentication systems such as the system proposed by the Liberty Alliance project.
  • the information exchanged between the software accessing inter alia the identity provider of the telecommunication terminal and the identity provider conforms to the HTTP protocol and in that the software accessing inter alia the identity provider of the telecommunication terminal is Browser
  • the information exchanged between the client software of the telecommunications terminal and the service provider conforms to an SMTP protocol or to an NNTP protocol or to a POP3 protocol or to an IMAP protocol or to an XMPP protocol, or to a protocol SIP or H323 protocol.
  • the service provider determines in the received message the presence of an accreditation code issued by an identity provider, if an accreditation code is present in the received message, the service provider checks the conformity of the accreditation code and authorizes the user of the telecommunications terminal to access at least one service of the service provider and if an accreditation code is not present in the message, the service provider checks the conformity of a password associated with the user and authorizes the user of the telecommunications terminal to access at least one service of the service provider.
  • the invention also relates to a method for processing an accreditation message of a user of a telecommunications terminal by a service provider, the accreditation message being transferred by client software of the telecommunications terminal via a telecommunications network in accordance with a communication protocol, characterized in that the method comprises the steps of determining in the message received the presence of an accreditation code issued by a supplier 'identities, if an accreditation code is present in the message received, of verification of the conformity of the accreditation code and authorization of the user of the telecommunications terminal to access at least one service of the service provider and if a accreditation code is not present in the message, verification of the conformity of a password associated with the user and authorization of the user of the telecommunications terminal to access at least one service of the service provider .
  • the invention provides a device for transferring information by client software of a telecommunication terminal for the accreditation of a user of the telecommunication terminal to a service provider, the client software being linked to the service provider. via a telecommunication network, the information exchanged between client software of the telecommunication terminal and the service provider conforming to a first communication protocol, an identity provider being accessible by software accessing inter alia the identity provider of the telecommunication terminal via a telecommunication network, characterized in that the information exchanged between the software accessing inter alia the identity provider of the telecommunication terminal and the identity provider conforms to a second different communication protocol of the first protocol and in that the device comprises means for generating a message intended for the software accessing inter alia the identity provider of the telecommunication terminal to obtain accreditation from the identity provider, means for obtaining '' an accreditation of the identity provider of the software accessing inter alia the identity provider of the telecommunications terminal and means for generating at least one message intended for the service provider, the message comprising at least information from the accreditation
  • the service provider is able to process accreditations in accordance with the present invention while remaining compatible with authentications by communication of identifier and password.
  • the accreditation code is included in a message field intended to include a password for the user of the telecommunications terminal.
  • the verification of the conformity of the accreditation code is carried out by decrypting said identification code or by questioning the identity provider to obtain confirmation of said accreditation.
  • the invention also relates to computer programs stored on an information medium, said programs comprising instructions making it possible to implement the methods described above, when they are loaded and executed by a computer system.
  • FIG. 1 represents the telecommunications system in which the single authentication process is implemented and in which at least two service providers offer services to users according to different communication protocols;
  • Fig. 2 shows the block diagram of a telecommunications terminal according to the invention;
  • Fig. 3 shows a service provider according to the invention;
  • Fig. 4 shows the algorithm performed by the telecommunication device according to the invention;
  • Fig. 5 shows the algorithm performed by the service provider according to the invention.
  • Fig. 1 shows the telecommunications system in which the single authentication process is implemented and in which at least two service providers offer services to users according to different communication protocols.
  • the communication system 100 consists of at least one telecommunication terminal 10 which accesses, via client software 11, 12 and software 13 accessing inter alia the identity provider 16 via a network of telecommunications such as the Internet 120, to service providers 14, 15, 17 and 18. Access to these service providers is subject to user accreditation by an identity provider 16.
  • the service provider 14 is for example a server for exchanging news or discussion forums.
  • the user of the telecommunications terminal 10 communicates via his news exchange client software 11 with the news exchange server 14 in accordance with the NNTP protocol.
  • the NNTP protocol acronym for Network News Transfer Protocol
  • the NNTP protocol is a protocol which ensures the exchange of news between the news exchange server 14 and the news exchange client software of the telecommunications terminal 10 for both reading and for writing short stories.
  • the NNTP protocol is a protocol from an IETF organization, acronym for the Internet Engineering Task Force, it complies with RFC 977, RFC being the acronym for Requests For Comments.
  • the service provider 15 is for example an electronic mail server.
  • the user of the telecommunications terminal 10 communicates via his electronic messaging client software 12 with the electronic messaging server in accordance with the SMTP protocol.
  • the SMTP protocol acronym for Simple Mail Transfer Protocol, is a protocol which ensures the exchange of electronic messages between the electronic mail server 15 and the telecommunications terminal 10 for both reading and reading.
  • the SMTP protocol is also a protocol originating from an IETF organization, it complies with RFC 821. It should be noted here that, as a variant, the user of the telecommunications terminal 10 communicates via his messaging client software 12 with the e-mail server in accordance with the POP3 or IMAP4 protocol.
  • the POP protocol acronym for Post Office Protocol or post office protocol allows a user of a telecommunication terminal 10 to consult his electronic mail on the electronic mail server 15. This protocol allows users of telecommunication terminals that are not permanently connected to the telecommunication network 120 to collect the e-mails they received in their mailbox when they were not connected to the telecommunication network 120.
  • the POP3 protocol also manages user authentication using a user name and password.
  • the IMAP protocol acronym for Internet Mail Access Protocol or Internet Mail Access Protocol is a protocol offering many more possibilities than the POP 3 protocol.
  • the IMAP protocol allows for example to manage several accesses to a mailbox simultaneously, it It also allows you to manage several mailboxes simultaneously and it also allows you to sort emails by different criteria.
  • the POP3 protocol is also a protocol originating from an IETF organization, it complies with RFC 1939.
  • the IMAP protocol is also a protocol originating from an IETF organization, it complies with RFC 2060 and 2061.
  • the service provider 17 is by an example a server of a banking establishment. The user of the telecommunications terminal 10 communicates via the HTTP browser 13 with the service provider 17 according to the HTTP protocol.
  • the service provider 18 is, for example, a server capable of making flight reservations for an airline.
  • the user of the telecommunications terminal 10 communicates via the HTTP browser 13 with the service provider 18 according to the HTTP protocol.
  • the HTTP protocol is also a protocol originating from an IETF organization, it complies with RFC 2816.
  • the identity provider 16 creates, manages and maintains the identities associated with users and provides an authentication service.
  • the identity provider 16 is linked to a local or remote database 19. This database contains all the identifiers of the users who have been previously registered as well as information representative of the access rights of these users to the various service providers 14, 15, 17 and 18. These access rights are obtained by exchanges of information noted 130 in FIG. 1 between the different service providers 14, 15, 17 and 18 and the identity provider 16.
  • the user of the telecommunications terminal 10 when the user of the telecommunications terminal 10 is authorized to access the electronic mail server 15, this information is stored in the database 19.
  • the user of the telecommunications terminal 10 communicates via the HTTP browser 13 with the identity provider 16 according to the HTTP protocol.
  • the exchanges between the browser 13 and the service providers 17 and 18 and the identity provider 16 are for example in accordance with those as described in the Liberty Alliance project.
  • the electronic messaging client software 12 when the user of the telecommunications terminal 10 wishes to connect to the service provider 15, the electronic messaging client software 12 generates a request 101 intended for the HTTP browser 13 to obtain accreditation from the electronic messaging server. 15.
  • the HTTP browser 13 transfers to the electronic mail client software 12 the accreditation 104 obtained from the identity provider 16 in the form of a Cookie. Accreditation is obtained by the HTTP 13 browser by generating a request
  • HTTP 102 to the identity provider 16 which after consulting the database 19 transfers the accreditation 103 in the form of a cookie to the HTTP browser 13.
  • the accreditation 103 or part of the information contained in the cookie received is then transferred to the electronic mail client software 12 which then transfers this accreditation message to the electronic mail server 15 in a form adapted to the SMNP communication protocol.
  • the electronic mail server 15 on the basis of this accreditation message, authorizes the user of the telecommunication terminal 10 to access its services, without any user and password input.
  • the client software 11 and 12 can also alternatively use protocols such as the SIP protocol, XMPP or the H323 protocol.
  • SIP is the acronym for Session Initiation Protocol or signaling and intermediation protocol defined by LTETF.
  • XMPP is the acronym for eXtented Message and Presence Protocol as proposed to 1TETF.
  • H323 is a recommendation from the International Telecommunication Union for multimedia communication systems.
  • Fig. 2 shows the block diagram of a telecommunications terminal according to the invention.
  • the telecommunications terminal 10 is adapted to operate in a single accreditation system for service providers 14, 15, 17 and 18 able to exchange information according to different communication protocols.
  • the telecommunications terminal 10 is for example a microcomputer. It can also be integrated into a personal assistant or a mobile phone.
  • the telecommunications terminal 10 comprises a communication bus 201 to which a central unit 200, a read only memory 202, a random access memory are connected.
  • the hard disk 208 stores the program implementing the invention which will be described later with reference to FIG. 4, as well as the data allowing the unique accreditation according to the invention. These data are, among other things, the different accreditations to service providers 14, 15, 17 and 18.
  • the hard disk 208 also stores the HTTP navigation software 13, the email client software 12 and the client software for exchanging news 11
  • the programs implementing the invention can also be read via the compact disc player 209 or received via the telecommunications network 120. More generally, the programs according to the present invention are stored in a storage means. .
  • This storage means can be read by a computer or a microprocessor 200. This storage means is integrated or not in the device, and can be removable. It should be noted that when the telecommunications terminal is a personal assistant known under the term PDA, or a mobile telephone, the hard disk 208 is replaced by an information storage means such as for example a memory of SDRAM type.
  • PDA personal assistant
  • the telecommunications terminal 10 is powered up, or when one of the client software 11 or 12 is launched, the programs according to the present invention are transferred into the random access memory 203 which then contains the executable code of the invention as well as the data necessary for the implementation of the invention.
  • the telecommunication terminal 10 comprises a screen 204 capable of reproducing the information received from the service providers 14, 15, 17 and 18.
  • the screen 204 is also an element of the man-machine interface of the telecommunication terminal 10 for the first identification and authentication of the user of the telecommunications terminal 10.
  • the telecommunications terminal 10 also includes a keyboard 205 also serving as a man-machine interface. By means of this keyboard 205, the user can enter his password during his first authentication with the identity provider 16. It should be noted here that the keyboard 205 can also be replaced by a touch screen , a mouse, or any other type of human-machine interface.
  • the telecommunication terminal also comprises means for capturing fingerprints or means for obtaining characteristics of a pupil of the user of the telecommunication terminal 10. For the sake of clarity, the means for capturing fingerprints and characteristics of a pupil of the user are not shown in FIG.
  • the service provider is for example the electronic mail server 15.
  • the news exchange server 14 being identical to the electronic mail server 15, it will not be described.
  • the electronic messaging server 15 is for example a microcomputer. It can also be integrated into a personal assistant or a mobile phone.
  • the electronic messaging server 15 comprises a communication bus 301 to which a central unit 300, a read-only memory 302, a random access memory 303, a hard disk 308, a compact disc or CD player / recorder 309, a communication interface are connected.
  • 306 with a telecommunications network such as the Internet 120.
  • the hard disk 308 stores the program implementing the invention which will be described later with reference to FIG. 5.
  • the program implementing the invention can also be read via the compact disc player 309 or received via the telecommunications network 120.
  • the hard drive 308 also stores the emails of users of telecommunications terminals subscribed to its services as well as information to authenticate these users. This information is user identifiers with their associated passwords or, according to the invention, information enabling validation of the accreditation received according to the invention.
  • the programs according to the present invention are stored in a storage means.
  • This storage means can be read by a computer or a microprocessor 300. This storage means is integrated or not into the device, and can be removable.
  • the input-output interface 306 is a communication interface capable of ensuring the exchange of information via the Internet network 120 with users of telecommunications terminals.
  • the input-output interface 306 ensures these exchanges of information in accordance with the SMTP protocol. It should be noted that, as a variant, the input-output interface 306 ensures these exchanges of information in accordance with the POP3 protocol or the IMAP protocol.
  • Fig. 4 shows the algorithm performed by the telecommunications device according to the invention.
  • the processor 200 of the telecommunications terminal 10 reads, from the memory 202, the instructions of the program corresponding to steps E400 to E409 of FIG. 4 and loads them into random access memory 203 to execute them.
  • step E400 for example the electronic messaging client software 12
  • the processor 200 of the telecommunications terminal 10 proceeds to the next step E401.
  • the processor 200 checks whether the HTTP navigation software 13 of the telecommunications terminal 10 is activated. If the HTTP browser 13 is not activated, the processor 200 generates in step E402 a command for the activation of the latter. This operation carried out or if the HTTP browser 13 is already activated, the processor 200 goes to the next step E403. At this stage, a request noted 101 in FIG.
  • This request is transferred from the electronic messaging client software 12 to the HTTP browser 13.
  • This request is transferred for example by means of messages from applications to applications managed by the operating system of the telecommunications terminal 10.
  • This request includes the identifier of the user, for example his electronic mail address mdupont@wanadoo.fr, an identifier such as the address of the service provider 15 smtp-smtp.wanadoo.fr and an identifier such as the address of the identity provider 16 pau.wanadoo.fr.
  • the address of the identity provider 16 was previously obtained by the email client software 12 during previous exchanges in accordance with the SMTP protocol with the email server 15.
  • the HTTP browser 13 transfers a request denoted 102 in FIG.
  • the identity provider 16 determines from the identifier of the user and more precisely from the electronic mail address of the user of the telecommunications terminal 10 whether or not the latter is authorized to access the service provider whose address is contained in request 102.
  • the identity provider 16 interrogates with this information the database 19 of FIG. 1 and thus determines whether the user of the telecommunications terminal 10 is authorized or not to access the service of the electronic messaging server 15.
  • the identity provider 16 enters an identification and authentication procedure with the HTTP browser 13 with the user entering his identifier and a password.
  • the identity provider 16 in response to the request 102 received in step E404 transfers an HTTP message noted 103 in FIG. 1 intended for the HTTP browser 13.
  • the HTTP browser 13 on receipt of the message 103 checks whether this message is an accreditation message.
  • the accreditation message is, according to our example, a Cookie comprising inter alia the identity of the user of the telecommunications terminal 10, the identity of the identity provider, the identity of the service requested and an accreditation code.
  • step E406 If the identity provider 16 refuses access by the user of the telecommunications terminal 10 to the electronic messaging server 16, the processor 200 goes to step E406 and generates a message intended for the screen 204 informing the user of the telecommunication terminal 10 of the rejection of the request for access to the electronic mail server 16.
  • the algorithm of FIG. 4 stops and the processor 200 returns to step E400 awaiting a new activation of client software, for example the client software for exchanging news 11.
  • the processor 200 passes to step E407.
  • the HTTP browser 13 transfers to the electronic messaging client software 12 a message noted 104 in FIG. 1.
  • This message can be the Cookie previously received from the identity provider 16 or only part of the information contained in the Cookie received, such as for example the accreditation code.
  • steps E404, E405, E406 and E407 are steps performed by the HTTP browser 13.
  • the http browser 13 can include these steps during its creation or these same steps can be added to an HTTP browser which comes connect to existing software and that improves the functionality of the program to which it connects.
  • the electronic messaging client software 12 On receipt of the message 104, the electronic messaging client software 12 generates in step E408 an authentication message noted 105 in FIG. 1 conforms to the SMTP protocol intended for the electronic mail server 15. As a variant, the authentication message 105 conforms to the POP3 protocol or to the IMAP protocol.
  • This authentication message includes the identity of the user of the telecommunications terminal as well as the accreditation code previously transferred by the identity provider 16.
  • the accreditation code replaces for example the classic password of the user of the telecommunication terminal 10.
  • the user of the terminal telecommunications 10 has access to step E409 to the services offered by the service provider 15.
  • the user of the telecommunications terminal 10 accesses his electronic mail.
  • the algorithm of FIG. 4 has been described according to the example of access to an electronic mail server.
  • the news exchange client software 11 is activated, the steps E400 to E409 are iterated in the same manner as that previously described.
  • the news exchange client software 11 generates in step E408 an authentication message conforming to the NNTP protocol intended for the news exchange server 14.
  • This authentication message comprises the identity of the user of the terminal as well as an accreditation code previously transferred by the identity provider 16.
  • the accreditation code replaces for example the classic password of the user of the telecommunication terminal 10.
  • the client software during the activation of the client software in step E400, the client software generates a request intended for a service provider via the telecommunications network 10 which in response redirects this message to the http browser 13 of the telecommunications terminal 10.
  • the service provider redirects the message, the address of the identity provider 16 is added to it who he is associated with.
  • Fig. 5 shows the algorithm performed by the service provider according to the invention.
  • the processor 300 of the service provider 14 or 15 reads, from the memory 302, the instructions of the program corresponding to steps E500 to E504 of FIG. 5 and loads them into RAM 303 to execute them.
  • the service provider for example the electronic messaging server 15 receives a message from the electronic messaging client software 12. This message conforms to the message previously described in step E408 of FIG. 4. This message conforms to the SMTP protocol or alternatively to the POP3 or IMAP protocol.
  • the processor 300 goes to the next step E501. At this stage, the processor 300 determines the type of information contained in the message received.
  • the service provider is able to process conventional authentication of the identifier and password type
  • the service provider is also able to process authentication comprising an accreditation code issued by a service provider. identities operating in a protocol different from the communication protocol used by the service provider.
  • the accreditation code is, in the message, in place of the password of the user of the telecommunications terminal 10 wishing to access the services provided by the service provider.
  • the processor 300 determines in the received message whether or not an accreditation code is included in the message. If not, the processor 300 goes to step E502 and enters into a conventional procedure for identifying and authenticating the user of telecommunication terminal 10 with information of the identifier and password type.
  • step E504. If an accreditation code is included in the message, the processor 300 goes to step E503. At this stage, the processor 300 uses a decryption key and decodes the accreditation code. If the decoded accreditation code conforms to information previously exchanged between the electronic messaging server 15 and the identity provider 16, the processor goes to step E504. It should be noted that, as a variant, the processor 300 does not decrypt the accreditation code and generates a validation request message represented by the link 130 in FIG. 1 to the identity provider 16. If the identity provider validates this message, the processor 300 goes to step E504. In step E504, the electronic messaging server 15 authorizes the user of the telecommunication terminal 10 to access the memorized mailbox.
  • the algorithm of FIG. 5 has been described according to the example of access to an electronic mail server.
  • steps E500 to E504 are iterated in the same way by the news exchange server 14 as that previously described.
  • the messages passing between the news exchange server 14 and the news exchange client software 11 are in accordance with the NNTP protocol.
  • the present invention is not limited to the embodiments described here, but encompasses, quite the contrary, any variant within the reach of ordinary skill in the art.
  • the client software is linked to the service providers 14 or 15 via an Internet telecommunications network 120.
  • the invention is also applicable in the context of a local telecommunications network, such as a corporate intranet.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer And Data Communications (AREA)

Abstract

The invention concerns a method and a device for transferring data through a client software of a telecommunication terminal to guarantee a user of the telecommunication terminal to a service provider, the client software being connected to the service provider via a telecommunication network, an identity supplier being accessible via a software accessing inter alia the identity supplier of the telecommunication terminal via a telecommunication network. The method consists in generating a message addressed to the software accessing inter alia the identity supplier to obtain a guarantee from the identity supplier, in obtaining a guarantee from the identity supplier through the software accessing inter alia the identity supplier of the telecommunication terminal and in generating at least one message addressed to the service provider, the message comprising at least data concerning the guarantee obtained.

Description

Procédé et dispositif d'accréditation d'un utilisateur à un fournisseur de services Method and device for accrediting a user to a service provider
La présente invention concerne un procédé et un dispositif d'authentification d'accès à une pluralité de services à travers un réseau de télécommunication et un procédé et un dispositif de transfert de messages d'accréditation. Plus précisément, l'invention se situe dans le domaine de l'authentifi cation unique à des fournisseurs de services tels que la messagerie électronique ou email en terminologie anglo-saxonne, les groupes de nouvelles ou News Group en terminologie anglo-saxonne, des serveurs d'informations privées ou autres par l'intermédiaire d'un réseau tel que le réseau Internet. L'authentification d'un utilisateur permet de limiter l'accès à un service ou à des ressources aux seules personnes autorisées pour des raisons de confidentialité ou parce que le service est payant. L'authentification d'un utilisateur à un service permet aussi de personnaliser le service rendu à l'utilisateur identifié. L'authentification d'un utilisateur est un processus qui permet à un utilisateur de prouver, à une entité de vérification, son identité. Généralement, dans le cadre de services Internet la preuve est fournie par l'utilisateur en fournissant à l'entité de vérification un mot de passe qu'il a préalablement obtenu lors d'une inscription. Un fournisseur d'identités est une entité capable de créer, de gérer des identités associées à des utilisateurs de services, de gérer des droits d'utilisation d'un service et de fournir comme une entité de vérification un service d'authentification pour ces services. Lors de l'inscription de l'utilisateur au service, le mot de passe est, soit attribué par le fournisseur d'identités, soit choisi par l'utilisateur. D'autres types de preuves existent aussi. Ce sont par exemple l'authentification à partir de cartes magnétiques ou à puces ou à partir d'une spécificité de l'utilisateur telle que son empreinte digitale, sa voix, les traits de son visage ou l'iris d'un de ses yeux. Aujourd'hui, il est courant qu'un même utilisateur souscrive à un grand nombre de services. Dans ce contexte de prolifération de ces procédures d'authentification, l'utilisateur a de plus en plus de mal à gérer et à mémoriser la liste des mots de passe lui permettant de s'identifier et de s'authentifier auprès des services auxquels il souscrit. Afin de résoudre ce problème, sont apparus des processus d'authentification unique. Ces processus d'authentification unique PAU sont connus en anglais sous le terme SSO, acronyme de Single Sign On. Ces processus sont destinés à simplifier les tâches de l'utilisateur en ne lui demandant de s'identifier et de s'authentifier explicitement qu'une seule fois. A la suite de quoi l'accès à un ensemble de services est accordé automatiquement. Le projet Liberty Alliance, créé en novembre 2001, tente de spécifier un système ouvert et décentralisé de processus d'authentification unique et de gestion des identités sur le réseau de télécommunication Internet. Le projet Liberty Alliance spécifie trois éléments de base : un fournisseur d'identités, un fournisseur de services et un cercle de confiance. Le fournisseur d'identités ou Identity Provider en anglais, créé, gère des identités associées à des utilisateurs de services, gère des droits d'utilisation d'un service et fournit un service d'authentification pour ces services. Le fournisseur de services fournit des services sur le réseau Internet. C'est par exemple un fournisseur de services tel qu'un serveur d'un établissement bancaire ou un serveur apte à effectuer des réservations de vols pour une compagnie aérienne, des réservations de véhicules pour une compagnie de location de véhicules. Un cercle de confiance ou Circle of Trust en anglais est un ensemble de fournisseurs d'identités et de fournisseurs de services partageant le fournisseur d'identités entre eux et avec lesquels les utilisateurs peuvent effectuer des transactions sécurisées. Un utilisateur d'un fournisseur de services d'un cercle de confiance peut utiliser son identification avec les autres fournisseurs de services du même cercle de confiance. L'utilisateur accède à ce système par l'intermédiaire de son navigateur HTTP. Le protocole de communication utilisé entre le navigateur HTTP et le fournisseur d'identités et/ou de services est le protocole HTTP. HTTP est l'acronyme de Hypertext Transfer Protocol ou protocole de transfert hyper texte. Dans un tel système, l'utilisateur se connecte par l'intermédiaire de son navigateur HTTP et du réseau Internet à un fournisseur de services et le fournisseur de services redirige celui-ci vers un fournisseur d'identités. Le fournisseur d'identités authentifie l'utilisateur selon une inscription classique par mot de passe et délivre en retour une accréditation tout en redirigeant le navigateur HTTP vers le fournisseur d'accès auquel l'utilisateur s'était préalablement connecté. L'accréditation est ainsi transmise au fournisseur de services de manière transparente pour l'utilisateur au fournisseur. L'accréditation comporte entre autres, l'identité de l'utilisateur et prouve que celui-ci a été authentifié par le fournisseur d'identités. Cette accréditation permet ainsi au fournisseur de services d'authentifier l'utilisateur et d'autoriser l'accès de l'utilisateur aux services qu'il propose ou de transférer à l'utilisateur une page WEB personnalisée. L'accréditation est transférée du fournisseur d'identités au navigateur HTTP sous forme d'un ensemble d'informations, plus précisément des informations de taille réduite. Ces informations de taille réduite sont connues sous la dénominationThe present invention relates to a method and a device for authenticating access to a plurality of services through a telecommunications network and a method and a device for transferring accreditation messages. More specifically, the invention is in the field of unique authentication to service providers such as electronic messaging or email in Anglo-Saxon terminology, news groups or News Group in Anglo-Saxon terminology, servers private or other information via a network such as the Internet. User authentication allows access to a service or resources to be limited to only authorized persons for reasons of confidentiality or because the service is chargeable. The authentication of a user to a service also makes it possible to personalize the service rendered to the identified user. User authentication is a process that allows a user to prove their identity to a verification entity. Generally, in the context of Internet services, the proof is provided by the user by providing the verification entity with a password that he previously obtained during registration. An identity provider is an entity capable of creating, managing identities associated with users of services, managing rights of use of a service and providing, as a verification entity, an authentication service for these services. . When registering the user for the service, the password is either assigned by the identity provider or chosen by the user. Other types of evidence also exist. These are, for example, authentication from magnetic or smart cards or from a specificity of the user such as his fingerprint, his voice, the features of his face or the iris of one of his eyes. . Today, it is common for the same user to subscribe to a large number of services. In this context of proliferation of these authentication procedures, the user finds it increasingly difficult to manage and memorize the list of passwords allowing him to identify himself and authenticate himself to the services to which he subscribes. . In order to solve this problem, unique authentication processes have appeared. These PAU single authentication processes are known in English as SSO, acronym for Single Sign On. These processes are intended to simplify the tasks of the user by asking him to identify himself and to authenticate himself explicitly only once. Following which, access to a set of services is granted automatically. The Liberty Alliance project, created in November 2001, attempts to specify an open and decentralized system of single authentication and identity management processes on the Internet telecommunications network. The Liberty Alliance project specifies three basic elements: an identity provider, a service provider and a circle of trust. The identity provider or Identity Provider in English, created, manages identities associated with service users, manages rights to use a service and provides an authentication service for these services. The service provider provides services over the Internet. It is for example a service provider such as a server of a banking establishment or a server capable of making flight reservations for an airline, vehicle reservations for a vehicle rental company. A circle of trust or Circle of Trust in English is a set of identity providers and service providers sharing the identity provider between them and with which the users can carry out secure transactions. A user of a service provider of a trust circle can use his identification with the other service providers of the same trust circle. The user accesses this system through their HTTP browser. The communication protocol used between the HTTP browser and the identity and / or service provider is the HTTP protocol. HTTP is the acronym for Hypertext Transfer Protocol or hyper text transfer protocol. In such a system, the user connects via his HTTP browser and the Internet to a service provider and the service provider redirects the latter to an identity provider. The identity provider authenticates the user according to a standard registration by password and delivers in return an accreditation while redirecting the HTTP browser to the access provider to which the user had previously connected. The accreditation is thus transmitted to the service provider in a transparent manner for the user to the provider. The accreditation includes, among other things, the identity of the user and proves that the user has been authenticated by the identity provider. This accreditation thus allows the service provider to authenticate the user and authorize user access to the services he offers or to transfer to the user a personalized WEB page. The accreditation is transferred from the identity provider to the HTTP browser in the form of a set of information, more precisely information of reduced size. This reduced-size information is known by the name
« Cookie » sont mémorisées sur le disque dur de l'ordinateur de l'utilisateur par le navigateur HTTP. Les informations mémorisées dans le Cookie sont ensuite transmises par le navigateur HTTP de l'utilisateur au fournisseur de services. C'est l'accréditation. Ainsi, le système tel que proposé par le projet Liberty Alliance est un système basé sur l'utilisation du protocole de communication HTTP et de Cookies. De plus si un même terminal de télécommunication comporte une pluralité de navigateurs HTTP, il est n'est pas souhaitable que le fournisseur d'identités ait à échanger des informations avec chacun de ces navigateurs HTTP. En effet le fournisseur d'identités doit dans ce cas être apte à traiter les différentes commandes de ces navigateurs HTTP, ce qui rend la réalisation d'un tel navigateur plus complexe. Dans un tel système, lorsque l'utilisateur désire se connecter à un serveur de messagerie électronique ou un serveur de News, celui-ci doit néanmoins s'authentifier de manière classique à ces serveurs. En effet, ceux-ci étant basés sur des protocoles différents que le protocole HTTP et n'étant pas aptes à traiter des informations sous forme de Cookies, il n'est pas possible d'utiliser les fonctionnalités offertes par le système proposé par le projet Liberty Alliance. Le système d'authentification unique connu sous la dénomination « .NET Passport » ™ de la société Microsoft ™ permet par l'intermédiaire d'un unique couple adresse de messagerie et de mot de passe d'accéder aux différents fournisseurs de services et au serveur de messagerie électronique associé à ce système. Dans le système d'authentification « .NET Passport », chaque fournisseur de services de ce système doit rediriger les requêtes des utilisateurs vers un serveur central appelé serveur passeport qui effectue les mêmes tâches que le fournisseur d'identités du projet Liberty Alliance. Le système d'authentification « .NET Passport » utilise aussi le protocole HTTP ainsi que le mécanisme de « Cookie » précédemment décrit. Aussi, lorsque l'utilisateur désire se connecter à un serveur de messagerie électronique ou à un serveur de News basé sur un protocole différent de celui utilisé par « .NET Passport », celui-ci doit néanmoins s'authentifier de manière classique à ces serveurs. Ainsi, il n'existe pas, dans l'état de la technique, de système unifié au sein d'un même terminal de télécommunication permettant d'échanger des informations avec de tels processus d'authentifications uniques. De plus, l'état de la technique ne permet pas d'authentifier un utilisateur à de multiples fournisseurs de services utilisant différents protocoles de communication. L'invention a pour but de résoudre les inconvénients de l'art antérieur en proposant un procédé de transfert d'informations par un logiciel client d'un terminal de télécommunication pour l'accréditation d'un utilisateur du terminal de télécommunication à un fournisseur de services, le logiciel client étant relié au fournisseur de services par l'intermédiaire d'un réseau de télécommunication, un fournisseur d'identités étant accessible par un logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication par l'intermédiaire d'un réseau de télécommunication, caractérisé en ce que le procédé comporte les étapes de génération par le logiciel client d'un message à destination du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication pour obtenir une accréditation du fournisseur d'identités, d'obtention par le logiciel client d'une accréditation du fournisseur d'identités du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication, et de génération par le logiciel client d'au moins un message à destination du fournisseur de services, le message comprenant au moins des informations de l'accréditation obtenue. Corrélativement, l'invention propose un dispositif de transfert d'informations par un logiciel client d'un terminal de télécommunication pour l'accréditation d'un utilisateur du terminal de télécommunication à un fournisseur de services, le logiciel client étant relié au fournisseur de services par l'intermédiaire d'un réseau de télécommunication, un fournisseur d'identités étant accessible par un logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication par l'intermédiaire d'un réseau de télécommunication, caractérisé en ce que le dispositif comporte des moyens de génération par le logiciel client d'un message à destination du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication pour obtenir une accréditation du fournisseur d'identités, des moyens d'obtention par le logiciel client d'une accréditation du fournisseur d'identités du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication, et des moyens de génération par le logiciel client d'au moins un message à destination du fournisseur de services, le message comprenant au moins des informations de l'accréditation obtenue. Ainsi, l'utilisateur d'un terminal de télécommunication comportant la présente invention n'a plus à communiquer son identifiant et son mot de passe à chaque fournisseur de services et à chaque accès aux fournisseurs de services, ceci est réalisé automatiquement, et sans aucune intervention de l'utilisateur. Les tâches de l'utilisateur sont ainsi simplifiées, l'utilisateur n'a seulement qu'à s'enregistrer une seule fois auprès du fournisseur d'identités en communiquant son identifiant et un mot de passe. De plus, lorsqu'un terminal de télécommunication comporte une pluralité de logiciels aptes à accéder à un fournisseur d'identités, seulement un seul de ces logiciels a accès au fournisseur de services. Ceci améliore les performances du système d'accréditation et permet aussi d'effectuer des accès au fournisseur d'identités avec le logiciel le plus adapté. Plus précisément, les informations échangées entre le logiciel client du terminal de télécommunication et le fournisseur de services sont conformes à un premier protocole de communication et les informations échangées entre le logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication et le fournisseur d'identités sont conformes à un second protocole de communication différent du premier protocole. Ainsi, il est possible d'obtenir, pour l'accès à des services d'un fournisseur de services échangeant des messages selon un protocole de communication, une accréditation d'un fournisseur d'identités échangeant des informations conformément à un protocole de communication différent du protocole de communication du fournisseur de services. L'utilisateur s'adressant à différents fournisseurs de services échangeant des informations conformément à des protocoles de communication différents n'aura plus à mémoriser tous les mots de passe nécessaires à l'accès à de tels services. Plus précisément, préalablement à la génération du message à destination du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication, le logiciel client active le logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication. Ainsi, les tâches de l'utilisateur sont simplifiées, toutes ces opérations sont réalisées automatiquement et sans intervention de celui-ci. Plus particulièrement, les informations de l'accréditation obtenue sont un code d'accréditation. Plus précisément, le message généré par le logiciel client à destination du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication comporte un identifiant de l'utilisateur du terminal de télécommunication, un identifiant du fournisseur de services et un identifiant du fournisseur d'identités. Ainsi, le logiciel accédant entre autres au fournisseur d'identités dispose de toutes les informations nécessaires à une accréditation par le fournisseur d'identités de l'utilisateur de terminal de télécommunication. Plus particulièrement, le logiciel accédant entre autres au fournisseur d'identités génère au moins un message à destination du fournisseur d'identités comprenant au moins l'identifiant de l'utilisateur du terminal de télécommunication et l'identifiant du fournisseur de services, obtient une accréditation du fournisseur d'identités, l'accréditation étant sous forme d'un Cookie comprenant l'identité de l'utilisateur, l'identité du fournisseur d'identités, l'identité du fournisseur de services et un code d'accréditation et transfère au moins le code d'accréditation au logiciel client. Ainsi le transfert d'information entre le logiciel accédant entre autres au fournisseur d'identités et le fournisseur d'identités reste conforme à des systèmes d'authentification unique tel que le système proposé par le projet Liberty Alliance. Préférentiellement, les informations échangées entre le logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication et le fournisseur d'identités sont conformes au protocole HTTP et en ce que le logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication est un navigateur"Cookies" are stored on the hard drive of the user's computer by the HTTP browser. The information stored in the cookie is then transmitted by the user's HTTP browser to the service provider. It is accreditation. Thus, the system as proposed by the Liberty Alliance project is a system based on the use of the HTTP communication protocol and Cookies. In addition, if the same telecommunications terminal has a plurality of HTTP browsers, it is not desirable for the identity provider to have to exchange information with each of these HTTP browsers. Indeed, the identity provider must in this case be able to process the various commands of these HTTP browsers, which makes the creation of such a browser more complex. In such a system, when the user wishes to connect to an electronic mail server or a news server, the latter must nevertheless authenticate in a conventional manner to these servers. Indeed, these being based on different protocols than the HTTP protocol and not being able to process information in the form of Cookies, it is not possible to use the functionalities offered by the system proposed by the project Liberty Alliance. The unique authentication system known as ".NET Passport" ™ from Microsoft ™ allows access to the various service providers and to the server via a single pair of e-mail addresses and passwords. email system associated with this system. In the ".NET Passport" authentication system, each service provider of this system must redirect user requests to a central server called passport server which performs the same tasks as the identity provider of the Liberty Alliance project. The ".NET Passport" authentication system also uses the HTTP protocol as well as the "Cookie" mechanism described above. Also, when the user wishes to connect to an e-mail server or to a News server based on a protocol different from that used by ".NET Passport", this one must nevertheless authenticate in a conventional manner to these servers . Thus, in the prior art, there is no unified system within the same telecommunications terminal making it possible to exchange information with such unique authentication processes. In addition, the state of the art does not allow a user to be authenticated to multiple service providers using different communication protocols. The invention aims to solve the drawbacks of the prior art by proposing a method of transferring information by client software of a telecommunications terminal for the accreditation of a user of the telecommunications terminal to a supplier of services, the client software being connected to the service provider via a telecommunication network, an identity provider being accessible by software accessing inter alia the identity provider of the telecommunication terminal via a telecommunication network, characterized in that that the method comprises the steps of generation by the client software of a message intended for the software accessing inter alia the identity provider of the telecommunication terminal to obtain an accreditation of the identity provider, of obtaining by the client software d '' an accreditation of the identity provider of the software accessing inter alia the identity provider of the telecommunications terminal, and of generation by the client software of at least one message intended for the service provider, the message comprising at least information of the accreditation obtained. Correlatively, the invention provides a device for transferring information by client software of a telecommunication terminal for the accreditation of a user of the telecommunication terminal to a service provider, the client software being linked to the service provider. by means of a telecommunications network, an identity supplier being accessible by software accessing, inter alia, the identity supplier of the telecommunications terminal by means of a telecommunications network, characterized in that the device includes means by the client software for generating a message intended for the software accessing, inter alia, the identity provider of the telecommunications terminal in order to obtain accreditation from the identity provider, means for obtaining, by the client software, accreditation from the software identity provider accessing, among other things, the identities of the telecommunication terminal, and means of generation by the client software of at least one message intended for the service provider, the message comprising at least information of the accreditation obtained. Thus, the user of a telecommunications terminal comprising the present invention no longer has to communicate his username and password to each service provider and to each access to the service providers, this is done automatically, and without any user intervention. The tasks of the user are thus simplified, the user only has to register once with the identity provider by communicating his username and password. In addition, when a telecommunication terminal comprises a plurality of software capable of accessing an identity provider, only one of these software has access to the service provider. This improves the performance of the accreditation system and also allows access to the identity provider with the most suitable software. More precisely, the information exchanged between the client software of the telecommunication terminal and the service provider conforms to a first communication protocol and the information exchanged between the software accessing inter alia the identity provider of the telecommunication terminal and the provider of identities conform to a second communication protocol different from the first protocol. Thus, it is possible to obtain, for the access to services of a service provider exchanging messages according to a communication protocol, an accreditation of an identity provider exchanging information in accordance with a different communication protocol the service provider's communication protocol. The user addressing different service providers exchanging information in accordance with different communication protocols will no longer have to memorize all the passwords necessary for access to such services. More precisely, prior to the generation of the message intended for the software accessing inter alia the identity provider of the telecommunication terminal, the client software activates the software accessing inter alia the identity provider of the telecommunication terminal. Thus, the tasks of the user are simplified, all these operations are carried out automatically and without intervention of the latter. More particularly, the information on the accreditation obtained is an accreditation code. More specifically, the message generated by the client software intended for the software accessing, inter alia, the identity provider of the telecommunications terminal comprises an identifier of the user of the telecommunications terminal, an identifier of the service provider and an identifier of the provider d 'identities. Thus, the software accessing, inter alia, the identity provider has all the information necessary for accreditation by the identity provider of the telecommunications terminal user. More particularly, the software accessing inter alia the identity provider generates at least one message intended for the identity provider comprising at least the identifier of the user of the telecommunications terminal and the identifier of the service provider, obtains a accreditation of the identity provider, the accreditation being in the form of a cookie comprising the identity of the user, the identity of the identity provider, the identity of the service provider and an accreditation code and transfers at least the client software accreditation code. Thus the transfer of information between the software accessing inter alia the identity provider and the identity provider remains in accordance with single authentication systems such as the system proposed by the Liberty Alliance project. Preferably, the information exchanged between the software accessing inter alia the identity provider of the telecommunication terminal and the identity provider conforms to the HTTP protocol and in that the software accessing inter alia the identity provider of the telecommunication terminal is Browser
HTTP. Plus précisément, les informations échangées entre le logiciel client du terminal de télécommunication et le fournisseur de services sont conformes à un protocole SMTP ou à un protocole NNTP ou à un protocole POP3 ou à un protocole IMAP ou à un protocole XMPP, ou à un protocole SIP ou à un protocole H323. Plus précisément, le fournisseur de services détermine dans le message reçu la présence d'un code d'accréditation délivré par un fournisseur d'identités, si un code d'accréditation est présent dans le message reçu, le fournisseur de services vérifie la conformité du code d'accréditation et autorise l'utilisateur du terminal de télécommunications à accéder à au moins un service du fournisseur de services et si un code d'accréditation n'est pas présent dans le message, le fournisseur de services vérifie la conformité d'un mot de passe associé à l'utilisateur et autorise l'utilisateur du terminal de télécommunications à accéder à au moins un service du fournisseur de services. L'invention concerne aussi un procédé de traitement d'un message d'accréditation d'un utilisateur d'un terminal de télécommunication par un fournisseur de services, le message d'accréditation étant transféré par un logiciel client du terminal de télécommunication par l'intermédiaire d'un réseau de télécommunication conformément à un protocole de communication, caractérisé en ce que le procédé comporte les étapes de détermination dans le message reçu de la présence d'un code d'accréditation délivré par un fournisseur d'identités, si un code d'accréditation est présent dans le message reçu, de vérification de la conformité du code d'accréditation et autorisation de l'utilisateur du terminal de télécommunications à accéder à au moins un service du fournisseur de services et si un code d'accréditation n'est pas présent dans le message, de vérification de la conformité d'un mot de passe associé à l'utilisateur et autorisation de l'utilisateur du terminal de télécommunications à accéder à au moins un service du fournisseur de services. Corrélativement, l'invention propose un dispositif de transfert d'informations par un logiciel client d'un terminal de télécommunication pour l'accréditation d'un utilisateur du terminal de télécommunication à un fournisseur de services, le logiciel client étant relié au fournisseur de services par l'intermédiaire d'un réseau de télécommunication, les informations échangées entre un logiciel client du terminal de télécommunication et le fournisseur de services étant conformes à un premier protocole de communication, un fournisseur d'identités étant accessible par un logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication par l'intermédiaire d'un réseau de télécommunication, caractérisé en ce que les informations échangées entre le logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication et le fournisseur d'identités sont conformes à un second protocole de communication différent du premier protocole et en ce que le dispositif comporte des moyens de génération d'un message à destination du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication pour obtenir une accréditation du fournisseur d'identités, des moyens d'obtention d'une accréditation du fournisseur d'identités du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication et des moyens de génération d'au moins un message à destination du fournisseur de services, le message comprenant au moins des informations de l'accréditation obtenue. Ainsi, le fournisseur de services est apte à traiter des accréditations conformément à la présente invention tout en restant compatible avec des authentifications par communication d'identifiant et de mot de passe. Plus précisément, le code d'accréditation est compris dans un champ du message destiné à comprendre un mot de passe de l'utilisateur du terminal de télécommunication. Plus particulièrement, la vérification de la conformité du code d'accréditation est effectuée en décryptant ledit code d'identification ou en interrogeant le fournisseur d'identités pour obtenir une confirmation de ladite accréditation. L'invention concerne aussi les programmes d'ordinateur stockés sur un support d'informations, lesdits programmes comportant des instructions permettant de mettre en œuvre les procédés précédemment décrits, lorsqu'ils sont chargés et exécutés par un système informatique. Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels: la Fig. 1 représente le système de télécommunication dans lequel le processus d'authentification unique est implémenté et dans lequel au moins deux fournisseurs de services proposent des services à des utilisateurs selon des protocoles de communication différents ; la Fig. 2 représente le schéma bloc d'un terminal de télécommunication selon l'invention ; la Fig. 3 représente un fournisseur de services selon l'invention ; la Fig. 4 représente l'algorithme effectué par le dispositif de télécommunication selon l'invention ; la Fig. 5 représente l'algorithme effectué par le fournisseur de services selon l'invention.HTTP. More specifically, the information exchanged between the client software of the telecommunications terminal and the service provider conforms to an SMTP protocol or to an NNTP protocol or to a POP3 protocol or to an IMAP protocol or to an XMPP protocol, or to a protocol SIP or H323 protocol. More specifically, the service provider determines in the received message the presence of an accreditation code issued by an identity provider, if an accreditation code is present in the received message, the service provider checks the conformity of the accreditation code and authorizes the user of the telecommunications terminal to access at least one service of the service provider and if an accreditation code is not present in the message, the service provider checks the conformity of a password associated with the user and authorizes the user of the telecommunications terminal to access at least one service of the service provider. The invention also relates to a method for processing an accreditation message of a user of a telecommunications terminal by a service provider, the accreditation message being transferred by client software of the telecommunications terminal via a telecommunications network in accordance with a communication protocol, characterized in that the method comprises the steps of determining in the message received the presence of an accreditation code issued by a supplier 'identities, if an accreditation code is present in the message received, of verification of the conformity of the accreditation code and authorization of the user of the telecommunications terminal to access at least one service of the service provider and if a accreditation code is not present in the message, verification of the conformity of a password associated with the user and authorization of the user of the telecommunications terminal to access at least one service of the service provider . Correlatively, the invention provides a device for transferring information by client software of a telecommunication terminal for the accreditation of a user of the telecommunication terminal to a service provider, the client software being linked to the service provider. via a telecommunication network, the information exchanged between client software of the telecommunication terminal and the service provider conforming to a first communication protocol, an identity provider being accessible by software accessing inter alia the identity provider of the telecommunication terminal via a telecommunication network, characterized in that the information exchanged between the software accessing inter alia the identity provider of the telecommunication terminal and the identity provider conforms to a second different communication protocol of the first protocol and in that the device comprises means for generating a message intended for the software accessing inter alia the identity provider of the telecommunication terminal to obtain accreditation from the identity provider, means for obtaining '' an accreditation of the identity provider of the software accessing inter alia the identity provider of the telecommunications terminal and means for generating at least one message intended for the service provider, the message comprising at least information from the accreditation obtained. Thus, the service provider is able to process accreditations in accordance with the present invention while remaining compatible with authentications by communication of identifier and password. More specifically, the accreditation code is included in a message field intended to include a password for the user of the telecommunications terminal. More particularly, the verification of the conformity of the accreditation code is carried out by decrypting said identification code or by questioning the identity provider to obtain confirmation of said accreditation. The invention also relates to computer programs stored on an information medium, said programs comprising instructions making it possible to implement the methods described above, when they are loaded and executed by a computer system. The characteristics of the invention mentioned above, as well as others, will appear more clearly on reading the following description of an exemplary embodiment, said description being made in relation to the accompanying drawings, among which: FIG. . 1 represents the telecommunications system in which the single authentication process is implemented and in which at least two service providers offer services to users according to different communication protocols; Fig. 2 shows the block diagram of a telecommunications terminal according to the invention; Fig. 3 shows a service provider according to the invention; Fig. 4 shows the algorithm performed by the telecommunication device according to the invention; Fig. 5 shows the algorithm performed by the service provider according to the invention.
La Fig. 1 représente le système de télécommunication dans lequel le processus d'authentification unique est implémenté et dans lequel au moins deux fournisseurs de services proposent des services à des utilisateurs selon des protocoles de communication différents. Le système de communication 100 est constitué d'au moins un terminal de télécommunication 10 qui accède, via des logiciels clients 11, 12 et des logiciels 13 accédant entre autres au fournisseur d'identités 16 par l'intermédiaire d'un réseau de télécommunication tel que le réseau Internet 120, à des fournisseurs de services 14, 15, 17 et 18. L'accès à ces fournisseurs de service est conditionnel à une accréditation de l'utilisateur par un fournisseur d'identités 16. Le fournisseur de services 14 est par exemple un serveur d'échange de nouvelles ou de forums de discussions. L'utilisateur du terminal de télécommunication 10 communique par l'intermédiaire de son logiciel client d'échange de nouvelles 11 avec le serveur d'échange de nouvelles 14 conformément au protocole NNTP. Le protocole NNTP, acronyme de Network News Transfer Protocol, est un protocole qui assure l'échange de nouvelles entre le serveur d'échange de nouvelles 14 et le logiciel client d'échange de nouvelles du terminal de télécommunication 10 aussi bien pour la lecture que pour l'écriture de nouvelles. Le protocole NNTP est un protocole issu d'organisme IETF, acronyme de Internet Engineering Task Force, il est conforme à la RFC 977, RFC étant l'acronyme de Requests For Comments. Le fournisseur de services 15 est par un exemple un serveur de messagerie électronique. L'utilisateur du terminal de télécommunication 10 communique par l'intermédiaire de son logiciel client de messagerie électronique 12 avec le serveur de messagerie électronique conformément au protocole SMTP. Le protocole SMTP, acronyme de Simple Mail Transfer Protocol ou protocole de transfert simple de courrier, est un protocole qui assure l'échange de messages électroniques entre le serveur de messagerie électronique 15 et le terminal de télécommunication 10 aussi bien pour la lecture que pour l'écriture de messages électroniques. Le protocole SMTP est aussi un protocole issu d'organisme IETF, il est conforme à la RFC 821. Il est à remarquer ici qu'en variante, l'utilisateur du terminal de télécommunication 10 communique par l'intermédiaire de son logiciel client de messagerie électronique 12 avec le serveur de messagerie électronique conformément au protocole POP3 ou IMAP4. Le protocole POP, acronyme de Post Office Protocol ou protocole de bureau de poste permet à un utilisateur d'un terminal de télécommunication 10 de consulter son courrier électronique sur le serveur de messagerie électronique 15. Ce protocole permet pour les utilisateurs de terminaux de télécommunication n'étant pas connectés en permanence au réseau de télécommunication 120 de collecter les courriers électroniques qu'ils ont reçus dans leur boîte à lettre lorsqu'ils n'étaient pas connectés au réseau de télécommunication 120. Le protocole POP3 gère aussi l'authentification d'un utilisateur à l'aide d'un nom d'utilisateur et d'un mot de passe. Le protocole IMAP, acronyme de Internet Mail Access Protocol ou protocole d'accès au courrier Internet est un protocole offrant beaucoup plus de possibilités que le protocole POP 3. Le protocole IMAP permet par exemple de gérer plusieurs accès à une boîte à lettre simultanément, il permet aussi de gérer simultanément plusieurs boîtes à lettres et il permet aussi de trier les courriers électroniques selon différents critères. Le protocole POP3 est aussi un protocole issu d'organisme IETF, il est conforme à la RFC 1939. Le protocole IMAP est aussi un protocole issu d'organisme IETF, il est conforme aux RFC 2060 et 2061. Le fournisseur de services 17 est par un exemple un serveur d'un établissement bancaire. L'utilisateur du terminal de télécommunication 10 communique par l'intermédiaire du navigateur HTTP 13 avec le fournisseur de services 17 selon le protocole HTTP. Le fournisseur de services 18 est par un exemple un serveur apte à effectuer des réservations de vols pour une compagnie aérienne. L'utilisateur du terminal de télécommunication 10 communique par l'intermédiaire de navigateur HTTP 13 avec le fournisseur de services 18 selon le protocole HTTP. Le protocole HTTP est aussi un protocole issu d'organisme IETF, il est conforme à la RFC 2816. Le fournisseur d'identités 16 créé, gère et maintient les identités associées à des utilisateurs et fournit un service d'authentification. Le fournisseur d'identités 16 est relié à une base de données 19 locale ou distante. Cette base de données comporte tous les identifiants des utilisateurs qui ont préalablement été enregistrés ainsi que des informations représentatives des droits à l'accès de ces utilisateurs aux différents fournisseurs de services 14, 15, 17 et 18. Ces droits d'accès sont obtenus par des échanges d'informations notés 130 en Fig. 1 entre les différents fournisseurs de services 14, 15, 17 et 18 et le fournisseur d'identités 16. Par exemple, lorsque l'utilisateur du terminal de télécommunication 10 est autorisé à accéder au serveur de messagerie électronique 15, cette information est mémorisée dans la base de donnée 19. L'utilisateur du terminal de télécommunication 10 communique par l'intermédiaire de navigateur HTTP 13 avec le fournisseur d'identités 16 selon le protocole HTTP. Les échanges entre le navigateur 13 et les fournisseurs de services 17 et 18 et le fournisseur d'identités 16 sont par exemple conformes à ceux tels que décrits dans le projet Liberty Alliance. Selon l'invention, lorsque l'utilisateur du terminal de télécommunication 10 désire se connecter au fournisseur de services 15, le logiciel client de messagerie électronique 12 génère une requête 101 à destination du navigateur HTTP 13 pour obtenir une accréditation auprès du serveur de messagerie électronique 15. En réponse à cette requête, le navigateur HTTP 13 transfère au logiciel client de messagerie électronique 12 l'accréditation 104 obtenue du fournisseur d'identités 16 sous la forme d'un Cookie. L'accréditation est obtenue par le navigateur HTTP 13 en générant une requêteFig. 1 shows the telecommunications system in which the single authentication process is implemented and in which at least two service providers offer services to users according to different communication protocols. The communication system 100 consists of at least one telecommunication terminal 10 which accesses, via client software 11, 12 and software 13 accessing inter alia the identity provider 16 via a network of telecommunications such as the Internet 120, to service providers 14, 15, 17 and 18. Access to these service providers is subject to user accreditation by an identity provider 16. The service provider 14 is for example a server for exchanging news or discussion forums. The user of the telecommunications terminal 10 communicates via his news exchange client software 11 with the news exchange server 14 in accordance with the NNTP protocol. The NNTP protocol, acronym for Network News Transfer Protocol, is a protocol which ensures the exchange of news between the news exchange server 14 and the news exchange client software of the telecommunications terminal 10 for both reading and for writing short stories. The NNTP protocol is a protocol from an IETF organization, acronym for the Internet Engineering Task Force, it complies with RFC 977, RFC being the acronym for Requests For Comments. The service provider 15 is for example an electronic mail server. The user of the telecommunications terminal 10 communicates via his electronic messaging client software 12 with the electronic messaging server in accordance with the SMTP protocol. The SMTP protocol, acronym for Simple Mail Transfer Protocol, is a protocol which ensures the exchange of electronic messages between the electronic mail server 15 and the telecommunications terminal 10 for both reading and reading. writing electronic messages. The SMTP protocol is also a protocol originating from an IETF organization, it complies with RFC 821. It should be noted here that, as a variant, the user of the telecommunications terminal 10 communicates via his messaging client software 12 with the e-mail server in accordance with the POP3 or IMAP4 protocol. The POP protocol, acronym for Post Office Protocol or post office protocol allows a user of a telecommunication terminal 10 to consult his electronic mail on the electronic mail server 15. This protocol allows users of telecommunication terminals that are not permanently connected to the telecommunication network 120 to collect the e-mails they received in their mailbox when they were not connected to the telecommunication network 120. The POP3 protocol also manages user authentication using a user name and password. The IMAP protocol, acronym for Internet Mail Access Protocol or Internet Mail Access Protocol is a protocol offering many more possibilities than the POP 3 protocol. The IMAP protocol allows for example to manage several accesses to a mailbox simultaneously, it It also allows you to manage several mailboxes simultaneously and it also allows you to sort emails by different criteria. The POP3 protocol is also a protocol originating from an IETF organization, it complies with RFC 1939. The IMAP protocol is also a protocol originating from an IETF organization, it complies with RFC 2060 and 2061. The service provider 17 is by an example a server of a banking establishment. The user of the telecommunications terminal 10 communicates via the HTTP browser 13 with the service provider 17 according to the HTTP protocol. The service provider 18 is, for example, a server capable of making flight reservations for an airline. The user of the telecommunications terminal 10 communicates via the HTTP browser 13 with the service provider 18 according to the HTTP protocol. The HTTP protocol is also a protocol originating from an IETF organization, it complies with RFC 2816. The identity provider 16 creates, manages and maintains the identities associated with users and provides an authentication service. The identity provider 16 is linked to a local or remote database 19. This database contains all the identifiers of the users who have been previously registered as well as information representative of the access rights of these users to the various service providers 14, 15, 17 and 18. These access rights are obtained by exchanges of information noted 130 in FIG. 1 between the different service providers 14, 15, 17 and 18 and the identity provider 16. For example, when the user of the telecommunications terminal 10 is authorized to access the electronic mail server 15, this information is stored in the database 19. The user of the telecommunications terminal 10 communicates via the HTTP browser 13 with the identity provider 16 according to the HTTP protocol. The exchanges between the browser 13 and the service providers 17 and 18 and the identity provider 16 are for example in accordance with those as described in the Liberty Alliance project. According to the invention, when the user of the telecommunications terminal 10 wishes to connect to the service provider 15, the electronic messaging client software 12 generates a request 101 intended for the HTTP browser 13 to obtain accreditation from the electronic messaging server. 15. In response to this request, the HTTP browser 13 transfers to the electronic mail client software 12 the accreditation 104 obtained from the identity provider 16 in the form of a Cookie. Accreditation is obtained by the HTTP 13 browser by generating a request
HTTP 102 à destination du fournisseur d'identités 16 qui après consultation de la base de données 19 transfère l'accréditation 103 sous forme de Cookie au navigateur HTTP 13. L'accréditation 103 ou une partie des informations contenues dans le Cookie reçu est ensuite transférée au logiciel client de messagerie électronique 12 qui transfère alors ce message d'accréditation au serveur de courrier électronique 15 dans une forme adaptée au protocole de communication SMNP. Le serveur de courrier électronique 15, à partir de ce message d'accréditation autorise l'utilisateur du terminal de télécommunication 10 à accéder à ses services et cela sans aucune saisie d'identifiant et de mot de passe par l'utilisateur. Il est à remarquer ici que les logiciels clients 11 et 12 peuvent aussi en variante utiliser des protocoles tels que le protocole SIP, le XMPP ou le protocole H323. SIP est l'acronyme de Session Initiation Protocol ou protocole de signalisation et d' intermédiation défini par LTETF. XMPP est l'acronyme de eXtented Message and Présence Protocol tel que proposé à 1TETF. H323 est une recommandation de l'Union Internationale de Télécommunication pour les systèmes de communication multimédia. La Fig. 2 représente le schéma bloc d'un terminal de télécommunication selon l'invention. Le terminal de télécommunication 10 est adapté à fonctionner dans un système d'accréditation unique pour des fournisseurs de services 14, 15, 17 et 18 aptes à échanger des informations selon des protocoles de communications différents. Le terminal de télécommunication 10 est par exemple un micro-ordinateur. Il peut être aussi intégré dans un assistant personnel ou dans un téléphone mobile. Le terminal de télécommunication 10 comporte un bus de communication 201 auquel sont reliés une unité centrale 200, une mémoire morte 202, une mémoire viveHTTP 102 to the identity provider 16 which after consulting the database 19 transfers the accreditation 103 in the form of a cookie to the HTTP browser 13. The accreditation 103 or part of the information contained in the cookie received is then transferred to the electronic mail client software 12 which then transfers this accreditation message to the electronic mail server 15 in a form adapted to the SMNP communication protocol. The electronic mail server 15, on the basis of this accreditation message, authorizes the user of the telecommunication terminal 10 to access its services, without any user and password input. It should be noted here that the client software 11 and 12 can also alternatively use protocols such as the SIP protocol, XMPP or the H323 protocol. SIP is the acronym for Session Initiation Protocol or signaling and intermediation protocol defined by LTETF. XMPP is the acronym for eXtented Message and Presence Protocol as proposed to 1TETF. H323 is a recommendation from the International Telecommunication Union for multimedia communication systems. Fig. 2 shows the block diagram of a telecommunications terminal according to the invention. The telecommunications terminal 10 is adapted to operate in a single accreditation system for service providers 14, 15, 17 and 18 able to exchange information according to different communication protocols. The telecommunications terminal 10 is for example a microcomputer. It can also be integrated into a personal assistant or a mobile phone. The telecommunications terminal 10 comprises a communication bus 201 to which a central unit 200, a read only memory 202, a random access memory are connected.
203, un écran 204, un clavier 205, un disque dur 208, un lecteur/enregistreur de disque compact ou CD 209, une interface de communication 206 avec un réseau de télécommunication tel que le réseau Internet 120. Le disque dur 208 mémorise le programme mettant en œuvre l'invention qui sera décrit ultérieurement en référence à la Fig. 4, ainsi que les données permettant l'accréditation unique selon l'invention. Ces données sont entre autres les différentes accréditations aux fournisseurs de services 14, 15, 17 et 18. Le disque dur 208 mémorise aussi le logiciel de navigation HTTP 13, le logiciel client de messagerie électronique 12 et le logiciel client d'échange de nouvelles 11. Les programmes mettant en œuvre l'invention peuvent aussi être lus par l'intermédiaire du lecteur de disque compact 209 ou reçus via le réseau de télécommunication 120. De manière plus générale, les programmes selon la présente invention sont mémorisés dans un moyen de stockage. Ce moyen de stockage est lisible par un ordinateur ou un microprocesseur 200. Ce moyen de stockage est intégré ou non au dispositif, et peut être amovible. II est à remarquer que lorsque le terminal de télécommunication est un assistant personnel connu sous le terme PDA, ou un téléphone mobile, le disque dur 208 est remplacé par un moyen de stockage d'informations tel que par exemple une mémoire de type SDRAM. Lors de la mise sous tension du terminal de télécommunication 10, ou lors du lancement d'un des logiciels clients 11 ou 12, les programmes selon la présente invention sont transférés dans la mémoire vive 203 qui contient alors le code exécutable de l'invention ainsi que les données nécessaires à la mise en œuvre de l'invention. Le terminal de télécommunication 10 comporte un écran 204 apte à reproduire les informations reçues des fournisseurs de services 14, 15, 17 et 18. L'écran 204 est aussi un élément de l'interface homme machine du terminal de télécommunication 10 pour la première identification et authentification de l'utilisateur du terminal de télécommunication 10. Le terminal de télécommunication 10 comporte aussi un clavier 205 servant aussi d'interface homme machine. Par l'intermédiaire de ce clavier 205, l'utilisateur peut saisir son mon mot de passe lors de sa première authentification auprès du fournisseur d'identités 16. II est à remarquer ici, que le clavier 205 peut aussi être remplacé par un écran tactile, une souris, ou tout autre type d'interface homme machine. En variante, le terminal de télécommunication comporte aussi des moyens de capture d'empreintes digitales ou des moyens d'obtention de caractéristiques d'une pupille de l'utilisateur du terminal de télécommunication 10. Par souci de clarté, les moyens de capture d'empreintes digitales et de caractéristiques d'une pupille de l'utilisateur ne sont pas représentés en Fig. 2 La Fig. 3 représente un fournisseur de services selon l'invention. Le fournisseur de services est par exemple le serveur de messagerie électronique 15. Le serveur d'échange de nouvelles 14 étant identique au serveur de messagerie électronique 15, il ne sera pas décrit. Le serveur de messagerie électronique 15 est par exemple un micro-ordinateur. 11 peut être aussi intégré dans un assistant personnel ou dans un téléphone mobile. Le serveur de messagerie électronique 15 comporte un bus de communication 301 auquel sont reliés une unité centrale 300, une mémoire morte 302, une mémoire vive 303, un disque dur 308, un lecteur/enregistreur de disque compact ou CD 309, une interface de communication 306 avec un réseau de télécommunication tel que le réseau Internet 120. Le disque dur 308 mémorise le programme mettant en œuvre l'invention qui sera décrit ultérieurement en référence à la Fig. 5. Le programme mettant en œuvre l'invention peut aussi être lu par l'intermédiaire du lecteur de disque compact 309 ou reçu via le réseau de télécommunication 120. Le disque dur 308 mémorise aussi les courriers électroniques des utilisateurs de terminaux de télécommunication abonnés à ses services ainsi que des informations permettant d'authentifier ces utilisateurs. Ces informations sont des identifiants d'utilisateurs avec leurs mots de passe associés ou selon l'invention des informations permettant de valider l'accréditation reçue selon l'invention. De manière plus générale, les programmes selon la présente invention sont mémorisés dans un moyen de stockage. Ce moyen de stockage est lisible par un ordinateur ou un microprocesseur 300. Ce moyen de stockage est intégré ou non au dispositif, et peut être amovible. Lors de la mise sous tension du serveur de messagerie électronique 15, le programme selon la présente invention est transféré dans la mémoire vive 303 qui contient alors le code exécutable de l'invention ainsi que les données nécessaires à la mise en œuvre de l'invention. L'interface d'entrée sortie 306 est une interface de communication apte à assurer des échanges d'informations par l'intermédiaire du réseau Internet 120 avec des utilisateurs de terminaux de télécommunications. L'interface d'entrée sortie 306 assure ces échanges d'informations conformément au protocole SMTP. Il est à remarquer qu'en variante, l'interface d'entrée sortie 306 assure ces échanges d'informations conformément au protocole POP3 ou au protocole IMAP. La Fig. 4 représente l'algorithme effectué par le dispositif de télécommunication selon l'invention. Le processeur 200 du terminal de télécommunication 10 lit, à partir de la mémoire 202, les instructions du programme correspondant aux étapes E400 à E409 de la Fig. 4 et les charge en mémoire vive 203 pour les exécuter. Lorsque l'utilisateur du terminal de télécommunication 10 active à l'étape E400 par exemple le logiciel client de messagerie électronique 12, le processeur 200 du terminal de télécommunication 10 passe à l'étape suivante E401. A cette étape, le processeur 200 vérifie si le logiciel de navigation HTTP 13 du terminal de télécommunication 10 est activé. Si le navigateur HTTP 13 n'est pas activé, le processeur 200 génère à l'étape E402 une commande pour l'activation de celui-ci. Cette opération effectuée ou si le navigateur HTTP 13 est déjà activé, le processeur 200 passe à l'étape suivante E403. A cette étape, une requête notée 101 en Fig. 1 est transférée du logiciel client de messagerie électronique 12 vers le navigateur HTTP 13. Cette requête est transférée par exemple au moyen de messages d'applications à applications géré par le système d'exploitation du terminal de télécommunication 10. Cette requête comporte l'identifiant de l'utilisateur, par exemple son adresse de messagerie électronique mdupont@wanadoo.fr, un identifiant tel que l'adresse du fournisseur de services 15 smtp-smtp.wanadoo.fr et un identifiant tel que l'adresse du fournisseur d'identités 16 pau.wanadoo.fr. Il est à remarquer ici que l'adresse du fournisseur d'identités 16 a été préalablement obtenue par le logiciel client de messagerie électronique 12 lors de précédents échanges conformes au protocole SMTP avec le serveur de messagerie électronique 15. A la réception de cette requête, le navigateur HTTP 13 transfère une requête notée 102 en Fig. 1 au fournisseur d'identités 16 selon le protocole HTTP. Il est à remarquer ici, que l'adresse du fournisseur d'identités 16 est obtenue par le navigateur HTTP 13 en lisant le contenu de la requête reçue à l'étape précédente E403. La requête comporte dans notre exemple l'adresse de messagerie électronique de l'utilisateur du terminal de télécommunication 10 et un identifiant du fournisseur de services 15. Le fournisseur d'identités 16 à la réception de la requête 102 détermine à partir de l'identifiant de l'utilisateur et plus précisément à partir de l'adresse de messagerie électronique de l'utilisateur du terminal de télécommunication 10 si celui-ci est autorisé ou non à accéder au fournisseur de services dont l'adresse est contenue dans la requête 102. Le fournisseur d'identités 16 interroge avec ces informations la base de donnée 19 de la Fig. 1 et détermine ainsi si l'utilisateur de terminal de télécommunication 10 est autorisé ou non à accéder au service du serveur de messagerie électronique 15. Il est à remarquer que si l'utilisateur du terminal de télécommunication 10 n'a pas préalablement été enregistré pour un accès, le fournisseur d'identités 16 entre dans une procédure d'identification et d'authentification avec le navigateur HTTP 13 avec saisie par l'utilisateur de son identifiant et d'un mot de passe. Le fournisseur d'identités 16, en réponse à la requête 102 reçue à l'étape E404 transfère un message HTTP noté 103 en Fig. 1 à destination du Navigateur HTTP 13. Le navigateur HTTP 13 à la réception du message 103 vérifie si ce message est un message d'accréditation. Le message d'accréditation est selon notre exemple un Cookie comprenant entre autres l'identité de l'utilisateur du terminal de télécommunication 10, l'identité du fournisseur d'identités, l'identité du service demandé et un code d'accréditation. Si le fournisseur d'identités 16 refuse l'accès de l'utilisateur de terminal de télécommunication 10 au serveur de messagerie électronique 16, le processeur 200 passe à l'étape E406 et génère un message à destination de l'écran 204 informant l'utilisateur du terminal de télécommunication 10 du rejet de la requête d'accès serveur de messagerie électronique 16. Cette opération effectuée, l'algorithme de la Fig. 4 s'arrête et le processeur 200 retourne à l'étape E400 en attente d'une nouvelle activation d'un logiciel client, par exemple le logiciel client d'échange de nouvelles 11. Si le fournisseur d'identités 16 a transféré un message d'accréditation, le processeur 200 passe ensuite à l'étape E407. A cette étape, le navigateur HTTP 13 transfère au logiciel client de messagerie électronique 12 un message noté 104 en Fig. 1. Ce message peut être le Cookie reçu précédemment du fournisseur d'identités 16 ou une partie seulement des informations contenues dans le Cookie reçu telles que par exemple le code d'accréditation. Il est à remarquer ici que les étapes E404, E405, E406 et E407 sont des étapes effectuées par le navigateur HTTP 13. le navigateur http 13 peut comporter ces étapes lors de sa création ou ces mêmes étapes peuvent être ajoutées à un navigateur HTTP qui vient se connecter à un logiciel existant et qui améliore les fonctionnalités du programme auquel il se connecte. A la réception du message 104, le logiciel client de messagerie électronique 12 génère à l'étape E408 un message d'authentification noté 105 en Fig. 1 conforme au protocole SMTP à destination du serveur de messagerie électronique 15. En variante, le message d'authentification 105 est conforme au protocole POP3 ou au protocole IMAP. Ce message d'authentification comprend l'identité de l'utilisateur du terminal de télécommunication ainsi que le code d'accréditation transféré précédemment par le fournisseur d'identités 16. Le code d'accréditation remplace par exemple le mot de passe classique de l'utilisateur du terminal de télécommunication 10. Après authentification de ce message d'accréditation par le serveur de messagerie électronique 15, l'utilisateur du terminal de télécommunication 10 a accès à l'étape E409 aux services proposés par le fournisseur de services 15. Ainsi, sans aucune saisie d'identifiant et/ou de mot de passe l'utilisateur du terminal de télécommunication 10 accède à son courrier électronique. Il est à remarquer que l'algorithme de la Fig. 4 a été décrit selon l'exemple d'un accès à un serveur de messagerie électronique. De la même façon, lorsque le logiciel client d'échange de nouvelles 11 est activé, les étapes E400 à E409 sont itérées de la même manière que celle précédemment décrite. Le logiciel client d'échange de nouvelles 11 génère à l'étape E408 un message d'authentification conforme au protocole NNTP à destination du serveur d'échange de nouvelles 14. Ce message d'authentification comprend l'identité de l'utilisateur du terminal de télécommunication ainsi qu'un code d'accréditation transféré précédemment par le fournisseur d'identités 16. Le code d'accréditation remplace par exemple le mot de passe classique de l'utilisateur du terminal de télécommunication 10. Il est à remarquer ici que selon une variante de l'invention, lors de l'activation du logiciel client à l'étape E400, le logiciel client génère une requête à destination d'un fournisseur de services par l'intermédiaire du réseau de télécommunication 10 qui en réponse redirige ce message vers le navigateur http 13 du terminal de télécommunication 10. Lorsque le fournisseur de services redirige le message, est ajoutée à celui-ci l'adresse du fournisseur d'identités 16 auquel il est associé. La Fig. 5 représente l'algorithme effectué par le fournisseur de services selon l'invention. Le processeur 300 du fournisseur de services 14 ou 15 lit, à partir de la mémoire 302, les instructions du programme correspondant aux étapes E500 à E504 de la Fig. 5 et les charge en mémoire vive 303 pour les exécuter. A l'étape E500, le fournisseur de services, par exemple le serveur de messagerie électronique 15 reçoit un message du logiciel client de messagerie électronique 12. Ce message est conforme au message précédemment décrit à l'étape E408 de la Fig. 4. Ce message est conforme au protocole SMTP ou en variante au protocole POP3 ou IMAP. A la réception de ce message 105, le processeur 300 passe à l'étape suivante E501. A cette étape, le processeur 300 détermine le type d'informations contenues dans le message reçu. En effet et selon l'invention, le fournisseur de services est apte à traiter des authentifications classiques de type identifiant et mot de passe, le fournisseur de services est aussi apte à traiter des authentifications comprenant un code d'accréditation délivré par un fournisseur d'identités fonctionnant dans un protocole différent du protocole de communication utilisé par le fournisseur de services. Plus particulièrement, le code d'accréditation est, dans le message, à la place du mot de passe de l'utilisateur du terminal de télécommunication 10 désirant accéder aux services fournis par le fournisseur de services. Ainsi, le processeur 300 détermine dans le message reçu si un code d'accréditation est compris ou non dans le message. Dans la négative, le processeur 300 passe à l'étape E502 et entre dans une procédure classique d'identification et d'authentification de l'utilisateur de terminal de télécommunication 10 avec des informations de type identifiant et mot de passe. Lorsque l'utilisateur du terminal de télécommunication est identifié et authentifié, le processeur 300 passe à l'étape E504. Si un code d'accréditation est compris dans le message, le processeur 300 passe à l'étape E503. A cette étape, le processeur 300 utilise une clé de décryptage et décode le code d'accréditation. Si le code d'accréditation décodé est conforme à des informations préalablement échangées entre le serveur de messagerie électronique 15 et le fournisseur d'identités 16, le processeur passe à l'étape E504. Il est à remarquer qu'en variante, le processeur 300 ne décrypte pas le code d'accréditation et génère un message de demande de validation représenté par la liaison 130 en Fig. 1 à destination du fournisseur d'identités 16. Si le fournisseur d'identités valide ce message, le processeur 300 passe à l'étape E504. A l'étape E504, le serveur de messagerie électronique 15 autorise l'utilisateur du terminal de télécommunication 10 à accéder à la boîte à lettre mémorisée. Il est à remarquer que l'algorithme de la Fig. 5 a été décrit selon l'exemple d'un accès à un serveur de messagerie électronique. De la même façon, les étapes E500 à E504 sont itérées de la même manière par le serveur d'échange de nouvelles 14 que celle précédemment décrite. Les messages transitant entre le serveur d'échange de nouvelles 14 et le logiciel client d'échange de nouvelles 1 1 sont conformes au protocole NNTP. Bien entendu, la présente invention n'est nullement limitée aux modes de réalisation décrits ici, mais englobe, bien au contraire, toute variante à la portée de l'homme du métier. En effet, dans la présente description, les logiciels clients sont reliés aux fournisseurs de services 14 ou 15 par l'intermédiaire d'un réseau de télécommunication Internet 120. L'invention est aussi applicable dans le cadre d'un réseau de télécommunication local, tel qu'un réseau Intranet d'une entreprise. 203, a screen 204, a keyboard 205, a hard disk 208, a CD / CD player / recorder 209, a communication interface 206 with a telecommunications network such as the Internet 120. The hard disk 208 stores the program implementing the invention which will be described later with reference to FIG. 4, as well as the data allowing the unique accreditation according to the invention. These data are, among other things, the different accreditations to service providers 14, 15, 17 and 18. The hard disk 208 also stores the HTTP navigation software 13, the email client software 12 and the client software for exchanging news 11 The programs implementing the invention can also be read via the compact disc player 209 or received via the telecommunications network 120. More generally, the programs according to the present invention are stored in a storage means. . This storage means can be read by a computer or a microprocessor 200. This storage means is integrated or not in the device, and can be removable. It should be noted that when the telecommunications terminal is a personal assistant known under the term PDA, or a mobile telephone, the hard disk 208 is replaced by an information storage means such as for example a memory of SDRAM type. When the telecommunications terminal 10 is powered up, or when one of the client software 11 or 12 is launched, the programs according to the present invention are transferred into the random access memory 203 which then contains the executable code of the invention as well as the data necessary for the implementation of the invention. The telecommunication terminal 10 comprises a screen 204 capable of reproducing the information received from the service providers 14, 15, 17 and 18. The screen 204 is also an element of the man-machine interface of the telecommunication terminal 10 for the first identification and authentication of the user of the telecommunications terminal 10. The telecommunications terminal 10 also includes a keyboard 205 also serving as a man-machine interface. By means of this keyboard 205, the user can enter his password during his first authentication with the identity provider 16. It should be noted here that the keyboard 205 can also be replaced by a touch screen , a mouse, or any other type of human-machine interface. As a variant, the telecommunication terminal also comprises means for capturing fingerprints or means for obtaining characteristics of a pupil of the user of the telecommunication terminal 10. For the sake of clarity, the means for capturing fingerprints and characteristics of a pupil of the user are not shown in FIG. 2 Fig. 3 shows a service provider according to the invention. The service provider is for example the electronic mail server 15. The news exchange server 14 being identical to the electronic mail server 15, it will not be described. The electronic messaging server 15 is for example a microcomputer. It can also be integrated into a personal assistant or a mobile phone. The electronic messaging server 15 comprises a communication bus 301 to which a central unit 300, a read-only memory 302, a random access memory 303, a hard disk 308, a compact disc or CD player / recorder 309, a communication interface are connected. 306 with a telecommunications network such as the Internet 120. The hard disk 308 stores the program implementing the invention which will be described later with reference to FIG. 5. The program implementing the invention can also be read via the compact disc player 309 or received via the telecommunications network 120. The hard drive 308 also stores the emails of users of telecommunications terminals subscribed to its services as well as information to authenticate these users. This information is user identifiers with their associated passwords or, according to the invention, information enabling validation of the accreditation received according to the invention. More generally, the programs according to the present invention are stored in a storage means. This storage means can be read by a computer or a microprocessor 300. This storage means is integrated or not into the device, and can be removable. When the electronic mail server 15 is powered up, the program according to the present invention is transferred into the random access memory 303 which then contains the executable code of the invention as well as the data necessary for the implementation of the invention . The input-output interface 306 is a communication interface capable of ensuring the exchange of information via the Internet network 120 with users of telecommunications terminals. The input-output interface 306 ensures these exchanges of information in accordance with the SMTP protocol. It should be noted that, as a variant, the input-output interface 306 ensures these exchanges of information in accordance with the POP3 protocol or the IMAP protocol. Fig. 4 shows the algorithm performed by the telecommunications device according to the invention. The processor 200 of the telecommunications terminal 10 reads, from the memory 202, the instructions of the program corresponding to steps E400 to E409 of FIG. 4 and loads them into random access memory 203 to execute them. When the user of the telecommunications terminal 10 activates in step E400 for example the electronic messaging client software 12, the processor 200 of the telecommunications terminal 10 proceeds to the next step E401. At this stage, the processor 200 checks whether the HTTP navigation software 13 of the telecommunications terminal 10 is activated. If the HTTP browser 13 is not activated, the processor 200 generates in step E402 a command for the activation of the latter. This operation carried out or if the HTTP browser 13 is already activated, the processor 200 goes to the next step E403. At this stage, a request noted 101 in FIG. 1 is transferred from the electronic messaging client software 12 to the HTTP browser 13. This request is transferred for example by means of messages from applications to applications managed by the operating system of the telecommunications terminal 10. This request includes the identifier of the user, for example his electronic mail address mdupont@wanadoo.fr, an identifier such as the address of the service provider 15 smtp-smtp.wanadoo.fr and an identifier such as the address of the identity provider 16 pau.wanadoo.fr. It should be noted here that the address of the identity provider 16 was previously obtained by the email client software 12 during previous exchanges in accordance with the SMTP protocol with the email server 15. Upon receipt of this request, the HTTP browser 13 transfers a request denoted 102 in FIG. 1 to the identity provider 16 according to the HTTP protocol. It should be noted here that the address of the identity provider 16 is obtained by the HTTP browser 13 by reading the content of the request received in the previous step E403. In our example, the request includes the e-mail address of the user of the telecommunications terminal 10 and an identifier of the service provider 15. The identity provider 16 on receipt of the request 102 determines from the identifier of the user and more precisely from the electronic mail address of the user of the telecommunications terminal 10 whether or not the latter is authorized to access the service provider whose address is contained in request 102. The identity provider 16 interrogates with this information the database 19 of FIG. 1 and thus determines whether the user of the telecommunications terminal 10 is authorized or not to access the service of the electronic messaging server 15. It should be noted that if the user of the telecommunications terminal 10 has not previously been registered for an access, the identity provider 16 enters an identification and authentication procedure with the HTTP browser 13 with the user entering his identifier and a password. The identity provider 16, in response to the request 102 received in step E404 transfers an HTTP message noted 103 in FIG. 1 intended for the HTTP browser 13. The HTTP browser 13 on receipt of the message 103 checks whether this message is an accreditation message. The accreditation message is, according to our example, a Cookie comprising inter alia the identity of the user of the telecommunications terminal 10, the identity of the identity provider, the identity of the service requested and an accreditation code. If the identity provider 16 refuses access by the user of the telecommunications terminal 10 to the electronic messaging server 16, the processor 200 goes to step E406 and generates a message intended for the screen 204 informing the user of the telecommunication terminal 10 of the rejection of the request for access to the electronic mail server 16. This operation carried out, the algorithm of FIG. 4 stops and the processor 200 returns to step E400 awaiting a new activation of client software, for example the client software for exchanging news 11. If the identity provider 16 has transferred a message of accreditation, the processor 200 then passes to step E407. At this stage, the HTTP browser 13 transfers to the electronic messaging client software 12 a message noted 104 in FIG. 1. This message can be the Cookie previously received from the identity provider 16 or only part of the information contained in the Cookie received, such as for example the accreditation code. It should be noted here that steps E404, E405, E406 and E407 are steps performed by the HTTP browser 13. the http browser 13 can include these steps during its creation or these same steps can be added to an HTTP browser which comes connect to existing software and that improves the functionality of the program to which it connects. On receipt of the message 104, the electronic messaging client software 12 generates in step E408 an authentication message noted 105 in FIG. 1 conforms to the SMTP protocol intended for the electronic mail server 15. As a variant, the authentication message 105 conforms to the POP3 protocol or to the IMAP protocol. This authentication message includes the identity of the user of the telecommunications terminal as well as the accreditation code previously transferred by the identity provider 16. The accreditation code replaces for example the classic password of the user of the telecommunication terminal 10. After authentication of this accreditation message by the electronic mail server 15, the user of the terminal telecommunications 10 has access to step E409 to the services offered by the service provider 15. Thus, without entering any identifier and / or password, the user of the telecommunications terminal 10 accesses his electronic mail. It should be noted that the algorithm of FIG. 4 has been described according to the example of access to an electronic mail server. Likewise, when the news exchange client software 11 is activated, the steps E400 to E409 are iterated in the same manner as that previously described. The news exchange client software 11 generates in step E408 an authentication message conforming to the NNTP protocol intended for the news exchange server 14. This authentication message comprises the identity of the user of the terminal as well as an accreditation code previously transferred by the identity provider 16. The accreditation code replaces for example the classic password of the user of the telecommunication terminal 10. It should be noted here that according to a variant of the invention, during the activation of the client software in step E400, the client software generates a request intended for a service provider via the telecommunications network 10 which in response redirects this message to the http browser 13 of the telecommunications terminal 10. When the service provider redirects the message, the address of the identity provider 16 is added to it who he is associated with. Fig. 5 shows the algorithm performed by the service provider according to the invention. The processor 300 of the service provider 14 or 15 reads, from the memory 302, the instructions of the program corresponding to steps E500 to E504 of FIG. 5 and loads them into RAM 303 to execute them. In step E500, the service provider, for example the electronic messaging server 15 receives a message from the electronic messaging client software 12. This message conforms to the message previously described in step E408 of FIG. 4. This message conforms to the SMTP protocol or alternatively to the POP3 or IMAP protocol. On receipt of this message 105, the processor 300 goes to the next step E501. At this stage, the processor 300 determines the type of information contained in the message received. In fact and according to the invention, the service provider is able to process conventional authentication of the identifier and password type, the service provider is also able to process authentication comprising an accreditation code issued by a service provider. identities operating in a protocol different from the communication protocol used by the service provider. More particularly, the accreditation code is, in the message, in place of the password of the user of the telecommunications terminal 10 wishing to access the services provided by the service provider. Thus, the processor 300 determines in the received message whether or not an accreditation code is included in the message. If not, the processor 300 goes to step E502 and enters into a conventional procedure for identifying and authenticating the user of telecommunication terminal 10 with information of the identifier and password type. When the user of the telecommunications terminal is identified and authenticated, the processor 300 goes to step E504. If an accreditation code is included in the message, the processor 300 goes to step E503. At this stage, the processor 300 uses a decryption key and decodes the accreditation code. If the decoded accreditation code conforms to information previously exchanged between the electronic messaging server 15 and the identity provider 16, the processor goes to step E504. It should be noted that, as a variant, the processor 300 does not decrypt the accreditation code and generates a validation request message represented by the link 130 in FIG. 1 to the identity provider 16. If the identity provider validates this message, the processor 300 goes to step E504. In step E504, the electronic messaging server 15 authorizes the user of the telecommunication terminal 10 to access the memorized mailbox. It should be noted that the algorithm of FIG. 5 has been described according to the example of access to an electronic mail server. In the same way, steps E500 to E504 are iterated in the same way by the news exchange server 14 as that previously described. The messages passing between the news exchange server 14 and the news exchange client software 11 are in accordance with the NNTP protocol. Of course, the present invention is not limited to the embodiments described here, but encompasses, quite the contrary, any variant within the reach of ordinary skill in the art. In this description, the client software is linked to the service providers 14 or 15 via an Internet telecommunications network 120. The invention is also applicable in the context of a local telecommunications network, such as a corporate intranet.

Claims

REVENDICATIONS
1) Procédé de transfert d'informations par un logiciel client (11, 12) d'un terminal de télécommunication (10) pour l'accréditation d'un utilisateur du terminal de télécommunication à un fournisseur de services (14, 15), le logiciel client étant relié au fournisseur de services par l'intermédiaire d'un réseau de télécommunication (120), un fournisseur d'identités (16) étant accessible par un logiciel accédant entre autres au fournisseur d'identités (13) du terminal de télécommunication par l'intermédiaire d'un réseau de télécommunication (120), caractérisé en ce que le procédé comporte les étapes de : - génération (E403) par le logiciel client d'un message- (101) à destination du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication pour obtenir une accréditation du fournisseur d'identités, - obtention (E407) par le logiciel client d'une accréditation (104) du fournisseur d'identités du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication, - génération (E408) par le logiciel client d'au moins un message (105) à destination du fournisseur de services, le message comprenant au moins des informations de l'accréditation obtenue.1) Method for transferring information by client software (11, 12) of a telecommunication terminal (10) for the accreditation of a user of the telecommunication terminal to a service provider (14, 15), the client software being connected to the service provider via a telecommunications network (120), an identity provider (16) being accessible by software accessing inter alia the identity provider (13) of the telecommunications terminal by means of a telecommunication network (120), characterized in that the method comprises the steps of: - generation (E403) by the client software of a message (101) intended for the software accessing inter alia the identity provider of the telecommunications terminal to obtain an accreditation from the identity provider, - obtaining (E407) by the client software of an accreditation (104) from the identity provider of the software accessing between e others to the identity provider of the telecommunications terminal, - generation (E408) by the client software of at least one message (105) intended for the service provider, the message comprising at least information of the accreditation obtained.
2) Procédé selon la revendication 1, caractérisé en ce que les informations échangées entre le logiciel client du terminal de télécommunication et le fournisseur de services sont conformes à un premier protocole de communication et les informations échangées entre le logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication et le fournisseur d'identités sont conformes à un second protocole de communication différent du premier protocole.2) Method according to claim 1, characterized in that the information exchanged between the client software of the telecommunication terminal and the service provider conforms to a first communication protocol and the information exchanged between the software accessing inter alia the provider of identities of the telecommunications terminal and the identity provider conform to a second communication protocol different from the first protocol.
3) Procédé selon la revendication 1 ou 2, caractérisé en ce que le procédé comporte en outre, préalablement à l'étape de génération du message à destination du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication, une étape d' activation (E402) par le logiciel client du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication. 4) Procédé selon la revendication 1 ou 3, caractérisé en ce que les informations de l'accréditation obtenue sont un code d'accréditation.3) Method according to claim 1 or 2, characterized in that the method further comprises, prior to the step of generating the message to the software accessing among other things the identity provider of the telecommunications terminal, a step of activation (E402) by the client software of the software accessing inter alia the identity provider of the telecommunications terminal. 4) Method according to claim 1 or 3, characterized in that the information of the accreditation obtained is an accreditation code.
5) Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que le message (101) généré par le logiciel client à destination du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication comporte un identifiant de l'utilisateur du terminal de télécommunication, un identifiant du fournisseur de services et un identifiant du fournisseur d'identités. 6) Procédé selon la revendication 5, caractérisé en ce que le logiciel accédant entre autres au fournisseur d'identités : - génère (E404) au moins un message (102) à destination du fournisseur d'identités comprenant au moins l'identifiant de l'utilisateur du terminal de télécommunication et l'identifiant du fournisseur de services, - obtient une accréditation (103) du fournisseur d'identités, l'accréditation étant sous forme d'informations de taille réduite comprenant l'identité de l'utilisateur, l'identité du fournisseur d'identités, l'identité du fournisseur de services et un code d'accréditation, - transfère (E407) au moins le code d'accréditation au logiciel client.5) Method according to any one of claims 1 to 4, characterized in that the message (101) generated by the client software intended for the software accessing inter alia the identity provider of the telecommunication terminal comprises an identifier of the user of the telecommunications terminal, an identifier of the service provider and an identifier of the identity provider. 6) Method according to claim 5, characterized in that the software accessing inter alia the identity provider: - generates (E404) at least one message (102) intended for the identity provider comprising at least the identifier of the user of the telecommunications terminal and the identifier of the service provider, - obtains accreditation (103) from the identity provider, the accreditation being in the form of reduced-size information comprising the identity of the user, identity of the identity provider, the identity of the service provider and an accreditation code, - transfers (E407) at least the accreditation code to the client software.
7) Procédé selon l'une quelconque des revendications 2 à 6, caractérisé en ce que les informations échangées entre le logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication et le fournisseur d'identités sont conformes au protocole HTTP et en ce que le logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication est un navigateur HTTP.7) Method according to any one of claims 2 to 6, characterized in that the information exchanged between the software accessing inter alia the identity provider of the telecommunications terminal and the identity provider conform to the HTTP protocol and in that that the software accessing, among other things, the identity provider of the telecommunications terminal is an HTTP browser.
8) Procédé selon la revendication 7, caractérisé en ce que les informations échangées entre le logiciel client du terminal de télécommunication et le fournisseur de services sont conformes à un protocole SMTP ou à un protocole NNTP ou à un protocole POP3 ou à un protocole IMAP ou à un protocole XMPP, ou à un protocole SIP ou à un protocole H323.8) Method according to claim 7, characterized in that the information exchanged between the client software of the telecommunication terminal and the service provider conforms to an SMTP protocol or to an NNTP protocol or to a POP3 protocol or to an IMAP protocol or to an XMPP protocol, or to a SIP protocol or to an H323 protocol.
9) Procédé de traitement d'un message d'accréditation d'un utilisateur d'un terminal de télécommunication par un fournisseur de services, le message d'accréditation étant transféré par un logiciel client du terminal de télécommunication selon la revendication 1 , caractérisé en ce que le procédé comporte les étapes de : -détermination (E501) dans le message reçu (105) de la présence d'un code d'accréditation délivré par un fournisseur d'identités, - si un code d'accréditation est présent dans le message reçu, vérification9) Method for processing an accreditation message from a user of a telecommunications terminal by a service provider, the message of accreditation being transferred by client software of the telecommunication terminal according to claim 1, characterized in that the method comprises the steps of: -determination (E501) in the message received (105) of the presence of a code accreditation issued by an identity provider, - if an accreditation code is present in the message received, verification
(E503) de la conformité du code d'accréditation et autorisation de l'utilisateur du terminal de télécommunications à accéder à au moins un service du fournisseur de services, - si un code d'accréditation n'est pas présent dans le message, vérification (E504) de la conformité d'un mot de passe associé à l'utilisateur et autorisation de l'utilisateur du terminal de télécommunications à accéder à au moins un service du fournisseur de services.(E503) of the conformity of the accreditation code and authorization of the user of the telecommunications terminal to access at least one service of the service provider, - if an accreditation code is not present in the message, verification (E504) of the conformity of a password associated with the user and authorization of the user of the telecommunications terminal to access at least one service of the service provider.
10) Procédé selon la revendication 9, caractérisé en ce que le code d'accréditation est compris dans un champ du message destiné à comprendre un mot de passe de l'utilisateur du terminal de télécommunication.10) Method according to claim 9, characterized in that the accreditation code is included in a field of the message intended to include a password of the user of the telecommunications terminal.
11) Procédé selon la revendication 9 ou 10, caractérisé en ce que la vérification de la conformité du code d'accréditation est effectuée en décryptant ledit code d'identification ou en interrogeant le fournisseur d'identités pour obtenir une confirmation de ladite accréditation.11) Method according to claim 9 or 10, characterized in that the verification of the conformity of the accreditation code is carried out by decrypting said identification code or by questioning the identity provider to obtain confirmation of said accreditation.
12) Dispositif de transfert d'informations par un logiciel client (11, 12) d'un terminal de télécommunication (10) pour l'accréditation d'un utilisateur du terminal de télécommunication à un fournisseur de services (14, 15), le logiciel client étant relié au fournisseur de services par l'intermédiaire d'un réseau de télécommunication (120), un fournisseur d'identités (16) étant accessible par un logiciel accédant entre autres au fournisseur d'identités (13) du terminal de télécommunication par l'intermédiaire d'un réseau de télécommunication (120), caractérisé en ce que le dispositif comporte : - des moyens de génération par le logiciel client d'un message (101) à destination du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication pour obtenir une accréditation du fournisseur d'identités, - des moyens d'obtention par le logiciel client d'une accréditation du fournisseur d'identités du logiciel accédant entre autres au fournisseur d'identités du terminal de télécommunication, - des moyens de génération par le logiciel client d'au moins un message (105) à destination du fournisseur de services, le message comprenant au moins des informations de l'accréditation obtenue.12) Device for transferring information by client software (11, 12) of a telecommunication terminal (10) for the accreditation of a user of the telecommunication terminal to a service provider (14, 15), the client software being connected to the service provider via a telecommunications network (120), an identity provider (16) being accessible by software accessing inter alia the identity provider (13) of the telecommunications terminal via a telecommunications network (120), characterized in that the device comprises: - means by the client software for generating a message (101) intended for the software accessing inter alia the identity provider the telecommunications terminal to obtain accreditation from the identity provider, means for obtaining by the client software an accreditation of the identity supplier of the software accessing inter alia the identity supplier of the telecommunications terminal, means of generation by the client software of at least one message ( 105) to the service provider, the message comprising at least information on the accreditation obtained.
13) Dispositif de traitement d'un message d'accréditation d'un utilisateur d'un terminal de télécommunication par un fournisseur de services, le message d'accréditation étant transféré par un logiciel client du dispositif de transfert selon la revendication 12, caractérisé en ce que le dispositif comporte : - des moyens de détermination dans le message reçu de la présence d'un code d'accréditation délivré par un fournisseur d'identités, - des moyens de vérification de la conformité d'un code d'accréditation et d'autorisation de l'utilisateur du terminal de télécommunications à accéder à au moins un service du fournisseur de services si un code d'accréditation est présent dans le message reçu, - des moyens de vérification de la conformité d'un mot de passe associé à l'utilisateur et d'autorisation de l'utilisateur du terminal de télécommunications à accéder à au moins un service du fournisseur de services si un code d'accréditation n'est pas présent dans le message.13) Device for processing an accreditation message from a user of a telecommunication terminal by a service provider, the accreditation message being transferred by client software of the transfer device according to claim 12, characterized in what the device includes: - means for determining in the message received the presence of an accreditation code issued by an identity provider, - means for verifying the conformity of an accreditation code and d authorization of the user of the telecommunications terminal to access at least one service of the service provider if an accreditation code is present in the message received, - means for verifying the conformity of a password associated with the user and authorization of the user of the telecommunications terminal to access at least one service of the service provider if an accreditation code is not present in the message.
14) Programme d'ordinateur stocké sur un' support d'informations, ledit programme comportant des instructions permettant de mettre en œuvre le procédé selon l'une quelconque des revendications 1 à 11, lorsqu'il est chargé et exécuté par un système informatique. 14) Computer program stored on an information medium, said program comprising instructions making it possible to implement the method according to any one of claims 1 to 11, when it is loaded and executed by a computer system.
EP03758197A 2003-08-01 2003-08-01 Method and device for guaranteeing a user to a service provider Withdrawn EP1649657A1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/FR2003/002449 WO2005022864A1 (en) 2003-08-01 2003-08-01 Method and device for guaranteeing a user to a service provider

Publications (1)

Publication Number Publication Date
EP1649657A1 true EP1649657A1 (en) 2006-04-26

Family

ID=34259337

Family Applications (1)

Application Number Title Priority Date Filing Date
EP03758197A Withdrawn EP1649657A1 (en) 2003-08-01 2003-08-01 Method and device for guaranteeing a user to a service provider

Country Status (3)

Country Link
EP (1) EP1649657A1 (en)
AU (1) AU2003274214A1 (en)
WO (1) WO2005022864A1 (en)

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2005022864A1 *

Also Published As

Publication number Publication date
AU2003274214A1 (en) 2005-03-16
WO2005022864A1 (en) 2005-03-10

Similar Documents

Publication Publication Date Title
EP1327345B1 (en) Method for controlling access to internet sites
EP2294776B1 (en) Method and system for user access to at least one service offered by at least one other user
EP2795870B1 (en) Method enabling a telecommunications terminal to access a database hosted by a service platform that can be accessed via a telecommunications network
EP1537718B1 (en) Automatic authentication selection server
EP2001196A1 (en) Management of user identities for access to services
WO2012097864A1 (en) Sharing content online
WO2006010810A2 (en) Method and system for certifying a user identity
EP1637989A1 (en) Method and system for the separation of accounts of personal data
WO2005006646A9 (en) Method for securing an electronic certificate
EP1649665A2 (en) Method and system for double secured authentication of a user during access to a service by means of a data transmission network
EP1649657A1 (en) Method and device for guaranteeing a user to a service provider
FR2828362A1 (en) Mobile telephone/computer server network controlled digital word exchange having client terminal protection server transmitting/part words protected non authorized reading and client terminal generating user preference profile.
EP3206149B1 (en) Method for monitoring a parameter indicating a level of confidence associated with a user account of an online service
WO2021198606A1 (en) Method and device for authenticating a user with an application
FR3114714A1 (en) A method of accessing a set of user data.
FR2827458A1 (en) Virtual operator representing physical operator radiocommunications process having radiocommunication mechanism authenticating parameters and another physical operator establishing new authentication parameters/specific services.
EP4241416A1 (en) Method for delegating access to a blockchain
EP4362391A1 (en) Method for managing access of a user to at least one application, associated computer program and system
WO2022214768A1 (en) Method for controlling access to goods or services distributed via a data communication network
EP4187409A1 (en) Method and system for authenticating a user on an identity as a service server
FR2864283A1 (en) Digital document accessing process for peer to peer communication network, involves searching collections, containing document and user identifiers, stored locally in response to using document based on right of access to collection
FR2888437A1 (en) Service e.g. marine meteorological consultation service, access controlling method for e.g. mobile telephone, involves downloading marked validation tokens in multimedia terminal before user chooses service to be utilized
EP1642442A1 (en) Device for personalising communication processing
EP1484895A1 (en) Process of access to a network or a service by using a protocol of the family of PPPoX protocols, and architecture implementing such a process
WO2006056667A1 (en) Public key certificate for the transfer of confidential information

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20051205

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PT RO SE SI SK TR

DAX Request for extension of the european patent (deleted)
RIN1 Information on inventor provided before grant (corrected)

Inventor name: CROM, JEAN-MICHEL

Inventor name: MAINARD, LAURENT

Inventor name: MERCIER, VALERIE

RIN1 Information on inventor provided before grant (corrected)

Inventor name: MERCIER, VALERIE

Inventor name: MAINARD, LAURENT

Inventor name: CROM, JEAN-MICHEL

17Q First examination report despatched

Effective date: 20060328

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20101012