FR2852471A1 - Access authentication device for information system e.g. enterprises internal network, has stand-alone mobile component with photosensitive sensor to detect sequence of images displayed by user terminal for inferring variable access - Google Patents
Access authentication device for information system e.g. enterprises internal network, has stand-alone mobile component with photosensitive sensor to detect sequence of images displayed by user terminal for inferring variable access Download PDFInfo
- Publication number
- FR2852471A1 FR2852471A1 FR0303095A FR0303095A FR2852471A1 FR 2852471 A1 FR2852471 A1 FR 2852471A1 FR 0303095 A FR0303095 A FR 0303095A FR 0303095 A FR0303095 A FR 0303095A FR 2852471 A1 FR2852471 A1 FR 2852471A1
- Authority
- FR
- France
- Prior art keywords
- variable
- user
- security server
- access
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C5/00—Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Description
L'invention concerne les dispositifs et procédés d'authentificationThe invention relates to authentication devices and methods.
permettant un accès sécurisé à des systèmes d'information ou tout autre application nécessitant une authentification. allowing secure access to information systems or any other application requiring authentication.
Les procédés d'authentification classiques consistent à vérifier l'identité d'un utilisateur en lui demandant de saisir son identifiant (son nom) et un mot de passe personnel, au moment o il se connecte à un système d'information. L'identifiant et le mot de passe sont transmis au système 10 d'information qui autorise ou non l'accès à l'utilisateur. Conventional authentication methods consist in verifying the identity of a user by asking him to enter his identifier (his name) and a personal password when he connects to an information system. The identifier and the password are transmitted to the information system 10 which authorizes or not the access to the user.
Un inconvénient de ces procédés d'authentification est que les informations d'identification fournies par l'utilisateur peuvent être capturées lors de ses échanges avec le système d'information, et réutilisées. A drawback of these authentication methods is that the identification information supplied by the user can be captured during its exchanges with the information system, and reused.
C'est pourquoi, il existe des procédés d'authentification dits " forts " 15 qui utilisent des moyens d'authentification logiciels ettou matériels (cartes à puce, token, biométrie, etc.). This is why there are so-called "strong" authentication methods which use software and / or hardware authentication means (smart cards, token, biometrics, etc.).
Certains moyens d'authentification de type logiciels mettent en oeuvre un protocole d'échange de type OTP (" One-time Password " selon la terminologie anglo-saxonne généralement employée) entre un serveur de 20 sécurité et l'utilisateur. Selon ce protocole, un mot de passe nouveau est généré à chaque fois qu'un utilisateur est authentifié, de sorte qu'il soit impossible de réutiliser un mot de passe lors d'une connexion ultérieure. Certain software type authentication means implement an OTP (One-time Password) exchange protocol according to the English terminology generally used) between a security server and the user. According to this protocol, a new password is generated each time a user is authenticated, so that it is impossible to reuse a password during a subsequent connection.
Une particularité de ces moyens d'authentification logiciels est qu'ils comprennent des moyens générateurs de mot de passe chez l'utilisateur. A special feature of these software authentication means is that they include password generating means for the user.
Ces moyens générateurs se présentent par exemple sous la forme d'une application directement installée sur le terminal de l'utilisateur (c'est le cas par exemple des systèmes connus sous la marque " SofTokenTm "). These generating means are for example in the form of an application directly installed on the user's terminal (this is the case for example of systems known under the brand "SofTokenTm").
Les moyens générateurs peuvent également se présenter sous forme d'une clé électronique pouvant être connectée à un port USB du 30 terminal de l'utilisateur (c'est la cas par exemple des systèmes connu sous la marque " iKeyT "). The generating means can also be in the form of an electronic key which can be connected to a USB port on the user's terminal (this is the case, for example, of systems known under the brand "iKeyT").
Enfin, les moyens générateurs peuvent également se présenter sous forme d'un appareil portable (c'est le cas par exemple des systèmes connus sous les marques "ActivCard OneTm ", " Silver 2000TM ", " MobilePassTm "). Le principal avantage de ces appareils est que l'utilisateur peut se connecter à partir de n'importe quel terminal, ce terminal n'intégrant pas d'application spécifique. Finally, the generating means can also be in the form of a portable device (this is the case for example of the systems known under the brands "ActivCard OneTm", "Silver 2000TM", "MobilePassTm"). The main advantage of these devices is that the user can connect from any terminal, this terminal does not integrate a specific application.
Le protocole OTP est par exemple décrit dans le document " A One-Time Password System " mis à disposition du public sous la référence RCF 2289 par l'IETF (Internet Engineering Task Force). The OTP protocol is for example described in the document "A One-Time Password System" made available to the public under the reference RCF 2289 by the IETF (Internet Engineering Task Force).
La procédure d'authentification selon le protocole OTP comprend plusieurs étapes. The authentication procedure according to the OTP protocol comprises several steps.
Selon l'une de ces étapes, un serveur de sécurité communique à un utilisateur souhaitant se connecter à un système d'information une variable d'accès sous la forme d'un code alphanumérique. Cette variable d'accès dépend de l'identifiant de l'utilisateur et de la chronologie de la connexion. According to one of these steps, a security server communicates to an user wishing to connect to an information system an access variable in the form of an alphanumeric code. This access variable depends on the user identifier and the chronology of the connection.
L'utilisateur saisit le code fourni par le serveur de sécurité dans les moyens 15 générateurs et ceux-ci génèrent un mot de passe à usage unique à partir de ce code. L'utilisateur saisi le mot de passe ainsi généré par les moyens générateurs sur le terminal utilisateur et le transmet au serveur de sécurité. The user enters the code provided by the security server into the generator means and these generate a one-time password from this code. The user enters the password thus generated by the generating means on the user terminal and transmits it to the security server.
Le serveur de sécurité compare le mot de passe fourni par l'utilisateur avec un mot de passe qu'il a lui-même calculé. En fonction de 20 cette comparaison, il autorise ou non l'accès de l'utilisateur au système d'information. The security server compares the password provided by the user with a password that he calculated himself. Depending on this comparison, it authorizes or not the user's access to the information system.
Le protocole OTP est ainsi basé sur le fait que le serveur de sécurité et les moyens générateurs détiennent des informations communes (secrets partagés), en particulier: un paramètre lié à la chronologie de 25 connexion et une fonction permettant de générer un mot de passe à usage unique. Ces informations communes ne peuvent être capturées car elles ne transitent jamais entre le serveur de sécurité et l'utilisateur. En outre, le paramètre correspondant à la chronologie de connexion varie à chaque connexion de sorte que le mot de passe généré n'est jamais le même. The OTP protocol is thus based on the fact that the security server and the generating means hold common information (shared secrets), in particular: a parameter linked to the connection chronology and a function making it possible to generate a password for Disposable. This common information cannot be captured because it never travels between the security server and the user. In addition, the setting corresponding to the connection chronology varies with each connection so that the password generated is never the same.
On notera que pour obtenir une concordance entre les paramètres liés à la chronologie de connexion détenus par le serveur de sécurité et par les moyens générateurs, ceux-ci doivent être synchronisés entre eux. It will be noted that in order to obtain a concordance between the parameters linked to the connection chronology held by the security server and by the generating means, these must be synchronized with one another.
En outre, dans le cas de moyens générateurs portables, le processus d'authentification requière que l'utilisateur saisisse un certain nombre de codes durant la procédure d'authentification, ces codes étant à destination soit du serveur de sécurité, soit des moyens générateurs. Il 5 s'ensuit que les opérations d'authentification sont relativement fastidieuses pour l'utilisateur. In addition, in the case of portable generator means, the authentication process requires the user to enter a certain number of codes during the authentication procedure, these codes being intended either for the security server or for generator means. It follows that the authentication operations are relatively tedious for the user.
Un but de l'invention est de fournir un dispositif d'authentification présentant une interface simplifiée pour l'utilisateur. An object of the invention is to provide an authentication device having a simplified interface for the user.
A cet effet, l'invention propose un dispositif d'authentification du 10 type utilisant un mot de passe à usage unique, comprenant un serveur de sécurité apte à générer une variable d'accès lorsqu'il reçoit une demande de connexion de la part d'un terminal utilisateur, caractérisé en ce que le serveur de sécurité est apte à transmettre la variable d'accès au terminal utilisateurs sous la forme d'une image ou d'une séquence d'images, de 15 sorte qu'un dispositif générateur comportant des moyens optiques de détection soit apte à détecter ladite image ou séquence d'images affichée par le terminal utilisateurs pour en déduire la variable d'accès. To this end, the invention provides an authentication device of the type using a single-use password, comprising a security server capable of generating an access variable when it receives a connection request from the user. a user terminal, characterized in that the security server is able to transmit the access variable to the user terminal in the form of an image or a sequence of images, so that a generating device comprising optical detection means is capable of detecting said image or sequence of images displayed by the user terminal in order to deduce the access variable therefrom.
Grâce au dispositif d'authentification de l'invention, la variable d'accès fournie par le serveur de sécurité au terminal utilisateurs est 20 présentée sous forme d'une image ou d'une séquence d'images. Cette image ou séquence d'images peut être lue directement par le dispositif générateur de sorte que l'utilisateur n'a pas à saisir manuellement la variable d'accès dans le dispositif générateur. Thanks to the authentication device of the invention, the access variable provided by the security server to the user terminal is presented in the form of an image or a sequence of images. This image or sequence of images can be read directly by the generating device so that the user does not have to manually enter the access variable in the generating device.
L'invention propose également un dispositif générateur sous la 25 forme d'un terminal portable, apte à générer un mot de passe à usage unique en fonction d'une variable d'accès fournie par un serveur de sécurité d'un dispositif d'authentification, caractérisé en ce qu'il comprend des moyens optiques de détection aptes à détecter une image ou une séquence d'images fournie par le serveur de sécurité et en ce qu'il est apte à en 30 déduire la variable d'accès. The invention also provides a generator device in the form of a portable terminal, capable of generating a single-use password as a function of an access variable provided by a security server of an authentication device. , characterized in that it comprises optical detection means capable of detecting an image or a sequence of images supplied by the security server and in that it is able to deduce therefrom the access variable.
Le dispositif générateur de l'invention comprend des moyens optiques de détection de sorte qu'il peut être utilisé en combinaison avec le dispositif d'authentification qui précède. The generator device of the invention comprises optical detection means so that it can be used in combination with the above authentication device.
Le dispositif d'authentification et le dispositif générateur proposés ne nécessitent aucun ajout logiciel ou matériel sur le terminal utilisateurs. Il en résulte que l'utilisateur peut être authentifié à partir de n'importe quel terminal utilisateurs. The authentication device and the generator device proposed do not require any software or hardware addition on the user terminal. As a result, the user can be authenticated from any user terminal.
Dans une mise en oeuvre avantageuse de l'invention, l'image affichée par le terminal utilisateurs et lue par le dispositif générateur est la représentation d'un code alphanumérique. Cette image est par exemple un code-barre. In an advantageous implementation of the invention, the image displayed by the user terminal and read by the generator device is the representation of an alphanumeric code. This image is for example a barcode.
D'autres caractéristiques et avantages ressortiront encore de la 10 description qui suit, laquelle est purement illustrative et non limitative et doit être lue en regard des figures annexées parmi lesquelles: - la figure 1 représente un exemple de dispositif d'authentification conforme à la présente invention, - la figure 2 représente un exemple de dispositif générateur 15 conforme à la présente invention destiné à être utilisé dans le cadre du dispositif d'authentification de la figure 1. Other characteristics and advantages will also emerge from the description which follows, which is purely illustrative and not limiting and should be read with reference to the appended figures, in which: - Figure 1 shows an example of an authentication device in accordance with this FIG. 2 represents an example of a generating device 15 according to the present invention intended to be used in the context of the authentication device of FIG. 1.
Sur la figure 1, le dispositif d'authentification comprend un serveur de sécurité 10 lié à un système d'information 20 qui est par exemple le réseau interne d'une entreprise. Ce système d'information est accessible 20 par un terminal utilisateurs 30 tel qu'un ordinateur standard, via un réseau de transmission de données 40 tel qu'lnternet par exemple. In FIG. 1, the authentication device comprises a security server 10 linked to an information system 20 which is for example the internal network of a company. This information system is accessible 20 by a user terminal 30 such as a standard computer, via a data transmission network 40 such as the Internet for example.
Lorsqu'un utilisateur souhaite se connecter au système d'information 20 à partir du terminal 30, le serveur de sécurité 10 est apte à mettre en oeuvre un procédé d'authentification à l'issue duquel il autorise ou 25 non l'utilisateur à accéder au système d'information. When a user wishes to connect to the information system 20 from the terminal 30, the security server 10 is able to implement an authentication method at the end of which he authorizes or not the user to access to the information system.
Un utilisateur, autorisé à accéder au système d'information 20 possède un CMA (Composant Mobile Autonome). Un exemple de CMA est représenté sur la figure 2. Le CMA 50 comprend un écran 51 et éventuellement un clavier 52. Il comprend également un capteur 30 photosensible 53. Ce CMA peut par exemple consister en un assistant électronique PDA (Personal Digital Assistant) intégrant une application de génération de mot de passe. A user authorized to access the information system 20 has a CMA (Autonomous Mobile Component). An example of a CMA is shown in FIG. 2. The CMA 50 comprises a screen 51 and possibly a keyboard 52. It also includes a photosensitive sensor 53. This CMA can for example consist of an electronic assistant PDA (Personal Digital Assistant) integrating a password generation application.
Le serveur de sécurité 10 comprend des moyens mémoire dans lesquels est stockée une base de données comprenant un ensemble d'identifiant (ou login) correspondant à un ensemble d'utilisateurs autorisés à accéder au système d'information 20. Chaque identifiant est associé à 5 une variable NSERV qui dont la valeur est fixée initialement à 2 par exemple. The security server 10 comprises memory means in which is stored a database comprising a set of identifier (or login) corresponding to a set of users authorized to access the information system 20. Each identifier is associated with 5 an NSERV variable which whose value is initially set at 2 for example.
De même, le CMA 50 contient une variable NPIC dont la valeur est initialement fixée à 2. Similarly, the CMA 50 contains an NPIC variable whose value is initially set to 2.
Ces variables NSERV et NPIC seront incrémentées à chaque 10 connexion de l'utilisateur au système d'information 20. These NSERV and NPIC variables will be incremented each time the user connects to the information system 20.
On va maintenant décrire les différentes étapes d'authentification mises en oeuvre par le serveur de sécurité. We will now describe the different authentication steps implemented by the security server.
Selon une première étape, le serveur de sécurité 10 transmet de manière classique un formulaire HTML de demande d'autorisation de 15 connexion au terminal utilisateurs 30 dans lequel il demande à l'utilisateur de s'identifier. L'utilisateur doit alors saisir sur le terminal 30 un identifiant LOGIN qui peut être par exemple son nom. Cet identifiant est transmis au serveur de sécurité 10 via le réseau 40. According to a first step, the security server 10 conventionally transmits an HTML form for requesting authorization for connection to the user terminal 30 in which it requests the user to identify himself. The user must then enter on the terminal 30 a LOGIN identifier which can for example be his name. This identifier is transmitted to the security server 10 via the network 40.
Selon une deuxième étape, le serveur de sécurité 10 reconnaît 20 l'identifiant LOGIN de l'utilisateur et détermine en fonction de cet identifiant une variable d'accès VINTERM. Cette variable est calculée de la manière suivante: VINTERM = J{NSER[ x ASCII(LOGIN) o f est une fonction de hachage, NSERV est une variable correspondant 25 au nombre de connexions réalisées par l'utilisateur et ASCII est la valeur ASCII (American Standard Code for Information Interchange) de l'identifiant de l'utilisateur. According to a second step, the security server 10 recognizes the identifier LOGIN of the user and determines as a function of this identifier an access variable VINTERM. This variable is calculated as follows: VINTERM = J {NSER [x ASCII (LOGIN) of is a hash function, NSERV is a variable corresponding to the number of connections made by the user and ASCII is the value ASCII (American Standard Code for Information Interchange) of the user ID.
La fonction f de hachage permet d'obtenir une variable VINTERM codée sur 32 bits. The hash function f allows to obtain a VINTERM variable coded on 32 bits.
Le serveur de sécurité 10 transmet au terminal utilisateur 30 une image ou une séquence d'images représentative de cette variable VINTERM. The security server 10 transmits to the user terminal 30 an image or a sequence of images representative of this variable VINTERM.
Par exemple, le serveur de sécurité 10 traduit la variable VINTERM en un code-barre et transmet ce code-barre au terminal utilisateur 30 sous la forme d'une image représentant les traits du code-barre. For example, the security server 10 translates the variable VINTERM into a bar code and transmits this bar code to the user terminal 30 in the form of an image representing the lines of the bar code.
Il transmet également un formulaire HTML dans lequel il demande à l'utilisateur son mot de passe. It also transmits an HTML form in which it asks the user for his password.
Le serveur de sécurité 10 calcule également une variable HSTOC de la manière suivante: HSTOC = f [NSERV x VINTERM] Cette variable HSTOC n'est pas transmise au terminal utilisateur. The security server 10 also calculates an HSTOC variable as follows: HSTOC = f [NSERV x VINTERM] This HSTOC variable is not transmitted to the user terminal.
Selon une troisième étape, le terminal utilisateur 30 affiche l'image représentant le code-barre. L'utilisateur scanne le code-barre ainsi affiché à l'aide de son CMA 50. A cet effet, il passe le capteur photosensible 53 du CMA 50 devant l'image. Le capteur photosensible 53 détecte le code-barre et le CMA en déduit la variable d'accès VINTERM. According to a third step, the user terminal 30 displays the image representing the bar code. The user scans the barcode thus displayed using his CMA 50. To this end, he passes the photosensitive sensor 53 of the CMA 50 in front of the image. The photosensitive sensor 53 detects the bar code and the CMA deduces therefrom the access variable VINTERM.
Le CMA 50 calcule ensuite un mot de passe PWDPIC codé sur 32 bits à partir de la variable d'accès VINTERM de la manière suivante: PWDPIC = NPt C x VINTERMI Le CMA affiche sur son écran le mot de passe PWDPIC. The CMA 50 then calculates a password PWDPIC coded on 32 bits from the access variable VINTERM as follows: PWDPIC = NPt C x VINTERMI The CMA displays the password PWDPIC on its screen.
En parallèle, le CMA 50 incrémente la variable NPIC de la manière 20 suivante: NPIC = NPIC + 2 Selon une quatrième étape, l'utilisateur remplit le formulaire HTML en saisissant sur le terminal utilisateur 30 le mot de passe PWDPIC fourni par le CMA 50. Le mot de passe est transmis au serveur de sécurité 10. In parallel, the CMA 50 increments the variable NPIC in the following manner: NPIC = NPIC + 2 According to a fourth step, the user fills in the HTML form by entering on the user terminal 30 the password PWDPIC provided by the CMA 50 The password is transmitted to the security server 10.
Selon une variante de cette quatrième étape, l'utilisateur saisit le mot de passe PWDPIC fourni par le CMA 50 ainsi qu'un mot de passe personnel PWDPS classique. Ces mots de passe peuvent par exemple être concaténés pour former un mot de passe composé PWDPICPWDPS. According to a variant of this fourth step, the user enters the password PWDPIC provided by the CMA 50 as well as a conventional personal password PWDPS. These passwords can for example be concatenated to form a compound password PWDPICPWDPS.
Cette variante permet avantageusement de combiner 30 l'authentification classique par mot de passe et l'authentification logicielle à mot de passe à usage unique. This variant advantageously makes it possible to combine conventional authentication by password and software authentication with one-time password.
Le mot de passe saisi par l'utilisateur est transmis au serveur de sécurité 10. The password entered by the user is transmitted to the security server 10.
Selon une cinquième étape, le serveur de sécurité 10 compare le mot de passe fourni par l'utilisateur avec la variable HSTOC qu'il a calculée. According to a fifth step, the security server 10 compares the password supplied by the user with the HSTOC variable that it has calculated.
Il vérifie la condition suivante: PWDPIC = HSTOC ? Dans le cas o l'utilisateur a transmis un mot de passe composé PWDPICPWDPS, le serveur de sécurité scinde le mot de passe en deux parties et vérifie si l'une des conditions suivantes est remplie: 10 PWDPIC = HSTOC ? ou PWDPS = HSTOC ? Si l'une des conditions est vérifiée, le serveur de sécurité contrôle de manière classique le mot de passe personnel PWDPS de l'utilisateur. It checks the following condition: PWDPIC = HSTOC? In the case where the user has transmitted a compound password PWDPICPWDPS, the security server splits the password into two parts and checks whether one of the following conditions is met: 10 PWDPIC = HSTOC? or PWDPS = HSTOC? If any of the conditions are true, the security server typically controls the user's personal PWDPS password.
Si toutes les conditions sont vérifiées, le serveur de sécurité 10 en 15 déduit que l'utilisateur est autorisé à accéder au système d'information 20. If all the conditions are satisfied, the security server 10 deduces therefrom that the user is authorized to access the information system 20.
Dans ce cas, il incrémente la variable NSERV de la manière suivante: NSERV = NSERV + 2 Si l'une des conditions n'est pas vérifiée (c'est à dire PWDPIC t HSTOC ou PWDPS invalide), le serveur de sécurité en déduit 20 que l'utilisateur n'est pas autorisé à accéder au système d'information 20. In this case, it increments the variable NSERV as follows: NSERV = NSERV + 2 If one of the conditions is not satisfied (ie PWDPIC t HSTOC or PWDPS invalid), the security server deduces 20 that the user is not authorized to access the information system 20.
Dans le dispositif qui précède, le protocole d'authentification mis en oeuvre est basé sur la fait que le serveur de sécurité 10 et le CMA 50 détiennent des informations communes (secrets partagés), à savoir: - une fonction de hachage f, - des variables NSERV et NPIC, - une loi d'incrémentation des variables NSERV et NPIC, ces variables étant incrémentées à chaque connexion de l'utilisateur au système d'information 20. In the above device, the authentication protocol implemented is based on the fact that the security server 10 and the CMA 50 hold common information (shared secrets), namely: - a hash function f, - NSERV and NPIC variables, - a law for incrementing the NSERV and NPIC variables, these variables being incremented each time the user connects to the information system 20.
Ces informations ne peuvent pas être capturées dans la mesure o 30 elles ne sont jamais échangées entre le CMA 50 et le serveur de sécurité. This information cannot be captured since it is never exchanged between the CMA 50 and the security server.
Par ailleurs, dans le cadre de la variante du procédé d'authentification décrite précédemment, le mot de passe personnel PWDPS permet d'éviter toute utilisation frauduleuse du CMA 50 et évite qu'une personne étrangère ait accès aux informations d'authentification contenues dans le CMA. Furthermore, in the context of the variant of the authentication method described above, the personal password PWDPS makes it possible to avoid any fraudulent use of the CMA 50 and prevents a foreign person from having access to the authentication information contained in the CMA.
La loi d'incrémentation des variables NSERV et NPIC établit une synchronisation implicite entre le serveur de sécurité 10 et le CMA 50. Du 5 fait que cette loi est basée sur le nombre de connexions effectuées par l'utilisateur et non pas sur l'instant de connexion, le serveur de sécurité et le CMA n'ont pas à être synchronisés par une horloge. Il en découle que le dispositif d'authentification de l'invention ne nécessite pas de moyens de synchronisation spécifiques. The law for incrementing the NSERV and NPIC variables establishes an implicit synchronization between the security server 10 and the CMA 50. Because this law is based on the number of connections made by the user and not on the instant The security server and the CMA do not have to be synchronized by a clock. It follows that the authentication device of the invention does not require specific synchronization means.
Dans notre exemple, la loi d'incrémentation peut être la suivante: si NSERV >- NSUP alors NSERV =2 sinon NSERV = NSERV +2. In our example, the increment law can be as follows: if NSERV> - NSUP then NSERV = 2 otherwise NSERV = NSERV +2.
La même loi d'incrémentation est appliquée à la variable NPIC. The same increment law is applied to the NPIC variable.
Le fait d'imposer une borne NSUP aux variables NSERV et NPIC et 15 de réinitialiser de manière cyclique ces variables permet d'utiliser le dispositif d'authentification à l'infini. En effet, le nombre de connexions possibles par l'utilisateur avec un CMA n'est pas limité par la valeur maximale pouvant être codée pour NSERV et NPIC. Imposing an NSUP terminal on the variables NSERV and NPIC and resetting these variables cyclically makes it possible to use the authentication device ad infinitum. Indeed, the number of possible connections by the user with a CMA is not limited by the maximum value that can be coded for NSERV and NPIC.
Toutefois, dans le cadre de l'invention, toute autre loi 20 d'incrémentation basée sur le nombre de connexions effectuées par l'utilisateur pourra bien entendu être utilisée. However, in the context of the invention, any other incrementation law based on the number of connections made by the user can of course be used.
Le procédé d'authentification décrit précédemment présente l'avantage d'être particulièrement simple par rapport aux procédés d'authentification de l'art antérieur. En particulier, les informations qui 25 transitent entre le terminal utilisateurs et le serveur de sécurité sont réduites au minimum de manière à améliorer encore la confidentialité et le confort de l'authentification. The authentication method described above has the advantage of being particularly simple compared to the authentication methods of the prior art. In particular, the information which passes between the user terminal and the security server is reduced to a minimum so as to further improve the confidentiality and the comfort of authentication.
Claims (18)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0303095A FR2852471A1 (en) | 2003-03-13 | 2003-03-13 | Access authentication device for information system e.g. enterprises internal network, has stand-alone mobile component with photosensitive sensor to detect sequence of images displayed by user terminal for inferring variable access |
PCT/FR2004/000554 WO2004082354A2 (en) | 2003-03-13 | 2004-03-09 | Authentication device of the type with a single-use password and corresponding otp and password-generating device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0303095A FR2852471A1 (en) | 2003-03-13 | 2003-03-13 | Access authentication device for information system e.g. enterprises internal network, has stand-alone mobile component with photosensitive sensor to detect sequence of images displayed by user terminal for inferring variable access |
Publications (1)
Publication Number | Publication Date |
---|---|
FR2852471A1 true FR2852471A1 (en) | 2004-09-17 |
Family
ID=32893265
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0303095A Pending FR2852471A1 (en) | 2003-03-13 | 2003-03-13 | Access authentication device for information system e.g. enterprises internal network, has stand-alone mobile component with photosensitive sensor to detect sequence of images displayed by user terminal for inferring variable access |
Country Status (2)
Country | Link |
---|---|
FR (1) | FR2852471A1 (en) |
WO (1) | WO2004082354A2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010116109A1 (en) * | 2009-04-10 | 2010-10-14 | Lynkware | Method of authentication at a server by a user of a mobile apparatus |
FR2959896A1 (en) * | 2010-05-06 | 2011-11-11 | 4G Secure | METHOD FOR AUTHENTICATING A USER REQUIRING A TRANSACTION WITH A SERVICE PROVIDER |
US9728968B2 (en) | 2011-09-12 | 2017-08-08 | Aker Subsea As | Device for stable subsea electric power transmission to run subsea high speed motors or other subsea loads |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7836121B2 (en) | 2004-04-14 | 2010-11-16 | Ipass Inc. | Dynamic executable |
PL2043036T3 (en) * | 2007-09-20 | 2011-02-28 | Tds Todos Data System Ab | System, method and device for enabling interaction with dynamic security |
EP2040228A1 (en) * | 2007-09-20 | 2009-03-25 | Tds Todos Data System Ab | System, method and device for enabling secure and user-friendly interaction |
CN101710372B (en) * | 2009-04-27 | 2012-03-28 | 深圳市江波龙电子有限公司 | Method for verifying identity |
GB2495474B (en) * | 2011-10-03 | 2015-07-08 | Barclays Bank Plc | User authentication |
CN103020574A (en) * | 2012-11-22 | 2013-04-03 | 北京握奇数据系统有限公司 | OTP (One Time Password) equipment and method combining photographing and bar code indentifying technologies |
CN108810896B (en) * | 2018-07-17 | 2020-11-06 | 上海连尚网络科技有限公司 | Connection authentication method and device of wireless access point |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001057811A1 (en) * | 2000-02-02 | 2001-08-09 | Image Reaction Limited | Data handling |
-
2003
- 2003-03-13 FR FR0303095A patent/FR2852471A1/en active Pending
-
2004
- 2004-03-09 WO PCT/FR2004/000554 patent/WO2004082354A2/en active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001057811A1 (en) * | 2000-02-02 | 2001-08-09 | Image Reaction Limited | Data handling |
Non-Patent Citations (2)
Title |
---|
A. MENEZES, P. VAN OORSCHOT AND S VANSTONE: "Handbook of Applied Cryptography", CRC PRESS, ISBN: 0-8493-8523-7, XP002262234 * |
MOLVA R ET AL: "Strong authentication in intelligent networks", UNIVERSAL PERSONAL COMMUNICATIONS, 1994. RECORD., 1994 THIRD ANNUAL INTERNATIONAL CONFERENCE ON SAN DIEGO, CA, USA 27 SEPT.-1 OCT. 1994, NEW YORK, NY, USA,IEEE, 27 September 1994 (1994-09-27), pages 629 - 634, XP010131591, ISBN: 0-7803-1823-4 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010116109A1 (en) * | 2009-04-10 | 2010-10-14 | Lynkware | Method of authentication at a server by a user of a mobile apparatus |
FR2944400A1 (en) * | 2009-04-10 | 2010-10-15 | Lynkware | METHOD OF AUTHENTICATING A SERVER FROM A USER OF A MOBILE DEVICE |
FR2959896A1 (en) * | 2010-05-06 | 2011-11-11 | 4G Secure | METHOD FOR AUTHENTICATING A USER REQUIRING A TRANSACTION WITH A SERVICE PROVIDER |
WO2011138558A3 (en) * | 2010-05-06 | 2012-07-12 | 4G Secure | Method for authenticating a user requesting a transaction with a service provider |
CN103109494A (en) * | 2010-05-06 | 2013-05-15 | 4G安全公司 | Method for authenticating a user requesting a transaction with a service provider |
US9038196B2 (en) | 2010-05-06 | 2015-05-19 | goSwiff France | Method for authenticating a user requesting a transaction with a service provider |
US9728968B2 (en) | 2011-09-12 | 2017-08-08 | Aker Subsea As | Device for stable subsea electric power transmission to run subsea high speed motors or other subsea loads |
Also Published As
Publication number | Publication date |
---|---|
WO2004082354A3 (en) | 2005-09-22 |
WO2004082354A2 (en) | 2004-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3262860B1 (en) | Automatic recognition method between a mobile device and a vehicle using the ble protocol | |
EP3690686B1 (en) | Authentication procedure, server and electronic identity device | |
EP1549011A1 (en) | Communication method and system between a terminal and at least a communication device | |
FR3041195A1 (en) | METHOD OF ACCESSING ONLINE SERVICE USING SECURE MICROCIRCUIT AND SECURITY TOKENS RESTRICTING THE USE OF THESE TOKENS TO THEIR LEGITIMATE HOLDER | |
FR2738934A1 (en) | ANONYMOUS ACCOUNTING SYSTEM FOR INFORMATION FOR STATISTICAL PURPOSES, IN PARTICULAR FOR ELECTRONIC VOTING OPERATIONS OR PERIODIC CONSUMPTION RECORDS | |
WO2009083518A1 (en) | Generation and use of a biometric key | |
EP2619941A1 (en) | Method, server and system for authentication of a person | |
CA2888103A1 (en) | Electronic signature method with ephemeral signature | |
FR2852471A1 (en) | Access authentication device for information system e.g. enterprises internal network, has stand-alone mobile component with photosensitive sensor to detect sequence of images displayed by user terminal for inferring variable access | |
EP2742645B1 (en) | Method for managing and checking data from different identity domains organized into a structured set | |
EP3731116B1 (en) | Method of authenticating an identification document of an individual and authenticating said individual. | |
FR2980011A1 (en) | METHOD FOR IMPLEMENTING, FROM A TERMINAL, CRYPTOGRAPHIC DATA OF A USER STORED IN A REMOTE DATABASE | |
EP3262553B1 (en) | Method of transaction without physical support of a security identifier and without token, secured by the structural decoupling of the personal and service identifiers | |
EP3594880A1 (en) | Method for secured cryptographic data transmission | |
WO2019102120A1 (en) | Methods and devices for enrolling and authenticating a user with a service | |
EP3940563A1 (en) | Method for generating an authentication key from the image of a watermark and associated device | |
US11128620B2 (en) | Online verification method and system for verifying the identity of a subject | |
FR2913551A1 (en) | User authenticating method for use in Internet network, involves authenticating authentication server by token and vice versa for each of web pages requested by user, by executing control script e.g. java script, in computer | |
EP1868316B1 (en) | Method and device for authenticating a user | |
EP1726120A1 (en) | Improved method, authentication medium and device for securing access to a piece of equipment | |
FR3064778A1 (en) | REMOTE IDENTIFICATION METHOD FOR SIGNATURE OF AN ELECTRONIC DOCUMENT | |
FR3111721A1 (en) | User authentication method on client equipment | |
WO2020128215A1 (en) | Reinitialization of an application secret by way of the terminal | |
FR3093836A1 (en) | Numeric identity | |
WO2012022856A1 (en) | Method of authenticating a user of the internet network |