WO2008132393A2 - Method and system for authenticating a user - Google Patents

Method and system for authenticating a user Download PDF

Info

Publication number
WO2008132393A2
WO2008132393A2 PCT/FR2008/050500 FR2008050500W WO2008132393A2 WO 2008132393 A2 WO2008132393 A2 WO 2008132393A2 FR 2008050500 W FR2008050500 W FR 2008050500W WO 2008132393 A2 WO2008132393 A2 WO 2008132393A2
Authority
WO
WIPO (PCT)
Prior art keywords
data
user
coded
trusted
party
Prior art date
Application number
PCT/FR2008/050500
Other languages
French (fr)
Other versions
WO2008132393A3 (en
Inventor
Aimé MAYO
Original Assignee
Mayo Aime
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mayo Aime filed Critical Mayo Aime
Publication of WO2008132393A2 publication Critical patent/WO2008132393A2/en
Publication of WO2008132393A3 publication Critical patent/WO2008132393A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Definitions

  • the present invention relates to the field of authentication, and relates to a method and a system for a user to authenticate anonymously to a company from a unique identifier.
  • Another drawback relates to the scattering, across many networks and information systems of companies, of data corresponding to information relating to the identity of a user.
  • a method based on the federation of an identity, from a unique identifier has been integrated into authentication mechanisms.
  • This unique identifier is associated with information relating to the identity of the user and is shared by cooperating companies together.
  • Each of these companies can assume two types of status: identity provider or service provider after authentication based on the unique identifier.
  • the role of the identity provider is to authenticate users who belong to one of the companies in the set.
  • the service provider is, quite simply, an entity that provides a service for the identity provider and for the end users. Thus several different companies cooperate in the context of the authentication of an individual.
  • the present invention therefore intends to overcome the disadvantages of the prior art by providing a method and a system from which a user can benefit anonymously benefits.
  • Another object of the invention is to avoid the undesired use by companies of information relating to the identity of a user.
  • Another object of the invention is to be of easy implementation.
  • the system according to the invention has the advantage of being able to adapt to the existing structural infrastructures.
  • the present invention relates to a method of authenticating a user from a device and a trusted third party, this method comprises prior steps in which data belonging to a characteristic profile of a user. are encoded and recorded by servers and databases belonging to the trusted third party to generate an encoded profile comprising coded profile coded data, the coded profile being associated with the unique identifier, the method comprises the following steps:
  • This method has the advantage of authenticating a user on coded data that does not allow the technical device of a company to identify the user benefiting from the service. Only the trusted third party knows the identity of the user and is able from the unique identifier to find in his databases coded data of the coded profile of the user which are archived at the level of the databases. technical device, coded data which makes it possible to authenticate the user.
  • the authentication step comprises a sub-step of transmitting coded data from the coded profile, from the equipment to a technical device;
  • the identification step includes a substep of querying the databases by the servers of the trusted third party on the basis of a request comprising the unique identifier so as to obtain the coded data of said coded profile associated with the unique identifier.
  • the data relating to the profile of the individual are updated from secure communication means between the databases of the trusted third party and the databases of the technical device.
  • the present invention also relates to a user authentication system comprising a trusted third party and equipment including databases storing data relating to the user's encrypted profile and a unique identifier in which the equipment comprises communications means arranged to exchange data with the trusted third party and the technical device, and reading means adapted to recover the identifier stored in the memory means of a data medium.
  • the data carrier is mobile and removable.
  • the trusted third party is connected to the technical device by secure communication means.
  • FIG. invention an embodiment of the data carrier according to the invention
  • Figure 3 an embodiment of the invention
  • FIG. 4 the trusted third party according to the invention.
  • the system comprises a data carrier 2 which is in the possession of a user, an entity subsequently designated as a trusted third party 1, a device 3 belonging to a company and a corresponding technical device 4 to the company's data management system.
  • This company refers to a company of goods and / or services, or to a public or governmental administration or to an international organization.
  • the data carrier 2, illustrated in FIG. 2 comprises at least one microprocessor 21, volatile and non-volatile memory means, a screen 18, a keyboard 19 and connection means 17.
  • This data carrier 2 is mobile and / or removable.
  • a smart card a magnetic card, a card comprising an RF ID transponder (acronym for radio frequency identification which is translated into French by radio-identification), a USB memory stick (acronym for Universal Serial Bus that refers to a serial interface on a computer), a FireWire memory key (serial interface on a computer), a card operating with N FC technology (acronym for Near Field Communication). translated into French by near-field communication), a two-dimensional vignette (for example a barcode, or a paper medium comprising alphanumeric data) or three-dimensional.
  • RF ID transponder an RF ID transponder
  • USB memory stick acronym for Universal Serial Bus that refers to a serial interface on a computer
  • FireWire memory key serial interface on a computer
  • N FC technology acronym for Near Field Communication
  • the equipment 3 corresponds to a terminal comprising among others at least one microprocessor 13, volatile and nonvolatile memory means 12, and communication means 9, a screen 14, and a keyboard 10.
  • a n read / write module 1 1 is connected to this equipment 3, and relates, for example and non-exhaustively to: a smart card reader, a magnetic card reader, - an electromagnetic reader (RFI reader D, or RFI reader D / N FC), an optical reader, a camera, a reader for identifying biometric characteristics, and other types of modules able to collect visual, auditory, tactile or olfactory information relating to an individual.
  • the technical device 4 comprises a set of servers 5 associated with databases 6, and secure communication means enabling it to exchange data streams 15 with the equipment 3 and / or the trusted third party 1.
  • the trusted third party 1 comprises secure communication means 7,8 for exchanging data streams with the equipment 3 and also with the technical device 4 of the company.
  • the exchanged data streams comprise data packets compliant with the Internet protocol (IP) and preferably with the format I Pv4 and / or I Pv6.
  • IP Internet protocol
  • the invention is also compatible with other communication protocols.
  • FIG. 3 shows in more detail the possible functional architecture of the trusted third party.
  • This processing module 23 comprises firewall means which, on the basis of a security policy, filters the data packets before transmitting them. to a technical platform 27.
  • These firewall means protect the technical platform 27 from possible intrusions by applying a policy of access to localized network resources at the level of the technical platform 27.
  • This technical platform 27 comprises servers 26, such as authentication and data management servers, and databases for data 25. These servers are connected to the databases and handle the different data in and out of the technical platform during data exchange steps 24.
  • the filtering of the data packets carried out by the firewall means is done in particular according to the following criteria:
  • This processing module 23 comprises means for routing data packets.
  • routing means allow after analysis of the data packets by the firewall means to determine information included in the header of these data packets, information relating in particular to a source address and a destination address to transmit the data packet to a defined server belonging to the technical platform 27.
  • These routing means are I Pv6 compatible and have update means able to upgrade the routing software to compatibility with future developments of this IP protocol.
  • the databases 25 of this technical platform 27 comprise a set of digital correlation tables.
  • a first set of digital match tables refers to the user profile. Indeed for a user this profile corresponds to all the personal information characterizing an individual. This information is stored in these digital concordance tables, in the form of non-exhaustive data corresponding to: name, first name, - age, home address and other (secondary, etc.), home, work, mobile, marital status, information about the user's means of transportation (registration, trademark, color) , etc.), pictures (face, profile, etc.), biometric characteristics (fingerprint, retinal, etc.), electronic mail address, bank account number and bank account number, identification element of the company, service (product and / or service) subscribed with a company, a primary key, - etc.
  • This data is entered by the user when registering with the trusted third party. They are subsequently updated via databases belonging to the different companies from secure links.
  • the user enters a form in electronic or paper format by providing a set of personal information described above. In this form the user has the possibility to designate the companies with whom he is or he wants to be a customer.
  • an account is created on one of the servers 26 of the technical platform 27 and a unique identifier is generated by a calculation module to be subsequently stored in memory means 20 of the data medium 2.
  • This data carrier 2 is then transmitted to the user. With this data carrier 2, the user will be able to benefit from the services of goods and / or services available from the companies he has designated when registering with the trusted third party 1.
  • the list of these companies can be completed later by the user from means for connecting to the trusted third party 1 for example via an Internet site, but also by other means such as paper forms. .
  • This data after being stored in this first set of digital match table is then encoded.
  • This coding of the data is done in such a way that the coded data is always exploitable so that a company can interact with the user from this coded data.
  • this e-mail address encoded according to the invention corresponds for example to: ⁇ eredf45r ⁇ ) serveu rmaild utiersdeconfiance .com
  • this e-mail address is exploitable because it respects the nomenclature of an e-mail address which is to have the following characteristics: a user identifier, a mail server identifier, a separator corresponding to the "a" commercial "@" between the identifier of the user and the mail server identifier.
  • encryption and decryption mechanisms are implemented. These mechanisms relate for example to symmetric (or secret key) or asymmetric (or public key) cryptography techniques. In this case, the keys for encryption and decryption are distinct and can not be deduced from each other. ).
  • Cryptographic mechanisms such as RSA
  • This coded data is stored in a second set of digital match tables.
  • Part of the coded data is transmitted to the companies designated by the user during registration.
  • This transmitted coded data relates to data essential for the creation of a customer account at the level of the databases 6 of the technical device 4 of these companies. The user will thus be referenced in the databases 6 of these companies.
  • coded data chosen by the user may be transmitted to companies upon registration or after this registration.
  • Companies can also request coded data corresponding to a user from the trusted third party. This request is transmitted to the user so that the user authorizes or does not authorize the transmission of this coded data.
  • the user and the company have access accounts with the trusted third party. They connect to these accounts from a terminal that can be mobile or fixed.
  • This terminal may be for example a personal computer, a mobile phone, or a PDA.
  • This terminal makes it possible to connect to a server of the technical platform 27 provided for this purpose.
  • This server allows them to access the website of this trusted third party or access type VPN (acronym for Virtual Private Network).
  • These accesses allow companies and users to administer their respective accounts with the trusted third party and thus to set up, for example, for the user the coded data that he wishes or does not wish to transmit to a company and for the company to formulate his requests for coded data to, for example, better understand the behavioral profile of this user and offer him services or goods adapted to his needs.
  • a third set of digital correlation tables are stored data relating to different companies. These data correspond, among others, to the commercial name of the company, its corporate name, its field of activity, to a company identifier which is unique for each company, to a primary key, to identifiers and parameters necessary for a connection to their company.
  • a fourth set of digital concordance tables included in the databases 25 of the technical platform 27, are stored for each user: the unique identifier, the company identifier, the coded data transmitted for each company, the customer number of this user at each of the designated companies, the primary keys of the first, second and third set of digital match tables.
  • This fourth set of digital concordance tables participates in the authentication of the user.
  • the unique identifier is associated with the coded data recorded as the unique identifier in this fourth set of tables, these coded data are the same that were transmitted to the technical device 4 of the company and which are stored in the data bases 6 of this technical device 4.
  • This coded data constitutes the coded profile of the user in his databases 6 of the technical device 4 and this fourth set of tables.
  • the databases 6 of the technical device 4 synchronize regularly with the databases of the trusted third party 1.
  • the primary keys make it possible to establish correspondences between the different sets of digital concordance tables.
  • the data relating to the personal information of the user are archived in clear in a first set of digital tables and are archived in encrypted forms in a second set of digital tables.
  • the user remains completely anonymous at the level of the company or companies he has designated, while benefiting from the or their services.
  • Some companies registered in the databases of the technical platform have a special status. In fact, these companies relate, for example, to hospitals, schools, military or civil administrations or to postal service companies. These are companies that use the archived data in the databases of the trusted third parties 27 as part of their operating process and who are not associated with a user in the context of a business relationship.
  • the communication means used in this functional architecture relate to wiring means and / or electromagnetic transmission means.
  • these cabling means correspond, for example, to optical fiber or copper cables
  • the electromagnetic transmission means relate, for example, to radio links based on mobile telephone standards such as GSM (acronym Global System for Mobile Communications), UMTS (acronym for Universal Mobile Telecommunications System), EDGE (acronym for Enhanced Data Rates for GSM Evolution) or HSDPA (acronym for High-Speed Downlink Packet Access).
  • These means may also relate to technologies such as the WI FI defined by the I EEE 802, 1 1 standards, or the Bluetooth technologies defined by the I EEE 802.15 standards, or to the WI MAX technology (acronym for Worldwide Interoperability for Microwave Access) defined by I EEE 802.13.
  • technologies such as the WI FI defined by the I EEE 802, 1 1 standards, or the Bluetooth technologies defined by the I EEE 802.15 standards, or to the WI MAX technology (acronym for Worldwide Interoperability for Microwave Access) defined by I EEE 802.13.
  • FIG. 4 One embodiment of the invention is illustrated in Figure 4 for a user using public transport as part of his travels.
  • These means of public transport are managed by a company such as a transport company.
  • Each point of access to public transport means is provided with a control terminal 3 making it possible to verify that the user holds the rights necessary to use these means of public transport.
  • This terminal 3 is connected to the trusted third party 1 and the technical device 4 of this transport company by wired communication means such as optical fiber.
  • the user to access the means of transport uses a SmartCard 2 which has been provided to him by the trusted third party 1.
  • This SmartCard 1 includes an eeprom memory 20 in which is registered a unique identifier.
  • the user comes to the control terminal 3 and inserts in the card reader 1 1 of this terminal 3 the SmartCard 2.
  • the reading means of this reader 1 1 recover this identifier uniq ue.
  • the control terminal 3 generates a data packet comprising this unique identifier and inserts into this packet a company identifier which relates to the transport company.
  • the terminal 3 sends this data packet to the trusted third party 1.
  • This packet is then received by the connection interface 22 and is transmitted during a step 29 to the processing module 23 which analyzes this data packet and notably validates its integrity in order to comply with the security policy applied by the means of firewall.
  • This data packet is sent to one of the authentication servers 26 of the technical platform 27 from the routing means of this processing module 23.
  • the authentication server will identify the user and the transport company on the basis of respectively of the unique identifier and the company identifier.
  • the authentication server will then transmit a request comprising as an attribute these two identifiers to the databases 25 of this technical platform 27. In response to this request, these databases 25 will transmit the user's profile relating to the donations. code that has been transmitted to the databases 6 of the technical device 4 of this transport company.
  • This coded data includes the essential coded data and coded data that has been transmitted with the user's approval.
  • the authentication server From this coded data, in a step 35, the authentication server generates data packets which are then transmitted to the control terminal via the processing module 23 and the communication means 8 in optical fiber. Once these packets have been received, the control terminal 3 through its processing module integrates into one of these data packets an identifier making it possible to identify the control terminal 3 in the control terminal network available to the transport company.
  • these data are then transmitted to the authentication server of the transport company sending a request comprising the identifier of the control terminal 3 and the data coded to the database 6 of the technical device 4 of the transport company.
  • the authentication server of this company then identifies the source control terminal 3 of the request and verifies that each of the coded data received corresponds to those stored in its database 6. Thus a second verification of the identity of the user is realized, and reinforces the security of the authentication procedure.
  • the server In response to this request, during a step 37, the server sends to the control terminal access authorization, for this user, by means of common transport.
  • the transport company provides a service on a regular basis to a user referenced in his database, but whose identity he does not know.
  • the user therefore uses his means of public transport anonymously for the transport company.
  • Only the trusted third party 1 makes it possible to identify this user and thus for example to know his movements by having access to the databases of the technical device of this company.
  • the data carrier 2 of this user allows him to benefit from the services, anonymously, of other designated companies. It is a means of unique authentication.
  • the coded data present in the database 6 of this transport company can be used as uncoded data.
  • the transport company can for example use the name, surname and coded address of the user that it owns in the databases 6 of the technical device 4.
  • the company affix on the envelope a label containing the coded coordinates of the user.
  • a postal service company in charge of the processing and distribution of mail includes a mail sorting device comprising a terminal 3 associated with reading means 11 such as a character recognition scanner capable of transforming the digitized information on the mail.
  • the envelope in digital data. From this digital data, a processing module, included in the terminal, generates data packets which are then modified by integrations in one of the packets of a company identifier of this postal service company.
  • the server determines the identity of the company as a postal company. This type of company is referenced at the level of the databases 25 of the trusted third party 1 as having a status different from the conventional societies, because this type of company intervenes in procedures of exchange of information between a user, which is unknown to him , and another company.
  • the server queries the databases of the technical platform 27 based on the encoded data and transmits the response to the processing module of the postal service company. This response refers to data in clear corresponding to the encoded data. These data in clear are therefore the coordinates of the user. These data in clear are printed on a label which is then affixed to the envelope.
  • This envelope continues its journey in the distribution circuit until it is sent to the user.
  • the shipping company may also send commercial promotions to the user from that user's encrypted e-mail address.
  • the e-mail sent on the basis of the encrypted e-mail address is received by an e-mail processing server of the technical platform 27 of the trusted third party 1.
  • This server retrieves the encrypted email address from this email.
  • a calculation module included in the server decrypts this encrypted e-mail address.
  • the result of this decryption is then integrated into a request as an attribute of this request.
  • This request is then sent to the databases 25 of this technical platform 27 in order to retrieve the e-mail address in clear.
  • the coded email address is then replaced in the email by the clear address.
  • the email is then sent.
  • the user will receive the commercial offer that is intended for him.
  • the user can at any time disable this coded email address so as not to receive, for example, any promotional message from a company. It can disable any coded data transmitted to a company that does not relate to an essential data such as, for example, the coded name or the coded first name.
  • the transport company may contact the user by telephone and from a coded telephone number of the user.
  • the telephone means such as a conventional telephony device, used by the transport company connects to a server of the technical platform after dialing a telephone number provided by the trusted third party 1.
  • a server of the technical platform After dialing a telephone number provided by the trusted third party 1.
  • Once logged in the user's coded phone number is entered from the keypad of this telephony device.
  • This telephony device sends this coded telephone number to the server of the technical platform 27.
  • the server processes the coded telephone number, queries the databases of data and retrieve the user's clear phone number. From the clear telephone number, the server connects the transport company to the user.
  • the company therefore has the opportunity to interact with the essential data of the user's profile.
  • coded data made available to the company after approval by the user, for example an e-mail address.
  • companies with special status can control certain services provided by other companies according to the legislation. For example, schools with access to a trusted third party 1 may suspend the use of mobile phones in their premises from the data relating to the different telephone operators corresponding to the users registered in the databases of the trusted third party. 1. The use of mobile phones may be suspended for students and permitted for teachers and management.
  • the trusted third party 1 has privileged access to the databases of the companies designated by these different users. It can thus update the data relating to the profile of the user.
  • the trusted third party includes in his databases a set of complete information relating to an individual, for example data relating to the geographical location of a user at a time t if one of the companies of this user is a mobile phone operator and / or a vehicle theft protection company which on the basis of a GPS / GSM transponder device is able to locate the position of his vehicle.
  • the invention can be a powerful tool for an independent administrative authority responsible for the protection of personal data and the protection of privacy.
  • the invention is described in the foregoing by way of example. It is understood that the skilled person is able to realize different variants of the invention without departing from the scope of the patent.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Method of authenticating a user on the basis of a piece of equipment (3), and a trusted third party (1) and a data medium (2) comprising a unique identifier in its memory means (20), the method comprising prior steps in which data belonging to a profile characteristic of the user are coded and recorded by servers (26) and databases (25) belonging to the trusted third party (1) so as to generate a coded profile comprising coded-profile coded data, the coded profile being associated with the unique identifier, and in that the method comprises: a step (33, 34) of transmitting the unique identifier to the trusted third party (1), a step (35) of dispatching data of the coded profile associated with the unique identifier to the piece of equipment (3), and a step (36) of authenticating the user on the basis of the coded data of the coded profile.

Description

PROCÉDÉ ET SYSTÈME D'AUTHENTIFICATION D'UN METHOD AND SYSTEM FOR AUTHENTICATING A
UTILISATEURUSER
La présente invention se rapporte au domaine de l'authentification, et concerne un procédé et un système permettant à un utilisateur de s'authentifier anonymement auprès d'une société à partir d'un identifiant unique.The present invention relates to the field of authentication, and relates to a method and a system for a user to authenticate anonymously to a company from a unique identifier.
Depuis le tout début de l'ère électronique, des méthodes permettant l'authentification d'un individu sur la base d'un identifiant sont utilisées par des sociétés pour les différents avantages techniques et pratiques qu'elles confèrent. Ces méthodes ont été adoptées par des banques, des entreprises de crédit, de courtage, d'assurances, d'agences gouvernementales, d'administrations, fournisseurs d'accès Internet et d'entreprises de télécommunication . La liste de ces sociétés ne cesse de s'agrandir avec le temps. Cet identifiant est délivré à un utilisateur par une société auprès de laquelle il bénéficiera de prestations, après une inscription durant laquelle il a fourni un ensemble d'informations se rapportant à son identité.Since the beginning of the electronic age, methods for authenticating an individual based on an identifier are used by companies for the various technical and practical advantages they confer. These methods have been adopted by banks, credit, brokerage, insurance companies, government agencies, governments, Internet service providers and telecommunications companies. The list of these companies continues to grow over time. This identifier is issued to a user by a company from which he will receive benefits, after a registration during which he has provided a set of information relating to his identity.
De telles méthodes génèrent plusieurs inconvénients. Ainsi, l'utilisateur a systématiquement besoin d'un identifiant différent pour bénéficier des prestations de sociétés différentes. La gestion de chaque identifiant étant à la charge de l'individu, celui-ci doit s'en souvenir. De plus pour l'individu, cela demande un effort de coordination car il doit parfois gérer une liste importante d'identifiants et tenir à jour les informations se rapportant à son identité enregistrées sur des serveurs Internet ou Intranet des différentes sociétés, ce qui amène par exemple l'individu à utiliser toujours les mêmes identifiants au détriment de la sécurité.Such methods generate several disadvantages. Thus, the user always needs a different identifier to benefit from different companies. The management of each identifier being the responsibility of the individual, he must remember. Moreover, for the individual, this requires a coordination effort because he sometimes has to manage a large list of identifiers and maintain the information relating to his identity recorded on Internet or Intranet servers of the various companies, which leads to example the individual to always use the same identifiers to the detriment of security.
Un autre inconvénient se rapporte à l'éparpillement, à travers de nombreux réseaux et systèmes d'informations des sociétés, de données correspondant aux informations se rapportant à l'identité d'un utilisateur.Another drawback relates to the scattering, across many networks and information systems of companies, of data corresponding to information relating to the identity of a user.
Afin de pallier au moins certains de ces inconvénients, une méthode reposant sur la fédération d'une identité, à partir d'un identifiant unique, a été intégrée dans des mécanismes d'authentification . Cet identifiant unique est associé à des informations se rapportant à l'identité de l'utilisateur et est partagé par des sociétés coopérant ensemble. Chacune de ces sociétés peut assumer deux types de statuts : celui de fournisseur d'identité ou celui de fournisseur de service après authentification sur la base de l'identifiant unique. Le rôle du fournisseur d'identité est d'authentifier des utilisateurs qui appartiennent à l'une des sociétés de l'ensemble. Le fournisseur de service est, tout simplement, une entité qui assure un service pour le fournisseur d'identité et pour les utilisateurs finaux. Ainsi plusieurs sociétés différentes coopèrent dans le cadre de l'authentification d'un individu .In order to overcome at least some of these disadvantages, a method based on the federation of an identity, from a unique identifier, has been integrated into authentication mechanisms. This unique identifier is associated with information relating to the identity of the user and is shared by cooperating companies together. Each of these companies can assume two types of status: identity provider or service provider after authentication based on the unique identifier. The role of the identity provider is to authenticate users who belong to one of the companies in the set. The service provider is, quite simply, an entity that provides a service for the identity provider and for the end users. Thus several different companies cooperate in the context of the authentication of an individual.
L'inconvénient d'une telle méthode est que l'ensemble de l'identité d'un individu est partagé par toutes les sociétés de l'ensemble, alors que l'accord de l'utilisateur n'est pas nécessairement donné pour que ses données personnelles soient transmises et fassent l'objet d'une utilisation non désirée par l'utilisateur.The disadvantage of such a method is that the whole identity of an individual is shared by all the companies in the set, whereas the agreement of the user is not necessarily given for his personal data are transmitted and subject to unwanted use by the user.
En outre, on connaît dans l'art antérieur la demande de brevet US 2003/0172090, se rapportant à une méthode qui décrit une carte virtuelle d'identification se rapportant à un identifiant de connexion fourni par un fournisseur d'accès à Internet. Cet identifiant unique est associé à un ensemble de données se rapportant à l'identité d'un individu comme, par exemple, son nom, prénom, numéro de carte de crédit, numéro de téléphone. Cet identifiant unique est enregistré dans des moyens de mémoire d'un ordinateur ou d'un terminal tel qu'un PDA ou encore un téléphone mobile. L'authentification d'un individu se fait sur la base de cet identifiant unique auprès des moyens d'authentification d'une société au travers d'un navigateur Internet. Une fois authentifié et donc identifié, l'utilisateur peut bénéficier des prestations délivrées par la société. Une telle méthode pose l'inconvénient pour l'utilisateur d'avoir toujours l'éparpillement de ses informations personnelles au sein des systèmes d'informations des différentes sociétés qui lui fournissent des prestations. De plus elle ne permet pas à l'utilisateur d'avoir un contrôle sur ses informations personnelles qui sont en la possession de ces sociétés.In addition, the prior art is known from the patent application US 2003/0172090, relating to a method which describes an identification virtual card relating to a connection identifier provided by an Internet access provider. This unique identifier is associated with a set of data relating to the identity of an individual such as, for example, his name, first name, credit card number, telephone number. This unique identifier is stored in memory means of a computer or a terminal such as a PDA or a mobile phone. Authentication of an individual is based on this unique identifier with the means of authentication of a company through an Internet browser. Once authenticated and therefore identified, the user can benefit from the services delivered by the company. Such a method poses the disadvantage for the user to always have the scattering of his personal information within the information systems of the various companies that provide him with services. Moreover, it does not allow the user to have control over his personal information that is in the possession of these companies.
La présente invention entend donc remédier aux inconvénients de l'art antérieur en proposant un procédé et un système à partir duquel un utilisateur peut bénéficier anonymement de prestations. Un autre but de l'invention est d'éviter l'utilisation non désirée par des sociétés des informations se rapportant à l'identité d'un utilisateur.The present invention therefore intends to overcome the disadvantages of the prior art by providing a method and a system from which a user can benefit anonymously benefits. Another object of the invention is to avoid the undesired use by companies of information relating to the identity of a user.
Un autre but de l'invention est d'être d'une mise en œuvre facile. En particulier, le système selon l'invention présente l'avantage de pouvoir s'adapter aux infrastructures structurelles existantes.Another object of the invention is to be of easy implementation. In particular, the system according to the invention has the advantage of being able to adapt to the existing structural infrastructures.
Pour ce faire, la présente invention concerne un procédé d'authentification d'un utilisateur à partir d'un équipement et d'un tiers de confiance, ce procédé comporte des étapes préalables dans lesquelles des données appartenant à un profil caractéristique d'un utilisateur sont codées et enregistrées par des serveurs et des bases de données appartenant au tiers de confiance de générer un profil codé comprenant des données codées de profil codé, le profil codé étant associé à l'identifiant unique, le procédé comporte les étapes suivantes :To do this, the present invention relates to a method of authenticating a user from a device and a trusted third party, this method comprises prior steps in which data belonging to a characteristic profile of a user. are encoded and recorded by servers and databases belonging to the trusted third party to generate an encoded profile comprising coded profile coded data, the coded profile being associated with the unique identifier, the method comprises the following steps:
- une étape de transmission au tiers de confiance de l'identifiant unique enregistré dans un support données, - une étape d'identification de l'utilisateur par le tiers de confiance à partir d'un identifiant unique,a step of transmitting to the trusted third party the unique identifier registered in a given medium, a step of identification of the user by the trusted third party from a unique identifier,
- une étape d'envoi à l'équipement les données codées dudit profil codé associé à l'identifiant unique, et - une étape d'authentification de l'utilisateur à partir des données codées du profil codé.a step of sending to the equipment the coded data of said coded profile associated with the unique identifier, and a step of authenticating the user from the coded data of the coded profile.
Ce procédé offre l'avantage d'authentifier un utilisateur sur des données codées qui ne permettent pas au dispositif technique d'une société d 'identifier l'utilisateur bénéficiant de la prestation . Seul le tiers de confiance connaît l'identité de l'utilisateur et est capable à partir de l'identifiant unique de retrouver dans ses bases de données les données codées du profil codé de l'utilisateur qui sont archivées au n iveau des bases de données du d ispositif technique, données codées qui permettent d'authentifier l'utilisateur.This method has the advantage of authenticating a user on coded data that does not allow the technical device of a company to identify the user benefiting from the service. Only the trusted third party knows the identity of the user and is able from the unique identifier to find in his databases coded data of the coded profile of the user which are archived at the level of the databases. technical device, coded data which makes it possible to authenticate the user.
Selon des modes de réalisation avantageux :According to advantageous embodiments:
- l'étape d'authentification comporte une sous-étape de transmission des données codées du profil codé, de l'équipement à un dispositif technique, - l'étape d'identification comporte une sous-étape d'interrogation des bases de données par les serveurs du tiers de confiance sur la base d'une requête comportant l'identifiant unique de façon à obtenir les données codées dudit profil codé associé à l'identifiant unique. - les données se rapportant au profil de l'individu sont mises à jour à partir de moyens de communication sécurisés entre les bases de don nées du tiers de confiance et les bases de données du dispositif technique.the authentication step comprises a sub-step of transmitting coded data from the coded profile, from the equipment to a technical device; the identification step includes a substep of querying the databases by the servers of the trusted third party on the basis of a request comprising the unique identifier so as to obtain the coded data of said coded profile associated with the unique identifier. the data relating to the profile of the individual are updated from secure communication means between the databases of the trusted third party and the databases of the technical device.
- les données codées enregistrées dans les bases de données du dispositif technique sont synchronisées avec les données codées du profil codé associé audit identifiant, à partir de moyens de communication sécurisés entre les bases de données du tiers de confiance et les bases de données du dispositif technique. La présente invention se rapporte également à un système d'authentification d'un utilisateur comprenant un tiers de confiance et un équipement comportant des bases données stockant des données se rapportant au profil codée de l'utilisateur et un identifiant unique dans lequel l'équipement comprend des moyens de communications agencés de façon à échanger des données avec le tiers de confiance et le dispositif technique, et des moyens de lecture aptes à récupérer l'identifiant enregistré dans les moyens de mémoire d'un support de données. Selon des modes de réalisation avantageux :the coded data stored in the databases of the technical device are synchronized with the encoded data of the coded profile associated with said identifier, from secure communication means between the databases of the trusted third party and the databases of the technical device. . The present invention also relates to a user authentication system comprising a trusted third party and equipment including databases storing data relating to the user's encrypted profile and a unique identifier in which the equipment comprises communications means arranged to exchange data with the trusted third party and the technical device, and reading means adapted to recover the identifier stored in the memory means of a data medium. According to advantageous embodiments:
- le support de données est mobile et amovible.- The data carrier is mobile and removable.
- le tiers de confiance est relié au dispositif technique par des moyens de communication sécurisés .the trusted third party is connected to the technical device by secure communication means.
L'invention est explicitée à l'aide de la description , faite ci- après à titre purement explicatif, d'un mode de réalisation de l'invention , en référence aux dessins annexés qui représentent respectivement : la figure 1 , le fonctionnement de l'invention ; - la figure 2, un mode de réalisation du support de données selon l'invention ; la figure 3, un mode de réalisation de l'invention ; la figure 4, le tiers de confiance selon l'invention .The invention is explained by means of the following description, given purely for explanatory purposes, of one embodiment of the invention, with reference to the appended drawings which represent respectively: FIG. invention; FIG. 2, an embodiment of the data carrier according to the invention; Figure 3, an embodiment of the invention; FIG. 4, the trusted third party according to the invention.
Ainsi que représenté par la figure 1 , le système comprend un support de données 2 qui est en la possession d'un utilisateur, une entité nommée par la suite tiers de confiance 1 , un équipement 3 appartenant à une société et un dispositif technique 4 correspondant au système de gestion de données de la société. Cette société se rapporte à une société de biens et/ou de service, ou à une administration publique ou gouvernementale ou encore à un organisme international . Le support de données 2, illustré à la figure 2, comporte au moins un microprocesseur 21 , des moyens de mémoire 20 volatile et non volatile, un écran 18, un clavier 19 et des moyens de connexion 17. Ce support de données 2 est mobile et/ou amovible. Sans prétendre faire une liste exhaustive, il peut, par exemple, se rapporter à : une carte à puce, une carte magnétique, une carte comprenant un transpondeur RF I D (acronyme de radio frequency identification qui se traduit en français par radio-identification), une clef mémoire USB (acronyme de Universal Sériai Bus qui se rapporte à une interface série sur un ordinateur), une clef mémoire FireWire (interface série sur un ordinateur), une carte fonctionnant selon une technologie N FC (acronyme de Near Field Communication qui se traduit en français par communication en champ proche), une vignette à deux dimensions (par exemple un code barre, ou un support papier comprenant des données alphanumérique) ou à trois dimensions .As represented by FIG. 1, the system comprises a data carrier 2 which is in the possession of a user, an entity subsequently designated as a trusted third party 1, a device 3 belonging to a company and a corresponding technical device 4 to the company's data management system. This company refers to a company of goods and / or services, or to a public or governmental administration or to an international organization. The data carrier 2, illustrated in FIG. 2, comprises at least one microprocessor 21, volatile and non-volatile memory means, a screen 18, a keyboard 19 and connection means 17. This data carrier 2 is mobile and / or removable. Without pretending to make an exhaustive list, it may, for example, refer to: a smart card, a magnetic card, a card comprising an RF ID transponder (acronym for radio frequency identification which is translated into French by radio-identification), a USB memory stick (acronym for Universal Serial Bus that refers to a serial interface on a computer), a FireWire memory key (serial interface on a computer), a card operating with N FC technology (acronym for Near Field Communication). translated into French by near-field communication), a two-dimensional vignette (for example a barcode, or a paper medium comprising alphanumeric data) or three-dimensional.
L'équipement 3 correspond à un terminal comportant entre autres au moins un microprocesseur 13, des moyens de mémoire 12 volatile et non volatile, et des moyens de communication 9, un écran 14, et un clavier 10. U n module de lecture/écriture 1 1 est relié à cet équipement 3, et se rapporte, par exemple et de manière non exhaustive à : un lecteur de carte à puce, un lecteur de carte magnétique, - un lecteur électromagnétique (lecteur RFI D , ou lecteur RFI D/N FC), un lecteur optique, une caméra, un lecteur d'identification de caractéristiques biométriques, et d'autres types de modules aptes à permettre de collecter des informations visuelles, sonores, tactiles ou olfactives se rapportant à un individu .The equipment 3 corresponds to a terminal comprising among others at least one microprocessor 13, volatile and nonvolatile memory means 12, and communication means 9, a screen 14, and a keyboard 10. A n read / write module 1 1 is connected to this equipment 3, and relates, for example and non-exhaustively to: a smart card reader, a magnetic card reader, - an electromagnetic reader (RFI reader D, or RFI reader D / N FC), an optical reader, a camera, a reader for identifying biometric characteristics, and other types of modules able to collect visual, auditory, tactile or olfactory information relating to an individual.
Le dispositif technique 4 comprend un ensemble de serveurs 5 associés à des bases de données 6, et des moyens de communication sécurisés lui permettant d'échanger des flux de données 15 avec l'équipement 3 et/ou le tiers de confiance 1 . Le tiers de confiance 1 comprend des moyens de communication sécurisés 7,8 permettant d'échanger des flux de données avec l'équipement 3 et aussi avec le dispositif technique 4 de la société.The technical device 4 comprises a set of servers 5 associated with databases 6, and secure communication means enabling it to exchange data streams 15 with the equipment 3 and / or the trusted third party 1. The trusted third party 1 comprises secure communication means 7,8 for exchanging data streams with the equipment 3 and also with the technical device 4 of the company.
Les flux de données 15 échangés comprennent des paquets de données conformes au protocole IP (Internet protocol) et préférentiellement au format I Pv4 et/ou I Pv6. L'invention est aussi compatible avec d'autres protocoles de communication .The exchanged data streams comprise data packets compliant with the Internet protocol (IP) and preferably with the format I Pv4 and / or I Pv6. The invention is also compatible with other communication protocols.
La figure 3 montre de façon plus détaillée l'architecture fonctionnelle possible du tiers de confiance.Figure 3 shows in more detail the possible functional architecture of the trusted third party.
Il dispose de moyens de communication 7,8 prévus pour transmettre et recevoir les flux de données 15.It has 7.8 communication means provided for transmitting and receiving data streams 15.
Les paquets de données appartenant aux flux de données 15 sont ensuite transmis à un module de traitement 23. Ce module de traitement 23 comprend des moyens de pare-feu qui sur la base d'une politique sécurité filtre les paquets de données avant de les transmettre à une plateforme technique 27. Ces moyens de pare-feu protègent la plateforme technique 27 des intrusions éventuelles en appliquant une politique d'accès aux ressources réseau localisées au niveau de la plateforme technique 27. Cette plateforme technique 27 comprend des serveurs 26, tels que des serveurs d'authentification et de gestion de données, et des bases de données 25. Ces serveurs sont reliés aux bases de données et assurent le traitement des différentes données entrantes et sortantes de la plateforme technique lors d'étapes 24 d'échanges de données. Le filtrage des paquets de données réalisé par les moyens de pare-feu se fait notamment selon les critères suivants :The data packets belonging to the data streams 15 are then transmitted to a processing module 23. This processing module 23 comprises firewall means which, on the basis of a security policy, filters the data packets before transmitting them. to a technical platform 27. These firewall means protect the technical platform 27 from possible intrusions by applying a policy of access to localized network resources at the level of the technical platform 27. This technical platform 27 comprises servers 26, such as authentication and data management servers, and databases for data 25. These servers are connected to the databases and handle the different data in and out of the technical platform during data exchange steps 24. The filtering of the data packets carried out by the firewall means is done in particular according to the following criteria:
- l'origine ou la destination des paquets (adresse I P, ports TCP ou U DP, interface réseau , etc. ),- the origin or destination of the packets (I P address, TCP or UDP ports, network interface, etc.),
- les options contenues dans les données (fragmentation , validité, etc.),- the options contained in the data (fragmentation, validity, etc.),
- les données elles-mêmes (taille, correspondance à un motif, etc.) .- the data itself (size, correspondence to a pattern, etc.).
Ce module de traitement 23 comprend des moyens de routage de paquets de données.This processing module 23 comprises means for routing data packets.
Ces moyens de routage permettent après une analyse des paquets de données par les moyens de pare-feu de déterminer des informations comprises dans l'entête de ces paquets de données, informations se rapportant notamment à une adresse source et une adresse de destination afin de transmettre le paq uet de données à un serveur définit appartenant à la plateforme technique 27. Ces moyens de routage sont compatibles I Pv6 et possèdent des moyens de mise à jour aptes à faire évoluer le logiciel de routage vers une compatibilité avec les évolutions à venir de ce protocole I P . Les bases de données 25 de cette plateforme technique 27 comprennent un ensemble de tables numériques de concordance.These routing means allow after analysis of the data packets by the firewall means to determine information included in the header of these data packets, information relating in particular to a source address and a destination address to transmit the data packet to a defined server belonging to the technical platform 27. These routing means are I Pv6 compatible and have update means able to upgrade the routing software to compatibility with future developments of this IP protocol. The databases 25 of this technical platform 27 comprise a set of digital correlation tables.
Un premier ensemble de tables numériques de concordance se rapporte au profil des utilisateurs. En effet pour un utilisateur ce profil correspond à toutes les informations personnelles caractérisant un individu . Ces informations sont stockées dans ces tables numériques de concordance, sous forme de données correspondant de manière non exhaustive au : nom, prénom, - âge, adresse du domicile principal et autre (secondaire, etc .), numéro de téléphone du domicile, du travail, du mobile, situation maritale, renseignements sur les moyens de locomotion de cet utilisateur (immatriculation , marque, couleur, etc . ), photos (de face, profil, etc.), caractéristiques biométriques (empreinte digitale, rétin ienne, etc . ), adresse courrier électron ique, - banq ue et n uméro de compte bancaire, élément d'identification de la société, prestation (produit et/ou service) souscrit auprès d'une société, une clef primaire, - etc.A first set of digital match tables refers to the user profile. Indeed for a user this profile corresponds to all the personal information characterizing an individual. This information is stored in these digital concordance tables, in the form of non-exhaustive data corresponding to: name, first name, - age, home address and other (secondary, etc.), home, work, mobile, marital status, information about the user's means of transportation (registration, trademark, color) , etc.), pictures (face, profile, etc.), biometric characteristics (fingerprint, retinal, etc.), electronic mail address, bank account number and bank account number, identification element of the company, service (product and / or service) subscribed with a company, a primary key, - etc.
Ces données sont renseignées par l'utilisateur lors de son inscription auprès du tiers de confiance. I ls font par la suite l'objet d'une mise à jour via des bases de données 6 appartenant aux différentes sociétés à partir de liaisons sécurisées. Lors de cette inscription , l'utilisateur renseigne un formulaire sous format électronique ou papier en fournissant un ensemble d'informations personnelles décrites précédemment. Dans ce formulaire l'utilisateur à la possibilité de désigner les sociétés auprès desq uelles il est ou il veut être client. À réception du formulaire, un compte est créé sur un des serveurs 26 de la plateforme technique 27 et un identifiant unique est généré par un module de calculs pour être ensuite enregistré dans des moyens de mémoire 20 du support de don nées 2. Ce support de données 2 est ensuite transmis à l'utilisateur. Avec ce support de données 2, l'utilisateur pourra bénéficier des prestations de biens et/ou de services disponibles chez les sociétés qu'il a désignés lors de son inscription auprès du tiers de confiance 1 . La liste de ces sociétés peut être complétée ultérieurement par l'utilisateur à partir de moyens permettant de se connecter au tiers de confiance 1 par l'intermédiaire par exemple d'un site I nternet, mais aussi par d'autres moyens comme des formulaires papiers .This data is entered by the user when registering with the trusted third party. They are subsequently updated via databases belonging to the different companies from secure links. During this registration, the user enters a form in electronic or paper format by providing a set of personal information described above. In this form the user has the possibility to designate the companies with whom he is or he wants to be a customer. Upon receipt of the form, an account is created on one of the servers 26 of the technical platform 27 and a unique identifier is generated by a calculation module to be subsequently stored in memory means 20 of the data medium 2. This data carrier 2 is then transmitted to the user. With this data carrier 2, the user will be able to benefit from the services of goods and / or services available from the companies he has designated when registering with the trusted third party 1. The list of these companies can be completed later by the user from means for connecting to the trusted third party 1 for example via an Internet site, but also by other means such as paper forms. .
Ces données après avoir été stockées dans ce premier ensemble de table numérique de concordance sont ensuite codées. Ce codage des données est réalisé de man ière à ce que les données codées soient toujou rs exploitables afin qu'une société puisse interagir avec l'utilisateur à partir de ces données codées .This data after being stored in this first set of digital match table is then encoded. This coding of the data is done in such a way that the coded data is always exploitable so that a company can interact with the user from this coded data.
Par exemple, pour un utilisateur qui possède une adresse de courrier électron ique suivante : utiJisateur@serveurmaj ldelutilisateur.com cette adresse de courrier électronique codée selon l'invention correspond par exemple à : αeredf45rÇŒ)serveu rmaild utiersdeconfiance .comFor example, for a user who has a following e-mail address: user @ servermaj ldeluser.com this e-mail address encoded according to the invention corresponds for example to: αeredf45rÇŒ) serveu rmaild utiersdeconfiance .com
Ainsi cette adresse de courrier électronique est exploitable, car elle respecte la nomenclature d'une adresse de courrier électronique qui est de posséder les caractéristiques su ivantes : un identifiant de l'utilisateur, un identifiant de serveur de messagerie, un séparateur correspondant au « a » commercial « @ » entre l'identifiant de l'utilisateur et l'identifiant de serveur de messagerie.Thus this e-mail address is exploitable because it respects the nomenclature of an e-mail address which is to have the following characteristics: a user identifier, a mail server identifier, a separator corresponding to the "a" commercial "@" between the identifier of the user and the mail server identifier.
Dans la procédure de codage, des mécanismes de chiffrement et de déchiffrement sont mis en œuvre. Ces mécanismes se rapportent par exemple à des techniques de cryptographie symétrique (ou à clef secrète) ou asymétrique (ou à clef publique dans ce cas, les clefs de chiffrement et de déchiffrement sont distinctes et ne peuvent se déduire l'une de l'autre). Des mécanismes de cryptographie tels que RSAIn the coding procedure, encryption and decryption mechanisms are implemented. These mechanisms relate for example to symmetric (or secret key) or asymmetric (or public key) cryptography techniques. In this case, the keys for encryption and decryption are distinct and can not be deduced from each other. ). Cryptographic mechanisms such as RSA
(développé par le Massachusetts Institute of Technology), Diffie-(developed by the Massachusetts Institute of Technology), Diffie-
Hellman (et ses variantes, comme la norme de signature numérique du National Institute of Standards and Technology, El Gamal et les approches de courbes elliptiques), et Rabin-Williams peuvent par exemple être utilisés dans cette procédure de codage.Hellman (and variants thereof, such as the National Institute of Standards and Technology's Elgin Digital Signature Standard, El Gamal and Elliptic Curve Approaches), and Rabin-Williams can be used in this coding procedure, for example.
Ces données codées sont stockées dans un deuxième ensemble de tables numériques de concordance.This coded data is stored in a second set of digital match tables.
Une partie des données codées est transmise aux sociétés désignées par l'utilisateur lors de l'inscription . Ces données codées transmises se rapportent à des données essentielles à la création d'un compte client au niveau des bases de données 6 du dispositif technique 4 de ces sociétés. L'utilisateur sera ainsi référencé dans les bases de données 6 de ces sociétés.Part of the coded data is transmitted to the companies designated by the user during registration. This transmitted coded data relates to data essential for the creation of a customer account at the level of the databases 6 of the technical device 4 of these companies. The user will thus be referenced in the databases 6 of these companies.
D'autres données codées choisies par l'utilisateur peuvent être transmises aux sociétés lors de l'inscription ou après cette inscription .Other coded data chosen by the user may be transmitted to companies upon registration or after this registration.
Des sociétés peuvent aussi faire une demande de données codées correspondant à un utilisateur, auprès du tiers de confiance. Cette demande est transmise à l'utilisateur afin que celui-ci autorise ou n'autorise pas la transmission de ces données codées.Companies can also request coded data corresponding to a user from the trusted third party. This request is transmitted to the user so that the user authorizes or does not authorize the transmission of this coded data.
L'utilisateur et la société disposent de compte d'accès auprès du tiers de confiance. Ils se connectent à ces comptes à partir d'un terminal qui peut être mobile ou fixe. Ce terminal peut être par exemple un ordinateur personnel, un téléphone mobile, ou encore un PDA. Ce terminal permet de se connecter à un serveur de la plateforme technique 27 prévu pour cela . Ce serveur leur permet d'avoir accès au site internet de ce tiers de confiance ou à un accès de type VPN (acronyme signifiant Virtual Private Network). Ces accès permettent aux sociétés et utilisateurs d'administrer leur compte respectif auprès du tiers de confiance et ainsi de paramétrer par exemple pour l'utilisateur les données codées qu'il sou haite ou ne souhaite pas transmettre à une société et pour la société de formuler ses demandes de données codées afin , par exemple, de mieux connaître le profil comportemental de cet utilisateur et lui proposer des services ou des biens adaptés à ses besoi ns.The user and the company have access accounts with the trusted third party. They connect to these accounts from a terminal that can be mobile or fixed. This terminal may be for example a personal computer, a mobile phone, or a PDA. This terminal makes it possible to connect to a server of the technical platform 27 provided for this purpose. This server allows them to access the website of this trusted third party or access type VPN (acronym for Virtual Private Network). These accesses allow companies and users to administer their respective accounts with the trusted third party and thus to set up, for example, for the user the coded data that he wishes or does not wish to transmit to a company and for the company to formulate his requests for coded data to, for example, better understand the behavioral profile of this user and offer him services or goods adapted to his needs.
Dans un troisième ensemble de tables numériques de concordance sont stockées les données se rapportant aux différentes sociétés. Ces données correspondent entre autres, au nom commercial de la société, sa raison sociale, son domaine d'activité, à un identifiant société qui est unique pour chaque société, à une clef primaire, à des identifiants et paramètres nécessaires pour une connexion à leurs bases de données 6 pour une synchronisation avec les bases de données 25 d u tiers de confiance 1 . Cette synchronisation se fait lors des étapes 32,30,31 d'échanges de données entre respectivement l'interface 22 avec les moyens de communication 7, ces moyens de communication 7 avec le module de traitement 23 et ce module de traitement 23 avec la plateforme technique 27.In a third set of digital correlation tables are stored data relating to different companies. These data correspond, among others, to the commercial name of the company, its corporate name, its field of activity, to a company identifier which is unique for each company, to a primary key, to identifiers and parameters necessary for a connection to their company. databases 6 for synchronization with the databases of the trusted third party 1. This synchronization is done during the steps 32,30,31 of data exchange between respectively the interface 22 with the communication means 7, these communication means 7 with the processing module 23 and this processing module 23 with the platform technical 27.
Dans un quatrième ensemble de tables numériques de concordance, compris dans les bases de données 25 de la plateforme technique 27, sont stockés pour chaque utilisateur : - l'identifiant unique, l'identifiant société, les données codées transmises pour chaque société, le numéro de client de cette utilisateur chez chacun des sociétés désignés, les clefs primaires du premier, deuxième et troisième ensemble de tables numériques de concordance. Ce quatrième ensemble de tables numériques de concordance participe à l'authentification de l'utilisateur.In a fourth set of digital concordance tables, included in the databases 25 of the technical platform 27, are stored for each user: the unique identifier, the company identifier, the coded data transmitted for each company, the customer number of this user at each of the designated companies, the primary keys of the first, second and third set of digital match tables. This fourth set of digital concordance tables participates in the authentication of the user.
Dans ce quatrième ensemble de tables, l'identifiant unique est associé aux données codées enregistrées comme l'identifiant unique dans ce quatrième ensemble de tables, ces données codées sont les mêmes qui ont été transmises au dispositif technique 4 de la société et qui sont stockées dans les bases de don nées 6 de ce dispositif technique 4. Ces données codées constituent le profil codé de l'utilisateur au sien des bases de données 6 du dispositif technique 4 et de ce quatrième ensemble de tables. Les bases de données 6 du dispositif technique 4 se synchronise régulièrement avec les bases de données 25 du tiers de confiance 1 .In this fourth set of tables, the unique identifier is associated with the coded data recorded as the unique identifier in this fourth set of tables, these coded data are the same that were transmitted to the technical device 4 of the company and which are stored in the data bases 6 of this technical device 4. This coded data constitutes the coded profile of the user in his databases 6 of the technical device 4 and this fourth set of tables. The databases 6 of the technical device 4 synchronize regularly with the databases of the trusted third party 1.
Les clefs primaires permettent d'établir des correspondances entre les différents ensembles de tables numériques de concordance.The primary keys make it possible to establish correspondences between the different sets of digital concordance tables.
Les données se rapportant aux informations personnelles de l'utilisateur sont archivées en claires dans un premier ensemble de tables numériques et sont archivées sous formes cryptées dans un deuxième ensemble de tables numériques. Avantageusement l'utilisateur reste complètement anonyme au niveau du ou des sociétés qu'il a désignés, tout en bénéficiant de la ou leurs prestations .The data relating to the personal information of the user are archived in clear in a first set of digital tables and are archived in encrypted forms in a second set of digital tables. Advantageously, the user remains completely anonymous at the level of the company or companies he has designated, while benefiting from the or their services.
Certaines sociétés enregistrées dans les bases de données de la plateforme technique ont un statut particulier. En effet, ces sociétés se rapportent par exemple à des hôpitaux, des établissements scolaires, des administrations militaires ou civiles ou encore à des sociétés de service postal . Ce sont des sociétés qui utilisent les données archivées dans les bases de données 25 du tiers de confiance 27 dans le cadre de leur processus de fonctionnement et qui ne sont pas associées à un utilisateur dans le cadre d'une relation commerciale.Some companies registered in the databases of the technical platform have a special status. In fact, these companies relate, for example, to hospitals, schools, military or civil administrations or to postal service companies. These are companies that use the archived data in the databases of the trusted third parties 27 as part of their operating process and who are not associated with a user in the context of a business relationship.
Les moyens de communication utilisés dans cette architecture fonctionnelle se rapportent à des moyens de câblage et/ou des moyens de transmission électromagnétique. Sans prétendre faire une liste exhaustive, ces moyens de câblage correspondent par exemple à de la fibre optique ou des câbles cuivrés, et les moyens de transmission électromagnétique se rapportent par exemple à des liaisons radioélectrique reposant sur des normes de téléphonie mobile comme le GSM (acronyme de Global System for Mobile Communications), UMTS (acronyme de Universal Mobile Télécommunications System), EDGE (acronyme de Enhanced Data Rates for GSM Evolution) ou encore HSDPA (acronyme de High-Speed Downlink Packet Access). Ces moyens peuvent aussi se rapporter à des technologies telles que le WI FI définie par les normes I EEE 802, 1 1 , ou les technologies Bluetooth définies par les normes I EEE 802.15, ou encore à la technologie WI MAX (acronyme pour Worldwide Interoperability for Microwave Access) définie par la norme I EEE 802.13.The communication means used in this functional architecture relate to wiring means and / or electromagnetic transmission means. Without pretending to make an exhaustive list, these cabling means correspond, for example, to optical fiber or copper cables, and the electromagnetic transmission means relate, for example, to radio links based on mobile telephone standards such as GSM (acronym Global System for Mobile Communications), UMTS (acronym for Universal Mobile Telecommunications System), EDGE (acronym for Enhanced Data Rates for GSM Evolution) or HSDPA (acronym for High-Speed Downlink Packet Access). These means may also relate to technologies such as the WI FI defined by the I EEE 802, 1 1 standards, or the Bluetooth technologies defined by the I EEE 802.15 standards, or to the WI MAX technology (acronym for Worldwide Interoperability for Microwave Access) defined by I EEE 802.13.
Un mode de réalisation de l'invention est illustré à la figure 4 pour un utilisateur empruntant les transports en commun dans le cadre de ses déplacements. Ces moyens de transport en commun sont gérés par une société tel qu'une société de transport. Chaque point d'accès aux moyens de transport en commun est muni d'une borne de contrôle 3 permettant de vérifier que l'utilisateur est titulaire des droits nécessaires pour emprunter ces moyens de transport en commun . Cette borne 3 est reliée au tiers de confiance 1 et au dispositif technique 4 de cette société de transport par des moyens de communication filaire tel que de la fibre optique.One embodiment of the invention is illustrated in Figure 4 for a user using public transport as part of his travels. These means of public transport are managed by a company such as a transport company. Each point of access to public transport means is provided with a control terminal 3 making it possible to verify that the user holds the rights necessary to use these means of public transport. This terminal 3 is connected to the trusted third party 1 and the technical device 4 of this transport company by wired communication means such as optical fiber.
L'utilisateur pour accéder au moyen de transport utilise une SmartCard 2 qui lui a été fournit par le tiers de confiance 1 . Cette SmartCard 1 comprend une mémoire eeprom 20 dans laquelle est enregistré un identifiant unique. L'utilisateur se présente devant la borne de contrôle 3 et insère dans le lecteur de carte 1 1 de cette borne 3 la SmartCard 2. Lors d'une étape de transmission 16, les moyens de lecture de ce lecteur 1 1 récupèrent cet identifiant uniq ue. La borne de contrôle 3 génère un paquet de données comprenant cet identifiant unique et insère dans ce paquet un identifiant société qui se rapporte à la société de transport. Dans une étape de transmission 34 la borne 3 envoie ce paquet de données au tiers de confiance 1 . Ce paquet est ensuite reçu par l'interface de connexion 22 et est transmis, lors d'une étape 29 au module de traitement 23 qui analyse ce paquet de données et valide notamment son intégrité afin d'être conforme à la politique de sécurité appliquée par les moyens de pare-feu . Ce paquet de données est envoyé à un des serveurs 26 d'authentification de la plateforme technique 27 à partir des moyens de routage de ce module de traitement 23. Le serveur d'authentification va identifier l'utilisateur et la société de transport sur la base respectivement de l'identifiant unique et l'identifiant société. Le serveur d'authentification va ensuite transmettre une requête comprenant en attribut ces deux identifiants aux bases de données 25 de cette plateforme technique 27. En réponse à cette requête, ces bases de données 25 vont transmettre le profil de l'utilisateur se rapportant aux don nées codés qui ont été transmises aux bases de données 6 du dispositif technique 4 de cette société de transport. Ces données codées comprennent les données codées essentielles et les données codées qui ont été transmises avec l'approbation de l'utilisateur.The user to access the means of transport uses a SmartCard 2 which has been provided to him by the trusted third party 1. This SmartCard 1 includes an eeprom memory 20 in which is registered a unique identifier. The user comes to the control terminal 3 and inserts in the card reader 1 1 of this terminal 3 the SmartCard 2. During a transmission step 16, the reading means of this reader 1 1 recover this identifier uniq ue. The control terminal 3 generates a data packet comprising this unique identifier and inserts into this packet a company identifier which relates to the transport company. In a transmission step 34, the terminal 3 sends this data packet to the trusted third party 1. This packet is then received by the connection interface 22 and is transmitted during a step 29 to the processing module 23 which analyzes this data packet and notably validates its integrity in order to comply with the security policy applied by the means of firewall. This data packet is sent to one of the authentication servers 26 of the technical platform 27 from the routing means of this processing module 23. The authentication server will identify the user and the transport company on the basis of respectively of the unique identifier and the company identifier. The authentication server will then transmit a request comprising as an attribute these two identifiers to the databases 25 of this technical platform 27. In response to this request, these databases 25 will transmit the user's profile relating to the donations. code that has been transmitted to the databases 6 of the technical device 4 of this transport company. This coded data includes the essential coded data and coded data that has been transmitted with the user's approval.
On peut noter que les données codées transmises à la société juste avant l'authentification sont prises en compte. À partir de ces données codées, lors d'une étape 35, le serveur d'authentification génère des paquets de données qui sont ensuite transmises à la borne de contrôle via le module de traitement 23 et les moyens de communication 8 en fibre optique. Une fois ces paquets reçus la borne de contrôle 3 au travers de son module de traitement intègre dans un de ces paquets de données un identifiant permettant d'identifier la borne de contrôle 3 dans le réseau de borne de contrôle dont dispose la société de transport. Lors d'une étape 36, ces données sont ensuite transmises au serveur d'authentification de la société de transport qui envoi une requête comprenant l'identifiant de la borne de contrôle 3 et les données codées à la base de données 6 du dispositif technique 4 de la société de transport. Le serveur d'authentification de cette société identifie alors la borne de contrôle 3 source de la requête et vérifie que chacune des données codées reçues correspond bien à celles stockées dans sa base de données 6. Ainsi une deuxième vérification de l'identité de l'utilisateur est réalisée, et renforce la sécurité de la procédure d'authentification .It can be noted that the coded data transmitted to the company just before the authentication are taken into account. From this coded data, in a step 35, the authentication server generates data packets which are then transmitted to the control terminal via the processing module 23 and the communication means 8 in optical fiber. Once these packets have been received, the control terminal 3 through its processing module integrates into one of these data packets an identifier making it possible to identify the control terminal 3 in the control terminal network available to the transport company. In a step 36, these data are then transmitted to the authentication server of the transport company sending a request comprising the identifier of the control terminal 3 and the data coded to the database 6 of the technical device 4 of the transport company. The authentication server of this company then identifies the source control terminal 3 of the request and verifies that each of the coded data received corresponds to those stored in its database 6. Thus a second verification of the identity of the user is realized, and reinforces the security of the authentication procedure.
En réponse à cette requête, lors d'une étape 37, le serveur envoie à la borne de contrôle une autorisation d'accès, pour cet utilisateur, au moyen de transport commun .In response to this request, during a step 37, the server sends to the control terminal access authorization, for this user, by means of common transport.
Ainsi la société de transport fournit une prestation de manière régulière à un utilisateur référencé dans sa base de données, mais dont elle ignore l'identité. L'utilisateur utilise donc son moyen de transport en commun de façon anonyme pour la société de transport. Seul le tiers de confiance 1 permet d'identifier cet utilisateur et donc par exemple de connaître ses déplacements en ayant accès aux bases de données du dispositif technique de cette société.Thus, the transport company provides a service on a regular basis to a user referenced in his database, but whose identity he does not know. The user therefore uses his means of public transport anonymously for the transport company. Only the trusted third party 1 makes it possible to identify this user and thus for example to know his movements by having access to the databases of the technical device of this company.
Selon le même processus, le support de données 2 de cet utilisateur, et en particulier la SmartCard 2, lui permet de bénéficier des prestations, de façon anonyme, de d'autres sociétés désignés. C'est un moyen d'authentification unique.According to the same process, the data carrier 2 of this user, and in particular the SmartCard 2, allows him to benefit from the services, anonymously, of other designated companies. It is a means of unique authentication.
Les données codées présentes dans la base de données 6 de cette société de transport peuvent être utilisées comme des données non codées. La société de transport peut par exemple utiliser le nom, prénom et adresse codés de l'utilisateur qu'elle possède dans les bases de données 6 du dispositif technique 4. Par exemple pour la transmission d'une facture à l'utilisateur, la société appose sur l'enveloppe une étiquette comportant les coordonnées codées de l'utilisateur. Une société de service postal en charge du traitement et de la distribution de courrier comprend un dispositif de trie de courrier comportant un terminal 3 associé à des moyens de lecture 1 1 tel qu'un scanneur à reconnaissance de caractère apte à transformer les informations numérisées sur l'enveloppe en données numériques. À partir de ces données numériques, un module de traitement, compris dans le terminal, génère des paquets de données qui sont ensuite modifiés par intégrations dans un des paquets d'un identifiant société de cette société de service postal. Ces paquets de données sont ensuite transmis, lors d'une étape 16, à un des serveurs de la plateforme technique 27 du tiers de confiance 1 . Le serveur détermine l'identité du société comme étant une société postal. Ce type de société est référencé au niveau des bases de données 25 du tiers de confiance 1 comme ayant un statut différent des sociétés classiques, car ce type de société intervient dans des procédures d'échanges d'informations entre un utilisateur, qui lui est inconnu, et une autre société. Le serveur interroge les bases de données 25 de la plateforme technique 27 sur la base des données codées et transmet la réponse au module de traitement de la société de service postal . Cette réponse se rapporte à des données en claires correspondant aux données codées. Ces données en claires sont par conséquent les coordonnées de l'utilisateur. Ces données en claires sont imprimées sur une étiquette qui est ensuite apposée sur l'enveloppe. Cette enveloppe continue son parcours dans le circuit de distribution jusqu'à être acheminé à l'utilisateur. La société de transport peut aussi envoyer des promotions commerciales à l'utilisateur à partir de l'adresse de courrier électronique codée de cet utilisateur. Le courrier électronique envoyé sur la base de l'adresse de courrier électronique codée est reçu par un serveur de traitement de courrier électronique de la plateforme technique 27 du tiers de confiance 1 . Ce serveur extrait l'adresse de courrier électronique codée de ce courriel. Un module de calcul compris dans le serveur décrypte cette adresse de courrier électronique codée. Le résultat de ce décryptage est ensuite intégré dans une requête en tant qu'attribut de cette requête. Cette requête est ensuite envoyée aux bases de données 25 de cette plateforme technique 27 afin de récupérer l'adresse du courrier électronique en claire. L'adresse électronique codée est ensuite remplacée dans le courrier électronique par l'adresse en claire. Le courrier électronique est ensuite envoyé. Ainsi l'utilisateur recevra l'offre commerciale qui lui est destinée.The coded data present in the database 6 of this transport company can be used as uncoded data. The transport company can for example use the name, surname and coded address of the user that it owns in the databases 6 of the technical device 4. For example for the transmission of an invoice to the user, the company affix on the envelope a label containing the coded coordinates of the user. A postal service company in charge of the processing and distribution of mail includes a mail sorting device comprising a terminal 3 associated with reading means 11 such as a character recognition scanner capable of transforming the digitized information on the mail. the envelope in digital data. From this digital data, a processing module, included in the terminal, generates data packets which are then modified by integrations in one of the packets of a company identifier of this postal service company. These data packets are then transmitted, during a step 16, to one of the servers of the technical platform 27 of the trusted third party 1. The server determines the identity of the company as a postal company. This type of company is referenced at the level of the databases 25 of the trusted third party 1 as having a status different from the conventional societies, because this type of company intervenes in procedures of exchange of information between a user, which is unknown to him , and another company. The server queries the databases of the technical platform 27 based on the encoded data and transmits the response to the processing module of the postal service company. This response refers to data in clear corresponding to the encoded data. These data in clear are therefore the coordinates of the user. These data in clear are printed on a label which is then affixed to the envelope. This envelope continues its journey in the distribution circuit until it is sent to the user. The shipping company may also send commercial promotions to the user from that user's encrypted e-mail address. The e-mail sent on the basis of the encrypted e-mail address is received by an e-mail processing server of the technical platform 27 of the trusted third party 1. This server retrieves the encrypted email address from this email. A calculation module included in the server decrypts this encrypted e-mail address. The result of this decryption is then integrated into a request as an attribute of this request. This request is then sent to the databases 25 of this technical platform 27 in order to retrieve the e-mail address in clear. The coded email address is then replaced in the email by the clear address. The email is then sent. Thus the user will receive the commercial offer that is intended for him.
L'utilisateur peut à tout moment désactiver cette adresse électronique codée afin de ne plus, par exemple, recevoir de message promotionnel d'une société. I l peut désactiver toutes données codées transmises à une société qui ne se rapportent pas une donnée essentielle comme, par exemple, le nom codée, ou encore le prénom codée.The user can at any time disable this coded email address so as not to receive, for example, any promotional message from a company. It can disable any coded data transmitted to a company that does not relate to an essential data such as, for example, the coded name or the coded first name.
La société de transport peut contacter l'utilisateur par des moyens téléphonique et à partir d'un numéro de téléphone codée de l'utilisateur. Les moyens téléphonique, tel qu'un appareil de téléphonie classique, utilisés par la société de transport se connecte à un serveur de la plateforme technique après la composition d'un numéro de téléphone fourni par le tiers de confiance 1 . Une fois connecté le numéro de téléphone codé de l'utilisateur est saisi à partir du clavier de cet appareil de téléphonie. Cet appareil de téléphonie envoie ce numéro de téléphone codé au serveur de la plateforme technique 27. Le serveur traite le numéro de téléphone codé, interroge les bases de données et récupère le numéro de téléphone en clair de l'utilisateur. À partir du numéro de téléphone en clair, le serveur connecte la société de transport à l'utilisateur.The transport company may contact the user by telephone and from a coded telephone number of the user. The telephone means, such as a conventional telephony device, used by the transport company connects to a server of the technical platform after dialing a telephone number provided by the trusted third party 1. Once logged in the user's coded phone number is entered from the keypad of this telephony device. This telephony device sends this coded telephone number to the server of the technical platform 27. The server processes the coded telephone number, queries the databases of data and retrieve the user's clear phone number. From the clear telephone number, the server connects the transport company to the user.
La société a donc la possibilité d'interagir avec les données essentielles du profil de l'utilisateur. I l en va de même avec des données codées mises à la disposition de la société après approbation de l'utilisateur comme par exemple, une adresse de courrier électronique.The company therefore has the opportunity to interact with the essential data of the user's profile. The same is true with coded data made available to the company after approval by the user, for example an e-mail address.
Les sociétés ayant un statut particulier peuvent contrôler certaines prestations dispensées par d'autres sociétés en fonction de la législation . Par exemple des établissements scolaires disposant d'un accès auprès du tiers de confiance 1 peuvent suspendre l'utilisation de téléphone mobile dans leur enceinte à partir des données se rapportant aux différents opérateurs téléphoniques correspondant aux utilisateurs enregistrés dans les bases de données du tiers de confiance 1 . L'utilisation des téléphones mobile peut être suspendu pour les élèves et autorisée pour le personnel enseignant et la direction .Companies with special status can control certain services provided by other companies according to the legislation. For example, schools with access to a trusted third party 1 may suspend the use of mobile phones in their premises from the data relating to the different telephone operators corresponding to the users registered in the databases of the trusted third party. 1. The use of mobile phones may be suspended for students and permitted for teachers and management.
Le tiers de confiance 1 possède un accès privilégié aux bases de données des sociétés désignés par ces différents utilisateurs. I l peut ainsi mettre à jour les données se rapportant au profil de l'utilisateur. Ainsi le tiers de confiance comprend dans ses bases de données un ensemble d'informations complètes se rapportant à un individu comme par exemple des données se rapportant à la localisation géographique d'un utilisateur à un instant t si l'une des sociétés de cette utilisateur est un opérateur de téléphonie mobile et/ou une société de protection de vol de véhicule qui sur la base d'un dispositif transpondeur GPS/GSM est capable de localiser la position de son véhicule. L'invention peut être un outil performant pour une autorité administrative indépendante chargée de veiller à la protection des données person nelles et à la protection de la vie privée. L'invention est décrite dans ce qui précède à titre d'exemple. Il est entendu que l'homme du métier est à même de réaliser différentes variantes de l'invention sans pour autant sortir du cadre du brevet. The trusted third party 1 has privileged access to the databases of the companies designated by these different users. It can thus update the data relating to the profile of the user. Thus, the trusted third party includes in his databases a set of complete information relating to an individual, for example data relating to the geographical location of a user at a time t if one of the companies of this user is a mobile phone operator and / or a vehicle theft protection company which on the basis of a GPS / GSM transponder device is able to locate the position of his vehicle. The invention can be a powerful tool for an independent administrative authority responsible for the protection of personal data and the protection of privacy. The invention is described in the foregoing by way of example. It is understood that the skilled person is able to realize different variants of the invention without departing from the scope of the patent.

Claims

REVEN DICATIONS REVEN DICATIONS
1 . Procédé d'authentification d'un utilisateur à partir d'un équipement (3), et d'un tiers de confiance (1 ) et d'un support de données (2) comprenant un identifiant unique dans ses moyens de mémoires (20), caractérisé en ce que ledit procédé comprend des étapes préalables dans lesquelles des données appartenant à un profil caractéristique dudit utilisateur sont codées et enregistrées par des serveurs (26) et des bases de données (25) appartenant audit tiers de confiance (1 ) de sorte à générer un profil codé comprenant des données codées de profil codé, ledit profil codé étant associé audit identifiant unique, et en ce que ledit procédé comporte: - une étape (33,34) de transmission audit tiers de confiance1. Method for authenticating a user from a device (3), and a trusted third party (1) and a data carrier (2) comprising a unique identifier in its memory means (20) characterized in that said method comprises prior steps in which data belonging to a characteristic profile of said user are encoded and stored by servers (26) and databases (25) belonging to said trusted third party (1) so generating an encoded profile comprising coded profile coded data, said coded profile being associated with said unique identifier, and in that said method comprises: a step (33, 34) of transmission to said trusted third party
(1 ) dudit identifiant unique enregistré dans lesdits moyens de mémoire (20) dudit support de données (2),(1) said unique identifier stored in said memory means (20) of said data medium (2),
- une étape d'identification dudit utilisateur par ledit tiers de confiance (1 ) à partir dudit identifiant unique, - une étape (35) d'envoi audit équipement (3) desdites données dudit profil codé associé audit identifiant unique, eta step of identifying said user by said trusted third party (1) from said unique identifier; a step (35) of sending said equipment (3) said data of said coded profile associated with said unique identifier, and
- une étape (36) d'authentification dudit utilisateur à partir desdites données codés dudit profil codé.a step (36) of authentication of said user from said coded data of said coded profile.
2. Procédé selon la revendication 1 , dans lequel ladite étape d'authentification comporte une sous-étape de transmission dudit équipement (3) à un dispositif technique (4) desdites données codées dudit profil codé.2. Method according to claim 1, wherein said authentication step comprises a sub-step of transmitting said equipment (3) to a technical device (4) of said coded data of said coded profile.
3. Procédé selon l'une quelconque des revendications précédentes, dans lequel ladite étape d'identification comporte une sous-étape d'interrogation des bases de données (25) par lesdits serveurs (26) dudit tiers de confiance (1 ) sur la base d'une requête comportant ledit identifiant unique de façon à obtenir lesdites données codées dudit profil codé associé audit identifiant unique.A method according to any one of the preceding claims, wherein said identifying step comprises a substep of querying the databases (25) by said servers (26) of said trusted third party (1) based on a request comprising said unique identifier so as to obtain said coded data of said coded profile associated with said unique identifier.
4. Procédé selon l'une quelconque des revendications précédentes, dans lequel lesdites données se rapportant audit profil de l'individu sont mises à jour à partir de connexion sécurisée entre lesdites bases de données (25) dudit tiers de confiance (1 ) et lesdites bases de données (6) du dispositif technique (4).A method according to any one of the preceding claims, wherein said data relating to said individual's profile is updated from a secure connection between said databases (25) of said trusted third party (1) and said databases (6) of the technical device (4).
5. Procédé selon l'une quelconque des revendications précédentes, dans lequel lesdites données codées enregistrées dans les bases de données dudit dispositif technique sont synchronisées avec lesdites données codées dudit profil codé associé audit identifiant à partir de connexion sécurisée entre lesdites bases de données dudit tiers de confiance (1 ) et lesdites bases de données (6) dudit dispositif technique (4).5. Method according to any one of the preceding claims, wherein said coded data stored in the databases of said technical device are synchronized with said coded data of said coded profile associated with said identifier from secure connection between said databases of said third party. trusted (1) and said databases (6) of said technical device (4).
6. Système d'authentification d'un utilisateur pour la mise en œuvre du procédé selon l'une quelconque des revendications 1 à 5 comprenant un tiers de confiance (1 ) et un équipement (3) comportant des bases données (25) stockant des données se rapportant au profil d'un utilisateur caractérisé en ce que ledit équipement (3) comprend des moyens de communications (10) agencés de façon à échanger des données avec ledit tiers de confiance (1 ) et un dispositif technique (4), et des moyens de lecture (1 1 ) aptes à récupérer l'identifiant enregistré dans des moyens de mémoire (20) d'un support de données (2).6. A user authentication system for implementing the method according to any one of claims 1 to 5 comprising a trusted third party (1) and a device (3) comprising databases (25) storing data. data relating to the profile of a user characterized in that said equipment (3) comprises communication means (10) arranged to exchange data with said trusted third party (1) and a technical device (4), and reading means (1 1) capable of recovering the identifier stored in memory means (20) of a data medium (2).
7. Système selon la revendication précédente, dans lequel ledit support de données (2) est mobile et amovible. 7. System according to the preceding claim, wherein said data carrier (2) is movable and removable.
8. Système selon l'une des revendications 6 à 7, dans lequel ledit tiers de confiance (1 ) est relié audit dispositif technique par des moyens de communication (7). 8. System according to one of claims 6 to 7, wherein said trusted third party (1) is connected to said technical device by communication means (7).
PCT/FR2008/050500 2007-03-23 2008-03-21 Method and system for authenticating a user WO2008132393A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0754010 2007-03-23
FR0754010A FR2914130A1 (en) 2007-03-23 2007-03-23 METHOD AND SYSTEM FOR AUTHENTICATION OF A USER

Publications (2)

Publication Number Publication Date
WO2008132393A2 true WO2008132393A2 (en) 2008-11-06
WO2008132393A3 WO2008132393A3 (en) 2008-12-24

Family

ID=38874997

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2008/050500 WO2008132393A2 (en) 2007-03-23 2008-03-21 Method and system for authenticating a user

Country Status (2)

Country Link
FR (1) FR2914130A1 (en)
WO (1) WO2008132393A2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050154913A1 (en) * 2002-02-28 2005-07-14 Ericsson Telefon Ab L M Method and apparatus for handling user identities under single sign-on services
WO2005066735A1 (en) * 2003-12-24 2005-07-21 Koninklijke Philips Electronics N.V. Preserving privacy while using authorization certificates
US20060179031A1 (en) * 2005-02-04 2006-08-10 Sbc Knowledge Ventures, L.P. Internet Web shield

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050154913A1 (en) * 2002-02-28 2005-07-14 Ericsson Telefon Ab L M Method and apparatus for handling user identities under single sign-on services
WO2005066735A1 (en) * 2003-12-24 2005-07-21 Koninklijke Philips Electronics N.V. Preserving privacy while using authorization certificates
US20060179031A1 (en) * 2005-02-04 2006-08-10 Sbc Knowledge Ventures, L.P. Internet Web shield

Also Published As

Publication number Publication date
WO2008132393A3 (en) 2008-12-24
FR2914130A1 (en) 2008-09-26

Similar Documents

Publication Publication Date Title
EP3590223B1 (en) Integrated method and device for storing and sharing data
EP2619941B1 (en) Method, server and system for authentication of a person
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
CN102769531A (en) Identity authentication device and method thereof
FR2930390A1 (en) METHOD FOR SECURE DIFFUSION OF DIGITAL DATA TO AN AUTHORIZED THIRD PARTY
EP3665600B1 (en) Method for electronic signing of a document by a plurality of signatories
WO2008030184A1 (en) Improved authentication system
FR3082023A1 (en) A SOFTWARE APPLICATION AND A COMPUTER SERVER TO AUTHENTICATE THE IDENTITY OF A DIGITAL CONTENT CREATOR AND THE INTEGRITY OF THE PUBLIC CREATOR CONTENT
FR2930391A1 (en) AUTHENTICATION TERMINAL OF A USER.
WO2017149453A1 (en) Open, secure electronic signature system and associated method
EP3241137A1 (en) Method implemented in an identity document and associated identity document
FR2973909A1 (en) METHOD FOR ACCESSING A PROTECTED RESOURCE OF A SECURE PERSONAL DEVICE
EP1514377A1 (en) Interface method and device for the on-line exchange of contents data in a secure manner
FR2980011A1 (en) METHOD FOR IMPLEMENTING, FROM A TERMINAL, CRYPTOGRAPHIC DATA OF A USER STORED IN A REMOTE DATABASE
CN106254341B (en) For the data fingerprint extracting method and system of centralized electronic data safety system
CN105743859B (en) A kind of method, apparatus and system of light application certification
FR2950768A1 (en) SYSTEM AND METHOD FOR SECURE ONLINE TRANSACTION
WO2008132393A2 (en) Method and system for authenticating a user
FR3073111A1 (en) METHOD AND DEVICE FOR STORING AND SHARING INTEGRATED DATA
FR2898423A1 (en) Certified electronic signature generating device e.g. chip card, configuring method for e.g. computer, involves updating certificate to user upon reception of denomination and number by certificate producer so as to be used with device
WO2022135952A1 (en) Method and device for generating authentication information for a secure entity and associated identity checking method and device
FR3007929A1 (en) METHOD FOR AUTHENTICATING A USER OF A MOBILE TERMINAL
WO2022028788A1 (en) Method for generating a secure digital document stored on a mobile terminal and associated with a digital identity
EP1992104B1 (en) Authenticating a computer device at user level
WO2010133459A1 (en) Method for encrypting specific portions of a document for superusers

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08775738

Country of ref document: EP

Kind code of ref document: A2

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: CONSTATATION DE LA PERTE D UN DROIT CONFORMEMENT A LA REGLE 112(1) CBE

122 Ep: pct application non-entry in european phase

Ref document number: 08775738

Country of ref document: EP

Kind code of ref document: A2