EP4128700A1 - Method and device for authenticating a user with an application - Google Patents

Method and device for authenticating a user with an application

Info

Publication number
EP4128700A1
EP4128700A1 EP21720811.5A EP21720811A EP4128700A1 EP 4128700 A1 EP4128700 A1 EP 4128700A1 EP 21720811 A EP21720811 A EP 21720811A EP 4128700 A1 EP4128700 A1 EP 4128700A1
Authority
EP
European Patent Office
Prior art keywords
user
request
address
authentication
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21720811.5A
Other languages
German (de)
French (fr)
Inventor
Emmanuel Bertin
Julien HATIN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Publication of EP4128700A1 publication Critical patent/EP4128700A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD

Definitions

  • the invention relates to the general field of telecommunications networks, and more specifically to blockchain technology.
  • SSO Single Sign-On
  • IdP Identity Providers
  • OIDC OpenID Connect
  • the invention improves the state of the art and proposes a method for authenticating a user to at least one application, called a service application, said user being equipped with a user device having at least one address and being able to obtain at least one piece of authentication data from said user, the method being implemented by a device for authenticating a user and characterized in that it comprises:
  • - a step of receiving, from said at least one service application, a request comprising at least one identifier of said user; a first step of sending, to an application registered in a blockchain, a request comprising said at least one identifier of said user;
  • the service provider who wishes to authenticate a user will request the authentication device by sharing with it an identifier entered for example by the user at the level of the man-machine interface of the service.
  • the authentication device will then retrieve, from an application registered in a blockchain, an address of a device belonging to the user.
  • This user device is for example a USB security key, a mobile, a PC, a virtual machine located in the network, or any other terminal capable of obtaining and supplying data for example encrypted from a user allowing his authentication such as for example authentication tokens.
  • the method will contact the user device via a redirection request redirecting to the address of the service which wishes to authenticate the user.
  • the user's device completes the request with authentication data such as an authentication token.
  • the token can for example be generated by the user device as a function of data entered by the user such as biometric data.
  • service application is understood to mean any application capable of rendering at least one service for the needs of a user and executed for example on a server located in a network such as the Internet network.
  • the application can also be executed at the level of a terminal such as for example a connected object, a smartphone, a personal computer, or any other terminal capable of executing a computer application.
  • this method makes it possible to guarantee the identity of the user through the use of the blockchain.
  • blockchain technology is a technology for storing and transmitting information without a control organ.
  • it is a distributed database whose information sent by users and internal links to the base are verified and grouped at regular time intervals into blocks, the whole being secured by cryptography, and thus forming chain.
  • a blockchain is a distributed database that maintains a list of records protected against tampering or modification by storage nodes; it is therefore a distributed and secure register of all transactions carried out since the start of the distributed system ”.
  • Blockchains are further characterized in that their contents cannot be changed or deleted: information published in a blockchain remains so forever. By information "published” in a blockchain, we mean information recorded or saved in it.
  • a method as described above is characterized in that the first emission step is followed:
  • This embodiment of the invention makes it possible to provide, at the end of G authentication, at least one piece of data to the service provider such as for example one or more attributes of the user, an error code, etc. necessary for the proper functioning of the service.
  • the embodiment allows the user to remain in control of the attributes that he shares with the service providers. He can know the data requested by the service provider and knowingly agree to share it or not.
  • attribute is meant a user's personal data such as a name, first name, telephone number, biometric fingerprint, postal address, e-mail address, age, profession, etc.
  • the attribute can also be a multimedia object such as a photo, video, text document, etc.
  • a method as described above is characterized in that the fourth emission step is preceded:
  • the device will for example obtain, from a trusted entity, a hash (digital fingerprint used to quickly identify initial data produced via a function which takes the data as input) of the user's attribute and compare it with the hash of the attribute of the user generated by the authentication device itself. If the two hashes match, then the attributes received are considered valid. They are then inserted into the data sent by the authentication process to the services application.
  • a trusted entity is a device such as a server, a personal computer, a mobile terminal, a connected object capable of obtaining for example from a user and providing certified data such as attributes of a user.
  • a method as described above is characterized in that the trusted entity is an application registered in a chain of blocks.
  • This embodiment ensures that the evidence has not been corrupted, as the data written in a blockchain cannot be modified or deleted.
  • a method as described above is characterized in that said first address corresponds to said second address of said user device.
  • This embodiment makes it possible to use the same user terminal to retrieve the authentication data (s) and the attribute (s).
  • a method as described above is characterized in that said at least one attribute is encrypted data and in that the generation step is preceded by a step decryption of said at least one attribute.
  • This embodiment allows the user not to transmit unencrypted his attributes or personal data.
  • the invention also relates to a device for authenticating a user to at least one application, called a service application, said user being equipped with a user device capable of obtaining at least one piece of authentication data from said user, and characterized in that it comprises:
  • a second module for receiving a response message, originating from said application registered to a chain of blocks, comprising at least a first piece of data corresponding to a first address of said user device, said at least one first datum having been obtained as a function of said at least one identifier of said user;
  • module can correspond both to a software component and to a hardware component or a set of hardware and software components, a software component itself corresponding to one or more computer programs or subroutines or more generally. to any element of a program capable of implementing a function or a set of functions as described for the modules concerned.
  • a hardware component corresponds to any element of a hardware assembly capable of implementing a function or a set of functions for the module concerned (integrated circuit, smart card, memory card, etc. .).
  • the invention also relates to a server characterized in that it comprises a device for authenticating a user as described above.
  • the invention also relates to a computer program comprising instructions for implementing the above method according to any one of the particular embodiments described above, when said program is executed by a processor.
  • the method can be implemented in various ways, in particular in wired form or in software form.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other. desirable form.
  • the invention also relates to a recording medium or information medium readable by a computer, and comprising instructions of a computer program as mentioned above.
  • the aforementioned recording media can be any entity or device capable of storing the program.
  • the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means, for example a Hard disk.
  • the recording media can correspond to a transmissible medium such as an electrical or optical signal, which can be conveyed via an electrical or optical cable, by radio or by other means.
  • the programs according to the invention can in particular be downloaded from an Internet type network.
  • the recording media can correspond to an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • This device for authenticating a user and this computer program have characteristics and advantages similar to those described above in connection with the method for authenticating a user.
  • Figure 1 shows the hardware architecture of an authentication device according to a particular embodiment of the invention
  • FIG 2 shows in flowchart form the main steps of an authentication method according to a particular embodiment of the invention.
  • FIG. 1 represents the hardware architecture of an authentication device DA in accordance with the invention.
  • this device has the hardware architecture of a computer. It notably comprises a processor PROC1, a random access memory MV1, a read only memory MEM1 and a non-volatile flash memory MF1.
  • the read only memory constitutes a recording medium in accordance with the invention, readable by the processor PROC1 and on which is recorded here a computer program PG1 in accordance with the invention, this program comprising instructions for implementing the steps of the method of controlling access to a function as described above, when the program is executed by the processor PROC1.
  • the code instructions of the computer program PG1 are for example loaded into a memory before being executed by the PROC1 processor.
  • the processor PROC1 of the processing unit UT1 notably implements the steps of the method of controlling access to a function according to any one of the particular embodiments described in relation to FIG. 2, according to the instructions of the program d computer PG1.
  • the device DA also comprises reception modules RECV1 and RECV2 capable of receiving communications via for example an IP network and / or circuit.
  • the RECV 1 reception module is for example used to receive requests from a service application comprising at least one identifier of a user.
  • the RECV2 reception module is for example used to receive a message comprising at least one piece of data corresponding to an address of a device of a user.
  • the RECV1 and RECV2 modules can be one and the same reception module.
  • the DA device further comprises SND1 and SND2 transmission modules capable of transmitting communications via for example an IP network and / or circuit.
  • the SND1 transmission module is for example used to send, to an application registered in a blockchain, a request comprising at least one identifier of a user.
  • the SND2 module is for example used to send, to an address of a user device, a request allowing the sending of a message, to an address of a service application comprising at least one authentication datum. of a user.
  • the SND1 and SND2 modules can be one and the same reception module.
  • the modules RECV1, RECV2, SND1 and SND2 can be one and the same communication module COM1 (not shown).
  • the communication module COM1 can also be used to receive, from a service application, a request for attributes from a user and comprising at least one authentication datum. and an identifier of the user.
  • the communication module COM1 can also be used to send to an address of a device of the user a request for attributes of the user, the address of the user. device having been obtained according to a user identifier, for example via an application registered in a blockchain or from digital storage such as a database, file or memory.
  • the communication module COM1 can also be used to receive a response to the request for attributes, the response comprising at least one attribute of the user or a status message such as an error code.
  • the communication module COM1 can also be used to send to a service application, a response to the request for attributes coming from the service application, comprising at least data such as an error code, a status, a transaction identifier, an attribute, etc.
  • the device DA comprises an obtaining module (OBT) capable of obtaining from a trusted entity at least one piece of data, called proof, obtained by applying a function F1 to one or several attributes of the user.
  • the function Fl is for example a function making it possible to create a hash and / or a function allowing encryption and / or a function making it possible to sign the attribute (s) of the user. It can be executed, for example, by the trusted entity or else by a user device or any other device capable of providing the evidence (s) to the trusted entity.
  • the device DA comprises a generation module (GEN) capable of generating the proof (s), by applying the function F1 to one or more attributes of the user received via the module COM1 .
  • the evidence (s) generated can then be compared by the comparison module (COMP) to the evidence obtained through the OBT obtaining module. If the result of the comparison is positive then the attributes are considered valid. Otherwise the attributes are considered invalid.
  • the DA device comprises a module (not shown) allowing the decryption of the evidence obtained.
  • This embodiment makes it possible for example to decipher the proofs obtained before being able to compare them with the proofs generated by the DA device.
  • the modules COM1 and OBT can be one and the same communication module.
  • FIG. 2 we will now describe the main steps E20, E21, E22, E23, E25, E26, E27, E28 and E29 of an authentication method according to embodiments of the invention.
  • FIG. 2 consists of a terminal T such as for example a mobile terminal, a USB key (Universal Serial Bus), a connected object or a computer capable of obtaining and providing data, for example encrypted, of a user allowing his authentication as for example authentication tokens or personal data.
  • FIG. 2 also includes a BC device registered to a blockchain for example capable of performing decentralized functions or DApps within the meaning of blockchain technology but also an SA device such as a server, a personal computer, an object connected or any other terminal capable of providing a service to a user. It also consists of a DA device capable of performing the authentication method within the meaning of the invention.
  • a terminal T such as for example a mobile terminal, a USB key (Universal Serial Bus), a connected object or a computer capable of obtaining and providing data, for example encrypted, of a user allowing his authentication as for example authentication tokens or personal data.
  • FIG. 2 also includes a BC device registered to a blockchain for example capable of performing decentralized functions or DApps within the meaning of blockchain
  • the device SA sends an authentication request to the device DA.
  • This request follows a request from a user's terminal to access a service provided by the DA device.
  • the authentication device DA receives the authentication request which may include several parameters such as an identifier of the user wishing to access the service provided by the device SA, a transaction number, a service identifier , an identifier of the SA device, an address of the SA device, a time slot, or any other information related to the service or to the user.
  • step E21 the authentication method will send to the device BC a request comprising at least one identifier of the user retrieved during step E20.
  • the request is then received by the device BC in step E31.
  • step E32 the BC device will send back to the DA device a response containing an address, such as for example a MAC address or an IP address, of a terminal T belonging to the user.
  • the address of the terminal T corresponds to a first datum within the meaning of the invention. This address is selected by the BC device as a function of the user identifier received in step E31.
  • the BC device can send a response comprising a list of addresses of the user's devices, this list being able for example to be ordered, the first address being for example the one to be used by default.
  • the addresses can also be associated with data indicating the nature of the data that can be obtained via each user device (authentication data, user attributes, etc.).
  • the response from the BC device is then received by the DA device in step E22.
  • the latter will send (E23) to the address of the terminal T a redirection request, that is to say a request asking the terminal T d 'in turn send a message to the SA device.
  • the request sent by the device DA in step E23 and received by the terminal T in step E43 can include parameters such as the identifier of the service provided by the device SA and / or the address of the device SA and / or any other information such as a parameter supplied by the device SA and received by the device DA during step E20.
  • the message sent by the terminal T in step E44 and received by the device SA in step E14 comprises at least one piece of user authentication data such as, for example, personal data or an authentication token.
  • the authentication data can be generated at the terminal T via, for example, data collected by a biometric sensor used to obtain a fingerprint, an iris, a face, a voice, etc. of the user.
  • the authentication datum may vary as a function of one or more parameters, for example received by the terminal T in step E43 and / or obtained by the terminal T, for example the current time obtained via a clock internal to the device T.
  • one of the parameters is a parameter of the request received during step E43
  • this one can be a parameter previously received by the device DA during of step E20 such as a time slot, an identifier of the service or of the device SA.
  • the device SA sends during step E15 a request for attributes from the user to the device DA.
  • the request comprises at least one authentication datum received by the device SA during step E14 and an identifier of the user which is for example the same as that transmitted in the request sent by the device SA during step E10. It can also include other parameters such as a service identifier executed by the device SA, a transaction number, an identifier of the device SA, or any other information related to the service.
  • the device DA receives the request at step E25 and goes to step E26 to send a request for attributes to a device of the user.
  • This attribute query can include parameters received from the device SA during step E25.
  • the request is received in step E46 by the user device which is, in the case described in support of FIG. 2, the terminal T.
  • the user device which receives the attribute request (E46) may be different from the user device which receives the redirection request (E43).
  • step E47 the terminal T transmits to the device DA one or more attributes of the user.
  • the attributes are for example a function of a service identifier, a transaction number, an identifier of the SA device, or any other information related to the service and received during step E46.
  • the DA device receives the attribute (s) from the user in step E27 and then transmits it (s) to the SA device in step E29. The attribute or attributes are then received by the device SA in step El 9.
  • the device DA can, after having retrieved the attributes of the user (E27), decrypt, for example via a key shared with the terminal T, the attributes before transmitting them to the device SA ( E29).
  • the device DA can, after having retrieved the attributes of the user (E27), verify the signature of the attributes via for example a key shared with the terminal T before transmitting them to the device. SA (E29).
  • the device DA can obtain from a trusted entity (not shown) one or more hashes of an attribute, of several attributes or of a concatenation of attributes of the user.
  • the DA device will then calculate the hash of an attribute, of several attributes or of a concatenation of attributes retrieved from the user during step E27 by applying the same function as that which made it possible to generate the one or more. hash obtained from the trusted entity.
  • the device will then, during step E28, compare the calculated hash (s) with those obtained from the trusted entity. If the result of the comparison is positive then the attributes are considered valid. Otherwise, the attributes are considered to be invalid and an error message such as for example a code is returned to the device SA during step E29.

Abstract

The invention relates to a method for authenticating a user with at least one application, referred to as a service application, said user being equipped with a user device that has at least one address and is able to obtain at least one authentication datum for said user, the method being implemented by a user authentication device and characterized in that it comprises: - a step of receiving, from said at least one service application, a request comprising at least one identifier of said user; - a first step of sending, to an application registered in a blockchain, a request comprising said at least one identifier of said user; - a second step of receiving, in response to said sending step, a message comprising at least one first datum corresponding to a first address of said user device, said at least one first datum having been obtained on the basis of said at least one identifier of said user; - a second step of sending, to said first address, a request to send a message comprising said at least one authentication datum for said user to an address of said service application.

Description

DESCRIPTION DESCRIPTION
Titre : Procédé et dispositif d’authentification d’un utilisateur auprès d’une application. Title: Method and device for authenticating a user to an application.
1. Domaine de l'invention 1. Field of the invention
L’invention se rapporte au domaine général des réseaux de télécommunications, et plus précisément à la technologie des chaînes de blocs (en anglais « blockchain »). The invention relates to the general field of telecommunications networks, and more specifically to blockchain technology.
2. Art Antérieur 2. Prior Art
Nous vivons dans un monde toujours plus connecté, conséquence d’une digitalisation de plus en plus poussée de nos processus traditionnels tels que les courriers, les démarches administratives, les services bancaires, le paiement, etc. Pour accéder aux services digitalisés et à leurs contenus/fonctionnalités, il est souvent demandé à un utilisateur de s’identifier grâce à une identité numérique. Cette identité numérique est le plus souvent différente d’un service à un autre ce qui implique une multitude d’ identifiants à mémoriser pour Tutilisateur. We live in an increasingly connected world, a consequence of the increasingly digitalization of our traditional processes such as letters, administrative procedures, banking services, payment, etc. To access digital services and their content / functionality, a user is often required to identify himself with a digital identity. This digital identity is most often different from one service to another, which implies a multitude of identifiers for the user to remember.
Il existe aujourd’hui des solutions pour résoudre ce problème comme par exemple les solutions de type SSO (Single Sign-On) qui propose à Tutilisateur de se connecter à de multiples applications via un seul identifiant. Concrètement, ces solutions reposent sur la délégation de l’authentification à des fournisseurs d’identités ou IdP pour « Identity Providers » qui créent, gèrent et maintiennent l’identité d’un utilisateur pour le compte de fournisseurs de services. Les fournisseurs d’identités sont par exemple de type SAML (Security Assertion Markup Language) ou OIDC (OpenID Connect). Today there are solutions to solve this problem, for example SSO (Single Sign-On) type solutions which offer the user to connect to multiple applications via a single identifier. Concretely, these solutions are based on the delegation of authentication to Identity Providers or IdPs for "Identity Providers" who create, manage and maintain a user's identity on behalf of service providers. Identity providers are for example of SAML (Security Assertion Markup Language) or OIDC (OpenID Connect) type.
La délégation de l’authentification à des fournisseurs d’identités peut poser un problème concernant la protection des données à caractère personnel. En effet, ces solutions imposent à Tutilisateur de partager au préalable avec le ou les fournisseurs d’identités de nombreuses données personnelles. Un acteur malveillant qui proposerait un tel service pourrait récupérer des données sensibles des utilisateurs et les revendre sans que les utilisateurs en aient conscience. De plus, Tutilisateur n’a pas le contrôle sur le nombre et la nature des informations communiquées aux services digitaux par le fournisseur d’identités lors des demandes d’authentification. 3. Exposé de l'invention The delegation of authentication to identity providers can pose a problem for the protection of personal data. Indeed, these solutions require the user to first share with the identity provider (s) a large number of personal data. A malicious actor offering such a service could retrieve sensitive user data and resell it without users being aware of it. In addition, the user does not have control over the number and nature of the information communicated to the digital services by the identity provider during authentication requests. 3. Disclosure of the invention
L’invention vient améliorer l’état de la technique et propose un procédé d’authentification d’un utilisateur auprès d’au moins une application, dite application de services, ledit utilisateur étant équipé d’un dispositif utilisateur possédant au moins une adresse et étant apte à obtenir au moins une donnée d’authentification dudit utilisateur, le procédé étant mis en œuvre par un dispositif d’authentification d’un utilisateur et caractérisé en ce qu’il comprend : The invention improves the state of the art and proposes a method for authenticating a user to at least one application, called a service application, said user being equipped with a user device having at least one address and being able to obtain at least one piece of authentication data from said user, the method being implemented by a device for authenticating a user and characterized in that it comprises:
- une étape de réception, en provenance de ladite au moins une application de services, d’une requête comprenant au moins un identifiant dudit utilisateur ; une première étape d’émission, à destination d’une application inscrite à une chaîne de blocs, d’une requête comprenant ledit au moins un identifiant dudit utilisateur ;- a step of receiving, from said at least one service application, a request comprising at least one identifier of said user; a first step of sending, to an application registered in a blockchain, a request comprising said at least one identifier of said user;
- une deuxième étape de réception, en réponse à l’étape d’émission, d’un message comprenant au moins une première donnée correspondant à une première adresse dudit dispositif utilisateur, ladite au moins une première donnée ayant été obtenue en fonction dudit au moins un identifiant dudit utilisateur ; a second step of receiving, in response to the sending step, a message comprising at least a first datum corresponding to a first address of said user device, said at least one first datum having been obtained as a function of said at least an identifier of said user;
- une deuxième étape d’émission, à destination de ladite première adresse, d’une requête pour émettre un message comprenant ladite au moins une donnée d’authentification dudit utilisateur vers une adresse de ladite application de services. - a second step of sending, to said first address, a request to send a message comprising said at least one piece of authentication data from said user to an address of said service application.
Ainsi, le fournisseur de services qui souhaite authentifier un utilisateur va solliciter le dispositif d’authentification en lui partageant un identifiant renseigné par exemple par l’utilisateur au niveau de l’interface homme-machine du service. Le dispositif d’authentification va alors récupérer, depuis une application inscrite à une chaîne de blocs, une adresse d’un dispositif appartenant à l’utilisateur. Ce dispositif utilisateur est par exemple une clef de sécurité USB, un mobile, un PC, une machine virtuelle située dans le réseau, ou tout autre terminal apte à obtenir et fournir des données par exemple chiffrées d’un utilisateur permettant son authentification comme par exemple des jetons d’authentification. Une fois l’adresse du dispositif utilisateur récupérée, le procédé va contacter le dispositif utilisateur via une requête de redirection redirigeant vers l’adresse du service qui souhaite procéder à l’authentification de l’utilisateur. Lors de la redirection, le dispositif de l’utilisateur complète la requête avec une donnée d’authentification telle qu’un jeton d’authentification. Le jeton peut par exemple être généré par le dispositif utilisateur en fonction de données renseignées par l’utilisateur telles que des données biométriques. On entend par application de services, toute application apte à rendre au moins un service pour les besoins d’un utilisateur et exécutée par exemple sur un serveur situé dans un réseau tel que le réseau Internet. L’application peut également être exécutée au niveau d’un terminal comme par exemple un objet connecté, un smartphone (téléphone intelligent en anglais), un ordinateur personnel, ou tout autre terminal apte à exécuter une application informatique. Thus, the service provider who wishes to authenticate a user will request the authentication device by sharing with it an identifier entered for example by the user at the level of the man-machine interface of the service. The authentication device will then retrieve, from an application registered in a blockchain, an address of a device belonging to the user. This user device is for example a USB security key, a mobile, a PC, a virtual machine located in the network, or any other terminal capable of obtaining and supplying data for example encrypted from a user allowing his authentication such as for example authentication tokens. Once the address of the user device has been retrieved, the method will contact the user device via a redirection request redirecting to the address of the service which wishes to authenticate the user. During redirection, the user's device completes the request with authentication data such as an authentication token. The token can for example be generated by the user device as a function of data entered by the user such as biometric data. The term “service application” is understood to mean any application capable of rendering at least one service for the needs of a user and executed for example on a server located in a network such as the Internet network. The application can also be executed at the level of a terminal such as for example a connected object, a smartphone, a personal computer, or any other terminal capable of executing a computer application.
Avantageusement, ce procédé permet de garantir l’identité de l’utilisateur grâce à l’utilisation de la chaîne de blocs. Comme indiqué dans le document (https://ff.wikipedia.org/wiki/Blockchain), on rappelle que « la technologie des chaînes de blocs est une technologie de stockage et de transmission d'informations sans organe de contrôle. Techniquement, il s'agit d'une base de données distribuée dont les informations envoyées par les utilisateurs et les liens internes à la base sont vérifiés et groupés à intervalles de temps réguliers en blocs, l'ensemble étant sécurisé par cryptographie, et formant ainsi une chaîne. Par extension, une chaîne de blocs est une base de données distribuée qui gère une liste d'enregistrements protégés contre la falsification ou la modification par les nœuds de stockage ; c'est donc un registre distribué et sécurisé de toutes les transactions effectuées depuis le démarrage du système réparti». Les chaînes de blocs sont caractérisées en outre en ce que leurs contenus ne peuvent pas être modifiés ou supprimés : une information publiée dans une chaîne de blocs le reste pour toujours. Nous désignons par information « publiée » dans une chaîne de blocs, une information enregistrée ou sauvegardée dans celle-ci. Advantageously, this method makes it possible to guarantee the identity of the user through the use of the blockchain. As indicated in the document (https://ff.wikipedia.org/wiki/Blockchain), it is recalled that “blockchain technology is a technology for storing and transmitting information without a control organ. Technically, it is a distributed database whose information sent by users and internal links to the base are verified and grouped at regular time intervals into blocks, the whole being secured by cryptography, and thus forming chain. By extension, a blockchain is a distributed database that maintains a list of records protected against tampering or modification by storage nodes; it is therefore a distributed and secure register of all transactions carried out since the start of the distributed system ”. Blockchains are further characterized in that their contents cannot be changed or deleted: information published in a blockchain remains so forever. By information "published" in a blockchain, we mean information recorded or saved in it.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci- dessus est caractérisé en ce que la première étape d’émission est suivie : According to a particular embodiment of the invention, a method as described above is characterized in that the first emission step is followed:
- d’une troisième étape de réception, en provenance de ladite application de services, d’une requête d’attributs dudit utilisateur, ladite requête comprenant ladite au moins une donnée d’authentification et ledit au moins un identifiant dudit utilisateur ; - a third step of receiving, from said service application, a request for attributes of said user, said request comprising said at least one authentication datum and said at least one identifier of said user;
- d’une troisième étape d’émission, à destination d’une deuxième adresse d’un dispositif dudit utilisateur obtenue en fonction dudit au moins un identifiant dudit utilisateur, d’une requête d’attributs dudit utilisateur ; - a third sending step, to a second address of a device of said user obtained as a function of said at least one identifier of said user, of a request for attributes of said user;
- d’une quatrième étape de réception d’une réponse à la requête d’attributs, la réponse comportant au moins un attribut dudit utilisateur ; - d’une quatrième étape d’émission, à destination de ladite application de services, d’une réponse à la requête d’attributs, la réponse comportant au moins une deuxième donnée. a fourth step of receiving a response to the request for attributes, the response comprising at least one attribute of said user; a fourth step of sending, to said service application, a response to the request for attributes, the response comprising at least one second item of data.
Ce mode de mise en œuvre de l'invention permet de fournir, à l’issue de G authentification, au moins une donnée au fournisseur du service comme par exemple un ou des attributs de l’utilisateur, un code d’erreur, etc. nécessaires au bon fonctionnement du service. Avantageusement, le mode de réalisation permet à l’utilisateur de rester maître des attributs qu’il partage avec les fournisseurs de services. Il peut connaître les données demandées par le fournisseur de service et accepter en connaissance de cause de les partager ou non. This embodiment of the invention makes it possible to provide, at the end of G authentication, at least one piece of data to the service provider such as for example one or more attributes of the user, an error code, etc. necessary for the proper functioning of the service. Advantageously, the embodiment allows the user to remain in control of the attributes that he shares with the service providers. He can know the data requested by the service provider and knowingly agree to share it or not.
On entend par attribut une donnée personnelle de l’utilisateur telle qu’un nom, prénom, numéro de téléphone, empreinte biométrique, adresse postale, adresse e-mail, âge, profession, etc. l’attribut peut être également un objet multimédia tel qu’une photo, une vidéo, un document de texte, etc. By attribute is meant a user's personal data such as a name, first name, telephone number, biometric fingerprint, postal address, e-mail address, age, profession, etc. the attribute can also be a multimedia object such as a photo, video, text document, etc.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci- dessus est caractérisé en ce que la quatrième étape d’émission est précédée : According to a particular embodiment of the invention, a method as described above is characterized in that the fourth emission step is preceded:
- d’une étape d’obtention, depuis une entité de confiance, d’au moins une troisième donnée obtenue par application d’une fonction audit au moins un attribut dudit utilisateur; - a step of obtaining, from a trusted entity, at least one third piece of data obtained by applying a function to said at least one attribute of said user;
- d’une étape de génération d’au moins une quatrième donnée obtenue par application de ladite fonction audit au moins un attribut dudit utilisateur reçu lors de la quatrième étape de réception ; - a step of generating at least a fourth piece of data obtained by applying said function to said at least one attribute of said user received during the fourth reception step;
- d’une étape d’ajout dudit au moins un attribut dudit utilisateur au contenu de ladite au moins une deuxième donnée en fonction du résultat de la comparaison de ladite au moins une troisième donnée avec ladite au moins une quatrième donnée. - a step of adding said at least one attribute of said user to the content of said at least one second datum as a function of the result of the comparison of said at least one third datum with said at least one fourth datum.
Ce mode de réalisation permet d’assurer que les attributs de l’utilisateur sont valides. Le dispositif va par exemple obtenir, depuis une entité de confiance, un hash (empreinte numérique servant à identifier rapidement une donnée initiale réalisée via une fonction qui prend en entrée la donnée) de l’attribut de l’utilisateur et le comparer avec le hash de l’attribut de l’utilisateur généré par le dispositif d’authentification lui-même. Si les deux hash correspondent, alors les attributs reçus sont considérés comme valides. Ils sont alors insérés dans les données envoyées par le procédé d’authentification à l’application de services. On appelle entité de confiance un dispositif tel qu’un serveur, un ordinateur personnel, un terminal mobile, un objet connecté apte à obtenir par exemple d’un utilisateur et à fournir des données certifiées telles que des attributs d’un utilisateur. This embodiment ensures that the attributes of the user are valid. The device will for example obtain, from a trusted entity, a hash (digital fingerprint used to quickly identify initial data produced via a function which takes the data as input) of the user's attribute and compare it with the hash of the attribute of the user generated by the authentication device itself. If the two hashes match, then the attributes received are considered valid. They are then inserted into the data sent by the authentication process to the services application. A trusted entity is a device such as a server, a personal computer, a mobile terminal, a connected object capable of obtaining for example from a user and providing certified data such as attributes of a user.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci- dessus est caractérisé en ce que l’entité de confiance est une application inscrite à une chaîne de blocs. According to a particular embodiment of the invention, a method as described above is characterized in that the trusted entity is an application registered in a chain of blocks.
Ce mode de réalisation permet de s’assurer que les preuves n’ont pas été corrompues, les données inscrites dans une chaîne de blocs ne pouvant être modifiées ou supprimées. This embodiment ensures that the evidence has not been corrupted, as the data written in a blockchain cannot be modified or deleted.
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci- dessus est caractérisé en ce que ladite première adresse correspond à ladite deuxième adresse dudit dispositif utilisateur. According to a particular embodiment of the invention, a method as described above is characterized in that said first address corresponds to said second address of said user device.
Ce mode de réalisation permet d’utiliser le même terminal utilisateur pour récupérer la ou les données d’authentification et le ou les attributs. This embodiment makes it possible to use the same user terminal to retrieve the authentication data (s) and the attribute (s).
Selon un mode de mise en œuvre particulier de l'invention, un procédé tel que décrit ci- dessus est caractérisé en ce que ledit au moins un attribut est une donnée chiffrée et en ce que l’étape de génération est précédée d’une étape de déchiffrement dudit au moins un attribut. According to a particular embodiment of the invention, a method as described above is characterized in that said at least one attribute is encrypted data and in that the generation step is preceded by a step decryption of said at least one attribute.
Ce mode de réalisation permet à l’utilisateur de ne pas transmettre en clair ses attributs ou données personnelles. This embodiment allows the user not to transmit unencrypted his attributes or personal data.
L’invention concerne également un dispositif d’authentification d’un utilisateur auprès d’au moins une application, dite application de services, ledit utilisateur étant équipé d’un dispositif utilisateur apte à obtenir au moins une donnée d’authentification dudit utilisateur, et caractérisé en ce qu’il comprend : The invention also relates to a device for authenticating a user to at least one application, called a service application, said user being equipped with a user device capable of obtaining at least one piece of authentication data from said user, and characterized in that it comprises:
- un module de réception d’une requête en provenance de ladite au moins une application de services comprenant au moins un identifiant dudit utilisateur ; un module d’émission à destination d’une application inscrite à une chaîne de blocs d’une requête comprenant ledit au moins un identifiant dudit utilisateur ; - a module for receiving a request from said at least one service application comprising at least one identifier of said user; a transmission module to an application registered in a blockchain of a request comprising said at least one identifier of said user;
- un deuxième module de réception d’un message de réponse, en provenance de ladite application inscrite à une chaîne de blocs, comprenant au moins une première donnée correspondant à une première adresse dudit dispositif utilisateur, ladite au moins une première donnée ayant été obtenue en fonction dudit au moins un identifiant dudit utilisateur ; - a second module for receiving a response message, originating from said application registered to a chain of blocks, comprising at least a first piece of data corresponding to a first address of said user device, said at least one first datum having been obtained as a function of said at least one identifier of said user;
- un deuxième module d’émission, à destination de ladite première adresse, d’une requête pour émettre un message, vers une adresse de ladite application de services, comprenant ladite au moins une donnée d’authentification dudit utilisateur. - a second sending module, to said first address, of a request to send a message, to an address of said service application, comprising said at least one piece of authentication data for said user.
Le terme module peut correspondre aussi bien à un composant logiciel qu’à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d’ordinateur ou de manière plus générale à tout élément d’un programme apte à mettre en œuvre une fonction ou un ensemble de fonctions telles que décrites pour les modules concernés. De la même manière, un composant matériel correspond à tout élément d’un ensemble matériel (ou hardware) apte à mettre en œuvre une fonction ou un ensemble de fonctions pour le module concerné (circuit intégré, carte à puce, carte à mémoire, etc.). The term module can correspond both to a software component and to a hardware component or a set of hardware and software components, a software component itself corresponding to one or more computer programs or subroutines or more generally. to any element of a program capable of implementing a function or a set of functions as described for the modules concerned. Likewise, a hardware component corresponds to any element of a hardware assembly capable of implementing a function or a set of functions for the module concerned (integrated circuit, smart card, memory card, etc. .).
L'invention concerne également un serveur caractérisé en ce qu’il comporte un dispositif d’authentification d’un utilisateur tel que décrit précédemment. The invention also relates to a server characterized in that it comprises a device for authenticating a user as described above.
L'invention concerne également un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé ci-dessus selon l’un quelconque des modes particuliers de réalisation décrits précédemment, lorsque ledit programme est exécuté par un processeur. Le procédé peut être mis en œuvre de diverses manières, notamment sous forme câblée ou sous forme logicielle. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable. The invention also relates to a computer program comprising instructions for implementing the above method according to any one of the particular embodiments described above, when said program is executed by a processor. The method can be implemented in various ways, in particular in wired form or in software form. This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other. desirable form.
L’invention vise aussi un support d’enregistrement ou support d’informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci- dessus. Les supports d’enregistrement mentionnés ci-avant peuvent être n’importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu’une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur. D'autre part, les supports d'enregistrement peuvent correspondre à un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Les programmes selon l'invention peuvent être en particulier téléchargés sur un réseau de type Internet. The invention also relates to a recording medium or information medium readable by a computer, and comprising instructions of a computer program as mentioned above. The aforementioned recording media can be any entity or device capable of storing the program. For example, the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means, for example a Hard disk. On the other hand, the recording media can correspond to a transmissible medium such as an electrical or optical signal, which can be conveyed via an electrical or optical cable, by radio or by other means. The programs according to the invention can in particular be downloaded from an Internet type network.
Alternativement, les supports d'enregistrement peuvent correspondre à un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question. Alternatively, the recording media can correspond to an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
Ce dispositif d’authentification d’un utilisateur et ce programme d'ordinateur présentent des caractéristiques et avantages analogues à ceux décrits précédemment en relation avec le procédé d’authentification d’un utilisateur. This device for authenticating a user and this computer program have characteristics and advantages similar to those described above in connection with the method for authenticating a user.
4. Liste des figures 4. List of figures
D’autres caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante de modes de réalisation particuliers, donnés à titre de simples exemples illustratifs et non limitatifs, et des dessins annexés, parmi lesquels : Other characteristics and advantages of the invention will emerge more clearly on reading the following description of particular embodiments, given by way of simple illustrative and non-limiting examples, and the accompanying drawings, among which:
[Fig 1] La figure 1 représente l’architecture matérielle d’un dispositif d’authentification selon un mode particulier de réalisation de l’invention ; [Fig 1] Figure 1 shows the hardware architecture of an authentication device according to a particular embodiment of the invention;
[Fig 2] La figure 2 représente sous forme d’organigramme les principales étapes d’un procédé d’authentification selon un mode particulier de réalisation de l’invention. [Fig 2] Figure 2 shows in flowchart form the main steps of an authentication method according to a particular embodiment of the invention.
5. Description d’un mode de réalisation de l’invention 5. Description of an embodiment of the invention
La figure 1 représente l’architecture matérielle d’un dispositif d’authentification DA conforme à l’invention. Dans le mode de réalisation décrit ici, ce dispositif a l’architecture matérielle d’un ordinateur. Il comprend notamment un processeur PROC1, une mémoire vive MV1, une mémoire morte MEM1 et une mémoire flash non volatile MF1. De tels moyens sont connus en soi et ne sont pas décrits plus en détail ici. La mémoire morte constitue un support d’enregistrement conforme à l’invention, lisible par le processeur PROC1 et sur lequel est enregistré ici un programme d’ordinateur PG1 conforme à l’invention, ce programme comportant des instructions pour mettre en œuvre les étapes du procédé de contrôle d’accès à une fonction tel que décrit précédemment, lorsque le programme est exécuté par le processeur PROC1. A l'initialisation, les instructions de code du programme d’ordinateur PG1 sont par exemple chargées dans une mémoire avant d’être exécutées par le processeur PROC1. Le processeur PROC1 de l'unité de traitement UT1 met notamment en œuvre les étapes du procédé de contrôle d’accès à une fonction selon l'un quelconque des modes particuliers de réalisation décrits en relation avec la figure 2, selon les instructions du programme d'ordinateur PG1. FIG. 1 represents the hardware architecture of an authentication device DA in accordance with the invention. In the embodiment described here, this device has the hardware architecture of a computer. It notably comprises a processor PROC1, a random access memory MV1, a read only memory MEM1 and a non-volatile flash memory MF1. Such means are known per se and are not described in more detail here. The read only memory constitutes a recording medium in accordance with the invention, readable by the processor PROC1 and on which is recorded here a computer program PG1 in accordance with the invention, this program comprising instructions for implementing the steps of the method of controlling access to a function as described above, when the program is executed by the processor PROC1. On initialization, the code instructions of the computer program PG1 are for example loaded into a memory before being executed by the PROC1 processor. The processor PROC1 of the processing unit UT1 notably implements the steps of the method of controlling access to a function according to any one of the particular embodiments described in relation to FIG. 2, according to the instructions of the program d computer PG1.
Le dispositif DA comprend également des modules de réception RECV1 et RECV2 aptes recevoir des communications via par exemple un réseau IP et/ou circuit. Le module de réception RECV 1 est par exemple utilisé pour recevoir des requêtes en provenance d’une application de services comprenant au moins un identifiant d’un utilisateur. Le module de réception RECV2 est par exemple utilisé pour recevoir un message comprenant au moins une donnée correspondant à une adresse d’un dispositif d’un utilisateur. The device DA also comprises reception modules RECV1 and RECV2 capable of receiving communications via for example an IP network and / or circuit. The RECV 1 reception module is for example used to receive requests from a service application comprising at least one identifier of a user. The RECV2 reception module is for example used to receive a message comprising at least one piece of data corresponding to an address of a device of a user.
Selon un mode particulier de réalisation de l’invention, les modules RECV1 et RECV2 peuvent être un seul et même module de réception. According to a particular embodiment of the invention, the RECV1 and RECV2 modules can be one and the same reception module.
Le dispositif DA comprend en outre des modules d’émission SND1 et SND2 aptes à émettre des communications via par exemple un réseau IP et/ou circuit. Le module d’émission SND1 est par exemple utilisé pour émettre, à destination d’une application inscrite à une chaîne de blocs, une requête comprenant au moins un identifiant d’un utilisateur. Le module SND2 est par exemple utilisé pour émettre, à destination d’une adresse d’un dispositif utilisateur, une requête permettant l'émission d’un message, vers une adresse d’une application de services comprenant au moins une donnée d’authentification d’un utilisateur. Selon un mode particulier de réalisation de l’invention, les modules SND1 et SND2 peuvent être un seul et même module de réception. The DA device further comprises SND1 and SND2 transmission modules capable of transmitting communications via for example an IP network and / or circuit. The SND1 transmission module is for example used to send, to an application registered in a blockchain, a request comprising at least one identifier of a user. The SND2 module is for example used to send, to an address of a user device, a request allowing the sending of a message, to an address of a service application comprising at least one authentication datum. of a user. According to a particular embodiment of the invention, the SND1 and SND2 modules can be one and the same reception module.
Selon un mode particulier de réalisation de l’invention, les modules RECV1, RECV2, SND1 et SND2 peuvent être un seul et même module de communication COM1 (non représenté). According to a particular embodiment of the invention, the modules RECV1, RECV2, SND1 and SND2 can be one and the same communication module COM1 (not shown).
Selon un mode particulier de réalisation de l’invention, le module de communication COM1 peut aussi être utilisé pour recevoir, en provenance d’une application de services, une requête d’attributs d’un utilisateur et comprenant au moins une donnée d’authentification et un identifiant de l’utilisateur. According to a particular embodiment of the invention, the communication module COM1 can also be used to receive, from a service application, a request for attributes from a user and comprising at least one authentication datum. and an identifier of the user.
Selon un mode particulier de réalisation de l’invention, le module de communication COM1 peut aussi être utilisé pour émettre à destination d’une adresse d’un dispositif de l’utilisateur une requête d’attributs de l’utilisateur, l’adresse du dispositif ayant été obtenue en fonction d’un identifiant de utilisateur par exemple via une application inscrite à une chaîne de blocs ou depuis un espace de stockage numérique tel qu’une base de données, un fichier ou une mémoire. Le module de communication COM1 peut également être utilisé pour recevoir une réponse à la requête d’attributs, la réponse comportant au moins un attribut de Putilisatcur ou un message de statut tel qu’un code d’erreur. According to a particular embodiment of the invention, the communication module COM1 can also be used to send to an address of a device of the user a request for attributes of the user, the address of the user. device having been obtained according to a user identifier, for example via an application registered in a blockchain or from digital storage such as a database, file or memory. The communication module COM1 can also be used to receive a response to the request for attributes, the response comprising at least one attribute of the user or a status message such as an error code.
Selon un mode particulier de réalisation de l’invention, le module de communication COM1 peut aussi être utilisé pour émettre à destination d’une application de services, une réponse à la requête d’attributs provenant de l’application de services, comportant au moins une donnée telle qu’un code d’erreur, un statut, un identifiant de transaction, un attribut, etc. According to a particular embodiment of the invention, the communication module COM1 can also be used to send to a service application, a response to the request for attributes coming from the service application, comprising at least data such as an error code, a status, a transaction identifier, an attribute, etc.
Selon un mode particulier de réalisation de l’invention, le dispositif DA comprend un module d’obtention (OBT) apte à obtenir depuis une entité de confiance au moins une donnée, dite preuve, obtenue par application d’une fonction Fl à un ou plusieurs attributs de l’utilisateur. La fonction Fl est par exemple une fonction permettant de créer un hash et/ou une fonction permettant le chiffrement et/ou une fonction permettant de signer le ou les attributs de l’utilisateur. Elle peut être exécutée par exemple par l’entité de confiance ou bien par un dispositif utilisateur ou tout autre dispositif apte à fournir la ou les preuves à l’entité de confiance. According to a particular embodiment of the invention, the device DA comprises an obtaining module (OBT) capable of obtaining from a trusted entity at least one piece of data, called proof, obtained by applying a function F1 to one or several attributes of the user. The function Fl is for example a function making it possible to create a hash and / or a function allowing encryption and / or a function making it possible to sign the attribute (s) of the user. It can be executed, for example, by the trusted entity or else by a user device or any other device capable of providing the evidence (s) to the trusted entity.
Selon un mode particulier de réalisation de l’invention, le dispositif DA comprend un module de génération (GEN) apte à générer la ou les preuves, par application de la fonction Fl à un ou plusieurs attributs de l’utilisateur reçus via le module COM1. La ou les preuves générées peuvent être ensuite comparées par le module de comparaison (COMP) aux preuves obtenues via le module d’obtention OBT. Si le résultat de la comparaison est positif alors les attributs sont considérés comme valides. Dans le cas contraire les attributs sont considérés comme non valides. According to a particular embodiment of the invention, the device DA comprises a generation module (GEN) capable of generating the proof (s), by applying the function F1 to one or more attributes of the user received via the module COM1 . The evidence (s) generated can then be compared by the comparison module (COMP) to the evidence obtained through the OBT obtaining module. If the result of the comparison is positive then the attributes are considered valid. Otherwise the attributes are considered invalid.
Selon un mode particulier de réalisation de l’invention, le dispositif DA comprend un module (non représenté) permettant le déchiffrement des preuves obtenues. Ce mode de réalisation permet par exemple de déchiffrer les preuves obtenues avant de pouvoir les comparer aux preuves générées par le dispositif DA. According to a particular embodiment of the invention, the DA device comprises a module (not shown) allowing the decryption of the evidence obtained. This embodiment makes it possible for example to decipher the proofs obtained before being able to compare them with the proofs generated by the DA device.
Selon un mode particulier de réalisation de l’invention, les modules COM1 et OBT peuvent être un seul et même module de communication. En référence à la figure 2, nous allons maintenant décrire les principales étapes E20, E21, E22, E23, E25, E26, E27, E28 et E29 d’un procédé d’authentification selon des modes de réalisation de l’invention. According to a particular embodiment of the invention, the modules COM1 and OBT can be one and the same communication module. With reference to FIG. 2, we will now describe the main steps E20, E21, E22, E23, E25, E26, E27, E28 and E29 of an authentication method according to embodiments of the invention.
La figure 2 est constituée d’un terminal T comme par exemple un terminal mobile, une clef USB (Universal Serial Bus), un objet connecté ou un ordinateur apte à obtenir et fournir des données par exemple chiffrées d’un utilisateur permettant son authentification comme par exemple des jetons d’authentification ou des données personnelles. La figure 2 comprend également un dispositif BC inscrit à une chaîne de blocs par exemple apte à exécuter des fonctions décentralisées ou DApps au sens de la technologie des chaînes de blocs mais aussi un dispositif SA tel qu’un serveur, un ordinateur personnel, un objet connecté ou tout autre terminal apte à fournir un service à un utilisateur. Elle est en outre constituée d’un dispositif DA apte à exécuter le procédé d’authentification au sens de l’invention. FIG. 2 consists of a terminal T such as for example a mobile terminal, a USB key (Universal Serial Bus), a connected object or a computer capable of obtaining and providing data, for example encrypted, of a user allowing his authentication as for example authentication tokens or personal data. FIG. 2 also includes a BC device registered to a blockchain for example capable of performing decentralized functions or DApps within the meaning of blockchain technology but also an SA device such as a server, a personal computer, an object connected or any other terminal capable of providing a service to a user. It also consists of a DA device capable of performing the authentication method within the meaning of the invention.
Au cours d’une première étape E10, le dispositif SA envoie une demande d’authentification au dispositif DA. Cette demande fait suite à une requête émise par un terminal d’un utilisateur pour accéder à un service fourni par le dispositif DA. During a first step E10, the device SA sends an authentication request to the device DA. This request follows a request from a user's terminal to access a service provided by the DA device.
A l’étape E20 le dispositif d’authentification DA reçoit la demande d’authentification qui peut comprendre plusieurs paramètres tel qu’un identifiant de l’utilisateur souhaitant accéder au service fourni par le dispositif SA, un numéro de transaction, un identifiant de service, un identifiant du dispositif SA, une adresse du dispositif SA, une plage horaire, ou tout autre information liée au service ou à l’utilisateur. In step E20, the authentication device DA receives the authentication request which may include several parameters such as an identifier of the user wishing to access the service provided by the device SA, a transaction number, a service identifier , an identifier of the SA device, an address of the SA device, a time slot, or any other information related to the service or to the user.
A l’étape E21, le procédé d’authentification va émettre à destination du dispositif BC une requête comprenant au moins un identifiant de l’utilisateur récupéré lors de l’étape E20. La requête est ensuite reçue par le dispositif BC à l’étape E31. In step E21, the authentication method will send to the device BC a request comprising at least one identifier of the user retrieved during step E20. The request is then received by the device BC in step E31.
A l’étape E32, le dispositif BC va renvoyer au dispositif DA une réponse contenant une adresse, comme par exemple une adresse MAC ou une adresse IP, d’un terminal T appartenant à l’utilisateur. L’adresse du terminal T correspond à une première donnée au sens de l’invention. Cette adresse est sélectionnée par le dispositif BC en fonction de l’identifiant de l’utilisateur reçu à l’étape E31. In step E32, the BC device will send back to the DA device a response containing an address, such as for example a MAC address or an IP address, of a terminal T belonging to the user. The address of the terminal T corresponds to a first datum within the meaning of the invention. This address is selected by the BC device as a function of the user identifier received in step E31.
Selon un mode particulier de réalisation de l’invention, le dispositif BC peut envoyer une réponse comprenant une liste d’adresses de dispositifs de l’utilisateur, cette liste pouvant par exemple être ordonnée, la première adresse étant par exemple celle à utiliser par défaut. Les adresses peuvent également être associées à une donnée indiquant la nature des données qu’il est possible d’obtenir via chaque dispositif utilisateur (donnée d’authentification, attributs utilisateurs, etc.). According to a particular embodiment of the invention, the BC device can send a response comprising a list of addresses of the user's devices, this list being able for example to be ordered, the first address being for example the one to be used by default. . The addresses can also be associated with data indicating the nature of the data that can be obtained via each user device (authentication data, user attributes, etc.).
La réponse du dispositif BC est ensuite reçue par le dispositif DA à l’étape E22. Une fois l’adresse du terminal T reçue par le dispositif DA, celui-ci va émettre (E23) à destination de l’adresse du terminal T une requête de redirection, c’est-à-dire une requête demandant au terminal T d’émettre à son tour un message, à destination du dispositif SA. La requête émise par le dispositif DA à l’étape E23 et reçue par le terminal T à l’étape E43, peut comprendre des paramètres tels que l’identifiant du service fourni par le dispositif SA et/ou l’adresse du dispositif SA et/ou toute autre information telle qu’un paramètre fourni par le dispositif SA et reçu par le dispositif DA lors de l’étape E20. Le message émise par le terminal T à l’étape E44 et reçue par le dispositif SA à l’étape E14 comprend au moins une donnée d’authentification de l’utilisateur comme par exemple une donnée personnelle ou un jeton d’ authentification. The response from the BC device is then received by the DA device in step E22. Once the address of the terminal T has been received by the device DA, the latter will send (E23) to the address of the terminal T a redirection request, that is to say a request asking the terminal T d 'in turn send a message to the SA device. The request sent by the device DA in step E23 and received by the terminal T in step E43, can include parameters such as the identifier of the service provided by the device SA and / or the address of the device SA and / or any other information such as a parameter supplied by the device SA and received by the device DA during step E20. The message sent by the terminal T in step E44 and received by the device SA in step E14 comprises at least one piece of user authentication data such as, for example, personal data or an authentication token.
A noter que les données d’authentification peuvent être générées au niveau du terminal T via par exemple des données collectées par un capteur biométrique utilisé pour obtenir une empreinte digitale, un iris, un visage, une voix, etc. de l’utilisateur. Note that the authentication data can be generated at the terminal T via, for example, data collected by a biometric sensor used to obtain a fingerprint, an iris, a face, a voice, etc. of the user.
Selon un mode particulier de réalisation de l’invention, la donnée d’authentification peut varier en fonction d’un ou de plusieurs paramètres par exemple reçus par le terminal T à l’étape E43 et/ou obtenus par le terminal T comme par exemple l’heure courante obtenue via une horloge interne au dispositif T. Dans le cas où l’un des paramètres est un paramètre de la requête reçue lors de l’étape E43, celui-ci peut être un paramètre reçu précédemment par le dispositif DA lors de l’étape E20 tel qu’une plage horaire, un identifiant du service ou du dispositif SA. According to a particular embodiment of the invention, the authentication datum may vary as a function of one or more parameters, for example received by the terminal T in step E43 and / or obtained by the terminal T, for example the current time obtained via a clock internal to the device T. In the case where one of the parameters is a parameter of the request received during step E43, this one can be a parameter previously received by the device DA during of step E20 such as a time slot, an identifier of the service or of the device SA.
Selon un mode particulier de réalisation de l’invention, le dispositif SA émet lors de l’étape E15 une demande d’attributs de l’utilisateur à destination du dispositif DA. La requête comprend au moins une donnée d’authentification reçue par le dispositif SA lors de l’étape E14 et un identifiant de l’utilisateur qui est par exemple le même que celui transmis dans la requête émise par le dispositif SA lors de l’étape E10. Elle peut comprendre également d’autres paramètres comme un identifiant de service exécuté par le dispositif SA, un numéro de transaction, un identifiant du dispositif SA, ou tout autre information liée au service. Le dispositif DA reçoit la requête à l’étape E25 et va à l’étape E26 émettre une requête d’attributs à destination d’un dispositif de l’utilisateur. Cette requête d’attributs peut comprendre des paramètres reçus du dispositif SA lors de l’étape E25. La requête est reçue à l’étape E46 par le dispositif utilisateur qui est dans le cas décrit à l’appui de la figure 2 le terminal T. According to a particular embodiment of the invention, the device SA sends during step E15 a request for attributes from the user to the device DA. The request comprises at least one authentication datum received by the device SA during step E14 and an identifier of the user which is for example the same as that transmitted in the request sent by the device SA during step E10. It can also include other parameters such as a service identifier executed by the device SA, a transaction number, an identifier of the device SA, or any other information related to the service. The device DA receives the request at step E25 and goes to step E26 to send a request for attributes to a device of the user. This attribute query can include parameters received from the device SA during step E25. The request is received in step E46 by the user device which is, in the case described in support of FIG. 2, the terminal T.
Selon une variante de ce mode de mise en œuvre particulier, le dispositif utilisateur qui reçoit la requête d’attribut (E46) peut être différent du dispositif utilisateur qui reçoit la requête de redirection (E43). According to a variant of this particular embodiment, the user device which receives the attribute request (E46) may be different from the user device which receives the redirection request (E43).
A l’étape E47, le terminal T transmet au dispositif DA un ou des attributs de l’utilisateur.In step E47, the terminal T transmits to the device DA one or more attributes of the user.
Les attributs sont par exemple fonction d’un identifiant de service, d’un numéro de transaction, d’un identifiant du dispositif SA, ou tout autre information liée au service et reçue lors de l’étape E46. Le dispositif DA reçoit le ou les attributs de l’utilisateur à l’étape E27 puis va le ou les transmettre au dispositif SA lors de l’étape E29. Le ou les attributs sont ensuite reçus par le dispositif SA à l’étape El 9. The attributes are for example a function of a service identifier, a transaction number, an identifier of the SA device, or any other information related to the service and received during step E46. The DA device receives the attribute (s) from the user in step E27 and then transmits it (s) to the SA device in step E29. The attribute or attributes are then received by the device SA in step El 9.
Selon un mode particulier de réalisation de l’invention, le dispositif DA peut, après avoir récupéré les attributs de l’utilisateur (E27), déchiffrer via par exemple une clef partagée avec le terminal T les attributs avant de les transmettre au dispositif SA (E29). According to a particular embodiment of the invention, the device DA can, after having retrieved the attributes of the user (E27), decrypt, for example via a key shared with the terminal T, the attributes before transmitting them to the device SA ( E29).
Selon un mode particulier de réalisation de l’invention, le dispositif DA peut, après avoir récupéré les attributs de l’utilisateur (E27), vérifier la signature des attributs via par exemple une clef partagée avec le terminal T avant de les transmettre au dispositif SA (E29). According to a particular embodiment of the invention, the device DA can, after having retrieved the attributes of the user (E27), verify the signature of the attributes via for example a key shared with the terminal T before transmitting them to the device. SA (E29).
Les processus de chiffrement et/ou de signature des attributs par des clefs partagées entre le terminal T et le dispositif DA sont des procédés connus de l’état de l’art et de ce fait ne sont pas décrits plus en détail ici. The processes for encrypting and / or signing the attributes by keys shared between the terminal T and the device DA are methods known to the state of the art and therefore are not described in more detail here.
Selon un mode particulier de réalisation de l’invention, le dispositif DA peut obtenir depuis une entité de confiance (non représentée) un ou plusieurs hash d’un attribut, de plusieurs attributs ou d’une concaténation d’attributs de l’utilisateur. Le dispositif DA va alors calculer le hash d’un attribut, de plusieurs attributs ou d’une concaténation d’attributs récupérés de l’utilisateur lors de l’étape E27 en appliquant la même fonction que celle qui a permis de générer le ou les hash obtenus depuis l’entité de confiance. Le dispositif va ensuite, lors de l’étape E28, comparer le ou les hash calculés avec ceux obtenus de l’entité de confiance. Si le résultat de la comparaison est positif alors les attributs sont considérés comme valides. Dans le cas contraire les attributs sont considérés comme non valides et un message d’erreur comme par exemple un code est renvoyé au dispositif SA lors de l’étape E29. Il va de soi que le mode de réalisation qui a été décrit ci-dessus a été donné à titre purement indicatif et nullement limitatif, et que de nombreuses modifications peuvent être facilement apportées par l’homme de l’art sans pour autant sortir du cadre de l’invention. According to a particular embodiment of the invention, the device DA can obtain from a trusted entity (not shown) one or more hashes of an attribute, of several attributes or of a concatenation of attributes of the user. The DA device will then calculate the hash of an attribute, of several attributes or of a concatenation of attributes retrieved from the user during step E27 by applying the same function as that which made it possible to generate the one or more. hash obtained from the trusted entity. The device will then, during step E28, compare the calculated hash (s) with those obtained from the trusted entity. If the result of the comparison is positive then the attributes are considered valid. Otherwise, the attributes are considered to be invalid and an error message such as for example a code is returned to the device SA during step E29. It goes without saying that the embodiment which has been described above has been given purely as an indication and in no way limiting, and that many modifications can be easily made by those skilled in the art without departing from the scope. of the invention.

Claims

REVENDICATIONS
1. Procédé d’authentification d’un utilisateur auprès d’au moins une application, dite application de services, ledit utilisateur étant équipé d’un dispositif utilisateur possédant au moins une adresse et étant apte à obtenir au moins une donnée d’authentification dudit utilisateur, le procédé étant mis en œuvre par un dispositif d’authentification d’un utilisateur et caractérisé en ce qu’il comprend : 1. Method for authenticating a user to at least one application, called a service application, said user being equipped with a user device having at least one address and being able to obtain at least one piece of authentication data from said user. user, the method being implemented by a user authentication device and characterized in that it comprises:
- une étape de réception (E20), en provenance de ladite au moins une application de services, d’une requête comprenant au moins un identifiant dudit utilisateur ; - a receiving step (E20), from said at least one service application, of a request comprising at least one identifier of said user;
- une première étape d’émission (E21), à destination d’une application inscrite à une chaîne de blocs, d’une requête comprenant ledit au moins un identifiant dudit utilisateur ; - a first sending step (E21), to an application registered in a blockchain, of a request comprising said at least one identifier of said user;
- une deuxième étape de réception (E22), en réponse à l’étape d’émission, d’un message comprenant au moins une première donnée correspondant à une première adresse dudit dispositif utilisateur, ladite au moins une première donnée ayant été obtenue en fonction dudit au moins un identifiant dudit utilisateur ; - a second receiving step (E22), in response to the sending step, of a message comprising at least a first datum corresponding to a first address of said user device, said at least one first datum having been obtained as a function of of said at least one identifier of said user;
- une deuxième étape d’émission (E23), à destination de ladite première adresse, d’une requête pour émettre un message comprenant ladite au moins une donnée d’authentification dudit utilisateur vers une adresse de ladite application de services. - a second sending step (E23), to said first address, of a request to send a message comprising said at least one piece of authentication data from said user to an address of said service application.
2. Procédé d’authentification selon la revendication 1 dans lequel la première étape d’émission est suivie : 2. Authentication method according to claim 1 wherein the first issuance step is followed:
- d’une troisième étape de réception, en provenance de ladite application de services, d’une requête d’attributs dudit utilisateur, ladite requête comprenant ladite au moins une donnée d’authentification et ledit au moins un identifiant dudit utilisateur ; - a third step of receiving, from said service application, a request for attributes of said user, said request comprising said at least one authentication datum and said at least one identifier of said user;
- d’une troisième étape d’émission, à destination d’une deuxième adresse d’un dispositif dudit utilisateur obtenue en fonction dudit au moins un identifiant dudit utilisateur, d’une requête d’attributs dudit utilisateur ; - a third sending step, to a second address of a device of said user obtained as a function of said at least one identifier of said user, of a request for attributes of said user;
- d’une quatrième étape de réception d’une réponse à la requête d’attributs, la réponse comportant au moins un attribut dudit utilisateur ; - a fourth step of receiving a response to the attribute request, the response comprising at least one attribute of said user;
- d’une quatrième étape d’émission, à destination de ladite application de services, d’une réponse à la requête d’attributs, la réponse comportant au moins une deuxième donnée. - a fourth step of sending, to said service application, a response to the attribute request, the response comprising at least one second item of data.
3. Procédé d’authentification selon la revendication 2 dans lequel la quatrième étape d’émission est précédée : - d’une étape d’obtention, depuis une entité de confiance, d’au moins une troisième donnée obtenue par application d’une fonction audit au moins un attribut dudit utilisateur; 3. Authentication method according to claim 2 wherein the fourth issuing step is preceded: a step of obtaining, from a trusted entity, at least one third piece of data obtained by applying a function to said at least one attribute of said user;
- d’une étape de génération d’au moins une quatrième donnée obtenue par application de ladite fonction audit au moins un attribut dudit utilisateur reçu lors de la quatrième étape de réception ; - a step of generating at least a fourth piece of data obtained by applying said function to said at least one attribute of said user received during the fourth reception step;
- d’une étape d’ajout dudit au moins un attribut dudit utilisateur au contenu de ladite au moins une deuxième donnée en fonction du résultat de la comparaison de ladite au moins une troisième donnée avec ladite au moins une quatrième donnée. - a step of adding said at least one attribute of said user to the content of said at least one second datum as a function of the result of the comparison of said at least one third datum with said at least one fourth datum.
4. Procédé d’authentification selon la revendication 3 dans lequel l’entité de confiance est une application inscrite à une chaîne de blocs. 4. Authentication method according to claim 3 wherein the trusted entity is an application registered in a blockchain.
5. Procédé d’authentification selon les revendications 2 ou 3 dans lequel ladite première adresse correspond à ladite deuxième adresse dudit dispositif utilisateur. 5. Authentication method according to claims 2 or 3 wherein said first address corresponds to said second address of said user device.
6. Procédé d’authentification selon la revendication 3 dans lequel ledit au moins un attribut est une donnée chiffrée et en ce que l’étape de génération est précédée d’une étape de déchiffrement dudit au moins un attribut. 6. Authentication method according to claim 3 wherein said at least one attribute is encrypted data and in that the generation step is preceded by a step of decryption of said at least one attribute.
7. Dispositif d’authentification d’un utilisateur auprès d’au moins une application, dite application de services, ledit utilisateur étant équipé d’un dispositif utilisateur apte à obtenir au moins une donnée d’authentification dudit utilisateur, et caractérisé en ce qu’il comprend : 7. Device for authenticating a user to at least one application, called a service application, said user being equipped with a user device capable of obtaining at least one piece of authentication data from said user, and characterized in that 'He understands :
- un module de réception d’une requête en provenance de ladite au moins une application de services comprenant au moins un identifiant dudit utilisateur ; - a module for receiving a request from said at least one service application comprising at least one identifier of said user;
- un module d’émission à destination d’une application inscrite à une chaîne de blocs d’une requête comprenant ledit au moins un identifiant dudit utilisateur ; - a transmission module intended for an application registered in a blockchain of a request comprising said at least one identifier of said user;
- un deuxième module de réception d’un message de réponse, en provenance de ladite application inscrite à une chaîne de blocs, comprenant au moins une première donnée correspondant à une première adresse dudit dispositif utilisateur, ladite au moins une première donnée ayant été obtenue en fonction dudit au moins un identifiant dudit utilisateur ; a second module for receiving a response message, coming from said application registered to a chain of blocks, comprising at least a first datum corresponding to a first address of said user device, said at least one first datum having been obtained by function of said at least one identifier of said user;
- un deuxième module d’émission, à destination de ladite première adresse, d’une requête pour émettre un message, vers une adresse de ladite application de services, comprenant ladite au moins une donnée d’authentification dudit utilisateur. a second module for sending, to said first address, a request to send a message, to an address of said service application, comprising said at least one piece of authentication data for said user.
8. Serveur caractérisé en ce qu’il comporte un dispositif d’authentification selon la revendication 7. 8. Server characterized in that it comprises an authentication device according to claim 7.
9. Programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé selon l’une quelconque des revendications 1 à 6, lorsque le programme est exécuté par un processeur. 9. A computer program comprising instructions for implementing the method according to any one of claims 1 to 6, when the program is executed by a processor.
EP21720811.5A 2020-03-30 2021-03-29 Method and device for authenticating a user with an application Pending EP4128700A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2003133A FR3108818A1 (en) 2020-03-30 2020-03-30 A method and device for authenticating a user to an application.
PCT/FR2021/050549 WO2021198606A1 (en) 2020-03-30 2021-03-29 Method and device for authenticating a user with an application

Publications (1)

Publication Number Publication Date
EP4128700A1 true EP4128700A1 (en) 2023-02-08

Family

ID=74205885

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21720811.5A Pending EP4128700A1 (en) 2020-03-30 2021-03-29 Method and device for authenticating a user with an application

Country Status (4)

Country Link
US (1) US20230130191A1 (en)
EP (1) EP4128700A1 (en)
FR (1) FR3108818A1 (en)
WO (1) WO2021198606A1 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2985149A1 (en) * 2011-12-23 2013-06-28 France Telecom METHOD OF ACCESS BY A TELECOMMUNICATION TERMINAL TO A DATABASE HOSTED BY A SERVICE PLATFORM ACCESSIBLE THROUGH A TELECOMMUNICATIONS NETWORK
WO2015139725A1 (en) * 2014-03-17 2015-09-24 Telefonaktiebolaget L M Ericsson (Publ) User identifier based device, identity and activity management system
RS56400B1 (en) * 2014-07-07 2017-12-29 Finpin Tech Gmbh Method and system for authenticating a user

Also Published As

Publication number Publication date
US20230130191A1 (en) 2023-04-27
WO2021198606A1 (en) 2021-10-07
FR3108818A1 (en) 2021-10-01

Similar Documents

Publication Publication Date Title
EP2494489B1 (en) Method and client agent for monitoring the use of protected content
EP2884716A1 (en) Token-based authentication method
FR2930390A1 (en) METHOD FOR SECURE DIFFUSION OF DIGITAL DATA TO AN AUTHORIZED THIRD PARTY
WO2006021661A2 (en) Secured authentication method for providing services on a data transmission network
FR2930391A1 (en) AUTHENTICATION TERMINAL OF A USER.
WO2019115943A1 (en) Technique for protecting a cryptographic key by means of a user password
EP1794926A1 (en) Public key cryptographic method and system, certification server and memories adapted for said system
EP3732849B1 (en) Method and system for identifying a user terminal in order to receive streaming protected multimedia content
EP4128700A1 (en) Method and device for authenticating a user with an application
EP4241416A1 (en) Method for delegating access to a blockchain
WO2012156365A1 (en) Method for securing an authentication platform, and corresponding hardware and software
WO2023062095A1 (en) Method and device for transferring a communication from one base station to another
WO2021240098A1 (en) Method for delegating the delivery of content items to a cache server
EP1992104B1 (en) Authenticating a computer device at user level
WO2020128215A1 (en) Reinitialization of an application secret by way of the terminal
FR3136329A1 (en) Method and device for registering a user with a telecommunications operator.
WO2022208016A1 (en) Method and computer system for decentralised storage and sharing of certified digital files
EP4160987A1 (en) Method for generating an electronic signature using fido
FR2888437A1 (en) Service e.g. marine meteorological consultation service, access controlling method for e.g. mobile telephone, involves downloading marked validation tokens in multimedia terminal before user chooses service to be utilized
FR2927750A1 (en) Electronic payment terminal e.g. chip card reader, for exchanging e.g. confidential data, over Internet network, has security module removing private key based on reception of alarm signal provided by intrusion detector
FR2862827A1 (en) User security information management process for use in enterprise network, involves coding server key in directory using server secret key, and authorizing server key to provide security information to user
EP1649657A1 (en) Method and device for guaranteeing a user to a service provider
FR2880703A1 (en) User identifying method for e.g. microcomputer, involves allocating category identifier to user not registered in data sharing system, where user accesses data of sharing document after obtaining another identifier
FR2897488A1 (en) METHOD OF PUBLIC KEY CERTIFICATION BY A NON-ACCREDITED PROVIDER

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20221028

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ORANGE