EP4268491A1 - Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges - Google Patents

Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges

Info

Publication number
EP4268491A1
EP4268491A1 EP21839241.3A EP21839241A EP4268491A1 EP 4268491 A1 EP4268491 A1 EP 4268491A1 EP 21839241 A EP21839241 A EP 21839241A EP 4268491 A1 EP4268491 A1 EP 4268491A1
Authority
EP
European Patent Office
Prior art keywords
verification
access
terminal
processing circuit
relating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21839241.3A
Other languages
German (de)
English (en)
Inventor
Sylvain LEROUX
Thierry GAILLET
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Publication of EP4268491A1 publication Critical patent/EP4268491A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25841Management of client data involving the geographical location of the client
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/104Location integrity, e.g. secure geotagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/47Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Definitions

  • the present invention relates to the field of information systems security. More specifically, the present invention relates to a process for certifying the identity and location of an applicant at the origin of an access request relating to an information system or a digital resource. It relates to a method for managing such an access request.
  • the present invention also relates to devices configured to implement such a method. Such devices include, in a non-exhaustive manner, a computer program, a non-transitory recording medium, data processing circuits, a connected device, a terminal, a management platform for secure processing circuits and a management platform of access.
  • access to a service, or to a device can be restricted according to a controllable criterion, which is based on the confidence in the identity or the geographical location of a user.
  • a broadcasting platform can give access to multimedia content only to users who have subscribed to a particular service. These users have an account accessible by password.
  • a telesurveillance system can remove doubts in the event of an alarm being triggered.
  • the customer is called on his mobile phone. If he claims that the alarm was triggered by mistake, he is asked to enter a code to prove his identity.
  • patient health data from a hospital may be stored on a server.
  • these data are by nature sensitive, it is possible to authorize access only to doctors physically present in this hospital.
  • Smart card access control can for example make it possible to verify the identity of the person requesting access to this data, or to verify his status as a doctor, or even to verify his physical presence in the hospital.
  • access control to sensitive data or sensitive information systems relies primarily on passwords or authentication tokens. It is known, for example, to use fixed or single-use passwords, in a grid or sent by SMS or by notification. It is also known, for example, to use software or hardware authentication tokens. However, the use of passwords or authentication tokens is vulnerable to multiple types of attack.
  • This disclosure improves the situation.
  • a method for certifying the identity and location of an applicant at the origin of an access request relating to access to a digital resource or relating to access to a connected device to control one. functioning,
  • app After the first verification and the second verification, transmission of an output signal to an access management platform with a view to triggering the requested access.
  • appliance we mean either a natural person or a device making an access request.
  • the identity of the applicant can designate either the identity of the natural person at the origin of the access request or an identifier associated with the device at the origin of the access request.
  • terminal associated with the applicant is meant a terminal having an identifier linked to the identity of the applicant, and whose current location is assimilated to that of the applicant.
  • the first verification concerns the location of the requester.
  • the reception of the code by the terminal is conditional on the fact that the current location of the terminal is close to that of a transmitter having transmitted the code. From the code, it is therefore possible for the terminal to check, for example, whether the current location of the caller corresponds to an expected location.
  • the second verification concerns, at least, the identity of the applicant.
  • the identifier of the terminal can for example be compared with a base of authorized identifiers, in order to check whether the identity of the applicant corresponds to an expected identity.
  • the terminal may comprise a secure processing circuit, the second verification relating to at least one identity of the caller being implemented in the secure processing circuit.
  • the terminal may comprise, in addition to the secure processing circuit, a main processing circuit managing at least in part a first application and the method may comprise decoding of the code by the first application, the decoding triggering the first verification implemented by the first app.
  • the secure processing circuit can at least partially manage a second application implementing the second verification.
  • the method may further comprise, after the first verification, the implementation of the second verification by the second application upon receipt of an indication attesting to the receipt of the code or attesting to the first verification.
  • provision may be made for the decoding of the code by the first application to trigger the transmission of such an indication intended for the second application.
  • provision may be made for the location verification by the first application to trigger the transmission of such an indication.
  • a dialogue between the first application and the second application makes it possible to carry out the double verification of the location and identity of the applicant.
  • an order is imposed according to which the verifications are implemented by the terminal, and no identity verification is carried out if the location of the applicant does not conform to that expected.
  • An advantage is thus to be able to stress the secure processing circuit as little as possible.
  • access request is presented below in connection with different contexts of application of the generic process above.
  • An example of such a rule may be that a user device from which an access request originates, or a target device to which access is requested, must be located in such a geographical area. Assuming the position of the transmitter of the first signal known and located in such a geographical area, then the reception of the first signal by the terminal attests to its presence in said geographical area.
  • the access request may relate, for example, to access to a connected device to control its operation, for example to take control of it, partially or totally.
  • a list of natural persons or devices and rules governing access control in connection with this list.
  • An example of such a rule may be that access to a digital resource can only be authorized to natural persons who have subscribed to a given service, or to devices designated in advance by these natural persons.
  • the verification of the identifier by the secure processing circuit for example via the second application, makes it possible to certify the identity of a particular natural person or of a particular device with a very high level of security.
  • the request for access can relate, for example, to access to a digital resource, that is to say to a file, to a folder or to an information system. .
  • access time restrictions can be set at the level of the access platform, which can thus reject, for example, automatically any access request made outside a predefined access range.
  • the emission of the first signal can be triggered in different ways.
  • the transmission of the first signal can be triggered on receipt of the access request.
  • This has the particular advantage of energy optimization and bandwidth optimization via the short-range communication channel, insofar as the first signal is only transmitted occasionally to respond to an access request.
  • the method may include repeatedly transmitting the first signal.
  • Such a recurring transmission notably allows the transmission of the first signal to be passive and independent of the receipt of the access request.
  • Such a recurring transmission can be implemented by the transmitter of the first signal autonomously, without the need for connection to any communication network, which further improves access control security.
  • this recurrent and autonomous transmission it is possible to certify the identity and the current location of a natural person or a device even before this natural person or this device issues the access request. .
  • the second verification may not only relate to the identity of the applicant but also relate to an additional verification of the location of the applicant, as an additional element of reassurance.
  • a secure processing circuit such as a SIM card can certify its geographical location at the level of a country, for example, by means of an exchange with a remote platform for managing secure processing circuits managed for example by a telephone operator.
  • the second verification may include determining an authentication token evidencing at least the second verification, and further capable of evidencing the first verification, and the output signal may be indicative of the authentication token.
  • the output signal can characterize the fact that the identity of the applicant, and optionally his location, are attested, and the access management platform can analyze the output signal to extract the authentication token or an indication of the authentication token and trigger, on this basis, a requested access.
  • a method for managing an access request from an applicant and relating to access to a digital resource or relating to access to a connected device in order to control its operation the method being implemented by a management system comprising a connected device, a terminal comprising a secure processing circuit and an access management platform,
  • Involving a terminal associated with the applicant in the management of the access request and verifying the current location of the applicant based on a code transmitted by a short-range communication channel prevents many types of attempts to circumvent location verifications and of identity.
  • the above method can be enriched with additional reinsurance mechanisms.
  • the transmission of the first signal can be implemented by at least one transmitter intended for a plurality of receivers, each receiver being a terminal comprising a main processing circuit and a secure secondary processing circuit.
  • Each terminal can thus, independently, provide a reassurance element based on the geographic location of the terminal relative to that of the transmitter of the first signal. Access control can thus, for example, only be triggered if each of these reassurance elements is positive. In addition, an alert indicating a risk of compromise can be triggered if one of these reinsurance elements is negative.
  • the transmission of the first signal can be implemented by at least one transmitter intended for at least one receiver through a transmission chain formed by at least one intermediate transmitter having a reception module configured to receiving the first signal and a transmitting module configured to retransmit the first signal via the short range communication channel.
  • At least one intermediate transmitter of the above transmission chain is a terminal comprising a main processing circuit and a secure secondary processing circuit, then this intermediate transmitter can also provide an additional element of reassurance based on the location location of the intermediate transmitter.
  • the above method is based on a closed loop of exchanges between different entities, namely at least one transmitter of the first signal, at least one terminal equipped with two separate processing circuits and at least one access control platform.
  • Each of these entities is likely to be configured independently so that all of these entities can exchange and thus implement the above process.
  • a computer program comprising instructions for implementing the method above when this program is executed by a processor.
  • a non-transitory recording medium readable by a computer on which is recorded a program for the implementation of the method above when this program is executed by a processor.
  • a terminal configured for:
  • the terminal may comprise a main processing circuit and/or a secure processing circuit.
  • such a main circuit can be configured to manage at least in part a first application implementing, at least, the first verification upon receipt of the code by the terminal.
  • such a secure processing circuit can be configured to manage at least in part a second application implementing, at least, the second verification on receipt of the code by the terminal or following the implementation of the first verification by the first application.
  • the first application implements a decoding of a code received, by the terminal, through at least one short-range telecommunications channel, and a first verification, on the basis of said code, of a location of a requester at the origin of an access request relating to access to a digital resource or relating to access to a device connected to control its operation.
  • the first application may also notify the second application by means of a first indication attesting to said receipt of the code and/or attesting to said first verification. Following this notification, that is to say upon receipt of such an indication, the second application implements the second verification and generates a second indication attesting to said second verification.
  • Such a second indication can be used to notify the first application.
  • the first indication and/or the second indication can be transmitted by the terminal to an access management platform. This makes it possible to certify, for the platform, that the first and second checks have been carried out, and thus trigger, on this basis, a requested access.
  • a secure processing circuit of the above terminal is proposed.
  • the secure processing circuit is configured to implement a second verification relating at least to an identity of an applicant at the origin of an access request relating to access to a digital resource or relating to access to a device connected to control its operation, said second verification being implemented upon receipt of an indication attesting to the reception, by the terminal, of a code through at least one short-range telecommunications channel, or attesting to a first verification on the basis of said code of a location of the caller.
  • a main processing circuit of the above terminal is proposed.
  • the main processing circuit is configured to manage at least in part a first application, said first application implementing a decoding of a code received, by the terminal, through at least one short-range telecommunications channel, and a first verification, on the basis of said code, of a location of an applicant at the origin of an access request relating to access to a digital resource or relating to access to a device connected to control its operation.
  • a system for managing an access request from an applicant and relating to access to a digital resource or relating to access to a connected device in order to control its operation the system including:
  • an access management platform configured to receive an output signal from said terminal and trigger, in response, the requested access.
  • an access management platform for the above system is proposed.
  • FIG. 1 illustrates a generic system for managing an access request, in an exemplary embodiment of the invention.
  • FIG. 2 illustrates a particular system for managing a request for access to multimedia content, in the context of a domestic installation, in an embodiment of the invention.
  • FIG. 3 illustrates a particular system for managing a request for access to industrial equipment, according to another embodiment of the invention.
  • FIG. 4 illustrates a method for managing an access request, in an exemplary embodiment of the invention.
  • the object of the invention is to ensure that a request for access to a particular service, or that a command or action intended for a particular device, does indeed come from a source, whose identity corresponds to an authorized identity, physically located in a predefined location. It is optionally possible to ensure that the time at which this command or action was issued does indeed belong to a predefined time period.
  • a targeted goal is to minimize cyber attack threats.
  • the invention can be implemented in many types of places by or for many types of organizations, namely for example a household, a company, an administration, a university campus, a factory, a reception hall, hallway or waiting room.
  • Figure 1 illustrates an example of implementation of a generic system for managing an access request.
  • the system in question comprises the following entities: a network gateway (17) between a local network (3) and an extended network (4) via which bidirectional communication can be ensured with an access management platform (16), a transmitter (11, 12) connected to the local network (3) and configured to transmit a first signal via a short-range communication channel (1), a connected device (10) connected to the local network (3) and configured to receive a access request and to control the transmitter (11, 12), and a terminal (13).
  • the terminal (13) includes a first processing circuit (14) and a second processing circuit (15).
  • the first processing circuit (14) or main processing circuit comprises a processor (141), a memory (142) and a communication interface (143) which connects the terminal (13) to the local network (3), is capable of managing two-way communications with the second processing circuit (15) and is further configured to receive the first signal via the short-range communication channel (1).
  • the second processing circuit (15) or secure processing circuit comprises a processor (151), a memory (152) and a communication interface (153) capable of managing bidirectional communications with the first processing circuit (14) and configured in addition to exchange, via a dedicated network (2), with a platform (18) for managing secure processing circuits.
  • FIG. 2 illustrates a particular example of implementation of a system for managing a request for access to a real-time broadcasting service for multimedia content.
  • a TV decoder is shown as an example of a connected device (10) having a data processing module that can be associated with a man-machine interface. It may for example be an application programming interface comprising an infrared signal reception module coupled to a remote control equipped with an infrared emission module. Alternatively, the application programming interface may include a voice recognition module associated with a loudspeaker as an input device.
  • the man-machine interface allows a user to enter commands, such as commands for searching and selecting multimedia content, which are processed by the data processing module.
  • the connected device (10) further comprises a communication interface for controlling operation of at least one transmitter (11, 12) of short-range signals, such as a transmitter (11) of visual signals or a transmitter (12 ) sound signals.
  • Such transmitters can for example be included in restitution devices such as a television and/or a loudspeaker, for example to display a feedback to the user's commands, or to emit signals at short range. Mention may be made, for example, of the transmission of visual signals for optical communication in free space according to, for example, known technologies of the Li-Fi or OCC type. It is also possible to emit visual signals such as QR codes or their variants, or other short-range signals, for example sound or ultrasonic.
  • short-range signals we mean signals usually detectable within a radius of a few meters or a few tens of meters around the transmitter, i.e. an area the size of a room or a dwelling, for example. In many situations, given the ambient noise and the presence of absorbing obstacles such as walls, a Li-Fi signal or an emitted ultrasound signal is essentially imperceptible beyond a radius of a few meters from the 'transmitter.
  • the communication interface can also make it possible, downstream, to control one or more rendering devices to render the requested multimedia content once the broadcasting of this content has been triggered.
  • a television and a loudspeaker are represented as examples of respectively visual and sound restitution devices. These devices are equipped with a transmitter (11, 12) short-range signals controllable by the TV decoder, in this case a transmitter (11) of visual signals or a transmitter (12) of sound signals.
  • a multifunction mobile telephone also designated by the Anglicism "smartphone” is represented as an example of a terminal (13) equipped with a first processing circuit or main processing circuit (14), for example a system on a chip comprising in particular memory, one or more microprocessors and interface peripherals, including a receiver of said short-range signals and a transmitter of radio signals.
  • the terminal (13) is also equipped with a second processing circuit or secure processing circuit (15) and separate from the main processing circuit.
  • This is for example a SIM card which can be physical or, in the case of the eSIM specification, virtualized.
  • the main processing circuit and the secure processing circuit are able to communicate with each other, and are both able to store data and applications of a user, its operator or third parties.
  • the connected device (10) and the main processing circuit (14) of the terminal (13) can designate one and the same entity.
  • a platform (16) for managing access to multimedia content is represented and designates in this case an entity, for example a remote server or a set of remote servers, responsible for triggering the broadcasting of multimedia content on request after verification required permissions.
  • a network gateway (17) is represented as a network device capable of receiving the multimedia content whose broadcast has been triggered by the platform (16) and transmitting it, via a local network, to any entity, such as the device connected (10), the visual reproduction device comprising the transmitter (11) of visual signals, the sound reproduction device comprising the transmitter (12) of sound signals or the terminal (13) mentioned above, with a view to the restitution of this multimedia content to the user on a medium of his choice.
  • FIG. 4 illustrates a method for managing an access request applicable to any one of the systems represented in FIGS. 1 to 3. In the following paragraphs, it is made more particularly reference to the application of the method of Figure 4 to the system shown in Figure 2.
  • a user searches for and selects multimedia content to be broadcast. This search and this selection are carried out at the level of the connected device (10) and are equivalent to the reception (S1), by the connected device (10), of a request for access to the multimedia content selected by the user. It is also assumed that the multimedia content in question is available by subscription to a broadcasting service, and only for a given geographical area. This hypothesis is particularly suited to the field of digital rights management, insofar as the rights associated with certain multimedia content, or more generally with certain digital works, are likely to differ from one country to another. It is then necessary to check, before granting access to the selected multimedia content, both whether the user has actually made such a subscription and whether he is indeed physically in the given geographical area.
  • connection information for this account in the form of an identifier and a password, are requested from the user, before or after the search. and content selection.
  • connection information is required beforehand to access a catalog of multimedia content and thus carry out the search and selection, it is also possible, in a known manner, to rely on a model of user preferences.
  • the search and selection process can thus be guided by recommending personalized content.
  • the geographical location of the user can be detected by various known methods, for example on the basis of an IP address associated with the connected device or on the basis of geographical information associated with the means of payment having been used to subscribe to the service of dissemination.
  • the geographical location of the user can be provided on a declarative basis, the user being able to associate his account with a particular country where he resides.
  • the invention also proposes, in order to have additional assurance on the identity of the user and on his geographical location, to implement a series of data exchanges between the entities described above.
  • the connected device (10) can control the transmission, by one or more transmitters (11, 12), of at least one first signal via the short-range communication channel (1).
  • This first signal encapsulates a code.
  • This transmission can be actively triggered, for example, upon receipt of the search and selection command, that is to say upon receipt during step S1 of the request for access to the selected multimedia content. Alternatively, this transmission can be triggered passively, that is to say even in the absence of any prior search and selection command or any prior access request, and be repeated for example in a recurring manner, for example at regular time intervals.
  • the code can include various indications, such as a identifier of the connected device, an indication of the location of the transmitter of the signal, an indication of a timestamp associated for example with the moment of emission of the first signal.
  • the terminal (13) thus receives a code, contained in said at least one first short-range signal.
  • the purpose of receiving this signal and the code encapsulated therein is to certify that the restitution device (11, 12) having emitted the first signal and the terminal (13) are located close to each other. .
  • the first signal, received can then be processed by means of a first application managed at least in part by the main processing circuit (14) of the terminal. More particularly, the first application can carry out a decoding (S3) of the received code.
  • This decoding corresponds to an extraction from the first signal received, of the code it contains.
  • the decoding (S3) of the code triggers a series of checks.
  • a first check (S4) concerns the current location of the terminal, and therefore of the user.
  • a second verification (S6) is then carried out by the secure processing circuit (15) of the terminal.
  • the second verification (S6) is implemented by a second application managed at least in part by the secure processing circuit (15).
  • the second application is for example a Java application, known as a “Cardlet” executed by the secure processing circuit (15).
  • the second verification (S6) relates to the identity of the user and optionally includes one or more additional verifications relating for example to the current location of the terminal (13).
  • the second verification (S6) can for example be triggered on the initiative of the first application. Indeed, the decoding (S3), or the first verification (S4), or any other operation resulting from the reception (S2) of the code by the terminal (13) can trigger the transmission (S5) of an indication attesting to the receipt of the code or attesting to the first verification.
  • Said indication can be incorporated into a request originating from the first application intended for the second application. This request can also include an indication aimed at specifically requesting a verification of the identity of the user, and optionally a verification of the current location of the terminal.
  • this request may include information relating to an expected identity of the user.
  • the request may optionally include information relating to an expected location of the terminal.
  • the request may also include other information relating to any type of additional reinsurance element.
  • the second verification may involve a dialogue between the secure processing circuit (15) and the platform (18) for managing secure processing circuits in order to verify a correspondence between the identity of the user as derivable from an identifier of the known user of the secure processing circuit management platform (for example an IMSI number), on the one hand, and the expected identity of the user, on the other hand.
  • the verification may also involve determining whether the geographical area where the terminal (13) is physically located, that is to say for example a geographical area corresponding to a country or to a region of a country, corresponds to the localization expected from the terminal.
  • step S7 the second application notifies the first application of an authentication token attesting to said verification.
  • the authentication token can for example be encrypted, encoded and encapsulated in a digital signal.
  • the first application receives the authentication token and processes it in order to generate an output signal, or hereinafter "second signal", indicative of the authentication token.
  • Second signal indicative of the authentication token
  • Signal indicative of the authentication token means a signal comprising the authentication token, or comprising any information derived from a processing of this token, as data or as metadata.
  • processing the authentication token may involve decoding and optionally decrypting a received signal encapsulating the authentication token.
  • Such processing may aim to validate, at the level of the terminal (13), on the basis of the code extracted from the first signal and the authentication token received from the second application, that the real identity of the user conforms to the expected identity.
  • processing can have the additional effect of validating, still at the level of the terminal, that the actual location of the terminal is consistent with the expected location.
  • the second signal may comprise, as information derived from a processing of the authentication token, a simple indication of a positive verification.
  • this content including the authentication token can be directly incorporated, without alteration or risk of compromise, to the content of the second signal.
  • the first application then transmits, in step S8, this second signal to the access management platform (16).
  • the access management platform receives the second signal and processes it by triggering, in step S9, access to the requested multimedia content.
  • the management platform has the encryption key known to the second application and is configured to perform the decoding and decryption of the authentication token, and to trigger on this basis, in step S9, access to the requested multimedia content.
  • the multimedia content in question is then transmitted, for example via a WAN network to the network gateway then via a LAN/WLAN network to any entity with a view to its restitution to the user on the medium of his choice.
  • a client or a web browser configured to allow the reproduction of the multimedia content received from the network gateway can be installed beforehand on any device, such as, among the aforementioned entities, the visual or sound reproduction device or the device connected (10) controlling one or the other of these devices, or else the main processing circuit (14) of the terminal (13).
  • FIG. 3 illustrates an example of implementation of a process for controlling access to industrial equipment located on an industrial site.
  • the industrial equipment in question may designate, for example, an information processing system such as a company server, a microcomputer, or a mobile terminal for use by a worker.
  • the access referred to may designate an access to a digital resource, such as a file, a folder, a disk partition, or any other digital resource stored on industrial equipment, or accessible from industrial equipment once access is granted.
  • industrial equipment can designate a production unit, a measuring device, or a machine tool such as a robot.
  • access can designate an implementation of a command or the execution of software, or more generally a takeover of the operation of industrial equipment.
  • industrial equipment may designate a physical access control device to an area of the industrial site.
  • access can for example designate an implementation of an action such as a command to open, close or lock a door.
  • At least one monitor, display panel, control panel, lighting device, loudspeaker, or any other example of a transmitter (11, 12) physically present on the industrial site is driven to passively emit, on a recurrent basis, a first short-range signal, as defined previously, in at least one predefined frequency band.
  • This short-range signal contains, or encapsulates, a code.
  • such a first short-range signal can also be transmitted actively by at least one such transmitter (11, 12) in response to the transmission of a request or an action intended for the industrial equipment.
  • the industrial equipment is designed so as to be able to receive and process requests or actions received via its communication interface and previously issued from a terminal (13), or from a person interacting with such a terminal (13) by means of a man-machine interface.
  • terminal means a device equipped with a main processing circuit (14) and a secondary processing circuit (15) that is secure and separate from the main processing circuit (14).
  • the main processing circuit (14) comprises at least one processor, at least one memory, a receiver of the short-range signals emitted by the at least one transmitter (11, 12) and a communication interface with the secure processing circuit .
  • the secure processing circuit (15) comprises at least one processor, at least one memory storing an identifier, typically encrypted, a communication interface with the main circuit and a communication interface by radio signals with a processing circuit management platform secured.
  • the secure processing circuit is also capable of communicating with a business platform, as an example of an access management platform (16), via its communication interface by radio signals, or via its communication interface with the main circuit .
  • identifier is meant, for example, a machine identifier specifically associated with the secure processing circuit (15) or a personal identifier associated with a particular user account.
  • the industrial equipment has an integrated man-machine interface and can be designed so as to be able to receive and process requests or actions from a person interacting directly with said man-machine interface.
  • the industrial equipment has an associated terminal (13) as defined above and/or to require that the person also wears such an associated terminal (13) for the purposes of industrial equipment access control.
  • the industrial equipment is mentioned below as an example of a connected device (10) having a data processing module associated with a man-machine interface or a communication interface, such interfaces being capable of receiving requests to the connected device (10) or actions to be performed by the connected device (10).
  • the function of the industrial equipment within the management of an access request is thus considered to be equivalent to the function of the connected device (10 ) within the management of an access request in the example embodiment illustrated in Figure 2.
  • FIG. 4 illustrates a method for managing an access request applicable to any of the systems represented in FIGS. 1 to 3.
  • FIG. 4 illustrates a method for managing an access request applicable to any of the systems represented in FIGS. 1 to 3.
  • This access request originates from a requester, who may be either a natural person interacting with the man-machine interface of the connected device (10) or any device, transmitting the access request via the communication interface of the connected device (10).
  • step S2 the terminal (13) receives the code contained in the first short-range signal emitted, actively or passively, by at least one playback device (11, 12).
  • the reception of this first signal by the terminal attests that the location of the terminal (13) as receiver is close to that of the restitution device (11, 12) as transmitter. This is a reinsurance based on geographical criteria.
  • the first signal is processed by a first application which is managed at least in part by the main processing circuit (14), and which, optionally, is managed in part by a remote entity not shown in FIG. 3.
  • the processing of the first signal by the first application comprises in particular in step S4 a first verification of the location of the caller, which may result from a decoding, in step S3, of the first signal in order to extract the code therein enclosed, or encapsulated.
  • the processing of the first signal can also comprise the generation and the sending, in step S5, of a request to the secure processing circuit (15), to obtain the implementation of a second verification, in step S6, at least of the identifier stored in the memory of the secure processing circuit (15).
  • the request thus comprises information relating to an expected identifier, and may optionally further comprise information relating to an expected location of the terminal (13).
  • the request is received and processed by a second application which is managed at least in part by the secure processing circuit (15), and which, optionally, is managed in part by the secure processing circuit management platform (18).
  • the processing of the request includes the second verification, at step S6.
  • This second verification at least relates to a match between the expected identifier and the identifier stored in the memory of the secure processing circuit (15).
  • the second verification can also comprise an additional verification relating to a correspondence between the expected location and the current location of the terminal. If the verification is positive, that is to say if the correspondence is proven, the second application determines an authentication token attesting to this verification.
  • the secure processing circuit (15) then emits a second signal, which possibly transits at step S7 through the main processing circuit (14), and is finally transmitted at step S8 to the management platform of access (16).
  • This second signal encapsulates the determined authentication token or is indicative of the determined authentication token.
  • the access request from the terminal (13) can thus be effectively accepted and access granted at the level of the industrial equipment.
  • the access control can be conditioned on the reception of the first signal, not only by a terminal at the origin of the reinsurance on identity criterion, but by a plurality of such terminals. This makes it possible to multiply weak and robust proof factors beyond a simple identifier, with the transmitter or transmitters of the first signal as central elements of reassurance triggering in parallel multiple verifications of location and identity, and, if desired , temporality.
  • the first signal can be transmitted by a transmitter to the terminal, not exclusively via a short-range telecommunications channel, but, in addition to the use of this short-range channel, via a transmission chain.
  • a transmission chain comprises one or more intermediate transmitters having a reception module configured to receive the first signal and a transmission module configured to retransmit the first signal.
  • these intermediate transmitters at least the one located at the end of the chain, that is to say the one retransmitting the first signal directly to the receiver of the terminal, is configured in such a way to be transmitted, specifically, via the short-range communication channel.
  • several intermediate transmitters can be configured to communicate with each other via such a short-range communication channel.
  • the intermediate transmitters can for example be configured in such a way as to process the first signal before its retransmission, so that the first code includes information indicative of the location of one or more intermediate transmitters or of the temporality of the retransmission of the first signal by one or more intermediate transmitters.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Computer Graphics (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

L'invention porte sur un procédé et sur des dispositifs de vérification d'identité et de localisation et sur un procédé et des dispositifs de gestion de demandes d'accès. Une première vérification (S4) relative à une localisation d'un demandeur est effectuée par un terminal sur réception d'un code reçu par le terminal à travers au moins un canal de télécommunication à courte portée. Une seconde vérification (S6) relative à une identité du demandeur est également déclenchée et effectuée par le terminal. Après ces deux vérifications, un signal de sortie est émis (S8) à destination d'une plateforme de gestion d'accès en vue d'un déclenchement d'un accès demandé.

Description

Attestation d’identité et de localisation par vérification à multiples facteurs sur la base d’une boucle fermée d’échanges
Domaine technique
La présente invention relève du domaine de la sécurité des systèmes d’information. Plus précisément, la présente invention porte sur un procédé d’attestation d’identité et de localisation d’un demandeur à l’origine d’une demande d’accès relative à un système d’information ou à une ressource numérique. Elle concerne un procédé de gestion d’une telle demande d’accès. La présente invention porte également sur des dispositifs configurés pour mettre en œuvre un tel procédé. De tels dispositifs incluent, de manière non exhaustive, un programme informatique, un support d’enregistrement non transitoire, des circuits de traitement de données, un dispositif connecté, un terminal, une plateforme de gestion de circuits de traitement sécurisés et une plateforme de gestion d’accès.
Technique antérieure
Dans de nombreux domaines, l’accès à un service, ou à un dispositif, peut être restreint en fonction d’un critère, contrôlable, qui repose sur la confiance dans l’identité ou la localisation géographique d’un utilisateur.
Par exemple, une plateforme de diffusion peut donner un accès à un contenu multimédia uniquement aux utilisateurs ayant souscrit à un service particulier. Ces utilisateurs disposent d’un compte accessible par mot de passe.
Selon un autre exemple, un système de télésurveillance peut procéder à une levée de doute en cas de déclenchement d’une alarme. Le client est appelé sur son téléphone portable. S’il affirme que l’alarme a été déclenchée par mégarde, il lui est demandé de renseigner un code pour prouver son identité.
Selon un autre exemple, il est également possible de permettre un contrôle à distance de certains équipements réseau d’un site industriel. Un contrôle d’accès fondé sur une vérification d’adresse IP permet de contrer certaines tentatives de prise de contrôle malveillantes.
Selon un autre exemple, des données de santé de patients d’un hôpital peuvent être stockées sur un serveur. Ces données étant par nature sensibles, il est possible de n’en autoriser l’accès qu’à des médecins physiquement présents dans cet hôpital. Un contrôle d’accès par carte à puce peut permettre par exemple de vérifier l’identité de la personne demandant l’accès à ces données, ou de vérifier sa qualité de médecin, ou encore de vérifier sa présence physique dans l’hôpital. Actuellement, le contrôle d’accès à des données sensibles ou à des systèmes d’information sensibles repose principalement sur des mots de passe ou sur des jetons d’authentification. Il est connu par exemple d’employer des mots de passe fixes ou à usage unique, dans une grille ou envoyés par SMS ou par notification. Il est également connu par exemple d’employer des jetons d’authentification logiciels ou matériels. Néanmoins, l’emploi de mots de passe ou de jetons d’authentification est vulnérable à de multiples types d’attaque. Dans le but de prévenir les tentatives d’usurpation d’identité ou les attaques par contournement de type « attaque de l’homme du milieu », certains mécanismes de contrôle d’accès contraignent les utilisateurs à de multiples actions volontaires de déclaration et réassurance, c’est le principe du contrôle d’accès à facteurs multiples. Il existe donc un besoin pour un mécanisme de contrôle d’accès ayant un niveau de sécurité élevé, tout en pouvant être indifféremment volontaire ou passif.
Par ailleurs, certains mécanismes connus de contrôle d’accès se basent en outre sur une vérification de localisation, par adresse IP, information de réseau cellulaire, ou analyse de paquets d’un trafic réseau local. Néanmoins, ce type de vérification présente de nombreuses possibilités de contournement, notamment par VPN dynamique. Il existe donc également un besoin pour un contrôle fiable de la localisation d’une personne ou d’un appareil requérant un accès à une donnée ou à un dispositif sensible.
Il est souhaitable, par ailleurs, de limiter autant que possible l’accès aux certificats impliqués dans l’authentification et le contrôle d’accès. En effet, les certificats et données importantes peuvent être compromis s’ils sont, par exemple, stockés directement sur des terminaux utilisateur.
Résumé
La présente divulgation vient améliorer la situation.
Il est proposé un procédé d’attestation d’identité et de localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement,
- le procédé étant mis en œuvre par un terminal associé au demandeur,
- le procédé comprenant :
- sur réception d’un code reçu à travers au moins un canal de télécommunication à courte portée, une première vérification, sur la base du code, d’une localisation du demandeur, et une seconde vérification relative au moins à une identité du demandeur ; et
- après la première vérification et la seconde vérification, une émission d’un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement de l’accès demandé. Par « demandeur », on entend indifféremment une personne physique ou un dispositif effectuant une demande d’accès. L’identité du demandeur peut désigner soit l’identité de la personne physique à l’origine de la demande d’accès ou un identifiant associé au dispositif à l’origine de la demande d’accès.
Par « terminal associé au demandeur » on entend un terminal disposant d’un identifiant lié à l’identité du demandeur, et dont la localisation courante est assimilée à celle du demandeur.
Dans le procédé ci-avant, la première vérification concerne la localisation du demandeur. La réception du code par le terminal est conditionnée au fait que la localisation courante du terminal soit voisine de celle d’un émetteur ayant émis le code. A partir du code, il est donc possible pour le terminal de vérifier, par exemple, si la localisation courante du demandeur correspond à une localisation attendue.
La deuxième vérification concerne, au moins, l’identité du demandeur. L’identifiant du terminal peut être par exemple comparée à une base d’identifiants autorisés, afin de vérifier si l’identité du demandeur correspond à une identité attendue.
Le terminal peut comprendre un circuit de traitement sécurisé, la seconde vérification relative au moins à une identité du demandeur étant mise en œuvre dans le circuit de traitement sécurisé.
Dans ce cas, le procédé est davantage sécurisé.
Le terminal peut comprendre, outre le circuit de traitement sécurisé, un circuit de traitement principal gérant au moins en partie une première application et le procédé peut comprendre un décodage du code par la première application, le décodage déclenchant la première vérification mise en œuvre par la première application.
Le circuit de traitement sécurisé peut gérer au moins en partie une seconde application mettant en œuvre la seconde vérification. Le procédé peut comprendre en outre, après la première vérification, la mise en œuvre de la seconde vérification par la seconde application à réception d’une indication attestant la réception du code ou attestant la première vérification.
Par exemple, il peut être prévu que le décodage du code par la première application déclenche l’émission d’une telle indication à destination de la deuxième application. Alternativement, il peut être prévu que la vérification de localisation par la première application déclenche l’émission d’une telle indication. Ainsi, un dialogue entre la première application et la deuxième application permet d’effectuer la double vérification de localisation et d’identité du demandeur. Ainsi, il est possible, par exemple, après réception du code, de déclencher la vérification de la localisation du demandeur puis seulement une fois cette première vérification effectuée, de déclencher la vérification de l’identité du demandeur, via un dialogue entre la première application et la deuxième application. De cette manière, on impose un ordre selon lequel les vérifications sont mises en œuvre par le terminal, et on n’effectue aucune vérification d’identité si la localisation du demandeur n’est pas conforme à celle attendue. Un avantage est de pouvoir ainsi solliciter le moins possible le circuit de traitement sécurisé.
Conduire la vérification de localisation et la vérification d’identité à l’aide de deux circuits de traitement distincts, plutôt qu’à l’aide d’un unique circuit de traitement, constitue de manière générale un élément de sécurité supplémentaire.
Différentes acceptions de l’expression « demande d’accès » sont présentées ci-après en lien avec différents contextes d’application du procédé générique ci-avant. Il est possible de définir par exemple une zone géographique et des règles régissant le contrôle d’accès en lien avec cette zone géographique. Un exemple d’une telle règle peut être qu’un dispositif utilisateur d’où est issue une demande d’accès, ou un dispositif cible auquel un accès est demandé, doit être située dans une telle zone géographique. En présumant la position de l’émetteur du premier signal connue et située dans une telle zone géographique, alors la réception du premier signal par le terminal atteste sa présence dans ladite zone géographique.
Il ressort de cet exemple que, de manière générale, la demande d’accès peut être par exemple relative à un accès à un dispositif connecté pour en commander un fonctionnement, par exemple pour en prendre le contrôle, partiellement ou totalement.
Par ailleurs, il est possible de définir par exemple une liste de personnes physiques ou de dispositifs et des règles régissant le contrôle d’accès en lien avec cette liste. Un exemple d’une telle règle peut être qu’un accès à une ressource numérique ne peut être autorisé qu’à des personnes physiques ayant souscrit à un service donné, ou à des dispositifs désignés au préalable par ces personnes physiques. La vérification de l’identifiant par le circuit de traitement sécurisé, par exemple via la seconde application, permet d’attester l’identité d’une personne physique particulière ou d’un dispositif particulier avec un très haut niveau de sécurité.
Il ressort de cet exemple que, de manière générale, la demande d’accès peut être par exemple relative à un accès à une ressource numérique, c’est-à-dire à un fichier, à un dossier ou à un système d’information.
D’autres règles additionnelles peuvent être fixées. Par exemple, des restrictions temporelles d’accès peuvent être fixées au niveau de la plateforme d’accès qui peut ainsi rejeter, par exemple, automatiquement toute demande d’accès effectuée en dehors d’une plage d’accès prédéfinie.
L’émission du premier signal peut être déclenchée de différentes manières.
Par exemple, l’émission du premier signal peut être déclenchée sur réception de la demande d’accès. Ceci a notamment pour avantage une optimisation énergétique et une optimisation de bande passante via le canal de communication à courte portée, dans la mesure où le premier signal n’est émis que ponctuellement pour répondre à une demande d’accès.
Par exemple, le procédé peut comprendre une émission récurrente du premier signal. Une telle émission récurrente permet notamment à l’émission du premier signal d’être passive et indépendante de la réception de la demande d’accès. Une telle émission récurrente peut être mise en œuvre par l’émetteur du premier signal de manière autonome, sans nécessité de raccordement à un quelconque réseau de communication, ce qui améliore encore la sécurité du contrôle d’accès. Ainsi, grâce à cette émission récurrente et autonome, il est possible d’attester l’identité et la localisation courante d’une personne physique ou d’un dispositif avant même que cette personne physique ou ce dispositif n’émette la demande d’accès.
Par exemple, la seconde vérification peut être non seulement relative à l’identité du demandeur mais être en outre relative à une vérification complémentaire de localisation du demandeur, à titre d’élément complémentaire de réassurance. Il est notamment connu qu’un circuit de traitement sécurisé tel qu’une carte SIM peut attester sa localisation géographique à l’échelle par exemple d’un pays au moyen d’un échange avec une plateforme distante de gestion de circuits de traitements sécurisés gérée par exemple par un opérateur téléphonique.
Par exemple, la seconde vérification peut comprendre une détermination d’un jeton d’authentification attestant au moins la seconde vérification, et pouvant en outre attester la première vérification, et le signal de sortie peut être indicatif du jeton d’authentification.
Ainsi, le signal de sortie peut caractériser le fait que l’identité du demandeur, et optionnellement sa localisation, sont attestés, et la plateforme de gestion d’accès peut analyser le signal de sortie pour en extraire le jeton d’authentification ou une indication du jeton d’authentification et déclencher, sur cette base, un accès demandé.
Selon un autre aspect, il est proposé un procédé de gestion d’une demande d’accès issue d’un demandeur et relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement, le procédé étant mis en œuvre par un système de gestion comprenant un dispositif connecté, un terminal comprenant un circuit de traitement sécurisé et une plateforme de gestion d’accès,
- le procédé comprenant :
- une réception, par le dispositif connecté, de la demande d’accès
- une émission d’un code transmis à travers au moins un canal de télécommunication à courte portée à destination du terminal,
- une attestation d’identité et de localisation du demandeur par le terminal selon le procédé d’attestation ci-avant, et
- une réception, par la plateforme d’un signal de sortie issu dudit terminal et un déclenchement par la plateforme de l’accès demandé sur la base du signal de sortie reçu,
Ceci permet qu’une demande d’accès reçue par un dispositif connecté soit traitée, non pas exclusivement au niveau du dispositif connecté ou exclusivement sur la base d’un échange entre le dispositif connecté et une plateforme sans dispositif intermédiaire, mais sur la base d’une double vérification conduite par un terminal associé au demandeur à l’origine de la demande d’accès.
Impliquer un terminal associé au demandeur dans la gestion de la demande d’accès et vérifier la localisation courante du demandeur en se basant sur un code transmis par un canal de communication à courte portée prévient de nombreux types de tentatives de contournement des vérifications de localisation et d’identité.
Le procédé ci-avant peut être enrichi de mécanismes de réassurance supplémentaires.
Par exemple, l’émission du premier signal peut être mise en œuvre par au moins un émetteur à destination d’une pluralité de récepteurs, chaque récepteur étant un terminal comprenant un circuit de traitement principal et un circuit de traitement secondaire sécurisé. Chaque terminal peut ainsi, indépendamment, fournir un élément de réassurance fondé sur la localisation géographique du terminal par rapport à celle de l’émetteur du premier signal. Le contrôle d’accès peut ainsi par exemple n’être déclenché que si chacun de ces éléments de réassurance est positif. Par ailleurs, une alerte témoignant d’un risque de compromission peut être déclenchée si l’un de ces éléments de réassurance est négatif.
Par exemple, l’émission du premier signal peut être mise en œuvre par au moins un émetteur à destination d’au moins un récepteur à travers une chaîne de transmission formée d’au moins un transmetteur intermédiaire disposant d’un module de réception configuré pour recevoir le premier signal et d’un module d’émission configuré pour retransmettre le premier signal via le canal de communication à courte portée.
Ceci permet par exemple d’autoriser un contrôle à distance d’un terminal cible à la condition que la localisation courante du terminal cible soit voisine de celle d’un émetteur du premier signal. Si en outre, au moins un transmetteur intermédiaire de la chaîne de transmission ci-avant est un terminal comprenant un circuit de traitement principal et un circuit de traitement secondaire sécurisé, alors ce transmetteur intermédiaire peut également fournir un élément de réassurance supplémentaire fondé sur la localisation géographique du transmetteur intermédiaire.
Le procédé ci-avant repose sur une boucle fermée d’échanges entre différentes entités, à savoir au moins un émetteur du premier signal, au moins un terminal équipé de deux circuits de traitement distincts et au moins une plateforme de contrôle d’accès.
Chacune de ces entités est susceptible d’être configurée indépendamment de manière à ce que l’ensemble de ces entités puisse échanger et ainsi mettre en œuvre le procédé ci- avant.
Dans ce contexte et de manière générique, selon un autre aspect, il est proposé un programme informatique comportant des instructions pour la mise en œuvre du procédé ci- avant lorsque ce programme est exécuté par un processeur. Il est également proposé un support d’enregistrement non transitoire lisible par un ordinateur sur lequel est enregistré un programme pour la mise en œuvre du procédé ci-avant lorsque ce programme est exécuté par un processeur.
Selon un autre aspect, il est proposé un terminal configuré pour :
- attester une identité et une localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement :
- en effectuant, sur réception d’un code reçu à travers au moins un canal de télécommunication à courte portée, une première vérification, sur la base du code, de la localisation du demandeur,
- en effectuant une seconde vérification relative au moins à l’identité du demandeur et mise en œuvre dans le circuit de traitement sécurisé ; et
- après avoir effectué la première vérification et la seconde vérification, en émettant un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement de l’accès demandé.
Le terminal peut comprendre un circuit de traitement principal et/ou un circuit de traitement sécurisé.
Par exemple, un tel circuit principal peut être configuré pour gérer au moins en partie une première application mettant en œuvre, au moins, la première vérification sur réception du code par le terminal. Par exemple, un tel circuit de traitement sécurisé peut être configuré pour gérer au moins en partie une seconde application mettant en œuvre, au moins, la seconde vérification sur réception du code par le terminal ou suite à la mise en œuvre de la première vérification par la première application.
Dans un exemple de réalisation, la première application met en œuvre un décodage d’un code reçu, par le terminal, à travers au moins un canal de télécommunication à courte portée, et une première vérification, sur la base dudit code, d’une localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement. La première application peut en outre notifier la seconde application au moyen d’une première indication attestant ladite réception du code et/ou attestant ladite première vérification. Suite à cette notification, c’est-à-dire à réception d’une telle indication, la seconde application met en œuvre la seconde vérification et génère une seconde indication attestant ladite seconde vérification. Une telle seconde indication peut être utilisée pour notifier la première application. En outre, la première indication et/ou la seconde indication peuvent être transmises par le terminal à destination d’une plateforme de gestion d’accès. Ceci permet d’attester, pour la plateforme, que la première et la seconde vérification ont été effectuées, et ainsi déclencher, sur cette base, un accès demandé.
Selon un autre aspect, il est proposé un circuit de traitement sécurisé du terminal ci-avant. Le circuit de traitement sécurisé est configuré pour mettre en œuvre une seconde vérification relative au moins à une identité d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement, ladite seconde vérification étant mise en œuvre à réception d’une indication attestant la réception, par le terminal, d’un code à travers au moins un canal de télécommunication à courte portée, ou attestant une première vérification sur la base dudit code d’une localisation du demandeur.
Selon un autre aspect, il est proposé un circuit de traitement principal du terminal ci-avant. Le circuit de traitement principal est configuré pour gérer au moins en partie une première application, ladite première application mettant en œuvre un décodage d’un code reçu, par le terminal, à travers au moins un canal de télécommunication à courte portée, et une première vérification, sur la base dudit code, d’une localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement. Selon un autre aspect, il est proposé un système de gestion d’une demande d’accès issue d’un demandeur et relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement, le système comprenant :
- le terminal ci-avant,
- un dispositif connecté configuré pour recevoir une demande d’accès, et
- une plateforme de gestion d’accès configurée pour recevoir un signal de sortie issu dudit terminal et déclencher, en réponse, l’accès demandé.
Selon un autre aspect, il est proposé un dispositif connecté du système ci-avant.
Selon un autre aspect, il est proposé une plateforme de gestion d’accès du système ci- avant.
Brève description des dessins
D’autres caractéristiques, détails et avantages apparaîtront à la lecture de la description détaillée ci-après, et à l’analyse des dessins annexés.
La figure 1 illustre un système générique de gestion d’une demande d’accès, dans un exemple de réalisation de l’invention.
La figure 2 illustre un système particulier de gestion d’une demande d’accès à un contenu multimédia, dans le contexte d’une installation domestique, dans un exemple de réalisation de l’invention.
La figure 3 illustre un système particulier de gestion d’une demande d’accès à un équipement industriel, selon un autre exemple de réalisation de l’invention.
La figure 4 illustre un procédé de gestion d’une demande d’accès, dans un exemple de réalisation de l’invention.
Description des modes de réalisation
Le but de l’invention est d’assurer qu’une demande d’accès à un service particulier, ou qu’une commande ou action à destination d’un dispositif particulier, provient bien d’une source, dont l’identité correspond à une identité autorisée, située physiquement dans un lieu prédéfini. Il est optionnellement possible d’assurer que l’instant auquel cette commande ou action a bien été émise appartient bien à une période temporelle prédéfinie. Un objectif visé est de minimiser les menaces de cyber-attaque.
Ainsi, il est proposé de contrôler l’accès à ce service particulier ou à ce dispositif particulier à travers une boucle fermée d’échanges entre une pluralité d’entités, dont au moins un dispositif connecté, un terminal et une plateforme de contrôle d’accès, via un système de réassurance multiple. Les échanges entre ces entités sont mis en œuvre via différents canaux de télécommunication, dont au moins un canal de télécommunication à courte portée associé au lieu prédéfini.
De nombreuses applications sont possibles, en particulier dans les services de télésurveillance, de diffusion de contenu multimédia, dans le domaine industriel ou dans le domaine médical. L’invention peut être mise en œuvre dans de nombreux types de lieux par ou pour de nombreux types d’organisations, à savoir par exemple un foyer, une entreprise, une administration, un campus universitaire, une usine, un hall d’accueil, un couloir ou une salle d’attente.
On se réfère à présent à la figure 1 , qui illustre un exemple d’implémentation d’un système générique de gestion d’une demande d’accès.
Le système en question comprend les entités suivantes : une passerelle réseau (17) entre un réseau local (3) et un réseau étendu (4) via lequel une communication bidirectionnelle peut être assurée avec une plateforme de gestion d’accès (16), un émetteur (11 , 12) raccordé au réseau local (3) et configuré pour émettre un premier signal via un canal de communication (1 ) à courte portée, un dispositif connecté (10) raccordé au réseau local (3) et configuré pour recevoir une demande d’accès et pour commander l’émetteur (11 , 12), et un terminal (13).
Le terminal (13) comprend un premier circuit de traitement (14) et un deuxième circuit de traitement (15).
Le premier circuit de traitement (14) ou circuit de traitement principal comprend un processeur (141 ), une mémoire (142) et une interface de communication (143) qui raccorde le terminal (13) au réseau local (3), est apte à gérer des communications bidirectionnelles avec le deuxième circuit de traitement (15) et est en outre configurée pour recevoir le premier signal via le canal de communication à courte portée (1 ).
Le deuxième circuit de traitement (15) ou circuit de traitement sécurisé comprend un processeur (151 ), une mémoire (152) et une interface de communication (153) apte à gérer des communications bidirectionnelles avec le premier circuit de traitement (14) et configurée en outre pour échanger, via un réseau dédié (2), avec une plateforme (18) de gestion de circuits de traitement sécurisés. On se réfère à présent à la figure 2, qui illustre un exemple particulier d’implémentation d’un système de gestion d’une demande d’accès à un service de diffusion en temps réel d’un contenu multimédia.
Différentes entités sont représentées sur la figure 2 et sont décrites ci-après.
Un décodeur TV est représenté comme exemple de dispositif connecté (10) disposant d’un module de traitement de données pouvant être associé à une interface homme-machine. Il peut s’agir par exemple d’une interface de programmation applicative comprenant un module de réception de signaux infrarouge couplé à une télécommande équipée d’un module d’émission infrarouge. Alternativement, l’interface de programmation applicative peut comprendre un module de reconnaissance vocale associée à un haut-parleur comme périphérique d’entrée. L’interface homme-machine permet à un utilisateur d’entrer des commandes, telles que des commandes de recherche et de sélection d’un contenu multimédia, lesquelles sont traitées par le module de traitement de données. Le dispositif connecté (10) comprend en outre une interface de communication pour piloter un fonctionnement d’au moins un émetteur (11 , 12) de signaux à courte portée, tel qu’un émetteur (11 ) de signaux visuels ou un émetteur (12) de signaux sonores. De tels émetteurs peuvent par exemple être inclus dans des dispositifs de restitution tel qu’une télévision et/ou un haut-parleur, par exemple pour afficher un retour aux commandes de l’utilisateur, ou pour émettre des signaux à courte portée. On peut citer par exemple l’émission de signaux visuels pour une communication optique en espace libre selon, par exemple, les technologies connues de type Li-Fi ou OCC. Il est également possible d’émettre des signaux visuels tels que des codes QR ou leurs variantes, ou d’autres signaux à courte portée, par exemple sonores ou ultrasonores.
Par « signaux à courte portée », on entend des signaux habituellement détectables dans un rayon de quelques mètres ou quelques dizaines de mètres autour de l’émetteur, soit une zone de la taille par exemple d’une pièce ou d’un logement. Dans de nombreuses situations, compte tenu du bruit ambiant et de la présence d’obstacles absorbants tels que des murs, un signal Li-Fi ou un signal ultrasonore émis est essentiellement imperceptible au-delà d’un rayon de quelques mètres par rapport à l’émetteur.
Dans certains modes de réalisation, l’interface de communication peut en outre permettre, en aval, de piloter un ou plusieurs dispositifs de restitution pour restituer le contenu multimédia demandé une fois la diffusion de ce contenu déclenchée.
Une télévision et un haut-parleur sont représentés comme exemples de dispositifs de restitution respectivement visuelle et sonore. Ces dispositifs sont équipés d’un émetteur (11 , 12) de signaux à courte portée pilotable par le décodeur TV, en l’espèce un émetteur (11 ) de signaux visuels ou un émetteur (12) de signaux sonores.
Un téléphone mobile multifonction, également désigné par l’anglicisme « smartphone », est représenté comme exemple de terminal (13) équipé d’un premier circuit de traitement ou circuit de traitement principal (14), par exemple un système sur une puce comprenant notamment de la mémoire, un ou plusieurs microprocesseurs et des périphériques d’interface, dont un récepteur desdits signaux à courte portée et un émetteur de signaux radioélectriques. Le terminal (13) est également équipé d’un deuxième circuit de traitement ou circuit de traitement sécurisé (15) et distinct du circuit de traitement principal. Il s’agit par exemple d’une carte SIM qui peut être physique ou, dans le cas de la spécification eSIM, virtualisée. Le circuit de traitement principal et le circuit de traitement sécurisé sont aptes à communiquer l’un avec l’autre, et sont tous deux aptes à stocker des données et des applications d’un utilisateur, de son opérateur ou de tierces parties.
Dans certains modes de réalisation, le dispositif connecté (10) et le circuit de traitement principal (14) du terminal (13) peuvent désigner une seule et même entité.
Une plateforme (16) de gestion d’accès au contenu multimédia est représentée et désigne en l’espèce une entité, par exemple un serveur distant ou un ensemble de serveurs distants, chargée de déclencher la diffusion d’un contenu multimédia sur requête après vérification des autorisations requises.
Une passerelle réseau (17) est représentée en tant qu’équipement réseau apte à recevoir le contenu multimédia dont la diffusion a été déclenchée par la plateforme (16) et le transmettre, via un réseau local, vers une entité quelconque, telle que le dispositif connecté (10), le dispositif de restitution visuelle comprenant l’émetteur (11 ) de signaux visuels, le dispositif de restitution sonore comprenant l’émetteur (12) de signaux sonores ou le terminal (13) évoqués ci-avant, en vue de la restitution de ce contenu multimédia à l’utilisateur sur un support de son choix.
Il est à présent fait référence à la figure 4 qui illustre un procédé de gestion d’une demande d’accès applicable à l’un quelconque des systèmes représentés sur les figures 1 à 3. Dans les paragraphes qui suivent, il est fait plus particulièrement référence à l’application du procédé de la figure 4 au système représenté sur la figure 2.
Un utilisateur, personne physique, effectue une recherche et une sélection d’un contenu multimédia à diffuser. Cette recherche et cette sélection sont effectuées au niveau du dispositif connecté (10) et équivalent à la réception (S1 ), par le dispositif connecté (10), d’une demande d’accès au contenu multimédia sélectionné par l’utilisateur. On fait par ailleurs l’hypothèse que le contenu multimédia en question est disponible moyennant souscription à un service de diffusion, et seulement pour une zone géographique donnée. Cette hypothèse est notamment adaptée au domaine de la gestion des droits numériques, dans la mesure où les droits associés à certains contenus multimédias, ou plus généralement à certaines œuvres numériques, sont susceptibles de différer d’un pays à l’autre. Il convient alors de vérifier, avant d’accorder l’accès au contenu multimédia sélectionné, à la fois si l’utilisateur a effectivement effectué une telle souscription et s’il est bien physiquement dans la zone géographique donnée.
Classiquement, l’utilisateur dispose d’un compte qui lui est associé et des informations de connexion à ce compte, sous la forme d’un identifiant et d’un mot de passe, sont demandées à l’utilisateur, avant ou après la recherche et la sélection du contenu. Lorsque les informations de connexion sont préalablement requises pour accéder à un catalogue de contenus multimédia et effectuer ainsi la recherche et la sélection, il est par ailleurs possible, de manière connue, de se baser sur un modèle de préférences de l’utilisateur. Le processus de recherche et de sélection peut ainsi être guidé en recommandant des contenus personnalisés.
La localisation géographique de l’utilisateur peut être détectée par divers procédés connus, par exemple sur la base d’une adresse IP associée au dispositif connecté ou sur la base d’une information géographique associée au moyen de paiement ayant été utilisé pour souscrire au service de diffusion. Alternativement la localisation géographique de l’utilisateur peut être renseignée sur une base déclarative, l’utilisateur pouvant associer son compte à un pays particulier où il réside.
L’invention propose en complément, afin de disposer d’une assurance supplémentaire sur l’identité de l’utilisateur et sur sa localisation géographique, de mettre en œuvre une série d’échanges de données entre les entités décrites ci-avant.
Le dispositif connecté (10) peut commander l’émission, par un ou plusieurs émetteurs (11 , 12), d’au moins un premier signal via le canal (1 ) de communication à courte portée. Ce premier signal encapsule un code. Cette émission peut être déclenchée activement, par exemple, à réception de la commande de recherche et de sélection, c’est-à-dire à réception lors de l’étape S1 de la demande d’accès au contenu multimédia sélectionné. Alternativement, cette émission peut être déclenchée passivement, c’est-à-dire même en l’absence de toute commande préalable de recherche et de sélection ou de toute demande d’accès préalable, et être répétée par exemple de manière récurrente, par exemple à intervalles de temps réguliers. Le code peut comprendre diverses indications, tel qu’un identifiant du dispositif connecté, une indication de localisation de l’émetteur du signal, une indication d’un horodatage associé par exemple au moment d’émission du premier signal.
Lors de l’étape S2, le terminal (13) reçoit ainsi un code, contenu dans ledit au moins un premier signal à courte portée. La réception de ce signal et du code qui y est encapsulé a pour but d’attester que le dispositif de restitution (11 ,12) ayant émis le premier signal et le terminal (13) sont situés à proximité l’un de l’autre. Le premier signal, reçu, peut alors être traité au moyen d’une première application gérée au moins en partie par le circuit de traitement principal (14) du terminal. Plus particulièrement, la première application peut procéder à un décodage (S3), du code reçu. Ce décodage correspond à une extraction à partir du premier signal reçu, du code qu’il contient. Le décodage (S3) du code déclenche une série de vérifications. Une première vérification (S4) concerne la localisation courante du terminal, donc de l’utilisateur. Cette première vérification découle du code extrait. En effet, il est possible de prévoir différents émetteurs (11 ,12) émettant chacun à un instant donné un code différent via un canal de communication à courte portée, de sorte que le code extrait par le terminal (13) à cet instant donné est indicatif de l’émetteur dont le code est issu, donc, indirectement, de la localisation courante du terminal (13). Une seconde vérification (S6) est ensuite conduite par le circuit de traitement sécurisé (15) du terminal. Selon un mode de réalisation, la seconde vérification (S6) est mise en œuvre par une seconde application gérée au moins en partie par le circuit de traitement sécurisé (15). La seconde application est par exemple une application Java, connue comme « Cardlet » exécutée par le circuit de traitement sécurisé (15).
La seconde vérification (S6) porte sur l’identité de l’utilisateur et inclut optionnellement une ou plusieurs vérifications complémentaires portant par exemple sur la localisation courante du terminal (13). La seconde vérification (S6) peut être par exemple déclenchée à l’initiative de la première application. En effet, le décodage (S3), ou la première vérification (S4), ou toute autre opération découlant de la réception (S2) du code par le terminal (13) peut déclencher l’émission (S5) d’une indication attestant la réception du code ou attestant la première vérification. Ladite indication peut être incorporée à une requête issue de la première application à destination de la seconde application. Cette requête peut en outre comprendre une indication visant à requérir, spécifiquement, une vérification de l’identité de l’utilisateur, et optionnellement une vérification de la localisation courante du terminal. Ainsi, cette requête peut comprendre des informations relatives à une identité attendue de l’utilisateur. La requête peut comprendre optionnellement des informations relatives à une localisation attendue du terminal. La requête peut aussi comprendre d’autres informations relatives à tout type d’élément supplémentaire de réassurance. La seconde vérification peut impliquer un dialogue entre le circuit de traitement sécurisé (15) et la plateforme (18) de gestion de circuits de traitements sécurisés afin de vérifier une correspondance entre l’identité de l’utilisateur telle que dérivable d’un identifiant de l’utilisateur connu de la plateforme de gestion de circuits de traitements sécurisés (par exemple un numéro IMSI), d’une part, et l’identité attendue de l’utilisateur, d’autre part. La vérification peut également impliquer de déterminer si la zone géographique où le terminal (13) est physiquement situé, c’est-à-dire par exemple une zone géographique correspondant à un pays ou à une région d’un pays, correspond à la localisation attendue du terminal.
Si la vérification est positive, à l’étape S7, la seconde application notifie la première application d’un jeton d’authentification attestant ladite vérification. Le jeton d’authentification peut être par exemple chiffré, encodé et encapsulé dans un signal numérique.
La première application reçoit le jeton d’authentification et le traite afin de générer un signal de sortie, ou ci-après « second signal », indicatif du jeton d’authentification. Par « signal indicatif du jeton d’authentification », on entend un signal comprenant le jeton d’authentification, ou comprenant toute information dérivée d’un traitement de ce jeton, en tant que données ou en tant que métadonnées.
Dans un mode de réalisation, le traitement du jeton d’authentification peut impliquer un décodage et optionnellement un déchiffrement d’un signal reçu encapsulant le jeton d’authentification. Un tel traitement peut avoir pour but de valider, au niveau du terminal (13), sur la base du code extrait du premier signal et du jeton d’authentification reçu de la seconde application, que l’identité réelle de l’utilisateur est conforme à l’identité attendue. Optionnellement, un tel traitement peut avoir pour effet supplémentaire de valider, toujours au niveau du terminal, que la localisation réelle du terminal est conforme à la localisation attendue. Dans un tel mode de réalisation, le second signal peut comprendre, en tant qu’information dérivée d’un traitement du jeton d’authentification, une simple indication d’une vérification positive.
Alternativement, en particulier si le contenu du signal issu de la seconde application est chiffré à l’aide d’une clé inconnue de la première application, ce contenu comprenant le jeton d’authentification peut être directement incorporé, sans altération ni risque de compromission, au contenu du second signal.
La première application transmet alors, à l’étape S8, ce second signal à destination de la plateforme (16) de gestion d’accès. La plateforme de gestion d’accès reçoit le second signal et le traite en déclenchant, à l’étape S9, l’accès au contenu multimédia demandé.
En reprenant le mode de réalisation dans lequel le jeton d’authentification est chiffré par la seconde application et incorporé par la première application au second signal, il est possible que la plateforme de gestion dispose de la clé de chiffrage connue de la seconde application et soit configurée pour effectuer le décodage et le déchiffrement du jeton d’authentification, et pour déclencher sur cette base, à l’étape S9, l’accès au contenu multimédia demandé.
Le contenu multimédia en question est alors transmis, par exemple via un réseau WAN vers la passerelle réseau puis via à un réseau LAN/WLAN vers une entité quelconque en vue de sa restitution à l’utilisateur sur le support de son choix.
Par exemple, un client ou un navigateur web configuré pour permettre la restitution du contenu multimédia reçu de la passerelle réseau peut être installé au préalable sur un dispositif quelconque, tel que, parmi les entités précitées, le dispositif de restitution visuelle ou sonore ou le dispositif connecté (10) pilotant l’un ou l’autre de ces dispositifs, ou encore le circuit de traitement principal (14) du terminal (13).
On se réfère à présent à la figure 3, qui illustre un exemple d’implémentation d’un procédé de contrôle d’accès à un équipement industriel situé sur un site industriel.
L’équipement industriel en question peut désigner par exemple un système de traitement de l’information tel qu’un serveur d’entreprise, un micro-ordinateur, ou un terminal mobile à l’usage d’un travailleur. Dans cet exemple, l’accès auquel il est fait référence peut désigner un accès à une ressource numérique, telle qu’un fichier, un dossier, une partition d’un disque, ou toute autre ressource numérique stockée sur l’équipement industriel, ou accessible depuis l’équipement industriel une fois l’accès accordé.
Alternativement, l’équipement industriel peut désigner une unité de production, un appareil de mesure, ou une machine-outil telle qu’un robot. Dans cet exemple, l’accès peut désigner une mise en œuvre d’une commande ou l’exécution d’un logiciel, ou plus généralement une prise de contrôle d’un fonctionnement de l’équipement industriel. Par exemple, l’équipement industriel peut désigner un dispositif de contrôle d’accès physique à une zone du site industriel. Dans cet exemple, l’accès peut par exemple désigner une mise en œuvre d’une action telle qu’une commande d’ouverture, de fermeture ou de verrouillage d’une porte.
Dans l’exemple d’implémentation illustré sur la figure 3, au moins un moniteur, panneau d’affichage, panneau de contrôle, dispositif d’éclairage, haut-parleur, ou tout autre exemple d’émetteur (11 ,12) physiquement présent sur le site industriel est piloté pour émettre passivement, de manière récurrente, un premier signal à courte portée, tel que défini précédemment, dans au moins une bande de fréquence prédéfinie. Ce signal à courte portée renferme, ou encapsule, un code.
Alternativement, ou en complément, un tel premier signal à courte portée peut également être émis de manière active par au moins un tel émetteur (11 ,12) en réponse à l’émission d’une requête ou d’une action à destination de l’équipement industriel.
Dans certains modes de réalisation, l’équipement industriel est conçu de manière à pouvoir recevoir et traiter des requêtes ou actions reçues via son interface de communication et préalablement issues d’un terminal (13), ou d’une personne interagissant avec un tel terminal (13) au moyen d’une interface homme-machine.
On entend ici par « terminal » (13) un dispositif équipé d’un circuit de traitement principal (14) et d’un circuit de traitement secondaire (15) sécurisé et distinct du circuit de traitement principal (14). Le circuit de traitement principal (14) comprend au moins un processeur, au moins une mémoire, un récepteur des signaux à courte portée émis par l’au moins un émetteur (11 ,12) et une interface de communication avec le circuit de traitement sécurisé. Le circuit de traitement sécurisé (15) comprend au moins un processeur, au moins une mémoire stockant un identifiant, typiquement chiffré, une interface de communication avec le circuit principal et une interface de communication par signaux radioélectriques avec une plateforme de gestion de circuits de traitement sécurisés. Le circuit de traitement sécurisé est également apte à communiquer avec une plateforme métier, en tant qu’exemple de plateforme de gestion d’accès (16), via son interface de communication par signaux radioélectriques, ou via son interface de communication avec le circuit principal.
Par « identifiant », on entend par exemple un identifiant de machine associé spécifiquement au circuit de traitement sécurisé (15) ou un identifiant personnel associé à un compte utilisateur particulier.
Dans une telle situation, il est important de pouvoir contrôler que le terminal (13) est bien situé physiquement au sein du site industriel, afin de se prémunir de certains types de cyber-attaques.
Dans certains modes de réalisation, l’équipement industriel dispose d’une interface homme- machine intégrée et peut être conçu de manière à pouvoir recevoir et traiter des requêtes ou actions d’une personne interagissant directement avec ladite interface homme-machine. Dans une telle situation, pour les raisons évoquées précédemment, il est important de pouvoir contrôler la localisation de la personne interagissant avec l’équipement industriel. Pour cela, il est possible de prévoir que l’équipement industriel dispose d’un terminal (13) associé tel que défini ci-avant et/ou d’imposer que la personne porte par ailleurs un tel terminal (13) associé aux fins du contrôle d’accès à l’équipement industriel. L’équipement industriel est évoqué ci-après en tant qu’exemple de dispositif connecté (10) disposant d’un module de traitement de données associé à une interface homme-machine ou à une interface de communication, de telles interfaces étant susceptibles de recevoir des requêtes destinées au dispositif connecté (10) ou des actions destinées à être mises en œuvre par le dispositif connecté (10).
Pour ce qui concerne la description de l’exemple de réalisation illustré sur la figure 3, la fonction de l’équipement industriel au sein de la gestion d’une demande d’accès est ainsi considérée comme équivalente à la fonction du dispositif connecté (10) au sein de la gestion d’une demande d’accès dans l’exemple de réalisation illustré sur la figure 2.
On se réfère également toujours à la figure 4 qui illustre un procédé de gestion d’une demande d’accès applicable à l’un quelconque des systèmes représentés sur les figures 1 à 3. Dans les paragraphes qui suivent, il est fait plus particulièrement référence à l’application du procédé de la figure 4 au système représenté sur la figure 3.
Le dispositif connecté (10), ou en l’espèce l’équipement industriel, reçoit à l’étape S1 une demande d’accès. Cette demande d’accès est originaire d’un demandeur, qui peut être soit une personne physique interagissant avec l’interface homme-machine du dispositif connecté (10) ou un dispositif quelconque, transmettant la demande d’accès via l’interface de communication du dispositif connecté (10).
A l’étape S2, le terminal (13) reçoit le code contenu dans le premier signal à courte portée émis, activement ou passivement, par au moins un dispositif de restitution (11 ,12). La réception de ce premier signal par le terminal atteste que la localisation du terminal (13) en tant que récepteur est voisine de celle du dispositif de restitution (11 ,12) en tant qu’émetteur. Il s’agit d’une réassurance sur critère géographique. Après réception, le premier signal est traité par une première application qui est gérée au moins en partie par le circuit de traitement principal (14), et qui, optionnellement, est gérée en partie par une entité distante non représentée sur la figure 3. Le traitement du premier signal par la première application comprend notamment à l’étape S4 une première vérification de la localisation du demandeur, qui peut résulter d’un décodage, à l’étape S3, du premier signal afin d’extraire le code qui y est renfermé, ou encapsulé. Le traitement du premier signal peut aussi comprendre la génération et l’envoi, à l’étape S5, d’une requête au circuit de traitement sécurisé (15), pour obtenir la mise en œuvre d’une seconde vérification, à l’étape S6, au moins de l’identifiant stocké sur la mémoire du circuit de traitement sécurisé (15). La requête comprend ainsi des informations relatives à un identifiant attendu, et peut optionnellement comprendre en outre des informations relatives à une localisation attendue du terminal (13). La requête est reçue et traitée par une seconde application qui est gérée au moins en partie par le circuit de traitement sécurisé (15), et qui, optionnellement, est gérée en partie par la plateforme de gestion de circuits de traitement sécurisés (18). Le traitement de la requête comprend la seconde vérification, à l’étape S6. Cette seconde vérification au moins relative à une correspondance entre l’identifiant attendu et l’identifiant stocké sur la mémoire du circuit de traitement sécurisé (15). Optionnellement, la seconde vérification peut en outre comprendre une vérification complémentaire relative à une correspondance entre la localisation attendue et la localisation courante du terminal. Si la vérification est positive, c’est-à-dire si la correspondance est avérée, la seconde application détermine un jeton d’authentification attestant cette vérification. Le circuit de traitement sécurisé (15) émet alors un second signal, qui transite éventuellement à l’étape S7 par le circuit de traitement principal (14), et est finalement transmis à l’étape S8 à destination de la plateforme de gestion d’accès (16). Ce second signal encapsule le jeton d’authentification déterminé ou est indicatif du jeton d’authentification déterminé.
C’est seulement après avoir reçu le second signal, puis extrait de ce second signal le jeton d’authentification ou les informations indicatives du jeton d’authentification, et enfin validé le jeton ou les informations extraites que la plateforme de gestion d’accès (16) déclenche, à l’étape S9, l’accès demandé à l’équipement industriel.
La demande d’accès issue du terminal (13) peut ainsi être effectivement acceptée et l’accès accordé au niveau de l’équipement industriel.
L’invention telle que décrite à travers les exemples ci-avant admet de nombreuses variantes.
Par exemple, le contrôle d’accès peut être conditionné à la réception du premier signal, non pas uniquement par un terminal à l’origine de la réassurance sur critère d’identité, mais par une pluralité de tels terminaux. Ceci permet de multiplier des facteurs de preuves faibles et robustes au-delà d’un simple identifiant, avec le ou les émetteurs du premier signal comme éléments centraux de réassurance déclenchant en parallèle de multiples vérifications de localisation et d’identité, et, si désiré, de temporalité.
Par exemple, le premier signal peut être émis par un émetteur à destination du terminal, non pas exclusivement via un canal de télécommunication à courte portée, mais, en complément de l’utilisation de ce canal à courte portée, via une chaîne de transmission. Une telle chaîne de transmission comprend un ou plusieurs transmetteurs intermédiaires disposant d’un module de réception configuré pour recevoir le premier signal et d’un module d’émission configuré pour retransmettre le premier signal. Parmi ces transmetteurs intermédiaires, au moins celui situé en bout de chaîne, c’est-à-dire celui retransmettant le premier signal directement à destination du récepteur du terminal, est configuré de manière à émettre, spécifiquement, via le canal de communication à courte portée. Optionnellement, plusieurs transmetteurs intermédiaires peuvent être configurés pour communiquer entre eux via un tel canal de communication à courte portée. Il est possible de tirer parti d’une telle chaîne de transmission pour offrir une réassurance supplémentaire sur la localisation du terminal. En effet, les transmetteurs intermédiaires peuvent être par exemple configurés de manière à effectuer un traitement du premier signal avant sa retransmission, de sorte que le premier code comprenne des informations indicatives de la localisation d’un ou plusieurs transmetteurs intermédiaires ou de la temporalité de la retransmission du premier signal par un ou plusieurs transmetteurs intermédiaires.

Claims

Revendications
1. Procédé d’attestation d’identité et de localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté (10) pour en commander un fonctionnement,
- le procédé étant mis en œuvre par un terminal (13),
- le procédé comprenant :
- sur réception (S2) d’un code reçu à travers au moins un canal de télécommunication à courte portée, une première vérification (S4), sur la base du code, d’une localisation du demandeur, et une seconde vérification (S6) relative au moins à une identité du demandeur ; et
- après la première vérification (S4) et la seconde vérification (S6), une émission (S8) d’un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement (S9) de l’accès demandé.
2. Procédé selon la revendication 1 , dans lequel, le terminal comprenant un circuit de traitement sécurisé (15), ladite seconde vérification (S6) relative au moins à une identité du demandeur est mise en œuvre dans ledit circuit de traitement sécurisé (15).
3. Procédé selon la revendication 2, dans lequel :
- le terminal (13) comprend, outre le circuit de traitement sécurisé (15), un circuit de traitement principal (14) gérant au moins en partie une première application, et
- le procédé comprend un décodage (S3) du code par la première application, le décodage déclenchant la mise en œuvre de la première vérification (S4) par la première application.
4. Procédé selon l’une des revendications 1 à 3, dans lequel la seconde vérification (S6) comprend en outre une vérification complémentaire de localisation du demandeur.
5. Procédé selon l’une des revendications 1 à 4, dans lequel, le circuit de traitement sécurisé gérant au moins en partie une seconde application, le procédé comprend en outre :
- après la première vérification (S4), la mise en œuvre de la seconde vérification (S6) par la seconde application à réception (S5) d’une indication attestant la réception du code ou attestant la première vérification.
6. Procédé selon l’une des revendications 1 à 5, dans lequel :
- la seconde vérification (S6) comprend une détermination d’un jeton d’authentification attestant au moins la seconde vérification, et
- le signal de sortie est indicatif du jeton d’authentification.
7. Procédé de gestion d’une demande d’accès issue d’un demandeur et relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté (10) pour en commander un fonctionnement, le procédé étant mis en œuvre par un système de gestion comprenant un dispositif connecté (10), un terminal (13) comprenant un circuit de traitement sécurisé (15) et une plateforme de gestion d’accès (16),
- le procédé comprenant :
- une réception (S1 ), par le dispositif connecté (10), de la demande d’accès,
- une émission d’un code, transmis à travers au moins un canal de télécommunication à courte portée, à destination du terminal (13),
- une attestation d’identité et de localisation du demandeur par le terminal (13) selon le procédé de l’une des revendications 1 à 6, et
- une réception, par la plateforme (16) d’un signal de sortie issu dudit terminal (13) et un déclenchement (S9) par la plateforme (16) de l’accès demandé sur la base du signal de sortie reçu.
8. Programme informatique comportant des instructions pour la mise en œuvre du procédé selon l’une des revendications 1 à 7 lorsque ce programme est exécuté par un processeur.
9. Terminal (13) configuré pour :
- attester une identité et une localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté (10) pour en commander un fonctionnement :
- en effectuant, sur réception (S2) d’un code transmis à travers au moins un canal de télécommunication à courte portée, une première vérification (S4), sur la base du code, de la localisation du demandeur,
- en effectuant une seconde vérification (S6) relative au moins à l’identité du demandeur et mise en œuvre dans le circuit de traitement sécurisé (15) ; et
- après avoir effectué la première vérification (S4) et la seconde vérification (S6), en émettant (S8) un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement (S9) de l’accès demandé.
10. Terminal selon la revendication 9, le terminal comprenant :
- un circuit principal (14) configuré pour gérer au moins en partie une première application, ladite première application mettant en œuvre, au moins, la première vérification sur réception du code par le terminal (13), et
- un circuit de traitement sécurisé (15) configuré pour gérer au moins en partie la seconde application, ladite seconde application mettant en œuvre, au moins, la seconde vérification sur réception du code par le terminal (13) ou suite à la mise en œuvre de la première vérification par la première application.
11. Circuit de traitement sécurisé (15) du terminal selon la revendication 10.
12. Circuit de traitement principal (14) du terminal selon la revendication 10.
13. Système de gestion d’une demande d’accès issue d’un demandeur et relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté (10) pour en commander un fonctionnement, le système comprenant :
- un terminal (13) selon la revendication 9 ou 10,
- un dispositif connecté (10) configuré pour recevoir une demande d’accès, et - une plateforme de gestion d’accès (16) configurée pour recevoir un signal de sortie issu dudit terminal (13) et déclencher, en réponse, l’accès demandé.
EP21839241.3A 2020-12-22 2021-12-01 Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges Pending EP4268491A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2013989A FR3118227A1 (fr) 2020-12-22 2020-12-22 Attestation d’identité et de localisation par vérification à multiples facteurs sur la base d’une boucle fermée d’échanges
PCT/FR2021/052160 WO2022136756A1 (fr) 2020-12-22 2021-12-01 Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges

Publications (1)

Publication Number Publication Date
EP4268491A1 true EP4268491A1 (fr) 2023-11-01

Family

ID=75438931

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21839241.3A Pending EP4268491A1 (fr) 2020-12-22 2021-12-01 Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges

Country Status (4)

Country Link
US (1) US20240048991A1 (fr)
EP (1) EP4268491A1 (fr)
FR (1) FR3118227A1 (fr)
WO (1) WO2022136756A1 (fr)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8437742B2 (en) * 2009-10-16 2013-05-07 At&T Intellectual Property I, L.P. Systems and methods for providing location-based application authentication using a location token service
US8997241B2 (en) * 2012-10-18 2015-03-31 Dell Products L.P. Secure information handling system matrix bar code
EP2849448A1 (fr) * 2013-09-13 2015-03-18 Nagravision S.A. Méthode pour contrôler l'accès à du contenu diffusé
US20180211188A1 (en) * 2015-08-17 2018-07-26 Bytemark, Inc. Methods and systems for hands-free fare validation and gateless transit
US10757459B2 (en) * 2018-12-10 2020-08-25 At&T Intellectual Property I, L.P. Video steaming control

Also Published As

Publication number Publication date
WO2022136756A1 (fr) 2022-06-30
FR3118227A1 (fr) 2022-06-24
US20240048991A1 (en) 2024-02-08

Similar Documents

Publication Publication Date Title
Seliem et al. Towards privacy preserving iot environments: a survey
Huang et al. SecIoT: a security framework for the Internet of Things
US10375082B2 (en) Method and apparatus for geographic location based electronic security management
US8914848B2 (en) Social authentication of users
CN106233796B (zh) 计算设备的自动用户注册和解锁
US8646026B2 (en) Smart web services security policy selection and validation
US9374369B2 (en) Multi-factor authentication and comprehensive login system for client-server networks
JP6054457B2 (ja) 制御された情報開示によるプライベート解析
US10834257B1 (en) Email alert for unauthorized call
CN103795702A (zh) 用于数据的发送控制
US20210014064A1 (en) Method and apparatus for managing user authentication in a blockchain network
KR20170063559A (ko) 언제 인증이 철회되어야 하는지를 표시하는 기준을 정의하기 위한 다차원 프레임워크
Latvala et al. Evaluation of out-of-band channels for IoT security
WO2015007958A1 (fr) Procéde d'authentification forte
WO2018130486A1 (fr) Procédé d'authentification en deux étapes, dispositif et programme d'ordinateur correspondant
KR20170033788A (ko) 인증을 위한 방법 및 그 장치
KR20170085423A (ko) 사용자 단말 장치 및 이에 의한 개인 정보 제공 방법
Monir A Lightweight Attribute-Based Access Control System for IoT.
EP4268491A1 (fr) Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges
FR3083627A1 (fr) Procede de transmission securisee de donnees cryptographiques
EP2911365B1 (fr) Procédé et système de sécurisation de transactions offertes par une pluralité de services entre un appareil mobile d'un utilisateur et un point d'acceptation
Latvala Evaluation of out-of-band authentication channels
FR3105482A1 (fr) Procédé d’obtention de mot de passe pour l’accès à un service
FR3031824A1 (fr) Procede de securisation de donnees par anonymisation et serveur associe
FR3051091A1 (fr) Procede d'authentification pour autoriser l'acces a un site web ou l'acces a des donnees chiffrees

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20230627

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ORANGE

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)