FR2945173A1 - Procede d'authentification d'un terminal de communication mobile lors d'un acces a une plateforme de services via un reseau mobile - Google Patents

Procede d'authentification d'un terminal de communication mobile lors d'un acces a une plateforme de services via un reseau mobile Download PDF

Info

Publication number
FR2945173A1
FR2945173A1 FR0952816A FR0952816A FR2945173A1 FR 2945173 A1 FR2945173 A1 FR 2945173A1 FR 0952816 A FR0952816 A FR 0952816A FR 0952816 A FR0952816 A FR 0952816A FR 2945173 A1 FR2945173 A1 FR 2945173A1
Authority
FR
France
Prior art keywords
mobile communication
communication terminal
user
service platform
channel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0952816A
Other languages
English (en)
Other versions
FR2945173B1 (fr
Inventor
Thomas Bourgeois
Chastellier Pierre De
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DHATIM SARL
Original Assignee
DHATIM SARL
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DHATIM SARL filed Critical DHATIM SARL
Priority to FR0952816A priority Critical patent/FR2945173B1/fr
Publication of FR2945173A1 publication Critical patent/FR2945173A1/fr
Application granted granted Critical
Publication of FR2945173B1 publication Critical patent/FR2945173B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

L'invention concerne un procédé client-serveur dans le domaine des réseaux pour mobile. Le procédé selon l'invention comporte une application client logée dans un « smart phone » au sein d'un réseau mobile, et une application serveur logée dans un serveur de services. Lorsque l'application client accède à l'application serveur, on authentifie efficacement l'utilisateur en transmettant la requête de communication avec l'application serveur via un canal de données, alors qu'on transmet un SMS d'authentification de l'utilisateur du « smart phone » via un canal de signalisation vers l'opérateur du réseau mobile qui confirme ensuite l'authentification à l'application serveur. L'invention concerne aussi un système et un terminal munis de fonctionnalités permettant de mettre en oeuvre le procédé selon l'invention.

Description

1 " Procédé d'authentification d'un terminal de communication mobile lors d'un accès à une plateforme de services via un réseau mobile."
La présente invention se rapporte à un procédé d'authentification d'un terminal de communication mobile lors d'un accès à une plateforme de services via un réseau mobile d'un opérateur.
Elle trouve une application particulièrement intéressante, mais non io exclusivement, dans des terminaux de type Blackberry de la société RIM , des téléphones Nokia , Iphone ,... où il est possible d'accéder à des services en ligne ou hors ligne. Par service on entend un module logiciel à télécharger ou à utiliser en ligne, une fonctionnalité ou toute autre application accessible via un terminal de communication mobile. Ces services peuvent 15 être de type envoi et réception d'emails, connexion à Internet, téléchargement de fichiers,...
D'une façon générale, selon l'art antérieur, lorsqu'un utilisateur souhaite accéder à un service au moyen de son terminal de communication 20 mobile tel qu'un téléphone mobile ou un téléphone mobile évolué de type smart phone , il contacte le fournisseur de ce service par internet sur le site du fournisseur, par email ou par téléphone afin de demander l'activation du service. Cependant, un tel accès via Internet par exemple n'assure pas un maximum de sécurité. 25 La présente invention a pour but un nouveau procédé permettant de sécuriser l'accès à un tel service.
Selon l'invention, il est proposé un procédé d'authentification d'un terminal de communication mobile lors d'un accès à une plateforme de 30 services via un réseau mobile d'un opérateur. Selon l'invention, ce procédé comprend les étapes suivantes : - transmission d'une requête de communication depuis le terminal de communication mobile vers la plateforme de services via un canal de données du réseau mobile de l'opérateur, - transmission d'une requête d'authentification de l'utilisateur depuis le terminal de communication mobile vers une plateforme de serveurs de l'opérateur via un canal de signalisation du réseau mobile de l'opérateur, - première authentification de l'utilisateur et/ou du terminal de communication mobile au sein de la plateforme de serveurs de l'opérateur, et - authentification complémentaire de l'utilisateur et/ou du terminal de communication mobile au sein de la plateforme de services à partir de données contenues dans la requête de communication et un message d'accord provenant de la plateforme de serveurs de l'opérateur. io Cette première authentification peut notamment prendre en compte des secrets cryptographiques contenus dans une mémoire contenue dans le terminal de communication mobile, notamment dans une carte SIM. La carte SIM (pour Subscriber Identity Module en anglais) est une puce électronique contenant un microcontrôleur et de la mémoire. Elle stocke 15 des informations spécifiques à l'utilisateur. Ainsi l'authentification s'effectue à partir de données cryptées provenant d'un équipement physique. Dans un mode particulier de réalisation de l'invention, cette première authentification peut prendre en compte un code confidentiel entré par l'utilisateur sur son terminal de communication mobile. 20 Dans un mode particulier de réalisation de l'invention le terminal de communication mobile est équipé d'un lecteur de caractéristiques biométriques, notamment un lecteur d'empreintes digitales et/ou un lecteur de fond d'oeil, et ce lecteur est utilisé pour permettre une authentification forte de l'utilisateur. 25 Les divers modes d'authentification décrits ici ne sont pas exclusifs l'un de l'autre, et, selon le mode particulier de réalisation de l'invention, on pourra authentifier soit uniquement le terminal utilisé, soit uniquement l'utilisateur, soit les deux. L'authentification de l'utilisateur, lorsqu'elle est requise, peut se faire soit par un code entré au terminal, soit par la lecture d'une ou plusieurs 30 caractéristiques biométriques (empreinte digitale, fond d'oeil, ...) soit par les deux simultanément.
Ainsi, l'utilisateur est clairement authentifié et le fait d'utiliser un canal de signalisation permet de consommer peu de ressources réseaux et surtout 35 de transmettre des informations de façon sécurisée.
Avantageusement, la requête d'authentification est un message textuel court selon la technologie SMS ou un message non structuré selon la technologie USSD. La technologie SMS (pour Short Message Service en anglais) disponible notamment dans les réseaux de type GSM, GPRS ou UMTS, permet de transmettre et de recevoir de courts messages textuels véhiculés par un canal de signalisation qui est différent des canaux logiques de transmission de la voix et des données. La technologie USSD (pour Unstructured Supplementary Service Data en anglais) permet l'échange rapide de données sous format texte via un canal de signalisation tout io comme le SMS. Elle est supportée par les réseaux de type GSM, GPRS ou UMTS notamment.
Selon un mode de mise en oeuvre préféré de l'invention, le terminal de communication mobile comprend une application client en relation avec une 15 application serveur contenue au sein la de plateforme de services. Le besoin d'économie de bande-passante entre le client et le serveur est important sur un réseau mobile, car celle-ci est limitée en capacité et elle est facturée à l'utilisateur. La latence, temps de réponse du réseau, peut être importante et variable. La couverture réseau est également incertaine 20 induisant des retransmissions voire des coupures de connexion. Le problème posé est de savoir comment réaliser les échanges dans un environnement contraint, avoir des échanges résilients en cas de coupures et supporter les changements de caractéristique du réseau. Les protocoles de type HTTP, XML, SOAP, bien que largement utilisés, sont adaptés à des réseaux IP fixe 25 large-bande, mais leur utilisation dans les réseaux mobiles ne répond pas aux contraintes de limitation de bande-passante. Plusieurs initiatives de type utilisation de ASN.1 et Fast Infoset ont été lancées qui n'ont pas trouvées à ce jour d'adoption massive. Pour résoudre ces problèmes liés à la bande passante, dans la 30 présente invention la transmission de données de mise à jour de l'application client depuis l'application serveur consiste en la transmission d'un message de type XML contenant un numéro d'identification d'un schéma XML (à la place de ce schéma XML) et des données associées à ce schéma XML, ledit schéma XML contenant les métadonnées et n'étant transmis qu'en cas d'une 35 demande par l'application client. A titre d'exemple, http/soap est un protocole permettant une flexibilité et une grande évolutivité au détriment de la taille des échanges de données. La présente invention permet d'avoir à la fois un message compact et une évolutivité en cas de changement d'identification de schéma. Un tel procédé consiste à transmettre des messages compressés par rapport à une transmission conventionnelle. On optimise ainsi la bande passante du canal de données. Avec un tel procédé, on ne transmet pas systématiquement les schémas XML.
Avantageusement, chaque schéma XML au sein de l'application serveur io est identifié par un numéro, la modification d'un schéma XML en génère un autre avec un nouveau numéro d'identification. De préférence, à chaque accès de l'application client à l'application serveur, on profite de cet accès pour mettre à jour l'état de différents éléments (y compris les services) gérés par l'application client. La mise à jour 15 comprend une synchronisation entre l'application client et l'application serveur de données relatives à l'activation ou la suspension de services et de données de taxation de ces services. Selon un mode de réalisation, au sein du terminal de communication mobile, on comptabilise tout accès à l'application client par l'utilisateur, le 20 nombre d'accès pour une période donnée étant ensuite transmis à l'application serveur lors d'une session de communication ultérieure. L'accès à l'application client peut être l'ouverture de cette application.
Selon une caractéristique avantageuse de l'invention, l'application 25 client indique l'état opérationnel de chaque service géré au moyen d'une icône graphique sur un écran du terminal de communication mobile. L'état opérationnel peut comprendre les états suivants : activé, suspendu, et non activé.
30 L'invention concerne aussi un système d'accès à un service comprenant une plateforme de services, une plateforme de serveurs d'un opérateur de réseau mobile et un terminal de communication mobile ; selon l'invention : - la plateforme de services comprend une application serveur, et - le terminal de communication mobile comprend une application client 35 associée à ladite application serveur par une communication de type client-serveur ; les applications client et serveur étant paramétrées pour qu'un accès par le terminal de communication mobile à un service de la plateforme de services soit réalisé en utilisant le procédé tel que décrit précédemment. L'invention concerne aussi un terminal de communication mobile comprenant des fonctionnalités permettant de l'authentifier lors d'un accès à une plateforme de services en mettant en oeuvre le procédé objet de la présente invention. Avantageusement, ce terminal peut comprendre une application client permettant d'authentifier l'utilisateur du terminal mobile auprès de la plateforme de services et de la plateforme de serveurs de l'opérateur à partir io de données contenues dans une mémoire dudit terminal de communication mobile. L'application client peut être paramétrée de façon à générer : - un premier flux de données pour une première authentification au près par exemple de la plateforme de serveurs de l'opérateur via un premier canal de communication, et 15 - un second flux de données pour une authentification complémentaire auprès par exemple de la plateforme de services via un second canal de communication. Le premier canal et le second canal peuvent être identiques. Mais de préférence, le premier canal est un canal de signalisation, le second canal 20 étant un canal de données. Par ailleurs, le terminal comprend une mémoire contenant des secrets cryptographiques utilisés lors de ladite première authentification. Cette mémoire est notamment contenue dans une carte SIM. L'application client est avantageusement paramétrée pour prendre en compte un code confidentiel 25 entré sur le terminal de communication mobile par l'utilisateur et/ou une caractéristique biométrique de l'utilisateur, notamment une empreinte digitale et/ou un fond d'oeil, lors de la première authentification.
D'autres avantages et caractéristiques de l'invention apparaîtront à 30 l'examen de la description détaillée d'un mode de mise en oeuvre, donné à titre d'exemple nullement limitatif des possibilités de la présente invention, et des dessins annexés, sur lesquels : - La figure 1 est une vue générale d'un système mettant en oeuvre un procédé selon l'invention, 35 - La figure 2 est une vue générale d'un diagramme illustrant des étapes du procédé selon l'invention en fonction de chaque entité, - La figure 3 est une vue générale d'un processus de suspension et d'activation d'un service selon l'invention, - La figure 4 est une vue générale d'un diagramme illustrant des étapes du processus de suspension et d'activation d'un service selon l'invention en fonction de chaque entité, - La figure 5 est une vue générale illustrant un processus d'authentification sécurisé par utilisation d'un canal de données et d'un canal de signalisation selon l'invention, et - La figure 6 est une vue générale d'un schéma XML et de io métadonnées associées.
Sur la figure 1 on voit une plateforme A de serveurs d'un opérateur mobile. Le téléphone mobile B comprend des moyens logiciels et matériels lui permettant d'accéder au réseau mobile de l'opérateur. En particulier, le 15 téléphone B comprend une application client capable de communiquer avec une application serveur au sein d'une plateforme de services C. Ces applications sont contenues dans des moyens de stockage conventionnels, et peuvent être gérées par un système d'exploitation au moyen d'un microcontrôleur ou microprocesseur (non représentés). 20 La plateforme de services C offre de nombreux services accessibles à l'utilisateur du téléphone mobile B. A titre d'exemple, ce service peut être un service push mail pour la réception de 100 emails sur une période de 30 jours. Le service push mail permet de scruter en permanence l'arrivée de nouveaux messages électroniques. Tout nouvel email entrant 25 est transféré ( pushed ) vers le téléphone ( smart phone ). Pour souscrire à un tel service, l'utilisateur envoie à l'étape 1 sur les figures 1 et 2, une requête de vérification vers la plateforme de services C. Cette requête de vérification peut contenir un identifiant du service souhaité ainsi qu'un identifiant de l'utilisateur. La plateforme de services C vérifie 30 que l'utilisateur est apte à utiliser ce service et transmet un message d'accord vers le téléphone mobile B. A l'étape 2 sur les figures 1 et 2, l'application client du téléphone B transmet une requête transactionnelle vers la plateforme opérateur A. Cette requête peut être un message MMS, ou une adresse de type URL, 35 contenant des informations relatives au service requis, à la plateforme de services, et des données d'une carte SIM du téléphone B. De préférence, la requête transactionnelle est un message SMS surtaxé ou un message USSD surtaxé avec des informations relatives au service requis, à la plateforme de services, et des données d'une carte SIM du téléphone B de façon à authentifier l'utilisateur.
Si l'application client possède une tarification des différents services, elle peut inclure dans la requête transactionnelle le coût du service requis. Mais, on peut aussi prévoir que le coût de ce service est communiqué par la plateforme de services lors de l'étape 1 de vérification. En fonction du coût du service et de la valeur d'un SMS surtaxé, on envoie un ou plusieurs SMS io dont le montant total égale le coût du service requis. Avantageusement, le numéro d'envoi du SMS est un numéro associé à la plateforme de services C. La requête transactionnelle est réceptionnée par un serveur D de gestion de SMS au sein de la plateforme opérateur A. L'utilisateur est alors 15 authentifié à partir des données de la carte SIM, puis on réalise la taxation au sein d'un serveur de comptabilité E au sein de la plateforme opérateur A. Ce serveur de comptabilité E détient un compte de l'utilisateur ainsi authentifié. Il s'agit du compte normalement utilisé pour la facturation des communications mobiles de l'utilisateur. Ainsi, l'achat d'un service ne 20 nécessite pas l'ouverture d'un compte auprès de la plateforme de services C. Ce compte peut avantageusement être un compte prépayé où l'utilisateur possède un solde créditeur. Ce compte va alors être débité d'un montant égal au coût du service requis. En fait, le serveur de comptabilité 25 E gère cet achat de service comme s'il s'agissait de la consommation d'un ou plusieurs messages SMS surtaxés. A l'étape 3, la plateforme A transmet un message d'accord sur l'authentification et la taxation vers la plateforme de services C. Ce dernier active alors le service requis. L'utilisateur peut dès lors émettre et recevoir 30 des emails. On prévoit également l'envoi d'un message de confirmation de service activé depuis la plateforme de services C vers le téléphone B. Une variante de l'invention est l'étape 4 en pointillée sur les figures 1 et 2 où la taxation s'effectue en réponse à une requête de paiement provenant de la plateforme de services C après activation du service. 35 Selon un mode de réalisation de l'invention, la plateforme de services C peut comprendre une passerelle Cl renfermant ladite application serveur apte à communiquer avec l'application client et la plateforme opérateur A, ainsi que plusieurs serveurs multimédia C2-C4 offrant chacun des services. On voit sur la figure 1 que l'étape 5 correspond à l'étape où le téléphone B accède au service requis auprès de l'un des serveurs multimédia, C2, par exemple via Internet.
Afin de facturer la consommation effective de l'utilisateur, on prévoit un processus de suspension et d'activation du service. Sur la figure 3 les mêmes éléments portent les mêmes références que sur la figure 1. On se io place dans le cas où l'utilisateur a souscrit à un service de push mail pour la réception de 100 emails sur une période de 30 jours, et qu'il a déjà consommé 80 emails en 10 jours. Il souhaite alors suspendre son service pendant 10 jours afin de pouvoir l'utiliser les 10 derniers jours où il prévoit la réception de messages importants. Pour ce faire, à l'étape 1 sur les 15 figures 3 et 4, l'application client du téléphone B transmet une requête de suspension de service vers la plateforme de services C. Ce dernier identifie l'utilisateur à partir de données présentes dans la requête de suspension. Parallèlement, l'application client du téléphone B transmet à l'étape 1' un message SMS vers le serveur D de gestion de SMS au sein de la plateforme 20 opérateur A. Ce serveur D de gestion authentifie l'utilisateur à partir des données de la carte SIM envoyées avec le message SMS, puis transmet un message d'accord vers la plateforme de services C à l'étape 2. L'utilisateur est ainsi authentifié de façon certaine au sein de la plateforme de services C et le service push mail peut ainsi être suspendu. Avantageusement, 25 la plateforme de services C confirme la suspension du service auprès du serveur de comptabilité E de la plateforme opérateur A à l'étape 3. Il s'agit d'une mise à jour. Avec un tel processus, une facturation provisoire peut être établie avec la consommation effective du service et non la globalité du service. 30 Avantageusement, la plateforme de services continue à surveiller la durée de validité du service, c'est-à-dire les 30 jours, et peut envoyer des messages de rappel avant la fin de cette durée. Dans les 10 derniers jours de sa durée de validité, l'utilisateur peut vouloir réactiver son service push mail pour consommer ses 20 derniers 35 emails. Il effectue alors les mêmes opérations que celles décrites ci-dessus pour les figures 3 et 4, mais dans le cadre d'une requête d'activation de service.
Selon la présente invention, le processus est grandement sécurisé par le fait que l'on prévoit la communication entre le téléphone B et la plateforme de services C via un canal de données, notamment en passant par Internet, alors que la communication entre le téléphone B et la plateforme opérateur A pour l'envoi de SMS se fait via un canal de signalisation, ce dernier étant un canal très éprouvé, sécurisé et permettant io de récupérer les données de la carte SIM. On peut donc réaliser les étapes 1 et 1' de façon parallèle puisqu'il s'agit de deux canaux distincts. On utilise ainsi deux voies de communication distinctes pour authentifier l'utilisateur.
Sur la figure 5 on voit un processus d'authentification sécurisé par 15 utilisation d'un canal de données 10 et d'un canal de signalisation 11 selon l'invention. L'application client 12 logée au sein du téléphone B communique avec l'application serveur 13 logée au sein de la plateforme de services C, via Internet. Les données échangées transitent via le canal de données 10 depuis le téléphone B. Cette liaison via Internet n'est pas totalement sécurisée. 20 Pour assurer l'authentification de l'utilisateur de façon sécurisé et certaine, on utilise le canal de signalisation 11 pour communiquer entre l'application client 12 et une application de facturation 14 logée au sein de la plateforme opérateur A, de préférence dans le serveur de comptabilité E. C'est par cette liaison sécurisée via le réseau mobile de l'opérateur que 25 transitent la requête transactionnelle, telle qu'un SMS surtaxé, ou la requête d'authentification. La plateforme opérateur est donc apte à détecter les données de la carte SIM de l'utilisateur du téléphone B, authentifier l'utilisateur, éventuellement gérer la taxation ou la facturation, puis transmettre un message d'accord ou non vers la plateforme de services via 30 Internet.
Afin d'optimiser les échanges entre l'application client contenu dans le téléphone B et l'application serveur contenu dans la plateforme de services C, on prévoit un nouveau mode de communication de fichiers XML que l'on 35 utilise pour mettre à jour l'application client depuis l'application serveur. A chaque session de communication entre l'application client et l'application serveur, on réalise une synchronisation. En particulier, on envoie par exemple un fichier XML vers l'application client. Plutôt que d'envoyer un fichier XML mélangeant de façon conventionnelle un schéma XML avec des données, le procédé selon l'invention prévoit l'envoie d'un numéro d'identification du schéma XML avec les données. C'est uniquement au cas où l'application client n'aurait pas ce schéma XML que l'application serveur enverrait le schéma XML en réponse donc à la demande de l'application client. On prévoit donc une application serveur capable d'identifier des schémas XML par des numéros d'identification, et de générer un fichier XML contenant non pas le io schéma XML associé mais uniquement un numéro d'identification à côté des données. L'application client est apte à sauvegarder différents schémas XML, chacun étant identifié avec le même numéro d'identification que celui prévu par l'application serveur. Sur la figure 6, on voit un exemple simplifié d'un schéma XML contenant des métadonnées et un exemple de données 15 associées. On voit que l'on réalise un gain de bande passante considérable si l'on parvient à économiser l'envoi systématique des schémas XML qui ont une taille bien supérieure à celle des données.
Les applications potentielles du procédé, objet de la présent invention 20 sont nombreuses, et ne se limitent nullement à des services directement utilisables sur un terminal de communication mobile. Plus généralement l'invention peut être mise en oeuvre chaque fois qu'il y a nécessité d'authentifier un utilisateur désireux de souscrire, d'activer, de désactiver, de modifier un service quel qu'il soit. 25 L'invention trouve une application particulièrement intéressante dans le domaine de l'accès à des chaînes de télévision payante, notamment des chaînes diffusées par câble, ligne ADSL ou par satellite, lorsque l'utilisateur souhaite, avec effet immédiat, activer ou désactiver l'accès à une chaîne. Il 30 utilisera son terminal de communication mobile pour transmettre sa requête avec un maximum de sécurité, l'authentification de cette requête étant alors effectuée en mettant en oeuvre la présente invention.
Une autre application particulièrement intéressante de l'invention se 35 situe dans le domaine des navigateurs de voiture (utilisant notamment des systèmes dits GPS), offrant certains services complémentaires tels qu'un accès en temps réel à des informations de trafic, en vue de déterminer un itinéraire optimal. Dans ce domaine, l'invention offre à l'utilisateur la possibilité, avec effet immédiat, d'activer ou de désactiver l'accès à un tel service complémentaire, notamment lorsque, au cours d'un déplacement, il arrive dans une région pour laquelle il n'avait pas souscrit à ce service. Il utilisera alors son terminal de communication mobile pour transmettre sa requête avec un maximum de sécurité, l'authentification de cette requête étant alors effectuée en mettant en oeuvre la présente invention.
io Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention.

Claims (14)

  1. REVENDICATIONS1. Procédé d'authentification d'un terminal de communication mobile lors d'un accès à une plateforme de services via un réseau mobile d'un opérateur, caractérisé en ce que ce procédé comprend les étapes suivantes : - transmission d'une requête de communication depuis le terminal de communication mobile vers la plateforme de services via un canal de données du réseau mobile de l'opérateur, - transmission d'une requête d'authentification de l'utilisateur depuis le io terminal de communication mobile vers une plateforme de serveurs de l'opérateur via un canal de signalisation du réseau mobile de l'opérateur, - première authentification de l'utilisateur et/ou du terminal de communication mobile au sein de la plateforme de serveurs de l'opérateur, et - authentification complémentaire de l'utilisateur et/ou du terminal de 15 communication mobile au sein de la plateforme de services à partir de données contenues dans la requête de communication et un message d'accord provenant de la plateforme de serveurs de l'opérateur.
  2. 2. Procédé selon la revendication 1, caractérisé en ce que ladite première 20 authentification prend en compte des secrets cryptographiques contenus dans une mémoire dudit terminal de communication mobile.
  3. 3. Procédé selon la revendication 2, caractérisé en ce que ladite mémoire dudit terminal de communication mobile contenant lesdits secrets 25 cryptographiques est contenue dans une carte SIM.
  4. 4. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que ladite première authentification prend en compte un code confidentiel entré sur le terminal de communication mobile par 30 l'utilisateur dudit terminal de communication mobile.
  5. 5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que ladite première authentification prend en compte une caractéristique biométrique de l'utilisateur dudit terminal de communication 35 mobile, notamment une empreinte digitale et/ou un fond d'oeil. 20 13
  6. 6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que la requête d'authentification est un message textuel court selon la technologie SMS ou un message non structuré selon la technologie USSD.
  7. 7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le terminal de communication mobile comprenant une application client en relation avec une application serveur contenue au sein la de plateforme de services ; la transmission de données de mise à jour de l'application client depuis l'application serveur consiste à transmettre : - un message de type XML contenant un numéro d'identification d'un schéma XML à la place de ce schéma XML, et - des données associées à ce schéma XML, ledit schéma XML n'étant transmis qu'en cas d'une demande par l'application client.
  8. 8. Procédé selon la revendication 7, caractérisé en ce que chaque schéma XML au sein de l'application serveur est identifié par un numéro, la modification d'un schéma XML en génère un autre avec un nouveau numéro d'identification.
  9. 9. Procédé selon l'une quelconque des revendications 7 ou 8, caractérisé en ce qu'à chaque accès de l'application client à l'application serveur, on profite de cet accès pour mettre à jour l'état de différents services gérés par l'application client. 25
  10. 10. Procédé selon la revendication 9, caractérisé en ce que la mise à jour comprend une synchronisation entre l'application client et l'application serveur de données relatives à l'activation ou la suspension de services et de données de taxation de ces services. 30
  11. 11. Procédé selon l'une quelconque des revendications 7 à 10, caractérisé en ce qu'au sein du terminal de communication mobile, on comptabilise tout accès à l'application client par l'utilisateur, le nombre d'accès pour une période donnée étant ensuite transmis à l'application serveur lors d'une 35 session de communication ultérieure. 514
  12. 12. Procédé selon l'une quelconque des revendications 7 à 11, caractérisé en ce que l'application client indique l'état opérationnel de chaque service géré au moyen d'une icône graphique sur un écran du terminal de communication mobile.
  13. 13. Procédé selon la revendication 12, caractérisé en ce que l'état opérationnel comprend les états suivants : activé, suspendu, et non activé.
  14. 14. Système d'accès à un service comprenant une plateforme de services, io une plateforme de serveurs d'un opérateur de réseau mobile et un terminal de communication mobile ; caractérisé en ce que : - la plateforme de services comprend une application serveur, et - le terminal de communication mobile comprend une application client 15 associée à ladite application serveur par une communication de type client-serveur ; les applications client et serveur étant paramétrées pour qu'un accès par le terminal de communication mobile à un service de la plateforme de services soit réalisé en utilisant le procédé selon l'une quelconque des revendications précédentes. 20 17. Terminal de communication mobile caractérisé en ce que ce terminal comprend des fonctionnalités permettant de l'authentifier lors d'un accès à une plateforme de services en mettant en oeuvre le procédé selon l'une quelconque des revendications 1 à 13. 25 18. Terminal selon la revendication 15, caractérisé en ce qu'il comprend une application client permettant d'authentifier l'utilisateur du terminal mobile auprès de la plateforme de services et de la plateforme de serveurs de l'opérateur à partir de données contenues dans une mémoire dudit terminal 30 de communication mobile. 19. Terminal selon la revendication 16, caractérisé en ce que l'application client est paramétrée de façon à générer : - un premier flux de données pour une première authentification via un 35 premier canal de communication, et- un second flux de données pour une authentification complémentaire via un second canal de communication. 18. Terminal selon la revendication 17, caractérisé en ce que le premier canal et le second canal sont identiques. 19. Terminal selon la revendication 17, caractérisé en ce que le premier canal est un canal de signalisation, le second canal étant un canal de données. io 20. Terminal selon l'une quelconque des revendications 17 à 19, caractérisé en ce qu'il comprend une mémoire contenant des secrets cryptographiques utilisés lors de ladite première authentification. 21. Terminal selon la revendication 20, caractérisé en ce que ladite mémoire 15 dudit terminal de communication mobile contenant lesdits secrets cryptographiques est contenue dans une carte SIM. 22. Terminal selon l'une quelconque des revendications 17-21, caractérisé en ce que l'application client est paramétrée pour prendre en compte un code 20 confidentiel entré sur le terminal de communication mobile par l'utilisateur dudit terminal de communication mobile lors de la première authentification. 23. Terminal selon l'une quelconque des revendications 17-22, caractérisé en ce que l'application client est paramétrée pour prendre en compte une 25 caractéristique biométrique de l'utilisateur dudit terminal de communication mobile, notamment une empreinte digitale et/ou un fond d'oeil, lors de la première authentification. 24. Application du procédé selon l'une quelconque des revendications 1 à 13 3o pour l'accès à des chaînes de télévision payante. 25. Application du procédé selon l'une quelconque des revendications 1 à 13 pour l'accès à des services complémentaires dans un navigateur de type GPS.
FR0952816A 2009-04-29 2009-04-29 Procede d'authentification d'un terminal de communication mobile lors d'un acces a une plateforme de services via un reseau mobile Expired - Fee Related FR2945173B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0952816A FR2945173B1 (fr) 2009-04-29 2009-04-29 Procede d'authentification d'un terminal de communication mobile lors d'un acces a une plateforme de services via un reseau mobile

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0952816A FR2945173B1 (fr) 2009-04-29 2009-04-29 Procede d'authentification d'un terminal de communication mobile lors d'un acces a une plateforme de services via un reseau mobile

Publications (2)

Publication Number Publication Date
FR2945173A1 true FR2945173A1 (fr) 2010-11-05
FR2945173B1 FR2945173B1 (fr) 2012-06-29

Family

ID=41531706

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0952816A Expired - Fee Related FR2945173B1 (fr) 2009-04-29 2009-04-29 Procede d'authentification d'un terminal de communication mobile lors d'un acces a une plateforme de services via un reseau mobile

Country Status (1)

Country Link
FR (1) FR2945173B1 (fr)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1102157A1 (fr) * 1999-11-22 2001-05-23 Telefonaktiebolaget Lm Ericsson Méthode et procédé pour un enregistrement protégé dans un système de télécommunications

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1102157A1 (fr) * 1999-11-22 2001-05-23 Telefonaktiebolaget Lm Ericsson Méthode et procédé pour un enregistrement protégé dans un système de télécommunications

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SHINTARO MIZUNO ET AL: "AUTHENTICATION USING MULTIPLE COMMUNICATION CHANNELS", INTERNET CITATION, 11 November 2005 (2005-11-11), pages 54 - 62, XP002495045, ISBN: 978-1-59593-232-7, Retrieved from the Internet <URL:http://delivery.acm.org/> [retrieved on 20080909] *
STEFFEN GULLIKSTAD HALLSTEINSEN: "A study of user authentication using mobile phone", MASTER OF SCIENCE IN COMMUNICATION TECHNOLOGY, June 2007 (2007-06-01), Norwegian University of Science and Technology, Department of Telematics, XP002564891, Retrieved from the Internet <URL:http://daim.idi.ntnu.no/masteroppgaver/IME/ITEM/2007/3682/masteroppgave.pdf> [retrieved on 20100122] *

Also Published As

Publication number Publication date
FR2945173B1 (fr) 2012-06-29

Similar Documents

Publication Publication Date Title
EP3243176B1 (fr) Procédé de traitement d&#39;une transaction à partir d&#39;un terminal de communication
EP1909462B1 (fr) Procédé de mise à disposition cloisonnée d&#39;un service électronique
FR2820853A1 (fr) Procede et systeme de telepaiement
EP0973318A1 (fr) Procédé pour payer à distance, au moyen d&#39;un radiotéléphone mobile, l&#39;acquisition d&#39;un bien et/ou d&#39;un service, et système et radiotéléphone mobile correspondants
WO2000049585A1 (fr) Procede de telepaiement et systeme pour la mise en oeuvre de ce procede
WO2006021661A2 (fr) Procede d&#39;authentification securisee pour la mise en œuvre de services sur un reseau de transmission de donnees
WO2003056749A1 (fr) Procede de signature electronique
WO2015059389A1 (fr) Procede d&#39;execution d&#39;une transaction entre un premier terminal et un deuxieme terminal
FR2837953A1 (fr) Systeme d&#39;echange de donnees
FR3037754A1 (fr) Gestion securisee de jetons electroniques dans un telephone mobile
EP1983722A2 (fr) Procédé et système de sécurisation d&#39;accès internet de téléphone mobile, téléphone mobile et terminal correspondants
WO2003071760A1 (fr) Dispositif et procede d&#39;intermediation entre fournisseurs de services et leur utilisateurs
FR2945173A1 (fr) Procede d&#39;authentification d&#39;un terminal de communication mobile lors d&#39;un acces a une plateforme de services via un reseau mobile
FR2945140A1 (fr) Procede de suspension et d&#39;activation d&#39;un service dans un reseau mobile
EP2425388A1 (fr) Procede de taxation et d&#39;acces a un service depuis un terminal de communication mobile
FR2958428A1 (fr) Procede d&#39;execution d&#39;un premier service alors qu&#39;un deuxieme service est en cours d&#39;execution, au moyen d&#39;un terminal informatique equipe d&#39;une carte a circuit integre.
EP1578064A1 (fr) Procédé d&#39;accès à un service par l&#39;intermédiaire d&#39;un terminal relié à un réseau de communication
EP2320623B1 (fr) Procédé de fourniture d&#39;un service
FR2842380A1 (fr) Procede et systeme de gestion de la fourniture a un terminal de donnees gerees par un reseau externe, et equipement intermediaire correspondant
EP4320534A1 (fr) Méthode de contrôle d&#39;accès à un bien ou service distribué par un réseau de communication de données
EP3555829A1 (fr) Sécurisation de transaction
FR2822007A1 (fr) Procede et dispositifs de securisation d&#39;une session de communication
EP3360293A1 (fr) Moyens de gestion d&#39;accès à des données
FR3049369A1 (fr) Procede de transfert de transaction, procede de transaction et terminal mettant en œuvre au moins l&#39;un d&#39;eux
FR2930664A1 (fr) Procede et systeme de transaction de biens et/ou de services au moyen d&#39;un terminal via un reseau de communication

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

ST Notification of lapse

Effective date: 20200108