FR2956272A1 - password authentication for single use - Google Patents

password authentication for single use Download PDF

Info

Publication number
FR2956272A1
FR2956272A1 FR1050980A FR1050980A FR2956272A1 FR 2956272 A1 FR2956272 A1 FR 2956272A1 FR 1050980 A FR1050980 A FR 1050980A FR 1050980 A FR1050980 A FR 1050980A FR 2956272 A1 FR2956272 A1 FR 2956272A1
Authority
FR
France
Prior art keywords
parameters
device
set
password
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR1050980A
Other languages
French (fr)
Inventor
Regis Corbel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
France Telecom SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR1050980A priority Critical patent/FR2956272A1/en
Publication of FR2956272A1 publication Critical patent/FR2956272A1/en
Application status is Withdrawn legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/083Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

On propose un procédé de renouvellement de paramètres de génération de mots de passe dans une authentification par mot de passe à usage unique, d'un premier équipement auprès d'un deuxième équipement, dans laquelle des mots de passe sont générés par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, le deuxième équipement mettant en œuvre les étapes suivantes de: - réception d'une requête du premier équipement pour un renouvellement de l'ensemble de paramètres ; We propose a renewal method of generating passwords settings in authentication one-time password, a first device to a second device, in which passwords are generated by iterative application of password generation algorithm on a set of parameters, the second equipment implementing the following steps: - receiving a request from the first equipment for a renewal of all parameters; - génération d'un nouvel ensemble de paramètres pour générer des mots de passe, - transmission cryptée du nouvel ensemble de paramètres vers le premier équipement, et - réinitialisation du deuxième équipement avec le nouvel ensemble de paramètres généré. - generating a new set of parameters for generating passwords, - encrypted transmission of the new set of parameters to the first device, and - resetting the second device with the new set of parameters generated.

Description

Authentification par mot de passe à usage unique La présente invention concerne les techniques d'authentification par mot de passe à usage unique. single use password authentication Disclosed authentication techniques for single use password. Plus particulièrement, la présente invention concerne le renouvellement de paramètres utilisés pour la génération de tels mots de passe. More particularly, the present invention relates to the renewal of parameters used for the generation of such passwords. Les systèmes à mot de passe à usage unique sont décrits dans le document RFC2289 « A One-Time Password System ». single use password systems are disclosed in RFC2289 "A One-Time Password System". Dans les systèmes à mot de passe à usage unique (ou systèmes « OTP »), deux équipements ont chacun connaissance d'un ensemble de paramètres pour générer des mots de passe qui sont utilisés et transmis en clair pour l'authentification du premier équipement auprès du deuxième équipement. In password systems for single use (or systems "OTP"), two facilities each have knowledge of a set of parameters to generate passwords that are used and transmitted in the clear for the first device authentication to the second equipment. Le premier équipement est appelé « client », au sens où ce premier équipement requiert l'authentification, et le deuxième équipement est appelé « serveur » au sens où ce deuxième équipement est sollicité par le client pour répondre à la demande d' authentification. The first equipment is called "client" in the sense that the first device requires authentication, and the second device is called "server" in the sense that second gear is requested by the customer to meet demand authentication. Les paramètres pour générer les mots de passe, comportent une « graine » (« seed » dans le document RFC2289) qui est une chaîne de caractères ISO-646, un numéro de séquence par exemple compris entre 100 et 200, un mot de passe initial (ou «passphrase »), et un algorithme de génération de mots de passe (par exemple MD-5, SHA-1, ou autre). The parameters to generate the passwords, include a "seed" ( "seed" in the document RFC2289) which is a string of ISO-646 characters, a sequence number, for example between 100 and 200, an initial password (or "passphrase"), and an algorithm for generating passwords (eg MD-5, SHA-1, or other). En référence à la figure 1, on décrit une authentification par mot de passe à usage unique selon le document RFC2289. Referring to Figure 1 describes authentication one-time password according to the document RFC2289.

Un équipement client 10 souhaitant s'authentifier auprès d'un équipement serveur 11 de type OTP commence par s'identifier au moyen d'une commande de type « login » 12. S'il reconnaît le login fourni, le serveur répond avec un message 13 comportant la « graine » précitée, et le numéro de séquence N communs aux équipements. A customer equipment 10 wishing to authenticate to an OTP type server equipment 11 starts by identifying through a command of type "login" 12. While recognizing the provided login, the server responds with a message 13 having the "seed" supra, and the sequence number N common to the equipment. Le message peut par ailleurs comporter une indication de l'algorithme à utiliser pour générer un mot de passe (ou « OTP »). The message may also include an indication of the algorithm used to generate a password (or "OTP").

Le client génère ensuite lors de l'étape 14 un OTP de rang N (le nombre N étant le numéro de séquence fourni par le serveur). The client then generates at step 14 a row of N OTP (the number N is the sequence number provided by the server). A cet effet, le client concatène la graine et le mot de passe initial (« passphrase ») préalablement enregistré auprès du client. To this end, the client appends the seed and initial password ( "passphrase") previously registered with the customer. Le client calcule ensuite un condensé de la chaîne ainsi produite selon un algorithme tel que MD-5 ou SHA-1 par exemple. The client then computes a digest of the chain thus generated according to an algorithm such as MD-5 or SHA-1 for example. Cette opération, appelée « fonction de hachage sécurisée », est appliquée N fois. This operation, called "secure hash function" is applied N times. Le résultat final est l'OTP de rang N. Le client transmet l'OTP ainsi calculé au serveur dans un message 15. Le serveur qui connait le dernier OTP calculé et utilisé par le client dans une authentification précédente (c'est-à-dire le mot de passe obtenu en appliquant N+l fois la fonction de hachage sur la concaténation de la passphrase et de la graine), applique lors de l'étape 16 la fonction de hachage sécurisée une seule fois à l'OTP transmis par le client. The end result is the rank of OTP N. The client transmits the OTP thus calculated to the server in a message 15. The server knows the last OTP calculated and used by the customer in a previous authentication (that is, said password obtained by applying N + l times the hash function to the concatenation of the passphrase and seed), applied at step 16 the secure hash function once the OTP transmitted by the customer. On obtient ainsi le mot de passe de rang N+l (obtenu par application N+1 fois de la fonction de hachage). This gives the rank password N + l (obtained by applying N + 1 times the hash function). Si la valeur ainsi obtenue est égale au dernier bon OTP mémorisé, alors le client est authentifié car l'OTP qu'il a fourni montre qu'il possède le bon mot de passe initial. If the value obtained is equal to the last saved good WBS, then the client is authenticated because the OTP that he provided shows that it has the correct original password. Le serveur mémorise le nouveau dernier bon OTP utilisé (c'est-à-dire celui obtenu par application N fois de la fonction de hachage) puis décrémente la valeur du numéro de séquence, ce qui produira, lors de l'authentification suivante, un OTP différent. The server stores the last good new OTP used (that is to say that obtained by applying N times the hash function) and decrements the value of the sequence number, which occur during the next authentication, OTP different. De la sorte, le mot de passe initial n'est jamais transmis sur le réseau, et un même mot de passe OTP n'est jamais utilisé deux fois. Thus, the initial password is never transmitted over the network, and the same password OTP is never used twice. Le serveur renvoie alors un message 17 de confirmation de l'authentification. The server then returns a message 17 confirming authentication. Lorsque le numéro de séquence arrive à zéro suite aux décrémentations successives par le serveur, à la fois le client et le serveur ont besoin d'être réinitialisés. When the sequence number reaches zero following the successive decrements by the server, both the client and the server need to be reset. Le document RFC2289 prévoit que cette opération soit réalisée par un utilisateur (typiquement un administrateur du système). The RFC2289 document provides for this operation to be performed by a user (typically a system administrator). En effet, cette étape est très sensible puisqu'elle implique que le client et le serveur prennent connaissance des paramètres secrets pour la génération des mots de passe, en particulier le mot de passe initial. Indeed, this step is very sensitive because it implies that the client and server are aware of secret parameters for generating passwords, especially the initial password. Le besoin de cette étape de réinitialisation limite donc l'utilisation des systèmes OTP à des applications où l'intervention humaine est possible. The need for this step reset therefore limits the use of OTP systems for applications where human intervention is possible.

La présente invention vise notamment à offrir un système OTP permettant d'envisager une réinitialisation de machine à machine, sans intervention humaine. The present invention aims to provide an OTP system to consider a machine reset machine, without human intervention. A cet effet, selon un premier aspect de l'invention, on propose un procédé de renouvellement de paramètres dans une authentification par mot de passe à usage unique, d'un premier équipement auprès d'un deuxième équipement, dans laquelle des mots de passe sont générés par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, le deuxième équipement mettant en oeuvre les étapes suivantes de: - réception d'une requête du premier équipement pour un renouvellement de l'ensemble de paramètres ; To this end, in a first aspect of the invention we provide a parameter renewal process in an authentication password for single use, a first device to a second device, in which passwords are generated by iterative application of a password generation algorithm on a set of parameters, the second putting equipment out the following steps: - receiving a request from the first equipment for a renewal of all parameters ; - génération d'un nouvel ensemble de paramètres pour générer des mots de passe ; - generating a new set of parameters to generate passwords; - transmission cryptée du nouvel ensemble de paramètres vers le premier équipement ; - encrypted transmission of the new set of parameters to the first device; - réinitialisation du deuxième équipement avec le nouvel ensemble de paramètres générés. - resetting the second equipment with the new set of parameters generated. Ainsi, la réinitialisation des équipements est entièrement automatisée et ne nécessite pas d'intervention humaine. Thus, resetting equipment is fully automated and requires no human intervention. Contrairement à l'art antérieur où les équipements passent dans un état bloqué (numéro de séquence à zéro), l'équipement client (le premier équipement en l'occurrence) requiert une réinitialisation. Unlike the prior art where facilities pass in an off state (zero sequence number), the customer equipment (the first unit case) requires a reset. Cette dernière est opérée par le serveur (le deuxième équipement en l'occurrence) qui peut générer des nouveaux paramètres de manière aléatoire et les communiquer de manière cryptée vers le client, en utilisant une clé de chiffrement commune. The latter is operated by the server (second gear case) that can generate new random parameters and communicate in encrypted form to the client, using a common encryption key. Par exemple, la graine utilisée pour la génération des mots de passe est utilisée comme clé de chiffrement. For example, the seed used for generating passwords is used as the encryption key. Dans ce cas, on veille à ce que le deuxième équipement garde la graine secrète et ne la transmette pas durant les différentes authentifications (contrairement à ce qui est proposé par le document RFC2289). In this case, it is ensured that the second equipment guard the secret seed and does not transmit during different authentications (contrary to what is proposed by the document RFC2289). Afin de générer un nouveau mot de passe initial (ou passphrase), le deuxième équipement peut utiliser l'un au moins des éléments suivants : - un ensemble de caractères aléatoires, - une adresse MAC du deuxième équipement, - un dernier mot de passe utilisé avant la réception de la requête, et - un horodatage courant auprès du deuxième équipement. To generate a new initial password (or passphrase), the second device may use at least one of the following: - a set of random characters, - a MAC address of the second device - a last password used prior to receipt of the request, and - a current time stamp from the second device. Cela permet de rendre plus complexe le mot de passe initial selon des éléments particuliers et/ou en liaison avec le premier équipement. This will make it more complex the initial password by specific elements and / or in connection with the first equipment. Ainsi, le mot de passe initial est rendu plus robuste à des attaques de piratage. Thus, the initial password is made more robust to hacking attacks. Dans des modes de réalisation, pour la transmission du nouvel ensemble, le deuxième équipement émet vers le premier équipement une trame de données comportant : - un champ identifiant une réponse à la requête, - un champ comportant une adresse MAC du premier équipement, - un champ comportant un mot de passe à usage unique, et - un champ comportant le nouvel ensemble de paramètres crypté. In embodiments, for transmitting the new set, the second device transmits to the first device a frame of data comprising: - a field identifying a response to the request, - a field with a MAC address of the first device, - a field with a password for single use, and - a field with the new set of encrypted parameters. Dans des modes de réalisation, après la transmission du nouvel ensemble, le deuxième équipement se met en attente d'un message de confirmation de réception de l'ensemble de paramètres par le premier équipement, et dans le cas où la réception n'est pas confirmée, le deuxième équipement bloque toute authentification du premier équipement jusqu'à être réinitialisé. In embodiments, after transmitting the new set, the second unit waits a reception confirmation message of the set of parameters by the first device, and in the case where the reception is not confirmed, the second equipment blocks any authentication of the first equipment to be reset. Ainsi, on s'assure que l'équipement ayant reçu les nouveaux paramètres est bien le premier équipement puisqu'il a pu décrypter correctement les paramètres. Thus, it is ensured that the equipment receiving the new parameters is the first since equipment could correctly decipher the settings. Par exemple, les authentifications sont bloquées jusqu'à réinitialisation par un serveur d'authentification, ou par un administrateur. For example, authentication are blocked until reset by an authentication server, or by an administrator. Ainsi, on peut éviter de continuer les authentifications alors qu'un piratage éventuel ou une erreur ont pu survenir. Thus, one can avoid further authentication while a possible piracy or an error may have occurred. Selon un deuxième aspect de l'invention, on propose un procédé de renouvellement de paramètres dans une authentification par mot de passe à usage unique, d'un premier équipement auprès d'un deuxième équipement, dans laquelle des mots de passe sont générés par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, le premier équipement mettant en oeuvre les étapes suivantes de: - transmission d'une requête vers le deuxième équipement pour un renouvellement de l'ensemble de paramètres ; According to a second aspect of the invention we provide a parameter renewal process in an authentication password for single use, a first device to a second device, in which passwords are generated by application iterative password generating algorithm on a set of parameters, the first equipment implementing the steps of: - transmitting a request to the second equipment for a renewal of the set of parameters; - réception et décryptage du nouvel ensemble de paramètres crypté provenant du deuxième équipement ; - receiving and decrypting the encrypted new set of parameters from the second equipment; et - réinitialisation du premier équipement avec le nouvel ensemble de paramètres décrypté. and - resetting the first device with the new set of parameters decrypted. Par exemple, l'ensemble de paramètres comporte une graine gardée secrète par le premier équipement, et le premier équipement décrypte le nouvel ensemble en utilisant cette graine comme clé de chiffrement. For example, the set of parameters includes a seed kept secret by the first device and the first device decrypts the new set using this seed as the encryption key. Dans des modes de réalisation, après la réception du nouvel ensemble, le premier équipement transmet un message de confirmation de réception de l'ensemble de paramètres. In embodiments, after receiving the new set, the first device transmits a message of receiving the set of parameters confirmation. Par exemple, l'ensemble de paramètres comporte un paramètre de comptage représentant un nombre d'itérations de l'algorithme de génération de mot de passe à mettre en oeuvre pour générer un mot de passe, ledit paramètre étant mis à jour à chaque génération de mot de passe, et dans lequel la requête est transmise lorsque le paramètre de comptage indique que le nombre d'itérations à mettre en oeuvre est en dessous d'un seuil. For example, the set of parameters includes a parameter count representing a number of iterations of the password generation algorithm to be implemented for generating a password, said parameter being updated at each generation password, and wherein the request is transmitted when the count parameter indicates the number of iterations to be used is below a threshold. Selon d'autres aspects de l'invention, il est prévu : - des programmes d'ordinateur comportant des instructions pour la mise en oeuvre d'un procédé selon le premier aspect et/ou le deuxième aspect de l'invention lorsque le programme est exécuté par un processeur; According to other aspects of the invention, there is provided: - computer program comprising instructions for implementing a method according to the first aspect and / or the second aspect of the invention when the program is executed by a processor; - des supports lisibles par un ordinateur sur lequel sont enregistrés de tels programmes d'ordinateur ; - readable media a computer on which is recorded such computer programs; - des equipements configurés pour la mise en oeuvre de procédés selon le premier aspect et/ou le deuxième aspect de l'invention ; - the equipment configured for the implementation of methods according to the first aspect and / or second aspect of the invention; et - un système comportant des équipements pour la mise en oeuvre d'un procédé selon le premier aspect et le deuxième aspect de l'invention. and - a system with equipment for carrying out a method according to the first aspect and the second aspect of the invention. Un tel système met en oeuvre une authentification par mot de passe à usage unique, d'un premier équipement auprès d'un deuxième équipement, dans laquelle des mots de passe sont générés par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, et dans lequel l'ensemble de paramètres est renouvelé auprès du deuxième équipement, le premier équipement étant configuré pour transmettre une requête vers le deuxième équipement pour un renouvellement de l'ensemble de paramètres, et pour recevoir le nouvel ensemble de paramètres crypté provenant du deuxième équipement, et le deuxième équipement étant configuré pour recevoir la requête du premier équipement pour un renouvellement de l'ensemble de paramètres, pour générer le nouvel ensemble de paramètres pour générer des mots de passe, et pour transmettre de manière cryptée le nouvel ensemble de paramètres vers le premier équipement. This system implements authentication one-time password, a first device to a second device, in which passwords are generated by iterative application of a password generation algorithm a set of parameters, and wherein the parameter set is renewed to the second device, the first device being configured to transmit a request to the second device for a renewal of the set of parameters, and for receiving the new set of encrypted parameters from the second device, and the second unit being configured to receive the request from the first equipment for renewal of the set of parameters to generate the new set of parameters for generating passwords, and to transmit in encrypted form the new set of parameters to the first equipment.

Par exemple, le premier équipement comporte: - une unité de communication pour envoyer et recevoir des messages pour mettre en oeuvre une authentification par mot de passe à usage unique, et - une unité de traitement pour solliciter une authentification par mot de passe à usage unique auprès d'un autre équipement, ladite unité étant configurée pour générer des mots de passe par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, pour transmettre via l'unité de communication une requête vers l'autre équipement pour un renouvellement de l'ensemble de paramètres, et pour recevoir de manière cryptée via l'unité de communication le nouvel ensemble de paramètres transmis par l'autre équipement. For example, the first device comprises: - a communication unit for sending and receiving messages to implement authentication one-time password, and - a processing unit for requesting password authentication for single use with other equipment, said unit being configured to generate passwords by iterative application of a password generating algorithm on a set of parameters for transmitting via the communication unit a request to the other equipment for a renewal of all parameters and to receive encrypted manner via the communication unit the new set of parameters transmitted by the other device.

Par exemple, le deuxième équipement comporte : - une unité de communication pour envoyer et recevoir des messages pour mettre en oeuvre une authentification par mot de passe à usage unique, et - une unité de traitement pour authentifier un autre équipement sollicitant une authentification par mot de passe à usage unique, ladite unité étant configurée pour générer des mots de passe par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, pour renouveler ledit ensemble de paramètres sur réception par l'unité de communication d'une requête de l'autre équipement pour un renouvellement de l'ensemble de paramètres, et pour transmettre de manière cryptée via l'unité de communication le nouvel ensemble de paramètres vers l'autre équipement. For example, the second device comprises: - a communication unit for sending and receiving messages to implement authentication one-time password, and - a processing unit for authenticating another device seeking authentication password pass disposable, said unit being configured to generate passwords by iterative application of a password generating algorithm on a set of parameters, to renew said set of parameters received by the communication unit a request from the other device to a renewal of the set of parameters, and for transmitting an encrypted manner via the communication unit the new set of parameters to the other equipment. Les avantages procurés par le procédé selon le deuxième aspect, les programmes d'ordinateur, les supports lisibles par ordinateur, les équipements, et le système, tels que succinctement exposés ci-dessus, sont au moins identiques à ceux mentionnés plus haut en liaison avec le procédés selon le premier aspect. The advantages achieved by the method according to the second aspect, computer programs, computer readable media, equipment, and the system such as briefly described above, are at least identical to those mentioned above in connection with the methods according to the first aspect. D'autres caractéristiques et avantages de l'invention apparaîtront encore à la lecture de la description qui va suivre. Other features and advantages of the invention will appear from reading the following description. Celle-ci est purement illustrative et doit être lue en regard des dessins annexés sur lesquels, en outre la figure 1 : - la figure 2 illustre l'initialisation de deux équipements selon un mode de réalisation de l'invention ; This is purely illustrative and should be read with reference to the appended drawings wherein further in Figure 1: - Figure 2 illustrates the initialization of two devices according to one embodiment of the invention; - les figures 3a et 3b illustrent des messages échangés lors de l'initialisation; - Figures 3a and 3b illustrate the messages exchanged during initialization; - la figure 4 illustre l'authentification selon un mode de réalisation de l'invention ; - Figure 4 illustrates the authentication method according to an embodiment of the invention; - les figures 5a et 5b illustrent des messages échangés lors de l'authentification ; - Figures 5a and 5b illustrate the messages exchanged during authentication; - la figure 6 illustre la réinitialisation des équipements selon un mode de réalisation de l'invention ; - Figure 6 illustrates resetting equipment according to an embodiment of the invention; - les figures 7a, 7b, et 7c illustrent des messages échangés lors de la réinitialisation ; - Figures 7a, 7b, and 7c illustrate the messages exchanged during the reset; et - la figure 8 illustre schématiquement un système et des équipements selon un mode de réalisation de l'invention. and - Figure 8 schematically illustrates a system and equipment according to one embodiment of the invention. En référence à la figure 2, on décrit l'initialisation de deux équipements 20 et 21 pour la mise en oeuvre d'un procédé d'authentification selon un mode de réalisation de l'invention. Referring to Figure 2 describes the initialization of two devices 20 and 21 for the implementation of an authentication method according to an embodiment of the invention. Lors de la toute première initialisation (ou lors d'une réinitialisation suite au blocage des authentifications suite à une erreur ou une tentative de piratage), l'équipement 20 et l'équipement 21 se connectent à un serveur d'authentification 22. Le serveur d' authentification génère alors lors de l'étape 23 un ensemble initial de paramètres comportant une «passphrase », ou mot de passe initial (10 à 63 caractères tirés aléatoirement), une « graine » (1 à 16 caractères alphanumériques ISO-646), un numéro de séquence (un nombre entier tiré aléatoirement entre 100 et 200), et un algorithme de génération de mots de passe (MD-5 ou SHA-1 par exemple). During the first initialization (or during a reset following the blocking of authentication due to an error or a hacking attempt), equipment and equipment 20 21 connect to an authentication server 22. The server authentication then generates at step 23 an initial set of parameters including a "passphrase" or initial password (10 to 63 characters randomly chosen), a "seed" (1 to 16 alphanumeric characters ISO-646) , a sequence number (an integer randomly selected from between 100 and 200), and an algorithm for generating passwords (MD-5 or SHA-1, for example). Dans la suite on considère que l'équipement 20 agira en tant que client dans sa relation avec l'équipement 21 qui agira donc en tant que serveur. In the following we consider that the equipment 20 will act as the client in its relationship with the equipment 21 thus act as a server. Le premier équipement est appelé client, au sens où c'est l'équipement requérant l'authentification, et le deuxième équipement est appelé serveur dans le sens où il est sollicité par le client pour répondre à la demande d'authentification. The first equipment is called customer in the sense that it is the requesting device authentication, and the second is called server equipment in the sense that he was asked by the customer to meet the authentication request. Le serveur d'authentification transmet ensuite un message 24 vers l'équipement 20, selon un paquet de données tel que représenté sur la figure 3a. The authentication server then sends a message 24 to the equipment 20, according to a data packet as shown in Figure 3a. Le paquet comporte : - un champ 30 d'un octet identifiant le type de paquet transmis. The package comprises: - a field 30 of a byte identifying the transmitted packet type. Dans le présent cas, il s'agit d'un message d' initialisation qui peut être identifié par la chaîne « AUTH_INIT », - un champ 31 de 6 octets identifiant l'adresse MAC de l'équipement 20 qui par la suite communiquera avec l'équipement 21, ce champ vise à éviter toute ambigüité en cas de présence de plusieurs équipements clients, - un champ 32 de 64 octets comportant la passphrase générée, - un champ 33 d'un octet comportant une identification de l'algorithme de génération de mots de passe à utiliser, - un champ 34 de 16 octets comportant la graine générée, et - un champ 35 de 2 octets comportant le numéro de séquence généré. In this case, it is a message of initialization that can be identified by the "AUTH_INIT" chain - a field 31, 6 bytes identifying the MAC address of the device 20 which subsequently contact equipment 21, this field is to avoid ambiguity in the case of presence of several client devices, - a field 32 of 64 bytes having the passphrase generated, - a field 33 of one byte including an identification of the generating algorithm passwords to use, - a field 34 of 16 bytes including the generated seed, and - a field 35 of 2 bytes including the generated sequence number.

Le serveur d'authentification envoie également un message 25 identique au message 24 à l'équipement 21. Alternativement, le serveur d'authentification calcule un premier mot de passe à usage unique (OTP) en appliquant un nombre de fois égal au numéro de séquence l'algorithme de génération de mot de passe sur la concaténation de la passphrase et de la graine, selon la technique décrite dans le document RFC2289, puis il transmet un message 25 vers l'équipement 21. Ce message est similaire au message 24 mais à la place de comporter un champ pour la passphrase, il comporte un champ de 8 octets pour le premier OTP calculé. The authentication server also sends a message 25 identical to the message 24 to the device 21. Alternatively, the authentication server calculates a first password (OTP) by applying a number of times equal to the sequence number the password generation algorithm on the concatenation of the passphrase and seed, using the technique described in the document RFC2289, then it sends a message 25 to the device 21. This message is similar to the message but at 24 instead of comprising a field for the passphrase, it comprises a 8-byte field for the first calculated OTP. Ainsi, on garde la passphrase secrète même pour le serveur. Thus, we keep the same secret passphrase for the server. Sur réception des messages 24 et 25, les équipements stockent dans des étapes 26 et 27 les paramètres reçus et passent dans l'état initialisé. On receiving messages 24 and 25, equipment store in steps 26 and 27, the received settings and pass into the initialized state. Ils renvoient alors des messages 28 et 29 vers le serveur d'authentification pour confirmer l'initialisation, selon un paquet de données représenté sur la figure 3b comportant : - un champ 36 d'un octet identifiant le type de paquet transmis. They then return messages 28 and 29 to the authentication server to confirm the initialization, according to a data packet shown in Figure 3b comprising: - a field 36 of a byte identifying the transmitted packet type. Dans le présent cas, il s'agit d'un message de confirmation qui peut être identifié par la chaîne « AUTH_INIT_ACK », - un champ 37 de 6 octets identifiant l'adresse MAC de l'équipement 20, - un champ 38 d'un octet comportant la réponse à la réception des paramètres, ce champ peut être « ACK » ou « 1 » pour confirmer que l'initialisation s'est déroulée correctement, ou « NACK » ou « 0 » pour informer que l'initialisation n'a pas pu avoir lieu, et - un champ 39 d'un octet pour fournir des informations complémentaires, par exemple en cas de non- confirmation. In this case, it is a confirmation message that can be identified by the "AUTH_INIT_ACK" chain - a field of 37 6 bytes identifying the MAC address of the device 20 - a field 38 of a byte comprising the response to receiving the parameters, this field may be "ACK" or "1" to confirm the initialization is successful, or "NACK" or "0" to inform that initialization n ' has not taken place, and - a field 39 of one byte to provide additional information, for example in case of non confirmation. Une fois les messages 28 et 29 envoyés, et l'initialisation confirmée, les équipements 20 et 21 se déconnectent du serveur 22. Ce processus de première initialisation est sensible, dans la mesure où des paramètres permettant de générer les OTP sont transmis vers le client et le serveur. After 28 to 29 sent messages, and confirmed initialization, equipment 20 and 21 disconnect from the server 22. The first initialization process is sensitive, since parameters to generate the OTP are transmitted to the client and server. Afin de garantir la confidentialité des échanges lors de ce processus, on peut envisager de réaliser les communications dans un flux Https. To ensure the confidentiality of exchanges during this process, one can envisage making communications in https flow. On peut prévoir d'autres modes de communication confidentielle alternatifs connus de la personne du métier. We can provide other confidential alternative communication methods known to the skilled person. En référence à la figure 4, on décrit une authentification par mot de passe à usage unique selon un mode de réalisation de l'invention. Referring to Figure 4 describes authentication one-time password according to an embodiment of the invention. On suppose que l'équipement client 40 et l'équipement serveur 41 ont été initialisés selon un processus tel que décrit ci-avant. Assume that the client device 40 and server device 41 have been initialized in a process as described above. Les deux équipements sont donc dans l'état initialisé, et chacun possède les paramètres nécessaires pour générer les mots de passe à partir du mot de passe initial, et le serveur connait le mot de passe généré par application N fois de l'algorithme de génération de mots de passe sur la concaténation passphrase/graine (N étant le numéro de séquence fourni lors de l'initialisation). The two devices are therefore in the initialized state, and each has the necessary parameters to generate passwords from the initial password, and the server knows the password generated by applying N times of the generation algorithm passwords on the concatenation passphrase / seed (where N is the sequence number provided during initialization). Lors de l'étape 42, le client applique N fois l'algorithme sur la concaténation de la passphrase et de la graine. In step 42, the client applies the algorithm N times on the concatenation of the passphrase and seed. Il obtient ainsi le premier OTP. He obtained the first WBS. Il envoie alors un message de connexion 43 vers le serveur avec comme arguments l'adresse MAC du client et le premier OTP généré. It then sends a connection message 43 to the server with arguments as the MAC address of the client and the first generated OTP. Le message peut être envoyé selon le paquet de données représenté par la figure 5a comportant : - un champ 51 d'un octet identifiant le type de paquet transmis. The message may be sent depending on the data packet represented by Figure 5a comprising: - a field 51 of a byte identifying the transmitted packet type. Dans le présent cas, il s'agit d'un message d'authentification qui peut être identifié par la chaîne « AUTH_DATA », - un champ 52 de 6 octets identifiant l'adresse MAC de l'équipement 40, et - un champ 53 de 8 octets comportant l'OTP. In this case, it is an authentication message which can be identified by the "AUTH_DATA" chain - a field of 52 6 bytes identifying the MAC address of the device 40, and - a field 53 8 bytes comprising the OTP.

L' OTP va permettre au serveur d'authentifier le client en vérifiant que l'OTP fourni correspond à l'OTP qui lui a été transmis lors de l'initialisation. The OTP will allow the server to authenticate the client by verifying that the OTP provided corresponds to the OTP that was transmitted to it during initialization. Lors de l'étape 44, le serveur compare l'OTP reçu du client avec soit l'OTP reçu lors de l'initialisation s'il s'agit de la première fois que le client transmet un OTP ou soit avec le résultat de l'application (une seule fois) de l'algorithme sur le dernier OTP reçu sinon. In step 44, the server compares the OTP received from the client with either the OTP received during initialization if this is the first time the client sends an OTP or or with the result of the application (one time) of the algorithm on the last OTP received otherwise. Si l'OTP est reconnu, le serveur décrémente le numéro de séquence et stocke l'OTP reçu. If the OTP is recognized, the server decrements the sequence number, and stores the received OTP. Le serveur renvoie alors un message 45 de réponse pour confirmer ou non l'authentification. The server then returns a message 45 reply to confirm or not authentication. Ce message peut être transmis selon le paquet de données représenté par la figure 5b comportant : - un champ 54 d'un octet identifiant le type de paquet transmis. This message can be transmitted according to the data packet shown in Figure 5b comprising: - a field 54 of a byte identifying the transmitted packet type. Dans le présent cas, il s'agit d'un message de confirmation qui peut être identifié par la chaîne « AUTH_DATA_ACK », - un champ 55 de 6 octets identifiant l'adresse MAC de l'équipement 40, - un champ 56 de 8 octets comportant l'OTP précédemment transmis par l'équipement 40, - un champ 57 d'un octet comportant la réponse à la réception de la requête 43, ce champ peut être « ACK » ou « 1 » pour confirmer l'authentification, ou «NACK » ou « 0 » pour informer que l'équipement 40 n'a pas été authentifié, et - un champ 58 d'un octet pour transmettre d'autres informations précisant les raisons de l'échec d'authentification par exemple. In this case, it is a confirmation message that can be identified by the "AUTH_DATA_ACK" chain - a field of 55 6 bytes identifying the MAC address of the device 40 - a field of 56 8 bytes comprising the OTP previously transmitted by the device 40, - a field 57 of one byte having the response to receipt of the request 43, this field may be "ACK" or "1" to confirm authentication, or "NACK" or "0" to inform the equipment 40 has not been authenticated, and - a field 58 of one byte to transmit other information specifying the reasons for the authentication failure for example. Si l'équipement 40 est authentifié, après réception du message 45, le client décrémente le numéro de séquence reçu lors de l'initialisation, et les communications entre l'équipement 40 et l'équipement 41 peuvent continuer, par exemple conformément au document RFC2289, jusqu'à ce que le numéro de séquence tombe en-dessous d'un certain seuil suite aux décrémentations successives. If the device 40 is authenticated, after receiving the message 45, the client decrements the sequence number received during initialization, and communications between the equipment 40 and equipment 41 can continue, for example according to document RFC2289 until the sequence number falls below a certain threshold following the successive decrements. L'équipement 40 garde trace des messages 43 envoyés de façon à les apparier avec les messages 45 reçus en comparant les champs 53 et 56 contenant l'OTP. The equipment 40 keeps track of 43 messages sent in order to match them with the messages 45 received by comparing the fields 53 and 56 containing the OTP. Si, au contraire, l'authentification a échoué, le champ 57 vaut « NACK » ou « 0 » et le champ 58 indique la raison éventuellement identifiée. If, however, the authentication failed, the field 57 is "NACK" or "0" and the field 58 indicates the possibly identified reason. L' authentification peut échouer pour différents raisons, 30 notamment : - si l'équipement 41 n'est pas initialisé, - si l'adresse MAC est inconnue, ou - si l'OTP est incorrect. Authentication can fail for various reasons, 30 including: - 41 if the equipment is not initialized, - if the MAC address is unknown, or - if the OTP is incorrect.

Selon ces différents cas, les équipements pourront notifier l'échec à une entité de gestion distante ou passer dans un état non-initialisé qui bloque les authentifications du client auprès du serveur. According to these cases, the equipment will notify the failure to a remote management entity or pass in a non-initialized state that blocks the authentication of the client to the server. A chaque nouvelle authentification, les équipements calculent l'OTP suivant et décrémentent le numéro de séquence, comme décrit dans le document RFC2289. With each new authentication, equipment calculates the next OTP and decrement the sequence number, as described in RFC2289.

On peut toutefois noter ici, que contrairement au document RFC2289, la graine n' est jamais échangée entre les équipements. However, it is noted here that unlike the RFC2289 document, the seed is never exchanged between devices. Elle reste donc secrète. It remains a secret. Comme on le verra par la suite, cette graine pourra être utilisée pour la réinitialisation des équipements. As discussed later, this seed can be used to reset the equipment. En référence à la figure 6, on décrit la réinitialisation de deux équipements 600 et 601 lorsque le numéro de séquence tombe en dessous d'un seuil prédéterminé suite aux différentes décrémentations opérées par les équipements. Referring to Figure 6, describes the reset both devices 600 and 601 when the sequence number falls below a predetermined threshold as variously decrements made by the equipment. Par exemple, le seuil correspond à un nombre d'OTP encore nécessaires pour les échanges de messages lors de la phase de réinitialisation. For example, the threshold corresponds to a number of OTP still required to exchange messages during the reset phase. On peut aussi prévoir un seuil légèrement supérieur pour s'assurer qu'il reste assez d'OTP à générer pour l'échange de messages lors de la réinitialisation. One can also provide a slightly higher threshold to ensure that there is enough to generate OTP for exchanging messages at reboot.

Lors de l'étape 602, l'équipement client compare le numéro de séquence courant à un seuil. In step 602, the client device compares the current sequence number with a threshold. Par exemple 2. Lorsque le numéro de séquence atteint le nombre 2 suite aux différentes décrémentations, cela signifie que seuls deux OTP peuvent encore être générés. For example, 2. When the sequence number reaches the number 2 following the various decrements, this means that only two OTP can still be generated. Si le seuil est atteint, le client envoie une requête de renouvellement 603 au serveur. If the threshold is reached, the client sends a renewal request 603 to the server. Cette requête peut par exemple être transmise selon le paquet représenté sur la figure 7a comportant : - un champ 701 d'un octet identifiant le type de paquet transmis. This request may for example be transmitted in the packet shown in Figure 7a, comprising: - a field 701 of a byte identifying the transmitted packet type. Dans le présent cas, il s'agit d'un message de demande de nouveaux paramètres qui peut être identifié par la chaîne « AUTH_RENEW_REQ », - un champ 702 de 6 octets identifiant l'adresse MAC de l'équipement 600, et - un champ 703 de 8 octets comportant un OTP. In this case, there is a new parameter request message that can be identified by the "AUTH_RENEW_REQ" chain - a field 702 of 6 bytes identifying the equipment MAC address 600, and - field 703 of 8 bytes including an OTP.

Sur réception du message 603, le serveur vérifie l'OTP lors de l'étape 604 conformément au document RFC2289 puis génère lors de l'étape 605 un ensemble de nouveaux paramètres pour la génération de mots de passe à usage unique. On receiving the message 603, the server verifies the OTP in step 604 according to the document RFC2289 then generates in step 605 a set of new parameters for generating passwords for single use. Le serveur génère notamment: - une nouvelle passphrase, - une nouvelle graine, et - un nouveau numéro de séquence. The server generates include: - a new passphrase - a new seed, and - a new sequence number. Par exemple, pour générer la passphrase, le serveur utilise le dernier OTP enregistré, l'horodatage courant ou d'autres informations. For example, to generate the passphrase, the server uses the last recorded OTP, the current time stamp or other information.

Le serveur crypte ensuite les paramètres lors de l'étape 606 selon des techniques connues par exemple en utilisant les algorithmes AES256 ou 3DES. The server then encrypts the parameters in step 606 according to known techniques for example using the AES256 algorithms or 3DES. Par exemple, le serveur utilise la graine précédemment utilisée pour générer les OTP comme clé de chiffrement. For example, the server uses the seed previously used to generate the OTP as the encryption key. En effet, comme déjà indiqué ci-avant, la graine peut rester secrète au cours des authentifications. Indeed, as already indicated above, the seed can remain concealed during authentications. La graine n'a été transmise que lors de la phase d'initialisation vers le client et le serveur. The seed that was transmitted during the initialization phase to the client and the server. Ainsi, les deux équipements partagent cette information. Thus, the two devices share the information. Cette information est donc secrète et évolue au cours des différentes réinitialisations des équipements. This information is secret and evolves during the different resets the equipment. Elle offre donc des avantages à être utilisée comme clé de chiffrement. It therefore offers advantages for use as an encryption key. Le serveur transmet ensuite au client les paramètres cryptés dans un message 607 selon le paquet illustré par la figure 7b comportant : - un champ 704 d'un octet identifiant le type de paquet transmis. The server then transmits to client encrypted parameters in message 607 according to the package shown in Figure 7b comprising: - a field 704 of a byte identifying the transmitted packet type. Dans le présent cas, il s'agit d'un message de transmission de paramètres qui peut être identifié par la chaîne « AUTH_RENEW_RESP », - un champ 705 de 6 octets identifiant l'adresse MAC de l'équipement 600, - un champ 706 de 8 octets comportant l' OTP précédemment transmis par l'équipement 600, et - un champ 707 d'autant d'octets que nécessaire pour comporter les paramètres cryptés. In this case, it is a message transmission parameters that can be identified by the "AUTH_RENEW_RESP" chain - a field 705 identifying the 6-byte MAC address of the device 600 - a field 706 8 bytes with the OTP previously transmitted by the device 600, and - a field 707 as many bytes as necessary to contain the encrypted parameters.

Sur réception du message 607, le client décrypte les paramètres lors de l'étape 608. On peut prévoir que le client n'accepte de traiter le message 607 que s'il a précédemment envoyé une requête de demande de nouveaux paramètres. On receiving the message 607, the client decrypts the parameters in step 608. It is anticipated that the customer agrees to process the message 607 if it has previously sent a request to request new settings. Afin de décrypter les nouveaux paramètres le client utilise la clé commune, par exemple la dernière graine utilisée pour générer les OTP. To decrypt the new parameters the client uses the common key, for example the last seed used to generate the OTP. Le client enregistre ensuite les nouveaux paramètres et répond un message 609 pour confirmer la réception des paramètres. The client then save the settings and addresses a message 609 to confirm receipt of the parameters. Le message 609 comporte par exemple les champs suivant du paquet représenté sur la figure 7c : - un champ 708 d'un octet identifiant le type de paquet transmis. The message 609 comprises for example the following fields of the packet shown in Figure 7c: - a field 708 of a byte identifying the transmitted packet type. Dans le présent cas, il s'agit d'un message de confirmation qui peut être identifié par la chaîne « AUTH_RENEW_ACK », - un champ 709 de 6 octets identifiant l'adresse MAC de l'équipement 600, -un champ 710 de 8 octets comportant le dernier OTP généré à partir des anciens paramètres, - un champ 711 d'un octet comportant la réponse à la réception des nouveaux paramètres, ce champ peut être « ACK » ou « 1 » pour confirmer la réception, ou « NACK » ou « 0 » pour informer que les paramètres n'ont pas été reçus ou décryptés, et - un champ 712 d'un octet pour transmettre d'autres informations précisant les raisons de l'échec de réception ou de décryptage par exemple. In this case, it is a confirmation message that can be identified by the "AUTH_RENEW_ACK" chain - a field 709 identifying the 6-byte MAC address of the device 600, 710-a field of 8 bytes containing the last OTP generated from the old settings, - a field 711 of one byte having the response to receipt of the new parameters, this field may be "ACK" or "1" to confirm receipt, or "NACK" or "0" to inform that the parameters have not been received and decrypted, and - a field 712 a byte to transmit other information specifying the reasons for the failure of receipt or decryption for example. Des programmes d'ordinateur comportant des instructions pour la mise en oeuvre des procédés selon l'invention peuvent être réalisés selon un algorithme général déduit de l'organigramme général de la figure 6, et de la présente description détaillée. computer programs comprising instructions for implementing the methods of the invention can be made according to a general algorithm deduced from the general flow chart of Figure 6, and this detailed description.

Par exemple, un programme d'authentification par mot de passe à usage unique côté client peut-être réalisé selon le pseudo-code suivant : RENEW_AUTHQ SI (SEQ = 2) ALORS RENEW_PARAM ; For example, an authentication program with a password to unique client-side use can be made according to the following pseudo code: IF RENEW_AUTHQ (SEQ = 2) THEN RENEW_PARAM; FIN; END; SI (RECEP_NEW_PARAM = VRAI) ALORS DECRYPT(PARAM, GRAINE) -* NEW_PARAM; IF (RECEP_NEW_PARAM = TRUE) THEN DECRYPT (PARAM, SEED) - * NEW_PARAM; STOCK(NEW_PARAM); STOCK (NEW_PARAM); SI (ERREUR) ALORS NACK_RECEP; IF (ERROR) THEN NACK_RECEP; FAUX -* RECEP_NEW_PARAM ; FALSE - * RECEP_NEW_PARAM; FAUX -* ERREUR ; FALSE - * ERROR; SINON ACK_RECEP; IF ACK_RECEP; NEW_PARAM -*PARAM_COURANT ; NEW_PARAM - * PARAM_COURANT; FAUX -* RECEP_NEW_PARAM ; FALSE - * RECEP_NEW_PARAM; 20 FIN La fonction RENEW_AUTH() consiste à veiller au renouvellement des paramètres nécessaire à la génération des mots de passe. 20 END The RENEW_AUTH () function is to ensure the renewal of the parameters required for generating passwords. A cet effet, lorsque le paramètre SEQ correspondant au numéro de séquence devient égal à 2, la fonction RENEW_PARAM est appelée. To this end, when the SEQ parameter corresponding to the sequence number becomes equal to 2, the RENEW_PARAM function is called. Cette fonction assure l'envoi d'un message de requête de renouvellement de paramètres comme décrit ci-avant. This function ensures the sending of a message parameter renewal request as described above. Lorsque les nouveaux 25 paramètres PARAM sont reçus, une variable booléenne RECEP_NEW_PARAM passe à VRAI, et lorsque cette variable a la valeur VRAI, la fonction DECRYPTA est appelée pour décrypter les paramètres reçus. When the new 25 PARAM parameters are received, a Boolean variable RECEP_NEW_PARAM pass TRUE, and when this variable has the value TRUE, the Decrypta function is called to decrypt the received settings. La fonction DECRYPTA prend en arguments les paramètres cryptés, et la clé de chiffrement, par exemple la graine GRAINE des paramètres courant. The Decrypta function takes as argument parameters encrypted and the encryption key, for example the seed SEED current settings. Les paramètres décryptés sont alors stockés dans la variable NEW_PARAM. The decoded parameters are then stored in the variable NEW_PARAM. Cette variable est ensuite enregistrée en mémoire par la fonction 30 STOCKA. This variable is then stored in memory by the function 30 STOCKA. En effet, les nouveaux paramètres ne seront utilisés qu'à partir du moment où la réception aura été confirmée. Indeed, the new settings will only be used from the time of receipt is confirmed. Dans le processus de décryptage, si une erreur survient, la variable booléenne ERREUR passe à VRAI et la fonction NACK_ERREUR est appelée pour transmettre un message d'échec comme 10 15 FIN ; In the decryption process, if an error occurs, the boolean variable ERROR changes to TRUE and NACK_ERREUR function is called to transmit a failure message as 10 15 FIN; FIN ; END; décrit ci-avant, et la variable ERREUR est alors remise à FAUX. described above, and the ERROR variable is then reset to FALSE. Sinon la variable ERREUR reste à FAUX, et la fonction ACK_RECEP est appelée pour transmettre un message de confirmation comme décrit ci-avant. Otherwise the ERROR variable remains FALSE, and ACK_RECEP function is called to transmit a confirmation message as described above. En outre, les paramètres reçus et décryptés remplacent alors les paramètres courants et sont dorénavant utilisés pour s'authentifier auprès du serveur. In addition, the received and decrypted settings override the current settings and are now used to authenticate to the server. La variable RECEP_NEW_PARAM est repassée à FAUX. The RECEP_NEW_PARAM variable is passed back to FALSE. Par exemple encore, un programme d'authentification par mot de passe à usage unique côté serveur peut-être réalisé selon le pseudo-code suivant : GEN_AUTHQ SI(RENEW_PARAM) ALORS GEN_PARAM (OTP_COURANT, HORDATA ; MAC_CLNT) -*PARAM ; As a further example, an authentication program unique server-side use password can be made according to the following pseudo code: IF GEN_AUTHQ (RENEW_PARAM) THEN GEN_PARAM (OTP_COURANT, HORDATA; MAC_CLNT) - * PARAM; CRYPTO(PARAM, GRAINE)-*NEW_PARAM ; CRYPTO (PARAM, SEED) - * NEW_PARAM; TRANS(NEW_PARAM, MAC_CLNT) ; TRANS (NEW_PARAM, MAC_CLNT); FIN; END; FIN; END; La fonction GEN_AUTHQ génère et transmet des nouveaux paramètres de génération de mots de passe sur requête du client. The GEN_AUTHQ function generates and transmits new passwords generation parameters on client request. Lorsqu'une requête est reçue, la variable booléenne RENEW_PARAM passe à VRAI et la fonction GEN_PARAMQ est alors appelée. When a request is received, the Boolean variable TRUE RENEW_PARAM passes and GEN_PARAMQ function is called. Cette fonction prend en arguments, l'OTP courant, les informations d'horodatage courantes, et l'adresse MAC du client pour générer les nouveaux paramètres comme déjà décrit ci-avant. This function takes as arguments, the current OTP, the current timestamp information, and the client's MAC address to generate the new settings as already described above. Ces nouveaux paramètres sont stockés dans la variable PARAM. These new settings are stored in the PARAM variable.

La fonction CRYPTOQ est ensuite appelée pour crypter les paramètres générés en utilisant par exemple la graine des paramètres courant comme clé de chiffrement. The CRYPTOQ function is then called to encrypt the parameters generated by using for example the seed of the current settings as the encryption key. Les paramètres cryptés sont ensuite transmis vers le client en utilisant la fonction TRANS() qui prend en argument les paramètres cryptés et l'adresse MAC du client. Encrypted parameters are then transmitted to the client using the TRANS () function that takes as arguments the encrypted parameters and the client's MAC address. Lorsque le client enverra la confirmation de la réception des paramètres, le serveur stockera les paramètres générés à la place des paramètres courants. When the client will send the confirmation of receipt of the parameters, the server will store the parameters generated in place of the current settings.

La figure 8 illustre schématiquement un système d'authentification selon un mode de réalisation de l'invention. 8 schematically illustrates an authentication system according to an embodiment of the invention. Le système comporte un équipement 80 appelé client et un équipement 84 appelé serveur. The system includes 80 equipment called a client and a server 84 called equipment. L'équipement 80 comporte une unité de traitement 81 pour s'authentifier auprès de l'équipement 84 selon un procédé selon la présente invention. The equipment 80 comprises a processing unit 81 to authenticate the equipment 84 according to a method according to the present invention. A cet effet il dispose d'une unité de mémoire 82. Cette unité de mémoire peut comporter différents types de mémoire. To this end it has a memory unit 82. The memory unit may include different types of memory. Par exemple l'unité de mémoire comporte une mémoire pour stocker des données de calcul. For example, the memory unit comprises a memory for storing computational data. L'unité de mémoire peut également comporter une mémoire pour le stockage d'un programme d'ordinateur selon la présente invention pour son exécution par un processeur de l'unité de traitement. The memory unit may also comprise a memory for storing a computer program according to the present invention for execution by a processing unit processor. L'équipement comporte en outre une unité de communication 83 pour communiquer notamment avec l'équipement 84 ou un serveur d'authentification par exemple via un réseau de communication (non représenté). The equipment further comprises a communication unit 83 for communicating with the particular equipment 84 or an authentication server for example via a communication network (not shown). L'équipement 84 comporte une unité de traitement 85 pour authentifier l'équipement 80 selon un procédé selon la présente invention. The equipment 84 comprises a processing unit 85 for authenticating the device 80 according to a method according to the present invention. A cet effet il dispose d'une unité de mémoire 86. Cette unité de mémoire peut comporter différents types de mémoire. To this end it has a memory unit 86. The memory unit may include different types of memory. Par exemple l'unité de mémoire comporte une mémoire pour stocker des données de calcul. For example, the memory unit comprises a memory for storing computational data. L'unité de mémoire peut également comporter une mémoire pour le stockage d'un programme d'ordinateur selon la présente invention pour son exécution par un processeur de l'unité de traitement. The memory unit may also comprise a memory for storing a computer program according to the present invention for execution by a processing unit processor. L'équipement comporte en outre une unité de communication 87 pour communiquer notamment avec l'équipement 80 ou un serveur d'authentification par exemple via un réseau de communication (non représenté). The equipment further comprises a communication unit 87 for communicating with the particular equipment 80 or an authentication server for example via a communication network (not shown). La présente invention a été décrite et illustrée dans la présente description détaillée et dans les figures. The present invention has been described and illustrated in this detailed description and in the figures. La présente invention ne se limite pas aux formes de réalisation présentées. The present invention is not limited to the embodiments presented. D'autres variantes et modes de réalisation peuvent être déduits et mis en oeuvre par la personne du métier à la lecture de la présente description et des figures annexées. Other variants and embodiments can be derived and implemented by the skilled person reading this description and the appended figures.

Dans les revendications, le terme "comporter" n'exclut pas d'autres éléments ou d'autres étapes. In the claims, the term "comprise" does not exclude other elements or other steps. L' article indéfini « un » n' exclut pas le pluriel. The indefinite article "a" does not exclude the plural. Un seul processeur ou plusieurs autres unités peuvent être utilisées pour mettre en oeuvre l'invention. A single processor or other unit may be used to implement the invention. Les différentes caractéristiques présentées et/ou revendiquées peuvent être avantageusement combinées. The various features disclosed and / or claimed may be advantageously combined. Leur présence dans la description ou dans des revendications dépendantes différentes, n'excluent pas cette possibilité. Their presence in the description or in different dependent claims does not exclude this possibility. Les signes de référence ne sauraient être compris comme limitant la portée de l'invention. Reference signs should not be understood as limiting the scope of the invention.

Claims (11)

  1. REVENDICATIONS1. REVENDICATIONS1. Procédé de renouvellement de paramètres de génération de mots de passe dans une authentification par mot de passe à usage unique, d'un premier équipement auprès d'un deuxième équipement, dans laquelle des mots de passe sont générés par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, le deuxième équipement mettant en oeuvre les étapes suivantes de: - réception d'une requête (603) du premier équipement pour un renouvellement de l'ensemble de paramètres ; The process of renewal generation passwords parameters in an authentication password for single use, a first device to a second device, in which passwords are generated by iterative application of an algorithm password generating a set of parameters, the second equipment implementing the steps of: - receiving a request (603) of the first equipment for renewal of the set of parameters; - génération d'un nouvel ensemble de paramètres (604) pour générer des mots de passe ; - generating a new set of parameters (604) to generate passwords; - transmission cryptée (606, 607) du nouvel ensemble de paramètres vers le premier équipement ; - encrypted transmission (606, 607) the new set of parameters to the first device; et - réinitialisation du deuxième équipement (611) avec le nouvel ensemble de paramètres générés. and - resetting the second device (611) with the new set of parameters generated.
  2. 2. Procédé selon la revendication 1, dans lequel l'ensemble de paramètres comporte une graine gardée secrète par le deuxième équipement, et dans lequel le nouvel ensemble est transmis selon un cryptage utilisant ladite graine comme clé de chiffrement. 2. The method of claim 1, wherein said set of parameters comprises a seed kept secret by the second unit, and wherein the new set is transmitted according to an encryption using said seed as the encryption key. 15 15
  3. 3. Procédé selon la revendication 1, dans lequel l'ensemble de paramètres comporte un mot de passe initial, et dans lequel la génération du nouvel ensemble comporte la génération d'un nouveau mot de passe initial à partir de l'un au moins des éléments suivants : - un ensemble de caractères aléatoires, - une adresse MAC du deuxième équipement, 20 - un dernier mot de passe utilisé avant la réception de la requête, et - un horodatage courant auprès du deuxième équipement. 3. The method of claim 1, wherein the parameter set includes an initial password, and wherein generating the new set includes generating a new initial password from the at least one of following elements: - a set of random characters, - a MAC address of the second device 20 - a last password used prior to receipt of the request, and - a current time stamp from the second device.
  4. 4. Procédé selon la revendication 1, dans lequel, pour la transmission du nouvel ensemble, le deuxième équipement émet vers le premier équipement une trame de données comportant : 25 - un champ (704) identifiant une réponse à la requête, - un champ (705) comportant une adresse MAC du premier équipement, - un champ (706) comportant un mot de passe à usage unique, et - un champ (707) comportant le nouvel ensemble de paramètres crypté.10 4. The method of claim 1, wherein for the transmission of the new group, the second device transmits to the first device a frame of data comprising: 25 - a field (704) identifying a response to the request, - a field ( 705) having a MAC address of the first device, - a field (706) comprising a password for single use, and - a field (707) containing the new set of parameters crypté.10
  5. 5. Procédé selon la revendication 1, dans lequel, après la transmission du nouvel ensemble, le deuxième équipement se met en attente d'un message (609) de confirmation de réception de l'ensemble de paramètres par le premier équipement, et dans le cas où la réception n'est pas confirmée, le deuxième équipement bloque toute authentification du premier équipement jusqu'à être réinitialisé. 5. The method of claim 1, wherein, after transmitting the new set, the second unit waits for a message (609) receiving confirmation of the set of parameters by the first device, and in the if the reception is not confirmed, the second equipment blocks any authentication of the first equipment to be reset.
  6. 6. Procédé de renouvellement de paramètres de génération de mots de passe dans une authentification par mot de passe à usage unique, d'un premier équipement auprès d'un deuxième équipement, dans laquelle des mots de passe sont générés par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, le premier équipement mettant en oeuvre les étapes suivantes de: 10 - transmission d'une requête (603) vers le deuxième équipement pour un renouvellement de l'ensemble de paramètres ; 6. The process of renewal of generating passwords settings in authentication one-time password, a first device to a second device, in which passwords are generated by applying an iterative password generating algorithm on a set of parameters, the first equipment implementing the steps of: 10 - transmitting a request (603) to the second equipment for a renewal of the set of parameters; - réception et décryptage du nouvel ensemble de paramètres crypté provenant du deuxième équipement ; - receiving and decrypting the encrypted new set of parameters from the second equipment; et - réinitialisation du premier équipement (611) avec le nouvel ensemble de paramètres décrypté. and - resetting the first device (611) with the decrypted new set of parameters.
  7. 7. Procédé selon la revendication 6, dans lequel l'ensemble de paramètres comporte une graine gardée secrète par le premier équipement, et dans lequel le premier équipement décrypte le nouvel ensemble en utilisant ladite graine comme clé de chiffrement. 7. The method of claim 6, wherein said set of parameters comprises a seed kept secret by the first device, and wherein the first device decrypts the new set using said seed as the encryption key. 20 20
  8. 8. Procédé selon la revendication 6, dans lequel, après la réception du nouvel ensemble, le premier équipement transmet un message de confirmation de réception de l'ensemble de paramètres. 8. The method of claim 6, wherein after receiving the new set, the first device transmits a message of receiving the set of parameters confirmation.
  9. 9. Procédé selon la revendication 6, dans lequel l'ensemble de paramètres comporte un paramètre de comptage représentant un nombre d'itérations de l'algorithme de génération de mot de passe à mettre en 25 oeuvre pour générer un mot de passe, ledit paramètre étant mis à jour à chaque génération de mot de passe, et dans lequel la requête est transmise lorsque le paramètre de comptage indique que le nombre d'itérations à mettre en oeuvre est en dessous d'un seuil. 9. The method of claim 6, wherein said set of parameters includes a parameter count representing a number of iterations of the password generating algorithm to be 25 operable to generate a password, said parameter being updated each password generation, and wherein the request is transmitted when the count parameter indicates the number of iterations to be used is below a threshold.
  10. 10. Programme d'ordinateur comportant des instructions pour la mise en oeuvre d'un procédé selon l'une 30 quelconque des revendications 1 à 5, lorsqu'il est exécuté par un processeur. 10. A computer program comprising instructions for carrying out a method according to any one 30 of claims 1 to 5 when executed by a processor.
  11. 11. Programme d'ordinateur comportant des instructions pour la mise en oeuvre d'un procédé selon l'une quelconque des revendications 6 à 9, lorsqu'il est exécuté par un processeur. 11. A computer program comprising instructions for carrying out a method according to any one of claims 6 to 9, when executed by a processor. 15. Equipement comportant : - une unité de communication pour envoyer et recevoir des messages pour mettre en oeuvre une authentification par mot de passe à usage unique, et - une unité de traitement pour authentifier un autre équipement sollicitant une authentification par mot de passe à usage unique, ladite unité étant configurée pour générer des mots de passe par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, pour renouveler ledit ensemble de paramètres sur réception par l'unité de communication d'une requête de l'autre équipement pour un renouvellement de l'ensemble de paramètres, et pour transmettre de manière cryptée via l'unité de communication le nouvel ensemble de paramètres vers l'autre équipement. 15. Equipment comprising: - a communication unit for sending and receiving messages to implement authentication one-time password, and - a processing unit for authenticating another device seeking authentication password to use unique, said unit being configured to generate passwords by iterative application of a password generating algorithm on a set of parameters, to renew said set of parameters received by the communication unit a query the other device to a renewal of the set of parameters, and for transmitting an encrypted manner via the communication unit the new set of parameters to the other equipment. 13. Equipement comportant : - une unité de communication pour envoyer et recevoir des messages pour mettre en oeuvre une authentification par mot de passe à usage unique, et - une unité de traitement pour solliciter une authentification par mot de passe à usage unique auprès d'un autre équipement, ladite unité étant configurée pour générer des mots de passe par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, pour transmettre via l'unité de communication une requête vers l'autre équipement pour un renouvellement de l'ensemble de paramètres, et pour recevoir de manière cryptée via l'unité de communication le nouvel ensemble de paramètres transmis par l'autre équipement. 13. Equipment comprising: - a communication unit for sending and receiving messages to implement authentication one-time password, and - a processing unit for requesting authentication password from disposable to other equipment, said unit being configured to generate passwords by iterative application of a password generating algorithm on a set of parameters for transmitting via the communication unit a request to the other device to a renewal of all parameters and to receive encrypted manner via the communication unit the new set of parameters transmitted by the other device. 14. Système d'authentification par mot de passe à usage unique, d'un premier équipement auprès d'un deuxième équipement, dans lequel des mots de passe sont générés par application itérative d'un algorithme de génération de mot de passe sur un ensemble de paramètres, et dans lequel l'ensemble de paramètres est renouvelé auprès du deuxième équipement, le premier équipement étant configuré pour transmettre une requête vers le deuxième équipement pour un renouvellement de l'ensemble de paramètres, et pour recevoir le nouvel ensemble de paramètres crypté provenant du deuxième équipement, et le deuxième équipement étant configuré pour recevoir la requête du premier équipement pour un renouvellement de l'ensemble de paramètres, pour générer le nouvel ensemble de paramètres pour générer des mots de passe, et pour transmettre de manière cryptée le nouvel ensemble de paramètres vers le premier équipement. 14. An authentication system for single-use password, a first device to a second device, in which passwords are generated by iterative application of a password generation algorithm on a set parameters, and wherein the parameter set is renewed to the second device, the first device being configured to transmit a request to the second device for a renewal of the set of parameters, and for receiving the new set of encrypted parameters from the second device, and the second unit being configured to receive the request from the first equipment for renewal of the set of parameters to generate the new set of parameters for generating passwords, and for transmitting the encrypted new set of parameters to the first device. 16 16
FR1050980A 2010-02-11 2010-02-11 password authentication for single use Withdrawn FR2956272A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1050980A FR2956272A1 (en) 2010-02-11 2010-02-11 password authentication for single use

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1050980A FR2956272A1 (en) 2010-02-11 2010-02-11 password authentication for single use
PCT/FR2011/050163 WO2011098702A1 (en) 2010-02-11 2011-01-27 Single-use password authentication

Publications (1)

Publication Number Publication Date
FR2956272A1 true FR2956272A1 (en) 2011-08-12

Family

ID=42288651

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1050980A Withdrawn FR2956272A1 (en) 2010-02-11 2010-02-11 password authentication for single use

Country Status (2)

Country Link
FR (1) FR2956272A1 (en)
WO (1) WO2011098702A1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0774707A1 (en) * 1995-11-20 1997-05-21 Bull S.A. Method of authenticating a user working in a distributed environment in client-server mode

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0774707A1 (en) * 1995-11-20 1997-05-21 Bull S.A. Method of authenticating a user working in a distributed environment in client-server mode

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HALLER BELLCORE C METZ KAMAN SCIENCES CORPORATION P NESSER NESSER & NESSER CONSULTING M STRAW BELLCORE N: "A One-Time Password System; rfc2289.txt" IETF STANDARD, INTERNET ENGINEERING TASK FORCE, IETF, CH, 1 février 1998 (1998-02-01), XP015008073 ISSN: 0000-0003 *

Also Published As

Publication number Publication date
WO2011098702A1 (en) 2011-08-18

Similar Documents

Publication Publication Date Title
Bhargavan et al. Triple handshakes and cookie cutters: Breaking and fixing authentication over TLS
US9887838B2 (en) Method and device for secure communications over a network using a hardware security engine
US8223969B2 (en) Methods and systems for secure distribution of subscription-based game software
US7827597B2 (en) Secure transport for mobile communication network
CN101902453B (en) Imparting real-time priority-based network communications in an encrypted communication session
JP5977292B2 (en) Digital rights management using the trusted processing technology
US8144874B2 (en) Method for obtaining key for use in secure communications over a network and apparatus for providing same
EP2241085B1 (en) Method for authentication and signature of a user in an application service using a mobile telephone as a second factor in addition to and independently from a first factor
CN102812684B (en) Systems and methods of computer policy
CN100581097C (en) System and method for data transmission between two computers
CN101371241B (en) Network security system and method
CA2463034C (en) Method and system for providing client privacy when requesting content from a public server
EP1305948B1 (en) Method for secure distribution of digital data representing a multimedia content
US8949592B2 (en) System and methods for providing live streaming content using digital rights management-based key management
EP1687953B1 (en) Method for the authentication of applications
US8447970B2 (en) Securing out-of-band messages
US9912644B2 (en) System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology
EP1529369B1 (en) Method for secure data exchange between two devices
WO2001020836A2 (en) Ephemeral decryptability
AU2006283634A1 (en) Distributed single sign-on service
US8458776B2 (en) Low-latency peer session establishment
KR20090067155A (en) Upnp authentication and authorization
CA2494948A1 (en) System, method and computer program product for guaranteeing electronic transactions
CA2838582C (en) Resource sharing method and device, and storage medium
US8019989B2 (en) Public-key infrastructure in network management

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20111102