FR2958826A1 - Procede d'authentification d'un utilisateur. - Google Patents

Procede d'authentification d'un utilisateur. Download PDF

Info

Publication number
FR2958826A1
FR2958826A1 FR0759714A FR0759714A FR2958826A1 FR 2958826 A1 FR2958826 A1 FR 2958826A1 FR 0759714 A FR0759714 A FR 0759714A FR 0759714 A FR0759714 A FR 0759714A FR 2958826 A1 FR2958826 A1 FR 2958826A1
Authority
FR
France
Prior art keywords
user
server
browser
authentication
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0759714A
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MEDISCS
Original Assignee
MEDISCS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MEDISCS filed Critical MEDISCS
Priority to FR0759714A priority Critical patent/FR2958826A1/fr
Priority to FR0850367A priority patent/FR2958821A1/fr
Priority to PCT/FR2008/052280 priority patent/WO2009080999A2/fr
Priority to EP08864309A priority patent/EP2220812A2/fr
Priority to US12/746,388 priority patent/US20100257366A1/en
Publication of FR2958826A1 publication Critical patent/FR2958826A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

Procédé d'authentification d'un utilisateur à partir d'un terminal mobile de type téléphone cellulaire, dans lequel ledit utilisateur visualise au travers d'un navigateur un portail d'accès à un service hébergé sur un serveur ; ledit utilisateur demande son authentification au travers du navigateur via ledit portail ; ledit portail initie une précession de manière à afficher au travers dudit navigateur, des données temporaires d'accès ; ledit utilisateur saisie sur son téléphone les données visualisées ; ledit téléphone envoie automatiquement une requête audit serveur, incluant au moins un certificat d'authentification propre à l'utilisateur et le certificat dudit serveur ; lesdits certificats sont vérifiés par ledit serveur et, en cas d'authentification de l'utilisateur, l'accès au service est autorisé au travers d'une cession sécurisée.

Description

La présente invention entre dans le domaine de l'authentification d'un utilisateur depuis un terminal, en particulier depuis un téléphone cellulaire.
L'invention concerne plus particulièrement un procédé d'authentification forte d'un utilisateur depuis un terminal de type téléphone cellulaire. La présente invention trouvera une application toute particulière dans le cadre de la demande d'accès distant à un service hébergé sur un serveur, par un utilisateur depuis un téléphone portable. Elle s'inscrit dans le cadre d'une connexion par le biais d'un réseau informatique et de télécommunication de type Internet, notamment au travers du « WAP » (pour « Wireless Application Protocole »). Le WAP est un réseau de communication dont le but est de permettre d'accéder à Internet à l'aide d'un terminal mobile, de type téléphone cellulaire, PDA ou analogue. De manière connue, l'accès distant à un service nécessite l'authentification de l'utilisateur. Deux techniques sont généralement adoptées pour vérifier l'identité de la personne désireuse de se connecter audit service. D'une part, sur demande de l'utilisateur, un message peut être envoyé sur son téléphone au travers du service de messages courts (ou sms pour « short service message »). Ce message contient des informations de connexion, notamment un code valide pour un ou plusieurs accès. En possession dudit code d'accès, l'utilisateur saisit ce dernier lors d'une demande d'identification au moment de sa connexion au service et une cession est alors ouverte. Un tel code peut être utilisé de manière unique ou répétée. Un inconvénient réside dans l'absence totale de sécurité au niveau du service sms. Aucune protection n'est envisagée laissant toute liberté à un tiers pour intercepter le code lors de sa transmission ou de sa réception.
Une autre solution repose sur le principe « TOKEN », à savoir une génération de nombres synchronisés avec un dispositif d'authentification. Toujours sur demande dudit utilisateur, une clef d'accès est générée et envoyées sur le téléphone. Une synchronisation horaire est effectuée avant ou au moment de la tentative de connexion. La clef est alors échangée avec le service distant lors d'une phase d'identification, manuelle ou automatique. Cette clef est seulement valable pour un usage unique. Dans le cadre de cette technologie, on connaît le protocole OTP pour « On time Pad » utilisant une liste de mots de passe dynamiques à usage unique. Les listes d'OTP sont partagées par les deux protagonistes de la connexion sécurisée à établir. Les codes sont consommés dans l'ordre prévu. À chaque émission d'un mot de passe d'une liste A, il est vérifié puis rayé dans une liste B.
Quoi qu'il en soit, la transmission de données s'effectue généralement au travers du réseau WAP vers Internet. Un problème réside dans le fait que les protocoles sécurisés de l'un et l'autre de ces réseaux sont différents : WTLS et SSL. La passerelle est alors obligée de décrypter les données en WTLS pour les chiffrer de nouveau sous SSL. De plus, il n'existe aucun moyen de s'assurer que la connexion s'effectue sur le serveur original, laissant ouverte la possibilité de tromper l'utilisateur au travers d'un serveur factice.
D'autres solutions sont envisagées, mais n'apportent pas entière satisfaction. En effet, l'utilisateur est toujours obligé d'envoyer une demande d'accès, au travers d'une clef ou d'un code de connexion avant de pouvoir accéder audit service. De plus, aucune solution ne permet la signature électronique de document après authentification. L'invention a pour but de pallier les inconvénients de l'état de la technique en proposant d'authentifier de manière certaine et forte l'utilisateur depuis son téléphone portable. Outre le niveau élevé de sécurité, le protocole selon l'invention simplifie la démarche d'authentification alors forte dudit utilisateur. De plus, elle autorise la signature électronique de document, courrier électronique ou analogue. Pour ce faire, la présente invention a pour objet un procédé d'authentification d'un utilisateur à partir d'un terminal mobile de type téléphone cellulaire, dans lequel : - ledit utilisateur visualise au travers d'un navigateur un portail d'accès à un service hébergé sur un serveur ; - ledit utilisateur demande son authentification au travers du navigateur via ledit portail ; - ledit portail initie une précession de manière à afficher au travers dudit navigateur, des données temporaires d'accès ; - ledit utilisateur saisie sur son téléphone les données visualisées ; - ledit téléphone envoie automatiquement une requête audit serveur, incluant au moins un certificat d'authentification propre à l'utilisateur et le certificat dudit serveur ; - lesdits certificats sont vérifiés par ledit serveur et, en cas d'authentification de l'utilisateur, l'accès au service est autorisé au travers d'une cession sécurisée. Selon d'autres caractéristiques de l'invention, après authentification dudit utilisateur, ledit navigateur affiche 25 automatiquement ladite cession sécurisée. Avantageusement, un tel procédé comprend les étapes suivantes : - au travers de la cession affichée par ledit navigateur, est visualisé par l'utilisateur au moins un document à signer ; - chaque document à signer est listé et ladite liste est transmise vers ledit téléphone ; et - ledit téléphone envoie audit serveur les certificats et signature électronique nécessaires à la signature de chaque document. D'autres caractéristiques et avantages de l'invention 10 15 20 30 35 ressortiront de la description détaillée qui va suivre des modes de réalisation non limitatifs de l'invention. La présente invention consiste à authentifier de manière forte un utilisateur souhaitant se connecter de manière distante à un service à partir de son téléphone cellulaire. On notera que ledit service est hébergé sur un serveur, plus particulièrement sur un serveur de type web connecté à un réseau informatique de type Internet. Ce service est accessible en ligne au travers d'un portail.
De manière connue, ledit portail est affiché sur tout type de terminal au travers d'un navigateur. Ce terminal peut être un ordinateur connecté audit réseau Internet mais aussi un autre terminal fixe ou mobile, voir même ledit téléphone de l'utilisateur. Ainsi, l'utilisateur visualise les données transmises depuis le serveur vers le navigateur. L'utilisateur visualise donc le portail d'accès audit service. Au travers de sa navigation, il effectue une demande d'authentification via ledit portail, notamment au travers d'une page web dédiée à cet effet.
Dès lors, ledit portail initie une précession. Cette dernière est unique et créée dynamiquement avec des données temporaires d'accès. A chaque demande d'un utilisateur correspond donc une unique précession avec ses propres données d'accès.
Ces données peuvent se présenter sous la forme d'un identifiant, d'un ou plusieurs codes d'accès ou analogue. Elles sont affichées sur le navigateur afin que l'utilisateur les visualise. Une fois visualisées, l'utilisateur saisie sur son 30 téléphone lesdites données, notamment au travers d'une application dédiée audit service. A ce titre, chaque application dédiée contient les données de connexion de chaque service auquel elle est liée, par exemple les adresses (URL ou analogue) dudit serveur. Cette 35 application peut avantageusement être codée en langage JAVA, portable et compatible avec des nombreuses plateformes hétérogènes. Ensuite, ledit téléphone envoie automatiquement une requête audit serveur. Cette requête inclut au moins un certificat d'authentification propre à l'utilisateur et le certificat dudit serveur. Ce dernier est connu au travers de la dite application dédiée. Le certificat de l'utilisateur est également contenu dans ledit téléphone ou au travers d'un terminal complémentaire. Par exemple, ledit certificat de l'utilisateur peut être contenu sur la carte SIM du téléphone ou sur une puce cryptographique. Dès réception de la requête, ledit serveur vérifie les certificats. En cas d'authentification de l'utilisateur, l'accès au service est autorisé au travers d'une cession sécurisée. Cette dernière peut alors être affichée automatiquement sur ledit navigateur. L'utilisateur peut dès lors naviguer comme bon lui semble sur le serveur, certain d'être connecté au véritable service. De l'autre côté, le service est certain que l'utilisateur connecté est le bon.
Au cours de cette navigation, du fait de la présence de certificats, l'utilisateur peut opérer la signature électronique de documents contenus sur ledit serveur. Par exemple, l'utilisateur peut accéder à une messagerie électronique et décider d'envoyer des mails signés électroniquement. Pour ce faire, ledit utilisateur visualise au moins un document à signer au travers de la cession affichée par ledit navigateur. La signature électronique de cet utilisateur étant contenue sur ledit téléphone, chaque document à signer est listé et ladite liste est transmise vers ledit téléphone. Après réception, ledit téléphone envoie audit serveur les certificats et signature électronique nécessaires à la signature de chaque document. Le procédé d'authentification selon l'invention offre donc une sécurité accrue au cours d'une connexion distante à un service, au travers d'un téléphone cellulaire et via un navigateur. De plus, la signature électronique à distance via le téléphone cellulaire est rendu possible. L'avantage de la présente invention réside dans l'aspect fort d'authentification et du niveau de sécurité élevé offert au travers de l'interopérabilité entre le réseau de communication mobile et le réseau Internet, sans laisser de faille de sécurité. Bien entendu, l'invention n'est pas limitée aux exemples illustrés et décrits précédemment qui peuvent présenter des variantes et modifications sans pour autant sortir du cadre de l'invention.

Claims (3)

  1. REVENDICATIONS1. Procédé d'authentification d'un utilisateur à partir d'un terminal mobile de type téléphone cellulaire, dans 5 lequel : - ledit utilisateur visualise au travers d'un navigateur un portail d'accès à un service hébergé sur un serveur ; - ledit utilisateur demande son authentification au travers du navigateur via ledit portail ; - ledit portail initie une précession de manière à afficher au travers dudit navigateur, des données temporaires d'accès ; - ledit utilisateur saisie sur son téléphone les données visualisées ; - ledit téléphone envoie automatiquement une requête audit serveur, incluant au moins un certificat d'authentification propre à l'utilisateur et le certificat dudit serveur ; - lesdits certificats sont vérifiés par ledit serveur et, en cas d'authentification de l'utilisateur, l'accès au service est autorisé au travers d'une cession sécurisée.
  2. 2. Procédé selon la revendication 1, caractérisé en ce 25 qu'après authentification dudit utilisateur, ledit navigateur affiche automatiquement ladite cession sécurisée.
  3. 3. Procédé selon l'une quelconque des revendications 1 ou 2, caractérisé en ce que : - au travers de la cession affichée par ledit navigateur, est visualisé par l'utilisateur au moins un document à signer ; - chaque document à signer est listé et ladite liste est transmise vers ledit téléphone ; et - ledit téléphone envoie audit serveur les certificats et signature électronique nécessaires à la signature de chaque document. 7 10 15 20 30 35
FR0759714A 2007-12-11 2007-12-11 Procede d'authentification d'un utilisateur. Pending FR2958826A1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FR0759714A FR2958826A1 (fr) 2007-12-11 2007-12-11 Procede d'authentification d'un utilisateur.
FR0850367A FR2958821A1 (fr) 2007-12-11 2008-01-21 Procede d'authentification d'un utilisateur
PCT/FR2008/052280 WO2009080999A2 (fr) 2007-12-11 2008-12-11 Procede d'authentification d'un utilisateur
EP08864309A EP2220812A2 (fr) 2007-12-11 2008-12-11 Procedé d'authentification d'un utilisateur
US12/746,388 US20100257366A1 (en) 2007-12-11 2008-12-11 Method of authenticating a user

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0759714A FR2958826A1 (fr) 2007-12-11 2007-12-11 Procede d'authentification d'un utilisateur.

Publications (1)

Publication Number Publication Date
FR2958826A1 true FR2958826A1 (fr) 2011-10-14

Family

ID=44712879

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0759714A Pending FR2958826A1 (fr) 2007-12-11 2007-12-11 Procede d'authentification d'un utilisateur.

Country Status (1)

Country Link
FR (1) FR2958826A1 (fr)

Similar Documents

Publication Publication Date Title
EP1909462B1 (fr) Procédé de mise à disposition cloisonnée d'un service électronique
FR2958821A1 (fr) Procede d'authentification d'un utilisateur
EP2617155B1 (fr) Enregistrement securise a un service fourni par un serveur web
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
EP2822285B1 (fr) Appariement de dispositifs au travers de réseaux distincts
FR2944667A1 (fr) Procede pour authentifier un terminal mobile client aupres d'un serveur distant
EP3391614A1 (fr) Procede de transmission d'une information numerique
WO2014067880A1 (fr) Procede d'authentification mutuelle entre un terminal et un serveur distant par l'intermediaire d'un portail d'un tiers
EP1867189A1 (fr) Communication securisee entre un dispositif de traitement de donnees et un module de securite
WO2017081208A1 (fr) Procede de securisation et d'authentification d'une telecommunication
CN112995204B (zh) ProtonMail加密邮件的安全读取方法、装置、设备及存储介质
EP1514377A1 (fr) Procede et dispositif d'interface pour echanger de maniere protegee des donnees de contenu en ligne
EP3668047B1 (fr) Procédé d'ouverture d'une session sécurisée sur un terminal informatique
EP3219077B1 (fr) Procédé et système de gestion d'identités d'utilisateurs destiné à être mis en oeuvre lors d'une communication entre deux navigateurs web
WO2009056374A1 (fr) Procede d'authentification d'un utilisateur accedant a un serveur distant a partir d'un ordinateur
EP1400090B1 (fr) Procede et dispositif de securisation des communications dans un reseau informatique
FR2958826A1 (fr) Procede d'authentification d'un utilisateur.
EP1406425B1 (fr) Procédé de production, par un fournisseur d'accès, d'un identifiant isolant multimédia
FR3043291A1 (fr) Communication entre deux elements de securite inseres dans deux objets communicants
FR3017730A1 (fr) Procede d'ouverture de session securise
EP2630746B1 (fr) Procede et systeme d'authentification
WO2010133459A1 (fr) Procede de chiffrement de parties particulieres d' un document pour les utilisateurs privileges
FR2855926A1 (fr) PROCEDE D'ACCES A UN RESEAU OU A UN SERVICE EN UTILISANT UN PROTOCOLE DE LA FAMILLE DE PROTOCOLES PPPoX, ET ARCHITECTURE METTANT EN OEUVRE UN TEL PROCEDE
WO2017089710A1 (fr) Procédé de distribution de droits sur un service et plateforme de service
WO2007101941A1 (fr) Procede pour l' appairage securise de deux systemes prealablement a leur mise en communication