FR3017729A1 - Procede d'authentification a distance - Google Patents
Procede d'authentification a distance Download PDFInfo
- Publication number
- FR3017729A1 FR3017729A1 FR1451301A FR1451301A FR3017729A1 FR 3017729 A1 FR3017729 A1 FR 3017729A1 FR 1451301 A FR1451301 A FR 1451301A FR 1451301 A FR1451301 A FR 1451301A FR 3017729 A1 FR3017729 A1 FR 3017729A1
- Authority
- FR
- France
- Prior art keywords
- terminal
- authentication
- terminals
- list
- enrolled
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 35
- 230000004044 response Effects 0.000 claims description 3
- 101000854862 Homo sapiens Vacuolar protein sorting-associated protein 35 Proteins 0.000 description 3
- 102100020822 Vacuolar protein sorting-associated protein 35 Human genes 0.000 description 3
- 230000004913 activation Effects 0.000 description 3
- 238000004883 computer application Methods 0.000 description 1
- 208000027744 congestion Diseases 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Description
PROCÉDÉ D'AUTHENTIFICATION À DISTANCE DOMAINE TECHNIQUE La présente invention est relative aux méthodes d'authentification à distance, et plus particulièrement à un procédé permettant de déléguer l'authentification d'un équipement à un autre équipement.
ETAT DE LA TECHNIQUE Dans le domaine des méthodes d'authentification à distance, on connait les solutions d'authentification unique (en anglais « Single Sign-On », SSO), appelées également fédération des identités. A l'aide d'une seule authentification, telle que la saisie d'un mot de passe, l'utilisateur accède depuis son poste informatique à plusieurs applications informatiques sécurisées (ou par exemple à plusieurs sites web sécurisés). L'accès à ces ressources est ainsi simplifié, car l'utilisateur n'a qu'un seul mot de passe dit « principal » à retenir. La sécurité des accès est en outre renforcée.
Dans ce type de solutions, l'utilisateur interagit avec un seul terminal et transfère l'authentification d'une ou plusieurs applications vers une autre application, dont il maîtrise l'authentification. Il ne peut par contre accéder à d'autres terminaux. Il existe par ailleurs des solutions de contrôle à distance. Depuis son poste, l'utilisateur peut prendre la main sur un poste distant, à condition qu'une session ait déjà été ouverte sur cet autre poste. Il peut aussi ouvrir à distance une session sur un terminal, si bien sûr il en connait les identifiants. Par contre, ces solutions ne lui permettent pas de s'authentifier sur le terminal distant, en transférant l'authentification de son propre terminal, lorsque par exemple il ignore le mot de passe du terminal distant. RESUME DE L'INVENTION On constate qu'il existe un besoin de prévoir un procédé permettant de déléguer l'authentification d'un premier terminal, sur lequel l'utilisateur souhaite se connecter, à un second terminal sur lequel il est déjà connecté, autrement dit transférer l'authentification du second terminal au premier terminal.
Selon l'invention, on tend à satisfaire ce besoin en prévoyant les étapes suivantes : - activer une requête d'authentification à distance, depuis le premier terminal ; - recevoir sur le premier terminal une liste de terminaux enrôlés ; - sélectionner, parmi la liste de terminaux enrôlés, le second terminal ; et - recevoir sur le premier terminal, après acceptation d'une demande de délégation d'authentification par le second terminal, des données d'authentification permettant à l'utilisateur de s'authentifier sur le premier terminal.
Dans un mode de mise en oeuvre préférentiel, un serveur reçoit la requête d'authentification envoyée par le premier terminal, accède à une mémoire dans laquelle est enregistrée la liste des terminaux enrôlés, envoie la liste des terminaux enrôlés au premier terminal et envoie la demande de délégation d'authentification au second terminal. Dans une variante de mise en oeuvre, le premier terminal accède à une mémoire dans laquelle est enregistrée la liste des terminaux enrôlés et envoie la demande de délégation d'authentification au second terminal.
Le premier terminal peut recevoir les données d'authentification en provenance du serveur ou du second terminal. L'invention vise également un procédé de transfert d'une authentification entre deux terminaux par l'intermédiaire d'un serveur, le serveur mettant en oeuvre les étapes suivantes : - recevoir une requête d'authentification à distance venant d'un premier terminal sur lequel un utilisateur souhaite s'authentifier ; - transmettre au premier terminal une liste de terminaux enrôlés ; - recevoir du premier terminal la désignation d'un second terminal choisi parmi la liste de terminaux enrôlés et sur lequel l'utilisateur est déjà authentifié ; - envoyer une demande de délégation d'authentification au second terminal ; - recevoir du second terminal une permission de délégation, en réponse à la demande de délégation d'authentification ; et - transmettre au premier terminal des données d'authentification permettant à l'utilisateur de s'authentifier sur le premier terminal.
De préférence, le serveur accède à une mémoire dans laquelle sont enregistrés la liste de terminaux enrôlés et les données d'authentification de l'utilisateur. La requête d'authentification comporte avantageusement un nom d'utilisateur et une clef de session servant à chiffrer la liste des terminaux enrôlés et les données d'authentification. La liste des terminaux enrôlés peut contenir tous les terminaux sur lesquels l'utilisateur est déjà authentifié.
Alternativement, l'enrôlement de chaque terminal de la liste peut aussi être obtenu par une précédente authentification de l'utilisateur sur ledit terminal suivie d'une communication entre le serveur et ledit terminal. Le serveur peut alors associer une clé publique à chaque terminal de la liste lors de son enrôlement et la demande de délégation d'authentification envoyée au second terminal comporte, de préférence, un nom d'utilisateur chiffré avec la clé publique du second terminal Un autre aspect de l'invention concerne un dispositif d'authentification permettant de transférer une authentification vers un premier terminal, sur lequel un utilisateur souhaite s'authentifier, depuis un second terminal sur lequel l'utilisateur est déjà authentifié. Ce dispositif comporte : - une mémoire dans laquelle est enregistrée une liste de terminaux enrôlés ; - des moyens pour consulter la liste de terminaux enrôlés ; - des moyens pour envoyer une demande de délégation d'authentification au second terminal, le second terminal étant choisi parmi la liste de terminaux enrôlés ; et - des moyens pour récupérer des données d'authentification. Dans un mode de réalisation préférentiel, le dispositif d'authentification forme un serveur et comprend en outre des moyens pour se connecter au premier et second terminaux, des moyens pour transmettre la liste de terminaux enrôlés au premier terminal, et des moyens pour transmettre les données d'authentification au premier terminal. Enfin, un autre aspect de l'invention concerne un terminal d'authentification comprenant le dispositif d'authentification selon l'invention et formant le premier terminal. BREVES DESCRIPTION DES FIGURES D'autres caractéristiques et avantages de l'invention ressortiront clairement de la description qui en est donnée ci-dessous, à titre indicatif et nullement limitatif, en référence aux figures annexées, parmi lesquelles : - La figure 1 représente un premier mode de mise en oeuvre d'un procédé d'authentification à distance selon l'invention ; - La figure 2 représente un deuxième mode de mise en oeuvre du procédé d'authentification à distance selon l'invention ; et - La figure 3 représente un troisième mode de mise en oeuvre du procédé d'authentification à distance selon l'invention.
DESCRIPTION DETAILLEE D'AU MOINS UN MODE DE REALISATION Le terme « terminal » désigne dans la description qui suit un dispositif informatique permettant à un utilisateur d'interagir avec des ressources réseau.
Le procédé d'authentification à distance, décrit ci-après en relation avec les figures 1 à 3, se présente sous la forme d'un protocole de communication entre deux terminaux. Il comporte une succession d'étapes F1 à F6 ayant pour but de mettre en relation les deux terminaux et de transférer l'authentification d'un terminal à l'autre. La communication peut se faire soit par l'intermédiaire d'un serveur (figures 1 et 2), soit de façon directe entre les deux terminaux (figure 3). En outre, lorsqu'un serveur est utilisé, celui-ci peut être l'intermédiaire de l'ensemble des communications (Figure 1) ou d'une partie seulement des échanges entre les terminaux (Figure 2). Le premier terminal est un terminal A sur lequel un utilisateur souhaite s'authentifier. Pour diverses raisons, par exemple parce qu'il ignore les données d'authentification lui permettant d'ouvrir une session sur le terminal A, l'utilisateur souhaite utiliser l'authentification d'un second terminal B pour se connecter au terminal A. Le terminal B est donc un terminal sur lequel l'utilisateur est déjà authentifié. L'utilisateur a accès physiquement aux deux terminaux A et B. L'utilisation d'un second terminal (terminal B) offre à l'utilisateur la possibilité d'utiliser des moyens d'authentification auxquels il n'aurait pas accès sur le premier terminal (A). A titre d'exemple, le terminal A est un poste informatique de travail appartenant à un réseau d'entreprise, qui normalement exige un nom d'utilisateur et un mot de passe pour s'y connecter, tandis que le terminal B est un appareil mobile, tel qu'une tablette ou un téléphone portable, équipé d'un capteur biométrique. L'utilisateur peut ainsi s'authentifier sur le terminal A grâce à son empreinte digitale et le capteur biométrique du terminal B. Cela permet une grande souplesse dans les méthodes d'authentification. Dans le mode de mise en oeuvre préférentiel de la figure 1, la communication entre les deux terminaux A et B s'effectue par l'intermédiaire d'un serveur sécurisé S. On appelle « serveur » un dispositif informatique connecté en réseau qui met à disposition d'autres dispositifs (appelés clients ou terminaux) des services, tels qu'un espace de stockage. Le serveur S agit ici comme tiers de confiance pour faire dialoguer les deux terminaux et délivre au terminal A les informations nécessaires à l'ouverture d'une session sur ce terminal. Lors d'une première étape F1 du procédé d'authentification, l'utilisateur requiert sur le terminal A une délégation d'authentification. L'utilisateur exprime ainsi le souhait de confier l'authentification du terminal A à un autre terminal. L'interface d'authentification du terminal A fait, par exemple, apparaître un bouton ou un lien servant à activer la délégation d'authentification. L'activation de la délégation déclenche l'envoi d'une requête d'authentification à distance, du terminal A vers le serveur S. Cette requête contient, de préférence un identifiant, ou nom d'utilisateur, et une clef de session. En réponse à la requête d'authentification, le serveur envoie au terminal A, lors d'une étape F2, une liste de terminaux enrôlés par l'utilisateur. Par « terminaux enrôlés », on entend des terminaux associés à l'utilisateur qui sont susceptibles d'accepter les délégations d'authentification. Par conséquent, cette liste contient ici au moins le terminal B, à qui est destinée la délégation d'authentification du terminal A. Bien que non représentés, la liste peut contenir d'autres terminaux en plus du terminal B.
La liste de terminaux enrôlés par l'utilisateur est stockée dans une mémoire MEM. Le serveur S accède à cette mémoire et y récupère la liste de terminaux enrôlés, pour ensuite l'envoyer au terminal A. Les terminaux enrôlés peuvent avoir fait l'objet d'une procédure d'enrôlement, ou d'enregistrement, préalablement à l'activation de la délégation d'authentification (étape F1). L'enregistrement d'un terminal sur la liste des terminaux enrôlés est, de préférence, obtenu par une précédente authentification de l'utilisateur sur ce terminal, suivie d'une communication entre le serveur S et le terminal.
La procédure d'enrôlement peut notamment être accomplie par le biais d'une application exécutée sur le terminal à enrôler, par exemple le terminal B. Cette application demande à l'utilisateur de s'authentifier sur le terminal B, puis un échange de données, telles que les identifiants de l'utilisateur et du terminal, s'effectue entre le terminal B et le serveur S. Le couple d'identifiants est enregistré sur la mémoire MEM par le serveur S. Ainsi, le serveur établit le lien entre l'utilisateur et ce terminal.
Alternativement, la liste des terminaux enrôlés contient tous les terminaux sur lesquels l'utilisateur est déjà authentifié. On considère alors que ces terminaux sont enrôlés, c'est-à-dire associés à l'utilisateur, par le simple fait que l'utilisateur y est actuellement connecté. Cela suppose que le serveur S ait connaissance des sessions ouvertes sur les différents terminaux, par exemple en les interrogeant l'un après l'autre. Alternativement, chaque terminal notifie au serveur les ouvertures/fermetures de session. Les terminaux enrôlés sont avantageusement des appareils mobiles, tels qu'un téléphone ou un ordinateur portable, c'est-à-dire des appareils que l'utilisateur peut facilement emmener avec lui. Dans l'exemple du réseau d'entreprise décrit ci- dessus, l'utilisateur peut être un employé de l'entreprise qui souhaite se connecter sur un poste de l'entreprise distant autre que son poste habituel. Il a, au préalable, défini son téléphone comme un terminal enrôlé et peut, dès lors, se connecter à cet autre poste avec son téléphone.
L'enrôlement des terminaux, qu'il soit préétabli ou « dynamique » lorsqu'il s'agit des terminaux en cours de connexion, fixe un premier niveau de sécurité. En effet, il assure un certain contrôle de l'utilisateur, car seuls les terminaux utilisés par celui-ci acceptent les délégations d'authentification.
Lorsqu'une clé de session est contenue dans la requête d'authentification, cette clé sert avantageusement à chiffrer la liste des terminaux enrôlés. Ainsi, un degré supplémentaire de protection est atteint, car seul le terminal A disposant de la clé peut déchiffrer la liste et connaître les terminaux susceptibles d'accepter une délégation d'authentification. La liste des terminaux enrôlés est reçue sur le terminal A et, à l'étape F3, on sélectionne parmi cette liste le terminal B, i.e. un terminal enrôlé sur lequel l'utilisateur est déjà authentifié. Ce choix peut s'effectuer sur le terminal A à travers une interface graphique qui liste à l'utilisateur tous les terminaux enrôlés. L'identifiant du terminal sélectionné, ainsi que l'identité de l'utilisateur, sont ensuite envoyés au serveur S par le réseau. Bien sûr, si un seul terminal figure sur la liste, il peut être automatiquement sélectionné. A l'étape F4, le serveur S envoie une demande de délégation d'authentification au terminal B sélectionné à l'étape F3. Cette demande de délégation contient, de préférence, le nom de l'utilisateur pour vérifier qu'il a bien une session ouverte sur le terminal B. Lors de la procédure d'enrôlement d'un terminal, une clé de cryptage associée au terminal a pu être échangée avec le serveur S, en même temps que les identifiants de l'utilisateur et du terminal. Le serveur S associe alors une clé publique à chaque terminal enrôlé et l'enregistre dans la mémoire MEM. Cette clé peut notamment servir à authentifier le terminal B, lors des requêtes futures, comme celle de l'étape F5. La demande de délégation est, de préférence, cryptée par le serveur S avec la clé publique du terminal B et celui-ci décode la demande de délégation avec une clé privée. Ceci renforce encore la sécurité des échanges car seul le terminal possédant la clef privée déchiffre la demande de délégation. En F5, l'utilisateur confirme la délégation d'authentification, en acceptant la demande envoyée en F4 sur le terminal B. Par exemple, une interface apparaît sur le terminal B demandant à l'utilisateur s'il est bien à l'origine de la demande de délégation. Une permission de délégation est alors envoyée par le terminal B au serveur S. Par défaut, le terminal B peut être configuré pour ne pas accepter les demandes de délégation si celles-ci ne sont pas cryptées avec sa clé Pour davantage de sécurité, l'acceptation de la demande de délégation peut faire l'objet d'une nouvelle authentification de l'utilisateur sur le terminal B. On contrôle ainsi une nouvelle fois l'identité de l'utilisateur (il s'est déjà authentifié une première fois pour se connecter au terminal B). Le terminal B peut aussi être configuré de sorte à accepter automatiquement les demandes délégation qui lui parviennent. La permission de délégation parvient au serveur S et, en F6, ce dernier transmet au terminal A les données d'authentification permettant à l'utilisateur de s'y connecter. Les données d'authentification sont, par exemple, l'identifiant et le mot de passe de l'utilisateur. De préférence, les données d'authentification de chaque utilisateur sont enregistrées 10 dans la mémoire MEM. En outre, elles sont avantageusement chiffrées par le serveur S avant d'être envoyées au terminal A. Le chiffrement peut notamment être réalisé à l'aide de la clef de session envoyée à l'étape F1. Les données d'authentification (ex. couple identifiant/mot de passe) de l'utilisateur 15 peuvent être enregistrées dans la mémoire MEM lorsque l'utilisateur s'authentifie pour la première fois, indifféremment depuis le terminal A ou le terminal B. Les données qu'il aura saisies pour ouvrir une session sont transmises au serveur S, qui les enregistre dans la mémoire MEM. 20 Enfin, à l'étape F7 de procédé d'authentification, les informations fournies par le serveur S sont utilisées par le terminal A pour ouvrir une session sur ce terminal (après un éventuel déchiffrement). Dans le mode de réalisation de la figure 1, la mémoire MEM constitue une base de 25 données unique comprenant (entre autres) la liste des terminaux enrôlés, le couple identifiant/mot de passe de chaque utilisateur et les clés publiques des terminaux. Couplée au serveur, cette mémoire centralise donc toutes les informations nécessaires à la délégation d'une authentification. Il en résulte que n'importe quel terminal connecté au serveur peut requérir l'authentification par un autre terminal. 30 Ainsi, dans ce mode de réalisation, le serveur S et la mémoire MEM constituent un dispositif qui transfère l'authentification du terminal B vers le terminal A à travers les communications des étapes F1 à F6. Ce dispositif d'authentification comporte notamment : - des moyens pour se connecter aux terminaux A et B ; - des moyens pour consulter la liste de terminaux enrôlés sur la mémoire MEM ; - des moyens pour transmettre la liste de terminaux enrôlés au terminal A ; - des moyens pour envoyer une demande de délégation d'authentification au terminal B ; - des moyens pour récupérer des données d'authentification sur la mémoire MEM ; et - des moyens pour transmettre ces données d'authentification au terminal A Le serveur S est, par exemple, un ordinateur doté d'un microprocesseur, d'une mémoire, dans laquelle sont enregistrées des instructions, et d'une interface réseau reliés entre eux par un bus de données. L'exécution des instructions par le microprocesseur permet de générer et/ou traiter les messages que sont : - la requête d'authentification (Fi ) ; - la liste des terminaux enrôlés (F2) ; - la désignation d'un terminal enrôlé (F3) ; - la demande de délégation (F4) ; - la permission de délégation (F5) ; et - les données d'authentification (F6). Ces messages transitent entre le microprocesseur et l'interface réseau par le bus de données et l'interface réseau est chargée de recevoir ces messages en provenance des terminaux A et B, ou de les envoyer à ces terminaux, via le réseau. La mémoire MEM fait, de préférence, partie intégrante du serveur S et peut être confondue avec la mémoire de stockage des instructions. Dans une variante de réalisation, la mémoire MEM est externalisée, c'est-à-dire distincte du serveur S. Une solution d'authentification et de chiffrement est alors 30 adoptée, pour protéger les échanges de données entre le serveur S et cette mémoire externe. La figure 2 représente un deuxième mode de mise en oeuvre du procédé d'authentification. Ce deuxième mode diffère de celui de la figure 1, en ce que l'étape F6 d'envoi des données d'authentification au terminal A est effectuée par le terminal B, au lieu du serveur S. Autrement dit, les données d'authentification proviennent du terminal B, et plus du serveur S. Il n'y a donc de permission de délégation à proprement parler, sauf à considérer qu'elle est implicitement comprise dans les données d'authentification. Le terminal B accède à une mémoire MEM2 dans laquelle sont enregistrées les données d'authentification (ex. identifiant/mot de passe). Il peut s'agir de sa propre mémoire, par exemple dans le cas d'un appareil mobile, ou d'une base de données distante qu'il contacte pour récupérer les données d'authentification. Il est par exemple possible d'installer sur le terminal B un fournisseur de réseau (« network provider » en anglais) qui se charge de fournir les données d'authentification, à la demande du terminal A.
La mémoire MEM2 est distincte de la mémoire couplée au serveur S. Cette dernière, renommée MEM1, contient désormais seulement la liste des terminaux enrôlés, et éventuellement les clés publiques des terminaux enrôlés.
Les étapes F1 à F4 du procédé de la figure 2, ainsi que les moyens pour les mettre en oeuvre, sont par ailleurs inchangés. Ce deuxième mode de mise en oeuvre du procédé est plus rapide que la solution précédente avec un stockage centralisé, car les données d'authentification proviennent directement du terminal B. En outre, on réduit ainsi les risques de congestion ou de panne du serveur S. Afin de simplifier la mise en oeuvre du procédé d'authentification, on pourrait aussi envisager de se dispenser d'un serveur d'échange et de faire communiquer les terminaux A et B de façon directe, si d'une part les données d'authentification sont enregistrées sur le terminal B (comme sur la figure 2), et si d'autre part le terminal A peut accéder directement (et en lecture seulement) à la mémoire contenant la liste des terminaux enrôlés.
La figure 3 représente ce mode de mise en oeuvre simplifié, où les étapes F1 à F6 sont mises en oeuvre uniquement par les terminaux A et B.
Après activation de la requête d'authentification à distance (F1) par l'utilisateur, le terminal A accède à la liste des terminaux enrôlés stockée sur une mémoire MEM3 (étape F2). L'utilisateur sélectionne parmi cette liste le terminal auquel il veut déléguer l'authentification du terminal A, ici le terminal B (étape F3). Ainsi, les étapes F1 à F3 sont commandées uniquement par le terminal A, et celui-ci ne communique avec le terminal B qu'à partir de l'étape F4. La demande de délégation est envoyée par le terminal A au terminal B (étape F4), qui après acceptation, lui retourne les données d'authentification de l'utilisateur (étapes F5-F6). Une session peut alors être ouverte sur le terminal A (étape F7).
Ainsi, le terminal A et la mémoire MEM3 de la figure 3 forment un dispositif d'authentification autonome pour requérir la délégation d'authentification au terminal B. Il comprend les mêmes moyens que le serveur S de la figure 1, pour consulter la liste des terminaux enrôlés, transmettre des requêtes au terminal B et recevoir en retour des données d'authentification. La mémoire MEM3 peut être interne ou externe au terminal A, comme la mémoire MEM2 au terminal B. D'autres moyens (ou méthodes) d'authentification que ceux décrits précédemment peuvent être utilisés sur le terminal B. On peut citer notamment les cartes d'accès RFID, les schémas de déverrouillage, la reconnaissance faciale et la reconnaissance d'iris.
Claims (16)
- REVENDICATIONS1. Procédé d'authentification à distance par transfert d'une authentification entre deux terminaux (A, B), comprenant les étapes suivantes : activer (F1) une requête d'authentification à distance, depuis un premier terminal (A) sur lequel un utilisateur souhaite s'authentifier ; recevoir (F2) sur le premier terminal une liste de terminaux enrôlés ; - sélectionner (F3), parmi la liste de terminaux enrôlés, un second terminal (B) sur lequel l'utilisateur est déjà authentifié ; et - recevoir (F6) sur le premier terminal (A), après acceptation d'une demande de délégation d'authentification par le second terminal (B), des données d'authentification permettant à l'utilisateur de s'authentifier (F7) sur le premier terminal.
- 2. Procédé d'authentification selon la revendication 1, dans lequel le premier terminal (A) accède à une mémoire (MEM3) dans laquelle est enregistrée la liste des terminaux enrôlés et envoie (F4) la demande de délégation d'authentification au second terminal (B).
- 3. Procédé d'authentification selon la revendication 1, dans lequel un serveur (S) reçoit (F1) la requête d'authentification envoyée par le premier terminal (A), accède à une mémoire (MEM, MEM1) dans laquelle est enregistrée la liste des terminaux enrôlés, envoie (F2) la liste des terminaux enrôlés au premier terminal (A) et envoie (F4) la demande de délégation d'authentification au second terminal (B).
- 4. Procédé d'authentification selon la revendication 3, dans lequel le premier terminal (A) reçoit (F5) les données d'authentification en provenance du serveur (S).
- 5. Procédé d'authentification selon l'une quelconque des revendications 1 à 3, dans 30 lequel le premier terminal (A) reçoit (F5) les données d'authentification en provenance du second terminal (B).
- 6. Procédé de transfert d'une authentification entre deux terminaux (A, B) parl'intermédiaire d'un serveur (S), le serveur mettant en oeuvre les étapes suivantes : recevoir (F1) une requête d'authentification à distance venant d'un premier terminal (A) sur lequel un utilisateur souhaite s'authentifier ; transmettre (F2) au premier terminal une liste de terminaux enrôlés ; recevoir (F3) du premier terminal (A) la désignation d'un second terminal (B) choisi parmi la liste de terminaux enrôlés et sur lequel l'utilisateur est déjà authentifié ; envoyer (F4) une demande de délégation d'authentification au second terminal ; recevoir (F5) du second terminal (B) une permission de délégation, en réponse à la demande de délégation d'authentification ; et - transmettre (F6) au premier terminal (A) des données d'authentification permettant à l'utilisateur de s'authentifier (F7) sur le premier terminal.
- 7. Procédé de transfert selon la revendication 6, dans lequel le serveur accède à une mémoire (MEM) dans laquelle sont enregistrés la liste de terminaux enrôlés et les données d'authentification de l'utilisateur.
- 8. Procédé de transfert selon l'une des revendications 6 et 7, dans lequel la requête d'authentification comporte un nom d'utilisateur et une clef de session servant à chiffrer la liste des terminaux enrôlés et les données d'authentification.
- 9. Procédé de transfert selon l'une quelconque des revendications 6 à 8, dans lequel l'enrôlement d'un terminal de la liste est obtenu par une précédente authentification de l'utilisateur sur ledit terminal suivie d'une communication entre le serveur (S) et ledit terminal.
- 10. Procédé de transfert selon la revendication 9, dans lequel le serveur (S) associe une clé publique au terminal de la liste lors de son enrôlement.
- 11. Procédé de transfert selon la revendication 10, dans lequel la demande de délégation d'authentification envoyée (F4) au second terminal (B) comporte un nom d'utilisateur chiffré avec la clé publique du second terminal.
- 12. Procédé de transfert selon l'une quelconque des revendications 6 à 8, dans lequel la liste des terminaux enrôlés contient tous les terminaux sur lesquels l'utilisateur est déjà authentifié.
- 13. Dispositif d'authentification pour la mise en oeuvre d'un procédé selon l'une quelconque des revendications 1 à 12 permettant de transférer une authentification vers un premier terminal (A), sur lequel un utilisateur souhaite s'authentifier, depuis un second terminal sur lequel l'utilisateur est déjà authentifié (B), le dispositif comportant : - une mémoire (MEM, MEM1, MEM3) dans laquelle est enregistrée une liste de terminaux enrôlés ; - des moyens pour consulter la liste de terminaux enrôlés ; - des moyens pour envoyer une demande de délégation d'authentification au second terminal (B), le second terminal étant choisi parmi la liste de terminaux enrôlés ; et - des moyens pour récupérer des données d'authentification.
- 14. Dispositif d'authentification selon la revendication 13 formant un serveur (S) et 20 comprenant en outre : - des moyens pour se connecter au premier (A) et second (B) terminaux ; - des moyens pour transmettre la liste de terminaux enrôlés au premier terminal (A) ; et - des moyens pour transmettre les données d'authentification au premier 25 terminal (A).
- 15. Dispositif d'authentification (S) selon la revendication 14, dans lequel les données d'authentification sont enregistrées dans la mémoire (MEM). 30
- 16. Terminal d'authentification comprenant le dispositif d'authentification selon la revendication 13 et formant le premier terminal (A).
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1451301A FR3017729B1 (fr) | 2014-02-18 | 2014-02-18 | Procede d'authentification a distance |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1451301A FR3017729B1 (fr) | 2014-02-18 | 2014-02-18 | Procede d'authentification a distance |
Publications (2)
Publication Number | Publication Date |
---|---|
FR3017729A1 true FR3017729A1 (fr) | 2015-08-21 |
FR3017729B1 FR3017729B1 (fr) | 2017-07-14 |
Family
ID=50780697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR1451301A Active FR3017729B1 (fr) | 2014-02-18 | 2014-02-18 | Procede d'authentification a distance |
Country Status (1)
Country | Link |
---|---|
FR (1) | FR3017729B1 (fr) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3105482A1 (fr) * | 2019-12-18 | 2021-06-25 | Orange | Procédé d’obtention de mot de passe pour l’accès à un service |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2077517A1 (fr) * | 2007-12-28 | 2009-07-08 | Gemalto SA | Délégation de conditions d'accès entre jetons portables |
EP2498529A1 (fr) * | 2011-03-08 | 2012-09-12 | Trusted Logic Mobility SAS | Procédé d'authentification d'utilisateur pour accéder à un service en ligne |
-
2014
- 2014-02-18 FR FR1451301A patent/FR3017729B1/fr active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2077517A1 (fr) * | 2007-12-28 | 2009-07-08 | Gemalto SA | Délégation de conditions d'accès entre jetons portables |
EP2498529A1 (fr) * | 2011-03-08 | 2012-09-12 | Trusted Logic Mobility SAS | Procédé d'authentification d'utilisateur pour accéder à un service en ligne |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3105482A1 (fr) * | 2019-12-18 | 2021-06-25 | Orange | Procédé d’obtention de mot de passe pour l’accès à un service |
Also Published As
Publication number | Publication date |
---|---|
FR3017729B1 (fr) | 2017-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3008872B1 (fr) | Procédé d'authentification d'un terminal par une passerelle d'un réseau interne protégé par une entité de sécurisation des accès | |
EP2514167B1 (fr) | Procede et dispositif de controle | |
FR2877521A1 (fr) | Dispositif, procede, programme et support de distribution d'informations, d'initialisation, dispositif, procede, programme et support de transfert d'initialisation d'authentification et programme de reception ... | |
WO2002073930A1 (fr) | Dispositif portable pour securiser le trafic de paquets dans une plate-forme hote | |
FR3028979A1 (fr) | Procede de controle d'acces a un systeme de production d'un systeme informatique non connecte a un systeme d'information dudit systeme informatique | |
FR3017729A1 (fr) | Procede d'authentification a distance | |
EP1668868A1 (fr) | Systeme d acces a un reseau adapte pour la mise en oeuvre d'un procede a signature simplifiee, et serveur pour sa realisation | |
WO2016075395A1 (fr) | Procédé et système de gestion d'identités d'utilisateurs destiné à être mis en œuvre lors d'une communication entre deux navigateurs web | |
WO2019239029A1 (fr) | Procédé de traitement de messages par un dispositif d'un réseau de voix sur ip | |
WO2020016504A1 (fr) | Dispositifs et procedes de gestion d'un attachement d'un dispositif de communication a un reseau d'un operateur | |
EP3041192B1 (fr) | Infrastructure d'authentification de téléphones ip d'un système toip propriétaire par un système eap-tls ouvert | |
EP4080923B1 (fr) | Dispositif électronique de gestion décentralisée de groupe(s) de communication | |
EP3265948B1 (fr) | Transfert sécurisé d'information d'authentification | |
EP4187409A1 (fr) | Procédé et système d'authentification d'un utilisateur sur un serveur d'identité as a service | |
FR3037751A1 (fr) | Composant materiel et procede d'acces d'un terminal distant a un reseau local, passerelle de service, procede d'autorisation d'acces et programme d'ordinateur correspondants | |
EP3672193A1 (fr) | Procédé et système d'authentification d'un terminal client par un serveur cible, par triangulation via un serveur d'authentification | |
FR3051091A1 (fr) | Procede d'authentification pour autoriser l'acces a un site web ou l'acces a des donnees chiffrees | |
EP3360293A1 (fr) | Moyens de gestion d'accès à des données | |
FR3070776A1 (fr) | Enrolement perfectionne d'un equipement dans un reseau securise | |
EP3735001A1 (fr) | Réseau de communication et procédé de gestion décentralisée de communications via le réseau de communication | |
EP2339775A1 (fr) | Procédé et dispositif de chiffrement distribué basé sur un serveur de clés | |
FR3090152A1 (fr) | Réinitialisation d’un secret applicatif au moyen du terminal | |
WO2011157928A1 (fr) | Procede et systeme d'acces securise a un serveur http | |
WO2018234662A1 (fr) | Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration | |
FR3046272A1 (fr) | Procede et dispositif de connexion a un serveur distant |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLFP | Fee payment |
Year of fee payment: 3 |
|
PLFP | Fee payment |
Year of fee payment: 4 |
|
PLFP | Fee payment |
Year of fee payment: 5 |
|
PLFP | Fee payment |
Year of fee payment: 7 |
|
PLFP | Fee payment |
Year of fee payment: 8 |
|
PLFP | Fee payment |
Year of fee payment: 9 |
|
TP | Transmission of property |
Owner name: BULL SAS, FR Effective date: 20220708 |
|
PLFP | Fee payment |
Year of fee payment: 10 |
|
PLFP | Fee payment |
Year of fee payment: 11 |