FR3072534A1 - Communication securisee entre un terminal et un serveur - Google Patents
Communication securisee entre un terminal et un serveur Download PDFInfo
- Publication number
- FR3072534A1 FR3072534A1 FR1759669A FR1759669A FR3072534A1 FR 3072534 A1 FR3072534 A1 FR 3072534A1 FR 1759669 A FR1759669 A FR 1759669A FR 1759669 A FR1759669 A FR 1759669A FR 3072534 A1 FR3072534 A1 FR 3072534A1
- Authority
- FR
- France
- Prior art keywords
- terminal
- network
- identifier
- server
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2571—NAT traversal for identification, e.g. for authentication or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
Abstract
L'invention concerne une session de communication sécurisée entre un terminal et un serveur, comprenant ce qui suit : - envoyer (S207), en réponse à la réception d'une requête de connexion audit serveur en provenance du terminal, un message contenant un identifiant temporaire préalablement créé et stocké en association avec un identifiant de ressource réseau et un identifiant utilisateur du terminal, et une adresse de redirection de ladite requête, selon une version sécurisée d'un protocole de communication, - recevoir (S209) du terminal une requête de connexion au serveur selon ladite version sécurisée, ladite requête contenant l'identifiant temporaire, - à partir dudit identifiant temporaire reçu, obtenir (S211) ledit identifiant utilisateur, - autoriser (S3) ladite session sécurisée, en utilisant l'identifiant utilisateur obtenu.
Description
Communication sécurisée entre un terminal et un serveur
Domaine de l'invention
Le domaine général de l'invention est celui des télécommunications.
L’invention concerne plus particulièrement la mise en oeuvre de communications sécurisées entre un terminal et un serveur, tel que par exemple un serveur mettant en oeuvre un service ou une application.
Etat de la technique
Pour accéder à un tel serveur de façon sécurisée, il est courant de requérir une identification de l’utilisateur.
Une telle identification consiste par exemple, pour l’utilisateur, à renseigner un identifiant de connexion comprenant un identifiant d’utilisateur et un mot de passe. L'identifiant de connexion permet à l'administrateur du serveur de gérer les droits d’accès d’un utilisateur associé à cet identifiant pour un service ou une application mis en oeuvre par le serveur. Ce type d’identification oblige l’utilisateur à créer un compte sur un tel serveur et à mémoriser un identifiant de connexion et un mot de passe.
Selon un autre exemple, une telle identification consiste à exploiter un identifiant d’un abonnement auprès d’un opérateur, typiquement le MSISDN (abréviation anglaise de « Mobile Station Integrated Services Digital Network Number >>). Cet identifiant est le numéro connu du public d'identification de l’utilisateur dans le réseau de son opérateur. C'est cet identifiant, couramment appelé numéro de téléphone, qui doit être composé afin de joindre l’utilisateur ayant souscrit à un abonnement. Lorsqu’un terminal utilisateur établit une session de communication avec un serveur connecté à un réseau de données, par exemple de type IP (« Internet Protocol >>), pour accéder par exemple à un service ou une application proposé par ce serveur, un montage du contexte de la session est d’abord créé par une passerelle d’interconnexion entre le réseau de l’opérateur et le réseau de données. Une telle passerelle d’interconnexion est par exemple le GGSN (abréviation anglaise de « Gateway General Packet Radio Service Support Node >>) dans un réseau 3G ou la PGW (abréviation anglaise de « Packet Gateway >>) dans un réseau 4G. La passerelle d’interconnexion attribue alors une adresse IP privée au terminal et stocke cette adresse IP privée en association avec le MSISDN obtenu d’une base de données du réseau de l’opérateur, telle que par exemple le HLR (abréviation anglaise de « Home Location Register »). L’adresse IP privée et le MSISDN correspondant sont alors transmis par la passerelle à un dispositif d’authentification qui est situé dans le réseau de l’opérateur. Le dispositif d’authentification stocke l’adresse IP privée en association avec le MSISDN. Lorsque la session de communication commence, le flux de communication qui contient l’adresse IP privée est d’abord routé vers la passerelle d’interconnexion. Cette dernière reconnaît l’adresse IP privée et la communique au dispositif d’authentification qui la reconnaît également puisqu’il l’a stockée lors du montage du contexte de la session. Le dispositif d’authentification autorise alors l’accès du terminal au serveur connecté au réseau de données. On parle alors d’authentification implicite de l’utilisateur.
Jusqu’à il y a quelques années, de telles sessions de communication étaient mises en oeuvre généralement selon le protocole http (abréviation anglaise de « HyperText Transfer Protocol >>). A l’heure actuelle, une fois que le montage du contexte de la session de communication a été créé selon le protocole http, de telles sessions de communication sont généralement établies selon le protocole https (abréviation anglaise de « HyperText Transfer Protocol Secure») qui vise à créer un canal de communication sécurisé lors d’une session de communication entre un terminal utilisateur et un serveur. La mise en oeuvre du protocole https engendre l’installation, dans le réseau de l’opérateur, d’équipements informatiques de protection des données transmises dans ledit réseau, tels que par exemple des pares-feux. En particulier, un pare-feu est placé en coupure entre la passerelle d’interconnexion et le dispositif d’authentification.
Un inconvénient d’une telle architecture de réseau sécurisé réside dans le fait que lorsqu’une session de communication commence, le flux de communication qui contient l’adresse IP privée est d’abord routé vers la passerelle d’interconnexion. Cette dernière reconnaît l’adresse IP privée et route le flux de communication, qui contient cette adresse IP privée, à destination du pare-feu qui attribue alors une adresse IP publique au terminal. Le pare-feu route le flux de communication qui contient cette adresse IP publique à destination du dispositif d’authentification qui ne reconnaît pas l’adresse IP publique attribuée. Le dispositif d’authentification n’autorise donc pas l’accès du terminal au serveur. Il en résulte que la session de communication entre le terminal et le serveur ne peut pas être établie.
Un tel dysfonctionnement peut s’avérer grandement préjudiciable pour l’opérateur.
Objet et résumé de l'invention
Un des buts de l'invention est donc de remédier à des insuffisances/inconvénients de l'état de la technique et/ou d'y apporter des améliorations.
A cet effet, un objet de la présente invention concerne un procédé de communication sécurisée entre un terminal connecté à un premier réseau de communication et un serveur connecté à un deuxième réseau de communication, mettant en oeuvre ce qui suit, au niveau d’un dispositif d’authentification situé dans le premier réseau :
- recevoir, en provenance du terminal, via le premier réseau, une requête de connexion au serveur selon un protocole de communication non sécurisé, en vue d’établir une session de communication sécurisée avec ledit serveur, la requête contenant un identifiant de ressource réseau qui est relatif au terminal et qui a été préalablement enregistré dans un dispositif de stockage, en association avec un identifiant de l’utilisateur du terminal.
Un tel procédé est remarquable en ce que le dispositif d’authentification met en en oeuvre, suite à la réception de la requête de connexion, ce qui suit:
- créer un identifiant temporaire relatif à la session de communication,
- stocker dans le dispositif de stockage l’identifiant temporaire en association avec l’identifiant de ressource réseau et l’identifiant utilisateur relatif au terminal,
- envoyer au terminal, via le premier réseau, une réponse à la requête de connexion, contenant l’identifiant temporaire créé et une adresse de redirection de la requête de connexion vers le dispositif d’authentification, selon une version sécurisée dudit protocole de communication,
- recevoir, en provenance du terminal, via le premier réseau, la requête de connexion au serveur selon la version sécurisée du protocole de communication ayant été indiquée dans la réponse, la requête contenant l’identifiant temporaire créé,
- à partir de l’identifiant temporaire contenu dans la requête de connexion reçue, obtenir du dispositif de stockage l’identifiant utilisateur associé à l’identifiant temporaire,
- autoriser l’établissement de la session de communication sécurisée du terminal avec le serveur, via les premier et deuxième réseaux de communication, en utilisant l’identifiant utilisateur obtenu.
Une telle procédure permet une authentification implicite d’un utilisateur souhaitant accéder à un serveur avec son terminal, conformément à un protocole de communication sécurisée, qui soit non seulement très sûre et fiable, mais également particulièrement simple à mettre en oeuvre puisqu’elle est adaptée à l’infrastructure réseau existante, sans nécessité d’une modification des équipements réseau qui la constituent ou d’ajout de nouveaux équipements.
Selon un mode de réalisation particulier, l’identifiant temporaire de l’utilisateur est inséré dans un en-tête de la requête de connexion au serveur selon la version sécurisée dudit protocole de communication, qui est reçue par le dispositif d’authentification.
Un tel enrichissement de la requête de connexion sécurisée avec un identifiant temporaire de l’utilisateur est simple à mettre en oeuvre et permet au dispositif d’authentification qui reçoit cette requête en provenance d’un pare-feu, de retrouver systématiquement l’adresse réseau privée qui a été attribuée, lors du montage de la session, au terminal utilisateur. En effet, de manière avantageuse, cette adresse réseau privée a été stockée préalablement dans le dispositif de stockage du dispositif d’authentification avec cet identifiant temporaire, ce qui permet à ce dernier de retrouver rapidement l’adresse réseau privée, alors même que la requête de connexion au serveur selon la version sécurisée du protocole de communication qui est reçue par le dispositif d’authentification contient une adresse réseau publique relative au terminal de l’utilisateur, que ne reconnaît pas le dispositif d’authentification.
Selon un mode de réalisation particulier, l’identifiant temporaire de l’utilisateur est contenu dans un cookie.
La mise en oeuvre d’un tel cookie contenant un identifiant temporaire relatif à l’utilisateur ayant initié la session de communication avec le serveur permet au dispositif d’authentification de tracer simplement l’identification de l’utilisateur du terminal considéré lorsque la communication du terminal avec le serveur est initiée selon la version sécurisée du protocole de communication, en lui permettant de retrouver très rapidement les véritables identifiant de ressource réseau et identifiant utilisateur qui ont été stockés, dans le dispositif de stockage, en association avec l’identifiant temporaire.
En outre, cette mise en oeuvre permet avantageusement d’éviter toute usurpation frauduleuse de l’identité de cet utilisateur par un autre utilisateur qui chercherait par la suite à poursuivre la session de communication établie entre le terminal utilisateur considéré et ledit serveur, selon le protocole de communication sécurisée.
Les différents modes ou caractéristiques de réalisation précités peuvent être ajoutés indépendamment ou en combinaison les uns avec les autres, au procédé de communication sécurisée tel que défini ci-dessus.
L’invention concerne également un dispositif d’authentification adapté pour une communication sécurisée entre un terminal connecté à un premier réseau de communication et un serveur connecté à un deuxième réseau de communication, un tel dispositif étant situé dans le premier réseau et comprenant un circuit de traitement qui est agencé pour recevoir en provenance du terminal, via le premier réseau, une requête de connexion au serveur selon un protocole de communication non sécurisé, en vue d’établir une session de communication sécurisée avec ledit serveur, la requête de connexion contenant un identifiant de ressource réseau qui est relatif au terminal et qui a été préalablement enregistré dans un dispositif de stockage, en association avec un identifiant de l’utilisateur du terminal.
Un tel dispositif d’authentification est remarquable en ce que le circuit de traitement met en oeuvre, suite à la réception de la requête de connexion, ce qui suit:
- créer un identifiant temporaire relatif à la session de communication,
- stocker dans le dispositif de stockage l’identifiant temporaire en association avec l’identifiant de ressource réseau et l’identifiant de l’utilisateur du terminal,
- envoyer au terminal, via le premier réseau, une réponse à la requête de connexion, contenant l’identifiant temporaire créé et une adresse de redirection de la requête de connexion vers le dispositif d’authentification, selon une version sécurisée du protocole de communication,
- recevoir, en provenance du terminal, via le premier réseau, la requête de connexion au serveur selon la version sécurisée du protocole de communication ayant été indiquée dans la réponse, la requête contenant l’identifiant temporaire créé,
- à partir de l’identifiant temporaire contenu dans la requête de connexion reçue, obtenir du dispositif de stockage l’identifiant utilisateur associé à l’identifiant temporaire,
- autoriser l’établissement de la session de communication sécurisée du terminal avec le serveur, via les premier et deuxième réseaux de communication, en utilisant l’identifiant utilisateur obtenu.
L'invention concerne également un programme d'ordinateur pour mettre en oeuvre des instructions de code de programme pour l’exécution des étapes du procédé de communication sécurisée selon l’invention, lorsque le programme est exécuté dans un dispositif d’authentification.
Un tel programme peut utiliser n’importe quel langage de programmation et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
L’invention concerne également un support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur, ce programme comportant des instructions adaptées à la mise en oeuvre des étapes du procédé de communication sécurisée selon l’invention, lorsque le programme est exécuté dans un dispositif d’authentification tel que mentionné ci-dessus.
Les supports d'enregistrement peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, une clé USB ou encore un moyen d'enregistrement magnétique, par exemple un disque dur.
D'autre part, le support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé d’établissement de communication précité.
Brève description des dessins
D'autres caractéristiques et avantages apparaîtront à la lecture d’un mode de réalisation préféré décrit en référence aux figures dans lesquelles:
- la figure 1 est une vue schématique et générale d’une architecture dans laquelle est mis en oeuvre le procédé de communication sécurisée dans un mode de réalisation particulier de l’invention,
- la figure 2 représente un dispositif d’authentification dans un mode de réalisation particulier de l’invention,
- la figure 3 représente les principales étapes d’un procédé de communication sécurisée dans un mode de réalisation particulier de l’invention.
Description détaillée d’un premier mode de réalisation
La figure 1 représente un environnement dans lequel est mis en oeuvre le procédé de communication sécurisée entre un terminal utilisateur et un serveur.
Dans un souci de clarté de la figure 1, certains éléments bien connus de cet environnement ne sont pas représentés. De tels éléments sont par exemple des serveurs, des noeuds, des stations de base, des passerelles ou encore d’autres entités du réseau de télécommunications utilisés dans cet environnement.
Sur la figure 1 sont représentés :
- un terminal utilisateur TER connecté à un premier réseau de communication RC1, tel que par exemple un réseau mobile GSM (abréviation anglaise de « Global System for Mobile communications »), UMTS (abréviation anglaise de « Universal Mobile Télécommunications System »), LTE (abréviation anglaise de « Long Term Evolution »), etc...,
- un serveur SER connecté à un deuxième réseau de communication RC2, par exemple de type IP,
- une passerelle d’interconnexion PI qui assure l’interconnexion entre le premier réseau RC1 et le deuxième réseau RC2.
Le terminal TER comprend de façon connue en soi une interface de communication adaptée pour communiquer avec le réseau de communication RC1. Il peut s’agir par exemple d’un téléphone portable, d’un smartphone (« téléphone intelligent >>), d’une tablette, etc...
Le serveur SER est configuré pour mettre en oeuvre un service ou une application requise par le terminal TER. A titre d’exemples non exhaustifs, le serveur SER est un serveur WAP (abréviation anglaise de « Wireless Application Protocol >>), un serveur hébergeant les services proposés par l’opérateur de télécommunications du réseau de communication RC1 auquel est abonné l’utilisateur du terminal TER, un serveur de fourniture de contenus, etc....
La passerelle d’interconnexion PI est par exemple de type GGSN, PGW ou autres.
La sécurisation des communications entre le terminal TER et le serveur SER est assurée par un dispositif d’authentification DAUT objet de l’invention. Un pare-feu PF est en outre placé en coupure de flux entre la passerelle d’interconnexion PI et le dispositif d’authentification DAUT.
En relation avec la figure 2, on considère maintenant la structure simplifiée du dispositif d’authentification DAUT selon un exemple de réalisation de l’invention. Dans l’exemple représenté, le dispositif DAUT est une plateforme ou bien un serveur adapté pour mettre en oeuvre une authentification de l’utilisateur du terminal TER, dans le cadre de l’établissement d’une communication sécurisée entre le terminal TER et le serveur SER de la figure 1.
Par exemple, le dispositif d’authentification DAUT comprend des ressources physiques et/ou logicielles, en particulier un circuit de traitement CT pour mettre en oeuvre le procédé de communication sécurisée selon l'invention, le circuit de traitement CT contenant un processeur PROC piloté par un programme d'ordinateur PG.
A l'initialisation, les instructions de code du programme d'ordinateur PG sont par exemple chargées dans une mémoire RAM, notée MR, avant d'être exécutées par le circuit de traitement CT.
Le dispositif DAUT comprend principalement :
- une interface de communication COM10 apte à communiquer avec le réseau RC1 afin de recevoir, via ce dernier, une copie d’un ticket de traçabilité d’établissement de session TTS, par exemple du type « accounting start ticket >>, qui est créé classiquement au moment de l’initialisation d’une session de communication entre le terminal TER et le serveur SER de la figure 1, une telle interface étant par exemple de type UMTS, GSM, LTE, IP, etc...,
- une interface de communication COM11 qui est adaptée pour communiquer avec le réseau RC2, afin de permettre l’accès du terminal TER au serveur SER, une telle interface étant adaptée pour fonctionner selon un protocole de communication sécurisé ou non selon le type d’accès requis par le terminal TER, un tel protocole étant par exemple de type http ou https,
- un dispositif d’extraction EXT qui est notamment adapté pour extraire de la copie du ticket de traçabilité d’établissement de session TTS qui a été reçue par l’interface de communication COM10, un identifiant de ressource réseau IR_T relatif au terminal TER et un identifiant utilisateur IU_T relatif à l’utilisateur du terminal TER,
- un dispositif de stockage BD, par exemple une base de données, qui est relié au dispositif d’extraction EXT et qui est adapté pour enregistrer une association entre l’identifiant IR_T de ressource réseau et l’identifiant utilisateur IU_T.
Le dispositif d’authentification DAUT comprend en outre :
- un dispositif de calcul CAL adapté pour créer un identifiant temporaire IU_TEMP relatif à la session de communication courante initiée entre le terminal TER et le serveur SER,
- un dispositif AFF d’affectation de l’identifiant temporaire IU_TEMP à l’association IR_T<->IU_T enregistrée dans la base de données BD.
Les interfaces de communication COM10, COM11, le dispositif d’extraction EXT, le dispositif de stockage BD, le dispositif de calcul CAL et le dispositif d’affectation AFF sont pilotés par le processeur PROC du circuit de traitement CT.
A titre d’exemples non exhaustifs, un identifiant IR_T peut être :
- l’adresse IP privée allouée de façon temporaire au terminal TER lors du montage de la session de communication avec le serveur SER,
- l’adresse du masque de sous-réseau allouée de façon temporaire au terminal TER lors du montage de la session de communication avec le serveur SER,
- l’adresse SIP (abréviation anglaise de « Session Initiation Protocol >>) du terminal TER,
- etc...
A titre d’exemples non exhaustifs, un identifiant IU_T peut être :
- l’identifiant d’appel MSISDN correspondant de manière unique à la carte SIM (en anglais « Subscriber Identity Module >>) qui est fournie par l’opérateur du réseau de communication RC1 auprès duquel s’est inscrit l’utilisateur du terminal TER,
- le type RAT (abréviation anglaise de « Radio Access Technology >>) de technologie radio utilisé par le terminal TER, tel que par exemple, UTRAN, GERAN, WLAN, ...,
- le user-agent envoyé par le navigateur du terminal TER,
- le support de transmission des données audio/vidéo (en anglais « bearer »), tel que par exemple EDGE, UMTS, WiFi,...,
- une valeur représentative de l’activation ou non de l’itinérance du terminal TER,
- etc...
En référence à la figure 3, on décrit maintenant le déroulement d’un procédé de communication sécurisée selon l’invention, mettant en oeuvre une authentification implémentée dans le dispositif d’authentification DAUT de la figure 2.
Une telle authentification est appliquée à un terminal utilisateur TER qui requiert une session de communication sécurisée avec un serveur SER, via les réseaux RC1 et RC2 (figs. 1 et 2). Afin d’établir une telle session, un montage de la session est mis en œuvre en S1. A cet effet, de façon connue en soi, le montage met en œuvre ce qui suit :
- en S100, le terminal TER envoie, via le réseau RC1, à la passerelle d’interconnexion PI, une requête en création de session, qui est par exemple du type « GTP Create Session >>, où GTP (abréviation anglaise de « General Packet Radio Service Tunneling Protocol >>) est un protocole de tunnelisation bien connu,
- en S101, la passerelle d’interconnexion PI alloue au terminal TER un identifiant de ressource réseau IR_T,
- en S102, la passerelle d’interconnexion PI envoie, via le réseau RC1, un ticket de traçabilité d’établissement de session TTS, par exemple du type « accounting start ticket >>, à un serveur SR de centralisation de données d’authentification, tel que par exemple un serveur Radius (abréviation anglaise de « Remote Authentication Dial-ln User Service »), le ticket TTS contenant l’identifiant de ressource réseau IR_T et un identifiant utilisateur IU_T, tel que contenu dans la requête « GTP Create Session >>,
- en S103, le serveur Radius SR envoie une copie du ticket TTS au dispositif d’authentification DAUT, via le réseau RC1,
- en S104, la copie du ticket TTS est reçue par l’interface COM10 du dispositif d’authentification DAUT, telle qu’illustrée en figure 2. La copie du ticket TTS contient notamment l’identifiant IR_T de ressource réseau associé au terminal TER et l’identifiant utilisateur IU_T associé à l’utilisateur du terminal TER. Selon un mode de réalisation préféré, l’identifiant IR_T est l’adresse IP du terminal TER et l’identifiant IU_T est le MSISDN du terminal TER. Comme mentionné plus haut dans la description, d’autres exemples sont possibles pour le choix de ces identifiants,
- en S105, les identifiants IR_T et IU_T sont extraits de la copie du ticket TTS par le dispositif d’extraction EXT illustré en figure 2,
- en S106, l’association IR_T<->IU_T est stockée dans la base de données BD de la figure 2.
Une fois que le montage de session S1 est terminé, conformément à l’invention, une authentification implicite S2 de l’utilisateur du terminal TER est mise en œuvre comme suit :
- en S200, le terminal TER envoie, via le réseau RC1, à la passerelle d’interconnexion PI, une requête de connexion au serveur SER selon un protocole de communication non sécurisé, par exemple de type http, la requête étant du type « http GET... >>,
- en S201, la passerelle d’interconnexion PI modifie la requête de connexion reçue en y insérant l’identifiant de ressource réseau IR_T alloué en S101,
- en S202, la passerelle d’interconnexion PI retransmet la requête de connexion modifiée au dispositif d’authentification DAUT, via le réseau RC1,
- en S203, la requête de connexion modifiée est reçue par l’interface COM10 du dispositif d’authentification DAUT,
- en S204, l’identifiant IR_T est extrait de la requête modifiée reçue, par le dispositif d’extraction EXT illustré en figure 2,
- en S205, le dispositif de calcul CAL du dispositif d’authentification DAUT créé un identifiant temporaire IU_TEMP relatif à la session de communication courante associée à l’identifiant de ressource réseau IR_T extrait, l’identifiant temporaire étant créé par exemple à l’aide d’un algorithme de génération de nombres aléatoires,
- en S206, le dispositif d’affectation AFF du dispositif d’authentification DAUT enregistre l’identifiant temporaire IU_TEMP ainsi créé en correspondance avec l’association IR_T<->IU_T stockée en S106 lors du montage S1 de la session de communication courante,
- en S207, le dispositif d’authentification DAUT envoie au terminal TER, via le réseau RC1, une réponse à la requête de connexion envoyée en S200, la réponse contenant l’identifiant temporaire IU_TEMP créé en S205 et une adresse de redirection, dans le réseau RC1, vers le dispositif d’authentification DAUT, selon une version sécurisée du protocole de communication associé à ladite requête de connexion, c'est-à-dire https dans l’exemple décrit ici, une telle réponse étant alors du type :
http 302 Redirect https://.....(IU_TEMP),
- en S208, le terminal TER envoie en réponse au dispositif d’authentification DAUT, via le réseau RC1 et par l’intermédiaire du pare-feu PF de la figure 1, une requête de connexion au serveur SER selon la version sécurisée du protocole de communication associé à la requête de connexion envoyée en S200, la requête étant du type « https GET... (IU_TEMP) >> et contenant en outre l’identifiant temporaire IU_TEMP et une adresse réseau publique attribuée par le pare-feu PF,
- en S209, la requête de connexion envoyée en S208 est reçue par l’interface COM10 du dispositif d’authentification DAUT,
- en S210, l’identifiant temporaire IU_TEMP est extrait de la requête de connexion sécurisée reçue, par le dispositif d’extraction EXT illustré en figure 2,
- en S211, le dispositif d’authentification DAUT requiert de la base de données BD l’identifiant utilisateur IU_T correspondant à l’identifiant temporaire IU_TEMP extrait.
L’utilisateur du terminal TER est alors authentifié de façon implicite.
Selon un exemple de réalisation, l’identifiant temporaire IU_TEMP contenu dans la réponse envoyée en S207 est contenu dans un cookie qui est par exemple inséré dans l’en-tête de cette réponse.
Une fois que l’authentification implicite S2 est terminée, une autorisation S3 de l’accès du terminal TER au serveur SER est mise en oeuvre de façon classique par le dispositif d’authentification DAUT, comme suit :
- en S300, le dispositif d’authentification DAUT envoie au terminal TER, via le réseau RC1, une réponse à la requête de connexion sécurisée envoyée en S208, laquelle réponse est conforme au protocole de communication sécurisé associé à ladite requête de connexion sécurisée, c'est-à-dire https dans l’exemple décrit ici, une telle réponse contenant un cookie de session « session cookie >> et étant alors du type : http 302 Redirect https://.....(session cookie),
- en S301, le terminal TER envoie en réponse au dispositif d’authentification DAUT, via le réseau RC1, une requête de connexion au serveur SER selon la version sécurisée du protocole de communication associé à la requête de connexion envoyée en S208, la requête étant du type « https GET... (session cookie) >>,
- en S302, le dispositif d’authentification DAUT transmet la requête de connexion sécurisée reçue au serveur SER, via le réseau RC2.
Il va de soi que les modes de réalisation qui ont été décrits ci-dessus ont été donnés à titre purement indicatif et nullement limitatif, et que de nombreuses modifications peuvent être facilement apportées par l’homme de l’art sans pour autant sortir du cadre de l’invention.
Claims (6)
- REVENDICATIONS1. Procédé de communication sécurisée entre un terminal (TER) connecté à un premier réseau de communication (RC1) et un serveur (SER) connecté à un deuxième réseau de communication (RC2), mettant en oeuvre ce qui suit, au niveau d’un dispositif d’authentification (DAUT) situé dans le premier réseau :- recevoir (S202), en provenance du terminal, via le premier réseau, une requête de connexion au serveur selon un protocole de communication non sécurisée, en vue d’établir une session de communication sécurisée avec ledit serveur, la requête contenant un identifiant de ressource réseau (IR_T) qui est relatif au terminal et qui a été préalablement enregistré dans un dispositif de stockage, en association avec un identifiant (IU_T) de l’utilisateur du terminal, ledit procédé étant caractérisé en ce que le dispositif d’authentification met en en oeuvre, suite à la réception de la requête de connexion, ce qui suit:- créer (S205) un identifiant temporaire (IU_TEMP) relatif à la session de communication,- stocker (S206) dans le dispositif de stockage ledit identifiant temporaire en association avec ledit identifiant de ressource réseau et ledit identifiant utilisateur relatif au terminal,- envoyer (S207) au terminal, via le premier réseau, une réponse à la requête de connexion, contenant l’identifiant temporaire créé et une adresse de redirection de la requête de connexion vers le dispositif d’authentification, dans le premier réseau, selon une version sécurisée dudit protocole de communication,- recevoir (S209), en provenance du terminal, via ledit premier réseau, la requête de connexion audit serveur selon la version sécurisée dudit protocole de communication indiquée dans la réponse, ladite requête contenant l’identifiant temporaire créé,- à partir de l’identifiant temporaire contenu dans la requête de connexion reçue, obtenir (S211) du dispositif de stockage l’identifiant utilisateur associé à l’identifiant temporaire,- autoriser (S3) l’établissement de la session de communication sécurisée du terminal avec le serveur, via les premier et deuxième réseaux de communication, en utilisant l’identifiant utilisateur obtenu.
- 2. Procédé de communication sécurisée selon la revendication 1, dans lequel l’identifiant temporaire (IU_TEMP) de l’utilisateur est inséré dans un en-tête de la requête de connexion audit serveur selon la version sécurisée dudit protocole de communication, qui est reçue par le dispositif d’authentification.
- 3. Procédé de communication sécurisée selon la revendication 1 ou la revendication 2, dans lequel l’identifiant temporaire de l’utilisateur est contenu dans un cookie.
- 4. Dispositif d’authentification (DAUT) adapté pour une communication sécurisée entre un terminal connecté à un premier réseau de communication et un serveur connecté à un deuxième réseau de communication, ledit dispositif étant situé dans le premier réseau et comprenant un circuit de traitement (CT) qui est agencé pour recevoir en provenance du terminal, via le premier réseau, une requête de connexion au serveur selon un protocole de communication non sécurisé, en vue d’établir une session de communication sécurisée avec ledit serveur, ladite requête contenant un identifiant de ressource réseau qui est relatif au terminal et qui a été préalablement enregistré dans un dispositif de stockage, en association avec un identifiant de l’utilisateur du terminal, ledit dispositif d’authentification étant caractérisé en ce que le circuit de traitement met en oeuvre, suite à la réception de la requête de connexion, ce qui suit:- créer un identifiant temporaire relatif à la session de communication,- stocker dans le dispositif de stockage l’identifiant temporaire en association avec ledit identifiant de ressource réseau et ledit identifiant utilisateur relatif au terminal,- envoyer au terminal, via le premier réseau, une réponse à la requête de connexion, contenant l’identifiant temporaire créé et une adresse de redirection de la requête de connexion vers le dispositif d’authentification, selon une version sécurisée du protocole de communication,- recevoir, en provenance du terminal, via le premier réseau, la requête de connexion au serveur selon la version sécurisée du protocole de communication ayant été indiquée dans la réponse, ladite requête contenant l’identifiant temporaire créé,- à partir de l’identifiant temporaire contenu dans la requête de connexion reçue, obtenir du dispositif de stockage l’identifiant utilisateur associé à l’identifiant temporaire,- autoriser l’établissement de la session de communication sécurisée du terminal avec le serveur, via les premier et deuxième réseaux de communication, en utilisant l’identifiant utilisateur obtenu.
- 5. Programme d'ordinateur comportant des instructions de code de programme pour l’exécution des étapes du procédé de communication sécurisée selon l’une quelconque des revendications 1 à 3, lorsque ledit programme est exécuté sur un ordinateur.
- 6. Support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur comprenant des instructions de code de programme pour l’exécution des étapes du procédé de de communication sécurisée selon l’une quelconque des revendications 1 à 3, lorsque ledit programme est exécuté par un ordinateur.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1759669A FR3072534A1 (fr) | 2017-10-16 | 2017-10-16 | Communication securisee entre un terminal et un serveur |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1759669A FR3072534A1 (fr) | 2017-10-16 | 2017-10-16 | Communication securisee entre un terminal et un serveur |
| FR1759669 | 2017-10-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR3072534A1 true FR3072534A1 (fr) | 2019-04-19 |
Family
ID=61599266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1759669A Pending FR3072534A1 (fr) | 2017-10-16 | 2017-10-16 | Communication securisee entre un terminal et un serveur |
Country Status (1)
| Country | Link |
|---|---|
| FR (1) | FR3072534A1 (fr) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9363665B1 (en) * | 2014-09-30 | 2016-06-07 | Sprint Communications Company L.P. | Targeting insertion work-around for long term evolution (LTE) path |
| WO2016128645A1 (fr) * | 2015-02-13 | 2016-08-18 | Orange | Technique de connexion a un service |
| US20160359632A1 (en) * | 2012-08-24 | 2016-12-08 | At&T Intellectual Property I, L.P. | Algorithm-based anonymous customer references |
-
2017
- 2017-10-16 FR FR1759669A patent/FR3072534A1/fr active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160359632A1 (en) * | 2012-08-24 | 2016-12-08 | At&T Intellectual Property I, L.P. | Algorithm-based anonymous customer references |
| US9363665B1 (en) * | 2014-09-30 | 2016-06-07 | Sprint Communications Company L.P. | Targeting insertion work-around for long term evolution (LTE) path |
| WO2016128645A1 (fr) * | 2015-02-13 | 2016-08-18 | Orange | Technique de connexion a un service |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8982893B2 (en) | System and method of quality of service enablement for over the top applications in a telecommunications system | |
| US20070143470A1 (en) | Facilitating integrated web and telecommunication services with collaborating web and telecommunication clients | |
| CA2789495C (fr) | Identification sans coupure d'un abonne mobile | |
| EP1560368A1 (fr) | Procédé d'établissement d'une session multimédia entre un équipement appelant et un équipement appelé d'un réseau du type à sous domaine multimédia et système de communication mettant en oeuvre ce procédé | |
| EP3417591B1 (fr) | Procédé et serveur de sélection d'un serveur d'entrée d'un réseau de communication ims | |
| EP3155791B1 (fr) | Procédé d'établissement d'une session webrtc | |
| US20160119788A1 (en) | Authentication of browser-based services via operator network | |
| EP3251319B1 (fr) | Personnalisation corrélée de multiples services de communication | |
| EP2196003B1 (fr) | Base de donnees et procede d'obtention d'une adresse d'une entite de controle de la qualite de service et de la facturation dans un reseau ims utilisant une telle base de donnees | |
| EP3656142B1 (fr) | Chargement d'un nouveau profil d'abonnement dans un module embarqué d'identification de souscripteur | |
| EP1947870A1 (fr) | Procédé de connexion d'un utilisateur d'un reseau de téléfonie mobile a un service de transmission de données | |
| EP1559286B1 (fr) | Système et procédé de gestion d accès d'un réseau de communication a un terminal mobile | |
| EP2873211B1 (fr) | Procédé d'enregistrement d'au moins une adresse publique dans un réseau ims et application correspondante | |
| CN109510906B (zh) | 上网业务实现方法、装置、系统及存储介质 | |
| WO2016207519A1 (fr) | Terminal et procede d'activation d'une pile protocolaire | |
| EP2856732A1 (fr) | Procédé et entité de traitement d'un message | |
| EP2868058B1 (fr) | Procédé d'émission d'un message par un serveur d'un coeur de réseau ip multimedia ims, et serveur | |
| FR3072534A1 (fr) | Communication securisee entre un terminal et un serveur | |
| EP3235217B1 (fr) | Procédé d'échanges de données entre deux navigateurs internet, équipement de routage, terminal, programme d'ordinateur et support d'informations corespondants | |
| EP2538704B1 (fr) | Indexation d'un message court réalisée par le coeur du réseau | |
| WO2018224859A1 (fr) | Transfert de session de communication lors d'une restriction de transmission de données | |
| WO2017220883A1 (fr) | Procédé de détermination d'un ensemble de formats de codage pour établir une communication | |
| FR3067143A1 (fr) | Securisation d'une base de donnees d'authentification par un reseau | |
| WO2009125145A1 (fr) | Procede d'obtention de donnees relatives a la configuration d'un equipement terminal et serveur | |
| EP4093145A1 (fr) | Terminal mettant en oeuvre un procédé de communication, et serveur mettant en oeuvre un procédé d'établissement d'une communication entre deux terminaux |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLSC | Publication of the preliminary search report |
Effective date: 20190419 |