FR3112054A1 - Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication - Google Patents
Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication Download PDFInfo
- Publication number
- FR3112054A1 FR3112054A1 FR2006802A FR2006802A FR3112054A1 FR 3112054 A1 FR3112054 A1 FR 3112054A1 FR 2006802 A FR2006802 A FR 2006802A FR 2006802 A FR2006802 A FR 2006802A FR 3112054 A1 FR3112054 A1 FR 3112054A1
- Authority
- FR
- France
- Prior art keywords
- access
- terminal
- service
- unique identifier
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/654—International mobile subscriber identity [IMSI] numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Data Mining & Analysis (AREA)
- Telephonic Communication Services (AREA)
Abstract
La présente invention concerne un procédé de contrôle des droits d’accès d’un terminal (1) de communication à un réseau de communication (20), tel qu’un contrôle parental, caractérisé en ce qu’il comprend la mise en œuvre par un module de traitement de données (21) d’un serveur de contrôle (2) du réseau (20) d’étapes de : Réception depuis le terminal (1) connecté au réseau (20) d’une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à un utilisateur du terminal (1) ; Vérification auprès d’un serveur de configuration (3) connecté au serveur de contrôle (2) de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ; Autorisation ou non de l’accès audit service en fonction du résultat de ladite vérification. Figure pour l’abrégé : Fig. 1
Description
DOMAINE TECHNIQUE GENERAL
La présente invention concerne le domaine de l’accès à internet.
Plus précisément, elle concerne un procédé de contrôle des droits d’accès d’un terminal mobile à un réseau de communication, tel qu’un contrôle parental.
ETAT DE L’ART
On appelle contrôle parental un mécanisme permettant aux parents de restreindre automatiquement l’accès de leurs enfants à Internet afin de les protéger. Le contrôle parental est ainsi un mécanisme permettant le contrôle des droits d’accès d’un terminal d’un enfant à un réseau de communication.
Le contrôle parental peut se traduire par une limitation du temps d’accès global, par une interdiction d’accès à certains contenus inappropriés considérés comme choquants, par une limitation d’installation d’applications non approuvées, par un blocage des achats intégrés, etc.
On notera que la présente invention s’applique à d’autres cas de contrôle des droits d’accès d’un terminal mobile à un réseau de communication, autres que le contrôle parental.
Actuellement, lorsque l’on souhaite mettre en place du contrôle parental sur un terminal mobile de type smartphone, les solutions connues se font essentiellement au niveau applicatif (OS du terminal ou application dédiée).
Par exemple, iOS dispose de réglages de « temps d’écran » permettant d’installer des restrictions.
Le problème est que les enfants savent contourner un tel contrôle parental, par exemple en désinstallant l’application responsable ou en modifiant les préférences systèmes, voire en plaçant leur carte SIM dans un autre terminal pour continuer à naviguer sans restriction.
On connait des solutions indépendantes du terminal gérées notamment par une passerelle domestique : on peut appliquer les restrictions aux équipements de réseau local connectés en Wi-Fi à cette passerelle.
Cependant, cette solution peut être aisément contournée en se déconnectant du Wi-Fi de la passerelle si le terminal capte un autre réseau Wi-Fi non protégé ou s’il dispose tout simplement d’une connectivité mobile (par exemple 3G ou 4G).
Il y a par conséquent souhaitable de disposer d’une solution de contrôle d’accès d’un terminal à un réseau de communication, telle qu’une solution de contrôle parental, simple, sécurisée, et applicable de manière universelle à tous les terminaux mobiles quelque soit leur connexion à Internet.
PRESENTATION DE L’INVENTION
La présente invention se rapporte ainsi selon un premier aspect à un procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication, caractérisé en ce qu’il comprend la mise en œuvre par un module de traitement de données d’un serveur de contrôle dudit réseau d’étapes de :
- Réception depuis ledit terminal connecté au réseau d’une requête d’accès à un service, ladite requête comprenant un identifiant unique associé un utilisateur dudit terminal ;
- Vérification auprès d’un serveur de configuration connecté au serveur de contrôle de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
- Autorisation ou non de l’accès audit service en fonction du résultat de ladite vérification.
Ainsi, le contrôle de l’accès du terminal au réseau de communication est mis en œuvre au niveau du réseau de communication et pas au niveau du terminal. Par conséquent, l’accès du terminal au réseau est contrôlé de manière efficace, le contrôle étant difficilement contournable depuis le terminal.
Ainsi, grâce à l’invention, un enfant ne peut pas déroger au contrôle parental, le contournement du contrôle n’étant pas possible depuis son terminal.
Selon des caractéristiques avantageuses et non limitatives :
Ledit réseau est un réseau de communication mobile, ledit serveur de contrôle étant un serveur configuré pour gérer les sessions de communication vers ledit réseau.
Ledit identifiant unique associé à l’utilisateur du terminal est un identifiant d’une carte d’identification d’abonné dudit terminal, en particulier un numéro International Mobile Subscriber Identity.
Ledit service est une ressource internet désignée par une adresse de type URL.
Le serveur de configuration comprend un module de stockage de données stockant une base de règles d’accès chacune associée à un identifiant unique, l’étape de vérification (b) comprenant la vérification auprès du serveur de configuration de la compatibilité dudit service auquel l’accès est requis avec chaque règle d’accès de ladite base associée audit identifiant unique associé à l’utilisateur du terminal.
L’étape de vérification (b) comprend préalablement une sous-étape (b0) de vérification auprès du serveur de configuration qu’il existe au moins une règle d’accès associée audit identifiant unique, la vérification de la compatibilité dudit service étant mise en œuvre seulement s’il existe au moins une règle d’accès associée audit identifiant unique.
A l’étape d’autorisation (c), l’accès audit service est autorisé s’il n’existe aucune règle d’accès associée audit identifiant unique ou si ladite règle d’accès est compatible avec ledit service auquel l’accès est requis.
Le terminal est un terminal esclave, le procédé comprenant une étape préalable (a0) d’ajout depuis un terminal maître de ladite règle d’accès associée audit identifiant unique au niveau du serveur de configuration.
L’étape d’ajout (a0) comprend l’envoi d’un message au terminal esclave pour vérifier qu’un utilisateur du terminal maître a accès au terminal maître.
Selon un deuxième aspect, l’invention concerne un serveur de contrôle d’un réseau, comprenant un module de traitement de données configuré pour ;
- Recevoir depuis un terminal connecté au réseau une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à un utilisateur du terminal ;
- Vérifier auprès d’un serveur de configuration connecté au serveur de contrôle de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
- Autoriser ou non de l’accès audit service en fonction du résultat de ladite vérification.
Selon un troisième aspect, l’invention concerne un système comprenant le serveur selon le deuxième aspect et un serveur de configuration connectés, ledit serveur de configuration comprenant un module de stockage de données stockant une base de règles d’accès.
Selon un quatrième et un cinquième aspect, l’invention concerne un produit programme d’ordinateur comprenant des instructions de code pour l’exécution d’un procédé selon le premier aspect de contrôle des droits d’accès d’un terminal de communication à un réseau de communication ; et un moyen de stockage lisible par un équipement informatique sur lequel un produit programme d’ordinateur comprend des instructions de code pour l’exécution d’un procédé selon le premier aspect de contrôle des droits d’accès d’un terminal de communication à un réseau de communication.
PRESENTATION DES FIGURES
D’autres caractéristiques et avantages de la présente invention apparaîtront à la lecture de la description qui va suivre d’un mode de réalisation préférentiel. Cette description sera donnée en référence aux figures annexées dont :
- La[Fig. 1]est un schéma d’une architecture générale de réseau pour la mise en œuvre du procédé selon l’invention ;
- La[Fig. 2]représente les étapes d’un mode de réalisation du procédé selon l’invention.
DESCRIPTION DETAILLEE
Architecture
En référence à la , l’invention propose un procédé de contrôle des droits d’accès d’un terminal 1 de communication à un réseau de communication 20 tel qu’un contrôle parental mis en œuvre au sein du réseau 20 appelé premier réseau, typiquement un réseau de communication mobile, c’est-à-dire un réseau sans-fil (ondes radio) pour la téléphonie mobile, en particulier 2G (EDGE/GPRS), 3G (UMTS) ou 4G (LTE), mais tout autre technologie existante ou à venir pourra être utilisée (par exemple 5G).
Le premier réseau 20 est généralement le réseau d’un opérateur de téléphonie mobile, et est interconnecté avec un deuxième réseau 30, par exemple un réseau étendu tel que le réseau internet 30.
De manière classique, le premier réseau 20 comprend au moins un serveur de contrôle 2, c’est-à-dire un équipement qui gère la signalisation (plan de contrôle) entre les différents terminaux connectés et le cœur de réseau (c’est-à-dire les équipements passerelles (routeurs) pour l’acheminement des données d’un terminal à un autre). A ce titre, le serveur de contrôle 2 dialogue avec les autres équipements du premier réseau 20 notamment pour faire du contrôle d'accès et gérer la connexion, les droits d'accès et la sécurité des abonnés.
Le serveur de contrôle 2 a le rôle de gérer les sessions (authentification, autorisations, session voix et donnée) de communication vers un réseau de communication. Par exemple, dans les réseaux 3G ou 4G, le serveur de contrôle 2 est de type Mobility Management Entity (MME). Il est chargé de dialoguer avec le HSS (Home Subscriber Server - la base de données centrale de l’opérateur du réseau 20) de manière à consulter et stocker les profils et les données de sécurité des terminaux. De façon classique, le serveur de contrôle 2 comprend un module de traitement de données 21 tel qu’un processeur, et possiblement un module de stockage de données 22 (une mémoire, par exemple flash).
On se place du point de vue d’un terminal 1 particulier, mais on comprendra que le présente procédé pourra être appliqué à tous les terminaux connectés ou connectable au premier réseau 20, i.e. tous les terminaux dont l’utilisateur est un abonné du premier réseau 20. Pour cela, le terminal 1 pourra présenter (insérée physiquement ou virtualisée) une carte d’identification d’abonné 10 du premier réseau 20, c’est-à-dire un élément sécurisé tel qu’une carte SIM ou USIM (pour les réseaux 3G ou 4G). Comme l’on verra plus loin, la carte d’identification d’abonné 10 est personnelle et stocke un identifiant unique associé à son abonné, i.e. l’utilisateur du terminal 1 dans lequel elle est installée, en particulier un numéro International Mobile Subscriber Identity (IMSI). A noter qu’on peut utiliser d’autres identifiants uniques associés à un utilisateur tel que le Mobile Station ISDN Number (MSISDN) ou comme le numéro de téléphone de l’utilisateur (sous-partie du MSISDN).
Ledit identifiant unique permet d’authentifier l’utilisateur du terminal 1 sur le premier réseau 20. On répète que ledit identifiant unique est lié à l’utilisateur, c’est-à-dire à l’abonné (possesseur de la carte USIM) et non au terminal 1 en lui-même : l’utilisateur pourrait mettre sa carte USIM dans un autre terminal et cela ne changerait rien.
Le terminal 1 en lui-même peut être n’importe quel équipement adapté pour se connecter au premier réseau 20, le plus souvent un smartphone, mais possiblement une tablette tactile, un ordinateur portable, une console de jeux, etc.
Dans un mode de réalisation préféré, le terminal 1 est un premier terminal dit terminal esclave, et on utilise un deuxième terminal 1’ dit terminal maître. Dans le cas typique où le présent procédé est un procédé de contrôle parental, il est en effet appliqué au terminal esclave ou terminal enfant 1 (dont l’utilisateur est supposé être un enfant) et contrôlé via le terminal maître ou terminal parent 1’ (dont l’utilisateur est supposé être un parent).
La distinction parent/enfant est toutefois purement illustrative et correspond à un cas d’usage classique, mais bien entendu le présent procédé ne sera limité à aucune situation particulière. Par exemple, le terminal « maître » pourrait être celui d’un administrateur d’une entreprise et, le terminal « esclave » celui d’un salarié de cette entreprise. Ainsi, la suite de la description expose l’exemple préféré d’un contrôle parental. Toutefois, l’invention s’applique à d’autres cas de contrôle des droits d’accès d’un terminal mobile à un réseau de communications.
Par « contrôle des droits d’accès », on entend toute restriction d’accès à des services au niveau du terminal esclave 1, i.e. une requête d’accès à certains services pourra être refusée dans certaines circonstances, en fonction d’au moins une règle d’accès. On répète que la formule « parentale » est consacrée, mais s’applique à n’importe quelle situation, où l’on peut souhaiter contrôler ce qui peut être accessible sur le terminal esclave 1.
On appelle « règle d’accès » une règle, éventuellement conditionnelle, appliquée à un service pour déterminer si l’accès à ce service peut être autorisé ou non. Les règles sont par exemple :
- Un blocage complet du service ;
- Un accès complet mais avec notification (en particulier du terminal maître 1’) ;
- Un accès sous réserve d’une procédure d’acquittement (par exemple saisie d’un code sur le terminal maître 1’) ;
- La limitation à une plage horaire (l’accès à tel ou tel service, voire à tous les services, est par exemple interdit de 22h à 7h) ;
- La limitation à un temps total d’accès maximum (l’accès à tel ou tel service, voire à tous les services, est par exemple limité à 6h par jour) ;
- Etc.
Chaque règle d’accès est associée à l’identifiant unique associé à l’utilisateur auquel elle s’applique. Comme l’on verra, on suppose qu’au moins une règle d’accès est stockée dans un module de stockage de données 32 d’un serveur 3 dit serveur de configuration, connecté au serveur de contrôle 2. Le serveur de configuration 3 est typiquement disposé dans le deuxième réseau 30, étant par exemple le réseau internet 30 (mais peut également être disposé dans le premier réseau ou réseau opérateur 20). De préférence, on a une base de règles d’accès. Le serveur de configuration 3 comprend également, outre le module de stockage de données 32 (une mémoire, par exemple flash), un module de traitement de données 31 tel qu’un processeur.
Lesdits services correspondent typiquement à des ressources internet, i.e. le contrôle parental vise à contrôler l’accès à des pages internet (dans le deuxième réseau 30 connecté au premier réseau 20). Cet exemple est utilisé pour décrire l’invention dans la suite de la description, mais l’homme du métier saura transposer l’invention à tout autre service auquel l’utilisateur du terminal esclave 1 souhaiterait accéder (téléchargement d’application, achat intégré, etc.)
Une page internet est désignée par son adresse, dite URL (Uniform Resource Locator). On parlera ainsi par commodité dans la présente description « d’accès à une URL ».
Une règle de blocage prend alors par exemple la forme d’une liste d’URLs non autorisées.
Procédé
En référence à la , le présent procédé commence par une étape (a) de réception depuis le terminal esclave 1, d’une requête d’accès à un service. Comme expliqué, ladite requête comprend un identifiant unique associé à l’utilisateur du terminal esclave 1, en particulier un identifiant unique d’une carte d’identification d’abonné 10 du terminal esclave 1, tel que son numéro IMSI.
L’idée est d’utiliser astucieusement le serveur de contrôle 2 comme équipement de contrôle des droits d’accès et donc de contrôle parental en tirant partie de sa capacité à autoriser ou non des connexions. Ainsi, le contrôle des droits d’accès peut s’appliquer pour n’importe quelle connexion au premier réseau ou réseau mobile 20, et est mis en œuvre directement au sein de ce réseau, indépendamment de toute couche applicative. Il n’y a donc pas moyen de le désactiver depuis le terminal esclave1. De plus, dans la mesure où l’on identifie l’utilisateur via son authentifiant unique (et pas le terminal esclave1), mettre la carte d’identification d’abonné 10 dans un autre terminal ne permet pas de contourner le contrôle des droits d’accès.
De surcroit, le serveur de contrôle 2 étant un équipement existant des réseaux mobiles, le coût de mise en œuvre est très réduit.
Dans une étape (b), le module de traitement de données 21 du serveur de contrôle 2 vérifie auprès du serveur de configuration 3 connecté au serveur de contrôle 2 la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique.
Plus précisément, il s’agit d’une étape d’interrogation du serveur de configuration 3 : le serveur de contrôle 2 est seulement capable d’autoriser ou non l’accès au service, pas de déterminer si cet accès au service doit être autorisé. Il pose ainsi la question au serveur de configuration 3, en lui en envoyant une requête contenant l’identification du service auquel l’accès est demandé (par exemple l’URL) et l’identifiant unique associé à l’utilisateur.
Par vérification de la « compatibilité », il est entendu que l’on vérifie le respect ou non de la règle, le cas échéant en fonction de paramètres contextuels. Par exemple, si la règle porte sur une plage horaire d’accès pour le service, la vérification de la compatibilité implique de déterminer l’heure courante pour vérifier si l’on se trouve dans cette plage horaire.
De manière préférée, on vérifie la compatibilité dudit service auquel l’accès est requis avec chaque règle d’accès associée audit identifiant unique. En particulier, la vérification de la compatibilité d’un service avec une règle d’accès correspond à la vérification de la règle d’accès associé à l’identifiant unique compris dans la requête d’accès à un service. En effet, il peut y avoir comme expliqué une pluralité de règles d’accès associée à un identifiant unique, par exemple une liste d’URL bloquées et une plage horaire d’accès. Il faut alors à la fois que l’URL demandée ne soit pas bloquée et que l’on soit dans la plage horaire autorisée. Si une des règles n’est pas respectée l’accès au service ne peut être accepté.
L’étape (b) comprend préférentiellement une sous étape (b0) préalable, dans laquelle on vérifie auprès du serveur de configuration 3 s’il existe au moins une règle d’accès associée audit identifiant unique. En effet, on comprend que l’immense majorité des utilisateurs et donc des requêtes d’accès à un service n’est sujette à aucun contrôle des droits d’accès. Ce serait ainsi une perte de temps que de vérifier pour toutes les requêtes de tous les utilisateurs la compatibilité avec les règles d’accès. Et, si ledit identifiant unique est absent de la base de règles (i.e. s’il n’existe aucune règle d’accès associée audit identifiant unique), on sait que l’utilisateur a tous les droits d’accès (i.e. aucun contrôle des droits d’accès n’est mis en œuvre pour lui) et la requête peut directement être autorisée.
Ensuite, s’il existe au moins une règle d’accès associée audit identifiant unique, il y a lieu de vérifier la compatibilité dudit service auquel l’accès est requis avec la ou les règles d’accès associée(s) audit identifiant unique (puisqu’on sait que du contrôle des droits d’accès est mis en œuvre pour cet utilisateur).
Enfin, dans une étape (c), le serveur de contrôle 2 autorise ou non l’accès audit service en fonction du résultat de ladite vérification. Plus précisément, il reçoit du serveur de configuration 3 le résultat de cette vérification, et :
- Si la compatibilité est vérifiée (ou si comme expliqué il n’existe aucune règle d’accès associée audit identifiant unique), l’accès au service est autorisé ;
- Sinon l’accès au service est refusé. Dans ce dernier cas, le serveur 2 peut renvoyer au terminal esclave1, en lieu et place du service qu’il attendait, une notification l’informant du blocage.
Selon une mode de réalisation particulier, une règle d’accès peut impliquer comme expliqué un accès sous réserve d’une procédure d’acquittement, par exemple la soumission de la requête d’accès au terminal maître 1’. Dans un tel cas, l’étape (b) comprend la mise en œuvre de la procédure d’acquittement (en particulier l’envoi d’une requête de saisie d’un code sur le terminal maître 1’), et si celle-ci est accomplie (code valide renvoyé) le serveur de configuration 3 considère que la vérification de compatibilité est concluante.
Gestion des règles
De manière préférée, le présent procédé comprend une étape (a0) préalable (qui peut être mise en œuvre bien avant l’étape (a)), d’ajout depuis le terminal maître 1’ de ladite règle d’accès associée audit identifiant unique au niveau du serveur de configuration 3 (ou bien de modification ou suppression d’une règle).
Plus précisément, le paramétrage se fait avantageusement depuis une application (mobile ou internet) mise en œuvre depuis le terminal maître 1’. L’application demande un identifiant unique associé à l’utilisateur du terminal esclave 1, tel que le numéro de téléphone.
Ensuite, le terminal maître 1’ adresse une requête contenant l’identifiant unique associé à l’utilisateur du terminal esclave 1, au serveur de configuration 3. En réponse à cette requête, le serveur de configuration 3 envoie un message contenant un code ou un lien (par exemple un SMS) au terminal esclave1. L’utilisateur du terminal maître 1’ peut ensuite saisir le code reçu par le terminal esclave 1 (ou obtenu en cliquant sur le lien) dans l’application installée sur le terminal maître 1’. Il est ainsi vérifié que l’utilisateur du terminal maître 1’ a accès au terminal esclave 1.
Cela permet également au serveur de configuration 3 d’identifier le numéro IMSI de la carte USIM 10 de l’utilisateur.
Une règle construite sur le terminal maître 1’ (définissant par exemple le ou les services concernés et le type de restriction) est alors ajoutée à la base de règles du serveur de configuration 3 pour être activée.
Serveur de contrôle
Selon un deuxième aspect, l’invention concerne le serveur 2 pour la mise en œuvre du procédé selon le premier aspect.
Comme expliqué, ce serveur 2 est un serveur de contrôle d’un premier réseau 20, étant préférentiellement un réseau de communication mobile, et il est préférentiellement disposé dans ce dernier. Il s’agit typiquement d’un MME (Mobile Management Entity) existant du réseau 20.
Le serveur de contrôle 2 comprend un module de traitement de données 21. Ce dernier est plus précisément configuré pour :
- Recevoir depuis un terminal 1, tel qu’un terminal esclave, connecté au premier réseau 20 une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à l’utilisateur du terminal 1 ;
- Vérifier auprès d’un serveur de configuration 3 connecté au serveur de contrôle 2 de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
- Autoriser ou non de l’accès audit service en fonction du résultat de ladite vérification.
Est également proposé le système comprenant le serveur de contrôle 2, et le serveur de configuration 3 (configuré pour mettre en œuvre lesdites vérifications de compatibilité des règles d’accès, ces dernières étant avantageusement stockées dans une base de règles d’un module de stockage 32 du serveur de configuration 3).
Produit programme d’ordinateur
Selon un quatrième et un cinquième aspects, l’invention concerne un produit programme d’ordinateur comprenant des instructions de code pour l’exécution (en particulier sur le module de traitement de données 21 du serveur 2) d’un procédé selon le premier aspect de contrôle des droits d’accès, ainsi que des moyens de stockage lisibles par un équipement informatique (le module de stockage de données 22 du serveur 2) sur lequel on trouve ce produit programme d’ordinateur.
Claims (13)
- Procédé de contrôle des droits d’accès d’un terminal (1) de communication à un réseau de communication (20), caractérisé en ce qu’il comprend la mise en œuvre par un module de traitement de données (21) d’un serveur de contrôle (2) dudit réseau (20) d’étapes de :
- Réception depuis ledit terminal (1) connecté au réseau (20) d’une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à un utilisateur dudit terminal (1) ;
- Vérification auprès d’un serveur de configuration (3) connecté au serveur de contrôle (2) de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
- Autorisation ou non de l’accès audit service en fonction du résultat de ladite vérification.
- Procédé selon la revendication 1, dans lequel ledit réseau (20) est un réseau de communication mobile, ledit serveur de contrôle (2) étant un serveur configuré pour gérer les sessions de communication vers ledit réseau (20).
- Procédé selon l’une des revendications 1 et 2, dans lequel ledit identifiant unique associé à l’utilisateur du terminal (1) est un identifiant d’une carte d’identification d’abonné (10) dudit terminal (1), en particulier un numéro International Mobile Subscriber Identity.
- Procédé selon l’une des revendications 1 à 3, dans lequel ledit service est une ressource internet désignée par une adresse de type URL.
- Procédé selon l’une des revendications 1 à 4, dans lequel le serveur de configuration (3) comprend un module de stockage de données (32) stockant une base de règles d’accès chacune associée à un identifiant unique, l’étape de vérification (b) comprenant la vérification auprès du serveur de configuration (3) de la compatibilité dudit service auquel l’accès est requis avec chaque règle d’accès de ladite base associée audit identifiant unique associé à l’utilisateur du terminal (1).
- Procédé selon l’une des revendications 1 à 5, dans lequel l’étape de vérification (b) comprend préalablement une sous-étape (b0) de vérification auprès du serveur de configuration (3) qu’il existe au moins une règle d’accès associée audit identifiant unique, la vérification de la compatibilité dudit service étant mise en œuvre seulement s’il existe au moins une règle d’accès associée audit identifiant unique.
- Procédé selon la revendication 6, dans lequel, à l’étape d’autorisation (c), l’accès audit service est autorisé s’il n’existe aucune règle d’accès associée audit identifiant unique ou si ladite règle d’accès est compatible avec ledit service auquel l’accès est requis.
- Procédé selon l’une des revendications 1 à 7, dans lequel le terminal (1) est un terminal esclave, le procédé comprenant une étape préalable (a0) d’ajout depuis un terminal maître (1’) de ladite règle d’accès associée audit identifiant unique au niveau du serveur de configuration (3).
- Procédé selon la revendication 8, dans lequel l’étape d’ajout (a0) comprend l’envoi d’un message au terminal esclave (1) pour vérifier qu’un utilisateur du terminal maître (1’) a accès au terminal esclave (1).
- Serveur de contrôle (2) d’un réseau (20), comprenant un module de traitement de données (21) configuré pour ;
- Recevoir depuis un terminal (1) connecté au réseau (20) une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à un utilisateur du terminal (1) ;
- Vérifier auprès d’un serveur de configuration (3) connecté au serveur de contrôle (2) de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
- Autoriser ou non de l’accès audit service en fonction du résultat de ladite vérification.
- Système comprenant le serveur selon la revendication 10 et un serveur de configuration (3) connectés, ledit serveur de configuration (3) comprenant un module de stockage de données (32) stockant une base de règles d’accès.
- Produit programme d’ordinateur comprenant des instructions de code pour l’exécution d’un procédé selon l’une des revendications 1 à 9 de contrôle des droits d’accès d’un terminal de communication à un réseau de communication, lorsque ledit programme est exécuté par un ordinateur.
- Moyen de stockage lisible par un équipement informatique sur lequel un produit programme d’ordinateur comprend des instructions de code pour l’exécution d’un procédé selon l’une des revendications 1 à 9 de contrôle des droits d’accès d’un terminal de communication à un réseau de communication.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2006802A FR3112054A1 (fr) | 2020-06-29 | 2020-06-29 | Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2006802A FR3112054A1 (fr) | 2020-06-29 | 2020-06-29 | Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication |
FR2006802 | 2020-06-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
FR3112054A1 true FR3112054A1 (fr) | 2021-12-31 |
Family
ID=73401603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR2006802A Withdrawn FR3112054A1 (fr) | 2020-06-29 | 2020-06-29 | Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication |
Country Status (1)
Country | Link |
---|---|
FR (1) | FR3112054A1 (fr) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2299667A2 (fr) * | 2009-09-18 | 2011-03-23 | Alcatel Lucent | Controle parental de l'utilisation d'un terminal mobile |
US20160080322A1 (en) * | 2014-09-12 | 2016-03-17 | Verizon Patent And Licensing Inc. | Parental control management and enforcement based on hardware identifiers |
EP3016424A1 (fr) * | 2014-10-28 | 2016-05-04 | Vodafone IP Licensing limited | Notification de téléchargement d'une application en groupes hiérarchiques d'utilisateurs consommateurs de dispositifs mobiles |
-
2020
- 2020-06-29 FR FR2006802A patent/FR3112054A1/fr not_active Withdrawn
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2299667A2 (fr) * | 2009-09-18 | 2011-03-23 | Alcatel Lucent | Controle parental de l'utilisation d'un terminal mobile |
US20160080322A1 (en) * | 2014-09-12 | 2016-03-17 | Verizon Patent And Licensing Inc. | Parental control management and enforcement based on hardware identifiers |
EP3016424A1 (fr) * | 2014-10-28 | 2016-05-04 | Vodafone IP Licensing limited | Notification de téléchargement d'une application en groupes hiérarchiques d'utilisateurs consommateurs de dispositifs mobiles |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10579804B2 (en) | Tailored protection of personally identifiable information | |
US9924356B2 (en) | Controlling, filtering, and monitoring of mobile device access to the internet, data, voice, and applications | |
CN106998551B (zh) | 一种应用接入鉴权的方法、系统、装置及终端 | |
US8490176B2 (en) | System and method for controlling a mobile device | |
US8533227B2 (en) | Managing website blacklists | |
US10320844B2 (en) | Restricting access to public cloud SaaS applications to a single organization | |
EP2084927B1 (fr) | Procede et systeme de mobilite personnalisee par l'utilisateur dans un systeme de communication mobile | |
FR3007167A1 (fr) | Procede d'authentification d'un terminal par une passerelle d'un reseau interne protege par une entite de securisation des acces | |
US20100318681A1 (en) | Protocol-independent, mobile, web filter system provisioning dns triage, uri scanner, and query proxy services | |
EP3132370A1 (fr) | Authentification de portail | |
WO2011113314A1 (fr) | Procédé, système et serveur d'ouverture de service | |
CN113542201B (zh) | 一种用于互联网业务的访问控制方法与设备 | |
CN111177741A (zh) | 一种基于企业浏览器的预授权数据访问方法和装置 | |
CN103873456B (zh) | WiFi设备的访问控制方法及WiFi设备 | |
FR3112054A1 (fr) | Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication | |
US10986085B2 (en) | Subscriber identity management | |
JP2007329542A (ja) | ゲートウェイサーバ、セキュリティ保証システム、その方法およびプログラム | |
KR20080029123A (ko) | 표준 사용자 프로파일 생성 장치 및 방법 | |
CN117850893A (zh) | 云手机应用唤起方法、装置、电子设备及存储介质 | |
CN116383851A (zh) | 一种接口权限管理的方法、系统、计算机和存储介质 | |
CN112822007A (zh) | 一种用户认证方法、装置及设备 | |
FR3007600A1 (fr) | Procede d'authentification d'un utilisateur pour l'acces a un ensemble de services fournis sur un reseau de communication prive | |
CN115801476A (zh) | 一种应用请求的验证方法和装置 | |
Osborne | WAP, m-commerce and security | |
Mikhaylov et al. | Development of the Protection System Against Malicious Software |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLFP | Fee payment |
Year of fee payment: 2 |
|
PLSC | Publication of the preliminary search report |
Effective date: 20211231 |
|
ST | Notification of lapse |
Effective date: 20230205 |