FR3112054A1 - Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication - Google Patents

Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication Download PDF

Info

Publication number
FR3112054A1
FR3112054A1 FR2006802A FR2006802A FR3112054A1 FR 3112054 A1 FR3112054 A1 FR 3112054A1 FR 2006802 A FR2006802 A FR 2006802A FR 2006802 A FR2006802 A FR 2006802A FR 3112054 A1 FR3112054 A1 FR 3112054A1
Authority
FR
France
Prior art keywords
access
terminal
service
unique identifier
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR2006802A
Other languages
English (en)
Inventor
Elyass Najmi
Halim Bendiabdallah
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2006802A priority Critical patent/FR3112054A1/fr
Publication of FR3112054A1 publication Critical patent/FR3112054A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9535Search customisation based on user profiles and personalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/654International mobile subscriber identity [IMSI] numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Data Mining & Analysis (AREA)
  • Telephonic Communication Services (AREA)

Abstract

La présente invention concerne un procédé de contrôle des droits d’accès d’un terminal (1) de communication à un réseau de communication (20), tel qu’un contrôle parental, caractérisé en ce qu’il comprend la mise en œuvre par un module de traitement de données (21) d’un serveur de contrôle (2) du réseau (20) d’étapes de : Réception depuis le terminal (1) connecté au réseau (20) d’une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à un utilisateur du terminal (1) ; Vérification auprès d’un serveur de configuration (3) connecté au serveur de contrôle (2) de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ; Autorisation ou non de l’accès audit service en fonction du résultat de ladite vérification. Figure pour l’abrégé : Fig. 1

Description

Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication
DOMAINE TECHNIQUE GENERAL
La présente invention concerne le domaine de l’accès à internet.
Plus précisément, elle concerne un procédé de contrôle des droits d’accès d’un terminal mobile à un réseau de communication, tel qu’un contrôle parental.
ETAT DE L’ART
On appelle contrôle parental un mécanisme permettant aux parents de restreindre automatiquement l’accès de leurs enfants à Internet afin de les protéger. Le contrôle parental est ainsi un mécanisme permettant le contrôle des droits d’accès d’un terminal d’un enfant à un réseau de communication.
Le contrôle parental peut se traduire par une limitation du temps d’accès global, par une interdiction d’accès à certains contenus inappropriés considérés comme choquants, par une limitation d’installation d’applications non approuvées, par un blocage des achats intégrés, etc.
On notera que la présente invention s’applique à d’autres cas de contrôle des droits d’accès d’un terminal mobile à un réseau de communication, autres que le contrôle parental.
Actuellement, lorsque l’on souhaite mettre en place du contrôle parental sur un terminal mobile de type smartphone, les solutions connues se font essentiellement au niveau applicatif (OS du terminal ou application dédiée).
Par exemple, iOS dispose de réglages de « temps d’écran » permettant d’installer des restrictions.
Le problème est que les enfants savent contourner un tel contrôle parental, par exemple en désinstallant l’application responsable ou en modifiant les préférences systèmes, voire en plaçant leur carte SIM dans un autre terminal pour continuer à naviguer sans restriction.
On connait des solutions indépendantes du terminal gérées notamment par une passerelle domestique : on peut appliquer les restrictions aux équipements de réseau local connectés en Wi-Fi à cette passerelle.
Cependant, cette solution peut être aisément contournée en se déconnectant du Wi-Fi de la passerelle si le terminal capte un autre réseau Wi-Fi non protégé ou s’il dispose tout simplement d’une connectivité mobile (par exemple 3G ou 4G).
Il y a par conséquent souhaitable de disposer d’une solution de contrôle d’accès d’un terminal à un réseau de communication, telle qu’une solution de contrôle parental, simple, sécurisée, et applicable de manière universelle à tous les terminaux mobiles quelque soit leur connexion à Internet.
PRESENTATION DE L’INVENTION
La présente invention se rapporte ainsi selon un premier aspect à un procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication, caractérisé en ce qu’il comprend la mise en œuvre par un module de traitement de données d’un serveur de contrôle dudit réseau d’étapes de :
  1. Réception depuis ledit terminal connecté au réseau d’une requête d’accès à un service, ladite requête comprenant un identifiant unique associé un utilisateur dudit terminal ;
  2. Vérification auprès d’un serveur de configuration connecté au serveur de contrôle de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
  3. Autorisation ou non de l’accès audit service en fonction du résultat de ladite vérification.
Ainsi, le contrôle de l’accès du terminal au réseau de communication est mis en œuvre au niveau du réseau de communication et pas au niveau du terminal. Par conséquent, l’accès du terminal au réseau est contrôlé de manière efficace, le contrôle étant difficilement contournable depuis le terminal.
Ainsi, grâce à l’invention, un enfant ne peut pas déroger au contrôle parental, le contournement du contrôle n’étant pas possible depuis son terminal.
Selon des caractéristiques avantageuses et non limitatives :
Ledit réseau est un réseau de communication mobile, ledit serveur de contrôle étant un serveur configuré pour gérer les sessions de communication vers ledit réseau.
Ledit identifiant unique associé à l’utilisateur du terminal est un identifiant d’une carte d’identification d’abonné dudit terminal, en particulier un numéro International Mobile Subscriber Identity.
Ledit service est une ressource internet désignée par une adresse de type URL.
Le serveur de configuration comprend un module de stockage de données stockant une base de règles d’accès chacune associée à un identifiant unique, l’étape de vérification (b) comprenant la vérification auprès du serveur de configuration de la compatibilité dudit service auquel l’accès est requis avec chaque règle d’accès de ladite base associée audit identifiant unique associé à l’utilisateur du terminal.
L’étape de vérification (b) comprend préalablement une sous-étape (b0) de vérification auprès du serveur de configuration qu’il existe au moins une règle d’accès associée audit identifiant unique, la vérification de la compatibilité dudit service étant mise en œuvre seulement s’il existe au moins une règle d’accès associée audit identifiant unique.
A l’étape d’autorisation (c), l’accès audit service est autorisé s’il n’existe aucune règle d’accès associée audit identifiant unique ou si ladite règle d’accès est compatible avec ledit service auquel l’accès est requis.
Le terminal est un terminal esclave, le procédé comprenant une étape préalable (a0) d’ajout depuis un terminal maître de ladite règle d’accès associée audit identifiant unique au niveau du serveur de configuration.
L’étape d’ajout (a0) comprend l’envoi d’un message au terminal esclave pour vérifier qu’un utilisateur du terminal maître a accès au terminal maître.
Selon un deuxième aspect, l’invention concerne un serveur de contrôle d’un réseau, comprenant un module de traitement de données configuré pour ;
  • Recevoir depuis un terminal connecté au réseau une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à un utilisateur du terminal ;
  • Vérifier auprès d’un serveur de configuration connecté au serveur de contrôle de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
  • Autoriser ou non de l’accès audit service en fonction du résultat de ladite vérification.
Selon un troisième aspect, l’invention concerne un système comprenant le serveur selon le deuxième aspect et un serveur de configuration connectés, ledit serveur de configuration comprenant un module de stockage de données stockant une base de règles d’accès.
Selon un quatrième et un cinquième aspect, l’invention concerne un produit programme d’ordinateur comprenant des instructions de code pour l’exécution d’un procédé selon le premier aspect de contrôle des droits d’accès d’un terminal de communication à un réseau de communication ; et un moyen de stockage lisible par un équipement informatique sur lequel un produit programme d’ordinateur comprend des instructions de code pour l’exécution d’un procédé selon le premier aspect de contrôle des droits d’accès d’un terminal de communication à un réseau de communication.
PRESENTATION DES FIGURES
D’autres caractéristiques et avantages de la présente invention apparaîtront à la lecture de la description qui va suivre d’un mode de réalisation préférentiel. Cette description sera donnée en référence aux figures annexées dont :
  • La[Fig. 1]est un schéma d’une architecture générale de réseau pour la mise en œuvre du procédé selon l’invention ;
  • La[Fig. 2]représente les étapes d’un mode de réalisation du procédé selon l’invention.
DESCRIPTION DETAILLEE
Architecture
En référence à la , l’invention propose un procédé de contrôle des droits d’accès d’un terminal 1 de communication à un réseau de communication 20 tel qu’un contrôle parental mis en œuvre au sein du réseau 20 appelé premier réseau, typiquement un réseau de communication mobile, c’est-à-dire un réseau sans-fil (ondes radio) pour la téléphonie mobile, en particulier 2G (EDGE/GPRS), 3G (UMTS) ou 4G (LTE), mais tout autre technologie existante ou à venir pourra être utilisée (par exemple 5G).
Le premier réseau 20 est généralement le réseau d’un opérateur de téléphonie mobile, et est interconnecté avec un deuxième réseau 30, par exemple un réseau étendu tel que le réseau internet 30.
De manière classique, le premier réseau 20 comprend au moins un serveur de contrôle 2, c’est-à-dire un équipement qui gère la signalisation (plan de contrôle) entre les différents terminaux connectés et le cœur de réseau (c’est-à-dire les équipements passerelles (routeurs) pour l’acheminement des données d’un terminal à un autre). A ce titre, le serveur de contrôle 2 dialogue avec les autres équipements du premier réseau 20 notamment pour faire du contrôle d'accès et gérer la connexion, les droits d'accès et la sécurité des abonnés.
Le serveur de contrôle 2 a le rôle de gérer les sessions (authentification, autorisations, session voix et donnée) de communication vers un réseau de communication. Par exemple, dans les réseaux 3G ou 4G, le serveur de contrôle 2 est de type Mobility Management Entity (MME). Il est chargé de dialoguer avec le HSS (Home Subscriber Server - la base de données centrale de l’opérateur du réseau 20) de manière à consulter et stocker les profils et les données de sécurité des terminaux. De façon classique, le serveur de contrôle 2 comprend un module de traitement de données 21 tel qu’un processeur, et possiblement un module de stockage de données 22 (une mémoire, par exemple flash).
On se place du point de vue d’un terminal 1 particulier, mais on comprendra que le présente procédé pourra être appliqué à tous les terminaux connectés ou connectable au premier réseau 20, i.e. tous les terminaux dont l’utilisateur est un abonné du premier réseau 20. Pour cela, le terminal 1 pourra présenter (insérée physiquement ou virtualisée) une carte d’identification d’abonné 10 du premier réseau 20, c’est-à-dire un élément sécurisé tel qu’une carte SIM ou USIM (pour les réseaux 3G ou 4G). Comme l’on verra plus loin, la carte d’identification d’abonné 10 est personnelle et stocke un identifiant unique associé à son abonné, i.e. l’utilisateur du terminal 1 dans lequel elle est installée, en particulier un numéro International Mobile Subscriber Identity (IMSI). A noter qu’on peut utiliser d’autres identifiants uniques associés à un utilisateur tel que le Mobile Station ISDN Number (MSISDN) ou comme le numéro de téléphone de l’utilisateur (sous-partie du MSISDN).
Ledit identifiant unique permet d’authentifier l’utilisateur du terminal 1 sur le premier réseau 20. On répète que ledit identifiant unique est lié à l’utilisateur, c’est-à-dire à l’abonné (possesseur de la carte USIM) et non au terminal 1 en lui-même : l’utilisateur pourrait mettre sa carte USIM dans un autre terminal et cela ne changerait rien.
Le terminal 1 en lui-même peut être n’importe quel équipement adapté pour se connecter au premier réseau 20, le plus souvent un smartphone, mais possiblement une tablette tactile, un ordinateur portable, une console de jeux, etc.
Dans un mode de réalisation préféré, le terminal 1 est un premier terminal dit terminal esclave, et on utilise un deuxième terminal 1’ dit terminal maître. Dans le cas typique où le présent procédé est un procédé de contrôle parental, il est en effet appliqué au terminal esclave ou terminal enfant 1 (dont l’utilisateur est supposé être un enfant) et contrôlé via le terminal maître ou terminal parent 1’ (dont l’utilisateur est supposé être un parent).
La distinction parent/enfant est toutefois purement illustrative et correspond à un cas d’usage classique, mais bien entendu le présent procédé ne sera limité à aucune situation particulière. Par exemple, le terminal « maître » pourrait être celui d’un administrateur d’une entreprise et, le terminal « esclave » celui d’un salarié de cette entreprise. Ainsi, la suite de la description expose l’exemple préféré d’un contrôle parental. Toutefois, l’invention s’applique à d’autres cas de contrôle des droits d’accès d’un terminal mobile à un réseau de communications.
Par « contrôle des droits d’accès », on entend toute restriction d’accès à des services au niveau du terminal esclave 1, i.e. une requête d’accès à certains services pourra être refusée dans certaines circonstances, en fonction d’au moins une règle d’accès. On répète que la formule « parentale » est consacrée, mais s’applique à n’importe quelle situation, où l’on peut souhaiter contrôler ce qui peut être accessible sur le terminal esclave 1.
On appelle « règle d’accès » une règle, éventuellement conditionnelle, appliquée à un service pour déterminer si l’accès à ce service peut être autorisé ou non. Les règles sont par exemple :
  • Un blocage complet du service ;
  • Un accès complet mais avec notification (en particulier du terminal maître 1’) ;
  • Un accès sous réserve d’une procédure d’acquittement (par exemple saisie d’un code sur le terminal maître 1’) ;
  • La limitation à une plage horaire (l’accès à tel ou tel service, voire à tous les services, est par exemple interdit de 22h à 7h) ;
  • La limitation à un temps total d’accès maximum (l’accès à tel ou tel service, voire à tous les services, est par exemple limité à 6h par jour) ;
  • Etc.
Chaque règle d’accès est associée à l’identifiant unique associé à l’utilisateur auquel elle s’applique. Comme l’on verra, on suppose qu’au moins une règle d’accès est stockée dans un module de stockage de données 32 d’un serveur 3 dit serveur de configuration, connecté au serveur de contrôle 2. Le serveur de configuration 3 est typiquement disposé dans le deuxième réseau 30, étant par exemple le réseau internet 30 (mais peut également être disposé dans le premier réseau ou réseau opérateur 20). De préférence, on a une base de règles d’accès. Le serveur de configuration 3 comprend également, outre le module de stockage de données 32 (une mémoire, par exemple flash), un module de traitement de données 31 tel qu’un processeur.
Lesdits services correspondent typiquement à des ressources internet, i.e. le contrôle parental vise à contrôler l’accès à des pages internet (dans le deuxième réseau 30 connecté au premier réseau 20). Cet exemple est utilisé pour décrire l’invention dans la suite de la description, mais l’homme du métier saura transposer l’invention à tout autre service auquel l’utilisateur du terminal esclave 1 souhaiterait accéder (téléchargement d’application, achat intégré, etc.)
Une page internet est désignée par son adresse, dite URL (Uniform Resource Locator). On parlera ainsi par commodité dans la présente description « d’accès à une URL ».
Une règle de blocage prend alors par exemple la forme d’une liste d’URLs non autorisées.
Procédé
En référence à la , le présent procédé commence par une étape (a) de réception depuis le terminal esclave 1, d’une requête d’accès à un service. Comme expliqué, ladite requête comprend un identifiant unique associé à l’utilisateur du terminal esclave 1, en particulier un identifiant unique d’une carte d’identification d’abonné 10 du terminal esclave 1, tel que son numéro IMSI.
L’idée est d’utiliser astucieusement le serveur de contrôle 2 comme équipement de contrôle des droits d’accès et donc de contrôle parental en tirant partie de sa capacité à autoriser ou non des connexions. Ainsi, le contrôle des droits d’accès peut s’appliquer pour n’importe quelle connexion au premier réseau ou réseau mobile 20, et est mis en œuvre directement au sein de ce réseau, indépendamment de toute couche applicative. Il n’y a donc pas moyen de le désactiver depuis le terminal esclave1. De plus, dans la mesure où l’on identifie l’utilisateur via son authentifiant unique (et pas le terminal esclave1), mettre la carte d’identification d’abonné 10 dans un autre terminal ne permet pas de contourner le contrôle des droits d’accès.
De surcroit, le serveur de contrôle 2 étant un équipement existant des réseaux mobiles, le coût de mise en œuvre est très réduit.
Dans une étape (b), le module de traitement de données 21 du serveur de contrôle 2 vérifie auprès du serveur de configuration 3 connecté au serveur de contrôle 2 la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique.
Plus précisément, il s’agit d’une étape d’interrogation du serveur de configuration 3 : le serveur de contrôle 2 est seulement capable d’autoriser ou non l’accès au service, pas de déterminer si cet accès au service doit être autorisé. Il pose ainsi la question au serveur de configuration 3, en lui en envoyant une requête contenant l’identification du service auquel l’accès est demandé (par exemple l’URL) et l’identifiant unique associé à l’utilisateur.
Par vérification de la « compatibilité », il est entendu que l’on vérifie le respect ou non de la règle, le cas échéant en fonction de paramètres contextuels. Par exemple, si la règle porte sur une plage horaire d’accès pour le service, la vérification de la compatibilité implique de déterminer l’heure courante pour vérifier si l’on se trouve dans cette plage horaire.
De manière préférée, on vérifie la compatibilité dudit service auquel l’accès est requis avec chaque règle d’accès associée audit identifiant unique. En particulier, la vérification de la compatibilité d’un service avec une règle d’accès correspond à la vérification de la règle d’accès associé à l’identifiant unique compris dans la requête d’accès à un service. En effet, il peut y avoir comme expliqué une pluralité de règles d’accès associée à un identifiant unique, par exemple une liste d’URL bloquées et une plage horaire d’accès. Il faut alors à la fois que l’URL demandée ne soit pas bloquée et que l’on soit dans la plage horaire autorisée. Si une des règles n’est pas respectée l’accès au service ne peut être accepté.
L’étape (b) comprend préférentiellement une sous étape (b0) préalable, dans laquelle on vérifie auprès du serveur de configuration 3 s’il existe au moins une règle d’accès associée audit identifiant unique. En effet, on comprend que l’immense majorité des utilisateurs et donc des requêtes d’accès à un service n’est sujette à aucun contrôle des droits d’accès. Ce serait ainsi une perte de temps que de vérifier pour toutes les requêtes de tous les utilisateurs la compatibilité avec les règles d’accès. Et, si ledit identifiant unique est absent de la base de règles (i.e. s’il n’existe aucune règle d’accès associée audit identifiant unique), on sait que l’utilisateur a tous les droits d’accès (i.e. aucun contrôle des droits d’accès n’est mis en œuvre pour lui) et la requête peut directement être autorisée.
Ensuite, s’il existe au moins une règle d’accès associée audit identifiant unique, il y a lieu de vérifier la compatibilité dudit service auquel l’accès est requis avec la ou les règles d’accès associée(s) audit identifiant unique (puisqu’on sait que du contrôle des droits d’accès est mis en œuvre pour cet utilisateur).
Enfin, dans une étape (c), le serveur de contrôle 2 autorise ou non l’accès audit service en fonction du résultat de ladite vérification. Plus précisément, il reçoit du serveur de configuration 3 le résultat de cette vérification, et :
  • Si la compatibilité est vérifiée (ou si comme expliqué il n’existe aucune règle d’accès associée audit identifiant unique), l’accès au service est autorisé ;
  • Sinon l’accès au service est refusé. Dans ce dernier cas, le serveur 2 peut renvoyer au terminal esclave1, en lieu et place du service qu’il attendait, une notification l’informant du blocage.
Selon une mode de réalisation particulier, une règle d’accès peut impliquer comme expliqué un accès sous réserve d’une procédure d’acquittement, par exemple la soumission de la requête d’accès au terminal maître 1’. Dans un tel cas, l’étape (b) comprend la mise en œuvre de la procédure d’acquittement (en particulier l’envoi d’une requête de saisie d’un code sur le terminal maître 1’), et si celle-ci est accomplie (code valide renvoyé) le serveur de configuration 3 considère que la vérification de compatibilité est concluante.
Gestion des règles
De manière préférée, le présent procédé comprend une étape (a0) préalable (qui peut être mise en œuvre bien avant l’étape (a)), d’ajout depuis le terminal maître 1’ de ladite règle d’accès associée audit identifiant unique au niveau du serveur de configuration 3 (ou bien de modification ou suppression d’une règle).
Plus précisément, le paramétrage se fait avantageusement depuis une application (mobile ou internet) mise en œuvre depuis le terminal maître 1’. L’application demande un identifiant unique associé à l’utilisateur du terminal esclave 1, tel que le numéro de téléphone.
Ensuite, le terminal maître 1’ adresse une requête contenant l’identifiant unique associé à l’utilisateur du terminal esclave 1, au serveur de configuration 3. En réponse à cette requête, le serveur de configuration 3 envoie un message contenant un code ou un lien (par exemple un SMS) au terminal esclave1. L’utilisateur du terminal maître 1’ peut ensuite saisir le code reçu par le terminal esclave 1 (ou obtenu en cliquant sur le lien) dans l’application installée sur le terminal maître 1’. Il est ainsi vérifié que l’utilisateur du terminal maître 1’ a accès au terminal esclave 1.
Cela permet également au serveur de configuration 3 d’identifier le numéro IMSI de la carte USIM 10 de l’utilisateur.
Une règle construite sur le terminal maître 1’ (définissant par exemple le ou les services concernés et le type de restriction) est alors ajoutée à la base de règles du serveur de configuration 3 pour être activée.
Serveur de contrôle
Selon un deuxième aspect, l’invention concerne le serveur 2 pour la mise en œuvre du procédé selon le premier aspect.
Comme expliqué, ce serveur 2 est un serveur de contrôle d’un premier réseau 20, étant préférentiellement un réseau de communication mobile, et il est préférentiellement disposé dans ce dernier. Il s’agit typiquement d’un MME (Mobile Management Entity) existant du réseau 20.
Le serveur de contrôle 2 comprend un module de traitement de données 21. Ce dernier est plus précisément configuré pour :
  • Recevoir depuis un terminal 1, tel qu’un terminal esclave, connecté au premier réseau 20 une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à l’utilisateur du terminal 1 ;
  • Vérifier auprès d’un serveur de configuration 3 connecté au serveur de contrôle 2 de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
  • Autoriser ou non de l’accès audit service en fonction du résultat de ladite vérification.
Est également proposé le système comprenant le serveur de contrôle 2, et le serveur de configuration 3 (configuré pour mettre en œuvre lesdites vérifications de compatibilité des règles d’accès, ces dernières étant avantageusement stockées dans une base de règles d’un module de stockage 32 du serveur de configuration 3).
Produit programme d’ordinateur
Selon un quatrième et un cinquième aspects, l’invention concerne un produit programme d’ordinateur comprenant des instructions de code pour l’exécution (en particulier sur le module de traitement de données 21 du serveur 2) d’un procédé selon le premier aspect de contrôle des droits d’accès, ainsi que des moyens de stockage lisibles par un équipement informatique (le module de stockage de données 22 du serveur 2) sur lequel on trouve ce produit programme d’ordinateur.

Claims (13)

  1. Procédé de contrôle des droits d’accès d’un terminal (1) de communication à un réseau de communication (20), caractérisé en ce qu’il comprend la mise en œuvre par un module de traitement de données (21) d’un serveur de contrôle (2) dudit réseau (20) d’étapes de :
    1. Réception depuis ledit terminal (1) connecté au réseau (20) d’une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à un utilisateur dudit terminal (1) ;
    2. Vérification auprès d’un serveur de configuration (3) connecté au serveur de contrôle (2) de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
    3. Autorisation ou non de l’accès audit service en fonction du résultat de ladite vérification.
  2. Procédé selon la revendication 1, dans lequel ledit réseau (20) est un réseau de communication mobile, ledit serveur de contrôle (2) étant un serveur configuré pour gérer les sessions de communication vers ledit réseau (20).
  3. Procédé selon l’une des revendications 1 et 2, dans lequel ledit identifiant unique associé à l’utilisateur du terminal (1) est un identifiant d’une carte d’identification d’abonné (10) dudit terminal (1), en particulier un numéro International Mobile Subscriber Identity.
  4. Procédé selon l’une des revendications 1 à 3, dans lequel ledit service est une ressource internet désignée par une adresse de type URL.
  5. Procédé selon l’une des revendications 1 à 4, dans lequel le serveur de configuration (3) comprend un module de stockage de données (32) stockant une base de règles d’accès chacune associée à un identifiant unique, l’étape de vérification (b) comprenant la vérification auprès du serveur de configuration (3) de la compatibilité dudit service auquel l’accès est requis avec chaque règle d’accès de ladite base associée audit identifiant unique associé à l’utilisateur du terminal (1).
  6. Procédé selon l’une des revendications 1 à 5, dans lequel l’étape de vérification (b) comprend préalablement une sous-étape (b0) de vérification auprès du serveur de configuration (3) qu’il existe au moins une règle d’accès associée audit identifiant unique, la vérification de la compatibilité dudit service étant mise en œuvre seulement s’il existe au moins une règle d’accès associée audit identifiant unique.
  7. Procédé selon la revendication 6, dans lequel, à l’étape d’autorisation (c), l’accès audit service est autorisé s’il n’existe aucune règle d’accès associée audit identifiant unique ou si ladite règle d’accès est compatible avec ledit service auquel l’accès est requis.
  8. Procédé selon l’une des revendications 1 à 7, dans lequel le terminal (1) est un terminal esclave, le procédé comprenant une étape préalable (a0) d’ajout depuis un terminal maître (1’) de ladite règle d’accès associée audit identifiant unique au niveau du serveur de configuration (3).
  9. Procédé selon la revendication 8, dans lequel l’étape d’ajout (a0) comprend l’envoi d’un message au terminal esclave (1) pour vérifier qu’un utilisateur du terminal maître (1’) a accès au terminal esclave (1).
  10. Serveur de contrôle (2) d’un réseau (20), comprenant un module de traitement de données (21) configuré pour ;
    • Recevoir depuis un terminal (1) connecté au réseau (20) une requête d’accès à un service, ladite requête comprenant un identifiant unique associé à un utilisateur du terminal (1) ;
    • Vérifier auprès d’un serveur de configuration (3) connecté au serveur de contrôle (2) de la compatibilité dudit service auquel l’accès est requis avec au moins une règle d’accès associée audit identifiant unique ;
    • Autoriser ou non de l’accès audit service en fonction du résultat de ladite vérification.
  11. Système comprenant le serveur selon la revendication 10 et un serveur de configuration (3) connectés, ledit serveur de configuration (3) comprenant un module de stockage de données (32) stockant une base de règles d’accès.
  12. Produit programme d’ordinateur comprenant des instructions de code pour l’exécution d’un procédé selon l’une des revendications 1 à 9 de contrôle des droits d’accès d’un terminal de communication à un réseau de communication, lorsque ledit programme est exécuté par un ordinateur.
  13. Moyen de stockage lisible par un équipement informatique sur lequel un produit programme d’ordinateur comprend des instructions de code pour l’exécution d’un procédé selon l’une des revendications 1 à 9 de contrôle des droits d’accès d’un terminal de communication à un réseau de communication.
FR2006802A 2020-06-29 2020-06-29 Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication Withdrawn FR3112054A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2006802A FR3112054A1 (fr) 2020-06-29 2020-06-29 Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2006802A FR3112054A1 (fr) 2020-06-29 2020-06-29 Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication
FR2006802 2020-06-29

Publications (1)

Publication Number Publication Date
FR3112054A1 true FR3112054A1 (fr) 2021-12-31

Family

ID=73401603

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2006802A Withdrawn FR3112054A1 (fr) 2020-06-29 2020-06-29 Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication

Country Status (1)

Country Link
FR (1) FR3112054A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2299667A2 (fr) * 2009-09-18 2011-03-23 Alcatel Lucent Controle parental de l'utilisation d'un terminal mobile
US20160080322A1 (en) * 2014-09-12 2016-03-17 Verizon Patent And Licensing Inc. Parental control management and enforcement based on hardware identifiers
EP3016424A1 (fr) * 2014-10-28 2016-05-04 Vodafone IP Licensing limited Notification de téléchargement d'une application en groupes hiérarchiques d'utilisateurs consommateurs de dispositifs mobiles

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2299667A2 (fr) * 2009-09-18 2011-03-23 Alcatel Lucent Controle parental de l'utilisation d'un terminal mobile
US20160080322A1 (en) * 2014-09-12 2016-03-17 Verizon Patent And Licensing Inc. Parental control management and enforcement based on hardware identifiers
EP3016424A1 (fr) * 2014-10-28 2016-05-04 Vodafone IP Licensing limited Notification de téléchargement d'une application en groupes hiérarchiques d'utilisateurs consommateurs de dispositifs mobiles

Similar Documents

Publication Publication Date Title
US10579804B2 (en) Tailored protection of personally identifiable information
US9924356B2 (en) Controlling, filtering, and monitoring of mobile device access to the internet, data, voice, and applications
CN106998551B (zh) 一种应用接入鉴权的方法、系统、装置及终端
US8490176B2 (en) System and method for controlling a mobile device
US8533227B2 (en) Managing website blacklists
US10320844B2 (en) Restricting access to public cloud SaaS applications to a single organization
EP2084927B1 (fr) Procede et systeme de mobilite personnalisee par l'utilisateur dans un systeme de communication mobile
FR3007167A1 (fr) Procede d'authentification d'un terminal par une passerelle d'un reseau interne protege par une entite de securisation des acces
US20100318681A1 (en) Protocol-independent, mobile, web filter system provisioning dns triage, uri scanner, and query proxy services
EP3132370A1 (fr) Authentification de portail
WO2011113314A1 (fr) Procédé, système et serveur d'ouverture de service
CN113542201B (zh) 一种用于互联网业务的访问控制方法与设备
CN111177741A (zh) 一种基于企业浏览器的预授权数据访问方法和装置
CN103873456B (zh) WiFi设备的访问控制方法及WiFi设备
FR3112054A1 (fr) Procédé de contrôle des droits d’accès d’un terminal de communication à un réseau de communication
US10986085B2 (en) Subscriber identity management
JP2007329542A (ja) ゲートウェイサーバ、セキュリティ保証システム、その方法およびプログラム
KR20080029123A (ko) 표준 사용자 프로파일 생성 장치 및 방법
CN117850893A (zh) 云手机应用唤起方法、装置、电子设备及存储介质
CN116383851A (zh) 一种接口权限管理的方法、系统、计算机和存储介质
CN112822007A (zh) 一种用户认证方法、装置及设备
FR3007600A1 (fr) Procede d'authentification d'un utilisateur pour l'acces a un ensemble de services fournis sur un reseau de communication prive
CN115801476A (zh) 一种应用请求的验证方法和装置
Osborne WAP, m-commerce and security
Mikhaylov et al. Development of the Protection System Against Malicious Software

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20211231

ST Notification of lapse

Effective date: 20230205