FR3118227A1 - Attestation d’identité et de localisation par vérification à multiples facteurs sur la base d’une boucle fermée d’échanges - Google Patents
Attestation d’identité et de localisation par vérification à multiples facteurs sur la base d’une boucle fermée d’échanges Download PDFInfo
- Publication number
- FR3118227A1 FR3118227A1 FR2013989A FR2013989A FR3118227A1 FR 3118227 A1 FR3118227 A1 FR 3118227A1 FR 2013989 A FR2013989 A FR 2013989A FR 2013989 A FR2013989 A FR 2013989A FR 3118227 A1 FR3118227 A1 FR 3118227A1
- Authority
- FR
- France
- Prior art keywords
- verification
- access
- terminal
- processing circuit
- relating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000012795 verification Methods 0.000 title claims abstract description 92
- 238000000034 method Methods 0.000 claims abstract description 51
- 238000012545 processing Methods 0.000 claims description 90
- 230000005540 biological transmission Effects 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 230000001960 triggered effect Effects 0.000 abstract description 12
- 230000006854 communication Effects 0.000 description 26
- 238000004891 communication Methods 0.000 description 26
- 230000009471 action Effects 0.000 description 8
- 230000000007 visual effect Effects 0.000 description 8
- 230000008901 benefit Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 3
- 230000007175 bidirectional communication Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 230000002747 voluntary effect Effects 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000002730 additional effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000002604 ultrasonography Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25841—Management of client data involving the geographical location of the client
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/104—Location integrity, e.g. secure geotagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/47—Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Computer Graphics (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
L’invention porte sur un procédé et sur des dispositifs de vérification d’identité et de localisation et sur un procédé et des dispositifs de gestion de demandes d’accès. Une première vérification (S4) relative à une localisation d’un demandeur est effectuée par un terminal sur réception d’un code reçu par le terminal à travers au moins un canal de télécommunication à courte portée. Une seconde vérification (S6) relative à une identité du demandeur est également déclenchée et effectuée par le terminal. Après ces deux vérifications, un signal de sortie est émis (S8) à destination d’une plateforme de gestion d’accès en vue d’un déclenchement d’un accès demandé. Figure de l’abrégé : Figure 4
Description
La présente invention relève du domaine de la sécurité des systèmes d’information. Plus précisément, la présente invention porte sur un procédé d’attestation d’identité et de localisation d’un demandeur à l’origine d’une demande d’accès relative à un système d’information ou à une ressource numérique. Elle concerne un procédé de gestion d’une telle demande d’accès. La présente invention porte également sur des dispositifs configurés pour mettre en œuvre un tel procédé. De tels dispositifs incluent, de manière non exhaustive, un programme informatique, un support d’enregistrement non transitoire, des circuits de traitement de données, un dispositif connecté, un terminal, une plateforme de gestion de circuits de traitement sécurisés et une plateforme de gestion d’accès.
Dans de nombreux domaines, l’accès à un service, ou à un dispositif, peut être restreint en fonction d’un critère, contrôlable, qui repose sur la confiance dans l’identité ou la localisation géographique d’un utilisateur.
Par exemple, une plateforme de diffusion peut donner un accès à un contenu multimédia uniquement aux utilisateurs ayant souscrit à un service particulier. Ces utilisateurs disposent d’un compte accessible par mot de passe.
Selon un autre exemple, un système de télésurveillance peut procéder à une levée de doute en cas de déclenchement d’une alarme. Le client est appelé sur son téléphone portable. S’il affirme que l’alarme a été déclenchée par mégarde, il lui est demandé de renseigner un code pour prouver son identité.
Selon un autre exemple, il est également possible de permettre un contrôle à distance de certains équipements réseau d’un site industriel. Un contrôle d’accès fondé sur une vérification d’adresse IP permet de contrer certaines tentatives de prise de contrôle malveillantes.
Selon un autre exemple, des données de santé de patients d’un hôpital peuvent être stockées sur un serveur. Ces données étant par nature sensibles, il est possible de n’en autoriser l’accès qu’à des médecins physiquement présents dans cet hôpital. Un contrôle d’accès par carte à puce peut permettre par exemple de vérifier l’identité de la personne demandant l’accès à ces données, ou de vérifier sa qualité de médecin, ou encore de vérifier sa présence physique dans l’hôpital.
Actuellement, le contrôle d’accès à des données sensibles ou à des systèmes d’information sensibles repose principalement sur des mots de passe ou sur des jetons d’authentification. Il est connu par exemple d’employer des mots de passe fixes ou à usage unique, dans une grille ou envoyés par SMS ou par notification. Il est également connu par exemple d’employer des jetons d’authentification logiciels ou matériels. Néanmoins, l’emploi de mots de passe ou de jetons d’authentification est vulnérable à de multiples types d’attaque. Dans le but de prévenir les tentatives d’usurpation d’identité ou les attaques par contournement de type « attaque de l’homme du milieu », certains mécanismes de contrôle d’accès contraignent les utilisateurs à de multiples actions volontaires de déclaration et réassurance, c’est le principe du contrôle d’accès à facteurs multiples. Il existe donc un besoin pour un mécanisme de contrôle d’accès ayant un niveau de sécurité élevé, tout en pouvant être indifféremment volontaire ou passif.
Par ailleurs, certains mécanismes connus de contrôle d’accès se basent en outre sur une vérification de localisation, par adresse IP, information de réseau cellulaire, ou analyse de paquets d’un trafic réseau local. Néanmoins, ce type de vérification présente de nombreuses possibilités de contournement, notamment par VPN dynamique. Il existe donc également un besoin pour un contrôle fiable de la localisation d’une personne ou d’un appareil requérant un accès à une donnée ou à un dispositif sensible.
Il est souhaitable, par ailleurs, de limiter autant que possible l’accès aux certificats impliqués dans l’authentification et le contrôle d’accès. En effet, les certificats et données importantes peuvent être compromis s’ils sont, par exemple, stockés directement sur des terminaux utilisateur.
Résumé
La présente divulgation vient améliorer la situation.
Il est proposé un procédé d’attestation d’identité et de localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement,
- le procédé étant mis en œuvre par un terminal associé au demandeur,
- le procédé comprenant :
- sur réception d’un code reçu à travers au moins un canal de télécommunication à courte portée, une première vérification, sur la base du code, d’une localisation du demandeur, et une seconde vérification relative au moins à une identité du demandeur ; et
- après la première vérification et la seconde vérification, une émission d’un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement de l’accès demandé.
- le procédé étant mis en œuvre par un terminal associé au demandeur,
- le procédé comprenant :
- sur réception d’un code reçu à travers au moins un canal de télécommunication à courte portée, une première vérification, sur la base du code, d’une localisation du demandeur, et une seconde vérification relative au moins à une identité du demandeur ; et
- après la première vérification et la seconde vérification, une émission d’un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement de l’accès demandé.
Par « demandeur », on entend indifféremment une personne physique ou un dispositif effectuant une demande d’accès. L’identité du demandeur peut désigner soit l’identité de la personne physique à l’origine de la demande d’accès ou un identifiant associé au dispositif à l’origine de la demande d’accès.
Par « terminal associé au demandeur » on entend un terminal disposant d’un identifiant lié à l’identité du demandeur, et dont la localisation courante est assimilée à celle du demandeur.
Dans le procédé ci-avant, la première vérification concerne la localisation du demandeur. La réception du code par le terminal est conditionnée au fait que la localisation courante du terminal soit voisine de celle d’un émetteur ayant émis le code. A partir du code, il est donc possible pour le terminal de vérifier, par exemple, si la localisation courante du demandeur correspond à une localisation attendue.
La deuxième vérification concerne, au moins, l’identité du demandeur. L’identifiant du terminal peut être par exemple comparée à une base d’identifiants autorisés, afin de vérifier si l’identité du demandeur correspond à une identité attendue.
Le terminal peut comprendre un circuit de traitement sécurisé, la seconde vérification relative au moins à une identité du demandeur étant mise en œuvre dans le circuit de traitement sécurisé.
Dans ce cas, le procédé est davantage sécurisé.
Le terminal peut comprendre, outre le circuit de traitement sécurisé, un circuit de traitement principal gérant au moins en partie une première application et le procédé peut comprendre un décodage du code par la première application, le décodage déclenchant la première vérification mise en œuvre par la première application.
Le circuit de traitement sécurisé peut gérer au moins en partie une seconde application mettant en œuvre la seconde vérification. Le procédé peut comprendre en outre, après la première vérification, la mise en œuvre de la seconde vérification par la seconde application à réception d’une indication attestant la réception du code ou attestant la première vérification.
Par exemple, il peut être prévu que le décodage du code par la première application déclenche l’émission d’une telle indication à destination de la deuxième application. Alternativement, il peut être prévu que la vérification de localisation par la première application déclenche l’émission d’une telle indication. Ainsi, un dialogue entre la première application et la deuxième application permet d’effectuer la double vérification de localisation et d’identité du demandeur. Ainsi, il est possible, par exemple, après réception du code, de déclencher la vérification de la localisation du demandeur puis seulement une fois cette première vérification effectuée, de déclencher la vérification de l’identité du demandeur, via un dialogue entre la première application et la deuxième application. De cette manière, on impose un ordre selon lequel les vérifications sont mises en œuvre par le terminal, et on n’effectue aucune vérification d’identité si la localisation du demandeur n’est pas conforme à celle attendue. Un avantage est de pouvoir ainsi solliciter le moins possible le circuit de traitement sécurisé.
Conduire la vérification de localisation et la vérification d’identité à l’aide de deux circuits de traitement distincts, plutôt qu’à l’aide d’un unique circuit de traitement, constitue de manière générale un élément de sécurité supplémentaire.
Différentes acceptions de l’expression « demande d’accès » sont présentées ci-après en lien avec différents contextes d’application du procédé générique ci-avant. Il est possible de définir par exemple une zone géographique et des règles régissant le contrôle d’accès en lien avec cette zone géographique. Un exemple d’une telle règle peut être qu’un dispositif utilisateur d’où est issue une demande d’accès, ou un dispositif cible auquel un accès est demandé, doit être située dans une telle zone géographique. En présumant la position de l’émetteur du premier signal connue et située dans une telle zone géographique, alors la réception du premier signal par le terminal atteste sa présence dans ladite zone géographique.
Il ressort de cet exemple que, de manière générale, la demande d’accès peut être par exemple relative à un accès à un dispositif connecté pour en commander un fonctionnement, par exemple pour en prendre le contrôle, partiellement ou totalement.
Par ailleurs, il est possible de définir par exemple une liste de personnes physiques ou de dispositifs et des règles régissant le contrôle d’accès en lien avec cette liste. Un exemple d’une telle règle peut être qu’un accès à une ressource numérique ne peut être autorisé qu’à des personnes physiques ayant souscrit à un service donné, ou à des dispositifs désignés au préalable par ces personnes physiques. La vérification de l’identifiant par le circuit de traitement sécurisé, par exemple via la seconde application, permet d’attester l’identité d’une personne physique particulière ou d’un dispositif particulier avec un très haut niveau de sécurité.
Il ressort de cet exemple que, de manière générale, la demande d’accès peut être par exemple relative à un accès à une ressource numérique, c’est-à-dire à un fichier, à un dossier ou à un système d’information.
D’autres règles additionnelles peuvent être fixées. Par exemple, des restrictions temporelles d’accès peuvent être fixées au niveau de la plateforme d’accès qui peut ainsi rejeter, par exemple, automatiquement toute demande d’accès effectuée en dehors d’une plage d’accès prédéfinie.
L’émission du premier signal peut être déclenchée de différentes manières.
Par exemple, l’émission du premier signal peut être déclenchée sur réception de la demande d’accès. Ceci a notamment pour avantage une optimisation énergétique et une optimisation de bande passante via le canal de communication à courte portée, dans la mesure où le premier signal n’est émis que ponctuellement pour répondre à une demande d’accès.
Par exemple, le procédé peut comprendre une émission récurrente du premier signal. Une telle émission récurrente permet notamment à l’émission du premier signal d’être passive et indépendante de la réception de la demande d’accès. Une telle émission récurrente peut être mise en œuvre par l’émetteur du premier signal de manière autonome, sans nécessité de raccordement à un quelconque réseau de communication, ce qui améliore encore la sécurité du contrôle d’accès. Ainsi, grâce à cette émission récurrente et autonome, il est possible d’attester l’identité et la localisation courante d’une personne physique ou d’un dispositif avant même que cette personne physique ou ce dispositif n’émette la demande d’accès.
Par exemple, la seconde vérification peut être non seulement relative à l’identité du demandeur mais être en outre relative à une vérification complémentaire de localisation du demandeur, à titre d’élément complémentaire de réassurance. Il est notamment connu qu’un circuit de traitement sécurisé tel qu’une carte SIM peut attester sa localisation géographique à l’échelle par exemple d’un pays au moyen d’un échange avec une plateforme distante de gestion de circuits de traitements sécurisés gérée par exemple par un opérateur téléphonique.
Par exemple, la seconde vérification peut comprendre une détermination d’un jeton d’authentification attestant au moins la seconde vérification, et pouvant en outre attester la première vérification, et le signal de sortie peut être indicatif du jeton d’authentification.
Ainsi, le signal de sortie peut caractériser le fait que l’identité du demandeur, et optionnellement sa localisation, sont attestés, et la plateforme de gestion d’accès peut analyser le signal de sortie pour en extraire le jeton d’authentification ou une indication du jeton d’authentification et déclencher, sur cette base, un accès demandé.
Selon un autre aspect, il est proposé un procédé de gestion d’une demande d’accès issue d’un demandeur et relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement, le procédé étant mis en œuvre par un système de gestion comprenant un dispositif connecté, un terminal comprenant un circuit de traitement sécurisé et une plateforme de gestion d’accès,
- le procédé comprenant :
- une réception, par le dispositif connecté, de la demande d’accès
- une émission d’un code transmis à travers au moins un canal de télécommunication à courte portée à destination du terminal,
- une attestation d’identité et de localisation du demandeur par le terminal selon le procédé d’attestation ci-avant, et
- une réception, par la plateforme d’un signal de sortie issu dudit terminal et un déclenchement par la plateforme de l’accès demandé sur la base du signal de sortie reçu,
- le procédé comprenant :
- une réception, par le dispositif connecté, de la demande d’accès
- une émission d’un code transmis à travers au moins un canal de télécommunication à courte portée à destination du terminal,
- une attestation d’identité et de localisation du demandeur par le terminal selon le procédé d’attestation ci-avant, et
- une réception, par la plateforme d’un signal de sortie issu dudit terminal et un déclenchement par la plateforme de l’accès demandé sur la base du signal de sortie reçu,
Ceci permet qu’une demande d’accès reçue par un dispositif connecté soit traitée, non pas exclusivement au niveau du dispositif connecté ou exclusivement sur la base d’un échange entre le dispositif connecté et une plateforme sans dispositif intermédiaire, mais sur la base d’une double vérification conduite par un terminal associé au demandeur à l’origine de la demande d’accès.
Impliquer un terminal associé au demandeur dans la gestion de la demande d’accès et vérifier la localisation courante du demandeur en se basant sur un code transmis par un canal de communication à courte portée prévient de nombreux types de tentatives de contournement des vérifications de localisation et d’identité.
Le procédé ci-avant peut être enrichi de mécanismes de réassurance supplémentaires.
Par exemple, l’émission du premier signal peut être mise en œuvre par au moins un émetteur à destination d’une pluralité de récepteurs, chaque récepteur étant un terminal comprenant un circuit de traitement principal et un circuit de traitement secondaire sécurisé. Chaque terminal peut ainsi, indépendamment, fournir un élément de réassurance fondé sur la localisation géographique du terminal par rapport à celle de l’émetteur du premier signal. Le contrôle d’accès peut ainsi par exemple n’être déclenché que si chacun de ces éléments de réassurance est positif. Par ailleurs, une alerte témoignant d’un risque de compromission peut être déclenchée si l’un de ces éléments de réassurance est négatif.
Par exemple, l’émission du premier signal peut être mise en œuvre par au moins un émetteur à destination d’au moins un récepteur à travers une chaîne de transmission formée d’au moins un transmetteur intermédiaire disposant d’un module de réception configuré pour recevoir le premier signal et d’un module d’émission configuré pour retransmettre le premier signal via le canal de communication à courte portée.
Ceci permet par exemple d’autoriser un contrôle à distance d’un terminal cible à la condition que la localisation courante du terminal cible soit voisine de celle d’un émetteur du premier signal.
Si en outre, au moins un transmetteur intermédiaire de la chaîne de transmission ci-avant est un terminal comprenant un circuit de traitement principal et un circuit de traitement secondaire sécurisé, alors ce transmetteur intermédiaire peut également fournir un élément de réassurance supplémentaire fondé sur la localisation géographique du transmetteur intermédiaire.
Le procédé ci-avant repose sur une boucle fermée d’échanges entre différentes entités, à savoir au moins un émetteur du premier signal, au moins un terminal équipé de deux circuits de traitement distincts et au moins une plateforme de contrôle d’accès.
Chacune de ces entités est susceptible d’être configurée indépendamment de manière à ce que l’ensemble de ces entités puisse échanger et ainsi mettre en œuvre le procédé ci-avant.
Dans ce contexte et de manière générique, selon un autre aspect, il est proposé un programme informatique comportant des instructions pour la mise en œuvre du procédé ci-avant lorsque ce programme est exécuté par un processeur. Il est également proposé un support d’enregistrement non transitoire lisible par un ordinateur sur lequel est enregistré un programme pour la mise en œuvre du procédé ci-avant lorsque ce programme est exécuté par un processeur.
Selon un autre aspect, il est proposé un terminal configuré pour :
- attester une identité et une localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement :
- en effectuant, sur réception d’un code reçu à travers au moins un canal de télécommunication à courte portée, une première vérification, sur la base du code, de la localisation du demandeur,
- en effectuant une seconde vérification relative au moins à l’identité du demandeur et mise en œuvre dans le circuit de traitement sécurisé ; et
- après avoir effectué la première vérification et la seconde vérification, en émettant un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement de l’accès demandé.
- attester une identité et une localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement :
- en effectuant, sur réception d’un code reçu à travers au moins un canal de télécommunication à courte portée, une première vérification, sur la base du code, de la localisation du demandeur,
- en effectuant une seconde vérification relative au moins à l’identité du demandeur et mise en œuvre dans le circuit de traitement sécurisé ; et
- après avoir effectué la première vérification et la seconde vérification, en émettant un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement de l’accès demandé.
Le terminal peut comprendre un circuit de traitement principal et/ou un circuit de traitement sécurisé.
Par exemple, un tel circuit principal peut être configuré pour gérer au moins en partie une première application mettant en œuvre, au moins, la première vérification sur réception du code par le terminal.
Par exemple, un tel circuit de traitement sécurisé peut être configuré pour gérer au moins en partie une seconde application mettant en œuvre, au moins, la seconde vérification sur réception du code par le terminal ou suite à la mise en œuvre de la première vérification par la première application.
Dans un exemple de réalisation, la première application met en œuvre un décodage d’un code reçu, par le terminal, à travers au moins un canal de télécommunication à courte portée, et une première vérification, sur la base dudit code, d’une localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement. La première application peut en outre notifier la seconde application au moyen d’une première indication attestant ladite réception du code et/ou attestant ladite première vérification. Suite à cette notification, c’est-à-dire à réception d’une telle indication, la seconde application met en œuvre la seconde vérification et génère une seconde indication attestant ladite seconde vérification. Une telle seconde indication peut être utilisée pour notifier la première application. En outre, la première indication et/ou la seconde indication peuvent être transmises par le terminal à destination d’une plateforme de gestion d’accès. Ceci permet d’attester, pour la plateforme, que la première et la seconde vérification ont été effectuées, et ainsi déclencher, sur cette base, un accès demandé.
Selon un autre aspect, il est proposé un circuit de traitement sécurisé du terminal ci-avant. Le circuit de traitement sécurisé est configuré pour mettre en œuvre une seconde vérification relative au moins à une identité d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement, ladite seconde vérification étant mise en œuvre à réception d’une indication attestant la réception, par le terminal, d’un code à travers au moins un canal de télécommunication à courte portée, ou attestant une première vérification sur la base dudit code d’une localisation du demandeur.
Selon un autre aspect, il est proposé un circuit de traitement principal du terminal ci-avant. Le circuit de traitement principal est configuré pour gérer au moins en partie une première application, ladite première application mettant en œuvre un décodage d’un code reçu, par le terminal, à travers au moins un canal de télécommunication à courte portée, et une première vérification, sur la base dudit code, d’une localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement.
Selon un autre aspect, il est proposé un système de gestion d’une demande d’accès issue d’un demandeur et relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté pour en commander un fonctionnement, le système comprenant :
- le terminal ci-avant,
- un dispositif connecté configuré pour recevoir une demande d’accès, et
- une plateforme de gestion d’accès configurée pour recevoir un signal de sortie issu dudit terminal et déclencher, en réponse, l’accès demandé.
- le terminal ci-avant,
- un dispositif connecté configuré pour recevoir une demande d’accès, et
- une plateforme de gestion d’accès configurée pour recevoir un signal de sortie issu dudit terminal et déclencher, en réponse, l’accès demandé.
Selon un autre aspect, il est proposé un dispositif connecté du système ci-avant.
Selon un autre aspect, il est proposé une plateforme de gestion d’accès du système ci-avant.
D’autres caractéristiques, détails et avantages apparaîtront à la lecture de la description détaillée ci-après, et à l’analyse des dessins annexés.
Fig. 1
Fig. 2
Fig. 3
Fig. 4
Le but de l’invention est d’assurer qu’une demande d’accès à un service particulier, ou qu’une commande ou action à destination d’un dispositif particulier, provient bien d’une source, dont l’identité correspond à une identité autorisée, située physiquement dans un lieu prédéfini. Il est optionnellement possible d’assurer que l’instant auquel cette commande ou action a bien été émise appartient bien à une période temporelle prédéfinie. Un objectif visé est de minimiser les menaces de cyber-attaque.
Ainsi, il est proposé de contrôler l’accès à ce service particulier ou à ce dispositif particulier à travers une boucle fermée d’échanges entre une pluralité d’entités, dont au moins un dispositif connecté, un terminal et une plateforme de contrôle d’accès, via un système de réassurance multiple. Les échanges entre ces entités sont mis en œuvre via différents canaux de télécommunication, dont au moins un canal de télécommunication à courte portée associé au lieu prédéfini.
De nombreuses applications sont possibles, en particulier dans les services de télésurveillance, de diffusion de contenu multimédia, dans le domaine industriel ou dans le domaine médical. L’invention peut être mise en œuvre dans de nombreux types de lieux par ou pour de nombreux types d’organisations, à savoir par exemple un foyer, une entreprise, une administration, un campus universitaire, une usine, un hall d’accueil, un couloir ou une salle d’attente.
On se réfère à présent à la , qui illustre un exemple d’implémentation d’un système générique de gestion d’une demande d’accès.
Le système en question comprend les entités suivantes :
- une passerelle réseau (17) entre un réseau local (3) et un réseau étendu (4) via lequel une communication bidirectionnelle peut être assurée avec une plateforme de gestion d’accès (16),
- un émetteur (11, 12) raccordé au réseau local (3) et configuré pour émettre un premier signal via un canal de communication (1) à courte portée,
- un dispositif connecté (10) raccordé au réseau local (3) et configuré pour recevoir une demande d’accès et pour commander l’émetteur (11, 12), et
- un terminal (13).
Le terminal (13) comprend un premier circuit de traitement (14) et un deuxième circuit de traitement (15).
Le premier circuit de traitement (14) ou circuit de traitement principal comprend un processeur (141), une mémoire (142) et une interface de communication (143) qui raccorde le terminal (13) au réseau local (3), est apte à gérer des communications bidirectionnelles avec le deuxième circuit de traitement (15) et est en outre configurée pour recevoir le premier signal via le canal de communication à courte portée (1).
Le deuxième circuit de traitement (15) ou circuit de traitement sécurisé comprend un processeur (151), une mémoire (152) et une interface de communication (153) apte à gérer des communications bidirectionnelles avec le premier circuit de traitement (14) et configurée en outre pour échanger, via un réseau dédié (2), avec une plateforme (18) de gestion de circuits de traitement sécurisés.
On se réfère à présent à la , qui illustre un exemple particulier d’implémentation d’un système de gestion d’une demande d’accès à un service de diffusion en temps réel d’un contenu multimédia.
Différentes entités sont représentées sur la et sont décrites ci-après.
Un décodeur TV est représenté comme exemple de dispositif connecté (10) disposant d’un module de traitement de données pouvant être associé à une interface homme-machine. Il peut s’agir par exemple d’une interface de programmation applicative comprenant un module de réception de signaux infrarouge couplé à une télécommande équipée d’un module d’émission infrarouge. Alternativement, l’interface de programmation applicative peut comprendre un module de reconnaissance vocale associée à un haut-parleur comme périphérique d’entrée. L’interface homme-machine permet à un utilisateur d’entrer des commandes, telles que des commandes de recherche et de sélection d’un contenu multimédia, lesquelles sont traitées par le module de traitement de données. Le dispositif connecté (10) comprend en outre une interface de communication pour piloter un fonctionnement d’au moins un émetteur (11, 12) de signaux à courte portée, tel qu’un émetteur (11) de signaux visuels ou un émetteur (12) de signaux sonores. De tels émetteurs peuvent par exemple être inclus dans des dispositifs de restitution tel qu’une télévision et/ou un haut-parleur, par exemple pour afficher un retour aux commandes de l’utilisateur, ou pour émettre des signaux à courte portée. On peut citer par exemple l’émission de signaux visuels pour une communication optique en espace libre selon, par exemple, les technologies connues de type Li-Fi ou OCC. Il est également possible d’émettre des signaux visuels tels que des codes QR ou leurs variantes, ou d’autres signaux à courte portée, par exemple sonores ou ultrasonores.
Par « signaux à courte portée », on entend des signaux habituellement détectables dans un rayon de quelques mètres ou quelques dizaines de mètres autour de l’émetteur, soit une zone de la taille par exemple d’une pièce ou d’un logement. Dans de nombreuses situations, compte tenu du bruit ambiant et de la présence d’obstacles absorbants tels que des murs, un signal Li-Fi ou un signal ultrasonore émis est essentiellement imperceptible au-delà d’un rayon de quelques mètres par rapport à l’émetteur.
Dans certains modes de réalisation, l’interface de communication peut en outre permettre, en aval, de piloter un ou plusieurs dispositifs de restitution pour restituer le contenu multimédia demandé une fois la diffusion de ce contenu déclenchée.
Une télévision et un haut-parleur sont représentés comme exemples de dispositifs de restitution respectivement visuelle et sonore. Ces dispositifs sont équipés d’un émetteur (11, 12) de signaux à courte portée pilotable par le décodeur TV, en l’espèce un émetteur (11) de signaux visuels ou un émetteur (12) de signaux sonores.
Un téléphone mobile multifonction, également désigné par l’anglicisme « smartphone », est représenté comme exemple de terminal (13) équipé d’un premier circuit de traitement ou circuit de traitement principal (14), par exemple un système sur une puce comprenant notamment de la mémoire, un ou plusieurs microprocesseurs et des périphériques d’interface, dont un récepteur desdits signaux à courte portée et un émetteur de signaux radioélectriques. Le terminal (13) est également équipé d’un deuxième circuit de traitement ou circuit de traitement sécurisé (15) et distinct du circuit de traitement principal. Il s’agit par exemple d’une carte SIM qui peut être physique ou, dans le cas de la spécification eSIM, virtualisée. Le circuit de traitement principal et le circuit de traitement sécurisé sont aptes à communiquer l’un avec l’autre, et sont tous deux aptes à stocker des données et des applications d’un utilisateur, de son opérateur ou de tierces parties.
Dans certains modes de réalisation, le dispositif connecté (10) et le circuit de traitement principal (14) du terminal (13) peuvent désigner une seule et même entité.
Une plateforme (16) de gestion d’accès au contenu multimédia est représentée et désigne en l’espèce une entité, par exemple un serveur distant ou un ensemble de serveurs distants, chargée de déclencher la diffusion d’un contenu multimédia sur requête après vérification des autorisations requises.
Une passerelle réseau (17) est représentée en tant qu’équipement réseau apte à recevoir le contenu multimédia dont la diffusion a été déclenchée par la plateforme (16) et le transmettre, via un réseau local, vers une entité quelconque, telle que le dispositif connecté (10), le dispositif de restitution visuelle comprenant l’émetteur (11) de signaux visuels, le dispositif de restitution sonore comprenant l’émetteur (12) de signaux sonores ou le terminal (13) évoqués ci-avant, en vue de la restitution de ce contenu multimédia à l’utilisateur sur un support de son choix.
Il est à présent fait référence à la qui illustre un procédé de gestion d’une demande d’accès applicable à l’un quelconque des systèmes représentés sur les figures 1 à 3. Dans les paragraphes qui suivent, il est fait plus particulièrement référence à l’application du procédé de la au système représenté sur la .
Un utilisateur, personne physique, effectue une recherche et une sélection d’un contenu multimédia à diffuser. Cette recherche et cette sélection sont effectuées au niveau du dispositif connecté (10) et équivalent à la réception (S1), par le dispositif connecté (10), d’une demande d’accès au contenu multimédia sélectionné par l’utilisateur.
On fait par ailleurs l’hypothèse que le contenu multimédia en question est disponible moyennant souscription à un service de diffusion, et seulement pour une zone géographique donnée. Cette hypothèse est notamment adaptée au domaine de la gestion des droits numériques, dans la mesure où les droits associés à certains contenus multimédias, ou plus généralement à certaines œuvres numériques, sont susceptibles de différer d’un pays à l’autre. Il convient alors de vérifier, avant d’accorder l’accès au contenu multimédia sélectionné, à la fois si l’utilisateur a effectivement effectué une telle souscription et s’il est bien physiquement dans la zone géographique donnée.
Classiquement, l’utilisateur dispose d’un compte qui lui est associé et des informations de connexion à ce compte, sous la forme d’un identifiant et d’un mot de passe, sont demandées à l’utilisateur, avant ou après la recherche et la sélection du contenu. Lorsque les informations de connexion sont préalablement requises pour accéder à un catalogue de contenus multimédia et effectuer ainsi la recherche et la sélection, il est par ailleurs possible, de manière connue, de se baser sur un modèle de préférences de l’utilisateur. Le processus de recherche et de sélection peut ainsi être guidé en recommandant des contenus personnalisés.
La localisation géographique de l’utilisateur peut être détectée par divers procédés connus, par exemple sur la base d’une adresse IP associée au dispositif connecté ou sur la base d’une information géographique associée au moyen de paiement ayant été utilisé pour souscrire au service de diffusion. Alternativement la localisation géographique de l’utilisateur peut être renseignée sur une base déclarative, l’utilisateur pouvant associer son compte à un pays particulier où il réside.
L’invention propose en complément, afin de disposer d’une assurance supplémentaire sur l’identité de l’utilisateur et sur sa localisation géographique, de mettre en œuvre une série d’échanges de données entre les entités décrites ci-avant.
Le dispositif connecté (10) peut commander l’émission, par un ou plusieurs émetteurs (11, 12), d’au moins un premier signal via le canal (1) de communication à courte portée. Ce premier signal encapsule un code. Cette émission peut être déclenchée activement, par exemple, à réception de la commande de recherche et de sélection, c’est-à-dire à réception lors de l’étape S1 de la demande d’accès au contenu multimédia sélectionné. Alternativement, cette émission peut être déclenchée passivement, c’est-à-dire même en l’absence de toute commande préalable de recherche et de sélection ou de toute demande d’accès préalable, et être répétée par exemple de manière récurrente, par exemple à intervalles de temps réguliers. Le code peut comprendre diverses indications, tel qu’un identifiant du dispositif connecté, une indication de localisation de l’émetteur du signal, une indication d’un horodatage associé par exemple au moment d’émission du premier signal.
Lors de l’étape S2, le terminal (13) reçoit ainsi un code, contenu dans ledit au moins un premier signal à courte portée. La réception de ce signal et du code qui y est encapsulé a pour but d’attester que le dispositif de restitution (11,12) ayant émis le premier signal et le terminal (13) sont situés à proximité l’un de l’autre. Le premier signal, reçu, peut alors être traité au moyen d’une première application gérée au moins en partie par le circuit de traitement principal (14) du terminal. Plus particulièrement, la première application peut procéder à un décodage (S3), du code reçu. Ce décodage correspond à une extraction à partir du premier signal reçu, du code qu’il contient. Le décodage (S3) du code déclenche une série de vérifications. Une première vérification (S4) concerne la localisation courante du terminal, donc de l’utilisateur. Cette première vérification découle du code extrait. En effet, il est possible de prévoir différents émetteurs (11,12) émettant chacun à un instant donné un code différent via un canal de communication à courte portée, de sorte que le code extrait par le terminal (13) à cet instant donné est indicatif de l’émetteur dont le code est issu, donc, indirectement, de la localisation courante du terminal (13). Une seconde vérification (S6) est ensuite conduite par le circuit de traitement sécurisé (15) du terminal. Selon un mode de réalisation, la seconde vérification (S6) est mise en œuvre par une seconde application gérée au moins en partie par le circuit de traitement sécurisé (15). La seconde application est par exemple une application Java, connue comme « Cardlet » exécutée par le circuit de traitement sécurisé (15).
La seconde vérification (S6) porte sur l’identité de l’utilisateur et inclut optionnellement une ou plusieurs vérifications complémentaires portant par exemple sur la localisation courante du terminal (13). La seconde vérification (S6) peut être par exemple déclenchée à l’initiative de la première application. En effet, le décodage (S3), ou la première vérification (S4), ou toute autre opération découlant de la réception (S2) du code par le terminal (13) peut déclencher l’émission (S5) d’une indication attestant la réception du code ou attestant la première vérification. Ladite indication peut être incorporée à une requête issue de la première application à destination de la seconde application. Cette requête peut en outre comprendre une indication visant à requérir, spécifiquement, une vérification de l’identité de l’utilisateur, et optionnellement une vérification de la localisation courante du terminal. Ainsi, cette requête peut comprendre des informations relatives à une identité attendue de l’utilisateur. La requête peut comprendre optionnellement des informations relatives à une localisation attendue du terminal. La requête peut aussi comprendre d’autres informations relatives à tout type d’élément supplémentaire de réassurance.
La seconde vérification peut impliquer un dialogue entre le circuit de traitement sécurisé (15) et la plateforme (18) de gestion de circuits de traitements sécurisés afin de vérifier une correspondance entre l’identité de l’utilisateur telle que dérivable d’un identifiant de l’utilisateur connu de la plateforme de gestion de circuits de traitements sécurisés (par exemple un numéro IMSI), d’une part, et l’identité attendue de l’utilisateur, d’autre part. La vérification peut également impliquer de déterminer si la zone géographique où le terminal (13) est physiquement situé, c’est-à-dire par exemple une zone géographique correspondant à un pays ou à une région d’un pays, correspond à la localisation attendue du terminal.
Si la vérification est positive, à l’étape S7, la seconde application notifie la première application d’un jeton d’authentification attestant ladite vérification. Le jeton d’authentification peut être par exemple chiffré, encodé et encapsulé dans un signal numérique.
La première application reçoit le jeton d’authentification et le traite afin de générer un signal de sortie, ou ci-après « second signal », indicatif du jeton d’authentification. Par « signal indicatif du jeton d’authentification », on entend un signal comprenant le jeton d’authentification, ou comprenant toute information dérivée d’un traitement de ce jeton, en tant que données ou en tant que métadonnées.
Dans un mode de réalisation, le traitement du jeton d’authentification peut impliquer un décodage et optionnellement un déchiffrement d’un signal reçu encapsulant le jeton d’authentification. Un tel traitement peut avoir pour but de valider, au niveau du terminal (13), sur la base du code extrait du premier signal et du jeton d’authentification reçu de la seconde application, que l’identité réelle de l’utilisateur est conforme à l’identité attendue. Optionnellement, un tel traitement peut avoir pour effet supplémentaire de valider, toujours au niveau du terminal, que la localisation réelle du terminal est conforme à la localisation attendue. Dans un tel mode de réalisation, le second signal peut comprendre, en tant qu’information dérivée d’un traitement du jeton d’authentification, une simple indication d’une vérification positive.
Alternativement, en particulier si le contenu du signal issu de la seconde application est chiffré à l’aide d’une clé inconnue de la première application, ce contenu comprenant le jeton d’authentification peut être directement incorporé, sans altération ni risque de compromission, au contenu du second signal.
La première application transmet alors, à l’étape S8, ce second signal à destination de la plateforme (16) de gestion d’accès.
La plateforme de gestion d’accès reçoit le second signal et le traite en déclenchant, à l’étape S9, l’accès au contenu multimédia demandé.
En reprenant le mode de réalisation dans lequel le jeton d’authentification est chiffré par la seconde application et incorporé par la première application au second signal, il est possible que la plateforme de gestion dispose de la clé de chiffrage connue de la seconde application et soit configurée pour effectuer le décodage et le déchiffrement du jeton d’authentification, et pour déclencher sur cette base, à l’étape S9, l’accès au contenu multimédia demandé.
Le contenu multimédia en question est alors transmis, par exemple via un réseau WAN vers la passerelle réseau puis via à un réseau LAN/WLAN vers une entité quelconque en vue de sa restitution à l’utilisateur sur le support de son choix.
Par exemple, un client ou un navigateur web configuré pour permettre la restitution du contenu multimédia reçu de la passerelle réseau peut être installé au préalable sur un dispositif quelconque, tel que, parmi les entités précitées, le dispositif de restitution visuelle ou sonore ou le dispositif connecté (10) pilotant l’un ou l’autre de ces dispositifs, ou encore le circuit de traitement principal (14) du terminal (13).
On se réfère à présent à la , qui illustre un exemple d’implémentation d’un procédé de contrôle d’accès à un équipement industriel situé sur un site industriel.
L’équipement industriel en question peut désigner par exemple un système de traitement de l’information tel qu’un serveur d’entreprise, un micro-ordinateur, ou un terminal mobile à l’usage d’un travailleur. Dans cet exemple, l’accès auquel il est fait référence peut désigner un accès à une ressource numérique, telle qu’un fichier, un dossier, une partition d’un disque, ou toute autre ressource numérique stockée sur l’équipement industriel, ou accessible depuis l’équipement industriel une fois l’accès accordé.
Alternativement, l’équipement industriel peut désigner une unité de production, un appareil de mesure, ou une machine-outil telle qu’un robot. Dans cet exemple, l’accès peut désigner une mise en œuvre d’une commande ou l’exécution d’un logiciel, ou plus généralement une prise de contrôle d’un fonctionnement de l’équipement industriel. Par exemple, l’équipement industriel peut désigner un dispositif de contrôle d’accès physique à une zone du site industriel. Dans cet exemple, l’accès peut par exemple désigner une mise en œuvre d’une action telle qu’une commande d’ouverture, de fermeture ou de verrouillage d’une porte.
Dans l’exemple d’implémentation illustré sur la , au moins un moniteur, panneau d’affichage, panneau de contrôle, dispositif d’éclairage, haut-parleur, ou tout autre exemple d’émetteur (11,12) physiquement présent sur le site industriel est piloté pour émettre passivement, de manière récurrente, un premier signal à courte portée, tel que défini précédemment, dans au moins une bande de fréquence prédéfinie. Ce signal à courte portée renferme, ou encapsule, un code.
Alternativement, ou en complément, un tel premier signal à courte portée peut également être émis de manière active par au moins un tel émetteur (11,12) en réponse à l’émission d’une requête ou d’une action à destination de l’équipement industriel.
Dans certains modes de réalisation, l’équipement industriel est conçu de manière à pouvoir recevoir et traiter des requêtes ou actions reçues via son interface de communication et préalablement issues d’un terminal (13), ou d’une personne interagissant avec un tel terminal (13) au moyen d’une interface homme-machine.
On entend ici par « terminal » (13) un dispositif équipé d’un circuit de traitement principal (14) et d’un circuit de traitement secondaire (15) sécurisé et distinct du circuit de traitement principal (14). Le circuit de traitement principal (14) comprend au moins un processeur, au moins une mémoire, un récepteur des signaux à courte portée émis par l’au moins un émetteur (11,12) et une interface de communication avec le circuit de traitement sécurisé. Le circuit de traitement sécurisé (15) comprend au moins un processeur, au moins une mémoire stockant un identifiant, typiquement chiffré, une interface de communication avec le circuit principal et une interface de communication par signaux radioélectriques avec une plateforme de gestion de circuits de traitement sécurisés. Le circuit de traitement sécurisé est également apte à communiquer avec une plateforme métier, en tant qu’exemple de plateforme de gestion d’accès (16), via son interface de communication par signaux radioélectriques, ou via son interface de communication avec le circuit principal.
Par « identifiant », on entend par exemple un identifiant de machine associé spécifiquement au circuit de traitement sécurisé (15) ou un identifiant personnel associé à un compte utilisateur particulier.
Dans une telle situation, il est important de pouvoir contrôler que le terminal (13) est bien situé physiquement au sein du site industriel, afin de se prémunir de certains types de cyber-attaques.
Dans certains modes de réalisation, l’équipement industriel dispose d’une interface homme-machine intégrée et peut être conçu de manière à pouvoir recevoir et traiter des requêtes ou actions d’une personne interagissant directement avec ladite interface homme-machine. Dans une telle situation, pour les raisons évoquées précédemment, il est important de pouvoir contrôler la localisation de la personne interagissant avec l’équipement industriel. Pour cela, il est possible de prévoir que l’équipement industriel dispose d’un terminal (13) associé tel que défini ci-avant et/ou d’imposer que la personne porte par ailleurs un tel terminal (13) associé aux fins du contrôle d’accès à l’équipement industriel.
L’équipement industriel est évoqué ci-après en tant qu’exemple de dispositif connecté (10) disposant d’un module de traitement de données associé à une interface homme-machine ou à une interface de communication, de telles interfaces étant susceptibles de recevoir des requêtes destinées au dispositif connecté (10) ou des actions destinées à être mises en œuvre par le dispositif connecté (10).
Pour ce qui concerne la description de l’exemple de réalisation illustré sur la , la fonction de l’équipement industriel au sein de la gestion d’une demande d’accès est ainsi considérée comme équivalente à la fonction du dispositif connecté (10) au sein de la gestion d’une demande d’accès dans l’exemple de réalisation illustré sur la .
On se réfère également toujours à la qui illustre un procédé de gestion d’une demande d’accès applicable à l’un quelconque des systèmes représentés sur les figures 1 à 3. Dans les paragraphes qui suivent, il est fait plus particulièrement référence à l’application du procédé de la au système représenté sur la .
Le dispositif connecté (10), ou en l’espèce l’équipement industriel, reçoit à l’étape S1 une demande d’accès. Cette demande d’accès est originaire d’un demandeur, qui peut être soit une personne physique interagissant avec l’interface homme-machine du dispositif connecté (10) ou un dispositif quelconque, transmettant la demande d’accès via l’interface de communication du dispositif connecté (10).
A l’étape S2, le terminal (13) reçoit le code contenu dans le premier signal à courte portée émis, activement ou passivement, par au moins un dispositif de restitution (11,12). La réception de ce premier signal par le terminal atteste que la localisation du terminal (13) en tant que récepteur est voisine de celle du dispositif de restitution (11,12) en tant qu’émetteur. Il s’agit d’une réassurance sur critère géographique. Après réception, le premier signal est traité par une première application qui est gérée au moins en partie par le circuit de traitement principal (14), et qui, optionnellement, est gérée en partie par une entité distante non représentée sur la . Le traitement du premier signal par la première application comprend notamment à l’étape S4 une première vérification de la localisation du demandeur, qui peut résulter d’un décodage, à l’étape S3, du premier signal afin d’extraire le code qui y est renfermé, ou encapsulé. Le traitement du premier signal peut aussi comprendre la génération et l’envoi, à l’étape S5, d’une requête au circuit de traitement sécurisé (15), pour obtenir la mise en œuvre d’une seconde vérification, à l’étape S6, au moins de l’identifiant stocké sur la mémoire du circuit de traitement sécurisé (15). La requête comprend ainsi des informations relatives à un identifiant attendu, et peut optionnellement comprendre en outre des informations relatives à une localisation attendue du terminal (13).
La requête est reçue et traitée par une seconde application qui est gérée au moins en partie par le circuit de traitement sécurisé (15), et qui, optionnellement, est gérée en partie par la plateforme de gestion de circuits de traitement sécurisés (18). Le traitement de la requête comprend la seconde vérification, à l’étape S6. Cette seconde vérification au moins relative à une correspondance entre l’identifiant attendu et l’identifiant stocké sur la mémoire du circuit de traitement sécurisé (15). Optionnellement, la seconde vérification peut en outre comprendre une vérification complémentaire relative à une correspondance entre la localisation attendue et la localisation courante du terminal. Si la vérification est positive, c’est-à-dire si la correspondance est avérée, la seconde application détermine un jeton d’authentification attestant cette vérification. Le circuit de traitement sécurisé (15) émet alors un second signal, qui transite éventuellement à l’étape S7 par le circuit de traitement principal (14), et est finalement transmis à l’étape S8 à destination de la plateforme de gestion d’accès (16). Ce second signal encapsule le jeton d’authentification déterminé ou est indicatif du jeton d’authentification déterminé.
C’est seulement après avoir reçu le second signal, puis extrait de ce second signal le jeton d’authentification ou les informations indicatives du jeton d’authentification, et enfin validé le jeton ou les informations extraites que la plateforme de gestion d’accès (16) déclenche, à l’étape S9, l’accès demandé à l’équipement industriel.
La demande d’accès issue du terminal (13) peut ainsi être effectivement acceptée et l’accès accordé au niveau de l’équipement industriel.
L’invention telle que décrite à travers les exemples ci-avant admet de nombreuses variantes.
Par exemple, le contrôle d’accès peut être conditionné à la réception du premier signal, non pas uniquement par un terminal à l’origine de la réassurance sur critère d’identité, mais par une pluralité de tels terminaux. Ceci permet de multiplier des facteurs de preuves faibles et robustes au-delà d’un simple identifiant, avec le ou les émetteurs du premier signal comme éléments centraux de réassurance déclenchant en parallèle de multiples vérifications de localisation et d’identité, et, si désiré, de temporalité.
Par exemple, le premier signal peut être émis par un émetteur à destination du terminal, non pas exclusivement via un canal de télécommunication à courte portée, mais, en complément de l’utilisation de ce canal à courte portée, via une chaîne de transmission. Une telle chaîne de transmission comprend un ou plusieurs transmetteurs intermédiaires disposant d’un module de réception configuré pour recevoir le premier signal et d’un module d’émission configuré pour retransmettre le premier signal. Parmi ces transmetteurs intermédiaires, au moins celui situé en bout de chaîne, c’est-à-dire celui retransmettant le premier signal directement à destination du récepteur du terminal, est configuré de manière à émettre, spécifiquement, via le canal de communication à courte portée. Optionnellement, plusieurs transmetteurs intermédiaires peuvent être configurés pour communiquer entre eux via un tel canal de communication à courte portée. Il est possible de tirer parti d’une telle chaîne de transmission pour offrir une réassurance supplémentaire sur la localisation du terminal. En effet, les transmetteurs intermédiaires peuvent être par exemple configurés de manière à effectuer un traitement du premier signal avant sa retransmission, de sorte que le premier code comprenne des informations indicatives de la localisation d’un ou plusieurs transmetteurs intermédiaires ou de la temporalité de la retransmission du premier signal par un ou plusieurs transmetteurs intermédiaires.
Claims (13)
- Procédé d’attestation d’identité et de localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté (10) pour en commander un fonctionnement,
- le procédé étant mis en œuvre par un terminal (13),
- le procédé comprenant :
- sur réception (S2) d’un code reçu à travers au moins un canal de télécommunication à courte portée, une première vérification (S4), sur la base du code, d’une localisation du demandeur, et une seconde vérification (S6) relative au moins à une identité du demandeur ; et
- après la première vérification (S4) et la seconde vérification (S6), une émission (S8) d’un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement (S9) de l’accès demandé. - Procédé selon la revendication 1, dans lequel, le terminal comprenant un circuit de traitement sécurisé (15), ladite seconde vérification (S6) relative au moins à une identité du demandeur est mise en œuvre dans ledit circuit de traitement sécurisé (15).
- Procédé selon la revendication 2, dans lequel :
- le terminal (13) comprend, outre le circuit de traitement sécurisé (15), un circuit de traitement principal (14) gérant au moins en partie une première application, et
- le procédé comprend un décodage (S3) du code par la première application, le décodage déclenchant la mise en œuvre de la première vérification (S4) par la première application. - Procédé selon l’une des revendications 1 à 3, dans lequel la seconde vérification (S6) comprend en outre une vérification complémentaire de localisation du demandeur.
- Procédé selon l’une des revendications 1 à 4, dans lequel, le circuit de traitement sécurisé gérant au moins en partie une seconde application, le procédé comprend en outre :
- après la première vérification (S4), la mise en œuvre de la seconde vérification (S6) par la seconde application à réception (S5) d’une indication attestant la réception du code ou attestant la première vérification. - Procédé selon l’une des revendications 1 à 5, dans lequel :
- la seconde vérification (S6) comprend une détermination d’un jeton d’authentification attestant au moins la seconde vérification, et
- le signal de sortie est indicatif du jeton d’authentification. - Procédé de gestion d’une demande d’accès issue d’un demandeur et relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté (10) pour en commander un fonctionnement, le procédé étant mis en œuvre par un système de gestion comprenant un dispositif connecté (10), un terminal (13) comprenant un circuit de traitement sécurisé (15) et une plateforme de gestion d’accès (16),
- le procédé comprenant :
- une réception (S1), par le dispositif connecté (10), de la demande d’accès,
- une émission d’un code, transmis à travers au moins un canal de télécommunication à courte portée, à destination du terminal (13),
- une attestation d’identité et de localisation du demandeur par le terminal (13) selon le procédé de l’une des revendications 1 à 6, et
- une réception, par la plateforme (16) d’un signal de sortie issu dudit terminal (13) et un déclenchement (S9) par la plateforme (16) de l’accès demandé sur la base du signal de sortie reçu. - Programme informatique comportant des instructions pour la mise en œuvre du procédé selon l’une des revendications 1 à 7 lorsque ce programme est exécuté par un processeur.
- Terminal (13) configuré pour :
- attester une identité et une localisation d’un demandeur à l’origine d’une demande d’accès relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté (10) pour en commander un fonctionnement :
- en effectuant, sur réception (S2) d’un code transmis à travers au moins un canal de télécommunication à courte portée, une première vérification (S4), sur la base du code, de la localisation du demandeur,
- en effectuant une seconde vérification (S6) relative au moins à l’identité du demandeur et mise en œuvre dans le circuit de traitement sécurisé (15) ; et
- après avoir effectué la première vérification (S4) et la seconde vérification (S6), en émettant (S8) un signal de sortie à destination d’une plateforme de gestion d’accès en vue d’un déclenchement (S9) de l’accès demandé. - Terminal selon la revendication 9, le terminal comprenant :
- un circuit principal (14) configuré pour gérer au moins en partie une première application, ladite première application mettant en œuvre, au moins, la première vérification sur réception du code par le terminal (13), et
- un circuit de traitement sécurisé (15) configuré pour gérer au moins en partie la seconde application, ladite seconde application mettant en œuvre, au moins, la seconde vérification sur réception du code par le terminal (13) ou suite à la mise en œuvre de la première vérification par la première application. - Circuit de traitement sécurisé (15) du terminal selon la revendication 10.
- Circuit de traitement principal (14) du terminal selon la revendication 10.
- Système de gestion d’une demande d’accès issue d’un demandeur et relative à un accès à une ressource numérique ou relative à un accès à un dispositif connecté (10) pour en commander un fonctionnement, le système comprenant :
- un terminal (13) selon la revendication 9 ou 10,
- un dispositif connecté (10) configuré pour recevoir une demande d’accès, et
- une plateforme de gestion d’accès (16) configurée pour recevoir un signal de sortie issu dudit terminal (13) et déclencher, en réponse, l’accès demandé.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2013989A FR3118227A1 (fr) | 2020-12-22 | 2020-12-22 | Attestation d’identité et de localisation par vérification à multiples facteurs sur la base d’une boucle fermée d’échanges |
PCT/FR2021/052160 WO2022136756A1 (fr) | 2020-12-22 | 2021-12-01 | Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges |
EP21839241.3A EP4268491A1 (fr) | 2020-12-22 | 2021-12-01 | Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges |
US18/259,043 US20240048991A1 (en) | 2020-12-22 | 2021-12-01 | Identity and location certification by multifactor verification based on a closed loop of exchanges |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2013989A FR3118227A1 (fr) | 2020-12-22 | 2020-12-22 | Attestation d’identité et de localisation par vérification à multiples facteurs sur la base d’une boucle fermée d’échanges |
FR2013989 | 2020-12-22 |
Publications (1)
Publication Number | Publication Date |
---|---|
FR3118227A1 true FR3118227A1 (fr) | 2022-06-24 |
Family
ID=75438931
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR2013989A Withdrawn FR3118227A1 (fr) | 2020-12-22 | 2020-12-22 | Attestation d’identité et de localisation par vérification à multiples facteurs sur la base d’une boucle fermée d’échanges |
Country Status (4)
Country | Link |
---|---|
US (1) | US20240048991A1 (fr) |
EP (1) | EP4268491A1 (fr) |
FR (1) | FR3118227A1 (fr) |
WO (1) | WO2022136756A1 (fr) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110092185A1 (en) * | 2009-10-16 | 2011-04-21 | Robert Garskof | Systems and Methods for Providing Location-Based Application Authentication Using a Location Token Service |
US20140115708A1 (en) * | 2012-10-18 | 2014-04-24 | Dell Products L.P. | Secure information handling system matrix bar code |
US20180211188A1 (en) * | 2015-08-17 | 2018-07-26 | Bytemark, Inc. | Methods and systems for hands-free fare validation and gateless transit |
US20200099971A1 (en) * | 2013-09-13 | 2020-03-26 | Nagravision S.A. | Method for controlling access to broadcast content |
US20200186857A1 (en) * | 2018-12-10 | 2020-06-11 | At&T Intellectual Property I, L.P. | Video streaming control |
-
2020
- 2020-12-22 FR FR2013989A patent/FR3118227A1/fr not_active Withdrawn
-
2021
- 2021-12-01 EP EP21839241.3A patent/EP4268491A1/fr active Pending
- 2021-12-01 US US18/259,043 patent/US20240048991A1/en active Pending
- 2021-12-01 WO PCT/FR2021/052160 patent/WO2022136756A1/fr active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110092185A1 (en) * | 2009-10-16 | 2011-04-21 | Robert Garskof | Systems and Methods for Providing Location-Based Application Authentication Using a Location Token Service |
US20140115708A1 (en) * | 2012-10-18 | 2014-04-24 | Dell Products L.P. | Secure information handling system matrix bar code |
US20200099971A1 (en) * | 2013-09-13 | 2020-03-26 | Nagravision S.A. | Method for controlling access to broadcast content |
US20180211188A1 (en) * | 2015-08-17 | 2018-07-26 | Bytemark, Inc. | Methods and systems for hands-free fare validation and gateless transit |
US20200186857A1 (en) * | 2018-12-10 | 2020-06-11 | At&T Intellectual Property I, L.P. | Video streaming control |
Also Published As
Publication number | Publication date |
---|---|
WO2022136756A1 (fr) | 2022-06-30 |
EP4268491A1 (fr) | 2023-11-01 |
US20240048991A1 (en) | 2024-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Seliem et al. | Towards privacy preserving iot environments: a survey | |
Huang et al. | SecIoT: a security framework for the Internet of Things | |
US10375082B2 (en) | Method and apparatus for geographic location based electronic security management | |
CN106233796B (zh) | 计算设备的自动用户注册和解锁 | |
US8914848B2 (en) | Social authentication of users | |
US8646026B2 (en) | Smart web services security policy selection and validation | |
US9374369B2 (en) | Multi-factor authentication and comprehensive login system for client-server networks | |
US10834257B1 (en) | Email alert for unauthorized call | |
US8935769B2 (en) | Method for mobile security via multi-factor context authentication | |
JP6054457B2 (ja) | 制御された情報開示によるプライベート解析 | |
US20220247783A1 (en) | Electronic authentication infrastructure | |
CN103795702A (zh) | 用于数据的发送控制 | |
US20210014064A1 (en) | Method and apparatus for managing user authentication in a blockchain network | |
US20210176234A1 (en) | Cooperative communication validation | |
Latvala et al. | Evaluation of out-of-band channels for IoT security | |
EP3022867B1 (fr) | Procéde d'authentification forte | |
KR20150026587A (ko) | 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
KR102131976B1 (ko) | 사용자 단말 장치 및 이에 의한 개인 정보 제공 방법 | |
WO2018130486A1 (fr) | Procédé d'authentification en deux étapes, dispositif et programme d'ordinateur correspondant | |
KR20170033788A (ko) | 인증을 위한 방법 및 그 장치 | |
WO2022136756A1 (fr) | Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges | |
Latvala | Evaluation of out-of-band authentication channels | |
FR3105482A1 (fr) | Procédé d’obtention de mot de passe pour l’accès à un service | |
EP2911365A1 (fr) | Procédé et système de sécurisation de transactions offertes par une pluralité de services entre un appareil mobile d'un utilisateur et un point d'acceptation | |
FR3051091A1 (fr) | Procede d'authentification pour autoriser l'acces a un site web ou l'acces a des donnees chiffrees |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLFP | Fee payment |
Year of fee payment: 2 |
|
PLSC | Publication of the preliminary search report |
Effective date: 20220624 |
|
ST | Notification of lapse |
Effective date: 20230808 |