WO2004032430A2 - Procede et installation de controle de l’identite de l’emetteur d’un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation - Google Patents

Procede et installation de controle de l’identite de l’emetteur d’un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation Download PDF

Info

Publication number
WO2004032430A2
WO2004032430A2 PCT/FR2003/002808 FR0302808W WO2004032430A2 WO 2004032430 A2 WO2004032430 A2 WO 2004032430A2 FR 0302808 W FR0302808 W FR 0302808W WO 2004032430 A2 WO2004032430 A2 WO 2004032430A2
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
call
address
request frame
control code
Prior art date
Application number
PCT/FR2003/002808
Other languages
English (en)
Other versions
WO2004032430A3 (fr
Inventor
Mickael Allain
Yacine Zoughlami
Michel L'hostis
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Priority to US10/529,989 priority Critical patent/US20060147038A1/en
Priority to AU2003299173A priority patent/AU2003299173A1/en
Priority to EP03798947A priority patent/EP1547346A2/fr
Publication of WO2004032430A2 publication Critical patent/WO2004032430A2/fr
Publication of WO2004032430A3 publication Critical patent/WO2004032430A3/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Definitions

  • the invention relates to the field of Internet telephony.
  • NoIP voice over Internet protocols such as the protocol originating from the International Telecommunications Union (ITU), known as H.323, the SIP protocol (Session Initiation Protocol) from the IETF, ..., as well as all types of residential or corporate telephone network architectures.
  • ITU International Telecommunications Union
  • SIP protocol Session Initiation Protocol
  • Internet telephony services use a certain number of authentication mechanisms for the calling subscriber in order to prevent, in particular, being charged for calls made by unauthorized third parties.
  • These authentication techniques can consist of encryption mechanisms by asymmetric cryptography, which use a certificate exchange by public keys and private keys. This technique is based on one-way mathematical functions, that is, functions that are easy to calculate but extremely difficult to reverse.
  • the subscriber has a private key. He discloses a public key to his interlocutor. Although the subscriber's private key and public key are closely related, the public key disclosure does not provide any information about the private key. Knowing the subscriber's public key notably allows a remote party to encrypt a message intended for the subscriber.
  • Another subscriber authentication mechanism is based on the use of a username and password. Thus, to establish communication, it is necessary to provide a username and password. If these are recognized by an operator's call server, then the establishment of a communication becomes possible.
  • These authentication mechanisms are relatively easy to implement with softphones. However, this is not the case. even for telephone terminals used in internet networks. Indeed, not all of these terminals have the possibility of entering a password or of implementing encryption by asymmetric cryptography.
  • asymmetric cryptography requires, to be truly effective, to obtain a certificate from a certified body, which is hardly compatible with a deployment of a voice service on the Internet on a large scale, i.e. - say for several million subscribers.
  • the object of the invention is therefore to overcome these drawbacks and to provide a method and an installation for checking the identity of a sender of a telephone call on an Internet network, making it possible to control the identity of a sender using a VoIP type telephone terminal, that is to say an Internet telephony terminal, and which is compatible with a development of Internet telephony on a very large scale.
  • this method further comprises a step of comparing parameters extracted from the decrypted control code with corresponding information extracted from the call establishment request frame.
  • This information which is stored in the database, includes, according to yet another characteristic of this method, a terminal identification address.
  • the information is transferred from the terminal to the database during a first call made by the terminal.
  • This first call can consist of a call made immediately after the installation of the subscriber's telephone terminal.
  • the parameters extracted from the call establishment request frame include the terminal's IP address and the terminal's call number.
  • the control code can be produced from an encrypted function of the ⁇ terminal identification address and the IP address of the latter.
  • the parameters extracted from the call establishment request frame include the IP address of a gateway connecting a private network to a telecommunications network and the terminal call number.
  • the control code is then produced from an encrypted function of the terminal identification address and the gateway IP address.
  • the terminal's IP address is transmitted by an Internet service provider to a control module associated with the gateway.
  • an installation for controlling the identity of the sender of a telephone call on an Internet network comprising a call management server adapted to cause the establishment of a communication between terminals respectively calling and called telecommunication, according to parameters contained in a communication establishment request frame sent by the calling terminal.
  • the management server includes means for decrypting an encrypted control code inserted in the communication establishment request frame, the code containing parameters relating to the identity of the calling telecommunications terminal, and means for comparing the 'at least one parameter extracted from the control code decrypted by the decryption means with a corresponding code stored in- a database hosted in the server to authorize the establishment of the communication according to the result of the comparison.
  • the installation further comprises means for comparing parameters extracted from the decrypted control code with corresponding information.
  • a telecommunication terminal for control installation as defined above, characterized in that it comprises a control module suitable for the insertion of an encrypted control code in a communication establishment request frame.
  • This control module includes means for developing an encrypted function of the terminal identification address and the terminal IP address.
  • the control module comprises means for developing an encrypted function of the identification address of the terminal and the IP address of a gateway for connecting a local network to a telecommunications network. public.
  • FIG. 1 schematically illustrates the structure of a telecommunications network providing access to a telephony service Internet, provided with an installation for controlling a transmitter of a telephone call and making it possible to implement a control method in accordance with the invention
  • FIG. 2 is a detail view of a portion of the network of Figure 1, illustrating a call establishment request sequence
  • FIG. 3 is a flowchart illustrating the main phases of the control method according to the invention.
  • FIG. 1 there is shown the general architecture of a telecommunications network 10 allowing access to a telephone service on the Internet.
  • the network comprises, on the subscriber side, a set of equipment usable by subscribers for establishing telephone communications with remote subscribers.
  • FIG. 1 two distinct configurations have been shown, namely a configuration C1 and a configuration C2.
  • the first configuration C1 is arranged around a private local network, or LAN network. It includes a set of telecommunication terminals 12, for example constituted by telephones
  • NoIP connected to the LAN 14.
  • Computer terminals such as 16, constituted for example by microcomputers, can also be connected to the network 14, as is conventional in a private computer network.
  • a gateway 24 interconnects the private network, and in particular the LAN network 14 to a public network 20 of a telecommunications operator providing a NoIP telephony service, by means of a modem 22.
  • the gateway comprises a control module ensuring, as will be described in detail below, a control of the identity of the sender of a telephone call, that is to say a module capable of controlling that no attempt to spoof the LAN local telephone number has been made by third parties.
  • the telephony equipment is constituted by telecommunication terminals, such as 26, in which is integrated the control module. Each terminal 26 communicates with the operator's public network 20 via a modem 28.
  • the network comprises, on the one hand, a server 30 providing access to the Internet network and, on the other hand, a call server 32 which exercises, jointly with the control modules, control the identity of the originator of a call and which establishes telephone communications for a subscriber calling according to the result of the control of the transmitter and according to a configuration of services offered by the operator.
  • the call server 32 as well as the gateway control module (configuration; C1) or of the terminals (configuration C2) . include all the hardware and software means to control the identity of the originator of a call to verify that a subscriber number has not been usurped by a third party, as will be described in detail by the ' after.
  • the call server 32 is associated with a database 34 in which are loaded information relating to the subscribers, such as the identification address of the terminal, also known by the name "MAC address".
  • information relating to the subscribers such as the identification address of the terminal, also known by the name "MAC address”.
  • such information is loaded into memory in each terminal 12, during its manufacture. They are transferred to the database 34, under the control of the "call server 32, during the first call made from each terminal, that is to say immediately after the installation of the terminal of a subscriber
  • the Internet service provider server 30 transmits to the control module of the gateway 24 or to the terminal 26, in the case where the module is integrated into the latter, a public IP address, and this, whenever this address is changed.
  • this terminal For the establishment of a NoIP communication on the Internet network 20 from a terminal such as 12, this terminal prepares and then transmits to the call server 32 a frame for requesting establishment of 'call.
  • This frame includes a set of fields each conveying information necessary for the establishment of the communication, such as the IP address of the calling terminal or the IP address of the gateway, and the number of the caller and the called party. .
  • control module 24 inserts into the call establishment request frame an encrypted message prepared from the address
  • the call server 32 proceeds to a decryption of the control code inserted in the frame, to a recovery of the MAC code of identification and the IP address of the calling gateway or terminal, then, on the one hand, a comparison of the MAC address retrieved from the frame sent by the calling terminal with the corresponding MAC address stored in the database data 34 and, on the other hand, the IP address resulting from the decryption of the control code with the IP address conveyed in clear by the frame. In case of correspondence between these data, the call is authorized.
  • the call request begins with a first phase 36 during which the terminal 12 transmits the call establishment request frame to the control module.
  • This performs a configuration of a specific field in the frame of the control code.
  • the control module 24 inserts into the "h323id" field an encrypted function of the MAC address of the IP telephone and of the IP address of the control module.
  • the frame is then transmitted to the call server 32 (step 3. 8).
  • This comprises a gatekeeper 40, which shares with the control module a dynamic link library or DLL so as to decrypt the control code.
  • control module can be carried out by any type of encryption of the conventional type.
  • encryption techniques that can be used within the framework of the present description are within the reach of a person skilled in the art and will therefore not be described in detail below. . - •
  • the call management server 32 implements service software 44 (step 41), which carries out the actual control, called the call originator so as to authorize the establishment of the call in case of correspondence between the data conveyed by the control code and the data stored in the database 34, on the one hand, and the data conveyed in clear by the communication establishment request frame,
  • the service software then transmits the result of the processing to the gatekeeper (step 42). Instructions suitable for authorizing a call can then be transmitted to the control module (step 43) and to the terminal (step 45) in the absence of an attempted fraud.
  • a check of the checking function is carried out. If this function is deactivated, communication is authorized (step 47).
  • the call server performs a decryption of the control code, that is to say, when the H.323 standard is used, to a decryption of the h323id field so as to extract the identification address of the terminal and the IP address of this terminal or the gateway IP address.
  • the call server and in particular the service software performs a comparison of the IP address extracted from the control code with the IP address conveyed in clear by the establishment request frame call. In the event that these addresses do not match, the call request is rejected (step 50). In case of correspondence between these IP addresses, during the step
  • the call server 32 checks if a MAC address is present in the database.
  • the MAC address obtained after decryption is stored in the database (step 54) and the appeal is allowed.
  • the call server 32 performs a comparison of this MAC address with the MAC address resulting from the decryption. If there is a match between these addresses, the call is authorized (step 47). Otherwise, the appeal is dismissed.
  • the service software verifies that the IP address of the control module is correct.
  • a user subscribed or not, retrieving an IP address from a subscriber to make communications, will not be able to establish a communication. Indeed, after decryption of the control code, the IP address will not correspond to that of the line from which the call is made.
  • the service software verifies that the MAC address of the terminal from which the call is made corresponds to the address

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Pour contrôler l’identité de l’émetteur d’un appel téléphonique sur une réseau Internet, on insère un code de contrôle crypté dans un champ d’une trame de demande d’établissement de communication, le code contenant des paramètres portant sur l’identité d’un terminal de télécommunication (12 ; 26) à partir duquel l’appel téléphonique est émis, on décrypte au moyen d’un serveur de gestion d’appels (32) distant le code de contrôle décrypté avec des informations correspondantes stockées dans une base de données (34) hébergée dans le serveur, et l’on établit l’appel en fonction du résultat de la comparaison.

Description

Procédé et installation de contrôle de l'identité de l'émetteur d'un appel téléphonique sur un réseau Internet et terminal de téléphonie pour une telle installation.
L'invention concerne le domaine de la téléphonie sur Internet.
Elle s'applique à tous les protocoles NoIP de voix sur Internet ("Noice over IP, en anglais"), tel que le protocole issu de l'Union des Télécommunications Internationales (ITU), connu sous l'appellation H.323, le protocole SIP (Session Initiation Protocol) issu de l'IETF, ... , ainsi qu'à tous les types d' architectures de réseau de téléphonie résidentiel ou d'entreprise.
De manière conventionnelle, les services de téléphonie sur Internet mettent en œuvre un certain nombre de mécanismes d'authentification de l'abonné appelant afin d'éviter, notamment, que des appels passés par des tiers non autorisés lui soient facturés.
Ces techniques d'authentification peuvent consister en des mécanismes de chiffrement par cryptographie asymétrique, qui utilisent un échange de certificat par clés publiques et clés privées . Cette technique repose sur des fonctions mathématiques à sens unique, c'est-à-dire des fonctions faciles à calculer mais extrêmement difficiles à inverser. L'abonné détient une clé privée. Il divulgue une clé publique à son interlocuteur. Bien que la clé privée et la clé publique de l'abonné soient étroitement liées, la divulgation de la clé publique ne fournit aucun renseignement concernant la clé privée. La connaissance de la clé publique de l'abonné permet notamment à un interlocuteur distant de chiffrer un message destiné à l'abonné.
Un autre mécanisme d'authentification de l'abonné est basé sur l'utilisation d' un identifiant et d'un mot de passe. Ainsi, pour établir une communication, il est nécessaire de fournir un identifiant et un mot de passe. Si ceux-ci sont reconnus par un serveur d'appels de l'opérateur, alors l'établissement d'une communication devient possible. Ces mécanismes d'authentification sont relativement faciles à mettre en œuvre avec des téléphones logiciels. Cependant, il n'en va pas de. même pour des terminaux téléphoniques utilisés dans des réseaux internet. En effet, ces terminaux ne présentent pas tous la possibilité de saisir un mot de passe ou de mettre en œuvre le chiffrement par cryptographie asymétrique.
En outre, la cryptographie asymétrique nécessite, pour être réellement efficace, d'obtenir un certificat auprès d'un organisme certifié, ce qui est difficilement compatible avec un déploiement d'un service de voix sur Internet à grande échelle, c'est-à-dire pour plusieurs millions d'abonnés.
Le but de l'invention est donc de pallier ces inconvénients et de fournir un procédé et une installation de contrôle de l'identité d'un émetteur d'un appel téléphonique sur un réseau Internet, permettant de contrôler l'identité d'un émetteur utilisant un terminal téléphonique de type VoIP, c'est-à-dire un terminal de téléphonie sur internet, et qui soit compatible avec un développement de la téléphonie Internet à très grande échelle.
Ainsi, selon l'invention, il est proposé un procédé de contrôle de l'identité d'un émetteur d'un appel téléphonique sur un réseau
Internet comprenant les étapes suivantes :
- insertion d'un code de contrôle crypté dans un champ d'une trame de demande d'un établissement de communication, le code contenant des paramètres portant sur l'identité d'un terminal de télécommunication à partir duquel l'appel
. téléphonique est émis ;
- décryptage, par un serveur de gestion d'appels distant, du code de contrôle ;
- comparaison d'au moins un paramètre extrait du code de contrôle décrypté avec des informations correspondantes stockées dans une base de données hébergée dans le serveur ; et
- établissement de l'appel en fonction du résultat de ladite comparaison. Selon une autre caractéristique de ce procédé, celui-ci comporte en outre une étape de comparaison de paramètres extraits du code de contrôle décrypté avec des informations correspondantes extraites de la trame de demande d'établissement d'appels. Ces informations, qui sont stockées dans la base de données, comportent, selon encore une autre caractéristique de ce procédé, une adresse d'identification du terminal.
Par exemple, les informations sont transférées du terminal vers la base de données lors d'un premier appel émis par le terminal. Ce premier appel peut être constitué par un appel émis immédiatement après l'installation du terminal de téléphonie de l'abonné.
Selon un mode de mise en œuvre particulier, les paramètres extraits de la trame de demande d'établissement d'appel comportent l'adresse IP du terminal et le numéro d'appel du terminal. Ainsi, le code de contrôle peut être élaboré à partir d'une fonction cryptée de l'adresse d'identification du^terminal et de l'adresse IP de ce dernier.
En ce qui concerne l'adresse IP du terminal, celle-ci est transmise par un fournisseur d'accès à un réseau Internet, à un module de contrôle associé au terminal. Selon une autre configuration du réseau de télécommunications mettant en œuvre un procédé selon l'invention, les paramètres extraits de la trame de demande d'établissement d' appel comportent l' adresse IP d'une passerelle de raccordement d'un réseau privé à un réseau de télécommunication et le numéro d' appel du terminal. Le code de contrôle est alors élaboré à partir d'une fonction cryptée de l' adresse d'identification du terminal et de l' adresse IP de la passerelle.
L' adresse IP du terminal est transmise, selon cette variante de configuration, par un fournisseur d'accès à un réseau Internet, à module de contrôle associé à la passerelle.
Selon l'invention, il est également proposé une installation de contrôle de l'identité de l' émetteur d'un appel téléphonique sur un réseau Internet, comprenant un serveur de gestion d'appels adapté pour provoquer l'établissement d'une communication entre des terminaux de télécommunication respectivement appelant et appelé, en fonction de paramètres contenus dans une trame de demande d'établissement de communication émise par le terminal appelant.
Le serveur de gestion comporte des moyens de décryptage d'un code de contrôle crypté inséré dans la trame de demande d'établissement de communication, le code contenant des paramètres portant sur l'identité du terminal de télécommunication appelant, et des moyens de comparaison d'au moins un paramètre extrait du code de contrôle décrypté par les moyens de décryptage avec un code correspondant stocké dans- une base de données hébergée dans le serveur pour autoriser l'établissement de la communication en fonction du résultat de la comparaison.
Selon une autre caractéristique de l'invention, l'installation comporte en outre des moyens de comparaison de paramètres extraits du code de contrôle décrypté avec des informations correspondantes
. extraites de la trame de demande d'établissement d'appel. .
Enfin, selon l'invention, il est proposé un terminal de télécommunication pour installation de contrôle tel que défini ci- dessus, caractérisé en ce qu'il comporte un module de contrôle adapté pour l'insertion d'un code de contrôle crypté dans une trame de demande d'établissement de communication.
Ce module de contrôle comporte des moyens pour l'élaboration d'une fonction cryptée de l'adresse d'identification du terminal et de l'adresse IP du terminal. En variante, le module de contrôle comporte des moyens pour l' élaboration d'une fonction cryptée de l' adresse d' identification du terminal et de l' adresse IP d'une passerelle de raccordement d'un réseau local à un réseau de télécommunication public.
D'autres buts, caractéristiques et avantages de l'invention apparaîtront à la lecture de la description suivante, donnée uniquement à titre d'exemple non limitatif, et faite en référence aux dessins annexés sur lesquels :
- la figure 1 illustre schématiquement la structure d'un réseau de télécommunication permettant d'accéder à un service de téléphonie Internet, pourvu d'une installation de contrôle d'un émetteur d'un appel téléphonique et permettant de mettre en œuvre un procédé de contrôle conforme à l'invention ;
- la figure 2 est une vue de détail d'une portion du réseau de la figure 1, illustrant une séquence de demande d'établissement d'appel ; et
- la figure 3 est un organigramme illustrant les principales phases du procédé de contrôle conforme à l'invention.
Sur la figure 1 , on a représenté l'architecture générale d'un réseau 10 de télécommunication permettant l'accès à un service de téléphonie sur Internet.
Comme on le voit sur cette figure, le réseau comporte, côté abonné, un ensemble d'équipements utilisables par des abonnés pour l'établissement de communications téléphoniques avec des abonnés distants.
Sur la figure 1, deux configurations- distinctes ont été représentées, à savoir une configuration Cl et une configuration C2.
La première configuration Cl est agencée autour d'un réseau local privé, ou réseau LAN. Elle comporte un ensemble de terminaux de télécommunication 12, par exemple constitués par des téléphones
NoIP, raccordés au réseau LAN 14. Des terminaux informatiques, tels que 16, constitués part exemple par des micro-ordinateurs, peuvent également être raccordés au réseau 14, comme cela est conventionnel dans un réseau informatique privé. Une passerelle 24 assure l'interconnexion du réseau privé, et en particulier du réseau LAN 14 à un réseau public 20 d' un opérateur de télécommunication fournissant un service de téléphonie NoIP, par l'intermédiaire d'un modem 22.
La passerelle comporte un module de contrôle assurant, comme cela sera décrit en détail par la suite, un contrôle de l'identité de l' émetteur d'un appel téléphonique, c'est-à-dire un module capable de contrôler qu'aucune tentative d'usurpation du numéro d'appel du réseau local LAN n'a été faite par des tiers. En ce qui concerne la deuxième configuration C2, qui correspond à une installation privée d'un abonné particulièrement adaptée pour être prévue dans des locaux d'habitation, les équipements de téléphonie sont constitués par des terminaux de télécommunication, tels que 26, auxquels est intégré le module de contrôle. Chaque terminal 26 communique avec le réseau public de l'opérateur 20 par l'intermédiaire d'un modem 28.
Du côté fournisseur de service, le réseau comporte, d'une part, un serveur 30 fournisseur d'accès au réseau Internet et, d' autre part, un serveur d'appels 32 qui exerce, conjointement avec les modules de contrôle, un contrôle de l'identité de l'émetteur d'un appel et qui établit des communications téléphoniques pour un abonné appelant en fonction du résultat du contrôle de l'émetteur et en fonction d'une configuration de services proposés par l'opérateur. Le serveur d' appels 32 ainsi que le module de contrôle de la passerelle (configuration ;C1) ou des terminaux (configuration C2). comportent tous les moyens matériels et logiciels permettant de contrôler l'identité de l' émetteur d'un appel afin de vérifier qu'un numéro d' abonné n' a pas été usurpé par un tiers, comme cela sera décrit en détail par la' suite.
On voit en particulier sur la figure 1 que le serveur d'appel 32 est associé à une base de données 34 dans laquelle sont chargées des informations relatives aux abonnés, telles que l'adresse d'identification du terminal, également connue sous l'appellation "adresse MAC" . Comme cela est connu en soi, de telles informations sont chargées en mémoire dans chaque terminal 12, lors de leur fabrication. Elles sont transférées dans la base de données 34, sous le contrôle du " serveur d'appels 32, lors du premier appel effectué à partir de chaque terminal, c'est-à-dire juste après l'installation du terminal d'un abonné. Par ailleurs, le serveur fournisseur d'accès Internet 30 transmet au module de contrôle de la passerelle 24 ou au terminal 26, dans le cas où le module est intégré dans ce dernier, une adresse IP publique, et ce, à chaque fois que cette adresse est modifiée. Comme cela est connu en soi, pour l'établissement d'une communication NoIP sur le réseau Internet 20 à partir d'un terminal tel que 12, ce terminal élabore puis transmet au serveur d' appel 32 une trame de demande d'établissement d'appel. Cette trame comporte un ensemble de champs véhiculant chacun des informations nécessaires à l'établissement de la communication, telles que l' adresse IP du terminal appelant ou l' adresse IP de la passerelle, et le numéro de l' appelant et de l' appelé.
Afin de contrôler l'absence d'usurpation du numéro de l'abonné appelant, le module de contrôle 24 insère dans la trame de demande d'établissement d'appel un message crypté élaboré à partir de l'adresse
MAC d'identification du terminal et de l'adresse IP de la passerelle, en ce qui concerne la première configuration Cl , ou du terminal, en ce qui concerne la configuration C2. Comme indiqué précédemment, la trame de demande ~ ~ ~ "d'établissement, d'appel véhicule en clair, c'est-à-dire de manière non cryptée, l'adresse IP du terminal ou de la passerelle. En ce qui concerne l'adresse MAC d'identification du terminal, celle-ci est également stockée dans la base de données 34 associée au serveur d'appels 32.
Ainsi, pour procéder au contrôle de l'identité de l'émetteur de l'appel, le serveur d'appels 32 procède à .un décryptage du code de contrôle inséré dans la trame, à une récupération du code MAC d'identification et de l'adresse IP de la passerelle ou du terminal appelant, puis, à une comparaison, d'une part, de l'adresse MAC récupérée à partir de la trame émise par le terminal appelant avec l'adresse MAC correspondante stockée dans la base de données 34 et, d'autre part, de l'adresse IP issue du décryptage du code de contrôle avec l'adresse IP véhiculée en clair par la trame. En cas de correspondance entre ces données, l' appel est autorisé.
On va maintenant décrire de manière détaillée, en référence à la figure 2 sur laquelle les principaux éléments du réseau ont été repris et sur laquelle on a représenté les flux de données par des flèches, les principales phases d'une séquence de demande d'établissement d'appel. Comme indiqué précédemment, la demande d'appel débute par une première phase 36 au cours de laquelle le terminal 12 transmet au module de contrôle la trame de demande d'établissement d'appel. Celui-ci procède à un paramétrage d'un champ spécifique de la trame du code de contrôle. Par exemple, en utilisant la norme H.323, le module de contrôle 24 insère dans le champ "h323id" une fonction cryptée de l'adresse MAC du téléphone IP et de l'adresse IP du module de contrôle. La trame est alors transmise vers le serveur d'appels 32 (étape 3.8). Celui-ci comporte un portier 40, lequel partage avec le module de contrôle une bibliothèque de liens dynamiques ou DLL de manière à procéder à un décryptage du code de contrôle.
On notera que le cryptage réalisé par le module de contrôle peut être réalisé par tout type de cryptage de type classique. Les techniques de cryptage pouvant être utilisées dans le cadre de la présente description sont à la portée d'un homme du métier et ne seront donc pas décrites en détail par la suite. . -
Après décryptage, le serveur de gestion d'appels 32 met en œuvre un logiciel de service 44 (étape 41), lequel procède au contrôle proprement , dit de l'émetteur de l'appel de manière à autoriser l'établissement de la communication en cas de correspondance entre les données véhiculées par le .code de contrôle et les données stockées dans la base de données 34, d'une part, et les données véhiculées en clair par la trame de demande d'établissement de communication,
. d'autre part. Le logiciel de service transmets alors le résultat du traitement au portier (étape 42). Des instructions aptes à autoriser un appel peuvent alors être transmises au module de contrôle (étape 43) et au terminal (étape 45) en cas d' absence de tentative de fraude.
Plus particulièrement, en se référant à la figure 3, pour procéder au contrôle de l'identité de l' émetteur de l'appel, lors d'une première étape 46, il est procédé à une vérification de la fonction de contrôle. Dans le cas où cette fonction est inactivée, la communication est autorisée (étape 47).
Dans le cas contraire, c'est-à-dire si la fonction de contrôle est activée, lors de l'étape 48 suivante, le serveur d'appels procède à un décryptage du code de contrôle, c'est-à-dire, lorsque la norme H.323 est utilisée, à un décryptage du champ h323id de manière à extraire l'adresse d'identification du terminal et l'adresse IP de ce terminal ou de l' adresse IP de la passerelle. Lors de l'étape 49 suivante, le serveur d'appels et en particulier le logiciel de services procède à une comparaison de l'adresse IP extraite du code de contrôle avec l'adresse IP véhiculée en clair par la trame de demande d'établissement d'appel. Dans le cas où ces adresses ne correspondent pas, la demande d'appel est rejetée (étape 50). En cas de correspondance entre ces adresses IP, lors de l'étape
52 suivante, le serveur d'appels 32 vérifie si une adresse MAC est présente dans la base de données.
Si l'adresse MAC n'est pas présente, ce qui traduit le fait que la ligne vient d'être établie, l'adresse MAC obtenue à l'issue du décryptage est stockée dans la base de données (étape 54) et l'appel est autorisé.
Au contraire, dans le cas où il existe une adresse MAC dans la base 34, le serveur d'appels 32 procède à une comparaison de cette adresse MAC avec l'adresse MAC issue du décryptage. En cas de correspondance entre ces adresses, l'appel est autorisé (étape 47). Dans le cas contraire, l'appel est rejeté.
Ainsi, au niveau du serveur d'appels, après décryptage, le logiciel de services vérifie que l'adresse IP du module de contrôle est correcte. Un utilisateur, abonné ou non, récupérant une adresse IP d'un abonné pour passer des communications, ne pourra établir une communication. En effet, après décryptage du code de contrôle, l'adresse IP ne correspondra pas à celle de la ligne à partir de laquelle l'appel est émis.
Par ailleurs, le logiciel de services vérifie que l'adresse MAC du terminal à partir duquel l'appel est émis correspond à l'adresse
MAC du terminal enregistrée dans la base de données 34. On vérifie ainsi que le terminal à partir duquel la tentative d' appel est faite correspond bien au terminal associé à la ligne Ainsi, comme on le conçoit, selon l'invention, on procède, d'une part, à un contrôle de la ligne et, d'autre part, à un contrôle du terminal à partir duquel un appel est émis.

Claims

REVENDICATIONS 1. Procédé de contrôle de l'identité d'un émetteur d'un appel téléphonique sur un réseau Internet, caractérisé en ce qu'il comprend les étapes suivantes :
- insertion d'un code de contrôle crypté dans un champ d'une trame de demande d' établissement de communication, le code contenant des paramètres portant sur l' identité d'un terminal de télécommunication à partir duquel l' appel téléphonique est émis ;
- décryptage, par un serveur (32) de gestion d' appels distant, du code de contrôle ; - comparaison d' au moins un paramètre extrait du code de contrôle décrypté avec des informations correspondantes stockées dans une base de données (34) hébergée dans le serveur ; et
- établissement de l' appel en fonction du résultat de ladite comparaison.
2. Procédé selon la revendication 1, caractérisé en ce qu'il comporte en outre une étape de comparaison de paramètres extraits du code de contrôle décrypté avec des informations correspondantes extraites de la trame de demande d'établissement d' appel.
3. Procédé selon l'une des revendications 1 et 2, caractérisé en ce que les informations stockées dans la base de données comportent une adresse d'identification du terminal (12 ; 26) .
4. Procédé selon la revendication 3, caractérisé en ce que lesdites informations sont transférées du terminal vers la base de données (34) lors d'un premier appel émis par le terminal (12 ; 26).
5. Procédé selon l'une quelconque des revendications 2 à 4, caractérisé en ce que les paramètres extraits de la trame de demande d' établissement d' appel comportent l' adresse IP du terminal et le numéro d' appel du terminal.
6. Procédé selon l'une quelconque des revendications 1 à 5, caractérisé en ce que le code de contrôle est élaboré à partir d'une fonction cryptée de l' adresse d'identification du terminal (MAC) et de l' adresse IP du terminal.
7. Procédé selon l'une quelconque des revendications 1 à 6, caractérisé en ce que l' adresse IP du terminal est transmise, par un fournisseur d' accès (30) à un réseau Internet, à module de contrôle (24) associé au terminal.
8. Procédé selon l'une quelconque des revendications 2 à 4, caractérisé en ce que les paramètres extraits de la trame de demande d'établissement d' appel comportent l' adresse IP d'une passerelle (24) de raccordement d'un réseau privé (14) à un réseau (20) de télécommunication et le numéro d' appel du terminal.
9. Procédé selon la revendication 8, caractérisé en ce que le code de contrôle est élaboré à partir d'une fonction cryptée de l' adresse d'identification du terminal (MAC) et de l' adresse IP de la passerelle.
10. Procédé selon l'une des revendications 8 et 9, caractérisé en ce que l' adresse IP du terminal est transmise, par un fournisseur d' accès (30) à un réseau Internet, à module de contrôle (24) associé à - | la passerelle.
11. Installation de contrôle de l'identité d'un émetteur d'un appel téléphonique sur un réseau Internet, comprenant un serveur (32) de gestion d' appels adapté pour provoquer l'établissement d'une communication entre des terminaux de télécommunication respectivement appelant et appelé en fonction de paramètres contenus dans une trame de demande d' établissement de communication émise par le terminal appelant (12 ;26), caractérisée en ce que le serveur de gestion (32) comporte des moyens de décryptage d'un code de contrôle crypté inséré dans la trame de demande d' établissement de communication, le code contenant des paramètres portant sur l'identité du terminal de télécommunication appelant, et des moyens de comparaison d'au moins un paramètre extrait du code de contrôle décrypté par les moyens de décryptage avec un code correspondant stocké dans une base de données (34) hébergée dans le serveur pour autoriser l' établissement de la communication en fonction du résultat de la comparaison.
12. Installation selon la revendication 11 , caractérisée en ce qu' elle comporte en outre des moyens (32) de comparaison de paramètres extraits du code de contrôle décrypté avec des informations correspondantes extraites de la trame de demande d' établissement d' appel.
13. Terminal de télécommunication pour installation de contrôle selon l'une des revendications 11 et 12, caractérisé en ce qu' il comporte un module de contrôle adapté pour l' insertion d'un code de contrôle crypté dans une trame de demande d' établissement de communication.
14. Terminal selon la revendication 13, caractérisé en ce que le module de contrôle comporte des moyens pour l' élaboration d'une fonction cryptée de l' adresse d'identification du terminal et de l' adresse IP du terminal.
15. Terminal selon la revendication 13, caractérisé en ce que le module .de contrôle comporte des moyens pour l' élaboration d'une fonction cryptée , de l' adresse d'identification du terminal , et de l' adresse IP d' une passerelle (24) de raccordement d'un réseau local (14) à un réseau de télécommunication public (20).
PCT/FR2003/002808 2002-10-01 2003-09-24 Procede et installation de controle de l’identite de l’emetteur d’un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation WO2004032430A2 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US10/529,989 US20060147038A1 (en) 2002-10-01 2003-09-24 Method and installation for controlling a telephone call transmitter on an internet network and telephone terminal therefor
AU2003299173A AU2003299173A1 (en) 2002-10-01 2003-09-24 Method and installation for controlling a telephone call transmitter on an internet network and telephone terminal therefor
EP03798947A EP1547346A2 (fr) 2002-10-01 2003-09-24 Procede et installation de controle de l'identite de l'emetteur d'un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0212132A FR2845226B1 (fr) 2002-10-01 2002-10-01 Procede et installation de controle de l'identite de l'emetteur d'un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation
FR02/12132 2002-10-01

Publications (2)

Publication Number Publication Date
WO2004032430A2 true WO2004032430A2 (fr) 2004-04-15
WO2004032430A3 WO2004032430A3 (fr) 2004-09-23

Family

ID=31985374

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2003/002808 WO2004032430A2 (fr) 2002-10-01 2003-09-24 Procede et installation de controle de l’identite de l’emetteur d’un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation

Country Status (5)

Country Link
US (1) US20060147038A1 (fr)
EP (1) EP1547346A2 (fr)
AU (1) AU2003299173A1 (fr)
FR (1) FR2845226B1 (fr)
WO (1) WO2004032430A2 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1777874A3 (fr) * 2005-10-19 2007-06-06 SBC Knowledge Ventures L.P. Pocédé et appareil pour la gestion de systèmes de communication repartis
US7630360B2 (en) 2005-10-19 2009-12-08 At&T Intellectual Property I, Lp Methods and apparatus to perform outdial facsimile services

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7839988B2 (en) * 2005-10-19 2010-11-23 At&T Intellectual Property I, L.P. Methods and apparatus for data structure driven authorization and/or routing of outdial communication services
US20070116234A1 (en) * 2005-10-19 2007-05-24 Marco Schneider Methods and apparatus for preserving access information during call transfers
US20070086433A1 (en) * 2005-10-19 2007-04-19 Cunetto Philip C Methods and apparatus for allocating shared communication resources to outdial communication services
US8238327B2 (en) * 2005-10-19 2012-08-07 At&T Intellectual Property I, L.P. Apparatus and methods for subscriber and enterprise assignments and resource sharing
US8769706B2 (en) * 2007-07-26 2014-07-01 International Business Machines Corporation System and method for user to verify a network resource address is trusted

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000062507A1 (fr) * 1999-04-09 2000-10-19 General Instrument Corporation Gestion des cles entre un adaptateur de telephonie par cable et un signaleur associe
DE10108825A1 (de) * 2001-02-23 2002-09-05 Siemens Ag Gesplittete Sicherheitsarchitektur für Voice over Internetprotocol

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4068780B2 (ja) * 2000-02-24 2008-03-26 富士通株式会社 VoIP通信システムにおける通信状態通知装置,通信状態表示装置,通信状態通知方法及び通信状態通知プログラムを記録した媒体
US20030097584A1 (en) * 2001-11-20 2003-05-22 Nokia Corporation SIP-level confidentiality protection
JP3746713B2 (ja) * 2001-12-28 2006-02-15 株式会社日立製作所 インターネット電話システムおよび情報処理装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000062507A1 (fr) * 1999-04-09 2000-10-19 General Instrument Corporation Gestion des cles entre un adaptateur de telephonie par cable et un signaleur associe
DE10108825A1 (de) * 2001-02-23 2002-09-05 Siemens Ag Gesplittete Sicherheitsarchitektur für Voice over Internetprotocol

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1777874A3 (fr) * 2005-10-19 2007-06-06 SBC Knowledge Ventures L.P. Pocédé et appareil pour la gestion de systèmes de communication repartis
US7630360B2 (en) 2005-10-19 2009-12-08 At&T Intellectual Property I, Lp Methods and apparatus to perform outdial facsimile services
US7643472B2 (en) 2005-10-19 2010-01-05 At&T Intellectual Property I, Lp Methods and apparatus for authorizing and allocating outdial communication services
US7782842B2 (en) 2005-10-19 2010-08-24 At&T Intellectual Property I, L.P. Methods and apparatus to perform outdial communication services

Also Published As

Publication number Publication date
FR2845226A1 (fr) 2004-04-02
FR2845226B1 (fr) 2004-12-10
AU2003299173A8 (en) 2004-04-23
EP1547346A2 (fr) 2005-06-29
AU2003299173A1 (en) 2004-04-23
US20060147038A1 (en) 2006-07-06
WO2004032430A3 (fr) 2004-09-23

Similar Documents

Publication Publication Date Title
EP1022922B1 (fr) Procédé d'authentification, avec établissement d'un canal sécurise, entre un abonné et un fournisseur de services accessible via un opérateur de télécommunications
US7860800B2 (en) Policy control and billing support for call transfer in a session initiation protocol (SIP) network
EP1683388A2 (fr) Methode de gestion de la s curit d' applications avec un module de securite
EP0463384A1 (fr) Procédé d'accès à un service de téléphonie sans fil
WO2006021661A2 (fr) Procede d'authentification securisee pour la mise en œuvre de services sur un reseau de transmission de donnees
WO2011151573A1 (fr) Procede et dispositifs de communications securisees dans un reseau de telecommunications
EP3588903A1 (fr) Procédé, dispositif et serveur de distribution sécurisée d'une configuration à un terminal
US20050227670A1 (en) Methods and systems for providing voice over internet protocol communications via an intranet
FR2851712A1 (fr) Dispositif de gestion de communications par selection de terminaux et de medium de communication
EP1547346A2 (fr) Procede et installation de controle de l'identite de l'emetteur d'un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation
EP2873211B1 (fr) Procédé d'enregistrement d'au moins une adresse publique dans un réseau ims et application correspondante
EP3219077A1 (fr) Procédé et système de gestion d'identités d'utilisateurs destiné à être mis en oeuvre lors d'une communication entre deux navigateurs web
EP1400090B1 (fr) Procede et dispositif de securisation des communications dans un reseau informatique
FR2844943A1 (fr) Procede de production d'un premier identifiant isolant un utilisateur se connectant a un reseau telematique
EP3808060A1 (fr) Procédé de traitement de messages par un dispositif d'un réseau de voix sur ip
FR2882487A1 (fr) Procede de routage d'appel dans un terminal bi-mode
JP2004280595A (ja) コールバックvpnシステム及び接続方法
WO2024153437A1 (fr) Procédés de signature de données, de fourniture de données signées, terminal et serveur associés
EP1992104B1 (fr) Authentification d'un dispositif informatique au niveau utilisateur
FR3147063A1 (fr) Procédés d’émission de données de configuration, dispositifs électroniques associés, réseau central et serveur comprenant un tel dispositif électronique
FR2842381A1 (fr) Procede et dispositif pour connexion a un systeme electronique par l'intermediaire d'un fournisseur d'acces a un reseau de communication
EP1401167A1 (fr) Architecture pour établir une session multimédia sur un réseau
WO2008068442A2 (fr) Procede et systeme de telecommunication permettant a au moins deux utilisateurs distincts d'acceder a un meme ensemble d'informations
FR2887727A1 (fr) Procede de personnalisation de la carte de visite d'un appele selon l'identite d'un appelant
FR2950767A1 (fr) Procede de communications securisees dans un reseau de telecommunications

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SC SD SE SG SK SL TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2003798947

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2003798947

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2006147038

Country of ref document: US

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 10529989

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 10529989

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP