WO2007006921A1 - Access control method and device - Google Patents

Access control method and device Download PDF

Info

Publication number
WO2007006921A1
WO2007006921A1 PCT/FR2006/001609 FR2006001609W WO2007006921A1 WO 2007006921 A1 WO2007006921 A1 WO 2007006921A1 FR 2006001609 W FR2006001609 W FR 2006001609W WO 2007006921 A1 WO2007006921 A1 WO 2007006921A1
Authority
WO
WIPO (PCT)
Prior art keywords
user
question
access control
access
response
Prior art date
Application number
PCT/FR2006/001609
Other languages
French (fr)
Inventor
Jean-Pierre Le Rouzic
Thierry Leclercq
Vincent Barnaud
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007006921A1 publication Critical patent/WO2007006921A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Definitions

  • the invention relates to the access control of a user to resources.
  • the invention can thus find an application in the fields of accounts on the Internet, for example the domain of mail accounts to Web interface.
  • the invention can also find an application in the field of online shopping. Other fields of application of the present invention remain possible.
  • a user pays a bill at a merchant using a portable security module, typically a credit card, he must not only present his credit card but also sign.
  • the user agrees to the transaction by signing.
  • the signature may consist of entering a secret code, or PIN (as "Personal Identification Number" in English) on the keys of a payment terminal.
  • the payment terminal transmits the secret code entered to the bank card.
  • a secret key is stored in the bank card. If the secret code entered is correct, the credit card encrypts a document received from the terminal with the secret key.
  • the document contains parameters of the transaction, typically the price, a merchant ID, the date, and so on.
  • the terminal then sends this document - clearly - and the document encrypts to a server using a private and secure network.
  • such a transaction can be performed on other networks, for example a mobile network or the Internet.
  • a malicious application including for example a keypad spy program, memorizes the secret code entered. Subsequently, this application can impersonate the user and sign unwanted transactions.
  • a malicious application could access third-party Internet accounts, accounts being password-protected, for example to vote for them.
  • Figure 1 shows an example device for verifying the humanity of a user, known in the field of opening mail accounts to Web Interface.
  • This verification is implemented by a generator of letters 2 in a protected server 1.
  • the letter generator 2 comprises a memory in which is stored an alphabet.
  • the letter generator transmits the generated letters A_1 to representation means 4.
  • the representation means 4 creates an image Q from the transmitted letters A_1.
  • This Q image is transmitted to a terminal (not shown) and is displayed.
  • the user looks at the image and enters the letters he recognizes.
  • the letters entered by the user A_2 are transmitted to the server 1 and compared to the generated letters A_1 by comparison means 5. In case of equality, the server 1 considers that the user is human. An authorization signal is issued.
  • the invention aims to protect more malicious applications that pose as human users to a device for controlling access to resources.
  • the subject of the invention is a device for controlling the access of a user to resources, comprising:
  • a memory for storing a set of objects, the memory being structured in such a way that the objects are at least partially ordered, the scheduling using ordinary knowledge of the potential users, means of processing for choosing a pair of questions / response from at least one stored object and its scheduling,
  • transmission means for communicating the question to a user, and for receiving a response provided by the user.
  • the processing means are arranged to compare the response of the question / answer pair to the response received from the user. Access to resources is conditioned by the comparison.
  • Each question / answer pair is chosen from a set of at least partially ordered objects.
  • the scheduling of the set of objects uses ordinary knowledge of a potential user, so that a human user can easily answer the questions asked.
  • the answer does not need to be agreed in advance with the user.
  • the quiz can include the following questions:
  • an application can not determine the answer by itself.
  • a human user is able to answer these questions without difficulty, with the help of his general knowledge.
  • the scheduling of the object set is taken into account to choose the question / answer pairs. So the questions are not obtained from only the answers. For example, answers “4", “no”, “6” and “Paris” do not alone generate the above-mentioned questions.
  • the set of objects is hierarchically organized by links deduced from ordinary knowledge of potential users.
  • the set of objects is ordered according to an ontology, that is to say a hierarchical organization of knowledge on a set of objects by their grouping into subcategories according to their essential characteristics. Questions can be chosen on request.
  • Such scheduling makes it possible to generate a relatively high number of question / answer pairs.
  • the set of objects is structured into a set of questions and a set of answers, the scheduling being such that each answer and each question are associated two by two.
  • a question / answer pairing game can be installed in the memory during an initialization. Questions and answers can be installed by a human operator or from an ontology. The choice of the question to communicate to the user is then relatively simple to implement.
  • the present invention is not limited by the nature of the scheduling of objects, nor by the implementation of the choice of question / answer couples, provided that the questions are not obtained from the answers only.
  • the memory is protected, so that a malicious application does not easily access the memory.
  • the access control device comprises a server comprising the transmission means.
  • the means of transmission may be able to communicate with a terminal.
  • the memory can thus be protected from a malicious application in the terminal.
  • the access control device comprises a portable security module, for example a smart card, or a USB key.
  • the portable security module comprises transmission means. These transmission means may be able to communicate with a terminal. Again, a malicious application in the terminal can hardly access objects in the memory.
  • the terminal may for example include a personal computer, a mobile phone, or a PDA-type organizer (such as "Personal Digital Assistant").
  • the terminal may include an interface, for example a screen and a keyboard, for communicating with the user and receiving data entered by the user.
  • the present invention is not limited by the nature of the access control device.
  • the invention also relates to an access control system comprising an access control device, for example a server, and at least one terminal.
  • the transmission means of the access control device are able to communicate with the terminal.
  • the transmission means may be able to communicate with a relatively large number of terminals, for example of the order of a thousand.
  • the access control system also comprises a portable security module able to communicate with a terminal.
  • the portable security module for example a USB key, makes it possible to store and keep protected data.
  • the resources that the user seeks to access include data stored in a memory space of the portable security module.
  • the user thus has access to the data of his own USB key after having demonstrated that he was very human.
  • the invention finds here a particularly advantageous application: in fact, user-side resources are more likely to be exposed to malicious applications than server-side resources.
  • the invention is not limited by the location of resources.
  • the resources may for example include data from the server.
  • the portable security module is partitioned by a plurality of memory spaces. This characteristic is of course not limiting.
  • the subject of the invention is a method for controlling access of a user to resources, implemented by computer means, comprising the steps of / a / providing a set of objects in a memory, the objects being at least partially ordered, the scheduling using ordinary knowledge of potential users,
  • IeI compare the response received from the user to the response of the pair question / answer, access to resources being conditioned by said comparison.
  • This method can be implemented using the device according to the first aspect of the invention.
  • the method according to the second aspect of the invention may further comprise a step of requesting and receiving from the user a secret code whose value is agreed in advance with the user.
  • a secret code whose value is agreed in advance with the user.
  • This verification can be performed without a secret code, for example, by analyzing biometric data of the user.
  • This verification can also be performed by a public key cryptography system, or by a system without knowledge input.
  • the invention also relates to a method of controlling access of a user to resources comprising data of a memory space in a portable security module partitioned into a plurality of memory spaces.
  • the method includes the steps of - transmitting a question to a user, the question being associated with a determinable response using the general knowledge of potential users,
  • the subject of the invention is a computer program product for controlling the access of a user to resources.
  • the computer program is intended to be stored in a memory of a central unit, and / or stored on a storage medium intended to cooperate with a reader of said central unit and / or downloaded via a telecommunications network.
  • the computer program product includes instructions for implementing the method according to the second aspect or according to the third aspect of the invention.
  • the computer program product can for example be installed in a server, or in a terminal.
  • Figure 1 shows an example of a device to check the civilization of a user, known in the field of opening mail accounts web interface.
  • Fig. 2 shows an exemplary access control device according to a first embodiment of the present invention.
  • Figure 3 shows an exemplary flowchart of an access control method, according to the first embodiment of the present invention.
  • Fig. 4 shows an example of an access control device according to a second embodiment of the present invention.
  • Figure 5 shows an exemplary flowchart of an access control method, according to the second embodiment of the present invention.
  • Figures 6A, 6B and 6C show examples of access control methods in an access control system according to a preferred application of the present invention.
  • Fig. 7 shows an exemplary access control system according to an embodiment of the present invention.
  • FIG. 2 shows an exemplary access control device according to a first embodiment of the present invention.
  • FIG. 3 shows an exemplary flow diagram of an access control method that can be implemented by the device of FIG. 2. These two figures will be commented simultaneously.
  • the access control device 20 comprises a memory 21. It is intended to store a set of objects (obj1, obj21, ... obj44) in this memory (step / a / in FIG. 3).
  • the memory 21 is structured such that the objects are ordered according to an ontology. Scheduling uses ordinary knowledge of a potential user.
  • the reference obj1 may correspond to the object
  • the references obj21 and obj22 may correspond to subsets of animals, for example the “mammal” and “bird” objects.
  • the references obj31 and obj32 can correspond to cases particular mammals, for example the “rodent” and “cattle” objects, while the reference obj33 may correspond to an example of a bird, for example the object "robin”.
  • the references obj41, obj42 and obj43 may correspond to examples of rodents, for example the "squirrel", “rat” and “mouse” objects, while the reference obj44 may correspond to an example of a cow, for example example the "cow" object.
  • the access control device 20 further comprises processing means (23, 24, 27) for selecting a question / answer pair from two stored objects and their scheduling.
  • the processing means (23, 24, 27) comprise an index generator 23 and means 24 for determining a question / answer pair.
  • the index generator 23 can generate a quadruplet (i, j, k, I), for example (2.1, 3.3), (step 32 in FIG. 3).
  • the index k must be strictly greater than the subscript /, so that the selected objects have different hierarchical degrees. Alternatively, no condition is imposed on the choice of indices.
  • the question Qy k i "is the robin a mammal? Can be generated by the determining means 24 from the selected objects and their scheduling (step 34 in FIG. 3).
  • the scheduling of the selected objects we avoid the incoherent questions for a human user, for example "is the mammal a robin? ".
  • the answer A_1 can be determined from the selected objects and their scheduling (step 35 in FIG. 3).
  • the object "robin” does not belong to the subset of the "mammal” object, so the answer is "no".
  • the step of generating the question 34 occurs before the step of determining the response 35, but it can of course be arranged otherwise.
  • processing means of the processing means (23, 24, 27) shown may be used.
  • the processing means may comprise a single processor.
  • the present invention is not limited by steps 31, 32, 33, 34, and 35 shown in FIG. 3 to select a question / answer pair.
  • the response of the question / answer couple may not be a mere affirmation or negation.
  • the ontology can be structured in such a way that the properties of certain objects appear.
  • the "elephant" object may have a color field containing the "gray” object.
  • a question / answer couple could be: "What color are elephants? " / " Grey ".
  • Ontology makes it possible to generate, from a relatively limited number of objects, a certain number of question / answer couples.
  • question / answer couples can be chosen only when a user tries to access the resources. Once such a question / answer pair has been chosen (step IbI in FIG. 3), the chosen question can be communicated to the user (step Id in FIG. 3).
  • This terminal may comprise for example a PDA type organizer.
  • the user enters a response on the PDA using only his general knowledge.
  • This response is received from the terminal (step it in Figure 3).
  • the reception means (25, 26) make it possible to receive the access control device 20 the response A_2 entered by the user.
  • the method further comprises a comparison step (step IeI in FIG. 3) of the response A_2 received from the user to the response A_1 of the question / answer pair.
  • the processing means (23, 24, 27) are arranged to implement this step.
  • the processing means (23, 24, 27) may comprise comparison means 27, for example a processor.
  • comparison means the index generator and the determination means can be integrated into a single microprocessor.
  • Access to resources is conditioned by a result of the comparison.
  • a control authorization signal crtljen whose value depends on the result of the comparison of step IeI is issued (step IiI in Figure 3).
  • control authorization signal ctrljen takes a first value equal for example to 1 (step 36 in FIG. 3). This signal can be emitted by transmission means 28 connected to an output of the comparison means 27. The control authorization signal ctrljen can be transmitted to the terminal so that additional checks are made.
  • the control authorization signal ctrljen may take a second value, for example equal to zero (step 37 in FIG. 3).
  • the access control device may consider that the user is not a human but a malicious application, and stop any exchange with this user.
  • the access control device 40 of FIG. 4 makes it possible to implement the method illustrated in FIG. 5.
  • FIGS. 4 and 5 will be commented simultaneously.
  • a set of objects (Q 1 , Q n , A 1 i, ..., Q 2 ) in a memory 41.
  • the objects are partially ordered according to a scheduling using general knowledge of potential users.
  • the set of objects is structured into a set of questions and a set of answers.
  • the scheduling is such that questions and answers are paired together.
  • the object Qi corresponds to the question "how much does this cow have spots?"
  • the question also includes a drawing of a cow with five spots. Is associated with the object Qi the object A_1i.
  • the object A_1 1 corresponds to the response that a potential user would make, that is, "5".
  • the scheduling is partial insofar as the question / answer couples are not ordered among themselves following a scheduling using general knowledge of the potential users.
  • Processing means (43, 47) make it possible to choose a question / answer pair from a stored object and its scheduling.
  • the processing means (43,47) may comprise an index generator 43 for generating a subscript / (step 52 in Fig. 5).
  • a constraint can be applied, for example not to exceed a maximum index n.
  • a question Qi can be selected from the set of questions stored in the memory 41 from the generated index (step 53 in Figure 5). This question Qi is communicated (step Id) to a user (not shown) via a terminal (not shown), and using transmission means (45, 46, 48).
  • a human user is normally able, for example, with the help of his general knowledge, to know how to count tasks on a cow representation, to respond without undue effort to the question asked.
  • an application will have difficulties to analyze the question and look for spots on the representation of the cow.
  • the response of the user A_2 is received (step / d / in FIG. 5).
  • the method comprises a determination step (step 55 in FIG. 5) of the answer associated with the question asked.
  • the response A_2 received from the user is compared (step IeI) to the response A_1j determined using comparison means 47.
  • comparison means 47 may be part of the processing means (43, 47).
  • a control authorization signal crtl_en whose value depends on the result of the comparison of the step / e / is issued (step / f / in Figure 5).
  • the control authorization signal crtljen can take a value equal to 1 in case of equality (step 56 in FIG. 5) and a zero value in the opposite case (step 57 in FIG. 5).
  • Figures 6A, 6B and 6C show examples of access control methods in an access control system according to a preferred application of the present invention. These methods are implemented by computer means.
  • the computer means comprise a server 61.
  • the access control system further comprises a terminal 62 and a portable security module 63.
  • the access control method may be preceded by steps of input by a user 64 of a certain number of parameters, such as, for example, a user identifier, a price, an identifier of a product purchased, etc. These parameters are transmitted to the server 61.
  • the server 61 transmits a first request, comprising a document and an identification of this document, to the terminal 62.
  • the document may include the parameters entered by the user 64.
  • the document can be generated by the terminal itself.
  • the illustrated method comprises a series of steps to verify that the user 64 is a human, and not a malicious application seeking to impersonate a human.
  • the server 61 transmits a question Q to the terminal 62, for example a computer.
  • the terminal 62 can be connected to the server 61 by Internet for example.
  • the terminal makes it possible to communicate the question Q to the user 64.
  • the user who seeks to answer a question such as "how many legs has a cow, give an answer with the numeric keypad". normally arrives without undue difficulty.
  • the response A_2 of the user 64 is received by the server 61 via the terminal 62.
  • the response A_2 can be accompanied by the identification of the document.
  • the server 61 emits a control authorization signal ctrljen with a value such that the access control method continues.
  • control authorization signal ctrljen may comprise a request to be communicated to the user 64.
  • the user 64 it is possible to request and receive from the user 64 a PIN secret code, as shown in FIG. 6B.
  • the value of the secret code is agreed in advance with the user 64. Indeed, it was admitted that the user 64 was human. This second check ensures that the user 64 is a person authorized to access the resources.
  • the PIN secret code received from the user 64 can be transmitted to the server 61.
  • the server 61 compares the secret PIN code received with a secret code stored in memory.
  • An access authorization signal accjen, whose value depends on the result of the comparison, is issued by the server 61.
  • the second check shown in Figure 6B
  • the first check shown in Figure 6A.
  • the method according to one aspect of the present invention is limited by the order of steps only when this order is necessary for the proper operation of the invention.
  • the present invention is in no way limited by the content of the access authorization signal accjen.
  • the access authorization signal accjen can be limited to the value of a boolean variable.
  • the access control method may involve the portable security module 63, for example a smart card, or a USB key.
  • the portable security module 63 securely stores at least one secret key. A duplicate of this secret key - or a public key corresponding to this secret key, is also kept in a host, here confused with the server 61. The secret key is thus protected from a hacker or a malicious application in the terminal.
  • the host may be separate from the server 61.
  • the document can be transmitted to the USB key to be encrypted using the secret key.
  • the encrypted document is then sent back to the server 61.
  • the server 61 has means for verifying the secret key, for example a duplicate of the secret key. The server 61 can thus determine if the USB key is the one that should have an authorized user.
  • the portable security module 63 is partitioned into a plurality of memory areas (67i, 67 2 67 n).
  • this characteristic can not limit the invention.
  • Such a partition allows a plurality of clients of an operator of the access control device to use the portable security module 63.
  • the operator can have several clients, for example, an online auction company, a airline, a railway company, an online brokerage firm etc.
  • Each memory space of the portable security module 63 is associated with a given client. For each client, indexed /, the associated memory space comprises a secret key Ksi (not shown) and an operator key (not shown).
  • the secret key Ks / can be changed freely by the customer.
  • the operator key is only editable by the operator, so that the operator can exercise some control.
  • the access authorization signal accjsn may comprise, in addition to the document, an identifier of the memory space (67- ⁇ , 67 2 , ..., 67 n ) associated with the current client. .
  • This identifier provides access to the memory space associated with this client on the USB key.
  • the document doc is encrypted by the USB key using the secret key Ksi.
  • the encrypted document Ksi (doc) is transmitted to the server 19, which can authorize access to the resources, for example to authorize a transaction.
  • the invention finds a particularly advantageous application in the field of access control methods for portable security modules.
  • an application including for example a keyboard spy, who knows the secret code of the user, could access the portable security module for example to change the value of the secret key. step response to the question asked can intervene before any access to the contents of the portable security module, thereby allowing to validate this access by a human.
  • Fig. 7 shows an exemplary access control system according to an embodiment of the present invention.
  • the access control system comprises an access control device 71, for example a server, able to communicate with a terminal 72.
  • the terminal 72 is able to communicate with a portable security module 73.
  • the portable security module includes a smart card on USB port, or dongle.
  • the dongle 73 is partitioned into a plurality of memory areas (77i, 772 77 n).
  • the access control device 71 generates a question / answer pair.
  • the question is transmitted to the user 74 via the terminal
  • the user's response is also received via the terminal 72.
  • the access control device can transmit to the terminal 72 its agreement to allow access to the resources or to continue the control.
  • the resources that a user 74 seeks to access during an access control method include data in one of the memory spaces (77i, 77 2 77 n ).
  • Access to resources may for example include use of a secret key kept in a memory space, but is not limited by this example.
  • Access to resources may for example include writing secrets or erasing data in a memory space.
  • the terminal 72 stores a brick manager 78 including management applications (79i,
  • Each management application (79- ⁇ , 79 2 , ..., 79 n ) makes it possible to manage a memory space (77i, 77 2 , ..., 77 n ) of the portable security module
  • the communication with the user 74 can be performed via a management application corresponding to the memory space to which the user is seeking access.
  • the access control system comprises a module for administering a fleet of portable security modules 76.
  • This module for administering a fleet of portable security modules 76 can for example belong to a transmitter of portable security modules (not shown). The transmitter can thus keep some control over the fleet of portable security modules issued.
  • the access control system may further comprise an administration module of a park of memory spaces of portable security modules 75.
  • the transmitter can for example rent to a client (not shown) one or more memory spaces per portable security module issued.
  • the customer may be for example an online auction company, an airline company, etc.
  • the administration module of a memory space park 75 may belong to this client of the transmitter.
  • the administration module of a memory space park 75 allows the customer to keep some control over its memory spaces.
  • the access control device 71 advantageously comprises an administration module of a management application park 80.
  • the access control device 71 may belong, for example, to the client of the transmitter, or to a third party .
  • the access control device 71 makes it possible to control the access of the users 74 to the memory spaces by controlling certain terminal management applications 72.
  • the access control device may include an interface.
  • the interface and the rest of the access control device may be separate or integrated in the same device, provided that at least a portion of the memory is relatively protected.
  • the control device o
  • access can for example include a computer.
  • the set of questions, indexed can be found in a relatively accessible first memory, while the answer set , indexed so as to associate questions and answers two by two, is in a second protected memory, for example by encryption.
  • a malicious application in the computer does not have access to the answers.
  • the access control device may be limited to a server. This server may be able to communicate with a terminal.
  • the user accesses the resources directly after having answered the question and having entered his secret code.
  • this alternative embodiment can be used in the field of web interface mail accounts.
  • the user may only have to give an identifier, a secret code, for example a password chosen beforehand, and the answer to a question.
  • the identifier, the password and the response are transmitted to a server which determines whether the user can access the desired mail account.
  • the presence of the portable security module is therefore in no way obligatory.
  • the portable security module can give an access authorization, for example in the form of a document encrypted by a secret key.
  • a first server verifies that the user is human
  • a second server separate from the first server is used to verify that the user is authorized to access the resources.

Abstract

The invention relates to a device for controlling a user's access to resources comprising a memory for storing an set of objects, wherein said memory is structured in such a way that the objects are at least partially ordered. A scheduling requires the ordinary knowledge of potential users. Processing means (23, 24, 27) make it possible to select a question/response couple (23, 24, 27) from at least one stored object and from the scheduling thereof. The processing means (25, 26) enable to transmit said question to a user and to receive a response (A_2) therefrom. The processing means are arranged for comparing the response of the question/response couple with the response received from the user. The access to the resources depends on said comparison.

Description

DISPOSITIF ET PROCEDE DE CONTROLE D'ACCES DEVICE AND METHOD FOR CONTROLLING ACCESS
L'invention se rapporte au contrôle d'accès d'un utilisateur à des ressources.The invention relates to the access control of a user to resources.
L'invention peut ainsi trouver une application dans les domaines des comptes sur Internet, par exemple le domaine des comptes courrier à Interface web. L'invention peut également trouver une application dans le domaine des achats en ligne. D'autres domaines d'application de la présente invention restent possibles.The invention can thus find an application in the fields of accounts on the Internet, for example the domain of mail accounts to Web interface. The invention can also find an application in the field of online shopping. Other fields of application of the present invention remain possible.
Lorsqu'un utilisateur règle une facture chez un commerçant à l'aide d'un module de sécurité portable, typiquement une carte bancaire, il doit non seulement présenter sa carte bancaire mais également signer. L'utilisateur donne son accord à la transaction par la signature. La signature peut consister en la saisie d'un code secret, ou PIN (comme « Personal Identification Number » en anglais) sur les touches d'un terminal de paiement. Le terminal de paiement transmet le code secret saisi à la carte bancaire. Une clé secrète est stockée dans la carte bancaire. Si le code secret saisi est correct, la carte bancaire encrypte un document reçu du terminal avec la clé secrète. Le document contient des paramètres de la transaction, classiquement le prix, un identifiant du commerçant, la date etc. Le terminal envoie ensuite ce document -en clair- et le document encrypte à un serveur en utilisant un réseau privé et sécurisé. En principe, une telle transaction peut être effectuée sur d'autres réseaux, par exemple un réseau de téléphonie mobile ou encore Internet. Toutefois, lorsqu'un utilisateur saisit un code secret sur un terminal relié par exemple à Internet et à un module de sécurité portatif, il se peut qu'une application malveillante, comprenant par exemple un programme espion de clavier, mémorise le code secret saisi. Par la suite, cette application peut se faire passer pour l'utilisateur et signer des transactions non souhaitées. De la même façon, une application malveillante pourrait accéder à des comptes sur Internet de tierces personnes, les comptes étant protégés par mots de passe, par exemple afin de voter à leur place.When a user pays a bill at a merchant using a portable security module, typically a credit card, he must not only present his credit card but also sign. The user agrees to the transaction by signing. The signature may consist of entering a secret code, or PIN (as "Personal Identification Number" in English) on the keys of a payment terminal. The payment terminal transmits the secret code entered to the bank card. A secret key is stored in the bank card. If the secret code entered is correct, the credit card encrypts a document received from the terminal with the secret key. The document contains parameters of the transaction, typically the price, a merchant ID, the date, and so on. The terminal then sends this document - clearly - and the document encrypts to a server using a private and secure network. In principle, such a transaction can be performed on other networks, for example a mobile network or the Internet. However, when a user enters a secret code on a terminal connected for example to the Internet and a portable security module, it is possible that a malicious application, including for example a keypad spy program, memorizes the secret code entered. Subsequently, this application can impersonate the user and sign unwanted transactions. In the same way, a malicious application could access third-party Internet accounts, accounts being password-protected, for example to vote for them.
Plus généralement, avec des réseaux non sécurisés, il est toujours possible qu'une application se fasse passer pour un humain. Par exemple, une application pourrait ouvrir un grand nombre de comptes courrier à interface web, dans le but d'immobiliser le serveur.More generally, with unsecured networks, it is always possible for an application to pose as a human. For example, an application could open a large number of web interface mail accounts, in order to immobilize the server.
Dans le domaine de l'ouverture de comptes courrier à Interface web, il est connu de vérifier que l'utilisateur désirant ouvrir un nouveau compte est bien humain. Cette vérification s'effectue en affichant une image représentant des lettres déformées et en demandant à l'utilisateur de saisir sur le clavier les lettres visualisées. A priori un utilisateur humain reconnaît les lettres sans grande difficulté, tandis qu'une application ne voit qu'une image. La figure 1 montre un exemple de dispositif pour vérifier l'humanité d'un utilisateur, connu dans le domaine de l'ouverture de comptes courrier à Interface web. Cette vérification est mise en œuvre par un générateur de lettres 2 dans un serveur protégé 1. Le générateur de lettres 2 comprend une mémoire dans laquelle est stocké un alphabet. Pour chaque ouverture de compte, le générateur de lettres transmet les lettres générées A_1 à des moyens de représentation 4. Les moyens de représentation 4 créent une image Q à partir des lettres transmises A_1. Cette image Q est transmise à un terminal (non représenté) et est affichée. L'utilisateur regarde l'image et saisit les lettres qu'il reconnaît. Les lettres saisies par l'utilisateur A_2 sont transmises au serveur 1 et comparées aux lettres générées A_1 par des moyens de comparaison 5. En cas d'égalité, le serveur 1 considère que l'utilisateur est bien humain. Un signal d'autorisation en est émis.In the field of opening mail accounts to Web Interface, it is known to verify that the user wishing to open a new account is very human. This verification is performed by displaying an image representing distorted letters and asking the user to enter the letters displayed on the keyboard. On the face of it, a human user recognizes letters without much difficulty, whereas an application sees only one image. Figure 1 shows an example device for verifying the humanity of a user, known in the field of opening mail accounts to Web Interface. This verification is implemented by a generator of letters 2 in a protected server 1. The letter generator 2 comprises a memory in which is stored an alphabet. For each account opening, the letter generator transmits the generated letters A_1 to representation means 4. The representation means 4 creates an image Q from the transmitted letters A_1. This Q image is transmitted to a terminal (not shown) and is displayed. The user looks at the image and enters the letters he recognizes. The letters entered by the user A_2 are transmitted to the server 1 and compared to the generated letters A_1 by comparison means 5. In case of equality, the server 1 considers that the user is human. An authorization signal is issued.
Toutefois, il existe des applications de reconnaissance de caractères. Une telle application pourrait reconnaître les lettres représentées sur l'image, de sorte que le serveur considérerait l'application comme humaine. La vérification existant dans le domaine de l'ouverture de comptes courrier à interface Web pourrait ainsi se révéler insatisfaisante. L'invention vise à se protéger davantage des applications malveillantes qui se font passer pour des utilisateurs humains auprès d'un dispositif de contrôle d'accès à des ressources.However, there are character recognition applications. Such an application could recognize the letters represented on the image, so that the server would consider the application as human. The existing audit in the field of open mail accounts with Web interface could thus be unsatisfactory. The invention aims to protect more malicious applications that pose as human users to a device for controlling access to resources.
Selon un premier aspect, l'invention a pour objet un dispositif de contrôle d'accès d'un utilisateur à des ressources, comprenant:According to a first aspect, the subject of the invention is a device for controlling the access of a user to resources, comprising:
- une mémoire pour stocker un jeu d'objets, la mémoire étant structurée de telle façon que les objets sont au moins partiellement ordonnés, l'ordonnancement faisant appel à des connaissances ordinaires des utilisateurs potentiels, - des moyens de traitement pour choisir un couple question/réponse à partir au moins d'un objet stocké et de son ordonnancement,a memory for storing a set of objects, the memory being structured in such a way that the objects are at least partially ordered, the scheduling using ordinary knowledge of the potential users, means of processing for choosing a pair of questions / response from at least one stored object and its scheduling,
- des moyens de transmission pour communiquer la question à un utilisateur, et pour recevoir une réponse fournie par l'utilisateur. Les moyens de traitement sont agencés pour comparer la réponse du couple question/réponse à la réponse reçue de l'utilisateur. L'accès aux ressources est conditionné par ladite comparaison.transmission means for communicating the question to a user, and for receiving a response provided by the user. The processing means are arranged to compare the response of the question / answer pair to the response received from the user. Access to resources is conditioned by the comparison.
Chaque couple question/réponse est choisi à partir d'un jeu d'objets au moins partiellement ordonnés. L'ordonnancement du jeu d'objets fait appel à des connaissances ordinaires d'un utilisateur potentiel, de sorte qu'un utilisateur humain peut répondre sans difficulté aux questions posées. La réponse n'a pas besoin d'être convenue à l'avance avec l'utilisateur. Par exemple, le jeu de questions peut comprendre les questions suivantes :Each question / answer pair is chosen from a set of at least partially ordered objects. The scheduling of the set of objects uses ordinary knowledge of a potential user, so that a human user can easily answer the questions asked. The answer does not need to be agreed in advance with the user. For example, the quiz can include the following questions:
- « Combien de pattes ont les vaches ? », - « Le rouge-gorge est-il un mammifère ? »,- "How many legs have cows? Is the robin a mammal? "
- « Combien de taches a le chat ? », cette question comprenant par ailleurs une image de chat,- "How many spots does the cat have? This question also includes a cat image,
- « Quelle est la capitale de la France ? ».- "What is the capital of France? ".
Ainsi, une application ne peut pas déterminer la réponse par elle- même. En revanche, un utilisateur humain est capable de répondre sans difficulté à ces questions, à l'aide de ses connaissances générales.Thus, an application can not determine the answer by itself. On the other hand, a human user is able to answer these questions without difficulty, with the help of his general knowledge.
De plus, l'ordonnancement du jeu d'objet est pris en compte pour choisir les couples questions/réponses. Ainsi, les questions ne sont pas obtenues à partir seulement des réponses. Par exemple, les réponses « 4 », « non », « 6 » et « Paris » ne permettent pas à elles seules de générer les questions susmentionnées.In addition, the scheduling of the object set is taken into account to choose the question / answer pairs. So the questions are not obtained from only the answers. For example, answers "4", "no", "6" and "Paris" do not alone generate the above-mentioned questions.
En effet, si une application, par exemple des moyens de représentation de lettres, peut obtenir une question à partir seulement de la réponse, il est probable qu'une autre application, par exemple une application de reconnaissance de caractères, parvienne à obtenir la réponse à partir de la question seulement. Le dispositif selon un aspect de l'invention permet de se protéger davantage contre les applications malveillantes. Selon un premier mode de réalisation, le jeu d'objets est organisé hiérarchiquement par des liens se déduisant des connaissances ordinaires des utilisateurs potentiels. Par exemple, le jeu d'objets est ordonné suivant une ontologie, c'est-à-dire une organisation hiérarchique des connaissances sur un ensemble d'objets par leur regroupement en sous-catégories suivant leurs caractéristiques essentielles. Les questions peuvent être choisies sur demande. Un tel ordonnancement permet de générer un nombre de couples question/réponse relativement élevé.Indeed, if an application, for example means for representing letters, can obtain a question from only the answer, it is likely that another application, for example a character recognition application, can obtain the answer. from the question only. The device according to one aspect of the invention makes it possible to protect itself more against malicious applications. According to a first embodiment, the set of objects is hierarchically organized by links deduced from ordinary knowledge of potential users. For example, the set of objects is ordered according to an ontology, that is to say a hierarchical organization of knowledge on a set of objects by their grouping into subcategories according to their essential characteristics. Questions can be chosen on request. Such scheduling makes it possible to generate a relatively high number of question / answer pairs.
Selon un second mode de réalisation de la présente invention, le jeu d'objets est structuré en un jeu de questions et un jeu de réponses, l'ordonnancement étant tel que chaque réponse et chaque question sont associées deux à deux. Un tel jeu de couples question/réponse peut être installé dans la mémoire lors d'une initialisation. Les questions et les réponses associées peuvent être installées par un opérateur humain, ou bien encore à partir d'une ontologie. Le choix de la question à communiquer à l'utilisateur est alors relativement simple à implémenter.According to a second embodiment of the present invention, the set of objects is structured into a set of questions and a set of answers, the scheduling being such that each answer and each question are associated two by two. Such a question / answer pairing game can be installed in the memory during an initialization. Questions and answers can be installed by a human operator or from an ontology. The choice of the question to communicate to the user is then relatively simple to implement.
La présente invention n'est pas limitée par la nature de l'ordonnancement des objets, ni par la mise en œuvre du choix des couples question/réponse, pourvu que les questions ne soient pas obtenues à partir des réponses seulement. Avantageusement, la mémoire est protégée, de sorte qu'une application malveillante n'accède pas facilement à la mémoire.The present invention is not limited by the nature of the scheduling of objects, nor by the implementation of the choice of question / answer couples, provided that the questions are not obtained from the answers only. Advantageously, the memory is protected, so that a malicious application does not easily access the memory.
Avantageusement, le dispositif de contrôle d'accès comprend un serveur comprenant les moyens de transmission. Les moyens de transmission peuvent être aptes à communiquer avec un terminal. La mémoire peut ainsi être protégée d'une application malveillante dans le terminal.Advantageously, the access control device comprises a server comprising the transmission means. The means of transmission may be able to communicate with a terminal. The memory can thus be protected from a malicious application in the terminal.
Alternativement, le dispositif de contrôle d'accès comprend un module de sécurité portatif, par exemple une carte à puce, ou une clé USB. Le module de sécurité portatif comprend des moyens de transmission. Ces moyens de transmission peuvent être aptes à communiquer avec un terminal. Là encore, une application malveillante dans le terminal peut difficilement accéder aux objets de la mémoire. Le terminal peut par exemple comprendre un ordinateur personnel, un téléphone portable, ou encore un organiseur de type PDA (comme « Personal Digital Assistant » en anglais). Le terminal peut comprendre une interface, par exemple un écran et un clavier, pour communiquer avec l'utilisateur et recevoir des données saisies par l'utilisateur. De manière générale, la présente invention n'est pas limitée par la nature du dispositif de contrôle d'accès.Alternatively, the access control device comprises a portable security module, for example a smart card, or a USB key. The portable security module comprises transmission means. These transmission means may be able to communicate with a terminal. Again, a malicious application in the terminal can hardly access objects in the memory. The terminal may for example include a personal computer, a mobile phone, or a PDA-type organizer (such as "Personal Digital Assistant"). The terminal may include an interface, for example a screen and a keyboard, for communicating with the user and receiving data entered by the user. In general, the present invention is not limited by the nature of the access control device.
L'invention a également pour objet un système de contrôle d'accès comprenant un dispositif de contrôle d'accès, par exemple un serveur, et au moins un terminal. Les moyens de transmission du dispositif de contrôle d'accès sont aptes à communiquer avec le terminal. Les moyens de transmission peuvent être aptes à communiquer avec un nombre de terminaux relativement élevé, par exemple de l'ordre du millier.The invention also relates to an access control system comprising an access control device, for example a server, and at least one terminal. The transmission means of the access control device are able to communicate with the terminal. The transmission means may be able to communicate with a relatively large number of terminals, for example of the order of a thousand.
Avantageusement, le système de contrôle d'accès comprend également un module de sécurité portatif apte à communiquer avec un terminal. Le module de sécurité portatif, par exemple une clé USB, permet de stocker et de garder protégées des données.Advantageously, the access control system also comprises a portable security module able to communicate with a terminal. The portable security module, for example a USB key, makes it possible to store and keep protected data.
Avantageusement, les ressources auxquelles l'utilisateur cherche à accéder comprennent des données stockées dans un espace mémoire du module de sécurité portatif. L'utilisateur n'a ainsi accès aux données de sa propre clé USB qu'après avoir démontré qu'il était bien humain. L'invention trouve ici une application particulièrement avantageuse : en effet, des ressources coté utilisateur risquent davantage d'être exposées à des applications malveillantes que des ressources coté serveur. Bien entendu, l'invention n'est pas limitée par la localisation des ressources. Les ressources peuvent par exemple comprendre des données du serveur.Advantageously, the resources that the user seeks to access include data stored in a memory space of the portable security module. The user thus has access to the data of his own USB key after having demonstrated that he was very human. The invention finds here a particularly advantageous application: in fact, user-side resources are more likely to be exposed to malicious applications than server-side resources. Of course, the invention is not limited by the location of resources. The resources may for example include data from the server.
Avantageusement, le module de sécurité portatif est partitionné ne une pluralité d'espaces mémoire. Cette caractéristique n'est bien entendu pas limitative.Advantageously, the portable security module is partitioned by a plurality of memory spaces. This characteristic is of course not limiting.
Selon un second aspect, l'invention a pour objet un procédé de contrôle d'accès d'un utilisateur à des ressources, mis en œuvre par des moyens informatiques, comprenant les étapes consistant à /a/ prévoir un jeu d'objets dans une mémoire, les objets étant au moins partiellement ordonnés, l'ordonnancement faisant appel à des connaissances ordinaires d'utilisateurs potentiels,According to a second aspect, the subject of the invention is a method for controlling access of a user to resources, implemented by computer means, comprising the steps of / a / providing a set of objects in a memory, the objects being at least partially ordered, the scheduling using ordinary knowledge of potential users,
/b/ choisir un couple question/réponse à partir au moins d'un objet et de son ordonnancement, Ici communiquer la question choisie à l'étape /b/ à l'utilisateur,/ b / choose a question / answer pair from at least one object and its scheduling, Here communicate the chosen question in step / b / to the user,
/d/ recevoir une seconde réponse de l'utilisateur,/ d / receive a second response from the user,
IeI comparer la réponse reçue de l'utilisateur à la réponse du couple question/réponse, l'accès aux ressources étant conditionné par ladite comparaison. Ce procédé peut être mis en œuvre à l'aide du dispositif selon le premier aspect de l'invention.IeI compare the response received from the user to the response of the pair question / answer, access to resources being conditioned by said comparison. This method can be implemented using the device according to the first aspect of the invention.
Avantageusement, le procédé selon le second aspect de l'invention peut comprendre en outre une étape consistant à requérir et recevoir de l'utilisateur un code secret dont la valeur est convenue à l'avance avec l'utilisateur. Ainsi, après avoir vérifié que l'utilisateur était bien humain, on vérifie si l'utilisateur est autorisé à accéder aux ressources.Advantageously, the method according to the second aspect of the invention may further comprise a step of requesting and receiving from the user a secret code whose value is agreed in advance with the user. Thus, after verifying that the user was human, it is checked whether the user is authorized to access the resources.
Cette vérification peut être effectuée sans code secret, par exemple, en analysant des données biométriques de l'utilisateur. Cette vérification peut également être effectuée par un système par cryptographie à clé publique, ou encore par un système sans apport de connaissances.This verification can be performed without a secret code, for example, by analyzing biometric data of the user. This verification can also be performed by a public key cryptography system, or by a system without knowledge input.
Cette étape supplémentaire de vérification n'est en rien obligatoire. Par exemple, dans le domaine de l'ouverture de comptes sur Internet, il est courant que l'opérateur du compte et l'utilisateur n'aient pas encore convenu d'un code secret. L'opérateur demande simplement à l'utilisateur de transmettre ses coordonnées, de répondre à la question communiquée et éventuellement de saisir ce qui sera le code secret de l'utilisateur. Si l'utilisateur est reconnu comme humain, un compte est ouvert. Selon un troisième aspect, l'invention a également pour objet un procédé de contrôle d'accès d'un utilisateur à des ressources comprenant des données d'un espace mémoire dans un module de sécurité portatif partitionné en une pluralité d'espaces mémoire. Le procédé comprend les étapes consistant à - transmettre une question à un utilisateur, la question étant associée à une réponse déterminable à l'aide des connaissances générales d'utilisateurs potentiels,This additional verification step is in no way obligatory. For example, in the field of opening accounts on the Internet, it is common that the account operator and the user have not yet agreed a secret code. The operator simply asks the user to transmit his coordinates, answer the question and possibly enter what will be the secret code of the user. If the user is recognized as human, an account is opened. According to a third aspect, the invention also relates to a method of controlling access of a user to resources comprising data of a memory space in a portable security module partitioned into a plurality of memory spaces. The method includes the steps of - transmitting a question to a user, the question being associated with a determinable response using the general knowledge of potential users,
- recevoir une réponse saisie par l'utilisateur, et- receive a response entered by the user, and
- transmettre la réponse saisie par l'utilisateur à un serveur en vue d'une comparaison avec la réponse associée à la question, l'accès aux ressources étant conditionné par cette comparaison. Le procédé selon cet aspect de l'invention peut être mis en œuvre par un terminal apte à communiquer avec le serveur d'une part et le module de sécurité portatif d'autres parts. Selon un quatrième aspect, l'invention a pour objet un produit programme d'ordinateur de contrôle d'accès d'un utilisateur à des ressources. Le programme d'ordinateur est destiné à être stocké dans une mémoire d'une unité centrale, et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur de ladite unité centrale et/ou téléchargé via un réseau de télécommunication. Le produit programme d'ordinateur comprend des instructions pour mettre en œuvre le procédé selon le second aspect ou selon le troisième aspect de l'invention. Le produit programme d'ordinateur peut par exemple être installé dans un serveur, ou encore dans un terminal.transmitting the response entered by the user to a server for comparison with the answer associated with the question, the access to the resources being conditioned by this comparison. The method according to this aspect of the invention can be implemented by a terminal able to communicate with the server on the one hand and the portable security module on the other hand. According to a fourth aspect, the subject of the invention is a computer program product for controlling the access of a user to resources. The computer program is intended to be stored in a memory of a central unit, and / or stored on a storage medium intended to cooperate with a reader of said central unit and / or downloaded via a telecommunications network. The computer program product includes instructions for implementing the method according to the second aspect or according to the third aspect of the invention. The computer program product can for example be installed in a server, or in a terminal.
D'autres particularités et avantages de la présente invention apparaîtront dans la description ci-après.Other features and advantages of the present invention will become apparent from the description hereinafter.
La figure 1 , déjà commentée, montre un exemple de dispositif pour vérifier l'humanité d'un utilisateur, connu dans le domaine de l'ouverture de comptes courrier à interface web. La figure 2 montre un exemple de dispositif de contrôle d'accès, selon un premier mode de réalisation de la présente invention.Figure 1, already commented, shows an example of a device to check the humanity of a user, known in the field of opening mail accounts web interface. Fig. 2 shows an exemplary access control device according to a first embodiment of the present invention.
La figure 3 montre un exemple d'organigramme d'un procédé de contrôle d'accès, selon le premier mode de réalisation de la présente invention.Figure 3 shows an exemplary flowchart of an access control method, according to the first embodiment of the present invention.
La figure 4 montre un exemple de dispositif de contrôle d'accès selon un second mode de réalisation de la présente invention.Fig. 4 shows an example of an access control device according to a second embodiment of the present invention.
La figure 5 montre un exemple d'organigramme d'un procédé de contrôle d'accès, selon le second mode de réalisation de la présente invention.Figure 5 shows an exemplary flowchart of an access control method, according to the second embodiment of the present invention.
Les figures 6A, 6B et 6C montrent des exemples de procédés de contrôle d'accès dans un système de contrôle d'accès selon une application préférée de la présente invention.Figures 6A, 6B and 6C show examples of access control methods in an access control system according to a preferred application of the present invention.
La figure 7 montre un exemple de système de contrôle d'accès selon un mode de réalisation de la présente invention.Fig. 7 shows an exemplary access control system according to an embodiment of the present invention.
OntologieOntology
La figure 2 montre un exemple de dispositif de contrôle d'accès, selon un premier mode de réalisation de la présente invention. La figure 3 montre un exemple d'organigramme d'un procédé de contrôle d'accès, pouvant être mis en œuvre par le dispositif de la figure 2. Ces deux figures seront commentées simultanément.Fig. 2 shows an exemplary access control device according to a first embodiment of the present invention. FIG. 3 shows an exemplary flow diagram of an access control method that can be implemented by the device of FIG. 2. These two figures will be commented simultaneously.
Le dispositif de contrôle d'accès 20 comprend une mémoire 21. Il est prévu de stocker un jeu d'objets (obj1 , obj21 ,...obj44) dans cette mémoire (étape /a/ sur la figure 3). Dans le premier mode de réalisation, la mémoire 21 est structurée de telle façon que les objets sont ordonnés suivant une ontologie. L'ordonnancement fait appel à des connaissances ordinaires d'un utilisateur potentiel. Par exemple, la référence obj1 peut correspondre à l'objetThe access control device 20 comprises a memory 21. It is intended to store a set of objects (obj1, obj21, ... obj44) in this memory (step / a / in FIG. 3). In the first embodiment, the memory 21 is structured such that the objects are ordered according to an ontology. Scheduling uses ordinary knowledge of a potential user. For example, the reference obj1 may correspond to the object
« animal ». Les références obj21 et obj22 peuvent correspondre à des sous- ensembles des animaux, par exemple les objets « mammifère » et « oiseau ». Les références obj31 et obj32 peuvent correspondre à des cas particuliers de mammifères, par exemple les objets « rongeur » et « bovin », tandis que la référence obj33 peut correspondre à un exemple d'oiseau, par exemple l'objet « rouge-gorge ». Suivant le même principe, les références obj41 , obj42 et obj43 peuvent correspondre à des exemples de rongeurs, par exemple les objets « écureuil », « rat » et « souris », tandis que la référence obj44 peut correspondre à un exemple de bovin, par exemple l'objet « vache »."Animal". The references obj21 and obj22 may correspond to subsets of animals, for example the "mammal" and "bird" objects. The references obj31 and obj32 can correspond to cases particular mammals, for example the "rodent" and "cattle" objects, while the reference obj33 may correspond to an example of a bird, for example the object "robin". Following the same principle, the references obj41, obj42 and obj43 may correspond to examples of rodents, for example the "squirrel", "rat" and "mouse" objects, while the reference obj44 may correspond to an example of a cow, for example example the "cow" object.
Le dispositif de contrôle d'accès 20 comprend en outre des moyens de traitement (23, 24, 27) pour choisir un couple question/réponse à partir de deux objets stockés et de leur ordonnancement. Dans cet exemple, les moyens de traitement (23, 24, 27) comprennent un générateur d'indices 23 et des moyens de détermination 24 d'un couple question/réponse.The access control device 20 further comprises processing means (23, 24, 27) for selecting a question / answer pair from two stored objects and their scheduling. In this example, the processing means (23, 24, 27) comprise an index generator 23 and means 24 for determining a question / answer pair.
Le générateur d'indices 23 peut générer un quadruplet (i, j, k, I), par exemple (2,1 ,3,3), (étape 32 sur la figure 3). Deux objets de l'ontologie objjj et obj_kl, par exemple les objets « mammifère » et « rouge-gorge », sont extraits de l'ontologie à partir du quadruplet généré (étape 33 sur la figure 3). On peut prévoir que certaines conditions sont imposées quant au choix des indices. Par exemple l'indice k doit être strictement supérieur à l'indice /, afin que les objets sélectionnés aient des degrés hiérarchiques différents. Alternativement, aucune condition n'est imposée quant au choix des indices.The index generator 23 can generate a quadruplet (i, j, k, I), for example (2.1, 3.3), (step 32 in FIG. 3). Two objects of the ontology objjj and obj_kl, for example the "mammal" and "robin" objects, are extracted from the ontology from the generated quadruplet (step 33 in FIG. 3). It can be expected that certain conditions are imposed on the choice of indices. For example, the index k must be strictly greater than the subscript /, so that the selected objects have different hierarchical degrees. Alternatively, no condition is imposed on the choice of indices.
Après une telle étape de sélection de deux objets de l'ontologie (étape 31 sur la figure 3), la question Qyki « le rouge-gorge est-il un mammifère ? » peut être générée par les moyens de détermination 24 à partir des objets sélectionnés et de leur ordonnancement (étape 34 sur la figure 3). En prenant en compte l'ordonnancement des objets sélectionnés, on évite les questions incohérentes pour un utilisateur humain, comme par exemple « le mammifère est-il un rouge-gorge ? ».After such a step of selecting two objects of the ontology (step 31 in FIG. 3), the question Qy k i "is the robin a mammal? Can be generated by the determining means 24 from the selected objects and their scheduling (step 34 in FIG. 3). By taking into account the scheduling of the selected objects, we avoid the incoherent questions for a human user, for example "is the mammal a robin? ".
La réponse A_1 peut être déterminée à partir des objets sélectionnés et de leur ordonnancement (étape 35 sur la figure 3). Ici, l'objet « rouge- gorge » n'appartient pas au sous-ensemble de l'objet « mammifère », la réponse est donc « non ». Dans l'exemple d'organigramme représenté sur la figure 3, l'étape de génération de la question 34 intervient avant l'étape de détermination de la réponse 35, mais il peut bien entendu en être disposé autrement.The answer A_1 can be determined from the selected objects and their scheduling (step 35 in FIG. 3). Here, the object "robin" does not belong to the subset of the "mammal" object, so the answer is "no". In the exemplary flowchart shown in Figure 3, the step of generating the question 34 occurs before the step of determining the response 35, but it can of course be arranged otherwise.
Bien entendu, des moyens de traitement différents des moyens de traitement (23, 24, 27) représentés peuvent être utilisés. Par exemple, les moyens de traitement peuvent comprendre un seul processeur.Of course, different processing means of the processing means (23, 24, 27) shown may be used. For example, the processing means may comprise a single processor.
De la même façon, la présente invention n'est pas limitée par les étapes 31 , 32, 33, 34 et 35 représentées sur la figure 3, pour choisir un couple question/réponse. De plus, la réponse du couple question/réponse peut ne pas être une simple affirmation ou négation. Par exemple, l'ontologie peut être structurée de telle sorte que les propriétés de certains objets apparaissent. Par exemple, à l'objet « éléphant » peut correspondre un champ de couleur contenant l'objet « gris ». Un couple question/réponse pourra être : « de quelle couleur sont les éléphants ? » / « gris ».Similarly, the present invention is not limited by steps 31, 32, 33, 34, and 35 shown in FIG. 3 to select a question / answer pair. In addition, the response of the question / answer couple may not be a mere affirmation or negation. For example, the ontology can be structured in such a way that the properties of certain objects appear. For example, the "elephant" object may have a color field containing the "gray" object. A question / answer couple could be: "What color are elephants? " / " Grey ".
L'ontologie permet de générer, à partir d'un nombre d'objets relativement limité, un certain nombre de couples question/réponse. De plus, les couples question/réponse peuvent être choisis seulement lorsqu'un utilisateur cherche à accéder aux ressources. Une fois qu'un tel couple question/réponse a été choisi (étape IbI sur la figure 3), la question choisie peut être communiquée à l'utilisateur (étape Id sur la figure 3). Des moyens de transmission (25, 26) permettent de transmettre la question Qyki à un terminal (non représenté) pour communiquer la question A_1 à l'utilisateur (non représenté). Ce terminal peut comprendre par exemple un organiseur de type PDA.Ontology makes it possible to generate, from a relatively limited number of objects, a certain number of question / answer couples. In addition, question / answer couples can be chosen only when a user tries to access the resources. Once such a question / answer pair has been chosen (step IbI in FIG. 3), the chosen question can be communicated to the user (step Id in FIG. 3). Transmission means (25, 26) for transmitting the question Qy k i to a terminal (not shown) to communicate the question A_1 to the user (not shown). This terminal may comprise for example a PDA type organizer.
L'utilisateur saisit une réponse sur le PDA en faisant appel seulement à ses connaissances générales. Cette réponse est reçue du terminal (étape lui sur la figure 3). Les moyens de réception (25, 26) permettent de recevoir au dispositif de contrôle d'accès 20 la réponse A_2 saisie par l'utilisateur.The user enters a response on the PDA using only his general knowledge. This response is received from the terminal (step it in Figure 3). The reception means (25, 26) make it possible to receive the access control device 20 the response A_2 entered by the user.
Le procédé comprend en outre une étape de comparaison (étape IeI sur la figure 3) de la réponse A_2 reçue de l'utilisateur à la réponse A_1 du couple question/réponse. Les moyens de traitement (23, 24, 27) sont agencés pour mettre en œuvre cette étape. Par exemple, les moyens de traitement (23, 24, 27) peuvent comprendre des moyens de comparaison 27, par exemple un processeur.The method further comprises a comparison step (step IeI in FIG. 3) of the response A_2 received from the user to the response A_1 of the question / answer pair. The processing means (23, 24, 27) are arranged to implement this step. For example, the processing means (23, 24, 27) may comprise comparison means 27, for example a processor.
Bien entendu, les moyens de comparaison, le générateur d'indices et les moyens de détermination peuvent être intégrés dans un seul microprocesseur.Of course, the comparison means, the index generator and the determination means can be integrated into a single microprocessor.
L'accès aux ressources est conditionné par un résultat de la comparaison.Access to resources is conditioned by a result of the comparison.
Un signal d'autorisation de contrôle crtljen dont la valeur dépend du résultat de la comparaison de l'étape IeI est émis (étape IiI sur la figure 3).A control authorization signal crtljen whose value depends on the result of the comparison of step IeI is issued (step IiI in Figure 3).
En cas d'égalité, le signal d'autorisation de contrôle ctrljen prend une première valeur égale par exemple à 1 (étape 36 sur la figure 3). Ce signal peut être émis par des moyens d'émission 28 reliés à une sortie des moyens de comparaison 27. Le signal d'autorisation de contrôle ctrljen peut être transmis au terminal afin que des vérifications supplémentaires soient effectuées.In case of equality, the control authorization signal ctrljen takes a first value equal for example to 1 (step 36 in FIG. 3). This signal can be emitted by transmission means 28 connected to an output of the comparison means 27. The control authorization signal ctrljen can be transmitted to the terminal so that additional checks are made.
Si la réponse A_1 du couple question/réponse diffère de la réponse A_2 reçue de l'utilisateur, le signal d'autorisation de contrôle ctrljen peut prendre une seconde valeur, par exemple égale à zéro (étape 37 sur la figure 3). Le dispositif de contrôle d'accès peut estimer que l'utilisateur n'est pas un humain mais une application malveillante, et arrêter tout échange avec cet utilisateur.If the answer A_1 of the question / answer pair differs from the response A_2 received from the user, the control authorization signal ctrljen may take a second value, for example equal to zero (step 37 in FIG. 3). The access control device may consider that the user is not a human but a malicious application, and stop any exchange with this user.
TableauBoard
Le dispositif de contrôle d'accès 40 de la figure 4 permet de mettre en œuvre le procédé illustré par la figure 5. Les figures 4 et 5 seront commentées simultanément.The access control device 40 of FIG. 4 makes it possible to implement the method illustrated in FIG. 5. FIGS. 4 and 5 will be commented simultaneously.
Il est prévu (étape /a/ sur la figure 5) un jeu d'objets (Q1, Qn, A_1 i,...,Q2) dans une mémoire 41. Les objets sont partiellement ordonnés suivant un ordonnancement faisant appel à des connaissances générales des utilisateurs potentiels. Dans le second mode de réalisation, le jeu d'objets est structuré en un jeu de questions et un jeu de réponses. L'ordonnancement est tel que les questions et les réponses sont associées deux à deux. Par exemple, l'objet Qi correspond à la question « combien cette vache a-t-elle de taches ?», la question comprenant également un dessin d'une vache à cinq taches. Est associé à l'objet Qi l'objet A_1i. L'objet A_11 correspond à la réponse que ferait un utilisateur potentiel, c'est- à-dire «5 ».There is provided (step / a / in FIG. 5) a set of objects (Q 1 , Q n , A 1 i, ..., Q 2 ) in a memory 41. The objects are partially ordered according to a scheduling using general knowledge of potential users. In the second embodiment, the set of objects is structured into a set of questions and a set of answers. The scheduling is such that questions and answers are paired together. For example, the object Qi corresponds to the question "how much does this cow have spots?", The question also includes a drawing of a cow with five spots. Is associated with the object Qi the object A_1i. The object A_1 1 corresponds to the response that a potential user would make, that is, "5".
L'ordonnancement est partiel dans la mesure où les couples question/réponse ne sont pas ordonnés entre eux suivant un ordonnancement faisant appel à des connaissances générales des utilisateurs potentiels.The scheduling is partial insofar as the question / answer couples are not ordered among themselves following a scheduling using general knowledge of the potential users.
Des moyens de traitement (43, 47) permettent de choisir un couple question/réponse à partir d'un objet stocké et de son ordonnancement. Par exemple, les moyens de traitement (43, 47) peuvent comprendre un générateur d'indice 43 pour générer un indice / (étape 52 sur la figure 5). Une contrainte peut être appliquée, par exemple ne pas dépasser un indice maximum n.Processing means (43, 47) make it possible to choose a question / answer pair from a stored object and its scheduling. For example, the processing means (43,47) may comprise an index generator 43 for generating a subscript / (step 52 in Fig. 5). A constraint can be applied, for example not to exceed a maximum index n.
Une question Qi peut être choisie parmi le jeu de questions mémorisées dans la mémoire 41 à partir de l'indice généré (étape 53 sur la figure 5). Cette question Qi est communiquée (étape Id) à un utilisateur (non représenté) via un terminal (non représenté), et à l'aide de moyens de transmission (45, 46, 48).A question Qi can be selected from the set of questions stored in the memory 41 from the generated index (step 53 in Figure 5). This question Qi is communicated (step Id) to a user (not shown) via a terminal (not shown), and using transmission means (45, 46, 48).
Un utilisateur humain est normalement en mesure, à l'aide de ses connaissances générales, par exemple, savoir compter des taches sur une représentation de vache, de répondre sans efforts excessifs à la question posée. En revanche, une application rencontrera des difficultés pour analyser la question et rechercher les taches sur la représentation de la vache.A human user is normally able, for example, with the help of his general knowledge, to know how to count tasks on a cow representation, to respond without undue effort to the question asked. On the other hand, an application will have difficulties to analyze the question and look for spots on the representation of the cow.
La réponse de l'utilisateur A_2 est reçue (étape /d/ sur la figure 5). Le procédé comprend une étape de détermination (étape 55 sur la figure 5) de la réponse associée à la question posée. On peut par exemple lire dans la mémoire 41 quelle réponse A_1| est associée à la question poséeThe response of the user A_2 is received (step / d / in FIG. 5). The method comprises a determination step (step 55 in FIG. 5) of the answer associated with the question asked. One can for example read in the memory 41 which answer A_1 | is associated with the question asked
Qi.Qi.
La réponse A_2 reçue de l'utilisateur est comparée (étape IeI) à la réponse A_1j déterminée à l'aide de moyens de comparaison 47. Ces moyens de comparaison 47 peuvent faire partie des moyens de traitement (43, 47). Un signal d'autorisation de contrôle crtl_en dont la valeur dépend du résultat de la comparaison de l'étape /e/ est émis (étape /f/ sur la figure 5). Par exemple, le signal d'autorisation de contrôle crtljen peut prendre une valeur égale à 1 en cas d'égalité (étape 56 sur la figure 5) et une valeur nulle dans le cas contraire (étape 57 sur la figure 5).The response A_2 received from the user is compared (step IeI) to the response A_1j determined using comparison means 47. comparison means 47 may be part of the processing means (43, 47). A control authorization signal crtl_en whose value depends on the result of the comparison of the step / e / is issued (step / f / in Figure 5). For example, the control authorization signal crtljen can take a value equal to 1 in case of equality (step 56 in FIG. 5) and a zero value in the opposite case (step 57 in FIG. 5).
Exemple de procédé de contrôle d'accèsExample of access control method
Les figures 6A, 6B et 6C montrent des exemples de procédés de contrôle d'accès dans un système de contrôle d'accès selon une application préférée de la présente invention. Ces procédés sont mis en œuvre par des moyens informatiques. Dans cet exemple, les moyens informatiques comprennent un serveur 61. Le système de contrôle d'accès comprend par ailleurs un terminal 62 et un module de sécurité portatif 63.Figures 6A, 6B and 6C show examples of access control methods in an access control system according to a preferred application of the present invention. These methods are implemented by computer means. In this example, the computer means comprise a server 61. The access control system further comprises a terminal 62 and a portable security module 63.
Le procédé de contrôle d'accès peut être précédé d'étapes de saisie par un utilisateur 64 d'un certain nombre de paramètres, comme par exemple un identifiant de l'utilisateur, un prix, un identifiant d'un produit acheté etc. Ces paramètres sont transmis au serveur 61. Le serveur 61 transmet une première requête, comprenant un document et une identification de ce document, vers le terminal 62. Le document peut comprendre les paramètres saisis par l'utilisateur 64.The access control method may be preceded by steps of input by a user 64 of a certain number of parameters, such as, for example, a user identifier, a price, an identifier of a product purchased, etc. These parameters are transmitted to the server 61. The server 61 transmits a first request, comprising a document and an identification of this document, to the terminal 62. The document may include the parameters entered by the user 64.
Alternativement, le document peut être généré par le terminal lui- même.Alternatively, the document can be generated by the terminal itself.
Comme le montre la figure 6A, le procédé représenté comprend une série d'étapes pour vérifier que l'utilisateur 64 est bien un humain, et non une application malveillante cherchant à se faire passer pour un humain. Le serveur 61 transmet une question Q au terminal 62, par exemple un ordinateur. Le terminal 62 peut être relié au serveur 61 par Internet par exemple. Le terminal permet de communiquer la question Q à l'utilisateur 64. L'utilisateur qui cherche à répondre à une question du type « combien de pattes a une vache, donnez une réponse avec le clavier numérique » y parvient normalement sans difficulté excessive. La réponse A_2 de l'utilisateur 64 est reçue par le serveur 61 via le terminal 62. La réponse A_2 peut être accompagnée de l'identification du document.As shown in Fig. 6A, the illustrated method comprises a series of steps to verify that the user 64 is a human, and not a malicious application seeking to impersonate a human. The server 61 transmits a question Q to the terminal 62, for example a computer. The terminal 62 can be connected to the server 61 by Internet for example. The terminal makes it possible to communicate the question Q to the user 64. The user who seeks to answer a question such as "how many legs has a cow, give an answer with the numeric keypad". normally arrives without undue difficulty. The response A_2 of the user 64 is received by the server 61 via the terminal 62. The response A_2 can be accompanied by the identification of the document.
Si la réponse A_2 est correcte, le serveur 61 émet un signal d'autorisation de contrôle ctrljen avec une valeur telle que le procédé de contrôle d'accès se poursuit.If the response A_2 is correct, the server 61 emits a control authorization signal ctrljen with a value such that the access control method continues.
Par exemple, le signal d'autorisation de contrôle ctrljen peut comprendre une requête à communiquer à l'utilisateur 64. En particulier, il est possible de requérir et recevoir de l'utilisateur 64 un code secret PIN, comme le montre la figure 6B. La valeur du code secret est convenue à l'avance avec l'utilisateur 64. En effet, on a admis que l'utilisateur 64 était humain. Cette seconde vérification permet de s'assurer que l'utilisateur 64 est bien une personne autorisée à accéder aux ressources.For example, the control authorization signal ctrljen may comprise a request to be communicated to the user 64. In particular, it is possible to request and receive from the user 64 a PIN secret code, as shown in FIG. 6B. The value of the secret code is agreed in advance with the user 64. Indeed, it was admitted that the user 64 was human. This second check ensures that the user 64 is a person authorized to access the resources.
Le code secret PIN reçu de l'utilisateur 64 peut être transmis au serveur 61. Le serveur 61 compare le code secret PIN reçu à un code secret stocké en mémoire. Un signal d'autorisation d'accès accjen, dont la valeur dépend du résultat de la comparaison, est émis par le serveur 61.The PIN secret code received from the user 64 can be transmitted to the server 61. The server 61 compares the secret PIN code received with a secret code stored in memory. An access authorization signal accjen, whose value depends on the result of the comparison, is issued by the server 61.
Alternativement, la seconde vérification, représentée sur la figure 6B, peut être effectuée avant la première vérification, représentée sur la figure 6A. De manière générale, le procédé selon un aspect de la présente invention n'est limitée par l'ordre des étapes seulement lorsque cet ordre est nécessaire au bon fonctionnement de l'invention.Alternatively, the second check, shown in Figure 6B, can be performed before the first check, shown in Figure 6A. In general, the method according to one aspect of the present invention is limited by the order of steps only when this order is necessary for the proper operation of the invention.
La présente invention n'est en rien limitée par le contenu du signal d'autorisation d'accès accjen. En particulier, le signal d'autorisation d'accès accjen peut se limiter à la valeur d'une variable booléenne.The present invention is in no way limited by the content of the access authorization signal accjen. In particular, the access authorization signal accjen can be limited to the value of a boolean variable.
Le procédé de contrôle d'accès peut impliquer le module de sécurité portatif 63, par exemple une carte à puce, ou encore une clé USB. Le module de sécurité portatif 63 permet de stocker de façon sécurisée au moins une clé secrète. Un double de cette clé secrète - ou encore une clé publique correspondant à cette clé secrète, est également conservé dans un centre serveur, ici confondu avec le serveur 61. La clé secrète est ainsi protégée d'un pirate ou d'une application malveillante dans le terminal.The access control method may involve the portable security module 63, for example a smart card, or a USB key. The portable security module 63 securely stores at least one secret key. A duplicate of this secret key - or a public key corresponding to this secret key, is also kept in a host, here confused with the server 61. The secret key is thus protected from a hacker or a malicious application in the terminal.
Bien entendu, le centre serveur peut être distinct du serveur 61. Une fois les vérifications représentées figures 6A et 6B effectuées, le document peut être transmis à la clé USB afin d'être encrypté à l'aide de la clé secrète. Le document encrypté est alors renvoyé vers le serveur 61. Le serveur 61 possède des moyens de vérification de la clé secrète, par exemple un double de la clé secrète. Le serveur 61 peut ainsi déterminer si la clé USB est bien celle que devrait posséder un utilisateur autorisé.Of course, the host may be separate from the server 61. Once the checks shown in Figures 6A and 6B performed, the document can be transmitted to the USB key to be encrypted using the secret key. The encrypted document is then sent back to the server 61. The server 61 has means for verifying the secret key, for example a duplicate of the secret key. The server 61 can thus determine if the USB key is the one that should have an authorized user.
Un tel procédé peut présenter de nombreuses variantes et améliorations. Dans le mode de réalisation préféré, le module de sécurité portatif 63 est partitionné en une pluralité d'espaces mémoires (67i, 672 67n). Bien entendu, cette caractéristique ne saurait limiter l'invention.Such a method may have many variations and improvements. In the preferred embodiment, the portable security module 63 is partitioned into a plurality of memory areas (67i, 67 2 67 n). Of course, this characteristic can not limit the invention.
Une telle partition permet à une pluralité de clients d'un opérateur du dispositif de contrôle d'accès d'utiliser le module de sécurité portatif 63. L'opérateur peut avoir plusieurs clients, par exemple, une société d'enchères en ligne, une compagnie aérienne, une compagnie ferroviaire, une société de courtage en ligne etc. Chaque espace mémoire du module de sécurité portatif 63 est associé à un client donné. Pour chaque client, indicé /, l'espace mémoire associé comprend une clé secrète Ksi (non représentée) et une clé d'opérateur (non représentée). La clé secrète Ks/ peut être modifiée librement par le client. La clé d'opérateur est seulement modifiable par l'opérateur, de sorte que ce dernier peut exercer un certain contrôle.Such a partition allows a plurality of clients of an operator of the access control device to use the portable security module 63. The operator can have several clients, for example, an online auction company, a airline, a railway company, an online brokerage firm etc. Each memory space of the portable security module 63 is associated with a given client. For each client, indexed /, the associated memory space comprises a secret key Ksi (not shown) and an operator key (not shown). The secret key Ks / can be changed freely by the customer. The operator key is only editable by the operator, so that the operator can exercise some control.
Dans le mode de réalisation préféré, le signal d'autorisation d'accès accjsn peut comprendre, en sus du document, un identifiant de l'espace mémoire (67-ι, 672,..., 67n) associé au client courant. Cet identifiant permet d'accéder à l'espace mémoire associé à ce client sur la clé USB. Comme le montre la figure 6C, le document doc est encrypté par la clé USB à l'aide de la clé secrète Ksi. Le document encrypté Ksi(doc) est transmis au serveur 19, lequel peut autoriser l'accès aux ressources, par exemple autoriser une transaction.In the preferred embodiment, the access authorization signal accjsn may comprise, in addition to the document, an identifier of the memory space (67-ι, 67 2 , ..., 67 n ) associated with the current client. . This identifier provides access to the memory space associated with this client on the USB key. As shown in FIG. 6C, the document doc is encrypted by the USB key using the secret key Ksi. The encrypted document Ksi (doc) is transmitted to the server 19, which can authorize access to the resources, for example to authorize a transaction.
L'invention trouve une application particulièrement avantageuse dans le domaine des procédés de contrôle d'accès à modules de sécurité portatifs. En effet, une application, comprenant par exemple un espion clavier, qui a connaissance du code secret de l'utilisateur, pourrait accéder au module de sécurité portatif pour par exemple modifier la valeur de la clé secrète. L'étape de réponse à la question posée peut intervenir avant tout accès au contenu du module de sécurité portatif, permettant par-là de valider cet accès par un humain.The invention finds a particularly advantageous application in the field of access control methods for portable security modules. Indeed, an application, including for example a keyboard spy, who knows the secret code of the user, could access the portable security module for example to change the value of the secret key. step response to the question asked can intervene before any access to the contents of the portable security module, thereby allowing to validate this access by a human.
Exemple de système de contrôle d'accèsExample of access control system
La figure 7 montre un exemple de système de contrôle d'accès selon un mode de réalisation de la présente invention.Fig. 7 shows an exemplary access control system according to an embodiment of the present invention.
Le système de contrôle d'accès comprend un dispositif de contrôle d'accès 71 , par exemple un serveur, apte à communiquer avec un terminal 72. Le terminal 72 est apte à communiquer avec un module de sécurité portatif 73.The access control system comprises an access control device 71, for example a server, able to communicate with a terminal 72. The terminal 72 is able to communicate with a portable security module 73.
Le module de sécurité portatif comprend une carte à puce sur port USB, ou dongle. Le dongle 73 est partitionné en une pluralité d'espaces mémoire (77i, 772 77n).The portable security module includes a smart card on USB port, or dongle. The dongle 73 is partitioned into a plurality of memory areas (77i, 772 77 n).
Le dispositif de contrôle d'accès 71 génère un couple question/réponse. La question est transmise à l'utilisateur 74 via le terminalThe access control device 71 generates a question / answer pair. The question is transmitted to the user 74 via the terminal
72. La réponse de l'utilisateur est également reçue via le terminal 72.72. The user's response is also received via the terminal 72.
Si la réponse reçue de l'utilisateur 74 est correcte, le dispositif de contrôle d'accès peut transmettre au terminal 72 son accord pour permettre l'accès aux ressources ou encore pour continuer le contrôle.If the response received from the user 74 is correct, the access control device can transmit to the terminal 72 its agreement to allow access to the resources or to continue the control.
Les ressources auxquelles un utilisateur 74 cherche à accéder lors d'un procédé de contrôle d'accès comprennent des données dans un des espaces mémoire (77i, 772 77n). L'accès aux ressources peut par exemple comprendre une utilisation d'une clé secrète gardée dans un espace mémoire, mais n'est absolument pas limité par cet exemple. L'accès aux ressources peut par exemple comprendre l'écriture de secrets ou l'effacement de données dans un espace mémoire.The resources that a user 74 seeks to access during an access control method include data in one of the memory spaces (77i, 77 2 77 n ). Access to resources may for example include use of a secret key kept in a memory space, but is not limited by this example. Access to resources may for example include writing secrets or erasing data in a memory space.
Dans le mode de réalisation préféré, le terminal 72 permet de stocker un gestionnaire de briques 78 comprenant des applications de gestion (79i,In the preferred embodiment, the terminal 72 stores a brick manager 78 including management applications (79i,
792,..., 79n). Chaque application de gestion (79-ι, 792,..., 79n) permet de gérer un espace mémoire (77i, 772,..., 77 n) du module de sécurité portatif792, ..., 79 n ). Each management application (79-ι, 79 2 , ..., 79 n ) makes it possible to manage a memory space (77i, 77 2 , ..., 77 n ) of the portable security module
73. Par exemple, la communication avec l'utilisateur 74 peut être effectuée via une application de gestion correspondant à l'espace mémoire auquel l'utilisateur cherche à accéder.73. For example, the communication with the user 74 can be performed via a management application corresponding to the memory space to which the user is seeking access.
De plus, dans le mode de réalisation représenté, le système de contrôle d'accès comprend un module d'administration d'un parc de modules de sécurité portatifs 76. Ce module d'administration d'un parc de modules de sécurité portatifs 76 peut par exemple appartenir à un émetteur de modules de sécurité portatifs (non représenté). L'émetteur peut ainsi garder un certain contrôle sur le parc de modules de sécurité portatifs émis.In addition, in the embodiment shown, the access control system comprises a module for administering a fleet of portable security modules 76. This module for administering a fleet of portable security modules 76 can for example belong to a transmitter of portable security modules (not shown). The transmitter can thus keep some control over the fleet of portable security modules issued.
Le système de contrôle d'accès peut en outre comprendre un module d'administration d'un parc d'espaces mémoire de modules de sécurité portatifs 75.The access control system may further comprise an administration module of a park of memory spaces of portable security modules 75.
L'émetteur peut par exemple louer à un client (non représenté) un ou plusieurs espaces mémoire par module de sécurité portatif émis. Le client peut être par exemple une société d'enchères en ligne, une compagnie aérienne etc. Le module d'administration d'un parc d'espaces mémoire 75 peut appartenir à ce client de l'émetteur. Le module d'administration d'un parc d'espaces mémoire 75 permet au client de garder un certain contrôle sur ses espaces mémoire.The transmitter can for example rent to a client (not shown) one or more memory spaces per portable security module issued. The customer may be for example an online auction company, an airline company, etc. The administration module of a memory space park 75 may belong to this client of the transmitter. The administration module of a memory space park 75 allows the customer to keep some control over its memory spaces.
Le dispositif de contrôle d'accès 71 comprend avantageusement un module d'administration d'un parc d'applications de gestion 80. Le dispositif de contrôle d'accès 71 peut appartenir par exemple au client de l'émetteur, ou à une tierce personne. Le dispositif de contrôle d'accès 71 permet de contrôler l'accès des utilisateurs 74 aux espaces mémoire en contrôlant certaines applications de gestion des terminaux 72.The access control device 71 advantageously comprises an administration module of a management application park 80. The access control device 71 may belong, for example, to the client of the transmitter, or to a third party . The access control device 71 makes it possible to control the access of the users 74 to the memory spaces by controlling certain terminal management applications 72.
Variantesvariants
Les figures ne représentent que des modes de réalisation de l'invention et de nombreuses variantes restent possibles. Par exemple, le dispositif de contrôle d'accès peut comprendre une interface. L'interface et le reste du dispositif de contrôle d'accès peuvent être distincts ou bien intégrés dans un même appareil, pourvu que au moins une partie de la mémoire soit relativement protégée. Le dispositif de contrôle oThe figures only represent embodiments of the invention and many variants remain possible. For example, the access control device may include an interface. The interface and the rest of the access control device may be separate or integrated in the same device, provided that at least a portion of the memory is relatively protected. The control device o
d'accès peut par exemple comprendre un ordinateur. En particulier, dans le cas d'un jeu de couples question/réponse structuré en un jeu de questions et un jeu de réponses, le jeu de questions, indicées, peut se trouver dans une première mémoire relativement accessible, tandis que le jeu de réponses, indicées de façon à pouvoir associer les questions et les réponses deux à deux, se trouve dans une seconde mémoire protégée, par exemple par encryptage. Une application malveillante dans l'ordinateur n'a ainsi pas accès aux réponses.access can for example include a computer. In particular, in the case of a set of question / answer pairs structured in a set of questions and a set of answers, the set of questions, indexed, can be found in a relatively accessible first memory, while the answer set , indexed so as to associate questions and answers two by two, is in a second protected memory, for example by encryption. A malicious application in the computer does not have access to the answers.
On préférera toutefois avoir les questions et les réponses protégées afin de se prémunir contre une application qui choisirait systématiquement des questions dont elle a appris les réponses associées.However, protected questions and answers will be preferred to guard against an application that systematically chooses questions from which it has learned the associated responses.
Alternativement, le dispositif de contrôle d'accès peut se limiter à un serveur. Ce serveur peut être apte à communiquer avec un terminal.Alternatively, the access control device may be limited to a server. This server may be able to communicate with a terminal.
Selon un autre mode de réalisation alternatif, l'utilisateur accède aux ressources directement après avoir répondu à la question et avoir saisi son code secret. Par exemple, ce mode de réalisation alternatif peut être utilisé dans le domaine des comptes courrier à interface web. Pour accéder à son compte courrier, l'utilisateur peut n'avoir qu'à donner un identifiant, un code secret, par exemple un mot de passe choisi au préalable, et la réponse à une question. L'identifiant, le mot de passe et la réponse sont transmis à un serveur qui détermine si l'utilisateur peut accéder au compte courrier désiré. La présence du module de sécurité portatif n'est donc en rien obligatoire.According to another alternative embodiment, the user accesses the resources directly after having answered the question and having entered his secret code. For example, this alternative embodiment can be used in the field of web interface mail accounts. To access his mail account, the user may only have to give an identifier, a secret code, for example a password chosen beforehand, and the answer to a question. The identifier, the password and the response are transmitted to a server which determines whether the user can access the desired mail account. The presence of the portable security module is therefore in no way obligatory.
Selon une autre variante de l'invention, une fois l'utilisateur reconnu comme humain, il peut saisir un code secret qui est transmis au module de sécurité portatif. Si le module de sécurité portatif reconnaît le code secret, il peut donner une autorisation d'accès, par exemple sous la forme d'un document encrypté par une clé secrète.According to another variant of the invention, once the user is recognized as human, he can enter a secret code which is transmitted to the portable security module. If the portable security module recognizes the secret code, it can give an access authorization, for example in the form of a document encrypted by a secret key.
Selon une autre variante de l'invention, plusieurs serveurs peuvent être utilisés. Par exemple, un premier serveur permet de vérifier que l'utilisateur est bien humain, et un second serveur distinct du premier serveur est utilisé pour vérifier que l'utilisateur est autorisé à accéder aux ressources. According to another variant of the invention, several servers can be used. For example, a first server verifies that the user is human, and a second server separate from the first server is used to verify that the user is authorized to access the resources.

Claims

Revendications claims
1. Dispositif de contrôle d'accès (20) d'un utilisateur à des ressources, comprenant une mémoire (21) pour stocker un jeu d'objets, la mémoire étant structurée de telle façon que les objets (obj_1 , obj_21 obj_44) sont au moins partiellement ordonnés, l'ordonnancement faisant appel à des connaissances ordinaires d'utilisateurs potentiels, des moyens de traitement (23, 24, 27) pour choisir un couple question/réponse (Qijkl, A_1 ) à partir au moins d'un objet stocké et de son ordonnancement, des moyens de transmission (25, 26) pour communiquer cette question à un utilisateur, et recevoir une réponse (A_2) fournie par l'utilisateur, les moyens de traitement étant agencés pour comparer la réponse du couple question/réponse à la réponse reçue de l'utilisateur, et l'accès aux ressources étant conditionné par ladite comparaison.A device for controlling the access (20) of a user to resources, comprising a memory (21) for storing a set of objects, the memory being structured in such a way that the objects (obj_1, obj_21 obj_44) are at least partially ordered, scheduling using ordinary knowledge of potential users, processing means (23, 24, 27) for selecting a question / answer pair (Qijkl, A_1) from at least one object stored and its scheduling, transmission means (25, 26) for communicating this question to a user, and receiving a response (A_2) provided by the user, the processing means being arranged to compare the response of the pair question / response to the response received from the user, and access to the resources being conditioned by said comparison.
2. Dispositif de contrôle d'accès (20) selon la revendication 1 , dans lequel le jeu d'objets est organisé hiérarchiquement par des liens se déduisant des connaissances ordinaires des utilisateurs potentiels.2. An access control device (20) according to claim 1, wherein the set of objects is hierarchically organized by links deduced from ordinary knowledge of potential users.
3. Dispositif de contrôle d'accès (40) selon la revendication 1 , dans lequel le jeu d'objets est structuré en un jeu de questions et un jeu de réponses, l'ordonnancement étant tel que les questions et les réponses sont associées deux à deux.An access control device (40) according to claim 1, wherein the set of objects is structured into a set of questions and a set of answers, the scheduling being such that the questions and the answers are associated two together.
4. Système de contrôle d'accès comprenant au moins un terminal (62), et un dispositif de contrôle d'accès (61) selon l'une des revendications précédentes, les moyens de transmission du dispositif de contrôle d'accès étant aptes à communiquer avec le terminal.4. An access control system comprising at least one terminal (62), and an access control device (61) according to one of the preceding claims, the transmission means of the access control device being able to communicate with the terminal.
5. Système de contrôle d'accès selon la revendication 4, comprenant un module de sécurité portatif (63) apte à communiquer avec le terminal (62).5. Access control system according to claim 4, comprising a portable security module (63) adapted to communicate with the terminal (62).
6. Système de contrôle d'accès selon la revendication 5, dans lequel les ressources comprennent des données dans un espace mémoire du module de sécurité portatif (63).The access control system of claim 5, wherein the resources include data in a memory space of the portable security module (63).
7. Système de contrôle d'accès selon l'une des revendications 5 ou 6, dans lequel le module de sécurité portatif (63) est partitionné en une pluralité d'espaces mémoire.The access control system according to one of claims 5 or 6, wherein the portable security module (63) is partitioned into a plurality of memory spaces.
8. Système de contrôle d'accès selon la revendication 7, dans lequel le terminal (72) comprend au moins une application de gestion (79i, 792,..., 79n) d'un espace mémoire (77i, 772,..., 77n)du module de sécurité portatif (73), le dispositif de contrôle d'accès (71) comprend un module d'administration d'un parc d'applications de gestion (80), le système de contrôle d'accès comprenant en outre un module d'administration d'un parc de modules de sécurité portatifs8. access control system according to claim 7, wherein the terminal (72) comprises at least one business application (79i, 79 2, ..., 79 n) of a memory space (77i, 77 2 , ..., 77 n ) of the portable security module (73), the access control device (71) comprises an administration module of a management application park (80), the control system access further comprising a module for administering a fleet of portable security modules
(76), et un module d'administration d'un parc d'espaces mémoire de modules de sécurité portatifs (75).(76), and an administration module of a park of memory spaces of portable security modules (75).
9. Procédé de contrôle d'accès d'un utilisateur à des ressources, mis en œuvre par des moyens informatiques, comprenant les étapes consistant à /a/ prévoir un jeu d'objets dans une mémoire, les objets étant au moins partiellement ordonnés, l'ordonnancement faisant appel à des connaissances ordinaires d'utilisateurs potentiels,A method of controlling a user's access to resources, implemented by computer means, comprising the steps of / a / providing a set of objects in a memory, the objects being at least partially ordered, the scheduling using ordinary knowledge of potential users,
IbI choisir un couple question/réponse à partir au moins d'un objet et de son ordonnancement,IBI choose a question / answer couple from at least one object and its scheduling,
Ici communiquer la question choisie à l'étape IbI à un utilisateur, lui recevoir une réponse saisie par l'utilisateur,Here communicate the chosen question in step IbI to a user, receive a response entered by the user,
IeI comparer la réponse reçue de l'utilisateur à la réponse du couple question/réponse, l'accès aux ressources étant conditionné par ladite comparaison.IeI compare the response received from the user to the response of the pair question / answer, access to resources being conditioned by said comparison.
10. Procédé de contrôle d'accès selon la revendication 9, dans lequel le jeu d'objets est organisé hiérarchiquement par des liens se déduisant des connaissances ordinaires d'utilisateurs potentiels, et l'étape IbI de choix du couple question/réponse comprendAn access control method according to claim 9, wherein the set of objects is hierarchically organized by links derived from the ordinary knowledge of potential users, and the step IBI of choosing the question / answer pair comprises
- une étape de sélection (31 ) de deux objets,a step of selecting (31) two objects,
- une étape de génération (34) de la question à partir des deux objets sélectionnés et de leur ordonnancement,a step of generating (34) the question from the two selected objects and their scheduling,
- une étape de détermination (35) de la réponse à partir des deux objets sélectionnés et de leur ordonnancement.a step of determining (35) the response from the two selected objects and their scheduling.
11. Procédé de contrôle d'accès selon la revendication 9, dans lequel le jeu d'objets est structuré en un jeu de questions et un jeu de réponses, l'ordonnancement étant tel que les réponses et les questions sont associées deux à deux, l'étape IbI de choix d'un couple question/réponse comprend les étapes consistant àThe access control method according to claim 9, wherein the set of objects is structured into a set of questions and a set of answers, the scheduling being such that the answers and the questions are associated two by two, the step IBI of choosing a question / answer couple comprises the steps of
- choisir (53) une question parmi le jeu de questions mémorisées dans la mémoire, - déterminer (55) la réponse associée à la question choisie.- choose (53) a question from the set of questions stored in the memory, - determine (55) the answer associated with the chosen question.
12. Procédé de contrôle d'accès selon l'une des revendications 9 à 11 , comprenant en outre l'étape consistant à requérir et recevoir de l'utilisateur (64) un code secret (PIN) dont la valeur est convenue à l'avance avec l'utilisateur.The access control method according to one of claims 9 to 11, further comprising the step of requesting and receiving from the user (64) a secret code (PIN) whose value is agreed in advance with the user.
13. Procédé selon l'une des revendications 9 à 12, comprenant en outre l'émission d'un signal d'autorisation d'accès (acc_en) comprenant un identifiant d'un espace mémoire d'un module de sécurité portatif (63) et un document (doc).13. Method according to one of claims 9 to 12, further comprising the transmission of an access authorization signal (acc_en) comprising an identifier of a memory space of a portable security module (63). and a document (doc).
14. Produit programme d'ordinateur de contrôle d'accès d'un utilisateur à des ressources, le programme d'ordinateur étant destiné à être stocké dans une mémoire d'une unité centrale, et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur de ladite unité centrale et/ou téléchargé via un réseau de télécommunication, caractérisé en ce qu'il comprend des instructions pour exécuter auprès d'un serveur les étapes d'un procédé selon l'une des revendications 9 à 13.14. A computer program product for controlling the access of a user to resources, the computer program being intended to be stored in a memory of a central unit, and / or stored on a storage medium intended to cooperate with a reader of said central unit and / or downloaded via a telecommunication network, characterized in that it comprises instructions for executing the steps of a method according to one of claims 9 to 13 with a server.
15. Procédé de contrôle d'accès d'un utilisateur (64) à des ressources comprenant des données dans un espace mémoire (67i, QIz,..., 67n) d'un module de sécurité portatif (63) partitionné en une pluralité d'espaces mémoire, comprenant les étapes consistant à présenter une question (Q) à un utilisateur, la question provenant d'un serveur (61 ), la question étant associée à une réponse déterminable à l'aide des connaissances générales d'utilisateurs potentiels, et transmettre la réponse (A_2) saisie par l'utilisateur au serveur en vue d'une comparaison avec la réponse associée à la question, l'accès aux ressources étant conditionné par cette comparaison.15. A method of a user access control (64) to resources including data in a memory space (67i, Qiz, ..., 67 n) of a portable security module (63) partitioned into a plurality of memory spaces, including the steps of presenting a question (Q) to a user, the question from a server (61), the question being associated with a determinable response using the general knowledge of users potential, and transmit the response (A_2) entered by the user to the server for comparison with the response associated with the question, access to resources being conditioned by this comparison.
16. Produit programme d'ordinateur de contrôle d'accès d'un utilisateur à des ressources, le programme d'ordinateur étant destiné à être stocké dans une mémoire d'une unité centrale, et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur de ladite unité centrale et/ou téléchargé via un réseau de télécommunication, caractérisé en ce qu'il comprend des instructions pour exécuter auprès d'un terminal les étapes d'un procédé selon la revendication 15. 16. Computer program product for controlling the access of a user to resources, the computer program being intended to be stored in a memory of a central unit, and / or stored on a storage medium intended to cooperate with a reader of said central unit and / or downloaded via a telecommunication network, characterized in that it comprises instructions for executing at a terminal the steps of a method according to claim 15.
PCT/FR2006/001609 2005-07-13 2006-07-05 Access control method and device WO2007006921A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0507552 2005-07-13
FR0507552 2005-07-13

Publications (1)

Publication Number Publication Date
WO2007006921A1 true WO2007006921A1 (en) 2007-01-18

Family

ID=36128498

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/001609 WO2007006921A1 (en) 2005-07-13 2006-07-05 Access control method and device

Country Status (1)

Country Link
WO (1) WO2007006921A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9563758B2 (en) 2014-05-12 2017-02-07 International Business Machines Corporation Increasing security of a device and/or system via questioning about a characteristic of the device and/or system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4930129A (en) * 1987-03-13 1990-05-29 Mitsubishi Denki Kabushiki Kaisha IC card having internal error checking capability
WO1995024696A2 (en) * 1994-03-01 1995-09-14 Integrated Technologies Of America, Inc. Preboot protection for a data security system
WO2000041103A1 (en) * 1998-12-31 2000-07-13 Perfecto Technologies Ltd. Method and system for discriminating a human action from a computerized action

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4930129A (en) * 1987-03-13 1990-05-29 Mitsubishi Denki Kabushiki Kaisha IC card having internal error checking capability
WO1995024696A2 (en) * 1994-03-01 1995-09-14 Integrated Technologies Of America, Inc. Preboot protection for a data security system
WO2000041103A1 (en) * 1998-12-31 2000-07-13 Perfecto Technologies Ltd. Method and system for discriminating a human action from a computerized action

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9563758B2 (en) 2014-05-12 2017-02-07 International Business Machines Corporation Increasing security of a device and/or system via questioning about a characteristic of the device and/or system
US10108789B2 (en) 2014-05-12 2018-10-23 International Business Machines Corporation Increasing security of a device and/or system via questioning about a characteristic of the device and/or system

Similar Documents

Publication Publication Date Title
Khan et al. Security of cryptocurrency using hardware wallet and qr code
WO2020007498A1 (en) Method for producing dynamic password identification for users such as machines
WO2004047362A1 (en) Method and system with authentication, revocable anonymity and non-repudiation
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
HUE031854T2 (en) Multi-identity access control tunnel relay object
WO2022266553A2 (en) Systems and methods for link device authentication
WO2013021107A9 (en) Method, server and system for authentication of a person
EP3022867A1 (en) Strong authentication method
US20230208637A1 (en) Key management method and apparatus
Goode Digital identity: solving the problem of trust
FR2973909A1 (en) METHOD FOR ACCESSING A PROTECTED RESOURCE OF A SECURE PERSONAL DEVICE
Shalaby et al. An efficient multi-factor authentication scheme based CNNs for securing ATMs over cognitive-IoT
EP3262553B1 (en) Method of transaction without physical support of a security identifier and without token, secured by the structural decoupling of the personal and service identifiers
EP2813962B1 (en) Method for controlling access to a specific service type and authentication device for controlling access to such a service type.
EP3206149B1 (en) Method for monitoring a parameter indicating a level of confidence associated with a user account of an online service
WO2007006921A1 (en) Access control method and device
WO2008024362A9 (en) Advanced multi-factor authentication methods
WO2021122186A1 (en) Method and device for anonymous access control to a collaborative anonymization platform
CA2647239C (en) Process and server for access to an electronic safe via several entities
Swati et al. Innovations in Blockchain Using Artificial Intelligence
Ranyali Conceptual Framework for Multi-Factor Authentication for Mobile Money Systems in Lesotho
Radke Security ceremonies: including humans in cryptographic protocols
Kiran et al. Implementation of 3-Level Security System Using Image Grid Based Authentication System
WO2022096841A1 (en) Authentication method secured by structural decoupling of personal and service identifiers
EP4356562A1 (en) Self-sovereign-identities (ssi) for iot and next internet

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06778789

Country of ref document: EP

Kind code of ref document: A1