WO2007012786A2 - Method for using a sequence of authentications - Google Patents

Method for using a sequence of authentications Download PDF

Info

Publication number
WO2007012786A2
WO2007012786A2 PCT/FR2006/050762 FR2006050762W WO2007012786A2 WO 2007012786 A2 WO2007012786 A2 WO 2007012786A2 FR 2006050762 W FR2006050762 W FR 2006050762W WO 2007012786 A2 WO2007012786 A2 WO 2007012786A2
Authority
WO
WIPO (PCT)
Prior art keywords
eap
authentication
peer
sequence
server
Prior art date
Application number
PCT/FR2006/050762
Other languages
French (fr)
Other versions
WO2007012786A3 (en
Inventor
Claire Duranton
Magalie Crassous
Lionel Morand
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007012786A2 publication Critical patent/WO2007012786A2/en
Publication of WO2007012786A3 publication Critical patent/WO2007012786A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Abstract

The invention concerns a method for authenticating a pair (103) for accessing a plurality of uses in a network (130) characterized in that it includes: a first step (24) which consists in determining at a server (105) of the network a set of uses for which it is necessary to authenticate said pair; a second step (25) which consists in controlling from said server (105), the execution of a sequence of authentications of the pair, the plurality of authentications respectively concerning the plurality of uses of the determined set.

Description

Procédé de mise en œuvre d'une séquence d'authentîfications Method of implementing a sequence of authentications
L'invention concerne un procédé d'authentification d'un pair doté d'une identité qui demande à accéder à un réseau et qui pour cela dialogue avec un authentifiant, ledit authentifiant autorisant l'accès audit réseau en fonction d'une vérification de l'identité et de droits du pair réalisée par un serveur dudit réseau.The invention relates to a method for authenticating a peer having an identity that requests access to a network and for which it dialogs with an authenticator, said authenticator authorizing access to said network according to a verification of the identity. identity and rights of the peer performed by a server of said network.
La présente invention se situe dans Ie domaine des télécommunications et des réseaux.The present invention is in the field of telecommunications and networks.
Il est connu que des utilisateurs qui souhaitent accéder à un réseau IP et qui ont souscrit un service d'accès auprès d'un Fournisseur d'Accès Internet (FAI) ou de service IP doivent au préalable s'authentifier. L'authentification permet de contrôler qu'une personne identifiée est bien celle qu'elle prétend être, par l'utilisation d'un secret, par exemple un mot de passe. Cela permet ensuite de vérifier qu'elle dispose de droits pour accéder à une ressource physique du réseau.It is known that users who want to access an IP network and have subscribed an access service from an Internet Service Provider (ISP) or IP service must first authenticate. Authentication makes it possible to control that an identified person is the one he claims to be, by the use of a secret, for example a password. This then makes it possible to verify that it has rights to access a physical resource of the network.
L'authentification d'un client, comprenant une machine et un utilisateur, est réalisée par un serveur d'authentification qui récupère des données d'authentification du client au cours d'un dialogue basé sur un protocole d'authentification.The authentication of a client, comprising a machine and a user, is performed by an authentication server that retrieves client authentication data during a dialogue based on an authentication protocol.
Le protocole EAP (de l'anglais "Extensible Authentication Protocol") http://www.ietf.org/rfc/rfc3748.txt, issu de I1IETF ("Internet Engineering Task Force", http://www.ietf.org) permet une authentification de l'utilisateur souhaitant s'associer à un réseau, voire une authentification mutuelle de l'utilisateur et d'un équipement d'accès. EAP a ceci de particulier qu'il définit des échanges génériques permettant de transporter diverses méthodes d'authentification EAP. EAP supporte une douzaine de méthodes d'authentification EAP, par exemple et de façon non exhaustive EAP MD5- Challenge issue de I1IETF http://www.ietf.org/rfc/rfc3748.txt, EAP-TTLS ("Extensible Authentication Protocol-Tunneted Transport Layer Security") en discussion à HETF http://www.ietf.org/internet-drafts/draft-funk-eap-ttls-v1- OO.txt. Le contenu des messages EAP échangés dépend de la méthode d'authentification choisie. Cette méthode est choisie lors des premiers échanges EAP ; elle est donc choisie dynamiquement dans la phase d'authentification. EAP définit la possibilité de réaliser une séquence d'authentïfications EAP1 donc d'enchaîner plusieurs authentifications EAP dans une même conversation EAP, avec la restriction de n'utiliser, dans la même séquence, qu'un seul type de méthode d'authentification, par exemple EAP MD5-Challenge.Extensible Authentication Protocol (EAP) http://www.ietf.org/rfc/rfc3748.txt, from I 1 IETF ("Internet Engineering Task Force", http: //www.ietf .org) allows authentication of the user wishing to associate with a network, or even mutual authentication of the user and access equipment. EAP is unique in that it defines generic exchanges to transport various EAP authentication methods. EAP supports a dozen EAP authentication methods, for example and without limitation EAP MD5 Challenge after I 1 http://www.ietf.org/rfc/rfc3748.txt IETF, EAP-TTLS ( "Extensible Authentication Protocol-Tunneled Transport Layer Security ") under discussion at HETF http://www.ietf.org/internet-drafts/draft-funk-eap-ttls-v1-OT.txt. The content of EAP messages exchanged depends on the method chosen authentication. This method is chosen during the first EAP exchanges; it is therefore chosen dynamically in the authentication phase. EAP defines the possibility of carrying out an authentication sequence EAP 1 so to chain several EAP authentications in the same EAP conversation, with the restriction to use, in the same sequence, only one type of authentication method, for example EAP MD5-Challenge.
L'usage associé à une authentification correspond à un besoin, une ressource, un service auxquels cette authentification permet d'accéder. A titre d'exemples illustratifs, on peut citer un accès au FAI de l'utilisateur (c'est- à-dire, un accès à la navigation sur internet), un accès à une borne d'accès sans-fil d'un opérateur (le terme couramment utilisé est le terme anglais hotspot), un accès à une messagerie internet.The use associated with an authentication corresponds to a need, a resource, a service that this authentication allows to access. By way of illustrative examples, mention may be made of access to the user's ISP (ie, access to internet browsing), access to a wireless access point of a user. operator (the term commonly used is the English term hotspot), access to an internet messenger.
Actuellement, un utilisateur qui souhaite accéder à plusieurs services fait plusieurs demandes d'authentification, généralement auprès de différents serveurs d'authentification. L'invention vise à faciliter les authentifications multiples auxquelles l'utilisateur est contraint pour accéder à différents usages.Currently, a user who wants to access multiple services makes several authentication requests, usually from different authentication servers. The invention aims to facilitate the multiple authentications to which the user is forced to access different uses.
A cet effet, la présente invention concerne un procédé adapté au traitement d'une séquence d'authentifications pour laquelle les usages associés à chacune des authentifications de la séquence sont identifiés et précisés dans un champ d'un message propre à la méthode d'authentification. Les authentifications de la séquence sont basées sur la méthode EAP MD5- Challenge. L'invention concerne aussi un serveur prévu pour traiter la séquence d'authentifications et pour identifier et préciser les usages des authentifications de fa séquence. L'invention concerne aussi un dispositif utilisateur prévu pour dialoguer avec l'utilisateur en fonction de l'usage de l'authenttfication courante transmis par le serveur et pour fournir des données propres à l'utilisateur et à l'usage de l'authentification courante.For this purpose, the present invention relates to a method adapted to the processing of an authentication sequence for which the uses associated with each of the authentications of the sequence are identified and specified in a field of a message specific to the authentication method. . The authentications of the sequence are based on the EAP MD5-Challenge method. The invention also relates to a server intended to process the authentication sequence and to identify and specify the uses of fa sequence authentication. The invention also relates to a user device provided for dialogue with the user according to the use of the current authenttfication transmitted by the server and to provide data specific to the user and the use of the current authentication. .
Le but est atteint avec un procédé d'authentffication d'un pair pour l'accès à une pluralité d'usages dans un réseau. Le procédé est caractérisé en ce qu'il comprend : - une première étape consistant à déterminer au niveau d'un serveur du réseau un ensemble d'usages pour lesquels il est nécessaire d'authentifier ledit pair,The goal is achieved with a method of authenticating a peer for access to a plurality of uses in a network. The method is characterized in that it comprises: a first step of determining at the level of a server of the network a set of uses for which it is necessary to authenticate said peer,
- une deuxième étape consistant à commander à partir du serveur l'exécution d'une séquence d'authentifications du pair, la pluralité d'authentifieations de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble déterminé.a second step of controlling from the server the execution of a sequence of authentications of the peer, the plurality of authentieations of the sequence being respectively relative to the plurality of uses of the set determined.
Les avantages de ce procédé sont considérables puisqu'il permet de réaliser une séquence d'authentifications qui enchaîne des authentifications EAP MD5-Challenge dans laquelle l'usage de chacune des authentifications est identifié et précisé.The advantages of this method are considerable since it makes it possible to carry out an authentication sequence which links EAP MD5-Challenge authentications in which the use of each of the authentications is identified and specified.
Le procédé comprend en outre une étape consistant à générer et à envoyer un message contenant un résultat de la séquence d'authentifications.The method further comprises a step of generating and sending a message containing a result of the authentication sequence.
Avec le procédé selon l'invention, i'authentification relative à un usage est basée sur le contrôle d'un message de réponse à un message de défi, ledit usage étant précisé dans un champ dudit message de défi habituellement destiné à être utilisé pour préciser l'identification d'un système qui transmet ledit message.With the method according to the invention, the authentication relating to a use is based on the control of a response message to a challenge message, said use being specified in a field of the challenge message usually intended to be used to specify identifying a system that transmits said message.
Avantageusement, l'usage associé à chacune des authentifications de la séquence d'authentifications est précisée. Ainsi, s'il est demandé une information, comme un mot de passe, pour l'usage en cours de traitement, un dialogue adapté à l'usage en cours de traitement peut être prévu.Advantageously, the usage associated with each of the authentications of the authentication sequence is specified. Thus, if information, such as a password, is requested for use during processing, a dialogue adapted to the use being processed can be provided.
En outre, la mise en œuvre du procédé selon l'invention ne nécessite aucune modification du protocole relatif à la méthode d'authentification utilisée.In addition, the implementation of the method according to the invention does not require any modification of the protocol relating to the authentication method used.
Dans une réalisation de l'invention, la pluralité d'usages de l'ensemble déterminé comprend exclusivement des usages pour lesquels une authentificatîon conforma à la méthode EAP-MD5 du protocole EAP est nécessaire.In one embodiment of the invention, the plurality of uses of the set determined exclusively includes uses for which authentication in accordance with the method EAP-MD5 of the EAP protocol is necessary.
Dans une réalisation de l'invention» le procédé d'authentification selon l'invention comprend .pour au moins un usage donné de l'ensemble déterminé : - une étape consistant à recevoir du serveur une indication de l'usage considéré et un défi relatif audit usage,In one embodiment of the invention "the method of authentication according to the invention comprises at least .for a given use of the determined set: a step of receiving from the server an indication of the use in question and a challenge relating to said use,
- une étape de traitement consistant à déterminer une réponse au défi en fonction d'informations relatives à l'usage considéré,a processing step consisting in determining a response to the challenge based on information relating to the use in question,
- une étape consistant à envoyer la réponse audit défi.a step of sending the response to said challenge.
L'invention concerne aussi un serveur d'authentificatîon d'un pair pour l'accès à une pluralité d'usages dans un réseau, caractérisé en ce qu'il comprend :The invention also relates to a authentication server of a peer for access to a plurality of uses in a network, characterized in that it comprises:
- un module de détermination d'un ensemble d'usages pour lesquels il est nécessaire d'authentifier ledit pair,a module for determining a set of uses for which it is necessary to authenticate said peer,
- des moyens pour commander l'exécution d'une séquence d'authentifications du pair, la pluralité d'authentifications de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble déterminé.means for controlling the execution of a sequence of authentications of the peer, the plurality of authentications of the sequence being respectively relative to the plurality of uses of the set determined.
L'invention concerne également un système d'authentification comportant un pair, un authentifiant et un réseau, caractérisé en ce qu'il comprend :The invention also relates to an authentication system comprising a peer, an authenticator and a network, characterized in that it comprises:
- un serveur chargé de déterminer un ensemble d'usages pour lesquels il est nécessaire d'authentifier ledit pair, et de commander l'exécution d'une séquence d'authentifications du pair, la pluralité d'authentifications de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble déterminé,a server responsible for determining a set of uses for which it is necessary to authenticate said peer, and for controlling the execution of a sequence of authentications of the peer, the plurality of authentications of the sequence being respectively relative to the plurality of uses of the set determined,
- un dispositif utilisateur chargé de traiter ledit usage.a user device responsible for processing said use.
L'invention concerne aussi un programme d'ordinateur téléchargeable via un réseau de télécommunications, ou stocké sur un support exécutable par un ordinateur, caractérisé en ce qu'il comprend des instructions pour déterminer au niveau d'un serveur du réseau un ensemble d'usages pour lesquels il est nécessaire d'authentifier ledit pair, et pour réaliser une séquence d'authentifications du pair, une pluralité d'authentifications de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble déterminé.The invention also relates to a computer program downloadable via a telecommunications network, or stored on a support executable by a computer, characterized in that it comprises instructions for determining at a server of the network a set of uses for which it is necessary to authenticate said peer, and to achieve a pair authentication sequence, a plurality of authentications of the sequence being respectively related to the plurality of uses of the set determined.
L'invention concerne également un moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour déterminer au niveau d'un serveur du réseau un ensemble d'usages pour lesquels il est nécessaire d'authentifier ledit pair, et pour réaliser une séquence d'authentifications du pair, la pluralité d'authentifications de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble déterminé.The invention also relates to a partially or totally removable data storage means, comprising computer program code instructions for determining at the level of a server of the network a set of uses for which it is necessary to authenticate said peer, and to carry out a sequence of authentications of the peer, the plurality of authentications of the sequence being respectively relative to the plurality of uses of the set determined.
De nombreux détails et avantages de l'invention seront mieux compris à la lecture de la description d'un mode particulier de réalisation en référence aux dessins annexés donnés à titre non limitatif et dans lesquels :Many details and advantages of the invention will be better understood on reading the description of a particular embodiment with reference to the accompanying drawings given in a non-limiting manner and in which:
La figure 1 présente le format d'un message de requête ou de réponse EAP de type EAP MD5-Challenge, selon l'état antérieur de la technique.FIG. 1 shows the format of an EAP MD5-Challenge EAP request or response message, according to the prior state of the art.
La figure 2 est un diagramme d'authentification selon l'état antérieur de la technique conforme au protocole EAP et à la méthode d'authentification EAP MD5-Challenge.FIG. 2 is an authentication diagram according to the prior state of the art in accordance with the EAP protocol and the EAP MD5-Challenge authentication method.
La figure 3 présente le traitement d'une séquence d'authentifications EAP MD5-Challenge selon l'invention.FIG. 3 shows the processing of an authentication sequence EAP MD5-Challenge according to the invention.
La figure 4 est un diagramme qui présente un exemple d'architecture réseau conforme à l'invention.FIG. 4 is a diagram which presents an exemplary network architecture according to the invention.
La figure 5 est un diagramme qui présente l'organisation fonctionnelle d'un serveur de traitement d'une séquence d'authentifications selon l'invention.FIG. 5 is a diagram that presents the functional organization of a processing server of an authentication sequence according to the invention.
La figure 6 est un diagramme qui présente l'organisation fonctionnelle d'un module utilisateur de traitement d'un usage selon l'invention.FIG. 6 is a diagram that presents the functional organization of a user module for processing a use according to the invention.
La figure 7 est un schéma qui présente les principaux composants d'un serveur de traitement d'une séquence d'authentifications selon l'invention.FIG. 7 is a diagram that presents the main components of a processing server of an authentication sequence according to the invention.
Dans un processus d'authentification réseau classique trois entités interagissent : un système authentifiant, un système à authentifier et un serveur d'authentificatîon. Le système authentifiant contrôle une ressource physique via un point d'accès au réseau. Le système à authentifier souhaite accéder à la ressource pour un usage précis et doit pour cela s'authentifier. Le serveur d'authentîfication est la machine qui va vérifier, sur demande du système authentifiant, si le système à authentifier est bien celui qu'il prétend être et s'il a Ie droit d'accéder à la ressource demandée, Si le serveur d'authentîfication autorise Ie pair à accéder au réseau, ie système authentifiant donne l'accès à la ressource qu'il contrôle. Le serveur d'authentification gère l'authentification proprement dite, en dialoguant avec le système à authentifier sur la base d'un protocole d'authentification déterminé. Le système à authentifier comprend en général une machine et un utilisateur, doté d'une identité et de droits d'accès.In a typical network authentication process, three entities interact: an authenticating system, a system to be authenticated and an authentication server. The authenticating system controls a physical resource through a network access point. The system to authenticate wants to access the resource for a specific use and must authenticate itself. The authentication server is the machine that will check, on request of the authentication system, if the system to authenticate is the one it claims to be and if it has the right to access the requested resource, If the server Authentication allows the peer to access the network, ie authenticator gives access to the resource it controls. The authentication server manages the authentication itself, in dialogue with the system to be authenticated on the basis of a specific authentication protocol. The system to be authenticated generally comprises a machine and a user, having an identity and access rights.
EAP est un protocole d'authentification supportant différentes méthodes d'authentification EAP dont EAP MD5-Challenge. Dans la terminologie EAP, le système à authentifier s'appelle pair (le terme couramment utilisé est le terme anglais "peer") et le système authentifiant s'appelle authentifiant (le terme couramment utilisé est le terme anglais "authenticator"). EAP MD5-Challenge est la plus simple des méthodes d'authentification EAP à mettre en œuvre : l'authentification se fait par envoi au pair d'une requête de type EAP MD5-Challenge contenant un défi qui est un aléa. Le pair répond en envoyant une réponse calculée en hachant le défi à l'aide d'une fonction de hachage MD5 (Message Digest-5), définie par I1IETF ("Internet Engineering Task Force") http://www.ietf.org/rfc/rfc1321.txt et en utilisant comme paramètre un secret qui est le mot de passe de l'utilisateur associé au pair. Le serveur d'authentification qui contrôle l'identité et les droits du pair, calcule une valeur à partir des mêmes données et compare ladite valeur à la réponse reçue du pair. Si les deux valeurs sont identiques, le pair est authentifié.EAP is an authentication protocol that supports different EAP authentication methods including EAP MD5-Challenge. In the EAP terminology, the system to be authenticated is called peer (the term commonly used is the term "peer") and the authenticating system is called authenticator (the term commonly used is the term "authenticator"). EAP MD5-Challenge is the easiest of the EAP authentication methods to implement: authentication is done by sending an EAP MD5-Challenge type request containing a challenge that is a hazard. The peer responds by sending a calculated response by hashing the challenge using a hash function MD5 (Message Digest-5), defined by I 1 IETF ("Internet Engineering Task Force") http: //www.ietf .org / rfc / rfc1321.txt and using as a parameter a secret which is the password of the user associated with the peer. The authentication server that checks the identity and rights of the peer calculates a value from the same data and compares the value with the response received from the peer. If both values are the same, the peer is authenticated.
Les messages EAP qui circulent entre le pair et l'authentifiant peuvent être encapsulés dans des protocoles, par exemple et de façon non exhaustive dans le protocole PPP ("Point to Point Protocol") issu de I1IETF http://www.ietf.org/rfc/rfc1665.txt, ou dans le protocole IEEE 802.1 X, standard issu de PIEEE ("Institute of Electrical and Electronic Engineers"), IEEE Std 802.1X-2001, Part-Based network Access Contro! 2001. L'authentifiant transmet ensuite les messages EAP vers le serveur d'authentification. Les échanges entre l'authentifiant et le serveur d'authentification peuvent être encapsulés dans un protocole de type AAA ("Authentïeation, Authorization and Accountîng**)» par exemple RADIUS ("Remote Authentication Dial In User Service") issu de PlETF http://www.ietf.org/rfc/rfc2885.txt. Le protocole RADiUS supporte différentes méthodes d'authentification, dont EAP. Le protocole RADIUS permet une authentification utilisateur/mot de passe ou utilisateur/défi/réponse et est basé sur un échange de requêtes/réponses. Par exemple, une requête d'autorisation d'accès est une requête RADIUS de type "Access-Request". Une réponse d'acceptation à ladite requête est une réponse RADIUS de type "Access-Accept". Le protocole RADIUS transporte des informations d'authentification et d'autorisation dans des champs de requêtes RADIUS, par exemple dans des éléments d'informations appelés attributs. Le nombre d'attributs dans un message RADIUS est variable. Il peut n'y en avoir aucun, un ou plusieurs.EAP messages that flow between the peer and the authenticator can be encapsulated in protocols, for example and without limitation in the PPP ( "Point to Point Protocol") from I 1 IETF http: //www.ietf .org / rfc / rfc1665.txt, or in the IEEE 802.1 X protocol, standard from PIEEE (Institute of Electrical and Electronic Engineers), IEEE Std 802.1X-2001, Part-Based Network Access Contro! 2001. The authenticator then transmits the EAP messages to the authentication server. The exchanges between the authenticator and the authentication server can be encapsulated in a protocol of the type AAA ("Authentication, Authorization and Accountancy ** )" for example RADIUS ("Remote Authentication Dial In User Service") from PlETF http: //www.ietf.org/rfc/rfc2885.txt The RADiUS protocol supports different authentication methods, including EAP.The RADIUS protocol allows user / password authentication or user / challenge / answer and is based on an exchange of requests / answers. For example, an access authorization request is a RADIUS request of type "Access-Request". An acceptance response to said request is a RADIUS response of type "Access-Accept". The RADIUS protocol carries authentication and authorization information in RADIUS request fields, for example in information elements called attributes. The number of attributes in a RADIUS message is variable. There may be none, one or more.
La demande de brevet publiée sous le n° FR2851104 divulgue un procédé d'authentification d'un utilisateur au niveau d'un réseau d'accès lors d'une connexion de l'utilisateur au réseau Internet. Ce procédé permet à l'utilisateur de s'authentifier auprès du réseau d'accès et auprès d'un fournisseur d'accès ou de service IP avec une seule requête d'accès. Des données d'identification et d'authentification de l'utilisateur auprès du réseau d'accès et de transport IP sont insérées au préalable dans la requête d'accès émise par un terminal utilisateur au fournisseur d'accès ou de service IP. Ainsi deux authentifications sont réalisées à l'aide d'une seule requête d'accès. Cependant, ce procédé est dédié à une authentification auprès du réseau d'accès et à une authentification auprès du fournisseur d'accès ou de service IP. En outre, un inconvénient du procédé réside dans le fait que des données d'authentification propres à l'utilisateur circulent en clair sur le réseau dans la requête d'accès.The patent application published under No. FR2851104 discloses a method of authenticating a user at an access network during a connection of the user to the Internet network. This method allows the user to authenticate with the access network and with an access provider or IP service with a single access request. User identification and authentication data with the IP access and transport network are inserted beforehand into the access request transmitted by a user terminal to the IP access or service provider. Thus two authentications are performed using a single access request. However, this method is dedicated to authentication with the access network and authentication with the access provider or IP service. In addition, a disadvantage of the method lies in the fact that user-specific authentication data circulates in clear on the network in the access request.
La figure 1 illustre le format d'une requête ou d'une réponse EAP selon l'état antérieur de la technique. Les requêtes et réponses EAP sont échangées entre un pair, un authentifiant et un serveur d'authentification.Figure 1 illustrates the format of an EAP request or response according to the prior art. EAP requests and responses are exchanged between a peer, an authenticator, and an authentication server.
Un premier champ d, appelé "Code"» précise s'il s'agit d'une requête ou d'une réponse à la requête.A first d field, called "Code", specifies whether it is a request or a response to the request.
Un deuxième champ c2, appelé "Identifier", identifie un échange de messages EAP appelé également conversation EAP courante : le champ c2 d'une réponse sera le même que le champ c2 de la requête à ('origine de fa réponse.A second field c2, called "Identifier", identifies an exchange of EAP messages also called current EAP conversation: the field c2 of a response will be the same as the field c2 of the request to the origin of the response.
Un troisième champ c3, appelé "Length", précise la longueur du message EAP. Un quatrième champ c4, appelé "Type", précise le type de la requête ou de la réponse. Par exemple, un type particulier appelé "Identity" correspond à une requête de demande d'identité ou une réponse à la demande d'identité. Un message de réponse à une demande d'identité contient dans un cinquième champ c5 appelé "Type-Data" l'identité de l'utilisateur associé au pair. Un autre type de requête qui est précisé dans le champ c4, correspond à une méthode d'authentification EAP. Par exemple, un type appelé "MD5-Challenge" précise que la méthode d'authentification EAP est EAP MD5-Challenge. Dans le cas où le champ c4 est "MD5- Challenge", le champ c5 "Type-Data" est composé des champs suivants :A third field c3, called "Length", specifies the length of the EAP message. A fourth field c4, called "Type", specifies the type of the request or response. For example, a particular type called "Identity" is a request for an identity request or a response to the identity request. A response message to an identity request contains in a fifth field c5 called "Type-Data" the identity of the user associated with the peer. Another type of request that is specified in the c4 field, corresponds to an EAP authentication method. For example, a type called "MD5-Challenge" specifies that the EAP authentication method is EAP MD5-Challenge. In the case where the field c4 is "MD5-Challenge", the field c5 "Type-Data" is composed of the following fields:
- un sixième champ c6, appelé "Value-Size", précise la longueur d'un septième champ c7.a sixth field c6, called "Value-Size", specifies the length of a seventh field c7.
- le septième champ c7, appelé "Value", correspond à un défi ou à une réponse à ce défi.the seventh field c7, called "Value", corresponds to a challenge or an answer to this challenge.
- un huitième champ c8, appelé "Name", précise l'identification d'un système qui transmet la requête ou la réponse EAP.an eighth field c8, called "Name", specifies the identification of a system that transmits the request or the EAP response.
La figure 2 illustre le mécanisme d'authentification conforme à la méthode EAP MD5-Challenge selon l'état antérieur de la technique en décrivant les échanges de messages entre les trois entités concernées par le processus d'authentification. Un pair 100 correspond au client à authentifier selon le processus d'authentification décrit ci-avant, un authentifiant 101 correspond au système authentifiant qui réalise un contrôle d'accès à la ressource physique du réseau et un serveur d'authentification 102 est en charge de l'authentification du pair 100.Figure 2 illustrates the authentication mechanism according to the EAP MD5-Challenge method according to the prior art by describing the exchange of messages between the three entities involved in the authentication process. A peer 100 corresponds to the client to be authenticated according to the authentication process described above, an authenticator 101 corresponds to the authenticating system that performs an access control to the physical resource of the network and an authentication server 102 is in charge of 100 peer authentication.
Le format d'un message de requête ou de réponse EAP est conforme au format illustré par la figure 1.The format of an EAP request or response message is in the format shown in Figure 1.
Dans une réalisation particulière de Pauthentification EAP, fes messages échangés entre l'authentifiant 101 et le serveur d'authentificatîon 102 sont encapsulés dans des messages conformes à un protocole de type AAA, par exemple RADIUS.In a particular embodiment of the EAP authentication, messages exchanged between the authenticator 101 and the authentication server 102 are encapsulated in messages conforming to a protocol of the AAA type, for example RADIUS.
Dans une étape initiale 2, l'authentifiant 101 envoie au pair 100 une requête EAP si de demande d'identité. Conformément au format de messages EAP illustré par la figure 1 , le message contient dans le champ c4 "Type" une valeur qui correspond au type "Identity".In an initial step 2, the authenticator 101 sends the peer 100 an EAP request if request identity. In accordance with the format EAP messages illustrated in Figure 1, the message contains in the field c4 "Type" a value that corresponds to the type "Identity".
Dans une étape 3, consécutive à la réception de la requête EAP si de demande d'identité, le pair 100 construit un message de réponse EAP s2 qui contient l'identité du pair 100 dans le champ c5 du message de réponse EAP s2. L'identité du pair 100 est construite à partir d'informations saisies par l'utilisateur associé au pair dans une IHM (Interface Homme-Machine) du terminal, ou à partir d'informations situées dans le terminal. Ces informations sont stockées par exemple dans une carte à mémoire insérée dans le terminal. Le pair 100 envoie le message de réponse EAP s2 à l'authentifiant 101.In a step 3, following the receipt of the EAP request if identity request, the peer 100 builds an EAP response message s2 which contains the identity of the peer 100 in the field c5 of the EAP response message s2. The identity of the peer 100 is constructed from information entered by the user associated with the peer in a HMI (Human Machine Interface) of the terminal, or from information located in the terminal. This information is stored for example in a memory card inserted in the terminal. The peer 100 sends the EAP response message s2 to the authenticator 101.
Dans une étape 4, consécutive à la réception du message de réponse EAP s2, l'authentifiant relaie le message de réponse EAP s2 au serveur d'authentification 102 dans un message de réponse EAP s3.In a step 4, following receipt of the EAP response message s2, the authenticator relays the EAP response message s2 to the authentication server 102 in an EAP response message s3.
Dans une étape 5, consécutive à la réception du message de réponse EAP s3, le serveur d'authentification 102 décide d'utiliser la méthode d'authentification EAP MD5-Challenge pour authentifier le pair 100. Le serveur d'authentification 102 génère un défi et un message de requête EAP s4 de type EAP MD5-Challenge. Le message de requête EAP s4 contient le défi dans le champ c7 "Value". En plus du défi il est possible de préciser l'identité du serveur d'authentification 102 à l'origine du message de requête dans le champ c8 "Name". Le serveur d'authentification 102 envoie le message de requête EAP s4 à l'authentifiant 101.In a step 5, following the receipt of the EAP response message s3, the authentication server 102 decides to use the authentication method EAP MD5-Challenge to authenticate the peer 100. The authentication server 102 generates a challenge and an EAP request message s4 of type EAP MD5-Challenge. The EAP request message s4 contains the challenge in field c7 "Value". In addition to the challenge it is possible to specify the identity of the authentication server 102 at the origin of the request message in the field c8 "Name". The authentication server 102 sends the EAP request message s4 to the authenticator 101.
Dans une étape 6, consécutive à la réception du message de requête EAP s4, l'authentifiant 101 relaie le message de requête EAP s4 au pair 100 dans un message de requête EAP s5.In a step 6, following receipt of the EAP request message s4, the authenticator 101 relays the EAP request message s4 to the peer 100 in an EAP request message s5.
Dans une étape 7, consécutive à la réception du message de requête EAP s5, le pair 100 extrait le défi du champ c7 "Value" du message de requête EAP s5 et l'utilise pour construire une réponse. La réponse est calculée par application d'une fonction de hachage MD5 à un flux d'octets constitué du défi, suivi d'un secret détenu par le pair 100 et de l'identifiant du message de requête s5 qui figure dans le champ c2 "Identifier" de Ia requête EAP s5. Le pair 100 envoie une réponse EAP s6 à l'authentifiant 101 qui contient la réponse au défi dans le champ c7. I! est possible de préciser l'identité du pair 100 qui émet la réponse dans le champ c8 "Name" de la réponse EAP s6.In a step 7, following the receipt of the EAP request message s5, the peer 100 extracts the challenge from the field c7 "Value" of the EAP request message s5 and uses it to construct a response. The response is calculated by applying an MD5 hash function to a byte stream consisting of the challenge, followed by a secret held by the peer 100 and the identifier of the request message s5 which appears in the field c2 " Identify "the EAP request s5. The peer 100 sends an EAP response s6 to the authenticator 101 which contains the answer to the challenge in the field c7. I! is possible to specify the identity of the peer 100 that issues the response in the c8 field "Name" of the EAP response s6.
Dans une étape 8, consécutive à la réception de la réponse EAP s6, l'authentifiant 101 relaie la réponse EAP sβ au serveur d'authentification 102 dans un message de réponse EAP s7.In a step 8, following the receipt of the EAP response s6, the authenticator 101 relays the EAP response sβ to the authentication server 102 in an EAP response message s7.
Dans une étape 9, consécutive à la réception du message de réponse EAP s7, le serveur d'authentification 102 vérifie Pauthentification du pair 100. Pour cela il calcule une valeur d'authentification en appliquant la fonction de hachage MD5 à un flux d'octets constitué du défi qu'il a généré à l'étape 5, suivi du secret propre au pair 100 qu'il détient et de l'identifiant des messages de requête et de réponse qui figure dans le champ c2 "Identifier" du message de réponse EAP s7. Si la valeur d'authentification est égale à la réponse au défi qui figure dans le champ c7 du message de réponse EAP s7, alors l'authentification du pair 100 a réussi, sinon elle a échoué. Dans les deux cas, le serveur d'authentification 102 génère un message EAP s8 précisant le résultat de l'authentification. Dans le cas d'une authentification réussie le message EAP s8 est un message EAP de type "EAP Success". Dans le cas où l'authentification a échoué, le message EAP s8 est un message EAP de type "EAP Failure". Dans une réalisation particulière de l'invention où le message EAP s8 est encapsulé dans un message RADIUS et dans le cas d'une authentification réussie, des attributs RADIUS contenant des éléments de configuration sont avantageusement ajoutés par le serveur d'authentification. Le serveur d'authentification 102 envoie le message EAP s8 à l'authentifiant 101.In a step 9, following the receipt of the EAP response message s7, the authentication server 102 checks the authentication of the peer 100. For this it calculates an authentication value by applying the hashing function MD5 to a byte stream consisting of the challenge that it generated in step 5, followed by the peer 100 secret that it holds and the identifier of the request and response messages that appear in the c2 "Identifier" field of the response message EAP s7. If the authentication value is equal to the challenge response in field c7 of the EAP response message s7, then authentication of peer 100 has succeeded, otherwise it has failed. In both cases, the authentication server 102 generates an EAP message s8 specifying the result of the authentication. In the case of successful authentication the EAP message s8 is an EAP message of type "EAP Success". In the case where the authentication has failed, the EAP message s8 is an EAP message of type "EAP Failure". In a particular embodiment of the invention where the EAP message s8 is encapsulated in a RADIUS message and in the case of successful authentication, RADIUS attributes containing configuration elements are advantageously added by the authentication server. The authentication server 102 sends the EAP message s8 to the authenticator 101.
Dans une étape 10 consécutive à la réception du message EAP s8 envoyé par le serveur d'authentification 102 à l'étape 9, l'authentifiant 101 relaie le message EAP s8 au pair 100 dans un message EAP s9. Dans une réalisation particulière de l'authentification EAP dans laquelle le message s8 est encapsulé dans Ie protocole RADIUS et contient dans des attributs RADIUS des éléments de configuration, l'authentifiant 101 prend en compte les attributs de configuration.In a step 10 following receipt of the eAP message s8 sent by the authentication server 102 in step 9, the authenticator 101 relays the EAP message s8 to the peer 100 in an EAP message s9. In a particular embodiment of the EAP authentication in which the message s8 is encapsulated in the RADIUS protocol and contains configuration elements in RADIUS attributes, the authenticator 101 takes into account the configuration attributes.
Dans une étape 11 , consécutive à la réception du message EAP s9, Ie pair 100 prend en compte Ie résultat de i'authenfification fourni par le message EAP s9. La figure 3 présente les étapes du procédé d'enchaînement d'authentifications EAP MD5-ChaIIenge dans une séquence d'authentifications selon l'invention.In a step 11, following the receipt of the EAP message s9, the peer 100 takes into account the result of the authentication provided by the EAP message s9. FIG. 3 presents the steps of the method of linking EAP authentication MD5-ChaIIenge in an authentication sequence according to the invention.
On entend par séquence d'authentifications, une succession d'authentifications associée à une pluralité d'usages précisés par l'utilisateur. L'usage correspond à l'utilisation d'un service, ou de toute autre ressource du réseau.By authentication sequence is meant a succession of authentications associated with a plurality of uses specified by the user. Usage is the use of a service, or any other resource in the network.
Un pair EAP 103 qui souhaite accéder à une ressource physique du réseau doit s'authentifier. Pour cela, il dialogue avec un authentifiant 104 qui contrôle la ressource physique à laquelle le pair EAP 103 souhaite accéder via un point d'accès au réseau. Un serveur EAP 105, spécifique à l'invention, gère un enchaînement d'authentifications EAP MD5-Challenge dans une séquence d'authentifications. Chaque authentification de la séquence est réalisée pour un usage identifié par le serveur EAP 105. Dans une réalisation alternative de l'invention, le serveur EAP 105 dialogue avec un second serveur d'authentification non représenté sur la figure qui réalise l'authentification selon la méthode EAP MD5-Challenge pour l'usage identifié et qui informe le serveur EAP 105 du résultat de l'authentification pour ledit usage. Un module de traitement de la séquence d'authentifications 106 est un programme destiné à être stocké dans une mémoire du serveur EAP 105 ; il est téléchargeable via un réseau de télécommunications ou stocké sur un support exécutable par un ordinateur. Il comporte des instructions pour mettre en œuvre le procédé d'enchaînement d'authentifications dans une séquence d'authentifications selon l'invention. Le pair EAP 103 dialogue également avec une entité utilisateur 107 qui héberge un module utilisateur 108. Le module utilisateur 108 est destiné à traiter l'usage de l'authentification EAP MD5- Challenge courante. Le traitement consiste à identifier l'usage, à récupérer des informations relatives à l'usage qui sont les opérations à effectuer et des données nécessaires auxdites opérations, qui sont par exemple des données d'identification et d'authentification propres au pair EAP 103, à effectuer lesdites opérations et à retourner les résultats des opérations au pair EAP 103. Les résultats des opérations constituent des éléments d'une réponse que le pair EAP 103 doit fournir à l'authentifiant 104 au cours de l'authentification EAP MD5-Chalienge courante. Le module utilisateur 108 est un programme destiné à être stocké dans une mémoire de l'entité utilisateur 107 ; il est téléchargeable via un réseau de télécommunications ou stocké sur un support exécutable par un ordinateur. Il comporte des instructions pour mettre en oeuvre le procédé selon l'invention pour traiter un usage. Dans la figure 3 le module utilisateur 108 est dans une entité utilisateur 107 indépendante du pair EAP 103. Dans une réalisation avantageuse de l'invention le module utilisateur 108 est installé dans une mémoire du pair EAP 103.An EAP peer 103 that wants to access a physical resource in the network must authenticate. For this, it dialogs with an authenticator 104 which controls the physical resource to which the EAP peer 103 wishes to access via a network access point. An EAP server 105, specific to the invention, manages a sequence of EAP MD5-Challenge authentications in an authentication sequence. Each authentication of the sequence is performed for a use identified by the EAP server 105. In an alternative embodiment of the invention, the EAP server 105 communicates with a second authentication server not shown in the figure that performs the authentication according to the method EAP MD5-Challenge for the identified use and which informs the EAP server 105 of the result of the authentication for said use. A processing module of the authentication sequence 106 is a program intended to be stored in a memory of the EAP server 105; it can be downloaded via a telecommunications network or stored on an executable medium by a computer. It comprises instructions for implementing the method of concatenation of authentications in an authentication sequence according to the invention. The peer EAP 103 also dialogs with a user entity 107 which hosts a user module 108. The user module 108 is intended to process the use of the current EAP MD5 Challenge authentication. The processing consists in identifying the usage, in retrieving information relating to the use which are the operations to be performed and data necessary for said operations, which are, for example, identification and authentication data specific to the EAP peer 103, performing said operations and returning the results of the operations to the EAP peer 103. The results of the operations are elements of a response that the EAP peer 103 must provide to the authenticator 104 during the authentication. EAP MD5-Current channel. The user module 108 is a program intended to be stored in a memory of the user entity 107; it can be downloaded via a telecommunications network or stored on an executable medium by a computer. It comprises instructions for implementing the method according to the invention to treat a use. In FIG. 3 the user module 108 is in a user entity 107 independent of the peer EAP 103. In an advantageous embodiment of the invention, the user module 108 is installed in a memory of the peer EAP 103.
La figure 3 illustre une séquence d'authentifications qui comporte une pluralité d'authentifications EAP MD5-Challenge. L'invention n'est pas limitée dans le nombre de méthodes EAP MD5-Challenge qui s'enchaînent dans une séquence d'authentifications et qui correspondent chacune à un usage particulier.FIG. 3 illustrates an authentication sequence that includes a plurality of EAP MD5-Challenge authentications. The invention is not limited in the number of EAP MD5-Challenge methods which are linked in a sequence of authentications and which each correspond to a particular use.
Le format des messages EAP est conforme au format illustré par la figure 1.The format of EAP messages is in the format shown in Figure 1.
Dans une réalisation alternative de l'invention tous les messages échangés entre l'authentifiant 104 et le serveur EAP 105 sont encapsulés dans des messages de type AAA, par exemple RADIUS.In an alternative embodiment of the invention, all the messages exchanged between the authenticator 104 and the EAP server 105 are encapsulated in messages of the AAA type, for example RADIUS.
Dans une réalisation alternative de l'invention, tous les messages échangés entre le pair 105 et l'authentifiant 104 sont encapsulés dans un tunnel sécurisé, par exemple dans des messages conformes à EAP-TTLS. Le procédé selon l'invention est compatible avec des méthodes d'authentification EAP basées sur l'encapsulation d'EAP MD5-Challenge dans un tunnel, comme par exemple EAP-TTLS.In an alternative embodiment of the invention, all the messages exchanged between the peer 105 and the authenticator 104 are encapsulated in a secure tunnel, for example in EAP-TTLS compliant messages. The method according to the invention is compatible with EAP authentication methods based on the encapsulation of EAP MD5-Challenge in a tunnel, such as for example EAP-TTLS.
Dans une étape initiale 21 , l'authentifiant 104 envoie au pair EAP 103 une requête EAP s20 de demande d'identité.In an initial step 21, the authenticator 104 sends the peer EAP 103 an EAP request s20 request identity.
Dans une étape 22, consécutive à la réception de la requête EAP s20 de demande d'identité, Ie pair EAP 103 génère une réponse EAP s21 à partir d'un identifiant de l'utilisateur associé au pair EAP 103. L'identifiant de l'utilisateur est récupéré par le pair EAP 103 à partir d'informations fournies par l'utilisateur via une IHM du terminal associé au pair EAP 103, ou à partir d'informations présentes sur Ie terminal dans» par exemple et de façon non exhaustive, une carte à mémoire insérée dans le terminal. Dans une réalisation alternative de l'invention, ['identifiant de f'utiϋsateur est récupéré et transmis au pair EAP 103 par l'entité utilisateur 107. L'identifiant de l'utilisateur est inséré dans le champ c5 "Type-Data" de la réponse EAP s21. En fin d'étape 22, le pair EAP 103 envoie la réponse EAP s21 à l'authentifiant 104.In a step 22, following the receipt of the identity request request EAP s20, the peer EAP 103 generates an EAP response s21 from an identifier of the user associated with the peer EAP 103. The identifier of the user The user is retrieved by the peer EAP 103 from information provided by the user via an HMI of the terminal associated with the peer EAP 103, or from information present on the terminal in ", for example and without limitation, a memory card inserted in the terminal. In an alternative embodiment of the invention, the user identifier is retrieved and transmitted to the EAP peer 103 by the user entity 107. The user identifier is inserted in the c5 "Type-Data" field of the EAP response s21. At the end of step 22, the peer EAP 103 sends the EAP response s21 to the authenticator 104.
Dans une étape 23, consécutive à la réception de la réponse EAP s21 , l'authentifiant relaie la réponse EAP s21 au serveur EAP 105 dans une réponse EAP s22.In a step 23, subsequent to receiving the EAP response s21, the authenticator relays the EAP response s21 to the EAP server 105 in an EAP response s22.
Dans une étape 24 consécutive à la réception de la réponse EAP s22, le serveur EAP 105 détermine les usages liés à la séquence d'authentification relative à la conversation EAP courante et pour lesquels il est nécessaire d'authentifier l'utilisateur. Des premiers critères utilisés par le serveur EAP 105 pour déterminer lesdits usages sont par exemple et de façon non exhaustive l'identité de l'utilisateur à authentifier, un type d'accès au réseau utilisé par le pair EAP 103, comme par exemple et de façon non exhaustive un accès sans fil, un fournisseur d'accès Internet qui peut être identifié par l'identifiant de l'utilisateur, ou toute autre information permettant de caractériser l'utilisateur ou le point d'accès au réseau. Parmi les usages identifiés, le serveur EAP 105 identifie un ensemble d'usages qui peuvent être résolus par utilisation d'une authentification EAP MD5-Challenge. Enfin, le serveur EAP 105 choisit un usage parmi ceux qui peuvent être résolus par une authentification EAP MD5-Challenge. Ce choix peut être fait par exemple et de façon non exhaustive en fonction de l'ordre dans lequel les usages ont été identifiés.In a step 24 following the receipt of the EAP response s22, the EAP server 105 determines the uses related to the authentication sequence relating to the current EAP conversation and for which it is necessary to authenticate the user. The first criteria used by the EAP server 105 to determine said uses are, for example and in a non-exhaustive manner, the identity of the user to be authenticated, a type of access to the network used by the peer EAP 103, for example, and non-exhaustively wireless access, an Internet service provider that can be identified by the user's identifier, or any other information that characterizes the user or the access point to the network. Among the uses identified, the EAP server 105 identifies a set of uses that can be solved by using an EAP MD5-Challenge authentication. Finally, the EAP server 105 chooses a use among those that can be solved by EAP MD5-Challenge authentication. This choice can be made for example and non-exhaustively depending on the order in which the uses were identified.
Dans une étape 25, déclenchée par le choix de l'usage fait à la fin de l'étape précédente, le serveur EAP 105 commence le traitement dudit usage identifié. Le serveur EAP 105 génère une requête EAP de défi s23. Pour cela, il génère un défi. Dans une réalisation alternative de l'invention, le serveur EAP 105 demande à un second serveur d'authentification de générer ledit défi. Le serveur EAP 105 insère le défi dans le champ c7 "Value" de la requête EAP s23. Il insère dans le champ c8 "Name" une indication propre à l'authentification EAP MD5-Challenge courante qui précise l'usage courant. Par exemple, l'indication peut être l'usage ou le nom de l'entité concernée par Pauthentification, comme celui d'un Fournisseur d'Accès internet (FAI) qui indique que l'usage souhaité est un accès à internet via ledit FAf, Le serveur EAP 105 envoie la requête EAP s23 de défi à l'authentifiant 104 en fin d'étape 25.In a step 25, triggered by the choice of use made at the end of the previous step, the EAP server 105 begins the processing of said identified use. The EAP server 105 generates a challenge EAP request s23. For this, it generates a challenge. In an alternative embodiment of the invention, the EAP server 105 requests a second authentication server to generate said challenge. The EAP server 105 inserts the challenge into the field c7 "Value" of the EAP request s23. It inserts in the field c8 "Name" an indication specific to the current EAP MD5-Challenge authentication which specifies the current usage. For example, the indication may be the use or the name of the entity concerned by the authentication, such as that of an Internet Service Provider (ISP) which indicates that the desired use is access to the Internet via the said FAf , The server EAP 105 sends the challenge request EAP s23 to the authenticator 104 at the end of step 25.
Dans une étape 26, consécutive à la réception de la requête EAP s23 de défi, l'authentifiant relaie la requête EAP s23 au pair EAP 103 dans une requête EAP s24 de défi.In a step 26, following the receipt of the challenge EAP request s23, the authenticator relays the EAP request s23 to the peer EAP 103 in a challenge EAP request s24.
Dans une étape 27, consécutive à la réception de la requête EAP s24 de défi, le pair EAP 103 extrait de la requête EAP s24 le champ c7 "Value" qui contient le défi, le champ c8 "Name" qui contient l'indication de l'usage et le champ c2 "Identifier" qui est un identifiant de la conversation EAP MD5- Challenge courante. Il construit un message s25 à partir de ces informations et le transmet à l'entité utilisateur 107 en fin d'étape 27.In a step 27, following the receipt of the challenge request EAP s24, the peer EAP 103 extracts from the EAP request s24 the field c7 "Value" which contains the challenge, the field c8 "Name" which contains the indication of the use and field c2 "Identifier" which is an identifier of the current EAP MD5- Challenge conversation. It constructs a message s25 from this information and transmits it to the user entity 107 at the end of step 27.
Dans une étape 28 consécutive à la réception du message s25 l'entité utilisateur 107 procède à l'analyse et au traitement du message s25 afin de déterminer une réponse audit défi. L'entité utilisateur 107 récupère l'indication relative à l'usage de la méthode d'authentification EAP MD5-Challenge courante qui est le champ c8 "Name" du message s25 et vérifie que cet usage est connu. Pour cela, l'entité utilisateur 107 peut consulter une base d'informations contenant les usages connus. L'entité utilisateur 107 récupère les informations relatives à l'usage qui sont les opérations à effectuer et les données nécessaires auxdites opérations, qui sont par exemple des données d'identification et d'authentification. Les informations peuvent être présentes en interne ou demandées à un élément externe qui peut être accédé via une interface spécifique ou une IHM s'il s'agit de récupérer les informations auprès de l'utilisateur. Par exemple, dans le cas où l'utilisateur dispose de plusieurs mots de passe pour des usages différents, le champ "Name" transmis à l'entité utilisateur 107 dans la requête EAP s24 est avantageusement utilisé pour demander le mot de passe qui correspond à l'usage courant. L'entité utilisateur 107 effectue lesdits traitements et génère des éléments de réponse EAP : une réponse au défi, une indication sur l'origine de la réponse au défi qui peut être un identifiant de l'utilisateur pour l'usage en cours de traitement ou Ie nom de i'usage» et l'identifiant de fa requête EAP MD5-Challenge qu'il a reçu dans le message s25. L'entité utilisateur 107 calcule la réponse au défi selon l'usage, par exemple par application d'un algorithme de hachage comme MD5. L'entité utilisateur 107 envoie en fin d'étape 28 les éléments de réponse EAP qu'il a générés dans un message de réponse s26 au défi, au pair EAP 103.In a step 28 subsequent to the receipt of the message s25, the user entity 107 carries out the analysis and processing of the message s25 in order to determine an answer to said challenge. The user entity 107 retrieves the indication relating to the use of the current EAP MD5-Challenge authentication method which is the field c8 "Name" of the message s25 and verifies that this usage is known. For this, the user entity 107 can consult an information base containing the known uses. The user entity 107 retrieves the usage information which is the operations to be performed and the data necessary for said operations, which are, for example, identification and authentication data. The information may be present internally or requested to an external element that may be accessed via a specific interface or an HMI if it is to retrieve the information from the user. For example, in the case where the user has several passwords for different uses, the "Name" field transmitted to the user entity 107 in the EAP request s24 is advantageously used to request the password that corresponds to common use. The user entity 107 performs these processes and generates EAP response elements: a response to the challenge, an indication of the origin of the response to the challenge that may be a user identifier for the use being processed or The name of the user " and the identifier of the EAP request MD5-Challenge that he received in the message s25. The user entity 107 calculates the challenge response according to usage, for example by applying a hash algorithm such as MD5. The user entity 107 sends at the end of step 28 the EAP response elements that it has generated in an answer message s26 to the challenge, at par EAP 103.
Dans une étape 29, consécutive à la réception du message de réponse s26, Ie pair EAP 103 construit un message de réponse EAP à partir des éléments de réponse EAP reçus dans le message de réponse s26. Il insère la réponse au défi dans le champ c7 "Value" d'un message de réponse EAP s27, dans le champ c8 "Name" l'indication sur l'origine de la réponse au défi et dans le champ c2 "Identifier" l'identifiant de la requête EAP MD5- Chailenge. En fin d'étape 29, le pair EAP 103 envoie la réponse EAP s27 à l'authentifiant 104.In a step 29, subsequent to receiving the response message s26, the EAP peer 103 constructs an EAP response message from the received EAP response elements in the response message s26. It inserts the answer to the challenge into the field c7 "Value" of an EAP response message s27, in the field c8 "Name" the indication on the origin of the answer to the challenge and in the field c2 "Identify" l identifier of the EAP request MD5- Chailenge. At the end of step 29, the peer EAP 103 sends the EAP response s27 to the authenticator 104.
Dans une étape 30, consécutive à la réception de la réponse EAP s27, l'authentifiant 104 relaie la réponse EAP s27 dans un message s28 à l'attention du serveur EAP 105.In a step 30, following the receipt of the EAP response s27, the authenticator 104 relays the EAP response s27 in a message s28 to the attention of the EAP server 105.
Dans une étape 31 , consécutive à la réception du message s28, le serveur EAP 105 analyse le message s27 et vérifie le résultat de l'authentification EAP MD5-Challenge courante. Dans une réalisation alternative de l'invention le serveur EAP 105 délègue la vérification de la méthode d'authentification EAP MD5-Challenge courante à un second serveur d'authentification : pour cela il envoie un message contenant la réponse reçue de l'entité utilisateur 107 et analyse la réponse dudit second serveur d'authentification. Dans tous les cas, la méthode d'authentification EAP MD5-Challenge courante a soit réussi soit échoué. Le résultat de la méthode d'authentîfîcation courante est conservé pour un traitement ultérieur dans un contexte interne au serveur EAP 105.In a step 31, subsequent to the receipt of the message s28, the EAP server 105 analyzes the message s27 and verifies the result of the current authentication EAP MD5-Challenge. In an alternative embodiment of the invention, the EAP server 105 delegates the verification of the current EAP MD5-Challenge authentication method to a second authentication server: for this purpose, it sends a message containing the response received from the user entity. and analyzing the response of said second authentication server. In any case, the current EAP MD5-Challenge authentication method has either passed or failed. The result of the current authentication method is retained for further processing in a context internal to the EAP server 105.
Dans une étape 32 consécutive à l'étape 31 , le serveur EAP 105 décide si une nouvelle autherrtïficatton EAP MD5-Challenge est nécessaire. La décision est prise en fonction du résultat d'authentifications EAP-MD5 obtenu à {'étape 31 et en fonction de t'analyse faite en étape 24 au cours de laquelle le serveur EAP 105 avait déterminé tes usages qui pouvaient être résolus par des authentiflcatîons EAP MD5-Chaltenge. Si le serveur EAP 105 décide qu'une nouvelle authentîfication EAP-IvIDS est nécessaire et que des usages identifiés en étape 24 peuvent être résolus par une authentificatîon EAP MD5-Challenge, le serveur EAP 105 identifie un usage qui nécessite une authentification EAP MD5-Cha!lenge et déclenche les traitements nécessaires à cette authentification en allant à l'étape 25 comme indiqué par la flèche en pointillés.In a step 32 consecutive to step 31, the EAP server 105 decides whether a new EAP MD5-Challenge autherrtïficatton is necessary. The decision is made according to the result of EAP-MD5 authentication obtained at step 31 and according to the analysis made in step 24 during which the EAP server 105 had determined your uses that could be solved by authenticators. EAP MD5-Chaltenge. If the EAP server 105 decides that a new EAP-IvIDS authentication is necessary and that uses identified in step 24 can be solved by an EAP MD5-Challenge authentication, the EAP server 105 identifies a use that requires EAP MD5-Cha authentication. ! lenge and triggers the necessary treatments to this authentication by going to step 25 as indicated by the dashed arrow.
Ainsi, Ie serveur commande l'exécution de la séquence d'authentifications du pair, la pluralité d'authentifications de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble d'usages identifiés à l'étape 24. En outre, les authentifications se succèdent sans renouveler la demande d'identité de l'utilisateur faite à l'étape 21.Thus, the server controls the execution of the authentication sequence of the peer, the plurality of authentications of the sequence being respectively relative to the plurality of uses of the set of uses identified in step 24. In addition, , the authentications succeed one another without renewing the request for identity of the user made in step 21.
Si le serveur EAP 105 décide qu'aucune nouvelle authentification EAP MD5-Challenge n'est nécessaire il génère un message s29 de résultat de la séquence d'authentifications. Le message s29 de résultat de la séquence est un message EAP de type "EAP Success" si le serveur EAP estime que l'authentification a réussi et un message EAP de type "EAP Failure" dans le cas où il estime qu'elle a échoué. Le choix d'un type de message ou d'un autre est fonction des résultats des différentes authentifications EAP MD5- Challenge stockées dans le contexte interne au serveur EAP 105 et/ou de seconds critères propres au serveur EAP 105. Par exemple, et de façon non exhaustive, un critère peut être relatif à un profil associé à un utilisateur ou à un type d'accès. Les informations concernant les seconds critères sont accessibles dans une base d'informations à laquelle le serveur EAP 105 accède. Dans une réalisation alternative de l'invention où les messages EAP sont encapsulés dans un protocole de type AAA et dans le cas où la séquence d'authentifications a réussi, le serveur peut envoyer des paramètres de configuration à l'authentifiant. Le serveur EAP 105 envoie le message s29 de résultat de la séquence d'authentifications à l'authentifiant 104.If the EAP server 105 decides that no new EAP authentication MD5-Challenge is necessary, it generates a message s29 of the result of the authentication sequence. The result message s29 of the sequence is an EAP message of the type "EAP Success" if the server EAP considers that the authentication succeeded and an EAP message of type "EAP Failure" in the case where it considers that it failed . The choice of one type of message or another depends on the results of the different EAP MD5-Challenge authentications stored in the context internal to the EAP server 105 and / or second criteria specific to the EAP server 105. For example, and non-exhaustively, a criterion can be related to a profile associated with a user or a type of access. The information concerning the second criteria is accessible in an information base to which the EAP server 105 accesses. In an alternative embodiment of the invention where the EAP messages are encapsulated in an AAA type protocol and in the case where the authentication sequence has succeeded, the server can send configuration parameters to the authenticator. The EAP server 105 sends the result message s29 of the authentication sequence to the authenticator 104.
Dans une étape 33, consécutive à la réception du message s29 de résultat de la séquence d'authentifications, l'authentifiant 104 relaie le message dans un message EAP s30 de résultat de la séquence d'authentifications. Dans une réalisation alternative de l'invention où les échanges entre l'authentifiant et le serveur EAP sont encapsulés dans un protocole de type AAA comme par exemple RADIUS, et dans le cas d'une authentification réussie, le message RADIUS de type "Acœss-Accept" reçu est analysé par l'authentifiant 104. Si des paramètres de configurations sont présents dans des attributs RADIUS» ils sont pris en compte par l'authentifiant 104. Dans une étape 34 consécutive à la réception du message s30 de résultat de la séquence d'authentifications, Ie pair EAP 103 prend en compte le résultat de la séquence d'authentifications.In a step 33, subsequent to the receipt of the message s29 result of the authentication sequence, the authenticator 104 relays the message in an EAP message s30 result of the authentication sequence. In an alternative embodiment of the invention in which the exchanges between the authenticator and the EAP server are encapsulated in a protocol of AAA type such as for example RADIUS, and in the case of successful authentication, the RADIUS message of the type "AcceSS- Accept "received is analyzed by the authenticator 104. If configuration parameters are present in RADIUS attributes" they are taken into account by the authenticator 104. In a step 34 subsequent to the receipt of the message s30 of the result of the authentication sequence, the peer EAP 103 takes into account the result of the authentication sequence.
La figure 4 est un schéma représentant un exemple d'architecture de réseau où sont représentées les entités qui interviennent dans le procédé de d'enchaînement d'une séquence d'authentification selon l'invention.FIG. 4 is a diagram showing an exemplary network architecture in which the entities involved in the method of concatenating an authentication sequence according to the invention are represented.
Le pair EAP 103 souhaite accéder à une ressource physique d'un réseau 130 de type IP contrôlée par l'authentifiant 104 qui constitue un point d'accès au réseau. Le pair EAP 103 doit au préalable s'authentifier. Le serveur EAP 105 est en charge de déterminer les usages pour lesquels le pair EAP 103 souhaite s'authentifier et de vérifier que le pair EAP 103 a droit d'accéder au réseau 130 pour lesdits usages. Le serveur EAP 105, lors de cette vérification, dialogue avec le pair EAP 103. Dans une réalisation particulière de l'invention, le serveur EAP 105 fait appel à un second serveur d'authentification 131 pour traiter une authentification EAP MD5-Challenge de la séquence d'authentifications.The peer EAP 103 wishes to access a physical resource of an IP type network 130 controlled by the authenticator 104 which constitutes a network access point. The peer EAP 103 must first authenticate. The EAP server 105 is in charge of determining the uses for which the EAP peer 103 wishes to authenticate and to verify that the peer EAP 103 is entitled to access the network 130 for said uses. The EAP server 105, during this verification, dialogs with the EAP peer 103. In a particular embodiment of the invention, the EAP server 105 uses a second authentication server 131 to process an authentication EAP MD5-Challenge of the authentication sequence.
L'entité utilisateur 107 est en charge de traiter ledit usage. Le traitement d'un usage consiste à récupérer des informations relatives à l'usage qui sont les opérations à effectuer et les données nécessaires auxdites opérations, qui sont par exemple des données d'identification et d'authentification propres au pair EAP 103, à effectuer lesdites opérations et à retourner un résultat du traitement dudit usage.The user entity 107 is in charge of processing said usage. The processing of a usage consists in recovering information relating to the use which are the operations to be performed and the data necessary for said operations, which are, for example, identification and authentication data specific to the EAP peer 103 to be performed. said operations and to return a result of the processing of said usage.
La figure 5 est un schéma illustrant l'organisation fonctionnelle d'un serveur EAP selon l'invention qui gère des enchaînements d'authentifications.FIG. 5 is a diagram illustrating the functional organization of an EAP server according to the invention that manages authentication sequences.
Le serveur EAP 105 est composé des modules fonctionnels principaux suivants :The EAP 105 server is composed of the following main functional modules:
- un module de réception de messages 108. Le module 108 reçoit les messages via une première interface externe 109. Les messages proviennent de l'authentifiant ou de serveurs d'authentification externes auxquels Ie serveur EAP 105 délègue le traitement d'une méthode d'authentification EAP- MD5 Challenge. - un module d'envoi de messages 1 10. Le module 110 est chargé d'envoyer des messages préparés par un autre module, comme par exemple un module de traitement d'un usage 113, via une deuxième interface externe 1 1 1. Les messages sont envoyés à l'attention d'un authentifiant ou de serveurs d'authentification externes. Un exemple de message envoyé par le module d'envoi de messages 110 est le résultat de la séquence d'authentifications.a module for receiving messages 108. The module 108 receives the messages via a first external interface 109. The messages come from the authenticator or from external authentication servers to which the EAP server 105 delegates the processing of a method of authentication. EAP-MD5 Challenge authentication. a module for sending messages 1 10. The module 110 is responsible for sending messages prepared by another module, such as for example a usage processing module 113, via a second external interface 11. messages are sent to the attention of an authenticator or external authentication servers. An example of a message sent by the message sending module 110 is the result of the authentication sequence.
- un module 112 de détermination des usages. Ce module est chargé de déterminer, à la suite de la réception de l'identité d'un pair EAP, un ensemble usages pour lesquels il est nécessaire d'authentifier le pair. Ce module accède à des informations relatives au pair EAP, au point d'accès, via des bases d'informations internes ou externes non représentées sur la figure. Il détermine les usages qui peuvent être résolus par une authentification EAP MD5-Challenge.a module 112 for determining uses. This module is responsible for determining, as a result of receiving the identity of an EAP peer, a set of uses for which it is necessary to authenticate the peer. This module accesses information relating to the EAP peer, to the access point, via internal or external information bases not shown in the figure. It determines the uses that can be solved by EAP MD5-Challenge authentication.
- un module de traitement d'un usage 1 13. Ce module est en charge du traitement d'une authentification EAP MD5-Challenge pour un des usages déterminés par le module de détermination des usages 1 12. Il dialogue pour cela avec le pair EAP via l'authentifiant et dans une réalisation de l'invention où l'authentification courante est réalisée par un second serveur d'authentification, il dialogue également avec ce second serveur d'authentification.a processing module of a usage 1 13. This module is in charge of the processing of an authentication EAP MD5-Challenge for one of the uses determined by the usage determination module 1 12. It dialogues for this with the peer EAP via the authenticator and in one embodiment of the invention where the current authentication is performed by a second authentication server, it also dialogs with the second authentication server.
- des moyens de commande (non représentés), agencés de manière à commander l'exécution d'authentifications successives d'une séquence d'authentifications, comme cela est décrit dans le procédé selon l'invention.- Control means (not shown), arranged to control the execution of successive authentications of an authentication sequence, as described in the method according to the invention.
- un module de génération d'un résultat d'authentification 1 14. Ce module est en charge de la détermination d'un résultat de Ia séquence d'authentifications à partir des résultats de chacune des authentifications de la séquence réalisée par le module de traitement d'un usage 113. Pour calculer le résultat de l'authentification, ce module peut accéder à des informations propres aux utilisateurs.a module for generating an authentication result 1 14. This module is in charge of determining a result of the authentication sequence from the results of each authentication of the sequence carried out by the processing module. 113. To calculate the result of authentication, this module can access user-specific information.
Un canal de communication 115 permet aux modules d'échanger des informations. Par exemple ie module de traitement d'un usage 113 peut diafoguer avec l'authentifiant en transmettant au module d'envoi de messages 110 les messages qu'il souhaite envoyer à l'authentifiant et en recevant du module de réception 108 les messages que lui adresse l'authentifiant.A communication channel 115 allows the modules to exchange information. For example, the usage processing module 113 can diagnose with the authenticator by transmitting to the sending module of messages 110 the messages he wants to send to the authenticator and receiving from the receiving module 108 the messages sent to him by the authenticator.
La figure 6 est un schéma illustrant l'organisation fonctionnelle d'une entité utilisateur 107 selon l'invention, en charge du traitement d'un usage.FIG. 6 is a diagram illustrating the functional organization of a user entity 107 according to the invention, in charge of processing a usage.
L'entité utilisateur 107 est composée des modules fonctionnels principaux suivants :The user entity 107 is composed of the following main functional modules:
- un module de réception 116 de messages. Les messages sont reçus du pair via une première interface externe 117 et contiennent des informations EAP comme la valeur du défi, l'usage demandé pour l'authentification courante et un identifiant de la requête EAP-MD5 Challenge que le pair EAP a reçu de l'authentifiant.a message reception module 116. The messages are received from the peer via a first external interface 117 and contain EAP information such as the challenge value, the usage requested for the current authentication, and an identifier of the EAP-MD5 Challenge that the peer EAP received from the peer. authenticator.
- un module d'émission 118 de messages. Ce module est chargé d'envoyer les messages préparés par un module de traitement 120 via une seconde interface utilisateur externe 119.a transmission module 118 for messages. This module is responsible for sending the messages prepared by a processing module 120 via a second external user interface 119.
- Le module de traitement d'un usage 120 est chargé d'analyser les messages reçus du pair EAP et de construire une réponse qui est un résultat du traitement de l'usage. Il doit pour cela identifier l'usage et récupérer des informations relatives à l'usage qui sont les opérations à effectuer et les données nécessaires auxdites opérations, qui sont par exemple des données d'identification et d'authentification propres à l'utilisateur associé au pair EAP, et effectuer lesdîtes opérations. Pour cela, le module de traitement d'un usage peut dialoguer avec l'utilisateur via une IHM ou récupérer lesdites informations en accédant à des mémoires internes ou à des supports comme des cartes mémoire. Ce module prépare également la réponse à envoyer au pair EAP.The usage processing module 120 is responsible for analyzing the messages received from the EAP peer and constructing a response that is a result of the usage processing. It must therefore identify the use and retrieve information relating to the use which are the operations to be performed and the data necessary for said operations, which are, for example, identification and authentication data specific to the user associated with the operation. peer EAP, and perform the operations. For this purpose, the usage processing module can communicate with the user via an HMI or retrieve said information by accessing internal memories or media such as memory cards. This module also prepares the response to send to the EAP peer.
Les modules communiquent entre eux via un canal de communication 121.The modules communicate with each other via a communication channel 121.
La figure 7 est un schéma qui présente les principaux composants d'un serveur EAP 105 selon l'invention.Figure 7 is a diagram showing the main components of an EAP server 105 according to the invention.
Un processeur 122 (le terme couramment utiiisé est "CPU" : "Central Processing Unit" pour unité centrale de traitement) est un composant central où sont effectués les principaux calculs. En particulier, il exécute des programmes chargés dans une mémoire vive 123 (Ie terme couramment utilisé est "RAM" pour "Random Access Memory") qui stocke les données qui vont être traitées par le processeur 122.A processor 122 (the commonly used term is "CPU": "Central Processing Unit" for CPU) is a central component where the main calculations are performed. In particular, it performs programs loaded into a RAM 123 (the commonly used term is "RAM" for "Random Access Memory") which stores the data that will be processed by the processor 122.
Des périphériques 124 assurent les communications entre le processeur et le monde extérieur. Ils ne sont pas détaillés sur le schéma pour des raisons de clarté. Par exemple et de façon non exhaustive un périphérique est un module de raccordement au réseau, un disque amovible.Devices 124 provide communications between the processor and the outside world. They are not detailed in the diagram for the sake of clarity. For example and non-exhaustively a device is a network connection module, a removable disk.
LJn bus 125 permet le transfert des données entre les composants du serveur.LJn bus 125 allows the transfer of data between the server components.
Un programme 126 de traitement d'un enchaînement d'authentifications propre à l'invention, est stocké dans un périphérique non représenté sur le schéma. Il comprend des modules fonctionnels tels que décrits à la figure 5 et implémentés sous forme d'instructions du programme. Il est chargé en mémoire vive 123 pour exécution des instructions par le processeur 122.A program 126 for processing a sequence of authentications specific to the invention is stored in a device not shown in the diagram. It comprises functional modules as described in FIG. 5 and implemented in the form of instructions of the program. It is loaded into RAM 123 for execution of the instructions by the processor 122.
La figure 7 s'applique également à un module utilisateur 107 selon la figure 6. Les principaux composants du module utilisateur 107 sont identiques à ceux du serveur EAP selon la figure 7. Seul le programme 126 de traitement d'un enchaînement des authentifications est différent. Dans le cas du module utilisateur, un programme spécifique comprend des modules fonctionnels tels que décrits à la figure 6, implémentés sous forme d'instructions du programme. Ledit programme est chargé en mémoire vive 123 pour exécution des instructions par le processeur. FIG. 7 also applies to a user module 107 according to FIG. 6. The main components of the user module 107 are identical to those of the EAP server according to FIG. 7. Only the program 126 for processing a sequence of the authentications is different. . In the case of the user module, a specific program comprises functional modules as described in FIG. 6, implemented in the form of instructions of the program. Said program is loaded into RAM 123 for execution of the instructions by the processor.

Claims

REVENDICATIONS
1. Procédé d'authentification d'un pair (103) pour l'accès à une pluralité d'usages dans un réseau (130), caractérisé en ce qu'il comprend :A method of authenticating a peer (103) for access to a plurality of uses in a network (130), characterized in that it comprises:
- une première étape (24) consistant à déterminer au niveau d'un serveur (105) du réseau un ensemble d'usages pour lesquels il est nécessaire d'authentifier ledit pair,a first step (24) of determining at the level of a server (105) of the network a set of uses for which it is necessary to authenticate said peer,
- une deuxième étape (25) consistant à commander à partir du serveur (105), l'exécution d'une séquence d'authentifications du pair, la pluralité d'authentifications de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble déterminé.a second step (25) of controlling from the server (105) the execution of a sequence of authentications of the peer, the plurality of authentications of the sequence being respectively relative to the plurality of uses of the determined set.
2. Procédé selon la revendication 1 , comprenant en outre une étape (32) consistant à générer et à envoyer un message contenant un résultat de la séquence d'authentifications.The method of claim 1, further comprising a step (32) of generating and sending a message containing a result of the authentication sequence.
3. Procédé selon l'une des revendications précédentes, dans lequel Pauthentification relative à un usage est basée sur le contrôle d'un message (s28) de réponse à un message de défi (s23), ledit usage étant précisé dans un champ dudit message de défi habituellement destiné à être utilisé pour préciser l'identification d'un système qui transmet ledit message.3. Method according to one of the preceding claims, wherein Pauthentification relating to a use is based on the control of a message (s28) response to a challenge message (s23), said use being specified in a field of said message challenge instrument usually intended to be used to specify the identification of a system that transmits said message.
4. Procédé selon l'une des revendications précédentes, dans lequel la pluralité d'usages de l'ensemble déterminé comprend exclusivement des usages pour lesquels une authentification conforme à la méthode EAP-MD5 du protocole EAP est nécessaire.4. Method according to one of the preceding claims, wherein the plurality of uses of the set determined exclusively includes uses for which an authentication according to the method EAP-MD5 of the EAP protocol is necessary.
5. Procédé selon l'une des revendications précédentes caractérisé en ce qu'il comprend pour au moins un usage donné de l'ensemble :5. Method according to one of the preceding claims characterized in that it comprises for at least one given use of the set:
- une étape (27) consistant à recevoir du serveur (105) une indication de l'usage considéré et un défi relatif audit usage,a step (27) of receiving from the server (105) an indication of the use in question and a challenge relating to said use,
- une étape (28) de traitement consistant à déterminer une réponse au défi, en fonction d'informations relatives à l'usage considéré,a processing step (28) of determining an answer to the challenge, based on information relating to the use in question,
- une étape (29) consistant à envoyer une réponse audit défi. a step (29) of sending an answer to said challenge.
6. Serveur (105) d'authentification d'un pair (103) pour l'accès à une pluralité d'usages dans un réseau (130), caractérisé en ce qu'il comprend :A peer authentication server (105) for accessing a plurality of uses in a network (130), characterized in that it comprises:
- un module (1 12) de détermination d'un ensemble d'usages pour lesquels il est nécessaire d'authentifier ledit pair.a module (1 12) for determining a set of uses for which it is necessary to authenticate said peer.
- des moyens pour commander l'exécution d'une séquence d'authentifications du pair, la pluralité d'authentifications de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble déterminé.means for controlling the execution of a sequence of authentications of the peer, the plurality of authentications of the sequence being respectively relative to the plurality of uses of the set determined.
7. Système d'authentification comportant un pair (103), un authentifiant (104) et un réseau (130), caractérisé en ce qu'il comprend :7. Authentication system comprising a peer (103), an authenticator (104) and a network (130), characterized in that it comprises:
- un serveur (105) chargé de déterminer un ensemble d'usages pour lesquels il est nécessaire d'authentifier ledit pair, et de commander l'exécution d'une séquence d'authentifications du pair, la pluralité d'authentifications de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble déterminé,a server (105) responsible for determining a set of uses for which it is necessary to authenticate said peer, and for controlling the execution of a pair authentication sequence, the plurality of authentications of the sequence being respectively relating to the plurality of uses of the determined set,
- un dispositif utilisateur (107) chargé de traiter ledit usage.a user device (107) responsible for processing said usage.
8. Programme d'ordinateur téléchargeable via un réseau de télécommunications ou stocké sur un support exécutable par un ordinateur, caractérisé en ce qu'il comprend des instructions pour déterminer au niveau d'un serveur du réseau un ensemble d'usages pour lesquels il est nécessaire d'authentifier un pair, et pour réaliser une séquence d'authentifications du pair, la pluralité d'authentifications de la séquence étant respectivement relatives à la pluralité d'usages de l'ensemble déterminé.8. Computer program downloadable via a telecommunications network or stored on a computer-executable medium, characterized in that it comprises instructions for determining at the level of a network server a set of uses for which it is it is necessary to authenticate a peer, and to perform a sequence of authentications of the peer, the plurality of authentications of the sequence being respectively relative to the plurality of uses of the set determined.
9. Moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour déterminer au niveau d'un serveur du réseau un ensemble d'usages pour lesquels il est nécessaire d'authentifier un pair, et pour réaliser une séquence d'authentifications du pair, la pluralité d'authentifications de la séquence étant respectivement relatives à ia pluralité d'usages de l'ensemble déterminé. 9. A partially or fully removable data storage means comprising computer program code instructions for determining at a network server a set of uses for which it is necessary to authenticate a peer, and for performing a sequence of authentications of the peer, the plurality of authentications of the sequence being respectively relative to the plurality of uses of the set determined.
PCT/FR2006/050762 2005-07-29 2006-07-28 Method for using a sequence of authentications WO2007012786A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0552370 2005-07-29
FR0552370 2005-07-29

Publications (2)

Publication Number Publication Date
WO2007012786A2 true WO2007012786A2 (en) 2007-02-01
WO2007012786A3 WO2007012786A3 (en) 2007-03-15

Family

ID=36128532

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/050762 WO2007012786A2 (en) 2005-07-29 2006-07-28 Method for using a sequence of authentications

Country Status (1)

Country Link
WO (1) WO2007012786A2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030177267A1 (en) * 2002-01-18 2003-09-18 Nokia Corporation Addressing in wireless local area networks
WO2004004197A1 (en) * 2002-06-28 2004-01-08 Nokia Corporation Method and device for authenticating a user in a variety of contexts
EP1458151A1 (en) * 2003-03-14 2004-09-15 Nokia Corporation Provision of security services for a mobile "Ad-Hoc" Network
US20050152305A1 (en) * 2002-11-25 2005-07-14 Fujitsu Limited Apparatus, method, and medium for self-organizing multi-hop wireless access networks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030177267A1 (en) * 2002-01-18 2003-09-18 Nokia Corporation Addressing in wireless local area networks
WO2004004197A1 (en) * 2002-06-28 2004-01-08 Nokia Corporation Method and device for authenticating a user in a variety of contexts
US20050152305A1 (en) * 2002-11-25 2005-07-14 Fujitsu Limited Apparatus, method, and medium for self-organizing multi-hop wireless access networks
EP1458151A1 (en) * 2003-03-14 2004-09-15 Nokia Corporation Provision of security services for a mobile "Ad-Hoc" Network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
LEE JONG-HOON ; PARK HO JIN: "A user authentication protocol using EAP for mobile ad hoc networks" PROCEEDINGS OF THE IASTED INTERNATIONAL CONFERENCE ON COMMUNICATION, NETWORK, AND INFORMATION SECURITY; PROCEEDINGS OF THE IASTED INTERNATIONAL CONFERENCE ON COMMUNICATION, 10 décembre 2003 (2003-12-10), pages 38-42, XP009065406 New York ISBN: 0-88986-402-0 *

Also Published As

Publication number Publication date
WO2007012786A3 (en) 2007-03-15

Similar Documents

Publication Publication Date Title
EP3008872B1 (en) Method for authenticating a terminal by a gateway of an internal network protected by an entity providing secure access
EP1909462B1 (en) Method of compartmentalised provision of an electronic service
EP2820795B1 (en) Method for verifying the identity of a user of a communication terminal and associated system
WO2006134291A1 (en) Method for translating an authentication protocol
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
WO2006010810A2 (en) Method and system for certifying a user identity
WO2018234675A1 (en) Method of activating processes applied to a data session
EP3729307B1 (en) Methods and devices for enrolling and authenticating a user with a service
EP1983722A2 (en) Method and system for securing internet access from a mobile telephone, corresponding mobile telephone and terminal
WO2005034468A1 (en) Network access system which is adapted for the use of a simplified signature method, and server used to implement same
EP1649665A2 (en) Method and system for double secured authentication of a user during access to a service by means of a data transmission network
EP2056565A1 (en) Method of authenticating a user accessing a remote server from a computer
WO2007012786A2 (en) Method for using a sequence of authentications
EP2710779A1 (en) Method for securing an authentication platform, and corresponding hardware and software
EP2146534B1 (en) Authentication of a terminal
FR2827458A1 (en) Virtual operator representing physical operator radiocommunications process having radiocommunication mechanism authenticating parameters and another physical operator establishing new authentication parameters/specific services.
EP3820112A1 (en) Method for configuring access to an internet service
WO2007054657A2 (en) Method and device for delivering a federation network identifier to a service provider
EP2630746B1 (en) Authentication method and system
WO2017060624A1 (en) Means for managing access to data
WO2006136750A2 (en) Authenticating a sever prior to sending identification data of a client
FR3070776A1 (en) IMPROVED ENVELOPMENT OF EQUIPMENT IN A SECURE NETWORK
FR2943482A1 (en) Method for securization of data communication request between mobile telephone of user client and Internet network, involves requesting application access date and application downloading date by operator
WO2006051197A1 (en) Method of authorising a client terminal of a nominal network to access a communication network different from the nominal network, and corresponding system, authentication server and computer program
FR2923110A1 (en) Client device e.g. mobile telephone, authenticating method for internet network, involves receiving response message by server device, and continuing communication between server device and client device, if response message is valid

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06794507

Country of ref document: EP

Kind code of ref document: A2