Procédé d'authentification d'un utilisateur d'un service sur terminal mobile.
La présente invention concerne le domaine de la diffusion de services, notamment vidéo, sur terminal mobile et plus particulièrement le procédé d'authentification de l'utilisateur d'un service depuis un terminal mobile.
Ces services sont généralement constitués de contenus mis à disposition par des serveurs distants. Le service est géré également par un serveur distant. L'accès au service nécessite une application dédiée à cet accès sur le terminal mobile.
Généralement, le procédé d'inscription au service s'effectue depuis un ordinateur connecté à Internet sur un service d'inscription de l'opérateur. Ce service d'inscription est ainsi largement disponible. D'autre part, le procédé d'inscription est ainsi beaucoup plus convivial que depuis le terminal mobile.
Une fois inscrit au service, l'utilisateur doit télécharger une application sur son terminal mobile, typiquement un téléphone, pour pouvoir accéder au service. Cette application dépend du type de terminal possédé par l'utilisateur. En effet, de multiples terminaux existent et ont des capacités de rendu de services très différents d'un terminal à un autre. En particulier, la taille de l'écran, le nombre de couleurs qu'il peut restituer, la capacité de calcul dont il dispose ainsi que la quantité de mémoire pouvant
être utilisée, autant de critères qui influent directement sur l'application dédiée à l'accès au service.
L'installation du service nécessite donc d'une part la détermination du type du terminal utilisé. D'autre part, une fois cette application installée, il faut qu'elle puisse accéder au compte de l'utilisateur. Cet accès est nécessaire en raison du besoin de connaître l'étendue du service auquel il a souscrit, ainsi qu'un certain nombre de paramètres qu'il aura pu définir, relatifs à son abonnement. Il est donc nécessaire d'authentifier l'utilisateur du service pour établir un lien entre le compte de l'utilisateur créé sur Internet depuis un ordinateur et l'application dédiée à l'accès au service sur le terminal mobile.
La façon la plus utilisée pour authentifier l'utilisateur d'un service consiste à lui demander lors de chaque accès au service de s'authentifier par un nom sécurisé par un mot de passe. Cette méthode est vécue comme contraignante par l'utilisateur. On peut alors chercher à remplacer cette authentification par l'utilisation d'un identifiant du mobile.
Dans ce contexte, deux façons d'authentifier l'utilisateur d'un service depuis un terminal mobile sont connues. La première consiste à demander à l'utilisateur d'entrer un identificateur de son terminal mobile lors de la création de son compte sur Internet. Cet identificateur peut, par exemple, être le numéro IMEI {International Mobile Equipment Identity en anglais) identifiant le terminal de manière unique. L'utilisateur doit alors extraire cet identificateur du terminal en entrant une combinaison de touches et le recopier sans erreurs. L'identificateur étant long, cette procédure est rebutante et source d'erreur.
Une seconde façon de faire est d'attribuer un identificateur unique à l'utilisateur lors de son inscription. L'utilisateur est alors responsable de noter cet identificateur. Lors de la première utilisation de l'application dédiée à l'accès au service depuis son mobile, il lui est demandé d'entrer cet identificateur qui permet de faire le lien entre le mobile et le compte utilisateur associé. Ici encore, la procédure est rebutante et source d'erreur pour l'utilisateur. L'invention vise à résoudre les problèmes précédents en proposant une procédure d'authentification de l'utilisateur d'un service sur un terminal mobile permettant de s'abstraire d'une recopie manuelle d'un identificateur par l'utilisateur. Pour cela, l'utilisateur entre son numéro de téléphone mobile lors de son inscription. Un message court texte ou un courrier électronique lui est alors envoyé sur son
terminal mobile. Ce message court ou courrier électronique contient un identificateur du compte de cet utilisateur. Lors du lancement initial de l'application dédiée à l'accès au service, celle-ci parcourt alors les messages courts ou les courriers électroniques stockés sur le terminal, elle identifie le message contenant l'identificateur et l'extrait. De cette manière, un lien est créé automatiquement entre le compte créé sur
Internet par l'utilisateur et le terminal mobile utilisé sans nécessiter de copier un identificateur abscons ni lors de l'inscription ni lors de l'installation du service. Ce procédé d'authentification de l'utilisateur est particulièrement sûr, car basé sur un identificateur matériel du terminal. L'invention concerne un procédé d'authentification d'un utilisateur d'un service sur terminal mobile, ledit service impliquant l'utilisation sur le terminal d'une application dédiée à l'accès au service, ledit service étant géré par un serveur distant, qui comprend une étape de réception par le terminal d'un message envoyé par le serveur distant comprenant un identifiant du compte utilisateur ; et par une application dédiée à l'accès au service, une étape de recherche de l'identifiant du compte utilisateur dans les messages reçus sur le terminal ; une étape d'extraction d'un identifiant du terminal et une étape d'envoi au serveur d'une requête contenant et l'identifiant du terminal et l'identifiant du compte utilisateur.
Selon un mode particulier de réalisation de l'invention, le message reçu par le terminal contient également une référence sur l'application dédiée devant être utilisée. Selon un mode particulier de réalisation de l'invention, l'identifiant du compte utilisateur reçu est un identifiant de session contenant une version cryptée de l'identifiant réel du compte.
Selon un mode particulier de réalisation de l'invention, il comporte en outre une étape d'envoi d'une première requête au serveur par l'application dédiée contenant l'identification du terminal, les étapes de recherche et d'envoi de l'identifiant du compte n'étant faites que suite à la réception d'un message du serveur indiquant l'échec de l'association entre l'identifiant du terminal envoyé et le compte de l'utilisateur. Selon un mode particulier de réalisation de l'invention, en cas d'échec de l'étape de recherche de l'identifiant du compte utilisateur dans les messages reçus sur le terminal, cet identifiant est demandé à l'utilisateur par l'application dédiée.
Selon un mode particulier de réalisation de l'invention, il comporte en outre une étape de réception par l'application dédiée d'une configuration par défaut devant être utilisée par l'application en cas d'échec de l'authentification de l'utilisateur.
L'invention concerne également un terminal mobile comprenant des moyens d'authentifîcation d'un utilisateur d'un service sur ledit terminal mobile, ledit service impliquant l'utilisation sur le terminal d'une application dédiée à l'accès au service, ledit service étant géré par un serveur distant, qui comprend des moyens de réception par le terminal d'un message envoyé par le serveur distant comprenant un identifiant du compte utilisateur et une application dédiée à l'accès au service, qui elle-même comprend des moyens de recherche de l'identifiant du compte utilisateur dans les messages reçus sur le terminal ; des moyens d'extraction d'un identifiant du terminal et des moyens d'envoi au serveur d'une requête contenant et l'identifiant du terminal et l'identifiant du compte utilisateur.
Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels :
La Fig. 1 décrit les intervenants et la procédure générale de fonctionnement du service. La Fig. 2 décrit le fonctionnement de la séquence d'initialisation de l'application dans un exemple de réalisation de l'invention.
L'invention se situe dans le cadre de la fourniture de services à un utilisateur sur un terminal mobile. Le terminal mobile selon l'invention peut être un téléphone mobile, un assistant personnel communiquant ou tout appareil permettant d'accéder à un réseau de communication pour recevoir le service. Le service peut, par exemple, être constitué d'une diffusion à la demande de vidéo.
La Fig. 1 illustre la procédure générale d'inscription d'un utilisateur au service. Dans un premier temps, l'utilisateur doit s'inscrire au service. Cette opération d'inscription se fait typiquement en utilisant le site WEB 1.2 de l'opérateur du service. L'utilisateur utilise un moyen 1.1 d'accéder au site Internet de l'opérateur, généralement un micro -ordinateur disposant d'un navigateur Internet. L'utilisateur utilise son navigateur pour remplir un formulaire d'inscription qui contient des données relatives à son abonnement. Ces informations sont envoyées 1.5 au site Internet de l'opérateur. Lors de son inscription, l'utilisateur personnalise le service. Il
entre des informations concernant ses goûts, ou encore il établit une liste de contenus auxquels il s'abonne. On parle ici de configuration, la configuration désigne l'environnement qui peut comprendre le graphisme, les univers thématiques, les services, les codes parentaux, et la liste de lecture qui est une sélection de programmes préférés. Cette configuration représente une version personnalisée du service telle que paramétrée par l'utilisateur en fonction de ses choix et des droits qu'il a acquis. Il peut s'agir d'une sélection de programmes préférés. Elle contient aussi le paramétrage choisi par l'utilisateur. L'utilisateur dispose également d'un terminal mobile 1.3 destiné à recevoir le service. Pour pouvoir utiliser le service, une application dédiée à l'accès au service est téléchargée sur ce terminal. L'opérateur dispose d'un ensemble de versions de cette application adaptée à divers types de terminaux. L'utilisateur doit donc télécharger sur son terminal la version d'application adaptée à celui-ci. Lorsque cette application se lance, elle envoie un identifiant de terminal au serveur 1.2 sous la forme d'un message 1.7. Le serveur doit alors faire le lien entre l'identifiant du terminal mobile reçu et le compte utilisateur pour retrouver la configuration de celui- ci. Ce lien étant établi, la configuration est alors envoyée au terminal au moyen d'un message 1.6. Cette configuration présente un ensemble de contenus disponibles à l'utilisateur. Celui-ci peut alors en choisir un et initialiser la restitution de ce contenu par l'envoi d'une requête à un serveur de diffusion {streaming en anglais) de contenu 1.4. Le serveur de diffusion peut alors diffuser le contenu choisi à destination du terminal mobile 1.3. Ces échanges sont référencés 1.8 sur la Fig. 1.
Ce schéma pose le problème de l'authentification de l'utilisateur pour que le service 1.2 puisse faire le lien entre l'identifiant du terminal reçu dans le message 1.7 et le compte de l'utilisateur. Il existe classiquement deux façons de résoudre cette difficulté. Une première solution consiste à attribuer un numéro unique identifiant l'utilisateur lors de son inscription. Ce numéro est alors accessible à l'utilisateur sur son ordinateur 1.1 pendant l'inscription. Ce dernier doit donc le noter et est invité, au moins lors de la première utilisation de l'application sur le terminal, à entrer ce numéro sur le terminal. Dans ce cas, la requête 1.7 contient, au moins lors de cette première utilisation, et l'identifiant du terminal et l'identifiant du compte utilisateur. Le service 1.2 est alors capable de mémoriser cette association.
Une seconde façon de faire est de demander à l'utilisateur d'entrer l'identifiant de son terminal mobile lors de la phase d'inscription. Cet identifiant est généralement accessible à l'utilisateur sur son terminal. Par exemple, si l'identifiant du terminal
utilisé est le numéro IMEI {International Mobile Equipment Identity en anglais) attribué aux téléphones mobiles, celui-ci est accessible en tapant le code « *#06# » sur son mobile. Une fois ce code connu du serveur et enregistré dans les paramètres du compte utilisateur, le service est à même d'établir le lien entre un code IMEI reçu lors d'une requête 1.7 et le compte utilisateur concerné.
Ce code est long et sa recopie sujette à erreur. De même, la recopie sur le terminal d'un identifiant de compte utilisateur sur le terminal est une procédure manuelle rebutante et sujette à erreur.
Pour pallier ces inconvénients, l'invention propose de demander une adresse de messagerie de l'utilisateur parmi les informations d'inscription. Le site est alors à même d'envoyer un message 1.6 à l'utilisateur en utilisant cette adresse. Le type d'adresse et de service de messagerie peut varier. Selon l'exemple de réalisation de l'invention, cette adresse est un numéro de téléphonie mobile et le message est alors typiquement un message court SMS {Short Message Service en anglais). Mais d'autres services de messagerie peuvent être utilisés, on peut citer par exemple la messagerie électronique {email en anglais), la référence étant alors l'adresse de messagerie de l'utilisateur. En tout état de cause, le service de messagerie doit être disponible sur le terminal mobile 1.3 de l'utilisateur pour que le message puisse être reçu et exploité sur ce terminal. L'avantage est que l'utilisateur connaît généralement par cœur son numéro de téléphone mobile ou son adresse de courriel, il peut donc renseigner le formulaire d'inscription sans devoir recourir à une source d'information externe. La procédure s'en trouve facilitée et le risque d'erreur réduit.
Selon un exemple de réalisation de l'invention, le message envoyé par le service contient un identifiant du compte utilisateur. Préalablement à la première utilisation de l'application dédiée à l'accès au service sur le terminal mobile, l'utilisateur relève ses messages et reçoit donc le message envoyé par le service et contenant l'identifiant de son compte. L'application est alors en mesure d'accéder aux messages stockés sur le terminal mobile. Elle peut les parcourir à la recherche du message reçu du service, son identification se faisant sur une chaîne de caractères présente systématiquement dans le message. Elle peut alors extraire du message l'identifiant du compte utilisateur et envoyer au service un message contenant cet identifiant et l'identifiant du terminal. Le service est alors capable de mémoriser l'association entre l'identifiant du terminal et l'identifiant du
compte. Tout message subséquent envoyé depuis le terminal et contenant l'identifiant de celui-ci pourra être associé par le service au compte utilisateur de l'abonné.
L'implémentation particulière selon ce principe peut subir des variations sans sortir du cadre de l'invention. Le fonctionnement particulier de l'exemple de réalisation va maintenant être décrit en rapport avec la Fig. 2.
On suppose dans cet exemple que l'utilisateur s'est inscrit et a entré lors de cette phase d'inscription son numéro de téléphonie mobile. Il a également configuré ses préférences de service et constitué sa configuration particulière. Il dispose donc sur le serveur du service d'un compte utilisateur fonctionnel et configuré. En conséquence, le service a envoyé un message SMS à l'utilisateur contenant un identifiant du compte utilisateur. Avantageusement, cet identifiant est un identifiant de session qui représente de manière cryptée, par exemple à l'aide d'une fonction de hachage, le numéro d'identification du compte. Cet identifiant peut avantageusement être constitué à la demande pour un usage unique pour des raisons de sécurité. Avantageusement, l'identifiant du terminal est également envoyé de manière cryptée pour des raisons de sécurité.
De manière préférentielle, le message contient en outre une référence permettant de localiser la version de l'application dédiée à l'accès au service devant être téléchargée et installée sur le terminal mobile. Cette référence peut prendre la forme d'une URL (Uniβed Resource Locator en anglais) permettant à l'utilisateur de déclencher le téléchargement par une simple opération de sélection de la référence au sein du message. L'homme du métier comprend que toute autre façon de localiser et de fournir au terminal l'application peut être utilisée dans le cadre de l'invention. En particulier, il peut aussi être employé une technique d'envoi d'une requête en téléchargement de l'application. Cette requête émise par le terminal contenant l'identifiant du terminal, en l'occurrence le numéro IMEI, permet à partir de celui-ci au service d'identifier le type de terminal et de fournir en réponse la version adaptée de l'application. Suite à cette opération, la version adaptée de l'application dédiée à l'accès au service est téléchargée et installée sur le terminal. La Fig. 2 décrit le fonctionnement de l ' application dédiée et plus particulièrement les opérations ayant lieu à son lancement pour obtenir la configuration de l'utilisateur. Suite à une première étape de lancement 2.1 , l'application commence par extraire un identifiant du terminal. Elle envoie alors une requête pour la configuration au service lors d'une étape 2.2. Cette requête contient
cet identifiant du terminal. Dans l'exemple de réalisation, il s'agit de l'identifiant IMEI du téléphone. D'autres identifiants peuvent être envisagés et auront le même rôle fonctionnel d'identification du terminal. On peut citer, par exemple, l'IMSI {International Mobile Subscriber Identity en anglais) qui identifie la connexion et est localisé dans la carte SIM {Subscriber Identity Module en anglais), ou encore l ' identifiant physique d'une carte mémoire présente dans le terminal. Avantageusement, cet identifiant est un identifiant physique infalsifîable du terminal ou de l'abonnement de l'utilisateur.
Lorsque le service reçoit une telle requête, il tente d'associer cette requête à un compte utilisateur lors de l'étape 2.3. Si cette association réussit, le service peut trouver dans le compte de l'utilisateur sa configuration et l'envoyer au terminal.
Celui-ci réceptionne alors cette configuration lors d'une étape 2.4. Le service peut alors être initialisé et configuré avec cette configuration et exécuté lors de l'étape 2.5.
Si le service est incapable de réaliser l'association entre le terminal, identifié par l'identifiant reçu dans la requête, et le compte de l'utilisateur, il répond par une requête pour un identifiant de compte utilisateur. L'application qui reçoit cette requête se met alors à la recherche d'un tel identifiant lors d'une étape 2.6. Cette recherche se fait par analyse de la base de messages reçus sur le terminal. Si cet identifiant est trouvé dans les messages reçus, il est alors envoyé au service lors d'une étape 2.8. Le service peut alors associer le terminal et le compte utilisateur et envoyer la configuration, on repasse à l'étape 2.4 pour l'application.
Il se peut que le message contenant l'identifiant du compte utilisateur ne soit pas trouvé dans la base des messages reçus sur le terminal. Ceci peut avoir de multiples causes. Le numéro entré par l'utilisateur est erroné, le message a été relevé sur un autre terminal, par exemple dans le cas où la carte SIM a été installée dans un autre terminal. Ou encore l'utilisateur a tout simplement effacé le message sur son terminal. Il se peut aussi que l'utilisateur ait téléchargé directement l'application (depuis un autre mobile par une communication sans fil directe par exemple (bluetooth)). Dans ce cas, au premier lancement de l'application, le mobile envoie son identifiant au serveur, comme celui-ci n'a pas été enregistré dans le serveur, le serveur retourne un message d'erreur indiquant que l'utilisateur est inconnu. L'application demande alors à l'utilisateur son numéro de compte lors d'une étape 2.9. Cette demande se fait par l'ouverture d'une fenêtre de dialogue sur l'écran du terminal. L'utilisateur peut alors entrer son identifiant de compte qu'il peut trouver sur son compte en ligne depuis son
ordinateur ou qu'il a noté lors de son inscription. Lors de l'étape 2.10, le service tente d'associer l'identifiant du terminal et l'identifiant de compte qu'il a reçu. Si cette association réussit, la configuration de l'utilisateur est envoyée au terminal, on repasse à l'étape 2.4 de réception de la configuration par le terminal. Si cette association échoue, signifiant un échec de la procédure d'authentification de l'utilisateur, une configuration par défaut est alors envoyée au terminal qui la reçoit lors d'une étape 2.11. Le service démarre alors, étape 2.5, avec cette configuration par défaut.
De cette manière, l'utilisateur peut accéder au service sans devoir s'authentifier auprès de son terminal. L'authentification est faite de manière sûre par une identification matérielle du terminal. Les manipulations et recopies manuelles d'identifiants par l'utilisateur sont réduites.
Ce procédé d'authentification de l'utilisateur utilisant un service depuis un terminal mobile peut également être utilisé pour des opérations de paiement depuis le terminal mobile. Etant donné que l'utilisateur est authentifié de manière certaine et unique par son terminal, un service de paiement est facilité : l'utilisateur ayant saisi au préalable ses coordonnées bancaires via son ordinateur sur le site Internet de manière sécurisée, lorsque l'utilisateur effectue un achat depuis son mobile, il n'a pas besoin de ressaisir ses coordonnées bancaires, elles sont déjà enregistrées sur le serveur. L'utilisateur peut alors acheter un service depuis son mobile en tous lieux couverts par le réseau.