WO2010049607A1 - Procede et dispositif d'identification convergente d'utilisateur de reseau de communication - Google Patents

Procede et dispositif d'identification convergente d'utilisateur de reseau de communication Download PDF

Info

Publication number
WO2010049607A1
WO2010049607A1 PCT/FR2009/001250 FR2009001250W WO2010049607A1 WO 2010049607 A1 WO2010049607 A1 WO 2010049607A1 FR 2009001250 W FR2009001250 W FR 2009001250W WO 2010049607 A1 WO2010049607 A1 WO 2010049607A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
server
user
provider
profile
Prior art date
Application number
PCT/FR2009/001250
Other languages
English (en)
Inventor
Philippe KÉRIGNARD
Marcia Spira
Original Assignee
Bouygues Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bouygues Telecom filed Critical Bouygues Telecom
Publication of WO2010049607A1 publication Critical patent/WO2010049607A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Definitions

  • the terminal transmits to the service provider and / or property the unique feature from which a search for a unique identifier in a database of the service provider or property is performed;
  • the transmission of the unique characteristic of the terminal or that of the unique identifier of the user allows the service provider and / or property to interrogate the identification server of the identity provider so that it transmits it to him an excerpt from one of the user's profiles;
  • Fixed 1b, 1c as for example a computer, or a box adapter ("Set Top box"), television, digital photo frame, projection screen (English home screen) and / or
  • the servers of the service providers 2 comprise processing and communication means for the management of the data exchanges 11, 10, 12, 13, 8, 9 with the terminals 1 and the identification server 3.
  • the identification server 3 determines, from the response to the request sent to its database, during a step 24, the sub-profile extracted from the main profile of the user to be transmitted to the server 2 of the provider.
  • Step 1 - Creation of the account The account, when created at the identity provider is characterized by a login / password. This account creation results in the generation of a unique identifier. This unique identifier can be associated with several profiles of the user. If the identity provider acts as an authentication trusted third party, the unique identifier of the user automatically inherits a principal profile that is certified by the identity provider. This certified profile may also be supplemented by other non-certified fields. The user will have the freedom to create other profiles that will complete the unique identifier. Otherwise, if the provider does not act as a trusted third party, the user can only create uncertified profiles.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Procédé et dispositif d'identification convergente d'utilisateur de terminaux comprenant un serveur d'identification d'un fournisseur d'identité stockant des éléments de profils d'utilisateurs, lesdits éléments comprenant un lien de contact d'au moins un terminal, caractérisé en ce que le procédé comprend : une étape préalable de création d'un compte associé à un identifiant unique, ledit compte comprenant un profil principal comportant une caractéristique propre de chaque terminal à partir du lien de contact compris dans ledit profil; une étape ultérieure de transmission dudit identifiant unique ou de la caractéristique unique du terminal à un serveur de fournisseur de services et/ou de biens par ledit terminal; une étape d'interrogation par le serveur du fournisseur de services et/ou de biens (2) du serveur du fournisseur d'identité à partir de l'identifiant unique ou de la caractéristique unique du terminal, et; une étape de transmission par le serveur d'identification d'un extrait des éléments du profil d'utilisateur au serveur du fournisseur de services et/ou de biens lorsque l'identifiant unique ou la caractéristique unique correspond à l'élément de profil créé lors de l'étape préalable de création.

Description

PROCÈDE ET DISPOSITIF D'IDENTIFICATION CONVERGENTE D'UTILISATEUR DE RÉSEAU DE COMMUNICATION
[0001] L'invention se réfère à un procédé d'identification d'utilisateur dans des réseaux de télécommunication, et à un dispositif de mise en œuvre de ce procédé.
DOMAINE TECHNIQUE DE L'INVENTION
[0002] La présente invention se rapporte au domaine des systèmes d'identification numérique convergente dans un réseau de communication, l'identification convergente permettant à un fournisseur de biens et/ou de services d'identifier un utilisateur quel que soit le terminal et le réseau utilisés.
ETAT DE LA TECHNIQUE ANTERIEURE
[0003] L'évolution technique des terminaux mobiles ou fixes et le développement des réseaux de télécommunication ont contribué à l'essor croissant du commerce électronique en améliorant et facilitant l'accessibilité aux offres de services et/ou de biens.
[0004] De tels terminaux correspondent à des appareils électroniques disposant au moins d'un microprocesseur, d'une mémoire, d'un moyen d'affichage et de moyens permettant de réaliser des échanges de données. Ces appareils se rapportent par exemple à des téléphones fixes/mobiles, des ordinateurs portables/bureaux ou encore à des boîtiers adaptateur (« set top box »).
[0005] Le développement de ce commerce électronique est conditionné par des mécanismes d'identification fiables garantissant à des fournisseurs de services et/ou de biens ainsi qu'à l'utilisateur une transaction sécurisée de données, et une personnalisation de l'offre de services et/ou de biens adaptée aux attentes de chaque utilisateur.
[0006] Dans cette optique, chaque fournisseur a mis en œuvre des systèmes d'identification des utilisateurs requérant un enregistrement préalable de cet utilisateur auprès de leur site Internet de commerce électronique, en créant un couple identifiant/authentifiant (login/mot de passe) et en renseignant par exemple un formulaire se rapportant au profil de cet utilisateur. Ce couple identifiant/authentifiant (login/mot de passe) devra être utilisé par ce dernier à chaque visite du site Internet du fournisseur.
[0007] Une telle démarche doit être réalisée par l'utilisateur auprès de chaque fournisseur de biens et de services.
[0008] De tels systèmes imposent à l'utilisateur de gérer un ensemble de couple [identifiants/authentifiant]-[fournisseurs] afin de pouvoir bénéficier des services et/ou des biens de chaque fournisseur. De plus la saisie de l'identifiant/authentifiant (login/mot de passe) est très contraignante sur des interfaces à faible capacité d'interaction et de saisie (télécommande TV ou Set Top Box par exemple) sans parler de la perte de l'identifiant ou la confusion avec un autre identifiant sont des complications pour l'utilisateur qui peuvent constituer des obstacles à la consommation des services et/ou des biens par l'utilisateur.
[0009] Pour pallier ces inconvénients, on connaît dans l'art antérieur, le document de brevet US 2004205243 décrivant un système d'identification décentralisé nommé « OPENID ». Ce système permet l'identification unique de l'utilisateur auprès de plusieurs sites Internet de commerce électronique sans avoir à retenir un identifiant pour chacun d'eux mais en utilisant à chaque fois un identifiant unique. L'utilisateur crée alors un compte unique pour s'enregistrer auprès d'un des fournisseurs d'identifiants compatibles avec les spécifications décrites par OpenID. L'utilisateur reçoit par la suite un lien hypertexte spécifique qu'il utilise pour s'authentifier lorsqu'il est connecté à un site Internet ayant mis en œuvre le système « OpenID ».
[0010] On connaît aussi dans l'art antérieur une autre approche de ce concept d'identifiant unique décrite dans le projet nommé « Liberty Alliance » disponible sur le lien hypertexte : http://www.projectliberty.org/.
Ce projet « Liberty Alliance » définit des ensembles de spécifications de protocoles de fédération d'identité. Dans le contexte de Liberty Alliance, l'identification unique correspond à la possibilité pour l'utilisateur d'accéder à des services proposés par différents fournisseurs, après s'être identifié à l'aide d'un compte unique auprès d'un fournisseur d'identité reconnu par les fournisseurs de services.
[0011] Cependant, ces deux systèmes présentent des inconvénients. En effet, ils ne prennent pas en compte l'ergonomie de la saisie de l'identifiant notamment sur des terminaux sans clavier (Télévision/boîtier adaptateur, boîtier adaptateur (en anglais Set Top-Box), cadres photos numériques, écran connecté (anglais homescreen).
[0012] De plus, le couple identifiant/authentifiant peut être subtilisé par des tiers lors par exemple d'étapes d'inscription de l'utilisateur auprès du tiers de confiance ou de perte de cet identifiant, sans que l'utilisateur ait les moyens de s'en rendre compte. Ainsi l'identifiant unique subtilisé peut faire l'objet d'une utilisation frauduleuse à l 'insu de cet utilisateur.
[0013] D'autre part, le couple identifiant/authentifiant reste une contrainte pour l'utilisateur qui doit pour des raisons de sécurité, le retenir et le saisir à chaque visite de site Internet de commerce électronique.
EXPOSE DE L'INVENTION
[0014] L'invention vise à remédier aux problèmes liés aux difficultés techniques rencontrées dans l'identification d'un utilisateur utilisant différents réseaux (fixe, mobiles), sur différents terminaux fixes (tels que ordinateur (PC), télévision (TV),
Cadres Photos numériques), mobiles (PC, téléphone mobiles, ultra mobile PC
(UMPC), etc.), partagés dans le foyer (TV, Set Top-Box, cadre photo numérique,
PC,...) partagés sur les lieux publiques (cybercafés,...), à interfaces contraintes (TV, cadres photos numériques,...) ou non, pour accéder à différents fournisseurs de services.
[0015] L'invention propose d'améliorer la propagation et la portabilité des informations personnelles d'un utilisateur à partir d'un mécanisme d'identification automatique et convergent, mettant en œuvre un identifiant unique qui encapsule une caractéristique propre des terminaux endogènes (à l'intérieur d'un lieu privé et sécurisé -foyer, etc..) et/ou hexogènes (lieux publiques - cybercafés,.etc..).
[0016] Plus précisément, l'invention a pour objet un procédé d'identification, convergente d'utilisateur de terminaux comprenant un serveur d'identification d'un fournisseur d'identité stockant des éléments de profils d'utilisateurs, lesdits éléments comprenant un lien de contact d'au moins un terminal, et les étapes suivantes :
- création préalable d'un compte associé à un identifiant unique, ledit compte comprenant un profil principal comportant une caractéristique propre de chaque terminal à partir du lien de contact compris dans ledit profil ;
- transmission ultérieure dudit identifiant unique ou de la caractéristique unique du terminal à un serveur de fournisseur de services et/ou de biens par ledit terminal ; - interrogation par le serveur du fournisseur de services et/ou de biens du serveur du fournisseur d'identité à partir de l'identifiant unique ou de la caractéristique unique du terminal, et
- transmission par le serveur d'identification d'un extrait des éléments du profil d'utilisateur au serveur du fournisseur de services et/ou de biens lorsque l'identifiant unique ou la caractéristique unique correspond à l'élément de profil créé lors de l'étape préalable de création.
[0017] Selon des modes de réalisation particuliers :
- le terminal transmet au fournisseur de services et/ou de bien la caractéristique unique à partir de laquelle est effectuée une recherche d'un identifiant unique dans une base de données du fournisseur de services ou de bien ;
- le terminal transmet au fournisseur de services et/ou de bien la caractéristique unique à partir de laquelle est effectuée une recherche d'un identifiant unique dans la base de données du fournisseur d'identité contenant un extrait du profil de l'utilisateur correspondant ;
- la caractéristique unique envoyée par le terminal au serveur du fournisseur de services et/ou de biens est transmis avec un élément permettant l'identification du fournisseur d'identité ;
- la transmission de la caractéristique unique du terminal ou celle de l'identifiant unique de l'utilisateur permet au fournisseur de services et/ou de biens d'interroger le serveur d'identification du fournisseur d'identité afin que celui-ci lui transmette un extrait d'un des profils de l'utilisateur ;
- la caractéristique unique du terminal est choisi parmi l'un quelconque au moins des éléments suivants: un numéro MSISDN, numéro IMSI, numéro IMEI, une adresse IP, une adresse MAC, ou un code confidentiel, un numéro de série, un UID (identifiant utilisateur);
- l'étape préalable de création se rapporte à l'envoi au terminal par le serveur d'identification à partir du lien de contact du terminal compris dans le profil d'un message auquel l'utilisateur répond par l'envoi d'un message au serveur d'identification de sorte à ce que ledit serveur récupère dans ce message la caractéristique unique du terminal de sorte à l'intégrer dans le profil principal de l'utilisateur.
[0018] L'invention se rapporte également à un dispositif pour la mise en oeuvre du procédé, comprenant un serveur d'identification comportant des moyens de liaison avec un serveur d'un fournisseur de biens et/ou de services, ledit serveur du fournisseur comprenant des moyens de traitement permettant la transmission d'un identifiant unique envoyé ou d'une caractéristique unique du terminal envoyé par un terminal au serveur d'identification, le dit serveur comprenant des moyens de traitement agencés de sorte à envoyer un extrait des éléments de profil de l'utilisateur au serveur du fournisseur lorsque l'identifiant unique ou la caractéristique unique du terminal correspond à un élément dudit profil. [0019] Selon des modes de réalisation particuliers:
- le terminal est choisi parmi l'un quelconque au moins des éléments suivants: ordinateur fixe ou mobile, un boîtier adaptateur ou un terminal de téléphonie mobile, une télévision, un boîtier adaptateur (en anglais set top box), un cadre photo numérique un écran connecté à un réseau de communication, liste non exhaustive ;
- le terminal est un terminal partagé par plusieurs utilisateurs ;
- le terminal est un terminal personnel.
BREVE DESCRIPTION DES FIGURES
[0020] D'autres caractéristiques et avantages de l'invention ressortiront à la lecture de la description qui suit, en référence aux figures annexées, qui illustrent :
- la figure 1 , une représentation du dispositif selon l'invention, et
- la figure 2, une vue schématique du procédé selon l'invention.
[0021] Pour plus de clarté, les éléments identiques ou similaires sont repérés par des signes de référence identiques sur l'ensemble des figures.
DESCRIPTION DETAILLEE D'UN MODE DE REALISATION
[0022] Dans un exemple de réalisation du dispositif, selon l'invention, illustré à la figure 1 , ce dispositif comprend :
- des terminaux 1 ,
- des serveurs 2 appartenant à des fournisseurs de services et/ou de biens,
- un serveur d'identification 3, et
- une base de données 4. [0023] Des moyens de liaison 6,5,7 permettent à ces différents éléments du dispositif de réaliser des échanges de données 11 ,10,14,15,12,13,8,9. Ces moyens de liaison 6,5,7 se rapportent à des réseaux de télécommunications correspondant par exemple au réseau Internet mais pas exclusivement. [0024] Les échanges de données 11 ,10,14,15,12,13,8,9, s'effectuent sous protocole TCP/IP ou d'autres protocoles permettant des échanges optimisés et fiables.
[0025] Les réseaux utilisés se rapportent à des moyens de câblage et/ou des moyens de transmission électromagnétique. Sans prétendre faire une liste exhaustive, ces moyens de câblage correspondent par exemple à de la fibre optique ou des câbles cuivrés, et ces moyens de transmission électromagnétique se rapportent par exemple à des liaisons radioélectrique reposant sur des normes de téléphonie mobile comme le GSM (acronyme de Global System for Mobile Communications), UMTS (acronyme de Universal Mobile Télécommunications System), EDGE (acronyme de Enhanced Data Rates for GSM Evolution) ou encore HSDPA (acronyme de High-Speed Downlink Packet Access). Ces moyens peuvent aussi correspondre à des technologies telles que le WIFI défini par les normes IEEE 802,11 , ou le Bluetooth défini par les normes IEEE 802.15, ou encore à le WIMAX (acronyme pour Worldwide Interoperability for Microwave Access) défini par la norme IEEE 802.16.
[0026] Les terminaux 1 peuvent être :
- fixes 1 b, 1c comme par exemple un ordinateur, ou encore un boîtier adaptateur (« Set Top box »), télévison, cadre photo numérique, écran de projection (en anglais home screen ) et/ou
- mobiles 1 comme par exemple un ordinateur portable, un téléphone portable, un PDA, ou encore un Smartphone.
[0027] Les terminaux fixes 1b, 1 c ou mobiles 1 peuvent être endogènes (télévision, ordinateur) ou exogènes au foyer (ordinateur dans un cybercafé), personnels (par exemple téléphone mobile) ou partagés par plusieurs utilisateurs (par exemple télévision, ordinateur dans un cybercafé,). [0028] Ces terminaux 1 se rapportent à tout équipement comprenant :
- au moins un microprocesseur,
- de la mémoire volatile et/ou non volatile et/ou de masse,
- des moyens de communication.
[0029] Les moyens de communication de ce terminal se rapportent par exemple aux technologies et/ou normes suivantes :
- Bluetooth et/ou IrDA (Infrared Data Association), et/ou Wl-Fl (abbreviation de wireless fidelity) et/ou Wimax,
- GPRS (General Packet Radio Service), GSM, UMTS1HSDPA ou IMS (IP Multimedia Subsystem), et plus généralement
- toute technologie de télécommunications fixe ou mobile.
[0030] Ces terminaux 1 comprennent des moyens de communication qui sont compatibles avec ceux des serveurs 2 des fournisseurs de services (consommateur d'identités) et/ou de biens ainsi qu'avec ceux du serveur d'identification 3 du/des fournisseur(s) d'identité (s).
[0031] Les serveurs 2 des fournisseurs de services et/ou de biens comprennent un serveur Internet capable de générer des pages Internet contenant des offres de services et/ou de biens.
Ces offres de services se rapportent par exemple à du contenu audio et/ou vidéo, des images, du texte, des forums de discussions, et à tout type de contenu informatif et tous type de produits pouvant être diffusé sous un format numérique ou physique
[0032] Les serveurs des fournisseurs de services 2 comprennent des moyens de traitement et de communication pour la gestion des échanges de données 11 ,10,12,13,8,9 avec les terminaux 1 et le serveur d'identification 3.
[0033] Le serveur d'identification 3 comprend une base de données 4 et des moyens de communication sécurisés lui permettant d'échanger des flux de données 12,13, 14, 15 avec les serveurs des fournisseurs 2 et les terminaux 1. [0034] Les flux de données échangés comprennent des paquets de données conformes au protocole IP (Internet protocol) et préférentiellement au format IPv4 et/ou IPv6. L'invention est aussi compatible avec d'autres protocoles de communication.
[0035] La base de données 4 comprend en particulier un ensemble de profils des utilisateurs, et peut, sans que cela soit obligatoire, contenir des références de fournisseur telles que des identifiants fournisseurs.
[0036] L'utilisateur, lors de la création de son compte peut disposer de plusieurs profils, un peut être certifié par le tiers de confiance et dans ce cas « tagué » afin d'être reconnu comme tel par le fournisseur de services consommateur d'identité, ce profil principal peut être complété par d'autres profils, le remplissage du contenu de ces derniers étant laissés au libre choix de l'utilisateur.
[0037] Le profil principal correspond à toutes les informations personnelles caractérisant un individu. Ces informations sont stockées sous la forme de données correspondant de manière non exhaustive aux éléments de profil suivants, par exemple :
- nom,
- prénom,
- âge, - adresse du domicile principal et autre (secondaire, etc.),
- numéro de téléphone du domicile, du travail, du mobile,
- situation maritale,
- renseignements sur les moyens de locomotion de cet utilisateur (immatriculation, marque, couleur, etc.), - photos (de face, profil, etc.),
- adresse courrier électronique,
- banque et numéro de compte bancaire,
- élément d'identification de la société, - prestation (produit et/ou service) souscrit auprès d'une société,
- caractéristique unique du terminal 1a, état: activé ou désactivé, - caractéristique unique du terminal 1 b, état: activé ou désactivé,
- caractéristique unique du terminal 1c, état: activé ou désactivé ; avec ou sans code confidentiel (code 1 , code 2, code n..),
- pseudonyme, et - etc.
[0038] Ces éléments sont renseignés par l'utilisateur lors de son inscription auprès du serveur d'identification 3, lors d'une étape 16, et sont archivés dans la base de données 4, après une étape 17 de transmission de ces éléments vers la base de données.
[0039] Lors de cette inscription, l'utilisateur renseigne un formulaire sous format électronique ou papier en fournissant un ensemble d'informations personnelles se rapportant aux éléments de profil décrits précédemment.
[0040] Après inscription l'utilisateur aura accès, à travers une interface de gestion, à l'ensemble des informations qui composent son compte. Dans le cas du profil certifié la seule interaction possible est la désignation des terminaux 1 qu'il souhaite voir activés afin que les caractéristiques propres de ces terminaux soient intégrés au profil de l'utilisateur lors de la validation de l'étape d'enregistrement d'un terminal demandé par l'utilisateur (étape 20).
[0041] La liste des éléments du profil d'un utilisateur peut être complété ultérieurement par l'utilisateur à partir de moyens permettant de se connecter au serveur d'identification 3 par exemple par l'intermédiaire d'une interface correspondant à des pages Internet générées par le serveur Internet du serveur d'identification 3, mais aussi par d'autres moyens comme des formulaires papiers. [0042] De plus l'utilisateur a la possibilité, à partir de la même interface, de générer plusieurs sous profils de son choix en sélectionnant des éléments du profil principal. Chaque sous profil créé est destiné à un serveur 2 de fournisseur de service défini.
[0043] Un sous profil s'apparente en tout point que cela soit dans l'usage ou la forme, au profil principal hormis le fait qu'il ne soit pas certifié par un tiers de confiance.
[0044] L'utilisateur, à partir de ce sous profil, ne transmet à ce serveur du fournisseur de services 2 que les données relatives à des éléments de profil qu'il souhaite divulguer. Il gère ainsi son niveau d'identification par le serveur 2 du fournisseur. Il peut ainsi rester anonyme auprès de certains fournisseurs de services et/ou de biens s'il le souhaite.
[0045] Si le service fourni par le serveur 2 du fournisseur se rapporte à un forum de discussion, le profil transmis comprendra par exemple qu'un pseudonyme et éventuellement sa photo et l'identifiant du fournisseur.
[0046] Dans le cas d'un terminal qui est partagé par plusieurs utilisateurs, le profil créé se rapporte non seulement au fournisseur mais aussi au code confidentiel associé à l'utilisateur faisant usage du terminal.
[0047] L'adresse relative aux terminaux, autrement nommée lien de contact, correspond, sans que cela soit exhaustif, par exemple à :
- un numéro MSISDN correspondant au numéro d'appel de l'abonné (acronyme de Mobile Station Integrated Services Digital Network),
- une adresse MAC du terminal,
- une adresse IP spécifique au terminal.
[0048] L'identifiant unique ou la caractéristique unique propre du terminal correspond par exemple à : - UID (User Identity)
- numéro IMSI (International Mobile Subscriber Identity),
- numéro MSISDN,
- numéro IMEI (acronyme d'International Mobile Equipment Identity, signifiant en français identité internationale d'équipement mobile),
- un alias associé au terminal de l'utilisateur,
- un numéro de série
- Code confidentiel, code 1 , code 2,...PIN (Personal Identifier Number) ι
- une adresse MAC du terminal, et
- une adresse IP spécifique au terminal.
Dans la liste des éléments se rapportant au profil de l'utilisateur les terminaux 1 peuvent être activés ou désactivés selon le choix de l'utilisateur.
[0049] Chaque code confidentiel ; code 1 , code 2 ou code n ; est propre à chaque utilisateur partageant le terminal 1.
[0050] Exemple de mode de fonctionnement lors de l'enregistrement d'un mobile :
[0051] Les numéros se rapportent à la figure 2. Prenons l'exemple d'un client qui veut activer un mobile comme terminal :
[0052] Une fois l'opération 16 de création d'un compte conclue par client utilisant un terminal (1 ) chez le fournisseur d'identité (3) le profil de ce client sera stocké dans la base de données (4) lors de l'opération 17. Lorsque le terminal est un téléphone mobile 1a et que l'utilisateur choisit d'activer ce terminal en ayant saisi pour ce terminal le numéro MSISDN, le serveur 3 d'identification génère un message SMS vers le terminal 1 a, comprenant une invitation, faite à l'utilisateur, à confirmer l'activation de ce terminal dans son profil sous forme d'une URL cliquable. Ce message est transmis au terminal mobile à partir des informations tiré du profil certifié lors d'une étape 18.
[0053] A réception de ce message, l'utilisateur clique sur I1URL transmise dans le message et l'utilisateur va être ainsi dirigé vers le serveur du fournisseur d'identité (3) lors d'une étape 19. Lors de cette étape le serveur d'identité va récupérer la caractéristique unique du terminal (UID par exemple) pour la stocker dans la base de données (4) du fournisseur d'identité (3) lors de l'opération 20. Cet UID ainsi récupérée va aller enrichir le profil client.
[0054] Cette caractéristique correspond alors à la caractéristique unique pour ce terminal 1 a.
[0055] Cette caractéristique unique est donc un élément du profil utilisateur qui est donc dans un état : activé.
[0056] Dans le cas d'un terminal personnel comme, par exemple, un terminal mobile 1a se connecte à un serveur 2 de fournisseur de biens et/ou de services (consommateur d'identité), soit celui-ci transmet lors des premiers échanges de données, dans une étape 21 , la caractéristique unique dudit terminal par exemple I1UID, N° de série, soit c'est le fournisseur de services (2) réclame au terminal 1 a sa caractéristique unique.
[0057] Cette caractéristique unique du terminal, accompagnée d'un identifiant se rapportant au fournisseur d'identité (plages d'adresse IP dont il est propriétaire, adresse de la passerelle (gateway) d'origine de connexion,...) est :
- soit dans un profil d'utilisateur déjà indexé dans la base de données du fournisseur de services (2) et le rapprochement entre la caractéristique unique du terminal et l'identité de l'utilisateur est immédiate,
- soit est inconnue du fournisseur de services (2). Dans œ dernier cas, lors d'une étape 22, le fournisseur de services (2) demande au fournisseur d'identité (3) reconnu par l'un de ses identifiants, de faire le rapprochement entre la caractéristique unique du terminal et l'identité du client propriétaire du profil correspondant en interrogeant la base de donnée (4) lors de l'étape 23.
[0058] Le serveur d'indentification 3 détermine, à partir de la réponse à la requête envoyée à sa base de données, lors d'une étape 24, le sous profil extrait du profil principal de l'utilisateur à transmettre au serveur 2 du fournisseur.
[0059] Ce sous profil est transmis au serveur du fournisseur 2, lors d'une étape 25. Ainsi sur la base de ce sous profil, le serveur Internet compris dans ce serveur 2 fournisseur va personnaliser le contenu de son offre de services et/ou de biens en fonction de cet utilisateur. L'accès libérant comprenant l'offre est générée par le serveur Internet de ce serveur 2 et transmise au terminal mobile 1a.
[0060] On remarque que, l'utilisateur est connecté et identifié par le serveur 3 d'identification de manière transparente et automatique sans que celui-ci n'est à saisir de code relatif à l'identifiant unique. Dans le cas d'un terminal qui peut être partagé entre plusieurs utilisateurs, tel qu'une télévision, une télévision branchée sur un boîtier adaptateur (ou décodeur, « Set top box »), la caractéristique unique qui est transmise au serveur 3 du fournisseur d'identité se rapporte à l'adresse du terminal correspondant par exemple au numéro de série, à l'adresse MAC et/ou IP de ce boîtier 1 c.
[0061] Le serveur du fournisseur de services 2 transmet cet identifiant au serveur d'identification 3 (fournisseur d'identité) qui détermine le profil associé à ce boîtier et les paramètres requis pour ce type de terminal 1c. Ces paramètres se rapportent par exemple à un code supplémentaire ; code confidentiel ; qui peut être demandé à l'utilisateur partageant ce terminal avec d'autres individus.
[0062] Le serveur 3 d'identification va donc transmettre une page ou une requête au serveur 2 du fournisseur, page affichée ou requête qui est envoyée au terminal 1 c, comprenant un message destiné à l'utilisateur l'invitant à saisir ce code. [0063] Une fois ce code saisi et transmis au serveur 3 d'identification via le serveur 2 du fournisseur, les moyens de traitement du fournisseur d'identification vont déterminer le profil correspondant à ce code et au serveur 2 du fournisseur de services.
[0064] Lorsqu'un terminal 1 de l'utilisateur n'est pas activé dans le profil principal et que l'utilisateur se connecte à un serveur de fournisseur 2 qui ne connaît pas l'utilisateur, le serveur 2 du fournisseur de services va détecter la caractéristique unique du terminal, accompagnée d'un identifiant se rapportant au fournisseur d'identité (plages d'adresse IP dont il est propriétaire, adresse de la passerelle (gateway) d'origine de connexion,...).
[0065] Lors d'une étape 22 le fournisseur de services 2 demande au fournisseur d'identité 3 reconnu par l'un de ses identifiants, de faire le rapprochement entre la caractéristique unique du terminal et l'identité du client propriétaire du profil correspondant en interrogeant la base de données 4 lors de l'étape 23.
[0066] Le fournisseur d'identité 3 ne connaissant pas la caractéristique unique du terminal va indiquer au fournisseur de service 4 qu'il ne reconnaît pas cet utilisateur. Dans ce cas le fournisseur de services 2 va réclamer à l'utilisateur de terminal son identifiant unique, ou, à défaut va rediriger le terminal sur le site Internet du serveur Internet du serveur 3 d'identification afin de créer un compte chez le fournisseur d'identité.
[0067] Cet identifiant unique étant, lui, référencé dans la base de données du Fournisseur d'identité 3. Peut alors commencer le processus d'identification et de transfère de profil ou sous-profil.
[0068] Dans ce mode de réalisation, cet identifiant unique encapsule, en plus des informations personnelles de l'utilisateur, les caractéristiques uniques des différents terminaux déclarés par l'utilisateur (Code PIN, UID, N° de série, etc.).
[0069] Cette identifiant unique donne accès au fournisseur d'identité. [0070] L'identifiant unique est le véhicule qui reconnaît ou transporte les caractéristiques uniques des différents terminaux à partir d'un consommateur d'identité vers le fournisseur d'identité.
[0071] La transmission de la caractéristique unique du terminal par le consommateur d'identité au fournisseur d'identité (par identifiant unique) délègue au serveur du fournisseur d'identité la fonction d'identification auprès du consommateur d'identité.
[0072] L'identifiant unique est aussi le véhicule qui transporte l'authentification et les éléments du profil de l'utilisateur vers le fournisseur de services. Cette réponse du fournisseur d'identité au consommateur d'identité se traduit par la transmission d'un extrait des éléments du profil d'utilisateur vers le consommateur d'identité dans le cas d'une authentification valide.
[0073] L'obtention et le paramétrage d'un identifiant unique dudit système d'identification, se réalise en trois étapes :
- Etape 1 - Création du compte : Le compte, lors de sa création chez le fournisseur d'identité est caractérisé par un login/mot de passe. Cette création de compte se traduit par la génération d'un identifiant unique. A cet identifiant unique peut être associé plusieurs profils de l'utilisateur. Si le fournisseur d'identité agit en tant que tiers de confiance d'authentification, l'identifiant unique de l'utilisateur hérite automatiquement d'un profil principal certifié par ledit fournisseur d'identité. Ce profil certifié pourra aussi être complété par d'autres champs non certifiés. L'utilisateur aura la liberté des créer d'autres profils qui compléteront l'identifiant unique. Dans le cas contraire, si le fournisseur n'agit pas en tant que tiers de confiance, l'utilisateur pourra créer seulement des profils non certifiés.
Selon l'origine de l'inscription l'identifiant unique de l'utilisateur hérite automatiquement ou non d'un profil certifié par ledit fournisseur d'identité. Dans le cas d'un profil certifié, ledit profil est « tagué >> de sorte qu'un consommateur d'identité (fournisseur de services) puisse avoir connaissance de cette certification par un tiers de confiance.
- Etape 2 - Paramétrage profil : une fois le compte créé, l'utilisateur doit renseigner les différents profils souhaités, et activer l'encapsulation des différents terminaux.
- Etape 3 - Validation : à chaque terminal déclaré et activé par l'utilisateur une caractéristique unique est attribuée à l'identifiant unique soit manuellement (code PIN TV) soit automatiquement (UID Mobile). Cette caractéristique unique de terminal sera encapsulée dans l'identifiant unique de l'utilisateur. [0074] Ces terminaux peuvent ainsi être identifiés par les fournisseurs de services. D'un point de vue utilisateur, l'encapsulation des terminaux dans l'identifiant unique de l'utilisateur prend aussi en compte l'aspect ergonomique de ceux-ci. De cette façon l'utilisateur s'identifie, par exemple, à partir de sa TV en utilisant un code PIN et à partir de son téléphone mobile l'identification est faite de façon automatique a partir de la récupération d'une caractéristique unique du terminal mobile.
[0075] La génération des profils non certifiés est réalisée soit à partir d'éléments sélectionnés dans le profil principal de l'utilisateur ou créé par lui-même.
[0076] La caractéristique unique du terminal est choisie parmi l'un quelconque au moins des éléments suivants: numéro MSISDN, numéro IMSI, numéro IMEI, UID, code TAC, une adresse IP, une adresse MAC, ou un code PIN, un code confidentiel, un numéro de série.
[0077] Le code TAC étant l'acronyme pour Type Approval Code. Il s'agit du numéro de l'identifiant des équipements mobiles, qui débute par le chiffre correspondant au code de l'état de production. [0078] Par exemple dans le cas particulier d'un mobile, l'étape préalable à l'indexation de la caractéristique unique du terminal se rapporte à l'envoi au terminal de l'utilisateur à partir du lien de contact du terminal compris dans le profil d'un message auquel l'utilisateur répond par l'envoi d'un message au serveur d'identification de sorte à ce que ledit serveur récupère dans ce message la caractéristique unique du terminal de sorte à l'intégrer dans le profil de l'utilisateur.
[0079] Dans le processus d'intégration de la caractéristique unique d'un terminal quelconque dans l'identifiant unique, il y a une étape de mise en relation entre ledit terminal et le fournisseur d'identité que celle-ci soit faite par une communication directe entre le terminal et le serveur du fournisseur d'identité ou par un rapprochement manuel lors d'une inscription du client.
[0080] D'autre part, le dispositif selon l'invention comprend un serveur d'identification (du fournisseur d'identité) comportant des moyens de liaison avec un serveur d'un consommateur d'identité fournisseur de biens et/ou de services, ledit serveur du fournisseur de services (consommateur d'identité) comprenant des moyens de traitement permettant la transmission d'un identifiant unique envoyé par un terminal au serveur d'identification, le serveur d'identification comprenant des moyens de traitement agencés de sorte à envoyer un extrait des éléments de profil de l'utilisateur au serveur du fournisseur de services consommateur d'identité lorsque l'identifiant unique a pu être authentifié.
[0081] Le terminal est choisi parmi l'un quelconque au moins des éléments suivants : un ordinateur, un boîtier adaptateur, un terminal de téléphonie mobile, une télévision, écran de projection connecté de type home screen, cadre photo numérique.
[0082] Le terminal peut être personnel (type téléphone mobile par exemple), partagé (type télévision, PC dans un cybercafé), endogène au foyer ou hexogène (type PC dans un cybercafé, TV chez un ami). [0083] L'invention n'est pas limitée aux exemples de réalisation décrit et illustrés. Elle n'est en outre pas limitée à ces exemples d'exécution et aux variantes décrites.

Claims

REVENDICATIONS
1. Procédé d'identification convergente d'utilisateur de terminaux (1) comprenant un serveur (3) d'identification d'un fournisseur d'identité stockant des éléments de profils d'utilisateurs, lesdits éléments comprenant un lien de contact d'au moins un terminal (1 ), caractérisé en ce que le procédé comprend : une étape préalable de création d'un compte associé à un identifiant unique, ledit compte comprenant un profil principal comportant une caractéristique propre de chaque terminal (1) à partir du lien de contact compris dans ledit profil ; une étape ultérieure de transmission dudit identifiant unique ou de la caractéristique unique du terminal à un serveur (2) de fournisseur de services et/ou de biens par ledit terminal (1) ; une étape d'interrogation par le serveur du fournisseur de services et/ou de biens (2) du serveur du fournisseur d'identité (3) à partir de l'identifiant unique ou de la caractéristique unique du terminal, et - une étape de transmission par le serveur (3) d'identification d'un extrait des éléments du profil d'utilisateur au serveur (2) du fournisseur de services et/ou de biens lorsque l'identifiant unique ou la caractéristique unique correspond à l'élément de profil créé lors de l'étape préalable de création.
2. Procédé selon la revendication 1 , dans lequel le terminal (1) transmet au fournisseur de services et/ou de bien la caractéristique unique à partir de laquelle est effectuée une recherche d'un identifiant unique dans une base de données du fournisseur de services ou de bien.
3. Procédé selon la revendication 1 , dans lequel le terminal (1) transmet au fournisseur de services et/ou de bien la caractéristique unique à partir de laquelle est effectuée une recherche d'un identifiant unique dans la base de données du fournisseur d'identité contenant un extrait du profil de l'utilisateur correspondant.
4. Procédé selon l'une quelconque des revendications précédentes, dans lequel la caractéristique unique envoyée par le terminal (1) au serveur (2) du fournisseur de services et/ou de biens est transmis avec un élément permettant l'identification du fournisseur d'identité.
5. Procédé selon l'une des revendications précédentes, dans lequel la transmission de la caractéristique unique du terminal ou celle de l'identifiant unique de l'utilisateur permet au fournisseur de services et/ou de biens d'interroger le serveur d'identification du fournisseur d'identité (3) afin que celui-ci lui transmette un extrait d'un des profils de l'utilisateur.
6. Procédé selon l'une quelconque des revendications précédentes, dans lequel la caractéristique unique du terminal est choisi parmi l'un quelconque au moins des éléments suivants: un numéro MSISDN, numéro IMSI, numéro IMEI, une adresse IP, une adresse MAC, ou un code confidentiel, un numéro de série, un UID.
7. Procédé selon l'une quelconque des revendications précédentes, dans lequel l'étape préalable de création se rapporte à l'envoi au terminal (1) par le serveur (3) d'identification à partir du lien de contact du terminal compris dans le profil d'un message auquel l'utilisateur répond par l'envoi d'un message au serveur (3) d'identification de sorte à ce que ledit serveur récupère dans ce message la caractéristique unique du terminal de sorte à l'intégrer dans le profil principal de l'utilisateur.
8. Dispositif, pour la mise en œuvre du procédé, selon l'une quelconque des revendications précédentes, comprenant un serveur (3) d'identification comportant des moyens de liaison avec un serveur (2) d'un fournisseur de biens et/ou de services, ledit serveur (2) du fournisseur comprenant des moyens de traitement permettant la transmission d'un identifiant unique envoyé ou d'une caractéristique unique du terminal envoyé par un terminal (1) au serveur (3) d'identification, le dit serveur comprenant des moyens de traitement agencés de sorte à envoyer un extrait des éléments de profil de l'utilisateur au serveur (2) du fournisseur lorsque l'identifiant unique ou la caractéristique unique du terminal correspond à un élément dudit profil.
9. Dispositif selon la revendication 8, dans lequel le terminal (1) est choisi parmi l'un quelconque au moins des éléments suivants : ordinateur fixe, un boîtier adaptateur ou un terminal de téléphonie mobile, une télévision, un boîtier adaptateur, un cadre photo numérique un écran connecté à un réseau de communication.
10. Dispositif selon l'une quelconque des revendications 8 et 9, dans lequel le terminal (1 ) est un terminal partagé par plusieurs utilisateurs.
11. Dispositif selon l'une quelconque des revendications 8 à 10, dans lequel le terminal (1 ) est un terminal personnel.
PCT/FR2009/001250 2008-10-27 2009-10-26 Procede et dispositif d'identification convergente d'utilisateur de reseau de communication WO2010049607A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0805962A FR2937816B1 (fr) 2008-10-27 2008-10-27 Procede et fonctionnement d'identification convergente d'utilisateur de reseau de communication
FR08/05962 2008-10-27

Publications (1)

Publication Number Publication Date
WO2010049607A1 true WO2010049607A1 (fr) 2010-05-06

Family

ID=40848600

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2009/001250 WO2010049607A1 (fr) 2008-10-27 2009-10-26 Procede et dispositif d'identification convergente d'utilisateur de reseau de communication

Country Status (2)

Country Link
FR (1) FR2937816B1 (fr)
WO (1) WO2010049607A1 (fr)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005125096A1 (fr) * 2004-06-16 2005-12-29 Sxip Networks Srl Gestion d'informations de contact distribuee
WO2006136936A1 (fr) * 2005-06-23 2006-12-28 Telefonaktiebolaget Lm Ericsson (Publ) Procede permettant d'ameliorer un mecanisme de referencement principal dans des scenarios a base d'identite
WO2007093187A1 (fr) * 2006-02-13 2007-08-23 Telefonaktiebolaget Lm Ericsson Entité de réseau
FR2901081A1 (fr) * 2006-05-11 2007-11-16 Sagem Monetel Soc Par Actions Procede d'activation d'un terminal
FR2903264A1 (fr) * 2006-06-30 2008-01-04 Sagem Comm Procede et dispositif de connexion d'une machine cliente
US20080009265A1 (en) * 2006-07-10 2008-01-10 Susana Fernandez-Alonso Method and arrangement for authentication procedures in a communication network
EP1919156A1 (fr) * 2006-11-06 2008-05-07 Axalto SA Authentification optimisée utilisant un protocole EAP-SIM

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005125096A1 (fr) * 2004-06-16 2005-12-29 Sxip Networks Srl Gestion d'informations de contact distribuee
WO2006136936A1 (fr) * 2005-06-23 2006-12-28 Telefonaktiebolaget Lm Ericsson (Publ) Procede permettant d'ameliorer un mecanisme de referencement principal dans des scenarios a base d'identite
WO2007093187A1 (fr) * 2006-02-13 2007-08-23 Telefonaktiebolaget Lm Ericsson Entité de réseau
FR2901081A1 (fr) * 2006-05-11 2007-11-16 Sagem Monetel Soc Par Actions Procede d'activation d'un terminal
FR2903264A1 (fr) * 2006-06-30 2008-01-04 Sagem Comm Procede et dispositif de connexion d'une machine cliente
US20080009265A1 (en) * 2006-07-10 2008-01-10 Susana Fernandez-Alonso Method and arrangement for authentication procedures in a communication network
EP1919156A1 (fr) * 2006-11-06 2008-05-07 Axalto SA Authentification optimisée utilisant un protocole EAP-SIM

Also Published As

Publication number Publication date
FR2937816A1 (fr) 2010-04-30
FR2937816B1 (fr) 2011-08-26

Similar Documents

Publication Publication Date Title
US20060075122A1 (en) Method and system for managing cookies according to a privacy policy
FR2825869A1 (fr) Procede d'authentification entre un objet de telecommunication portable et une borne d'acces public
EP2822285B1 (fr) Appariement de dispositifs au travers de réseaux distincts
WO2010006914A1 (fr) Procédé d'authentification d'un utilisateur d'un service sur terminal mobile
EP2220812A2 (fr) Procedé d'authentification d'un utilisateur
EP3668047B1 (fr) Procédé d'ouverture d'une session sécurisée sur un terminal informatique
EP1983722A2 (fr) Procédé et système de sécurisation d'accès internet de téléphone mobile, téléphone mobile et terminal correspondants
EP2056565A1 (fr) Procédé d'authentification d'un utilisateur accédant à un serveur distant à partir d'un ordinateur
EP1737191B1 (fr) Procédé de création d'un terminal éclaté entre un terminal de base et des équipements connectés en serie
EP1455290B1 (fr) Procédé de gestion d'une configuration d'une passerelle par un utilisateur de la passerelle
WO2010049607A1 (fr) Procede et dispositif d'identification convergente d'utilisateur de reseau de communication
FR2844943A1 (fr) Procede de production d'un premier identifiant isolant un utilisateur se connectant a un reseau telematique
EP3021273A1 (fr) Procédé de sécurisation d'une transaction entre un terminal mobile et un serveur d'un fournisseur de service par l'intermédiaire d'une plateforme
FR2883686A1 (fr) Systeme et procede de communication de messages entre une plateforme et un ensemble de terminaux
EP1406425B1 (fr) Procédé de production, par un fournisseur d'accès, d'un identifiant isolant multimédia
WO2012127103A1 (fr) Dispositif et procédé d'identification électronique
WO2011073584A1 (fr) Procede de controle d'acces a un reseau local
EP2079214A1 (fr) Procédé et système de communication et terminal et serveur de confiance
FR2947686B1 (fr) Systeme et procede evolutif de gestion et d'agregation de plusieurs identifiants autour d'un authentifiant polymorphe
Vardjan et al. An infrastructure for community signatures and micro-agreements
FR2900019A1 (fr) Procede d'authentification, terminal et operateur associes
WO2014096683A2 (fr) Procede d'acces a un contenu multi media, terminal mobile, terminal fixe et module logiciel correspondants
EP1484895A1 (fr) Procédé d'accès à un réseau ou à un service en utilisant un protocole de la famille de protocoles PPPoX, et architecture mettant en oeuvre une tel procédé
FR2862170A1 (fr) Procede de transfert de donnees confidentielles en coeur de reseaux
FR2999047A1 (fr) Communication entre un reseau domestique et une plateforme de services externe

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09753143

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 09753143

Country of ref document: EP

Kind code of ref document: A1