WO2018029564A1 - System and method for authentication of a user of an application system by a central server, without using a password - Google Patents

System and method for authentication of a user of an application system by a central server, without using a password Download PDF

Info

Publication number
WO2018029564A1
WO2018029564A1 PCT/IB2017/054589 IB2017054589W WO2018029564A1 WO 2018029564 A1 WO2018029564 A1 WO 2018029564A1 IB 2017054589 W IB2017054589 W IB 2017054589W WO 2018029564 A1 WO2018029564 A1 WO 2018029564A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
user
central server
module
application system
Prior art date
Application number
PCT/IB2017/054589
Other languages
French (fr)
Inventor
Guillaume Dorbes
Original Assignee
Auvercloud
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Auvercloud filed Critical Auvercloud
Publication of WO2018029564A1 publication Critical patent/WO2018029564A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Definitions

  • the present invention relates to an authentication system without password of a user of an application system by a central server. It also relates to a method of authentication without password of a user of an application system by a central server. STATE OF THE PRIOR ART
  • the document FR3015824 discloses a method of managing data connection to a device via a network, the method comprising a step of receiving, by a referencing server, from said equipment, connection data to said equipment.
  • Document FR 2940727 describes a method for authenticating a user of the Internet network on a machine offering a service based on the HTTP or HTTPS protocol, without compelling the user to remember a password, with a view to open a session uniquely identified on the server.
  • the user provides his email address. It is then registered in the temporary account database and receives an email containing a hypertext link allowing it to be permanently registered in the account database. This email also contains a link that allows the user to log in later, once registered.
  • connection link to connect, until expiry of the validity of the latter or until its voluntary disconnection of the website. Beyond this period or after its disconnection, the user will have to receive a new login email.
  • These emails constitute "connection tickets" making it possible to send a request to check the membership of the user to the account base.
  • This authentication method is intended for all websites having a user account base. This method however has little flexibility due to the mandatory use of email to make a connection.
  • WO2015047555A1 discloses a method and system for automatically authenticating a user account using multiple services.
  • the methods of authenticating a user using multiple services comprising: receiving, from a client device, first information of identification for a target service account; Authenticate the target service account based on the first credentials; issuing a redirection request that directs the client device to at least one responder service, in response to the authentication of the target service account; receiving a respondent response indicating that the client device has authenticated a respondent service account with at least one respondent service, wherein the respondent response includes a responder token; and provide the client device access to the account target service in response to determining that the respondent service account is associated with the target service account.
  • Document US2015249540 discloses an authentication method with several devices, for which a challenge is generated. This authentication mode is particularly common, but has some disadvantages. In addition, the user is asked and forced to answer the challenge questions. The user must therefore be both available and able to answer questions correctly, which is often a constraint for many users. To overcome these disadvantages, the invention provides different technical means.
  • a first object of the invention is to provide a system and an authentication method allowing the user to connect to an application system without having to memorize or even use a password.
  • the invention provides a method of authenticating a user of an application system having a plurality of authentication modes by a central server with data from the users of the application system and data. authentication modes for each of the users, comprising the steps in which:
  • the application system performs a user authentication request to the central server
  • the central server receives the authentication request from the application system; the central server takes into account the required data of the application system and the user identifier data;
  • the central server takes into account the authentication mode data set up for this user; the central server generates a time-limited token for each of the authentication modes identified for that user;
  • the central server sends within a very short time interval, for each authentication mode of the user to authenticate the generated tokens, a token for each of the authentication modes;
  • a receiving / response module of at least one of the user devices receives the token that is intended for it;
  • the receiving / response module upon receipt of a user command, the receiving / response module having received said token modifies the token and sends it back to the central server;
  • the authentication module of the central server validates the authentication and transmits this validation to the requesting application system, which in turn can accept the authentication request and launch the corresponding application;
  • the authentication module of the central server deactivates the tokens sent in parallel that are still active.
  • substantially simultaneous is meant within a very short time interval, such as for example less than or equal to a few tenths of a second between the first and the last sending, or up to a few seconds, for example 5 or 10 seconds between the first and the last sending.
  • the method allows a user to connect to an application system without the usual constraint of having to remember a password to provide the latter to enable authentication.
  • the method also makes it possible to perform authentication automatically and very quickly. Indeed, if the authentication modes of the user are well informed, the method allows the user to have maximum assurance that at least one authentication mode will be available and will suit him at the time of authentication.
  • the first token used will validate the authentication. Other tokens will be disabled.
  • the user provides at least one authentication mode that he frequently uses and for which he receives the data easily and quickly. In case of unavailability, he can then resort to one or other of the other modes provided.
  • Simultaneous sending allows the user to have a choice.
  • the first authentication mode chosen will be accepted, will allow authentication, and other modes, unused, will be disabled immediately.
  • a security module of the central server before the validation step of the authentication by the authentication module of the application system, a security module of the central server sends the application system a change of status data. a token. In the latter case, an authentication module of the application system requests back to the security module of the central server the data corresponding to the change of status.
  • the security module of the central server sends to the application system the details of the authentication. This approach makes it possible to further secure the process, so that a third party can not intervene before the end of the process.
  • a verification module of the available authentication modes of the central server performs a verification of the available authentication modes.
  • This step optimizes the process by avoiding the use of authentication modes that would not be available at a given time.
  • the invention also provides a system for authenticating a user of an application system having a plurality of authentication modes by a central server that has data from the users of the application system and data from the user modes. authentication of each of the users, said system consisting of:
  • a central server comprising:
  • an authentication mode selection module for setting up a plurality of authentication modes for each of the users
  • a module for generating tokens making it possible to generate a time-limited token for each of the authentication modes set up that will actually be used to perform authentication
  • an authentication module making it possible to monitor a possible response from a user device, according to one of the authentication modes used and to disable the tokens sent in parallel which are still active;
  • a plurality of memory modules for storing user data, authentication modes, tokens, and authentication modes
  • an authentication request module making it possible to request the server central to authenticate a user of the application system:
  • an authentication module enabling the application system to validate the authentication of the user
  • At least one memory module for storing the authentication mode data of the users of the system and the authenticated user data
  • the central server further comprises a security module, allowing the application system to communicate with the central server to generate in stages the validation of the authentication of the user at the application system level.
  • This module makes it possible to strengthen the security of the system, for example to prevent a third party from receiving the authentication data.
  • the central server comprises a verification module of the available authentication modes, making it possible to check the availability of the authentication modes associated with a user before transmitting a token through this method. fashion.
  • This module makes it possible to send only by the modes available at the time when authentication must be implemented.
  • FIG. 1 presents a functional flowchart presenting the main steps of the method of securing data exchanges in accordance with the invention
  • FIG. 2 schematically shows an example of an authentication system according to the invention. DETAILED DESCRIPTION OF THE INVENTION
  • FIG. 2 is a schematic representation of an exemplary authentication system 1 of a user of an application system 10 via a central server 20.
  • the system further comprises three main elements, namely a central server 20, dedicated mainly to the implementation of authentication, at least one and preferably a plurality of application systems 10, such as bank servers, purchases or various services, etc., to which a large number of users, associated and therefore known by the application systems, can connect.
  • the system finally comprises a plurality of user devices 30, which the users use to perform various operations using the application systems 10, after an authentication has been operated successfully.
  • Each user device can have a plurality of potential authentication modes that can help to authenticate a user at a time t. As an example here are some authentication modes that can be used simultaneously on several devices:
  • Email receiving module that receives tokens in the form of a clickable link.
  • an application receiving module dedicated to the central server that makes it possible to simply accept or refuse authentication requests or even to add added value such as biometric verification according to the characteristics of the user device;
  • Each of the application systems 10 in addition to the modules specifically dedicated to the types of operations and functionalities that are specific to each system, comprises a plurality of modules concerning the authentication, as follows.
  • Each application system 10 has a database 16 of user data, with unique identifiers for each of them.
  • a plurality of authentication means must be associated with each of the users.
  • These data are advantageously included in an authentication mode base (28b) provided at the central server.
  • a base 15 (in dashed lines) may be provided at the level of the application system. In practice, some application systems may include one base while others do not.
  • the centralized base 28b allows on the one hand to benefit from the authentication data of the users who use several application systems and on the other hand allows the application systems to delegate all or part of their authentication to the central server. This data is obtained once when a user registers or opens an account with an application system.
  • a module 1 1 (in dashed lines) for selecting authentication modes makes it possible to set up these data.
  • a module 21 for selecting the authentication modes can also be located at the server. Datas corresponding to the preferred modes of authentication of each of the users are advantageously provided in the authentication base. These data are obtained at the time of registration or opening of the account, and may be preferentially updated later.
  • an authentication request module 12 makes it possible to ask the central server 20 to authenticate a user of the application system concerned by the request.
  • An authentication module 13 allows the application system to validate the authentication of the user.
  • the central server 20 comprises memory modules making it possible to store the data of the users 28a, those concerning the authentication modes 28b of these users, and the token data 28c. which will allow the implementation of the method, as described below.
  • the server also includes a module 21 for selecting authentication modes, to set up a plurality of authentication modes for each of the users. Preferential modes of the user may be indicated.
  • the central server and the application system each comprise a module for selecting the authentication modes.
  • Various configurations are possible, for example by providing a single module at one of two locations. The location of the server makes it possible to centralize the functions and thus confers a simpler implementation.
  • a module 22 for generating tokens is requested when authentication must be performed: this module then generates a token for each of the authentication modes in place that will actually be used to perform authentication.
  • One of the peculiarities of the system consists in providing a simultaneous or almost simultaneous sending of a plurality of authentication tokens for distinct authentication modes.
  • a module 23 for substantially simultaneous sending of tokens for at least a portion of the authentication modes previously implemented is provided. This module makes it possible to send the tokens generated by the chip generation module 22 to each of the selected authentication modes.
  • an authentication module 24 In order to monitor the return of one of the sent tokens, an authentication module 24, to monitor a possible response of a user device, according to one of the authentication modes used. This same module allows to disable the tokens that are not used. Since the chips are of limited duration, this module deactivates the chips once the expected duration has elapsed. This duration is advantageously very short, for security purposes, such as for example a few seconds or minutes. For example, the duration can be between 10s and 30s or between 30s and 90s, or more.
  • the central server 20 further comprises a security module 26. This module is provided so that the application system 10 can exchange intermediate data with the central server 20 in order to generate in stages validation of the authentication of the user at the level of the application system.
  • the central server 20 includes a module 25 for checking the available authentication modes, to check the availability of the authentication modes associated with a user before transmitting a token for this mode. .
  • Each user preferably has at least two user devices 30 each comprising a module 31 for receiving and sending a token response 31.
  • This module is designed to receive the authentication request tokens 31 generated by the central server chips generation module 22, and to return this transformed token to the central server, in confirmation of acceptance of the authentication.
  • the exchanges between the elements of the authentication system are performed in a manner known in itself, for example by wired network or not.
  • Figure 2 illustrates an example where a network 40 such as the Internet or a telephone network is used.
  • Each of the elements of the authentication system has a computing unit such as a microprocessor 14, 27 and 32 with instructions, a working memory and a communication module (not shown) for data exchange. between the modules.
  • the chips can take various forms and / or formats.
  • the tokens are random numbers.
  • the implementation of the various previously described modules of the three components of the authentication system is advantageously performed by means of implementation instructions, allowing the modules to perform the operation or operations specifically provided for the module concerned.
  • the instructions may be in the form of one or more software or software modules implemented by one or more microprocessors.
  • the module (s) and / or the software (s) are advantageously provided in a computer program product comprising a recording medium or recording medium that can be used by a computer and comprising a programmed code readable by a computer integrated in said medium or medium, allowing application software execution on a computer or other device comprising a microprocessor such as a computer, a tablet, a smartphone-type phone, or other.
  • FIG. 1 is a functional flowchart illustrating the main steps of the authentication method. This method makes it possible to authenticate a user of an application system 10 by a central server 20.
  • the first step 50 relates to a user authentication request made by an application system 10 to a central server 20.
  • step 51 the central server receives the authentication request from the application system 10.
  • step 52 the central server 20 takes into account the data required from the application system 10, and the data 28a from the User ID (for which application system does the server have to authenticate and which user is it?).
  • step 53 the central server takes into account the data of the authentication modes set up for this user.
  • step 55 the central server generates a time-limited token for each authentication mode.
  • step 56 the central server sends substantially simultaneously to a plurality of user devices 10 of the user to authenticate the generated tokens. There is therefore a token for each of the authentication modes used.
  • a reception / response module 31 receives the token that is intended for it, in step 57.
  • the user interacts with his device to enter an authentication validation command .
  • the receiving / response module 31 having received said token modifies the token and sends it back to the central server (step 58).
  • step 59 the central server receives the modified token.
  • the authentication module 24 of the central server 20 validates the authentication and transmits this validation to the application system 10 which sent the request (step 61).
  • step 60 provides that after receiving a token modified by a user device, the authentication module 24 of the central server deactivates the tokens sent in parallel that are still active.
  • a security module 26 of the central server 20 sends the application system 10 status change data of a token (step 63). Following this, the authentication module 13 of the application system returns (step 64) to the security module 26 of the central server the data corresponding to the change of status. In response to this request, the security module 26 of the central server sends the application system the details of the authentication (step 65).
  • a verification module 25 of the available authentication modes of the central server performs a verification of the authentication modes 28b available. This step 54 is optional.
  • the invention can be extended to other embodiments in which variants are provided that certain modules are arranged at another location.
  • the module 21 for selecting the authentication modes can be arranged at an application system.

Abstract

The invention relates to a method for the authentication of a user of an application system (10) by a central server (20), comprising the steps in which: an application system (10) carries out (50) an authentication request; the central server (20) receives (51) the request and generates (55) a token with a limited duration for a plurality of authentication modes; the central server (20) sends (56) the generated tokens, in parallel, to a plurality of appliances (10) of the user to be authenticated; a reception/response module (31) of at least one of the user appliances (30) receives (57) the token therefor, modifies (58) the token, and sends it back to the central server (20); the central server (20) receives (59) the modified token; and the authentication module (24) of the central server (20) validates (61) the authentication and transmits said validation to the requesting application system (10).

Description

SYSTEME ET PROCEDE D'AUTHENTIFICATION SANS MOT DE PASSE D'UN UTILISATEUR D'UN SYSTEME APPLICATIF PAR UN SERVEUR CENTRAL  SYSTEM AND METHOD FOR AUTHENTICATION WITHOUT PASSWORD OF A USER OF AN APPLICATION SYSTEM BY A CENTRAL SERVER
DOMAINE TECHNIQUE DE L'INVENTION [0001] La présente invention concerne un système d'authentification sans mot de passe d'un utilisateur d'un système applicatif par un serveur central. Elle concerne également un procédé d'authentification sans mot de passe d'un utilisateur d'un système applicatif par un serveur central. ETAT DE LA TECHNIQUE ANTERIEURE TECHNICAL FIELD OF THE INVENTION [0001] The present invention relates to an authentication system without password of a user of an application system by a central server. It also relates to a method of authentication without password of a user of an application system by a central server. STATE OF THE PRIOR ART
[0002] De façon classique, lorsqu'un utilisateur souhaite se connecter à un système applicatif, il doit avant tout procéder à une phase d'authentification. Cette phase permet de s'assurer que l'utilisateur qui demande l'identification est bien le véritable utilisateur. Cet aspect est d'autant plus important si le système applicatif comporte des données personnelles et/ou confidentielles concernant cet utilisateur. Très souvent, le processus d'authentification consiste à entrer des données d'identifiant unique et de mot de passe. Ce mode d'authentification est très largement répandu, pour des milliers de systèmes applicatifs de toutes sortes. De nombreux utilisateurs disposent de comptent ou d'accès à un grand nombre de systèmes applicatifs. La gestion des données d'identifiants et de mot de passe multiples est un problème récurent, qui n'a à ce jour pas trouvé de solution véritablement satisfaisante. [0002] In a conventional manner, when a user wishes to connect to an application system, he must first of all carry out an authentication phase. This phase ensures that the user requesting the identification is the real user. This aspect is even more important if the application system includes personal and / or confidential data concerning this user. Very often, the authentication process involves entering unique ID and password data. This mode of authentication is very widespread for thousands of application systems of all kinds. Many users have count or access to a large number of application systems. Managing multiple login and password data is a recurring problem, which has not yet found a truly satisfactory solution.
[0003] On observe également qu'une grande proportion de ces systèmes applicatifs prévoient des outils simples pour permettre aux utilisateurs ayant oublié des données de mot de passe et/ou d'identifiant unique de récupérer ces données par simple envoi d'un courriel par le système applicatif. Par exemple, si un utilisateur oublie son mot de passe, il fournit les données de son adresse courriel, ou numéro de téléphone, ou autre. Le système applicatif envoie ensuite à l'utilisateur un courriel, sms, ou autre type de message, comportant les données demandées, comme par exemple le mot de passe. D'autres systèmes applicatifs envoient un courriel proposant un lien qui permet à son tour de créer un nouveau mot de passe. Dans tous ces cas, on part du principe que l'envoi des données permettant une authentification en utilisant une adresse préalablement connue de courriel, numéro de téléphone, adresse postale, adresse IP, ou autre, comporte un niveau de sécurisation satisfaisant pour l'utilisateur en regard du système applicatif concerné. [0004] Certains systèmes prévoient l'utilisation de hardware, tel qu'une carte à puce, pour permettre une authentification à sécurisation renforcée. Ces systèmes ajoutent des niveaux de complexité qui ont pour effet de décourager certains utilisateurs. It is also observed that a large proportion of these application systems provide simple tools to allow users who have forgotten password data and / or unique identifier to retrieve this data by simply sending an email by the application system. For example, if a user forgets his password, he provides the data of his email address, or phone number, or other. The application system then sends the user an email, sms, or other type of message, including the requested data, such as the password. Other application systems send an email with a link that allows you to create a new password. In all these cases, it is assumed that the sending of data Authentication using a previously known e-mail address, telephone number, postal address, IP address, or other, has a level of security satisfactory to the user compared to the application system concerned. Some systems provide for the use of hardware, such as a smart card, to enable enhanced security authentication. These systems add levels of complexity that discourage some users.
[0005] L'utilisation d'un mode d'authentification unique pour un utilisateur donné peut susciter certains inconvénients pratiques. En outre, le mode de transmission concerné (courriel, sms, etc) peut être temporairement hors service ou inaccessible pour l'utilisateur, rendant l'authentification impossible. The use of a single authentication mode for a given user may give rise to certain practical disadvantages. In addition, the mode of transmission concerned (email, sms, etc.) may be temporarily out of service or inaccessible to the user, making authentication impossible.
[0006] Il persiste donc un besoin de longue date permettant de simplifier, fiabiliser, et pérenniser les outils d'authentification. It therefore persists a long-standing need to simplify, make reliable, and perpetuate the authentication tools.
[0007] On connaît par ailleurs certains outils conçus dans le but de tenter de répondre à cette problématique. [0008] Par exemple, le document FR3015824 décrit un procédé de gestion de données de connexion à un équipement via un réseau, le procédé comprenant une étape de réception, par un serveur de référencement, en provenance dudit équipement, de données de connexion audit équipement et d'au moins un jeton d'authentification généré à partir d'au moins un identifiant affecté audit équipement et à partir d'au moins une donnée d'authentification d'un utilisateur dudit équipement, une étape de référencement dudit équipement par le serveur de référencement par stockage des données de connexion reçues en association avec au moins d'une clé de référencement comprenant ledit au moins un jeton d'authentification, une étape de réception par le serveur, en provenance d'un terminal, d'au moins une requête d'obtention de données de connexion comprenant une clé de référencement, une étape de transmission audit terminal des données de connexion stockées en association avec la clé de référencement reçue. Ce procédé permet en outre de faciliter la connexion entre deux équipements dont un pour lequel l'adresse IP est variable. [0009] Le document FR 2940727 décrit un procédé destiné à authentifier un utilisateur du réseau Internet sur une machine offrant un service basé sur le protocole HTTP ou HTTPS, sans contraindre l'utilisateur à se souvenir d'un mot de passe, en vue d'ouvrir une session identifiée de manière unique sur le serveur. Dans un premier temps, lors de sa première demande d'enregistrement, l'utilisateur fournit son adresse de courrier électronique. Il est alors enregistré dans la base de comptes temporaires et reçoit un courriel contenant un lien hypertexte lui permettant de s'enregistrer définitivement dans la base de comptes. Ce courriel contient également un lien permettant à l'utilisateur de se connecter ultérieurement, une fois enregistré. Dans un second temps, l'utilisateur clique sur le lien d'inscription et le serveur exécute alors la requête d'enregistrement définitive. Par la suite, l'utilisateur peut continuer à utiliser le lien de connexion pour se connecter, jusqu'à expiration de la validité de celui-ci ou jusqu'à sa déconnexion volontaire du site internet. Au delà de cette période ou après sa déconnexion, l'utilisateur devra recevoir un nouveau courriel de connexion. Ces courriels constituent des "tickets de connexion" permettant d'envoyer une requête de contrôle de l'appartenance de l'utilisateur à la base de compte. Ce procédé d'authentification est destiné à tous les sites internet possédant une base de comptes utilisateurs. Ce procédé présente cependant peu de souplesse du fait du l'utilisation obligatoire du courriel pour procéder à une connexion. We also know some tools designed to try to answer this problem. For example, the document FR3015824 discloses a method of managing data connection to a device via a network, the method comprising a step of receiving, by a referencing server, from said equipment, connection data to said equipment. and at least one authentication token generated from at least one identifier assigned to said equipment and from at least one authentication data of a user of said equipment, a step of referencing said equipment by the server referencing by storage of the connection data received in association with at least one referencing key comprising said at least one authentication token, a step of reception by the server, from a terminal, of at least one request for obtaining connection data comprising a referencing key, a step of transmitting to said terminal connection data stored in association with iation with the received SEO key. This method also facilitates the connection between two devices, one for which the IP address is variable. [0009] Document FR 2940727 describes a method for authenticating a user of the Internet network on a machine offering a service based on the HTTP or HTTPS protocol, without compelling the user to remember a password, with a view to open a session uniquely identified on the server. At first, during his first registration request, the user provides his email address. It is then registered in the temporary account database and receives an email containing a hypertext link allowing it to be permanently registered in the account database. This email also contains a link that allows the user to log in later, once registered. In a second step, the user clicks on the registration link and the server then executes the final registration request. Subsequently, the user can continue to use the connection link to connect, until expiry of the validity of the latter or until its voluntary disconnection of the website. Beyond this period or after its disconnection, the user will have to receive a new login email. These emails constitute "connection tickets" making it possible to send a request to check the membership of the user to the account base. This authentication method is intended for all websites having a user account base. This method however has little flexibility due to the mandatory use of email to make a connection.
[0010]WO2015047555A1 décrit un procédé et un système pour authentifier automatiquement un compte d'utilisateur en utilisant plusieurs services. Selon certains modes de réalisation de l'objet divulgué, les méthodes d'authentification d'un utilisateur à l'aide de multiples services sont fournis, les méthodes comprenant: la réception, à partir d'un dispositif client, de premières informations d'identification pour un compte de service cible; authentifier le compte de service cible sur la base des premières informations d'identification; émission d'une requête de redirection qui dirige le dispositif client à au moins un service de répondant, en réponse à l'authentification du compte de service cible; recevoir une réponse de répondant indiquant que le dispositif client a authentifié un compte de service de répondant avec au moins un service de répondant, dans lequel la réponse de répondant comprend un jeton de répondant; et fournir au dispositif client d'accéder au compte de service cible en réponse à la détermination que le compte de service de répondant est associé au compte de service cible. Ce procédé est complexe à mettre en œuvre et présente peu de souplesse opérationnelle. [0011] D'autres procédés impliquent l'usage de moyens techniques spécifiques. Par exemple, le document WO 2008/060725 prévoit l'utilisation d'un lecteur biométrique, prévu pour identifier un utilisateur. Ce type de système est peu pratique du fait qu'il requiert un matériel très spécifique, convenablement paramétré. Les systèmes applicatifs existants doivent donc être équipés avant de pouvoir être considérés pour une mise en œuvre du procédé. [0010] WO2015047555A1 discloses a method and system for automatically authenticating a user account using multiple services. According to some embodiments of the disclosed object, the methods of authenticating a user using multiple services are provided, the methods comprising: receiving, from a client device, first information of identification for a target service account; Authenticate the target service account based on the first credentials; issuing a redirection request that directs the client device to at least one responder service, in response to the authentication of the target service account; receiving a respondent response indicating that the client device has authenticated a respondent service account with at least one respondent service, wherein the respondent response includes a responder token; and provide the client device access to the account target service in response to determining that the respondent service account is associated with the target service account. This process is complex to implement and has little operational flexibility. Other methods involve the use of specific technical means. For example, the document WO 2008/060725 provides for the use of a biometric reader, intended to identify a user. This type of system is impractical because it requires a very specific equipment, properly set. Existing application systems must therefore be equipped before they can be considered for implementation of the process.
[0012] Le document US2015249540 divulgue un procédé d'authentification avec plusieurs dispositifs, pour lesquels un challenge est généré. Ce mode d'authentification est particulièrement courant, mais présente toutefois quelques inconvénients. En outre, l'utilisateur est sollicité et contraint de répondre aux questions challenge. L'utilisateur doit donc être à la fois disponible et en mesure de répondre convenablement aux questions, ce qui est souvent contraignant pour de nombreux utilisateurs. [0013] Pour pallier ces différents inconvénients, l'invention prévoit différents moyens techniques. Document US2015249540 discloses an authentication method with several devices, for which a challenge is generated. This authentication mode is particularly common, but has some disadvantages. In addition, the user is asked and forced to answer the challenge questions. The user must therefore be both available and able to answer questions correctly, which is often a constraint for many users. To overcome these disadvantages, the invention provides different technical means.
EXPOSE DE L'INVENTION SUMMARY OF THE INVENTION
[0014] Tout d'abord, un premier objet de l'invention consiste à prévoir un système et un procédé d'authentification permettant à l'utilisateur de se connecter à un système applicatif sans devoir mémoriser ni même utiliser un mot de passe. First, a first object of the invention is to provide a system and an authentication method allowing the user to connect to an application system without having to memorize or even use a password.
[0015] Un autre objet de l'invention consiste à prévoir un système et un procédé d'authentification qui assure une mise en œuvre rapide et fiable, peu importe le contexte de disponibilité de l'utilisateur et/ou des réseaux de communication utilisés. [0016] Encore un autre objet de l'invention consiste à prévoir un système et un procédé d'authentification faciles et simples à mettre en place et à utiliser, sans devoir installer d'équipement spécifiques chez les utilisateurs. [0017] Encore un autre objet de l'invention consiste à prévoir un système et un procédé d'authentification permettant d'atteindre un niveau de sécurité satisfaisant pour l'utilisateur et le service applicatif. Another object of the invention is to provide a system and an authentication method that ensures a fast and reliable implementation, regardless of the context of availability of the user and / or communication networks used. Yet another object of the invention is to provide a system and an authentication method easy and simple to set up and use, without having to install specific equipment in the users. Yet another object of the invention is to provide a system and an authentication method to achieve a satisfactory level of security for the user and the application service.
[0018] Pour ce faire, l'invention prévoit un procédé d'authentification d'un utilisateur d'un système applicatif disposant d'une pluralité de modes d'authentification par un serveur central disposant de données des utilisateurs du système applicatif et de données des modes d'authentification de chacun des utilisateurs, comprenant les étapes dans lesquelles : To do this, the invention provides a method of authenticating a user of an application system having a plurality of authentication modes by a central server with data from the users of the application system and data. authentication modes for each of the users, comprising the steps in which:
le système applicatif effectue une demande d'authentification d'un utilisateur auprès du serveur central ;  the application system performs a user authentication request to the central server;
le serveur central reçoit la demande d'authentification du système applicatif; le serveur central prend en compte les données requises du système applicatif et les données d'identifiant utilisateur ;  the central server receives the authentication request from the application system; the central server takes into account the required data of the application system and the user identifier data;
en fonction des données d'identifiant utilisateur, le serveur central prend en compte les données des modes d'authentification mis en place pour cet utilisateur ; le serveur central génère un jeton à durée limitée pour chacun des modes d'authentification identifiés pour cet utilisateur ;  according to the user identifier data, the central server takes into account the authentication mode data set up for this user; the central server generates a time-limited token for each of the authentication modes identified for that user;
le serveur central envoie à l'intérieur d'un intervalle de temps très court, pour chacun des modes d'authentification de l'utilisateur à authentifier les jetons générés, soit un jeton pour chacun des modes d'authentification ;  the central server sends within a very short time interval, for each authentication mode of the user to authenticate the generated tokens, a token for each of the authentication modes;
un module de réception/réponse d'au moins un des appareils utilisateur reçoit le jeton qui lui est destiné ;  a receiving / response module of at least one of the user devices receives the token that is intended for it;
sur réception d'une commande utilisateur, le module de réception/réponse ayant reçu ledit jeton modifie le jeton et le renvoie au serveur central ;  upon receipt of a user command, the receiving / response module having received said token modifies the token and sends it back to the central server;
- le serveur central reçoit le jeton modifié ; - the central server receives the modified token;
le module d'authentification du serveur central valide l'authentification et transmet cette validation au système applicatif demandeur, qui à son tour, peut accepter la demande d'authentification et lancer l'application correspondante ;  the authentication module of the central server validates the authentication and transmits this validation to the requesting application system, which in turn can accept the authentication request and launch the corresponding application;
-le module d'authentification du serveur central désactive les jetons envoyés en parallèle qui sont encore actifs. -the authentication module of the central server deactivates the tokens sent in parallel that are still active.
[0019] Par « sensiblement simultané », on entend à l'intérieur d'un intervalle de temps très court, comme par exemple inférieur ou égal à quelques dixièmes de secondes entre le premier et le dernier envoi, ou jusqu'à quelques secondes, par exemples 5 ou 10 secondes entre le premier et le dernier envoi. By "substantially simultaneous" is meant within a very short time interval, such as for example less than or equal to a few tenths of a second between the first and the last sending, or up to a few seconds, for example 5 or 10 seconds between the first and the last sending.
[0020] Le procédé permet à un utilisateur de se connecter à un système applicatif sans la contrainte habituelle de devoir se souvenir d'un mot de passe en vue de fournir ce dernier pour permettre l'authentification. Le procédé permet également d'effectuer l'authentification automatiquement et très rapidement. En effet, si les modes d'authentification de l'utilisateur sont bien renseignés, le procédé permet à l'utilisateur d'avoir un maximum d'assurance qu'au moins un mode d'authentification sera disponible et saura lui convenir au moment de l'authentification. Le premier jeton utilisé permettra de valider l'authentification. Les autres jetons seront désactivés. En pratique, l'utilisateur renseigne au moins un mode d'authentification qu'il utilise fréquemment et pour lequel il reçoit les données facilement et rapidement. En cas d'indisponibilité, il peut alors recourir à l'un ou l'autre des autres modes prévus. The method allows a user to connect to an application system without the usual constraint of having to remember a password to provide the latter to enable authentication. The method also makes it possible to perform authentication automatically and very quickly. Indeed, if the authentication modes of the user are well informed, the method allows the user to have maximum assurance that at least one authentication mode will be available and will suit him at the time of authentication. The first token used will validate the authentication. Other tokens will be disabled. In practice, the user provides at least one authentication mode that he frequently uses and for which he receives the data easily and quickly. In case of unavailability, he can then resort to one or other of the other modes provided.
[0021] L'envoi simultané permet à l'utilisateur d'avoir un choix. Le premier mode d'authentification qu'il choisi sera accepté, permettra l'authentification, et les autres modes, non utilisés, seront aussitôt désactivés. [0022] Selon un autre mode de réalisation avantageux, avant l'étape de validation de l'authentification par le module d'authentification du système applicatif, un module de sécurisation du serveur central envoie au système applicatif une donnée de changement de statut d'un jeton. [0023] Dans ce dernier cas, un module d'authentification du système applicatif demande en retour au module de sécurisation du serveur central les données correspondant au changement de statut. Simultaneous sending allows the user to have a choice. The first authentication mode chosen will be accepted, will allow authentication, and other modes, unused, will be disabled immediately. According to another advantageous embodiment, before the validation step of the authentication by the authentication module of the application system, a security module of the central server sends the application system a change of status data. a token. In the latter case, an authentication module of the application system requests back to the security module of the central server the data corresponding to the change of status.
[0024] De manière avantageuse, le module de sécurisation du serveur central envoie au système applicatif les détails de l'authentification. Cette approche permet de sécuriser d'avantage le procédé, pour éviter qu'un tiers ne puisse intervenir avant la fin du processus. [0024] Advantageously, the security module of the central server sends to the application system the details of the authentication. This approach makes it possible to further secure the process, so that a third party can not intervene before the end of the process.
[0025] Selon encore un mode de réalisation avantageux, avant l'étape de génération de jeton, un module de vérification des modes d'authentification disponibles du serveur central effectue une vérification des modes d'authentification disponibles.  According to another advantageous embodiment, before the token generation step, a verification module of the available authentication modes of the central server performs a verification of the available authentication modes.
[0026]Cette étape permet d'optimiser le processus en évitant l'utilisation de modes d'authentification qui ne seraient pas disponibles à un instant donné. This step optimizes the process by avoiding the use of authentication modes that would not be available at a given time.
[0027] L'invention prévoit également un système d'authentification d'un utilisateur d'un système applicatif disposant d'une pluralité de modes d'authentification par un serveur central disposant de données des utilisateurs du système applicatif et de données des modes d'authentification de chacun des utilisateurs, ledit système étant constitué par : The invention also provides a system for authenticating a user of an application system having a plurality of authentication modes by a central server that has data from the users of the application system and data from the user modes. authentication of each of the users, said system consisting of:
-un serveur central, comprenant :  a central server, comprising:
-un module de sélection de modes d'authentification, pour mettre en place une pluralité de modes d'authentification pour chacun des utilisateurs ;  an authentication mode selection module, for setting up a plurality of authentication modes for each of the users;
-un module de génération de jetons, permettant de générer un jeton à durée limitée pour chacun des modes d'authentification mis en place qui seront effectivement utilisés pour effectuer une authentification ;  a module for generating tokens, making it possible to generate a time-limited token for each of the authentication modes set up that will actually be used to perform authentication;
-un module d'envoi sensiblement simultané de jetons pour au moins une partie des modes d'authentification préalablement mis en place, permettant d'envoyer les jetons générés par le module de génération de jetons vers chacun des modes d'authentification retenus;  a module for substantially simultaneous sending of tokens for at least part of the authentication modes previously put in place, making it possible to send the tokens generated by the token generation module to each of the authentication modes selected;
-un module d'authentification, permettant de surveiller une réponse éventuelle d'un appareil utilisateur, selon un des modes d'authentification utilisés et de désactiver les jetons envoyés en parallèle qui sont encore actifs ;  an authentication module, making it possible to monitor a possible response from a user device, according to one of the authentication modes used and to disable the tokens sent in parallel which are still active;
-une pluralité de modules mémoire, pour mémoriser les données des utilisateurs, des modes d'authentification, des jetons, et les modes d'authentification ;  a plurality of memory modules for storing user data, authentication modes, tokens, and authentication modes;
-une pluralité de systèmes applicatifs, chacun d'entre eux comprenant : a plurality of application systems, each of them comprising:
-un module de sélection de modes d'authentification, permettant de mettre en place une pluralité de modes d'authentification pour chacun des utilisateurs ; -un module de demande d'authentification, permettant de demander au serveur central d'authentifier un utilisateur du système applicatif : a module for selecting authentication modes, making it possible to set up a plurality of authentication modes for each of the users; an authentication request module, making it possible to request the server central to authenticate a user of the application system:
-un module d'authentification, permettant au système applicatif de valider l'authentification de l'utilisateur ;  an authentication module, enabling the application system to validate the authentication of the user;
-au moins un module mémoire pour mémoriser les données de modes d'authentification des utilisateurs du système et des données utilisateur authentifiés ;  at least one memory module for storing the authentication mode data of the users of the system and the authenticated user data;
-au moins deux appareils utilisateurs comportant chacun un module de réception et envoi de réponse jeton. [0028] De manière avantageuse, le serveur central comprend par ailleurs un module de sécurisation, permettant au système applicatif de dialoguer avec le serveur central afin de générer par étapes la validation de l'authentification de l'utilisateur au niveau du système applicatif. [0029] Ce module permet de renforcer la sécurisation du système, par exemple pour éviter qu'un tiers puisse recevoir les données d'authentification.  at least two user devices each comprising a module for receiving and sending a token response. Advantageously, the central server further comprises a security module, allowing the application system to communicate with the central server to generate in stages the validation of the authentication of the user at the application system level. This module makes it possible to strengthen the security of the system, for example to prevent a third party from receiving the authentication data.
[0030] Selon un mode de réalisation avantageux, le serveur central comprend un module de vérification des modes d'authentification disponibles, permettant de vérifier la disponibilité des modes d'authentification associés à un utilisateur avant de transmettre un jeton par l'entremise de ce mode. According to an advantageous embodiment, the central server comprises a verification module of the available authentication modes, making it possible to check the availability of the authentication modes associated with a user before transmitting a token through this method. fashion.
[0031] Ce module permet d'effectuer des envois uniquement par les modes disponibles au moment où une authentification doit être mise en œuvre. This module makes it possible to send only by the modes available at the time when authentication must be implemented.
DESCRIPTION DES FIGURES DESCRIPTION OF THE FIGURES
[0032]Tous les détails de réalisation sont donnés dans la description qui suit, complétée par les figures 1 et 2, présentées uniquement à des fins d'exemples non limitatifs, et dans lesquelles: All the details of embodiment are given in the description which follows, supplemented by FIGS. 1 and 2, presented solely for purposes of non-limiting examples, and in which:
-la figure 1 présente un organigramme fonctionnel présentant les principales étapes du procédé de sécurisation d'échanges de données conforme à l'invention;  FIG. 1 presents a functional flowchart presenting the main steps of the method of securing data exchanges in accordance with the invention;
-la figure 2 montre de façon schématique un exemple de système d'authentification selon l'invention. DESCRIPTION DETAILLEE DE L'INVENTION FIG. 2 schematically shows an example of an authentication system according to the invention. DETAILED DESCRIPTION OF THE INVENTION
Système d'authentification [0033] La figure 2 est une représentation schématique d'un exemple de système d'authentification 1 d'un utilisateur d'un système applicatif 10 par l'entremise d'un serveur central 20. Authentication system [0033] FIG. 2 is a schematic representation of an exemplary authentication system 1 of a user of an application system 10 via a central server 20.
[0034] Le système est réparti entre les différents éléments d'équipement requis pour effectuer sa mise en œuvre. Une exemple de répartition est présenté à la figure 2 et sera décrit dans ce qui suit. D'autres modes de répartition des modules sont aussi possibles sans sortir du cadre de l'invention. The system is distributed among the various elements of equipment required to perform its implementation. An example of a distribution is shown in Figure 2 and will be described in the following. Other modes of distribution of the modules are also possible without departing from the scope of the invention.
[0035] Le système comprend en outre trois éléments principaux, à savoir un serveur central 20, dédié principalement à la mise en œuvre des authentifications, au moins un et de préférence une pluralité de systèmes applicatifs 10, tels que des serveurs bancaires, d'achats ou de prestations diverses, etc, auxquels un grand nombres d'utilisateurs, associés et donc connus par les systèmes applicatifs, peuvent se connecter. Le système comprend enfin une pluralité d'appareil utilisateurs 30, que les utilisateurs utilisent pour effectuer diverses opérations à l'aide des systèmes applicatifs 10, après qu'une authentification a été opérée avec succès. Chaque appareil utilisateur peut disposer d'une pluralité de modes d'authentification potentiels qui peuvent concourir à authentifier un utilisateur à un instant t. A titre d'exemple voici quelques modes d'authentification utilisables simultanément sur plusieurs appareils : The system further comprises three main elements, namely a central server 20, dedicated mainly to the implementation of authentication, at least one and preferably a plurality of application systems 10, such as bank servers, purchases or various services, etc., to which a large number of users, associated and therefore known by the application systems, can connect. The system finally comprises a plurality of user devices 30, which the users use to perform various operations using the application systems 10, after an authentication has been operated successfully. Each user device can have a plurality of potential authentication modes that can help to authenticate a user at a time t. As an example here are some authentication modes that can be used simultaneously on several devices:
- module de réception email qui reçoit des jetons sous forme de lien cliquable.  - Email receiving module that receives tokens in the form of a clickable link.
- module de réception SMS qui reçoit ses jetons sous forme de lien cliquable ou de simples codes en format texte ;  - SMS receiving module which receives its tokens in the form of a clickable link or simple codes in text format;
- module de réception applicatif dédié au serveur central qui permet de simplement accepter ou un refuser des demandes d'authentification voire d'y apporter une valeur ajoutée telle que la vérification biométrique selon les caractéristiques de l'appareil utilisateur ;  an application receiving module dedicated to the central server that makes it possible to simply accept or refuse authentication requests or even to add added value such as biometric verification according to the characteristics of the user device;
-des modules de réception issus de systèmes de messagerie populaires tels que les réseaux sociaux. [0036] Pour prendre un exemple d'un individu disposant d'un ordinateur, d'un smartphone et d'une montre connectée, à un instant T et selon les préférences du système applicatif, il pourrait s'authentifier avec l'un des modes suivants : receiving modules from popular messaging systems such as social networks. To take an example of an individual with a computer, a smartphone and a connected watch, at a time T and according to the preferences of the application system, he could authenticate with one of the following modes:
- sur smartphone : par email, par SMS, par module dédié avec vérification digitale, par applicatif de type « Facebook Messenger » ; - on smartphone: by email, by SMS, by dedicated module with digital verification, by application type "Facebook Messenger";
sur ordinateur : par email, par module dédié sans vérification digitale, par applicatif de type « Skype » ;  on computer: by email, by dedicated module without digital verification, by application type "Skype";
sur montre connectée : par module dédié.  on connected watch: by dedicated module.
[0037] Dans l'exemple précédent, on a ainsi huit modes d'authentification distincts sur trois appareils différents. In the above example, there are thus eight different authentication modes on three different devices.
[0038] Chacun des systèmes applicatifs 10, en plus des modules spécifiquement dédiés aux types d'opérations et fonctionnalités qui sont spécifiques à chaque système, comprend une pluralité de modules concernant l'authentification, comme suit. Each of the application systems 10, in addition to the modules specifically dedicated to the types of operations and functionalities that are specific to each system, comprises a plurality of modules concerning the authentication, as follows.
[0039] Chaque système applicatif 10 dispose d'une base 16 de données d'utilisateurs, comportant des identifiants uniques pour chacun d'entre eux. Pour procéder à l'authentification, une pluralité de moyens d'authentifications doivent être associés à chacun des utilisateurs. Ces données sont avantageusement comprises dans une base de modes d'authentification (28b) prévue au niveau du serveur central. En variante, une base 15 (en traits pointillés) peut être prévue au niveau du système applicatif. En pratique, certains systèmes applicatifs peuvent comprendre une base 15 tandis que d'autres n'en possèdent pas. La base 28b centralisée permet d'une part de bénéficier des données d'authentification des utilisateurs qui utilisent plusieurs systèmes applicatifs et d'autre part permet aux systèmes applicatifs de déléguer tout ou partie de leur authentification au serveur central. [0040] Ces données sont obtenues une fois lorsqu'un utilisateur s'inscrit ou ouvre un compte auprès d'un système applicatif. Un module 1 1 (en traits pointillés) de sélection de modes d'authentification permet de mettre en place ces données. Comme dans le cas de la base 15, un module 21 de sélection des modes d'authentification peut lui aussi se trouver au niveau du serveur. Des données correspondant aux modes préférentiels d'authentification de chacun des utilisateurs sont avantageusement prévues dans la base d'authentification. Ces données sont obtenues au moment de l'inscription ou de l'ouverture du compte, et peuvent préférentiellement être mises à jour par la suite. Each application system 10 has a database 16 of user data, with unique identifiers for each of them. To perform the authentication, a plurality of authentication means must be associated with each of the users. These data are advantageously included in an authentication mode base (28b) provided at the central server. As a variant, a base 15 (in dashed lines) may be provided at the level of the application system. In practice, some application systems may include one base while others do not. The centralized base 28b allows on the one hand to benefit from the authentication data of the users who use several application systems and on the other hand allows the application systems to delegate all or part of their authentication to the central server. This data is obtained once when a user registers or opens an account with an application system. A module 1 1 (in dashed lines) for selecting authentication modes makes it possible to set up these data. As in the case of the base 15, a module 21 for selecting the authentication modes can also be located at the server. Datas corresponding to the preferred modes of authentication of each of the users are advantageously provided in the authentication base. These data are obtained at the time of registration or opening of the account, and may be preferentially updated later.
[0041] Lorsqu'une authentification doit être lancée, un module 12 de demande d'authentification permet de demander au serveur central 20 d'authentifier un utilisateur du système applicatif concerné par la demande. [0042] Un module 13 d'authentification permet au système applicatif de valider l'authentification de l'utilisateur. When an authentication must be started, an authentication request module 12 makes it possible to ask the central server 20 to authenticate a user of the application system concerned by the request. An authentication module 13 allows the application system to validate the authentication of the user.
[0043] Dans l'exemple de réalisation de la figure 2, le serveur central 20 comprend des modules mémoire permettant de mémoriser les données des utilisateurs 28a, celles concernant les modes d'authentification 28b de ces utilisateurs, et les données de jetons 28c, qui permettront la mise en œuvre du procédé, tel que décrit plus loin. In the embodiment of FIG. 2, the central server 20 comprises memory modules making it possible to store the data of the users 28a, those concerning the authentication modes 28b of these users, and the token data 28c. which will allow the implementation of the method, as described below.
[0044] Comme préalablement décrit, le serveur comprend également un module 21 de sélection de modes d'authentification, pour mettre en place une pluralité de modes d'authentification pour chacun des utilisateurs. Les modes préférentiels de l'utilisateur peuvent être indiqués. A noter que dans l'architecture proposée à la figure 2, le serveur central et le système applicatif comprennent chacun un module de sélection des modes d'authentification. Diverses configurations sont possibles, en prévoyant par exemple un seul module à l'un de deux emplacements. L'emplacement du serveur permet de centraliser les fonctions et confère de ce fait une mise en œuvre plus simple. As previously described, the server also includes a module 21 for selecting authentication modes, to set up a plurality of authentication modes for each of the users. Preferential modes of the user may be indicated. Note that in the architecture proposed in Figure 2, the central server and the application system each comprise a module for selecting the authentication modes. Various configurations are possible, for example by providing a single module at one of two locations. The location of the server makes it possible to centralize the functions and thus confers a simpler implementation.
[0045] Un module 22 de génération de jetons est sollicité lorsqu'une authentification doit être effectuée : ce module permet alors de générer un jeton pour chacun des modes d'authentification mis en place qui seront effectivement utilisés pour effectuer une authentification. [0046] Une des particularités du système consiste à prévoir un envoi simultané ou quasi-simultané d'une pluralité de jetons d'authentification pour des modes d'authentification distincts. Pour cette mise en œuvre, un module 23 d'envoi sensiblement simultané de jetons pour au moins une partie des modes d'authentification préalablement mis en place est prévu. Ce module permet d'envoyer les jetons générés par le module 22 de génération de jetons vers chacun des modes d'authentification retenus. A module 22 for generating tokens is requested when authentication must be performed: this module then generates a token for each of the authentication modes in place that will actually be used to perform authentication. One of the peculiarities of the system consists in providing a simultaneous or almost simultaneous sending of a plurality of authentication tokens for distinct authentication modes. For this implementation, a module 23 for substantially simultaneous sending of tokens for at least a portion of the authentication modes previously implemented is provided. This module makes it possible to send the tokens generated by the chip generation module 22 to each of the selected authentication modes.
[0047]Afin de surveiller l'arrivée en retour d'un des jetons envoyés, un module 24 d'authentification, permet de surveiller une réponse éventuelle d'un appareil utilisateur, selon un des modes d'authentification utilisés. Ce même module permet de désactiver les jetons qui ne sont pas utilisés. Les jetons étant de durée limitée, ce module désactive les jetons une fois la durée prévue écoulée. Cette durée est avantageusement très courte, à des fins de sécurité, comme par exemple quelques secondes ou minutes. A titre d'exemple, la durée peut se situer entre 10s et 30s ou entre 30s et 90s, ou plus. In order to monitor the return of one of the sent tokens, an authentication module 24, to monitor a possible response of a user device, according to one of the authentication modes used. This same module allows to disable the tokens that are not used. Since the chips are of limited duration, this module deactivates the chips once the expected duration has elapsed. This duration is advantageously very short, for security purposes, such as for example a few seconds or minutes. For example, the duration can be between 10s and 30s or between 30s and 90s, or more.
[0048] Le serveur central 20 comprend par ailleurs un module 26 de sécurisation. Ce module est prévu afin que le système applicatif 10 puisse échanger des données intermédiaires avec le serveur central 20 afin de générer par étapes la validation de l'authentification de l'utilisateur au niveau du système applicatif. The central server 20 further comprises a security module 26. This module is provided so that the application system 10 can exchange intermediate data with the central server 20 in order to generate in stages validation of the authentication of the user at the level of the application system.
[0049] Enfin, dans l'exemple illustré, le serveur central 20 comprend un module 25 de vérification des modes d'authentification disponibles, permettant de vérifier la disponibilité des modes d'authentification associés à un utilisateur avant de transmettre un jeton pour ce mode. Finally, in the example illustrated, the central server 20 includes a module 25 for checking the available authentication modes, to check the availability of the authentication modes associated with a user before transmitting a token for this mode. .
[0050] Chaque utilisateur dispose de préférence d'au moins deux appareils utilisateurs 30 comportant chacun un module 31 de réception et envoi de réponse jeton 31 . Ce module est conçu pour recevoir les jetons 31 de demande d'authentification générés par le module de génération 22 de jetons sur serveur central 20, et pour retourner ce jeton transformé au serveur central, en confirmation d'acceptation de l'authentification. [0051] Les échanges entre les éléments du système d'authentification sont effectués de façon connue en soit, par exemple par réseau filaire ou non. La figure 2 illustre un exemple où un réseau 40 tel qu'internet ou un réseau téléphonique est utilisé. [0052] Chacun des éléments du système d'authentification dispose d'une unité de calcul tel qu'un microprocesseur 14, 27 et 32 avec des instructions, une mémoire de travail et un module de communication (non montré) permettant les échanges de données entre les modules. [0053] Selon le mode de réalisation prévu, les jetons peuvent prendre diverses formes et/ou formats. Dans un mode de réalisation préférentiel, les jetons sont des nombres aléatoires. Each user preferably has at least two user devices 30 each comprising a module 31 for receiving and sending a token response 31. This module is designed to receive the authentication request tokens 31 generated by the central server chips generation module 22, and to return this transformed token to the central server, in confirmation of acceptance of the authentication. The exchanges between the elements of the authentication system are performed in a manner known in itself, for example by wired network or not. Figure 2 illustrates an example where a network 40 such as the Internet or a telephone network is used. Each of the elements of the authentication system has a computing unit such as a microprocessor 14, 27 and 32 with instructions, a working memory and a communication module (not shown) for data exchange. between the modules. According to the intended embodiment, the chips can take various forms and / or formats. In a preferred embodiment, the tokens are random numbers.
[0054] La mise en œuvre des différents modules préalablement décrits des trois constituants du système d'authentification (par exemple les modules 1 1 , 12 et 13 du système applicatif, les modules 21 à 27 du serveur central et le module 31 des appareils utilisateurs) est avantageusement réalisée au moyen d'instructions de mise en œuvre, permettant aux modules d'effectuer la ou les opérations spécifiquement prévues pour le module concerné. Les instructions peuvent être sous la forme d'un ou plusieurs logiciels ou modules de logiciels mis en œuvre par un ou plusieurs microprocesseurs. Le ou les modules et/ou le ou les logiciels sont avantageusement prévus dans un produit programme d'ordinateur comprenant un support d'enregistrement ou médium d'enregistrement utilisable par un ordinateur et comportant un code programmé lisible par un ordinateur intégré dans ledit support ou médium, permettant à un logiciel applicatif son exécution sur un ordinateur ou autre dispositif comportant un microprocesseur tel qu'un ordinateur, une tablette, un téléphone de type « smartphone », ou autre. The implementation of the various previously described modules of the three components of the authentication system (for example the modules 1 1, 12 and 13 of the application system, the modules 21 to 27 of the central server and the module 31 of the user devices ) is advantageously performed by means of implementation instructions, allowing the modules to perform the operation or operations specifically provided for the module concerned. The instructions may be in the form of one or more software or software modules implemented by one or more microprocessors. The module (s) and / or the software (s) are advantageously provided in a computer program product comprising a recording medium or recording medium that can be used by a computer and comprising a programmed code readable by a computer integrated in said medium or medium, allowing application software execution on a computer or other device comprising a microprocessor such as a computer, a tablet, a smartphone-type phone, or other.
Procédé d'authentification Authentication method
[0055] La figure 1 est un organigramme fonctionnel illustrant les principales étapes du procédé d'authentification. Ce procédé permet d'effectuer l'authentification d'un utilisateur d'un système applicatif 10 par un serveur central 20. La première étape 50, concerne une demande d'authentification d'un utilisateur effectuée par un système applicatif 10 auprès d'un serveur central 20. FIG. 1 is a functional flowchart illustrating the main steps of the authentication method. This method makes it possible to authenticate a user of an application system 10 by a central server 20. The first step 50, relates to a user authentication request made by an application system 10 to a central server 20.
[0056]A l'étape 51 , le serveur central reçoit la demande d'authentification du système applicatif 10. A l'étape 52, le serveur central 20 prend en compte les données requises du système applicatif 10, et les données 28a d'identifiant utilisateur (par exemple pour quel système applicatif le serveur doit-il authentifier ? Et de quel utilisateur s'agit-il ?). [0057] A l'étape 53, le serveur central prend en compte les données 15 des modes d'authentification mis en place pour cet utilisateur. Ensuite, à l'étape 55, le serveur central génère un jeton à durée limitée pour chaque mode d'authentification. In step 51, the central server receives the authentication request from the application system 10. In step 52, the central server 20 takes into account the data required from the application system 10, and the data 28a from the User ID (for which application system does the server have to authenticate and which user is it?). In step 53, the central server takes into account the data of the authentication modes set up for this user. Then, in step 55, the central server generates a time-limited token for each authentication mode.
[0058]A l'étape 56, le serveur central envoie sensiblement simultanément à une pluralité d'appareils utilisateur 10 de l'utilisateur à authentifier les jetons générés. Il y a donc un jeton pour chacun des modes d'authentification utilisés. In step 56, the central server sends substantially simultaneously to a plurality of user devices 10 of the user to authenticate the generated tokens. There is therefore a token for each of the authentication modes used.
[0059]Au niveau de l'appareil utilisateur 30, un module 31 de réception/réponse reçoit le jeton qui lui est destiné, à l'étape 57. L'utilisateur interagit avec son appareil pour entrer une commande de validation de l'authentification. Sur réception de cette commande utilisateur, le module 31 de réception/réponse ayant reçu ledit jeton modifie le jeton et le renvoie au serveur central (étape 58). At the user device 30, a reception / response module 31 receives the token that is intended for it, in step 57. The user interacts with his device to enter an authentication validation command . Upon receipt of this user command, the receiving / response module 31 having received said token modifies the token and sends it back to the central server (step 58).
[0060]A l'étape 59, le serveur central reçoit le jeton modifié. Le module d'authentification 24 du serveur central 20 valide l'authentification et transmet cette validation au système applicatif 10 qui a adressé la demande (étape 61 ). In step 59, the central server receives the modified token. The authentication module 24 of the central server 20 validates the authentication and transmits this validation to the application system 10 which sent the request (step 61).
[0061] Pour éviter que des jetons devenus inutiles perdurent après l'utilisation d'un premier jeton, l'étape 60 prévoit qu'après réception d'un jeton modifié par un appareil utilisateur, le module d'authentification 24 du serveur central désactive les jetons envoyés en parallèle qui sont encore actifs. To prevent useless chips from remaining after the use of a first token, step 60 provides that after receiving a token modified by a user device, the authentication module 24 of the central server deactivates the tokens sent in parallel that are still active.
[0062]Afin d'augmenter la sécurité du processus, avant l'étape de validation 61 de l'authentification par le module d'authentification 13 du système applicatif 10, un module de sécurisation 26 du serveur central 20 envoie au système applicatif 10 une donnée de changement de statut d'un jeton (étape 63). Suite à cela, le module d'authentification 13 du système applicatif demande en retour (étape 64) au module de sécurisation 26 du serveur central les données correspondant au changement de statut. En réponse à cette requête, le module de sécurisation 26 du serveur central envoie au système applicatif les détails de l'authentification (étape 65). In order to increase the security of the process, before the validation step 61 of the authentication by the authentication module 13 of the application system 10, a security module 26 of the central server 20 sends the application system 10 status change data of a token (step 63). Following this, the authentication module 13 of the application system returns (step 64) to the security module 26 of the central server the data corresponding to the change of status. In response to this request, the security module 26 of the central server sends the application system the details of the authentication (step 65).
[0063]Avant l'étape 55 de génération de jeton, un module de vérification 25 des modes d'authentification disponibles du serveur central effectue une vérification des modes d'authentification 28b disponibles. Cette étape 54 est optionnelle. Prior to step 55 of token generation, a verification module 25 of the available authentication modes of the central server performs a verification of the authentication modes 28b available. This step 54 is optional.
[0064] Les Figures et leurs descriptions faites ci-dessus illustrent l'invention plutôt qu'elles ne la limitent. En particulier, l'invention et ses différentes variantes viennent d'être décrites en relation avec un exemple particulier comportant une architecture dans laquelle les éléments clés sont prévus au niveau du serveur central. The figures and their descriptions made above illustrate the invention rather than limiting it. In particular, the invention and its various variants have just been described in connection with a particular example comprising an architecture in which the key elements are provided at the central server.
[0065] Néanmoins, il est évident pour un homme du métier que l'invention peut être étendue à d'autres modes de réalisation dans lesquels en variantes, on prévoit que certains modules sont agencés à un autre endroit. Par exemple, le module 21 de sélection des modes d'authentification peut être agencé au niveau d'un système applicatif. Nevertheless, it is obvious to one skilled in the art that the invention can be extended to other embodiments in which variants are provided that certain modules are arranged at another location. For example, the module 21 for selecting the authentication modes can be arranged at an application system.
[0066] Encore selon une autre variante, certains modules sont intégrés ou joints, bien que le mode de fonctionnement du procédé reste similaire à celui préalablement décrit. According to another variant, some modules are integrated or joined, although the mode of operation of the method remains similar to that previously described.

Claims

REVENDICATIONS
1 . Procédé d'authentification d'un utilisateur d'un système applicatif (10) disposant d'une pluralité de modes d'authentification par un serveur central (20) disposant de données des utilisateurs (28a) du système applicatif et de données des modes d'authentification de chacun des utilisateurs, comprenant les étapes dans lesquelles : 1. A method of authenticating a user of an application system (10) having a plurality of authentication modes by a central server (20) having data of the users (28a) of the application system and data of the user modes authentication of each of the users, including the steps in which:
le système applicatif (10) effectue (50) une demande d'authentification d'un utilisateur auprès du serveur (20) central ;  the application system (10) performs (50) a user authentication request to the central server (20);
- le serveur (20) central reçoit (51 ) la demande d'authentification du système applicatif (10) ; the central server (20) receives (51) the authentication request from the application system (10);
le serveur central (20) prend en compte (52) les données requises du système applicatif (10) et les données (28a) d'identifiant utilisateur ;  the central server (20) takes into account (52) the required data of the application system (10) and the user identifier data (28a);
en fonction des données (28a) d'identifiant utilisateur, le serveur central (20) prend en compte (53) les données (15) des modes d'authentification mis en place pour cet utilisateur ;  based on the user identifier data (28a), the central server (20) takes into account (53) the data (15) of the authentication modes set up for this user;
le serveur central (20) génère (55) un jeton à durée limitée pour chacun des modes d'authentification identifiés pour cet utilisateur ;  the central server (20) generates (55) a time-limited token for each of the authentication modes identified for that user;
le serveur central (20) envoie (56) à l'intérieur d'un intervalle de temps très court, pour chacun des modes d'authentification de l'utilisateur à authentifier les jetons générés, soit un jeton pour chacun des modes d'authentification ;  the central server (20) sends (56) within a very short time interval, for each of the authentication modes of the user to authenticate the generated tokens, a token for each of the authentication modes ;
un module (31 ) de réception/réponse d'au moins un des appareils utilisateur (30) reçoit (57) le jeton qui lui est destiné ;  a module (31) for receiving / responding from at least one of the user devices (30) receives (57) the token intended for it;
sur réception d'une commande utilisateur, le module (31 ) de réception/réponse ayant reçu ledit jeton modifie (58) le jeton et le renvoie au serveur central (20) ;  upon receipt of a user command, the receiving / response module (31) having received said token modifies (58) the token and sends it back to the central server (20);
le serveur central (20) reçoit (59) le jeton modifié ;  the central server (20) receives (59) the modified token;
le module d'authentification (24) du serveur central (20) valide (61 ) l'authentification et transmet cette validation au système applicatif (10) demandeur, qui à son tour, peut accepter la demande d'authentification et lancer l'application correspondante ;  the authentication module (24) of the central server (20) validates (61) the authentication and transmits this validation to the requesting application system (10), which in turn can accept the authentication request and launch the application corresponding;
-le module d'authentification (24) du serveur central (20) désactive (60) les jetons envoyés en parallèle qui sont encore actifs. the authentication module (24) of the central server (20) deactivates (60) the tokens sent in parallel which are still active.
2. Procédé d'authentification d'un utilisateur d'un système applicatif (10) par un serveur central (20) selon la revendication 1 , dans lequel avant l'étape de validation (61 ) de l'authentification par le module d'authentification (13) du système applicatif (10), un module de sécurisation (26) du serveur central (20) envoie (63) au système applicatif (10) une donnée de changement de statut d'un jeton. 2. A method of authenticating a user of an application system (10) by a central server (20) according to claim 1, wherein before the validation step (61) of the authentication by the module of authentication (13) of the application system (10), a security module (26) of the central server (20) sends (63) to the application system (10) a change of status of a token.
3. Procédé d'authentification d'un utilisateur d'un système applicatif (10) par un serveur central (20) selon la revendication 2, dans lequel un module d'authentification (13) du système applicatif (10) demande en retour (64) au module de sécurisation (26) du serveur central (20) les données correspondant au changement de statut. 3. A method of authenticating a user of an application system (10) with a central server (20) according to claim 2, wherein an authentication module (13) of the application system (10) requests back ( 64) to the security module (26) of the central server (20) the data corresponding to the change of status.
4. Procédé d'authentification d'un utilisateur d'un système applicatif (10) par un serveur central (20) selon la revendication 3, dans lequel le module de sécurisation (26) du serveur central (20) envoie (65) au système applicatif (10) les détails de l'authentification. A method of authenticating a user of an application system (10) with a central server (20) according to claim 3, wherein the security module (26) of the central server (20) sends (65) the application system (10) the details of the authentication.
5. Procédé d'authentification d'un utilisateur d'un système applicatif (10) par un serveur central (20) selon l'une des revendications 1 à 4, dans lequel, avant l'étape (55) de génération de jeton, un module de vérification (25) des modes d'authentification disponibles du serveur central (20) effectue (54) une vérification des modes d'authentification (28b) disponibles. 5. A method of authenticating a user of an application system (10) with a central server (20) according to one of claims 1 to 4, wherein, before the step (55) of generation of token, a check module (25) of the available authentication modes of the central server (20) performs (54) a check of the available authentication modes (28b).
6. Système d'authentification (1 ) d'un utilisateur d'un système applicatif (10) disposant d'une pluralité de modes d'authentification par un serveur central (20) disposant de données des utilisateurs (28a) du système applicatif et de données des modes d'authentification de chacun des utilisateurs, ledit système étant constitué par : An authentication system (1) of a user of an application system (10) having a plurality of authentication modes by a central server (20) having user data (28a) of the application system and of the authentication modes of each of the users, said system consisting of:
-un serveur central (20), comprenant :  a central server (20), comprising:
-un module (21 ) de sélection de modes d'authentification, pour mettre en place une pluralité de modes d'authentification pour chacun des utilisateurs ;  a module (21) for selecting authentication modes, for setting up a plurality of authentication modes for each of the users;
-un module (22) de génération de jetons, permettant de générer un jeton à durée limitée pour chacun des modes d'authentification mis en place qui seront effectivement utilisés pour effectuer une authentification ; -un module (23) d'envoi à l'intérieur d'un intervalle de temps très court de jetons pour au moins une partie des modes d'authentification préalablement mis en place, permettant d'envoyer les jetons générés par le module (22) de génération de jetons vers chacun des modes d'authentification retenus; a module (22) for generating tokens, making it possible to generate a time-limited token for each of the authentication modes put in place that will actually be used to perform authentication; a module (23) for sending within a very short time interval of tokens for at least part of the authentication modes previously set up, making it possible to send the chips generated by the module (22); ) generating tokens to each of the selected authentication modes;
-un module (24) d'authentification, permettant de surveiller une réponse éventuelle d'un appareil utilisateur, selon un des modes d'authentification utilisés et de désactiver (60) les jetons envoyés en parallèle qui sont encore actifs ;  an authentication module (24), making it possible to monitor a possible response from a user device, according to one of the authentication modes used and to deactivate (60) the sent in-chips that are still active;
-une pluralité de modules mémoire (28a, 28b, 28c), pour mémoriser les données des utilisateurs (28a), des modes d'authentification (28b), des jetons (28c) ;  a plurality of memory modules (28a, 28b, 28c) for storing user data (28a), authentication modes (28b), tokens (28c);
-une pluralité de systèmes applicatifs (10), chacun d'entre eux comprenant : a plurality of application systems (10), each of them comprising:
-un module (1 1 ) de sélection de modes d'authentification, permettant de mettre en place une pluralité de modes d'authentification pour chacun des utilisateurs ; -un module (12) de demande d'authentification, permettant de demander au serveur central d'authentifier un utilisateur du système applicatif :  a module (1 1) for selecting authentication modes, making it possible to set up a plurality of authentication modes for each of the users; an authentication request module (12), making it possible to request the central server to authenticate a user of the application system:
-un module (13) d'authentification, permettant au système applicatif de valider l'authentification de l'utilisateur ;  an authentication module (13), enabling the application system to validate the authentication of the user;
-au moins un module mémoire, pour mémoriser les données (15) de modes d'authentification des utilisateurs du système et des données (16) utilisateur authentifiés.  at least one memory module, for storing the authentication user data (15) of the system users and the authenticated user data (16).
-au moins deux appareils utilisateurs (30) comportant chacun un module de réception et envoi de réponse jeton (31 ). at least two user devices (30) each comprising a module for receiving and sending token response (31).
7. Système d'authentification (1 ) d'un utilisateur d'un système applicatif (10) selon la revendication 6, dans lequel le serveur central (20) comprend par ailleurs un module (26) de sécurisation, permettant au système applicatif (10) de dialoguer avec le serveur central (20) afin de générer par étapes la validation de l'authentification de l'utilisateur au niveau du système applicatif. The authentication system (1) of a user of an application system (10) according to claim 6, wherein the central server (20) further comprises a security module (26), allowing the application system ( 10) to dialogue with the central server (20) to generate in stages validation of the authentication of the user at the application system level.
8. Système d'authentification (1 ) d'un utilisateur d'un système applicatif (10) selon l'une des revendications 6 ou 7, dans lequel le serveur central (20) comprend un module (25) de vérification des modes d'authentification disponibles, permettant de vérifier la disponibilité des modes d'authentification associés à un utilisateur avant de transmettre une jeton par l'entremise de ce mode. 8. Authentication system (1) of a user of an application system (10) according to one of claims 6 or 7, wherein the central server (20) comprises a module (25) for checking modes of application. available to check the availability of authentication modes associated with a user before transmitting a token through this mode.
PCT/IB2017/054589 2016-08-09 2017-07-27 System and method for authentication of a user of an application system by a central server, without using a password WO2018029564A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1670443A FR3055053A1 (en) 2016-08-09 2016-08-09 SYSTEM AND METHOD FOR AUTHENTICATION WITHOUT PASSWORD OF A USER OF AN APPLICATION SYSTEM BY A CENTRAL SERVER
FR16/70443 2016-08-09

Publications (1)

Publication Number Publication Date
WO2018029564A1 true WO2018029564A1 (en) 2018-02-15

Family

ID=57485811

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/IB2017/054589 WO2018029564A1 (en) 2016-08-09 2017-07-27 System and method for authentication of a user of an application system by a central server, without using a password

Country Status (2)

Country Link
FR (1) FR3055053A1 (en)
WO (1) WO2018029564A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11050560B2 (en) 2019-09-27 2021-06-29 International Business Machines Corporation Secure reusable access tokens

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040054750A1 (en) * 2002-09-13 2004-03-18 Sun Microsystems, Inc., A Delaware Corporation System for digital content access control
WO2008060725A2 (en) 2006-09-18 2008-05-22 John Franco Franchi Secure universal transaction system
FR2940727A1 (en) 2008-12-31 2010-07-02 Franck Marchand Strong authentication method for user terminal of Internet, involves transmitting message from web server to user terminal, where message contains hypertext link permitting registration of terminal in account table
US20150032625A1 (en) * 2013-07-24 2015-01-29 Matthew Dill Systems and methods for communicating risk using token assurance data
WO2015047555A1 (en) 2013-09-28 2015-04-02 Elias Athanasopoulos Methods, systems, and media for authenticating users using multiple services
FR3015824A1 (en) 2013-12-23 2015-06-26 Orange OBTAINING DATA CONNECTION TO EQUIPMENT VIA A NETWORK
US20150249540A1 (en) 2014-02-28 2015-09-03 Verizon Patent And Licensing Inc. Password-less authentication service

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040054750A1 (en) * 2002-09-13 2004-03-18 Sun Microsystems, Inc., A Delaware Corporation System for digital content access control
WO2008060725A2 (en) 2006-09-18 2008-05-22 John Franco Franchi Secure universal transaction system
FR2940727A1 (en) 2008-12-31 2010-07-02 Franck Marchand Strong authentication method for user terminal of Internet, involves transmitting message from web server to user terminal, where message contains hypertext link permitting registration of terminal in account table
US20150032625A1 (en) * 2013-07-24 2015-01-29 Matthew Dill Systems and methods for communicating risk using token assurance data
WO2015047555A1 (en) 2013-09-28 2015-04-02 Elias Athanasopoulos Methods, systems, and media for authenticating users using multiple services
FR3015824A1 (en) 2013-12-23 2015-06-26 Orange OBTAINING DATA CONNECTION TO EQUIPMENT VIA A NETWORK
US20150249540A1 (en) 2014-02-28 2015-09-03 Verizon Patent And Licensing Inc. Password-less authentication service

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WIKIPEDIA: "Challenge-response authentication - Wikipedia", 3 January 2016 (2016-01-03), pages 1 - 4, XP055333225, Retrieved from the Internet <URL:https://en.wikipedia.org/wiki/Challenge-response_authentication> [retrieved on 20170109] *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11050560B2 (en) 2019-09-27 2021-06-29 International Business Machines Corporation Secure reusable access tokens

Also Published As

Publication number Publication date
FR3055053A1 (en) 2018-02-16

Similar Documents

Publication Publication Date Title
FR2919974A1 (en) INFORMATION SYSTEM AND METHOD OF IDENTIFICATION BY A USER APPLICATION SERVER
WO2013021107A9 (en) Method, server and system for authentication of a person
EP3163487B1 (en) Method, terminal, and computer program for securing the processing of transactional data
WO2020064890A1 (en) Method for processing a transaction, device, system and corresponding program
EP3991381B1 (en) Method and system for generating encryption keys for transaction or connection data
WO2019092327A1 (en) Method for obtaining a digital id with a high level of security
WO2018029564A1 (en) System and method for authentication of a user of an application system by a central server, without using a password
EP3729307B1 (en) Methods and devices for enrolling and authenticating a user with a service
EP3206149B1 (en) Method for monitoring a parameter indicating a level of confidence associated with a user account of an online service
EP3588418A1 (en) Method for conducting a transaction, terminal, server and corresponding computer program
EP2529330B1 (en) Method for providing a dynamic code via a telephone
EP3395042B1 (en) Authentication server for controlling access to a service
FR3090934A1 (en) Method and system for securing operations, and associated user station
FR3007929A1 (en) METHOD FOR AUTHENTICATING A USER OF A MOBILE TERMINAL
WO2022214768A1 (en) Method for controlling access to goods or services distributed via a data communication network
EP4348459A1 (en) Method for processing a transaction, device and corresponding program
EP4105798A1 (en) Authentication method, device and corresponding program
EP3394780A1 (en) Method and device for connecting to a remote server
FR3114714A1 (en) A method of accessing a set of user data.
FR2940727A1 (en) Strong authentication method for user terminal of Internet, involves transmitting message from web server to user terminal, where message contains hypertext link permitting registration of terminal in account table
EP3672193A1 (en) Method and system for authenticating a client terminal by a target server, by triangulation via an authentication server
WO2006100378A2 (en) System and method for controlling a user&#39;s access to secure digital data, server for verifying access rights and agreement server
WO2017077210A1 (en) Method for verifying identity during virtualization
FR3036827A1 (en) DEVICE AND METHOD FOR SECURING ACCESS TO A MERCHANT SITE
FR3026875A1 (en) METHODS FOR CONFIGURING A TERMINAL DEVICE CONNECTED TO A NETWORK TO ENABLE STRONG AUTHENTICATION OF A USER

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17758292

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 08.05.2019)

122 Ep: pct application non-entry in european phase

Ref document number: 17758292

Country of ref document: EP

Kind code of ref document: A1