WO2019110686A1 - Acces a une ressource reseau par authentification mutuelle entre deux dispositifs mobiles par mouvements associees - Google Patents

Acces a une ressource reseau par authentification mutuelle entre deux dispositifs mobiles par mouvements associees Download PDF

Info

Publication number
WO2019110686A1
WO2019110686A1 PCT/EP2018/083691 EP2018083691W WO2019110686A1 WO 2019110686 A1 WO2019110686 A1 WO 2019110686A1 EP 2018083691 W EP2018083691 W EP 2018083691W WO 2019110686 A1 WO2019110686 A1 WO 2019110686A1
Authority
WO
WIPO (PCT)
Prior art keywords
access
information
similarity
degree
devices
Prior art date
Application number
PCT/EP2018/083691
Other languages
English (en)
Inventor
Li Guo
Antoine FRESSANCOURT
Original Assignee
Worldline
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Worldline filed Critical Worldline
Publication of WO2019110686A1 publication Critical patent/WO2019110686A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/025Services making use of location information using location based information parameters
    • H04W4/027Services making use of location information using location based information parameters using movement velocity, acceleration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/43Security arrangements using identity modules using shared identity modules, e.g. SIM sharing

Definitions

  • the present invention relates to access to a secure resource of a communication network and in particular to the communication network itself (WIFI ). It relates more particularly to the facilitation for the user to access such a secure resource from a device such as a mobile telecommunication terminal.
  • WIFI communication network itself
  • Some resources accessible via communication networks are secure, and therefore require an authorization step before they can access it. This is the case of servers, applications, available via the network, but also generally the communication network itself.
  • the authorization can be automatic, without intervention of the user of the device. This can be done in particular by the resource itself, or by another network element, by automatically recognizing the device and determining that it has been previously authorized.
  • the first access may require user intervention, which may include the entry of a password and its transmission to the resource in an access request.
  • user intervention may include the entry of a password and its transmission to the resource in an access request.
  • entering a password can be time-consuming and prone to error, especially when they are lengthy, such as authentication keys for Wi-Fi networks that comply with Wi-Fi Protected Access specifications. (WP A) or, more recently WPA2.
  • Some communication terminals such as certain connected objects, also have no means of ergonomically entering a password (such as a keyboard, for example).
  • the invention aims at proposing an alternative method of accessing a resource of a communication network from a mobile device, which is more ergonomic for the user and makes it possible in particular to avoid entering a password, or other authentication keys.
  • the object of the present invention is to provide a solution at least partially overcoming the aforementioned drawbacks.
  • the present invention proposes a method for granting, to a second device, access to a secure resource of a communication network to which access has been previously granted for a first device, this method comprising:
  • the invention comprises one or more of the following features which can be used separately or in partial combination with one another or in total combination with one another:
  • the resource is said communication network itself
  • the request is transmitted by a proximity network, distinct from said communication network;
  • said devices download a software code in order to determine, respectively, said first and second information
  • said information consists of a sample of motion measurements determined by a duration and by a sampling frequency
  • said degree of similarity is calculated by performing a normalized cross-correlation between the first and second information.
  • the degree of similarity is calculated by performing curve fitting between said first and second information
  • the degree of similarity is calculated by taking into account, in addition, the geolocation of the devices and G time stamping of the first and second information.
  • Another object of the invention consists of a device designed to grant a second device access to a secure resource of a communication network, to which access has been previously granted, this device comprising:
  • material means for determining first information representative of a motion described by said device; means for receiving a message transmitted by the second device and containing second information representative of a movement described by said second device;
  • Another subject of the invention concerns a system comprising this device (and the second device
  • FIG. 1 represents schematically an example of a general context in which the invention can be inserted.
  • Figure 2 schematically shows a first embodiment of the invention.
  • Figure 3 schematically shows a second embodiment of the invention.
  • Figure 4 schematically shows a third embodiment of the invention.
  • mobile devices 11, 12 may be in contact with a communication network 20 (typically a radio communication network).
  • a communication network 20 typically a radio communication network.
  • These mobile devices can be any type of telecommunication terminal having a radio interface, such as smartphones, tablets, connected objects, etc.
  • the communication network 20 may comply with the technical specifications of existing or future standards, such as WiFi, Bluetooth, 3G / 4G / LTE standards, etc.
  • the devices typically connect to the communication network 20 via an access point 21.
  • Different secure resources can be considered by the method of the invention.
  • it may be a secure server, an application, or any other service made available via the communication network.
  • This service may further be the use of the communication network.
  • communication networks are indeed secure and require authentication of users so that their devices can access the network.
  • This authentication is generally only the provision of an authentication key (or password) but other mechanisms may also be possible.
  • Wi-Fi Protected Area In the case of a WIFI type communication network, several mechanisms have been deployed over time but all require the provision of a key by the user.
  • This key can be of variable size depending on the mechanism: WEP ("Wired Equivalent Privacy", 64 or 128 bits, WPA ("Wi-Fi Protected Area"), WPA2, compliant with the IEEE 802.11I ...
  • EAP Extensible Authentication Protocol
  • a second device wishes to access the same resource (for example the communication network 20).
  • Both devices have means for determining information representative of a movement they undergo.
  • These means comprise hardware means and software means (or code).
  • the material means may in particular comprise an accelerometer, a gyroscope, or any other means capable of being embedded in a communication terminal and of determining measurements of a movement described in space.
  • the software code can be previously installed on the devices, either natively or via the prior download.
  • This software code can be in the form of an executable application, a script encapsulated in a web page (in Javascript, for example), etc.
  • a user can then perform movements associated with both devices.
  • An example of associated movements is a simultaneous and therefore identical movement applied to both devices.
  • This movement can be arbitrary and in particular does not need to be identical to a model or previously performed movement (in other words, the mechanism according to this embodiment of the invention avoids a phase of enrollment of movements, including a gesture signature).
  • Information can then be determined to represent, or characterize, this movement undergone by the devices.
  • Each of the devices determines this information independently, although they are based on the same movement. Since the devices may have different hardware means (gyroscopes, accelerometers, etc.), which may also be calibrated differently, the information thus determined will, a priori, also be substantially different for the same movement.
  • a degree of similarity can be calculated between the information determined by each of the two devices.
  • this degree of similarity is sufficiently high (that is to say, for example, greater than a predetermined threshold), it shows that the two devices have undergone the same movement. This same movement shows that, on the one hand, the two devices are co-located and that, on the other hand, a voluntary action has been carried out by one of the two users.
  • the user of the first device 11 has sufficient rights to grant access to the resource to a third party device.
  • the calculation of a sufficient degree of similarity can make it possible to automatically grant access to the resource to the second device 12.
  • the same movement imposed on two devices allows the one who has a right of access to a resource to grant the second device that access to the resource.
  • the user of the second terminal can obtain access to a resource in an extremely simple and ergonomic way, while ensuring the security of access by the authentication already performed for the first device
  • the fact that the invention is based on a calculation of the similarity of two signals that are known captured simultaneously, makes it possible to avoid the need to date the signals.
  • the invention thus makes it possible to avoid potential synchronization problems between the clocks of the two devices. It allows in particular to be deployed independently of the presence of a third party server to ensure such synchronism, and therefore to be implemented even without connection to the communication network.
  • the transmission of information between the two devices can be carried out by a proximity network, such as Bluetooth, NFC (Near Field Communication), etc., that is to say by a separate network of the communication network, most often an opportunistic and short-range network.
  • a proximity network such as Bluetooth, NFC (Near Field Communication), etc.
  • the first device 11 is connected to a private network 20 of the home type, for example WI-FI, to which it has thus previously obtained access.
  • a private network 20 of the home type for example WI-FI
  • the two devices 11, 12 are shaken at the same time. Each of the devices determines information representative of the movement.
  • This movement triggers transmission by the device 12 wishing to obtain access to the network 20 of a message 101 containing the information representative of the movement that it has determined, and intended for the device 11.
  • the device 11 calculates, 102, a degree of similarity between the information received and the information it has itself determined.
  • Figure 3 illustrates a variant of the implementation illustrated in Figure 2.
  • the message 104 contains the connection identifiers but also the information representative of the movement determined by the device 11.
  • the device 12 calculates, 106, a degree of similarity between the information received and the information that it has itself determined.
  • this degree of similarity can then compare, 107, this degree of similarity to a predetermined threshold (or any other criterion). If this degree of similarity is considered sufficient, it can then determine that the issuer of the connection identifiers is the device 11.
  • the device 12 can then access, 105, the network 20.
  • This mechanism thus allows mutual authentication between the devices 11 and 12.
  • a third-party device can be particularly interesting in order to avoid fraudulent or malicious behavior of a third party device. For example, if a third-party device is equipped with software and hardware means to monitor the connection requests of the device 12, it can accept such a request and the device 12 then sends its movement information to the third device by thinking to send them to the device 11 Then the third party device may react by transmitting erroneous connection identifiers and / or negotiate the connection to the requested resource in place of the device 12.
  • the mutual authentication mechanism makes it possible to guard against this type of situation.
  • the first device 11 is connected to a private network 20 of the enterprise type, for example WI-FI, to which it has thus previously obtained access. Access to such a network is secured by authentication with an S server (captive portal, RADIUS, etc.).
  • S server Captive portal, RADIUS, etc.
  • the two devices are connected, 201, 202, to the server S.
  • the device 11 has already obtained access to this server S , but not the device 12.
  • This movement triggers transmission by the device 12 wishing to obtain access to the network 20 of a message 204 containing the information representative of the movement that it has determined. This message is transmitted to the server S.
  • the movement also triggers the transmission by the device 11 of a message 205 containing the information representative of the movement that it has determined. This message is also transmitted to the server S.
  • the server S calculates, 206, a degree of similarity between the information received in the messages 203 and 204. He can then compare, 207, this degree of similarity to a predetermined threshold (or any other criterion). If this degree of similarity is judged sufficient, the server S transmits to the device 12, in a message 208, the connection identifier, thus enabling it to access, 209, the network 20.
  • the information representative of a movement may consist of a sample of the motion measurements, determined on the one hand by a duration and on the other hand by a sampling frequency.
  • Fe similarity calculation can be implemented in different ways.
  • a standardized cross-correlation can be performed between the two signals (or “Normalized Cross Correlation” (NCC) in English).
  • the information determined by each must be highly similar. Therefore, it is to be able to determine if the degree of similarity is very high or not.
  • x represents the average of the signal x [i]
  • the average of the signal y [i].
  • the signals x [i] and y [i] correspond to the information representative of the movements of the two devices.
  • the parameter d corresponds to the offset between the two signals that one seeks to correlate.
  • transformations can be Fourier transforms, wavelet transforms, etc.
  • the degree of similarity can furthermore take into account extrinsic data to the movement information, such as, for example, geolocation data and / or a timestamp of the information, etc.
  • the access of the requesting device 12 can be granted if this degree corresponds to a previously defined criterion.

Abstract

L'invention concerne un procédé pour accorder à un second dispositif (12) l'accès à une ressource sécurisée d'un réseau de communication (20), auquel l'accès a préalablement été accordé pour un premier dispositif (11), ce procédé comprenant - la détermination par les premier et second dispositifs de, respectivement, premières et secondes informations représentatives d'un mouvement décrit simultanément par les dispositifs; - la transmission par le second dispositif d'un message contenant les secondes informations au premier dispositif (11); - le calcul d'un degré de similarité entre les premières et secondes informations par le premier dispositif (11), et l'accord de l'accès si le degré de similarité répond à un critère déterminé.

Description

ACCES A UNE RESSOURCE RESEAU PAR AUTHENTIFICATION
MUTUELLE ENTRE DEUX DISPOSITIFS MOBILES PAR
MOUVEMENTS ASSOCIEES
DOMAINE DE L’INVENTION
La présente invention est relative à l'accès à une ressource sécurisée d’un réseau de communication et notamment au réseau de communication lui-même (WIFI...). Elle concerne plus particulièrement la facilitation pour l'utilisateur d'accéder à une telle ressource sécurisée à partir d'un dispositif tel qu’un terminal mobile de télécommunication.
CONTEXTE DE L’INVENTION
Certaines ressources accessibles par des réseaux de communication sont sécurisées, et nécessitent donc une étape d'autorisation avant de pouvoir y accéder. C'est le cas de serveurs, d'applications, disponibles via le réseau, mais aussi généralement du réseau de communication lui-même.
Pour des accès subséquents à une même ressource, l'autorisation peut être automatique, sans intervention de l'utilisateur du dispositif. Cela peut notamment être fait par la ressource elle-même, ou par un autre élément de réseau, en reconnaissant automatiquement le dispositif et en déterminant qu’il a été préalable autorisé.
Toutefois, en général, le premier accès peut nécessiter une intervention de l’utilisateur, qui peut notamment être la saisie d’un mot de passe et sa transmission à la ressource dans une requête d'accès. C'est par exemple le cas lors d’un premier accès à un réseau de communication de type WIFI : l'utilisateur doit saisir un mot de passe associé à ce réseau pour pouvoir y accéder la première fois.
Dans certains cas, la saisie d'un mot de passe peut être fastidieuse et sujette à erreur, notamment lorsque ceux-ci sont de longueurs importantes, tels que les clés d'authentification pour réseaux WIFI conformes aux spécifications « Wi-Fi Protected Access » (WP A) ou, plus récemment WPA2.
Certains terminaux de communication, tels que certains objets connectés, ne possèdent en outre pas de moyens de saisie ergonomique d’un mot de passe (comme un clavier, par exemple).
L’invention vise à proposer une méthode alternative d’accès à une ressource d'un réseau de communication à partir d'un dispositif mobile, plus ergonomique pour l’utilisateur et permettant notamment d’éviter la saisie d'un mot de passe, ou autres clés d'authentification.
RESUME DE L’INVENTION
Le but de la présente invention est de fournir une solution palliant au moins partiellement les inconvénients précités.
A cette fin, la présente invention propose un procédé pour accorder, à un second dispositif, l'accès à une ressource sécurisée d'un réseau de communication auquel l’accès a préalablement été accordé pour un premier dispositif, ce procédé comprenant :
la détermination par les premier et second dispositifs de, respectivement, premières et secondes informations représentatives d'un mouvement décrit simultanément par lesdits dispositifs;
la transmission par le second dispositif d’un message au premier dispositif, contenant les secondes informations; le calcul d'un degré de similarité entre les premières et secondes informations par le premier dispositif, et l'accord de l’accès si ce degré de similarité répond à un critère déterminé. Suivant des modes de réalisation préférés, l’invention comprend une ou plusieurs des caractéristiques suivantes qui peuvent être utilisées séparément ou en combinaison partielle entre elles ou en combinaison totale entre elles :
- la ressource est ledit réseau de communication lui-même ;
- la requête est transmise par un réseau de proximité, distinct dudit réseau de communication ;
- lesdits dispositifs téléchargent un code logiciel afin de déterminer, respectivement, lesdites première et seconde informations ;
- lesdites informations sont constituées d’un échantillon de mesures de mouvement déterminé par une durée et par une fréquence d’échantillonnage ;
ledit degré de similarité est calculé en effectuant une corrélation croisée normalisée entre les premières et secondes informations.
- le degré de similarité est calculé en effectuant un ajustement de courbes entre lesdites premières et secondes informations ;
le degré de similarité est calculé en prenant en compte, en outre, la géolocalisation des dispositifs et G horodatage des premières et secondes informations.
Un autre objet de l’invention consiste en un dispositif prévu pour accorder à un second dispositif, l'accès à une ressource sécurisée d'un réseau de communication, auquel l’accès lui a préalablement été accordé, ce dispositif comportant :
des moyens matériels pour la détermination de premières informations représentatives d'un mouvement décrit par ledit dispositif ; des moyens de réception d’un message émis par le second dispositif et contenant des secondes informations représentatives d’un mouvement décrit par ledit second dispositif ;
des moyens pour calculer un degré de similarité entre les premières et secondes informations, et pour délivrer l’accord de l’accès si ledit degré de similarité répond à un critère déterminé.
Un autre objet de l’invention concerne un système comportant ce dispositif ( et le second dispositif
D'autres caractéristiques et avantages de l'invention apparaîtront à la lecture de la description qui suit d’un mode de réalisation préféré de l'invention, donnée à titre d'exemple et en référence aux dessins annexés. BREVE DESCRIPTION DES DESSINS
La figure 1 représente schématiquement un exemple de contexte général dans lequel peut s’insérer l’invention.
La figure 2 représente schématiquement un premier mode de réalisation de l’invention.
La figure 3 représente schématiquement un deuxième mode de réalisation de l’invention.
La figure 4 représente schématiquement un troisième mode de réalisation de l’invention.
DESCRIPTION DETAILLEE DE L’INVENTION
Ainsi qu’indiqué schématiquement sur la figure 1, des dispositifs mobiles 11, 12 peuvent être en contact avec un réseau de communication 20 (typiquement, un réseau de radiocommunication). Ces dispositifs mobiles peuvent être tout type de terminaux de télécommunication disposant d’une interface radio, tels que des smartphones, des tablettes, des objets connectés, etc.
Le réseau de communication 20 peut être conforme aux spécifications techniques des normes existantes ou à venir, tels que les normes WiFi, Bluetooth, 3G/4G/LTE, etc.
Les dispositifs se connectent typiquement au réseau de communication 20 via un point d’accès 21. Différentes ressources sécurisées peuvent être considérées par le procédé de l’invention. Par exemple, il peut s’agir d’un serveur sécurisé, d’une application, ou tout autre service rendu disponible via le réseau de communication.
Ce service peut en outre être l’utilisation du réseau de communication. En général, les réseaux de communication sont en effet sécurisés et nécessitent une authentification des utilisateurs afin que leurs dispositifs puissent accéder au réseau.
Cette authentification est en général uniquement la fourniture d’une clé d’authentification (ou mot de passe) mais d’autres mécanismes peuvent être également possibles.
Dans le cas d’un réseau de communication de type WIFI, plusieurs mécanismes ont été déployés au fil du temps mais qui tous nécessitent la fourniture d’une clé par l’utilisateur. Cette clé peut être de taille variable suivant le mécanisme : WEP (« Wired Equivalent Privacy », 64 ou 128 bits, WPA (« Wi-Fi Protected Area »), WPA2, conforme à la norme IEEE 802.11Î...
La saisie de la clé et les éventuelles autres étapes d’authentification peuvent être fastidieuses pour l’utilisateur et sujettes à erreur.
D’autres mécanismes peuvent nécessiter un accès spécifique au réseau et à l’utilisateur, tels que le mécanisme EAP (« Extensible Authentication Protocol »). On suppose que le premier dispositif 11 a préalablement obtenu l’accès à une ressource sécurisée associée à ce réseau de communication 20. Par exemple, ce dispositif 11 a obtenu l’accès au réseau de communication.
Un deuxième dispositif souhaite accéder à la même ressource (par exemple le réseau de communication 20).
Les deux dispositifs disposent de moyens pour déterminer des informations représentatives d’un mouvement qu’ils subissent. Ces moyens comprennent des moyens matériels et des moyens (ou code) logiciels. Les moyens matériels peuvent notamment comprendre un accéléromètre, un gyroscope, ou tout autre moyen susceptible d’être embarqué dans un terminal de communication et de déterminer des mesures d’un mouvement décrit dans l’espace.
Le code logiciel peut être préalablement installé sur les dispositifs, soit nativement, soit via le téléchargement préalable.
Il peut également être exécuté sur le dispositif via un téléchargement « ad hoc » au moment de son utilisation. Par exemple, les dispositifs peuvent se connecter à la ressource sécurisée et ainsi provoquer le téléchargement du code logiciel. Ce code logiciel peut se présenter sous la forme d’une application exécutable, d’un script encapsulé dans une page web (en Javascript, par exemple), etc.
Un utilisateur peut alors faire subir des mouvements associés aux deux dispositifs.
Un exemple de mouvements associés est un mouvement simultané et, donc, identique, appliqué aux deux dispositifs.
Il peut par exemple les saisir dans une même main et les secouer et/ou leur faire subir un autre mouvement arbitraire dans l’espace. Ce mouvement peut être arbitraire et notamment ne nécessite pas d’être identique à un mouvement modèle ou précédemment effectué (autrement dit, le mécanisme selon ce mode de réalisation de l’invention permet d’éviter une phase d’enrôlement de mouvements, notamment d’une signature gestuelle).
Des informations peuvent alors être déterminées pour représenter, ou caractériser, ce mouvement subit par les dispositifs.
Chacun des dispositifs détermine ces informations de façon indépendante, quoiqu’elles se basent sur un même mouvement. Comme les dispositifs peuvent posséder des moyens matériels (gyroscopes, accéléromètres...) différents, qui peuvent en outre être calibrés de façon différente, les informations ainsi déterminées seront a priori elles- aussi sensiblement différentes, pour un même mouvement.
Un degré de similarité peut être calculé entre les informations déterminées par chacun des deux dispositifs.
Si ce degré de similarité est suffisamment élevé (c’est-à-dire, par exemple, supérieur à un seuil prédéterminé), cela démontre que les deux dispositifs ont bien subit un même mouvement. Ce même mouvement démontre que d’une part les deux dispositifs sont co-localisés et que, d’autre part, une action volontaire a été effectuée de la part d’un des deux utilisateurs.
Il peut être prévu que l’utilisateur du premier dispositif 11 dispose de droits suffisants pour concéder l’accès à la ressource à un dispositif tiers. En ce cas, le calcul d’un degré de similarité suffisant peut permettre d’accorder automatiquement l’accès à la ressource au second dispositif 12.
Dans le cas où le degré de similarité n’est pas suffisant (par exemple, inférieur au seuil prédéterminé), l’accès est refusé au second terminal.
Ainsi, selon l’invention, un même mouvement imposé à deux dispositifs permet à celui qui dispose d’un droit d’accès à une ressource d’accorder au second dispositif ce droit d’accès à la ressource. De la sorte, l’utilisateur du second terminal peut obtenir l’accès à une ressource de façon extrêmement simple et ergonomique, tout en garantissant la sécurisation de l’accès par l’authentification déjà effectuée pour le premier dispositif
En outre, le fait que l’invention se base sur un calcul de la similarité de deux signaux que l’on sait capturés simultanément, permet de s’abstraire de la nécessité de dater les signaux. L’invention permet donc de s’abstraire de potentiels problèmes de synchronisation entre les horloges des deux dispositifs. Elle permet notamment de pouvoir être déployée indépendamment de la présence d’un serveur tiers permettant de garantir un tel synchronisme, et donc, d’être mise en œuvre même sans connexion au réseau de communication.
La transmission des informations entre les deux dispositifs peut être effectuée par un réseau de proximité, tels que Bluetooth, NFC (Near Field Communication), etc., c’est-à-dire par un réseau distinct du réseau de communication, le plus souvent un réseau opportuniste et de courte portée.
Cela peut permettre d’accorder l’accès à une ressource réseau, alors même que celui n’est pas disponible au moment de l’interaction entre les deux dispositifs. C’est bien évidemment le cas lorsque la ressource est le réseau lui-même, mais cela peut être très intéressant également pour accorder un accès à un serveur (serveur de paiement, applications, etc.), même sans en avoir présentement l’accès : il suffit juste que le premier dispositif dispose des éléments de connexion et qu’une authentification pair- à-pair ait lieu pour que le second dispositif puisse accéder à la ressource, immédiatement ou ultérieurement.
Selon une mise en œuvre, illustrée par la figure 2, le premier dispositif 11 est connecté à un réseau privé 20 de type domestique, par exemple WI- FI, auquel il a donc préalablement obtenu l’accès. Au lieu de donner les identifiants de connexion au réseau 20 (« login » et mot de passe) à l’utilisateur du dispositif 12, on secoue, 100, les deux dispositifs 11, 12 en même temps. Chacun des dispositifs détermine des informations représentatives du mouvement.
Ce mouvement déclenche l’émission par le dispositif 12 souhaitant obtenir l’accès au réseau 20 d’un message 101 contenant les informations représentatives du mouvement qu’il a déterminé, et destiné au dispositif 11.
A sa réception, le dispositif 11 calcule, 102, un degré de similarité entre les informations reçues et les informations qu’il a lui-même déterminé.
II peut alors comparer, 103, ce degré de similarité à un seuil prédéterminé (ou tout autre critère). Si ce degré de similarité est jugé suffisant, le dispositif 11 transmet au dispositif 12, dans un message 104, les identifiants de connexion, lui permettant ainsi d’accéder, 105, au réseau 20.
La figure 3 illustre une variante de la mise en œuvre illustrée par la figure 2.
Selon cette variante, le message 104 contient les identifiants de connexion mais également les informations représentatives du mouvement déterminées par le dispositif 11.
A sa réception, le dispositif 12 calcule, 106, un degré de similarité entre les informations reçues et les informations qu’il a lui-même déterminé.
Il peut alors comparer, 107, ce degré de similarité à un seuil prédéterminé (ou tout autre critère). Si ce degré de similarité est jugé suffisant, il peut alors déterminer que l’émetteur des identifiants de connexion est bien le dispositif 11.
Le dispositif 12 peut alors accéder, 105, au réseau 20.
Ce mécanisme permet ainsi une authentification mutuelle entre les dispositifs 11 et 12.
Il peut être particulièrement intéressant afin d’éviter un comportement frauduleux ou malicieux d’un dispositif tiers. Par exemple, si un dispositif tiers est équipé de moyens logiciels et matériels pour surveiller les demandes de connexion du dispositif 12, il peut accepter une telle demande et le dispositif 12 envoie alors ses informations de mouvement au dispositif tiers en croyant les envoyer au dispositif 11. Alors le dispositif tiers peut réagir en transmettant des identificateurs de connexion erronés et/ou négocier la connexion à la ressource demandée à la place du dispositif 12.
Le mécanisme d’authentification mutuelle permet de se prémunir de ce type de situation.
Selon une deuxième mise en œuvre, illustrée par la figure 4, le premier dispositif 11 est connecté à un réseau privé 20 de type entreprise, par exemple WI-FI, auquel il a donc préalablement obtenu l’accès. L’accès à un tel réseau est sécurisé par authentification auprès d’un serveur S (portail captif, RADIUS, etc.).
Au lieu fournir, oralement ou autrement, les identifiants d’accès permettant de s’authentifier auprès de ce serveur, on connecte, 201, 202, les deux dispositifs au serveur S. Le dispositif 11 a déjà obtenu l’accès à ce serveur S, mais non pas le dispositif 12.
On secoue, 203, alors les deux dispositifs simultanément. Chacun des dispositifs détermine des informations représentatives du mouvement.
Ce mouvement déclenche l’émission par le dispositif 12 souhaitant obtenir l’accès au réseau 20 d’un message 204 contenant les informations représentatives du mouvement qu’il a déterminé. Ce message est transmis au serveur S.
Le mouvement déclenche également l’émission par le dispositif 11 d’un message 205 contenant les informations représentatives du mouvement qu’il a déterminé. Ce message est également transmis au serveur S.
A leurs réceptions, le serveur S calcule, 206, un degré de similarité entre les informations reçues dans les messages 203 et 204. Il peut alors comparer, 207, ce degré de similarité à un seuil prédéterminé (ou tout autre critère). Si ce degré de similarité est jugé suffisant, le serveur S transmet au dispositif 12, dans un message 208, les identifiant de connexion, lui permettant ainsi d’accéder, 209, au réseau 20.
Selon un mode de réalisation de l’invention, les informations représentatives d’un mouvement peuvent être constituées d’un échantillon des mesures de mouvement, déterminé d’une part par une durée et d’autre part par une fréquence d’échantillonnage.
Expérimentalement, on peut estimer qu’un échantillonnage de 50 mesures par secondes pendant 2 secondes permet une bonne représentation du mouvement, tout en formant un volume de données pouvant être transmis sur un réseau de communication (Wi-Fi...) ou de proximité (NFC, Bluetooth...) sans pénaliser les performances du mécanisme.
D’autres mécanismes pour extraire une partie de l’ensemble des mesures de mouvement pour former ces informations peuvent être mis en œuvre. Il peut également être envisagé que les informations considérées soient constituées de l’ensemble des mesures effectuées par les moyens matériels embarqués dans les dispositifs 11 et 12 (gyroscopes...).
Fe calcul de similarité peut être mis en œuvre de différentes façons.
Selon un mode de réalisation, une corrélation croisée normalisée peut être effectuée entre les deux signaux (ou « Normalized Cross Corrélation » (NCC) en langue anglaise).
Cette technique est bien connue dans le domaine du traitement du signal et en particulier dans le domaine de l’imagerie numérique. Fes principes de la corrélation croisée en général et de la corrélation croisée normalisée en particulier sont notamment décrits dans le lien wikipedia suivant :
https://en.wikipedia.org/wiki/Cross-correlation
ainsi que dans l’article scientifique suivant : J. P. Lewis, « Fast Template Matching », in Vision Interface, p. 120- 123, 1995.
Si les deux dispositifs ont subi un même mouvement, les informations déterminées par chacun doivent être fortement similaires. Par conséquent, il s’agit de pouvoir déterminer si le degré de similarité est très élevé ou non.
Une approche basée sur la corrélation croisée normalisée convient très bien à cette problématique, et permet des performances satisfaisantes en termes de qualité du résultat, sans nécessiter de ressources de calcul importantes.
Une telle corrélation croisée normalisée entre deux signaux x[i] et y[i] peut prendre pour forme :
Figure imgf000014_0001
dans laquelle x représente la moyenne du signal x[i], et ÿ la moyenne du signal y[i]. Les signaux x[i] et y[i] correspondent aux informations représentatives des mouvements des deux dispositifs.
Le paramètre d correspond au décalage entre les deux signaux que l’on cherche à corréler. En recherchant le maximum de la valeur maximal du degré de similarité r , pour toutes les valeurs de d, on peut ainsi rendre le calcul indépendant de la synchronisation des horloges entre les deux terminaux et permettre l’absence d’un mécanisme de resynchronisation ou d’une datation des signaux.
Ce degré de similarité peut également être calculé par une méthode de type « curve matching » ou « ajustement de courbes » en français. Cette technique est notamment divulguée dans l’article « On Curve Matching » de H. J. Wolfson, in IEEE Transactions on Pattern Analysis and Machine Intelligence, 12, 5, mai 1990, pages 483-489, ou également sur la page wikipedia suivante :
https://en.wikipedia.org/wiki/Computational_anatomy#Curve_matchi
Egalement, il peut être possible de mettre en œuvre une transformation des signaux préalablement au calcul du degré de similarité. Ces transformations peuvent être des transformées de Fourrier, des transformées en ondelettes, etc.
Selon un mode de réalisation, le degré de similarité peut en outre prendre en compte des données extrinsèques aux informations de mouvement, telles que par exemple des données de géolocalisation et/ou un horodatage des informations, etc.
Pour ce faire, les informations transmises par le dispositif demandeur
12 peuvent être associées à de telles données de géolocalisation et/ou d’horodatage, etc.
Une fois le degré de similarité calculé, on peut accorder l’accès du dispositif demandeur 12 si ce degré correspond à un critère défini préalablement.
Bien entendu, la présente invention n'est pas limitée aux exemples et au mode de réalisation décrits et représentés, mais elle est susceptible de nombreuses variantes accessibles à l'homme de l'art.

Claims

REVENDICATIONS
1. Procédé pour accorder à un second dispositif (12) l'accès à une ressource sécurisée d'un réseau de communication (20), auquel l'accès a préalablement été accordé à un premier dispositif (11), ledit procédé comprenant
- la détermination par lesdits premier et second dispositifs de, respectivement, premières et secondes informations représentatives d'un mouvement décrit simultanément par lesdits dispositifs;
- la transmission par ledit second dispositif d’un message contenant lesdites secondes informations audit premier dispositif (11);
- le calcul d'un degré de similarité entre lesdites premières et secondes informations par ledit premier dispositif (11), et l'accord dudit accès si ledit degré de similarité répond à un critère déterminé.
2. Procédé selon la revendication précédente, dans lequel ladite ressource est ledit réseau de communication lui-même.
3. Procédé selon l'une des revendications précédentes, dans lequel ladite requête est transmise par un réseau de proximité, distinct dudit réseau de communication.
4. Procédé selon Tune des revendications précédentes, dans lequel lesdits dispositifs téléchargent un code logiciel afin de déterminer, respectivement, lesdites première et seconde informations.
5. Procédé selon Tune des revendications précédentes, dans lequel lesdites informations sont constituées d’un échantillon de mesures de mouvement déterminé par une durée et par une fréquence d’échantillonnage.
6. Procédé selon l’une des revendications précédentes, dans lequel ledit degré de similarité est calculé en effectuant une corrélation croisée normalisée entre lesdites premières et secondes informations.
7. Procédé selon l’une des revendications 1 à 5, dans lequel ledit degré de similarité est calculé en effectuant un ajustement de courbes entre lesdites premières et secondes informations.
8. Procédé selon l’une des revendications précédentes, dans ledit degré de similarité est calculé en prenant en compte, en outre, la géo localisation desdits dispositifs et G horodatage desdites premières et secondes informations.
9. Dispositif (11) prévu pour accorder à un second dispositif (12) l'accès à une ressource sécurisée d'un réseau de communication (20), auquel l’accès lui a préalablement été accordé, ledit dispositif comportant : des moyens matériels pour la détermination de premières informations représentatives d’un mouvement décrit par ledit dispositif (11) ;
- des moyens de réception d’un message émis par ledit second dispositif (12) et contenant des secondes informations représentatives d’un mouvement décrit par ledit second dispositif ;
- des moyens pour calculer un degré de similarité entre lesdites premières et secondes informations, et pour délivrer l’accord dudit accès si ledit degré de similarité répond à un critère déterminé.
10. Système comportant le dispositif (11) selon la revendication 9 et ledit second dispositif (12).
PCT/EP2018/083691 2017-12-05 2018-12-05 Acces a une ressource reseau par authentification mutuelle entre deux dispositifs mobiles par mouvements associees WO2019110686A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1761641 2017-12-05
FR1761641A FR3074627B1 (fr) 2017-12-05 2017-12-05 Acces a une ressource reseau par authentification mutuelle entre deux dispositifs mobiles par mouvements associees

Publications (1)

Publication Number Publication Date
WO2019110686A1 true WO2019110686A1 (fr) 2019-06-13

Family

ID=62167397

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2018/083691 WO2019110686A1 (fr) 2017-12-05 2018-12-05 Acces a une ressource reseau par authentification mutuelle entre deux dispositifs mobiles par mouvements associees

Country Status (2)

Country Link
FR (1) FR3074627B1 (fr)
WO (1) WO2019110686A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100278345A1 (en) * 2009-05-04 2010-11-04 Thomas Matthieu Alsina Method and apparatus for proximity based pairing of mobile devices
FR2984654A1 (fr) * 2011-12-16 2013-06-21 St Microelectronics Crolles 2 Appairage de dispositifs sans fil
US20140366105A1 (en) * 2013-06-10 2014-12-11 Apple Inc. Configuring wireless accessory devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100278345A1 (en) * 2009-05-04 2010-11-04 Thomas Matthieu Alsina Method and apparatus for proximity based pairing of mobile devices
FR2984654A1 (fr) * 2011-12-16 2013-06-21 St Microelectronics Crolles 2 Appairage de dispositifs sans fil
US20140366105A1 (en) * 2013-06-10 2014-12-11 Apple Inc. Configuring wireless accessory devices

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
H. J. WOLFSON: "On Curve Matching", IEEE TRANSACTIONS ON PATTERN ANALYSIS AND MACHINE INTELLIGENCE, vol. 12, 5 May 1990 (1990-05-05), pages 483 - 489, XP000168667, DOI: doi:10.1109/34.55108
J. P. LEWIS: "Fast Template Matching", VISION INTERFACE, 1995, pages 120 - 123, XP009095154
LEWIS J P: "Fast normalized template matching", PROCEEDINGS VISION INTER, XX, XX, 16 May 1995 (1995-05-16), pages 120 - 123, XP009095154 *
WOLFSON H J: "ON CURVE MATCHING", IEEE TRANSACTIONS ON PATTERN ANALYSIS AND MACHINE INTELLIGENCE, IEEE COMPUTER SOCIETY, USA, vol. 12, no. 5, 1 May 1990 (1990-05-01), pages 483 - 489, XP000168667, ISSN: 0162-8828, DOI: 10.1109/34.55108 *

Also Published As

Publication number Publication date
FR3074627B1 (fr) 2021-04-16
FR3074627A1 (fr) 2019-06-07

Similar Documents

Publication Publication Date Title
US11886563B2 (en) Continuous authentication system and related methods
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
CN113272805A (zh) 公用计算设备的基于邻近度的解锁
JP2009135688A (ja) 認証方法、認証システムおよび車載装置
WO2002102018A1 (fr) Procede d'authentification entre un objet de telecommunication portable et une borne d'acces public
EP2912818B1 (fr) Procede d'authentification mutuelle entre un terminal et un serveur distant par l'intermediaire d'un portail d'un tiers
EP3241137B1 (fr) Procede mis en oeuvre dans un document d'identite et document d'identite associe
WO2014064353A1 (fr) Procede de fourniture d'un service securise
KR102559827B1 (ko) 블록체인과 해쉬 암호화 기술을 기반으로 한 영상 인증 시스템 및 그 방법
US20070157020A1 (en) Method and apparatus for providing session key for WUSB security and method and apparatus for obtaining the session key
KR102308859B1 (ko) 생체 정보 기반 대리 인증 서비스 시스템 및 방법
FR2975550A1 (fr) Acces protege par biometrie a des dispositifs electroniques
CN106339623B (zh) 登录方法和装置
CN108989331B (zh) 数据存储设备的使用鉴权方法及其设备和存储介质
WO2019110686A1 (fr) Acces a une ressource reseau par authentification mutuelle entre deux dispositifs mobiles par mouvements associees
EP3667530A1 (fr) Accès sécurise à des données chiffrées d'un terminal utilisateur
EP3127374B1 (fr) Accès sécurisé à un réseau étendu via un réseau de communication mobile
WO2016102834A1 (fr) Procédé d'authentification d'un utilisateur et d'un module sécurisé, appareil électronique et système associes
CN106559850B (zh) 一种入网切换的方法及装置
EP3732852A1 (fr) Procédé d'authentification à l'aide d'un terminal mobile utilisant une clé et un certificat stockés sur un support externe
WO2022089599A1 (fr) Procédé de distribution de données partagées et dispositifs électroniques
CN115119539B (zh) 用于记录物理层特征的服务的方法、设备及存储介质
EP2372958A1 (fr) Procédé pour authentifier un terminal se connectant à un serveur d' accès à internet
WO2017077211A1 (fr) Communication entre deux éléments de sécurité insérés dans deux objets communicants
EP2146534A1 (fr) Procédé, système, serveur et terminal d'authentification hybride

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18830389

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18830389

Country of ref document: EP

Kind code of ref document: A1