Nothing Special   »   [go: up one dir, main page]

FR2832576A1 - Mobile user supplier identification process uses authentication function - Google Patents

Mobile user supplier identification process uses authentication function Download PDF

Info

Publication number
FR2832576A1
FR2832576A1 FR0115089A FR0115089A FR2832576A1 FR 2832576 A1 FR2832576 A1 FR 2832576A1 FR 0115089 A FR0115089 A FR 0115089A FR 0115089 A FR0115089 A FR 0115089A FR 2832576 A1 FR2832576 A1 FR 2832576A1
Authority
FR
France
Prior art keywords
user
communication device
supplier
challenge
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0115089A
Other languages
French (fr)
Inventor
Amor Ghazi Ben
Christian Guion
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Axalto SA
Original Assignee
Schlumberger Systemes SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Schlumberger Systemes SA filed Critical Schlumberger Systemes SA
Priority to FR0115089A priority Critical patent/FR2832576A1/en
Publication of FR2832576A1 publication Critical patent/FR2832576A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

A mobile (2) user supplier (6) identification process uses a challenge (CH) transformed (TR) with the user authentication function from the SIM (Subscriber Identity Module) and returned through the user server (4) for verification by the verification server (8).

Description

<Desc/Clms Page number 1> <Desc / Clms Page number 1>

PROCEDE ET DISPOSITIF D'AUTHENTIFICATION D'UN UTILISATEUR AUPRES D'UN FOURNISSEUR DE SERVICE A L'AIDE D'UN DISPOSITIF DE COMMUNICATION La présente invention concerne l'authentification d'un utilisateur auprès d'un fournisseur de service à l'aide d'un dispositif de communication.  The present invention relates to the authentication of a user with a service provider using a method. 'a communication device.

Elle trouve une application générale dans l'authentification d'un utilisateur auprès d'un fournisseur de service à l'aide d'un dispositif de communication, et plus particulièrement dans la vérification de l'identité d'un utilisateur/usager lors d'une demande d'accès à un service, donnée, et/ou site. It finds a general application in the authentication of a user with a service provider using a communication device, and more particularly in the verification of the identity of a user / user during a request for access to a given service and / or site.

Vérifier l'identité d'un utilisateur est un problème majeur dans le domaine du contrôle d'accès à des données, services, et/ou sites. Verifying the identity of a user is a major problem in the field of access control to data, services, and / or sites.

Généralement, la vérification de l'identité d'une entité fait intervenir une séquence d'identification qui montre ce que cette entité est, possède et/ou connaît. Generally, the verification of the identity of an entity involves an identification sequence which shows what this entity is, possesses and / or knows.

Pour conférer un degré de sécurité élevé, la séquence d'identification doit être différente à chaque demande d'accès car si la séquence d'identification est toujours la même, une personne non autorisée peut frauduleusement la rejouer de façon relativement aisée. To confer a high degree of security, the identification sequence must be different for each access request because if the identification sequence is always the same, an unauthorized person can fraudulently replay it relatively easily.

Pour diversifier la séquence d'identification, on connaît déjà des procédés d'authentification active qui sont mis en oeuvre entre une entité d'authentification et une entité à authentifier. En pratique, ce genre de procédé comprend tout d'abord l'émission par l'entité d'authentification d'une donnée formant challenge à destination de To diversify the identification sequence, active authentication methods are already known which are implemented between an authentication entity and an entity to be authenticated. In practice, this type of process first of all comprises the transmission by the authentication entity of data forming a challenge intended for

<Desc/Clms Page number 2><Desc / Clms Page number 2>

l'entité à authentifier. L'entité à authentifier calcule en réponse le transformé de la donnée formant challenge selon une fonction d'authentification. L'entité d'authentification compare alors le transformé ainsi calculé par l'entité à authentifier et le transformé calculé par l'entité d'authentification. L'accès est validé en fonction du résultat de la comparaison.  the entity to be authenticated. The entity to be authenticated calculates in response the transform of the data forming a challenge according to an authentication function. The authentication entity then compares the transform thus calculated by the entity to be authenticated and the transform calculated by the authentication entity. Access is validated according to the result of the comparison.

Pour conférer un degré de sécurité satisfaisant, il convient de rendre la donnée formant challenge quasi aléatoire. De plus, le transformé de ladite donnée formant challenge ne doit pas donner d'indications susceptibles de trouver les transformés à d'autres données formant challenge. To confer a satisfactory degree of security, it is necessary to make the data forming a challenge almost random. In addition, the transform of said challenge data must not give indications likely to find the transformed to other challenge data.

Généralement, ce genre de procédé d'authentification active est mis en oeuvre à l'aide d'un dispositif d'identification qui est personnalisé de telle sorte que deux dispositifs d'identification ne produisent pas le même transformé pour une même donnée choisie. Generally, this kind of active authentication method is implemented using an identification device which is personalized so that two identification devices do not produce the same transform for the same chosen data item.

Ainsi, lorsqu'un utilisateur souhaite accéder à un service accessible en ligne à l'aide d'un ordinateur personnel, il commence par saisir sur l'ordinateur son nom d'identification ou son nom d'utilisateur. Le serveur fournissant le service transmet alors à l'utilisateur une donnée formant challenge. L'utilisateur saisit cette donnée formant challenge sur son dispositif d'identification. Le dispositif d'identification répond alors avec un transformé (mot de passe), calculé selon une fonction d'authentification logée dans le dispositif d'identification. Enfin, le fournisseur de service vérifie la validité du transformé ainsi calculé par le dispositif d'identification. Thus, when a user wishes to access a service accessible online using a personal computer, he begins by entering his identification name or his user name on the computer. The server providing the service then transmits data forming a challenge to the user. The user enters this challenge data on his identification device. The identification device then responds with a transform (password), calculated according to an authentication function housed in the identification device. Finally, the service provider checks the validity of the transform thus calculated by the identification device.

La réponse (transformé ou mot de passe) émanant du dispositif d'identification peut être en relation également avec des conditions externes telles que le temps, l'emplacement de la session. The response (transformed or password) from the identification device can also be related to external conditions such as time, location of the session.

<Desc/Clms Page number 3> <Desc / Clms Page number 3>

Figure img00030001
Figure img00030001

L'identification intervient ici grâce au dispositif d'identification et l'utilisateur prouve qu'il a le dispositif d'identification. The identification takes place here thanks to the identification device and the user proves that he has the identification device.

Pour ajouter un niveau de sécurité supplémentaire, l'utilisateur peut aussi saisir un mot de passe supplémentaire, soit sur le dispositif d'identification, soit sur son ordinateur lorsqu'il veut accéder au service. L'un des inconvénients majeurs de cette solution à base d'un dispositif d'identification est le déploiement et le prix d'une telle solution. To add an additional level of security, the user can also enter an additional password, either on the identification device or on his computer when he wants to access the service. One of the major drawbacks of this solution based on an identification device is the deployment and the price of such a solution.

En effet, la mise en oeuvre d'une telle solution engendre l'achat du dispositif d'identification qui est utilisé pour une telle identification. Indeed, the implementation of such a solution generates the purchase of the identification device which is used for such identification.

En outre, il convient de personnaliser le dispositif de telle sorte que les réponses soient spécifiques à l'utilisateur. In addition, the device should be personalized so that the responses are user-specific.

De plus, si l'utilisateur souhaite s'identifier auprès de plusieurs fournisseurs de services (banques, ordinateurs, services), il doit avoir un dispositif d'identification différent pour chaque service ou fournisseur. In addition, if the user wishes to identify himself with several service providers (banks, computers, services), he must have a different identification device for each service or provider.

Un autre problème intervient également lorsqu'il convient de mettre à jour ou de changer le système. Another problem also arises when the system needs to be updated or changed.

Or, cette modification de changement peut intervenir s'il est nécessaire d'utiliser des algorithmes différents pour générer des mots de passe ou de changer de tables de mot de passe. However, this change modification can occur if it is necessary to use different algorithms to generate passwords or to change password tables.

Dans ce cas, la seule possibilité pour l'administrateur de services est de changer tous les services et de mettre à jour l'ensemble des dispositifs In this case, the only possibility for the service administrator is to change all the services and update all the devices.

<Desc/Clms Page number 4> <Desc / Clms Page number 4>

Figure img00040001

d'identification ou de remplacer les anciens dispositifs par des nouveaux dispositifs d'identification.
Figure img00040001

or replace the old devices with new identification devices.

La présente invention remédie à ces inconvénients. The present invention overcomes these drawbacks.

Elle porte sur un procédé d'authentification d'un utilisateur auprès d'un fournisseur de service, ledit utilisateur étant équipé d'un dispositif de communication. It relates to a method of authenticating a user with a service provider, said user being equipped with a communication device.

Selon une définition générale de l'invention, le procédé comprend les étapes suivantes : i) équiper le dispositif de communication de moyens de traitement aptes à établir une fonction d'authentification active ; ii) équiper le fournisseur de moyens d'authentification aptes à établir une fonction d'authentification active conjuguée avec celle du dispositif de communication de l'utilisateur ; iii) en réponse à une demande d'accès à un service en provenance de l'utilisateur, envoyer de la part du fournisseur à destination dudit utilisateur une donnée formant challenge ; iv) au niveau du dispositif de communication de l'utilisateur, recevoir la donnée formant challenge et calculer le transformé de la donnée formant challenge par la fonction d'authentification du dispositif de communication de l'utilisateur ; v) envoyer de la part de l'utilisateur à destination du fournisseur le transformé ainsi calculé ; et vi) au niveau du fournisseur, vérifier la validité du transformé ainsi reçu et en cas de vérification positive, valider l'accès au service tandis qu'en cas de vérification négative, refuser l'accès au service. According to a general definition of the invention, the method comprises the following steps: i) equipping the communication device with processing means capable of establishing an active authentication function; ii) equipping the supplier with authentication means capable of establishing an active authentication function combined with that of the user's communication device; iii) in response to a request for access to a service from the user, send from the supplier to said user a data item forming a challenge; iv) at the user's communication device, receiving the challenge data and calculating the transform of the challenge data by the authentication function of the user's communication device; v) send from the user to the supplier the transformed thus calculated; and vi) at the level of the supplier, check the validity of the transformed thus received and in the event of positive verification, validate access to the service while in the event of negative verification, refuse access to the service.

Ainsi, au lieu d'utiliser un dispositif d'identification spécifique à chaque utilisateur, le procédé selon l'invention utilise une fonction Thus, instead of using an identification device specific to each user, the method according to the invention uses a function

<Desc/Clms Page number 5><Desc / Clms Page number 5>

d'authentification qui est mise en oeuvre dans un dispositif de communication, de préférence mais de façon non limitative dans un dispositif de communication mobile.  authentication which is implemented in a communication device, preferably but not limited to in a mobile communication device.

Une telle fonction d'authentification peut être par exemple un programme chargé de préférence dans le module d'identité d'usager (SIM) du dispositif de communication. Le module d'identité d'usager est en effet ici avantageux dans la mesure où il offre davantage de sécurité qu'un dispositif de communication proprement dit. De plus, le module d'identité d'usager est plus flexible et plus riche en possibilités d'identification qu'un dispositif de communication proprement dit. Such an authentication function can for example be a program loaded preferably in the user identity module (SIM) of the communication device. The user identity module is indeed here advantageous insofar as it offers more security than a communication device proper. In addition, the user identity module is more flexible and richer in identification possibilities than a communication device proper.

La présente invention a également pour objet un dispositif d'authentification mis en oeuvre par le procédé selon l'invention ainsi qu'un programme d'ordinateur apte à assurer les fonctionnalités techniques de l'invention. The present invention also relates to an authentication device implemented by the method according to the invention as well as a computer program capable of ensuring the technical functionalities of the invention.

D'autres caractéristiques et avantages de l'invention apparaîtront à la lumière de la description détaillée ci-après et des dessins dans lesquels la figure unique illustre le procédé d'authentification selon l'invention. Other characteristics and advantages of the invention will appear in the light of the detailed description below and of the drawings in which the single figure illustrates the authentication method according to the invention.

Le procédé d'authentification selon l'invention est mis en place à l'aide d'un dispositif de communication 2 appartenant à l'utilisateur, d'une station client 4, d'un serveur 6 appartenant au fournisseur de service auprès duquel l'utilisateur effectue sa demande d'accès, et le cas échéant d'un vérificateur 8. The authentication method according to the invention is implemented using a communication device 2 belonging to the user, a client station 4, a server 6 belonging to the service provider with which the the user makes his access request, and if necessary a verifier 8.

Le dispositif de communication 2 peut être un téléphone mobile du type sans fil, radio cellulaire de type GSM, UMTS, etc., ou bien encore un assistant personnel ou tout autre appareil pouvant être programmé de manière sécurisée et/ou disposant d'une carte SIM. Avantageusement, The communication device 2 can be a mobile phone of the wireless type, cellular radio of the GSM, UMTS type, etc., or even a personal assistant or any other device that can be programmed securely and / or has a card. SIM. advantageously,

<Desc/Clms Page number 6><Desc / Clms Page number 6>

le programme d'authentification conforme à l'invention est logé dans le module d'identité d'usager (module SIM) du téléphone mobile.  the authentication program according to the invention is housed in the user identity module (SIM module) of the mobile phone.

La station client 4 appartient au groupe formé par des ordinateurs personnels, des assistants personnels, les téléphones portables ou tout autre appareil servant à accéder à des données sur un réseau. The client station 4 belongs to the group formed by personal computers, personal assistants, mobile phones or any other device used to access data on a network.

En pratique, le dispositif de communication 2 est équipé de moyens de traitement aptes à établir une fonction d'authentification active et le fournisseur 6 est équipé de moyens d'authentification aptes à établir une fonction d'authentification active conjuguée avec celle du dispositif de communication de l'utilisateur. In practice, the communication device 2 is equipped with processing means able to establish an active authentication function and the supplier 6 is equipped with authentication means able to establish an active authentication function combined with that of the communication device. of the user.

Selon l'invention, en réponse à une demande d'accès à un service en provenance de l'utilisateur, le serveur 6 envoie de la part du fournisseur à destination dudit utilisateur 4 une donnée formant challenge CH. According to the invention, in response to a request for access to a service from the user, the server 6 sends from the supplier to said user 4 a data item forming CH challenge.

L'utilisateur reçoit la donnée formant challenge CH et le transformé TR de la donnée formant challenge CH est calculé par la fonction d'authentification du dispositif de communication de l'utilisateur. The user receives the data forming challenge CH and the transform TR of the data forming challenge CH is calculated by the authentication function of the user's communication device.

En pratique, l'utilisateur exécute la demande d'accès au service à l'aide de la station client 4 et en réponse, le serveur 6 envoie la donnée formant challenge CH à destination de ladite station client 4. De son côté, l'utilisateur transmet ladite donnée formant challenge CH à destination du dispositif de communication 2 afin de calculer le transformé correspondant TR. In practice, the user executes the service access request using the client station 4 and in response, the server 6 sends the data forming a challenge CH to said client station 4. For its part, the user transmits said data forming a challenge CH to the communication device 2 in order to calculate the corresponding transform TR.

Ensuite, l'utilisateur transmet à destination du fournisseur le transformé TR ainsi calculé. En pratique, c'est la station client 4 qui reçoit le transformé calculé TR par le dispositif de communication 2 afin de l'adresser au serveur 6 pour vérification. Then, the user transmits to the supplier the transformed TR thus calculated. In practice, it is the client station 4 which receives the calculated transform TR by the communication device 2 in order to send it to the server 6 for verification.

<Desc/Clms Page number 7><Desc / Clms Page number 7>

Au niveau du serveur 6 du fournisseur, la validité du transformé TR ainsi reçu est vérifiée et en cas de vérification positive, l'accès au service est validé tandis qu'en cas de vérification négative, l'accès au service est refusé.  At the server 6 of the supplier, the validity of the transform TR thus received is verified and in the event of a positive verification, access to the service is validated while in the event of a negative verification, access to the service is refused.

Le transformé TR est spécifique à l'utilisateur et prouve son identité. The TR transform is user-specific and proves their identity.

La fonction d'authentification qui engendre la réponse au challenge (appelé ici transformé) utilise des données susceptibles d'être prises dans les entrées de la session d'identification (nom d'utilisateur, etc.) qui est en pratique mise en place en préliminaire à l'authentification selon l'invention. La fonction d'authentification peut aussi utiliser des données issues d'une clé secrète stockée dans le module d'identité d'usager SIM, ou bien des données issues du code personnel d'identification d'utilisateur PIN CODE, ou bien encore des données issues de données externes telles que la date, l'emplacement de la transaction, un mot de passe. The authentication function which generates the response to the challenge (here called transformed) uses data which can be taken from the entries of the identification session (user name, etc.) which is in practice set up in preliminary to authentication according to the invention. The authentication function can also use data from a secret key stored in the user identity module SIM, or data from the personal user identification code PIN CODE, or even data from external data such as date, location of transaction, password.

En variante, la vérification de la validité du transformé peut être réalisée à l'issue d'un échange de données entre le serveur 6 et un dispositif de vérification distant 8. As a variant, the verification of the validity of the transform can be carried out at the end of a data exchange between the server 6 and a remote verification device 8.

La fonction qui est utilisée pour générer le transformé de la donnée formant challenge peut être différente selon chaque utilisateur. The function that is used to generate the transform of the challenge data can be different for each user.

Il peut être fourni un transformé différent si la même session d'identification est saisie deux fois. A different transform can be provided if the same identification session is entered twice.

Il est remarqué que certaines étapes peuvent être automatisées en utilisant une connexion telle que celles mises en oeuvre par un assistant personnel utilisant un protocole de type bluetooth. Ces opérations It is noted that certain steps can be automated using a connection such as those implemented by a personal assistant using a bluetooth type protocol. These operations

<Desc/Clms Page number 8><Desc / Clms Page number 8>

automatiques peuvent correspondre à la saisie manuelle de la donnée formant challenge et du transformé.  automatic can correspond to the manual entry of the data forming challenge and transform.

Le serveur de vérification 8 peut ici résoudre le problème de l'identification lorsque le fournisseur ou l'administrateur ne peut luimême vérifier la validité du transformé. The verification server 8 can here solve the problem of identification when the supplier or the administrator cannot himself verify the validity of the transform.

Par exemple, la vérification par le dispositif de vérification 8 peut intervenir si le fournisseur de contenu ou de l'administrateur ne possède pas la clé secrète de l'utilisateur. For example, the verification by the verification device 8 can take place if the content provider or the administrator does not have the secret key of the user.

Cette situation est souvent le cas lorsque l'utilisateur exécute une demande d'accès à un service auprès d'un nouveau fournisseur. Dans ce cas, le fournisseur peut transmettre au serveur de vérification 8 des données d'identification ID relatives à l'utilisateur, la donnée formant challenge CH et le transformé TR pour être vérifié auprès du serveur de vérification 8. This situation is often the case when the user makes a request for access to a service from a new supplier. In this case, the supplier can transmit to the verification server 8 identification data ID relating to the user, the data forming a challenge CH and the transform TR to be verified with the verification server 8.

Le serveur de vérification 8 doit avoir une base de données contenant toutes les informations pour répondre à la validité du transformé. The verification server 8 must have a database containing all the information to respond to the validity of the transform.

Si le serveur de vérification 8 valide (réponse RS) la justesse du transformé TR, le fournisseur accepte l'accès à la demande de service. If the verification server 8 validates (RS response) the correctness of the transformed TR, the supplier accepts access to the service request.

Le serveur de vérification 8 peut être mis en place par un opérateur de Télécom ou bien par une tierce personne. The verification server 8 can be set up by a telecom operator or by a third party.

Les exigences pour déployer de tels serveurs concernent seulement la connaissance relative à la fonction d'authentification ainsi qu'à la nécessité d'obtenir une base de donnée contenant les clés secrètes des utilisateurs. The requirements for deploying such servers concern only the knowledge relating to the authentication function as well as the need to obtain a database containing the secret keys of the users.

<Desc/Clms Page number 9><Desc / Clms Page number 9>

En pratique, plusieurs possibilités existent pour déployer de tels services.  In practice, several possibilities exist for deploying such services.

La première possibilité consiste à installer par l'opérateur téléphonique les fonctions d'authentification dans chaque dispositif de communication mobile ou dans chaque module d'identité d'usager. The first possibility consists in installing, by the telephone operator, the authentication functions in each mobile communication device or in each user identity module.

Une autre solution consiste à télécharger les fonctions d'authentification conformes à l'invention par le serveur vérificateur/certificateur 8. Another solution consists in downloading the authentication functions in accordance with the invention by the verifier / certifier server 8.

Ce chargement peut s'effectuer de façon sécurisée à destination des dispositifs de télécommunication mobile ou bien à destination des modules d'identité d'usagers. Par exemple, le chargement du programme selon l'invention peut être réalisé par des messages de type SMS ou par des sessions de type GPRS ou tout autre moyen de communication. This loading can be carried out in a secure manner for mobile telecommunications devices or for user identity modules. For example, the loading of the program according to the invention can be carried out by messages of the SMS type or by sessions of the GPRS type or any other means of communication.

Il est possible de combiner ces deux solutions, la programmation de la fonction d'authentification se faisant par l'opérateur téléphonique et le chargement de la clé privé de l'utilisateur se faisant par le serveur vérificateur/certificateur 8. En plus des moyens de chargement précédemment mentionnés, il devient alors envisageable de demander à l'utilisateur de saisir manuellement sa clef privée et de la communiquer au serveur vérificateur/certificateur 8. It is possible to combine these two solutions, the programming of the authentication function being done by the telephone operator and the loading of the user's private key being done by the verifier / certifier server 8. In addition to the means of loading previously mentioned, it then becomes possible to ask the user to manually enter his private key and to communicate it to the verifier / certifier server 8.

Dans chaque possibilité, la fonction d'authentification peut être mise à jour de façon sécurisée en utilisant les technologies SMS, GPRS. In each possibility, the authentication function can be updated securely using SMS, GPRS technologies.

Cette phase de mise à jour peut être nécessaire par exemple lorsque la fonction d'authentification utilise des mots de passe dont l'usage n'est plus souhaité. This updating phase may be necessary for example when the authentication function uses passwords which are no longer desired for use.

<Desc/Clms Page number 10> <Desc / Clms Page number 10>

Figure img00100001
Figure img00100001

La présente invention confère de nombreux avantages. Notamment elle permet à l'utilisateur de ne plus utiliser de dispositif d'authentification spécifique mais tout simplement son téléphone mobile, par exemple. L'invention permet donc de réduire les coûts au niveau de l'administration et évite l'achat d'un dispositif spécifique pour chaque utilisateur. The present invention provides many advantages. In particular, it allows the user to no longer use a specific authentication device but quite simply his mobile phone, for example. The invention therefore makes it possible to reduce costs at the administrative level and avoids the purchase of a specific device for each user.

De plus, l'utilisateur peut effectuer l'accès à différents fournisseurs avec le même téléphone mobile. In addition, the user can access different providers with the same mobile phone.

Il a uniquement besoin d'avoir différentes fonctions ou différents paramètres sur son téléphone mobile et exécuter la fonction correspondant au fournisseur de services. He only needs to have different functions or settings on his mobile phone and perform the function corresponding to the service provider.

Une autre possibilité est d'utiliser un serveur de vérification distant du fournisseur tel que mentionné ci-avant. Another possibility is to use a verification server remote from the supplier as mentioned above.

Le déploiement et la mise à jour du procédé selon l'invention ne nécessitent en aucune manière une personnalisation physique du dispositif et peuvent être mise en oeuvre de façon distante à travers les communications mobiles en utilisant un programme assurant les fonctionnalités techniques décrites ci-avant. The deployment and updating of the method according to the invention does not in any way require physical personalization of the device and can be implemented remotely through mobile communications using a program ensuring the technical functionalities described above.

Un des avantages de l'invention est de sécuriser de façon satisfaisante les services d'Internet ou bien encore la demande d'accès à un ordinateur. One of the advantages of the invention is to satisfactorily secure Internet services or even the request for access to a computer.

Elle trouve une application ainsi à tout service demandant une identification ou une signature numérique.It thus finds an application to any service requesting an identification or a digital signature.

Claims (1)

REVENDICATIONS 1. Procédé d'authentification d'un utilisateur auprès d'un fournisseur de service, ledit utilisateur étant équipé d'un dispositif de communication (2), caractérisé en ce qu'il comprend les étapes suivantes : i) équiper le dispositif de communication (2) de moyens de traitement aptes à établir une fonction d'authentification ; ii) équiper le fournisseur (6) de moyens d'authentification aptes à établir une fonction d'authentification conjuguée avec celle du dispositif de communication (2) de l'utilisateur ; iii) en réponse à une demande d'accès à un service en provenance de l'utilisateur (4), envoyer de la part du fournisseur à destination dudit utilisateur une donnée formant challenge (CH) ;CLAIMS 1. Method for authenticating a user with a service provider, said user being equipped with a communication device (2), characterized in that it comprises the following steps: i) equipping the device with communication (2) of processing means capable of establishing an authentication function; ii) equipping the supplier (6) with authentication means capable of establishing an authentication function combined with that of the user's communication device (2); iii) in response to a request for access to a service from the user (4), send from the supplier to said user a data item forming challenge (CH); iv) au niveau du dispositif de communication (2) de l'utilisateur, recevoir la donnée formant challenge (CH) et calculer le transformé (TR) de ladite donnée formant challenge (CH) par la fonction d'authentification du dispositif de communication (2) de l'utilisateur ; v) envoyer de la part de l'utilisateur (4) à destination du fournisseur (6) le transformé (TR) ainsi calculé ; vi) au niveau du fournisseur (6), vérifier la validité du transformé (TR) ainsi reçu et en cas de vérification positive, valider l'accès au service tandis qu'en cas de vérification négative, refuser l'accès au service.  iv) at the user's communication device (2), receive the challenge data (CH) and calculate the transform (TR) of said challenge data (CH) by the authentication function of the communication device ( 2) of the user; v) send from the user (4) to the supplier (6) the transformed (TR) thus calculated; vi) at the level of the supplier (6), verify the validity of the processed product (TR) thus received and in the event of a positive verification, validate access to the service while in the event of negative verification, refuse access to the service. 2. Procédé selon la revendication 1, dans lequel le fournisseur est équipé d'un serveur (6) tandis que l'utilisateur est équipé d'une station client (4) apte à échanger des données avec ledit serveur, caractérisé en ce que dans l'étape iii) l'utilisateur exécute la demande d'accès au service à l'aide de la station client (4), en ce que le serveur 2. Method according to claim 1, in which the supplier is equipped with a server (6) while the user is equipped with a client station (4) capable of exchanging data with said server, characterized in that in step iii) the user executes the service access request using the client station (4), in that the server <Desc/Clms Page number 12><Desc / Clms Page number 12> (6) envoie la donnée formant challenge (CH) à destination de ladite station client (4) et en ce que l'utilisateur envoie ladite donnée formant challenge (CH) à destination du dispositif de communication (2) afin de calculer le transformé correspondant.  (6) sends the challenge data (CH) to said client station (4) and in that the user sends said challenge data (CH) to the communication device (2) in order to calculate the corresponding transform . 3. Procédé selon la revendication 2, caractérisé en ce que dans l'étape v) la station client (4) reçoit le transformé calculé (TR) par le dispositif de communication (2) afin de l'adresser au serveur (6) pour vérification. 3. Method according to claim 2, characterized in that in step v) the client station (4) receives the calculated transform (TR) by the communication device (2) in order to send it to the server (6) for verification. 4. Procédé selon l'une des revendications 1 à 3, caractérisé en ce que dans l'étape vi), il est prévu d'équiper le fournisseur d'un dispositif de certification (8) apte à calculer le transformé (TR) de la donnée formant challenge (CH) et à comparer le transformé ainsi calculé avec le transformé (TR) calculé par le dispositif de communication (2) de l'utilisateur. 4. Method according to one of claims 1 to 3, characterized in that in step vi), provision is made to equip the supplier with a certification device (8) capable of calculating the transformed (TR) of the data forming a challenge (CH) and comparing the transformed thus calculated with the transformed (TR) calculated by the communication device (2) of the user. 5. Procédé selon l'une des revendications 1 à 4, caractérisé en ce que l'étape iii) comprend en outre une session d'identification entre l'utilisateur (4) et le fournisseur (6). 5. Method according to one of claims 1 to 4, characterized in that step iii) further comprises an identification session between the user (4) and the supplier (6). 6. Dispositif d'authentification d'un utilisateur auprès d'un fournisseur de service, ledit utilisateur étant équipé d'un dispositif de communication (2), caractérisé en ce que le dispositif de communication (2) comprend des moyens de traitement aptes à établir une fonction d'authentification, en ce que le fournisseur (6) comprend des moyens d'authentification aptes à établir une fonction d'authentification conjuguée avec celle du dispositif de communication de l'utilisateur, et des moyens d'émission propres en réponse à une demande d'accès à un service 6. Device for authenticating a user with a service provider, said user being equipped with a communication device (2), characterized in that the communication device (2) comprises processing means suitable for establishing an authentication function, in that the supplier (6) comprises authentication means capable of establishing an authentication function combined with that of the user's communication device, and own transmission means in response to a request for access to a service <Desc/Clms Page number 13><Desc / Clms Page number 13> en provenance de l'utilisateur, à envoyer à destination dudit utilisateur (4) une donnée formant challenge (CH), en ce que l'utilisateur comprend des moyens d'émission/réception (2,4) aptes à recevoir la donnée formant challenge (CH) et à envoyer au fournisseur le transformé (TR) de ladite donnée formant challenge calculé par la fonction d'authentification du dispositif de communication (é) de l'utilisateur, en ce que le fournisseur (6) comprend en outre des moyens de vérification aptes à vérifier la validité du transformé ainsi calculé par le dispositif de communication, et en cas de vérification positive, à valider l'accès au service tandis qu'en cas de vérification négative, à refuser l'accès au service.  from the user, to send to said user (4) a data item forming challenge (CH), in that the user comprises transmission / reception means (2,4) able to receive the data item forming challenge (CH) and to send to the supplier the transformed (TR) of said challenge data calculated by the authentication function of the communication device (é) of the user, in that the supplier (6) further comprises means Verification capable of verifying the validity of the transform thus calculated by the communication device, and in the event of positive verification, validating access to the service while in the event of negative verification, refusing access to the service. 7. Dispositif selon la revendication 6 dans lequel le fournisseur est équipé d'un serveur (6) tandis que l'utilisateur est équipé d'une station client (4) apte à échanger des données avec ledit serveur (6), caractérisé en ce que la station client (4) comprend des moyens pour exécuter la demande d'accès au service, en ce que le serveur (6) comprend des moyens pour envoyer la donnée formant challenge (CH) à destination de ladite station client et en ce que l'utilisateur possède des moyens propres à envoyer ladite donnée formant challenge (CH) à destination du dispositif de communication afin de calculer le transformé correspondant (TR) et des moyens propres à recevoir ledit transformé (TR) afin de l'adresser au serveur (6) pour vérification. 7. Device according to claim 6 wherein the supplier is equipped with a server (6) while the user is equipped with a client station (4) capable of exchanging data with said server (6), characterized in that that the client station (4) comprises means for executing the request for access to the service, in that the server (6) comprises means for sending the data forming challenge (CH) to said client station and in that the user has means suitable for sending said challenge data (CH) to the communication device in order to calculate the corresponding transform (TR) and means suitable for receiving said transform (TR) in order to address it to the server ( 6) for verification. 8. Dispositif selon l'une des revendications 6 et 7, caractérisé en ce que le dispositif de communication (2) appartient au groupe formé par des dispositifs de télécommunication mobile. 8. Device according to one of claims 6 and 7, characterized in that the communication device (2) belongs to the group formed by mobile telecommunication devices. <Desc/Clms Page number 14> <Desc / Clms Page number 14> 9. Dispositif selon la revendication 8, caractérisé en ce que les moyens de traitement établissant la fonction d'authentification sont logés dans le module d'identité du dispositif de communication (2). 9. Device according to claim 8, characterized in that the processing means establishing the authentication function are housed in the identity module of the communication device (2). 10. Dispositif selon l'une des revendications 6 à 9, caractérisé en ce que l'utilisateur possède une station client (4) appartenant au groupe formé par des ordinateurs personnels, des assistants personnels, les téléphones portables ou tout autre appareil servant à accéder à des données sur un réseau 11. Programme d'ordinateur pour l'authentification d'un utilisateur auprès d'un fournisseur de service, dans lequel ledit utilisateur est équipé d'un dispositif de communication (2) comprenant des moyens de traitement aptes à établir une fonction d'authentification active, et dans lequel le fournisseur (6) est équipé de moyens d'authentification aptes à établir une fonction d'authentification active conjuguée avec celle du dispositif de communication de l'utilisateur, caractérisé en ce que ledit programme d'ordinateur est apte à assurer les fonctionnalités techniques suivantes : a) en réponse à une demande d'accès à un service en provenance de l'utilisateur (4), recevoir une donnée formant challenge (CH) émanant du fournisseur et calculer le transformé (TR) de ladite donnée formant challenge par la fonction d'authentification du dispositif de communication (2) de l'utilisateur, et b) envoyer de la part de l'utilisateur (4) à destination du fournisseur (6) le transformé (TR) ainsi calculé afin que le fournisseur vérifie la validité du transformé ainsi calculé par le dispositif de communication (2).10. Device according to one of claims 6 to 9, characterized in that the user has a client station (4) belonging to the group formed by personal computers, personal assistants, mobile phones or any other device used to access to data on a network 11. Computer program for authenticating a user with a service provider, in which said user is equipped with a communication device (2) comprising processing means capable of establishing an active authentication function, and in which the supplier (6) is equipped with authentication means capable of establishing an active authentication function combined with that of the user's communication device, characterized in that said program computer capable of providing the following technical functionalities: a) in response to a request for access to a service from the user (4) , receive challenge data (CH) from the supplier and calculate the transform (TR) of said challenge data by the authentication function of the user's communication device (2), and b) send from the user (4) to the supplier (6) the transformed (TR) thus calculated so that the supplier checks the validity of the transformed thus calculated by the communication device (2).
FR0115089A 2001-11-20 2001-11-20 Mobile user supplier identification process uses authentication function Pending FR2832576A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0115089A FR2832576A1 (en) 2001-11-20 2001-11-20 Mobile user supplier identification process uses authentication function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0115089A FR2832576A1 (en) 2001-11-20 2001-11-20 Mobile user supplier identification process uses authentication function

Publications (1)

Publication Number Publication Date
FR2832576A1 true FR2832576A1 (en) 2003-05-23

Family

ID=8869651

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0115089A Pending FR2832576A1 (en) 2001-11-20 2001-11-20 Mobile user supplier identification process uses authentication function

Country Status (1)

Country Link
FR (1) FR2832576A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005041482A1 (en) 2003-10-29 2005-05-06 Hui Lin An authentication method for information storing application and a ic card authentication hardware
EP1684460A1 (en) * 2003-10-29 2006-07-26 Hui Lin A method of internet clearance security certification and ic card certification hardware

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19730301C1 (en) * 1997-07-10 1998-09-03 Deutsche Telekom Mobil Mutual authentication method for network components
DE19724901A1 (en) * 1997-06-12 1998-12-17 Siemens Nixdorf Inf Syst Mobile radio telephone and those with a coupled computer for Internet or network applications and method for operating such a combination of devices
DE19939281A1 (en) * 1999-08-19 2001-02-22 Ibm Access control procedure for access to the contents of web-sites, involves using a mobile security module, such as a smart card
WO2001017310A1 (en) * 1999-08-31 2001-03-08 Telefonaktiebolaget L M Ericsson (Publ) Gsm security for packet data networks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19724901A1 (en) * 1997-06-12 1998-12-17 Siemens Nixdorf Inf Syst Mobile radio telephone and those with a coupled computer for Internet or network applications and method for operating such a combination of devices
DE19730301C1 (en) * 1997-07-10 1998-09-03 Deutsche Telekom Mobil Mutual authentication method for network components
DE19939281A1 (en) * 1999-08-19 2001-02-22 Ibm Access control procedure for access to the contents of web-sites, involves using a mobile security module, such as a smart card
WO2001017310A1 (en) * 1999-08-31 2001-03-08 Telefonaktiebolaget L M Ericsson (Publ) Gsm security for packet data networks

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005041482A1 (en) 2003-10-29 2005-05-06 Hui Lin An authentication method for information storing application and a ic card authentication hardware
EP1684460A1 (en) * 2003-10-29 2006-07-26 Hui Lin A method of internet clearance security certification and ic card certification hardware
EP1689120A1 (en) * 2003-10-29 2006-08-09 Hui Lin An authentication method for information storing application and a ic card authentication hardware
EP1689120A4 (en) * 2003-10-29 2009-01-28 Hui Lin An authentication method for information storing application and a ic card authentication hardware
EP1684460A4 (en) * 2003-10-29 2009-02-11 Hui Lin A method of internet clearance security certification and ic card certification hardware

Similar Documents

Publication Publication Date Title
US10755279B2 (en) Methods, systems and products for authentication
US7114175B2 (en) System and method for managing network service access and enrollment
EP0973318A1 (en) Process for remote paying, by means of a mobile radio telephone, the acquisition of a good and/or a service, and corresponding system and mobile radio telephone
US20080288778A1 (en) Method for Generating and Verifying an Electronic Signature
WO2000049585A1 (en) Telepayment method and system for implementing said method
EP3391614B1 (en) Method for sending digital information
WO2006021661A2 (en) Secured authentication method for providing services on a data transmission network
FR2825869A1 (en) Authentication procedure assigns keys for mobile to public terminal links
FR2864289A1 (en) Resource access controlling method, involves notifying comparison of biometric data and biometric references of user, to access terminal, by server that communicates simultaneously with terminal and access terminal
EP2912818B1 (en) Method for mutual authentication between a terminal and a remote server via a third-party portal
FR2889781A1 (en) AUTHENTICATION SERVER FOR DIGITAL IDENTITY
EP2001196A1 (en) Management of user identities for access to services
WO2006010810A2 (en) Method and system for certifying a user identity
FR2832576A1 (en) Mobile user supplier identification process uses authentication function
EP3729307A1 (en) Methods and devices for enrolling and authenticating a user with a service
FR2832825A1 (en) Securing access to a digital resource, uses display with array of patterns from which user selects to generate numeric access code which is stored in a memory that must be presented to allow access
EP0996300A1 (en) Method for accessing server services from a mobile station subscriber identity module and terminal for carrying out the method
EP3820112A1 (en) Method for configuring access to an internet service
WO2024180049A1 (en) Method for issuing an access authorisation for an individual and verification method
FR2794593A1 (en) Authentication system for bank transactions uses two connected links as loop for verification of confidential information
EP4445555A1 (en) Method for controlling access to an area to be secured, and associated initialisation method
WO2012022856A1 (en) Method of authenticating a user of the internet network
FR3099974A1 (en) DIGITAL INFORMATION TRANSMISSION PROCESS
FR2815205A1 (en) ELECTRONIC DOCUMENT AUTHENTICATION PROCESS
FR2785133A1 (en) Application sending mobile telephone technique having subscriber identification module central server liaising and opening/handing over mobile telephone applications area.