Nothing Special   »   [go: up one dir, main page]

WO2007054657A2 - Procede et dispositif de fourniture d'un identifiant de federation reseau a un fournisseur de service - Google Patents

Procede et dispositif de fourniture d'un identifiant de federation reseau a un fournisseur de service Download PDF

Info

Publication number
WO2007054657A2
WO2007054657A2 PCT/FR2006/051157 FR2006051157W WO2007054657A2 WO 2007054657 A2 WO2007054657 A2 WO 2007054657A2 FR 2006051157 W FR2006051157 W FR 2006051157W WO 2007054657 A2 WO2007054657 A2 WO 2007054657A2
Authority
WO
WIPO (PCT)
Prior art keywords
identifier
network
user
federation
adsl
Prior art date
Application number
PCT/FR2006/051157
Other languages
English (en)
Other versions
WO2007054657A3 (fr
Inventor
Nicolas Bailleul
Eric Malville
Nicolas Saillard
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007054657A2 publication Critical patent/WO2007054657A2/fr
Publication of WO2007054657A3 publication Critical patent/WO2007054657A3/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Definitions

  • the present invention is in the field of telecommunication networks and services. More particularly, the invention aims to facilitate and secure the authentication mechanisms of a user with a service provider.
  • Transfer Protocol ' such as Web or WAP.
  • GSM authentication password on ADSL, 10.1.1.1
  • ADSL a first network authentication step
  • the user can access a particular HTTP service.
  • the provider of this service asks him to authenticate again before issuing the requested service.
  • the invention aims to facilitate these different authentication steps.
  • the Liberty Alliance project defines a solution that implements a "federation of identities”. This mechanism allows users to federate their different identities dynamically and online. It allows a service provider to determine the identity of a user from information certified and delivered by an identity provider and thus to free the user of a new authentication phase to access to this service.
  • the service provider contacts the identity provider.
  • the identity provider authenticates the user, if necessary by asking him for his login / password, generates for this user and for this service provider a so-called "federation" alias if this alias does not already exist, and transmits the federation alias to the service provider.
  • the service provider knows this alias, it identifies this user completely using this alias; otherwise, it can either ask the user to authenticate, for example by login / password, and associate this alias with the identity of the user, or create a new identity for this user.
  • the identity provider can either provide the same alias each time the service provider sends him a request, or provide a so-called "one-time" alias.
  • the identity federation and alias exchange mechanisms for delegating user authentication offered by the Liberty Alliance project are only applicable in a context involving services in which the identity provider and the service provider are accessible by the user according to the IP (Internet Protocol), network connectivity being previously established. Thus, the user is always asked to authenticate first to access the network and then to the identity provider, for example by entering two different login / password.
  • IP Internet Protocol
  • the document FR 2 860 111 proposes a system for accessing a network adapted to the implementation of an SSO single authentication method.
  • a user having previously authenticated to an access provider to access the Internet and wishing to access a service, sends an access request to a service provider.
  • the user in response, returns an authentication request to the user to authenticate with an authentication server.
  • This authentication request is intercepted and processed by the access system and transmitted to the authentication server.
  • the processing performed by the access system on the request enables the authentication server to use the prior authentication of the user with the access provider to authenticate it.
  • the access system then sends the service provider an authentication response including in particular the identifier of the known user of the access provider.
  • the service provider must redirect the user, via the authentication request, to an identity provider or an authentication server to which he explicitly asks to authenticate the user.
  • Such redirects are difficult to manage and particularly expensive, especially in a mobile environment for WAP (Wireless Application Protocol) services for example. These redirects also have a significant negative impact in terms of response time vis-à-vis the user.
  • the present invention therefore has the main purpose of overcoming the above disadvantages.
  • it relates to a device for providing a network federation identifier from a user to a service provider, the user being connected to a first telecommunications network via an access provider to which he has connected via a second telecommunications network.
  • the access provider stores in a server a first identifier and a second identifier representative of the connections of this user respectively to the first network and the second network.
  • This server is capable of delivering the second identifier in response to a request for obtaining the second identifier, this request comprising the first identifier.
  • the supply device comprises means for intercepting a first access request sent by the user to the service provider and means for extracting the first identifier from this request.
  • the supply device obtains the second identifier of the user by sending to the server the obtaining request including the first identifier, as described above.
  • the delivery device also comprises means for obtaining the network federation identifier of this user from the second identifier and means for providing the service provider with a second access request constructed from the first request. access issued by the user, and including this network federation identifier.
  • the delivery device advantageously makes it possible by intercepting the access request sent by the user to the service provider to prevent the latter from redirecting the user to an identity provider via a request. authentication.
  • the service provider does not need to ask an identity provider to authenticate the user. Without having made the explicit request, it spontaneously receives from the delivery device according to the invention the access request of the user accompanied by a network federation identifier of this user, which then allows him to quickly give the access to the service requested by the user.
  • This advantageously reduces the operations performed by the service provider, and in particular to reduce the response time to the user to give access to the service.
  • device overcomes the limitations of the access system described in document FR 2 860 111.
  • the supply device also makes it possible to benefit directly from the second identifier of the user.
  • a service provider may authorize a user to consult resources based on the authentication phase of this user previously performed to access the second telecommunication network (for example, GSM authentication, or authentication by login / password). goes on ADSL).
  • this second identifier is a permanent quantity (insofar as the subscription of the user to the access provider is not modified), whereas the first identifier changes in principle with each new connection to the first network. .
  • the invention allows a considerable reduction in the number of necessary authentications, while respecting the security constraints.
  • a given user authenticates with a service provider for a given service one, and only once, in the event that the service provider manages the conditions for obtaining the service itself.
  • the service access rights, payment, and so on
  • the provider recognizes the network federation identifier (permanent) of this user, and therefore does not need to request a new authentication.
  • the service provider delegates to the service provider the management of said conditions for obtaining the service, the user is completely exempt from any authentication with the service provider (in this case, the network federation identifier may be of the "single use" type).
  • the network federation identifier is the second identifier of the user, representative of the connection of the user to the second telecommunications network via the access provider. This makes it possible to have a unique identifier for all the service providers and the access provider.
  • the network federation identifier is a network federation alias. This network federation alias advantageously makes it possible not to disclose to the service provider the network connectivity identifier of the user, but an identifier specific to the service provider. Indeed, the user does not necessarily want his network connectivity identifier to be known to the service provider.
  • the device according to the invention comprises a table which associates the second identifier of a user with the network federation identifier of this known user of the service provider.
  • this table is used in the case where the user has already federated his identity at the service provider with his network identity (second identifier) at the operator.
  • the means for obtaining the network federation identifier are adapted to generate this identifier and to store it in the table in association with the second identifier of this user and a reference of the service provider.
  • these generation means are implemented when the user has not yet federated his identity at the service provider with his network identity (second identifier) at the operator.
  • this federation identifier is deleted from said table when the connection to the second network terminates.
  • the means for obtaining and providing the network federation identifier are in accordance with the LibertyAlliance standard, the network federation identifier being a federation alias within the meaning of this standard.
  • the invention relates to a method of providing a network federation identifier of a user to a service provider, the user being connected to a first telecommunications network via an access provider to which he has connected via a second telecommunications network.
  • the access provider stores in a server a first identifier and a second identifier representative of the connections of this user respectively to the first network and the second network.
  • This server is able to deliver the second identifier in response to a request for obtaining the second identifier, this request comprising the first identifier.
  • This process comprises:
  • a step of obtaining the second identifier by sending the server a request to obtain the second identifier comprising the first identifier;
  • the network federation identifier obtained during the step of obtaining the network federation identifier of the method according to the invention is a network federation alias.
  • the network federation identifier obtained during the step of obtaining the network federation identifier of the method according to the invention is the second identifier of the user, representative the user's connection to the second telecommunication network via the access provider.
  • the method of providing a network federation identifier according to the invention further comprises: a step of generating the network federation identifier of the user from the service provider; and
  • the different steps of the provisioning method are determined by computer program instructions.
  • the invention also relates to a computer program on an information carrier, said program being capable of being implemented in a computer system and comprising instructions adapted to implement the method of providing a network federation identifier according to the invention.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other form desirable shape.
  • the invention also relates to a computer-readable information medium comprising instructions of a computer program as mentioned above.
  • the information carrier may be any entity or device capable of storing the program.
  • the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording medium, for example a floppy disk or a disk. hard.
  • the information medium may be a transmissive medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can be downloaded in particular on an Internet type network.
  • the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • FIG. 1 schematically represents a device for providing a network federation identifier according to the invention in a particular embodiment of the invention, and exchanges messages with a service provider and a server. access;
  • FIG. 2 represents the main steps of a method of providing a network federation identifier according to the invention, implemented by the device of FIG. 1.
  • FIG. 1 represents a device 10 for providing a network federation identifier according to the invention in a particular embodiment.
  • the network federation identifier is a network federation alias, as defined by the Liberty Alliance standard.
  • This device 10 is connected to a first network 1, here of the Internet type.
  • This device 10 comprises a processor 20, a read-only memory 22 of the ROM type, a random-access memory 21 of the RAM type, a FLASH-type non-volatile rewritable memory 23, these elements being interconnected by a bus system 100.
  • Read-only memory 22 has a computer program
  • PROG comprising instructions adapted to the implementation of steps ElO to E60 of the supply method according to the invention and shown in Figure 2.
  • FIG. 1 shows a service provider 30, the HTTP client of the terminal of a user 5.
  • the user 5 is connected to the first network 1 via an access provider to which the user 5 has connected via a second telecommunication network 2 (access network).
  • a second telecommunication network 2 access network
  • the access network 2 is an ADSL network.
  • It can also be constituted in particular by the GPRS or WIFI network.
  • the device 10 for providing aliases comprises communication means 11, connected to the bus 100, making it possible to communicate securely with the server 50 of the access provider. It also comprises communication means 12, connected to the bus 100, implementing the IP (Internet Protocol).
  • IP Internet Protocol
  • the delivery device 10 further comprises means 40 for intercepting the access requests sent by the user 5 to the service provider 30.
  • interception means are for example constituted by a unit of the "reverse proxy" type configured to intercept all the requests intended for the service provider 30.
  • the client terminal 5 equipped in this embodiment with a means of connection to the ADSL network, authenticates, in a known manner, with its ADSL operator.
  • the network authentication phase is known to those skilled in the art. It makes it possible, in particular, to associate an Internet address IP_5 (first identifier) (or possibly other data uniquely characterizing the access session) with the identity of the user on the access network, namely here its ADSL identifier named hereafter ID_ADSL (second identifier).
  • ID_ADSL second identifier
  • the access provider stores in a server 50 the first (IP_5) and second (ID_ADSL) aforementioned identifiers.
  • the server 50 comprises a table T which associates, for each user, the two Internet identifiers IP_5 and ID_ADSL
  • the user 5 can access the service of the service provider 30.
  • the service provider 30 For this purpose, through its client software, it sends an access request R1 to the provider 30.
  • the service provider 30 wishes to authenticate the user 5 by himself.
  • this authentication can be done via another identity provider, which plays an intermediary role between the service provider 30 and the federation alias providing device 10 network according to the invention.
  • the description that is made here applies, the requests exchanged between the service provider 30 and the delivery device 10 passing through this intermediate provider.
  • the service provider 30 redirects (HTTP request 302 Redirect) the client software of the user 5 to an identity provider or an authentication server ("pull mode").
  • the supply device 10 operates in
  • This step ElO is followed by a step E20 during which the delivery device 10 obtains the first identifier constituted in this example by the Internet address IP_5 of the user.
  • This step E20 which consists of extracting an address field from an HTTP frame, is known and will not be described here.
  • the processor 20 stores the first identifier (Internet address IP_5) in the random access memory 21.
  • the step E20 for obtaining an address is followed by a step E30 during which the device 10 sends, using the secure communication means 11, a request R4 for obtaining the second identifier to the access server 50.
  • This request R4 comprises the first identifier IP_5 stored in the previous step in the random access memory 21.
  • the access server 50 Upon receipt of this request R4, the access server 50 reads, in the table T, the second identifier (network identity ID_ADSL) of the user 5, and returns this second identifier in a response R5 to the delivery device 10.
  • the second identifier network identity ID_ADSL
  • This response R5 is received by the device 10 during a step E40.
  • the processor 20 stores the network identity ID_ADSL (second identifier) in the random access memory 21.
  • the provisioning device 10 determines whether the second identifier (network identity ID_ADSL) of the user 5 has already been federated with an identity with the service provider 30.
  • the network identity ID_ADSL second identifier
  • a network federation identifier the alias of federation in the present embodiment
  • step E52 the delivery device 10 generates a federation alias 1234 of the user 5 for the service provider 30.
  • This alias 1234 is, in the example described here, unique for each service provider.
  • This alias generation step is known to those skilled in the art and will not be described here. It is performed for example by random draw of an alphanumeric sequence.
  • This step E52 of generation of the alias 1234 is followed by a step E53 during which the processor 20 stores, in the table 13 of the FLASH memory 23, a triplet associating the network identity ID_ADSL, the alias 1234 and the reference 30 of the service provider.
  • the step E53 for storing the code is followed by a step E60 during which the supply device 10 according to the invention sends to the service provider 30, via the communication means 12, a second access request R6 built to from the first access request R1, sent by the user 5.
  • This second request R6 includes the network federation alias 1234.
  • the method and the supply device according to the invention thus make it possible to spontaneously send the federation alias 1234 to the service provider 30, without the latter having to make an explicit request.
  • the service provider 30 authenticates the user 5, for example by asking him to enter a login / password, and associates the alias 1234 with the identity of the user 5.
  • Steps ElO to E40 are performed as previously described.
  • the result of the E50 federation determination test will be positive.
  • the table 13 of the FLASH memory 23 comprises an association between the network identity ID_ADSL and the federation alias 1234 for the service provider 30.
  • obtaining the federation alias 1234 for the user 5 is done by simply reading this table 13 (step E54). This reading step is followed by the sending step E60 of the alias 1234 previously described.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Ce dispositif (10) est adapté à fournir, à un fournisseur de service (30), un identifiant de fédération réseau d'un utilisateur (5), cet utilisateur étant connecté à un premier réseau de télécommunication (1) via un fournisseur d'accès auquel l'utilisateur s'est connecté via un second réseau de télécommunication (2). Ce dispositif comporte : - des moyens pour intercepter une première requête d'accès (Rl) émise par l'utilisateur (5) au fournisseur de service (30) et pour extraire de cette première requête (Rl) un premier identifiant (IP_5) représentatif de la connexion de l'utilisateur au premier réseau (1) ; - des moyens pour obtenir un second identifiant (ID_ADSL) représentatif de la connexion de l'utilisateur au second réseau (2) en envoyant à un serveur (50) du fournisseur d'accès une requête d'obtention du second identifiant (R4), cette requête (R4) comportant le premier identifiant (IP_5) ; - des moyens pour obtenir un identifiant de fédération (ID_ADSL, 1234) à partir de ce second identifiant (ID_ADSL) ; et - des moyens pour fournir au fournisseur de service (30) une seconde requête d'accès (R6) construite à partir de la première requête d'accès (Rl) et comportant cet identifiant de fédération réseau (ID_ADSL,1234).

Description

Procédé et dispositif de fourniture d'un identifiant de fédération réseau à un fournisseur de service.
Arrière-plan de l'invention
La présente invention se situe dans le domaine des réseaux et services de télécommunication. Plus particulièrement, l'invention a pour but de faciliter et de sécuriser les mécanismes d'authentification d'un utilisateur auprès d'un fournisseur de service.
De façon connue, il devient fréquent qu'un même utilisateur possède plusieurs comptes d'accès à différents réseaux de télécommunication (GSM, GPRS, ADSL, RTC,...) et plusieurs comptes d'accès à des services HTTP (initiales des mots anglais "HyperText
Transfer Protocol') tels que Web ou WAP.
Traditionnellement, lorsqu'un utilisateur souhaite accéder à un service HTTP, il doit au préalable obtenir une connectivité réseau auprès d'un opérateur de télécommunication.
Pour cela, il doit effectuer une première étape d'authentification réseau (authentification GSM, mot de passe sur ADSL,...) auprès de l'opérateur du réseau d'accès. Celui-ci détermine et vérifie ainsi son identité d'accès réseau et lui délivre un service d'accès préalablement souscrit.
Une fois cette connectivité réseau établie, l'utilisateur peut accéder à un service HTTP particulier.
Généralement, le fournisseur de ce service lui demande de s'authentifier une nouvelle fois avant de délivrer le service demandé. L'invention a pour but de faciliter ces différentes étapes d'authentification.
Elle vise notamment à permettre à un utilisateur de ne s'authentifier qu'une seule fois, auprès d'un opérateur de télécommunication, sans qu'il soit nécessaire ultérieurement de s'identifier et de s'authentifier à chaque fois auprès des fournisseurs de service. On connaît, dans le contexte général de l'invention, des mécanismes d'authentification unique (cette fonctionnalité est connue sous le nom SSO, initiales des mots anglais "Single S/gn-Orf).
Ces systèmes permettent à un utilisateur de s'authentifier auprès d'un fournisseur d'identité HTTP et d'accéder aux services d'autres fournisseurs sans avoir à s'identifier ou à s'authentifier de nouveau.
On connaît notamment les mécanismes spécifiés par l'Alliance Liberty, ce mécanisme étant notamment décrit dans le document Liberty ID_FF Architecture Overview, version 1.2, publié en septembre 2004 sur Internet à l'adresse : http://www.projectliberty.org/resources/specifications.php.
Le projet Liberty Alliance définit une solution qui met en œuvre une "fédération d'identités". Ce mécanisme permet aux utilisateurs de fédérer leurs différentes identités dynamiquement et en ligne. II permet notamment à un fournisseur de service de déterminer l'identité d'un utilisateur à partir d'une information certifiée et délivrée par un fournisseur d'identité et donc d'affranchir l'utilisateur d'une nouvelle phase d'authentification pour accéder à ce service.
Plus précisément, quand un utilisateur présente une requête d'accès à un fournisseur de service, ce dernier s'adresse au fournisseur d'identité. Le fournisseur d'identité authentifie l'utilisateur, au besoin en lui demandant son login/mot de passe, génère pour cet utilisateur et pour ce fournisseur de service un alias dit "de fédération" si cet alias n'existe pas déjà, et transmet l'alias de fédération au fournisseur de service. Si le fournisseur de service connaît cet alias, il identifie cet utilisateur complètement au moyen de cet alias ; sinon, il peut soit demander à l'utilisateur de s'authentifier, par exemple par login/mot de passe, et associer cet alias à l'identité de l'utilisateur, soit créer une nouvelle identité pour cet utilisateur. Pour un utilisateur donné auprès d'un fournisseur de service donné, le fournisseur d'identité peut soit fournir le même alias à chaque fois que le fournisseur de service lui envoie une requête, soit fournir un alias dit "à usage unique".
Malheureusement, les mécanismes de fédération d'identités et d'échange d'alias permettant de déléguer l'authentification d'un utilisateur, proposés par le projet Liberty Alliance, n'ont d'application que dans un contexte faisant intervenir des services dans lesquels le fournisseur d'identité et le fournisseur de service sont accessibles par l'utilisateur selon le protocole IP (Internet Protocol), la connectivité réseau étant préalablement établie. Ainsi, on demande toujours à l'utilisateur de s'authentifier d'abord pour accéder au réseau et ensuite auprès du fournisseur d'identité, par exemple en saisissant deux login/mot de passe différents.
Le document FR 2 860 111 propose un système d'accès à un réseau adapté à la mise en œuvre d'un procédé d'authentification unique SSO. Dans ce système, un utilisateur s'étant préalablement authentifié auprès d'un fournisseur d'accès pour accéder au réseau Internet et désirant accéder à un service, envoie une requête d'accès à un fournisseur de service. Celui-ci, en réponse, renvoie une requête d'authentification à l'utilisateur, pour qu'il s'authentifie auprès d'un serveur d'authentification. Cette requête d'authentification est interceptée et traitée par le système d'accès puis transmise jusqu'au serveur d'authentification. Le traitement effectué par le système d'accès sur la requête permet au serveur d'authentification d'utiliser l'authentification préalable de l'utilisateur auprès du fournisseur d'accès pour l'authentifier. Le système d'accès envoie ensuite au fournisseur de service une réponse d'authentification comportant notamment l'identifiant de l'utilisateur connu du fournisseur d'accès.
Par conséquent dans un tel système, le fournisseur de service doit rediriger l'utilisateur, via la requête d'authentification, vers un fournisseur d'identité ou un serveur d'authentification auquel il demande explicitement d'authentifier l'utilisateur. De telles redirections sont difficiles à gérer et particulièrement coûteuses, notamment dans un environnement mobile pour des services WAP (Wireless Application Protocol en anglais) par exemple. Ces redirections ont par ailleurs un impact négatif important en termes de temps de réponse vis-à-vis de l'utilisateur.
Objet et résumé de l'invention
La présente invention a donc pour but principal de pallier les inconvénients précédents. A cet effet, elle vise un dispositif de fourniture d'un identifiant de fédération réseau d'un utilisateur à un fournisseur de service, l'utilisateur étant connecté à un premier réseau de télécommunication via un fournisseur d'accès auquel il s'est connecté via un second réseau de télécommunications. Le fournisseur d'accès mémorise dans un serveur un premier identifiant et un second identifiant représentatifs des connexions de cet utilisateur respectivement au premier réseau et au second réseau. Ce serveur est apte à délivrer le second identifiant en réponse à une requête d'obtention du second identifiant, cette requête comportant le premier identifiant.
Le dispositif de fourniture selon l'invention comporte des moyens pour intercepter une première requête d'accès émise par l'utilisateur au fournisseur de service et des moyens pour extraire de cette requête le premier identifiant. Le dispositif de fourniture selon l'invention obtient le second identifiant de l'utilisateur en envoyant au serveur la requête d'obtention comportant le premier identifiant, comme décrit précédemment.
Le dispositif de fourniture selon l'invention comporte également des moyens pour obtenir l'identifiant de fédération réseau de cet utilisateur à partir du second identifiant et des moyens pour fournir au fournisseur de service une seconde requête d'accès construite à partir de la première requête d'accès émise par l'utilisateur, et comportant cet identifiant de fédération réseau.
Ainsi, le dispositif de fourniture selon l'invention permet avantageusement en interceptant la requête d'accès émise par l'utilisateur vers le fournisseur de service d'éviter à celui-ci de rediriger l'utilisateur vers un fournisseur d'identité via une requête d'authentification. Le fournisseur de service n'a ainsi pas besoin de demander à un fournisseur d'identité d'authentifier l'utilisateur. Sans en avoir fait la demande explicite, il reçoit spontanément du dispositif de fourniture selon l'invention la requête d'accès de l'utilisateur accompagnée d'un identifiant de fédération réseau de cet utilisateur, ce qui lui permet ensuite de donner rapidement l'accès au service demandé par l'utilisateur. Ceci permet avantageusement de diminuer les opérations réalisées par le fournisseur de service, et en particulier de diminuer les temps de réponse envers l'utilisateur pour lui donner accès au service. En conséquence, le dispositif selon l'invention pallie les limites du système d'accès décrit dans le document FR 2 860 111.
Le dispositif de fourniture selon l'invention permet par ailleurs de bénéficier directement du second identifiant de l'utilisateur. Ainsi, un fournisseur de service pourra autoriser un utilisateur à consulter des ressources en s'appuyant sur la phase d'authentification de cet utilisateur réalisée préalablement pour accéder au second réseau de télécommunication (par exemple, authentification GSM, ou authentification par login/mot de passe sur ADSL). On notera que ce second identifiant est une quantité permanente (dans la mesure où l'abonnement de l'utilisateur auprès du fournisseur d'accès n'est pas modifié), alors que le premier identifiant change en principe à chaque nouvelle connexion au premier réseau.
Avantageusement, l'invention permet une réduction considérable du nombre d'authentifications nécessaires, tout en respectant les contraintes de sécurité.
Plus précisément, grâce à l'invention, un utilisateur donné s'authentifie auprès d'un fournisseur de service pour un service donné une, et une seule, fois dans le cas où le fournisseur de service gère lui- même les conditions d'obtention du service (droits d'accès, paiement, et ainsi de suite) ; lors des requêtes suivantes pour le même service, le fournisseur reconnaît l'identifiant de fédération réseau (permanent) de cet utilisateur, et n'a donc pas besoin de lui demander une nouvelle authentification. Et dans le cas où le fournisseur de service délègue au fournisseur d'accès la gestion desdites conditions d'obtention du service, l'utilisateur est complètement dispensé de toute authentification auprès du fournisseur de service (dans ce cas, l'identifiant de fédération réseau peut être du type "à usage unique").
Dans un mode de réalisation particulier de l'invention, l'identifiant de fédération réseau est le second identifiant de l'utilisateur, représentatif de la connexion de l'utilisateur au second réseau de télécommunication via le fournisseur d'accès. Ceci permet ainsi d'avoir un identifiant unique pour tous les fournisseurs de service et le fournisseur d'accès. Dans un mode de réalisation particulier de l'invention, l'identifiant de fédération réseau est un alias de fédération réseau. Cet alias de fédération réseau permet avantageusement de ne pas divulguer au fournisseur de service l'identifiant de connectivité réseau de l'utilisateur, mais un identifiant propre au fournisseur de service. En effet, l'utilisateur ne désire pas nécessairement que son identifiant de connectivité réseau soit connu du fournisseur de service.
Dans un mode particulier de réalisation, le dispositif selon l'invention comporte une table qui associe le second identifiant d'un utilisateur avec l'identifiant de fédération réseau de cet utilisateur connu du fournisseur de service. L'homme du métier comprendra que cette table est utilisée dans le cas où l'utilisateur a déjà fédéré son identité chez le fournisseur de service avec son identité réseau (second identifiant) chez l'opérateur.
Dans un mode particulier de réalisation, les moyens d'obtention de l'identifiant de fédération réseau sont adaptés à générer cet identifiant et à le mémoriser dans la table en association avec le second identifiant de cet utilisateur et une référence du fournisseur de service.
Comme décrit ultérieurement en référence au procédé, ces moyens de génération sont mis en œuvre lorsque l'utilisateur n'a pas encore fédéré son identité chez le fournisseur de service avec son identité réseau (second identifiant) chez l'opérateur.
Dans le cas d'un identifiant de fédération à usage unique, cet identifiant de fédération est effacé de ladite table lorsque la connexion au second réseau se termine.
Dans un mode de réalisation particulier, les moyens d'obtention et de fourniture de l'identifiant de fédération réseau sont conformes au standard LibertyAlliance, l'identifiant de fédération réseau étant un alias de fédération au sens de ce standard.
Corrélativement, l'invention concerne un procédé de fourniture d'un identifiant de fédération réseau d'un utilisateur à un fournisseur de service, l'utilisateur étant connecté à un premier réseau de télécommunication via un fournisseur d'accès auquel il s'est connecté via un second réseau de télécommunications. Le fournisseur d'accès mémorise dans un serveur un premier identifiant et un second identifiant représentatifs des connexions de cet utilisateur respectivement au premier réseau et au second réseau. Ce serveur est apte à délivrer le second identifiant en réponse à une requête d'obtention du second identifiant, cette requête comportant le premier identifiant. Ce procédé comporte :
- une étape d'interception d'une première requête d'accès émise par l'utilisateur au fournisseur de service et d'extraction du premier identifiant de la première requête ;
- une étape d'obtention du second identifiant en envoyant au serveur une requête d'obtention du second identifiant comportant le premier identifiant ;
- une étape d'obtention de l'identifiant de fédération réseau de cet utilisateur à partir du second identifiant ; et
- une étape de fourniture au fournisseur de service d'une seconde requête d'accès construite à partir de la première requête d'accès et comportant l'identifiant de fédération réseau de l'utilisateur.
Dans un mode de réalisation particulier, l'identifiant de fédération réseau obtenu au cours de l'étape d'obtention de l'identifiant de fédération réseau du procédé selon l'invention est un alias de fédération réseau.
Dans un mode de réalisation particulier de l'invention, l'identifiant de fédération réseau obtenu au cours de l'étape d'obtention de l'identifiant de fédération réseau du procédé selon l'invention est le second identifiant de l'utilisateur, représentatif de la connexion de l'utilisateur au second réseau de télécommunication via le fournisseur d'accès.
Dans un mode particulier de réalisation, le procédé de fourniture d'un identifiant de fédération réseau selon l'invention comporte en outre : - une étape de génération de l'identifiant de fédération réseau de l'utilisateur auprès du fournisseur de service ; et
- une étape de mémorisation de cet identifiant de fédération réseau dans une table en association avec le second identifiant et de cet utilisateur et une référence du fournisseur de service. Selon une implémentation particulière, les différentes étapes du procédé de fourniture sont déterminées par des instructions de programmes d'ordinateurs.
En conséquence, l'invention vise aussi un programme d'ordinateur sur un support d'informations, ledit programme étant susceptible d'être mis en œuvre dans un système informatique et comportant des instructions adaptées à la mise en œuvre du procédé de fourniture d'un identifiant de fédération réseau selon l'invention.
Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.
L'invention vise aussi un support d'informations lisible par un ordinateur et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.
D'autre part, le support d'informations peut être un support transmissïble tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Brève description des dessins
D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
- la figure 1 représente, de façon schématique, un dispositif de fourniture d'un identifiant de fédération réseau conforme à l'invention dans un mode de réalisation particulier de l'invention, et les échanges de messages avec un fournisseur de service et un serveur d'accès ; - la figure 2 représente les principales étapes d'un procédé de fourniture d'un identifiant de fédération réseau conforme à l'invention, mis en œuvre par le dispositif de la figure 1.
Description détaillée d'un mode de réalisation
La figure 1 représente un dispositif 10 de fourniture d'un identifiant de fédération réseau conforme à l'invention dans un mode particulier de réalisation. Dans l'exemple décrit ici, l'identifiant de fédération réseau est un alias de fédération réseau, au sens du standard Liberty Alliance.
Ce dispositif 10 est relié à un premier réseau 1, ici de type Internet.
Sur la figure 1, les traits tiretés représentent les connexions physiques aux réseaux, et les flèches pleines l'envoi des messages entre deux machines.
Ce dispositif 10 comporte un processeur 20, une mémoire morte 22 de type ROM, une mémoire vive 21 de type RAM, une mémoire non volatile réinscriptible 23 de type FLASH, ces éléments étant reliés entre eux par un système de bus 100. La mémoire morte 22 comporte un programme d'ordinateur
PROG comportant des instructions adaptées à la mise en œuvre des étapes ElO à E60 du procédé de fourniture conforme à l'invention et représenté à la figure 2.
Sur la figure 1 on a représenté un fournisseur de service 30, le client HTTP du terminal d'un utilisateur 5.
L'utilisateur 5 est connecté au premier réseau 1 via un fournisseur d'accès auquel l'utilisateur 5 s'est connecté via un second réseau 2 de télécommunication (réseau d'accès).
Dans l'exemple décrit ici, le réseau d'accès 2 est un réseau ADSL.
Il peut aussi être constitué notamment par le réseau GPRS ou WIFI.
Conformément à l'invention, le dispositif 10 de fourniture d'alias comporte des moyens de communication 11, reliés au bus 100, permettant de communiquer de façon sécurisée avec le serveur 50 du fournisseur d'accès. II comporte également des moyens de communication 12, reliés au bus 100, mettant en œuvre le protocole IP (Internet Protocol).
Ces moyens de communication 12 permettent notamment la réception et l'envoi de requêtes et de réponses HTTP. Le dispositif 10 de fourniture comporte en outre des moyens 40 pour intercepter les requêtes d'accès émises par l'utilisateur 5 à destination du fournisseur de service 30.
Ces moyens d'interception sont par exemple constitués par une unité du type « reverse proxy » configurée pour intercepter toutes les requêtes destinées au fournisseur de service 30.
On supposera par la suite que l'utilisateur 5 souhaite accéder à un service offert par le fournisseur de service 30.
L'homme du métier comprendra qu'en pratique l'accès au réseau Internet 1 se fait par le réseau ADSL via une passerelle, non représentée sur la figure 1.
A cet effet, le terminal du client 5, équipé dans ce mode de réalisation d'un moyen de connexion au réseau ADSL, s'authentifie, de façon connue, auprès de son opérateur ADSL.
La phase d'authentification réseau est connue de l'homme du métier. Elle permet notamment, d'associer une adresse Internet IP_5 (premier identifiant) (ou éventuellement d'autres données caractérisant de manière unique la session d'accès), à l'identité de l'utilisateur sur le réseau d'accès, à savoir ici son identifiant ADSL nommé ci-après ID_ADSL (second identifiant). Conformément à l'invention, le fournisseur d'accès mémorise dans un serveur 50 les premier (IP_5) et second (ID_ADSL) identifiants précités.
On supposera pour simplifier que le serveur 50 comporte une table T qui associe, pour chaque utilisateur, les deux identifiants Internet IP_5 et ID_ADSL
Une fois cette connectivité réseau établie, l'utilisateur 5 peut accéder au service du fournisseur de service 30.
A cet effet, par le biais de son logiciel client, il envoie une requête d'accès Rl à destination du fournisseur 30. On supposera dans cet exemple que le fournisseur de service 30 souhaite authentifier l'utilisateur 5 par lui-même. Bien entendu, l'homme du métier comprendra que cette authentification peut se faire par l'intermédiaire d'un autre fournisseur d'identité, qui joue un rôle intermédiaire entre le fournisseur de service 30 et le dispositif 10 de fourniture d'alias de fédération réseau selon l'invention. La description qui est faite ici s'applique, les requêtes échangées entre le fournisseur de service 30 et le dispositif de fourniture 10 passant par ce fournisseur intermédiaire.
On se place maintenant dans l'hypothèse selon laquelle un accord a été établi entre le fournisseur de service 30 et l'opérateur du réseau d'accès ADSL de sorte que celui-ci propose de réutiliser son authentification réseau pour accéder au service du fournisseur 30.
Dans l'art antérieur, et en particulier dans le document FR
2 860 111, sur réception de la requête Rl, le fournisseur de service 30 redirige (requête HTTP 302 Redirect) le logiciel client de l'utilisateur 5 vers un fournisseur d'identité ou un serveur d'authentification (« mode pull »).
Le dispositif 10 de fourniture selon l'invention fonctionne en
« mode push », c'est-à-dire qu'il intercepte au cours d'une étape ElO, la requête d'accès Rl envoyée par l'utilisateur 5 à destination du fournisseur de service 30, à l'aide des moyens d'interception 40. Ceci permet notamment avantageusement d'éviter les redirections mises en œuvre par le fournisseur de service dans les systèmes de l'art antérieur.
Cette étape ElO est suivie par une étape E20 au cours de laquelle le dispositif de fourniture 10 obtient le premier identifiant constitué dans cet exemple par l'adresse Internet IP_5 de l'utilisateur. Cette étape E20, qui consiste à extraire un champ d'adresse d'une trame HTTP, est connue et ne sera pas décrite ici.
Au cours de cette étape, le processeur 20 mémorise le premier identifiant (adresse Internet IP_5) dans la mémoire vive 21.
L'étape E20 d'obtention d'adresse est suivie par une étape E30 au cours de laquelle le dispositif 10 envoie, en utilisant les moyens de communication sécurisée 11, une requête R4 d'obtention du second identifiant au serveur d'accès 50. Cette requête R4 comporte le premier identifiant IP_5 mémorisé à l'étape précédente dans la mémoire vive 21.
Sur réception de cette requête R4, le serveur d'accès 50 lit, dans la table T, le second identifiant (identité réseau ID_ADSL) de l'utilisateur 5, et renvoie ce second identifiant dans une réponse R5 au dispositif 10 de fourniture.
Cette réponse R5 est reçue par le dispositif 10 au cours d'une étape E40. Au cours de cette même étape, le processeur 20 mémorise l'identité réseau ID_ADSL (second identifiant) dans la mémoire vive 21.
Au cours d'un test E50, le dispositif 10 de fourniture détermine si le second identifiant (identité réseau ID_ADSL) de l'utilisateur 5 a déjà été fédéré avec une identité auprès du fournisseur de service 30.
Dans le mode de réalisation décrit ici, cela revient à rechercher, dans une table 13 mémorisée dans la mémoire FLASH 23, si il existe une association entre l'identité réseau ID_ADSL (second identifiant) et un identifiant de fédération réseau (l'alias de fédération dans le présent mode de réalisation) pour le fournisseur de service 30.
Nous supposerons ici que ce n'est pas encore le cas. Dans ce cas, le résultat du test E50 est négatif.
Ce test est alors suivi par une étape E52 au cours de laquelle le dispositif de fourniture 10 génère un alias de fédération 1234 de l'utilisateur 5 pour le fournisseur de service 30.
Cet alias 1234 est, dans l'exemple décrit ici, unique pour chaque fournisseur de service.
Cette étape de génération d'alias est connue de l'homme du métier et ne sera pas décrite ici. Elle s'effectue par exemple par tirage aléatoire d'une suite alphanumérique.
Cette étape E52 de génération de l'alias 1234 est suivie par une étape E53 au cours de laquelle le processeur 20 mémorise, dans la table 13 de la mémoire FLASH 23, un triplet associant l'identité réseau ID_ADSL, l'alias 1234 et la référence 30 du fournisseur de service.
L'étape E53 de mémorisation du code est suivie par une étape E60 au cours de laquelle le dispositif 10 de fourniture selon l'invention envoie au fournisseur de service 30, via les moyens de communication 12, une seconde requête d'accès R6 construite à partir de la première requête d'accès Rl, envoyée par l'utilisateur 5. Cette seconde requête R6 comporte l'alias de fédération réseau 1234.
Le procédé et le dispositif de fourniture selon l'invention permettent ainsi d'envoyer spontanément l'alias de fédération 1234 au fournisseur de service 30, sans que celui-ci n'ait besoin d'en faire la demande explicite.
Le fournisseur de service 30 authentifie l'utilisateur 5, par exemple en lui demandant de saisir un login/mot de passe, et associe l'alias 1234 à l'identité de l'utilisateur 5.
On suppose maintenant que l'utilisateur 5 émet à destination du fournisseur de service 30 une nouvelle requête d'accès Rl.
On se trouve alors dans le cas où l'utilisateur 5 a déjà fédéré (au moyen de l'alias de fédération 1234) son identité chez le fournisseur de service 30 avec son identité réseau ID__ADSL chez l'opérateur ADSL.
Les étapes ElO à E40 s'effectuent de la façon décrite précédemment.
En revanche, le résultat du test E50 de détermination de fédération sera positif. En effet, dans ce cas, la table 13 de la mémoire FLASH 23 comporte une association entre l'identité réseau ID_ADSL et l'alias de fédération 1234 pour le fournisseur de service 30.
Dans ce cas, l'obtention de l'alias de fédération 1234 pour l'utilisateur 5 se fait par simple lecture de cette table 13 (étape E54). Cette étape de lecture est suivie par l'étape E60 d'envoi de l'alias 1234 précédemment décrite.

Claims

REVENDICATIONS
1. Dispositif (10) de fourniture à un fournisseur de service (30), d'un identifiant de fédération réseau (ID_ADSL,1234) d'un utilisateur (5) - ledit utilisateur (5) étant connecté à un premier réseau de télécommunication (1) via un fournisseur d'accès auquel l'utilisateur s'est connecté via un second réseau de télécommunication (2) ;
- ledit fournisseur d'accès mémorisant dans un serveur (50) un premier identifiant (IP_5) et un second identifiant (ID_ADSL) représentatifs des connexions de cet utilisateur (5) respectivement audit premier réseau
(1) et audit second réseau (2) ;
- ledit serveur (50) étant apte à délivrer ledit second identifiant (ID_ADSL) en réponse (R5) à une requête d'obtention dudit second identifiant (R4), cette requête comportant ledit premier identifiant (IP_5) ; ledit dispositif de fourniture étant caractérisé en ce qu'il comporte :
- des moyens (40) pour intercepter une première requête d'accès (Rl) émise par ledit utilisateur (5) audit fournisseur de service et pour extraire de ladite première requête (Rl) ledit premier identifiant (IP_5) ;
- des moyens (11) pour obtenir ledit second identifiant (ID_ADSL) en envoyant audit serveur (50) ladite requête d'obtention (R4) ;
- des moyens (20,21,22,23) pour obtenir ledit identifiant de fédération réseau (ID_ADSL, 1234) à partir dudit second identifiant (ID_ADSL) ; et
- des moyens (20,12) pour fournir audit fournisseur de service (30) une seconde requête d'accès (R6) construite à partir de ladite première requête d'accès (Rl) et comportant ledit identifiant de fédération réseau (ID_ADSL,1234).
2. Dispositif (10) de fourniture d'un identifiant de fédération réseau selon la revendication 1, caractérisé en ce que ledit identifiant de fédération réseau (1234) est un alias de fédération réseau.
3. Dispositif (10) de fourniture d'un identifiant de fédération réseau selon la revendication 1, caractérisé en ce que ledit identifiant de fédération réseau est ledit second identifiant (ID_ADSL) dudit utilisateur (5).
4. Dispositif (10) de fourniture d'un identifiant de fédération réseau (1234) selon l'une quelconque des revendications 1 à 3, caractérisé en ce qu'il comporte une table (13) qui associe le second identifiant
(ID_ADSL) d'un utilisateur (5) avec l'identifiant de fédération réseau
(1234) de cet utilisateur connu du fournisseur de service (30).
5. Dispositif (10) de fourniture d'un identifiant de fédération réseau (1234) selon l'une quelconque des revendications 1 à 4, caractérisé en ce que lesdits moyens d'obtention (20, 21, 22, 23) de l'identifiant de fédération réseau (1234) d'un utilisateur (5) auprès d'un fournisseur de service (30) sont adaptés à générer cet identifiant de fédération réseau (1234) et à le mémoriser dans une table (13) en association avec ledit second identifiant (ID_ADSL) de cet utilisateur (5) et une référence (30) de ce fournisseur de service (30).
6. Dispositif (10) de fourniture d'un identifiant de fédération réseau (1234) selon l'une quelconque des revendications 1, 2, 4 et 5, caractérisé en ce que lesdits moyens d'obtention (20, 21, 22, 23) et de fourniture (20,12) d'identifiant de fédération réseau sont conformes au standard LibertyAlliance et en ce que ledit identifiant de fédération réseau (1234) est un alias de fédération réseau au sens de ce standard.
7. Procédé de fourniture d'un identifiant de fédération réseau d'un utilisateur (5) à un fournisseur de service (30),
- ledit utilisateur étant connecté à un premier réseau de télécommunication (1) via un fournisseur d'accès auquel l'utilisateur s'est connecté via un second réseau de télécommunication (2) ;
- ledit fournisseur d'accès mémorisant dans un serveur (50) un premier identifiant (IP_5) et un second identifiant (ID_ADSL) représentatifs des connexions de cet utilisateur (5) respectivement audit premier réseau (1) et audit second réseau (2) ; - ledit serveur (50) étant apte à délivrer ledit second identifiant (ID_ADSL) en réponse à une requête d'obtention dudit second identifiant (R4) comportant ledit premier identifiant (IP_5) ; ledit procédé étant caractérisé en ce qu'il comporte ; - une étape d'interception (ElO) d'une première requête d'accès (Rl) émise par ledit utilisateur (5) audit fournisseur de service (30) et d'extraction (E20) dudit premier identifiant (IP_5) de ladite première requête (Rl) ;
- une étape d'obtention (E40) dudit second identifiant (ID_ADSL) en envoyant (E30) audit serveur (50) ladite requête d'obtention (R4) comportant ledit premier identifiant (IP_5) ;
- une étape d'obtention (E52,E54) dudit identifiant de fédération (ID_ADSL,1234) à partir dudit second identifiant (ID_ADSL) ; et
- une étape de fourniture (E60) audit fournisseur de service (30) d'une seconde requête d'accès (R6) construite à partir de ladite première requête d'accès (Rl) et comportant ledit identifiant de fédération réseau (ID_ADSL,1234).
8. Procédé de fourniture d'un identifiant de fédération réseau selon la revendication 7, caractérisé en ce que ledit identifiant de fédération réseau est un alias de fédération réseau (1234).
9. Procédé de fourniture d'un identifiant de fédération réseau selon la revendication 7, caractérisé en ce que ledit identifiant de fédération réseau est ledit second identifiant (IP_5) dudit utilisateur.
10. Procédé de fourniture d'un identifiant de fédération réseau (ID_ADSL,1234) selon l'une quelconque des revendications 7 à 9, caractérisé en ce que ledit identifiant de fédération réseau est obtenu (E54) par lecture dans une table (13) qui associe ledit second identifiant (ID_ADSL) d'un utilisateur (5) avec ledit identifiant de fédération réseau (1234) de cet utilisateur connu du fournisseur de service (30).
11. Procédé de fourniture d'un identifiant de fédération réseau selon l'une quelconque des revendications 7 à 10, caractérisé en ce qu'il comporte : - une étape (E52) de génération dudit identifiant de fédération réseau (1234) dudit utilisateur (5) auprès dudit fournisseur de service (30) ; et
- une étape (E53) de mémorisation dudit identifiant de fédération réseau (1234) dans une table (13) en association avec ledit second identifiant (ID_ADSL) dudit utilisateur (5) et une référence (30) audit fournisseur de service (30).
12. Procédé de fourniture d'un identifiant de fédération réseau selon l'une quelconque des revendications 7, 8, 10 et 11, caractérisé en ce que lesdites étapes (E52, E54) d'obtention et (E60) de fourniture d'un identifiant de fédération réseau (1234) sont conformes au standard LibertyAlliance, et en ce que ledit identifiant de fédération réseau (1234) est un alias de fédération au sens de ce standard.
13. Programme d'ordinateur sur un support d'informations, ledit programme (PROG) étant susceptible d'être mis en œuvre dans système informatique, caractérisé en ce qu'il comporte des instructions adaptées à la mise en œuvre d'un procédé de fourniture d'un identifiant de fédération réseau selon l'une des revendications 7 à 12, lorsque ledit programme est exécuté par cet ordinateur.
14. Support d'informations (22) lisible par un ordinateur, sur lequel est enregistré un programme d'ordinateur qui comporte des instructions pour l'exécution des étapes d'un procédé de fourniture d'un identifiant de fédération réseau selon l'une quelconque des revendications
7 à 12.
PCT/FR2006/051157 2005-11-09 2006-11-09 Procede et dispositif de fourniture d'un identifiant de federation reseau a un fournisseur de service WO2007054657A2 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0511370A FR2893208A1 (fr) 2005-11-09 2005-11-09 Procede et dispositif de fourniture d'un alias de federation d'identite reseau a un fournisseur de service
FR0511370 2005-11-09

Publications (2)

Publication Number Publication Date
WO2007054657A2 true WO2007054657A2 (fr) 2007-05-18
WO2007054657A3 WO2007054657A3 (fr) 2007-08-02

Family

ID=36930154

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/051157 WO2007054657A2 (fr) 2005-11-09 2006-11-09 Procede et dispositif de fourniture d'un identifiant de federation reseau a un fournisseur de service

Country Status (2)

Country Link
FR (1) FR2893208A1 (fr)
WO (1) WO2007054657A2 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2521329A1 (fr) * 2011-05-04 2012-11-07 Alcatel Lucent Serveur, système, procédé, programme informatique et produit de programme informatique pour l'accès à un serveur dans un réseau informatique

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US20020007460A1 (en) * 2000-07-14 2002-01-17 Nec Corporation Single sign-on system and single sign-on method for a web site and recording medium
FR2860111A1 (fr) * 2003-09-23 2005-03-25 Orange France Systeme d'acces a un reseau adapte pour la mise en oeuvre d'un procede a signature simplifiee, et serveur pour sa realisation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US20020007460A1 (en) * 2000-07-14 2002-01-17 Nec Corporation Single sign-on system and single sign-on method for a web site and recording medium
FR2860111A1 (fr) * 2003-09-23 2005-03-25 Orange France Systeme d'acces a un reseau adapte pour la mise en oeuvre d'un procede a signature simplifiee, et serveur pour sa realisation

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Liberty Architecture Overview, Version 1.1" INTERNET CITATION, [Online] 15 janvier 2003 (2003-01-15), XP002246163 Extrait de l'Internet: URL:http://projectliberty.org/specs/archiv e/v1_1/liberty-architecture-overview-v1.1. pdf> [extrait le 2003-07-02] *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2521329A1 (fr) * 2011-05-04 2012-11-07 Alcatel Lucent Serveur, système, procédé, programme informatique et produit de programme informatique pour l'accès à un serveur dans un réseau informatique
WO2012150096A1 (fr) * 2011-05-04 2012-11-08 Alcatel Lucent Serveur, système, procédé, logiciel et progiciel permettant d'accéder à un serveur dans un réseau d'ordinateurs
CN103621039A (zh) * 2011-05-04 2014-03-05 阿尔卡特朗讯 用于在计算机网络中访问服务器的服务器、系统、方法、计算机程序和计算机程序产品
KR101550256B1 (ko) 2011-05-04 2015-09-04 알까뗄 루슨트 컴퓨터 네트워크에서 서버에 액세스하기 위한 서버, 시스템, 방법, 컴퓨터 프로그램 및 컴퓨터 프로그램 제품
CN103621039B (zh) * 2011-05-04 2016-10-12 阿尔卡特朗讯 用于在计算机网络中访问服务器的服务器、系统、方法
US9998461B2 (en) 2011-05-04 2018-06-12 Alcatel Lucent Server, a system, a method, a computer program and a computer program product for accessing a server in a computer network

Also Published As

Publication number Publication date
FR2893208A1 (fr) 2007-05-11
WO2007054657A3 (fr) 2007-08-02

Similar Documents

Publication Publication Date Title
EP1733533B1 (fr) Procede et systeme de gestion d'autorisation d'acces d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur a un reseau ip
EP1909462B1 (fr) Procédé de mise à disposition cloisonnée d'un service électronique
EP2415294A1 (fr) Procédé et dispositif de gestion d'une authentification d'un utilisateur
EP1891771A1 (fr) Procede de traduction d'un protocole d'authentification
EP3257224B1 (fr) Technique de connexion à un service
WO2018130796A1 (fr) Procédés et dispositifs de vérification de la validité d'une délégation de diffusion de contenus chiffrés
EP1905217B1 (fr) Procede de configuration d'un terminal a travers un reseau d'acces
EP3560163A1 (fr) Validation de livraison de contenu et de verification d'une delegation de livraison d'un contenu
WO2006010810A2 (fr) Procede et systeme de certification de l’identite d’un utilisateur
WO2007054657A2 (fr) Procede et dispositif de fourniture d'un identifiant de federation reseau a un fournisseur de service
EP1649665A2 (fr) PROCEDE ET SYSTEME DE DOUBLE AUTHENTIFICATION SECURISEE D UN UTILISATEUR LORS DE L ACCES A UN SERVICE PAR L’INTERM EDIAIRE D UN RESEAU DE TRANSMISSION DE DONNEES.
EP3682661A1 (fr) Accès à un service avec authentification basée sur un terminal mobile
EP3820112A1 (fr) Procédé de configuration d accès à un service internet
EP3900305A1 (fr) Procédé d'acquisition d'une chaîne de délégation relative à la résolution d'un identifiant de nom de domaine dans un réseau de communication
EP1413158B1 (fr) Procede d'acces a un service specifique propose par un operateur virtuel et carte a puce d'un dispositif correspondant
WO2020128239A1 (fr) Procédé de détermination d'une chaîne de délégation associée à une résolution d'un nom de domaine dans un réseau de communication
EP3149902B1 (fr) Technique d'obtention d'une politique de routage de requêtes émises par un module logiciel s'exécutant sur un dispositif client
EP4362391A1 (fr) Procédé de gestion d'accès d'un utilisateur à au moins une application, programme d'ordinateur et système associés
WO2018234662A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
WO2017060624A1 (fr) Moyens de gestion d'accès à des données
WO2007012786A2 (fr) Procede de mise en oeuvre d'une sequence d'authentifications
FR2880703A1 (fr) Procede d'identification d'utilisateur, de creation d'un document de partage et de service correspondant dans un systeme de partage d'un reseau pair a pair

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 06831320

Country of ref document: EP

Kind code of ref document: A2

122 Ep: pct application non-entry in european phase

Ref document number: 06831320

Country of ref document: EP

Kind code of ref document: A2