WO2008037912A2 - Method and system for a user to access a service, and related authentication server and computer program - Google Patents

Method and system for a user to access a service, and related authentication server and computer program Download PDF

Info

Publication number
WO2008037912A2
WO2008037912A2 PCT/FR2007/051979 FR2007051979W WO2008037912A2 WO 2008037912 A2 WO2008037912 A2 WO 2008037912A2 FR 2007051979 W FR2007051979 W FR 2007051979W WO 2008037912 A2 WO2008037912 A2 WO 2008037912A2
Authority
WO
WIPO (PCT)
Prior art keywords
service
terminal
access
server
user
Prior art date
Application number
PCT/FR2007/051979
Other languages
French (fr)
Other versions
WO2008037912A3 (en
Inventor
Jacky Buyck
Christophe Beziau
Lionel Courval
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2008037912A2 publication Critical patent/WO2008037912A2/en
Publication of WO2008037912A3 publication Critical patent/WO2008037912A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42136Administration or customisation of services
    • H04M3/42153Administration or customisation of services by subscriber
    • H04M3/42161Administration or customisation of services by subscriber via computer interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/38Graded-service arrangements, i.e. some subscribers prevented from establishing certain connections
    • H04M3/382Graded-service arrangements, i.e. some subscribers prevented from establishing certain connections using authorisation codes or passwords

Definitions

  • the present invention relates to a method of access by a user, through means forming an information transmission network and from a first terminal, to a service implemented by a service server.
  • the invention relates for example to secure access to a voice service implemented by a voice server. It is then, for example, to make accessible, in a secure way from the outside, a corporate voice server, regardless of the number of the call terminal, this service being accessible only to certain people (eg company staff).
  • the voice server is associated with a list of authorized or refused access terminal numbers. This list can be static or dynamic.
  • the user first calls the voice server. He is then given an ID number, and then connects to a web server to enter this identifier. If the identifier entered is the same, he can then access the voice service.
  • This type of service access architecture is that used for access to paid services for example.
  • the current methods of accessing a voice service are therefore not optimal. Indeed, they have several constraints. Thus in the case of access by static list, it is necessary to maintain the list of accepted terminal numbers and denied terminal numbers. Moreover, and although it is possible to have access by dynamic list, these access often require web access to transmit the identifier to the access control system. In addition, in the dynamic list access mode, it is difficult to manage real and secure authentication of the natural person making the call. It is therefore understandable that the access solutions of the state of the art do not meet the current needs in the sense that the voice service is accessible to all numbers and not only to people whose number has been declared and authorized. Furthermore, it is difficult, if not impossible, to keep a list of the numbers of the terminals that can access the services up to date because, because of the mobility of people, the list quickly becomes unmanageable.
  • the access method according to the invention is a method of access by a user, from a second terminal, to a service characterized in that it comprises: a transmission step by the user, from a second terminal, a request for access to the service by the first terminal, to an authentication server;
  • This method may also have one or more of the following features:
  • the step of validation by the authentication server with the service server of access to the service by the first terminal is associated with a step of transmission by the authentication server towards the second terminal of a message of access authorization ;
  • the access request is transmitted from the second terminal to the authentication server on a data transmission channel and access to the service server from the first terminal is performed on a voice transmission channel;
  • the invention also relates to a user access system, from a first terminal, to a service characterized in that it comprises:
  • This system may also have one or more of the following features:
  • the service and the service server are respectively a service and a voice server
  • the first terminal is a fixed telephone and the second terminal is a mobile telephone;
  • the first terminal and the second terminal are constituted by the same mobile telephone apparatus operating in voice transmission and in data transmission,
  • the invention also relates to a computer program comprising code instructions which when this code is executed in an authentication server allows:
  • the invention overcomes the disadvantages of the state of the art by allowing a user to access a service, for example voice, from a first terminal in an authenticated manner.
  • a service for example voice
  • the specificity of the invention lies in the fact that the user makes his access request, using a second terminal, to an authentication server. Then, the authentication server validates access to the service by the first terminal the service server, for example the voice server, and simultaneously transmits an access authorization message to the user at the second terminal.
  • the invention also allows strong authentication of the user through the use of cryptography and public key infrastructures. In addition, securing the authentication via the use of the cryptographic means mentioned above and the use of timestamp information can prevent "replay" type attacks. Type attacks
  • Replay refers to an attacker intercepting messages exchanged during user authentication and “replay” them a little later after possibly modifying them to try to gain access.
  • the access request is transmitted from the second terminal to the authentication server on a data transmission channel often harder to hack than the voice transmission channel, the authentication is stronger.
  • this reinforces voice service access policies.
  • FIG. 1 represents a block diagram illustrating the structure and operation of a method and a static list access system to a service of the state of the art
  • FIG. 2 represents a block diagram illustrating the structure and operation of a method and a dynamic list access system to a service of the state of the art
  • FIG. 3 represents a block diagram illustrating the structure and operation of a method and system for accessing a service according to the invention
  • FIG. 4 represents a block diagram illustrating the operation of the authentication server according to the invention
  • FIG. 5 represents a flowchart illustrating the general operating structure of the access method according to the invention
  • FIG. 6 represents a flowchart illustrating the operation of the method for generating and transmitting an access request to the service server according to the invention.
  • the invention relates to a method and a system for access by a user, via information transmission network means and from a first terminal, to a service implemented by a service server.
  • FIGS. 1 and 2 Two solutions are known in the state of the art for accessing a service, for example voice service, by a user through means forming an information transmission network. These are the methods of access by static list and dynamic list. These access methods of the state of the art are illustrated in FIGS. 1 and 2.
  • FIG. 1 illustrates a method of access by static list to a service, for example voice service, by a user.
  • access to a voice service is managed by the voice server which maintains a list of incoming numbers of authorized or refused terminals.
  • the update of this list is done manually or automatically in a conventional manner.
  • FIG. 1 shows a block diagram of one embodiment of this static list access method to a voice service of the state of the art.
  • the user has at his disposal an access terminal, designated by the general reference 1, making it possible to access through an information transmission network designated by the general reference 2, to a server of service designated by the general reference 3 and constituted for example by a voice server allowing the user to access a service for example voice 4.
  • the voice server 3 is also associated with storage means 5 of a database which, as will be described in more detail later, contains a list of authorized and denied terminal call numbers. As illustrated in this figure, update means of this list designated by reference 6 can be updated manually or automatically in a conventional manner.
  • the user sends a call from the terminal 1 through the information transmission network 2 to access the voice server 3.
  • This voice server compares the number of the terminal 1 to the numbers contained in the list. authorized terminal numbers stored in the database 5, to allow or not access.
  • the user can then access or not the voice service 4 through the terminal 1.
  • the call made at 8 is rejected in 9 by the voice server 3 after consultation of the database 5.
  • such a process is difficult to implement because, because of the mobility of people, updating the list of accepted terminal numbers and numbers of denied terminals quickly becomes unmanageable.
  • FIG. 2 illustrates an embodiment of this method of the state of the art.
  • a user designated by the general reference 10 has at his disposal two terminals namely a first terminal designated by the general reference 1 1 and a second terminal designated by the general reference 12.
  • the first terminal 1 1 is constituted a fixed telephone and the second terminal 12 consists of a computer, for example.
  • the first terminal 1 1 is connected through a voice transmission channel designated by the reference 13 to a service server, for example a voice server designated by the general reference 14, implementing a service, for example a voice designated by the general reference 15.
  • the second terminal 12 is connected through a data transmission channel designated by the reference 16 to an access control server designated by the general reference 17 and consisting of a web server for example.
  • the user 10 calls through the voice transmission channel 13, the voice server 14 using the first terminal 11.
  • the voice server 14 then gives him an identifier number that he transmits in same time at 18 to the access control server 17.
  • the user 10 connects, through the second terminal 12, through the data transmission channel 16 to the access control server 17 to enter this identifier.
  • the access control server 17 then transmits at 19 an access authorization to the voice server 14, which allows the first terminal 1 1 to access the voice service 15.
  • this access method illustrated in FIG. 2 also has drawbacks. Indeed, it requires web access so that the user can provide the identifier. In addition, it is difficult to manage real and secure authentication of the natural person making the call, because the voice service is accessible to all terminal numbers and not only the terminals whose number has been declared.
  • the invention makes it possible to solve the problems related to the access methods of the state of the art illustrated in FIGS. 1 and 2 by providing a solution making it possible to have the possibility of contacting a given voice service while making sure of better authentication and this regardless of the terminal number of the terminal of an authorized user.
  • FIG. 3 illustrates the structure and operation of an embodiment of the method of access to a voice service implemented by a voice server according to the invention.
  • the user has at his disposal two terminals, namely a first terminal designated by the general reference 21, constituted for example by a fixed telephone, and a second terminal designated by the general reference 22. , consisting for example of a mobile phone.
  • the first terminal is connected by means of a voice transmission channel designated by the general reference 23 to a service server, for example a voice server designated by the general reference 24, implementing a service, for example a voice service, designated by the reference 25.
  • the second terminal 22 is connected by means of a data transmission channel designated by the reference 26 to an authentication server designated by the general reference 27.
  • the user generates and transmits from the second terminal 22 on the data transmission channel 26 an encrypted access request to the service 25 by the first terminal 21, to the authentication server 27.
  • the means of transmitting this information to the authentication server 27 is not restricted to the mobile phone. Any data link may be used: GPRS ("General Packet Radio Service”), UMTS ("Universal Mobile Telecomunication System”), ADSL line ("Asymmetric Digital Subscriber One"), data flow in VolP / TolP ("Voice over Internet Protocol / Telephony over Internet Protocol ”) ...
  • the transmission of information to the server can be done via any network protocol: TCP (Transmission Control Protocol), UDP (User Datagram Protocol) or any other higher layer protocol.
  • TCP Transmission Control Protocol
  • UDP User Datagram Protocol
  • HTTP / HTTPs Hyper Text Transfer Protocol
  • the authentication server may be a module of a web server.
  • SMS message Short Message
  • the user can call, at from the first terminal 21 the voice server 24 and thus access the requested service 25.
  • the terminal 21 is indeed authorized to access the service 25.
  • Fig. 4 shows a flowchart illustrating the operation of the authentication mechanism associated with the access method according to an embodiment of the present invention.
  • This figure 4 recognizes the authentication server designated by the reference 27 in FIG. 3.
  • This server 25 comprises various entities namely an access front module designated by the reference 31, a cryptographic module designated by the reference 32, an access rights management module designated by the reference
  • this figure shows an entity representing an authentication software designated by the reference 35 and installed on the second terminal 22 of the user as well as the voice service 25.
  • the authentication software 35 transmits, at 36, the access request constituted by an authentication token to the access front module 31 of the authentication server 27.
  • the front-end module The access control 31 transmits this request to the different modules of the authentication server 27.
  • the cryptographic module 32 validates the authenticity of the authentication information received at 37 and decrypts it to access the information conveyed, for example the number the first terminal 21 to access the voice service 25.
  • the access rights management module 33 checks at 38 the access rights associated with the call number of the first terminal 21. It should be noted that this module is optional. It simply makes it possible to refine the voice service access policy 25.
  • the file management module is optional. It simply makes it possible to refine the voice service access policy 25.
  • the front access module 31 transmits at 40 the authorization to open the service to the voice service 25.
  • access to a voice service is authorized for a given terminal number only from the moment when this terminal number is transmitted on a band other than the voice transmission band.
  • cryptographic means thus ensuring the authentication and confidentiality of the information. Only the terminal numbers thus received to make the calls, end up on the voice server, all the others are rejected (if the access policy so wishes).
  • Authentication is strong thanks to the use of cryptographic systems (certificate, PKI (Public Key Infrastructure), signature and encryption). This ensures the aspects of identification, authentication, non-repudiation, anti-replay and integrity control related to the access request.
  • cryptographic systems certificate, PKI (Public Key Infrastructure), signature and encryption. This ensures the aspects of identification, authentication, non-repudiation, anti-replay and integrity control related to the access request.
  • FIG. 5 represents a flowchart illustrating the general operation of the access method according to one embodiment of the invention.
  • the user 10 wishing to use a voice service using a terminal whose number is not known to the service, specifies at 41 on his mobile phone or by any other means for communicating in transmission mode. data with the authentication server 27, the voice service he wishes to use and indicates the terminal number with which he wishes to interact with this service (in the case where it is not the number of the mobile phone that will be used ).
  • Software installed on his mobile phone then generates an access request. This software encrypts this request at 43 by means of encryption and signature methods. Then, this access request is transmitted at 44 to the authentication server 27.
  • the authentication server 27 receives in 51 the access request to the service. It verifies at 52 that the certificate used for the signature and the encryption is valid (not repudiated and not suspended). In the event that the signature is invalid or the certificate is expired or suspended, he refuses in 59 access to the voice service. If the signature and the certificate are valid, it decrypts in 53 the information and after optional analysis in 54 rights, decides in 55 to authorize in 56 or to refuse in 59 the access to the vocal service.
  • the authorization for access to the requested service for the specified number is obtained in 56, a confirmation in 57 by SMS for example is sent on a data transmission channel to the user 10 which confirms at 45 that he is authorized to access the specified terminal number at the service at 46. If rejected at 45, the user is not authorized to access the service in 47.
  • FIG. 6 represents a flowchart illustrating the operation of the method for generating and transmitting an access request to the voice server according to the invention.
  • a software according to the invention installed on the second terminal of the user, for example a mobile telephone, proposes to the user to specify the necessary information (selection of the service and terminal number to be used for example) and generates a request according to the principle illustrated in FIG.
  • the information contained in the access request according to one embodiment of the invention is recognized.
  • This is the call number of the first terminal, designated by the reference 61, the timestamp information designated by the reference 62 and the identifier of the desired service designated by the reference 63.
  • This information is encrypted by means in encryption and signature 64. Then the encrypted and authenticated data designated by the reference 65 are transmitted at 66 to the authentication server 27.

Abstract

The present invention relates to a method for a user to access a service (25) from a first terminal (21), characterised in that it comprises: the step of transmission, by the user and from a second terminal (22), of a request for accessing a service (25) by the first terminal (21) to an authentication server (27); a step of validation, by the authentication server (27) and to a service server (24), of the access to the service (25) by the first terminal (21); and a step of access by the user to the service (25) from the first terminal (21).

Description

Procédé et système d'accès par un utilisateur à un service, serveur d'authentification et programme d'ordinateur correspondants. Method and system for user access to a corresponding service, authentication server and computer program
La présente invention concerne un procédé d'accès par un utilisateur, à travers des moyens formant réseau de transmission d'informations et à partir d'un premier terminal, à un service mis en œuvre par un serveur de service.The present invention relates to a method of access by a user, through means forming an information transmission network and from a first terminal, to a service implemented by a service server.
Elle concerne également un système d'accès correspondant, un serveur d'authentification et un programme d'ordinateur pour cette application. Plus particulièrement, l'invention se rapporte par exemple à l'accès sécurisé à un service vocal mis en œuvre par un serveur vocal. Il s'agit alors, par exemple, de pouvoir rendre accessible, de façon sécurisée de l'extérieur, un serveur vocal d'entreprise, quel que soit le numéro du terminal d'appel, ce service n'étant accessible qu'à certaines personnes (par exemple le personnel de l'entreprise).It also relates to a corresponding access system, an authentication server and a computer program for this application. More particularly, the invention relates for example to secure access to a voice service implemented by a voice server. It is then, for example, to make accessible, in a secure way from the outside, a corporate voice server, regardless of the number of the call terminal, this service being accessible only to certain people (eg company staff).
Actuellement, deux solutions d'accès sécurisé à un serveur vocal existent.Currently, two solutions for secure access to a voice server exist.
Dans la première solution, le serveur vocal est associé à une liste de numéros entrants autorisés ou refusés de terminaux d'accès. Cette liste peut être statique ou dynamique.In the first solution, the voice server is associated with a list of authorized or refused access terminal numbers. This list can be static or dynamic.
Dans la seconde solution, l'utilisateur appelle d'abord le serveur vocal. Il se voit alors remettre un numéro d'identifiant, puis se connecte à un serveur web pour entrer cet identifiant. Si l'identifiant saisi est le même, il peut alors accéder au service vocal. Ce type d'architecture d'accès à un service est celle employée pour les accès à des services payants par exemple.In the second solution, the user first calls the voice server. He is then given an ID number, and then connects to a web server to enter this identifier. If the identifier entered is the same, he can then access the voice service. This type of service access architecture is that used for access to paid services for example.
Les procédés actuels d'accès à un service vocal ne sont donc pas optimaux. En effet, ils présentent plusieurs contraintes. Ainsi dans le cas d'accès par liste statique, il est nécessaire de maintenir à jour la liste des numéros de terminaux acceptés et des numéros de terminaux refusés. Par ailleurs, et bien qu'il soit possible d'avoir des accès par liste dynamique, ces accès nécessitent souvent un accès web pour transmettre l'identifiant au système de contrôle d'accès. De plus, dans le mode d'accès par liste dynamique, il est difficile de gérer une authentification réelle et sécurisée de la personne physique effectuant l'appel. On conçoit donc que les solutions d'accès de l'état de la technique ne répondent pas aux besoins actuels dans le sens où le service vocal est accessible à tous les numéros et pas seulement aux personnes dont le numéro a été déclaré et autorisé. Par ailleurs, il est difficile, voire impossible, de maintenir à jour une liste des numéros des terminaux pouvant accéder aux services, car du fait de la mobilité des personnes, la liste devient rapidement ingérable.The current methods of accessing a voice service are therefore not optimal. Indeed, they have several constraints. Thus in the case of access by static list, it is necessary to maintain the list of accepted terminal numbers and denied terminal numbers. Moreover, and although it is possible to have access by dynamic list, these access often require web access to transmit the identifier to the access control system. In addition, in the dynamic list access mode, it is difficult to manage real and secure authentication of the natural person making the call. It is therefore understandable that the access solutions of the state of the art do not meet the current needs in the sense that the voice service is accessible to all numbers and not only to people whose number has been declared and authorized. Furthermore, it is difficult, if not impossible, to keep a list of the numbers of the terminals that can access the services up to date because, because of the mobility of people, the list quickly becomes unmanageable.
Le procédé d'accès selon l'invention est un procédé d'accès par un utilisateur, à partir d'un deuxième terminal, à un service caractérisé en ce qu'il comporte: - une étape de transmission par l'utilisateur, à partir d'un deuxième terminal, d'une requête d'accès au service par le premier terminal, à destination d'un serveur d'authentification ;The access method according to the invention is a method of access by a user, from a second terminal, to a service characterized in that it comprises: a transmission step by the user, from a second terminal, a request for access to the service by the first terminal, to an authentication server;
- une étape de validation par le serveur d'authentification auprès d'un serveur de service de l'accès au service par le premier terminal ; et - une étape d'accès par l'utilisateur au service à partir du premier terminal.a step of validation by the authentication server with a service server of access to the service by the first terminal; and - a step of access by the user to the service from the first terminal.
Ce procédé peut également présenter l'une ou plusieurs des caractéristiques suivantes :This method may also have one or more of the following features:
- l'étape de validation par le serveur d'authentification auprès du serveur de service de l'accès au service par le premier terminal est associée à une étape de transmission par le serveur d'authentification vers le deuxième terminal d'un message d'autorisation d'accès ;the step of validation by the authentication server with the service server of access to the service by the first terminal is associated with a step of transmission by the authentication server towards the second terminal of a message of access authorization ;
- il comporte une étape de chiffrement et de signature de la requête d'accès générée à partir du deuxième terminal avant sa transmission au serveur d'authentification ;it includes a step of encrypting and signing the access request generated from the second terminal before it is transmitted to the authentication server;
- la requête d'accès est transmise à partir du deuxième terminal vers le serveur d'authentification sur un canal de transmission de données et l'accès au serveur de service à partir du premier terminal est réalisé sur un canal de transmission de voix ; L'invention concerne également un système d'accès par un utilisateur, à partir d'un premier terminal, à un service caractérisé en ce qu'il comporte :- The access request is transmitted from the second terminal to the authentication server on a data transmission channel and access to the service server from the first terminal is performed on a voice transmission channel; The invention also relates to a user access system, from a first terminal, to a service characterized in that it comprises:
- des moyens de transmission par l'utilisateur, à partir d'un deuxième terminal, d'une requête d'accès au service par le premier terminal, à destination d'un serveur d'authentification ; - des moyens de validation par le serveur d'authentification auprès d'un serveur de service de l'accès au service par le premier terminal ; etmeans for transmission by the user, from a second terminal, of a request for access to the service by the first terminal, destined for an authentication server; means for validation by the authentication server with a service server of access to the service by the first terminal; and
- des moyens d'accès par l'utilisateur au service à partir du premier terminal. Ce système peut également présenter l'une ou plusieurs des caractéristiques suivantes :means of access by the user to the service from the first terminal. This system may also have one or more of the following features:
- le service et le serveur de service sont respectivement un service et un serveur vocaux ;the service and the service server are respectively a service and a voice server;
- le premier terminal est un téléphone fixe et le deuxième terminal est un téléphone mobile ;the first terminal is a fixed telephone and the second terminal is a mobile telephone;
- le premier terminal et le deuxième terminal sont constitués par un même appareil de téléphone mobile fonctionnant en transmission de voix et en transmission de données,the first terminal and the second terminal are constituted by the same mobile telephone apparatus operating in voice transmission and in data transmission,
L'invention concerne également un serveur d'authentification caractérisé en ce qu'il comporte :The invention also relates to an authentication server characterized in that it comprises:
- des moyens de réception d'une requête d'accès par un premier terminal à un service mis en œuvre par un serveur de service ;means for receiving an access request by a first terminal to a service implemented by a service server;
- des moyens de validation de cette requête ; etmeans for validating this request; and
- des moyens de transmission au serveur de service d'une autorisation d'accès au service par le premier terminal.means for transmitting to the service server a service access authorization by the first terminal.
L'invention concerne aussi un programme d'ordinateur comprenant des instructions de code qui, lorsque ce code est exécuté dans un serveur d'authentification permet:The invention also relates to a computer program comprising code instructions which when this code is executed in an authentication server allows:
- la réception d'une requête d'accès par un premier terminal à un service mis en œuvre par un serveur de service ;- Receiving an access request by a first terminal to a service implemented by a service server;
- la validation de cette requête ; et- the validation of this request; and
- la transmission au serveur de service d'une autorisation d'accès au service par le premier terminal.- The transmission to the service server of a service access authorization by the first terminal.
Ainsi, l'invention permet de pallier les inconvénients de l'état de la technique en permettant à un utilisateur d'accéder à un service, par exemple vocal, depuis un premier terminal de manière authentifiée. La spécificité de l'invention réside dans le fait que l'utilisateur effectue sa requête d'accès, à l'aide d'un deuxième terminal, auprès d'un serveur d'authentification. Ensuite, le serveur d'authentification valide l'accès au service par le premier terminal auprès du serveur de service, par exemple le serveur vocal, et transmet simultanément un message d'autorisation d'accès à l'utilisateur au niveau du deuxième terminal. L'invention permet également une authentification forte de l'utilisateur grâce à l'utilisation de la cryptographie et des infrastructures à clés publiques. De plus, la sécurisation de l'authentification via l'utilisation des moyens cryptographiques précédemment cités et par l'utilisation d'une information d'horodatage peut prévenir des attaques de type « rejeu ». Les attaques de typeThus, the invention overcomes the disadvantages of the state of the art by allowing a user to access a service, for example voice, from a first terminal in an authenticated manner. The specificity of the invention lies in the fact that the user makes his access request, using a second terminal, to an authentication server. Then, the authentication server validates access to the service by the first terminal the service server, for example the voice server, and simultaneously transmits an access authorization message to the user at the second terminal. The invention also allows strong authentication of the user through the use of cryptography and public key infrastructures. In addition, securing the authentication via the use of the cryptographic means mentioned above and the use of timestamp information can prevent "replay" type attacks. Type attacks
« rejeu » correspondent au fait qu'un attaquant intercepte des messages échangés lors de l'authentification de l'utilisateur et les « rejoue » un peu plus tard après les avoir éventuellement modifiés pour essayer d'obtenir un accès."Replay" refers to an attacker intercepting messages exchanged during user authentication and "replay" them a little later after possibly modifying them to try to gain access.
Par ailleurs, la requête d'accès étant transmise à partir du deuxième terminal vers le serveur d'authentification sur un canal de transmission de données souvent plus difficile à pirater que le canal de transmission de la voix, l'authentification est plus forte. En outre, comme il n'y a aucune prise de contact avec le serveur vocal avant l'authentification, ceci renforce les politiques d'accès au service vocal.Furthermore, the access request is transmitted from the second terminal to the authentication server on a data transmission channel often harder to hack than the voice transmission channel, the authentication is stronger. In addition, since there is no contact with the voice server prior to authentication, this reinforces voice service access policies.
Ainsi, aucun accès non authentifié n'est autorisé.Thus, no unauthenticated access is allowed.
On notera également que dans le cas d'un accès GPRS (« GeneralNote also that in the case of GPRS access ("General
Packet Radio Service ») pour l'authentification, il y a une très faible consommation de temps et / ou de données sur le forfait de l'utilisateur dans le sens où l'on envoie une simple information de quelques kilo-octets et où l'on n'effectue pas une consultation de site web.Packet Radio Service ") for authentication, there is a very low consumption of time and / or data on the user's package in the sense that we send a simple information of a few kilobytes and where we do not do a website consultation.
L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins annexés sur lesquels :The invention will be better understood on reading the description which follows, given solely by way of example and with reference to the appended drawings in which:
- la figure 1 représente un schéma synoptique illustrant la structure et le fonctionnement d'un procédé et d'un système d'accès par liste statique à un service de l'état de la technique ;FIG. 1 represents a block diagram illustrating the structure and operation of a method and a static list access system to a service of the state of the art;
- la figure 2 représente un schéma synoptique illustrant la structure et le fonctionnement d'un procédé et d'un système d'accès par liste dynamique à un service de l'état de la technique ;FIG. 2 represents a block diagram illustrating the structure and operation of a method and a dynamic list access system to a service of the state of the art;
- la figure 3 représente un schéma synoptique illustrant la structure et le fonctionnement d'un procédé et d'un système d'accès à un service selon l'invention ; - la figure 4 représente un schéma synoptique illustrant le fonctionnement du serveur d'authentification selon l'invention ;FIG. 3 represents a block diagram illustrating the structure and operation of a method and system for accessing a service according to the invention; FIG. 4 represents a block diagram illustrating the operation of the authentication server according to the invention;
- la figure 5 représente un organigramme illustrant la structure générale de fonctionnement du procédé d'accès selon l'invention ; et - la figure 6 représente un organigramme illustrant le fonctionnement du procédé de génération et de transmission d'une requête d'accès au serveur de service selon l'invention.FIG. 5 represents a flowchart illustrating the general operating structure of the access method according to the invention; and FIG. 6 represents a flowchart illustrating the operation of the method for generating and transmitting an access request to the service server according to the invention.
Comme cela a été mentionné précédemment, l'invention concerne un procédé et un système d'accès par un utilisateur, à travers des moyens formant réseau de transmission d'informations et à partir d'un premier terminal, à un service mis en œuvre par un serveur de service.As mentioned previously, the invention relates to a method and a system for access by a user, via information transmission network means and from a first terminal, to a service implemented by a service server.
On connaît dans l'état de la technique deux solutions pour accéder à un service, par exemple vocal, par un utilisateur à travers des moyens formant réseau de transmission d'informations. Il s'agit des procédés d'accès par liste statique et par liste dynamique. Ces procédés d'accès de l'état de la technique sont illustrés sur les figures 1 et 2.Two solutions are known in the state of the art for accessing a service, for example voice service, by a user through means forming an information transmission network. These are the methods of access by static list and dynamic list. These access methods of the state of the art are illustrated in FIGS. 1 and 2.
La figure 1 illustre un procédé d'accès par liste statique à un service par exemple vocal par un utilisateur.FIG. 1 illustrates a method of access by static list to a service, for example voice service, by a user.
Selon ce procédé, l'accès à un service vocal est géré par le serveur vocal qui maintient à jour une liste de numéros entrants de terminaux autorisés ou refusés. La mise à jour de cette liste s'effectue de manière manuelle ou automatique de façon classique.According to this method, access to a voice service is managed by the voice server which maintains a list of incoming numbers of authorized or refused terminals. The update of this list is done manually or automatically in a conventional manner.
On reconnaît en effet sur la figure 1 , un schéma synoptique d'un mode de réalisation de ce procédé d'accès par liste statique à un service vocal de l'état de la technique.In fact, FIG. 1 shows a block diagram of one embodiment of this static list access method to a voice service of the state of the art.
Dans cet exemple de réalisation, l'utilisateur a à sa disposition un terminal d'accès, désigné par la référence générale 1 , permettant d'accéder à travers un réseau de transmission d'informations désigné par la référence générale 2, à un serveur de service désigné par la référence générale 3 et constitué par exemple par un serveur vocal permettant à l'utilisateur d'accéder à un service par exemple vocal 4.In this exemplary embodiment, the user has at his disposal an access terminal, designated by the general reference 1, making it possible to access through an information transmission network designated by the general reference 2, to a server of service designated by the general reference 3 and constituted for example by a voice server allowing the user to access a service for example voice 4.
Le serveur vocal 3 est également associé à des moyens de stockage 5 d'une base de données qui, comme cela sera décrit plus en détails par la suite, contient une liste des numéros d'appel de terminaux autorisés et refusés. Comme cela est illustré sur cette figure, des moyens de mise à jour de cette liste désignés par la référence 6 permettent de la mettre à jour de manière manuelle ou automatique de façon classique.The voice server 3 is also associated with storage means 5 of a database which, as will be described in more detail later, contains a list of authorized and denied terminal call numbers. As illustrated in this figure, update means of this list designated by reference 6 can be updated manually or automatically in a conventional manner.
Selon ce mode de réalisation, l'utilisateur émet un appel à partir du terminal 1 à travers le réseau de transmission d'informations 2 pour accéder au serveur vocal 3. Ce serveur vocal compare alors le numéro du terminal 1 aux numéros contenus dans la liste des numéros des terminaux autorisés stockée dans la base de données 5, pour autoriser ou non l'accès. L'utilisateur peut alors accéder ou non au service vocal 4 grâce au terminal 1. Dans le cas où l'utilisateur souhaite accéder au service vocal 4 par un terminal dont le numéro n'est pas répertorié dans la liste des numéros autorisés, comme c'est le cas pour un terminal 7 illustré sur cette figure 1 , l'appel effectué en 8 est rejeté en 9 par le serveur vocal 3 après consultation de la base de données 5. Comme cela a été mentionné, un tel procédé est difficile à mettre en œuvre car, du fait de la mobilité des personnes, la mise à jour de la liste des numéros des terminaux acceptés et des numéros des terminaux refusés devient rapidement ingérable.According to this embodiment, the user sends a call from the terminal 1 through the information transmission network 2 to access the voice server 3. This voice server then compares the number of the terminal 1 to the numbers contained in the list. authorized terminal numbers stored in the database 5, to allow or not access. The user can then access or not the voice service 4 through the terminal 1. In the case where the user wishes to access the voice service 4 by a terminal whose number is not listed in the list of authorized numbers, such as c is the case for a terminal 7 illustrated in this figure 1, the call made at 8 is rejected in 9 by the voice server 3 after consultation of the database 5. As mentioned, such a process is difficult to implement because, because of the mobility of people, updating the list of accepted terminal numbers and numbers of denied terminals quickly becomes unmanageable.
On a tenté de résoudre ce problème en proposant un procédé d'accès par liste dynamique.An attempt has been made to solve this problem by proposing a dynamic list access method.
La figure 2 illustre un mode de réalisation de ce procédé de l'état de la technique.FIG. 2 illustrates an embodiment of this method of the state of the art.
Dans cet exemple de réalisation, un utilisateur désigné par la référence générale 10 a à sa disposition deux terminaux à savoir un premier terminal désigné par la référence générale 1 1 et un deuxième terminal désigné par la référence générale 12. Le premier terminal 1 1 est constitué d'un téléphone fixe et le deuxième terminal 12 est constitué d'un ordinateur, par exemple.In this embodiment, a user designated by the general reference 10 has at his disposal two terminals namely a first terminal designated by the general reference 1 1 and a second terminal designated by the general reference 12. The first terminal 1 1 is constituted a fixed telephone and the second terminal 12 consists of a computer, for example.
Le premier terminal 1 1 est relié à travers un canal de transmission de la voix désigné par la référence 13 à un serveur de service, par exemple un serveur vocal désigné par la référence générale 14, mettant en œuvre un service par exemple vocal désigné par la référence générale 15. Le deuxième terminal 12 est relié à travers un canal de transmission de données désigné par la référence 16 à un serveur de contrôle d'accès désigné par la référence générale 17 et constitué d'un serveur web par exemple. Selon ce procédé, l'utilisateur 10 appelle à travers le canal de transmission de la voix 13, le serveur vocal 14 à l'aide du premier terminal 11. Le serveur vocal 14 lui remet alors un numéro d'identifiant qu'il transmet en même temps en 18 au serveur de contrôle d'accès 17. Ensuite, l'utilisateur 10 se connecte, par l'intermédiaire du deuxième terminal 12, à travers le canal de transmission de données 16 au serveur de contrôle d'accès 17 pour entrer cet identifiant. Le serveur de contrôle d'accès 17 émet alors en 19 une autorisation d'accès vers le serveur vocal 14, ce qui permet au premier terminal 1 1 d'accéder au service vocal 15. Cependant, ce procédé d'accès illustré sur la figure 2 présente également des inconvénients. En effet, il nécessite un accès web afin que l'utilisateur puisse fournir l'identifiant. De plus, il est difficile de gérer une authentification réelle et sécurisée de la personne physique effectuant l'appel, car le service vocal est accessible à tous les numéros de terminaux et non seulement aux terminaux dont le numéro a été déclaré.The first terminal 1 1 is connected through a voice transmission channel designated by the reference 13 to a service server, for example a voice server designated by the general reference 14, implementing a service, for example a voice designated by the general reference 15. The second terminal 12 is connected through a data transmission channel designated by the reference 16 to an access control server designated by the general reference 17 and consisting of a web server for example. According to this method, the user 10 calls through the voice transmission channel 13, the voice server 14 using the first terminal 11. The voice server 14 then gives him an identifier number that he transmits in same time at 18 to the access control server 17. Next, the user 10 connects, through the second terminal 12, through the data transmission channel 16 to the access control server 17 to enter this identifier. The access control server 17 then transmits at 19 an access authorization to the voice server 14, which allows the first terminal 1 1 to access the voice service 15. However, this access method illustrated in FIG. 2 also has drawbacks. Indeed, it requires web access so that the user can provide the identifier. In addition, it is difficult to manage real and secure authentication of the natural person making the call, because the voice service is accessible to all terminal numbers and not only the terminals whose number has been declared.
L'invention permet de résoudre les problèmes liés aux procédés d'accès de l'état de la technique illustrés sur les figures 1 et 2 en apportant une solution permettant d'avoir la possibilité de contacter un service vocal donné en s'assurant d'une meilleure authentification et ceci quel que soit le numéro d'appel du terminal d'un utilisateur autorisé.The invention makes it possible to solve the problems related to the access methods of the state of the art illustrated in FIGS. 1 and 2 by providing a solution making it possible to have the possibility of contacting a given voice service while making sure of better authentication and this regardless of the terminal number of the terminal of an authorized user.
La figure 3 illustre la structure et le fonctionnement d'un mode de réalisation du procédé d'accès à un service vocal mis en œuvre par un serveur vocal selon l'invention.FIG. 3 illustrates the structure and operation of an embodiment of the method of access to a voice service implemented by a voice server according to the invention.
Dans ce mode de réalisation de l'invention, l'utilisateur a à sa disposition deux terminaux à savoir un premier terminal désigné par la référence générale 21 , constitué par exemple d'un téléphone fixe, et un deuxième terminal désigné par la référence générale 22, constitué par exemple d'un téléphone mobile. Le premier terminal est relié au moyen d'un canal de transmission de voix désigné par la référence générale 23 à un serveur de service, par exemple un serveur vocal désigné par la référence générale 24, mettant en œuvre un service, par exemple vocal, désigné par la référence 25. Le deuxième terminal 22 est relié au moyen d'un canal de transmission de données désigné par la référence 26 à un serveur d'authentification désigné par la référence générale 27. Selon ce mode de réalisation, l'utilisateur génère et transmet à partir du deuxième terminal 22 sur le canal de transmission de données 26 une requête cryptée d'accès au service 25 par le premier terminal 21 , vers le serveur d'authentification 27. II convient de noter que le moyen de transmission de cette information au serveur d'authentification 27 n'est pas restreint au téléphone mobile. Toute liaison de données peut être utilisée : GPRS (« General Packet Radio Service »), UMTS (« Universal Mobile Telecomunication System »), ligne ADSL (« Asymmetric Digital Subscriber Une »), flux de données en VolP/TolP (« Voice over Internet Protocol / Telephony over Internet Protocol ») ...In this embodiment of the invention, the user has at his disposal two terminals, namely a first terminal designated by the general reference 21, constituted for example by a fixed telephone, and a second terminal designated by the general reference 22. , consisting for example of a mobile phone. The first terminal is connected by means of a voice transmission channel designated by the general reference 23 to a service server, for example a voice server designated by the general reference 24, implementing a service, for example a voice service, designated by the reference 25. The second terminal 22 is connected by means of a data transmission channel designated by the reference 26 to an authentication server designated by the general reference 27. According to this embodiment, the user generates and transmits from the second terminal 22 on the data transmission channel 26 an encrypted access request to the service 25 by the first terminal 21, to the authentication server 27. II It should be noted that the means of transmitting this information to the authentication server 27 is not restricted to the mobile phone. Any data link may be used: GPRS ("General Packet Radio Service"), UMTS ("Universal Mobile Telecomunication System"), ADSL line ("Asymmetric Digital Subscriber One"), data flow in VolP / TolP ("Voice over Internet Protocol / Telephony over Internet Protocol ") ...
La transmission de l'information au serveur peut se faire via n'importe quel protocole réseau : TCP (« Transmission Control Protocol »), UDP (« User Datagram Protocol ») ou tout autre protocole de couche supérieure. Les protocoles HTTP/HTTPs (« Hyper Text Transfer Protocol / Hyper Text Transfer Protocol secured ») peuvent être de très bons candidats dans le sens où il n'y a pas de filtrage de ces protocoles sur les réseaux de transmission de données. Dans ce cas, le serveur d'authentification peut être un module d'un serveur web.The transmission of information to the server can be done via any network protocol: TCP (Transmission Control Protocol), UDP (User Datagram Protocol) or any other higher layer protocol. The HTTP / HTTPs (Hyper Text Transfer Protocol) protocols can be very good candidates in the sense that there is no filtering of these protocols on the data networks. In this case, the authentication server may be a module of a web server.
Le serveur d'authentification 27, après réception de la requête d'accès, valide cette requête. Il transmet alors en 28 au serveur vocal 24 une autorisation d'accès pour le numéro d'appel du premier terminal 21 et transmet au deuxième terminal 22 un message confirmant l'autorisation d'accès. Ceci peut se faire par exemple à l'aide d'un message de type SMS (« Short Message ») envoyé par le serveur d'authentification 25 vers le téléphone mobile constituant le deuxième terminal 22. Ainsi, l'utilisateur peut appeler, à partir du premier terminal 21 le serveur vocal 24 et accéder ainsi au service demandé 25. Le terminal 21 est en effet autorisé à accéder au service 25.The authentication server 27, after receiving the access request, validates this request. It then transmits at 28 to the voice server 24 an access authorization for the call number of the first terminal 21 and transmits to the second terminal 22 a message confirming the access authorization. This can be done, for example, by means of an SMS message ("Short Message") sent by the authentication server 25 to the mobile telephone constituting the second terminal 22. Thus, the user can call, at from the first terminal 21 the voice server 24 and thus access the requested service 25. The terminal 21 is indeed authorized to access the service 25.
Le fonctionnement du procédé d'accès authentifié est décrit de manière plus détaillée en référence aux figures 4 à 6.The operation of the authenticated access method is described in more detail with reference to FIGS. 4 to 6.
La figure 4 représente un organigramme illustrant le fonctionnement du mécanisme d'authentification associé au procédé d'accès selon un mode de réalisation de la présente invention.Fig. 4 shows a flowchart illustrating the operation of the authentication mechanism associated with the access method according to an embodiment of the present invention.
On reconnaît en effet sur cette figure 4, le serveur d'authentification désigné par la référence 27 dans la figure 3. Ce serveur 25 comporte différentes entités à savoir un module frontal d'accès désigné par la référence 31 , un module cryptographique désigné par la référence 32, un module de gestion des droits d'accès désigné par la référenceThis figure 4 recognizes the authentication server designated by the reference 27 in FIG. 3. This server 25 comprises various entities namely an access front module designated by the reference 31, a cryptographic module designated by the reference 32, an access rights management module designated by the reference
33 et un module de gestion de fichiers désigné par la référence 34. Par ailleurs, on reconnaît sur cette figure, une entité représentant un logiciel d'authentification désigné par la référence 35 et installé sur le deuxième terminal 22 de l'utilisateur ainsi que le service vocal 25.33 and a file management module designated by the reference 34. Furthermore, this figure shows an entity representing an authentication software designated by the reference 35 and installed on the second terminal 22 of the user as well as the voice service 25.
Selon ce mode de réalisation de l'invention, le logiciel d'authentification 35 transmet en 36, la requête d'accès constituée par un jeton d'authentification vers le module frontal d'accès 31 du serveur d'authentification 27. Le module frontal d'accès 31 transmet cette requête aux différents modules du serveur d'authentification 27. Le module cryptographique 32 valide en 37 l'authenticité de l'information d'authentification reçue et la déchiffre pour accéder à l'information véhiculée, par exemple le numéro d'appel du premier terminal 21 devant accéder au service vocal 25. Le module de gestion des droits d'accès 33 vérifie en 38 les droits d'accès associés au numéro d'appel du premier terminal 21. Il convient de noter que ce module est optionnel. Il permet simplement d'affiner la politique d'accès au service vocal 25. Le module de gestion de fichiersAccording to this embodiment of the invention, the authentication software 35 transmits, at 36, the access request constituted by an authentication token to the access front module 31 of the authentication server 27. The front-end module The access control 31 transmits this request to the different modules of the authentication server 27. The cryptographic module 32 validates the authenticity of the authentication information received at 37 and decrypts it to access the information conveyed, for example the number the first terminal 21 to access the voice service 25. The access rights management module 33 checks at 38 the access rights associated with the call number of the first terminal 21. It should be noted that this module is optional. It simply makes it possible to refine the voice service access policy 25. The file management module
34 servant à gérer les fichiers dans lesquels tous les accès du serveur d'authentification 27 sont archivés, enregistre en 39 la requête d'accès.34 used to manage the files in which all the accesses of the authentication server 27 are archived, records in 39 the access request.
Enfin, en cas de vérification positive en 38 des droits d'accès, le module frontal d'accès 31 transmet en 40 l'autorisation d'ouverture du service vers le service vocal 25.Finally, in the event of a positive verification at 38 of the access rights, the front access module 31 transmits at 40 the authorization to open the service to the voice service 25.
Ainsi, selon l'invention, l'accès à un service vocal n'est autorisé pour un numéro de terminal donné qu'à partir du moment où ce numéro de terminal est transmis sur une autre bande que la bande de transmission de la voix par des moyens cryptographiques assurant ainsi l'authentification et la confidentialité de l'information. Seuls les numéros de terminaux ainsi reçus pour effectuer les appels, aboutissent sur le serveur vocal, tous les autres sont rejetés (si la politique d'accès le souhaite ainsi).Thus, according to the invention, access to a voice service is authorized for a given terminal number only from the moment when this terminal number is transmitted on a band other than the voice transmission band. cryptographic means thus ensuring the authentication and confidentiality of the information. Only the terminal numbers thus received to make the calls, end up on the voice server, all the others are rejected (if the access policy so wishes).
Des alternatives existent comme par exemple l'authentification via un code de type DTMF (« Dual Tone Multi Frequency »). Cependant cela représente une authentification que l'on ne peut pas qualifier de fiable. En effet, la donnée d'un couple connexion/mot de passe (« login/password ») plus éventuellement un numéro de téléphone, le tout transmis sur un canal peu fiable, n'est pas suffisante pour assurer un accès authentifié à des services sensibles.Alternatives exist such as, for example, authentication via a DTMF type code ("Dual Tone Multi Frequency"). However, this represents an authentication that can not be described as reliable. Indeed, the data of a couple connection / password ("login / password") plus possibly a phone number, all transmitted over an unreliable channel, is not sufficient to provide authenticated access to sensitive services.
Ainsi, grâce à l'invention, il est possible d'imaginer des services vocaux accessibles sans contrainte au sein de l'entreprise (conditions normales de fonctionnement), mais également depuis n'importe quel autre numéro de téléphone externe à l'entreprise.Thus, thanks to the invention, it is possible to imagine voice services accessible without constraint within the company (normal operating conditions), but also from any other telephone number external to the company.
L'authentification est forte grâce à l'utilisation des systèmes cryptographiques (certificat, PKI (« Public Key Infrastructure »), signature et chiffrement). On assure ainsi les aspects d'identification, d'authentification, de non répudiation, d'anti-rejeu et de contrôle d'intégrité liés à la demande d'accès.Authentication is strong thanks to the use of cryptographic systems (certificate, PKI (Public Key Infrastructure), signature and encryption). This ensures the aspects of identification, authentication, non-repudiation, anti-replay and integrity control related to the access request.
La figure 5 représente un organigramme illustrant le fonctionnement général du procédé d'accès selon un mode de réalisation de l'invention.FIG. 5 represents a flowchart illustrating the general operation of the access method according to one embodiment of the invention.
On reconnaît en effet sur cette figure, les étapes mises en œuvre dans le procédé d'accès selon l'invention du côté utilisateur désigné par la référence 10 et du côté serveur d'authentification désigné par la référence 27.In this figure, the steps implemented in the access method according to the invention on the user side designated by the reference 10 and on the authentication server side designated by the reference 27 are recognized.
Ainsi, l'utilisateur 10, souhaitant utiliser un service vocal à l'aide d'un terminal dont le numéro n'est pas connu du service, spécifie en 41 sur son téléphone mobile ou via tout autre moyen permettant de communiquer en mode de transmission de données avec le serveur d'authentification 27, le service vocal qu'il souhaite utiliser et indique le numéro de terminal avec lequel il souhaite interagir avec ce service (dans le cas où ce n'est pas le numéro du téléphone mobile qui sera utilisé). Un logiciel installé sur son téléphone mobile génère alors en 42 une requête d'accès. Ce logiciel crypte en 43 cette requête au moyen de procédés de chiffrement et de signature. Ensuite, cette requête d'accès est transmise en 44 au serveur d'authentification 27.Thus, the user 10, wishing to use a voice service using a terminal whose number is not known to the service, specifies at 41 on his mobile phone or by any other means for communicating in transmission mode. data with the authentication server 27, the voice service he wishes to use and indicates the terminal number with which he wishes to interact with this service (in the case where it is not the number of the mobile phone that will be used ). Software installed on his mobile phone then generates an access request. This software encrypts this request at 43 by means of encryption and signature methods. Then, this access request is transmitted at 44 to the authentication server 27.
Le serveur d'authentification 27 reçoit en 51 la requête d'accès au service. Il vérifie en 52 que le certificat employé pour la signature et le chiffrement est valide (non répudié et non suspendu). Dans le cas où la signature est invalide ou que le certificat est expiré ou suspendu, il refuse en 59 l'accès au service vocal. Si la signature et le certificat sont valides, il déchiffre en 53 les informations et après analyse facultative en 54 des droits, décide en 55 d'autoriser en 56 ou de refuser en 59 l'accès au service vocal.The authentication server 27 receives in 51 the access request to the service. It verifies at 52 that the certificate used for the signature and the encryption is valid (not repudiated and not suspended). In the event that the signature is invalid or the certificate is expired or suspended, he refuses in 59 access to the voice service. If the signature and the certificate are valid, it decrypts in 53 the information and after optional analysis in 54 rights, decides in 55 to authorize in 56 or to refuse in 59 the access to the vocal service.
L'autorisation d'accès au service demandé pour le numéro spécifié étant obtenue en 56, une confirmation en 57 par SMS par exemple est envoyée sur un canal de transmission de données à l'utilisateur 10 qui lui confirme en 45 qu'il est autorisé à accéder avec le numéro de terminal spécifié au service en 46. En cas de rejet en 45, l'utilisateur n'est pas autorisé à accéder au service en 47.The authorization for access to the requested service for the specified number is obtained in 56, a confirmation in 57 by SMS for example is sent on a data transmission channel to the user 10 which confirms at 45 that he is authorized to access the specified terminal number at the service at 46. If rejected at 45, the user is not authorized to access the service in 47.
La figure 6 représente un organigramme illustrant le fonctionnement du procédé de génération et de transmission d'une requête d'accès au serveur vocal selon l'invention.FIG. 6 represents a flowchart illustrating the operation of the method for generating and transmitting an access request to the voice server according to the invention.
En effet, on reconnaît sur cette figure 6, les mécanismes qui servent à la génération de la requête d'accès au niveau du deuxième terminal.Indeed, it is recognized in this Figure 6, the mechanisms used to generate the access request at the second terminal.
Ainsi, un logiciel selon l'invention, installé sur le deuxième terminal de l'utilisateur, par exemple un téléphone mobile, propose à l'utilisateur de spécifier les informations nécessaires (sélection du service et numéro de terminal à utiliser par exemple) et génère une requête suivant le principe illustré par la figure 6.Thus, a software according to the invention, installed on the second terminal of the user, for example a mobile telephone, proposes to the user to specify the necessary information (selection of the service and terminal number to be used for example) and generates a request according to the principle illustrated in FIG.
Sur cette figure 6, on reconnaît en effet les informations contenues dans la requête d'accès selon un mode de réalisation de l'invention. Il s'agit du numéro d'appel du premier terminal, désigné par la référence 61 , des informations d'horodatage désignées par la référence 62 et de l'identifiant du service souhaité désigné par la référence 63. Ces informations sont cryptées par des moyens de chiffrement et de signature en 64. Ensuite les données chiffrées et authentifiées désignées par la référence 65 sont transmises en 66 au serveur d'authentification 27.In this FIG. 6, the information contained in the access request according to one embodiment of the invention is recognized. This is the call number of the first terminal, designated by the reference 61, the timestamp information designated by the reference 62 and the identifier of the desired service designated by the reference 63. This information is encrypted by means in encryption and signature 64. Then the encrypted and authenticated data designated by the reference 65 are transmitted at 66 to the authentication server 27.
Bien entendu, d'autres modes de réalisation encore peuvent être envisagés. Of course, other embodiments may be envisaged.

Claims

REVENDICATIONS
1. Procédé d'accès par un utilisateur à partir d'un premier terminal (21 ), à un service (25), caractérisé en ce qu'il comporte :1. Method of access by a user from a first terminal (21) to a service (25), characterized in that it comprises:
- une étape de transmission par l'utilisateur, à partir d'un deuxième terminal (22), d'une requête d'accès au service (25) par le premier terminal (21 ), à destination d'un serveur d'authentification (27) ;a step of transmission by the user, from a second terminal (22), of a request for access to the service (25) by the first terminal (21), to an authentication server (27);
- une étape de validation par le serveur d'authentification (27) auprès d'un serveur de service (24) de l'accès au service (25) par le premier terminal (21 ) ; et - une étape d'accès par l'utilisateur au service (25) à partir du premier terminal (21 ).a validation step by the authentication server (27) with a service server (24) of access to the service (25) by the first terminal (21); and a step of user access to the service (25) from the first terminal (21).
2. Procédé selon la revendication 1 , caractérisé en ce que l'étape de validation par le serveur d'authentification (27) auprès du serveur de service (24) de l'accès au service (25) par le premier terminal (21 ) est associée à une étape de transmission par le serveur d'authentification (27) vers le deuxième terminal (22) d'un message d'autorisation d'accès.2. Method according to claim 1, characterized in that the step of validation by the authentication server (27) from the service server (24) access to the service (25) by the first terminal (21) is associated with a step of transmission by the authentication server (27) to the second terminal (22) of an access authorization message.
3. Procédé selon la revendication 1 ou 2, caractérisé en ce qu'il comporte une étape de chiffrement et de signature de la requête d'accès générée à partir du deuxième terminal (22) avant sa transmission au serveur d'authentification (27).3. Method according to claim 1 or 2, characterized in that it comprises a step of encrypting and signing the access request generated from the second terminal (22) before transmission to the authentication server (27). .
4. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que la requête d'accès est transmise à partir du deuxième terminal (22) vers le serveur d'authentification (27) sur un canal de transmission de données (26) et en ce que l'accès au serveur de service (24) à partir du premier terminal (21 ) est réalisé sur un canal de transmission de voix (23).4. Method according to any one of the preceding claims, characterized in that the access request is transmitted from the second terminal (22) to the authentication server (27) on a data transmission channel (26). and in that access to the service server (24) from the first terminal (21) is performed on a voice transmission channel (23).
5. Système d'accès par un utilisateur, à partir d'un premier terminal (21 ), à un service (25), caractérisé en ce qu'il comporte :5. System for access by a user, from a first terminal (21), to a service (25), characterized in that it comprises:
- des moyens de transmission par l'utilisateur, à partir d'un deuxième terminal (22), d'une requête d'accès au service par le premier terminal (21 ), à destination d'un serveur d'authentification (27) ;means for transmission by the user, from a second terminal (22), of a request for access to the service by the first terminal (21), intended for an authentication server (27) ;
- des moyens de validation par le serveur d'authentification (27) auprès d'un serveur de service (24) de l'accès au service (25) par le premier terminal (21 ) ; et - des moyens d'accès par l'utilisateur au service (25) à partir du premier terminal (21 ).means for validation by the authentication server (27) with a service server (24) of access to the service (25) by the first terminal (21); and means for user access to the service (25) from the first terminal (21).
6. Système selon la revendication 5 caractérisé en ce que le service (25) et le serveur de service (24) sont respectivement un service et un serveur vocaux.6. System according to claim 5 characterized in that the service (25) and the service server (24) are respectively a service and a voice server.
7. Système selon la revendication 5 ou 6, caractérisé en ce que le premier terminal (21 ) est un téléphone fixe et le deuxième terminal (22) est un téléphone mobile.7. System according to claim 5 or 6, characterized in that the first terminal (21) is a fixed telephone and the second terminal (22) is a mobile phone.
8. Système selon l'une quelconque des revendications 5 à 7, caractérisé en ce que le premier terminal (21 ) et le deuxième terminal (22) sont constitués par un même appareil de téléphone mobile fonctionnant en transmission de voix et en transmission de données.8. System according to any one of claims 5 to 7, characterized in that the first terminal (21) and the second terminal (22) consist of the same mobile telephone device operating in voice transmission and data transmission. .
9. Serveur d'authentification (27) caractérisé en ce qu'il comporte :Authentication server (27) characterized in that it comprises:
- des moyens de réception d'une requête d'accès par un premier terminal (21 ) à un service mis en œuvre par un serveur de service (24) ;means for receiving an access request by a first terminal (21) to a service implemented by a service server (24);
- des moyens de validation de cette requête ; etmeans for validating this request; and
- des moyens de transmission au serveur de service (24) d'une autorisation d'accès au service par le premier terminal (21 ).means for transmitting to the service server (24) a service access authorization by the first terminal (21).
10. Programme d'ordinateur comprenant des instructions de code qui, lorsque ce code est exécuté dans un serveur d'authentification (27) selon la revendication 9, permet:A computer program comprising code instructions which, when executed in an authentication server (27) according to claim 9, enables:
- la réception d'une requête d'accès par un premier terminal (21 ) à un service mis en œuvre par un serveur de service (24) ;- receiving an access request by a first terminal (21) to a service implemented by a service server (24);
- la validation de cette requête ; et - la transmission au serveur de service (24) d'une autorisation d'accès au service par le premier terminal (21 ). - the validation of this request; and - the transmission to the service server (24) of a service access authorization by the first terminal (21).
PCT/FR2007/051979 2006-09-26 2007-09-20 Method and system for a user to access a service, and related authentication server and computer program WO2008037912A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0608429 2006-09-26
FR0608429 2006-09-26

Publications (2)

Publication Number Publication Date
WO2008037912A2 true WO2008037912A2 (en) 2008-04-03
WO2008037912A3 WO2008037912A3 (en) 2008-06-12

Family

ID=37986873

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2007/051979 WO2008037912A2 (en) 2006-09-26 2007-09-20 Method and system for a user to access a service, and related authentication server and computer program

Country Status (1)

Country Link
WO (1) WO2008037912A2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002028074A2 (en) * 2000-09-28 2002-04-04 Simitel S De Rl De Cv Variable automated response system
WO2002073944A1 (en) * 2001-01-05 2002-09-19 Evoice, Inc. Automated provisioning of telephone services
US20030053606A1 (en) * 2001-09-18 2003-03-20 Yukio Shimada Service system for providing by confirming caller telephone number, service method and medium

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002028074A2 (en) * 2000-09-28 2002-04-04 Simitel S De Rl De Cv Variable automated response system
WO2002073944A1 (en) * 2001-01-05 2002-09-19 Evoice, Inc. Automated provisioning of telephone services
US20030053606A1 (en) * 2001-09-18 2003-03-20 Yukio Shimada Service system for providing by confirming caller telephone number, service method and medium

Also Published As

Publication number Publication date
WO2008037912A3 (en) 2008-06-12

Similar Documents

Publication Publication Date Title
EP1683388B1 (en) Method for managing the security of applications with a security module
EP1687953B1 (en) Method for the authentication of applications
EP0721271B1 (en) Access control system for computers connected in a private network
EP3008872B1 (en) Method for authenticating a terminal by a gateway of an internal network protected by an entity providing secure access
WO2006021661A2 (en) Secured authentication method for providing services on a data transmission network
EP0973318A1 (en) Process for remote paying, by means of a mobile radio telephone, the acquisition of a good and/or a service, and corresponding system and mobile radio telephone
EP1753173A1 (en) Access control for a mobile equipment to a communication network based on dynamic modification of access policies
EP1965559B1 (en) Method for securing a data flow
WO2009080999A2 (en) Method of authenticating a user
EP1574002B1 (en) Confidence communication method between two units
EP1400090B1 (en) Method and device for securing communications in a computer network
WO2008037912A2 (en) Method and system for a user to access a service, and related authentication server and computer program
EP2630765B1 (en) Method for optimizing the transfer of a stream of secure data via an autonomic network
EP1547346A2 (en) Method and installation for controlling a telephone call transmitter on an internet network and telephone terminal therefor
EP3041192B1 (en) Authentication infrastructure for ip phones of a proprietary toip system by an open eap-tls system
WO2006051197A1 (en) Method of authorising a client terminal of a nominal network to access a communication network different from the nominal network, and corresponding system, authentication server and computer program
EP1510904B1 (en) Method and system for evaluating the level of security of an electronic equipment and for providing conditional access to resources
EP1677486A1 (en) Terminal authentication method
EP1610538B1 (en) Process and device for localization of a subscriber connected to a fixed-line telecommunications network
EP1992104B1 (en) Authenticating a computer device at user level
EP1484895A1 (en) Process of access to a network or a service by using a protocol of the family of PPPoX protocols, and architecture implementing such a process
EP3360293A1 (en) Means for managing access to data
FR2923110A1 (en) Client device e.g. mobile telephone, authenticating method for internet network, involves receiving response message by server device, and continuing communication between server device and client device, if response message is valid
WO2012052664A1 (en) Method and system for authentication

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07848351

Country of ref document: EP

Kind code of ref document: A2