Procédé et système d'accès par un utilisateur à un service, serveur d'authentification et programme d'ordinateur correspondants.

La présente invention concerne un procédé d'accès par un utilisateur, à travers des moyens formant réseau de transmission d'informations et à partir d'un premier terminal, à un service mis en œuvre par un serveur de service.

Elle concerne également un système d'accès correspondant, un serveur d'authentification et un programme d'ordinateur pour cette application. Plus particulièrement, l'invention se rapporte par exemple à l'accès sécurisé à un service vocal mis en œuvre par un serveur vocal. Il s'agit alors, par exemple, de pouvoir rendre accessible, de façon sécurisée de l'extérieur, un serveur vocal d'entreprise, quel que soit le numéro du terminal d'appel, ce service n'étant accessible qu'à certaines personnes (par exemple le personnel de l'entreprise).

Actuellement, deux solutions d'accès sécurisé à un serveur vocal existent.

Dans la première solution, le serveur vocal est associé à une liste de numéros entrants autorisés ou refusés de terminaux d'accès. Cette liste peut être statique ou dynamique.

Dans la seconde solution, l'utilisateur appelle d'abord le serveur vocal. Il se voit alors remettre un numéro d'identifiant, puis se connecte à un serveur web pour entrer cet identifiant. Si l'identifiant saisi est le même, il peut alors accéder au service vocal. Ce type d'architecture d'accès à un service est celle employée pour les accès à des services payants par exemple.

Les procédés actuels d'accès à un service vocal ne sont donc pas optimaux. En effet, ils présentent plusieurs contraintes. Ainsi dans le cas d'accès par liste statique, il est nécessaire de maintenir à jour la liste des numéros de terminaux acceptés et des numéros de terminaux refusés. Par ailleurs, et bien qu'il soit possible d'avoir des accès par liste dynamique, ces accès nécessitent souvent un accès web pour transmettre l'identifiant au système de contrôle d'accès. De plus, dans le mode d'accès par liste dynamique, il est difficile de gérer une authentification réelle et sécurisée de la personne physique effectuant l'appel.

On conçoit donc que les solutions d'accès de l'état de la technique ne répondent pas aux besoins actuels dans le sens où le service vocal est accessible à tous les numéros et pas seulement aux personnes dont le numéro a été déclaré et autorisé. Par ailleurs, il est difficile, voire impossible, de maintenir à jour une liste des numéros des terminaux pouvant accéder aux services, car du fait de la mobilité des personnes, la liste devient rapidement ingérable.

Le procédé d'accès selon l'invention est un procédé d'accès par un utilisateur, à partir d'un deuxième terminal, à un service caractérisé en ce qu'il comporte: - une étape de transmission par l'utilisateur, à partir d'un deuxième terminal, d'une requête d'accès au service par le premier terminal, à destination d'un serveur d'authentification ;

- une étape de validation par le serveur d'authentification auprès d'un serveur de service de l'accès au service par le premier terminal ; et - une étape d'accès par l'utilisateur au service à partir du premier terminal.

Ce procédé peut également présenter l'une ou plusieurs des caractéristiques suivantes :

- l'étape de validation par le serveur d'authentification auprès du serveur de service de l'accès au service par le premier terminal est associée à une étape de transmission par le serveur d'authentification vers le deuxième terminal d'un message d'autorisation d'accès ;

- il comporte une étape de chiffrement et de signature de la requête d'accès générée à partir du deuxième terminal avant sa transmission au serveur d'authentification ;

- la requête d'accès est transmise à partir du deuxième terminal vers le serveur d'authentification sur un canal de transmission de données et l'accès au serveur de service à partir du premier terminal est réalisé sur un canal de transmission de voix ; L'invention concerne également un système d'accès par un utilisateur, à partir d'un premier terminal, à un service caractérisé en ce qu'il comporte :

- des moyens de transmission par l'utilisateur, à partir d'un deuxième terminal, d'une requête d'accès au service par le premier terminal, à destination d'un serveur d'authentification ;

- des moyens de validation par le serveur d'authentification auprès d'un serveur de service de l'accès au service par le premier terminal ; et

- des moyens d'accès par l'utilisateur au service à partir du premier terminal. Ce système peut également présenter l'une ou plusieurs des caractéristiques suivantes :

- le service et le serveur de service sont respectivement un service et un serveur vocaux ;

- le premier terminal est un téléphone fixe et le deuxième terminal est un téléphone mobile ;

- le premier terminal et le deuxième terminal sont constitués par un même appareil de téléphone mobile fonctionnant en transmission de voix et en transmission de données,

L'invention concerne également un serveur d'authentification caractérisé en ce qu'il comporte :

- des moyens de réception d'une requête d'accès par un premier terminal à un service mis en œuvre par un serveur de service ;

- des moyens de validation de cette requête ; et

- des moyens de transmission au serveur de service d'une autorisation d'accès au service par le premier terminal.

L'invention concerne aussi un programme d'ordinateur comprenant des instructions de code qui, lorsque ce code est exécuté dans un serveur d'authentification permet:

- la réception d'une requête d'accès par un premier terminal à un service mis en œuvre par un serveur de service ;

- la validation de cette requête ; et

- la transmission au serveur de service d'une autorisation d'accès au service par le premier terminal.

Ainsi, l'invention permet de pallier les inconvénients de l'état de la technique en permettant à un utilisateur d'accéder à un service, par exemple vocal, depuis un premier terminal de manière authentifiée. La spécificité de l'invention réside dans le fait que l'utilisateur effectue sa requête d'accès, à l'aide d'un deuxième terminal, auprès d'un serveur d'authentification. Ensuite, le serveur d'authentification valide l'accès au service par le premier terminal auprès

du serveur de service, par exemple le serveur vocal, et transmet simultanément un message d'autorisation d'accès à l'utilisateur au niveau du deuxième terminal. L'invention permet également une authentification forte de l'utilisateur grâce à l'utilisation de la cryptographie et des infrastructures à clés publiques. De plus, la sécurisation de l'authentification via l'utilisation des moyens cryptographiques précédemment cités et par l'utilisation d'une information d'horodatage peut prévenir des attaques de type « rejeu ». Les attaques de type

« rejeu » correspondent au fait qu'un attaquant intercepte des messages échangés lors de l'authentification de l'utilisateur et les « rejoue » un peu plus tard après les avoir éventuellement modifiés pour essayer d'obtenir un accès.

Par ailleurs, la requête d'accès étant transmise à partir du deuxième terminal vers le serveur d'authentification sur un canal de transmission de données souvent plus difficile à pirater que le canal de transmission de la voix, l'authentification est plus forte. En outre, comme il n'y a aucune prise de contact avec le serveur vocal avant l'authentification, ceci renforce les politiques d'accès au service vocal.

Ainsi, aucun accès non authentifié n'est autorisé.

On notera également que dans le cas d'un accès GPRS (« General

Packet Radio Service ») pour l'authentification, il y a une très faible consommation de temps et / ou de données sur le forfait de l'utilisateur dans le sens où l'on envoie une simple information de quelques kilo-octets et où l'on n'effectue pas une consultation de site web.

L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins annexés sur lesquels :

- la figure 1 représente un schéma synoptique illustrant la structure et le fonctionnement d'un procédé et d'un système d'accès par liste statique à un service de l'état de la technique ;

- la figure 2 représente un schéma synoptique illustrant la structure et le fonctionnement d'un procédé et d'un système d'accès par liste dynamique à un service de l'état de la technique ;

- la figure 3 représente un schéma synoptique illustrant la structure et le fonctionnement d'un procédé et d'un système d'accès à un service selon l'invention ;

- la figure 4 représente un schéma synoptique illustrant le fonctionnement du serveur d'authentification selon l'invention ;

- la figure 5 représente un organigramme illustrant la structure générale de fonctionnement du procédé d'accès selon l'invention ; et - la figure 6 représente un organigramme illustrant le fonctionnement du procédé de génération et de transmission d'une requête d'accès au serveur de service selon l'invention.

Comme cela a été mentionné précédemment, l'invention concerne un procédé et un système d'accès par un utilisateur, à travers des moyens formant réseau de transmission d'informations et à partir d'un premier terminal, à un service mis en œuvre par un serveur de service.

On connaît dans l'état de la technique deux solutions pour accéder à un service, par exemple vocal, par un utilisateur à travers des moyens formant réseau de transmission d'informations. Il s'agit des procédés d'accès par liste statique et par liste dynamique. Ces procédés d'accès de l'état de la technique sont illustrés sur les figures 1 et 2.

La figure 1 illustre un procédé d'accès par liste statique à un service par exemple vocal par un utilisateur.

Selon ce procédé, l'accès à un service vocal est géré par le serveur vocal qui maintient à jour une liste de numéros entrants de terminaux autorisés ou refusés. La mise à jour de cette liste s'effectue de manière manuelle ou automatique de façon classique.

On reconnaît en effet sur la figure 1 , un schéma synoptique d'un mode de réalisation de ce procédé d'accès par liste statique à un service vocal de l'état de la technique.

Dans cet exemple de réalisation, l'utilisateur a à sa disposition un terminal d'accès, désigné par la référence générale 1 , permettant d'accéder à travers un réseau de transmission d'informations désigné par la référence générale 2, à un serveur de service désigné par la référence générale 3 et constitué par exemple par un serveur vocal permettant à l'utilisateur d'accéder à un service par exemple vocal 4.

Le serveur vocal 3 est également associé à des moyens de stockage 5 d'une base de données qui, comme cela sera décrit plus en détails par la suite, contient une liste des numéros d'appel de terminaux autorisés et refusés.

Comme cela est illustré sur cette figure, des moyens de mise à jour de cette liste désignés par la référence 6 permettent de la mettre à jour de manière manuelle ou automatique de façon classique.

Selon ce mode de réalisation, l'utilisateur émet un appel à partir du terminal 1 à travers le réseau de transmission d'informations 2 pour accéder au serveur vocal 3. Ce serveur vocal compare alors le numéro du terminal 1 aux numéros contenus dans la liste des numéros des terminaux autorisés stockée dans la base de données 5, pour autoriser ou non l'accès. L'utilisateur peut alors accéder ou non au service vocal 4 grâce au terminal 1. Dans le cas où l'utilisateur souhaite accéder au service vocal 4 par un terminal dont le numéro n'est pas répertorié dans la liste des numéros autorisés, comme c'est le cas pour un terminal 7 illustré sur cette figure 1 , l'appel effectué en 8 est rejeté en 9 par le serveur vocal 3 après consultation de la base de données 5. Comme cela a été mentionné, un tel procédé est difficile à mettre en œuvre car, du fait de la mobilité des personnes, la mise à jour de la liste des numéros des terminaux acceptés et des numéros des terminaux refusés devient rapidement ingérable.

On a tenté de résoudre ce problème en proposant un procédé d'accès par liste dynamique.

La figure 2 illustre un mode de réalisation de ce procédé de l'état de la technique.

Dans cet exemple de réalisation, un utilisateur désigné par la référence générale 10 a à sa disposition deux terminaux à savoir un premier terminal désigné par la référence générale 1 1 et un deuxième terminal désigné par la référence générale 12. Le premier terminal 1 1 est constitué d'un téléphone fixe et le deuxième terminal 12 est constitué d'un ordinateur, par exemple.

Le premier terminal 1 1 est relié à travers un canal de transmission de la voix désigné par la référence 13 à un serveur de service, par exemple un serveur vocal désigné par la référence générale 14, mettant en œuvre un service par exemple vocal désigné par la référence générale 15. Le deuxième terminal 12 est relié à travers un canal de transmission de données désigné par la référence 16 à un serveur de contrôle d'accès désigné par la référence générale 17 et constitué d'un serveur web par exemple.

Selon ce procédé, l'utilisateur 10 appelle à travers le canal de transmission de la voix 13, le serveur vocal 14 à l'aide du premier terminal 11. Le serveur vocal 14 lui remet alors un numéro d'identifiant qu'il transmet en même temps en 18 au serveur de contrôle d'accès 17. Ensuite, l'utilisateur 10 se connecte, par l'intermédiaire du deuxième terminal 12, à travers le canal de transmission de données 16 au serveur de contrôle d'accès 17 pour entrer cet identifiant. Le serveur de contrôle d'accès 17 émet alors en 19 une autorisation d'accès vers le serveur vocal 14, ce qui permet au premier terminal 1 1 d'accéder au service vocal 15. Cependant, ce procédé d'accès illustré sur la figure 2 présente également des inconvénients. En effet, il nécessite un accès web afin que l'utilisateur puisse fournir l'identifiant. De plus, il est difficile de gérer une authentification réelle et sécurisée de la personne physique effectuant l'appel, car le service vocal est accessible à tous les numéros de terminaux et non seulement aux terminaux dont le numéro a été déclaré.

L'invention permet de résoudre les problèmes liés aux procédés d'accès de l'état de la technique illustrés sur les figures 1 et 2 en apportant une solution permettant d'avoir la possibilité de contacter un service vocal donné en s'assurant d'une meilleure authentification et ceci quel que soit le numéro d'appel du terminal d'un utilisateur autorisé.

La figure 3 illustre la structure et le fonctionnement d'un mode de réalisation du procédé d'accès à un service vocal mis en œuvre par un serveur vocal selon l'invention.

Dans ce mode de réalisation de l'invention, l'utilisateur a à sa disposition deux terminaux à savoir un premier terminal désigné par la référence générale 21 , constitué par exemple d'un téléphone fixe, et un deuxième terminal désigné par la référence générale 22, constitué par exemple d'un téléphone mobile. Le premier terminal est relié au moyen d'un canal de transmission de voix désigné par la référence générale 23 à un serveur de service, par exemple un serveur vocal désigné par la référence générale 24, mettant en œuvre un service, par exemple vocal, désigné par la référence 25. Le deuxième terminal 22 est relié au moyen d'un canal de transmission de données désigné par la référence 26 à un serveur d'authentification désigné par la référence générale 27.

Selon ce mode de réalisation, l'utilisateur génère et transmet à partir du deuxième terminal 22 sur le canal de transmission de données 26 une requête cryptée d'accès au service 25 par le premier terminal 21 , vers le serveur d'authentification 27. II convient de noter que le moyen de transmission de cette information au serveur d'authentification 27 n'est pas restreint au téléphone mobile. Toute liaison de données peut être utilisée : GPRS (« General Packet Radio Service »), UMTS (« Universal Mobile Telecomunication System »), ligne ADSL (« Asymmetric Digital Subscriber Une »), flux de données en VolP/TolP (« Voice over Internet Protocol / Telephony over Internet Protocol ») ...

La transmission de l'information au serveur peut se faire via n'importe quel protocole réseau : TCP (« Transmission Control Protocol »), UDP (« User Datagram Protocol ») ou tout autre protocole de couche supérieure. Les protocoles HTTP/HTTPs (« Hyper Text Transfer Protocol / Hyper Text Transfer Protocol secured ») peuvent être de très bons candidats dans le sens où il n'y a pas de filtrage de ces protocoles sur les réseaux de transmission de données. Dans ce cas, le serveur d'authentification peut être un module d'un serveur web.

Le serveur d'authentification 27, après réception de la requête d'accès, valide cette requête. Il transmet alors en 28 au serveur vocal 24 une autorisation d'accès pour le numéro d'appel du premier terminal 21 et transmet au deuxième terminal 22 un message confirmant l'autorisation d'accès. Ceci peut se faire par exemple à l'aide d'un message de type SMS (« Short Message ») envoyé par le serveur d'authentification 25 vers le téléphone mobile constituant le deuxième terminal 22. Ainsi, l'utilisateur peut appeler, à partir du premier terminal 21 le serveur vocal 24 et accéder ainsi au service demandé 25. Le terminal 21 est en effet autorisé à accéder au service 25.

Le fonctionnement du procédé d'accès authentifié est décrit de manière plus détaillée en référence aux figures 4 à 6.

La figure 4 représente un organigramme illustrant le fonctionnement du mécanisme d'authentification associé au procédé d'accès selon un mode de réalisation de la présente invention.

On reconnaît en effet sur cette figure 4, le serveur d'authentification désigné par la référence 27 dans la figure 3.

Ce serveur 25 comporte différentes entités à savoir un module frontal d'accès désigné par la référence 31 , un module cryptographique désigné par la référence 32, un module de gestion des droits d'accès désigné par la référence

33 et un module de gestion de fichiers désigné par la référence 34. Par ailleurs, on reconnaît sur cette figure, une entité représentant un logiciel d'authentification désigné par la référence 35 et installé sur le deuxième terminal 22 de l'utilisateur ainsi que le service vocal 25.

Selon ce mode de réalisation de l'invention, le logiciel d'authentification 35 transmet en 36, la requête d'accès constituée par un jeton d'authentification vers le module frontal d'accès 31 du serveur d'authentification 27. Le module frontal d'accès 31 transmet cette requête aux différents modules du serveur d'authentification 27. Le module cryptographique 32 valide en 37 l'authenticité de l'information d'authentification reçue et la déchiffre pour accéder à l'information véhiculée, par exemple le numéro d'appel du premier terminal 21 devant accéder au service vocal 25. Le module de gestion des droits d'accès 33 vérifie en 38 les droits d'accès associés au numéro d'appel du premier terminal 21. Il convient de noter que ce module est optionnel. Il permet simplement d'affiner la politique d'accès au service vocal 25. Le module de gestion de fichiers

34 servant à gérer les fichiers dans lesquels tous les accès du serveur d'authentification 27 sont archivés, enregistre en 39 la requête d'accès.

Enfin, en cas de vérification positive en 38 des droits d'accès, le module frontal d'accès 31 transmet en 40 l'autorisation d'ouverture du service vers le service vocal 25.

Ainsi, selon l'invention, l'accès à un service vocal n'est autorisé pour un numéro de terminal donné qu'à partir du moment où ce numéro de terminal est transmis sur une autre bande que la bande de transmission de la voix par des moyens cryptographiques assurant ainsi l'authentification et la confidentialité de l'information. Seuls les numéros de terminaux ainsi reçus pour effectuer les appels, aboutissent sur le serveur vocal, tous les autres sont rejetés (si la politique d'accès le souhaite ainsi).

Des alternatives existent comme par exemple l'authentification via un code de type DTMF (« Dual Tone Multi Frequency »). Cependant cela représente une authentification que l'on ne peut pas qualifier de fiable. En effet, la donnée d'un couple connexion/mot de passe (« login/password ») plus éventuellement un

numéro de téléphone, le tout transmis sur un canal peu fiable, n'est pas suffisante pour assurer un accès authentifié à des services sensibles.

Ainsi, grâce à l'invention, il est possible d'imaginer des services vocaux accessibles sans contrainte au sein de l'entreprise (conditions normales de fonctionnement), mais également depuis n'importe quel autre numéro de téléphone externe à l'entreprise.

L'authentification est forte grâce à l'utilisation des systèmes cryptographiques (certificat, PKI (« Public Key Infrastructure »), signature et chiffrement). On assure ainsi les aspects d'identification, d'authentification, de non répudiation, d'anti-rejeu et de contrôle d'intégrité liés à la demande d'accès.

La figure 5 représente un organigramme illustrant le fonctionnement général du procédé d'accès selon un mode de réalisation de l'invention.

On reconnaît en effet sur cette figure, les étapes mises en œuvre dans le procédé d'accès selon l'invention du côté utilisateur désigné par la référence 10 et du côté serveur d'authentification désigné par la référence 27.

Ainsi, l'utilisateur 10, souhaitant utiliser un service vocal à l'aide d'un terminal dont le numéro n'est pas connu du service, spécifie en 41 sur son téléphone mobile ou via tout autre moyen permettant de communiquer en mode de transmission de données avec le serveur d'authentification 27, le service vocal qu'il souhaite utiliser et indique le numéro de terminal avec lequel il souhaite interagir avec ce service (dans le cas où ce n'est pas le numéro du téléphone mobile qui sera utilisé). Un logiciel installé sur son téléphone mobile génère alors en 42 une requête d'accès. Ce logiciel crypte en 43 cette requête au moyen de procédés de chiffrement et de signature. Ensuite, cette requête d'accès est transmise en 44 au serveur d'authentification 27.

Le serveur d'authentification 27 reçoit en 51 la requête d'accès au service. Il vérifie en 52 que le certificat employé pour la signature et le chiffrement est valide (non répudié et non suspendu). Dans le cas où la signature est invalide ou que le certificat est expiré ou suspendu, il refuse en 59 l'accès au service vocal. Si la signature et le certificat sont valides, il déchiffre en 53 les informations et après analyse facultative en 54 des droits, décide en 55 d'autoriser en 56 ou de refuser en 59 l'accès au service vocal.

L'autorisation d'accès au service demandé pour le numéro spécifié étant obtenue en 56, une confirmation en 57 par SMS par exemple est envoyée

sur un canal de transmission de données à l'utilisateur 10 qui lui confirme en 45 qu'il est autorisé à accéder avec le numéro de terminal spécifié au service en 46. En cas de rejet en 45, l'utilisateur n'est pas autorisé à accéder au service en 47.

La figure 6 représente un organigramme illustrant le fonctionnement du procédé de génération et de transmission d'une requête d'accès au serveur vocal selon l'invention.

En effet, on reconnaît sur cette figure 6, les mécanismes qui servent à la génération de la requête d'accès au niveau du deuxième terminal.

Ainsi, un logiciel selon l'invention, installé sur le deuxième terminal de l'utilisateur, par exemple un téléphone mobile, propose à l'utilisateur de spécifier les informations nécessaires (sélection du service et numéro de terminal à utiliser par exemple) et génère une requête suivant le principe illustré par la figure 6.

Sur cette figure 6, on reconnaît en effet les informations contenues dans la requête d'accès selon un mode de réalisation de l'invention. Il s'agit du numéro d'appel du premier terminal, désigné par la référence 61 , des informations d'horodatage désignées par la référence 62 et de l'identifiant du service souhaité désigné par la référence 63. Ces informations sont cryptées par des moyens de chiffrement et de signature en 64. Ensuite les données chiffrées et authentifiées désignées par la référence 65 sont transmises en 66 au serveur d'authentification 27.

Bien entendu, d'autres modes de réalisation encore peuvent être envisagés.