FR2893208A1 - Procede et dispositif de fourniture d'un alias de federation d'identite reseau a un fournisseur de service - Google Patents

Procede et dispositif de fourniture d'un alias de federation d'identite reseau a un fournisseur de service Download PDF

Info

Publication number
FR2893208A1
FR2893208A1 FR0511370A FR0511370A FR2893208A1 FR 2893208 A1 FR2893208 A1 FR 2893208A1 FR 0511370 A FR0511370 A FR 0511370A FR 0511370 A FR0511370 A FR 0511370A FR 2893208 A1 FR2893208 A1 FR 2893208A1
Authority
FR
France
Prior art keywords
alias
user
identifier
network
service provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0511370A
Other languages
English (en)
Inventor
Nicolas Bailleul
Eric Malville
Nicolas Saillard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0511370A priority Critical patent/FR2893208A1/fr
Priority to PCT/FR2006/051157 priority patent/WO2007054657A2/fr
Publication of FR2893208A1 publication Critical patent/FR2893208A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Ce dispositif (10) est adapté à fournir un alias de fédération réseau (1234) pour un utilisateur (5) connecté à un premier réseau (1) via un fournisseur d'accès auquel l'utilisateur s'est connecté via un second réseau (2). Ce dispositif comporte : des moyens (20, 21, 22) pour obtenir un premier identifiant (IP_5) représentatif de la connexion de l'utilisateur (5) au premier réseau (1); des moyens (11) de communication sécurisés adaptés à envoyer à un serveur (50) du fournisseur d'accès, une requête (R4) comportant le premier identifiant (IP_5), et à recevoir en réponse (R5), un second identifiant (ID_ADSL) représentatif de la connexion de l'utilisateur au second réseau (2) ; des moyens (20, 21, 22, 23) pour obtenir un alias (1234) de cet utilisateur (5) à partir du second identifiant (ID_ADSL) ; et des moyens (20, 12) pour fournir (R6) cet alias (1234) à un fournisseur de service (30).

Description

Arrière-plan de l'invention La présente invention se situe dans le domaine
des réseaux et services de télécommunication. Plus particulièrement, l'invention a pour but de faciliter et de sécuriser les mécanismes d'authentification d'un utilisateur auprès d'un fournisseur de service. De façon connue, il devient fréquent qu'un même utilisateur possède plusieurs comptes d'accès à différents réseaux de télécommunication (GSM, GPRS, ADSL, RTC,...) et plusieurs comptes d'accès à des services HTTP (initiales des mots anglais "HyperText Transfer Protocol') tels que Web ou WAP. Traditionnellement, lorsqu'un utilisateur souhaite accéder à un service HTTP, il doit au préalable obtenir une connectivité réseau auprès d'un opérateur de télécommunication. Pour cela, il doit effectuer une première étape d'authentification réseau (authentification GSM, mot de passe sur ADSL,...) auprès de l'opérateur du réseau d'accès. Celui-ci détermine et vérifie ainsi son identité d'accès réseau et lui délivre un service d'accès préalablement souscrit. Une fois cette connectivité réseau établie, l'utilisateur peut accéder à un service HTTP particulier. Généralement, le fournisseur de ce service lui demande de s'authentifier une nouvelle fois avant de délivrer le service demandé. L'invention a pour but de faciliter ces différentes étapes d'authentification.
Elle vise notamment à permettre à un utilisateur de ne s'authentifier qu'une seule fois, auprès d'un opérateur de télécommunication, sans qu'il soit nécessaire ultérieurement de s'identifier et de s'authentifier à chaque fois auprès des fournisseurs de service. On connaît, dans le contexte général de l'invention, des mécanismes d'authentification unique (cette fonctionnalité est connue sous le nom SSO, initiales des mots anglais "Single Sign-O,1').
Ces systèmes permettent à un utilisateur de s'authentifier auprès d'un fournisseur d'identité HTTP et d'accéder aux services d'autres fournisseurs sans avoir à s'identifier ou à s'authentifier de nouveau. On connaît notamment les mécanismes spécifiés par l'Alliance Liberty, ce mécanisme étant notamment décrit dans le document Liberty ID_FF Architecture Overview, version 1.2, publié en septembre 2004 sur Internet à l'adresse : http://www.projectliberty.org/resources/specifications.php. Le projet Liberty Alliance définit une solution qui met en oeuvre 10 une "fédération d'identités". Ce mécanisme permet aux utilisateurs de fédérer leurs différentes identités dynamiquement et en ligne. Il permet notamment à un fournisseur de service de déterminer l'identité d'un utilisateur à partir d'une information certifiée et délivrée par un fournisseur d'identité et donc d'affranchir l'utilisateur d'une nouvelle 15 phase d'authentification pour accéder à ce service. Plus précisément, quand un utilisateur présente une requête d'accès à un fournisseur de service, ce dernier s'adresse au fournisseur d'identité. Le fournisseur d'identité authentifie l'utilisateur, au besoin en lui demandant son login/mot de passe, génère pour cet utilisateur et pour ce 20 fournisseur de service un alias dit "de fédération" si cet alias n'existe pas déjà, et transmet l'alias de fédération au fournisseur de service. Si le fournisseur de service connaît cet alias, il identifie cet utilisateur complètement au moyen de cet alias ; sinon, il peut soit demander à l'utilisateur de s'authentifier, par exemple par login/mot de passe, et 25 associer cet alias à l'identité de l'utilisateur, soit créer une nouvelle identité pour cet utilisateur. Pour un utilisateur donné auprès d'un fournisseur de service donné, le fournisseur d'identité peut soit fournir le même alias à chaque fois que le fournisseur de service lui envoie une requête, soit fournir un 30 alias dit "à usage unique". Malheureusement, les mécanismes de fédération d'identités et d'échange d'alias permettant de déléguer l'authentification d'un utilisateur, proposés par le projet Liberty Alliance, n'ont d'application que dans un contexte faisant intervenir des services dans lesquels le fournisseur 35 d'identité et le fournisseur de service sont accessibles par l'utilisateur selon le protocole IP (Internet Protocol), la connectivité réseau étant préalablement établie. Ainsi, on demande toujours à l'utilisateur de s'authentifier d'abord pour accéder au réseau et ensuite auprès du fournisseur 5 d'identité, par exemple en saisissant deux login/mot de passe différents.
Objet et résumé de l'invention La présente invention a donc pour but principal de pallier les inconvénients précédents. 10 A cet effet, elle vise un dispositif de fourniture d'un alias de fédération réseau pour un utilisateur ayant émis une requête d'accès à un service offert par un fournisseur de service sur un premier réseau de télécommunication, cet utilisateur ayant préalablement été connecté à ce premier réseau via un fournisseur d'accès auquel l'utilisateur s'est 15 connecté via un second réseau de télécommunication. Le fournisseur d'accès mémorise dans un serveur un premier identifiant et un second identifiant représentatifs des connexions de cet utilisateur respectivement au premier réseau et au second réseau. Le dispositif de fourniture selon l'invention comporte des 20 moyens pour communiquer de façon sécurisée avec le serveur et des moyens pour obtenir le premier identifiant. Les moyens de communication sont adaptés à envoyer au serveur une requête comportant le premier identifiant et pour recevoir en réponse le second identifiant. 25 Le dispositif de fourniture selon l'invention comporte également des moyens pour obtenir l'alias de cet utilisateur à partir du second identifiant et des moyens pour fournir cet alias au fournisseur de service. Le dispositif de fourniture selon l'invention permet ainsi de bénéficier directement du second identifiant de l'utilisateur. Ainsi, un 30 fournisseur de service pourra autoriser un utilisateur à consulter des ressources en s'appuyant sur la phase d'authentification de cet utilisateur réalisée préalablement pour accéder au second réseau de télécommunication (par exemple, authentification GSM, ou authentification par login/mot de passe sur ADSL). On notera que ce second identifiant est 35 une quantité permanente (dans la mesure où l'abonnement de l'utilisateur auprès du fournisseur d'accès n'est pas modifié), alors que le premier identifiant change en principe à chaque nouvelle connexion au premier réseau. Avantageusement, l'invention permet une réduction considérable du nombre d'authentifications nécessaires, tout en respectant les contraintes de sécurité. Plus précisément, grâce à l'invention, un utilisateur donné s'authentifie auprès d'un fournisseur de service pour un service donné une, et une seule, fois dans le cas où le fournisseur de service gère lui-même les conditions d'obtention du service (droits d'accès, paiement, etc.); lors des requêtes suivantes pour le même service, le fournisseur reconnaît l'alias (permanent) de cet utilisateur, et n'a donc pas besoin de lui demander une nouvelle authentification. Et dans le cas où le fournisseur de service délègue au fournisseur d'accès la gestion desdites conditions d'obtention du service, l'utilisateur est complètement dispensé de toute authentification auprès du fournisseur de service (dans ce cas, l'alias peut être du type "à usage unique"). Dans une première variante de réalisation, le dispositif de fourniture comporte en outre des moyens pour recevoir, en provenance du fournisseur de service, une requête d'authentification de l'utilisateur, cette requête d'authentification de l'utilisateur étant utilisée par les moyens d'obtention précités pour obtenir le premier identifiant. Dans cette variante (appelée mode "pull"), les moyens de fourniture de l'alias de fédération réseau sont adaptés à envoyer cet alias au fournisseur de service dans une réponse signée à la requête d'authentification. C'est le fournisseur de service qui demande explicitement, via le mécanisme de requête d'authentification, à obtenir un alias de fédération réseau pour cet utilisateur. Dans une deuxième variante, le dispositif de fourniture comporte en outre des moyens pour intercepter la requête précitée d'accès à un service, cette requête d'accès à un service étant utilisée par les moyens d'obtention précités pour obtenir le premier identifiant. Dans cette deuxième variante (appelée mode "push"), le dispositif de fourniture de l'alias selon l'invention intercepte la requête d'accès, et envoie spontanément l'alias de fédération réseau de l'utilisateur au fournisseur de service.
Bien entendu, un même dispositif selon l'invention peut fonctionner en mode push et en mode pull, selon les accords établis avec les fournisseurs de service. Préférentiellement, le dispositif selon l'invention comporte une table qui associe le second identifiant d'un utilisateur avec l'alias de fédération réseau de cet utilisateur connu du fournisseur de service. L'homme du métier comprendra que cette table est utilisée dans le cas où l'utilisateur a déjà fédéré son identité chez le fournisseur de service avec son identité réseau (second identifiant) chez l'opérateur.
Dans un mode préféré de réalisation, les moyens d'obtention de l'alias de fédération réseau sont adaptés à générer cet alias et à le mémoriser dans la table en association avec le second identifiant de cet utilisateur et une référence du fournisseur de service. Comme décrit ultérieurement en référence au procédé, ces moyens de génération sont mis en oeuvre lorsque l'utilisateur n'a pas encore fédéré son identité chez le fournisseur de service avec son identité réseau (second identifiant) chez l'opérateur. Dans le cas d'un alias à usage unique, cet alias est effacé de ladite table lorsque la connexion au second réseau se termine.
De façon préférée, les moyens d'obtention et de fourniture de l'alias de fédération réseau sont conformes au standard LibertyAlliance, l'alias de fédération réseau étant un alias de fédération au sens de ce standard. Corrélativement, l'invention concerne un procédé de fourniture d'un alias de fédération réseau pour un utilisateur ayant émis une requête d'accès à un service offert par un fournisseur de service sur un premier réseau de télécommunication, cet utilisateur ayant préalablement été connecté au premier réseau via un fournisseur d'accès auquel l'utilisateur est connecté via un second réseau de télécommunication, le fournisseur d'accès mémorisant dans un serveur un premier identifiant et un second identifiant représentatifs des connexions de cet utilisateur respectivement au premier réseau et au second réseau. Ce procédé comporte : - une étape d'obtention du premier identifiant ; - une étape d'envoi, de façon sécurisée, d'une requête comportant le premier identifiant à destination du serveur ; - une étape de réception, de façon sécurisée, d'une réponse à cette requête, cette réponse comportant le second identifiant ; - une étape d'obtention de l'alias de cet utilisateur à partir du second identifiant ; et - une étape de fourniture de l'alias au fournisseur de service. Selon une implémentation préférée, les différentes étapes du procédé de fourniture sont déterminées par des instructions de programmes d'ordinateurs. En conséquence, l'invention vise aussi un programme d'ordinateur sur un support d'informations, ledit programme étant susceptible d'être mis en oeuvre dans un système informatique et comportant des instructions adaptées à la mise en oeuvre du procédé de fourniture d'un alias de fédération réseau selon l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. L'invention vise aussi un support d'informations lisible par un 20 ordinateur et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus. Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD 25 ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy disc) ou un disque dur. D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être 30 acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet. Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté 35 pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Brève description des dessins D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures : - la figure lA représente, de façon schématique, un dispositif de fourniture d'un alias de fédération réseau conforme à l'invention dans une première variante de réalisation, et les échanges de messages avec un fournisseur de service et un serveur d'accès ; - la figure 2A représente les principales étapes d'un procédé de fourniture d'un alias de fédération réseau conforme à l'invention, mis en oeuvre par le dispositif de la figure lA ; - la figure 1B représente un dispositif de fourniture d'un alias de 15 fédération réseau conforme à l'invention dans une deuxième variante de réalisation ; et - la figure 2B représente sous forme d'organigramme les principales étapes d'un procédé de fourniture d'un alias de fédération réseau conforme à l'invention, mis en oeuvre par le dispositif de la figure 20 1B. Description détaillée d'un mode de réalisation La figure 1A représente un dispositif 10 de fourniture d'un alias de fédération réseau conforme à l'invention dans une première variante de 25 réalisation. Ce dispositif 10 est relié à un premier réseau 1 de type Internet. Sur les figures lA et 1B les traits tiretés représentent les connexions physiques aux réseaux, et les flèches pleines l'envoi des messages entre deux machines. 30 Ce dispositif 10 comporte un processeur 20, une mémoire morte 22 de type ROM, une mémoire vive 21 de type RAM, une mémoire non volatile réinscriptible 23 de type FLASH, ces éléments étant reliés entre eux par un système de bus 100. La mémoire morte 22 comporte un programme d'ordinateur 35 PROG comportant des instructions adaptées à la mise en oeuvre des étapes E10 à E60 du procédé de fourniture conforme à l'invention et représenté à la figure 2A. Sur la figure lA on a représenté un fournisseur de service 30, le client HTTP du terminal d'un utilisateur 5.
L'utilisateur 5 est connecté au premier réseau 1 via un fournisseur d'accès auquel l'utilisateur 5 s'est connecté via un second réseau 2 de télécommunication (réseau d'accès). Dans l'exemple décrit ici, le réseau d'accès 2 est un réseau ADSL.
Il peut aussi être constitué notamment par le réseau GPRS ou WIFI. Conformément à l'invention, le dispositif 10 de fourniture d'alias comporte des moyens de communication 11, reliés au bus 100, permettant de communiquer de façon sécurisée avec le serveur d'accès 50. Il comporte également des moyens de communication 12, reliés au bus 100, mettant en oeuvre le protocole IP (Internet Protocol). Ces moyens de communication 12 permettent notamment la réception et l'envoi de requêtes et de réponses HTTP.
On supposera par la suite que l'utilisateur 5 souhaite accéder à un service offert par le fournisseur de service 30. L'homme du métier comprendra qu'en pratique l'accès au réseau Internet 1 se fait par le réseau ADSL via une passerelle 70. A cet effet, le terminal du client 5, équipé dans ce mode de réalisation d'un moyen de connexion au réseau ADSL, s'authentifie, de façon connue, auprès de son opérateur ADSL. La phase d'authentification réseau est connue de l'homme du métier. Elle permet notamment, d'associer une adresse Internet IP 5 (premier identifiant) (ou éventuellement d'autres données caractérisant de manière unique la session d'accès), à l'identité de l'utilisateur sur le réseau d'accès, à savoir ici son identifiant ADSL nommé ci-après ID_ADSL (second identifiant). Conformément à l'invention, le fournisseur d'accès mémorise dans un serveur 50 les premier (IP_5) et second (ID_ADSL) identifiants 35 précités.
On supposera pour simplifier que le serveur 50 comporte une table T qui associe, pour chaque utilisateur, les deux identifiants Internet IP_5 et ID_ADSL. Une fois cette connectivité réseau établie, l'utilisateur 5 peut 5 accéder au service du fournisseur de service 30. A cet effet, par le biais de son logiciel client, il envoie une requête d'accès R1 à destination du fournisseur 30. On supposera dans cet exemple que le fournisseur de service 30 souhaite authentifier l'utilisateur 5 par lui-même. 10 Bien entendu, l'homme du métier comprendra que cette authentification peut se faire par l'intermédiaire d'un autre fournisseur d'identité, qui joue un rôle intermédiaire entre le fournisseur de service 30 et le dispositif 10 de fourniture d'alias de fédération réseau selon l'invention. La description qui est faite ici s'applique, les requêtes et 15 réponses d'authentification échangées entre le fournisseur de service 30 et le dispositif de fourniture 10 passant par ce fournisseur intermédiaire. On se place maintenant dans l'hypothèse selon laquelle un accord a été établi entre le fournisseur de service 30 et l'opérateur du réseau d'accès ADSL de sorte que celui-ci propose de réutiliser son 20 authentification réseau pour accéder au service du fournisseur 30. Dans la première variante de réalisation décrite ici, le fournisseur de service 30 redirige (requête HTTP 302 Redirect) le logiciel client de l'utilisateur 5 vers le dispositif 10 de fourniture selon l'invention, via une requête d'authentification R3. 25 Cette requête d'authentification, conforme ici au standard Liberty Alliance est reçue par le dispositif 10 de fourniture au cours d'une étape E10. Cette étape E10 est suivie par une étape E20 au cours de laquelle le dispositif de fourniture 10 obtient le premier identifiant 30 constitué dans cet exemple par l'adresse Internet IP_5 de l'utilisateur. Cette étape E20, qui consiste à extraire un champ d'adresse d'une trame HTTP, est connue et ne sera pas décrite ici. Au cours de cette étape, le processeur 20 mémorise le premier identifiant (adresse Internet IP_5) dans la mémoire vive 21. 35 L'étape E20 d'obtention d'adresse est suivie par une étape E30 au cours de laquelle le dispositif 10 envoie, en utilisant les moyens de communication sécurisée 11, une requête R4 au serveur d'accès 50. Cette requête R4 comporte le premier identifiant IP_5 mémorisé à l'étape précédente dans la mémoire vive 21. Sur réception de cette requête R4, le serveur d'accès 50 lit, dans la table T, le second identifiant (identité réseau ID_ADSL) de l'utilisateur 5, et renvoie ce second identifiant dans une réponse R5 au dispositif 10 de fourniture. Cette réponse R5 est reçue par le dispositif 10 au cours d'une étape E40. Au cours de cette même étape, le processeur 20 mémorise l'identité réseau ID_ADSL (second identifiant) dans la mémoire vive 21. Au cours d'un test E50, le dispositif 10 de fourniture détermine si le second identifiant (identité réseau ID_ADSL) de l'utilisateur 5 a déjà été fédéré avec une identité auprès du fournisseur de service 30. Dans le mode de réalisation préféré décrit ici, cela revient à rechercher, dans une table 13 mémorisée dans la mémoire FLASH 23, si il existe une association entre l'identité réseau ID_ADSL (second identifiant) et un alias de fédération pour le fournisseur de service 30. Nous supposerons ici que ce n'est pas encore le cas. Dans ce cas, le résultat du test E50 est négatif.
Ce test est alors suivi par une étape E52 au cours de laquelle le dispositif de fourniture 10 génère un alias de fédération 1234 de l'utilisateur 5 pour le fournisseur de service 30. Cet alias 1234 est préférentiellement unique pour chaque fournisseur de service.
Cette étape de génération d'alias est connue de l'homme du métier et ne sera pas décrite ici. Elle s'effectue par exemple par tirage aléatoire d'une suite alphanumérique. Cette étape E52 de génération de l'alias 1234 est suivie par une étape E53 au cours de laquelle le processeur 20 mémorise, dans la table 13 de la mémoire FLASH 23, un triplet associant l'identité réseau ID_ADSL, l'alias 1234 et la référence 30 du fournisseur de service. L'étape E53 de mémorisation du code est suivie par une étape E60 au cours de laquelle le dispositif 10 de fourniture selon l'invention envoie, dans une réponse d'authentification signée R6, l'alias 1234 au fournisseur de service 30, via les moyens de communication 12. Le fournisseur de service 30 authentifie l'utilisateur 5, par exemple en lui demandant de saisir un login/mot de passe, et associe l'alias 1234 à l'identité de l'utilisateur 5. On suppose maintenant que le fournisseur de service 30 émet une nouvelle requête d'authentification R3 pour authentifier l'utilisateur 5.
On se trouve alors dans le cas où l'utilisateur 5 a déjà fédéré (au moyen de l'alias de fédération 1234) son identité chez le fournisseur de service 30 avec son identité réseau ID_ADSL chez l'opérateur ADSL. Les étapes E10 à E40 s'effectuent de la façon décrite précédemment.
En revanche, le résultat du test E50 de détermination de fédération sera positif. En effet, dans ce cas, la table 13 de la mémoire FLASH 23 comporte une association entre l'identité réseau ID_ADSL et l'alias de fédération 1234 pour le fournisseur de service 30. Dans ce cas, l'obtention de l'alias de fédération 1234 pour l'utilisateur 5 se fait par simple lecture de cette table 13 (étape E54). Cette étape de lecture est suivie par l'étape E60 d'envoi de l'alias 1234 précédemment décrite. Cette étape d'envoi de code termine le procédé de fourniture dans le mode de réalisation décrit ici.
Nous allons maintenant décrire en référence aux figures 1B et 2B un dispositif et un procédé de fourniture d'un alias de fédération conforme à l'invention dans une deuxième variante de réalisation. Le dispositif 10' de fourniture diffère du dispositif 10 de la figure 1A en ce qu'il comporte en outre des moyens 40 pour intercepter la requête d'accès R1 envoyée par l'utilisateur 5 à destination du fournisseur d'accès. Ces moyens d'interception sont par exemple constitués par un reverse proxy configuré pour intercepter toutes les requêtes destinées au fournisseur de service 30.
L'étape E10' d'interception de la requête d'accès R1 remplace donc l'étape E10 précédemment décrite de réception de la requête d'authentification R3. Ce deuxième mode de réalisation permet ainsi d'envoyer spontanément (étape E60) l'alias de fédération 1234 au fournisseur de service 30.

Claims (14)

REVENDICATIONS
1. Dispositif (10) de fourniture d'un alias de fédération réseau (1234) pour un utilisateur (5) ayant émis une requête d'accès (R1) à un service offert par un fournisseur de service (30) sur un premier réseau de télécommunication (1), ledit utilisateur (5) ayant préalablement été connecté audit premier réseau (1) via un fournisseur d'accès auquel l'utilisateur (5) s'est connecté via un second réseau de télécommunication (2), ledit fournisseur d'accès mémorisant dans un serveur (50) un premier identifiant (IP_5) et un second identifiant (ID_ADSL) représentatifs des connexions de cet utilisateur (5) respectivement au premier réseau (1) et au second réseau (2), ledit dispositif (10) étant caractérisé en ce qu'il comporte : - des moyens (11) pour communiquer, de façon sécurisée, avec ledit serveur (50) ; - des moyens (20, 21, 22) pour obtenir ledit premier identifiant (IP_5) ; - lesdits moyens (11) de communication étant adaptés à envoyer audit serveur (50), une requête (R4) comportant le premier identifiant (IP_5), et pour recevoir en réponse (R5), ledit second identifiant (ID_ADSL) ; - des moyens (20, 21, 22, 23) pour obtenir ledit alias (1234) de cet utilisateur (5) à partir du second identifiant (ID_ADSL) ; et - des moyens (20, 12) pour fournir (R6) ledit alias (1234) au fournisseur de service (30).
2. Dispositif (10) de fourniture d'un alias (1234) selon la revendication 1, caractérisé en ce qu'il comporte en outre des moyens (12) pour recevoir, en provenance du fournisseur de service (30), une requête (R3) d'authentification dudit utilisateur (5), cette requête (R3) d'authentification étant utilisée par lesdits moyens (20, 21, 22) pour obtenir ledit premier identifiant (IP_5).
3. Dispositif (10) de fourniture d'un alias (1234) selon la revendication 1, caractérisé en ce qu'il comporte en outre des moyens (40) pour intercepter ladite requête (R1) d'accès à un service, cetterequête (R1) d'accès à un service étant utilisée par lesdits moyens (20, 21, 22) pour obtenir ledit premier identifiant (IP_5).
4. Dispositif (10) de fourniture d'un alias (1234) selon l'une quelconque des revendication 1 à 3, caractérisé en ce qu'il comporte une table (13) qui associe le second identifiant (ID_ADSL) d'un utilisateur (5) avec l'alias de fédération réseau (1234) de cet utilisateur connu du fournisseur de service (30).
5. Dispositif (10) de fourniture d'un alias (1234) selon l'une quelconque des revendication 1 à 4, caractérisé en ce que lesdits moyens d'obtention (20, 21, 22, 23) de l'alias (1234) d'un utilisateur (5) auprès d'un fournisseur de service (30) sont adaptés à générer cet alias (1234) et à le mémoriser dans une table (13) en association avec ledit second identifiant (ID_ADSL) de cet utilisateur (5) et une référence (30) de ce fournisseur de service (30).
6. Dispositif (10) de fourniture d'un alias (1234) selon l'une quelconque des revendications 1 à 5, caractérisé en ce que lesdits moyens d'obtention (20, 21, 22, 23) et de fourniture d'alias sont conformes au standard LibertyAlliance et en ce que ledit alias de fédération réseau (1234) est un alias de fédération au sens de ce standard.
7. Procédé de fourniture d'un alias de fédération réseau (1234) pour un utilisateur (5) ayant émis une requête d'accès (R1) à un service offert par un fournisseur de service (30) sur un premier réseau de télécommunication, cet utilisateur (5) ayant préalablement été connecté audit premier réseau (1) via un fournisseur d'accès auquel l'utilisateur (5) s'est connecté via un second réseau de télécommunication (2), ledit fournisseur d'accès mémorisant dans un serveur (50) un premier identifiant (IP_5) et un second identifiant (ID_ADSL) représentatifs des connexions de cet utilisateur (5) respectivement au premier réseau (1) et au second réseau (2), ledit procédé étant caractérisé en ce qu'il comporte : - une étape (E20) d'obtention dudit premier identifiant (IP_5) ;une étape (E30) d'envoi, de façon sécurisée, d'une requête (R4) comportant ledit premier identifiant (IP_5) à destination dudit serveur (50) ; une étape (E40) de réception, de façon sécurisée, d'une réponse (R5) à ladite requête (R4), cette réponse (R5) comportant ledit second identifiant (ID_ADSL) ; une étape (E52, E54) d'obtention dudit alias (1234) de cet utilisateur (5) à partir dudit second identifiant (ID_ADSL) ; et une étape (E60) de fourniture (R6) de l'alias (1234) au fournisseur de service (30).
8. Procédé de fourniture d'un alias (1234) selon la revendication 7, caractérisé en ce qu'il comporte en outre une étape (E10) de réception, en provenance du fournisseur de service (30), d'une requête (R3) d'authentification dudit utilisateur (5), cette requête (R3) d'authentification étant utilisée (E20) pour obtenir ledit premier identifiant (IP_5).
9. Procédé de fourniture d'un alias (1234) selon la revendication 7, caractérisé en ce qu'il comporte en outre une étape (E10') d'interception de ladite requête (R1) d'accès à un service, cette requête (R1) d'accès à un service étant utilisée (E20) pour obtenir ledit premier identifiant (IP_5).
10. Procédé de fourniture d'un alias (1234) selon l'une quelconque des revendications 7 à 9, caractérisé en ce que ledit alias (1234) est obtenu (E54) par lecture dans une table (13) qui associe ledit second identifiant (ID_ADSL) d'un utilisateur (5) avec l'alias de fédération réseau (1234) de cet utilisateur connu du fournisseur de service (30).
11. Procédé de fourniture d'un alias (1234) selon l'une quelconque des revendications 7 à 9, caractérisé en ce qu'il comporte : une étape (E52) de génération dudit alias (1234) d'un utilisateur (5) auprès d'un fournisseur de service (30) ; et une étape (E53) de mémorisation de cet alias (1234) dans une table (13) en association entre ledit second identifiant (ID_ADSL) de cet utilisateur (5) et une référence (30) de ce fournisseur de service (30).
12. Procédé de fourniture d'un alias (1234) selon l'une quelconque des revendications 7 à 11, caractérisé en ce que lesdites étapes (E52, E54) d'obtention et (E60) de fourniture d'alias (1234) sont conformes au standard LibertyAlliance, et en ce que ledit alias de fédération réseau (1234) est un alias de fédération au sens de ce standard.
13. Programme d'ordinateur sur un support d'informations, ledit programme (PROG) étant susceptible d'être mis en oeuvre dans système informatique, caractérisé en ce qu'il comporte des instructions adaptées à la mise en oeuvre d'un procédé de fourniture d'un alias selon l'une des revendications 7 à 12, lorsque ledit programme est exécuté par cet ordinateur.
14. Support d'informations (22) lisible par un ordinateur, sur lequel est enregistré un programme d'ordinateur qui comporte des instructions pour l'exécution des étapes d'un procédé de fourniture selon l'une quelconque des revendications 7 à 12.
FR0511370A 2005-11-09 2005-11-09 Procede et dispositif de fourniture d'un alias de federation d'identite reseau a un fournisseur de service Pending FR2893208A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0511370A FR2893208A1 (fr) 2005-11-09 2005-11-09 Procede et dispositif de fourniture d'un alias de federation d'identite reseau a un fournisseur de service
PCT/FR2006/051157 WO2007054657A2 (fr) 2005-11-09 2006-11-09 Procede et dispositif de fourniture d'un identifiant de federation reseau a un fournisseur de service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0511370A FR2893208A1 (fr) 2005-11-09 2005-11-09 Procede et dispositif de fourniture d'un alias de federation d'identite reseau a un fournisseur de service

Publications (1)

Publication Number Publication Date
FR2893208A1 true FR2893208A1 (fr) 2007-05-11

Family

ID=36930154

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0511370A Pending FR2893208A1 (fr) 2005-11-09 2005-11-09 Procede et dispositif de fourniture d'un alias de federation d'identite reseau a un fournisseur de service

Country Status (2)

Country Link
FR (1) FR2893208A1 (fr)
WO (1) WO2007054657A2 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2521329B1 (fr) * 2011-05-04 2013-07-10 Alcatel Lucent Serveur, système, procédé, programme informatique et produit de programme informatique pour l'accès à un serveur dans un réseau informatique

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US20020007460A1 (en) * 2000-07-14 2002-01-17 Nec Corporation Single sign-on system and single sign-on method for a web site and recording medium
FR2860111A1 (fr) * 2003-09-23 2005-03-25 Orange France Systeme d'acces a un reseau adapte pour la mise en oeuvre d'un procede a signature simplifiee, et serveur pour sa realisation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US20020007460A1 (en) * 2000-07-14 2002-01-17 Nec Corporation Single sign-on system and single sign-on method for a web site and recording medium
FR2860111A1 (fr) * 2003-09-23 2005-03-25 Orange France Systeme d'acces a un reseau adapte pour la mise en oeuvre d'un procede a signature simplifiee, et serveur pour sa realisation

Also Published As

Publication number Publication date
WO2007054657A3 (fr) 2007-08-02
WO2007054657A2 (fr) 2007-05-18

Similar Documents

Publication Publication Date Title
EP1909462B1 (fr) Procédé de mise à disposition cloisonnée d'un service électronique
EP2415294A1 (fr) Procédé et dispositif de gestion d'une authentification d'un utilisateur
WO2006134291A1 (fr) Procede de traduction d'un protocole d'authentification
EP3568989A1 (fr) Procédés et dispositifs de vérification de la validité d'une délégation de diffusion de contenus chiffrés
FR2887723A1 (fr) Procede d'obtention de donnees de configuration pour un terminal par utilisation du protocole dhcp
WO2006010810A2 (fr) Procede et systeme de certification de l’identite d’un utilisateur
EP1637989A1 (fr) Procédé et système de séparation de comptes de données personnelles
FR2893208A1 (fr) Procede et dispositif de fourniture d'un alias de federation d'identite reseau a un fournisseur de service
WO2005020538A2 (fr) Procede et systeme de double authentification d'un utilisateur lors de l'acces a un service
EP2446360B1 (fr) Technique de determination d'une chaine de fonctions elementaires associee a un service
WO2020128238A1 (fr) Procédé d'acquisition d'une chaîne de délégation relative à la résolution d'un identifiant de nom de domaine dans un réseau de communication
WO2020128239A1 (fr) Procédé de détermination d'une chaîne de délégation associée à une résolution d'un nom de domaine dans un réseau de communication
EP3149902B1 (fr) Technique d'obtention d'une politique de routage de requêtes émises par un module logiciel s'exécutant sur un dispositif client
FR3081655A1 (fr) Procede de traitement de messages par un dispositif d'un reseau de voix sur ip
EP2446608B1 (fr) Technique de contrôle d'accès par une entité cliente à un service
WO2023083772A1 (fr) Procédés de contrôle et de transmission, et entités configurées pour mettre en œuvre ces procédés
WO2007113409A1 (fr) Procede et dispositif de gestion des instances d'une application informatique
WO2022096824A1 (fr) Procede de delegation d'acces a une chaine de blocs
WO2021240098A1 (fr) Procede de delegation de la livraison de contenus a un serveur cache
EP4362391A1 (fr) Procédé de gestion d'accès d'un utilisateur à au moins une application, programme d'ordinateur et système associés
EP3643035A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
FR3103072A1 (fr) procédé de configuration d’accès à un service Internet
FR3122544A1 (fr) Procédé et dispositif de paramétrage d’un dispositif terminal
WO2002089447A2 (fr) Systeme et procede de communication entre stations traitant des dossiers communs
WO2007034091A1 (fr) Procede d'enregistrement relativement a un service de communication, terminal et serveur associes