WO2007074308A1 - Procede et systeme de connexion a un service - Google Patents

Procede et systeme de connexion a un service Download PDF

Info

Publication number
WO2007074308A1
WO2007074308A1 PCT/FR2006/051419 FR2006051419W WO2007074308A1 WO 2007074308 A1 WO2007074308 A1 WO 2007074308A1 FR 2006051419 W FR2006051419 W FR 2006051419W WO 2007074308 A1 WO2007074308 A1 WO 2007074308A1
Authority
WO
WIPO (PCT)
Prior art keywords
service
client
authentication
access point
available
Prior art date
Application number
PCT/FR2006/051419
Other languages
English (en)
Inventor
David Minodier
Gilles Ivanoff
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007074308A1 publication Critical patent/WO2007074308A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2878Access multiplexer, e.g. DSLAM
    • H04L12/2879Access multiplexer, e.g. DSLAM characterised by the network type on the uplink side, i.e. towards the service provider network
    • H04L12/2881IP/Ethernet DSLAM
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2878Access multiplexer, e.g. DSLAM
    • H04L12/2892Access multiplexer, e.g. DSLAM characterised by the access multiplexer architecture
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol

Definitions

  • the present invention relates to a method and a system for connecting a telecommunication device used by a customer to a service delivered by a telecommunication network.
  • the present invention also relates to an access point connecting the telecommunication device to the telecommunications network via a customer line and implementing at least a part of such a method.
  • the present invention finally relates to a computer program implementing such a method.
  • the present invention finds application in the field of access networks of telecommunication devices to services offered by service providers, particularly when the access network is based on DSL technology or on radio technology.
  • the international patent application published under number WO2005 / 096551 discloses a method of connecting a telecommunication device to a service delivered by a service provider via a telecommunications network, said service requiring a transmission rate.
  • said telecommunication device being connected to an access point of said telecommunication network by a client line of the access network, said method comprising: a client authentication step implemented by an authentication server and for making an authentication decision from authentication data provided by the client; a step of authorizing access of said telecommunication device to the service, implemented by the authentication server and intended, in the event of a positive authentication decision by the client, to take an access authorization decision from a customer profile; and,
  • a step of connecting the client to said service intended, in case of a positive authorization decision, to connect the access point to a network resource associated with the service provider.
  • Such a connection method can be implemented only after subscribing the customer to a subscription to the service.
  • the operator Before authorizing the customer to subscribe to this service, the operator first verifies that the customer line connecting the telecommunication device to the access point offers a synchronization rate or overall bit rate. at least equal to the transmission rate used by the service for which the customer wishes to subscribe. To do this, the operator has measurement tools that allow him to physically measure the synchronization rate on the customer line. If the client line synchronization rate is sufficient, the operator makes a physical connection from the client line to the network resource associated with the service provider.
  • the access point responds to such a request by dynamically realizing a logical connection of the network resource associated with the service provider, without the physical intervention of the operator being necessary.
  • the network resource associated with the service provider is disconnected from the client line.
  • this connection method applies in the same way, but offers no guarantee concerning the quality of this service.
  • a disadvantage is that even if the customer obtains a connection authorization to the service he has requested, he can only actually use the service if this other telecommunication device is connected to an access point of the telecommunication network by a service provider. client line that offers an overall bit rate at least equal to the useful transmission rate of the service.
  • the invention therefore aims to propose a solution for connecting a client from another telecommunication device than the one from which he has subscribed to this service, which is more reliable, especially in terms of quality of service .
  • a step of authorizing access of said telecommunication device to the service implemented by the authentication server and intended, in the event of a positive authentication decision by the client, to take a decision authorizing access to from a customer profile; and a client connection step auditing service, intended, in case of a positive authorization decision, to connect the access point to a network resource associated with the service provider; characterized in that said method comprises:
  • a step of updating and storing in memory a variable bit rate value available on the client line said updating step being intended to assign to said available bit rate variable: a synchronization rate value; the customer line when the telecommunication device is not connected to any service; and, when the telecommunication device is already connected to at least one first service requiring a first useful transmission rate, the value of the available rate variable stored in memory after subtracting the at least one first useful transmission rate; and,
  • a request for connection of the client to a service triggers an authentication and access authorization process of this client, which, if it leads to authentication and access authorization decisions. positive, is followed by a flow check mechanism available on the customer line.
  • the step of effective connection of the customer to the service is therefore implemented only if the flow available on the customer line is sufficient. Consequently, such a connection method advantageously applies to a client that requests to be connected to a service from another telecommunication device than the one from which it is has subscribed the subscription. Indeed, in this case, no prior physical measurement of the synchronization rate has been performed on the customer line connecting this other telecommunication device to an access point of the telecommunications network.
  • the dynamic flow check mechanism available according to the invention therefore has the effect of replacing the physical flow measurement procedure available usually implemented by the operator at the time of subscription of the customer to a subscription for the service in question.
  • connection method according to the invention guarantees a reliable connection of the customer, guaranteed minimum quality of service, whatever the telecommunication device and the customer line used.
  • the connection method comprises a step of transmitting the available rate variable to the authentication server and the step of verifying the available bit rate is implemented by the authentication server.
  • a first advantage is that a transmission of the useful transmission rate of the requested service of the authentication server to the access point is not necessary.
  • a second advantage of the method according to the first embodiment of the invention is that it is well suited to the case where the client requests to be connected to several services of the same service provider. This is because the authentication server supports the three steps of client authentication, service access authorization, and flow verification. The transmissions of information concerning the client and its authentication request are therefore limited and the process of connecting the client to the services he has requested is simplified.
  • the connection method comprises a step of transmitting the useful transmission rate of the authentication server service to the access point and said step of verifying the available bit rate is implemented by the access point.
  • the access point which implements the step of verifying the bit rate available on the client line from the useful bitrate required by the service and transmitted by the server. 'authentication.
  • An advantage is that in the case where the client requests to be connected to a first service offered by a first service provider and to a second service offered by a second service provider, the access point, which centralizes the authentication and authorization decisions issued by a first and a second authentication server or by a single authentication server, has an available flow variable updated to decide to connect or not the customer's telecommunication device to the first and second services.
  • the invention also relates to a connection system of a telecommunication device used by a customer to at least one service delivered by a service provider via a telecommunications network, said service requiring a useful transmission rate, said telecommunication device being connected to an access point of said telecommunication network by a client line, the access point being connected to an authentication server and being able to connect to a network resource associated with said service provider, said system comprising: - authentication means of the client implemented by the authentication server able to make an authentication decision from client authentication data transmitted by the access point; access authorization means of said telecommunication device to the service implemented by the authentication server and able, in case of a positive authentication decision, to make an authorization decision from a client profile ; connection means of the telecommunications device capable, in case of a positive authentication decision, to connect the access point to a network resource associated with the service provider; characterized in that said system comprises: means for updating and storing a variable rate value available on the customer line, able to assign to said available bit rate variable:
  • a synchronization rate value of the client line when the telecommunication device is not connected to any service when the telecommunication device is not connected to any service; and, when the telecommunication device is already connected to at least one first service requiring a first payload, to assign to said available rate variable the value of the rate variable available stored in memory after subtracting the at least one first payload; and, available flow verification means for verifying that the flow variable available on the customer line has a value greater than the payload of said service, so that the means of connection to the service are implemented only if the flow variable available on the customer line has a value greater than the payload of said service.
  • the invention also relates to an access point connected to a telecommunication device by a customer line and able to connect said telecommunication device to at least one service delivered by a service provider via a telecommunications network, said service requiring a useful transmission rate
  • said access point comprising: means for transmitting authentication data associated with the client to an authentication server, the authentication server being able to make an authentication decision to from said authentication data and, in case of a positive authentication decision, to make an access authorization decision from a client profile and; means for connecting the telecommunications device to the service, able, in the case of a positive authorization decision, to connect the access point to the service provider; characterized in that said access point comprises: means for updating an available rate variable value, able to assign to said available rate variable: a synchronization rate value of the client line when the telecommunication device is not connected to any service; and, - when the telecommunication device is already connected to at least one first service requiring a first payload, allocating to said available rate variable the value of the available rate variable stored
  • the invention further relates to an authentication server connected to an access point and to a service provider, said access point being able to connect a telecommunications device used by a customer to at least one service provided by the service provider.
  • service provider via a telecommunications network, said service requiring a useful transmission rate, and a database comprising a profile associated with the client
  • said authentication server comprising: authentication means of the client adapted to receive authentication data associated with the client and to make an authentication decision from said authentication data; access authorization means adapted, in the event of a positive authentication decision, to authorize access to the client audit service from a client profile, said profile being stored in a database connected to the client server; 'authentication; verification means adapted to verify that a flow variable available on the customer line transmitted by the access point has a value greater than the payload of said service.
  • the invention also relates to a computer program containing instructions such that, when said program controls a programmable data processing device associated with an access point, said instructions cause said data processing device to implement the steps of the method previously described.
  • the invention finally relates to storage means comprising computer program code instructions for executing the steps of the previously described method.
  • storage means comprising computer program code instructions for executing the steps of the previously described method.
  • FIG. 1 represents the architecture of a connection system of a telecommunication device to a service according to the invention.
  • FIG. 2 is a block diagram of an access point of the system of FIG. 1;
  • FIG. 3 is a block diagram of an authentication server of the system of FIG. 1;
  • FIG. 4 is a functional representation of the steps of the method according to the invention.
  • Fig. 1 represents the architecture of a connection system 400 of a telecommunication device 100 used by a customer 10 to a service delivered by a service provider via a telecommunication network 500 according to the invention.
  • the telecommunication device 100 accesses the services offered by service providers 340, 350, 360 connected to the telecommunication network 500 through an access point 200 via a point-to-point link.
  • the services offered are, for example, and without limitation, Internet access services, video-on-demand services, electronic mail services, Internet telephony services, Internet video conferencing services or still Internet TV services.
  • This link is, for example, a physical link such as a pair of telephone copper wires of the DSL type, DSL being the acronym for "Digital Subscriber Line” or a fiber optic link or a radio type link such as WiMax standard, abbreviation for "Worldwide Interoperability for Microwave Access”.
  • the access point 200 is a WiMax terminal.
  • the access point 200 is a digital multiplexer of customer lines, known as DSLAM.
  • DSLAM is the acronym for "Digital Subscriber Line Access Multiplexor”.
  • the telecommunication device 100 is, for example, a computer comprising a communication card adapted to the link existing with the access point 200 or computer connected to an external device, such as a modem router, installed in the customer's home and adapted to the existing link with the access point 200.
  • the access point 200 is connected to the telecommunication network 500 which is preferably a GigaEthernet type network.
  • a GigaEthernet type network is a high speed telecommunications network based on Ethernet technology.
  • a GigaEthernet type network allows data transfers at data rates greater than 1 Gbits per second. Access to this type of network is governed by a protocol such as that defined in the IEEE 802. Ix standard.
  • This protocol requires that the client who wants to connect to the network has software compatible with the protocol used.
  • This protocol normally applies to predefined enterprise local area networks or customer groups. Its use is envisaged here in telecommunication networks allowing access to the Internet via DSL type connections for example, to a multitude of customers with various equipment and software.
  • the access point 200 has a plurality of physical ports.
  • the telecommunication device 100 is connected to one of them by a dedicated physical link 110.
  • a plurality of virtual VC channels VC acronym for "Asynchronous Transfer Mode Virtual Channel" is established between the telecommunication device 100 and the access point 200.
  • FIG. 1 three virtual channels 111, 112, 113 are shown, but the invention is not limited to this example.
  • the virtual channels 111, 112, 113 are preferably created by the operator of the telecommunications network 500 for each port of the access point and this even if the telecommunications device 100 does not have a DSL link or is not subscriber to a service offered by one of the service providers 340, 350, 360.
  • the virtual channels 111, 112, 113 are preferably grouped in the same virtual path or VP, acronym for "Virtual Path" between the telecommunication device 100 and the 200 access point.
  • the virtual channel 111 is for example dedicated to access to an ISP 340
  • the virtual channel 112 is for example dedicated to access to a television type service provider 350
  • the channel virtual 113 is for example dedicated to access to a telephony type service provider on the Internet network 360.
  • Telecommunication subnetworks 260, 261, 262 are established on the telecommunications network. 500 between the access point 200 and the service providers 340, 350, 360. The information transferred in the telecommunication subnetworks
  • Subnets 260, 261, 262 are transmitted in the form of Ethernet frames. Subnets 260, 261, 262 are transmitted in the form of Ethernet frames. Subnets 260,
  • 261, 262 make it possible to limit the resources to which the device of telecommunication 100 has access. For example, if the customer using the telecommunication device 100 is subscribed to the service provider 340, the exchanges between the telecommunication device 100 and the service provider 340 are made only through the subnet 260. The client can not access the services provided by the service provider 350 because it is associated with another subnet 261.
  • the telecommunication subnetworks 260, 261, 262 are, for example, virtual networks called VLANs, which stands for “Virtual Local Area Network”, or subnets of the LSP MLPS type, which stands for Label Switched Path Multi-Protocol Label Switching. "or IP subnets.
  • connection system of a telecommunication device 100 used by a client 10 comprises means 342, 352, 362 for authenticating the client by an authentication server 341, 351, 361 connected to the access point. 200.
  • the access point 200 is also connected to the authentication server 341, 351, 361 via a dedicated link 280, 281, 282, 283 or, alternatively, via the telecommunication network 500.
  • the authentication server 341, 351, 361 is for example governed by the protocol 802. Ix and it is, advantageously, in accordance with the RADIUS protocol.
  • RADIUS stands for Remote Authentication Dial In User Service.
  • the access point 200 comprises, for each port, a PAE software module, acronym for "Port Access Entity" as described in the standard IEEE 802. Ix.
  • the PAE software module comprises a RADIUS client software sub-module, as described in the IEEE 802.1x standard which dialogs with the authentication server 341, 351, 361 according to the client-server communication mode according to the RADIUS protocol. It should be noted, however, that other types of servers and authentication protocols may be used in the context of the present invention.
  • the authentication server 341, 351, 361 is adapted to authenticate a client 10 with the access point 200 when the client wishes to access a service delivered by one of the service providers 340, 350, 360.
  • This authentication is carried out at from DA authentication data, which are for example a user identifier and password associated with the client or data of the type stored on a SIM card, acronym for "Subscriber Identity Module".
  • the access point 200 sends this authentication data DA to a first authentication server 341 when the client 10 wishes to connect to a service offered by the first service provider 340, to a second authentication server 351 when the client 10 wishes to connect to a service offered by the second service provider 350 and to a third authentication server 361 when the client 10 wishes to connect to a service offered by the third provider of 360.
  • the access point 200 can access the authentication server 341, 351, 361 via a proxy-RADIUS 300.
  • a proxy is a piece of equipment that receives information from a first party. communication device and transfer them to a second communication device; and vice versa which receives information from the second communication device and transfers it to the first communication device.
  • the role of the RADIUS proxy 300 is to relay the authentication data to the RADIUS server 341, 351, 361 of the service provider 340, 350, 360 concerned.
  • the authentication data DA must be authenticated by the authentication server 341, 351, 361 which relies on a knowledge base, for example a database 370, preferably associated with the authentication server 341, 351, 361 to determine whether the authentication data DA is valid. If the authentication data is valid, the authentication server issues a positive authentication decision DP 1 . Otherwise, the authentication server delivers a negative authentication decision DN 1 .
  • the system according to the invention implements means 343, 353, 363 authorizing access of the telecommunication device 100 to the service, which are able to take a decision of authorization to from a customer's P profile. This profile Pest stored in a database associated with the authentication server, for example the database 370.
  • the access authorization means 343, 353, 363 are able to search in this profile P associated with the client 10, a list of the services provided by the service providers 340, 350, 360, to which the client 10 using the telecommunication device 100 is subscribed. If the service requested is included in this list, the access authorization means 343, 353, 363 respectively associated with the service providers 340, 350, 360 concerned deliver to the access point 200 a positive authorization decision for the client. 10 using the telecommunication device 100.
  • the access authorization 343, 353, 363 issue a negative authorization decision and access to the requested service is denied to the client 10. It should be noted that, for the sake of clarity, only the connections of the authentication server 341 to the database 370 have been shown in FIG. 1, but that, in the context of the present invention, the other authentication servers 351, 361 must be considered as connected to the database referenced 370 or to another database.
  • the client connection system comprises means 220 for connecting said telecommunication device 100 used by the client 10 to the service, which are capable, in the event of a positive authorization decision DCP, to connect the access point. 200 to the service provider 340, 350, 360, via a virtual subnet 260, 261, 262.
  • the system for connection to a service comprises means 240 for updating and storing in a memory 270 an available rate variable DD.
  • the updating means 240 are able to assign to the available rate variable DD a DS synchronization rate value when the telecommunication device 100 is not connected to any service.
  • the DS synchronization rate corresponds to the overall bit rate of the customer line 110 connecting the customer's telecommunications device and the access point 200 to the telecommunications network 500. It varies in particular according to the length of the customer line, a diameter of the wires constituting the pair of copper wires and of a copper quality. It is a basic function of an access point, especially a DSLAM to determine the synchronization rate of the client line.
  • the means for updating and storing in memory the available rate variable 240 are implemented. to assign to said available rate variable the value stored in memory after subtracting the first payload rate DD-DU 1 .
  • the memory 270 is associated with the access point 200.
  • the value of the available bit rate variable DD stored in memory is used by verification means 250, 344, 354, 364 available flow capable of verifying that the available flow variable DD on the customer line has a value greater than the useful rate DU of the requested service. If the flow variable available on the customer line has a value greater than the useful bit rate DU of the requested service, then the system according to the invention implements connection means of the service such as previously described. Otherwise, access to the service is denied and the client 10 is notified of this decision.
  • the means for updating and storing in memory the available rate variable 240 are again implemented to assign the available rate variable the value DD-DU 1 -OF.
  • Fig. 2 is a block diagram of an access point according to the present invention.
  • the access point 200 is a digital multiplexer of client lines or DSLAMs. It comprises a communication bus 201 to which are connected a central unit 208, a non-volatile memory 202, a random access memory 203, a client interface 205, a communication network interface 206 and an authentication server interface 207.
  • the non-volatile memory 202 is adapted to store programs implementing the invention, such as the method which will be described later in FIG. 4.
  • the non-volatile memory 202 is for example a hard disk. More generally, the programs according to the present invention are stored in storage means. These storage means are readable by a computer or a microprocessor 208. These storage means are integrated or not at the access point 200 and can be removable.
  • the programs are transferred into the RAM 203 which then contains the executable code of the invention and the data necessary for the implementation of the invention.
  • the access point 200 comprises a communication network interface 206, which allows the exchange of data to the telecommunication network 500.
  • This interface 206 is able to transfer or receive information in the form of Ethernet frames.
  • the access point 200 includes a client interface 205.
  • This interface is advantageously a DSL type interface.
  • the client interface 205 includes, for a telecommunication device 100, a physical port dedicated to point-to-point communications between the access point 200 and the telecommunication device 100.
  • the client interface 205 is able to transfer information in the form of ATM cells in virtual channels.
  • the client interface 205 encapsulates / decapsulates the Ethernet frames to / from the client telecommunication device in ATM cells.
  • the access point 200 interrogates the authentication server 341, 351, 361 so as to obtain an authentication decision and an authorization decision concerning the client 10 using the telecommunication device 100.
  • the access point 200 receives, for each service to which the telecommunication device 100 is subscribed, identifiers of the virtual channel 111, 112, 113 for the routing of information associated with the service between the telecommunication device 100 and the access point 200, and an identifier of the subnet 260, 261, 262 for the routing of information associated with the service to which the customer 10 has subscribed.
  • Fig. 3 represents a block diagram of an authentication server 341 according to the present invention.
  • the authentication server 341 comprises a communication bus 400 to which are connected a central unit 408, a non-volatile memory 402, a random access memory 403, an access point interface 405 and a communication network interface 406.
  • volatile 402 is adapted to store programs implementing at least a part of the invention, such as the method which will be described later in FIG. 4.
  • the non-volatile memory 402 is for example a hard disk. More generally, the programs according to the present invention are stored in storage means. These storage means are readable by a computer or a microprocessor 408. These storage means are integrated or not to the authentication server 341 and can be removable. When the authentication server is powered up, the programs are transferred to the random access memory 403 which then contains the executable code of the invention as well as the data necessary for the implementation of the invention.
  • the communication network interface 406 allows the data exchanges to the telecommunication network 500, the access point 200 and the database 370 associated with the authentication server 341.
  • the authentication server 341 receives the authentication data DA associated with the client 10 and interrogates the access point 200 so as to obtain the value of the variable of available bit rate DD concerning the customer line 110 connecting the telecommunication device 100 to the access point 200.
  • Fig. 4 schematically describes the steps of the method of connection to a service according to the invention.
  • the method according to the invention comprises a step E 1 which corresponds to a waiting loop of an authentication request RA of a client 10.
  • a client who wishes to connect to a service sends, via its telecommunication device 100, the authentication request RA via the virtual channel 111, 112, 113 which corresponds to the service to which it wishes to connect.
  • an authentication request corresponds to a connection request to a service.
  • such a request includes authentication data DA of the client 10 using the telecommunication device 100 and wishing to connect to a service for which it is already subscribed.
  • the waiting loop is for example performed by the software module PAE.
  • the authentication data is received on a predetermined virtual channel, for example the virtual channel 111 connecting the telecommunication device 100 to the access point 200.
  • the next step is an authentication step Eg performed by the authentication server. 351, 351, 361, as previously described.
  • the access point 200 and the authentication server 341, 351, 361 exchange information; according to the EAP, EAPoL and RADIUS protocols and according to a method of authentication negotiated between the telecommunication device 100 and the authentication server 341, 351, 361.
  • the authentication method is, for example of the TLS type, acronym for "Transport Layer Security” as defined in the IETF RFC2246 or MD5, short for "Message Digest 5".
  • Such an authentication method uses information about client authentication that is stored in a database, for example database 370.
  • the method according to the invention then implements a step E 9 of confirmation of the authentication decision delivered by step E 8 . If it is a positive authentication decision DP 1 , then a step E 10 authorization of access of the client to the service is implemented.
  • the authentication server searches in a profile P associated with the client 10 and stored in the database 370, a list of the services provided by the service provider or service providers 340, 350, 360, to which the client 10 using the telecommunication device 100 is subscribed. If the requested service is in this list, the authentication server 341, 351, 361 associated with the service provider 340, 350, 360 concerned delivers to the access point 200 a positive access authorization decision DP 2 for the client 10 using the telecommunication device 100.
  • the profile P may comprise a list of services provided by a single service provider to which the customer 10 is subscribed.
  • a profile P ' may comprise a list of services provided by a plurality of service providers to which the client 10 is subscribed.
  • the method of connection to a service also comprises a step E 2 , intended to verify whether the connection of the telecommunication device 100 with the access point 200 is in an initialization phase or if it is already established. .
  • the connection of the telecommunication device 100 with the access point 200 is in an initialization phase, for example when the client turns on his telecommunication device 100 or when the access point is reset or when the physical link 110 is restored after rupture.
  • the method according to the invention implements a step E 4 for updating and storing in memory an available bit rate variable DD.
  • This step E 4 is intended to assign to the available rate variable DD a value of the synchronization rate DS of the client line when the telecommunication device is not connected to any service and to store this value in a memory 270.
  • the method according to the invention implements a verification step E5 of the available bit rate DD intended to verify that the available bit rate value DD stored in memory 270 is greater than the useful transmission bit rate DU of the requested service.
  • a step E 6 of confirmation of an available flow check decision is then triggered. If the available rate variable is less than the useful transmission rate DU, then a verification decision D N o ⁇ is issued and the step E6 decides that the connection process stops. If a positive decision D O ⁇ has been issued, then a step E 7 is implemented to confirm the decisions of verification of flow Do ⁇ , D NOK and access authorization DP 2 , DN 2 . If the available rate check decision is positive Do ⁇ and the access authorization decision is positive DP 2 , then a step E 11 effective connection of the client to the service is triggered, in order to connect the access point 200 to the network resource 260, 261, 262 associated with the service provider 340, 350, 360.
  • the software module PAE reads in the response of the authentication server 341, 351, 361 following the step E 10 of access authorization, information representative of the requested service.
  • This representative information is, for example, the identifier of the virtual channel intended to carry the information associated with this service between the telecommunication device 100 and the access point 200, as well as the subnet 260, 261, 262 for routing the information associated with this service between the access point 200 and the service provider 340, 350, 360.
  • the PAE software module interconnects the virtual channel 111 with the subnet 260.
  • An interconnection corresponds to an association between a service provider. virtual channel and a subnet for transferring frames received from the subnet to the virtual channel and for transferring ATL cells received from the virtual channel to the subnet.
  • step E 4 of updating the available rate variable DD is implemented in order to take into account the useful transmission rate DU of the service in updating the available rate variable DD.
  • the method according to the invention finally comprises a step E 12 corresponding to an end of connection request waiting loop.
  • the software module PAE checks, for example, the presence of information representative of a disconnection of the telecommunication device 100. If the presence of information of this type is confirmed, the interruption of the interconnection between the virtual channels 111, 112, 113 with the sub-networks 260, 261, 262 is performed.
  • the implementation of the step E 11 for connecting the telecommunication device 100 to the requested service is conditioned, on the one hand, to the authentication and access authorization decisions DP positive 1 , DP 2 and, secondly, to the verification that the flow available on the customer line is sufficient D O ⁇ -
  • the method according to the invention does not require the intervention of the operator of the network. telecommunication. Therefore, the quality of service is guaranteed, even when the client 10 connects to a service from another telecommunication device that the one from which he has subscribed to a service.
  • the method according to the invention includes a flow variable transmission step provided DD to the authentication server 341, 351, 361 and step E 5 available flow verification is implemented by the authentication server 341, 351, 361.
  • This step E 5 is implemented by the verification means 344, 354, 364 of FIG. 1. Consequently, a global decision taking into account the decisions to check the available bit rate Do ⁇ , D NOK , authentication DP 1 , DN 1 and access authorization DP 2 , DN 2 can be transmitted by the server of authentication 341, 351, 361 to the access point 200. In addition, no transmission of the useful transmission rate of the requested service of the authentication server to the access point is necessary. Indeed, the authentication server 341, 351, 361 has access to information representative of the requested service, including the useful transmission rate DU of the requested service.
  • a first advantage of the method according to the first embodiment of the invention is therefore that the method of connecting the customer to the requested service is simplified.
  • a second advantage of the method according to the first embodiment of the invention is that it is well suited to the case where the client requests to be connected to several services of the same service provider. Indeed, if several authentication requests are issued by the client concerning several services offered by the same service provider 340, 360, 360, the method according to the first embodiment of the invention may implement only one single step E 8 of client authentication 10. Next, the E 1 O access authorization and E 5 verification steps of the available bit rate will be implemented independently and sequentially for each of the services requested.
  • the method of connection to a service comprises a step of transmission of the bit rate DU of the authentication server service to the access point and the checking step E 5 of the available bit rate. is implemented by the access point 200. This verification step E 5 is implemented by the verification means 250 of FIG. 1.
  • a first advantage is related to the fact that the verification means 250, update and storage 240 of the available rate variable are not duplicated at each authentication server 341, 351, 361.
  • a second advantage is that the method according to the second embodiment of the invention is well suited to the case where the client requests to be connected to a first service provided by a first service provider and to a second service provided by a second service provider. Indeed, the authentication and access authorization decisions issued by a first and a second authentication server converge to the access point 200, which has an available bit rate variable DD updated to allow or not access to the first and then the second service.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne un procédé de connexion d'un dispositif de télécommunication (100) utilisé par un client (10) à un service délivré par un fournisseur de services (340, 350, 360) par l'intermédiaire d'un réseau de télécommunication (500). Le dispositif de télécommunication est relié à un point d'accès (200) du réseau de télécommunication par une ligne client (110). Le procédé selon l'invention comprend une étape d'authentification (E8) du client mise en œuvre par un serveur d'authentification (341, 351, 361), une étape (E10) d'autorisation d'accès au service mise en œuvre par le serveur d'authentification en cas de décision d'authentification positive (DP1) du client, une étape (E4) de mise à jour et de stockage en mémoire d'une valeur de variable de débit disponible (DD) sur la ligne client, une étape (E5) de vérification du débit disponible sur la ligne client et une étape (E11) de connexion effective du client au service qui n'est mise en œuvre par le point d'accès (200) que si une décision d'autorisation d'accès positive (DP2) a été délivrée et si la valeur de la variable de débit disponible (DD) est supérieure au débit de transmission utile (DU) du service demandé.

Description

PROCEDE ET SYSTEME DE CONNEXION A UN SERVICE
La présente invention concerne un procédé et un système de connexion d'un dispositif de télécommunication utilisé par un client à un service délivré par un réseau de télécommunication. La présente invention concerne également un point d'accès reliant le dispositif de télécommunication au réseau de télécommunication par l'intermédiaire d'une ligne client et mettant en œuvre au moins une partie d'un tel procédé. La présente invention concerne enfin un programme d'ordinateur mettant en œuvre un tel procédé.
La présente invention trouve une application dans le domaine des réseaux d'accès de dispositifs de télécommunication à des services offerts par des fournisseurs de services, en particulier lorsque le réseau d'accès est basé sur la technologie DSL ou sur la technologie radio.
La demande de brevet internationale publiée sous le numéro WO2005/096551 divulgue un procédé de connexion d'un dispositif de télécommunication à un service délivré par un fournisseur de services par l'intermédiaire d'un réseau de télécommunications, ledit service nécessitant un débit de transmission utile, ledit dispositif de télécommunication étant relié à un point d'accès dudit réseau de télécommunication par une ligne client du réseau d'accès, ledit procédé comprenant: - une étape d'authentification du client mise en œuvre par un serveur d'authentification et destinée à prendre une décision d'authentification à partir de données d'authentification fournies par le client; une étape d'autorisation d'accès dudit dispositif de télécommunication au service, mise en œuvre par le serveur d'authentification et destinée, en cas de décision d'authentification positive du client, à prendre une décision d'autorisation d'accès à partir d'un profil du client; et,
- une étape de connexion du client audit service, destinée, en cas de décision d'autorisation positive, à connecter le point d'accès à une ressource réseau associée au fournisseur de service.
Un tel procédé de connexion ne peut être mis en œuvre qu'après souscription du client à un abonnement au service. Avant d'autoriser la souscription du client à ce service, l'opérateur vérifie préalablement que la ligne client reliant le dispositif de télécommunication au point d'accès offre un débit de synchronisation ou débit global au moins égal au débit de transmission utilisé par le service pour lequel le client souhaite souscrire l'abonnement. Pour ce faire, l'opérateur dispose d'outils de mesure qui lui permettent de mesurer physiquement le débit de synchronisation sur la ligne client. Si le débit de synchronisation de la ligne client est suffisant, l'opérateur procède à une connexion physique de la ligne client à la ressource réseau associée au fournisseur de service.
Une fois la connexion physique mise en place, le client peut demander un accès au service. Le point d'accès répond à une telle demande en réalisant de façon dynamique une connexion logique de la ressource réseau associée au fournisseur de service, sans que l'intervention physique de l'opérateur soit nécessaire.
Lorsque le point d'accès est réinitialisé ou lorsque le dispositif de télécommunication est mis hors tension ou encore lorsque le client se déconnecte explicitement, la ressource réseau associée au fournisseur de service est déconnectée de la ligne client.
Lorsqu'un client demande à se connecter à ce service à partir d'un autre dispositif de télécommunication que celui à partir duquel il a souscrit cet abonnement, ledit procédé de connexion s'applique de la même façon, mais n'offre aucune garantie concernant la qualité de ce service. Un inconvénient est que, même si le client obtient une autorisation de connexion au service qu'il a demandé, il ne pourra réellement utiliser le service que si cet autre dispositif de télécommunication est relié à un point d'accès du réseau de télécommunication par une ligne client qui offre un débit global au moins égal au débit de transmission utile du service.
L'invention a donc pour objectif de proposer une solution pour connecter un client à partir d'un autre dispositif de télécommunication que celui à partir duquel il a souscrit un abonnement à ce service, qui soit plus fiable, notamment en termes de qualité de service.
Ceci est réalisé par un procédé de connexion d'un dispositif de télécommunication utilisé par un client à au moins un service délivré par un fournisseur de services par l'intermédiaire d'un réseau de télécommunications, ledit service nécessitant un débit de transmission utile, ledit dispositif de télécommunication étant relié à un point d'accès dudit réseau de télécommunication par une ligne client, ledit procédé comprenant: - une étape d'authentification du client mise en œuvre par un serveur d'authentification et destinée à prendre une décision d'authentification à partir de données d'authentification fournies par le client;
- une étape d'autorisation d'accès dudit dispositif de télécommunication au service, mise en œuvre par le serveur d'authentification et destinée, en cas de décision d'authentification positive du client, à prendre une décision d'autorisation d'accès à partir d'un profil du client; et une étape de connexion du client audit service, destinée, en cas de décision d'autorisation positive, à connecter le point d'accès à une ressource réseau associée au fournisseur de service; caractérisé en ce que ledit procédé comprend:
- une étape de mise à jour et de stockage en mémoire d'une valeur de variable de débit disponible sur la ligne client, ladite étape de mise à jour étant destinée à affecter à ladite variable de débit disponible: - une valeur de débit de synchronisation de la ligne client lorsque le dispositif de télécommunication n'est connecté à aucun service; et, - lorsque le dispositif de télécommunication est déjà connecté à au moins un premier service nécessitant un premier débit de transmission utile, la valeur de la variable de débit disponible stockée en mémoire après soustraction du au moins un premier débit de transmission utile; et,
- une étape de vérification du débit disponible destinée à vérifier la valeur stockée en mémoire de la variable de débit disponible sur la ligne client, de telle sorte que l'étape de connexion au service n'est mise en œuvre que si ladite valeur stockée en mémoire est supérieure au débit de transmission utile dudit service.
Selon l'invention, une demande de connexion du client à un service déclenche un processus d'authentification et d'autorisation d'accès de ce client, qui, s'il conduit à des décisions d'authentification et d'autorisation d'accès positives, est suivi d'un mécanisme de vérification du débit disponible sur la ligne client. L'étape de connexion effective du client au service n'est donc mise en œuvre que si le débit disponible sur la ligne client est suffisant. Par conséquent, un tel procédé de connexion s'applique avantageusement à un client qui demande à être connecté à un service à partir d'un autre dispositif de télécommunication que celui à partir duquel il a souscrit l'abonnement. En effet, dans ce cas, aucune mesure physique préalable du débit de synchronisation n'a été effectuée sur la ligne client reliant cet autre dispositif de télécommunication à un point d'accès du réseau de télécommunication. Le mécanisme de vérification dynamique du débit disponible selon l'invention a donc pour effet de remplacer la procédure de mesure physique du débit disponible habituellement mise en œuvre par l'opérateur au moment de la souscription du client à un abonnement pour le service en question.
Ainsi, l'autorisation d'accès au service n'est donnée au client que sur une base de conditions d'accès valides en termes de débit disponible. Par conséquent, le procédé de connexion selon l'invention garantit une connexion fiable du client, de qualité de service minimale garantie, quel que soit le dispositif de télécommunication et la ligne client utilisés.
Selon un premier mode de réalisation de l'invention, le procédé de connexion comprend une étape de transmission de la variable de débit disponible au serveur d'authentification et l'étape de vérification du débit disponible est mise en œuvre par le serveur d'authentification. Un premier avantage est qu'une transmission du débit de transmission utile du service demandé du serveur d'authentification au point d'accès n'est pas nécessaire. Un deuxième avantage du procédé selon le premier mode de réalisation de l'invention est qu'il est bien adapté au cas où le client demande à être connecté à plusieurs services d'un même fournisseur de services. En effet, c'est le serveur d'authentification qui prend en charge les trois étapes d'authentification du client, autorisation d'accès au service et vérification du débit. Les transmissions d'informations concernant le client et sa requête d'authentification sont donc limitées et le processus de connexion du client aux services qu'il a demandés s'en trouve simplifiée.
Selon un deuxième mode de réalisation de l'invention, le procédé de connexion comprend une étape de transmission du débit de transmission utile du service du serveur d'authentification au point d'accès et ladite étape de vérification du débit disponible est mise en œuvre par le point d'accès. Selon ce deuxième mode de réalisation de l'invention, c'est le point d'accès qui met en œuvre l'étape de vérification du débit disponible sur la ligne client à partir du débit utile nécessité par le service et transmis par le serveur d'authentification. Un avantage est que dans le cas où le client demande à être connecté à un premier service offert par un premier fournisseur de service et à un deuxième service offert par un deuxième fournisseur de service, le point d'accès, qui centralise les décisions d'authentifications et d'autorisation délivrées par un premier et un deuxième serveurs d'authentification ou par un seul serveur d'authentification, dispose d'une variable de débit disponible mise à jour pour décider de connecter ou non le dispositif de télécommunication du client au premier puis au deuxième service.
L'invention concerne également un système de connexion d'un dispositif de télécommunication utilisé par un client à au moins un service délivré par un fournisseur de services par l'intermédiaire d'un réseau de télécommunications, ledit service nécessitant un débit de transmission utile, ledit dispositif de télécommunication étant relié à un point d'accès dudit réseau de télécommunication par une ligne client, le point d'accès étant relié à un serveur d'authentification et étant apte à se connecter à une ressource réseau associée audit fournisseur de services, ledit système comprenant: - des moyens d'authentification du client mis en œuvre par le serveur d'authentification aptes à prendre une décision d'authentification à partir de données d'authentification du client transmises par le point d'accès; des moyens d'autorisation d'accès dudit dispositif de télécommunication au service mis en œuvre par le serveur d'authentification et aptes, en cas de décision d'authentification positive, à prendre une décision d'autorisation à partir d'un profil du client; des moyens de connexion du dispositif de télécommunications aptes, en cas de décision d'authentification positive, à connecter le point d'accès à une ressource réseau associée au fournisseur de service; caractérisé en ce que ledit système comprend: des moyens de mise à jour et de stockage d'une valeur de variable de débit disponible sur la ligne client, aptes à affecter à ladite variable de débit disponible :
- une valeur de débit de synchronisation de la ligne client lorsque le dispositif de télécommunication n'est connecté à aucun service; et, lorsque le dispositif de télécommunication est déjà connecté à au moins un premier service nécessitant un premier débit utile, à affecter à ladite variable de débit disponible la valeur de la variable de débit disponible stockée en mémoire après soustraction du au moins un premier débit utile; et, des moyens de vérification du débit disponible destinés à vérifier que la variable de débit disponible sur la ligne client a une valeur supérieure au débit utile dudit service, de telle sorte que les moyens de connexion au service ne sont mis en œuvre que si la variable de débit disponible sur la ligne client a une valeur supérieure au débit utile dudit service.
L'invention concerne également un point d'accès relié à un dispositif de télécommunication par une ligne client et apte à connecter ledit dispositif de télécommunication à au moins un service délivré par un fournisseur de services par l'intermédiaire d'un réseau de télécommunications, ledit service nécessitant un débit de transmission utile, ledit point d'accès comprenant: des moyens de transmission de données d'authentification associées au client à un serveur d'authentification, le serveur d'authentification étant apte à prendre une décision d'authentification à partir desdites données d'authentification et, en cas de décision d'authentification positive, à prendre une décision d'autorisation d'accès à partir d'un profil du client et; des moyens de connexion du dispositif de télécommunications au service, aptes, en case de décision d'autorisation positive, à connecter le point d'accès au fournisseur de service; caractérisé en ce que ledit point d'accès comprend: des moyens de mise à jour d'une valeur de variable de débit disponible, aptes à affecter à ladite variable de débit disponible: - une valeur de débit de synchronisation de la ligne client lorsque le dispositif de télécommunication n'est connecté à aucun service; et, - lorsque le dispositif de télécommunication est déjà connecté à au moins un premier service nécessitant un premier débit utile, à affecter à ladite variable de débit disponible la valeur de la variable de débit disponible stockée en mémoire après soustraction du au moins un premier débit utile; et, des moyens de vérification du débit disponible destinés à vérifier la valeur stockée en mémoire de la variable de débit disponible, de telle sorte que les moyens de connexion au service ne sont mis en œuvre que si la valeur stockée en mémoire est supérieure au débit utile dudit service.
L'invention concerne en outre un serveur d'authentification relié à un point d'accès et à un fournisseur de services, ledit point d'accès étant apte à connecter un dispositif de télécommunication utilisé par un client à au moins un service délivré par le fournisseur de services par l'intermédiaire d'un réseau de télécommunications, ledit service nécessitant un débit de transmission utile, et à une base de données comprenant un profil associé au client, ledit serveur d'authentification comprenant: - des moyens d'authentification du client aptes à recevoir des données d'authentification associées au client et à prendre une décision d'authentification à partir desdites données d'authentification; des moyens d'autorisation d'accès aptes, en cas de décision d'authentification positive, à autoriser l'accès au service audit client à partir d'un profil du client, ledit profil étant stocké dans une base de données reliée au serveur d'authentification; des moyens de vérification aptes à vérifier qu'une variable de débit disponible sur la ligne client transmise par le point d'accès a une valeur supérieure au débit utile dudit service.
L'invention concerne également un programme d'ordinateur contenant des instructions telles que, lorsque ledit programme commande un dispositif de traitement de données programmable associé à un point d'accès, lesdites instructions font que ledit dispositif de traitement de données met en œuvre les étapes du procédé précédemment décrit.
L'invention concerne enfin des moyens de stockage comportant des instructions de code de programme informatique pour l'exécution des étapes du procédé précédemment décrit. Les avantages de ce système, de ce programme d'ordinateur et de ces moyens de stockage sont essentiellement les mêmes que ceux du procédé corrélatif.
Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels:
- la Fig. 1 représente l'architecture d'un système de connexion d'un dispositif de télécommunication à un service selon l'invention. - la Fig. 2 représente un schéma synoptique d'un point d'accès du système de la figure 1; la Fig. 3 représente un schéma synoptique d'un serveur d'authentification du système de la figure 1 ;
- la Fig. 4 représente de manière fonctionnelle les étapes du procédé selon l'invention.
La Fig. 1 représente l'architecture d'un système de connexion 400 d'un dispositif de télécommunication 100 utilisé par un client 10 à un service délivré par un fournisseur de service par l'intermédiaire d'un réseau de télécommunication 500 selon l'invention. Le dispositif de télécommunication 100 accède aux services offerts par des fournisseurs de services 340, 350, 360 connectés au réseau de télécommunication 500 par l'intermédiaire d'un point d'accès 200 via une liaison point à point. Les services offerts sont, par exemple, et de manière non limitative, des services d'accès à Internet, des services de vidéo à la demande, des services de courrier électronique, des services de téléphonie sur Internet, des services de visioconférence sur Internet ou encore des services de télévision sur Internet. Cette liaison est, par exemple, une liaison physique telle qu'une paire de fils de cuivre téléphoniques de type DSL, DSL étant l'acronyme de "Digital Subscriber Line" ou une liaison de fibres optiques ou encore une liaison de type radio telle que conforme au standard WiMax, abréviation de "Worldwide Interoperability for Microwave Access". Lorsque la liaison est de type radio, le point d'accès 200 est une borne WiMax. Lorsque la liaison est une paire de fils de cuivre téléphoniques, le point d'accès 200 est un multiplexeur numérique de lignes de clients, connu sous le terme de DSLAM. DSLAM est l'acronyme de "Digital Subscriber Line Access Multiplexor". Le dispositif de télécommunication 100 est, par exemple, un ordinateur comprenant une carte de communication adaptée à la liaison existant avec le point d'accès 200 ou ordinateur relié à un dispositif externe, tel qu'un modem routeur, installé au domicile du client et adapté à la liaison existant avec le point d'accès 200. Le point d'accès 200 est relié au réseau de télécommunication 500 qui est préférentiellement un réseau de type GigaEthernet. Un réseau de type GigaEthernet est un réseau de télécommunication à haut débit basé sur la technologie Ethernet. Un réseau de type GigaEthernet autorise des transferts de données à des débits supérieurs à 1 Gbits par seconde. L'accès à ce type de réseau est régi par un protocole tel que celui défini dans la norme IEEE 802. Ix. Ce protocole nécessite que le client qui désire se connecter au réseau dispose d'un logiciel compatible avec le protocole utilisé. Ce protocole s'applique normalement à des réseaux locaux d'entreprises ou à des groupes de clients prédéfinis. Son utilisation est envisagée ici dans des réseaux de télécommunication permettant l'accès à Internet par l'intermédiaire de connexions de type DSL par exemple, à une multitude de clients disposant d'équipements et de logiciels variés.
Le point d'accès 200 comporte une pluralité de ports physiques. Le dispositif de télécommunication 100 est relié à l'un d'entre eux par une liaison physique dédiée 110. Sur la liaison physique 110, une pluralité de canaux virtuels ATM VC, acronyme de "Asynchronous Transfer Mode Virtual Channel", est établie entre le dispositif de télécommunication 100 et le point d'accès 200. Sur la Fig. 1, trois canaux virtuels 111, 112, 113 sont représentés, mais l'invention n'est pas limitée à cet exemple.
Les canaux virtuels 111, 112, 113 sont préférentiellement créés par l'opérateur du réseau de télécommunication 500 pour chaque port du point d'accès et cela même si le dispositif de télécommunication 100 ne dispose pas d'une liaison DSL ou n'est pas abonné à un service proposé par un des fournisseurs de services 340, 350, 360. Les canaux virtuels 111, 112, 113 sont préférentiellement groupés dans un même chemin virtuel ou VP, acronyme de "Virtual Path" entre le dispositif de télécommunication 100 et le point d'accès 200. Le canal virtuel 111 est par exemple dédié à l'accès à un fournisseur de services Internet 340, le canal virtuel 112 est par exemple dédié à l'accès à un fournisseur de services de type télévision 350 et le canal virtuel 113 est par exemple dédié à l'accès à un fournisseur de services de type téléphonie sur le réseau Internet 360. Des sous-réseaux de télécommunication 260, 261, 262 sont établis sur le réseau de télécommunication 500 entre le point d'accès 200 et des fournisseurs de services 340, 350, 360. Les informations transférées dans les sous-réseaux de télécommunication
260, 261, 262 sont transmises sous la forme de trames Ethernet. Les sous-réseaux 260,
261, 262 permettent de limiter les ressources auxquelles le dispositif de télécommunication 100 a accès. Par exemple, si le client qui utilise le dispositif de télécommunication 100 est abonné au fournisseur de service 340, les échanges entre le dispositif de télécommunication 100 et le fournisseur de services 340 sont effectués uniquement par l'intermédiaire du sous-réseau 260. Le client ne peut pas accéder aux services proposés par le fournisseur de services 350, car celui-ci est associé à un autre sous-réseau 261.
Les sous-réseaux de télécommunication 260, 261, 262 sont par exemple des réseaux virtuels appelés VLAN, acronyme de "Virtual Local Area Network", ou des sous-réseaux de type LSP MLPS, acronyme de "Label Switched Path Multi-protocol Label Switching" ou des sous-réseaux IP.
Le système de connexion d'un dispositif de télécommunication 100 utilisé par un client 10 selon l'invention comprend des moyens 342, 352, 362 d'authentification du client par un serveur d'authentification 341, 351, 361 relié au point d'accès 200. Le point d'accès 200 est aussi relié au serveur d'authentification 341, 351, 361 par l'intermédiaire d'une liaison dédiée 280, 281, 282, 283 ou, en variante, par l'intermédiaire du réseau de télécommunication 500.
Le serveur d'authentification 341, 351, 361 est par exemple régi par le protocole 802. Ix et il est, de façon avantageuse, conforme au protocole RADIUS. RADIUS est l'acronyme de "Remote Authentication Dial In User Service". Le point d'accès 200 comporte, pour chaque port, un module logiciel PAE, acronyme de "Port Access Entity" tel que décrit dans le standard IEEE 802. Ix. Le module logiciel PAE comprend un sous module logiciel client RADIUS, tel que décrit dans le standard IEEE 802.1x qui dialogue avec le serveur d'authentification 341, 351, 361 selon le mode de communication client- serveur conformément au protocole RADIUS. Il faut noter cependant que d'autres types de serveurs et de protocoles d'authentification peuvent être utilisés dans le cadre de la présente invention. Le serveur d'authentification 341, 351, 361 est adapté pour authentifier un client 10 auprès du point d'accès 200 lorsque le client désire accéder à un service délivré par un des fournisseurs de service 340, 350, 360. Cette authentification est effectuée à partir de données d'authentification DA, qui sont par exemple un identifiant et un mot de passe associés au client ou des données du type de celles stockées sur une carte SIM, acronyme de "Subscriber Identity Module". Le point d'accès 200 envoie ces données d'authentification DA à un premier serveur d'authentification 341 lorsque le client 10 souhaite se connecter à un service offert par le premier fournisseur de services 340, à un deuxième serveur d'authentification 351 lorsque le client 10 souhaite se connecter à un service offert par le deuxième fournisseur de services 350 et à un troisième serveur d'authentification 361 lorsque le client 10 souhaite se connecter à un service offert par le troisième fournisseur de services 360. Selon une variante, le point d'accès 200 peut accéder au serveur d'authentification 341, 351, 361 par l'intermédiaire d'un proxy-RADIUS 300. Un proxy est un équipement qui reçoit des informations d'un premier dispositif de communication et transfère celles-ci vers un second dispositif de communication; et réciproquement qui reçoit des informations du second dispositif de communication et transfère celles-ci vers le premier dispositif de communication. En l'espèce, le proxy-RADIUS 300 a pour rôle est de relayer les données d'authentification vers le serveur RADIUS 341, 351, 361 du fournisseur de service 340, 350, 360 concerné.
Les données d'authentification DA doivent être authentifiées par le serveur d'authentification 341, 351, 361 qui s'appuie sur une base de connaissances, par exemple une base de données 370, préférentiellement associée au serveur d'authentification 341, 351, 361 pour déterminer si les données d'authentification DA sont valides. Si les données d'authentification sont valides, le serveur d'authentification délivre une décision d'authentification positive DP1. Sinon, le serveur d'authentification délivre une décision d'authentification négative DN1. En case de décision d'authentification positive, le système selon l'invention met en œuvre des moyens 343, 353, 363 d'autorisation d'accès du dispositif de télécommunication 100 au service, qui sont aptes à prendre une décision d'autorisation à partir d'un profil P du client. Ce profil Pest stocké dans une base de données associée au serveur d'authentification, par exemple la base de données 370. Les moyens d'autorisation d'accès 343, 353, 363 sont aptes à rechercher dans ce profil P associé au client 10, une liste des services fournis par les fournisseurs de services 340, 350, 360, auxquels le client 10 utilisant le dispositif de télécommunication 100 est abonné. Si le service demandé figure dans cette liste, les moyens d'autorisation d'accès 343, 353, 363 respectivement associés aux fournisseurs de service 340, 350, 360 concernés délivrent au point d'accès 200 une décision d'autorisation positive pour le client 10 utilisant le dispositif de télécommunication 100.
Sinon, les d'autorisation d'accès 343, 353, 363 délivrent une décision d'autorisation négative et l'accès au service demandé est refusé au client 10. II faut noter que, pour des raisons de clarté, seules les connexions du serveur d'authentification 341 à la base de données 370 ont été représentées sur la Fig. 1, mais que, dans le cadre de la présente invention, les autres serveurs d'authentification 351, 361 doivent être considérés comme connectés à la base de données référencée 370 ou à une autre base de données.
Le système de connexion du client selon l'invention comprend des moyens 220 de connexion dudit dispositif de télécommunication 100 utilisé par le client 10 au service, qui sont aptes, en cas de décision d'autorisation positive DCP, à connecter le point d'accès 200 au fournisseur de service 340, 350, 360, par l'intermédiaire d'un sous- réseau virtuel 260, 261, 262.
Le système de connexion à un service selon l'invention comprend des moyens 240 de mise à jour et de stockage dans une mémoire 270 d'une variable de débit disponible DD. Les moyens de mises à jour 240 sont aptes à affecter à la variable de débit disponible DD une valeur de débit de synchronisation DS lorsque le dispositif de télécommunication 100 n'est connecté à aucun service.
Le débit de synchronisation DS correspond au débit global de la ligne du client 110 reliant le dispositif de télécommunication du client et le point d'accès 200 au réseau de télécommunication 500. Il varie notamment en fonction de la longueur de la ligne client, d'un diamètre des fils constituant la paire de fils de cuivre et d'une qualité du cuivre. C'est une fonction de base d'un point d'accès, en particulier d'un DSLAM de déterminer le débit de synchronisation de la ligne client.
En revanche, lorsque le dispositif de télécommunication 100 vient d'être connecté à un premier service nécessitant un premier débit de transmission utile DU1, les moyens de mise à jour et de stockage en mémoire de la variable de débit disponible 240 sont mis en œuvre pour affecter à ladite variable de débit disponible la valeur stockée en mémoire après soustraction du premier débit utile DD-DU1.
De façon avantageuse, la mémoire 270 est associée au point d'accès 200. Lors d'une demande de connexion à un service du client 10 auprès du point d'accès 200, la valeur de la variable de débit disponible DD stockée en mémoire est utilisée par des moyens de vérification 250, 344, 354, 364 du débit disponible aptes à vérifier que la variable de débit disponible DD sur la ligne client a une valeur supérieure au débit utile DU du service demandé. Si la variable de débit disponible sur la ligne client a une valeur supérieure au débit utile DU du service demandé, alors le système selon l'invention met en œuvre des moyens de connexion du service tels que précédemment décrits. Sinon, l'accès au service est refusé et le client 10 est notifié de cette décision.
Une fois le dispositif de télécommunication 100 connecté au service demandé, les moyens de mise à jour et de stockage en mémoire de la variable de débit disponible 240 sont de nouveau mis en œuvre pour affecter à la variable de débit disponible la valeur DD-DU1-DU.
La Fig. 2 représente un schéma synoptique d'un point d'accès selon la présente invention. Le point d'accès 200 est, dans cet exemple, un multiplexeur numérique de lignes clients ou DSLAM. Il comprend un bus de communication 201 auquel sont reliés une unité centrale 208, une mémoire non volatile 202, une mémoire vive 203, une interface clients 205, une interface réseau de communication 206 et une interface serveur d'authentification 207. La mémoire non volatile 202 est adaptée pour mémoriser les programmes mettant en œuvre l'invention, tel que le procédé qui sera décrit ultérieurement à la Fig. 4. La mémoire non volatile 202 est par exemple un disque dur. De manière plus générale, les programmes selon la présente invention sont stockés dans des moyens de stockage. Ces moyens de stockage sont lisibles par un ordinateur ou un microprocesseur 208. Ces moyens de stockage sont intégrés ou non au point d'accès 200 et peuvent être amovibles. Lors de la mise sous tension du point d'accès 200, les programmes sont transférés dans la mémoire vive 203 qui contient alors le code exécutable de l'invention ainsi que les données nécessaires à la mise en œuvre de l'invention.
Le point d'accès 200 comprend une interface réseau de communication 206, qui permet les échanges de données vers le réseau de télécommunication 500. Cette interface 206 est apte à transférer ou recevoir des informations sous la forme de trames Ethernet.
Le point d'accès 200 comprend une interface client 205. Cette interface est, de façon avantageuse, une interface de type DSL. L'interface clients 205 comprend, pour un dispositif de télécommunication 100, un port physique dédié aux communications point à point entre le point d'accès 200 et le dispositif de télécommunication 100.
L'interface clients 205 est apte à transférer des informations sous la forme de cellules ATM dans des canaux virtuels. L'interface clients 205 assure l'encapsulation/décapsulation des trames Ethernet à destination/en provenance du dispositif de télécommunication client en cellules ATM. Par l'intermédiaire de l'interface serveur d'authentification 207, le point d'accès 200 interroge le serveur d'authentification 341, 351, 361 de manière à obtenir une décision d'authentification et une décision d'autorisation concernant le client 10 utilisant le dispositif de télécommunication 100. Par cette même interface 207, le point d'accès 200 reçoit, pour chaque service auprès duquel le dispositif de télécommunication 100 est abonné, des identifiants du canal virtuel 111, 112, 113 destiné à l'acheminement des informations associées au service entre le dispositif de télécommunication 100 et le point d'accès 200, ainsi qu'un identifiant du sous-réseau 260, 261, 262 destiné à l'acheminement des informations associées au service auquel le client 10 a souscrit.
La Fig. 3 représente un schéma synoptique d'un serveur d'authentification 341 selon la présente invention. Le serveur d'authentification 341 comprend un bus de communication 400 auquel sont reliées une unité centrale 408, une mémoire non volatile 402, une mémoire vive 403, une interface point d'accès 405 et une interface de réseau de communication 406. La mémoire non volatile 402 est adaptée pour mémoriser les programmes mettant en œuvre au moins une partie de l'invention, tel que le procédé qui sera décrit ultérieurement à la Fig. 4. La mémoire non volatile 402 est par exemple un disque dur. De manière plus générale, les programmes selon la présente invention sont stockés dans des moyens de stockage. Ces moyens de stockage sont lisibles par un ordinateur ou un microprocesseur 408. Ces moyens de stockage sont intégrés ou non au serveur d'authentification 341 et peuvent être amovibles. Lors de la mise sous tension du serveur d'authentification, les programmes sont transférés dans la mémoire vive 403 qui contient alors le code exécutable de l'invention ainsi que les données nécessaires à la mise en œuvre de l'invention.
L'interface de réseau de communication 406 permet les échanges de données vers le réseau de télécommunication 500, le point d'accès 200 et la base de données 370 associée au serveur d'authentification 341.
Par l'intermédiaire de l'interface point d'accès 405, le serveur d'authentification 341 reçoit les données d'authentification DA associées au client 10 et il interroge le point d'accès 200 de manière à obtenir la valeur de la variable de débit disponible DD concernant la ligne client 110 reliant le dispositif de télécommunication 100 au point d'accès 200. La Fig. 4 décrit de façon schématique les étapes du procédé de connexion à un service selon l'invention. Le procédé selon l'invention comprend une étape E1 qui correspond à une boucle d'attente d'une requête d'authentification RA d'un client 10. Il faut noter qu'un client qui souhaite se connecter à un service, envoie, par l'intermédiaire de son dispositif de télécommunication 100, la requête d'authentification RA via le canal virtuel 111, 112, 113 qui correspond au service auquel il souhaite se connecter. Ainsi, une telle requête d'authentification correspond à une requête de connexion à un service.
De façon avantageuse, une telle requête comprend des données d'authentification DA du client 10 utilisant le dispositif de télécommunication 100 et souhaitant se connecter à un service pour lequel il est déjà abonné. La boucle d'attente est par exemple effectuée par le module logiciel PAE. Les données d'authentification sont reçues sur un canal virtuel prédéterminé, par exemple le canal virtuel 111 reliant le dispositif de télécommunication 100 au point d'accès 200. L'étape suivante est une étape Eg d'authentification effectuée par le serveur d'authentification 351, 351, 361, comme précédemment décrit. A cette étape, le point d'accès 200 et le serveur d'authentification 341, 351, 361 échangent des informations; conformément aux protocoles EAP, EAPoL et RADIUS et en fonction d'une méthode d'authentification négociée entre le dispositif de télécommunication 100 et le serveur d'authentification 341, 351, 361. La méthode d'authentification est, par exemple de type TLS, acronyme de "Transport Layer Security" telle que définie dans le document de l'IETF RFC2246 ou de type MD5, acronyme de "Message Digest 5". Une telle méthode d'authentification utilise des informations concernant l'authentification du client qui sont stockées dans une base de données, par exemple la base de données 370.
Si les données d'authentification sont considérées comme valides par le serveur d'authentification, le procédé selon l'invention met ensuite en œuvre une étape E9 de confirmation de la décision d'authentification délivrée par l'étape E8. S'il s'agit d'une décision d'authentification positive DP1, alors une étape E10 d'autorisation d'accès du client au service est mise en oeuvre. Au cours de cette étape, le serveur d'authentification recherche dans un profil P associé au client 10 et stocké dans la base de données 370, une liste des services fournis par le ou les fournisseurs de services 340, 350, 360, auxquels le client 10 utilisant le dispositif de télécommunication 100 est abonné. Si le service demandé figure dans cette liste, le serveur d'authentification 341, 351, 361 associé au fournisseur de service 340, 350, 360 concerné délivre au point d'accès 200 une décision d'autorisation d'accès positive DP2 pour le client 10 utilisant le dispositif de télécommunication 100.
Il faut noter que le profil P peut comprendre une liste des services fournis par un seul fournisseur de services auxquels le client 10 est abonné. De façon alternative, un profil P' peut comprendre une liste des services fournis par une pluralité de fournisseurs de service auxquels le client 10 est abonné.
Le procédé de connexion à un service selon l'invention comprend également une étape E2, destinée à vérifier si la connexion du dispositif de télécommunication 100 avec le point d'accès 200 est dans une phase d'initialisation ou bien si elle est déjà établie. La connexion du dispositif de télécommunication 100 avec le point d'accès 200 est dans une phase d'initialisation, par exemple lorsque le client met sous tension son dispositif de télécommunication 100 ou lorsque le point d'accès est réinitialisé ou encore lorsque la liaison physique 110 est rétablie après rupture.
Dans ces cas-là, le procédé selon l'invention met en oeuvre une étape E4 de mise à jour et de stockage en mémoire d'une variable de débit disponible DD. Cette étape E4 est destinée à affecter à la variable de débit disponible DD une valeur du débit de synchronisation DS de la ligne client lorsque le dispositif de télécommunication n'est connecté à aucun service et à stocker cette valeur dans une mémoire 270.
En revanche, dans le cas où l'étape E2 a établi que le point d'accès n'était pas dans une phase d'initialisation, le procédé selon l'invention met en oeuvre une étape de vérification E5 du débit disponible DD destinée à vérifier que la valeur de débit disponible DD stockée en mémoire 270 est supérieure au débit DU de transmission utile du service demandé.
Une étape E6 de confirmation d'une décision de vérification du débit disponible est ensuite déclenchée. Si la variable de débit disponible est inférieure au débit de transmission utile DU, alors une décision de vérification DNoκ est émise et l'étape E6 décide que le processus de connexion s'arrête. Si une décision positive DOκ a été émise, alors on met en œuvre une étape E7 destinée à confirmer les décisions de vérification de débit Doκ, DNOK et d'autorisation d'accès DP2, DN2. Si la décision de vérification de débit disponible est positive Doκ et la décision d'autorisation d'accès est positive DP2, alors une étape E11 de connexion effective du client au service est déclenchée, afin de connecter le point d'accès 200 à la ressource réseau 260, 261, 262 associée au fournisseur de service 340, 350, 360. De façon avantageuse, le module logiciel PAE lit dans la réponse du serveur d'authentification 341, 351, 361 faisant suite à l'étape E10 d'autorisation d'accès, des informations représentatives du service demandé. Ces informations représentatives sont, par exemple, l'identifiant du canal virtuel destiné à l'acheminement des informations associées à ce service entre le dispositif de télécommunication 100 et le point d'accès 200, ainsi que le sous-réseau 260, 261, 262 destiné à l'acheminement des informations associées à ce service entre le point d'accès 200 et le fournisseur de service 340, 350, 360.
Ainsi, si le client utilisant le dispositif de télécommunication 100 a souscrit au service Internet du fournisseur de services 340, le module logiciel PAE procède à l'interconnexion du canal virtuel 111 avec le sous-réseau 260. Une interconnexion correspond à une association entre un canal virtuel et un sous-réseau pour le transfert de trames reçues du sous-réseau vers le canal virtuel et pour le transfert de cellules ATL reçues du canal virtuel vers le sous-réseau. A l'issue de l'étape E11, une fois que la connexion du client au service demandé est effective, l'étape E4 de mise à jour de la variable de débit disponible DD est mise en œuvre afin de prendre en compte le débit de transmission utile DU du service dans la mise à jour de la variable de débit disponible DD.
Le procédé selon l'invention comprend enfin une étape E12 correspondant à une boucle d'attente de requête de fin de connexion. Lors de cette étape E12, le module logiciel PAE vérifie, par exemple, la présence d'informations représentatives d'une déconnexion du dispositif de télécommunication 100. Si la présence d'informations de ce type est confirmée, l'interruption de l'interconnexion entre les canaux virtuels 111, 112, 113 avec les sous-réseaux 260, 261, 262 est effectuée.
Ainsi, selon l'invention, la mise en œuvre de l'étape E11 de connexion du dispositif de télécommunication 100 au service demandé est conditionnée, d'une part, à des décisions d'authentification et d'autorisation d'accès positives DP1, DP2 et, d'autre part, à la vérification que le débit disponible sur la ligne client est suffisant DOκ- De plus, le procédé selon l'invention ne nécessite pas l'intervention de l'opérateur du réseau de télécommunication. Par conséquent, la qualité de service est garantie, même lorsque le client 10 se connecte à un service à partir d'un autre dispositif de télécommunication que celui à partir duquel il a souscrit un abonnement à ce service. Selon un premier mode de réalisation, le procédé selon l'invention comprend une étape de transmission de la variable de débit disponible DD au serveur d'authentification 341, 351, 361 et l'étape E5 de vérification du débit disponible est mise en œuvre par le serveur d'authentification 341, 351, 361. Cette étape E5 est mise en œuvre par les moyens de vérification 344, 354, 364 de la Fig. 1. Par conséquent, une décision globale prenant en compte les décisions de vérification du débit disponible Doκ, DNOK, d'authentification DP1, DN1 et d'autorisation d'accès DP2, DN2 pourront être transmises par le serveur d'authentification 341, 351, 361 au point d'accès 200. De plus, aucune transmission du débit de transmission utile du service demandé du serveur d'authentification au point d'accès n'est nécessaire. En effet, le serveur d'authentification 341, 351, 361 a accès à des informations représentatives du service demandé, notamment au débit de transmission utile DU du service demandé.
Un premier avantage du procédé selon le premier mode de réalisation de l'invention est donc que le procédé de connexion du client au service demandé se trouve simplifié.
Un deuxième avantage du procédé selon le premier mode de réalisation de l'invention est qu'il est bien adapté au cas où le client demande à être connecté à plusieurs services d'un même fournisseur de services. En effet, si plusieurs requêtes d'authentification sont émises par le client concernant plusieurs services offerts par un même fournisseur de services 340, 360, 360, le procédé selon le premier mode de réalisation de l'invention pourra ne mettre en œuvre qu'une seule étape E8 d'authentification du client 10. Ensuite, les étapes d'autorisation d'accès E1O et de vérification E5 du débit disponible seront mises en œuvre indépendamment et séquentiellement pour chacun des services demandés. Selon un second mode de réalisation de l'invention, le procédé de connexion à un service comprend une étape de transmission du débit utile DU du service du serveur d'authentification au point d'accès et l'étape de vérification E5 du débit disponible est mise en œuvre par le point d'accès 200. Cette étape de vérification E5 est mise en œuvre par les moyens de vérification 250 de la Fig. 1. Un premier avantage est lié au fait que les moyens de vérification 250, de mise à jour et de stockage 240 de la variable de débit disponible ne sont pas dupliqués au niveau de chaque serveur d'authentification 341, 351, 361.
Un second avantage est que le procédé selon le deuxième mode de réalisation de l'invention est bien adapté au cas où le client demande à être connecté à un premier service offert par un premier fournisseur de service et à un deuxième service offert par un deuxième fournisseur de service. En effet, les décisions d'authentification et d'autorisation d'accès délivrées par un premier et un deuxième serveurs d'authentification convergent vers le point d'accès 200, lequel dispose d'une variable de débit disponible DD mise à jour pour autoriser ou non l'accès au premier puis au deuxième service.

Claims

REVENDICATIONS
1. Procédé de connexion d'un dispositif de télécommunication (100) utilisé par un client (10) à au moins un service délivré par un fournisseur de services (340, 350, 360) par l'intermédiaire d'un réseau de télécommunication (500), ledit service nécessitant un débit de transmission utile (DU), ledit dispositif de télécommunication étant relié à un point d'accès (200) dudit réseau de télécommunication par une ligne client (110), ledit procédé comprenant: une étape (Eg) d'authentification du client mise en œuvre par un serveur d'authentification (341, 351, 361) relié au point d'accès (200) et au fournisseur de services, destinée à prendre une décision d'authentification à partir de données d'authentification (DA) fournies par le client;
- une étape (E10) d'autorisation d'accès dudit dispositif de télécommunication au service, mise en œuvre par le serveur d'authentification et destinée, en cas de décision d'authentification positive (DP1) du client, à prendre une décision d'autorisation d'accès à partir d'un profil (P) du client, ledit profil étant stocké dans une base de données (370); et une étape (E11) de connexion du client audit service, destinée, en cas de décision d'autorisation d'accès positive (DP2), à connecter le point d'accès à une ressource réseau (260, 261, 262) associée au fournisseur de service(340,
350, 360); caractérisé en ce que ledit procédé comprend:
- un étape (E4) de mise à jour et de stockage en mémoire d'une valeur de variable de débit disponible (DD) sur la ligne client, ladite étape de mise à jour étant destinée à affecter à ladite variable de débit disponible: une valeur d'un débit de synchronisation (DS) de la ligne client (110) lorsque le dispositif de télécommunication (100) n'est connecté à aucun service; et, lorsque le dispositif de télécommunication (100) est déjà connecté à au moins un premier service nécessitant un premier débit de transmission utile (DU1), la valeur de la variable de débit disponible stockée en mémoire après soustraction du au moins un premier débit de transmission utile (DD-DU1); et, - une étape (E5) de vérification du débit disponible (DD) destinée à vérifier la valeur stockée en mémoire de la variable de débit disponible (DD), de telle sorte que l'étape de connexion n'est mise en œuvre que si ladite valeur stockée en mémoire est supérieure au débit de transmission utile dudit service.
2. Procédé de connexion d'un dispositif de télécommunication d'un client à un service selon la revendication 1, caractérisé en ce qu'il comprend une étape de transmission de la variable de débit disponible au serveur d'authentification et caractérisé en ce que ladite étape (E5) de vérification du débit disponible est mise en œuvre par le serveur d'authentification (341, 351, 361).
3. Procédé de connexion d'un dispositif de télécommunication utilisé par un client à un service selon la revendication 1, caractérisé en ce qu'il comprend une étape de transmission du débit utile du service du serveur d'authentification au point d'accès et en ce que ladite étape (E5) de vérification du débit disponible est mise en œuvre par le point d'accès (200).
4. Procédé de connexion d'un dispositif de télécommunication utilisé par un client à un service selon la revendication 2, caractérisé en ce que la variable de débit disponible (DD) est transmise au serveur d'authentification (341, 351,
361) en même temps que les données d'authentification (DA) du client.
5. Système de connexion d'un dispositif de télécommunication (100) utilisé par un client (10) à au moins un service délivré par un fournisseur de services (340, 350, 360) par l'intermédiaire d'un réseau de télécommunication (500), ledit service nécessitant un débit de transmission utile (DU), ledit dispositif de télécommunication étant relié à un point d'accès (200) dudit réseau de télécommunication par une ligne client (110), le point d'accès (200) étant relié à un serveur d'authentification (341, 351, 361), ledit système comprenant: - des moyens (342, 352, 362) d'authentification du client mis en œuvre par le serveur d'authentification aptes à prendre une décision d'authentification (DP1, DN1) à partir de données d'authentification (DA) du client transmises par le point d'accès (200); des moyens (343, 353, 363) d'autorisation d'accès dudit dispositif de télécommunication au service mis en œuvre par le serveur d'authentification (341, 351, 361) et aptes, en cas de décision d'authentification positive (DP1), à prendre une décision d'autorisation d'accès (DP2, DN2) à partir d'un profil (P) du client, ledit profil étant stocké dans une base de données (370) associée au serveur d'authentification; des moyens (220) de connexion du dispositif de télécommunications au service aptes, en cas de décision d'autorisation d'accès positive (DP2), à connecter le point d'accès (200) à une ressource réseau (260, 261, 262) associée au fournisseur de service (340, 350, 360); caractérisé en ce que ledit système comprend: des moyens (240) de mise à jour et de stockage d'une valeur de variable de débit disponible sur la ligne client, aptes à affecter à ladite variable de débit disponible (DD): - une valeur d'un débit de synchronisation (DS) de la ligne client lorsque le dispositif de télécommunication n'est connecté à aucun service; et, lorsque le dispositif de télécommunication est déjà connecté à au moins un premier service nécessitant un premier débit de transmission utile (DU1), à affecter à ladite variable de débit disponible la valeur de la variable de débit disponible stockée en mémoire après soustraction du au moins un premier débit utile (DD-DU1); et des moyens (250) de vérification du débit disponible destinés à vérifier la valeur stockée en mémoire de la variable de débit disponible (DD), de telle sorte que les moyens (220) de connexion ne sont mis en œuvre que si ladite valeur stockée en mémoire est supérieure au débit de transmission utile (DU) dudit service.
6. Point d'accès (200) relié à un dispositif de télécommunication (100) par une ligne client (110) et apte à connecter ledit dispositif de télécommunication à au moins un service délivré par un fournisseur de services (340, 350, 360) par l'intermédiaire d'un réseau de télécommunication (500), ledit service nécessitant un débit de transmission utile (DU), ledit point d'accès comprenant: des moyens de transmission de données d'authentification associées au client à un serveur d'authentification, le serveur d'authentification étant apte à prendre une décision d'authentification à partir desdites données d'authentification et, en cas de décision d'authentification positive, à prendre une décision d'autorisation d'accès à partir d'un profil du client, ledit profil étant stocké dans une base de données associée au serveur d'authentification; et des moyens (220) de connexion du dispositif de télécommunications au service, aptes, en case de décision d'autorisation positive (DP2), à connecter le point d'accès (200) au fournisseur de service; caractérisé en ce que ledit point d'accès comprend: des moyens (240) de mise à jour d'une valeur de variable de débit disponible sur la ligne client (DD), aptes à affecter à ladite variable de débit disponible: une valeur de débit de synchronisation (DS) de la ligne client (110) lorsque le dispositif de télécommunication n'est connecté à aucun service; et, lorsque le dispositif de télécommunication est déjà connecté à au moins un premier service nécessitant un premier débit de transmission utile (DU1), à affecter à ladite variable de débit disponible (DD) la valeur de la variable de débit disponible stockée en mémoire après soustraction du au moins un premier débit de transmission utile (DD-DU1); et des moyens (250) de vérification du débit disponible aptes à vérifier la valeur stockée en mémoire de la variable de débit disponible (DD), de telle sorte que les moyens (220) de connexion ne sont mis en œuvre que si la valeur stockée en mémoire est supérieure au débit de transmission utile (DU) dudit service.
7. Serveur d'authentification (341, 351, 361) relié à un point d'accès (200) et à un fournisseur de services (340, 350, 360), ledit point d'accès étant apte à connecter un dispositif de télécommunication (100) utilisé par un client (10) à au moins un service délivré par le fournisseur de services par l'intermédiaire d'un réseau de télécommunication (500), ledit service nécessitant un débit de transmission utile (DU), ledit serveur d'authentification comprenant: des moyens d'authentification (342, 352, 362) du client aptes à recevoir des données d'authentification (DA) associées au client et à prendre une décision d'authentification (DP1, DN1) à partir desdites données d'authentification; des moyens d'autorisation d'accès (343, 353, 363) aptes, en case de décision d'authentification positive (DP1), à autoriser l'accès au service audit client à partir d'un profil (P) du client; des moyens de vérification du débit disponible (344, 354, 364) aptes à vérifier qu'une variable de débit disponible sur la ligne client transmise par le point d'accès (200) a une valeur supérieure au débit de transmission utile (DU) dudit service.
8. Programme d'ordinateur enregistré sur un support lisible par ordinateur, caractérisé en ce qu'il comprend des instructions de programme pour la mise en œuvre des étapes du procédé selon l'une quelconque des revendications 1 à 4.
9. Moyens de stockage de données comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé selon l'une des revendications 1 à 4.
PCT/FR2006/051419 2005-12-29 2006-12-22 Procede et systeme de connexion a un service WO2007074308A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0554141 2005-12-29
FR0554141 2005-12-29

Publications (1)

Publication Number Publication Date
WO2007074308A1 true WO2007074308A1 (fr) 2007-07-05

Family

ID=37054434

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/051419 WO2007074308A1 (fr) 2005-12-29 2006-12-22 Procede et systeme de connexion a un service

Country Status (1)

Country Link
WO (1) WO2007074308A1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998039879A1 (fr) * 1997-03-06 1998-09-11 Northern Telecom Limited Acces au reseau dans un environnement multi-services
US20040044789A1 (en) * 2002-03-11 2004-03-04 Seabridge Ltd. Dynamic service-aware aggregation of PPP sessions over variable network tunnels
WO2004093388A1 (fr) * 2003-04-11 2004-10-28 France Telecom Procede et dispositif de communication sur un reseau de transfert d'informations numeriques multiplexe
US20050102529A1 (en) * 2002-10-21 2005-05-12 Buddhikot Milind M. Mobility access gateway

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998039879A1 (fr) * 1997-03-06 1998-09-11 Northern Telecom Limited Acces au reseau dans un environnement multi-services
US20040044789A1 (en) * 2002-03-11 2004-03-04 Seabridge Ltd. Dynamic service-aware aggregation of PPP sessions over variable network tunnels
US20050102529A1 (en) * 2002-10-21 2005-05-12 Buddhikot Milind M. Mobility access gateway
WO2004093388A1 (fr) * 2003-04-11 2004-10-28 France Telecom Procede et dispositif de communication sur un reseau de transfert d'informations numeriques multiplexe

Similar Documents

Publication Publication Date Title
EP1738526B1 (fr) Procede et systeme d'accreditation d'un client pour l'acces a un reseau virtuel permettant d'acceder a des services
EP1721436A1 (fr) Procede et systeme d'acces par un client a des services fournis par un fournisseur de services
US8650617B2 (en) Method and system for real-time insertion of services during a call session over a communication network
EP1494391B1 (fr) Procédé de configuration automatique d'un routeur d'accès, compatible avec le protocole DHCP, pour effectuer un traitement automatique spécifique des flux IP d'un terminal client
EP4087305A1 (fr) Procédé de sélection d'une tranche de réseau relative à une application
EP2514167B1 (fr) Procede et dispositif de controle
EP1445916A2 (fr) Procédé et système d'authentification d'un utilisateur au niveau d'un réseau d'accès lors d'une connexion de l'utlisateur au réseau internet
EP3643044B1 (fr) Procédé d'activation de traitements appliqués à une session de données
WO2018193203A1 (fr) Système et procédé de communications
FR3064437A1 (fr) Procede de recommandation d'une pile de communication
EP1964359B1 (fr) Procede et systeme de mise a jour des conditions d'acces d'un dispositif de telecommunication a des services delivres par un reseau de telecommunication
WO2008012471A2 (fr) Procede d'acces par un client a un service au travers d'un reseau, par utilisation combinee d'un protocole de configuration dynamique et d'un protocole point a point, equipement et programme d'ordinateur correspondants
FR3028369A1 (fr) Procede et systeme de gestion d'identites d'utilisateurs destine a etre mis en oeuvre lors d'une communication entre deux navigateurs web
WO2007074308A1 (fr) Procede et systeme de connexion a un service
FR2858145A1 (fr) Procede et systeme de double authentification securise d'un utilisateur lors de l'acces a un service par l'intermediaire d'un reseau ip
FR3063858A1 (fr) Procede de communication pour assurer le maintien d'une session applicative entre un terminal et un serveur d'application
EP1884099B1 (fr) Procede et dispositif de controle d'acces
EP2446608B1 (fr) Technique de contrôle d'accès par une entité cliente à un service
EP4362391A1 (fr) Procédé de gestion d'accès d'un utilisateur à au moins une application, programme d'ordinateur et système associés
WO2005013559A1 (fr) Procede et systeme de transmission de donnees a haut debit et a qualite de service predeterminee
WO2005107158A1 (fr) Systeme de controle dynamique de reseau ip
WO2008031967A2 (fr) Procédé de supervision d'une session d'accès a un service établie par un terminal client au moyen d'un protocole de configuration dynamique
FR2892248A1 (fr) Procede d'interaction entre un protocole de connexion de type point a point et un protocole de configuration dynamique pour permettre l'acces a un service
WO2007074283A2 (fr) Procede de controle dynamique d'adresses de controle d'acces a un reseau ethernet
FR2884384A1 (fr) Procede de controle de presence d'un terminal sur un point d'acces a un reseau de telephonie

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06847208

Country of ref document: EP

Kind code of ref document: A1