WO2011157928A1 - Method and system for secure access to an http server - Google Patents

Method and system for secure access to an http server Download PDF

Info

Publication number
WO2011157928A1
WO2011157928A1 PCT/FR2011/051309 FR2011051309W WO2011157928A1 WO 2011157928 A1 WO2011157928 A1 WO 2011157928A1 FR 2011051309 W FR2011051309 W FR 2011051309W WO 2011157928 A1 WO2011157928 A1 WO 2011157928A1
Authority
WO
WIPO (PCT)
Prior art keywords
access
http
http server
server
terminal
Prior art date
Application number
PCT/FR2011/051309
Other languages
French (fr)
Inventor
Jean-Pierre Le Rouzic
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2011157928A1 publication Critical patent/WO2011157928A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Definitions

  • the invention relates to the field of secure access to an HTTP server, in particular via a telecommunications network having an IMS architecture.
  • the Internet network was built more than fifteen years ago on paradigms different from those of the telecommunications world.
  • the Internet is built on the paradigm of the best effort, that is to say, to offer no guarantee when the result, which is contrary to what is usually sought in the world of telecommunications.
  • This paradigm is usually evoked when we talk about algorith routing algorithms, but it also applies in part to identity management at the user and service provider level.
  • Internet access techniques essentially use the following three mechanisms to manage identity at the most basic level:
  • CAs that are provisioned by Internet browser vendors include CAs that are not at all reliable, and sometimes malicious. This makes the HTTPS protocol unreliable, while at the algorithmic level it is an interesting protocol.
  • the mechanism of "cookies" is fundamentally dangerous. Many very effective attacks have been demonstrated, either at the client level or at the server level.
  • the cookie mechanism was designed at a time when there was no Internet access worldwide for mainstream users.
  • the security was supposed to be provided by the SSL protocol. This SSL protocol has been incorporated into HTTP to give HTTPS, but other problems have appeared later.
  • this type of closed and controlled architecture in a single domain does not have all the functionalities necessary for an efficient and flexible access to an Internet network external to this domain.
  • the present invention aims to overcome the aforementioned drawbacks and aims to provide more secure mechanisms for the aforementioned mechanisms to access http servers, relying on the approach of the world of telecommunications and its strengths such as security routing and authentication.
  • the network comprises a module providing the HTTP client function and in that that the module performs the following steps:
  • the HTTP client module generates an IP address that it transmits to the HTTP server when sending a message to the HTTP server, which enables the HTTP client module to be recognized as a terminal with the HTTP server. .
  • the HTTP server verifies during a communication with the HTTP client module whether the HTTP client module is identified, and, if not, the HTTP server transmits an identification request to the identification module by means of the IP address. It is thus possible to avoid the installation of cookies directly on the terminal requiring access, which can be a source of installation of malicious programs.
  • the identification request from the HTTP server is processed by the identification module, which makes it possible to manage the identification process internally to the telecommunications network and thus to ensure the security of this process.
  • the HTTP client module uses the authentication means to authenticate the terminal, which makes it possible to manage the authentication process internally to the telecommunications network. and thus to ensure the security of this process.
  • the HTTP client module uses this DNS server to access the HTTP server, which makes it possible to manage the process of converting IP addresses internally to the telecommunications network and thus to ensure the security of this process.
  • the telecommunications network has an IMS architecture. This architecture is particularly advantageous in that it inherently provides secure authentication and routing of messages.
  • the HTTP client module it is advantageous for the HTTP client module to be installed within a P-CSCF proxy server, which makes it possible to filter and route terminal access requests by this access point.
  • P-CSCF proxy server which makes it possible to filter and route terminal access requests by this access point.
  • the present invention also proposes a system for accessing an HTTP server, this access system belonging to a telecommunications network other than the Internet network and comprising a module providing the HTTP client function able to receive an access request. to the HTTP server sent by a terminal and arranged to require access to the HTTP server on behalf of the terminal.
  • this access system further comprises an identification module adapted to receive an identification request sent by the HTTP server and designated by an IP address transmitted to the HTTP server when sending a message to the HTTP server, this avoids the installation of cookies directly on the terminal.
  • this access system comprises a DNS module used by the HTTP client module to access the HTTP server, which makes it possible to manage the process of converting IP addresses within the access system, without resorting to a server. External DNS.
  • the telecommunications network has an IMS architecture, advantageous because it inherently provides secure authentication and routing of messages.
  • the access system it is advantageous for the access system to be installed within a proxy server of the P-CSCF type, in order to filter and route the access requests of the terminals by this usual access point. of the IMS architecture.
  • the present invention also proposes an Internet access network comprising a terminal, a transmission network other than the Internet network and an HTTP server, the transmission network comprising the above-mentioned secure access system in order to allow access to the Internet. secure access of the terminal to the HTTP server by means of said access system.
  • FIG. 1 illustrates a telecommunications network comprising an access system to an HTTP server according to the present invention
  • FIG. 2 illustrates the various steps of a method of accessing an HTTP server according to the present invention
  • FIG. 3 illustrates the various steps of a method of access to an HTTP server according to the present invention in a particular embodiment of the invention in which the telecommunications network used to securely access an HTTP server presents an IMS type architecture.
  • Figure 1 which shows a telecommunications network 1 comprising an access system 10 to an HTTP server according to the present invention.
  • This access system 10 belongs to a telecommunications network 1 which is other than the Internet network (illustrated by "WEB” in FIG. 1) and has certain functionalities specific to a telecommunications network.
  • the access system 10 comprises a module providing the function hereinafter referred to as "HTTP client” 11 which is able to receive an access request (step SI) to an HTTP server WS 3 sent by a terminal capable of communicating with the telecommunications network.
  • HTTP client a module providing the function hereinafter referred to as "HTTP client” 11 which is able to receive an access request (step SI) to an HTTP server WS 3 sent by a terminal capable of communicating with the telecommunications network.
  • HTTP client module we mean here a module (for example in software form) able to use the HTTP protocol to interact with an HTTP server.
  • the terminal transmitting such an access request may be the personal equipment of a user wanting to connect to the Internet, for example, for illustrative purposes, a PDA personal assistant, a TEL mobile telephone, an IPTEL IP telephone or a laptop. LPTOP and transits via a TRSPRT transport layer constituted by a radio access network (R-AN in FIG. 1) or an IP access network (IP-AN in FIG. 1) connected to the Internet network (IP Net on Figure 1).
  • the terminal issuing this access request can also be an application server AS requiring access to a service specifically provided by an HTTP server.
  • the HTTP client module of the access system 10 is arranged to request, following the reception of this access request, access to the HTTP server WS 3 on behalf of a terminal (step S 2), for example the TEL terminal of Figure 1.
  • the client module HTTP 11 can proceed to the conversion of the access request received from the terminal by means of a protocol interpretable by the HTTP server WS 3 , for example by reformatting this request in HTTP format by encapsulation of data written in a protocol used by the telecommunications network (eg SIP) within an HTTP frame, or by direct translation of this access request in this format HTTP.
  • a protocol interpretable by the HTTP server WS 3 for example by reformatting this request in HTTP format by encapsulation of data written in a protocol used by the telecommunications network (eg SIP) within an HTTP frame, or by direct translation of this access request in this format HTTP.
  • the HTTP client module when it requires access to the HTTP server WS 3 on behalf of the terminal, the HTTP client module generates an IP address that it transmits to the HTTP server WS 3 when sending a message to the HTTP server, for example when sending an access request to the HTTP server WS 3 on behalf of the terminal TEL (step S2).
  • the access system 10 may advantageously also comprise an identification module 13 able to receive an identification request sent by the HTTP server WS 3 (step S3), this identification module being designated by the IP address transmitted to the HTTP server when sending a message to the HTTP server, in particular when transmitting the access request to the HTTP server WS 3 for the account of the terminal 11.
  • This identification module is used to manage the identification requests sent by the HTTP server whose access is required when it receives a message transmitted by the HTTP client module.
  • this server can check if such a modified access request is indicative of the presence of an HTTP cookie.
  • the HTTP server WS 3 sends an identification request to the access system (step S3), and in particular to the identification module 13 thanks to the IP address that is transmitted with the HTTP access request.
  • the identification module 13 can then carry out the identification of the terminal TEL and send back an identification message (step S4) to the HTTP server WS 3 , which makes it possible to simulate a conventional interaction with a certification authority.
  • an identification message is prepared according to the identification protocol used by said HTTP server WS 3 .
  • Such an identification protocol is identified from among a set of possible identification protocols (for example Shibboleth, OpenID, SAML) by the identification module 13, for example by means of the detection of the protocol used by the request for identification or the IP address of the HTTP server WS 3 contained in the identification request.
  • the recognition and use of the particular identification protocol associated with the HTTP server whose access is required can be managed internally to the telecommunications network, which guarantees a certain level of confidence in the identification process.
  • the identification module 13 manages this aspect directly with the HTTP server whose access is required, such as a conventional web browser, which provides an additional degree of security.
  • the access system 10 may also advantageously comprise a DNS module, which is used by the HTTP client module to access the HTTP server. Thanks to such a DNS module, it is possible to convert between an IP address and a domain name without going through a third-party DNS server external to the telecommunications network, which does not offer as much guarantee in terms of security and confidence. .
  • the access system may comprise an authentication interface 15 connected to authentication means internal to the telecommunications network, in order to authenticate the terminal TEL. It is thus the telecommunication network itself that acts as certifier.
  • the telecommunications network has an IP Multimedia Subsystem (IMS) architecture.
  • IMS IP Multimedia Subsystem
  • the access system is advantageously installed within a Proxy ⁇ all Session ⁇ ontrol Function (P-CSCF) proxy server, which makes it possible to filter and route the access requests. terminals through this usual access point to the IMS architecture.
  • the proxy server P-CSCF communicates with an IMS client module installed in the terminals using the SIP protocol.
  • the core of the IMS architecture of such a telecommunications network also comprises a module "S-CSCF" (for Serving ⁇ _all Session ⁇ ontrol Function) and a module "HSS" (for Home Subscriber Server) whose function, among others, manage authentication at the IMS network level.
  • the architecture core of the IMS network may also include a module "I-CSCF” (for Interrogating ⁇ _all Session ⁇ ontrol Function).
  • modules can each be implemented on a separate server (as shown in Figure 1), or implemented on the same server, depending on the configuration of the IMS network.
  • FIG. 2 illustrates the different steps of a method of access to an HTTP server according to the present invention, in the form of a diagram illustrating the exchanges made between the different entities involved in this access method.
  • step S1 of sending an access request by a terminal (which may be the personal equipment of a USR user or an application server AS) to the HTTP client module 11 installed in the server.
  • access system 10 (designated SYS in Figure 2) located within the telecommunications network.
  • the HTTP client module 11 installed in the access system 10 located within the telecommunications network then transmits the access request, advantageously converted to the HTTP format, to the HTTP server WS 3. designated in the access request, during a step S2.
  • the HTTP server may return a request identifying the sender requesting the service (step S3) if it detects the absence of information or cookie about it in the request. access received.
  • FIG. 3 illustrates the various steps of a method of access to an HTTP server according to the present invention, in a first particular embodiment of the invention in which the telecommunications network used to access a secure HTTP server. presents an IMS type architecture, always in the form of a diagram illustrating the exchanges made between the different entities involved in this process.
  • This figure 3 shows the message exchanges between different following entities:
  • USB / AS means the terminal issuing the access request
  • P-CSCF-U means the transport-side interface of the client module
  • P-CSCF-I refers to the internet-side interface of the HTTP client module 11 installed in the P-CSCF proxy server
  • P-CSCF-IdP designates the identification module 13 installed in the P-CSCF proxy server in the particular context of the IMS architecture
  • P-CSCF-S refers to the authentication interface 15 installed in the P-CSCF proxy server in the particular context of the IMS architecture
  • S-CSCF means the S-CSCF module of the IMS architecture
  • HSS HSS module of the IMS architecture
  • WS 3 refers to the HTTP server WS 3 whose access is required.
  • step S I of sending a request for access of a terminal to the P-CSCF-U interface of the HTTP client module 11 described in FIG.
  • the terminal authentication process Upon receipt of this access request, the terminal authentication process is initiated.
  • an authentication request is sent (step S li) by the P-CSCF proxy server to the S-CSCF module in order to start the authentication process.
  • This module S-CSCF then transmits the authentication request to the HSS module which responds to it (step S 120 by returning a certain number of data such as a challenge RAND, an expected result XRES, an authentication token AUTN, a key CK authentication and IK integrity key.
  • the module S-CSCF then retransmits (step S12 2 ) to the proxy server P-CSCF the challenge RAND, an authentication token AUTN, a key authentication CK and an integrity key IK and retains the expected result XRES.
  • An internal transfer of this data is then carried out (step S12 3 ) within the P-CSCF proxy server, from the P-CSCF-S module to the P-CSCF-U interface of the HTTP client module installed in the proxy server P.
  • CSCF before the latter interface sends the challenge RAND and authentication token AUTN (step S 12 4 ) to the terminal.
  • the latter then checks the authentication token AUTN and calculates a result RES from the challenge RAND that it then returns to the interface P-CSCF-U of the HTTP client module installed in the proxy server P-CSCF (step S 12 5 ).
  • This RES result is then transferred internally (step S 12 6 ) within the P-CSCF proxy server, from the P-CSCF-U interface to the P-CSCF-S module, so that the latter module transmits this calculated RES result. by the sending terminal to the S-CSCF module (step S 12 7 ).
  • the S-CSCF module compares the expected result XRES and the result RES in order to authenticate the sender. If the result of this comparison is positive, the server S-CSCF then a data "200OK" indicating the positive result at the P-CSCF-U interface (step S 12 8 ).
  • the access request is then transmitted within the HTTP client module, from the P-CSCF-U interface to the P-CSCF-I interface (step S 12 9 ), this transfer is advantageously accompanied by the conversion of the request in HTTP format and the insertion of an IP address designating the P-CSCF-IdP module of the proxy server P-CSCF.
  • the access request is then sent (step S2) to the HTTP server WS 3 so that it gives access to one of its services to the user.
  • the server WS 3 determines that the modified access request contains no cookie, it sends an identification request to the identification module P-CSCF-IdP of the proxy server P-CSCF during step S3, using the IP address inserted in the access request.
  • This identification module P-CSCF-IdP manages the response to be provided to this type of identification request and responds to the HTTP server WS 3 during step S4, so as to simulate a conventional interaction with the web browser of a user. user terminal.
  • each HTTP server WSj may correspond to a specific identification method ML (for example "SAMLv2" or "Openld”).
  • This specific identification method ML can advantageously be found by the identification module P-CSCF-IdP by means of the IP address of the HTTP server WSj indicated in the identification request sent by this server.
  • the invention is not limited to the embodiments described above and shown, from which we can provide other modes and other embodiments, without departing from the scope of the invention. .
  • the interfaces described above can be implemented in software form within one or more servers or take the form of a hardware processing module, or even a computer dedicated to the function performed by the interface in question, in depending on the context of the telecommunications network chosen to secure access to an HTTP server.
  • the access request from a single terminal has been previously described. It is obvious that any number of terminals, whether users with their personal equipment or application servers, may require secure access to an HTTP server according to the method of the present invention. It may also be advantageous, when transmitting access requests, to generate and use an alias specific to the sender terminal and an alias specific to the HTTP server whose access is required. Such aliases are used in particular in the different requests exchanged between the HTTP client module and the HTTP server and make it possible to avoid privacy breaches by crossing data between different servers.

Abstract

The invention relates to a method of access to an HTTP server (WS3) from a terminal by means of a telecommunications network (1) other than the Internet, characterized in that the network comprises an HTTP client module (11) requesting (S2) access to the HTTP server for the account of the terminal following the receipt (S I) of a request for access to the HTTP server, issued from the terminal. The invention furthermore relates to a corresponding access system and corresponding access architecture.

Description

Procédé et système d'accès sécurisé à un serveur HTTP  Method and system for secure access to an HTTP server
L'invention concerne le domaine de l'accès sécurisé à un serveur HTTP, en particulier par le biais d'un réseau de télécommunications présentant une architecture IMS. The invention relates to the field of secure access to an HTTP server, in particular via a telecommunications network having an IMS architecture.
Le réseau internet a été bâti il y a plus de quinze ans sur des paradigmes différents de ceux du monde des télécommunications. En particulier, le réseau internet est bâti sur le paradigme du meilleur effort, c'est à dire celui de n'offrir aucune garantie quand au résultat, ce qui est contraire à ce qui est habituellement recherché dans le monde des télécommunications.  The Internet network was built more than fifteen years ago on paradigms different from those of the telecommunications world. In particular, the Internet is built on the paradigm of the best effort, that is to say, to offer no guarantee when the result, which is contrary to what is usually sought in the world of telecommunications.
Ce paradigme est habituellement évoqué quand on parle des algorithmes de routage de ΓΙΡ, mais il s'applique aussi en partie pour la gestion de l'identité au niveau de l'utilisateur et du fournisseur de service.  This paradigm is usually evoked when we talk about algorith routing algorithms, but it also applies in part to identity management at the user and service provider level.
En effet, la gestion de l'identité du côté fournisseur de service sur un réseau internet est extrêmement rudimentaire, il s'agit le plus souvent simplement d'avoir confiance dans un DNS. Parfois, la connexion est de type HTTPS et alors il faut avoir confiance dans l'autorité de certification qui a généré le certificat serveur.  Indeed, the management of the identity of the service provider side on an Internet network is extremely rudimentary, it is most often simply to have confidence in a DNS. Sometimes the connection is HTTPS and then you have to trust the CA that generated the server certificate.
La gestion de l'identité du côté utilisateur sur un réseau internet a évolué de manière beaucoup plus innovante. On trouve par exemple des propositions pour gérer différentes identités (« CardSpace » par exemple), des propositions pour éviter de recourir à des mots de passe et avoir une fonctionnalité d'identifiant unique (« OpenID » par exemple) et plusieurs propositions soit pour le monde commercial (« Liberty Alliance »/ « SAML » par exemple), soit pour le monde éducatif (« Shibboleth » par exemple).  Identity management on the user side of an internet network has evolved in a much more innovative way. For example, there are proposals for managing different identities ("CardSpace" for example), proposals for avoiding the use of passwords and having a unique identifier function ("OpenID" for example) and several proposals for either commercial world ("Liberty Alliance" / "SAML" for example), or for the educational world ("Shibboleth" for example).
De plus, des actions autres que le simple enregistrement et la connexion (Login) ont été proposées, par exemple la fédération entre identifiants sur des fournisseurs ayant un accord de management d'identité (« Liberty Alliance » par exemple).  In addition, actions other than the simple registration and connection (Login) have been proposed, for example the federation between identifiers on providers having an identity management agreement ("Liberty Alliance" for example).
Ainsi, les techniques d'accès au réseau Internet utilisent essentiellement les trois mécanismes suivant pour gérer l'identité au niveau le plus élémentaire :  For example, Internet access techniques essentially use the following three mechanisms to manage identity at the most basic level:
- Des « DNS » permettent de transformer une adresse textuelle de fournisseur de service en adresse IP.  - "DNS" makes it possible to transform a textual address of service provider into an IP address.
- Des « certificats » permettent d'identifier un utilisateur ou un fournisseur de service;  - "Certificates" identify a user or service provider;
- Pour ne pas avoir de mécanisme d'authentification à chaque transaction élémentaire (ce qui est le cas si la transaction doit être sécurisée), on utilise un mécanisme faisant appel au stockage d'un petit élément d'information dans le navigateur (autrement désigné par « cookie »). - To avoid having an authentication mechanism for each elementary transaction (which is the case if the transaction must be secured), a mechanism is used that makes use of storing a small piece of information in the browser (otherwise known as a "cookie").
Cependant, les mécanismes évoqués ci-dessus pour l'accès au réseau Internet présentent un certain nombre de défauts substantiels, qui affaiblissent fortement la sécurité de l'internet commercial.  However, the aforementioned mechanisms for Internet access have a number of substantial flaws, which greatly weaken the security of the commercial internet.
En particulier :  In particular :
- Les DNS n'ont pas été conçus pour un usage à l'échelle mondiale, mais seulement pour le réseau local d'une entreprise ou d'une faculté. Dans cette optique initiale, la sécurité était supposée garantie par d'autres moyens, par exemple par du contrôle d'accès aux équipements. Il y a un débat très animé depuis dix ans à ce sujet pour remplacer les DNS par des DNS plus sécurisés comme les DNSSEC. Mais l'identité du DNS à utiliser dans un navigateur n'est jamais certaine dans la mesure où l'adresse du DNS peut aussi bien être gérée par l'OS, la passerelle domestique ou le fournisseur de connectivité IP.  - DNS was not designed for global use, but only for the local network of a company or faculty. In this initial approach, security was supposed to be guaranteed by other means, for example by controlling access to equipment. There has been a heated debate over the past decade about replacing DNS with more secure DNS like DNSSEC. But the identity of the DNS to use in a browser is never certain since the DNS address can be managed by the OS, the home gateway or the IP connectivity provider as well.
- Les autorités de certification qui sont approvisionnées par les éditeurs de navigateurs Internet incluent des autorités de certification qui ne sont pas du tout fiables, voire parfois malveillantes. Ceci rend le protocole HTTPS peu fiable, alors qu'au niveau algorithmique c'est un protocole intéressant.  - CAs that are provisioned by Internet browser vendors include CAs that are not at all reliable, and sometimes malicious. This makes the HTTPS protocol unreliable, while at the algorithmic level it is an interesting protocol.
- Le mécanisme des « cookies » est fondamentalement dangereux. De nombreuses attaques très efficaces ont été démontrées, soit au niveau du client, soit au niveau du serveur. Le mécanisme de cookie a été conçu à une époque où il n'y avait pas d'accès au réseau Internet dans le monde entier pour les utilisateurs grand public. La sécurisation était sensée être apportée par le protocole SSL. Ce protocole SSL a été incorporé à HTTP pour donner HTTPS, mais d'autres problèmes sont apparus par la suite.  - The mechanism of "cookies" is fundamentally dangerous. Many very effective attacks have been demonstrated, either at the client level or at the server level. The cookie mechanism was designed at a time when there was no Internet access worldwide for mainstream users. The security was supposed to be provided by the SSL protocol. This SSL protocol has been incorporated into HTTP to give HTTPS, but other problems have appeared later.
L'approche du monde des télécommunications, qui se base sur des architectures intégrées et relativement fermées comme l'architecture IMS, ne présente pas les défauts susmentionnés car elle n'utilise pas les mécanismes précités, à savoir des DNS gérés par des tiers, la certification par un tiers, et le mécanisme des cookies. En effet, dans ce type d'architecture, tout échange de données, notamment lié à l'identification et authentification, est effectué dans un seul domaine complètement fermé et géré par un même tiers de confiance, à savoir l'opérateur du réseau de télécommunications du domaine.  The approach of the world of telecommunications, which is based on integrated and relatively closed architectures like the IMS architecture, does not present the aforementioned defects because it does not use the aforementioned mechanisms, namely DNS managed by third parties, the certification by a third party, and the mechanism of cookies. Indeed, in this type of architecture, any data exchange, in particular related to identification and authentication, is performed in a single domain completely closed and managed by the same trusted third party, namely the operator of the telecommunications network of the domain.
Cependant ce type d'architecture fermée et contrôlée dans un seul domaine, à l'instar de l'architecture IMS, ne présente pas toutes les fonctionnalités nécessaires à un accès efficace et flexible à un réseau internet externe à ce domaine. La présente invention a pour objet de remédier aux inconvénients précités et vise à fournir des mécanismes plus sécurisé pour les mécanismes précités pour accéder à des serveurs http, en s'appuyant sur l'approche du monde des télécommunications et ses points forts tels que la sécurité du routage et de l'authentification. However, this type of closed and controlled architecture in a single domain, like the IMS architecture, does not have all the functionalities necessary for an efficient and flexible access to an Internet network external to this domain. The present invention aims to overcome the aforementioned drawbacks and aims to provide more secure mechanisms for the aforementioned mechanisms to access http servers, relying on the approach of the world of telecommunications and its strengths such as security routing and authentication.
Elle propose à cet effet un procédé d'accès sécurisé à un serveur HTTP depuis un terminal au moyen d'un réseau de télécommunications autre que le réseau Internet, caractérisé en ce que le réseau comprend un module assurant la fonction de client HTTP et en ce que le module réalise les étapes suivantes:  To this end, it proposes a method of secure access to an HTTP server from a terminal by means of a telecommunications network other than the Internet network, characterized in that the network comprises a module providing the HTTP client function and in that that the module performs the following steps:
- réception d'une requête d'accès au serveur HTTP issue du terminal  receiving an access request to the HTTP server from the terminal
- demande d'accès au serveur HTTP pour le compte du terminal suite à la réception de la requête d'accès.  - Request for access to the HTTP server on behalf of the terminal following the receipt of the access request.
De manière avantageuse, le module client HTTP génère une adresse IP qu'il transmet au serveur HTTP lors de l'envoi d'un message au serveur HTTP, ce qui permet au module client HTTP d'être reconnu comme un terminal auprès du serveur HTTP.  Advantageously, the HTTP client module generates an IP address that it transmits to the HTTP server when sending a message to the HTTP server, which enables the HTTP client module to be recognized as a terminal with the HTTP server. .
Dans un mode de réalisation avantageux où l'adresse IP désigne un module d'identification appartenant audit réseau, le serveur HTTP vérifie lors d'une communication avec le module client HTTP si le module client HTTP est identifié, et, dans la négative, le serveur HTTP transmet une requête d'identification à destination du module d'identification au moyen de l'adresse IP. Il est ainsi possible d'éviter l'installation de cookies directement sur le terminal requérant l'accès, ce qui peut être une source d'installation de programmes malveillants.  In an advantageous embodiment where the IP address designates an identification module belonging to said network, the HTTP server verifies during a communication with the HTTP client module whether the HTTP client module is identified, and, if not, the HTTP server transmits an identification request to the identification module by means of the IP address. It is thus possible to avoid the installation of cookies directly on the terminal requiring access, which can be a source of installation of malicious programs.
Avantageusement, la requête d'identification issue du serveur HTTP est traitée par le module d'identification, ce qui permet de gérer le processus d'identification de façon interne au réseau de télécommunications et donc d'assurer la sécurisation de ce processus.  Advantageously, the identification request from the HTTP server is processed by the identification module, which makes it possible to manage the identification process internally to the telecommunications network and thus to ensure the security of this process.
Dans un mode de réalisation avantageux où le réseau de télécommunications dispose de moyens d' authentification, le module client HTTP utilise les moyens d' authentification pour authentifier le terminal, ce qui permet de gérer le processus d' authentification de façon interne au réseau de télécommunications et donc d'assurer la sécurisation de ce processus.  In an advantageous embodiment where the telecommunications network has authentication means, the HTTP client module uses the authentication means to authenticate the terminal, which makes it possible to manage the authentication process internally to the telecommunications network. and thus to ensure the security of this process.
Dans un mode de réalisation avantageux où le réseau dispose en outre d'un serveur In an advantageous embodiment where the network also has a server
DNS, le module client HTTP utilise ce serveur DNS pour accéder au serveur HTTP, ce qui permet de gérer le processus de conversion d'adresses IP de façon interne au réseau de télécommunications et donc d'assurer la sécurisation de ce processus. Avantageusement, le réseau de télécommunications présente une architecture IMS. Cette architecture est particulièrement avantageuse en ce qu'elle procure intrinsèquement des fonctionnalités sécurisées d'authentification et de routage de messages. DNS, the HTTP client module uses this DNS server to access the HTTP server, which makes it possible to manage the process of converting IP addresses internally to the telecommunications network and thus to ensure the security of this process. Advantageously, the telecommunications network has an IMS architecture. This architecture is particularly advantageous in that it inherently provides secure authentication and routing of messages.
Dans ce mode de réalisation, il est avantageux que le module client HTTP soit installé au sein d'un serveur mandataire de type P-CSCF, ce qui permet de filtrer et de router les requêtes d'accès des terminaux par ce point d'accès habituel de l'architecture IMS.  In this embodiment, it is advantageous for the HTTP client module to be installed within a P-CSCF proxy server, which makes it possible to filter and route terminal access requests by this access point. usual IMS architecture.
La présente invention propose en outre un système d'accès à un serveur HTTP, ce système d'accès appartenant à un réseau de télécommunications autre que le réseau Internet et comprenant un module assurant la fonction de client HTTP apte à recevoir une requête d'accès au serveur HTTP émise par un terminal et arrangé pour requérir l'accès au serveur HTTP pour le compte du terminal.  The present invention also proposes a system for accessing an HTTP server, this access system belonging to a telecommunications network other than the Internet network and comprising a module providing the HTTP client function able to receive an access request. to the HTTP server sent by a terminal and arranged to require access to the HTTP server on behalf of the terminal.
Avantageusement, ce système d'accès comprend en outre un module d'identification apte à recevoir une requête en identification émise par le serveur HTTP et désigné par une adresse IP transmise au serveur HTTP lors de l'envoi d'un message au serveur HTTP, ce qui permet d'éviter l'installation de cookies directement sur le terminal.  Advantageously, this access system further comprises an identification module adapted to receive an identification request sent by the HTTP server and designated by an IP address transmitted to the HTTP server when sending a message to the HTTP server, this avoids the installation of cookies directly on the terminal.
Avantageusement, ce système d'accès comprend un module DNS utilisé par le module client HTTP pour accéder au serveur HTTP, ce qui permet de gérer le processus de conversion d'adresses IP au sein du système d'accès, sans avoir recours à un serveur DNS externe.  Advantageously, this access system comprises a DNS module used by the HTTP client module to access the HTTP server, which makes it possible to manage the process of converting IP addresses within the access system, without resorting to a server. External DNS.
Dans un mode de réalisation avantageux, le réseau de télécommunications présente une architecture IMS, avantageuse car elle procure intrinsèquement des fonctionnalités sécurisées d'authentification et de routage de messages.  In an advantageous embodiment, the telecommunications network has an IMS architecture, advantageous because it inherently provides secure authentication and routing of messages.
Dans ce mode de réalisation, il est avantageux que le système d'accès soit installé au sein d'un serveur mandataire de type P-CSCF, afin de filtrer et de router les requêtes d'accès des terminaux par ce point d'accès habituel de l'architecture IMS.  In this embodiment, it is advantageous for the access system to be installed within a proxy server of the P-CSCF type, in order to filter and route the access requests of the terminals by this usual access point. of the IMS architecture.
La présente invention propose par ailleurs un réseau d'accès à Internet comprenant un terminal, un réseau de transmission autre que le réseau Internet et un serveur HTTP, le réseau de transmission comprenant le système d'accès sécurisé ci-avant afin de permettre l'accès sécurisé du terminal au serveur HTTP au moyen dudit système d'accès.  The present invention also proposes an Internet access network comprising a terminal, a transmission network other than the Internet network and an HTTP server, the transmission network comprising the above-mentioned secure access system in order to allow access to the Internet. secure access of the terminal to the HTTP server by means of said access system.
Le procédé et le système d'accès sécurisé, objets de l'invention, seront mieux compris à la lecture de la description et à l'observation des dessins ci-après dans lesquels : - la figure 1 illustre un réseau de télécommunications comprenant un système d'accès à un serveur HTTP selon la présente invention ; The method and the secure access system, objects of the invention, will be better understood on reading the description and on the observation of the following drawings in which: FIG. 1 illustrates a telecommunications network comprising an access system to an HTTP server according to the present invention;
- la figure 2 illustre les différentes étapes d'un procédé d'accès à un serveur HTTP selon la présente invention ; et  FIG. 2 illustrates the various steps of a method of accessing an HTTP server according to the present invention; and
- la figure 3 illustre les différentes étapes d'un procédé d'accès à un serveur HTTP selon la présente invention dans un mode particulier de réalisation de l'invention dans lequel le réseau de télécommunications utilisé pour accéder de façon sécurisée à un serveur HTTP présente une architecture de type IMS. On se réfère tout d'abord à la figure 1 sur laquelle est illustré un réseau de télécommunications 1 comprenant un système d'accès 10 à un serveur HTTP selon la présente invention.  FIG. 3 illustrates the various steps of a method of access to an HTTP server according to the present invention in a particular embodiment of the invention in which the telecommunications network used to securely access an HTTP server presents an IMS type architecture. Referring first to Figure 1 which shows a telecommunications network 1 comprising an access system 10 to an HTTP server according to the present invention.
Ce système d'accès 10 appartient à un réseau de télécommunications 1 qui est autre que le réseau Internet (illustré par « WEB » sur la figure 1) et présente certaines fonctionnalités propres à un réseau de télécommunications.  This access system 10 belongs to a telecommunications network 1 which is other than the Internet network (illustrated by "WEB" in FIG. 1) and has certain functionalities specific to a telecommunications network.
Le système d'accès 10 comprend un module assurant la fonction de dénommé ci- après "client HTTP" 11 qui est apte à recevoir une requête d'accès (étape S I) à un serveur HTTP WS3 émise par un terminal capable de communiquer avec le réseau de télécommunications. The access system 10 comprises a module providing the function hereinafter referred to as "HTTP client" 11 which is able to receive an access request (step SI) to an HTTP server WS 3 sent by a terminal capable of communicating with the telecommunications network.
Sous le terme module client HTTP, on entend ici un module (par exemple sous forme logicielle) capable d'utiliser le protocole HTTP pour interagir avec un serveur HTTP.  Under the term HTTP client module, we mean here a module (for example in software form) able to use the HTTP protocol to interact with an HTTP server.
Dans le réseau internet illustré par « WEB » sur la figure 1, trois serveurs HTTP WSi, WS2 et WS3 sont illustrés et l'accès au troisième serveur WS3 est détaillé ici, à titre purement illustratif. In the Internet network illustrated by "WEB" in Figure 1, three HTTP servers WSi, WS 2 and WS 3 are illustrated and access to the third server WS 3 is detailed here, purely illustrative.
Le terminal émettant une telle requête d'accès peut être l'équipement personnel d'un utilisateur voulant se connecter à internet comme par exemple, à titre illustratif, un assistant personnel PDA, un téléphone mobile TEL, un téléphone IP IPTEL ou un ordinateur portable LPTOP et transite par une couche de transport TRSPRT constituée par un réseau d'accès radio (R-AN sur la figure 1) ou un réseau d'accès IP (IP-AN sur la figure 1) connecté au réseau internet (IP Net sur la figure 1). Le terminal émettant cette requête d'accès peut être aussi un serveur d'application AS requérant l'accès à un service spécifiquement fourni par un serveur HTTP. Le module client HTTP du système d'accès 10 est arrangé pour requérir, suite à la réception de cette requête d'accès, l'accès au serveur HTTP WS3 pour le compte d'un terminal (étape S 2), par exemple le terminal TEL de la figure 1. The terminal transmitting such an access request may be the personal equipment of a user wanting to connect to the Internet, for example, for illustrative purposes, a PDA personal assistant, a TEL mobile telephone, an IPTEL IP telephone or a laptop. LPTOP and transits via a TRSPRT transport layer constituted by a radio access network (R-AN in FIG. 1) or an IP access network (IP-AN in FIG. 1) connected to the Internet network (IP Net on Figure 1). The terminal issuing this access request can also be an application server AS requiring access to a service specifically provided by an HTTP server. The HTTP client module of the access system 10 is arranged to request, following the reception of this access request, access to the HTTP server WS 3 on behalf of a terminal (step S 2), for example the TEL terminal of Figure 1.
Ainsi, grâce à la présence de ce module client HTTP dans le système d'accès 10, un terminal ne disposant pas de son propre module client HTTP pour accéder à internet peut avoir accès à internet par l'intermédiaire du réseau de télécommunications 1.  Thus, thanks to the presence of this HTTP client module in the access system 10, a terminal that does not have its own HTTP client module to access the internet can access the Internet via the telecommunications network 1.
Afin de requérir l'accès au serveur HTTP WS3 pour le compte du terminal TEL, le module client HTTP 11 peut procéder à la conversion de la requête d'accès reçue du terminal au moyen d'un protocole interprétable par le serveur HTTP WS3, par exemple en reformatant cette requête au format HTTP par encapsulation de données écrites dans un protocole utilisé par le réseau de télécommunications (ex. SIP) au sein d'une trame HTTP, ou par traduction directe de cette requête d'accès dans ce format HTTP. In order to request access to the HTTP server WS 3 on behalf of the terminal TEL, the client module HTTP 11 can proceed to the conversion of the access request received from the terminal by means of a protocol interpretable by the HTTP server WS 3 , for example by reformatting this request in HTTP format by encapsulation of data written in a protocol used by the telecommunications network (eg SIP) within an HTTP frame, or by direct translation of this access request in this format HTTP.
Avantageusement, lorsqu'il requiert l'accès au serveur HTTP WS3 pour le compte du terminal, le module client HTTP génère une adresse IP qu'il transmet au serveur HTTP WS3 lors de l'envoi d'un message au serveur HTTP, par exemple lors de l'envoi d'une requête d'accès au serveur HTTP WS3 pour le compte du terminal TEL (étape S2). Advantageously, when it requires access to the HTTP server WS 3 on behalf of the terminal, the HTTP client module generates an IP address that it transmits to the HTTP server WS 3 when sending a message to the HTTP server, for example when sending an access request to the HTTP server WS 3 on behalf of the terminal TEL (step S2).
Le système d'accès 10 peut comprendre avantageusement, en outre, un module d'identification 13 apte à recevoir une requête en identification émise par le serveur HTTP WS3 (étape S3), ce module d'identification étant désigné par l'adresse IP transmise au serveur HTTP lors de l'envoi d'un message au serveur HTTP, notamment lors de la transmission de la requête d'accès au serveur HTTP WS3 pour le compte du terminal 11. The access system 10 may advantageously also comprise an identification module 13 able to receive an identification request sent by the HTTP server WS 3 (step S3), this identification module being designated by the IP address transmitted to the HTTP server when sending a message to the HTTP server, in particular when transmitting the access request to the HTTP server WS 3 for the account of the terminal 11.
Ce module d'identification sert à gérer les requêtes en identification émises par le serveur HTTP dont l'accès est requis lorsque celui-ci reçoit un message transmis par le module client HTTP.  This identification module is used to manage the identification requests sent by the HTTP server whose access is required when it receives a message transmitted by the HTTP client module.
En effet, lorsque le serveur HTTP WS3 reçoit la requête d'accès transmise au formatIndeed, when the HTTP server WS 3 receives the access request transmitted in the format
HTTP pour le compte du terminal HTTP, ce serveur peut vérifier si une telle requête modifiée d'accès est indicatrice de la présence d'un cookie HTTP. HTTP on behalf of the HTTP terminal, this server can check if such a modified access request is indicative of the presence of an HTTP cookie.
Si tel n'est pas le cas, comme cela peut être le cas lors de la première tentative d'accès au serveur HTTP WS3, le serveur HTTP WS3 renvoie une requête en identification vers le système d'accès (étape S3), et en particulier vers le module d'identification 13 grâce à l'adresse IP qui est transmise avec la requête d'accès au format HTTP. If this is not the case, as may be the case during the first attempt to access the HTTP server WS 3 , the HTTP server WS 3 sends an identification request to the access system (step S3), and in particular to the identification module 13 thanks to the IP address that is transmitted with the HTTP access request.
Le module d'identification 13 peut alors procéder à l'identification du terminal TEL et renvoyer un message d'identification (étape S4) au serveur HTTP WS3, ce qui permet de simuler une interaction classique avec une autorité de certification. Un tel message d'identification est préparé selon le protocole d'identification utilisé par ledit serveur HTTP WS3. Un tel protocole d'identification est identifié parmi un ensemble de protocoles d'identification possibles (par exemple Shibboleth, OpenID, SAML) par le module d'identification 13, par exemple au moyen de la détection du protocole utilisé par la requête en identification ou de l'adresse IP du serveur HTTP WS3 contenue dans la requête en identification. The identification module 13 can then carry out the identification of the terminal TEL and send back an identification message (step S4) to the HTTP server WS 3 , which makes it possible to simulate a conventional interaction with a certification authority. Such an identification message is prepared according to the identification protocol used by said HTTP server WS 3 . Such an identification protocol is identified from among a set of possible identification protocols (for example Shibboleth, OpenID, SAML) by the identification module 13, for example by means of the detection of the protocol used by the request for identification or the IP address of the HTTP server WS 3 contained in the identification request.
La reconnaissance et l'utilisation du protocole d'identification particulier associé au serveur HTTP dont l'accès est requis peuvent être gérées de façon interne au réseau de télécommunications, ce qui est garantie un certain niveau de confiance dans le processus d'identification.  The recognition and use of the particular identification protocol associated with the HTTP server whose access is required can be managed internally to the telecommunications network, which guarantees a certain level of confidence in the identification process.
Ces deux étapes S3 et S4 permettent d'éviter l'installation d'un cookie sur l'équipement de l'utilisateur, laquelle est une cause d'insécurité comme déjà discuté précédemment. Au lieu d'une telle installation de cookie, le module d'identification 13 gère cet aspect directement avec le serveur HTTP dont l'accès est requis, comme un navigateur web classique, ce qui apporte un degré de sécurisation supplémentaire.  These two steps S3 and S4 make it possible to avoid the installation of a cookie on the equipment of the user, which is a cause of insecurity as already discussed previously. Instead of such a cookie installation, the identification module 13 manages this aspect directly with the HTTP server whose access is required, such as a conventional web browser, which provides an additional degree of security.
Le système d'accès 10 peut également comprendre avantageusement un module DNS, lequel est utilisé par le module client HTTP pour accéder au serveur HTTP. Grâce à un tel module DNS, il est possible de procéder à la conversion entre une adresse IP et un nom de domaine sans passer par un serveur DNS tiers externe au réseau de télécommunications, ne présentant pas autant de garantie en termes de sécurité et de confiance.  The access system 10 may also advantageously comprise a DNS module, which is used by the HTTP client module to access the HTTP server. Thanks to such a DNS module, it is possible to convert between an IP address and a domain name without going through a third-party DNS server external to the telecommunications network, which does not offer as much guarantee in terms of security and confidence. .
Le système d'accès peut comprendre une interface d'authentification 15 connectée à des moyens d'authentification internes au réseau de télécommunications, afin d'authentifier le terminal TEL. C'est ainsi le réseau de télécommunications lui-même qui fait office de certificateur.  The access system may comprise an authentication interface 15 connected to authentication means internal to the telecommunications network, in order to authenticate the terminal TEL. It is thus the telecommunication network itself that acts as certifier.
Dans un mode de réalisation particulièrement avantageux, le réseau de télécommunications présente une architecture IMS (« IP Multimedia Subsystem » en anglais)  In a particularly advantageous embodiment, the telecommunications network has an IP Multimedia Subsystem (IMS) architecture.
Dans ce mode de réalisation particulièrement avantageux, le système d'accès est installé avantageusement au sein d'un serveur mandataire de type P-CSCF (pour Proxy Çall Session Çontrol Function), ce qui permet de filtrer et de router les requêtes d'accès des terminaux par ce point d'accès habituel d'accès à l'architecture IMS. Le serveur mandataire de type P-CSCF communique avec un module client IMS installé dans les terminaux au moyen du protocole SIP. Le cœur d'architecture IMS d'un tel réseau de télécommunications comprend également un module « S-CSCF » (pour Serving Ç_all Session Çontrol Function) et un module « HSS » (pour Home Subscriber Server) qui ont pour fonction, entre autres, de gérer l'authentification au niveau du réseau IMS. Le cœur d'architecture du réseau IMS peut également comprendre un module « I-CSCF » (pour Interrogating Ç_all Session Çontrol Function). In this particularly advantageous embodiment, the access system is advantageously installed within a Proxy Çall Session Çontrol Function (P-CSCF) proxy server, which makes it possible to filter and route the access requests. terminals through this usual access point to the IMS architecture. The proxy server P-CSCF communicates with an IMS client module installed in the terminals using the SIP protocol. The core of the IMS architecture of such a telecommunications network also comprises a module "S-CSCF" (for Serving Ç_all Session Çontrol Function) and a module "HSS" (for Home Subscriber Server) whose function, among others, manage authentication at the IMS network level. The architecture core of the IMS network may also include a module "I-CSCF" (for Interrogating Ç_all Session Çontrol Function).
Ces différents modules peuvent être implémentés chacun sur un serveur distinct (comme illustré sur la figure 1), ou bien implémentés sur un même serveur, selon la configuration du réseau IMS.  These different modules can each be implemented on a separate server (as shown in Figure 1), or implemented on the same server, depending on the configuration of the IMS network.
La figure 2 illustre les différentes étapes d'un procédé d'accès à un serveur HTTP selon la présente invention, sous la forme d'un diagramme illustrant les échanges effectués entre les différentes entités impliquées dans ce procédé d'accès. FIG. 2 illustrates the different steps of a method of access to an HTTP server according to the present invention, in the form of a diagram illustrating the exchanges made between the different entities involved in this access method.
On retrouve en particulier l'étape SI d'envoi d'une requête d'accès par un terminal (qui peut être l'équipement personnel d'un utilisateur USR ou un serveur d'application AS) au module client HTTP 11 installé dans le système d'accès 10 (désigné par SYS sur la figure 2) situé au sein du réseau de télécommunications.  In particular, there is the step S1 of sending an access request by a terminal (which may be the personal equipment of a USR user or an application server AS) to the HTTP client module 11 installed in the server. access system 10 (designated SYS in Figure 2) located within the telecommunications network.
Suite à la réception de cette requête d'accès, le module client HTTP 11 installé dans le système d'accès 10 situé au sein du réseau de télécommunications transmet alors la requête d'accès, avantageusement convertie au format HTTP, au serveur HTTP WS3 désigné dans la requête d'accès, lors d'une étape S2. Following receipt of this access request, the HTTP client module 11 installed in the access system 10 located within the telecommunications network then transmits the access request, advantageously converted to the HTTP format, to the HTTP server WS 3. designated in the access request, during a step S2.
Suite à la réception de cette requête d'accès, le serveur HTTP peut renvoyer une requête en identification de l'expéditeur requérant le service (étape S3) s'il détecte l'absence d'information ou de cookie à ce sujet dans la requête d'accès reçue.  Following receipt of this access request, the HTTP server may return a request identifying the sender requesting the service (step S3) if it detects the absence of information or cookie about it in the request. access received.
Cette requête en identification est reçue par le système d'accès 10, par exemple par l'intermédiaire d'un module d'identification 13 dont l'adresse IP est insérée dans la requête d'accès transmise par le module client HTTP au serveur HTTP WS3, qui traite cette requête en identification avant d'y répondre (étape S4) par l'envoi d'un message d'identification au serveur HTTP WS3 afin de simuler une interaction classique avec le navigateur web d'un terminal d'utilisateur, sans avoir besoin d'installer un cookie sur le terminal expéditeur. Le serveur HTTP WS3 peut alors autoriser le terminal à accéder à l'un de ses services. La figure 3 illustre les différentes étapes d'un procédé d'accès à un serveur HTTP selon la présente invention, dans un premier mode particulier de réalisation de l'invention dans lequel le réseau de télécommunications utilisé pour accéder de façon sécurisée à un serveur HTTP présente une architecture de type IMS, toujours sous la forme d'un diagramme illustrant les échanges effectués entre les différentes entités impliquées dans ce procédé. This identification request is received by the access system 10, for example by means of an identification module 13 whose IP address is inserted in the access request transmitted by the HTTP client module to the HTTP server. WS 3 , which processes this request for identification before responding (step S4) by sending an identification message to the HTTP server WS 3 in order to simulate a conventional interaction with the web browser of a terminal of user, without the need to install a cookie on the sending terminal. The HTTP server WS 3 can then allow the terminal to access one of its services. FIG. 3 illustrates the various steps of a method of access to an HTTP server according to the present invention, in a first particular embodiment of the invention in which the telecommunications network used to access a secure HTTP server. presents an IMS type architecture, always in the form of a diagram illustrating the exchanges made between the different entities involved in this process.
Sur cette figure 3 sont représentés les échanges de messages entre différentes entités suivantes :  This figure 3 shows the message exchanges between different following entities:
« USR/AS » désigne le terminal émettant la requête d'accès ;  "USR / AS" means the terminal issuing the access request;
« P-CSCF-U » désigne l'interface côté réseau de transport du module client "P-CSCF-U" means the transport-side interface of the client module
HTTP 11 installé dans le serveur mandataire P-CSCF ; HTTP 11 installed in the P-CSCF proxy server;
« P-CSCF-I » désigne l'interface côté réseau internet du module client HTTP 11 installé dans le serveur mandataire P-CSCF ;  "P-CSCF-I" refers to the internet-side interface of the HTTP client module 11 installed in the P-CSCF proxy server;
« P-CSCF-IdP » désigne le module d'identification 13 installé dans le serveur mandataire P-CSCF dans le cadre particulier de l'architecture IMS ;  "P-CSCF-IdP" designates the identification module 13 installed in the P-CSCF proxy server in the particular context of the IMS architecture;
« P-CSCF-S » désigne l'interface d' authentification 15 installé dans le serveur mandataire P-CSCF dans le cadre particulier de l'architecture IMS ;  "P-CSCF-S" refers to the authentication interface 15 installed in the P-CSCF proxy server in the particular context of the IMS architecture;
- « S-CSCF » désigne le module S-CSCF de l'architecture IMS ;  - "S-CSCF" means the S-CSCF module of the IMS architecture;
« HSS » désigne le module HSS de l'architecture IMS ; et  "HSS" means the HSS module of the IMS architecture; and
« WS3 » désigne le serveur HTTP WS3 dont l'accès est requis. "WS 3 " refers to the HTTP server WS 3 whose access is required.
Dans ce procédé, on retrouve en particulier l'étape S I d'envoi d'une requête d'accès d'un terminal à l'interface P-CSCF-U du module client HTTP 11 décrit à la figure 1.  In this method, there is in particular the step S I of sending a request for access of a terminal to the P-CSCF-U interface of the HTTP client module 11 described in FIG.
Suite à la réception de cette requête d'accès, le processus d' authentification du terminal est lancé.  Upon receipt of this access request, the terminal authentication process is initiated.
Pour ce faire, une requête en authentification est envoyée (étape S l li) par le serveur mandataire P-CSCF au module S-CSCF afin de démarrer le processus d' authentification To do this, an authentication request is sent (step S li) by the P-CSCF proxy server to the S-CSCF module in order to start the authentication process.
Ce module S-CSCF transmet alors la requête en authentification au module HSS qui lui répond (étape S 120 en lui renvoyant un certain nombre de données telles qu'un challenge RAND, un résultat attendu XRES, un jeton d' authentification AUTN, une clé d' authentification CK et une clé d'intégrité IK. This module S-CSCF then transmits the authentication request to the HSS module which responds to it (step S 120 by returning a certain number of data such as a challenge RAND, an expected result XRES, an authentication token AUTN, a key CK authentication and IK integrity key.
Le module S-CSCF retransmet alors (étape S122) au serveur mandataire P-CSCF le challenge RAND, un jeton d' authentification AUTN, une clé d' authentification CK et une clé d'intégrité IK et conserve le résultat attendu XRES. Un transfert interne de ces données est alors effectué (étape S123) au sein du serveur mandataire P-CSCF, du module P-CSCF-S à l'interface P-CSCF-U du module client HTTP installé dans le serveur mandataire P-CSCF, avant que cette dernière interface n'envoie le challenge RAND et le jeton d'authentification AUTN (étape S 124) au terminal. The module S-CSCF then retransmits (step S12 2 ) to the proxy server P-CSCF the challenge RAND, an authentication token AUTN, a key authentication CK and an integrity key IK and retains the expected result XRES. An internal transfer of this data is then carried out (step S12 3 ) within the P-CSCF proxy server, from the P-CSCF-S module to the P-CSCF-U interface of the HTTP client module installed in the proxy server P. CSCF, before the latter interface sends the challenge RAND and authentication token AUTN (step S 12 4 ) to the terminal.
Celui-ci vérifie alors le jeton d'authentification AUTN et calcul un résultat RES à partir du challenge RAND qu'il retourne alors à l'interface P-CSCF-U du module client HTTP installé dans le serveur mandataire P-CSCF (étape S 125). The latter then checks the authentication token AUTN and calculates a result RES from the challenge RAND that it then returns to the interface P-CSCF-U of the HTTP client module installed in the proxy server P-CSCF (step S 12 5 ).
Ce résultat RES est alors transféré en interne (étape S 126) au sein du serveur mandataire P-CSCF, de l'interface P-CSCF-U au module P-CSCF-S, afin que ce dernier module transmette ce résultat RES calculé par le terminal expéditeur au module S-CSCF (étape S 127). This RES result is then transferred internally (step S 12 6 ) within the P-CSCF proxy server, from the P-CSCF-U interface to the P-CSCF-S module, so that the latter module transmits this calculated RES result. by the sending terminal to the S-CSCF module (step S 12 7 ).
Le module S-CSCF procède alors à la comparaison entre le résultat attendu XRES et le résultat RES afin d'authentifier l'expéditeur. Si le résultat de cette comparaison est positif, le serveur S-CSCF alors une donnée « 200OK » indiquant le résultat positif à l'interface P-CSCF-U (étape S 128). The S-CSCF module then compares the expected result XRES and the result RES in order to authenticate the sender. If the result of this comparison is positive, the server S-CSCF then a data "200OK" indicating the positive result at the P-CSCF-U interface (step S 12 8 ).
Si le résultat de l'authentification de l'utilisateur est concluant, la requête d'accès est ensuite transmise au sein du module client HTTP, de l'interface P-CSCF-U à l'interface P- CSCF-I (étape S 129), ce transfert s 'accompagnant avantageusement de la conversion de la requête au format HTTP ainsi que de l'insertion d'une adresse IP désignant le module P- CSCF-IdP du serveur mandataire P-CSCF. If the result of the authentication of the user is conclusive, the access request is then transmitted within the HTTP client module, from the P-CSCF-U interface to the P-CSCF-I interface (step S 12 9 ), this transfer is advantageously accompanied by the conversion of the request in HTTP format and the insertion of an IP address designating the P-CSCF-IdP module of the proxy server P-CSCF.
La requête d'accès est alors envoyée (étape S2) au serveur HTTP WS3 afin que celui- ci donne accès à l'un de ses services à l'utilisateur. The access request is then sent (step S2) to the HTTP server WS 3 so that it gives access to one of its services to the user.
Dans un mode de réalisation avantageux, si le serveur WS3 détermine que la requête modifiée d'accès ne contient aucun cookie, il renvoie une requête en identification vers le module d'identification P-CSCF-IdP du serveur mandataire P-CSCF lors de l'étape S3, en utilisant l'adresse IP insérée dans la requête d'accès. In an advantageous embodiment, if the server WS 3 determines that the modified access request contains no cookie, it sends an identification request to the identification module P-CSCF-IdP of the proxy server P-CSCF during step S3, using the IP address inserted in the access request.
Ce module d'identification P-CSCF-IdP gère la réponse à fournir à ce type de requête en identification et répond au serveur HTTP WS3 lors de l'étape S4, de façon à simuler une interaction classique avec le navigateur web d'un terminal d'utilisateur. This identification module P-CSCF-IdP manages the response to be provided to this type of identification request and responds to the HTTP server WS 3 during step S4, so as to simulate a conventional interaction with the web browser of a user. user terminal.
En particulier, à chaque serveur HTTP WSj peut correspondre une méthode d'identification spécifique ML (par exemple « SAMLv2 » ou « Openld »). Cette méthode d'identification spécifique ML peut être avantageusement retrouvée par le module d'identification P-CSCF-IdP au moyen de l'adresse IP du serveur HTTP WSj indiquée dans la requête en identification émise par ce serveur. Bien entendu, l'invention n'est pas limitée aux exemples de réalisation ci-dessus décrits et représentés, à partir desquels on pourra prévoir d'autres modes et d'autres formes de réalisation, sans pour autant sortir du cadre de l'invention. In particular, each HTTP server WSj may correspond to a specific identification method ML (for example "SAMLv2" or "Openld"). This specific identification method ML can advantageously be found by the identification module P-CSCF-IdP by means of the IP address of the HTTP server WSj indicated in the identification request sent by this server. Of course, the invention is not limited to the embodiments described above and shown, from which we can provide other modes and other embodiments, without departing from the scope of the invention. .
Ainsi, les interfaces décrites précédemment peuvent être implémentées sous forme logicielle au sein d'un ou plusieurs serveurs ou prendre la forme d'un module de traitement matériel, voire d'un ordinateur dédié à la fonction effectuée par l'interface en question, en fonction du contexte du réseau de télécommunications choisi pour sécuriser l'accès à un serveur HTTP.  Thus, the interfaces described above can be implemented in software form within one or more servers or take the form of a hardware processing module, or even a computer dedicated to the function performed by the interface in question, in depending on the context of the telecommunications network chosen to secure access to an HTTP server.
De plus, la requête d'accès provenant d'un seul terminal a été décrite précédemment. Il est bien évident qu'un nombre quelconque de terminaux, que ce soit des utilisateurs avec leur équipement personnel ou des serveurs d'application, peuvent requérir l'accès sécurisé à un serveur HTTP selon le procédé de la présente invention. Il peut être également avantageux, lors de la transmission des requêtes d'accès, de générer et d'employer un alias spécifique au terminal expéditeur et un alias spécifique au serveur HTTP dont l'accès est requis. De tels alias sont employés notamment dans les différentes requêtes échangées entre le module client HTTP et le serveur HTTP et permettent d'éviter les brèches de confidentialité par croisement de données entre différents serveurs.  In addition, the access request from a single terminal has been previously described. It is obvious that any number of terminals, whether users with their personal equipment or application servers, may require secure access to an HTTP server according to the method of the present invention. It may also be advantageous, when transmitting access requests, to generate and use an alias specific to the sender terminal and an alias specific to the HTTP server whose access is required. Such aliases are used in particular in the different requests exchanged between the HTTP client module and the HTTP server and make it possible to avoid privacy breaches by crossing data between different servers.

Claims

Revendications claims
1. Procédé d'accès à un serveur HTTP (WS3) depuis un terminal au moyen d'un réseau de télécommunications (1) autre que le réseau Internet, caractérisé en ce que le réseau comprend un module assurant la fonction de client HTTP (11) et en ce que le module réalise les étapes suivantes: A method for accessing an HTTP server (WS 3 ) from a terminal by means of a telecommunications network (1) other than the Internet, characterized in that the network comprises a module providing the HTTP client function ( 11) and in that the module performs the following steps:
- réception (S I) d'une requête d'accès au serveur HTTP issue du terminal  reception (S I) of a request to access the HTTP server from the terminal
- demande (S2) d'accès au serveur HTTP pour le compte du terminal suite à la réception (S 1) de la requête d'accès.  - Request (S2) to access the HTTP server on behalf of the terminal following receipt (S 1) of the access request.
2. Procédé selon la revendication 1, caractérisé en ce que le module client HTTP génère une adresse IP qu'il transmet au serveur HTTP lors de l'envoi d'un message au serveur HTTP. 2. Method according to claim 1, characterized in that the HTTP client module generates an IP address that it transmits to the HTTP server when sending a message to the HTTP server.
3. Procédé selon la revendication 2, dans lequel l'adresse IP désigne un module d'identification (13) appartenant audit réseau, caractérisé en ce que le serveur HTTP vérifie lors d'une communication avec le module client HTTP si le client a été identifié et, dans la négative, le serveur HTTP transmet une requête d'identification (S3) à destination du module d'identification au moyen de l'adresse IP. 3. Method according to claim 2, wherein the IP address designates an identification module (13) belonging to said network, characterized in that the HTTP server checks during a communication with the HTTP client module if the client has been identified and, if not, the HTTP server transmits an identification request (S3) to the identification module by means of the IP address.
4. Procédé selon la revendication 3, caractérisé en ce que la requête d'identification issue du serveur HTTP est traitée par le module d'identification. 4. Method according to claim 3, characterized in that the identification request from the HTTP server is processed by the identification module.
5. Procédé selon l'une des revendications précédentes, dans lequel le réseau de télécommunications dispose de moyens d' authentification, caractérisé en ce que le module client HTTP utilise (S U) les moyens d' authentification pour authentifier le terminal. 5. Method according to one of the preceding claims, wherein the telecommunications network has authentication means, characterized in that the HTTP client module uses (S U) the authentication means for authenticating the terminal.
6. Procédé selon l'une des revendications précédentes, dans lequel le réseau de télécommunications dispose en outre d'un serveur DNS, caractérisé en ce que le module client HTTP utilise ce serveur DNS pour accéder au serveur HTTP. 6. Method according to one of the preceding claims, wherein the telecommunications network further has a DNS server, characterized in that the HTTP client module uses this DNS server to access the HTTP server.
7. Procédé d'accès sécurisé selon l'une des revendications précédentes, caractérisé en ce que le réseau de télécommunications présente une architecture IMS. 7. secure access method according to one of the preceding claims, characterized in that the telecommunications network has an IMS architecture.
8. Procédé d'accès sécurisé selon la revendication 7, caractérisé en ce que le module client HTTP est installé au sein d'un serveur mandataire de type P-CSCF. 8. secure access method according to claim 7, characterized in that the HTTP client module is installed within a proxy server type P-CSCF.
9. Système d'accès (10) à un serveur HTTP (WS3), ledit système d'accès appartenant à un réseau de télécommunications (1) autre que le réseau Internet et comprenant un module client assurant la fonction de client HTTP (11) apte à recevoir une requête d'accès au serveur HTTP émise par un terminal et arrangé pour requérir l'accès au serveur HTTP pour le compte du terminal. 9. Access system (10) to an HTTP server (WS 3 ), said access system belonging to a telecommunications network (1) other than the Internet network and comprising a client module providing the HTTP client function (11). ) adapted to receive an access request to the HTTP server sent by a terminal and arranged to require access to the HTTP server on behalf of the terminal.
10. Système d'accès selon la revendication 9, comprenant en outre un module d'identification (13) apte à recevoir une requête en identification émise par le serveur HTTP et désigné par une adresse IP transmise au serveur HTTP lors de l'envoi d'un message au serveur HTTP. 10. Access system according to claim 9, further comprising an identification module (13) adapted to receive an identification request sent by the HTTP server and designated by an IP address transmitted to the HTTP server when sending d a message to the HTTP server.
11. Système d'accès selon l'une des revendications 9 ou 10, caractérisé en ce qu'il comprend un module DNS utilisé par le module client HTTP pour accéder au serveur HTTP. 11. Access system according to one of claims 9 or 10, characterized in that it comprises a DNS module used by the HTTP client module to access the HTTP server.
12. Système d'accès selon l'une des revendications 9 à 11, caractérisée en ce que le réseau de télécommunications présente une architecture IMS. 12. Access system according to one of claims 9 to 11, characterized in that the telecommunications network has an IMS architecture.
13. Système d'accès selon la revendication 12, caractérisé en ce que le système d'accès est installé au sein d'un serveur mandataire de type P-CSCF. 13. Access system according to claim 12, characterized in that the access system is installed within a proxy server type P-CSCF.
14. Réseau d'accès à Internet comprenant un terminal (TEL), un réseau de transmission (10) autre que le réseau Internet et un serveur HTTP (WS3), caractérisée en ce que le réseau de transmission comprend un système d'accès (10) selon l'une des revendications 9 à 13 afin de permettre l'accès sécurisé du terminal au serveur HTTP au moyen dudit système d'accès. 14. Internet access network comprising a terminal (TEL), a transmission network (10) other than the Internet network and an HTTP server (WS 3 ), characterized in that the transmission network comprises an access system (10) according to one of claims 9 to 13 to allow secure access of the terminal to the HTTP server by means of said access system.
PCT/FR2011/051309 2010-06-16 2011-06-09 Method and system for secure access to an http server WO2011157928A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1054759 2010-06-16
FR1054759 2010-06-16

Publications (1)

Publication Number Publication Date
WO2011157928A1 true WO2011157928A1 (en) 2011-12-22

Family

ID=43446708

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2011/051309 WO2011157928A1 (en) 2010-06-16 2011-06-09 Method and system for secure access to an http server

Country Status (1)

Country Link
WO (1) WO2011157928A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113194076A (en) * 2021-04-16 2021-07-30 中盈优创资讯科技有限公司 Safety controller and implementation method thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080120425A1 (en) * 2006-11-17 2008-05-22 Bellsouth Intellectual Property Corporation Systems, Methods and Computer Program Products Supporting Provision of Web Services Using IMS
US20080177889A1 (en) * 2007-01-18 2008-07-24 Loraine Beyer Systems, methods and computer program products for providing access to web services via device authentication in an IMS network
WO2009106117A1 (en) * 2008-02-29 2009-09-03 Telefonaktiebolaget Lm Ericsson (Publ) Technique for performing signaling conversion between http and sip domains
WO2009146749A1 (en) * 2008-06-05 2009-12-10 Telefonaktiebolaget Lm Ericsson (Publ) Charging for services in a communication network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080120425A1 (en) * 2006-11-17 2008-05-22 Bellsouth Intellectual Property Corporation Systems, Methods and Computer Program Products Supporting Provision of Web Services Using IMS
US20080177889A1 (en) * 2007-01-18 2008-07-24 Loraine Beyer Systems, methods and computer program products for providing access to web services via device authentication in an IMS network
WO2009106117A1 (en) * 2008-02-29 2009-09-03 Telefonaktiebolaget Lm Ericsson (Publ) Technique for performing signaling conversion between http and sip domains
WO2009146749A1 (en) * 2008-06-05 2009-12-10 Telefonaktiebolaget Lm Ericsson (Publ) Charging for services in a communication network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113194076A (en) * 2021-04-16 2021-07-30 中盈优创资讯科技有限公司 Safety controller and implementation method thereof
CN113194076B (en) * 2021-04-16 2023-04-21 中盈优创资讯科技有限公司 Safety controller and implementation method thereof

Similar Documents

Publication Publication Date Title
US11399044B2 (en) System and method for connecting a communication to a client
US8613058B2 (en) Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network
US8223755B2 (en) Node reputation based on knowledge of PSTN calls
US8228902B2 (en) Separation of validation services in VoIP address discovery system
US20060021004A1 (en) Method and system for externalized HTTP authentication
US8713634B2 (en) Systems, methods and computer program products supporting provision of web services using IMS
EP1562343A1 (en) System and method for user authorization access management at the local administrative domain during the connection of a user to an IP network
US7940748B2 (en) Systems, methods and computer program products supporting provision of web services using IMS
US9032487B2 (en) Method and system for providing service access to a user
EP3568989A1 (en) Methods and devices for checking the validity of a delegation of distribution of encrypted content
WO2011095522A1 (en) Method for generating a public sip address associated with a private identity on an ims network
WO2011157928A1 (en) Method and system for secure access to an http server
EP3900306A1 (en) Method for determining a delegation chain associated with a domain name resolution in a communication network
WO2020128238A1 (en) Method for acquiring a delegation chain relating to resolving a domain name identifier in a communication network
FR3015839A1 (en) METHOD FOR SLOWING COMMUNICATION IN A NETWORK
EP2504957B1 (en) Referenced content access from a content server
EP4268426A1 (en) Methods for traffic redirection, corresponding terminal, controller, authorisation server, name resolution servers and computer program
WO2015181484A1 (en) Technique for obtaining a policy for routing requests emitted by a software module running on a client device
FR3031211A1 (en) IP TELEPHONE AUTHENTICATION INFRASTRUCTURE OF AN OWN TOIP SYSTEM BY AN OPEN EAP-TLS SYSTEM
FR3017729A1 (en) REMOTE AUTHENTICATION METHOD
WO2022117941A1 (en) Method for detecting a malicious device in a communication network, corresponding communication device and computer program
Puente et al. Anti-spit mechanism based on identity SIP
Lin et al. Single Sign-On for Unified Communications
FR2923110A1 (en) Client device e.g. mobile telephone, authenticating method for internet network, involves receiving response message by server device, and continuing communication between server device and client device, if response message is valid

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11735465

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11735465

Country of ref document: EP

Kind code of ref document: A1