WO2007054657A2 - Method and device for delivering a federation network identifier to a service provider - Google Patents

Method and device for delivering a federation network identifier to a service provider Download PDF

Info

Publication number
WO2007054657A2
WO2007054657A2 PCT/FR2006/051157 FR2006051157W WO2007054657A2 WO 2007054657 A2 WO2007054657 A2 WO 2007054657A2 FR 2006051157 W FR2006051157 W FR 2006051157W WO 2007054657 A2 WO2007054657 A2 WO 2007054657A2
Authority
WO
WIPO (PCT)
Prior art keywords
identifier
network
user
federation
adsl
Prior art date
Application number
PCT/FR2006/051157
Other languages
French (fr)
Other versions
WO2007054657A3 (en
Inventor
Nicolas Bailleul
Eric Malville
Nicolas Saillard
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007054657A2 publication Critical patent/WO2007054657A2/en
Publication of WO2007054657A3 publication Critical patent/WO2007054657A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Definitions

  • the present invention is in the field of telecommunication networks and services. More particularly, the invention aims to facilitate and secure the authentication mechanisms of a user with a service provider.
  • Transfer Protocol ' such as Web or WAP.
  • GSM authentication password on ADSL, 10.1.1.1
  • ADSL a first network authentication step
  • the user can access a particular HTTP service.
  • the provider of this service asks him to authenticate again before issuing the requested service.
  • the invention aims to facilitate these different authentication steps.
  • the Liberty Alliance project defines a solution that implements a "federation of identities”. This mechanism allows users to federate their different identities dynamically and online. It allows a service provider to determine the identity of a user from information certified and delivered by an identity provider and thus to free the user of a new authentication phase to access to this service.
  • the service provider contacts the identity provider.
  • the identity provider authenticates the user, if necessary by asking him for his login / password, generates for this user and for this service provider a so-called "federation" alias if this alias does not already exist, and transmits the federation alias to the service provider.
  • the service provider knows this alias, it identifies this user completely using this alias; otherwise, it can either ask the user to authenticate, for example by login / password, and associate this alias with the identity of the user, or create a new identity for this user.
  • the identity provider can either provide the same alias each time the service provider sends him a request, or provide a so-called "one-time" alias.
  • the identity federation and alias exchange mechanisms for delegating user authentication offered by the Liberty Alliance project are only applicable in a context involving services in which the identity provider and the service provider are accessible by the user according to the IP (Internet Protocol), network connectivity being previously established. Thus, the user is always asked to authenticate first to access the network and then to the identity provider, for example by entering two different login / password.
  • IP Internet Protocol
  • the document FR 2 860 111 proposes a system for accessing a network adapted to the implementation of an SSO single authentication method.
  • a user having previously authenticated to an access provider to access the Internet and wishing to access a service, sends an access request to a service provider.
  • the user in response, returns an authentication request to the user to authenticate with an authentication server.
  • This authentication request is intercepted and processed by the access system and transmitted to the authentication server.
  • the processing performed by the access system on the request enables the authentication server to use the prior authentication of the user with the access provider to authenticate it.
  • the access system then sends the service provider an authentication response including in particular the identifier of the known user of the access provider.
  • the service provider must redirect the user, via the authentication request, to an identity provider or an authentication server to which he explicitly asks to authenticate the user.
  • Such redirects are difficult to manage and particularly expensive, especially in a mobile environment for WAP (Wireless Application Protocol) services for example. These redirects also have a significant negative impact in terms of response time vis-à-vis the user.
  • the present invention therefore has the main purpose of overcoming the above disadvantages.
  • it relates to a device for providing a network federation identifier from a user to a service provider, the user being connected to a first telecommunications network via an access provider to which he has connected via a second telecommunications network.
  • the access provider stores in a server a first identifier and a second identifier representative of the connections of this user respectively to the first network and the second network.
  • This server is capable of delivering the second identifier in response to a request for obtaining the second identifier, this request comprising the first identifier.
  • the supply device comprises means for intercepting a first access request sent by the user to the service provider and means for extracting the first identifier from this request.
  • the supply device obtains the second identifier of the user by sending to the server the obtaining request including the first identifier, as described above.
  • the delivery device also comprises means for obtaining the network federation identifier of this user from the second identifier and means for providing the service provider with a second access request constructed from the first request. access issued by the user, and including this network federation identifier.
  • the delivery device advantageously makes it possible by intercepting the access request sent by the user to the service provider to prevent the latter from redirecting the user to an identity provider via a request. authentication.
  • the service provider does not need to ask an identity provider to authenticate the user. Without having made the explicit request, it spontaneously receives from the delivery device according to the invention the access request of the user accompanied by a network federation identifier of this user, which then allows him to quickly give the access to the service requested by the user.
  • This advantageously reduces the operations performed by the service provider, and in particular to reduce the response time to the user to give access to the service.
  • device overcomes the limitations of the access system described in document FR 2 860 111.
  • the supply device also makes it possible to benefit directly from the second identifier of the user.
  • a service provider may authorize a user to consult resources based on the authentication phase of this user previously performed to access the second telecommunication network (for example, GSM authentication, or authentication by login / password). goes on ADSL).
  • this second identifier is a permanent quantity (insofar as the subscription of the user to the access provider is not modified), whereas the first identifier changes in principle with each new connection to the first network. .
  • the invention allows a considerable reduction in the number of necessary authentications, while respecting the security constraints.
  • a given user authenticates with a service provider for a given service one, and only once, in the event that the service provider manages the conditions for obtaining the service itself.
  • the service access rights, payment, and so on
  • the provider recognizes the network federation identifier (permanent) of this user, and therefore does not need to request a new authentication.
  • the service provider delegates to the service provider the management of said conditions for obtaining the service, the user is completely exempt from any authentication with the service provider (in this case, the network federation identifier may be of the "single use" type).
  • the network federation identifier is the second identifier of the user, representative of the connection of the user to the second telecommunications network via the access provider. This makes it possible to have a unique identifier for all the service providers and the access provider.
  • the network federation identifier is a network federation alias. This network federation alias advantageously makes it possible not to disclose to the service provider the network connectivity identifier of the user, but an identifier specific to the service provider. Indeed, the user does not necessarily want his network connectivity identifier to be known to the service provider.
  • the device according to the invention comprises a table which associates the second identifier of a user with the network federation identifier of this known user of the service provider.
  • this table is used in the case where the user has already federated his identity at the service provider with his network identity (second identifier) at the operator.
  • the means for obtaining the network federation identifier are adapted to generate this identifier and to store it in the table in association with the second identifier of this user and a reference of the service provider.
  • these generation means are implemented when the user has not yet federated his identity at the service provider with his network identity (second identifier) at the operator.
  • this federation identifier is deleted from said table when the connection to the second network terminates.
  • the means for obtaining and providing the network federation identifier are in accordance with the LibertyAlliance standard, the network federation identifier being a federation alias within the meaning of this standard.
  • the invention relates to a method of providing a network federation identifier of a user to a service provider, the user being connected to a first telecommunications network via an access provider to which he has connected via a second telecommunications network.
  • the access provider stores in a server a first identifier and a second identifier representative of the connections of this user respectively to the first network and the second network.
  • This server is able to deliver the second identifier in response to a request for obtaining the second identifier, this request comprising the first identifier.
  • This process comprises:
  • a step of obtaining the second identifier by sending the server a request to obtain the second identifier comprising the first identifier;
  • the network federation identifier obtained during the step of obtaining the network federation identifier of the method according to the invention is a network federation alias.
  • the network federation identifier obtained during the step of obtaining the network federation identifier of the method according to the invention is the second identifier of the user, representative the user's connection to the second telecommunication network via the access provider.
  • the method of providing a network federation identifier according to the invention further comprises: a step of generating the network federation identifier of the user from the service provider; and
  • the different steps of the provisioning method are determined by computer program instructions.
  • the invention also relates to a computer program on an information carrier, said program being capable of being implemented in a computer system and comprising instructions adapted to implement the method of providing a network federation identifier according to the invention.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other form desirable shape.
  • the invention also relates to a computer-readable information medium comprising instructions of a computer program as mentioned above.
  • the information carrier may be any entity or device capable of storing the program.
  • the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording medium, for example a floppy disk or a disk. hard.
  • the information medium may be a transmissive medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can be downloaded in particular on an Internet type network.
  • the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • FIG. 1 schematically represents a device for providing a network federation identifier according to the invention in a particular embodiment of the invention, and exchanges messages with a service provider and a server. access;
  • FIG. 2 represents the main steps of a method of providing a network federation identifier according to the invention, implemented by the device of FIG. 1.
  • FIG. 1 represents a device 10 for providing a network federation identifier according to the invention in a particular embodiment.
  • the network federation identifier is a network federation alias, as defined by the Liberty Alliance standard.
  • This device 10 is connected to a first network 1, here of the Internet type.
  • This device 10 comprises a processor 20, a read-only memory 22 of the ROM type, a random-access memory 21 of the RAM type, a FLASH-type non-volatile rewritable memory 23, these elements being interconnected by a bus system 100.
  • Read-only memory 22 has a computer program
  • PROG comprising instructions adapted to the implementation of steps ElO to E60 of the supply method according to the invention and shown in Figure 2.
  • FIG. 1 shows a service provider 30, the HTTP client of the terminal of a user 5.
  • the user 5 is connected to the first network 1 via an access provider to which the user 5 has connected via a second telecommunication network 2 (access network).
  • a second telecommunication network 2 access network
  • the access network 2 is an ADSL network.
  • It can also be constituted in particular by the GPRS or WIFI network.
  • the device 10 for providing aliases comprises communication means 11, connected to the bus 100, making it possible to communicate securely with the server 50 of the access provider. It also comprises communication means 12, connected to the bus 100, implementing the IP (Internet Protocol).
  • IP Internet Protocol
  • the delivery device 10 further comprises means 40 for intercepting the access requests sent by the user 5 to the service provider 30.
  • interception means are for example constituted by a unit of the "reverse proxy" type configured to intercept all the requests intended for the service provider 30.
  • the client terminal 5 equipped in this embodiment with a means of connection to the ADSL network, authenticates, in a known manner, with its ADSL operator.
  • the network authentication phase is known to those skilled in the art. It makes it possible, in particular, to associate an Internet address IP_5 (first identifier) (or possibly other data uniquely characterizing the access session) with the identity of the user on the access network, namely here its ADSL identifier named hereafter ID_ADSL (second identifier).
  • ID_ADSL second identifier
  • the access provider stores in a server 50 the first (IP_5) and second (ID_ADSL) aforementioned identifiers.
  • the server 50 comprises a table T which associates, for each user, the two Internet identifiers IP_5 and ID_ADSL
  • the user 5 can access the service of the service provider 30.
  • the service provider 30 For this purpose, through its client software, it sends an access request R1 to the provider 30.
  • the service provider 30 wishes to authenticate the user 5 by himself.
  • this authentication can be done via another identity provider, which plays an intermediary role between the service provider 30 and the federation alias providing device 10 network according to the invention.
  • the description that is made here applies, the requests exchanged between the service provider 30 and the delivery device 10 passing through this intermediate provider.
  • the service provider 30 redirects (HTTP request 302 Redirect) the client software of the user 5 to an identity provider or an authentication server ("pull mode").
  • the supply device 10 operates in
  • This step ElO is followed by a step E20 during which the delivery device 10 obtains the first identifier constituted in this example by the Internet address IP_5 of the user.
  • This step E20 which consists of extracting an address field from an HTTP frame, is known and will not be described here.
  • the processor 20 stores the first identifier (Internet address IP_5) in the random access memory 21.
  • the step E20 for obtaining an address is followed by a step E30 during which the device 10 sends, using the secure communication means 11, a request R4 for obtaining the second identifier to the access server 50.
  • This request R4 comprises the first identifier IP_5 stored in the previous step in the random access memory 21.
  • the access server 50 Upon receipt of this request R4, the access server 50 reads, in the table T, the second identifier (network identity ID_ADSL) of the user 5, and returns this second identifier in a response R5 to the delivery device 10.
  • the second identifier network identity ID_ADSL
  • This response R5 is received by the device 10 during a step E40.
  • the processor 20 stores the network identity ID_ADSL (second identifier) in the random access memory 21.
  • the provisioning device 10 determines whether the second identifier (network identity ID_ADSL) of the user 5 has already been federated with an identity with the service provider 30.
  • the network identity ID_ADSL second identifier
  • a network federation identifier the alias of federation in the present embodiment
  • step E52 the delivery device 10 generates a federation alias 1234 of the user 5 for the service provider 30.
  • This alias 1234 is, in the example described here, unique for each service provider.
  • This alias generation step is known to those skilled in the art and will not be described here. It is performed for example by random draw of an alphanumeric sequence.
  • This step E52 of generation of the alias 1234 is followed by a step E53 during which the processor 20 stores, in the table 13 of the FLASH memory 23, a triplet associating the network identity ID_ADSL, the alias 1234 and the reference 30 of the service provider.
  • the step E53 for storing the code is followed by a step E60 during which the supply device 10 according to the invention sends to the service provider 30, via the communication means 12, a second access request R6 built to from the first access request R1, sent by the user 5.
  • This second request R6 includes the network federation alias 1234.
  • the method and the supply device according to the invention thus make it possible to spontaneously send the federation alias 1234 to the service provider 30, without the latter having to make an explicit request.
  • the service provider 30 authenticates the user 5, for example by asking him to enter a login / password, and associates the alias 1234 with the identity of the user 5.
  • Steps ElO to E40 are performed as previously described.
  • the result of the E50 federation determination test will be positive.
  • the table 13 of the FLASH memory 23 comprises an association between the network identity ID_ADSL and the federation alias 1234 for the service provider 30.
  • obtaining the federation alias 1234 for the user 5 is done by simply reading this table 13 (step E54). This reading step is followed by the sending step E60 of the alias 1234 previously described.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A device (10) is used for delivering a user's (5) federation network identifier to a service provider (30). The inventive method consists in connecting the user to a first telecommunication network (1) via an access provider to which said user is connected via a second telecommunication network (2). The inventive device comprises means for picking up a first access request (R1) transmitted by the user (5) to the service provider (30) and for extracting from said first request (R1) a first representative identifier (IP_5) of the user's connection to the first network (1), means for obtaining a second representative identifier (ID_ADSL) of the user's connection to the second network (2) by transmitting a request (R4), which comprises the first identifier (IP_5), for obtaining a second identifier to a server (50) of the access provider, means for obtaining a federation (ID_ADSL, 1234) identifier from the second identifier (ID_ADSL) and means for delivering a second access request (R6), which is formed from the first access request (R1) and comprises said federation network (ID_ADSL, 1234) identifier, to the service provider (30).

Description

Procédé et dispositif de fourniture d'un identifiant de fédération réseau à un fournisseur de service.Method and apparatus for providing a network federation identifier to a service provider
Arrière-plan de l'inventionBackground of the invention
La présente invention se situe dans le domaine des réseaux et services de télécommunication. Plus particulièrement, l'invention a pour but de faciliter et de sécuriser les mécanismes d'authentification d'un utilisateur auprès d'un fournisseur de service.The present invention is in the field of telecommunication networks and services. More particularly, the invention aims to facilitate and secure the authentication mechanisms of a user with a service provider.
De façon connue, il devient fréquent qu'un même utilisateur possède plusieurs comptes d'accès à différents réseaux de télécommunication (GSM, GPRS, ADSL, RTC,...) et plusieurs comptes d'accès à des services HTTP (initiales des mots anglais "HyperTextIn a known manner, it becomes frequent for the same user to have several access accounts to different telecommunication networks (GSM, GPRS, ADSL, PSTN, etc.) and several access accounts to HTTP services (initials of the words English "HyperText
Transfer Protocol') tels que Web ou WAP.Transfer Protocol ') such as Web or WAP.
Traditionnellement, lorsqu'un utilisateur souhaite accéder à un service HTTP, il doit au préalable obtenir une connectivité réseau auprès d'un opérateur de télécommunication.Traditionally, when a user wishes to access an HTTP service, he must first obtain network connectivity from a telecommunication operator.
Pour cela, il doit effectuer une première étape d'authentification réseau (authentification GSM, mot de passe sur ADSL,...) auprès de l'opérateur du réseau d'accès. Celui-ci détermine et vérifie ainsi son identité d'accès réseau et lui délivre un service d'accès préalablement souscrit.For this, it must perform a first network authentication step (GSM authentication, password on ADSL, ...) from the operator of the access network. It determines and thus verifies its network access identity and delivers a previously subscribed access service.
Une fois cette connectivité réseau établie, l'utilisateur peut accéder à un service HTTP particulier.Once this network connectivity is established, the user can access a particular HTTP service.
Généralement, le fournisseur de ce service lui demande de s'authentifier une nouvelle fois avant de délivrer le service demandé. L'invention a pour but de faciliter ces différentes étapes d'authentification.Generally, the provider of this service asks him to authenticate again before issuing the requested service. The invention aims to facilitate these different authentication steps.
Elle vise notamment à permettre à un utilisateur de ne s'authentifier qu'une seule fois, auprès d'un opérateur de télécommunication, sans qu'il soit nécessaire ultérieurement de s'identifier et de s'authentifier à chaque fois auprès des fournisseurs de service. On connaît, dans le contexte général de l'invention, des mécanismes d'authentification unique (cette fonctionnalité est connue sous le nom SSO, initiales des mots anglais "Single S/gn-Orf).It aims in particular to allow a user to authenticate only once, with a telecommunication operator, without it being necessary later to identify and authenticate each time with suppliers of service. In the general context of the invention, there are known single authentication mechanisms (this functionality is known under the name SSO, initials of the English words "Single S / gn-Orf").
Ces systèmes permettent à un utilisateur de s'authentifier auprès d'un fournisseur d'identité HTTP et d'accéder aux services d'autres fournisseurs sans avoir à s'identifier ou à s'authentifier de nouveau.These systems allow a user to authenticate with an HTTP identity provider and access services from other providers without having to log in or authenticate again.
On connaît notamment les mécanismes spécifiés par l'Alliance Liberty, ce mécanisme étant notamment décrit dans le document Liberty ID_FF Architecture Overview, version 1.2, publié en septembre 2004 sur Internet à l'adresse : http://www.projectliberty.org/resources/specifications.php.In particular, the mechanisms specified by the Liberty Alliance are known, this mechanism being described in particular in the document Liberty ID_FF Architecture Overview, version 1.2, published in September 2004 on the Internet at: http://www.projectliberty.org/resources /specifications.php.
Le projet Liberty Alliance définit une solution qui met en œuvre une "fédération d'identités". Ce mécanisme permet aux utilisateurs de fédérer leurs différentes identités dynamiquement et en ligne. II permet notamment à un fournisseur de service de déterminer l'identité d'un utilisateur à partir d'une information certifiée et délivrée par un fournisseur d'identité et donc d'affranchir l'utilisateur d'une nouvelle phase d'authentification pour accéder à ce service.The Liberty Alliance project defines a solution that implements a "federation of identities". This mechanism allows users to federate their different identities dynamically and online. It allows a service provider to determine the identity of a user from information certified and delivered by an identity provider and thus to free the user of a new authentication phase to access to this service.
Plus précisément, quand un utilisateur présente une requête d'accès à un fournisseur de service, ce dernier s'adresse au fournisseur d'identité. Le fournisseur d'identité authentifie l'utilisateur, au besoin en lui demandant son login/mot de passe, génère pour cet utilisateur et pour ce fournisseur de service un alias dit "de fédération" si cet alias n'existe pas déjà, et transmet l'alias de fédération au fournisseur de service. Si le fournisseur de service connaît cet alias, il identifie cet utilisateur complètement au moyen de cet alias ; sinon, il peut soit demander à l'utilisateur de s'authentifier, par exemple par login/mot de passe, et associer cet alias à l'identité de l'utilisateur, soit créer une nouvelle identité pour cet utilisateur. Pour un utilisateur donné auprès d'un fournisseur de service donné, le fournisseur d'identité peut soit fournir le même alias à chaque fois que le fournisseur de service lui envoie une requête, soit fournir un alias dit "à usage unique".Specifically, when a user submits an access request to a service provider, the service provider contacts the identity provider. The identity provider authenticates the user, if necessary by asking him for his login / password, generates for this user and for this service provider a so-called "federation" alias if this alias does not already exist, and transmits the federation alias to the service provider. If the service provider knows this alias, it identifies this user completely using this alias; otherwise, it can either ask the user to authenticate, for example by login / password, and associate this alias with the identity of the user, or create a new identity for this user. For a given user with a given service provider, the identity provider can either provide the same alias each time the service provider sends him a request, or provide a so-called "one-time" alias.
Malheureusement, les mécanismes de fédération d'identités et d'échange d'alias permettant de déléguer l'authentification d'un utilisateur, proposés par le projet Liberty Alliance, n'ont d'application que dans un contexte faisant intervenir des services dans lesquels le fournisseur d'identité et le fournisseur de service sont accessibles par l'utilisateur selon le protocole IP (Internet Protocol), la connectivité réseau étant préalablement établie. Ainsi, on demande toujours à l'utilisateur de s'authentifier d'abord pour accéder au réseau et ensuite auprès du fournisseur d'identité, par exemple en saisissant deux login/mot de passe différents.Unfortunately, the identity federation and alias exchange mechanisms for delegating user authentication offered by the Liberty Alliance project are only applicable in a context involving services in which the identity provider and the service provider are accessible by the user according to the IP (Internet Protocol), network connectivity being previously established. Thus, the user is always asked to authenticate first to access the network and then to the identity provider, for example by entering two different login / password.
Le document FR 2 860 111 propose un système d'accès à un réseau adapté à la mise en œuvre d'un procédé d'authentification unique SSO. Dans ce système, un utilisateur s'étant préalablement authentifié auprès d'un fournisseur d'accès pour accéder au réseau Internet et désirant accéder à un service, envoie une requête d'accès à un fournisseur de service. Celui-ci, en réponse, renvoie une requête d'authentification à l'utilisateur, pour qu'il s'authentifie auprès d'un serveur d'authentification. Cette requête d'authentification est interceptée et traitée par le système d'accès puis transmise jusqu'au serveur d'authentification. Le traitement effectué par le système d'accès sur la requête permet au serveur d'authentification d'utiliser l'authentification préalable de l'utilisateur auprès du fournisseur d'accès pour l'authentifier. Le système d'accès envoie ensuite au fournisseur de service une réponse d'authentification comportant notamment l'identifiant de l'utilisateur connu du fournisseur d'accès.The document FR 2 860 111 proposes a system for accessing a network adapted to the implementation of an SSO single authentication method. In this system, a user having previously authenticated to an access provider to access the Internet and wishing to access a service, sends an access request to a service provider. The user, in response, returns an authentication request to the user to authenticate with an authentication server. This authentication request is intercepted and processed by the access system and transmitted to the authentication server. The processing performed by the access system on the request enables the authentication server to use the prior authentication of the user with the access provider to authenticate it. The access system then sends the service provider an authentication response including in particular the identifier of the known user of the access provider.
Par conséquent dans un tel système, le fournisseur de service doit rediriger l'utilisateur, via la requête d'authentification, vers un fournisseur d'identité ou un serveur d'authentification auquel il demande explicitement d'authentifier l'utilisateur. De telles redirections sont difficiles à gérer et particulièrement coûteuses, notamment dans un environnement mobile pour des services WAP (Wireless Application Protocol en anglais) par exemple. Ces redirections ont par ailleurs un impact négatif important en termes de temps de réponse vis-à-vis de l'utilisateur.Therefore in such a system, the service provider must redirect the user, via the authentication request, to an identity provider or an authentication server to which he explicitly asks to authenticate the user. Such redirects are difficult to manage and particularly expensive, especially in a mobile environment for WAP (Wireless Application Protocol) services for example. These redirects also have a significant negative impact in terms of response time vis-à-vis the user.
Objet et résumé de l'inventionObject and summary of the invention
La présente invention a donc pour but principal de pallier les inconvénients précédents. A cet effet, elle vise un dispositif de fourniture d'un identifiant de fédération réseau d'un utilisateur à un fournisseur de service, l'utilisateur étant connecté à un premier réseau de télécommunication via un fournisseur d'accès auquel il s'est connecté via un second réseau de télécommunications. Le fournisseur d'accès mémorise dans un serveur un premier identifiant et un second identifiant représentatifs des connexions de cet utilisateur respectivement au premier réseau et au second réseau. Ce serveur est apte à délivrer le second identifiant en réponse à une requête d'obtention du second identifiant, cette requête comportant le premier identifiant.The present invention therefore has the main purpose of overcoming the above disadvantages. For this purpose, it relates to a device for providing a network federation identifier from a user to a service provider, the user being connected to a first telecommunications network via an access provider to which he has connected via a second telecommunications network. The access provider stores in a server a first identifier and a second identifier representative of the connections of this user respectively to the first network and the second network. This server is capable of delivering the second identifier in response to a request for obtaining the second identifier, this request comprising the first identifier.
Le dispositif de fourniture selon l'invention comporte des moyens pour intercepter une première requête d'accès émise par l'utilisateur au fournisseur de service et des moyens pour extraire de cette requête le premier identifiant. Le dispositif de fourniture selon l'invention obtient le second identifiant de l'utilisateur en envoyant au serveur la requête d'obtention comportant le premier identifiant, comme décrit précédemment.The supply device according to the invention comprises means for intercepting a first access request sent by the user to the service provider and means for extracting the first identifier from this request. The supply device according to the invention obtains the second identifier of the user by sending to the server the obtaining request including the first identifier, as described above.
Le dispositif de fourniture selon l'invention comporte également des moyens pour obtenir l'identifiant de fédération réseau de cet utilisateur à partir du second identifiant et des moyens pour fournir au fournisseur de service une seconde requête d'accès construite à partir de la première requête d'accès émise par l'utilisateur, et comportant cet identifiant de fédération réseau.The delivery device according to the invention also comprises means for obtaining the network federation identifier of this user from the second identifier and means for providing the service provider with a second access request constructed from the first request. access issued by the user, and including this network federation identifier.
Ainsi, le dispositif de fourniture selon l'invention permet avantageusement en interceptant la requête d'accès émise par l'utilisateur vers le fournisseur de service d'éviter à celui-ci de rediriger l'utilisateur vers un fournisseur d'identité via une requête d'authentification. Le fournisseur de service n'a ainsi pas besoin de demander à un fournisseur d'identité d'authentifier l'utilisateur. Sans en avoir fait la demande explicite, il reçoit spontanément du dispositif de fourniture selon l'invention la requête d'accès de l'utilisateur accompagnée d'un identifiant de fédération réseau de cet utilisateur, ce qui lui permet ensuite de donner rapidement l'accès au service demandé par l'utilisateur. Ceci permet avantageusement de diminuer les opérations réalisées par le fournisseur de service, et en particulier de diminuer les temps de réponse envers l'utilisateur pour lui donner accès au service. En conséquence, le dispositif selon l'invention pallie les limites du système d'accès décrit dans le document FR 2 860 111.Thus, the delivery device according to the invention advantageously makes it possible by intercepting the access request sent by the user to the service provider to prevent the latter from redirecting the user to an identity provider via a request. authentication. The service provider does not need to ask an identity provider to authenticate the user. Without having made the explicit request, it spontaneously receives from the delivery device according to the invention the access request of the user accompanied by a network federation identifier of this user, which then allows him to quickly give the access to the service requested by the user. This advantageously reduces the operations performed by the service provider, and in particular to reduce the response time to the user to give access to the service. As a result, device according to the invention overcomes the limitations of the access system described in document FR 2 860 111.
Le dispositif de fourniture selon l'invention permet par ailleurs de bénéficier directement du second identifiant de l'utilisateur. Ainsi, un fournisseur de service pourra autoriser un utilisateur à consulter des ressources en s'appuyant sur la phase d'authentification de cet utilisateur réalisée préalablement pour accéder au second réseau de télécommunication (par exemple, authentification GSM, ou authentification par login/mot de passe sur ADSL). On notera que ce second identifiant est une quantité permanente (dans la mesure où l'abonnement de l'utilisateur auprès du fournisseur d'accès n'est pas modifié), alors que le premier identifiant change en principe à chaque nouvelle connexion au premier réseau.The supply device according to the invention also makes it possible to benefit directly from the second identifier of the user. Thus, a service provider may authorize a user to consult resources based on the authentication phase of this user previously performed to access the second telecommunication network (for example, GSM authentication, or authentication by login / password). goes on ADSL). It should be noted that this second identifier is a permanent quantity (insofar as the subscription of the user to the access provider is not modified), whereas the first identifier changes in principle with each new connection to the first network. .
Avantageusement, l'invention permet une réduction considérable du nombre d'authentifications nécessaires, tout en respectant les contraintes de sécurité.Advantageously, the invention allows a considerable reduction in the number of necessary authentications, while respecting the security constraints.
Plus précisément, grâce à l'invention, un utilisateur donné s'authentifie auprès d'un fournisseur de service pour un service donné une, et une seule, fois dans le cas où le fournisseur de service gère lui- même les conditions d'obtention du service (droits d'accès, paiement, et ainsi de suite) ; lors des requêtes suivantes pour le même service, le fournisseur reconnaît l'identifiant de fédération réseau (permanent) de cet utilisateur, et n'a donc pas besoin de lui demander une nouvelle authentification. Et dans le cas où le fournisseur de service délègue au fournisseur d'accès la gestion desdites conditions d'obtention du service, l'utilisateur est complètement dispensé de toute authentification auprès du fournisseur de service (dans ce cas, l'identifiant de fédération réseau peut être du type "à usage unique").More specifically, thanks to the invention, a given user authenticates with a service provider for a given service one, and only once, in the event that the service provider manages the conditions for obtaining the service itself. the service (access rights, payment, and so on); during subsequent requests for the same service, the provider recognizes the network federation identifier (permanent) of this user, and therefore does not need to request a new authentication. And in the case where the service provider delegates to the service provider the management of said conditions for obtaining the service, the user is completely exempt from any authentication with the service provider (in this case, the network federation identifier may be of the "single use" type).
Dans un mode de réalisation particulier de l'invention, l'identifiant de fédération réseau est le second identifiant de l'utilisateur, représentatif de la connexion de l'utilisateur au second réseau de télécommunication via le fournisseur d'accès. Ceci permet ainsi d'avoir un identifiant unique pour tous les fournisseurs de service et le fournisseur d'accès. Dans un mode de réalisation particulier de l'invention, l'identifiant de fédération réseau est un alias de fédération réseau. Cet alias de fédération réseau permet avantageusement de ne pas divulguer au fournisseur de service l'identifiant de connectivité réseau de l'utilisateur, mais un identifiant propre au fournisseur de service. En effet, l'utilisateur ne désire pas nécessairement que son identifiant de connectivité réseau soit connu du fournisseur de service.In a particular embodiment of the invention, the network federation identifier is the second identifier of the user, representative of the connection of the user to the second telecommunications network via the access provider. This makes it possible to have a unique identifier for all the service providers and the access provider. In a particular embodiment of the invention, the network federation identifier is a network federation alias. This network federation alias advantageously makes it possible not to disclose to the service provider the network connectivity identifier of the user, but an identifier specific to the service provider. Indeed, the user does not necessarily want his network connectivity identifier to be known to the service provider.
Dans un mode particulier de réalisation, le dispositif selon l'invention comporte une table qui associe le second identifiant d'un utilisateur avec l'identifiant de fédération réseau de cet utilisateur connu du fournisseur de service. L'homme du métier comprendra que cette table est utilisée dans le cas où l'utilisateur a déjà fédéré son identité chez le fournisseur de service avec son identité réseau (second identifiant) chez l'opérateur.In a particular embodiment, the device according to the invention comprises a table which associates the second identifier of a user with the network federation identifier of this known user of the service provider. Those skilled in the art will understand that this table is used in the case where the user has already federated his identity at the service provider with his network identity (second identifier) at the operator.
Dans un mode particulier de réalisation, les moyens d'obtention de l'identifiant de fédération réseau sont adaptés à générer cet identifiant et à le mémoriser dans la table en association avec le second identifiant de cet utilisateur et une référence du fournisseur de service.In a particular embodiment, the means for obtaining the network federation identifier are adapted to generate this identifier and to store it in the table in association with the second identifier of this user and a reference of the service provider.
Comme décrit ultérieurement en référence au procédé, ces moyens de génération sont mis en œuvre lorsque l'utilisateur n'a pas encore fédéré son identité chez le fournisseur de service avec son identité réseau (second identifiant) chez l'opérateur.As described later with reference to the method, these generation means are implemented when the user has not yet federated his identity at the service provider with his network identity (second identifier) at the operator.
Dans le cas d'un identifiant de fédération à usage unique, cet identifiant de fédération est effacé de ladite table lorsque la connexion au second réseau se termine.In the case of a one-time federation identifier, this federation identifier is deleted from said table when the connection to the second network terminates.
Dans un mode de réalisation particulier, les moyens d'obtention et de fourniture de l'identifiant de fédération réseau sont conformes au standard LibertyAlliance, l'identifiant de fédération réseau étant un alias de fédération au sens de ce standard.In a particular embodiment, the means for obtaining and providing the network federation identifier are in accordance with the LibertyAlliance standard, the network federation identifier being a federation alias within the meaning of this standard.
Corrélativement, l'invention concerne un procédé de fourniture d'un identifiant de fédération réseau d'un utilisateur à un fournisseur de service, l'utilisateur étant connecté à un premier réseau de télécommunication via un fournisseur d'accès auquel il s'est connecté via un second réseau de télécommunications. Le fournisseur d'accès mémorise dans un serveur un premier identifiant et un second identifiant représentatifs des connexions de cet utilisateur respectivement au premier réseau et au second réseau. Ce serveur est apte à délivrer le second identifiant en réponse à une requête d'obtention du second identifiant, cette requête comportant le premier identifiant. Ce procédé comporte :Correlatively, the invention relates to a method of providing a network federation identifier of a user to a service provider, the user being connected to a first telecommunications network via an access provider to which he has connected via a second telecommunications network. The access provider stores in a server a first identifier and a second identifier representative of the connections of this user respectively to the first network and the second network. This server is able to deliver the second identifier in response to a request for obtaining the second identifier, this request comprising the first identifier. This process comprises:
- une étape d'interception d'une première requête d'accès émise par l'utilisateur au fournisseur de service et d'extraction du premier identifiant de la première requête ;a step of intercepting a first access request sent by the user to the service provider and retrieving the first identifier of the first request;
- une étape d'obtention du second identifiant en envoyant au serveur une requête d'obtention du second identifiant comportant le premier identifiant ;a step of obtaining the second identifier by sending the server a request to obtain the second identifier comprising the first identifier;
- une étape d'obtention de l'identifiant de fédération réseau de cet utilisateur à partir du second identifiant ; eta step of obtaining the network federation identifier of this user from the second identifier; and
- une étape de fourniture au fournisseur de service d'une seconde requête d'accès construite à partir de la première requête d'accès et comportant l'identifiant de fédération réseau de l'utilisateur.a step of supplying the service provider with a second access request constructed from the first access request and comprising the network federation identifier of the user.
Dans un mode de réalisation particulier, l'identifiant de fédération réseau obtenu au cours de l'étape d'obtention de l'identifiant de fédération réseau du procédé selon l'invention est un alias de fédération réseau.In a particular embodiment, the network federation identifier obtained during the step of obtaining the network federation identifier of the method according to the invention is a network federation alias.
Dans un mode de réalisation particulier de l'invention, l'identifiant de fédération réseau obtenu au cours de l'étape d'obtention de l'identifiant de fédération réseau du procédé selon l'invention est le second identifiant de l'utilisateur, représentatif de la connexion de l'utilisateur au second réseau de télécommunication via le fournisseur d'accès.In a particular embodiment of the invention, the network federation identifier obtained during the step of obtaining the network federation identifier of the method according to the invention is the second identifier of the user, representative the user's connection to the second telecommunication network via the access provider.
Dans un mode particulier de réalisation, le procédé de fourniture d'un identifiant de fédération réseau selon l'invention comporte en outre : - une étape de génération de l'identifiant de fédération réseau de l'utilisateur auprès du fournisseur de service ; etIn a particular embodiment, the method of providing a network federation identifier according to the invention further comprises: a step of generating the network federation identifier of the user from the service provider; and
- une étape de mémorisation de cet identifiant de fédération réseau dans une table en association avec le second identifiant et de cet utilisateur et une référence du fournisseur de service. Selon une implémentation particulière, les différentes étapes du procédé de fourniture sont déterminées par des instructions de programmes d'ordinateurs.a step of storing this network federation identifier in a table in association with the second identifier and of this user and a reference of the service provider. In a particular implementation, the different steps of the provisioning method are determined by computer program instructions.
En conséquence, l'invention vise aussi un programme d'ordinateur sur un support d'informations, ledit programme étant susceptible d'être mis en œuvre dans un système informatique et comportant des instructions adaptées à la mise en œuvre du procédé de fourniture d'un identifiant de fédération réseau selon l'invention.Consequently, the invention also relates to a computer program on an information carrier, said program being capable of being implemented in a computer system and comprising instructions adapted to implement the method of providing a network federation identifier according to the invention.
Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other form desirable shape.
L'invention vise aussi un support d'informations lisible par un ordinateur et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.The invention also relates to a computer-readable information medium comprising instructions of a computer program as mentioned above.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.The information carrier may be any entity or device capable of storing the program. For example, the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording medium, for example a floppy disk or a disk. hard.
D'autre part, le support d'informations peut être un support transmissïble tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.On the other hand, the information medium may be a transmissive medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means. The program according to the invention can be downloaded in particular on an Internet type network.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.Alternatively, the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
Brève description des dessinsBrief description of the drawings
D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :Other features and advantages of the present invention will emerge from the description given below, with reference to the accompanying drawings which illustrate an embodiment having no limiting character. In the figures:
- la figure 1 représente, de façon schématique, un dispositif de fourniture d'un identifiant de fédération réseau conforme à l'invention dans un mode de réalisation particulier de l'invention, et les échanges de messages avec un fournisseur de service et un serveur d'accès ; - la figure 2 représente les principales étapes d'un procédé de fourniture d'un identifiant de fédération réseau conforme à l'invention, mis en œuvre par le dispositif de la figure 1.FIG. 1 schematically represents a device for providing a network federation identifier according to the invention in a particular embodiment of the invention, and exchanges messages with a service provider and a server. access; FIG. 2 represents the main steps of a method of providing a network federation identifier according to the invention, implemented by the device of FIG. 1.
Description détaillée d'un mode de réalisationDetailed description of an embodiment
La figure 1 représente un dispositif 10 de fourniture d'un identifiant de fédération réseau conforme à l'invention dans un mode particulier de réalisation. Dans l'exemple décrit ici, l'identifiant de fédération réseau est un alias de fédération réseau, au sens du standard Liberty Alliance.FIG. 1 represents a device 10 for providing a network federation identifier according to the invention in a particular embodiment. In the example described here, the network federation identifier is a network federation alias, as defined by the Liberty Alliance standard.
Ce dispositif 10 est relié à un premier réseau 1, ici de type Internet.This device 10 is connected to a first network 1, here of the Internet type.
Sur la figure 1, les traits tiretés représentent les connexions physiques aux réseaux, et les flèches pleines l'envoi des messages entre deux machines.In Figure 1, the dashed lines represent the physical connections to the networks, and the full arrows sending messages between two machines.
Ce dispositif 10 comporte un processeur 20, une mémoire morte 22 de type ROM, une mémoire vive 21 de type RAM, une mémoire non volatile réinscriptible 23 de type FLASH, ces éléments étant reliés entre eux par un système de bus 100. La mémoire morte 22 comporte un programme d'ordinateurThis device 10 comprises a processor 20, a read-only memory 22 of the ROM type, a random-access memory 21 of the RAM type, a FLASH-type non-volatile rewritable memory 23, these elements being interconnected by a bus system 100. Read-only memory 22 has a computer program
PROG comportant des instructions adaptées à la mise en œuvre des étapes ElO à E60 du procédé de fourniture conforme à l'invention et représenté à la figure 2.PROG comprising instructions adapted to the implementation of steps ElO to E60 of the supply method according to the invention and shown in Figure 2.
Sur la figure 1 on a représenté un fournisseur de service 30, le client HTTP du terminal d'un utilisateur 5.FIG. 1 shows a service provider 30, the HTTP client of the terminal of a user 5.
L'utilisateur 5 est connecté au premier réseau 1 via un fournisseur d'accès auquel l'utilisateur 5 s'est connecté via un second réseau 2 de télécommunication (réseau d'accès).The user 5 is connected to the first network 1 via an access provider to which the user 5 has connected via a second telecommunication network 2 (access network).
Dans l'exemple décrit ici, le réseau d'accès 2 est un réseau ADSL.In the example described here, the access network 2 is an ADSL network.
Il peut aussi être constitué notamment par le réseau GPRS ou WIFI.It can also be constituted in particular by the GPRS or WIFI network.
Conformément à l'invention, le dispositif 10 de fourniture d'alias comporte des moyens de communication 11, reliés au bus 100, permettant de communiquer de façon sécurisée avec le serveur 50 du fournisseur d'accès. II comporte également des moyens de communication 12, reliés au bus 100, mettant en œuvre le protocole IP (Internet Protocol).In accordance with the invention, the device 10 for providing aliases comprises communication means 11, connected to the bus 100, making it possible to communicate securely with the server 50 of the access provider. It also comprises communication means 12, connected to the bus 100, implementing the IP (Internet Protocol).
Ces moyens de communication 12 permettent notamment la réception et l'envoi de requêtes et de réponses HTTP. Le dispositif 10 de fourniture comporte en outre des moyens 40 pour intercepter les requêtes d'accès émises par l'utilisateur 5 à destination du fournisseur de service 30.These means of communication 12 make it possible in particular to receive and send requests and HTTP responses. The delivery device 10 further comprises means 40 for intercepting the access requests sent by the user 5 to the service provider 30.
Ces moyens d'interception sont par exemple constitués par une unité du type « reverse proxy » configurée pour intercepter toutes les requêtes destinées au fournisseur de service 30.These interception means are for example constituted by a unit of the "reverse proxy" type configured to intercept all the requests intended for the service provider 30.
On supposera par la suite que l'utilisateur 5 souhaite accéder à un service offert par le fournisseur de service 30.It will be assumed later that the user 5 wishes to access a service offered by the service provider 30.
L'homme du métier comprendra qu'en pratique l'accès au réseau Internet 1 se fait par le réseau ADSL via une passerelle, non représentée sur la figure 1.Those skilled in the art will understand that in practice access to the Internet 1 is done by the ADSL network via a gateway, not shown in Figure 1.
A cet effet, le terminal du client 5, équipé dans ce mode de réalisation d'un moyen de connexion au réseau ADSL, s'authentifie, de façon connue, auprès de son opérateur ADSL.For this purpose, the client terminal 5, equipped in this embodiment with a means of connection to the ADSL network, authenticates, in a known manner, with its ADSL operator.
La phase d'authentification réseau est connue de l'homme du métier. Elle permet notamment, d'associer une adresse Internet IP_5 (premier identifiant) (ou éventuellement d'autres données caractérisant de manière unique la session d'accès), à l'identité de l'utilisateur sur le réseau d'accès, à savoir ici son identifiant ADSL nommé ci-après ID_ADSL (second identifiant). Conformément à l'invention, le fournisseur d'accès mémorise dans un serveur 50 les premier (IP_5) et second (ID_ADSL) identifiants précités.The network authentication phase is known to those skilled in the art. It makes it possible, in particular, to associate an Internet address IP_5 (first identifier) (or possibly other data uniquely characterizing the access session) with the identity of the user on the access network, namely here its ADSL identifier named hereafter ID_ADSL (second identifier). According to the invention, the access provider stores in a server 50 the first (IP_5) and second (ID_ADSL) aforementioned identifiers.
On supposera pour simplifier que le serveur 50 comporte une table T qui associe, pour chaque utilisateur, les deux identifiants Internet IP_5 et ID_ADSLIt will be assumed for simplicity that the server 50 comprises a table T which associates, for each user, the two Internet identifiers IP_5 and ID_ADSL
Une fois cette connectivité réseau établie, l'utilisateur 5 peut accéder au service du fournisseur de service 30.Once this network connectivity is established, the user 5 can access the service of the service provider 30.
A cet effet, par le biais de son logiciel client, il envoie une requête d'accès Rl à destination du fournisseur 30. On supposera dans cet exemple que le fournisseur de service 30 souhaite authentifier l'utilisateur 5 par lui-même. Bien entendu, l'homme du métier comprendra que cette authentification peut se faire par l'intermédiaire d'un autre fournisseur d'identité, qui joue un rôle intermédiaire entre le fournisseur de service 30 et le dispositif 10 de fourniture d'alias de fédération réseau selon l'invention. La description qui est faite ici s'applique, les requêtes échangées entre le fournisseur de service 30 et le dispositif de fourniture 10 passant par ce fournisseur intermédiaire.For this purpose, through its client software, it sends an access request R1 to the provider 30. In this example, it will be assumed that the service provider 30 wishes to authenticate the user 5 by himself. Of course, those skilled in the art will understand that this authentication can be done via another identity provider, which plays an intermediary role between the service provider 30 and the federation alias providing device 10 network according to the invention. The description that is made here applies, the requests exchanged between the service provider 30 and the delivery device 10 passing through this intermediate provider.
On se place maintenant dans l'hypothèse selon laquelle un accord a été établi entre le fournisseur de service 30 et l'opérateur du réseau d'accès ADSL de sorte que celui-ci propose de réutiliser son authentification réseau pour accéder au service du fournisseur 30.It is now assumed that an agreement has been established between the service provider 30 and the operator of the ADSL access network so that it proposes to reuse its network authentication to access the service provider 30 .
Dans l'art antérieur, et en particulier dans le document FRIn the prior art, and in particular in the document FR
2 860 111, sur réception de la requête Rl, le fournisseur de service 30 redirige (requête HTTP 302 Redirect) le logiciel client de l'utilisateur 5 vers un fournisseur d'identité ou un serveur d'authentification (« mode pull »).2 860 111, upon receipt of the request R1, the service provider 30 redirects (HTTP request 302 Redirect) the client software of the user 5 to an identity provider or an authentication server ("pull mode").
Le dispositif 10 de fourniture selon l'invention fonctionne enThe supply device 10 according to the invention operates in
« mode push », c'est-à-dire qu'il intercepte au cours d'une étape ElO, la requête d'accès Rl envoyée par l'utilisateur 5 à destination du fournisseur de service 30, à l'aide des moyens d'interception 40. Ceci permet notamment avantageusement d'éviter les redirections mises en œuvre par le fournisseur de service dans les systèmes de l'art antérieur."Push mode", that is to say it intercepts during a step ElO, the access request Rl sent by the user 5 to the service provider 30, using the means This interception notably makes it possible advantageously to avoid the redirections implemented by the service provider in the systems of the prior art.
Cette étape ElO est suivie par une étape E20 au cours de laquelle le dispositif de fourniture 10 obtient le premier identifiant constitué dans cet exemple par l'adresse Internet IP_5 de l'utilisateur. Cette étape E20, qui consiste à extraire un champ d'adresse d'une trame HTTP, est connue et ne sera pas décrite ici.This step ElO is followed by a step E20 during which the delivery device 10 obtains the first identifier constituted in this example by the Internet address IP_5 of the user. This step E20, which consists of extracting an address field from an HTTP frame, is known and will not be described here.
Au cours de cette étape, le processeur 20 mémorise le premier identifiant (adresse Internet IP_5) dans la mémoire vive 21.During this step, the processor 20 stores the first identifier (Internet address IP_5) in the random access memory 21.
L'étape E20 d'obtention d'adresse est suivie par une étape E30 au cours de laquelle le dispositif 10 envoie, en utilisant les moyens de communication sécurisée 11, une requête R4 d'obtention du second identifiant au serveur d'accès 50. Cette requête R4 comporte le premier identifiant IP_5 mémorisé à l'étape précédente dans la mémoire vive 21.The step E20 for obtaining an address is followed by a step E30 during which the device 10 sends, using the secure communication means 11, a request R4 for obtaining the second identifier to the access server 50. This request R4 comprises the first identifier IP_5 stored in the previous step in the random access memory 21.
Sur réception de cette requête R4, le serveur d'accès 50 lit, dans la table T, le second identifiant (identité réseau ID_ADSL) de l'utilisateur 5, et renvoie ce second identifiant dans une réponse R5 au dispositif 10 de fourniture.Upon receipt of this request R4, the access server 50 reads, in the table T, the second identifier (network identity ID_ADSL) of the user 5, and returns this second identifier in a response R5 to the delivery device 10.
Cette réponse R5 est reçue par le dispositif 10 au cours d'une étape E40. Au cours de cette même étape, le processeur 20 mémorise l'identité réseau ID_ADSL (second identifiant) dans la mémoire vive 21.This response R5 is received by the device 10 during a step E40. During this same step, the processor 20 stores the network identity ID_ADSL (second identifier) in the random access memory 21.
Au cours d'un test E50, le dispositif 10 de fourniture détermine si le second identifiant (identité réseau ID_ADSL) de l'utilisateur 5 a déjà été fédéré avec une identité auprès du fournisseur de service 30.During an E50 test, the provisioning device 10 determines whether the second identifier (network identity ID_ADSL) of the user 5 has already been federated with an identity with the service provider 30.
Dans le mode de réalisation décrit ici, cela revient à rechercher, dans une table 13 mémorisée dans la mémoire FLASH 23, si il existe une association entre l'identité réseau ID_ADSL (second identifiant) et un identifiant de fédération réseau (l'alias de fédération dans le présent mode de réalisation) pour le fournisseur de service 30.In the embodiment described here, this amounts to searching, in a table 13 stored in the FLASH memory 23, if there is an association between the network identity ID_ADSL (second identifier) and a network federation identifier (the alias of federation in the present embodiment) for the service provider 30.
Nous supposerons ici que ce n'est pas encore le cas. Dans ce cas, le résultat du test E50 est négatif.We will assume here that this is not yet the case. In this case, the result of the E50 test is negative.
Ce test est alors suivi par une étape E52 au cours de laquelle le dispositif de fourniture 10 génère un alias de fédération 1234 de l'utilisateur 5 pour le fournisseur de service 30.This test is then followed by a step E52 during which the delivery device 10 generates a federation alias 1234 of the user 5 for the service provider 30.
Cet alias 1234 est, dans l'exemple décrit ici, unique pour chaque fournisseur de service.This alias 1234 is, in the example described here, unique for each service provider.
Cette étape de génération d'alias est connue de l'homme du métier et ne sera pas décrite ici. Elle s'effectue par exemple par tirage aléatoire d'une suite alphanumérique.This alias generation step is known to those skilled in the art and will not be described here. It is performed for example by random draw of an alphanumeric sequence.
Cette étape E52 de génération de l'alias 1234 est suivie par une étape E53 au cours de laquelle le processeur 20 mémorise, dans la table 13 de la mémoire FLASH 23, un triplet associant l'identité réseau ID_ADSL, l'alias 1234 et la référence 30 du fournisseur de service.This step E52 of generation of the alias 1234 is followed by a step E53 during which the processor 20 stores, in the table 13 of the FLASH memory 23, a triplet associating the network identity ID_ADSL, the alias 1234 and the reference 30 of the service provider.
L'étape E53 de mémorisation du code est suivie par une étape E60 au cours de laquelle le dispositif 10 de fourniture selon l'invention envoie au fournisseur de service 30, via les moyens de communication 12, une seconde requête d'accès R6 construite à partir de la première requête d'accès Rl, envoyée par l'utilisateur 5. Cette seconde requête R6 comporte l'alias de fédération réseau 1234.The step E53 for storing the code is followed by a step E60 during which the supply device 10 according to the invention sends to the service provider 30, via the communication means 12, a second access request R6 built to from the first access request R1, sent by the user 5. This second request R6 includes the network federation alias 1234.
Le procédé et le dispositif de fourniture selon l'invention permettent ainsi d'envoyer spontanément l'alias de fédération 1234 au fournisseur de service 30, sans que celui-ci n'ait besoin d'en faire la demande explicite.The method and the supply device according to the invention thus make it possible to spontaneously send the federation alias 1234 to the service provider 30, without the latter having to make an explicit request.
Le fournisseur de service 30 authentifie l'utilisateur 5, par exemple en lui demandant de saisir un login/mot de passe, et associe l'alias 1234 à l'identité de l'utilisateur 5.The service provider 30 authenticates the user 5, for example by asking him to enter a login / password, and associates the alias 1234 with the identity of the user 5.
On suppose maintenant que l'utilisateur 5 émet à destination du fournisseur de service 30 une nouvelle requête d'accès Rl.It is now assumed that the user 5 sends to the service provider 30 a new access request R1.
On se trouve alors dans le cas où l'utilisateur 5 a déjà fédéré (au moyen de l'alias de fédération 1234) son identité chez le fournisseur de service 30 avec son identité réseau ID__ADSL chez l'opérateur ADSL.We then find ourselves in the case where the user 5 has already federated (by means of the federation alias 1234) his identity at the service provider 30 with his ID__ADSL network identity at the ADSL operator.
Les étapes ElO à E40 s'effectuent de la façon décrite précédemment.Steps ElO to E40 are performed as previously described.
En revanche, le résultat du test E50 de détermination de fédération sera positif. En effet, dans ce cas, la table 13 de la mémoire FLASH 23 comporte une association entre l'identité réseau ID_ADSL et l'alias de fédération 1234 pour le fournisseur de service 30.On the other hand, the result of the E50 federation determination test will be positive. Indeed, in this case, the table 13 of the FLASH memory 23 comprises an association between the network identity ID_ADSL and the federation alias 1234 for the service provider 30.
Dans ce cas, l'obtention de l'alias de fédération 1234 pour l'utilisateur 5 se fait par simple lecture de cette table 13 (étape E54). Cette étape de lecture est suivie par l'étape E60 d'envoi de l'alias 1234 précédemment décrite. In this case, obtaining the federation alias 1234 for the user 5 is done by simply reading this table 13 (step E54). This reading step is followed by the sending step E60 of the alias 1234 previously described.

Claims

REVENDICATIONS
1. Dispositif (10) de fourniture à un fournisseur de service (30), d'un identifiant de fédération réseau (ID_ADSL,1234) d'un utilisateur (5) - ledit utilisateur (5) étant connecté à un premier réseau de télécommunication (1) via un fournisseur d'accès auquel l'utilisateur s'est connecté via un second réseau de télécommunication (2) ;1. Device (10) for supplying a service provider (30) with a network federation identifier (ID_ADSL, 1234) of a user (5) - said user (5) being connected to a first telecommunications network (1) via an access provider to which the user has connected via a second telecommunication network (2);
- ledit fournisseur d'accès mémorisant dans un serveur (50) un premier identifiant (IP_5) et un second identifiant (ID_ADSL) représentatifs des connexions de cet utilisateur (5) respectivement audit premier réseau- said access provider storing in a server (50) a first identifier (IP_5) and a second identifier (ID_ADSL) representative of the connections of this user (5) respectively to said first network
(1) et audit second réseau (2) ;(1) and said second network (2);
- ledit serveur (50) étant apte à délivrer ledit second identifiant (ID_ADSL) en réponse (R5) à une requête d'obtention dudit second identifiant (R4), cette requête comportant ledit premier identifiant (IP_5) ; ledit dispositif de fourniture étant caractérisé en ce qu'il comporte :said server (50) being able to deliver said second identifier (ID_ADSL) in response (R5) to a request for obtaining said second identifier (R4), this request comprising said first identifier (IP_5); said supply device being characterized in that it comprises:
- des moyens (40) pour intercepter une première requête d'accès (Rl) émise par ledit utilisateur (5) audit fournisseur de service et pour extraire de ladite première requête (Rl) ledit premier identifiant (IP_5) ;means (40) for intercepting a first access request (R1) sent by said user (5) to said service provider and for extracting from said first request (R1) said first identifier (IP_5);
- des moyens (11) pour obtenir ledit second identifiant (ID_ADSL) en envoyant audit serveur (50) ladite requête d'obtention (R4) ;means (11) for obtaining said second identifier (ID_ADSL) by sending to said server (50) said obtaining request (R4);
- des moyens (20,21,22,23) pour obtenir ledit identifiant de fédération réseau (ID_ADSL, 1234) à partir dudit second identifiant (ID_ADSL) ; etmeans (20,21,22,23) for obtaining said network federation identifier (ID_ADSL, 1234) from said second identifier (ID_ADSL); and
- des moyens (20,12) pour fournir audit fournisseur de service (30) une seconde requête d'accès (R6) construite à partir de ladite première requête d'accès (Rl) et comportant ledit identifiant de fédération réseau (ID_ADSL,1234).means (20, 12) for providing to said service provider (30) a second access request (R6) constructed from said first access request (R1) and comprising said network federation identifier (ID_ADSL, 1234 ).
2. Dispositif (10) de fourniture d'un identifiant de fédération réseau selon la revendication 1, caractérisé en ce que ledit identifiant de fédération réseau (1234) est un alias de fédération réseau.2. Device (10) for providing a network federation identifier according to claim 1, characterized in that said network federation identifier (1234) is a network federation alias.
3. Dispositif (10) de fourniture d'un identifiant de fédération réseau selon la revendication 1, caractérisé en ce que ledit identifiant de fédération réseau est ledit second identifiant (ID_ADSL) dudit utilisateur (5).3. Device (10) for providing a network federation identifier according to claim 1, characterized in that said identifier of network federation is said second identifier (ID_ADSL) of said user (5).
4. Dispositif (10) de fourniture d'un identifiant de fédération réseau (1234) selon l'une quelconque des revendications 1 à 3, caractérisé en ce qu'il comporte une table (13) qui associe le second identifiant4. Device (10) for providing a network federation identifier (1234) according to any one of claims 1 to 3, characterized in that it comprises a table (13) which associates the second identifier
(ID_ADSL) d'un utilisateur (5) avec l'identifiant de fédération réseau(ID_ADSL) of a user (5) with network federation ID
(1234) de cet utilisateur connu du fournisseur de service (30).(1234) of this known user of the service provider (30).
5. Dispositif (10) de fourniture d'un identifiant de fédération réseau (1234) selon l'une quelconque des revendications 1 à 4, caractérisé en ce que lesdits moyens d'obtention (20, 21, 22, 23) de l'identifiant de fédération réseau (1234) d'un utilisateur (5) auprès d'un fournisseur de service (30) sont adaptés à générer cet identifiant de fédération réseau (1234) et à le mémoriser dans une table (13) en association avec ledit second identifiant (ID_ADSL) de cet utilisateur (5) et une référence (30) de ce fournisseur de service (30).5. Device (10) for providing a network federation identifier (1234) according to any one of claims 1 to 4, characterized in that said means for obtaining (20, 21, 22, 23) the network federation identifier (1234) of a user (5) from a service provider (30) are adapted to generate this network federation identifier (1234) and store it in a table (13) in association with said second identifier (ID_ADSL) of this user (5) and a reference (30) of this service provider (30).
6. Dispositif (10) de fourniture d'un identifiant de fédération réseau (1234) selon l'une quelconque des revendications 1, 2, 4 et 5, caractérisé en ce que lesdits moyens d'obtention (20, 21, 22, 23) et de fourniture (20,12) d'identifiant de fédération réseau sont conformes au standard LibertyAlliance et en ce que ledit identifiant de fédération réseau (1234) est un alias de fédération réseau au sens de ce standard.6. Device (10) for providing a network federation identifier (1234) according to any one of claims 1, 2, 4 and 5, characterized in that said obtaining means (20, 21, 22, 23 ) and network federation identifier provision (20,12) are compliant with the LibertyAlliance standard and that said network federation identifier (1234) is a network federation alias in the sense of this standard.
7. Procédé de fourniture d'un identifiant de fédération réseau d'un utilisateur (5) à un fournisseur de service (30),A method of providing a user's network federation identifier (5) to a service provider (30),
- ledit utilisateur étant connecté à un premier réseau de télécommunication (1) via un fournisseur d'accès auquel l'utilisateur s'est connecté via un second réseau de télécommunication (2) ;said user being connected to a first telecommunication network (1) via an access provider to which the user has connected via a second telecommunication network (2);
- ledit fournisseur d'accès mémorisant dans un serveur (50) un premier identifiant (IP_5) et un second identifiant (ID_ADSL) représentatifs des connexions de cet utilisateur (5) respectivement audit premier réseau (1) et audit second réseau (2) ; - ledit serveur (50) étant apte à délivrer ledit second identifiant (ID_ADSL) en réponse à une requête d'obtention dudit second identifiant (R4) comportant ledit premier identifiant (IP_5) ; ledit procédé étant caractérisé en ce qu'il comporte ; - une étape d'interception (ElO) d'une première requête d'accès (Rl) émise par ledit utilisateur (5) audit fournisseur de service (30) et d'extraction (E20) dudit premier identifiant (IP_5) de ladite première requête (Rl) ;- said access provider storing in a server (50) a first identifier (IP_5) and a second identifier (ID_ADSL) representative of the connections of this user (5) respectively to said first network (1) and said second network (2); said server (50) being able to deliver said second identifier (ID_ADSL) in response to a request to obtain said second identifier (R4) comprising said first identifier (IP_5); said method being characterized in that it comprises; an interception step (ElO) of a first access request (Rl) sent by said user (5) to said service provider (30) and to extraction (E20) of said first identifier (IP_5) of said first query (Rl);
- une étape d'obtention (E40) dudit second identifiant (ID_ADSL) en envoyant (E30) audit serveur (50) ladite requête d'obtention (R4) comportant ledit premier identifiant (IP_5) ;a step of obtaining (E40) said second identifier (ID_ADSL) by sending (E30) to said server (50) said obtaining request (R4) comprising said first identifier (IP_5);
- une étape d'obtention (E52,E54) dudit identifiant de fédération (ID_ADSL,1234) à partir dudit second identifiant (ID_ADSL) ; eta step of obtaining (E52, E54) said federation identifier (ID_ADSL, 1234) from said second identifier (ID_ADSL); and
- une étape de fourniture (E60) audit fournisseur de service (30) d'une seconde requête d'accès (R6) construite à partir de ladite première requête d'accès (Rl) et comportant ledit identifiant de fédération réseau (ID_ADSL,1234).a step of providing (E60) to said service provider (30) a second access request (R6) constructed from said first access request (R1) and comprising said network federation identifier (ID_ADSL, 1234 ).
8. Procédé de fourniture d'un identifiant de fédération réseau selon la revendication 7, caractérisé en ce que ledit identifiant de fédération réseau est un alias de fédération réseau (1234).The method of providing a network federation identifier according to claim 7, characterized in that said network federation identifier is a network federation alias (1234).
9. Procédé de fourniture d'un identifiant de fédération réseau selon la revendication 7, caractérisé en ce que ledit identifiant de fédération réseau est ledit second identifiant (IP_5) dudit utilisateur.9. A method of providing a network federation identifier according to claim 7, characterized in that said network federation identifier is said second identifier (IP_5) of said user.
10. Procédé de fourniture d'un identifiant de fédération réseau (ID_ADSL,1234) selon l'une quelconque des revendications 7 à 9, caractérisé en ce que ledit identifiant de fédération réseau est obtenu (E54) par lecture dans une table (13) qui associe ledit second identifiant (ID_ADSL) d'un utilisateur (5) avec ledit identifiant de fédération réseau (1234) de cet utilisateur connu du fournisseur de service (30).10. A method of providing a network federation identifier (ID_ADSL, 1234) according to any one of claims 7 to 9, characterized in that said network federation identifier is obtained (E54) by reading in a table (13). associating said second identifier (ID_ADSL) of a user (5) with said network federation identifier (1234) of that known user of the service provider (30).
11. Procédé de fourniture d'un identifiant de fédération réseau selon l'une quelconque des revendications 7 à 10, caractérisé en ce qu'il comporte : - une étape (E52) de génération dudit identifiant de fédération réseau (1234) dudit utilisateur (5) auprès dudit fournisseur de service (30) ; et11. A method of providing a network federation identifier according to any one of claims 7 to 10, characterized in that it comprises: a step (E52) of generating said network federation identifier (1234) of said user (5) from said service provider (30); and
- une étape (E53) de mémorisation dudit identifiant de fédération réseau (1234) dans une table (13) en association avec ledit second identifiant (ID_ADSL) dudit utilisateur (5) et une référence (30) audit fournisseur de service (30).a step (E53) of storing said network federation identifier (1234) in a table (13) in association with said second identifier (ID_ADSL) of said user (5) and a reference (30) to said service provider (30).
12. Procédé de fourniture d'un identifiant de fédération réseau selon l'une quelconque des revendications 7, 8, 10 et 11, caractérisé en ce que lesdites étapes (E52, E54) d'obtention et (E60) de fourniture d'un identifiant de fédération réseau (1234) sont conformes au standard LibertyAlliance, et en ce que ledit identifiant de fédération réseau (1234) est un alias de fédération au sens de ce standard.12. A method of providing a network federation identifier according to any one of claims 7, 8, 10 and 11, characterized in that said steps (E52, E54) for obtaining and (E60) providing a network federation identifier (1234) are compliant with the LibertyAlliance standard, and in that said network federation identifier (1234) is a federation alias in the sense of this standard.
13. Programme d'ordinateur sur un support d'informations, ledit programme (PROG) étant susceptible d'être mis en œuvre dans système informatique, caractérisé en ce qu'il comporte des instructions adaptées à la mise en œuvre d'un procédé de fourniture d'un identifiant de fédération réseau selon l'une des revendications 7 à 12, lorsque ledit programme est exécuté par cet ordinateur.13. Computer program on an information carrier, said program (PROG) being capable of being implemented in a computer system, characterized in that it comprises instructions adapted to the implementation of a method of providing a network federation identifier according to one of claims 7 to 12, when said program is executed by that computer.
14. Support d'informations (22) lisible par un ordinateur, sur lequel est enregistré un programme d'ordinateur qui comporte des instructions pour l'exécution des étapes d'un procédé de fourniture d'un identifiant de fédération réseau selon l'une quelconque des revendications14. A computer-readable information carrier (22) on which a computer program is stored which includes instructions for performing the steps of a method of providing a network federation identifier according to one of the any of the claims
7 à 12. 7 to 12.
PCT/FR2006/051157 2005-11-09 2006-11-09 Method and device for delivering a federation network identifier to a service provider WO2007054657A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0511370A FR2893208A1 (en) 2005-11-09 2005-11-09 METHOD AND DEVICE FOR PROVIDING NETWORK IDENTITY FEDERATION ALIAS TO SERVICE PROVIDER
FR0511370 2005-11-09

Publications (2)

Publication Number Publication Date
WO2007054657A2 true WO2007054657A2 (en) 2007-05-18
WO2007054657A3 WO2007054657A3 (en) 2007-08-02

Family

ID=36930154

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/051157 WO2007054657A2 (en) 2005-11-09 2006-11-09 Method and device for delivering a federation network identifier to a service provider

Country Status (2)

Country Link
FR (1) FR2893208A1 (en)
WO (1) WO2007054657A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2521329A1 (en) * 2011-05-04 2012-11-07 Alcatel Lucent A server, a system. a method, a computer program and a computer program product for accessing a server in a computer network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US20020007460A1 (en) * 2000-07-14 2002-01-17 Nec Corporation Single sign-on system and single sign-on method for a web site and recording medium
FR2860111A1 (en) * 2003-09-23 2005-03-25 Orange France Packet switching network access system for implementing simplified sign on process, has supplementary server with simplified sign on module processing authentication requests by service providers received via proxy server interface

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US20020007460A1 (en) * 2000-07-14 2002-01-17 Nec Corporation Single sign-on system and single sign-on method for a web site and recording medium
FR2860111A1 (en) * 2003-09-23 2005-03-25 Orange France Packet switching network access system for implementing simplified sign on process, has supplementary server with simplified sign on module processing authentication requests by service providers received via proxy server interface

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Liberty Architecture Overview, Version 1.1" INTERNET CITATION, [Online] 15 janvier 2003 (2003-01-15), XP002246163 Extrait de l'Internet: URL:http://projectliberty.org/specs/archiv e/v1_1/liberty-architecture-overview-v1.1. pdf> [extrait le 2003-07-02] *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2521329A1 (en) * 2011-05-04 2012-11-07 Alcatel Lucent A server, a system. a method, a computer program and a computer program product for accessing a server in a computer network
WO2012150096A1 (en) * 2011-05-04 2012-11-08 Alcatel Lucent A server, a system, a method, a computer program and a computer program product for accessing a server in a computer network
CN103621039A (en) * 2011-05-04 2014-03-05 阿尔卡特朗讯 A server, a system, a method, a computer program and a computer program product for accessing a server in a computer network
KR101550256B1 (en) 2011-05-04 2015-09-04 알까뗄 루슨트 A server, a system, a method, a computer program and a computer program product for accessing a server in a computer network
CN103621039B (en) * 2011-05-04 2016-10-12 阿尔卡特朗讯 For accessing the server of server, system, method in a computer network
US9998461B2 (en) 2011-05-04 2018-06-12 Alcatel Lucent Server, a system, a method, a computer program and a computer program product for accessing a server in a computer network

Also Published As

Publication number Publication date
WO2007054657A3 (en) 2007-08-02
FR2893208A1 (en) 2007-05-11

Similar Documents

Publication Publication Date Title
EP1733533B1 (en) System and method for user authorization access management at the local administrative domain during the connection of a user to an ip network
EP1909462B1 (en) Method of compartmentalised provision of an electronic service
WO2010112741A1 (en) Method and device for managing authentication of a user
EP1891771A1 (en) Method for translating an authentication protocol
EP3257224B1 (en) Technique for connecting to a service
WO2006010810A2 (en) Method and system for certifying a user identity
EP3568989A1 (en) Methods and devices for checking the validity of a delegation of distribution of encrypted content
WO2018115647A1 (en) Validation of content delivery and verification of a delegation of delivery of a content
WO2007010160A9 (en) Method for configuring a terminal via an access network
EP3682661A1 (en) Access to a service with authentication based on a mobile terminal
WO2007054657A2 (en) Method and device for delivering a federation network identifier to a service provider
WO2005020538A2 (en) Method and system for double secured authentication of a user during access to a service
EP3900305A1 (en) Method for acquiring a delegation chain relating to resolving a domain name identifier in a communication network
EP3900306A1 (en) Method for determining a delegation chain associated with a domain name resolution in a communication network
EP1413158B1 (en) Method of accessing a specific service offered by a virtual operator and the chip card for a corresponding device
EP3149902B1 (en) Technique for obtaining a policy for routing requests emitted by a software module running on a client device
EP4362391A1 (en) Method for managing access of a user to at least one application, associated computer program and system
EP3820112A1 (en) Method for configuring access to an internet service
EP3643035A1 (en) Method of control of the obtaining by a terminal of a configuration file
WO2017060624A1 (en) Means for managing access to data
WO2007012786A2 (en) Method for using a sequence of authentications

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 06831320

Country of ref document: EP

Kind code of ref document: A2

122 Ep: pct application non-entry in european phase

Ref document number: 06831320

Country of ref document: EP

Kind code of ref document: A2