+

WO2006042992A2 - System and method for information access control - Google Patents

System and method for information access control Download PDF

Info

Publication number
WO2006042992A2
WO2006042992A2 PCT/FR2005/050853 FR2005050853W WO2006042992A2 WO 2006042992 A2 WO2006042992 A2 WO 2006042992A2 FR 2005050853 W FR2005050853 W FR 2005050853W WO 2006042992 A2 WO2006042992 A2 WO 2006042992A2
Authority
WO
WIPO (PCT)
Prior art keywords
signature
key
information
access
access control
Prior art date
Application number
PCT/FR2005/050853
Other languages
French (fr)
Other versions
WO2006042992A3 (en
Inventor
Fabien Venries
Xavier Piednoir
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2006042992A2 publication Critical patent/WO2006042992A2/en
Publication of WO2006042992A3 publication Critical patent/WO2006042992A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Definitions

  • the present invention relates to a system and method for controlling access to information.
  • the invention may especially apply to the parental control of television program or the control of the information accessed via a computer on the Internet network.
  • access device In a general way, we will consider in the rest of this document that the information to which one wishes to control access is accessible via a device called "access device".
  • This device can therefore consist in particular of a decoder connected to a television network or by a personal computer.
  • the access control systems and in particular the parental control systems, use secret codes memorized in the access device, typically during the first use of this device.
  • Such systems have a first major disadvantage in that they rely on a weak authentication system, the only knowledge of the password being sufficient to modify the parameters of the access control.
  • This system aims at a system for controlling access to information, the actual control being implemented by an access to information device.
  • This system comprises:
  • a mobile device comprising means for storing a private signature key and means for signing a message representative of the information, these signature means using the private signature key and a personal data of the user of the mobile equipment;
  • a signature server comprising means for storing a public verification key associated with the private signature key and means for verifying the validity of the signature, these verification means using the public verification key;
  • the access device being adapted to implement this access control, based on information representative of the result of the verification.
  • access control to information any action to modify the access rights (prohibit, authorize, restrict, restore, ...) to this information, for a period of time determined or not.
  • the access control is implemented when the signature server has verified the validity of the signature made by the mobile equipment, that is to say when the user of this equipment Mobile has been authenticated as a person authorized to control access to information.
  • this responsible person may be remote from the access device.
  • the access control system implements a strong authentication mechanism, making it very difficult or impossible to pirate the control system since it is necessary to be in possession of the control system. mobile equipment and personal data of the user to activate access control.
  • an entity A wishing to authenticate presents an authentication request to an authentication entity B;
  • the authentication entity B generates a challenge, most often in the form of a random number, and transmits this challenge to the authenticating entity A;
  • the authenticating entity A signs the challenge received according to a known cryptographic algorithm and returns this signature to the authentication entity B; - the authentication entity B verifies the signature and validates, if necessary, the authentication of the entity A.
  • the aforementioned personal data is constituted by a personal code (“PIN”) entered on the mobile equipment.
  • PIN personal code
  • this personal data may be a biometric data of the user.
  • the signature means use the WIM ("Wireless Identity Module”) technology defined by the OMA ("Open Mobile Alliance") standardization group.
  • WIM technology is a standardized PKI-based signature program ("Public Key Infrastructure”) for performing electronic signatures and securing data exchanged as part of the Wireless Access Protocol (WAP).
  • WAP Wireless Access Protocol
  • the implementation of WIM on SIM card can also allow its use outside the WAP, by exchange of ISO 7816 orders between the application of the mobile phone and the card, in particular for its use in association with proximity technologies, or the added unplanned features dabs WAP-WMLScriptCrypto API.
  • OMA-WAP-WIM-V1 -1-2002 / 024-C.pdf WAP-161-WMLScriptCrypto-20010620 -a.pdf.
  • the access device comprises means for creating the message to be signed, preferably from parameters defining the information to be controlled, these parameters being inputted with input means of this device.
  • the access device comprises means for sending the message to the signature server;
  • the signature server comprises means for transmitting the message to the mobile equipment;
  • the mobile equipment comprises means for sending the signature to the signature server.
  • the message can be received by the mobile equipment, via a mobile telecommunications network, for example of the GSM, GPRS or UMTS type.
  • a mobile telecommunications network for example of the GSM, GPRS or UMTS type.
  • the access control can be activated remotely, as long as the mobile equipment is in an area covered by the mobile telecommunication network.
  • the message to be signed can be sent from the signature server to the mobile device using the SMS standard or a Push Wap type mechanism.
  • the access control system In a second preferred embodiment of the access control system:
  • the access device comprises means for sending the message to the mobile equipment and means for sending the signature to the signature server;
  • the mobile equipment comprises means for sending the signature to the access device.
  • This second preferred embodiment makes it possible to carry out the signature on the mobile equipment, even if it is not in an area covered by the mobile telecommunications network.
  • the message to be signed is sent to the mobile device directly by the access device, without passing through the signature server.
  • the communication means between the access device and the mobile use a proximity link.
  • This proximity link may notably comply with Bluetooth, IRDA, ISO 14443 or WLAN standards.
  • the invention relates to a method for controlling access to information, this access control being implemented, during an access control step, by an access device to the information.
  • This process comprises:
  • the invention also relates to a device for accessing information, this device comprising:
  • the invention also relates to a computer program stored in a memory of an access device as mentioned above, this program comprising instructions adapted to implement:
  • FIG. 1 represents an access control system according to the present invention in a first embodiment
  • FIG. 2 represents an access control method implemented in the system of FIG. 1;
  • FIG. 3 represents an access control system according to the present invention in a second embodiment;
  • FIG. 4 represents an access control method implemented in the system of FIG. 3.
  • Figures 1 and 2 respectively represent an access control system and an access control method according to the invention in a first embodiment.
  • This system comprises a device 100 for accessing information, for example constituted by a demodulator connected to a cable or satellite television network.
  • the access device 100 may also be constituted by a personal computer connected to the Internet network.
  • This access device 100 comprises known means 140 for controlling access to information by a user and a memory 115 in which is stored a computer program P according to the invention.
  • access control means 140 can in particular be used in the context of a parental control of the information (television programs) accessible to children.
  • the access device 100 comprises input means 120 (keyboard, mouse, remote control, ...) making it possible to capture, during a step E20 implemented by the program of computer P, the parameters of definition of information for which one wants to control access.
  • these parameters are, for example, the time and the broadcast channel of a program or set of programs. .
  • these parameters can be constituted by the URL address of a Web page available on the Internet or by keywords for filtering content.
  • the access device 100 comprises means not shown here, to create, during this same step E20, a message m from the aforementioned parameters.
  • This message m may for example consist of a character string in which are concatenated the time and the broadcast channel of a television program ("TF1 # 20.30-22.00") and the type of modification of the rights of desired access ("prohibit", "authorize”, "restore”, ).
  • the system according to the invention also comprises a signature server 200 adapted to implement a public key based signature (PKI) algorithm.
  • PKI public key based signature
  • the signature server 200 is the ORANGE TRUST server of the MSSP type ("Mobile Signature Service Provider") defined in the documents ETSI SCP 102.204 and ETSI SCP 102.207.
  • the access device 100 and the signature server 200 respectively comprise means 130 and 210 for access to a communication network 10.
  • These communication means consist, for example, of a network card and software means implementing standard protocols (HTTP, ...) or proprietary protocols on standard telecommunication networks (PSTN, ADSL, ISDN, etc.).
  • the access device and the signature server 200 can exchange digital data via the network 10.
  • this network 10 is constituted by the Internet network.
  • the computer program P of the access device 100 sends, to the signature device 200, the message m obtained at the input step E20.
  • the signature server 200 comprises means 240 for mobile communication enabling it to send and receive messages via a mobile communication network 20.
  • These mobile communication means 240 consist, for example, of a hardware and software module implementing a communication protocol of GSM, GPRS or UMTS type.
  • the signature server 200 is thus adapted to transmit, during a step E40, the message m to the mobile equipment 300 of a person authorized to prevent access to information by the access device 100.
  • this transmission step E40 uses the SMS standard or a Push Wap type mechanism, respectively described in the documents "ETSI TS 100.901" and “WAP-251-Push Message-20010322-a.pdf".
  • the mobile number 300 is communicated by the access device 100 to the signature server 200 during the aforementioned step E30 of sending the message m.
  • the mobile number 300 is stored in a memory 1 10 of the access device 100, for example during a preliminary step E10 implemented by the computer program P.
  • the mobile 300 performs, after receiving the message m by mobile communication means 310, the signature s of this message m, during a step E50. More specifically, upon receipt of the message m, the user of the mobile equipment 300 is invited to enter a personal code ("PIN"), this personal code unlocking the private key signature key_priv to generate the electronic signature s.
  • PIN personal code
  • a user's biometric data is used to unlock the private key key_priv, instead of the aforementioned personal code ("PIN").
  • this signature step E50 uses a public key signature algorithm contained for example in the WIM.
  • the mobile 300 includes a memory 320 in which are stored a key signature private key_priv and PIN personal code.
  • the signature step E50 is followed, in this first embodiment, by a step E60 sending the signature s to the signature server 200.
  • the signature server 200 includes a memory 220 storing a public key key_pub verification key associated with the key private key_priv of the mobile 300.
  • the signature server 200 also comprises means 230 adapted to check the validity of the signature s using the public key key_pub.
  • the signature server 200 After receiving the signature s (step E60), the signature server 200 performs a test E70, in which it checks whether the signature s is valid, that is to say if the signature was made by a user authorized to control access to the information identified by the message m. If the signature is valid, the result of the verification test E70 is positive and this test is followed by a step E80 during which the signature server 200 sends an access control command to the access device 100.
  • the computer program P of the access device 100 implements, during a step E90, the access control to the information in cooperation with the aforementioned access control means 140.
  • step E100 the access control method ends (step E100).
  • the signature is erroneous, the result of the verification test E70 is negative and the access control method ends (step E100).
  • the access device 100 does not receive an access control command, it does not implement the access control step E90 and the access rights remain unchanged.
  • the input means 120 of the access device 100 comprise means for requesting the change of the number of the mobile 300 stored in the preliminary step E10 in the memory 110 of the access device 100.
  • a message m 'representative of this request (for example "responsible change") is received for signature by the mobile 300 whose number was recorded during the preliminary step E10.
  • the signature server 200 then sends an unlock command to the access device 100 which proposes the entry of a new mobile number.
  • This second embodiment is particularly interesting when the mobile 300 is in an area that does not allow it to access the mobile network 20.
  • the access device 100 and the mobile equipment 300 respectively comprise means 150 and 340 of proximity communication.
  • these proximity communication means are contactless means adapted to establish a communication link in accordance with the ISO 14443 standard.
  • they may be constituted by infrared, Bluetooth or USB communication modules. ...
  • the message m obtained during the inputting step E20 is transmitted during a step E30 'to the mobile equipment 300 using this proximity communication link.
  • This sending step E30 ' is implemented by the computer program P.
  • the mobile equipment 300 On receipt of this message, the mobile equipment 300 implements the signature step E50 already described, then sends, in return, the signature s to the access device 100 during a step E60 ', using the means of communication of proximity.
  • the access device 100 Upon receipt of this signature s, the access device 100 transmits, during a step E65 ', this signature to the server 200 using the network communication means 130 already described.
  • the signature server 200 checks during the test E70 already described whether the signature is valid or not.
  • This signature verification test E70 is followed by the steps E80 and E90 already described.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The invention relates to a system for information access control, comprising: a mobile apparatus (300), for memorising a private signature key (key_priv) and means (330), for signing a message (m) representing said information, use of the private signature key (key_priv) and personal mobile apparatus (300) user data and a signature server (200), for memorising a public verification key (key_pub), associated with the signature key (key_priv) and means (230), for verifying the validity of said signature(s) using the public verification key (key_pub) and an access device (100), for invoking restriction as a function of the result of said verification. The above is of use for parental access control.

Description

Système et procédé de contrôle d'accès à une information System and method for controlling access to information
La présente invention se rapporte à un système et à un procédé de contrôle d'accès à une information.The present invention relates to a system and method for controlling access to information.
L'invention peut notamment s'appliquer au contrôle parental de programme télévisuel ou au contrôle de l'information accédée via un ordinateur sur le réseau Internet.The invention may especially apply to the parental control of television program or the control of the information accessed via a computer on the Internet network.
De façon générale, nous considérerons dans la suite de ce document que l'information à laquelle on souhaite contrôler l'accès est accessible via un dispositif baptisé « dispositif d'accès ». Ce dispositif peut donc être constitué notamment par un décodeur relié à un réseau de télévision ou par un ordinateur personnel.In a general way, we will consider in the rest of this document that the information to which one wishes to control access is accessible via a device called "access device". This device can therefore consist in particular of a decoder connected to a television network or by a personal computer.
De façon connue, les systèmes de contrôle d'accès, et notamment les systèmes de contrôle parental, utilisent des codes secrets mémorisés dans le dispositif d'accès, typiquement lors de la première utilisation de ce dispositif. De tels systèmes présentent un premier inconvénient majeur en ce qu'ils reposent sur un système d'authentification faible, la seule connaissance du mot de passe étant suffisante pour modifier les paramètres du contrôle d'accès.In a known manner, the access control systems, and in particular the parental control systems, use secret codes memorized in the access device, typically during the first use of this device. Such systems have a first major disadvantage in that they rely on a weak authentication system, the only knowledge of the password being sufficient to modify the parameters of the access control.
Par ailleurs, ces systèmes ne peuvent être activés ou paramétrés à distance. L'invention permet de résoudre les problèmes précités.In addition, these systems can not be activated or parameterized remotely. The invention solves the aforementioned problems.
A cet effet, elle vise un système de contrôle d'accès à une information, le contrôle proprement dit étant mis en oeuvre par un dispositif d'accès à l'information. Ce système comporte :For this purpose, it aims at a system for controlling access to information, the actual control being implemented by an access to information device. This system comprises:
- un équipement mobile comportant des moyens de mémorisation d'une clef privée de signature et des moyens de signature d'un message représentatif de l'information, ces moyens de signature utilisant la clef privée de signature et une donnée personnelle de l'utilisateur de l'équipement mobile ; eta mobile device comprising means for storing a private signature key and means for signing a message representative of the information, these signature means using the private signature key and a personal data of the user of the mobile equipment; and
- un serveur de signature comportant des moyens de mémorisation d'une clef publique de vérification associée à la clef privée de signature et des moyens de vérification de la validité de la signature, ces moyens de vérification utilisant la clef publique de vérification ;a signature server comprising means for storing a public verification key associated with the private signature key and means for verifying the validity of the signature, these verification means using the public verification key;
- le dispositif d'accès étant adapté à mettre en œuvre ce contrôle d'accès, en fonction d'une information représentative du résultat de la vérification. Dans la suite de ce document, on appelera « contrôle d'accès à une information » toute action visant à modifier les droits d'accès (interdire, autoriser, restreindre, rétablir,...) à cette information, pour une période de temps déterminée ou non. Ainsi, conformément à l'invention, le contrôle d'accès est mis en œuvre lorsque le serveur de signature a vérifié la validité de la signature effectuée par l'équipement mobile, c'est-à-dire lorsque l'utilisateur de cet équipement mobile a été authentifié comme étant une personne autorisée à contrôler l'accès à l'information. Avantageusement, cette personne responsable peut être à distance du dispositif d'accès.- The access device being adapted to implement this access control, based on information representative of the result of the verification. In the remainder of this document, we will call "access control to information" any action to modify the access rights (prohibit, authorize, restrict, restore, ...) to this information, for a period of time determined or not. Thus, according to the invention, the access control is implemented when the signature server has verified the validity of the signature made by the mobile equipment, that is to say when the user of this equipment Mobile has been authenticated as a person authorized to control access to information. Advantageously, this responsible person may be remote from the access device.
Par ailleurs, le système de contrôle d'accès selon l'invention met en œuvre un mécanisme d'authentification forte, rendant très difficile, voire impossible, le piratage du système de contrôle puisqu'il est nécessaire d'être en possession de l'équipement mobile et de la donnée personnelle de l'utilisateur pour activer le contrôle d'accès.Furthermore, the access control system according to the invention implements a strong authentication mechanism, making it very difficult or impossible to pirate the control system since it is necessary to be in possession of the control system. mobile equipment and personal data of the user to activate access control.
On rappellera, à cet effet, que dans un mécanisme d'authentification forte, encore appelé « défi-réponse » :To this end, it will be recalled that in a strong authentication mechanism, also called "challenge-response":
- une entité A souhaitant s'authentifier présente une demande d'authentification auprès d'une entité d'authentification B ;an entity A wishing to authenticate presents an authentication request to an authentication entity B;
- l'entité d'authentification B génère un défi, le plus souvent sous la forme d'un nombre aléatoire, et transmet ce défi à l'entité s'authentifiant A ;the authentication entity B generates a challenge, most often in the form of a random number, and transmits this challenge to the authenticating entity A;
- l'entité s'authentifiant A signe le défi reçu selon un algorithme cryptographique connu et renvoie cette signature à l'entité d'authentification B ; - l'entité d'authentification B vérifie la signature et valide, le cas échéant, l'authentification de l'entité A.the authenticating entity A signs the challenge received according to a known cryptographic algorithm and returns this signature to the authentication entity B; - the authentication entity B verifies the signature and validates, if necessary, the authentication of the entity A.
Dans un mode préféré de réalisation, la donnée personnelle précitée est constituée par un code personnel (« PIN ») saisi sur l'équipement mobile.In a preferred embodiment, the aforementioned personal data is constituted by a personal code ("PIN") entered on the mobile equipment.
En variante, cette donnée personnelle peut être une donnée biométrique de l'utilisateur.Alternatively, this personal data may be a biometric data of the user.
Dans un mode préféré de réalisation, les moyens de signature utilisent la technologie WIM (« Wireless Identity Module ») définie par le groupe de standardisation OMA (« Open Mobile Alliance »). De façon connue, la technologie WIM est un programme standardisé de signature à base de PKI (« Public Key Infrastructure ») permettant d'effectuer des signatures électroniques et de sécuriser des données échangées dans le cadre du protocole WAP (Wireless Accès Protocol). L'implémentation de WIM sur carte SIM peut permettre également son utilisation en dehors du WAP, par échange d'ordres ISO 7816 entre l'application du mobile et la carte, notamment pour son usage en association avec des technologies de proximité, ou l'ajout de fonctionnalités non prévues dabs WAP-WMLScriptCrypto API.In a preferred embodiment, the signature means use the WIM ("Wireless Identity Module") technology defined by the OMA ("Open Mobile Alliance") standardization group. In a known manner, the WIM technology is a standardized PKI-based signature program ("Public Key Infrastructure") for performing electronic signatures and securing data exchanged as part of the Wireless Access Protocol (WAP). The implementation of WIM on SIM card can also allow its use outside the WAP, by exchange of ISO 7816 orders between the application of the mobile phone and the card, in particular for its use in association with proximity technologies, or the added unplanned features dabs WAP-WMLScriptCrypto API.
Pour plus de renseignements, l'homme du métier pourra, notamment, se reporter aux documents de référence de l'OMA : OMA-WAP-WIM-V1 -1 - 2002/024-C.pdf et WAP-161 -WMLScriptCrypto-20010620-a.pdf.For more information, a person skilled in the art may, in particular, refer to the OMA reference documents: OMA-WAP-WIM-V1 -1-2002 / 024-C.pdf and WAP-161-WMLScriptCrypto-20010620 -a.pdf.
Dans un mode avantageux de réalisation, le dispositif d'accès comporte des moyens de création du message à signer, préférentiellement à partir de paramètres de définition de l'information à contrôler, ces paramètres étant saisis avec des moyens d'entrée de ce dispositif.In an advantageous embodiment, the access device comprises means for creating the message to be signed, preferably from parameters defining the information to be controlled, these parameters being inputted with input means of this device.
Dans un premier mode préféré de réalisation du système de contrôle d'accès selon l'invention :In a first preferred embodiment of the access control system according to the invention:
- le dispositif d'accès comporte des moyens d'envoi du message au serveur de signature ; - le serveur de signature comporte des moyens de transmission du message à l'équipement mobile ; etthe access device comprises means for sending the message to the signature server; the signature server comprises means for transmitting the message to the mobile equipment; and
- l'équipement mobile comporte des moyens d'envoi de la signature au serveur de signature.the mobile equipment comprises means for sending the signature to the signature server.
Dans ce premier mode de réalisation, le message peut être reçu par l'équipement mobile, via un réseau de télécommunication mobile, par exemple de type GSM, GPRS ou UMTS.In this first embodiment, the message can be received by the mobile equipment, via a mobile telecommunications network, for example of the GSM, GPRS or UMTS type.
Ainsi, le contrôle d'accès peut être activé à distance, dès lors que l'équipement mobile est dans une zone couverte par le réseau de télécommunication mobile. Dans ce premier mode préféré de réalisation, le message à signer peut être envoyé du serveur de signature à l'équipement mobile en utilisant la norme SMS ou un mécanisme de type Push Wap. Dans un deuxième mode préféré de réalisation du système de contrôle d'accès :Thus, the access control can be activated remotely, as long as the mobile equipment is in an area covered by the mobile telecommunication network. In this first preferred embodiment, the message to be signed can be sent from the signature server to the mobile device using the SMS standard or a Push Wap type mechanism. In a second preferred embodiment of the access control system:
- le dispositif d'accès comporte des moyens d'envoi du message à l'équipement mobile et des moyens d'envoi de la signature au serveur de signature ; etthe access device comprises means for sending the message to the mobile equipment and means for sending the signature to the signature server; and
- l'équipement mobile comporte des moyens d'envoi de la signature au dispositif d'accès.the mobile equipment comprises means for sending the signature to the access device.
Ce deuxième mode préféré de réalisation permet de réaliser la signature sur l'équipement mobile, même si celui-ci n'est pas dans une zone couverte par le réseau de télécommunication mobile.This second preferred embodiment makes it possible to carry out the signature on the mobile equipment, even if it is not in an area covered by the mobile telecommunications network.
En effet, dans ce mode de réalisation, le message à signer est envoyé à l'équipement mobile directement par le dispositif d'accès, sans transiter par le serveur de signature.Indeed, in this embodiment, the message to be signed is sent to the mobile device directly by the access device, without passing through the signature server.
Préférentiellement, dans ce deuxième mode préféré de réalisation, les moyens de communication entre le dispositif d'accès et le mobile utilisent un lien de proximité.Preferably, in this second preferred embodiment, the communication means between the access device and the mobile use a proximity link.
Ce lien de proximité peut être notamment conforme aux standards Bluetooth, IRDA, ISO 14443, ou WLAN.This proximity link may notably comply with Bluetooth, IRDA, ISO 14443 or WLAN standards.
Corrélativement, l'invention concerne un procédé de contrôle d'accès à une information, ce contrôle d'accès étant mis en œuvre, lors d'une étape de contrôle d'accès, par un dispositif d'accès à l'information. Ce procédé comporte :Correlatively, the invention relates to a method for controlling access to information, this access control being implemented, during an access control step, by an access device to the information. This process comprises:
- une étape de signature, par un équipement mobile, d'un message représentatif de l'information, cette étape utilisant une clé privée de signature et une donnée personnelle de l'utilisateur de l'équipement mobile ; - une étape de vérification de la validité de la signature par un serveur de signature, cette étape utilisant une clef de vérification associée à la clef privée de signature ; eta step of signing, by a mobile device, a message representative of the information, this step using a private signature key and a personal data item of the user of the mobile equipment; a step of verifying the validity of the signature by a signature server, this step using a verification key associated with the private signature key; and
- une étape d'envoi, par le serveur de signature, d'une information représentative du résultat de l'étape de vérification, pour la mise en œuvre, le cas échéant, de l'étape de contrôle d'accès précitée.a step of sending, by the signature server, information representative of the result of the verification step, for the implementation, if necessary, of the aforementioned access control step.
L'invention vise aussi un dispositif d'accès à une information, ce dispositif comportant :The invention also relates to a device for accessing information, this device comprising:
- des moyens d'entrée de paramètres de définition de cette information ; - des moyens de création d'un message à partir de ces paramètres ;means for entering parameters for defining this information; means for creating a message from these parameters;
- des moyens d'envoi de ce message pour signature par un équipement mobile ;means for sending this message for signature by mobile equipment;
- des moyens de réception d'un ordre de contrôle d'accès en provenance d'un serveur de signature ; etmeans for receiving an access control command from a signature server; and
- des moyens adaptés à contrôler l'accès à l'information sur réception de cet ordre de contrôle d'accès.means adapted to control access to the information upon receipt of this access control command.
L'invention vise également un programme d'ordinateur stocké dans une mémoire d'un dispositif d'accès tel que mentionné ci-dessus, ce programme comportant des instructions adaptées à mettre en œuvre :The invention also relates to a computer program stored in a memory of an access device as mentioned above, this program comprising instructions adapted to implement:
- une étape de saisie de paramètres de définition de cette information ;a step of entering parameters defining this information;
- une étape de création d'un message à partir de ces paramètres ;a step of creating a message from these parameters;
- une étape d'envoi de ce message pour signature par un équipement mobile ; - une étape de réception d'un ordre de contrôle d'accès en provenance d'un serveur de signature ; eta step of sending this message for signature by a mobile device; a step of receiving an access control command from a signature server; and
- une étape de contrôle d'accès à cette information sur réception de cet ordre de contrôle d'accès.a step of controlling access to this information on receipt of this access control command.
Les avantages particuliers du procédé de contrôle d'accès du dispositif d'accès et du programme d'ordinateur étant identiques à ceux du système de contrôle d'accès mentionné précédemment, ils ne seront pas rappelés ici.The particular advantages of the access control method of the access device and the computer program being identical to those of the access control system mentioned above, they will not be recalled here.
D'autres aspects et avantages de la présente invention apparaîtront plus clairement à la lecture de la description des deux modes particuliers de réalisation qui vont suivre, cette description étant donnée uniquement à titre d'exemple non limitatif et faite en référence aux dessins annexés sur lesquels :Other aspects and advantages of the present invention will appear more clearly on reading the description of the two particular embodiments which will follow, this description being given solely by way of nonlimiting example and with reference to the appended drawings in which: :
- la figure 1 représente un système de contrôle d'accès conforme à la présente invention dans un premier mode de réalisation ;FIG. 1 represents an access control system according to the present invention in a first embodiment;
- la figure 2 représente un procédé de contrôle d'accès mis en œuvre dans le système de la figure 1 ; - la figure 3 représente un système de contrôle d'accès conformément à la présente invention dans un deuxième mode de réalisation ; etFIG. 2 represents an access control method implemented in the system of FIG. 1; FIG. 3 represents an access control system according to the present invention in a second embodiment; and
- la figure 4 représente un procédé de contrôle d'accès mis en œuvre dans le système de la figure 3. Les figures 1 et 2 représentent respectivement un système de contrôle d'accès et un procédé de contrôle d'accès conformes à l'invention dans un premier mode de réalisation.FIG. 4 represents an access control method implemented in the system of FIG. 3. Figures 1 and 2 respectively represent an access control system and an access control method according to the invention in a first embodiment.
Ce système comporte un dispositif 100 d'accès à une information, par exemple constitué par un démodulateur relié à un réseau de télévision par câble ou par satellite.This system comprises a device 100 for accessing information, for example constituted by a demodulator connected to a cable or satellite television network.
Le dispositif d'accès 100 peut aussi être constitué par un ordinateur personnel relié au réseau Internet.The access device 100 may also be constituted by a personal computer connected to the Internet network.
Ce dispositif d'accès 100 comporte des moyens connus 140 permettant de contrôler l'accès à une information par un utilisateur et une mémoire 115 dans laquelle est stocké un programme d'ordinateur P conforme à l'invention.This access device 100 comprises known means 140 for controlling access to information by a user and a memory 115 in which is stored a computer program P according to the invention.
Ces moyens 140 de contrôle d'accès peuvent notamment être utilisés dans le cadre d'un contrôle parental des informations (programmes télévisuels) accessibles à des enfants. Dans le mode préféré de réalisation décrit ici, le dispositif d'accès 100 comporte des moyens d'entrée 120 (clavier, souris, télécommande,...) permettant de saisir, au cours d'une étape E20 mise en œuvre par le programme d'ordinateur P, les paramètres de définition d'une information pour laquelle on veut contrôler l'accès. Dans le cas où le dispositif d'accès 100 est constitué par un dispositif d'accès à un réseau de télévision, ces paramètres sont, par exemple, l'heure et le canal de diffusion d'un programme ou d'un ensemble de programmes.These access control means 140 can in particular be used in the context of a parental control of the information (television programs) accessible to children. In the preferred embodiment described here, the access device 100 comprises input means 120 (keyboard, mouse, remote control, ...) making it possible to capture, during a step E20 implemented by the program of computer P, the parameters of definition of information for which one wants to control access. In the case where the access device 100 is constituted by a device for accessing a television network, these parameters are, for example, the time and the broadcast channel of a program or set of programs. .
Lorsque le dispositif d'accès est constitué par un ordinateur, ces paramètres peuvent être constitués par l'adresse URL d'une page Web disponible sur le réseau Internet ou par des mots clefs pour le filtrage d'un contenu.When the access device is constituted by a computer, these parameters can be constituted by the URL address of a Web page available on the Internet or by keywords for filtering content.
Le dispositif d'accès 100 comporte des moyens non représentés ici, pour créer, au cours de cette même étape E20, un message m à partir des paramètres précités. Ce message m peut par exemple être constitué d'une chaîne de caractères dans laquelle sont concaténés l'heure et le canal de diffusion d'un programme télévisé (« TF1 # 20.30-22.00 ») ainsi que le type de modification des droits d'accès souhaitée (« interdire », « autoriser », « rétablir »,...). Le système selon l'invention comporte également un serveur de signature 200 adapté à mette en œuvre un algorithme de signature à base de clef publique (PKI).The access device 100 comprises means not shown here, to create, during this same step E20, a message m from the aforementioned parameters. This message m may for example consist of a character string in which are concatenated the time and the broadcast channel of a television program ("TF1 # 20.30-22.00") and the type of modification of the rights of desired access ("prohibit", "authorize", "restore", ...). The system according to the invention also comprises a signature server 200 adapted to implement a public key based signature (PKI) algorithm.
Dans le mode de réalisation décrit ici, le serveur de signature 200 est le serveur ORANGE TRUST du type MSSP (« Mobile Signature Service Provider ») défini dans les documents ETSI SCP 102.204 et ETSI SCP 102.207. Conformément à l'invention, le dispositif d'accès 100 et le serveur de signature 200 comportent respectivement des moyens 130 et 210 d'accès à un réseau de communication 10. Ces moyens de communication sont par exemple constitués d'une carte réseau et de moyens logiciels mettant en œuvre des protocoles standards (HTTP,...) ou des protocoles propriétaires sur des réseaux de télécommunication standards (RTC, ADSL, ISDN, ...).In the embodiment described here, the signature server 200 is the ORANGE TRUST server of the MSSP type ("Mobile Signature Service Provider") defined in the documents ETSI SCP 102.204 and ETSI SCP 102.207. According to the invention, the access device 100 and the signature server 200 respectively comprise means 130 and 210 for access to a communication network 10. These communication means consist, for example, of a network card and software means implementing standard protocols (HTTP, ...) or proprietary protocols on standard telecommunication networks (PSTN, ADSL, ISDN, etc.).
Ainsi et, de façon connue, le dispositif d'accès et le serveur de signature 200 peuvent s'échanger des données numériques, via le réseau 10.Thus, and in a known manner, the access device and the signature server 200 can exchange digital data via the network 10.
Préférentiellement, ce réseau 10 est constitué par le réseau Internet. Au cours d'une étape E30 du premier mode de réalisation décrit ici, le programme d'ordinateur P du dispositif d'accès 100 envoie, au dispositif de signature 200, le message m obtenu à l'étape de saisie E20. Dans ce premier mode de réalisation, le serveur de signature 200 comporte des moyens 240 de communication mobile lui permettant d'envoyer et recevoir des messages, via un réseau de communication mobile 20.Preferentially, this network 10 is constituted by the Internet network. During a step E30 of the first embodiment described here, the computer program P of the access device 100 sends, to the signature device 200, the message m obtained at the input step E20. In this first embodiment, the signature server 200 comprises means 240 for mobile communication enabling it to send and receive messages via a mobile communication network 20.
Ces moyens 240 de communication mobile sont par exemple constitués d'un module matériel et logiciel mettant en œuvre un protocole de communication de type GSM, GPRS ou UMTS.These mobile communication means 240 consist, for example, of a hardware and software module implementing a communication protocol of GSM, GPRS or UMTS type.
Le serveur de signature 200 est ainsi adapté à transmettre, au cours d'une étape E40, le message m à l'équipement mobile 300 d'une personne habilitée à empêcher l'accès à une information par le dispositif d'accès 100.The signature server 200 is thus adapted to transmit, during a step E40, the message m to the mobile equipment 300 of a person authorized to prevent access to information by the access device 100.
Préférentiellement, cette étape E40 de transmission utilise la norme SMS ou un mécanisme de type Push Wap, respectivement décrits dans les documents « ETSI TS 100.901 » et « WAP-251-Push Message-20010322- a.pdf ». Dans un mode préféré de réalisation, le numéro du mobile 300 est communiqué par le dispositif d'accès 100 au serveur de signature 200 au cours de l'étape E30 précitée d'envoi du message m.Preferably, this transmission step E40 uses the SMS standard or a Push Wap type mechanism, respectively described in the documents "ETSI TS 100.901" and "WAP-251-Push Message-20010322-a.pdf". In a preferred embodiment, the mobile number 300 is communicated by the access device 100 to the signature server 200 during the aforementioned step E30 of sending the message m.
A cet effet, le numéro du mobile 300 est mémorisé dans une mémoire 1 10 du dispositif d'accès 100, par exemple lors d'une étape préliminaire E10 mise en œuvre par le programme d'ordinateur P.For this purpose, the mobile number 300 is stored in a memory 1 10 of the access device 100, for example during a preliminary step E10 implemented by the computer program P.
Conformément à l'invention, le mobile 300 effectue, après réception du message m par des moyens de communication mobile 310, la signature s de ce message m, au cours d'une étape E50. Plus précisément, sur réception du message m, l'utilisateur de l'équipement mobile 300 est invité à saisir un code personnel (« PIN »), ce code personnel débloquant la clef privée de signature key_priv pour générer la signature électronique s.According to the invention, the mobile 300 performs, after receiving the message m by mobile communication means 310, the signature s of this message m, during a step E50. More specifically, upon receipt of the message m, the user of the mobile equipment 300 is invited to enter a personal code ("PIN"), this personal code unlocking the private key signature key_priv to generate the electronic signature s.
En variante, on utilise une donnée biométrique de l'utilisateur pour débloquer la clef privée key_priv, à la place du code personnel (« PIN ») précité.As a variant, a user's biometric data is used to unlock the private key key_priv, instead of the aforementioned personal code ("PIN").
Dans le mode de réalisation décrit ici, cette étape E50 de signature utilise un algorithme de signature à clef publique contenu par exemple dans la WIM.In the embodiment described here, this signature step E50 uses a public key signature algorithm contained for example in the WIM.
A cet effet, le mobile 300 comporte une mémoire 320 dans laquelle sont mémorisés une clef de signature privée key_priv et le code personnel PIN. L'étape E50 de signature est suivie, dans ce premier mode de réalisation, par une étape E60 d'envoi de la signature s au serveur de signature 200.For this purpose, the mobile 300 includes a memory 320 in which are stored a key signature private key_priv and PIN personal code. The signature step E50 is followed, in this first embodiment, by a step E60 sending the signature s to the signature server 200.
Cette signature s est reçue au cours de cette étape E60 par les moyens 240 de communication mobile du serveur de signature 200 décrits précédemment. Conformément à l'invention, le serveur de signature 200 comporte une mémoire 220 mémorisant une clé publique de vérification key_pub associée à la clef privée key_priv du mobile 300.This signature is received during this step E60 by the mobile communication means 240 of the signature server 200 described above. According to the invention, the signature server 200 includes a memory 220 storing a public key key_pub verification key associated with the key private key_priv of the mobile 300.
Le serveur de signature 200 comporte également des moyens 230 adaptés à vérifier la validité de la signature s en utilisant la clé publique key_pub. Ainsi, après réception de la signature s (étape E60), le serveur de signature 200 effectue un test E70, au cours duquel il vérifie si la signature s est valide, c'est-à-dire si la signature a été effectuée par un utilisateur habilité à contrôler l'accès à l'information identifiée par le message m. Si la signature s est valide, le résultat du test E70 de vérification est positif et ce test est suivi par une étape E80 au cours de laquelle le serveur de signature 200 envoie un ordre de contrôle d'accès au dispositif d'accès 100.The signature server 200 also comprises means 230 adapted to check the validity of the signature s using the public key key_pub. Thus, after receiving the signature s (step E60), the signature server 200 performs a test E70, in which it checks whether the signature s is valid, that is to say if the signature was made by a user authorized to control access to the information identified by the message m. If the signature is valid, the result of the verification test E70 is positive and this test is followed by a step E80 during which the signature server 200 sends an access control command to the access device 100.
Sur réception de cet ordre par les moyens de communication 130 du dispositif d'accès, le programme d'ordinateur P du dispositif d'accès 100 met en oeuvre, au cours d'une étape E90, le contrôle d'accès à l'information en coopération avec les moyens 140 de contrôle d'accès précités.On receipt of this order by the communication means 130 of the access device, the computer program P of the access device 100 implements, during a step E90, the access control to the information in cooperation with the aforementioned access control means 140.
Suite à cette étape E90 d'activation, le procédé de contrôle d'accès se termine (étape E100). En revanche, si la signature s est erronée, le résultat du test E70 de vérification est négatif et le procédé de contrôle d'accès se termine (étape E100).Following this activation step E90, the access control method ends (step E100). On the other hand, if the signature is erroneous, the result of the verification test E70 is negative and the access control method ends (step E100).
Dans ce cas, le dispositif d'accès 100 ne recevant pas d'ordre de contrôle d'accès, il ne met pas en œuvre l'étape E90 de contrôle d'accès et les droits d'accès demeurent inchangés.In this case, the access device 100 does not receive an access control command, it does not implement the access control step E90 and the access rights remain unchanged.
Dans un mode préféré de réalisation, les moyens d'entrée 120 du dispositif d'accès 100 comportent des moyens pour requérir le changement du numéro du mobile 300 mémorisé à l'étape préliminaire E10 dans la mémoire 110 du dispositif d'accès 100. Dans ce mode préféré de réalisation, un message m' représentatif de cette requête (par exemple « changement responsable ») est reçu pour signature par le mobile 300 dont le numéro a été enregistré au cours de l'étape préliminaire E10.In a preferred embodiment, the input means 120 of the access device 100 comprise means for requesting the change of the number of the mobile 300 stored in the preliminary step E10 in the memory 110 of the access device 100. this preferred embodiment, a message m 'representative of this request (for example "responsible change") is received for signature by the mobile 300 whose number was recorded during the preliminary step E10.
Si cet utilisateur accepte cette requête, il signe le message m' comme décrit précédemment et cette signature s' est vérifiée par le serveur de signature 200.If this user accepts this request, he signs the message m 'as previously described and this signature has been verified by the signature server 200.
Si cette signature s' est correcte, le serveur de signature 200 envoie alors un ordre de déverrouillage au dispositif d'accès 100 qui propose la saisie d'un nouveau numéro de mobile. Nous allons maintenant décrire, en référence aux figures 3 et 4, un système d'accès et un procédé d'accès conformes à l'invention, dans un deuxième mode de réalisation. Ce deuxième mode de réalisation est particulièrement intéressant lorsque le mobile 300 est dans une zone qui ne lui permet pas d'accéder au réseau mobile 20.If this signature is correct, the signature server 200 then sends an unlock command to the access device 100 which proposes the entry of a new mobile number. We will now describe, with reference to Figures 3 and 4, an access system and an access method according to the invention, in a second embodiment. This second embodiment is particularly interesting when the mobile 300 is in an area that does not allow it to access the mobile network 20.
Dans ce deuxième mode de réalisation, le dispositif d'accès 100 et l'équipement mobile 300 comportent respectivement des moyens 150 et 340 de communication de proximité.In this second embodiment, the access device 100 and the mobile equipment 300 respectively comprise means 150 and 340 of proximity communication.
Dans le mode préféré de réalisation, ces moyens de communication de proximité sont des moyens sans contact adaptés à établir un lien de communication conforme à la norme ISO 14443. En variante, ils peuvent être constitués par des modules de communication Infrarouge, Bluetooth, USB, ...In the preferred embodiment, these proximity communication means are contactless means adapted to establish a communication link in accordance with the ISO 14443 standard. In a variant, they may be constituted by infrared, Bluetooth or USB communication modules. ...
Dans ce deuxième mode de réalisation, le message m obtenu au cours de l'étape de saisie E20 est transmis, au cours d'une étape E30' à l'équipement mobile 300 en utilisant ce lien de communication de proximité. Cette étape d'envoi E30' est mise en oeuvre par le programme d'ordinateur P.In this second embodiment, the message m obtained during the inputting step E20 is transmitted during a step E30 'to the mobile equipment 300 using this proximity communication link. This sending step E30 'is implemented by the computer program P.
Sur réception de ce message, l'équipement mobile 300 met en œuvre l'étape E50 de signature déjà décrite, puis envoie, en retour, la signature s au dispositif d'accès 100 au cours d'une étape E60', en utilisant les moyens de communication de proximité.On receipt of this message, the mobile equipment 300 implements the signature step E50 already described, then sends, in return, the signature s to the access device 100 during a step E60 ', using the means of communication of proximity.
Sur réception de cette signature s, le dispositif d'accès 100 transmet, au cours d'une étape E65', cette signature au serveur 200 en utilisant les moyens de communication réseau 130 déjà décrits.Upon receipt of this signature s, the access device 100 transmits, during a step E65 ', this signature to the server 200 using the network communication means 130 already described.
Sur réception de la signature s, le serveur de signature 200 vérifie au cours du test E70 déjà décrit si la signature est valable ou non.On receipt of the signature s, the signature server 200 checks during the test E70 already described whether the signature is valid or not.
Ce test E70 de vérification de signature est suivi par les étapes E80 et E90 déjà décrites. This signature verification test E70 is followed by the steps E80 and E90 already described.

Claims

REVENDICATIONS
1 - Système de contrôle d'accès à une information mis en oeuvre (E90) par un dispositif (100) d'accès à ladite information, ce système comportant ;1 - Information access control system implemented (E90) by a device (100) for accessing said information, this system comprising;
- un équipement mobile (300) comportant des moyens (320) de mémorisation d'une clef privée de signature (keyjDriv) et des moyens (330) de signature d'un message (m) représentatif de ladite information, ces moyens (330) de signature utilisant ladite clef privée de signature (key_priv) et une donnée personnelle (PIN) de l'utilisateur dudit équipement mobile (300) ;a mobile equipment (300) comprising means (320) for storing a private signature key (keyjDriv) and means (330) for signing a message (m) representative of said information, said means (330) signature using said private signature key (key_priv) and personal data (PIN) of the user of said mobile equipment (300);
- un serveur de signature (200) comportant des moyens (220) de mémorisation d'une clef publique de vérification (key__pub) associée à ladite clef privée de signature (key_priv), et des moyens (230) de vérification de la validité de ladite signature (s), ces moyens (230) de vérification utilisant ladite clef publique de vérification (key_pub) ; eta signature server (200) comprising means (220) for storing a public verification key (key__pub) associated with said private signature key (key_priv), and means (230) for verifying the validity of said signature (s), these verification means (230) using said public verification key (key_pub); and
- un dispositif d'accès (100) adapté à mettre en œuvre (E90) le contrôle d'accès à ladite information, en fonction d'une information représentative du résultat de ladite vérification ; ledit système de contrôle d'accès étant caractérisé en ce que : - le dispositif d'accès (100) comporte des moyens (150) d'envoi du message (m) audit équipement mobile (300) et des moyens (130) d'envoi de ladite signature (s) au serveur de signature (200) ; et en ce quean access device (100) adapted to implement (E90) access control to said information, according to information representative of the result of said verification; said access control system being characterized in that: - the access device (100) comprises means (150) for sending the message (m) to said mobile equipment (300) and means (130) for sending said signature (s) to the signature server (200); and in that
- l'équipement mobile (300) comporte des moyens d'envoi (340) de ladite signature (s) au dispositif d'accès (100). 2 - Système de contrôle d'accès selon la revendication 1 , caractérisé en ce que ledit dispositif d'accès (100) comporte des moyens de création dudit message (m), préférentiellement à partir de paramètres de définition de ladite information, saisis avec des moyens d'entrée (120) dudit dispositif d'accès (100).the mobile equipment (300) comprises means for sending (340) said signature (s) to the access device (100). 2 - Access control system according to claim 1, characterized in that said access device (100) comprises means for creating said message (m), preferably from definition parameters of said information, entered with input means (120) of said access device (100).
3 - Système de contrôle d'accès selon la revendication 1 ou 2, caractérisé en ce que les moyens (150, 340) de communication entre le dispositif d'accès3 - Access control system according to claim 1 or 2, characterized in that the means (150, 340) for communication between the access device
(100) et l'équipement mobile (300) utilisent un lien de proximité.(100) and the mobile equipment (300) use a proximity link.
4 - Procédé de contrôle d'accès à une information, ledit contrôle d'accès étant mis en oeuvre lors d'une étape (E90) de contrôle d'accès par un dispositif (100) d'accès à ladite information, ce procédé étant caractérisé en ce qu'il comporte :4 - Method for controlling access to information, said access control being implemented during a step (E90) of access control by a device (100) for accessing said information, said method being characterized in that it comprises:
- une étape préliminaire (E20) de création dudit message (m) par ledit dispositif (100) d'accès, préférentiellement à partir de paramètres de définition de ladite information, saisis avec des moyens d'entrée (120) dudit dispositif d'accès (100) ;a preliminary step (E20) of creation of said message (m) by said access device (100), preferably from definition parameters of said information, inputted with input means (120) of said access device (100);
- une étape (E30') d'envoi, par ledit dispositif d'accès (100), du message (m), audit mobile (300) pour mise en oeuvre de ladite étape (E50) de signature ;a step (E30 ') of sending, by said access device (100), the message (m) to said mobile (300) for implementing said signature step (E50);
- une étape (E50) de signature, par un équipement mobile (300), d'un message (m) représentatif de ladite information, cette étape (E50) utilisant une clé privée de signature (key_priv) et une donnée personnelle (PIN) de l'utilisateur de l'équipement mobile (300) ;a step (E50) of signature, by a mobile equipment (300), of a message (m) representative of said information, this step (E50) using a private key signature (key_priv) and a personal data (PIN) the user of the mobile equipment (300);
- une étape (E60!) d'envoi, par ledit mobile (300), de ladite signature (s), au dispositif d'accès (100) ; - une étape (E65!) d'envoi, par le dispositif d'accès (100), de la signaturea step (E60 ! ) of sending, by said mobile (300), said signature (s) to the access device (100); a step (E65 ! ) of sending, by the access device (100), the signature
(s), au serveur de signature (200), pour mettre en œuvre ladite étape (E70) de vérification ;(s) at the signature server (200) for performing said verification step (E70);
- une étape (E70) de vérification de la validité de ladite signature (s), par un serveur de signature (200), cette étape (E70) utilisant une clef publique de vérification (key_pub) associée à la clef privée de signature (key_priv) ; eta step (E70) for verifying the validity of said signature (s) by a signature server (200), this step (E70) using a public verification key (key_pub) associated with the private signature key (key_priv ); and
- une étape (E80) d'envoi, par le serveur de signature (200), d'une information représentative du résultat de ladite étape (E70) de vérification, pour la mise en œuvre, le cas échéant, de ladite étape (E90) de contrôle d'accès.a step (E80) of sending, by the signature server (200), information representative of the result of said verification step (E70), for the implementation, if necessary, of said step (E90 ) access control.
5 - Dispositif d'accès à une information comportant : - des moyens (120) d'entrée de paramètres de définition de ladite information ;5 - Device for accessing information comprising: - means (120) for input of definition parameters of said information;
- des moyens de création d'un message (m) à partir desdits paramètres ;means for creating a message (m) from said parameters;
- des moyens (150) d'envoi, à un équipement mobile (300), dudit message (m) pour signature par cet équipement mobile (300) ; - des moyens (150) de réception d'un signature (s) en provenance dudit équipement mobile (300) ;means (150) for sending, to a mobile equipment (300), said message (m) for signature by this mobile equipment (300); - means (150) for receiving a signature (s) from said mobile equipment (300);
- des moyens (130) d'envoi de ladite signature (s) à un serveur de signature (200) ; - des moyens (130) de réception d'un ordre de contrôle d'accès en provenance dudit serveur de signature (200) ; etmeans (130) for sending said signature (s) to a signature server (200); means (130) for receiving an access control command from said signature server (200); and
- des moyens (140) adaptés à contrôler l'accès à ladite information sur réception dudit ordre de contrôle d'accès. 6 - Dispositif d'accès (100) selon la revendication 5, caractérisé en ce que lesdits moyens (150) de communication avec l'équipement mobile (300) sont des moyens de communication de proximité.means (140) adapted to control access to said information on receipt of said access control command. 6 - An access device (100) according to claim 5, characterized in that said means (150) for communication with the mobile equipment (300) are means of proximity communication.
7 - Programme d'ordinateur stocké sur une mémoire (115) d'un dispositif d'accès à une information, ledit programme comportant des instructions adaptées à mettre en œuvre :7 - Computer program stored on a memory (115) of an information access device, said program including instructions adapted to implement:
- une étape (E20) de saisie de paramètres de définition de ladite information ;a step (E20) for inputting definition parameters of said information;
- une étape (E20) de création d'un message (m) à partir desdits paramètres ; - une étape (E301) d'envoi, à un équipement mobile (300), dudit messagea step (E20) of creating a message (m) from said parameters; a step (E30 1 ) of sending, to a mobile device (300), said message
(m) pour signature par cet équipement mobile (300) ;(m) for signature by this mobile equipment (300);
- une étape (E601) de réception d'une signature (s) en provenance dudit équipement mobile (300) ;a step (E60 1 ) for receiving a signature (s) originating from said mobile equipment (300);
- une étape (E651) d'envoi de ladite signature (s) à un serveur de signature (300) ;a step (E65 1 ) of sending said signature (s) to a signature server (300);
- une étape de réception d'un ordre de contrôle d'accès en provenance dudit serveur de signature (200) ; eta step of receiving an access control command from said signature server (200); and
- une étape (E90) de contrôle d'accès à ladite information sur réception dudit ordre de contrôle d'accès. a step (E90) of controlling access to said information on reception of said access control command.
PCT/FR2005/050853 2004-10-18 2005-10-14 System and method for information access control WO2006042992A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0410999 2004-10-18
FR0410999 2004-10-18

Publications (2)

Publication Number Publication Date
WO2006042992A2 true WO2006042992A2 (en) 2006-04-27
WO2006042992A3 WO2006042992A3 (en) 2006-10-19

Family

ID=34949492

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/050853 WO2006042992A2 (en) 2004-10-18 2005-10-14 System and method for information access control

Country Status (1)

Country Link
WO (1) WO2006042992A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011110539A1 (en) * 2010-03-08 2011-09-15 Gemalto Sa System and method for using a portable security device to cryptographically sign a document in response to signature requests from a relying party to a digital signature service

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ETSI PROJECT M-COMMERCE (M-COMM): "ETSI TS 102 204 V1.1.4: Mobile Commerce (M-COMM); Mobile Signature Service; Web service interface" ETSI TECHNICAL SPECIFICATION, [Online] août 2003 (2003-08), pages 1-65, XP002313340 Extrait de l'Internet: URL:http://portal.etsi.org/docbox/EC_Files /EC_Files/ts_102204v010104p.pdf> [extrait le 2005-01-11] cité dans la demande *
MENEZES, OORSCHOT, VANSTONE: "HANDBOOK OF APPLIED CRYPTOGRAPHY" CRC PRESS SERIES ON DISCRETE MATHEMATICS AND ITS APPLICATIONS, 1997, XP002313341 BOCA RATON, FL, US ISBN: 0-8493-8523-7 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011110539A1 (en) * 2010-03-08 2011-09-15 Gemalto Sa System and method for using a portable security device to cryptographically sign a document in response to signature requests from a relying party to a digital signature service
US9065823B2 (en) 2010-03-08 2015-06-23 Gemalto Sa System and method for using a portable security device to cryptograhically sign a document in response to signature requests from a relying party to a digital signature service

Also Published As

Publication number Publication date
WO2006042992A3 (en) 2006-10-19

Similar Documents

Publication Publication Date Title
EP3262860B1 (en) Automatic recognition method between a mobile device and a vehicle using the ble protocol
US8165299B2 (en) Network authentication
EP1807966B1 (en) Authentication method
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
EP2139218A1 (en) Method and system for managing a purchase decision taken by a purchaser using a mobile radiotelephone
EP1678964B1 (en) Authentication method and device in a telecommunication network using a portable device
WO2007119032A1 (en) Method of securing access to a proximity communication module in a mobile terminal
US20040199764A1 (en) Method for authentication of a user on access to a software-based system by means of an access medium
EP3959629A1 (en) Hardware authentication token with remote validation
CN103765843A (en) Method and apparatus for authenticating users of a hybrid terminal
WO2006087438A1 (en) Method and device for accessing a sim card housed in a mobile terminal by means of a domestic gateway
EP0317400A1 (en) Apparatus and method for securing data exchange between a teletext terminal and a host
WO2002078288A1 (en) Method, system, and end user device for identifying a sender in a network
EP1190549B1 (en) Method and system for securely accessing a computer server
WO2013034865A1 (en) Authentication method
WO2006042992A2 (en) System and method for information access control
EP2159763B1 (en) System and method for delivering a good or a service to a user
WO2003003691A1 (en) Method and device for securing communications in a computer network
FR3146219A1 (en) Method of issuing an access authorization for an individual and verification method
CN116094703A (en) VPN authentication method and device
WO2012022856A1 (en) Method of authenticating a user of the internet network
FR2839832A1 (en) Access control system for information server uses first access request, return of authentication, and second request to establish access
KR20090006815A (en) How to handle customer authentication
KR20060112167A (en) Customer authentication relay method and system, server and recording medium therefor
WO2002030039A1 (en) Method for authenticating an electronic document

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 05810638

Country of ref document: EP

Kind code of ref document: A2

122 Ep: pct application non-entry in european phase

Ref document number: 05810638

Country of ref document: EP

Kind code of ref document: A2

点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载