WO2012022856A1 - Method of authenticating a user of the internet network - Google Patents

Method of authenticating a user of the internet network Download PDF

Info

Publication number
WO2012022856A1
WO2012022856A1 PCT/FR2011/000449 FR2011000449W WO2012022856A1 WO 2012022856 A1 WO2012022856 A1 WO 2012022856A1 FR 2011000449 W FR2011000449 W FR 2011000449W WO 2012022856 A1 WO2012022856 A1 WO 2012022856A1
Authority
WO
WIPO (PCT)
Prior art keywords
user
mobile phone
authentication
authentication server
terminal
Prior art date
Application number
PCT/FR2011/000449
Other languages
French (fr)
Inventor
Colette Azulay-Roger
Mikael Sabatier
Luc Andre
Original Assignee
Colette Azulay-Roger
Mikael Sabatier
Luc Andre
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Colette Azulay-Roger, Mikael Sabatier, Luc Andre filed Critical Colette Azulay-Roger
Publication of WO2012022856A1 publication Critical patent/WO2012022856A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Definitions

  • the present invention relates to a method of authenticating a user interacting with a terminal connected to the Internet network, the method of transmitting a user identifier and a user password to an authentication server connected to the Internet network, the user being authenticated after verifying the user identifier and the user password that had previously been registered in a database connected to the authentication server.
  • a first technique consists in capturing the password by direct espionage of the user's keyboard, by setting up a keylogger which captures any text hit by the user without his knowledge, or by listening to communications. unencrypted transmitted over the Internet by the user when he identifies himself by a password.
  • a second technique used by fraudsters is 1 1 phishing (or phishing) which consists of making the victim believe that she is addressing her usual website while she enters her username and password on a fraudulent site which looks exactly the same as the original site. Phishing can be done by email, fake websites or other electronic means.
  • a third technique comes from the fact that the user is registered on more and more websites. It therefore tends to always reuse the same password for all sites rather than too many passwords. If one of these sites is poorly secured, or even fraudulent, fraudsters have access to all sites of the user, even on its sensitive sites (bank, email ..).
  • the main purpose of the invention is to provide a method of authentication of a user of the Internet network making it impossible to implement the current techniques used by fraudsters to obtain the password of the user and not limiting authentication to the single password.
  • the method of the invention is essentially characterized in that the said user also has a mobile telephone equipped with means of connection to the network. Internet and in that it includes steps in which:
  • the user identifier is entered from the terminal connected to the Internet network and transmitted by said terminal to the authentication server,
  • the authentication server transmits, after verification of the user identifier, a request message to open the authentication application on the mobile telephone, whereby the user proceeds to open the application of authentication on the mobile phone, the mobile telephone displays, by means of the authentication application, at least one screen for entering a user password consisting of a predetermined sequence of images, allowing the user to enter the user password from mobile phone,
  • the mobile phone generates by means of the authentication application a hash key from at least the user password entered on the mobile phone and a mobile phone identifier,
  • the mobile phone transmits, by means of the authentication application, the hash key to the authentication server, which, upon receipt of the hash key, checks the hash key and, if successful in the verification, authenticates 1 user.
  • the authentication server transmits said request message opening the authentication application on the mobile phone accompanied by a single-use random character string generated by said authentication server, and said hash key is generated by said authentication application from said previously received random character string, which is concatenated to the user password entered on the mobile phone and to the mobile phone identifier.
  • said random character string is previously encrypted by the authentication server.
  • said hash key is transmitted encrypted by said mobile phone to said authentication server.
  • the user identifier can be stored on said mobile phone and is automatically entered from said terminal connected to the Internet network via a contactless link established between said terminal and said mobile phone by which said user identifier is transmitted to said terminal.
  • the communications between the authentication server and the mobile telephone can be carried out through a wireless or contactless gateway.
  • each image composing the user password can be chosen from a plurality of images on successive input screens displayed on the mobile phone, the number of successive input screens being equal to the number of images. composing the user password.
  • the images composing the plurality of images displayed on each successive input screen are always the same for each access to a given website from said terminal, while the order of the images on each of the successive input screens is different.
  • the predetermined image comprising the user password is positioned differently on the screen.
  • the user identifier, the identifier of the mobile phone and the user password are previously transmitted to the authentication server and are encryptedly recorded in said database connected to the authentication server.
  • said terminal connected to the Internet may be a personal computer from which the user wishes to access a website and the success of the verification of the hash key by said server. authentication allows access to the said website from the personal computer.
  • said terminal connected to the Internet may be an electronic payment terminal with which the user wishes to perform a transaction via his mobile phone communicating with said terminal by a link contactless and the success of the verification of the hash key by said authentication server makes it possible to finalize the transaction.
  • FIG. 1 represents a block diagram of the system allowing the implementation of the authentication method according to the invention.
  • FIG. 1 shows a flowchart of the authentication method according to the invention.
  • a user is connected to the Internet network 12 via a terminal 14 connected to the Internet network with which it interacts, which may for example be a personal computer 14 from which the user wishes to access the Internet. a website requiring access authorization.
  • personal computer is meant any computer device that allows access to the resources of the Internet network, whether it is an independent computer or a terminal in a computer network.
  • the terminal 14 connected to the Internet network may also be in the form of an electronic payment terminal, for example able to communicate without contact, or a contactless payment terminal, in an application of the present invention.
  • contactless payment solutions in which transactions, such as payment transactions, are made between such a terminal and a mobile device, such as a mobile phone, requiring authentication of the user for completion of the transaction.
  • These solutions are typically based on a payment application that complies with the operating rules of the bank card type, installed in the mobile phone of a user and on contactless NFC (near field communication) technology, designating a near-field communication.
  • NFC near field communication
  • the user also has a mobile phone, preferably of the ordiphone type, that is to say a smart phone such as a mobile phone Smartphone R , preferably with a touch screen, which has information processing functions similar to those of a personal computer thanks to an embedded operating system.
  • a mobile phone of the ordiphone type has the functions of a personal digital assistant and can therefore provide the functions of calendar, calendar, web browsing, email consultation, instant messaging, GPS, etc.
  • it can be used to install additional applications developed by the manufacturer, the operator or any other software publisher.
  • the mobile phone can store a payment application of the aforementioned type, so that it can perform contactless payment transactions with an external reader terminal type electronic payment, such as the terminal 14.
  • the mobile phone 16 is, like all mobile phones of this type, able to be connected to the Internet network via an ad hoc physical network (cellular (3G, etc.), wifi, wired). also be able to establish contactless communication with a terminal, such as a contactless payment terminal. It can thus comprise a contactless transmission / reception module, for example an NFC communication module.
  • a contactless transmission / reception module for example an NFC communication module.
  • An authentication server 20 which is indispensable in implementing the authentication method according to the invention described below, is connected to the Internet network.
  • the authentication server 20 has a database 22 intended to record all the data necessary for the authentication method.
  • the user's identifier, the mobile phone identifier and the password of the user have been previously transmitted to the server of the user.
  • authentication 20 which recorded them in the database 22, preferably in encrypted form.
  • the method illustrated by the flowchart of FIGS. 2A and 2B begins with the entry of the user's identifier on the user's terminal 14 (step 30), then the transmission of the user's identifier by the user. terminal 14 to the authentication server 20 via the Internet network 12 (step 32).
  • the user identifier may for example be his name, but also a bank account number, a transaction number for a payment and, in general, any information associated with the known user thereof or contained on a identification material support of which he is the holder and which allows his identification.
  • the user identifier may be an identifier stored directly on the mobile phone of the user, serving for example to the initialization of a payment session implementing an embedded contactless payment application within mobile phone, which is able to establish a contactless communication with a contactless payment terminal.
  • the user identifier can be entered automatically from the terminal 14, by setting up a contactless link, for example of the NFC type, between the mobile telephone of the user and the terminal 14, by which the user identifier is transmitted.
  • the authentication server 20 verifies the existence of this identifier in the database 22 (step 34). If it turns out that the identifier is incorrect or that it does not exist in the database 22 (step 36), the process returns to the entry of the identifier (step 30). Note that the most likely case is a bad entry of the identifier which is corrected during the second entry. But if the identifier had not been registered in the database, the user is asked to do so after a determined number of unsuccessful entries, for example 3 entries.
  • the latter After the verification of the user identifier by the authentication server 20, the latter sends a request message opening an authentication application contained on the mobile phone 16 (step 38). This message asking the user to open the authentication application can also be displayed on the terminal 14. This message can transit via a wireless or contactless gateway, through which the communications between the mobile phone 16 and the authentication server can be performed.
  • the user After receiving the request from the authentication server 20, the user proceeds to open the authentication application on his mobile phone 16 (step 40). The mobile phone then executes an action to open the authentication application when receiving the message sent by the server.
  • the authentication server 20 also generates a single-use random string (challenge), intended to be transmitted to the mobile telephone 16 at the same time as the transmission of the opening request message.
  • the authentication application on the mobile phone 16 (step 50).
  • the random character string is previously encrypted on the server side by using a public key encryption system deployed between the authentication server and the mobile telephone, so as to secure the exchange of the challenge performed between the authentication server. and the mobile phone.
  • the authentication application is a specific application stored on the mobile phone 16, the execution of which involves the display of at least one image screen or a sequence of screens each displaying a plurality of images, for example 20 images.
  • the progress of the application consists in displaying a determined number of successive screens each having different images.
  • the user has previously selected a specific image to compose his password.
  • the sequential combination of images of successive screens constitutes the password of the user that was provided prior to the authentication server 20 before the implementation of the authentication method.
  • a first screen is displayed on the mobile phone of the user, presenting a static image of a virtual keyboard, displaying for example numbers from 0 to 9 and allowing the user to enter, via the touch screen of the mobile phone, his password in the form of a sequence of numbers to authenticate (step 52). It may for example be a confidential code for authenticating the user as the owner of a payment card.
  • the user enters a predetermined one of a plurality of images presented on the first screen that is displayed on the mobile phone.
  • a second screen is then displayed and the user re-enters a predetermined image of the screen.
  • These steps are repeated as many times as necessary to enter the sequence of images constituting the password of the user.
  • the password consists of 4 predetermined images
  • 4 screens comprising for example 20 images each are displayed sequentially on the screen of the mobile phone.
  • the authentication application creates a hash key with the password entered and the identifier of the mobile phone, which is transmitted to the server (step 54).
  • the authentication application creates the hash key by applying a hash algorithm to the password entered, which is concatenated with the challenge previously received and decrypted and the identifier of the mobile phone.
  • the mobile phone identifier is a unique identifier created and exchanged with the authentication server during the "pairing" phase between the mobile phone and the authentication server.
  • the authentication application is downloaded to the mobile phone, for example from an application download platform, and installed the first time on the mobile phone
  • the first run of the application on the mobile phone launches a routine generating an identifier, which is stored on the mobile phone as a mobile phone identifier, for uniquely identifying the mobile phone with the authentication server, so that the authentication method can not be implemented only from the mobile phone of the user thus identified.
  • the use of the challenge to calculate the hash result of the user password advantageously makes it possible to guarantee the uniqueness of the hash key.
  • the hash key is then transmitted to the authentication server (step 54).
  • the hash key is previously encrypted on the mobile phone using the public key encryption system deployed between the authentication server and the mobile phone, so as to secure the exchange of this hash key between the mobile phone and the authentication server.
  • the authentication server is able to decrypt the hash key received and also knows the hash result of the password of the user and the identifier of the mobile phone with the challenge.
  • the hash key is then verified by the authentication server 20 (step 56). To do this, the authentication server 20 calculates the same hash key and compares with the received key. If the values match, the credentials of the user are considered authentic. If it turns out that the received hash key is incorrect (step 58), the process returns to the step of entering the identifier of the user on the mobile phone and its transmission to the server (step 32).
  • step 60 If the verification of the hash key by the authentication server is positive, the authentication is successful (step 60).
  • the authentication method that has just been described makes it possible to securely secure access to a website by the user from a personal computer, or even finalize a contactless payment transaction between a mobile phone and a mobile phone. electronic payment terminal.
  • the fact of obliging the user to enter his password from his mobile phone type ordiphone, associated the use of a unique challenge makes it impossible to capture the password, regardless of the technique used.
  • the theft of the mobile phone is not enough to impersonate the user, because you must also know his password.
  • the password composed of images makes it possible to solve the problems related to the use of an alphanumeric password
  • the password is difficult to copy, as for example on a post-it,

Abstract

Method of authenticating a user (10) of a terminal (14) connected to the Internet, the method consisting in transmitting the identifier and the password of the user to an authentication server (20), the authorization to access the website being provided to the user after verification of the identifier and of the password of the user which were previously recorded in a database (22) connected to the server. To do this, the user is moreover provided with a mobile telephone of the type adapted for entering the password and communicating it to the server by way of the Internet network, and the password is composed of a sequence of predetermined images displayed on the screen of the mobile telephone, the images being able to be entered by the user only after the latter has transmitted the identifier of the user to the server.

Description

Procédé d' authentification d' un utilisateur du réseau  Method for authenticating a network user
Internet  Internet
La présente invention concerne un procédé d' authentification d'un utilisateur interagissant avec un terminal connecté au réseau Internet, le procédé consistant à transmettre un identifiant d'utilisateur et un mot de passe utilisateur à un serveur d' authentification connecté au réseau Internet, l'utilisateur étant authentifié après vérification de l'identifiant d'utilisateur et du mot de passe utilisateur qui avaient été préalablement enregistrés dans une base de données connectée au serveur d' authentification . The present invention relates to a method of authenticating a user interacting with a terminal connected to the Internet network, the method of transmitting a user identifier and a user password to an authentication server connected to the Internet network, the user being authenticated after verifying the user identifier and the user password that had previously been registered in a database connected to the authentication server.
Actuellement, la majeure partie de la population possède son ordinateur personnel donnant la possibilité d' accéder au réseau Internet pour pouvoir se connecter à une multitude de sites web. Il est de plus en plus courant pour chaque utilisateur de devoir se connecter à un site web pour accéder à des données personnelles telles que le suivi de son compte en banque ou pour réaliser des achats.  Currently, the majority of the population has their personal computer giving the possibility to access the Internet to connect to a multitude of websites. It is becoming more common for each user to have to connect to a website to access personal data such as the tracking of his bank account or to make purchases.
Aujourd'hui, tous les sites web fournissent un système d' authentification afin que l'accès de chaque utilisateur à ses données personnelles puisse se faire de manière sécurisée. Pour ce faire, chaque utilisateur dispose d'un identifiant et d'un mot de passe qu'il doit conserver secret pour éviter qu'un fraudeur puisse l'utiliser à sa place. Today, all websites provide an authentication system so that the access of each user to his personal data can be done in a secure way. To do this, each user has a username and password that he must keep secret to prevent a fraudster can use it in his place.
Malheureusement, les fraudeurs ont mis au point des techniques qui permettent de se procurer le mot de passe d'un utilisateur. Une première technique consiste à capturer le mot de passe par espionnage direct du clavier de l'utilisateur, par la mise en place d'un enregistreur (keylogger) qui saisit tout texte frappé par l'utilisateur à son insu, ou par écoute des communications non chiffrées transmises sur le réseau Internet par l'utilisateur lorsque celui-ci s'identifie par un mot de passe.  Unfortunately, fraudsters have developed techniques that provide the password of a user. A first technique consists in capturing the password by direct espionage of the user's keyboard, by setting up a keylogger which captures any text hit by the user without his knowledge, or by listening to communications. unencrypted transmitted over the Internet by the user when he identifies himself by a password.
Une deuxième technique utilisée par les fraudeurs est 11 hameçonnage (ou phishing) qui consiste à faire croire à la victime qu'elle s'adresse à son site web habituel alors qu'elle saisit son identifiant et son mot de passe sur un site frauduleux qui a exactement le même aspect que le site original. L ' hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques. A second technique used by fraudsters is 1 1 phishing (or phishing) which consists of making the victim believe that she is addressing her usual website while she enters her username and password on a fraudulent site which looks exactly the same as the original site. Phishing can be done by email, fake websites or other electronic means.
Une troisième technique vient du fait que l'utilisateur est enregistré sur de plus en plus de sites web. Il a donc tendance à réutiliser toujours le même mot de passe pour tous les sites plutôt que de trop nombreux mots de passe. Si un de ces sites est mal sécurisé, voire frauduleux, les fraudeurs ont accès à tous les sites de l'utilisateur, même sur ses sites sensibles (banque, email..).  A third technique comes from the fact that the user is registered on more and more websites. It therefore tends to always reuse the same password for all sites rather than too many passwords. If one of these sites is poorly secured, or even fraudulent, fraudsters have access to all sites of the user, even on its sensitive sites (bank, email ..).
Enfin, comme la plupart du temps les utilisateurs choisissent des mots de passe ayant une signification réelle, le fraudeur peut attaquer par force brute qui consiste à tester tous les mots de passe possibles. Ceci peut demander des heures, voire des jours de calcul, même avec des machines équipées de processeurs puissants. Il peut aussi se servir d'un dictionnaire. Finally, since most users choose passwords with real meaning, the fraudster can attack by brute force is to test all possible passwords. This can take hours or even days of calculation, even with machines with powerful processors. He can also use a dictionary.
C'est pourquoi le but principal de l'invention est de réaliser une méthode d' authentification d'un utilisateur du réseau Internet rendant impossible la mise en œuvre des techniques actuelles utilisées par les fraudeurs pour se procurer le mot de passe de l'utilisateur et ne limitant pas 1 ' authentification au seul mot de passe.  Therefore, the main purpose of the invention is to provide a method of authentication of a user of the Internet network making it impossible to implement the current techniques used by fraudsters to obtain the password of the user and not limiting authentication to the single password.
A cette fin, le procédé de l'invention par ailleurs conforme à la définition générique qu'en donne le préambule ci-dessus, est essentiellement caractérisé en ce que ledit utilisateur dispose en outre d'un téléphone mobile équipé de moyens de connexion au réseau Internet et en ce qu' il comprend des étapes au cours desquelles :  To this end, the method of the invention, moreover, in accordance with the generic definition given in the preamble above, is essentially characterized in that the said user also has a mobile telephone equipped with means of connection to the network. Internet and in that it includes steps in which:
- on fournit une application d' authentification au téléphone mobile ;  - an authentication application is provided to the mobile phone;
- l'identifiant d'utilisateur est saisi depuis le terminal connecté au réseau Internet et transmis par ledit terminal au serveur d' authentification,  the user identifier is entered from the terminal connected to the Internet network and transmitted by said terminal to the authentication server,
le serveur d' authentification émet, après vérification de l'identifiant utilisateur, un message de demande d'ouverture de l'application d' authentification sur le téléphone mobile, moyennant quoi l'utilisateur procède à l'ouverture de l'application d' authentification sur le téléphone mobile, le téléphone mobile affiche au moyen de l'application d' authentification au moins un écran de saisie d'un mot de passe utilisateur composé d'une séquence d'images prédéterminées, permettant à l'utilisateur de saisir le mot de passe utilisateur à partir du téléphone mobile, the authentication server transmits, after verification of the user identifier, a request message to open the authentication application on the mobile telephone, whereby the user proceeds to open the application of authentication on the mobile phone, the mobile telephone displays, by means of the authentication application, at least one screen for entering a user password consisting of a predetermined sequence of images, allowing the user to enter the user password from mobile phone,
le téléphone mobile génère au moyen de l'application d' authentification une clé de hachage à partir d'au moins le mot de passe utilisateur saisi sur le téléphone mobile et d'un identifiant du téléphone mobile ,  the mobile phone generates by means of the authentication application a hash key from at least the user password entered on the mobile phone and a mobile phone identifier,
le téléphone mobile transmet au moyen de l'application d' authentification la clé de hachage au serveur d' authentification, lequel, à la réception de la clé de hachage, vérifie la clé de hachage et, en cas de succès de la vérification, authentifie 1' utilisateur .  the mobile phone transmits, by means of the authentication application, the hash key to the authentication server, which, upon receipt of the hash key, checks the hash key and, if successful in the verification, authenticates 1 user.
Avantageusement, le serveur d' authentification émet ledit message de demande d'ouverture de l'application d' authentification sur le téléphone mobile accompagné d'une chaîne de caractères aléatoire à usage unique générée par ledit serveur d' authentification, et ladite clé de hachage est générée par ladite application d' authentification à partir de ladite chaîne de caractères aléatoire préalablement reçue, qui est concaténée au mot de passe utilisateur saisi sur le téléphone mobile et à l'identifiant du téléphone mobile.  Advantageously, the authentication server transmits said request message opening the authentication application on the mobile phone accompanied by a single-use random character string generated by said authentication server, and said hash key is generated by said authentication application from said previously received random character string, which is concatenated to the user password entered on the mobile phone and to the mobile phone identifier.
De préférence, ladite chaîne de caractères aléatoire est préalablement chiffrée par le serveur d' authentification . De préférence, ladite clé de hachage est transmise de manière chiffrée par ledit téléphone mobile audit serveur d' authentification . Preferably, said random character string is previously encrypted by the authentication server. Preferably, said hash key is transmitted encrypted by said mobile phone to said authentication server.
Selon un mode de réalisation, l'identifiant d'utilisateur peut être stocké sur ledit téléphone mobile et est saisi automatiquement depuis ledit terminal connecté au réseau internet par l'intermédiaire d'une liaison sans contact établie entre ledit terminal et ledit téléphone mobile par laquelle ledit identifiant d'utilisateur est transmis audit terminal.  According to one embodiment, the user identifier can be stored on said mobile phone and is automatically entered from said terminal connected to the Internet network via a contactless link established between said terminal and said mobile phone by which said user identifier is transmitted to said terminal.
Avantageusement, les communications entre le serveur d' authentification et le téléphone mobile peuvent être effectuées au travers d'une passerelle sans fil ou sans contact.  Advantageously, the communications between the authentication server and the mobile telephone can be carried out through a wireless or contactless gateway.
Selon un mode de réalisation, chaque image composant le mot de passe utilisateur peut être choisie parmi une pluralité d'images sur des écrans de saisie successifs affichés sur le téléphone mobile, le nombre d'écrans de saisie successifs étant égal au nombre d'images composant le mot de passe utilisateur.  According to one embodiment, each image composing the user password can be chosen from a plurality of images on successive input screens displayed on the mobile phone, the number of successive input screens being equal to the number of images. composing the user password.
De préférence, les images composant la pluralité d' images affichées sur chaque écran de saisie successif sont toujours les mêmes pour chaque accès à un site web donné depuis ledit terminal, tandis que l'ordre des images sur chacun des écrans de saisie successifs est différent à chaque authentification, de sorte que, pour chaque écran de saisie successif affiché sur le téléphone mobile, l'image prédéterminée composant le mot de passe utilisateur est positionnée de façon différente sur l'écran. Avantageusement, l'identifiant d'utilisateur, l'identifiant du téléphone mobile et le mot de passe utilisateur sont préalablement transmis au serveur d' authentification et sont enregistrés de manière chiffrées dans ladite base de données connectée au serveur d' authentification . Preferably, the images composing the plurality of images displayed on each successive input screen are always the same for each access to a given website from said terminal, while the order of the images on each of the successive input screens is different. at each authentication, so that for each successive entry screen displayed on the mobile phone, the predetermined image comprising the user password is positioned differently on the screen. Advantageously, the user identifier, the identifier of the mobile phone and the user password are previously transmitted to the authentication server and are encryptedly recorded in said database connected to the authentication server.
Dans un exemple d' application du procédé de l'invention, ledit terminal connecté à Internet peut être un ordinateur personnel à partir duquel l'utilisateur désire accéder à un site web et le succès de la vérification de la clé de hachage par ledit serveur d' authentification permet d'autoriser l'accès audit site web depuis l'ordinateur personnel.  In an exemplary application of the method of the invention, said terminal connected to the Internet may be a personal computer from which the user wishes to access a website and the success of the verification of the hash key by said server. authentication allows access to the said website from the personal computer.
Dans un autre exemple d'application du procédé de l'invention, ledit terminal connecté à Internet peut être un terminal de paiement électronique auprès duquel l'utilisateur désire effectuer une transaction par l'intermédiaire de son téléphone mobile communiquant avec ledit terminal par une liaison sans contact et le succès de la vérification de la clé de hachage par ledit serveur d' authentification permet de finaliser la transaction .  In another example of application of the method of the invention, said terminal connected to the Internet may be an electronic payment terminal with which the user wishes to perform a transaction via his mobile phone communicating with said terminal by a link contactless and the success of the verification of the hash key by said authentication server makes it possible to finalize the transaction.
Les buts, objets et caractéristiques de l'invention apparaîtront plus clairement à la lecture de la description qui suit faite en référence aux dessins dans lesquels :  The objects, objects and features of the invention will appear more clearly on reading the following description given with reference to the drawings in which:
la figure 1 représente un bloc diagramme du système permettant la mise en œuvre de la méthode d' authentification selon l'invention ; et  FIG. 1 represents a block diagram of the system allowing the implementation of the authentication method according to the invention; and
les figures 2A et 2B représentent un organigramme de la méthode d' authentification selon l'invention. En référence à la figure 1, un utilisateur est connecté au réseau Internet 12 par l'intermédiaire d'un terminal 14 connecté au réseau Internet, avec lequel il interagit, pouvant être par exemple un ordinateur personnel 14 depuis lequel l'utilisateur souhaite accéder à un site web requérant une autorisation d'accès. A noter qu'il faut entendre par ordinateur personnel tout dispositif informatique qui permet l'accès aux ressources du réseau Internet, que ce soit un ordinateur indépendant ou un terminal dans un réseau informatique. En variante, le terminal 14 connecté au réseau Internet peut également se présenter sous la forme d'un terminal de paiement électronique, par exemple apte à communiquer sans contact, ou d'une borne de paiement sans contact, dans une application de la présente invention aux solutions de paiement sans contact dans lesquelles des transactions, telles que des transactions de paiement sont effectuées entre un tel terminal et un appareil mobile, tel qu'un téléphone mobile, nécessitant une authentification de l'utilisateur pour la finalisation de la transaction. Ces solutions s'appuient typiquement sur une application de paiement répondant aux règles de fonctionnement de type carte bancaire, installée dans le téléphone mobile d'un utilisateur et sur la technologie sans contact NFC (Near Field Communication, désignant une communication en champ proche) . Figures 2A and 2B show a flowchart of the authentication method according to the invention. With reference to FIG. 1, a user is connected to the Internet network 12 via a terminal 14 connected to the Internet network with which it interacts, which may for example be a personal computer 14 from which the user wishes to access the Internet. a website requiring access authorization. It should be noted that by personal computer is meant any computer device that allows access to the resources of the Internet network, whether it is an independent computer or a terminal in a computer network. As a variant, the terminal 14 connected to the Internet network may also be in the form of an electronic payment terminal, for example able to communicate without contact, or a contactless payment terminal, in an application of the present invention. contactless payment solutions in which transactions, such as payment transactions, are made between such a terminal and a mobile device, such as a mobile phone, requiring authentication of the user for completion of the transaction. These solutions are typically based on a payment application that complies with the operating rules of the bank card type, installed in the mobile phone of a user and on contactless NFC (near field communication) technology, designating a near-field communication.
L'utilisateur dispose également d'un téléphone mobile, de préférence du type ordiphone, c'est-à-dire un téléphone intelligent tel qu'un téléphone portable SmartphoneR, muni de préférence d'un écran tactile, qui possède des fonctions de traitement de l'information proches de celles d'un ordinateur personnel grâce à un système d'exploitation incorporé. Un téléphone mobile du type ordiphone possède les fonctions d'un assistant numérique personnel et peut donc fournir les fonctionnalités d'agenda, de calendrier, de navigation Web, de consultation de courrier électronique, de messagerie instantanée, de GPS, etc. En outre, il peut permettre d'installer des applications additionnelles développées par le fabricant, par l'opérateur ou par n'importe quel autre éditeur de logiciel. Par exemple, le téléphone mobile peut stocker une application de paiement du type précité, de sorte qu'il puisse réaliser des transactions de paiement sans contact avec un lecteur externe de type terminal de paiement électronique, tel que le terminal 14. The user also has a mobile phone, preferably of the ordiphone type, that is to say a smart phone such as a mobile phone Smartphone R , preferably with a touch screen, which has information processing functions similar to those of a personal computer thanks to an embedded operating system. A mobile phone of the ordiphone type has the functions of a personal digital assistant and can therefore provide the functions of calendar, calendar, web browsing, email consultation, instant messaging, GPS, etc. In addition, it can be used to install additional applications developed by the manufacturer, the operator or any other software publisher. For example, the mobile phone can store a payment application of the aforementioned type, so that it can perform contactless payment transactions with an external reader terminal type electronic payment, such as the terminal 14.
Le téléphone mobile 16 est, comme tous les téléphones mobiles de ce type, apte à être connecté au réseau Internet par l'intermédiaire d'un réseau physique ad hoc (cellulaire (3G, etc.), wifi, filaire) 18. Il peut aussi être apte à établir une communication sans contact avec un terminal, tel qu'un terminal de paiement sans contact. Il peut ainsi comprendre un module de transmission/réception sans contact, par exemple un module de communication NFC.  The mobile phone 16 is, like all mobile phones of this type, able to be connected to the Internet network via an ad hoc physical network (cellular (3G, etc.), wifi, wired). also be able to establish contactless communication with a terminal, such as a contactless payment terminal. It can thus comprise a contactless transmission / reception module, for example an NFC communication module.
Un serveur d' authentification 20, indispensable dans la mise en œuvre de la méthode d' authentification selon l'invention décrite ci-dessous, est connecté au réseau Internet. Le serveur d' authentification 20 dispose d'une base de données 22 destinée à enregistrer toutes les données nécessaires à la méthode d' authentification . An authentication server 20, which is indispensable in implementing the authentication method according to the invention described below, is connected to the Internet network. The authentication server 20 has a database 22 intended to record all the data necessary for the authentication method.
Pour la mise en œuvre de la méthode d' authentification selon l'invention, il est admis que l'identifiant de l'utilisateur, l'identifiant du téléphone mobile et le mot de passe de l'utilisateur ont été transmis préalablement au serveur d' authentification 20 qui les a enregistrés dans la base de données 22, de préférence de manière chiffrée.  For the implementation of the authentication method according to the invention, it is accepted that the user's identifier, the mobile phone identifier and the password of the user have been previously transmitted to the server of the user. authentication 20 which recorded them in the database 22, preferably in encrypted form.
La méthode illustrée par l'organigramme des figures 2A et 2B débute par la saisie de l'identifiant de l'utilisateur sur le terminal 14 de l'utilisateur (étape 30), puis la transmission de l'identifiant de l'utilisateur par le terminal 14 au serveur d' authentification 20 via le réseau Internet 12 (étape 32) .  The method illustrated by the flowchart of FIGS. 2A and 2B begins with the entry of the user's identifier on the user's terminal 14 (step 30), then the transmission of the user's identifier by the user. terminal 14 to the authentication server 20 via the Internet network 12 (step 32).
L'identifiant d'utilisateur peut par exemple être son nom, mais également un numéro de compte bancaire, un numéro de transaction pour un paiement et, de manière générale, toute information associée à l'utilisateur connue de celui-ci ou contenue sur un support matériel d'identification dont il est le détenteur et qui permet son identification. En variante encore, l'identifiant d'utilisateur peut être un identifiant stocké directement sur le téléphone mobile de l'utilisateur, servant par exemple à l'initialisation d'une session de paiement mettant en œuvre une application de paiement sans contact embarqué au sein du téléphone mobile, lequel est apte à établir une communication sans contact avec un terminal de paiement sans contact. Selon cette variante, l'identifiant d'utilisateur peut être saisi automatiquement depuis le terminal 14, grâce à l'établissement d'une liaison sans contact, par exemple de type NFC, entre le téléphone mobile de l'utilisateur et le terminal 14, par laquelle l'identifiant est transmis . The user identifier may for example be his name, but also a bank account number, a transaction number for a payment and, in general, any information associated with the known user thereof or contained on a identification material support of which he is the holder and which allows his identification. In another variant, the user identifier may be an identifier stored directly on the mobile phone of the user, serving for example to the initialization of a payment session implementing an embedded contactless payment application within mobile phone, which is able to establish a contactless communication with a contactless payment terminal. According to this variant, the user identifier can be entered automatically from the terminal 14, by setting up a contactless link, for example of the NFC type, between the mobile telephone of the user and the terminal 14, by which the user identifier is transmitted.
Lorsqu'il reçoit l'identifiant d'utilisateur, le serveur d' authentification 20 vérifie l'existence de cet identifiant dans la base de données 22 (étape 34). S'il s'avère que l'identifiant est incorrect ou qu'il n'existe pas dans la base de données 22 (étape 36), le processus revient à la saisie de l'identifiant (étape 30) . A noter que le cas le plus probable est une mauvaise saisie de l'identifiant qui est corrigée lors de la seconde saisie. Mais si l'identifiant n'avait pas été enregistré dans la base de données, l'utilisateur est sollicité à le faire après un nombre déterminé de saisies infructueuses, par exemple 3 saisies.  When it receives the user identifier, the authentication server 20 verifies the existence of this identifier in the database 22 (step 34). If it turns out that the identifier is incorrect or that it does not exist in the database 22 (step 36), the process returns to the entry of the identifier (step 30). Note that the most likely case is a bad entry of the identifier which is corrected during the second entry. But if the identifier had not been registered in the database, the user is asked to do so after a determined number of unsuccessful entries, for example 3 entries.
Après la vérification de l'identifiant d'utilisateur par le serveur d' authentification 20, ce dernier envoie un message de demande d' ouverture d' une application d' authentification contenue sur le téléphone mobile 16 (étape 38) . Ce message demandant à l'utilisateur d'ouvrir l'application d' authentification peut également s'afficher sur le terminal 14. Ce message peut transiter par l'intermédiaire d'une passerelle sans fil ou sans contact, au travers de laquelle les communications entre le téléphone mobile 16 et le serveur d' authentification peuvent être effectuées. Après réception de la demande provenant du serveur d' authentification 20, l'utilisateur procède à l'ouverture de l'application d' authentification sur son téléphone mobile 16 (étape 40) . Le téléphone mobile exécute alors une action d'ouverture de l'application d' authentification lors de la réception du message émis par le serveur. After the verification of the user identifier by the authentication server 20, the latter sends a request message opening an authentication application contained on the mobile phone 16 (step 38). This message asking the user to open the authentication application can also be displayed on the terminal 14. This message can transit via a wireless or contactless gateway, through which the communications between the mobile phone 16 and the authentication server can be performed. After receiving the request from the authentication server 20, the user proceeds to open the authentication application on his mobile phone 16 (step 40). The mobile phone then executes an action to open the authentication application when receiving the message sent by the server.
Selon un mode de réalisation préféré, le serveur d' authentification 20 génère également une chaine de caractère aléatoire à usage unique (challenge) , destinée à être transmise au téléphone mobile 16 en même temps que l'émission du message de demande d'ouverture de l'application d' authentification sur le téléphone mobile 16 (étape 50) . De préférence, la chaîne de caractère aléatoire est préalablement chiffrée côté serveur en utilisant un système de chiffrement à clé publique déployé entre le serveur d' authentification et le téléphone mobile, de façon à sécuriser l'échange du challenge effectué entre le serveur d' authentification et le téléphone mobile.  According to a preferred embodiment, the authentication server 20 also generates a single-use random string (challenge), intended to be transmitted to the mobile telephone 16 at the same time as the transmission of the opening request message. the authentication application on the mobile phone 16 (step 50). Preferably, the random character string is previously encrypted on the server side by using a public key encryption system deployed between the authentication server and the mobile telephone, so as to secure the exchange of the challenge performed between the authentication server. and the mobile phone.
L'application d' authentification est une application spécifique stockée sur le téléphone mobile 16, dont l'exécution induit l'affichage d'au moins un écran d'image ou d'une séquence d'écrans affichant chacun une pluralité d'images, par exemple 20 images. Dans ce dernier cas, le déroulement de l'application consiste à afficher un nombre déterminé d'écrans successifs comportant chacun des images différentes. Pour chaque écran, l'utilisateur a sélectionné au préalable une image déterminée pour composer son mot de passe. La combinaison séquentielle des images des écrans successifs constitue le mot de passe de l'utilisateur qui a été fourni préalablement au serveur d' authentification 20 avant la mise en œuvre de la méthode d' authentification . The authentication application is a specific application stored on the mobile phone 16, the execution of which involves the display of at least one image screen or a sequence of screens each displaying a plurality of images, for example 20 images. In the latter case, the progress of the application consists in displaying a determined number of successive screens each having different images. For each screen, the user has previously selected a specific image to compose his password. The sequential combination of images of successive screens constitutes the password of the user that was provided prior to the authentication server 20 before the implementation of the authentication method.
Plus précisément, selon un mode d'exécution de l'application, un premier écran s'affiche sur le téléphone mobile de l'utilisateur, présentant une image statique d'un clavier virtuel, affichant par exemple des chiffres de 0 à 9 et permettant à l'utilisateur de saisir, par l'intermédiaire de l'écran tactile du téléphone mobile, son mot de passe sous la forme d'une suite de chiffres destinée à l'authentifier (étape 52). Il peut par exemple s'agir d'un code confidentiel destinée à authentifier l'utilisateur en tant que propriétaire d'une carte de paiement.  More specifically, according to an embodiment of the application, a first screen is displayed on the mobile phone of the user, presenting a static image of a virtual keyboard, displaying for example numbers from 0 to 9 and allowing the user to enter, via the touch screen of the mobile phone, his password in the form of a sequence of numbers to authenticate (step 52). It may for example be a confidential code for authenticating the user as the owner of a payment card.
En variante, l'utilisateur saisit une image prédéterminée parmi une pluralité d' images présentées sur le premier écran qui s'affiche sur le téléphone mobile. Un deuxième écran est alors affiché et l'utilisateur saisit à nouveau une image prédéterminée de l'écran. Ces étapes sont répétées autant de fois qu' il le faut pour entrer la séquence d' images constituant le mot de passe de l'utilisateur. Ainsi, si le mot de passe se compose de 4 images prédéterminées, 4 écrans comportant par exemple 20 images chacun s'affichent séquentiellement sur l'écran du téléphone mobile. Une caractéristique importante est que cette transmission du mot de passe composée d' images dans le cadre du procédé d' authentification de l'invention n'est possible qu'à partir du téléphone mobile de 1' utilisateur . A noter que les images présentées à l'utilisateur peuvent être différentes pour chaque site web. Mais, pour un site web donné, bien que les images de chaque écran sont toujours les mêmes, l'ordre des images sur chacun des écrans est différent à chaque authentification, c'est-à-dire que, pour chaque écran, l'image prédéterminée que doit saisir l'utilisateur est positionnée de façon différente sur l'écran. Ceci empêche un éventuel fraudeur de pouvoir capturer le mot de passe en notant la position sur l'écran de chaque image saisie. Alternatively, the user enters a predetermined one of a plurality of images presented on the first screen that is displayed on the mobile phone. A second screen is then displayed and the user re-enters a predetermined image of the screen. These steps are repeated as many times as necessary to enter the sequence of images constituting the password of the user. Thus, if the password consists of 4 predetermined images, 4 screens comprising for example 20 images each are displayed sequentially on the screen of the mobile phone. An important feature is that this transmission of the password composed of images as part of the authentication method of the invention is possible only from the mobile phone of the user. Note that the images presented to the user may be different for each website. But, for a given website, although the images of each screen are always the same, the order of the images on each of the screens is different with each authentication, that is to say that for each screen, the predetermined image that must be entered by the user is positioned differently on the screen. This prevents a possible fraudster to be able to capture the password by noting the position on the screen of each image captured.
Puis, l'application d' authentification crée une clé de hachage avec le mot de passe saisi et l'identifiant du téléphone mobile, qui est transmise au serveur (étape 54) .  Then, the authentication application creates a hash key with the password entered and the identifier of the mobile phone, which is transmitted to the server (step 54).
De préférence, selon le mode de réalisation préféré mentionné plus haut, l'application d' authentification crée la clé de hachage en appliquant un algorithme de hachage au mot de passe saisi, auquel est concaténé le challenge préalablement reçu et déchiffré et l'identifiant du téléphone mobile.  Preferably, according to the preferred embodiment mentioned above, the authentication application creates the hash key by applying a hash algorithm to the password entered, which is concatenated with the challenge previously received and decrypted and the identifier of the mobile phone.
L'identifiant du téléphone mobile est un identifiant unique créé et échangé avec le serveur d' authentification lors de la phase d' « appairage » entre le téléphone mobile et le serveur d' authentification . Ainsi, après que l'application d' authentification est téléchargée sur le téléphone mobile, par exemple depuis une plateforme de téléchargement d'application, et installée la première fois sur le téléphone mobile, la première exécution de l'application sur le téléphone mobile lance une routine de génération d'un identifiant, qui est stocké sur le téléphone mobile en tant qu' identifiant du téléphone mobile, pour identifier de manière unique le téléphone mobile auprès du serveur d' authentificat ion, de sorte que la méthode d' authentification ne peut être mise en œuvre qu'à partir du téléphone mobile de l'utilisateur ainsi identifié. The mobile phone identifier is a unique identifier created and exchanged with the authentication server during the "pairing" phase between the mobile phone and the authentication server. Thus, after the authentication application is downloaded to the mobile phone, for example from an application download platform, and installed the first time on the mobile phone, the first run of the application on the mobile phone launches a routine generating an identifier, which is stored on the mobile phone as a mobile phone identifier, for uniquely identifying the mobile phone with the authentication server, so that the authentication method can not be implemented only from the mobile phone of the user thus identified.
Par ailleurs, l'utilisation du challenge pour calculer le résultat de hachage du mot de passe d'utilisateur permet avantageusement de garantir l'unicité de la clé de hachage.  Moreover, the use of the challenge to calculate the hash result of the user password advantageously makes it possible to guarantee the uniqueness of the hash key.
La clé de hachage est alors transmise au serveur d' authentification (étape 54) . De préférence, la clé de hachage est préalablement chiffrée côté téléphone mobile en utilisant le système de chiffrement à clé publique déployé entre le serveur d' authentification et le téléphone mobile, de façon à sécuriser l'échange de cette clé de hachage entre le téléphone mobile et le serveur d' authentification .  The hash key is then transmitted to the authentication server (step 54). Preferably, the hash key is previously encrypted on the mobile phone using the public key encryption system deployed between the authentication server and the mobile phone, so as to secure the exchange of this hash key between the mobile phone and the authentication server.
Le serveur d' authentification est à même de déchiffrer la clé de hachage reçue et connaît également le résultat de hachage du mot de passe de l'utilisateur et de l'identifiant du téléphone mobile avec le challenge. La clé de hachage est alors vérifiée par le serveur d' authentificat ion 20 (étape 56) . Pour ce faire, le serveur d' authentification 20 calcule la même clé de hachage et compare avec la clé reçue. Si les valeurs correspondent, les informations d'identification de l'utilisateur sont considérées comme authentiques. S'il s'avère que la clé de hachage reçue est incorrecte (étape 58), le processus revient à l'étape de saisie de l'identifiant de l'utilisateur sur le téléphone mobile et sa transmission au serveur (étape 32 ) . The authentication server is able to decrypt the hash key received and also knows the hash result of the password of the user and the identifier of the mobile phone with the challenge. The hash key is then verified by the authentication server 20 (step 56). To do this, the authentication server 20 calculates the same hash key and compares with the received key. If the values match, the credentials of the user are considered authentic. If it turns out that the received hash key is incorrect (step 58), the process returns to the step of entering the identifier of the user on the mobile phone and its transmission to the server (step 32).
Si la vérification de la clé de hachage par le serveur d' authentification est positive, l' authentification est réussie (étape 60) .  If the verification of the hash key by the authentication server is positive, the authentication is successful (step 60).
Auquel cas, selon un exemple d'application concernant 1 ' authentification d'un utilisateur désirant accéder à un site web à partir d'un ordinateur personnel connecté au réseau Internet, l'autorisation d' accéder au site web en se connectant au réseau Internet depuis l'ordinateur personnel est donnée à 1 ' utilisateur .  In this case, according to an exemplary application concerning the authentication of a user wishing to access a website from a personal computer connected to the Internet network, authorization to access the website by connecting to the Internet network since the personal computer is given to the user.
Dans un autre exemple d'application concernant la mise en œuvre de transactions, par exemple de transactions de paiement sans contact, effectuées entre le téléphone mobile 16 et un terminal 14, de type terminal de paiement électronique, avec lequel une liaison sans contact, par exemple de type N FC , est établie, l' authentification réussie de l'utilisateur en cas de vérification positive de la clé de hachage par le serveur d' authentification, autorise la finalisation de la transaction.  In another exemplary application relating to the implementation of transactions, for example of contactless payment transactions, carried out between the mobile telephone 16 and a terminal 14, of the electronic payment terminal type, with which a contactless link, by example N FC type, is established, the successful authentication of the user in case of positive verification of the hash key by the authentication server, authorizes the finalization of the transaction.
La méthode d' authentification qui vient d'être décrite permet une sécurisation parfaite de l'accès à un site web par l'utilisateur depuis un ordinateur personnel, ou encore la finalisation d'une transaction de paiement sans contact entre un téléphone mobile et un terminal de paiement électronique. En effet, le fait d'obliger l'utilisateur à saisir son mot de passe depuis son téléphone mobile de type ordiphone, associé à l'utilisation d'un challenge unique, rend inopérante toute capture du mot de passe, quelle que soit la technique utilisée. En outre, le vol du téléphone mobile n'est pas suffisant pour usurper l'identité de l'utilisateur, car il faut aussi connaître son mot de passe. Enfin, le mot de passe composé d'images permet de résoudre les problèmes liés à l'utilisation d'un mot de passe alphanumérique, The authentication method that has just been described makes it possible to securely secure access to a website by the user from a personal computer, or even finalize a contactless payment transaction between a mobile phone and a mobile phone. electronic payment terminal. Indeed, the fact of obliging the user to enter his password from his mobile phone type ordiphone, associated the use of a unique challenge, makes it impossible to capture the password, regardless of the technique used. In addition, the theft of the mobile phone is not enough to impersonate the user, because you must also know his password. Finally, the password composed of images makes it possible to solve the problems related to the use of an alphanumeric password,
En conséquence:  Consequently:
- les enregistreurs de frappe sont inopérants, - keyloggers are inoperative,
chaque site web ayant ses propres images, la réutilisation d'un mot de passe est impossible,  each website having its own images, reuse of a password is impossible,
- le mot de passe est difficilement copiable, comme par exemple sur un post-it,  - the password is difficult to copy, as for example on a post-it,
- les attaques par force brute ou dictionnaire sont inopérantes, - brute force or dictionary attacks are inoperative,
- l'écoute sur le réseau Internet est inopérante car l'ordre des images dans un écran est changé à chaque fois .  - listening on the Internet is ineffective because the order of images in a screen is changed each time.

Claims

REVENDICATIONS
1. Procédé d' authentification d'un utilisateur (10) d'un terminal (14) connecté au réseau Internet, le procédé consistant à transmettre un identifiant d'utilisateur et un mot de passe utilisateur à un serveur d' authentification (20) connecté au réseau Internet, l'utilisateur étant authentifié après vérification de l'identifiant d'utilisateur et du mot de passe utilisateur qui avaient été préalablement enregistrés dans une base de données (22) connectée au serveur d' authentification (20), le procédé étant caractérisé en ce que, ledit utilisateur disposant en outre d'un téléphone mobile (16) équipé de moyens de connexion au réseau Internet, il comprend des étapes au cours desquelles : A method of authenticating a user (10) of a terminal (14) connected to the Internet, the method of transmitting a user identifier and a user password to an authentication server (20) connected to the Internet network, the user being authenticated after verifying the user identifier and the user password that had previously been registered in a database (22) connected to the authentication server (20), the method characterized in that, said user further having a mobile phone (16) equipped with means of connection to the Internet, it comprises steps in which:
- on fournit une application d' authentification au téléphone mobile (16) ;  an authentication application is provided to the mobile telephone (16);
- l'identifiant d'utilisateur est saisi depuis le terminal (14) connecté au réseau Internet et transmis par ledit terminal (14) au serveur d' authentification (20) ,  the user identifier is entered from the terminal (14) connected to the Internet network and transmitted by said terminal (14) to the authentication server (20),
- le serveur d' authentification (20) émet, après vérification de l'identifiant utilisateur, un message de demande d'ouverture de l'application d' authentification sur le téléphone mobile (16), moyennant quoi l'utilisateur procède à l'ouverture de l'application d' authentification sur le téléphone mobile ( 16) , - le téléphone mobile (16) affiche au moyen de l'application d' authentification au moins un écran de saisie d'un mot de passe utilisateur composé d'une séquence d'images prédéterminées, permettant à l'utilisateur de saisir le mot de passe utilisateur à partir du téléphone mobile (16) , the authentication server (20) transmits, after verification of the user identifier, a request message to open the authentication application on the mobile telephone (16), whereby the user proceeds to the opening the authentication application on the mobile phone (16), the mobile telephone (16) displays, by means of the authentication application, at least one screen for entering a user password consisting of a sequence of predetermined images, allowing the user to enter the word of user password from the mobile phone (16),
- le téléphone mobile (16) génère au moyen de l'application d' authentification une clé de hachage à partir d'au moins le mot de passe utilisateur saisi sur le téléphone mobile et d'un identifiant du téléphone mobile préalablement enregistré dans ladite base de données (22 ) ,  - The mobile phone (16) generates by means of the authentication application a hash key from at least the user password entered on the mobile phone and a mobile phone identifier previously registered in said database. data (22),
- le téléphone mobile (16) transmet au moyen de l'application d' authentification la clé de hachage au serveur d' authentification (20), lequel, à la réception de la clé de hachage, vérifie la clé de hachage et, en cas de succès de la vérification, authentifie l' utilisateur .  - the mobile phone (16) transmits by means of the authentication application the hash key to the authentication server (20), which, upon receipt of the hash key, checks the hash key and, in case verification success, authenticates the user.
2. Procédé d' authentification selon la revendication 1, caractérisé en ce que le serveur d' authentification (20) émet ledit message de demande d'ouverture de l'application d' authentification sur le téléphone mobile (16) accompagné d'une chaîne de caractères aléatoire à usage unique générée par ledit serveur d' authentification (20), et ladite clé de hachage est générée par ladite application d' authentification à partir de ladite chaîne de caractères aléatoire préalablement reçue, qui est concaténée au mot de passe utilisateur saisi sur le téléphone mobile et à l'identifiant du téléphone mobile . 2. Authentication method according to claim 1, characterized in that the authentication server (20) transmits said request message opening the authentication application on the mobile phone (16) accompanied by a chain single - use random character generated by said authentication server (20), and said hash key is generated by said authentication application from said previously received random character string, which is concatenated to the entered user password. on the mobile phone and mobile phone ID.
3. Procédé selon la revendication 2, caractérisé en ce que ladite chaîne de caractères aléatoire est préalablement chiffrée par le serveur d' authentification (20). 3. Method according to claim 2, characterized in that said string of random characters is previously encrypted by the authentication server (20).
4. Procédé selon la revendication 2 ou 3, caractérisé en ce que ladite clé de hachage est transmise de manière chiffrée par ledit téléphone mobile audit serveur d' authentification . 4. Method according to claim 2 or 3, characterized in that said hash key is transmitted in encrypted manner by said mobile phone to said authentication server.
5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'identifiant d'utilisateur est stocké sur ledit téléphone mobile (16) et est saisi automatiquement depuis ledit terminal (14) connecté au réseau internet par l'intermédiaire d'une liaison sans contact établie entre ledit terminal (14) et ledit téléphone mobile (16) par laquelle ledit identifiant d'utilisateur est transmis audit terminal (14). 5. Method according to any one of the preceding claims, characterized in that the user identifier is stored on said mobile phone (16) and is entered automatically from said terminal (14) connected to the Internet through the intermediary of a contactless link established between said terminal (14) and said mobile telephone (16) by which said user identifier is transmitted to said terminal (14).
6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que les communications entre le serveur d' authentification (20) et le téléphone mobile (16) sont effectuées au travers d'une passerelle sans fil ou sans contact. 6. Method according to any one of the preceding claims, characterized in that the communications between the authentication server (20) and the mobile phone (16) are performed through a wireless gateway or without contact.
7. Procédé d' authentification selon l'une quelconque des revendications précédentes, caractérisé en ce que chaque image composant le mot de passe utilisateur est choisie parmi une pluralité d'images sur des écrans de saisie successifs affichés sur le téléphone mobile, le nombre d'écrans de saisie successifs étant égal au nombre d'images composant le mot de passe utilisateur. Authentication method according to one of the preceding claims, characterized in that each image composing the user password is chosen from a plurality of images on successive input screens displayed on the mobile telephone, the number of successive input screens being equal to the number of images composing the word of user pass.
8. Procédé d' authentification selon la revendication 7, caractérisé en ce que les images composant la pluralité d'images affichées sur chaque écran de saisie successif sont toujours les mêmes pour chaque accès à un site web donné depuis ledit terminal (14), tandis que l'ordre des images sur chacun des écrans de saisie successifs est différent à chaque authentification, de sorte que, pour chaque écran de saisie successif affiché sur le téléphone mobile, l'image prédéterminée composant le mot de passe utilisateur est positionnée de façon différente sur 1 ' écran . 8. Authentication method according to claim 7, characterized in that the images composing the plurality of images displayed on each successive input screen are always the same for each access to a given website from said terminal (14), while that the order of the images on each of the successive input screens is different with each authentication, so that for each successive input screen displayed on the mobile phone, the predetermined image comprising the user password is positioned differently. on the screen.
9. Procédé d' authentification selon l'une des revendications précédentes, caractérisé en ce que l'identifiant d'utilisateur, l'identifiant du téléphone mobile et le mot de passe utilisateur sont préalablement transmis au serveur d' authentification (20) et sont enregistrés de manière chiffrées dans ladite base de données (22) connectée au serveur d' authentification (20). 9. Authentication method according to one of the preceding claims, characterized in that the user identifier, the mobile phone identifier and the user password are previously transmitted to the authentication server (20) and are encryptedly stored in said database (22) connected to the authentication server (20).
10. Procédé d' authentification selon l'une des revendications précédentes, caractérisé en ce que ledit terminal (14) connecté à Internet est un ordinateur personnel à partir duquel l'utilisateur désire accéder à un site web et en ce que le succès de la vérification de la clé de hachage par ledit serveur d' authentification (20) permet d'autoriser l'accès audit site web depuis l'ordinateur personnel. Authentication method according to one of the preceding claims, characterized in that said terminal (14) connected to the Internet is a personal computer from which the user wishes to access a website and in that the success of the verification of the hash key by said authentication server (20) allows authorize access to the said website from the personal computer.
11. Procédé d' authentification selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit terminal (14) connecté à Internet est un terminal de paiement électronique auprès duquel l'utilisateur désire effectuer une transaction par l'intermédiaire de son téléphone mobile (16) communiquant avec ledit terminal par une liaison sans contact et en ce que le succès de la vérification de la clé de hachage par ledit serveur d' authentification (20) permet de finaliser la transaction. 11. Authentication method according to any one of the preceding claims, characterized in that said terminal (14) connected to the Internet is an electronic payment terminal with which the user wishes to perform a transaction via his mobile phone. (16) communicating with said terminal by a contactless link and in that the success of the verification of the hash key by said authentication server (20) makes it possible to finalize the transaction.
PCT/FR2011/000449 2010-07-28 2011-07-28 Method of authenticating a user of the internet network WO2012022856A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1003157A FR2963516B1 (en) 2010-07-28 2010-07-28 METHOD FOR AUTHENTICATING A USER OF THE INTERNET NETWORK HAVING A SMARTPHONE-TYPE MOBILE TELEPHONE
FR1003157 2010-07-28

Publications (1)

Publication Number Publication Date
WO2012022856A1 true WO2012022856A1 (en) 2012-02-23

Family

ID=43742414

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2011/000449 WO2012022856A1 (en) 2010-07-28 2011-07-28 Method of authenticating a user of the internet network

Country Status (2)

Country Link
FR (1) FR2963516B1 (en)
WO (1) WO2012022856A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107111699A (en) * 2014-10-22 2017-08-29 源讯科技公司 The confidence level for the information that communication terminal is gathered is assessed by the marking

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1288765A1 (en) * 2001-09-04 2003-03-05 Telefonaktiebolaget L M Ericsson (Publ) Universal authentication mechanism
WO2003038569A2 (en) * 2001-10-30 2003-05-08 F-Secure Oyj Method and apparatus for selecting a password generated based on discrete password elements
US20060206709A1 (en) * 2002-08-08 2006-09-14 Fujitsu Limited Authentication services using mobile device
US20070089168A1 (en) * 1996-12-04 2007-04-19 Wang Ynjiun P Electronic transaction systems and methods therfeor
WO2007070014A1 (en) * 2005-12-12 2007-06-21 Mahtab Uddin Mahmood Syed Antiphishing login techniques
EP1919156A1 (en) * 2006-11-06 2008-05-07 Axalto SA Optimized EAP-SIM authentication
US20080195545A1 (en) * 2007-02-09 2008-08-14 Tetsuro Motoyama Method, system, and computer program product for using a personal communication device to obtain additional information

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070089168A1 (en) * 1996-12-04 2007-04-19 Wang Ynjiun P Electronic transaction systems and methods therfeor
EP1288765A1 (en) * 2001-09-04 2003-03-05 Telefonaktiebolaget L M Ericsson (Publ) Universal authentication mechanism
WO2003038569A2 (en) * 2001-10-30 2003-05-08 F-Secure Oyj Method and apparatus for selecting a password generated based on discrete password elements
US20060206709A1 (en) * 2002-08-08 2006-09-14 Fujitsu Limited Authentication services using mobile device
WO2007070014A1 (en) * 2005-12-12 2007-06-21 Mahtab Uddin Mahmood Syed Antiphishing login techniques
EP1919156A1 (en) * 2006-11-06 2008-05-07 Axalto SA Optimized EAP-SIM authentication
US20080195545A1 (en) * 2007-02-09 2008-08-14 Tetsuro Motoyama Method, system, and computer program product for using a personal communication device to obtain additional information

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107111699A (en) * 2014-10-22 2017-08-29 源讯科技公司 The confidence level for the information that communication terminal is gathered is assessed by the marking

Also Published As

Publication number Publication date
FR2963516A1 (en) 2012-02-03
FR2963516B1 (en) 2013-02-15

Similar Documents

Publication Publication Date Title
EP2619941B1 (en) Method, server and system for authentication of a person
EP1969880B1 (en) System and method for dynamic multifactor authentication
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
WO2011138558A2 (en) Method for authenticating a user requesting a transaction with a service provider
EP0973318A1 (en) Process for remote paying, by means of a mobile radio telephone, the acquisition of a good and/or a service, and corresponding system and mobile radio telephone
WO2008030184A1 (en) Improved authentication system
EP3391614B1 (en) Method for sending digital information
EP2692122A1 (en) Strong authentication by presentation of the number
WO2005116909A1 (en) An apparatus, system and methods for supporting an authentication process
EP2509025A1 (en) Method for access to a protected resource of a trusted personal device
WO2010116109A1 (en) Method of authentication at a server by a user of a mobile apparatus
WO2019102120A1 (en) Methods and devices for enrolling and authenticating a user with a service
EP3350973B1 (en) Method for website authentication and for securing access to a website
WO2012022856A1 (en) Method of authenticating a user of the internet network
EP3570518B1 (en) Authentication system and method using a limited-life disposable token
JP7223196B1 (en) Information processing device, information processing method, and program
JP7311721B1 (en) Information processing device, information processing method, and program
KR20070076575A (en) Method for processing user authentication
FR3099974A1 (en) DIGITAL INFORMATION TRANSMISSION PROCESS
KR20090006815A (en) Method for processing user authentication
KR20070077481A (en) Process server for relaying user authentication
FR2924843A1 (en) Access control system for e.g. computer in public/private enterprise, has authentication architecture comprising control procedure for providing access to computing system based on identity and contextual information relative to person
KR20070077484A (en) Method for processing information
KR20070076577A (en) Program recording medium
KR20070077480A (en) Server for processing user authentication

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11752582

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11752582

Country of ref document: EP

Kind code of ref document: A1