[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

FR2944400A1 - METHOD OF AUTHENTICATING A SERVER FROM A USER OF A MOBILE DEVICE - Google Patents

METHOD OF AUTHENTICATING A SERVER FROM A USER OF A MOBILE DEVICE Download PDF

Info

Publication number
FR2944400A1
FR2944400A1 FR0952393A FR0952393A FR2944400A1 FR 2944400 A1 FR2944400 A1 FR 2944400A1 FR 0952393 A FR0952393 A FR 0952393A FR 0952393 A FR0952393 A FR 0952393A FR 2944400 A1 FR2944400 A1 FR 2944400A1
Authority
FR
France
Prior art keywords
code
user
server
mobile device
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0952393A
Other languages
French (fr)
Other versions
FR2944400B1 (en
Inventor
Mauro Panza
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
LYNKWARE
Original Assignee
LYNKWARE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by LYNKWARE filed Critical LYNKWARE
Priority to FR0952393A priority Critical patent/FR2944400B1/en
Priority to PCT/FR2010/050693 priority patent/WO2010116109A1/en
Publication of FR2944400A1 publication Critical patent/FR2944400A1/en
Application granted granted Critical
Publication of FR2944400B1 publication Critical patent/FR2944400B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephone Function (AREA)
  • Telephonic Communication Services (AREA)

Abstract

L'invention concerne un procédé d'authentification d'un utilisateur possédant un appareil mobile auprès d'un serveur, comprenant: • réception (20) par le serveur d'une requête de demande d'authentification ; • envoi (22) en réponse par le serveur d'une image sous forme d'une matrice de pixels contenant un code chiffré dans les pixels, le code comportant au moins une valeur d'estampille temporelle ; • réception (24) de l'image par l'appareil mobile et extraction (26) par celui-ci du code ; • génération (28) par l'appareil mobile d'un mot de passe à usage unique basé au moins sur le code et un code secret détenu par l'utilisateur ; • réception (30) par le serveur du mot de passe à usage unique ; et • validation (32) du mot de passe si celui-ci a au moins été reçu dans un délai prédéterminé par rapport à la valeur d'estampille temporelle, est conforme au code et correspond au moins à l'utilisateur s'authentifiant.The invention relates to a method for authenticating a user having a mobile device with a server, comprising: receiving (20) by the server an authentication request request; Sending (22) in response by the server of an image in the form of a matrix of pixels containing an encrypted code in the pixels, the code comprising at least one time stamp value; • reception (24) of the image by the mobile device and extraction (26) by the latter of the code; Generation (28) by the mobile device of a one-time password based on at least the code and a secret code held by the user; • reception (30) by the server of the one-time password; and • validating (32) the password if it has been received at least a predetermined time with respect to the time stamp value, is consistent with the code and at least corresponds to the user authenticating.

Description

PROCEDE D'AUTHENTIFICATION AUPRES D'UN SERVEUR PAR UN UTILISATEUR D'UN APPAREIL MOBILE. METHOD FOR AUTHENTICATION FROM A SERVER BY A USER OF A MOBILE DEVICE

La présente invention concerne un procédé d'authentification d'un utilisateur auprès d'un serveur, l'utilisateur étant en possession d'un appareil mobile. Elle concerne également un appareil mobile et un serveur ainsi que les produits programmes d'ordinateur fonctionnant sur ceux-ci et mettant en oeuvre le procédé. Les processus classiques de sécurisation des accès aux réseaux (réseau d'entreprise, Internet, etc.) consistent à valider l'identité d'un utilisateur en utilisant un identifiant et un mot de passe. Cette identification est saisie sur le terminal utilisateur, ordinateur ou autre appareil mobile (téléphone portable, PDA...) puis circule sur les réseaux privés et/ou publics de communication jusqu'au système d'information qui autorise ou refuse l'accès. Cette authentification classique a rapidement montré ses limites. Sa principale faiblesse réside dans la facilité avec laquelle elle peut être contournée : • mot de passe recopié sur un papier, • mot de passe trivial choisi par les utilisateurs, • mot de passe (et parfois identifiant) identique(s) pour tous les services. De plus, différentes techniques sont très répandues et en constante évolution pour récupérer ces deux informations : • augmentation du nombre de courriels d'hameçonnage (en anglais phishing ) qui contiennent des faux liens hypertextes pour, par exemple, orienter les clients des banques vers de faux sites web bancaires. • Avec les "renifleurs" de frappe (en anglais keylogger ), chevaux de Troie et autres logiciels espions implantés subrepticement dans l'ordinateur de la victime, les autorisations utilisateur sensibles sont recueillies et transmises aux fraudeurs. The present invention relates to a method of authenticating a user to a server, the user being in possession of a mobile device. It also relates to a mobile device and a server as well as computer program products operating thereon and implementing the method. The traditional processes of securing access to networks (corporate network, Internet, etc.) consist in validating the identity of a user by using an identifier and a password. This identification is entered on the user terminal, computer or other mobile device (mobile phone, PDA ...) and then circulates on private and / or public communication networks to the information system that authorizes or denies access. This classic authentication quickly showed its limits. Its main weakness lies in the ease with which it can be bypassed: • password copied on paper, • trivial password chosen by users, • password (and sometimes identical identifier) for all services . In addition, various techniques are widespread and constantly evolving to recover these two pieces of information: • an increase in the number of phishing e-mails that contain false hypertext links to, for example, direct bank customers to fake banking web sites. • With keyloggers, Trojans and other spyware implanted surreptitiously into the victim's computer, sensitive user permissions are collected and forwarded to fraudsters.

La progression rapide de l'implantation des points d'accès publics utilisant les communications sans fil (cybercafés, gares, hôtels, aéroports, etc.) multiplie encore les risques d'usurpation d'identités des utilisateurs et ce d'autant plus que le personnel des entreprises est désormais mobile, avec un grand nombre d'employés qui ont un accès au réseau d'entreprise à partir de ces lieux ou de leurs foyers, en mettant en danger les données à caractère confidentiel. Les faiblesses de ces processus classiques ont conduit à la mise au point de procédés d'authentification renforcés, qui font appel à des solutions logicielles et/ou matérielles. Ces procédés renforcés utilisent un protocole d'échange de données entre un serveur de sécurité et l'utilisateur, protocole selon lequel un nouveau mot de passe à usage unique (en anglais One Time Password ou OTP) est généré pour une durée d'usage limitée, à chaque fois qu'un utilisateur est authentifié. Il est alors impossible de réutiliser ce même mot de passe lors d'une authentification ultérieure. La technologie utilisée fait appel à un changement dynamique de mots de passe pour chaque session d'authentification. Elle permet l'authentification de l'utilisateur, car le mot de passe généré correspond au seul utilisateur qui a un périphérique physique qui génère le mot de passe. La technologie est basée sur une clé secrète qui n'existe que dans deux endroits : sur le périphérique physique de l'utilisateur et sur le serveur de sécurité. Cette clé secrète ne peut être capturée car elle ne circule jamais entre le serveur de sécurité et l'utilisateur. The rapid progression of the implementation of public access points using wireless communications (cybercafés, train stations, hotels, airports, etc.) increases the risks of user identity theft even more Business staff is now mobile, with a large number of employees who have access to the corporate network from these places or their homes, putting at risk confidential data. The weaknesses of these traditional processes have led to the development of enhanced authentication methods, which involve software and / or hardware solutions. These enhanced methods use a protocol for exchanging data between a security server and the user, a protocol according to which a new one-time password (OTP) is generated for a limited duration of use. whenever a user is authenticated. It is then impossible to reuse the same password during a subsequent authentication. The technology used involves a dynamic change of passwords for each authentication session. It allows user authentication because the generated password is the only user who has a physical device that generates the password. The technology is based on a secret key that exists only in two places: on the user's physical device and on the security server. This secret key can not be captured because it never travels between the security server and the user.

Cette clé secrète est utilisée pour calculer les mots de passe à utiliser pour authentifier l'utilisateur en cas de besoin. Le calcul se fait sur la base du temps (A) et/ou d'un événement (B) : (A) : Cette technologie est basée sur une horloge temps réel qui est utilisée pour générer un mot de passe unique. Le dispositif matériel génère automatiquement de nouveaux mots de passe avec une fréquence déterminée (par exemple toutes les 60 secondes), en utilisant la valeur de l'horloge à l'instant t afin de calculer à chaque connexion un mot de passe unique. (B) : Cette technologie se base plutôt sur un mécanisme, qui permet la génération d'un mot de passe unique pour chaque session. Le dispositif matériel génère alors un nouveau mot de passe seulement quand un événement se produit - par exemple l'utilisateur appuie sur un bouton sur sa clé ou tout autre dispositif matériel. A chaque fois que l'événement a lieu un compteur est incrémenté et un algorithme bien défini va calculer un mot de passe à usage unique. La spécificité de ces procédés est qu'ils utilisent des moyens générateurs de mot de passe chez l'utilisateur ; ces moyens sont • Soit purement logiciels, lorsqu'une application est installée sur le terminal de l'utilisateur, on parle alors de jetons logiciels l'inconvénient de ce procédé est que l'utilisateur ne peut se connecter que sur le terminal équipé de l'application. • Soit matériels, lorsqu'on utilise des jetons physiques tels que carte à puce, clés avec écran, clés USB, comportant un algorithme générant un nouveau mot de passe alphanumérique à intervalle de temps constant, grilles de sécurité comportant un tableau à double entrée dont les coordonnées (abscisse/ordonnée) du code de sécurité changent à chaque demande de connexion. Ces solutions permettent à un utilisateur de se connecter à partir de n'importe quel terminal mais nécessitent la détention permanente d'un dispositif matériel dédié avec les risques associés (perte, détérioration...). En outre, ces solutions nécessitent une synchronisation temporelle ou 25 d'évènement entre le serveur et le moyen générateur de mot de passe de l'utilisateur. Il serait donc avantageux d'avoir un procédé d'authentification forte par l'utilisation de mot de passe à usage unique qui ne présente pas les inconvénients mentionnés ci-dessus tels que l'acquisition d'un dispositif 30 spécifique, le verrouillage de l'accès sur un terminal donné et/ou la gestion de la synchronisation. Pour résoudre un ou plusieurs des inconvénients cités précédemment, un procédé d'authentification d'un utilisateur auprès d'un serveur, ledit utilisateur étant en possession d'un appareil mobile, comprend : • réception par le serveur d'une requête de demande d'authentification ; • envoi en réponse par le serveur d'une image sous forme d'une matrice de pixels contenant un code chiffré dans lesdits pixels, ledit code comportant au moins une valeur d'estampille temporelle ; • réception de l'image par l'appareil mobile et extraction par celui-ci dudit code ; • génération par l'appareil mobile d'un mot de passe à usage unique basé au moins sur ledit code et un code secret détenu par l'utilisateur ; • réception par le serveur dudit mot de passe à usage unique ; et • validation dudit mot de passe si celui-ci a au moins été reçu dans un délai prédéterminé par rapport à la valeur d'estampille temporelle, est conforme au code et correspond au moins à l'utilisateur s'authentifiant. Le procédé d'authentification présente ainsi l'avantage d'utiliser le téléphone portable comme matériel de génération du mot de passe. L'usage de cet équipement est très largement répandu et autorise une utilisation de l'authentification forte dans des applications grand public qui peuvent exiger un niveau élevé de sécurité d'accès (domaines bancaire, médical...). De plus, avantageusement, l'appareil mobile n'a pas besoin d'être synchronisé avec le serveur car l'image contient en interne la donnée nécessaire à la limitation de validité du mot de passe. Des caractéristiques ou des modes de réalisation particuliers utilisables seuls ou en combinaison sont : • l'image est envoyée par le serveur sur un écran et l'appareil mobile réceptionne cette image par l'intermédiaire d'une caméra incluse dans l'appareil mobile ou bien l'image est envoyée par le serveur à l'appareil mobile via le réseau de téléphonie mobile ; • l'image comporte un code-barres 2D contenant le code ou bien le code est inclus par un procédé de stéganographie dans l'image ; • l'appareil mobile comportant un code d'identification de celui-ci (IMEI) et/ou un code d'identification de l'utilisateur (IMSI), le mot de passe à usage unique est généré en se basant en outre sur le code d'identification de l'appareil mobile, le code d'identification de l'utilisateur ou une combinaison des deux ; et • le code comporte en outre un identifiant du serveur. This secret key is used to calculate the passwords to be used to authenticate the user when needed. The calculation is based on time (A) and / or event (B): (A): This technology is based on a real-time clock that is used to generate a unique password. The hardware device automatically generates new passwords with a determined frequency (for example every 60 seconds), using the value of the clock at time t in order to calculate at each connection a unique password. (B): This technology is based on a mechanism, which allows the generation of a unique password for each session. The hardware device then generates a new password only when an event occurs - for example the user presses a button on his key or other hardware device. Whenever the event takes place a counter is incremented and a well-defined algorithm will calculate a one-time password. The specificity of these methods is that they use password generating means in the user; these means are • either purely software, when an application is installed on the user's terminal, it is called software tokens the disadvantage of this method is that the user can connect only on the terminal equipped with the 'application. • Either hardware, when using physical tokens such as smart card, keys with screen, USB sticks, including an algorithm generating a new alphanumeric password with a constant time interval, security grids comprising a double-entry array of which the coordinates (abscissa / ordinate) of the security code change with each connection request. These solutions allow a user to connect from any terminal but require the permanent possession of a dedicated hardware device with the associated risks (loss, deterioration ...). In addition, these solutions require time or event synchronization between the server and the user's password generating means. It would therefore be advantageous to have a strong authentication method by the use of a one-time password which does not have the drawbacks mentioned above, such as the acquisition of a specific device, the locking of access on a given terminal and / or the management of the synchronization. To solve one or more of the aforementioned drawbacks, a method of authenticating a user with a server, said user being in possession of a mobile device, comprises: • reception by the server of a request request of a authentication; Sending in response by the server an image in the form of a matrix of pixels containing an encrypted code in said pixels, said code comprising at least one time stamp value; • reception of the image by the mobile device and extraction by it of said code; • generation by the mobile device of a one-time password based on at least said code and a secret code held by the user; • reception by the server of said one-time password; and • validating said password if it has at least been received within a predetermined time with respect to the time stamp value, is in accordance with the code and at least corresponds to the authenticating user. The authentication method thus has the advantage of using the mobile phone as a hardware for generating the password. The use of this equipment is very widespread and allows the use of strong authentication in consumer applications that may require a high level of security of access (banking, medical ...). In addition, advantageously, the mobile device does not need to be synchronized with the server because the image contains internally the data necessary for the limitation of validity of the password. Particular features or embodiments that can be used alone or in combination are: • the image is sent by the server on a screen and the mobile device receives this image via a camera included in the mobile device or the image is sent by the server to the mobile device via the mobile network; • the image has a 2D barcode containing the code or the code is included by a steganography process in the image; • the mobile device having an identification code thereof (IMEI) and / or a user identification code (IMSI), the one-time password is generated based in addition on the mobile device identification code, user identification code, or a combination of both; and • the code further includes a server identifier.

L'utilisation des codes d'identification contenu dans l'appareil mobile tels que, par exemple, l'IMEI qui est un identifiant unique d'un téléphone mobile à la norme GSM ou 3G, ou l'IMSI qui est un identifiant contenu dans la carte SIM du téléphone et en relation avec l'abonné permet un renforcement de la sécurité en validant que l'appareil qui a réalisé le calcul du mot de passe est identifié. La transmission d'une clé spécifique au serveur dans le code chiffré permet avantageusement de faire un lien entre l'appareil mobile et le serveur sans que l'appareil mobile ait à stocker une clé secrète. Dans un deuxième aspect de l'invention, un appareil mobile 15 comprend : • des moyens d'acquisition d'une image comportant un code ; • des moyens d'extraction dudit code ; • des moyens de saisie d'un code secret ; connectés à • un calculateur de mot de passe basé sur ledit code et ledit code 20 secret. Selon un troisième aspect de l'invention, un serveur comporte : • des moyens de réception d'une requête d'authentification d'un utilisateur et d'un mot de passe à usage unique ; • un générateur de code, ledit code comportant au moins une valeur 25 d'estampille temporelle ; • un générateur d'image comportant dans ses pixels ledit code ; connecté à • des moyens de transmission de ladite image ; • des moyens de validation dudit mot de passe à usage unique 30 adaptés pour vérifier que ledit mot de passe a au moins été reçu dans un délai prédéterminé par rapport à la valeur d'estampille temporelle, est conforme au code et correspond au moins à l'utilisateur s'authentifiant. The use of the identification codes contained in the mobile device such as, for example, the IMEI which is a unique identifier of a mobile phone with the GSM or 3G standard, or the IMSI which is an identifier contained in the SIM card of the telephone and in relation with the subscriber makes it possible to reinforce the security by validating that the device which has carried out the calculation of the password is identified. The transmission of a specific key to the server in the encrypted code advantageously makes it possible to make a link between the mobile device and the server without the mobile device having to store a secret key. In a second aspect of the invention, a mobile device 15 comprises: means for acquiring an image comprising a code; Means for extracting said code; • means for entering a secret code; connected to a password calculator based on said code and said secret code. According to a third aspect of the invention, a server comprises: means for receiving a request for authentication of a user and a password for one-time use; A code generator, said code comprising at least one time stamp value; An image generator comprising in its pixels said code; connected to transmission means of said image; Means for validating said one-time password adapted to verify that said password has at least been received within a predetermined time with respect to the time stamp value, complies with the code and corresponds at least to user authentication.

Selon un quatrième aspect de l'invention, un produit programme d'ordinateur comportant des instructions de code de programme enregistrées sur un support lisible par un calculateur d'appareil mobile, pour mettre en oeuvre les étapes d'un procédé de génération de mot de passe à usage unique comportant : • réception de l'image par l'appareil mobile et extraction dudit code ; • génération d'un mot de passe à usage unique basé au moins sur ledit code et un code secret détenu par l'utilisateur ; Selon un cinquième aspect de l'invention, un produit programme d'ordinateur comportant des instructions de code de programme enregistrées sur un support lisible par un calculateur de serveur, pour mettre en oeuvre les étapes d'un procédé d'authentification d'un utilisateur auprès dudit serveur, ledit utilisateur étant en possession d'un appareil mobile, comportant : • réception d'une requête de demande d'authentification ; • envoi en réponse d'une image sous forme d'une matrice de pixels contenant un code chiffré dans lesdits pixels, ledit code comportant au moins une valeur d'estampille temporelle ; • réception d'un mot de passe à usage unique basé au moins sur ledit code et un code secret détenu par l'utilisateur ; et • validation dudit mot de passe si celui-ci a au moins été reçu dans un délai prédéterminé par rapport à la valeur d'estampille temporelle, est conforme au code et correspond au moins à l'utilisateur s'authentifiant. L'invention sera mieux comprise à la lecture de la description qui suit, faite uniquement à titre d'exemple, et en référence aux figures en annexe dans lesquelles : - la figure 1 est une vue schématique d'un système pour mettre en oeuvre un mode de réalisation de l'invention ; - la figure 2 est un ordinogramme d'un procédé d'authentification selon un mode de réalisation de l'invention ; - la figure 3 est une vue schématique de fonctionnement d'une authentification sur un serveur mettant en oeuvre le procédé de la figure 2 ; - la figure 4 est une vue schématique d'exemples d'écrans de visualisation générés par l'authentification de la figure 3 ; - la figure 5 est une vue schématique de fonctionnement d'une reconnaissance d'image sur un terminal mobile durant l'exécution du procédé de la figure 2 ; - la figure 6 est une vue schématique de l'appareil mobile de la figure 1; - la figure 7 est une vue schématique du serveur de la figure 1 - la figure 8 est une vue schématique de transmission d'une image codée dans une variante de mode de réalisation ; et - la figure 9 est une vue schématique d'écrans d'un terminal mobile dans une autre variante de mode de réalisation. En référence à la figure 1, l'authentification par mot de passe à usage unique décrite ci-après met en oeuvre un serveur 1 connecté à un terminal utilisateur 3 par lequel un utilisateur 5 souhaite accéder à un service contrôlé par le serveur 1, et un appareil mobile 7 possédé par l'utilisateur 5. L'appareil mobile 7 est typiquement un téléphone mobile possédant un clavier 9, un écran de visualisation 11 et une caméra 13 de prise de vue. Le serveur 1 et l'appareil mobile 7 possèdent des moyens, non représentés, programmables de calcul ainsi que des moyens de stockage de données et de programme. L'authentification se déroule alors de la façon suivante, figure 2 : • réception, étape 20, par le serveur 1 d'une requête de demande d'authentification provenant du terminal utilisateur 3 ; • envoi, étape 22, en réponse par le serveur 1 d'une image sous forme d'une matrice de pixels contenant un code chiffré dans les pixels de l'image, le code comportant au moins une valeur d'estampille temporelle, aussi appelée valeur d'horodatage ; • réception, étape 24, de l'image par l'appareil mobile et extraction, étape 26, par celui-ci du code ; • génération, étape 28, par l'appareil mobile d'un mot de passe à usage unique basé au moins sur le code et un code secret détenu par l'utilisateur ; • réception, étape 30, par le serveur du mot de passe à usage unique ; et • validation, étape 32, du mot de passe si celui-ci a au moins été reçu dans un délai prédéterminé par rapport à la valeur d'estampille temporelle, est conforme au code et correspond au moins à l'utilisateur s'authentifiant. Ces étapes vont maintenant être décrites plus en détail dans le cadre d'un mode de réalisation utilisant un code-barres 2D comme image support du code. According to a fourth aspect of the invention, a computer program product having program code instructions recorded on a medium readable by a mobile computer, for implementing the steps of a word generation method of single-use password comprising: • reception of the image by the mobile device and extraction of said code; Generating a one-time password based at least on said code and a secret code held by the user; According to a fifth aspect of the invention, a computer program product having program code instructions recorded on a server computer readable medium for implementing the steps of a user authentication method. at said server, said user being in possession of a mobile device, comprising: • receiving an authentication request request; Sending in response an image in the form of a matrix of pixels containing an encrypted code in said pixels, said code comprising at least one time stamp value; Receiving a one-time password based at least on said code and a secret code held by the user; and • validating said password if it has at least been received within a predetermined time with respect to the time stamp value, is in accordance with the code and at least corresponds to the authenticating user. The invention will be better understood on reading the description which follows, given solely by way of example, and with reference to the appended figures in which: FIG. 1 is a schematic view of a system for implementing a embodiment of the invention; FIG. 2 is a flow diagram of an authentication method according to one embodiment of the invention; FIG. 3 is a schematic view of the operation of an authentication on a server implementing the method of FIG. 2; FIG. 4 is a schematic view of examples of display screens generated by the authentication of FIG. 3; FIG. 5 is a schematic view of the operation of an image recognition on a mobile terminal during the execution of the method of FIG. 2; FIG. 6 is a schematic view of the mobile apparatus of FIG. 1; FIG. 7 is a schematic view of the server of FIG. 1; FIG. 8 is a schematic view of transmission of an encoded image in an alternative embodiment; and FIG. 9 is a schematic view of screens of a mobile terminal in another alternative embodiment. With reference to FIG. 1, the one-time password authentication described hereinafter implements a server 1 connected to a user terminal 3 by which a user 5 wishes to access a service controlled by the server 1, and a mobile device 7 owned by the user 5. The mobile device 7 is typically a mobile phone having a keyboard 9, a display screen 11 and a camera 13 for shooting. The server 1 and the mobile device 7 have means, not shown, programmable calculation as well as data storage means and program. The authentication then proceeds as follows, FIG. 2: reception, step 20, by the server 1 of an authentication request request from the user terminal 3; Sending, step 22, in response by the server 1 of an image in the form of a matrix of pixels containing an encrypted code in the pixels of the image, the code including at least one time stamp value, also called timestamp value • reception, step 24, of the image by the mobile device and extraction, step 26, by it of the code; Generation, step 28, by the mobile device of a one-time password based on at least the code and a secret code held by the user; • reception, step 30, by the server of the one-time password; and • validating, step 32, the password if it has at least been received within a predetermined time with respect to the time stamp value, is consistent with the code and at least corresponds to the user authenticating. These steps will now be described in more detail in the context of an embodiment using a 2D barcode as a code support image.

L'appareil mobile 7 comporte une application mobile qui peut s'installer sur les différents téléphones portables du marché et capable de faire du traitement d'image. L'application est ainsi disponible sur différentes plateformes logicielles utilisées par les fabricants de téléphone portable telles que, par exemple, J2ME, WM, Symbian, MacOs et BREW. The mobile device 7 includes a mobile application that can be installed on the various mobile phones on the market and capable of image processing. The application is thus available on different software platforms used by mobile phone manufacturers such as, for example, J2ME, WM, Symbian, MacOs and BREW.

L'application mobile pour générer le mot de passe unique est incluse dans un lecteur d'images code-barres 2D et se sert d'une balise contenue dans le code-barres pour lancer une interface de génération du mot de passe à usage unique. L'application mobile réalise les différentes étapes suivantes : • prise de vue de l'image du code-barres 2D ; • décodage du code barre ; • détection de la balise dans la donnée résultant du décodage ; • interprétation de la donnée en fonction de la balise ; • affichage d'une interface de saisie du mot de passe ; • génération du mot de passe à usage unique en utilisant le mot de passe et la donnée du code-barres • affichage du mot de passe sur l'écran du mobile L'application mobile peut être installée sur un téléphone mobile en positionnant sur un serveur WAP une page avec le lien vers le fichier à télécharger, spécifique à chaque téléphone. Une autre solution consiste à charger et installer directement l'application via le câble USB ou via Bluetooth. Sur le serveur, figure 3, une application serveur, par exemple écrite en PHP, est capable de générer des codes-barres 2D chiffrés 40. The mobile application for generating the unique password is included in a 2D barcode image reader and uses a tag contained in the barcode to launch a one-time password generation interface. The mobile application performs the following steps: • shooting the image of the 2D barcode; • decoding the barcode; • detection of the tag in the data resulting from the decoding; • interpretation of the data according to the tag; • display of an interface for entering the password; • generation of the one-time password using the password and barcode data • display of the password on the mobile screen The mobile application can be installed on a mobile phone by positioning on a server WAP a page with the link to the file to download, specific to each phone. Another solution is to load and install the application directly via the USB cable or via Bluetooth. On the server, FIG. 3, a server application, for example written in PHP, is capable of generating encrypted 2D bar codes 40.

Classiquement, il existe deux types de code-barres 2D largement utilisés : le Datamatrix ou le QR code. Le Datamatrix a l'avantage d'être facile à lire et de comprimer aisément des données. Le QR code à l'avantage de garantir la lecture des codes sur les mobiles asiatiques. Classically, there are two widely used types of 2D barcodes: Datamatrix or QR code. The Datamatrix has the advantage of being easy to read and to compress data easily. The QR code has the advantage of guaranteeing the reading of codes on Asian mobiles.

Le code-barres 2D 40 contient un code 42 qui est une valeur de hachage d'une clé secrète SK du serveur et d'une donnée d'estampille temporelle Ts. Cette dernière est, par exemple, sur un serveur Unix/Linux le temps Epoch de l'horloge du système. Pour rappel, le temps Epoch correspond au nombre de millisecondes écoulées depuis le 11er janvier 1970. The 2D barcode 40 contains a code 42 which is a hash value of a secret key SK of the server and a timestamp data Ts. The latter is, for example, on a Unix / Linux server the Epoch time of the system clock. As a reminder, the Epoch time corresponds to the number of milliseconds elapsed since January 11, 1970.

Le hachage est réalisé par une des nombreuses fonctions de hachage connues telles que MD5, SHA-1 ou HMAC. Ainsi, sur réception d'une requête d'authentification, le serveur présente à l'utilisateur une fenêtre 44 d'autorisation d'accès comportant le code-barres 2D, un compte à rebours 46 indiquant la durée de validité du code-barres 2D et un formulaire 48 comportant un champ 50 d'identification Id de l'utilisateur et un champ 52 de saisie du mot de passe à usage unique Pwd. Le serveur contient également une application 54 capable de vérifier les mots de passe à usage unique et une base de données 56 pour archiver les données d'authentification des utilisateurs. L'interaction avec la base de données est réalisée par des requêtes SQL standard permettant de maintenir des applications indépendantes du type de base de données utilisée. L'utilisation des procédures stockées peut augmenter le niveau de sécurité mais au détriment d'un lien de l'application à une base de données spécifique. L'application 54, à réception des champs d'identification et de mot de passe du formulaire 48 vérifie : • que le mot de passe correspond au code contenu dans le code-barres 2D ; • que la réception a eu lieu à l'intérieur de la fenêtre temporelle de validité ; • que l'identifiant et le mot de passe correspondent indiquant ainsi que l'utilisateur a utilisé son code secret personnel. The hash is performed by one of the many known hash functions such as MD5, SHA-1 or HMAC. Thus, upon receipt of an authentication request, the server presents the user with an access authorization window 44 comprising the 2D barcode, a countdown 46 indicating the validity period of the 2D barcode. and a form 48 comprising a user identification field ID 50 and a field 52 for entering the one-time password Pwd. The server also contains an application 54 capable of verifying the one-time passwords and a database 56 for archiving the authentication data of the users. The interaction with the database is performed by standard SQL queries to maintain applications independent of the type of database used. Using stored procedures can increase the level of security, but at the expense of a link from the application to a specific database. The application 54, upon receipt of the identification and password fields of the form 48 verifies: • that the password corresponds to the code contained in the 2D barcode; • receipt has taken place within the validity window; • that the identifier and the password correspond indicating that the user has used his personal secret code.

Cette validation est réalisée typiquement en réalisant les mêmes calculs que le terminal mobile en se basant sur les données contenues dans la base de données 56, identifiant et code secret de l'utilisateur, et le code chiffré dans le code-barres 2D. This validation is typically performed by performing the same calculations as the mobile terminal based on the data contained in the database 56, identifier and secret code of the user, and the encrypted code in the 2D barcode.

Si, pour une raison quelconque, l'utilisateur ne rentre pas les données dans la fenêtre temporelle de validité prévue, figure 4, la fenêtre d'autorisation 44 est remplacée par une fenêtre 60 indiquant que la durée de validité a expirée et qu'un nouveau code va être généré. Au niveau de l'utilisateur, figure 5, celui-ci, via la caméra intégrée dans son téléphone, va lire 70 le code 2D généré et transmis par le serveur et qui est affiché sur l'écran de son ordinateur. L'application mobile lui présente alors un écran 72 indiquant qu'elle a bien acquis le code. Elle lui présente ensuite un écran de saisie 74 lui permettant de saisir son code secret personnel. Au vu des claviers des téléphones actuels, ce code secret est composé d'une série de chiffres mais cela n'est pas limitatif dans la mesure où les nouvelles générations de téléphone mobile offrent des claviers de plus en plus ergonomiques et mettant à disposition un jeu complet de caractères alphanumériques. L'application mobile affiche alors sur un écran 76 le mot de passe à usage unique généré selon un algorithme se basant sur les paramètres suivants : • les données chiffrées dans le code-barres 2D à savoir la clé unique du serveur SK et la donnée d'estampille temporelle Ts ; • le code secret fourni par l'utilisateur qui est également sauvegardé dans la base de données 56 du serveur ; Ainsi, l'appareil mobile comprend, figure 6 : • des moyens d'acquisition d'une image comportant un code, tels que la caméra 13 ; • des moyens d'extraction 60 du code ; • des moyens de saisie 9 d'un code secret ; connectés à • un calculateur 62 de mot de passe basé sur le code et le code secret. Et le serveur 1 comporte : • des moyens de réception 70 d'une requête d'authentification d'un utilisateur et d'un mot de passe à usage unique ; • un générateur de code 72, le code comportant au moins une valeur d'estampille temporelle ; • un générateur d'image 76 comportant dans ses pixels le code ; connecté à • des moyens 78 de transmission de l'image ; • des moyens de validation 79 du mot de passe à usage unique adaptés pour vérifier que le mot de passe a au moins été reçu dans un délai prédéterminé par rapport à la valeur d'estampille temporelle, est conforme au code et correspond au moins à l'utilisateur s'authentifiant. Dans une première variante, le mot de passe à usage unique est généré par l'application mobile en utilisant également le numéro IMEI ( International Mobile Equipment Identity - numéro d'identification international de l'équipement mobile) qui est également sauvegardé dans la base de données 56 du serveur. Ce numéro IMEI est un numéro unique attribué à chaque téléphone portable et est enregistré dans une base de données gérée en général par les opérateurs et utilisée particulièrement pour lutter contre le vol. If, for any reason, the user does not enter the data in the expected validity time window, FIG. 4, the authorization window 44 is replaced by a window 60 indicating that the validity period has expired and that a new code will be generated. At the level of the user, FIG. 5, the latter, via the camera integrated in his telephone, will read the generated 2D code transmitted by the server and which is displayed on the screen of his computer. The mobile application then presents a screen 72 indicating that it has acquired the code. She then presents him with an entry screen 74 enabling him to enter his personal secret code. Given the keyboards of current phones, this secret code is composed of a series of numbers but this is not limiting as the new generations of mobile phones offer keypads more and more ergonomic and providing a game full alphanumeric characters. The mobile application then displays on a screen 76 the one-time password generated according to an algorithm based on the following parameters: • the data encrypted in the 2D barcode, namely the unique key of the server SK and the data of d temporal stamp Ts; The secret code provided by the user which is also saved in the database 56 of the server; Thus, the mobile device comprises, FIG. 6: means for acquiring an image comprising a code, such as the camera 13; Code extraction means 60; Means 9 for entering a secret code; connected to a password calculator 62 based on the code and the secret code. And the server 1 comprises: means 70 for receiving a user authentication request and a one-time password; A code generator 72, the code comprising at least one time stamp value; An image generator 76 comprising in its pixels the code; connected to means 78 for transmitting the image; Means for validating the one-time password adapted to verify that the password has at least been received within a predetermined time with respect to the time stamp value, is in accordance with the code and corresponds at least to user authentication. In a first variant, the one-time password is generated by the mobile application also using the International Mobile Equipment Identity (IMEI) number, which is also stored in the mobile database. data 56 from the server. This IMEI number is a unique number assigned to each mobile phone and is stored in a database generally managed by operators and used particularly to fight against theft.

L'application serveur de validation du mot de passe intègre alors également le numéro IMEI contenu dans la base de données 56 parmi les paramètres de calcul. L'intégration dans le processus d'authentification du numéro IMEI du téléphone mobile minimise les risques d'usurpation d'identité en cas de perte ou de vol. En effet, les opérateurs de téléphonie mobile désactivent alors le fonctionnement de l'appareil volé ou perdu sur simple appel. Dans une deuxième variante, le numéro IMEI peut être remplacé par le numéro IMSI ( International Mobile Subscriber Identity - identification internationale de l'abonné mobile) qui est un numéro d'identification de l'abonné contenu dans la carte à puce intégrée au téléphone mobile, carte à puce aussi appelée carte SIM ( Subscriber Identity Module - module d'identification de l'abonné). The password validation server application then also integrates the IMEI number contained in the database 56 among the calculation parameters. Integration into the IMEI authentication process of the mobile phone minimizes the risk of identity theft in the event of loss or theft. Indeed, the mobile operators then disable the operation of the device stolen or lost on call. In a second variant, the IMEI number may be replaced by the International Mobile Subscriber Identity (IMSI) number, which is a subscriber identification number contained in the smart card integrated into the mobile telephone. , smart card also called SIM card (Subscriber Identity Module).

L'utilisation des numéros IMEI et IMSI peut être combinée de façon à renforcer encore la sécurité de l'authentification. Dans une troisième variante, l'image d'un code-barres 2D est remplacée par une image quelconque dans laquelle le code chiffré est inséré par stéganographie. Les pixels de l'image sont ainsi modifiés sans que cela soit obligatoirement visible par l'oeil humain tout en étant détectables par un algorithme de reconnaissance adapté. Dans une quatrième variante, figure 6, l'image n'est pas transmise via le terminal d'authentification et une prise d'image par la caméra du téléphone mobile mais elle est envoyée directement au téléphone mobile 7 via le réseau téléphonique, par exemple sous forme d'un MMS ( Multimedia Message Service - service de messages multimédia) ou en utilisant les possibilités d'accès à internet du téléphone mobile telles que le protocole Wap. La figure 7 illustre une combinaison des troisième et quatrième variantes sous la forme d'une succession d'écrans du téléphone mobile 7. L'écran 80 illustre la réception d'une image contenant le code du serveur et la valeur d'estampille temporelle chiffrés par stéganographie dans ses pixels. L'écran 82 correspond à la saisie du code secret de l'utilisateur, une fois que l'application installée sur le téléphone mobile 7 a déchiffré les valeurs contenues dans l'image. Et l'écran 84 correspond à l'écran d'affichage du mot de passe à usage unique à fournir au formulaire d'authentification. L'invention a été illustrée et décrite en détail dans les dessins et la description précédente. Celle-ci doit être considérée comme illustrative et donnée à titre d'exemple et non comme limitant l'invention a cette seule description. De nombreuses variantes de réalisation sont possibles. Par exemple, et en particulier, le procédé peut prévoir les techniques habituelles de gestion des échecs d'authentification telles que, par exemple, le blocage du compte après un nombre prédéterminé d'échecs consécutifs accompagné, ou non, d'une procédure de reprise/déblocage du compte. The use of IMEI and IMSI numbers can be combined to further enhance the security of authentication. In a third variant, the image of a 2D barcode is replaced by any image in which the encrypted code is inserted by steganography. The pixels of the image are thus modified without this necessarily being visible by the human eye while being detectable by a suitable recognition algorithm. In a fourth variant, FIG. 6, the image is not transmitted via the authentication terminal and an image is taken by the mobile phone's camera, but it is sent directly to the mobile phone 7 via the telephone network, for example in the form of a Multimedia Message Service (MMS) or by using the possibilities of access to the internet of the mobile phone such as the WAP protocol. FIG. 7 illustrates a combination of the third and fourth variants in the form of a succession of screens of the mobile telephone 7. The screen 80 illustrates the reception of an image containing the server code and the encrypted time stamp value. by steganography in its pixels. The screen 82 corresponds to the entry of the secret code of the user, once the application installed on the mobile phone 7 has decrypted the values contained in the image. And the screen 84 corresponds to the display screen for the one-time password to be provided to the authentication form. The invention has been illustrated and described in detail in the drawings and the foregoing description. This must be considered as illustrative and given by way of example and not as limiting the invention to this description alone. Many alternative embodiments are possible. For example, and in particular, the method can provide the usual management techniques of authentication failures such as, for example, the blocking of the account after a predetermined number of consecutive failures accompanied or not, a recovery procedure / unblocking the account.

Dans les revendications, le mot comprenant n'exclue pas d'autres éléments et l'article indéfini un/une n'exclue pas une pluralité. In the claims, the word comprising does not exclude other elements and the indefinite article one / one does not exclude a plurality.

Claims (8)

REVENDICATIONS1. Procédé d'authentification d'un utilisateur auprès d'un serveur, ledit utilisateur étant en possession d'un appareil mobile, comprenant: • réception (20) par le serveur d'une requête de demande d'authentification ; • envoi (22) en réponse par le serveur d'une image sous forme d'une matrice de pixels contenant un code chiffré dans lesdits pixels, ledit code comportant au moins une valeur d'estampille temporelle ; • réception (24) de l'image par l'appareil mobile et extraction (26) par celui-ci dudit code ; • génération (28) par l'appareil mobile d'un mot de passe à usage unique basé au moins sur ledit code et un code secret détenu par l'utilisateur ; • réception (30) par le serveur dudit mot de passe à usage unique ; et • validation (32) dudit mot de passe si celui-ci a au moins été reçu dans un délai prédéterminé par rapport à la valeur d'estampille temporelle, est conforme au code et correspond au moins à l'utilisateur s'authentifiant. REVENDICATIONS1. A method of authenticating a user to a server, said user being in possession of a mobile device, comprising: receiving (20) by the server an authentication request request; Sending (22) in response by the server of an image in the form of a matrix of pixels containing an encrypted code in said pixels, said code comprising at least one time stamp value; • reception (24) of the image by the mobile device and extraction (26) by it of said code; • generation (28) by the mobile device of a one-time password based on at least said code and a secret code held by the user; • reception (30) by the server of said one-time password; and • validating (32) said password if it has at least been received within a predetermined time with respect to the time stamp value, is consistent with the code and corresponds at least to the user authenticating. 2. Procédé selon la revendication 1, caractérisé en ce que l'image est envoyée par le serveur sur un écran et l'appareil mobile réceptionne cette image par l'intermédiaire d'une caméra incluse dans l'appareil mobile. 2. Method according to claim 1, characterized in that the image is sent by the server on a screen and the mobile device receives this image via a camera included in the mobile device. 3. Procédé selon la revendication 1, caractérisé en ce que l'image est envoyée par le serveur à l'appareil mobile via le réseau de téléphonie mobile. 3. Method according to claim 1, characterized in that the image is sent by the server to the mobile device via the mobile telephone network. 4. Procédé selon les revendications 2 ou 3, caractérisé en ce que l'image comporte un code-barres 2D contenant le code. 4. Method according to claims 2 or 3, characterized in that the image comprises a 2D barcode containing the code. 5. Procédé selon les revendications 2 ou 3, caractérisé en ce que le code est inclus par un procédé de stéganographie dans l'image. 5. Method according to claims 2 or 3, characterized in that the code is included by a method of steganography in the image. 6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'appareil mobile comportant un code d'identification de celui-ci (IMEI) et/ou un code d'identification de l'utilisateur (IMSI), le mot de passe à usage unique est généré en se basant en outre sur le code d'identification de l'appareil mobile, le code d'identification de l'utilisateur ou une combinaison des deux. 6. Method according to any one of the preceding claims, characterized in that the mobile device comprising an identification code thereof (IMEI) and / or a user identification code (IMSI), the A one-time password is generated based in addition on the mobile device identification code, the user identification code, or a combination of both. 7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit code comporte en outre un identifiant dudit serveur. 7. Method according to any one of the preceding claims, characterized in that said code further comprises an identifier of said server. 8. Appareil mobile comprenant : • des moyens d'acquisition (13) d'une image comportant un code ; • des moyens d'extraction (60) dudit code ; • des moyens de saisie (9) d'un code secret ; connectés à • un calculateur (62) de mot de passe basé sur ledit code et ledit code secret. 12. Appareil mobile selon la revendication 8, caractérisé en ce qu'il comporte en outre une mémoire de stockage d'un code d'identification dudit appareil mobile (IMEI) et/ou un code d'identification de l'utilisateur (IMSI), ledit calculateur étant adapté pour calculer en outre le mot de passe à partir dudit code d'identification de l'appareil mobile, dudit code d'identification de l'utilisateur ou d'une combinaison des deux. 13. Serveur comportant : • des moyens de réception (70) d'une requête d'authentification d'un utilisateur et d'un mot de passe à usage unique ; • un générateur de code (72), ledit code comportant au moins une valeur d'estampille temporelle ; • un générateur d'image (76) comportant dans ses pixels ledit code ; connecté à • des moyens (78) de transmission de ladite image ;• des moyens de validation (79) dudit mot de passe à usage unique adaptés pour vérifier que ledit mot de passe a au moins été reçu dans un délai prédéterminé par rapport à la valeur d'estampille temporelle, est conforme au code et correspond au moins à l'utilisateur s'authentifiant. 11. Produit programme d'ordinateur comportant des instructions de code de programme enregistrées sur un support lisible par un calculateur d'appareil mobile, pour mettre en oeuvre les étapes d'un procédé de génération de mot de passe à usage unique comportant : • réception de l'image par l'appareil mobile et extraction dudit code ; • génération d'un mot de passe à usage unique basé au moins sur ledit code et un code secret détenu par l'utilisateur ; 12. Produit programme d'ordinateur comportant des instructions de code de programme enregistrées sur un support lisible par un calculateur de serveur, pour mettre en oeuvre les étapes d'un procédé d'authentification d'un utilisateur auprès dudit serveur, ledit utilisateur étant en possession d'un appareil mobile, comportant : • réception d'une requête de demande d'authentification ; • envoi en réponse d'une image sous forme d'une matrice de pixels contenant un code chiffré dans lesdits pixels, ledit code comportant au moins une valeur d'estampille temporelle ; • réception d'un mot de passe à usage unique basé au moins sur ledit code et un code secret détenu par l'utilisateur ; et • validation dudit mot de passe si celui-ci a au moins été reçu dans un délai prédéterminé par rapport à la valeur d'estampille temporelle, est conforme au code et correspond au moins à l'utilisateur s'authentifiant. Mobile apparatus comprising: acquisition means (13) for an image comprising a code; Extraction means (60) for said code; Means for inputting (9) a secret code; connected to a password calculator (62) based on said code and said secret code. 12. Mobile device according to claim 8, characterized in that it further comprises a storage memory of an identification code of said mobile device (IMEI) and / or a user identification code (IMSI). said calculator being adapted to further calculate the password from said mobile device identification code, said user identification code, or a combination of both. 13. Server comprising: means for receiving (70) a request for authentication of a user and a password for one-time use; A code generator (72), said code comprising at least one time stamp value; An image generator (76) comprising in its pixels said code; connected to means (78) for transmitting said image; means for validating (79) said one-time password adapted to verify that said password has at least been received within a predetermined time with respect to the timestamp value, conforms to the code and at least matches the authenticating user. A computer program product having program code instructions recorded on a device readable by a mobile computer, for carrying out the steps of a one-time password generation method comprising: • receiving the image by the mobile device and extracting said code; Generating a one-time password based at least on said code and a secret code held by the user; A computer program product having program code instructions recorded on a server computer readable medium for implementing the steps of a method of authenticating a user with said server, said user being possession of a mobile device, comprising: • receiving an authentication request request; Sending in response an image in the form of a matrix of pixels containing an encrypted code in said pixels, said code comprising at least one time stamp value; Receiving a one-time password based at least on said code and a secret code held by the user; and • validating said password if it has at least been received within a predetermined time with respect to the time stamp value, is in accordance with the code and at least corresponds to the authenticating user.
FR0952393A 2009-04-10 2009-04-10 METHOD OF AUTHENTICATING A SERVER FROM A USER OF A MOBILE DEVICE Expired - Fee Related FR2944400B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0952393A FR2944400B1 (en) 2009-04-10 2009-04-10 METHOD OF AUTHENTICATING A SERVER FROM A USER OF A MOBILE DEVICE
PCT/FR2010/050693 WO2010116109A1 (en) 2009-04-10 2010-04-09 Method of authentication at a server by a user of a mobile apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0952393A FR2944400B1 (en) 2009-04-10 2009-04-10 METHOD OF AUTHENTICATING A SERVER FROM A USER OF A MOBILE DEVICE

Publications (2)

Publication Number Publication Date
FR2944400A1 true FR2944400A1 (en) 2010-10-15
FR2944400B1 FR2944400B1 (en) 2013-01-18

Family

ID=41401739

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0952393A Expired - Fee Related FR2944400B1 (en) 2009-04-10 2009-04-10 METHOD OF AUTHENTICATING A SERVER FROM A USER OF A MOBILE DEVICE

Country Status (2)

Country Link
FR (1) FR2944400B1 (en)
WO (1) WO2010116109A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2652900B1 (en) * 2010-12-16 2020-03-25 Orange Method for authenticating a user of a terminal with respect to a service provider

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2959896B1 (en) 2010-05-06 2014-03-21 4G Secure METHOD FOR AUTHENTICATING A USER REQUIRING A TRANSACTION WITH A SERVICE PROVIDER
FR2984047B1 (en) * 2011-12-09 2014-08-29 Evidian METHOD OF EXCHANGING DATA DIGIT BETWEEN TERMINAL AND MACHINE
DE102014015814B4 (en) 2014-10-24 2016-05-04 Unify Gmbh & Co. Kg A method of authenticating a user device when logging on to a server
FR3028979B1 (en) * 2014-11-21 2020-10-02 Evidian PROCESS FOR CONTROL OF ACCESS TO A PRODUCTION SYSTEM OF A COMPUTER SYSTEM NOT CONNECTED TO AN INFORMATION SYSTEM OF THE SAID COMPUTER SYSTEM
CN104917766B (en) * 2015-06-10 2018-01-05 飞天诚信科技股份有限公司 A kind of two-dimension code safe authentication method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2852471A1 (en) * 2003-03-13 2004-09-17 France Telecom Access authentication device for information system e.g. enterprises internal network, has stand-alone mobile component with photosensitive sensor to detect sequence of images displayed by user terminal for inferring variable access
US20060048212A1 (en) * 2003-07-11 2006-03-02 Nippon Telegraph And Telephone Corporation Authentication system based on address, device thereof, and program
US20070174198A1 (en) * 2004-08-06 2007-07-26 Kabushiki Kaisha Toshiba Content data distributing system, content data distributing method, and commodity selling method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2852471A1 (en) * 2003-03-13 2004-09-17 France Telecom Access authentication device for information system e.g. enterprises internal network, has stand-alone mobile component with photosensitive sensor to detect sequence of images displayed by user terminal for inferring variable access
US20060048212A1 (en) * 2003-07-11 2006-03-02 Nippon Telegraph And Telephone Corporation Authentication system based on address, device thereof, and program
US20070174198A1 (en) * 2004-08-06 2007-07-26 Kabushiki Kaisha Toshiba Content data distributing system, content data distributing method, and commodity selling method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2652900B1 (en) * 2010-12-16 2020-03-25 Orange Method for authenticating a user of a terminal with respect to a service provider

Also Published As

Publication number Publication date
WO2010116109A1 (en) 2010-10-14
FR2944400B1 (en) 2013-01-18

Similar Documents

Publication Publication Date Title
EP2619941B1 (en) Method, server and system for authentication of a person
EP2614458B1 (en) Method of authentification for access to a website
EP1802155A1 (en) System and method for dynamic multifactor authentication
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
WO2011138558A2 (en) Method for authenticating a user requesting a transaction with a service provider
FR2926938A1 (en) METHOD OF AUTHENTICATING AND SIGNING A USER TO AN APPLICATION SERVICE USING A MOBILE PHONE AS A SECOND FACTOR IN COMPLEMENT AND INDEPENDENTLY OF A FIRST FACTOR
EP3391614B1 (en) Method for sending digital information
FR2944400A1 (en) METHOD OF AUTHENTICATING A SERVER FROM A USER OF A MOBILE DEVICE
EP3022867A1 (en) Strong authentication method
EP2509025A1 (en) Method for access to a protected resource of a trusted personal device
EP3262553B1 (en) Method of transaction without physical support of a security identifier and without token, secured by the structural decoupling of the personal and service identifiers
EP3107023B1 (en) Method, device and program for wireless payment terminal authentication
FR2832825A1 (en) Securing access to a digital resource, uses display with array of patterns from which user selects to generate numeric access code which is stored in a memory that must be presented to allow access
WO2019102120A1 (en) Methods and devices for enrolling and authenticating a user with a service
EP2795830B1 (en) Method of encrypted data exchange between a terminal and a machine
CA3200025A1 (en) Method for processing an operation involving secret data, and corresponding terminal, system and computer program
BE1026342B9 (en) DEVICE AND METHOD FOR SECURE IDENTIFICATION OF A USER
WO2012022856A1 (en) Method of authenticating a user of the internet network
FR2913551A1 (en) User authenticating method for use in Internet network, involves authenticating authentication server by token and vice versa for each of web pages requested by user, by executing control script e.g. java script, in computer
FR2903544A1 (en) Prover i.e. user, authenticating method for e.g. secured cryptographic support, involves receiving challenge by prover, and calculating response depends on challenge and secret by selecting specific number of operations on encryption
WO2021249854A1 (en) Method for securely acquiring and processing a piece of acquired secret information
FR3143790A1 (en) Method and system for secure entry of a secret code using a keyboard
WO2022096841A1 (en) Authentication method secured by structural decoupling of personal and service identifiers
EP2180654A1 (en) Method of securing messages sent to an evolved terminal in a distributed architecture
FR3007929A1 (en) METHOD FOR AUTHENTICATING A USER OF A MOBILE TERMINAL

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

ST Notification of lapse

Effective date: 20221205