WO2019239066A1 - Procede de communication securisee entre deux dispositifs electroniques, procede pour administrer une telle communication, objets electroniques mettant en oeuvre respectivement lesdits procedes et systeme associe - Google Patents

Procede de communication securisee entre deux dispositifs electroniques, procede pour administrer une telle communication, objets electroniques mettant en oeuvre respectivement lesdits procedes et systeme associe Download PDF

Info

Publication number
WO2019239066A1
WO2019239066A1 PCT/FR2019/051419 FR2019051419W WO2019239066A1 WO 2019239066 A1 WO2019239066 A1 WO 2019239066A1 FR 2019051419 W FR2019051419 W FR 2019051419W WO 2019239066 A1 WO2019239066 A1 WO 2019239066A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic device
message
electronic devices
identification data
electronic
Prior art date
Application number
PCT/FR2019/051419
Other languages
English (en)
Inventor
Peng Soon Gary CHEW
Original Assignee
Intesecc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intesecc filed Critical Intesecc
Publication of WO2019239066A1 publication Critical patent/WO2019239066A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation

Definitions

  • 1 / invention relates to a first method for administering a secure communication between two electronic devices, said first method being implemented by a server managing bilateral communications between a plurality of devices capable of exchanging data and / or action messages .
  • the invention further relates to a second method for implementing such secure bilateral communication by each of the two electronic devices authorized to establish secure bilateral communication.
  • a second method is implemented by a processing unit of each electronic device communicating with one of its peers, advantageously, but not limited to, through a wireless communication network.
  • the invention further relates to a third method for adapting such an electronic device, consisting in possibly associating with it an electronic module so that said electronic device delegates, to said security module, all or part of the operations necessary for the implementation of such an secure two-way communication.
  • a security module may consist of an entity physically distinct from the electronic device with which it is associated, said entities cooperating by any wired or wireless link or else, by a set of software and / or hardware extensions of recording resources and / or computational resources now and already integrated in said electronic device thus adapted.
  • the invention also relates to a system comprising a plurality of electronic devices, or even a plurality of security modules respectively associated with all or part of said electronic devices, implementing such a second method in order to ensure secure bilateral communication and at least one server managing such secure bilateral communications between electronic devices.
  • the invention will be described through an example of application relating to the collection of physical quantities, such as, for example, a temperature, a humidity level, a light intensity, a vibration frequency, a shock, etc., in connection with an internal environment and / or an external environment of a place to live, such as a house with a system providing a piloting home automation service actuators with electronic controls, such as a motor for a roller shutter, a heating group and / or an air conditioning compressor.
  • the invention may however apply to any other field of application, such as, according to a nonlimiting example, the field of the automobile or more generally the transport of people or goods, for which different electronic components of a vehicle are put in contact to deliver an assistance service to the driver of said vehicle.
  • asymmetric encryption / decryption a unique identifier IDi and a pair, or a pair, of keys SKi and PKi, respectively secret and private
  • electronic Di capable of exchanging with a second electronic device Dj, said first electronic device being the i th electronic device in an ecosystem comprising a plurality of n electronic devices, such that i is an integer strictly greater than 1.
  • Said second electronic device Dj comprises also a unique identifier IDj and a pair of keys SKj and PKj, respectively secret or private.
  • a first electronic device Di publishes its public key PKi within the ecosystem to be able, for example, to sign a message intended for any other second electronic device Dj using its private key SKi.
  • a second electronic device Dj receiving such a signed message if the latter knows the public key PKi of the first electronic device Di transmitting said signed message, can then verify the signature of said first electronic device Di using the value of said key public PKi, and thus ensure that said first electronic device Di is indeed the editor of said message.
  • said first electronic device Di knows, conversely, the public key PKj of a second electronic device Dj, it can send a message that only the latter can decode, said message being possibly signed as mentioned above.
  • said first electronic device Di can encrypt the content of said message by exploiting the value of said public key PKj.
  • Said second electronic device Dj, recipient of said message encrypted by the first electronic device Di can alone decrypt said message using the value of its secret key SKj known to itself.
  • the transmission or dissemination of public keys is not secure or restricted to certain electronic devices, said public keys being published to any electronic device capable of listening. .
  • these keys can even be forwarded to third-party electronic devices.
  • a malicious third party can position itself between a first electronic device Di transmitting its public key PKi and the electronic devices DI to Dn which are supposed to be the only ones to know the value of said public key PKi, and broadcast false public keys to these latter.
  • Said malicious third party can thus intercept communications, by usurping the identity of the first electronic device Di broadcasting its public key PKi, thus creating an attack known to the skilled person, specialist in cryptography, under the term "of middle ".
  • a second known solution consists in transmitting the value of said public key PKi and the unique identifier IDi of a first electronic device Di to one or more second electronic devices Dj, in the form of an established electronic certificate.
  • a trusted third party in this case a managing server or more generally a certification authority deemed to be reliable and secure.
  • certificates can be stored on one or more key servers.
  • Said certification authority can also include a secret key SKac and a public key PKac.
  • Said message transmitted by the first electronic device Di can therefore be encrypted by the latter using the value of said public key PKac, of said authority or else simply signed to verify its integrity.
  • the latter can thus, according to the embodiment mentioned above, decrypt the message, using the value of its own secret key SKac, and know the values IDi and PKi transmitted by said first electronic device Di.
  • the certification authority encodes these in the form of a signed electronic certificate and transmits the latter to any second electronic device Dj which requests it, or even publishes to every second electronic device Dj connected to it.
  • said first electronic device Di can itself, if the latter knows it, transmit to a second electronic device Dj said certificate, in place of the certification authority.
  • a third solution consists in reducing said bandwidth by allowing first and second electronic devices Di and Dj to communicate with each other according to a symmetric encryption / decryption process, at the end of a certificate exchange process such as previously mentioned.
  • a symmetric encryption / decryption method replaces the asymmetric encryption / decryption method directly using the public and secret keys PKi, SKi, or even PKj, SKj to encrypt and decrypt messages. exchanged between first and second electronic devices Di and Dj.
  • the first and second electronic devices Di and Dj can thus exchange messages encrypted according to a conventional technique known under the symmetric encryption / decryption terminology further preserving the bandwidth necessary for the exchange of confidential messages. Any message can thus be encrypted and decrypted by said electronic devices Di and Dj using this secret key SKij developed by said two electronic devices.
  • said third electronic device Dk can address said first electronic device Di and establish secure communication, as mentioned above.
  • identification data such as identifiers and / or public keys of electronic devices belonging to the first ecosystem
  • a second limitation of this security policy arises as soon as an electronic device, belonging to an ecosystem of electronic devices attached to a certification authority, also shares a communication with a third-party application. or an electronic device external to this ecosystem. This external application or electronic device may, by the same contagion phenomenon, know identification data, such as for example identifiers and / or public keys, of electronic devices belonging to said ecosystem.
  • the invention makes it possible to respond to all or part of the drawbacks raised by the known solutions.
  • a communication network preferably but not limiting wirelessly, for example implementing communication solutions or protocols of Bluetooth, Wi-Fi, Lora or any other form of network allowing two electronic entities to be able to interact between them
  • the invention makes it possible to control the establishment and / or the revocation of all bilateral secure communications between electronic devices of an ecosystem. Only said secure bilateral communications which are previously administered and authorized by a communications management server are not possible within said ecosystem. It therefore becomes impossible for a third-party electronic device to said ecosystem to be able to establish secure communication with one of the electronic devices of said ecosystem, if said communication is not authorized by said server. communications manager, and a fortiori with an electronic device not belonging to said ecosystem.
  • a trust protocol that is to say a service for exchanging data messages and / or actions between different electronic objects or devices at a level that we could describe as application, that is to say without the need to modify the design of some of said electronic objects and without the need to establish a trusted third party who would have access to the clear content of said data messages and / or actions; to establish a network of communicating electronic objects or nodes allowing each of said nodes to implement direct and private communication with a peer node in complete confidentiality, that is to say to constitute a network of trust;
  • security modules possibly cooperating respectively with communicating electronic devices already implemented in the field, the latter essentially fulfilling a gateway role , information gathering and / or piloting of actuators and / or means of communication with the other nodes of a network to which said electronic devices belong, thus subcontracting to said security modules processing for calculation purposes and / or for keeping secrets specific to the invention; to get the best, in terms of security and performance of symmetrical and asymmetrical encryption / decryption schemes, without penalizing the bandwidth of the communication network necessary for the implementation of secure and administered bilateral communications between electronic objects, and thus minimize the costs of deploying a solution according to the invention.
  • the invention firstly relates to a first method for administering a secure two-way communication between two electronic devices among a plurality.
  • a processing unit of a server managing secure bilateral communications said server managing secure bilateral communications comprising, in addition to said processing unit, a data memory, communication means ensuring a communication with the outside world, said data memory and said communication means cooperating with said processing unit.
  • the data memory includes respective values of public identification data and secret identification data, said secret and public identification data being specific to said management server. secure two-way communications.
  • the data memory also includes:
  • a first data structure, known as a "device table”, comprising records respectively associated with electronic devices among those belonging to said plurality of electronic devices, each record storing public identification data of the electronic device associated with it;
  • links table a second data structure, called "links table”, comprising a record associated with any linking allowed between two electronic devices associated records respectively in the table of devices, said recording of the table of links comprising the respective values of all or part of the public identification data of said two electronic devices authorized to be linked.
  • said method comprises:
  • trigger the transmission by the communication means of said first message encoding a request for connection, intended for the two electronic devices concerned by said request for connection;
  • such a method may include a step for producing and recording in said data memory, the value of a secret key used to implement secure bilateral communication with said first or said second electronic device, on the basis of values obtained from said secret identification data of the server managing secure bilateral communications and of values derived from public identification data of said first or said second electronic device.
  • the invention provides that the first message encoding a connection request may include in addition to data describing a method of implementing secure bilateral communication between the electronic devices authorized to be linked.
  • Such a connection can be initiated by a server managing secure bilateral communications or by a third-party object.
  • a first method in accordance with the invention may include a step, prior to the step for developing a message encoding a request for connecting two electronic devices, for receiving, via the means of communication, and for decoding a setpoint message for connecting the two electronic devices, said deposit message being emitted by a third-party electronic object acting as the manager of the security of the electronic devices cooperating with the said manager of secure bilateral communications, and comprising public identification data of the two electronic devices to be linked, the step for reading from the device table identification data of two electronic devices consisting in searching for the records comprising the respective values of said identification data conveyed in the instruction message.
  • such a first method may include a step, subsequent to the step for creating and updating a record in the table. links for:
  • the record (s), respectively associated with electronic devices, of the device table can each store, in addition to public identification data of the electronic device associated with it, data describing an enrollment status of said electronic device, said enrollment status can describe a set of predetermined values respectively characterizing statuses including a “valid device” status, a “blocked device” status;
  • the step for reading identification data of two electronic devices from the table of electronic devices can further consist in reading said enrollment statuses of said electronic devices;
  • the step to develop a message encoding a connection request is only carried out if said two enrollment statuses of said two electronic devices describe a "valid device" status.
  • the invention provides that the first method for administering a secure two-way communication between two electronic devices can possibly be adapted so that it comprises:
  • develop a second message encoding a request to cancel linking of two electronic devices, said second message comprising all or part public identification data of said two electronic devices previously read from the table of electronic devices;
  • trigger the transmission by the communication means of said second message encoding a request for cancellation of connection, intended for each of the two electronic devices concerned by said request for cancellation of connection;
  • a first method for administering according to the invention may include:
  • trigger the transmission by the communication means of said third message encoding a blocking request from the electronic device to said electronic device concerned by this blocking request;
  • a first method for administering a secure two-way communication between two electronic devices may include:
  • a first method for administering a secure two-way communication between two electronic devices may include:
  • trigger the transmission by the communication means of said fifth message encoding a request for revocation of the electronic device to said electronic device concerned by this request for revocation;
  • 1 / invention further relates to a computer program product comprising program instructions which, when executed or interpreted by a computer, cause the implementation of a method for administering a secure two-way communication between two conforming electronic devices to said invention.
  • the invention relates to a secure bilateral communications manager server comprising a processing unit, a data memory, a program memory, communication means ensuring communication to the outside world, said data memory and said means.
  • Communication system cooperating with said processing unit, the data memory comprising respective values of identification data specific to said server managing secure bilateral communications.
  • a secure bilateral communications manager server includes in the program memory, the instructions of a computer program product as expressed previously.
  • the invention relates to a system comprising a plurality of electronic devices cooperating with such a server managing secure bilateral communications in accordance with said invention.
  • the invention relates to a second method for implementing secure bilateral communication with a second electronic device, said method being intended to be implemented by a processing unit of a first electronic device, said first and second electronic devices belonging to a system according to the invention.
  • said first electronic device comprises, in addition to said processing unit, a data memory, communication means ensuring communication with the outside world, said data memory and said communication means cooperating with said processing unit, data memory comprising respective values of public identification data and secret identification data, said secret and public identification data being specific to said first electronic device, among which a pair of keys, respectively secret and public.
  • a second method comprises:
  • such a method may include a step for producing and recording in said data memory, the value of a secret key used to implement secure bilateral communication with the server managing secure bilateral communications, on the basis of values originating from public identification data of said server managing secure bilateral communications, said public identification data being previously recorded in the data memory of the first electronic device, and of values derived from the secret identification data of said first electronic device.
  • the invention relates to a second computer program product comprising program instructions which, when executed or interpreted by a computer, cause the said computer to implement a second method for implementing implements secure two-way communication with one of the electronic devices of a system according to the invention.
  • the invention relates to an electronic device comprising a processing unit, a data memory, a program memory, communication means ensuring communication ensuring communication with the outside world, said data memory and said means of communication cooperating with said processing unit, the data memory comprising respective values of identification data specific to said electronic device, the latter comprising in program memory, the instructions for a second computer program product according to the invention .
  • an electronic device advantageously comprises or cooperates with a security module, the latter comprising the data memory and a processing unit arranged to implement the step for produce and then write in said data memory the value of a secret and shared key, with a second electronic device, of a second method according to the invention.
  • FIG. 1 - Figures IA and IB respectively illustrate two examples of configurations of an electronic device adapted according to the invention for implementing secure communication with a second electronic device as well as with a server managing secure bilateral communications;
  • FIG. 2 shows the functional architecture of a secure bilateral communications manager server according to the invention
  • FIG. 3 describes a procedure for enrolling, within an ecosystem, an electronic device suitable for implementing secure bilateral communication, on the initiative of a server managing secure bilateral communications in accordance with invention
  • - Figure 4 describes a procedure to authorize, or even specify the modalities, secure bilateral communication between first and second electronic devices, said procedure being triggered by a server manager of secure bilateral communications according to the invention
  • FIG. 5 describes a procedure to cancel the prior authorization of a secure bilateral communication between first and second electronic devices, said procedure being initiated on the initiative of a server managing secure bilateral communications according to the invention ;
  • FIGS. 6 and 7 respectively describe blocking and rehabilitation procedures, triggered by a secure bilateral communications manager server, of a first electronic device adapted so that the latter can implement or stop secure bilateral communication with a second electronic device according to the invention
  • FIG. 8 describes a procedure for revoking an electronic device, thus canceling a prior process for enrolling the latter, on the initiative of a server managing secure bilateral communications in accordance with the invention
  • FIG. 9 presents steps of a method for communicating bilaterally and securely, implemented by any pair of electronic devices, adapted to be members of an ecosystem comprising a plurality of devices electronics, the communications of which are administered by a server managing secure bilateral communications according to the invention
  • FIGS. 10A and 10B present steps of a method for administering bilateral and secure communications within an ecosystem comprising a plurality of electronic devices, said method being implemented by a server managing such communications according to the invention .
  • the exchange of messages within an ecosystem comprising a plurality of electronic devices can be carried out by radio and / or wired channels. Such communication between such electronic devices will be described below according to a preferred, but non-limiting, wireless communication mode.
  • said electronic devices are advantageously arranged to implement technologies and / or communication protocols selected from those known under the names Bluetooth, Wi-Fi, Lora, Sigfox, or from any other substantially equivalent solutions.
  • a first example of an electronic device Di comprises, generally and mainly, a processing unit 11, for example, in the form of a microcontroller or a microprocessor. Said processing unit 11 cooperates with a data memory 12, possibly with a program memory 14, said memories 12 and 14 possibly constituting two elements separate physical or a single physical entity. In the latter case, a “logical” order separation can be implemented to govern accesses in reading and especially in writing, possibly different, for and / or by said processing unit 11.
  • Such an electronic device Di can also include one or more sensors for measuring a physical quantity in connection with the environment of said electronic device Di.
  • a sensor 15 can non-exhaustively measure a surrounding temperature, the presence and / or absence of ambient light.
  • an example of an electronic device Di may include an interface 18 for controlling an actuator Ai, such as, for example, a motor with numerical control of a rolling shutter, a pump, or even a compressor an air conditioner, etc.
  • An electronic device Di can also include first communication means 13 cooperating with the processing unit 11 and ensuring proximity or long-range communication, preferably wireless, with any other second electronic device Dj located within range Communication.
  • Said electronic device Di can also comprise second communication means 16 of wired or wireless types.
  • said means of communication 13 and 16 may constitute only one and the same physical entity.
  • These second communication means 16 make it possible, for such an electronic device Di, to be able to exchange in particular with a server managing secure bilateral communications ESM, for example, in the form of a computer comprising its own processing unit, in the form of one or more microprocessors, associated with storage means integrated into said ESM manager server and / or remote from the latter, as we will study later in connection with FIG. 2.
  • Such a link between an electronic device Di and said server secure bilateral communications ESM can be carried out through a wired or wireless N communication network using known communications technologies and / or protocols, such as non-exhaustively, Lora, Sigfox, Wi-fi, Bluetooth, or alternatively, Internet or Ethernet.
  • the program memory 14 of an electronic device Di according to FIG. IA and adapted according to the invention may include instructions from a computer program PI, the interpretation or execution of which by said processing unit 11 causes the implementation, by the electronic device Di, of such a secure bilateral communication method according to the invention, such as the method 100 of FIG. 9.
  • An electronic device Di according to FIG. IA can also include a source of electrical energy 17, for example in the form of one or more batteries, which are specific to it. Such a source of electrical energy 17 can thus supply electrical energy to the various electronic members of said electronic device Di. Alternatively, such an energy source may be external to the latter.
  • the processing unit 11 of an electronic device Di according to FIG. IA cooperates with said memories 12 and / or 14, the communication means 13 and / or 16, the sensor (s) 15, or even the control interface d actuator 18, by means of internal communication buses, represented in FIG. IA by double arrows in single line.
  • the supply of electrical energy by the possible internal electrical energy source 17 is represented by a bus in electrical supply symbolized by an arrow in double line, said bus being connected, for the sake of simplification, only to the processing unit 11 in Figures IA and IB. It is obvious that such a bus in power supply serves any electronic member which would require it.
  • FIG. 1B describes a second example of an electronic device Di adapted to be in accordance with the invention. This is very similar to that presented in connection with Figure IA.
  • the electronic device Di according to FIG. 1B further comprises third communication means 19 allowing such an electronic device Di to transmit, to a security module SMi, in the form for example of a secure object such as a card to chip, data through a link by electromagnetic coupling or even a wireless link called proximity, or even alternatively, via a wired link, for example without limitation, a link in accordance with international standard ISO-7816, in order to subcontract, to said security module SMi, the storage of secret data or certain calculations the processing of which must not be corrupted.
  • a security module SMi in the form for example of a secure object such as a card to chip
  • a link by electromagnetic coupling or even a wireless link called proximity or even alternatively, via a wired link, for example without limitation, a link in accordance with international standard ISO-7816, in order to sub
  • SMi security module is sometimes designated by the Anglo-Saxon name "Secure Application (or Access) Module". It is mainly responsible for performing cryptographic calculations and / or memorizing secrets not exchanged with the outside world. Such an association makes it possible not to modify the internal functioning of electronic devices Di or Dj, which would already be in service before their adaptation in accordance with the invention. Subsequently and by way of simplification, we will consider that a security module SMi constitutes a hardware and / or software extension of the processing unit 11, or even memories 12 and / or 14 of said electronic device Di, to the like that described in connection with Figure IA. Thus, like the electronic device Dj present in FIGS.
  • said security module SMi When a security module SMi is associated with an electronic device Di and said security module SMi thus consists of an entity physically dissociated from the latter, as is for example the case when said security module SMi consists of a smart card or any other suitable form factor, said SMi module includes its own processing unit 31, in the form of a microcontroller or a microprocessor comprising hardware and / or software resources which are particularly optimized for implementation cryptographic processing. Like the unity of processing 11 previously described, the processing unit 31 cooperates with a program memory 33 to include instructions from a computer program P3 intended to adapt the operation of said security module SMi.
  • the processing unit 31 generally cooperates with a data memory 32, some of whose read and / or write accesses are particularly restricted from the outside world, or even prohibited.
  • the security module SMi comprises communication means 34, complementary to the communication means 19 previously mentioned, for ensuring exchanges between said electronic device Di and the security module SMi.
  • An electronic device Di comprises in the data memory 12, or even by extension in the memory 32 when said electronic device Di is associated with a security module SMi, specific data, some of which is specific to the device electronic Di. All or part of these are advantageously recorded in one or more sections of the data memories 12 and / or 32, said memories being generally electrically erasable and writable, said sections being conventionally non-erasable, with the exception of a mode d 'emergency erasure, so that any update can be prohibited after initialization of said particular data.
  • Such access to modify such sections of the data memories 12 and / or 32 may, as a variant, require the satisfaction of a strong authentication procedure. Thereafter of the document and by simplification measure, we will consider the data memory 12 as possibly including the memory 32, if the latter exists, even though said memories 12 and 32 are physically dissociated. We will thus speak by extension of data memory 12.
  • an electronic device Di can also include, in the data memory 12, respective values of a pair of keys PKi and SKi allowing it to implement an asymmetric encryption / decryption method.
  • PKi a pair of keys
  • SKi asymmetric encryption / decryption method.
  • the value of a first PKi key intended to be made public, allows for example to sign a message intended for a second electronic object. The latter, if the latter knows the value of the public key PKi, can encrypt the data of a confidential message that only the electronic device Di can decrypt using the key SKi, the value of which is secret and only known. of the first electronic device Di.
  • the value of the secret key SKi can be used for the development, in combination with the value of a public key PKj of a second electronic device Dj, of a secret and “virtually” shared key SKij between the electronic devices Di and Dj, so that these funds can implement a secure bilateral communication SCij by symmetric encryption / decryption.
  • said secret key SKij may advantageously be established according to the Diffie-Helmann method, for example.
  • the value of the SKij key can be recorded in the data memory 12 or recalculated on the fly, before or during each data exchange. It could also be the subject of a diversification, by the development of a temporary or so-called session key, by exploiting the value of a seed shared between two electronic devices, for example a counter, in accordance with the state art.
  • an ESM server manager of secure bilateral communications between electronic devices which we will call by suite "communications management server” for the sake of brevity, consists, for example, of a computer having its own processing unit 21.
  • the latter comprises one or more microprocessors and / or arithmetic coprocessors optimized to perform in particular cryptographic calculations.
  • Said processing unit 21 cooperates, for example by a data bus, with a data memory 22 and a program memory 23, said memories 22 and 23 being able to be physically plural and dissociated entities, or to constitute only one and same physical entity.
  • Said program memory 23 is arranged to record the program instructions of a computer program P2. Said program instructions are then arranged to cause, during their interpretation or execution by said processing unit 21, the implementation of a method for managing secure bilateral communications, such as the method 200 described later in connection with FIGS. 10A and 10B.
  • Such a communications management ESM server comprises communication means 23 enabling it to exchange with electronic devices DI to Dn conforming to FIG. IA or IB, by radio or wire via a network N, in accordance with any technology known allowing two electronic objects to exchange data and / or action messages.
  • Such means of communication 23 allow the server managing communications ESM to interact with a second server DSM managing the security of electronic devices, which we will call hereinafter "security server", for the sake of brevity.
  • security server the nature or the software and / or hardware architectures of such a second DSM security server can be similar to or similar to that of the ESM communications management server.
  • Such a second DSM security server can, for example, according to the invention, be operated and / or administered by an agent guaranteeing a security policy for said electronic devices DI to Dn.
  • a link N between the ESM and DSM servers could be implemented by complementary and additional communication means with regard to the communication means 23, to ensure a connection of Ethernet, Internet or any other form of so-called connection. equivalent long range.
  • FIG. 2 succinctly presents the typical content of such a data memory 22.
  • the data memory 22 of a server managing communications ESM can include any of 'first characteristic data specific to said ESM server.
  • Such characteristic data are used to implement an asymmetric encryption / decryption process with the outside world.
  • the data memory 22 can include the respective values of a unique identifier IDesm, a public key PKesm and a secret key SKesm associated with the previous one.
  • FIG. 2 further describes a data memory 22 which may include a first data table, which we will call “table of the enrolled electronic devices” or more simply for the sake of brevity "table of devices".
  • the latter is referenced DT in FIG. 2 and comprises one or more records or data structures DTi, DTj, DTn, respectively associated with the enrolled electronic devices, that is to say, in this case in FIG. 2, with the electronic devices Di, Dj and Dn which are known to the ESM communications management server.
  • FIG. 2 describes a first record DTi associated with the electronic device Di, a second record DTj associated with the electronic device Dj and a third record DTn associated with the nth electronic device Dn.
  • a record, such as the DTi record, of said table of DT devices can mainly comprise, by way of nonlimiting examples:
  • a first field recording the value of the identifier IDi of the electronic device Di with which it is associated;
  • a third field comprising the content of a certificate Ci produced by the security server DSM, or even by the server managing communications ESM, on the basis of said values of the identifier IDi and of the public key PKi; a fourth field encoding a status Si related to the enrollment and / or the state of said enrollment of said electronic device Di.
  • the registration DTj associated with the electronic device Dj which can include the fields memorizing the identifier IDj, the public key PKj, a certificate Cj encoding the two previous values IDj and PKj, or even a status Sj of the enrollment of said electronic device Dj.
  • the registration DTn associated with the electronic device Dn may include fields memorizing the identifier IDn, the public key PKn, a certificate Cn encoding the two previous values IDn and PKn, or even a status Sn of the enrollment of said electronic device Dn.
  • the data memory 22 of the ESM communications management server can also comprise a second table, which we will call “link table”, said link table being referenced BT in the nonlimiting example of FIG. 2.
  • link table is referenced BT in the nonlimiting example of FIG. 2.
  • Such a table BT makes it possible to materialize one or more authorized connections between two electronic devices, in this case in the context of the example of FIG. 2, the single link between the electronic devices Di and Dj, so that the electronic devices thus linked can exchange action and / or data messages within the framework of secure bilateral communication.
  • Each link formed by the ESM manager server is associated with a specific record in said table BT.
  • the authorized linking of electronic devices Di and Dj is manifested by the record BTij in the table of links BT, said record BTij comprising, preferably but not limiting, two first fields for storing the identifiers IDi and IDj respectively. of the two linked electronic devices, an additional field BPij for possibly encoding a particular type of connection or, in other words, for encoding a policy governing the exchange of messages between said electronic devices (encryption, signature, authentication, etc.) and finally possibly an additional field to encode a BSij status of the link thus created, said link possibly being validated, suspended, in the process of establishment, etc. Any other field complementary could be provided in a BTij record of the BT links table to enrich the modalities of a connection between two electronic devices.
  • FIGS. 3 to 10A and 10B The administration and implementation of secure bilateral communications between different electronic devices DI to Dn of a system, described in connection with FIG. 2, will now be illustrated, without limitation, in FIGS. 3 to 10A and 10B.
  • FIG. 9 successively presents the different treatments implemented by a processing unit 11, or even 31, of a first electronic device, such as the electronic device Di previously described in connection with FIGS. IA and IB, when said unit processing 11 and / or 31 implements a method 100 for implementing secure bilateral communication SCij, in accordance with the invention, with a second electronic device Dj.
  • FIGS. 10A and 10B describe, for their part, the processing of a method 200 for administering a secure bilateral communication between said first and second electronic devices Di and Dj , said method 200 being implemented by a processing unit 21 of an ESM manager server, according to the invention and as described in FIG. 2.
  • FIGS. 3 to 8 Said methods 100 and 200, or the particular treatments implemented within the framework of said methods 100 and 200, are illustrated by FIGS. 3 to 8, through an example of nonlimiting application staging certain electronic objects mentioned in link with FIG. 2, by highlighting the exchanges necessary, at different times referenced from EO to E57, to administer a network of electronic devices in accordance with the invention.
  • FIGS. 3 to 8 thus more particularly situate two electronic devices Di and Dj belonging to a plurality of communicating devices.
  • two devices Di and Dj are shown in Figures 3 to 8. These two devices Di and Dj are arranged respectively like the electronic devices described in connection with Figure IA for the electronic device Dj and Figure IB for the electronic device Di.
  • the device Di is associated with a security module SMi, unlike the electronic device Dj.
  • FIGS. 3 to 8 also show an ESM server, manager of bilateral communications between electronic devices of said plurality, in this case possibly the electronic devices Di and Dj previously mentioned.
  • FIG. 3 to 8 describe a second DSM server, manager of the security of electronic devices.
  • the nature or the software and / or hardware architectures of such a second DSM security server can be similar to or similar to that of the ESM communications management server.
  • such a second DSM security server can, for example, be operated and / or administered by an agent guaranteeing a security policy for said electronic devices.
  • Figures 3 to 8 describe sections of the server's data memories ESM manager or Di and Dj electronic devices, such as the DT device tables or the BT link table already described in connection with Figures IA, IB and / or 2, when their contents are modified.
  • FIG. 3 describes an optional step prior to the establishment of a secure two-way communication, such establishment being described later in connection with FIG. 4.
  • a security module SMi when a security module SMi is associated with an electronic device Di, the invention provides that said security module SMi can implement a specific processing, such as step 111 of a processing 110 of the method 100 described by way of example in FIG. 9, so that identification data, in particular the pair of respectively secret and public keys SKi and PKi, are generated or initialized automatically by said security module SMi, so that no other physical entity can know the value of said secret key SKi.
  • Such a preliminary step 111 is intended to be implemented once and only once, at an instant E0, during the first use of said security module SMi for example.
  • identification data that is to say data which is intended to be exchanged or transmitted to third-party equipment and so-called "secret” or “private” identification data, c '' i.e. data only known to the equipment concerned and which is not intended to be transmitted to third-party equipment.
  • identification data although "public” is preferably transmitted, between two pieces of equipment within the framework of a secure bilateral communication within the meaning of the invention.
  • FIG. 3 illustrates an enrollment process allowing any electronic device to be enrolled or known by said server managing communications ESM.
  • Such an enrollment process also allows said enrolled device to know certain public identification data of the ESM communications manager server, in particular the IDesm identifier thereof, or even a public key PKesm thereof.
  • the recording, in the data memory 12 and / or 32 of an electronic device, of said identification data of the ESM communications manager server so that said electronic device can interact with said ESM server can be the subject of the specific initialization processing, such as step 111 of a processing 110 of the method 100, or else of an operation of preparing said data memory 12 and / or 32 before any first use of said electronic device.
  • the enrollment process further enables the DSM security server to know an electronic device enrolled by the ESM communications manager and to produce a digital certificate specific to the enrolled electronic device, so that said ESM communications management server can ultimately transmit to a third party such a digital certificate, in place of the public key of said enrolled electronic device, thus preventing any attack by the middle.
  • any message exchanged between two electronic objects advantageously results in a data frame comprising one or more fields , in the format known by the acronym TLV (“Tag, Length, Value” according to Anglo-Saxon terminology) according to which each field includes a marker (Tag), a value (Value) and a length (Length) of the latter, expressed for example in number of bytes.
  • TLV Tag, Length, Value
  • each field includes a marker (Tag), a value (Value) and a length (Length) of the latter, expressed for example in number of bytes.
  • Each message can include a header, allowing its recipient to recognize its form or meaning and / or a suffix, which can express a redundancy code to verify its integrity, for example.
  • any message When a message is intended for a particular recipient electronic object, such a message may include a first element in the value of a public identification datum of said recipient electronic object, such as an identifier IDi, IDj, IDesm, for example. example.
  • a mode also known by the English term "broadcast", that is to say transmitted to any recipient capable of receiving or receiving said message, the latter does not include any data identifying a particular recipient.
  • any message can include or encode the value of a data item. of identification allowing to identify the originator and / or the emitter of a message.
  • the invention further provides, when a message has a suffix expressing a redundancy code, that said message suffix may comprise only part of said redundancy code, for example the first four bytes, if said redundancy code s 'expresses in the form of eight bytes.
  • the recipient can then verify the integrity of said original message by calculating, for its part, said redundancy code, then compare the partial code conveyed by said original message with the first four bytes of said calculated redundancy code. If the said bytes are identical, the original message is deemed to be intact. Otherwise, the original message can be ignored.
  • an ACK response message can in turn be encoded by the recipient of said original message and then transmitted by said recipient object, at destination this time, of the sending and / or originator object of said original message.
  • Said ACK message can comprise, for example, the last four bytes of said redundancy code thus calculated by the recipient of the original message.
  • the sender of the original message can compare the bytes received with the last four bytes of the redundancy code of said original message produced during the transmission of the latter. If said bytes are identical, then the sending object of said original message knows that the recipient's object has received its original message and that it is being processed.
  • such a first enrollment process results in the respective implementations of interdependent processes, on the one hand, by the electronic device Di requiring enrollment and, on the other hand, by the ESM communications management server.
  • said electronic device Di requiring enrollment implements a method for implementing secure communication, more precisely a first sub-method 110 of a global method 100 illustrated by way of nonlimiting example in FIG. 9
  • said ESM communications management server carries out a method for administering a secure two-way communication, more precisely a sub-method of the latter aiming to process such an enrollment request.
  • Such a method 200 is illustrated, by way of nonlimiting example, by FIG. 10A.
  • a first enrollment process can thus consist of a first phase, materialized by the instant El in said FIG. 3, according to which a first electronic device Di develops and transmits, in a step 112 of the method 100, for example in the form of a broadcast, a first message encoding an RR enrollment request, conveying respective values of public identification data of said first electronic device Di, among which, the respective values of the identifier IDi and of the PKi public key.
  • the latter can transmit, in a step 212, an ACK message addressed to said first electronic device Di having sent the RR enrollment request, as mentioned above.
  • an ESM communications management server can transmit, in turn at an instant E2, a message encoding a request for ARR enrollment authorization intended for a DSM security server.
  • a message encoding a request for ARR enrollment authorization intended for a DSM security server constitutes a step 213 of the sub-method 220 implemented by said server managing communications ESM.
  • Such a message encoding an ARR enrollment authorization request conveys all or part of the public identification data of the first electronic device Di requiring enrollment.
  • said security server DSM can prepare a digital certificate Ci, encoding all or part of said identification data of said first electronic device Di and send it to the server managing communications ESM.
  • the latter receives such a digital certificate Ci in a step 214 and creates, in a subsequent step 215, an entry or a record DTi in the table of devices DT stored in the data memory 22 of said server managing communications ESM.
  • Said DTi record then includes said digital certificate Ci and / or the respective values of the identifier IDi and the public key PKi of said electronic device Di requiring enrollment.
  • the first enrollment process of the electronic device Di can be considered at this stage as finalized.
  • the invention provides, however, that said first process is continued by the development and then the sending of an RA enrollment finalization message, in a step 216 by said ESM communications management server to said electronic device requesting Di. This step corresponds to the instant referenced E4 in FIG. 3.
  • Such a message RA can comprise, in addition to public identification data of the two entities Di and ESM, such as the identifiers IDi and IDesm, complementary data AI, such as, for example, a blocking code and / or a code of revocation of said first electronic device Di, or any other additional information likely to condition or limit in time the enrollment of said first electronic device Di, or even the public key PKesm of the ESM manager server.
  • complementary data AI such as, for example, a blocking code and / or a code of revocation of said first electronic device Di, or any other additional information likely to condition or limit in time the enrollment of said first electronic device Di, or even the public key PKesm of the ESM manager server.
  • Such blocking and / or revocation codes may be used by said first electronic device Di, in response to requests for blocking or revocation sent by said ESM communications management server, as we will detail later and in particular in connection with the FIGS. 6 and 8.
  • step 114 may further consist in the preparation and then the transmission, by the communication means 13 or 16 of said first electronic device Di, of an ACK message acknowledging receipt and processing of the RA message intended for the server.
  • ESM communications manager The latter, then awaiting said message, in a step 217, can advantageously trigger the implementation of a step 218 to update the DTi record in the table of DT devices, so that the latter registers an enrollment status field Si taking as current value, a first predetermined value attesting that the enrollment process has been fully carried out by said first electronic device Di and by the ESM communications manager server. Such a first value thus indicates a "valid device" status.
  • said enrollment status Si maintains for current value, a second determined value, other than that attesting that the first enrollment process has been fully carried out, said second current value having been initialized during the creation of the registration DTi in step 215.
  • the updating of said registration corresponds to the instant referenced E5 in FIG. 3.
  • FIG. 3 describes in parallel instants E1 to E5, a second instance of such a first enrollment process, an instance similar to that of the first enrollment process of the first electronic device Di, said second instance of the enrollment process being initiated by a second electronic device Dj, of a functional nature and / or architecture close to a device Di described in connection with FIG. IA.
  • a second electronic device Dj requiring enrollment, implements a method of implementing secure communication similar to method 100 as described above in connection with FIG. 9 and carried out by the first electronic device Di.
  • the instants El 'to E5' are therefore respectively “mirror” instants and / or corresponding to the instants El to E5 detailed within the framework of the enrollment process of the first device electronic Di.
  • the table DT stored in the data memory 22 of the ESM communication management server comprises a second record DTj associated and dedicated to said second electronic device Dj.
  • the latter can transmit, in a step 212, an ACK message addressed to said second electronic device Dj having sent the second enrollment request RR, as previously mentioned.
  • an ESM communications management server in accordance with the invention can in turn transmit, in an instant E2 ′, a message encoding a request for ARR enrollment authorization intended for a security server DSM.
  • a message encoding an ARR enrollment authorization request conveys all or part of the identification data of the second electronic device Dj requiring enrollment.
  • said DSM security server can develop a digital certificate Cj, encoding all or part of said identification data of said second electronic device Dj and send it to the server managing communications ESM.
  • the latter receives such a digital certificate Cj in a step 214 and creates, in a subsequent step 215, an entry or a second record DTj in the table of devices DT.
  • Said registration DTj then comprises said digital certificate Cj and / or the respective values of the identifier IDj and of the public key PKj of said second electronic device Dj requiring enrollment.
  • said process of enrolling the second electronic device Dj advantageously, continues with the development then the transmission of a RA enrollment finalization message, in a step 216 by said ESM communications management server to said electronic device requesting Dj. This step corresponds to the instant referenced E4 ′ in FIG. 3.
  • Such a message RA can comprise, in addition to public identification data of the two entities Dj and ESM, such as the identifiers IDj and IDesm, complementary data AI, such as, for example, a blocking code and / or a code of revocation of said second electronic device Dj, or any other additional information likely to condition or limit in time the enrollment of said second electronic device Dj.
  • All or part of the identification data of the ESM communications management server as well as said additional information AI can be the object, in a step 114, of a recording operation, in the data memory 12 of the second electronic device Dj.
  • step 114 may also consist in the development and then the transmission, by means of communication 13 or 16 of said second electronic device Dj, of an ACK message acknowledging receipt and processing of the RA message intended for the server.
  • ESM communications manager The latter, while awaiting said message, in a step 217, can advantageously trigger the implementation of a step 218 to update the registration DTj in the table of devices DT so that the latter enters a status field d 'enrollment Sj taking as current value, a first predetermined value attesting that the enrollment process has been fully performed by said second electronic device Dj and by the server manager ESM communications.
  • said enrollment status Sj maintains for current value, a second determined value other than that attesting that the first enrollment process has been fully carried out, said second current value having been initialized during the creation of the registration DTj in step 215.
  • the updating of said registration corresponds to the instant referenced E5 ′ in FIG. 3.
  • FIG. 4 in connection with FIGS. 9 and 10A, describes a second process aimed at authorizing first and second electronic devices to establish direct and secure bilateral communication SCij, in this case the electronic devices Di and Dj previously described in link with figure 3, therefore having is subject to the enrollment process.
  • a process aimed at authorizing secure two-way communication consists mainly of two sub-processes referenced 120 and 220, respectively in FIGS. 9 and 10A, and implemented by the electronic devices Di and Dj and by the ESM communications manager server.
  • Such a second process is mainly operated by an ESM communications management server in accordance with the invention, and such as that described in connection with FIG. 2.
  • the latter thus uses a sub-process aiming to authorize secure bilateral communication between two devices electronics that have been the subject of a first enrollment process.
  • a preferred but nonlimiting example in the form of a sub-method 220 aimed at authorizing such communication is illustrated in FIG. 10A.
  • the latter includes a step 222, and corresponds to the instants Eli and Eli 'in FIG. 4, for reading identification data IDi, IDj, Ci, PKi, Cj or even PKj of the first and second electronic devices Di and Dj in the table DT electronic devices.
  • step 222 comprises a reading of the content of the two records DTi and DTj associated respectively with said electronic devices Di and Dj and initialized by the implementation of the sub-method 210 mentioned above in connection with a first conforming enrollment process to the invention.
  • the sub-method 220 comprises a step 224, corresponding to the instant E12 or E12 'in FIG. 4, for develop a first message encoding a request for linking BR, said first message comprising all or part of the public identification data, such as the values of the identifiers IDi, IDj, and / or the public keys PKi and PKj, or even the certificates digital Ci and Cj associated with the two electronic devices, said data being drawn or read in step 222 in the table of electronic devices DT.
  • the public identification data such as the values of the identifiers IDi, IDj, and / or the public keys PKi and PKj, or even the certificates digital Ci and Cj associated with the two electronic devices, said data being drawn or read in step 222 in the table of electronic devices DT.
  • Such a step 224 also consists in triggering the transmission, by the communication means 23, of said first message encoding a request for connection BR, intended for the two electronic devices Di and Dj concerned by said request for connection BR .
  • Said sub-method 220 now includes a step 225 of waiting for a response from each of said two electronic devices, in this case an ACK message acknowledging receipt and processing of said BR request for connection.
  • each electronic device Di or Dj implements a sub-method 120 of a method for implementing secure communication 100 as described in link with FIG. 9.
  • the latter comprises a first step 121 for receiving, via their respective communication means 13, the message encoding a request for connection BR sent by the server managing communications ESM, at times E12 and E12 'in FIG. 4, respectively for the electronic devices Di and Dj.
  • Said step 121 also consists in decoding such a message encoding a request for linking BR to collect all or part of the identification data.
  • the two electronic devices Di and Dj can each verify that said message BR received is indeed intended for them and know certain identification data of a future communication partner.
  • step 122 consists, for the first electronic device Di, in storing, for example, the respective values of the identifier IDj and of the public key PKj specific to the second electronic device Dj. These values can be immediately deduced from the content of the message encoding a request for linking BR transmitted from the ESM communications management server or else deduced from the electronic certificate Cj, if the latter is conveyed by said message in place of said identifier IDj and public key PKj.
  • step 122 of the sub-method implemented by the processing unit of the second electronic device Dj consists in storing, for example, the respective values of the identifier IDi and of the public key PKi specific to the first electronic device Dj.
  • the bandwidth of the communication network N conveying future data and / or action messages which may be exchanged between said first and second electronic devices Di and Dj
  • the invention further provides that said step 122, implemented by said two electronic devices Di and Dj, consists in producing a secret and shared key value SKij, although not exchanged, between said two electronic devices, by putting example implements a process known as Diffie-Helmann.
  • each of said first and second electronic devices can register the secret key SKij produced, or even conventionally derive the value thereof during the secure communication SCij, without any other electronic entity knowing said secret value SKij, including the server managing communications ESM.
  • Said value of the secret key SKij shared between the two electronic devices Di and Dj, without the latter needing to exchange it, is thus advantageously obtained from the values coming from said identification data of the first and second electronic devices.
  • the first electronic device Di generates the key SKij from the values of its secret key SKi and the public key PKj of the second electronic device and said second electronic device Dj develops said key SKij to from the values of its secret key SKj and the public key PKi of said first electronic device Di.
  • the invention provides that a similar mechanism can be implemented by the electronic device Di and by the communication management server ESM to establish a shared secret SKiesm key, that is to say constructed on both sides, between said electronic device Di and the communications management server ESM, without the latter needing to exchange it.
  • the first electronic device Di can develop the key SKiesm from the values of its secret key SKi and the public key PKesm of the server managing communications ESM.
  • the latter can develop said key SKiesm from the values of its secret key SKiesm and the public key PKi of said first electronic device Di. He can be the same for the second electronic device Dj.
  • said electronic devices Di and Dj can interact, respectively by secure bilateral communications SCiesm or SCjesm, with the communications management server ESM via a symmetric encryption / decryption protocol by the respective operations of the secret keys SKiesm and SKjesm.
  • the sub-method 120 implemented by the two electronic devices Di and Dj, can also include, as soon as said secret key SKij is produced, a step 123 for producing an ACK message acknowledging receipt and processing of the activation request.
  • the method 200 implemented by the manager server ESM, then on standby at step 225, can receive, via the communication means 23, and decode two messages ACK, acknowledging receipt and processing of the request for connection BR, respectively by said two electronic devices Di and Dj concerned by said request for connection BR.
  • Said method more precisely the sub-method 220 described by way of example in FIG. 10A, can include a step 226, corresponding to the instant E15 in FIG. 4, for creating and updating a record BTij in the table of BT links, so that said BTij record stores the respective values of all or part of the public identification data of said first and second electronic devices Di and Dj thus authorized to be linked.
  • Such creation of said BTij record is advantageously implemented by the server managing the ESM communications, if and only if (situation symbolized by the link 225y in FIG. 10A) said two ACK messages acknowledging receipt and processing by said two electronic devices Di and Dj of said first message encoding the request for linking BR have been well received beforehand and decoded in step 225, at times E14, E14 '.
  • said first and second devices Di and Dj can undertake secure exchanges, via one or more iterations of steps 131, and 132, beyond the instant E17, to receive, via the communication means 13, and decode a message of data and / or actions, emanating from the partner electronic device.
  • said first and second devices Di and Dj can undertake secure exchanges, via one or more iterations of steps 135, and 136, beyond the instant E17, to develop, encode and then transmit, via the communication means 13, such a data and / or action message intended for said partner electronic device.
  • the content of such messages is encrypted or decrypted using the value of said key SKij alone known to the two partner devices.
  • steps 131, 132, 135, 136 are shown in FIG. 9 as belonging to the same sub-method 130 of the method 100 for implementing secure communication within the meaning of the invention.
  • the invention further provides that an ESM communications manager server, implementing a method 200 as mentioned above, can specify certain modalities leading to encrypted exchanges SCij between two linked or partner electronic devices.
  • the level of security and / or encryption exchanges can be modulated and administered by said ESM communications management server.
  • the invention provides, for example, that linking two electronic devices may require strong mutual authentication prior to any exchange between the two electronic devices, communication of encrypted messages without prior mutual authentication, or even communication requiring a low level of protection or an absence of protection on certain messages, such as for telemetry for example.
  • a policy of such linking, or “binding policy” can be encoded in the form of an additional BP field or element conveyed in a message encoding a request for linking BR, as previously mentioned (instants E14, E14 'in FIG. 4).
  • said communications management server ESM can describe by said field BP a method of implementing a secure communication SCij between two electronic devices, such as the devices Di and Dj according to FIG. 4, authorized to be put in contact.
  • step 122 of a method 100 of implementing a communication secured by any electronic device Di can also consist of: enter the value of the BP field or transcribe it into the data memory 12 or 32 of such an electronic device Di, if the latter conforms to FIG. A1.
  • the steps of sub-process 130, mentioned above to implement communication SCij, are also suitable for satisfying the linking policy defined by the BP field conveyed by the BR matching request sent by the ESM communications manager server.
  • such a security server DSM or more generally a third-party electronic object acting as manager of the security of the electronic devices and cooperating with said communication manager server ESM, can send at the instant E10, a setpoint message. B connecting the first and second electronic devices Di and Dj.
  • a setpoint message B advantageously includes identification data, such as the values of the identifiers IDi and IDj, of the two electronic devices Di and Dj to be linked.
  • Step 222 for reading from the table of the DT devices identification data of two electronic devices (corresponding to the instants Eli and Eli 'in FIG. 4) of a method for administering a secure two-way communication according to the invention, such as illustrated in FIG. 10A, can then be adapted to search for the records DTi and DTj, comprising the respective values of said identification data conveyed in the setpoint message B and received in a step 221.
  • the subsequent steps 223 to 226, such as detailed previously, remain unchanged.
  • the invention simply provides for being able to adapt a method 200 by adding a step 227, subsequent to step 226, to create and update a BTij record in the table of BT links, so that said step 227 consists in:
  • step 227 is symbolized by the instant E16 in FIG. 4.
  • FIG. 4 allowed us to study how, according to the invention, an ESM communications manager server can, possibly under the instruction of a third party object, such as a DSM security server, can set up a setting in relation between two electronic devices belonging to a plurality, or even specify the modalities or more generally a security policy governing future secure SCij exchanges between the two partner electronic devices.
  • a third party object such as a DSM security server
  • FIG. 5, in connection with FIGS. 9 and 10A, makes it possible to illustrate that such an ESM communications management server according to the invention can also interrupt such a connection, for example, when the latter does not is more relevant in view of an application context.
  • FIG. 5 in connection with FIGS. 9 and 10A, describes a third process, aimed, for its part, at thus putting an end to a secure bilateral communication partnership SCij between first and second electronic devices, previously authorized to establish such a direct and secure bilateral communication SCij, in this case the electronic devices Di and Dj previously described in connection with FIG. 4.
  • such a third process aimed at suspending secure bilateral communication SCij mainly consists of two sub-processes referenced 140 and 230, respectively in FIGS. 9 and 10A, and implemented by the devices Di and Dj and by the ESM communications management server.
  • Such a third process is mainly operated by an ESM communications management server in accordance with the invention, and such as that described in connection with FIG. 2.
  • the latter thus implements a sub-process aimed at canceling a previously authorized relationship.
  • a preferred but nonlimiting example under the form of a sub-process 230 is illustrated in FIG. 10A.
  • the latter comprises a step 232, and corresponds to the instants E22 and E22 'in FIG. 5, for reading identification data IDi, IDj, Ci, PKi, Cj or even PKj of the first and second electronic devices Di and Dj in the table DT electronic devices.
  • step 232 includes a reading of the content of the two records DTi and DTj associated respectively with said electronic devices Di and Dj and initialized by the implementation of the sub-method 210 mentioned above in connection with an enrollment process in accordance with the invention.
  • the sub-method 230 may include an optional step 233 aimed at ensuring this prior fact.
  • Said step 233 consists in reading the table of links BT and in searching in said table, a record associated with such a prior connection.
  • Such a BTij record must include, as examined in the context of a connection, in this case step 226, all or part of the public identification data of said first and second electronic devices Di and Dj authorized to be put Related.
  • said sub-process 230 can be interrupted.
  • said sub-method 230 comprises a step 234, corresponding to the instant E23 or E23 'in FIG. 5, to develop a message encoding a request cancellation of linking UBR, said message comprising all or part of the identification data, such as the values of the identifiers IDi, IDj, and / or the public keys PKi and PKj, or even the digital certificates Ci and Cj associated with two electronic devices, said data being drawn or read in step 232 from the table of electronic devices DT.
  • the identification data such as the values of the identifiers IDi, IDj, and / or the public keys PKi and PKj, or even the digital certificates Ci and Cj associated with two electronic devices, said data being drawn or read in step 232 from the table of electronic devices DT.
  • Such a step 234 furthermore consists in triggering the transmission, by the communication means 23, of said message encoding a cancellation request for UBR connection cancellation, intended for the two electronic devices Di and Dj concerned by said cancellation request.
  • UBR matchmaking
  • Said sub-method 230 now comprises a step of waiting 235 for a response emanating from each of said two electronic devices, in this case an ACK message acknowledging receipt and processing of said request for canceling UBR linking.
  • each electronic device Di or Dj implements a sub-method 140, of a method for implementing a secure communication 100 as described in link with FIG. 9.
  • the latter comprises a first step 141 for receiving, via their respective communication means 13, the message encoding a request for cancellation of connection UBR sent by the server managing communications ESM, at times E23 and E23 ′ in FIG. 5 respectively for the electronic devices Di and Dj.
  • Said step 141 furthermore consists in decoding such a message encoding a request to cancel setting UBR relationship to collect all or part of the public identification data IDi, IDj, Ci, PKi, Cj and / or PKj, of the first and second electronic devices Di, Dj.
  • the two electronic devices Di and Dj can each verify that said UBR message received is intended for them and know certain identification data of a future ex-communication partner.
  • the two electronic devices Di and Dj at respective times E24 and E24 'in FIG. 5, implement a subsequent step 142 of said sub-process 140, to delete in their data memories 12 and / or 32, all or part of the identification data of said electronic device formerly partner.
  • step 142 consists, for the first electronic device Di, in erasing, for example, the respective values of the identifier IDj and of the public key PKj specific to the second electronic device Dj. These values can be immediately deduced from the content of the message encoding the UBR connection cancellation request transmitted from the ESM communications management server or deduced from the electronic certificate Cj, if this is conveyed by said message instead. said identifier IDj and public key PKj.
  • step 142 of the sub-process implemented by the processing unit of the second electronic device Dj consists in erasing, for example, the respective values of the identifier IDi and of the public key PKi specific to the first electronic device Dj.
  • the invention further provides that said step 142 implemented by said two electronic devices Di and Dj consists in erasing the secret and shared key value SKij between said two electronic devices.
  • the sub-method 140 implemented by the two electronic devices Di and Dj can also include, as soon as the value of said secret key SKij is deleted, a step 143 for producing an ACK message acknowledging receipt and processing of the cancellation request.
  • the sub-method 230 of the method 200 can receive, via the communication means 23, and decoding two ACK messages, acknowledging receipt and processing of the UBR connection cancellation request, respectively by said two electronic devices Di and Dj concerned by said UBR connection cancellation request.
  • Said method 200, more precisely sub-method 230, described by way of example in FIG. 10A, may include a step 236, corresponding to the instant E26 in FIG. 5, in order to delete the recording BTij in the table of links BT, so that said first and second electronic devices Di and Dj are no longer authorized to be connected.
  • Such deletion of said BTij record is advantageously implemented by the ESM communications management server, if and only if (situation symbolized by the link 235y in FIG. 10A) said two messages acknowledging receipt and processing by said two electronic devices Di and Dj of said first message encoding the cancellation request for linking UBR have been received beforehand and decoded in step 235, at times E25, E25 '.
  • said first and second devices Di and Dj are no longer "partners" or linked, and can no longer, as soon as the value of the key SKij, or even the identification data of the ex partner, is deleted, either at the first instant between instants E24 and E24 ', undertake secure exchanges, via one or more iterations of steps 131 and 132 to receive, via the communication means 13, and decode a message of data and / or of actions, emanating from the ex-partner electronic device.
  • said first and second devices Di and Dj can no longer undertake secure exchanges, via one or more iterations of steps 135 and 136 to develop, encode and then transmit, via the communication means 13, such a data message and / or actions, intended for said ex-partner electronic device.
  • such a security server DSM or more generally a third-party electronic object acting as manager of the security of electronic devices and cooperating with said communication manager server ESM, can send at the instant E21, a setpoint message.
  • UB in cancellation of linking of the first and second electronic devices Di and Dj.
  • Such a set-point message UB advantageously includes public identification data, such as the values of the identifiers IDi and IDj of the two electronic devices Di and Dj which it is desired to put an end to any relationship or partnership according to the invention.
  • Step 232 for reading, from the table of devices DT, DTi, DTj, public identification data of two electronic devices, corresponding to E22 and E22 'in FIG. 5, of a method for administering a secure two-way communication according to the invention, as illustrated in FIG. 10A, can then be adapted to search the records DTi and DTj, comprising the respective values of said identification data conveyed in the setpoint message UB received in one step 231.
  • the subsequent steps 233 to 236, as detailed above, remain unchanged.
  • the invention simply provides for being able to adapt a method 200 by adding a step 237, subsequent to step 236, to delete a record BTij in the table of links BT, so that said step 237 consists in:
  • step 237 is symbolized by the instant E27 in FIG. 5.
  • an ESM communications management server can, possibly under the instruction of a third-party object, such as a DSM security server, initiate or cancel a setting. in relation between two electronic devices belonging to a plurality.
  • a third-party object such as a DSM security server
  • a second process for authorizing a secure connection between two electronic devices illustrated in FIG. 4 and a third process for canceling such an authorization described in connection with FIG. 5, FIG. 6, in conjunction with FIGS. 9 and 10B makes it possible to illustrate a fourth functionality or process that an ESM communications management server in accordance with the invention can also provide.
  • one of said electronic devices may require, for example, a maintenance or calibration operation, during which it is desirable to temporarily suspend any new attempt to connect, or even any secure communication currently authorized.
  • a fourth process mainly consists of two sub- methods referenced 150 and 240, respectively in FIGS. 9 and 10B, and implemented by the electronic devices Di and Dj and by the server managing the communications ESM.
  • Such a fourth process is mainly operated by an ESM communications management server in accordance with the invention, such as that described in connection with FIG. 2.
  • the latter thus implements a sub-process 240 aiming to suspend or block the operation an electronic device that has been the subject beforehand of an enrollment process, in this case the electronic device Di.
  • the preferred but nonlimiting example of such a sub-method 240 comprises a step 242, and corresponds to instant E32 in FIG. 5, for reading identification data IDi, PKi, or Ci from the electronic device Di in the DT electronic devices table. More specifically, such a step 242 includes a reading of the content of the recording DTi associated with said electronic device Di and initialized by the implementation of the sub-process 210 mentioned previously in connection with a first enrollment process according to the invention .
  • the sub-method 240 comprises a step 244, corresponding to the instant E33 in FIG. 6, to develop a message encoding a request for blocking an electronic device BKR, said message comprising all or part of the public identification data, such as the values of the identifier IDi and / or of the public key PKi, or even the digital certificate Ci associated with the electronic device Di, and a blocking code BC, said data being drawn or read in step 242 in the table of electronic devices DT.
  • Such a step 244 also consists in triggering the transmission, by the communication means 23, of said message encoding a blocking request from an electronic device BKR, intended for the electronic device Di concerned by said blocking request BKR.
  • Said sub-method 240 now includes a step 245 of waiting for a response from said electronic device Di, in this case an ACK message acknowledging receipt and processing of said blocking request BKR.
  • the electronic device Di or more precisely its own processing unit 11 and / or 31, implements a sub-method 150, of a method for implementing a secure communication 100, as described in link with FIG. 9.
  • the latter comprises a first step 151 for receiving, via the communication means 13, the message encoding a blocking request from an electronic device BKR sent by the communications management server ESM, at an instant E33 in FIG. 5, for the electronic device Di.
  • Said step 151 also consists in decoding such a message encoding a blocking request from an electronic device BKR to collect all or part of the identification data IDi, PKi and / or Ci of the electronic device Di.
  • the electronic device Di can verify that said received BKR message is intended for it.
  • the electronic device Di implements a subsequent step 152 of said sub-process 150, to compare the value or content of the blocking code BC drawn from said message with that memorized by said electronic device Di during the processing 110 of the last request for enrollment of the latter (in step 114 in particular).
  • step 152 consists in writing into the data memory 12 and / or 32, information, symbolized by a prohibition sign in FIG. 9, acting like a semaphore exploited by the processing unit 11 and / or 31 to in particular prevent any communication with a peer.
  • the sub-process 150 implemented by the electronic device Di, can also include, as soon as the signaling data is entered, a step 153 for develop an ACK message acknowledging receipt and processing of the blocking request BKR intended for the server managing the secure bilateral communications ESM.
  • the method 200 implemented by the manager server ESM, then waiting at step 245 can receive, via the communication means 23, and decode the message ACK acknowledging receipt and processing of the request for BKR blocking by said electronic device Di concerned by said BKR blocking request.
  • Said method 200 more precisely the sub-method 240 described by way of example in FIG. 10B, may include a step 246, corresponding to the instant E36 in FIG.
  • said DTi record includes the data describing an enrollment status Si of said electronic device Di, said enrollment status taking as a predetermined value characterizing the status “blocked device” or more generally a value other than the associated predetermined value to a “valid device”, that is to say having perfectly followed an initial enrollment process and not being affected by a blocking procedure.
  • Such an update of the registration DTi is advantageously implemented by the server managing communications ESM, if and only if, situation symbolized by the link 245y in FIG. 10B, the message acknowledging receipt and processing by said electronic devices Di of said message encoding the blocking request BKR has been received beforehand and decoded in step 245, at time E35 in FIG. 6.
  • the steps of sub-process 130, implemented by said electronic device Di are arranged to exploit said signaling data hectic during the implementation of step 152, so as not to undertake secure exchanges, beyond time E34, by means of one or more iterations of steps 131 and 132 to receive, via the communication means 13, and decode a message of data and / or actions, emanating from a partner electronic device.
  • the electronic device Di can no longer undertake secure exchanges, via one or more iterations of steps 135 and 136, beyond said instant E34, to develop, encode and then transmit, via the communication means 13, such a message of data and / or actions, intended for a second partner electronic device.
  • the invention provides for adapting a method 200 for administering secure communication, implemented by a server managing communications ESM, so that step 224 thereof to develop a message encoding a request for connection BR between a first electronic device Di and a second electronic device Dj can only be carried out if (situation symbolized by the link 223y in FIG. 10A) the two enrollment statuses Si and Sj associated with the two electronic devices Di and Dj describe a "valid device" status, that is, not subject to an incomplete enrollment process or a blocking process. Such a test of the value of each status Si, Sj is symbolized by step 223 in FIG. 10A.
  • a BKR request can be on the initiative of said ESM communications management server or else result from an instruction coming from a third party, in this case in FIG. 6 of a security server for DSM electronic devices.
  • a DSM security server or more generally a third-party electronic object acting as a manager of the security of electronic devices and cooperating with said ESM communications manager server, can send at time E31 in FIG. 6, a BK setpoint message blocking an electronic device Di.
  • a setpoint message BK advantageously includes public identification data, such as the values of the identifier IDi of the electronic device Di, the operation of which as a communicating node in a network administered according to the invention must be suspended.
  • Step 242 for reading from the table of devices DT identification data of the electronic device, corresponding to instant E32 in FIG. 6, of a method for administering a secure two-way communication according to the invention, as illustrated by FIG. 10B, can then be adapted to search for the DTi record comprising the respective values of said data identification carried in the setpoint message BK received in a step 241.
  • the subsequent steps 243 to 246, as detailed above, remain unchanged.
  • the invention simply provides for being able to adapt a method 200 by adding a step 247, subsequent to step 246, to update the registration DTi in the table of devices DT, so that said step 247 consists in:
  • step 247 is symbolized by the instant E37 in FIG. 6.
  • an ESM communications management server does not unnecessarily transmit a blocking request to an electronic device which is already temporarily suspended.
  • said sub-method 240 may include an optional step 243 aimed at ensuring such a prior fact.
  • Said step 243 thus consists in reading the table of the DT devices and in searching in said table, a DTi record associated with the electronic device concerned by a possible blocking request and, if so, in reading the value of the field Si characterizing the status for enrolling said electronic device Di.
  • Such a DTi record must include all or part identification data of said electronic device Di.
  • said sub-process 240 may stop. In the opposite situation, symbolized by the link 243y in FIG. 10B, said sub-method 240 can trigger the implementation of step 244 of drawing up a request for blocking an electronic device, as mentioned above. .
  • the latter provides that the blocking or the suspension of operation of an electronic device can be canceled by the implementation of a fifth process aimed at unlocking or lifting the suspension of such an electronic device.
  • Such a fifth process is illustrated in FIG. 7, in connection with FIGS. 9 and 10B.
  • Said process aims to cancel the effects of processing a blocking request BKR studied previously in connection with FIG. 6 and the electronic device Di.
  • an electronic device Di was the subject of a first enrollment process, then possibly of a second process of putting in contact with a second electronic device Dj, respectively according to FIGS. 3 and 4.
  • said electronic device Di has recently made the object of a blocking process, illustrated in FIG. 6, and that it therefore remains in an operating state that does not allow it to be linked with a second electrical device such as the electronic device Dj, or to exchange with such a second electronic device Dj, via secure bilateral communication within the meaning of the invention.
  • Such a fifth process mainly consists of two sub-processes referenced 160 and 250, respectively in FIGS. 9 and 10B, and implemented by the electronic device Di and by the server managing communications ESM.
  • Such a fifth process is mainly operated by an ESM communications management server in accordance with the invention, such as that described in connection with FIG. 2.
  • the latter thus implements a sub-method 250 aiming to rehabilitate, restore or unblock the operation of an electronic device which has previously been the subject of an enrollment process, in this case the electronic device Di.
  • the preferred but nonlimiting example of such a sub-method 250 comprises a step 252, corresponding to time E42 in FIG. 7, for reading identification data IDi, PKi, or Ci from the electronic device Di in the table DT electronic devices. More specifically, such a step 252 includes a reading of the content of the recording DTi associated with said electronic device Di and initialized by the implementation of the sub-method 210 mentioned previously in connection with a first enrollment process in accordance with the invention .
  • the sub-method 250 comprises a step 254, corresponding to the instant E43 in FIG. 7, for develop a message encoding a request to unlock an electronic device UBKR, said message comprising all or part of the public identification data, such as the values of the identifier IDi and / or of the public key PKi, or even the digital certificate Ci associated with the electronic device Di, and an unblocking code UBC, said data being drawn or read in step 252 in the table of electronic devices DT.
  • the public identification data such as the values of the identifier IDi and / or of the public key PKi, or even the digital certificate Ci associated with the electronic device Di
  • UBC unblocking code
  • Such a step 254 also consists in triggering the transmission, by the communication means 23, of said message encoding a request for unlocking an electronic device UBKR, intended for the electronic device Di concerned by said unlocking request BKR.
  • Said sub-method 250 now includes a step 255 of waiting for a response from said electronic device Di, in this case an ACK message acknowledging receipt and processing of said unblocking request UBKR.
  • the electronic device Di or more precisely its own processing unit 11 and / or 31, implements a sub-method 160 of a method for implementing secure communication 100, as described in connection with FIG. 9.
  • the latter comprises a first step 161 to receive, via its communication means 13, the message encoding a request for unlocking an electronic device UBKR sent by the server managing communications ESM, at an instant E43 in FIG. 6 , for the electronic device Di.
  • Said step 161 also consists in decoding such a message encoding a request to unlock an electronic device UBKR to collect all or part of the data identification IDi, PKi and / or Ci of the electronic device Di.
  • the electronic device Di can verify that said received UBKR message is indeed intended for it.
  • the electronic device Di implements a subsequent step 162 of said sub-method 160, to compare the value or content of the unblocking code UBC drawn from said message with that memorized by said electronic device Di during the processing 110 of the last request for enrollment of the latter (step 114).
  • step 162 consists in erasing in the data memory 12 and / or 32, the information, symbolized by a prohibition panel in FIG. 9, acting like a semaphore operated by the unit of treatment 11 and / or 31, in particular to prevent any communication with a peer.
  • the sub-method 160 implemented by the electronic device Di can also include, as soon as the signaling data is erased, a step 163 for developing an ACK message acknowledging receipt and processing of the unblocking request UBKR intended for the server managing the ESM secure two-way communications.
  • the method 200 implemented by the manager server ESM, then waiting at step 255 can receive, via the communication means 23, and decode the message ACK, acknowledging receipt and processing of the request UBKR unlocking by said electronic device Di concerned by said UBKR unlocking request.
  • Said method 200 more precisely the sub-method 250 described by way of example in FIG. 10B, can include a step 256, corresponding to the instant E46 in FIG.
  • said DTi record includes the data describing an enrollment status Si of said electronic device Di, said enrollment status taking as a predetermined value characterizing the status "valid device”, or more generally a value other than the value predetermined associated with a “blocked device”, that is to say having perfectly followed a first enrollment process and not being, in this case any more, concerned by a blocking procedure.
  • Such an update of the registration DTi is advantageously implemented by the server managing the communications ESM, if and only if, situation symbolized by the link 255y in FIG. 10B, the message ACK acknowledging receipt and processing by said electronic devices Di of said message encoding the unblocking request UBKR has been received beforehand and decoded in step 255, at time E55.
  • Communications with one or more partner electronic devices resume, such as secure bilateral communication SCij with the electronic device Dj, by implementing the steps of sub-process 130, implemented by said electronic device Di, as soon as the data semaphore was eventful or erased during the implementation of step 162, that is to say from the moment E44 in FIG. 7.
  • a process for unlocking a first electronic device Di also allows any new request for bringing said first electronic device Di into contact with a second electronic device from the moment E46, ie from the update 256 of the status Si in the table of DT electronic devices.
  • the invention provides for adapting a method 200, for administering a secure communication implemented by a server managing ESM communications, so that step 224 for developing a message encoding a request putting BR into contact between a first electronic device Di and a second electronic device Dj can only be carried out if (situation symbolized by the link 223y in FIG. 10A) the two enrollment statuses Si and Sj associated with the two electronic devices Di and Dj describe a "valid device" status, that is to say not subject to an incomplete enrollment process or a blocking process.
  • a request for unlocking an electronic device UBKR initiated by a server managing communications ESM in accordance with the invention.
  • a UBKR request may, as a variant or in addition, result from an instruction coming from a third party, in this case in FIG. 7 from a security server for DSM electronic devices.
  • a security server for DSM electronic devices for this, such a DSM security server, or more generally a third-party electronic object acting as a manager of the security of electronic devices and cooperating with said ESM communications manager server, can send at time E41 in FIG. 7, a UBK setpoint message for unlocking an electronic device Di.
  • Such a UBK instruction message advantageously includes identification data, such as the values of the identifier IDi of the electronic device Di whose operation as a communicating node in a network administered according to the invention should no longer be suspended.
  • Step 252 for reading from the table of devices DT identification data of the electronic device, corresponding to time E42 in FIG. 7, of a method 200 for administering a secure two-way communication according to the invention, such as illustrated by FIG. 10B can then be adapted to search for the recording DTi comprising the respective values of said identification data conveyed in the setpoint message UBK received in a step 251.
  • the subsequent steps 253 to 256 as detailed previously, remain unchanged.
  • the invention simply provides for being able to adapt a method 200 by adding a step 257, subsequent to step 256, to update the registration DTi in the table of devices DT, so that said step 257 consists in:
  • an ESM communications management server does not unnecessarily transmit an unblocking request to an electronic device not affected by a temporary suspension within the meaning of the fourth process.
  • said sub-method 250 may include an optional step 253 aimed at ensuring this prior fact. Said step 253 thus consists in reading the table of the DT devices and in searching in said table, a DTi record associated with the electronic device concerned by a possible unlocking request and, if so, in reading the value of the field Si characterizing the status d enrollment of said electronic device Di. Such a DTi record must include all or part of the identification data of said electronic device Di.
  • said sub-process 250 may stop. In the opposite situation, symbolized by the link 253y in FIG. 10B, said sub-method 250 can trigger the implementation of step 254 of drawing up a request for unlocking an electronic device, as mentioned above. .
  • the fourth and fifth processes according to the invention respectively aim at suspending and restoring the communication or connection capacity of an electronic device, when said suspension is temporary, for example during a maintenance phase of said electronic device or for application reasons.
  • an ESM communications management server or even a DSM electronic device security server, considered that an electronic device is no longer able to act correctly in its network of communicating objects, for example if the intrinsic security or the integrity of said electronic device become disputed or suspect
  • the invention provides that such an electronic device can be definitively revoked. This will have to be removed from the network of communicating objects, reinitialized and will have to carry out a new enrollment process.
  • such a sixth process mainly consists of two sub-processes referenced 170 and 260, respectively in FIGS. 9 and 10B, and implemented by any electronic device Di or Dj and by the managing server ESM communications.
  • Such a sixth process is mainly operated by an ESM communications management server in accordance with the invention, such as that described in connection with FIG. 2.
  • the latter thus uses a sub-method 260 aimed at revoking an electronic device, that is that is to say to suspend the operation of such an electronic device which has been the subject of a first enrollment process, in this case the electronic device Di, until the latter is replaced or else switches on. is implementing a new enrollment process.
  • the preferred but nonlimiting example of such a sub-method 260 comprises a step 262, corresponding to instant E52 in FIG. 8, for reading public identification data IDi, PKi, or Ci from the electronic device Di in the device table electronic DT. More specifically, such a step 262 includes a reading of the content of the recording DTi associated with said electronic device Di and initialized by the implementation of the sub-process 210 mentioned previously in connection with a first enrollment process in accordance with the invention .
  • the sub-method 260 comprises a step 263, corresponding to the instant E53 in FIG. 8, to elaborate a message encoding a request for revocation of an electronic device KR, said message comprising all or part of the identification data, such as the values of the identifier IDi and / or of the public key PKi, or even the digital certificate Ci associated with the electronic device Di, and a revocation code KC, said data being drawn or read by step 262 in the table of electronic devices DT.
  • Such a step 263 also consists in triggering the transmission, by the communication means 23, of said message encoding a request for revocation of an electronic device KR, intended for the electronic device Di concerned by said request for revocation KR.
  • the electronic device Di implements a sub-method 170 of a method for implementing secure communication 100 as described in connection with FIG. 9
  • the latter comprises a first step 171 for receiving, via its communication means 13, the message encoding a request for revocation of an electronic device KR sent by the communications management server ESM, at an instant E53, for the electronic device Di .
  • Said step 171 also consists in decoding such a message encoding a request for revocation of an electronic device KR to collect all or part of the identification data IDi, PKi and / or Ci of the electronic device Di.
  • the electronic device Di can verify that said received BKR message is intended for it.
  • the electronic device Di implements a subsequent step 172 of said sub-method 170, to compare the value or content of the revocation code KC drawn from said message with that stored by said electronic device Di during the processing 110 of the last request for enrollment of the latter (step 114). If an equality is then verified, then said step 172 consists in erasing the data memory 12 and / or 32, including the identification data specific to the electronic device Di, rendering it inoperable, at least to activate works all communication with a peer.
  • the sub-method 170 implemented by the electronic device Di can also include, prior to step 173, a step 172 for developing an ACK message acknowledging receipt and processing of the revocation request KR intended for the server managing bilateral communications ESM secure.
  • the method 200 implemented by the manager server ESM, more precisely the sub-method 260 described by way of example in FIG. 10B, can include a step 264 to delete the recording DTi in the table of DT devices as well as possibly and advantageously, in a step 265, delete any record BTij in the table of links, associated with linking said electronic device Di with a third party.
  • Such an update of the DT and / or BT tables can be advantageously implemented by the ESM communications manager server, if and only if, situation not shown in FIG. 10B, an ACK message acknowledging receipt and processing by said electronic devices Di of said message encoding the request for revocation KR has been received beforehand.
  • a request for revocation of an electronic device KR initiated by a server managing communications ESM in accordance with the invention.
  • a request KR may be on the initiative of said server managing communications ESM or else result from an instruction coming from a third party, in this case in FIG. 8 of a security server for electronic devices DSM.
  • a DSM security server or more generally a third-party electronic object acting as a manager of the security of electronic devices and cooperating with said ESM communications manager server, can send at the instant E51, a setpoint message.
  • K of revocation of an electronic device Di Such a setpoint message K advantageously includes identification data, such as the values of the identifier IDi of the electronic device Di, the operation of which as a communicating node in a network administered according to the invention must be irretrievably suspended.
  • Step 262 for reading from the table of the DT devices identification data of the electronic device, corresponding to the instant E52 in FIG. 8, of a method 200 for administering a two-way communication secure according to the invention, as illustrated in FIG. 10B, can then be adapted to search for the recording DTi comprising the respective values of said public identification data conveyed in the deposit message K received in a step 261.
  • the steps 263 to 265, as detailed above, remain unchanged.
  • the invention simply provides for being able to adapt a method 200 by adding a step 266, subsequent to steps 264 and / or 265, so that said step 267 consists in:

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procédé de communication sécurisée entre deux dispositifs électroniques, procédé pour administrer une telle communication, objets électroniques mettant en œuvre respectivement lesdits procédés et système associé L'invention concerne un premier procédé (200) pour administrer une communication sécurisée (SCij) entre deux dispositifs électroniques (Di, Dj), ledit premier procédé (200) étant mis en œuvre par un serveur gestionnaire des communications bilatérales (ESM) entre une pluralité de dispositifs (D1, Di, Dj, Dn) susceptibles d'échanger des messages de données et/ou d'actions. L'invention concerne en outre un deuxième procédé (100) pour mettre en œuvre une telle communication bilatérale sécurisée (SCij) par chacun des deux dispositifs électroniques (Di, Dj) autorisés à établir une communication bilatérale sécurisée. Un tel deuxième procédé (100) est mis en œuvre par chaque dispositif électronique (Di) communiquant avec l'un (Dj) de ses pairs, avantageusement au travers d'un réseau de communication sans fil (N).

Description

Procédé de communication sécurisée entre deux dispositifs électroniques, procédé pour administrer une telle communication, objets électroniques mettant en œuvre respectivement lesdits procédés et système associé
1/ invention concerne un premier procédé pour administrer une communication sécurisée entre deux dispositifs électroniques, ledit premier procédé étant mis en œuvre par un serveur gestionnaire de communications bilatérales entre une pluralité de dispositifs susceptibles d'échanger des messages de données et/ou d' actions .
L' invention concerne en outre un deuxième procédé pour mettre en œuvre une telle communication bilatérale sécurisée par chacun des deux dispositifs électroniques autorisés à établir une communication bilatérale sécurisée. Un tel deuxième procédé est mis en œuvre par une unité de traitement de chaque dispositif électronique communiquant avec l'un de ses pairs, avantageusement, mais de manière non limitative, au travers d'un réseau de communication sans fil.
L' invention concerne en outre troisième procédé pour adapter un tel dispositif électronique, consistant à lui associer éventuellement un module électronique afin que ledit dispositif électronique délègue, audit module de sécurité, tout ou partie des opérations nécessaires à la mise en œuvre d'une telle communication bilatérale sécurisée. Un tel module de sécurité peut consister en une entité physiquement distincte du dispositif électronique auquel il est associé, lesdites entités coopérant par toute liaison filaire ou sans fil ou bien, en un ensemble d'extensions logicielles et/ou matérielles de ressources d'enregistrement et/ou de ressources calculatoires d'ores et déjà intégrées dans ledit dispositif électronique ainsi adapté .
L' invention concerne également un système comportant une pluralité de dispositifs électroniques, voire une pluralité de modules de sécurité respectivement associés à tout ou partie desdits dispositifs électroniques, mettant en œuvre un tel deuxième procédé afin d'assurer une communication bilatérale sécurisée et au moins un serveur gestionnaire de telles communications bilatérales sécurisées entre dispositifs électroniques.
A titre d'exemple d'application préféré mais non limitatif, l'invention sera décrite au travers d'un exemple d'application relatif à la collecte de grandeurs physiques, telles que, par exemple, une température, un taux d'humidité, une intensité lumineuse, une fréquence de vibration, un choc, etc., en lien avec un environnement interne et/ou un environnement externe d'un lieu de vie, tel qu'une maison dotée d'un système assurant un service de domotique pilotant des actionneurs à commandes électroniques, comme par exemple un moteur d'un volet roulant, un groupe de chauffage et/ou compresseur d'une climatisation. L'invention pourra toutefois s'appliquer à tout autre domaine d'application, comme, selon un exemple non limitatif, le domaine de l'automobile ou plus généralement du transport de personnes ou de marchandises, pour lequel différents organes électroniques d'un véhicule sont mis en relation pour délivrer un service d'assistance au conducteur dudit véhicule.
Il existe d'ores et déjà différentes solutions pour mettre en œuvre une communication sécurisée entre deux dispositifs électroniques. Toutefois, celles-ci présentent des inconvénients et/ou des limitations.
Selon un premier exemple de solution, ladite solution étant connue sous la terminologie de « chiffrement/déchiffrement asymétrique », un identificateur unique IDi et une paire, ou un couple, de clés SKi et PKi, respectivement secrète et privée sont dédiés à tout premier dispositif électronique Di apte à échanger avec un deuxième dispositif électronique Dj , ledit premier dispositif électronique étant le ième dispositif électronique dans un écosystème comportant une pluralité de n dispositifs électroniques, tel que i est un entier strictement supérieur à 1. Ledit deuxième dispositif électronique Dj comporte lui aussi un identificateur unique IDj et une paire de clés SKj et PKj , respectivement secrète ou privée.
Il suffit alors qu'un premier dispositif électronique Di publie sa clé publique PKi au sein de l'écosystème pour pouvoir, par exemple, signer un message destiné à tout autre deuxième dispositif électronique Dj à l'aide de sa clé privée SKi. Un tel deuxième dispositif électronique Dj réceptionnant un tel message signé, si ce dernier connait la clé publique PKi du premier dispositif électronique Di émetteur dudit message signé, peut alors vérifier la signature dudit premier dispositif électronique Di à l'aide de la valeur de ladite clé publique PKi, et ainsi s'assurer que ledit premier dispositif électronique Di est bien l'éditeur dudit message.
En outre, si ledit premier dispositif électronique Di connaît, réciproquement, la clé publique PKj d'un deuxième dispositif électronique Dj , il peut adresser un message que seul se dernier pourra décoder, ledit message étant éventuellement signé comme évoqué précédemment. Pour cela, ledit premier dispositif électronique Di peut chiffrer le contenu dudit message en exploitant la valeur de ladite clé publique PKj . Ledit deuxième dispositif électronique Dj , destinataire dudit message chiffré par le premier dispositif électronique Di, pourra seul déchiffrer ledit message à l'aide de la valeur de sa clé secrète SKj connue de lui-seul.
Bien que permettant de prévenir la lecture de certains messages par des dispositifs non destinataires, une telle première solution présente différents inconvénients.
Tout d'abord, la transmission ou la diffusion des clés publiques, telle que les clés PKi et PKj précédemment citées, n'est pas sécurisée ou restreinte à certains dispositifs électroniques, lesdites clés publiques étant publiées à tout dispositif électronique en capacité d'écoute. Dans certains cas, lesdites clés peuvent même être retransmises à des dispositifs électroniques tiers. Ainsi, un tiers malveillant peut se positionner entre un premier dispositif électronique Di émetteur de sa clé publique PKi et les dispositifs électroniques DI à Dn qui sont supposés être les seuls à connaître la valeur de ladite clé publique PKi, et diffuser de fausses clés publiques à ces derniers. Ledit tiers malveillant peut ainsi intercepter des communications, en usurpant l'identité du premier dispositif électronique Di diffuseur de sa clé publique PKi, créant ainsi une attaque connue de l'homme du métier, spécialiste en cryptographie, sous le terme « d'homme du milieu ». Pour résoudre cet inconvénient, une deuxième solution connue consiste à transmettre la valeur de ladite clé publique PKi et l'identificateur unique IDi d'un premier dispositif électronique Di à un ou plusieurs deuxièmes dispositifs électroniques Dj , sous la forme d'un certificat électronique établi par un tiers de confiance, en l'espèce un serveur gestionnaire ou plus généralement une autorité de certification réputée fiable et sûre. De tels certificats peuvent être stockés sur un ou plusieurs serveurs de clés. Ainsi, contrairement à la première solution, lorsqu'un premier dispositif électronique Di souhaite communiquer la valeur de sa clé publique PKi à un ou plusieurs deuxième dispositifs électroniques Dj , ledit premier dispositif électronique Di s'adresse, dans un premier temps, à l'autorité de certification en lui communiquant son identificateur unique IDi et la valeur de sa clé publique PKi. Ladite autorité de certification peut comporter elle aussi une clé secrète SKac et une clé publique PKac. Ledit message transmis par le premier dispositif électronique Di peut donc être chiffré par ce dernier à l'aide de la valeur de ladite clé publique PKac, de ladite autorité ou bien simplement signé pour en vérifier l'intégrité. Cette dernière peut ainsi, selon le mode de réalisation précédemment évoqué, déchiffrer le message, à l'aide de la valeur de sa propre clé secrète SKac, et connaître les valeurs IDi et PKi transmises par ledit premier dispositif électronique Di. L'autorité de certification encode celles-ci sous la forme d'un certificat électronique signé et transmet ce dernier à tout deuxième dispositif électronique Dj qui en ferait la demande, voire publie à tous deuxièmes dispositifs électroniques Dj qui lui sont connectés. En variante, ledit premier dispositif électronique Di peut lui-même si celui- ci le connaît, transmettre à un deuxième dispositif électronique Dj ledit certificat, en lieu et place de l'autorité de certification.
Cette deuxième solution répond à l'attaque de l'homme du milieu. Toutefois, tout deuxième dispositif électronique Dj ayant eu connaissance, quel qu'en soit le moment, du certificat encodant des données d'indentification IDi et PKi notamment d'un premier dispositif électronique Di, peut établir une communication avec ce dernier. En outre, la bande passante nécessaire à la transmission desdits certificats est conséquente et peut être pénalisante pour certaines applications, notamment si les moyens de communication des différents acteurs qui échangent un grand nombre d' informations ont des ressources limitées. Par ailleurs, les dispositifs électroniques échangeant des messages de données et/ou d' actions en exploitant le principe du chiffrement/déchiffrement asymétrique, une fois en connaissance des données d'identification des pairs, grèvent encore ladite bande passante au sein du réseau de communication .
Une troisième solution consiste à alléger ladite bande passante en permettant à des premier et deuxième dispositifs électroniques Di et Dj de communiquer entre eux selon un procédé de chiffrement/déchiffrement symétrique, à l'issue d'un procédé d'échange de certificats tel qu'évoqué précédemment. Un tel procédé de chiffrement/déchiffrement symétrique se substitue au procédé de chiffrement/déchiffrement asymétrique utilisant directement les clés publique et secrète PKi, SKi, ou encore PKj , SKj pour chiffrer et déchiffrer les messages échangés entre des premier et deuxième dispositifs électroniques Di et Dj . Pour cela, selon ladite troisième technique connue sous l'appellation Diffie-Hellman, résultant de l'association des patronymes de ses créateurs, il est possible, sans échanger directement entre les deux dispositifs électroniques partenaires Di et Dj , une clé secrète SKij commune, d'élaborer, par chacun desdits premier et deuxième dispositifs électroniques Di et Dj , une telle clé secrète SKij commune, de sorte que la valeur de ladite clé secrète et partagée SKij soit calculée par le premier dispositif électronique Di, à partir des valeurs de sa clé secrète SKi et de la clé publique PKj du deuxième dispositif électronique et que ladite valeur de ladite clé partagée SKij soit calculée par ledit deuxième dispositif électronique Dj , à partir des valeurs de sa clé secrète SKj et de la clé publique PKi dudit premier dispositif électronique Di.
Les premier et deuxième dispositifs électroniques Di et Dj peuvent ainsi échanger des messages chiffrés selon une technique conventionnelle connue sous la terminologie de chiffrement/déchiffrement symétrique préservant davantage la bande passante nécessaire à l'échange de messages confidentiels. Tout message peut ainsi être chiffré et déchiffré par lesdits dispositifs électroniques Di et Dj à l'aide de cette clé secrète SKij élaborée par lesdits deux dispositifs électroniques.
Quelle que soit la solution retenue parmi les trois solutions précédemment évoquées, aucune d'entre elles ne permet toutefois d'autoriser une première communication sécurisée entre un premier dispositif électronique Di et un deuxième dispositif électronique Dj et de concomitamment, interdire une deuxième communication sécurisée entre ledit premier dispositif électronique Di et un troisième dispositif électronique Dk, alors que ledit troisième dispositif électronique Dk a pu recueillir et lire préalablement un certificat encodant les données d'identification, telles que l'identificateur IDi et la clé publique PKi, dudit premier dispositif électronique Di .
En effet, ledit troisième dispositif électronique Dk, peut s'adresser audit premier dispositif électronique Di et instaurer une communication sécurisée, telle qu'évoquée précédemment .
En conséquence et en conclusion, une telle politique de sécurité, quand bien même celle-ci exploite la notion de certificats émis par une autorité de certification, se révèle également insuffisante ou limitée. Par exemple, ladite politique se trouve par exemple mise à mal, si un premier dispositif électronique Di est d'une part, « rattaché » à une première autorité de certification pilotant un premier écosystème de dispositifs électroniques, et d'autre part, à une deuxième autorité de certification pilotant un deuxième écosystème de dispositifs électroniques communicant. Il devient alors illusoire de prévenir ou contenir un phénomène de contagion selon lequel des dispositifs électroniques appartenant au deuxième écosystème pourront connaître des données d'identification, telles que des identificateurs et/ou clés publiques de dispositifs électroniques appartenant au premier écosystème, dès qu'un certificat encodé par l'une des deux entités de certification sera lu et décodé par l'un desdits dispositifs électroniques appartenant au deuxième écosystème. Une deuxième limitation de cette politique de sécurité, basée essentiellement sur la notion de certificats, se fait jour dès qu'un dispositif électronique, appartenant à un écosystème de dispositifs électroniques rattachés à une autorité de certification, partage en outre une communication avec une application tierce ou un dispositif électronique externe audit écosystème. Cette application ou dispositif électronique externe pourra, par le même phénomène de contagion, connaître des données d' identification, comme par exemple des identificateurs et/ou clés publiques, de dispositifs électroniques appartenant audit écosystème.
L' invention permet de répondre à tout ou partie des inconvénients soulevés par les solutions connues. En constituant un réseau de communication, de manière préférée mais non limitative sans fil, par exemple mettant en œuvre des solutions ou protocoles de communication de type Bluetooth, Wi-Fi, Lora ou tout autre forme de réseau permettant à deux entités électroniques de pouvoir interagir entre elles, l'invention permet de maîtriser l'établissement et/ou la révocation de toutes communications sécurisées bilatérales entre des dispositifs électroniques d'un écosystème. Seules lesdites communications bilatérales sécurisées qui sont préalablement administrées et autorisées, par un serveur gestionnaire des communications, ne sont possibles au sein dudit écosystème. Il devient ainsi impossible à un dispositif électronique tiers audit écosystème de pouvoir établir une communication sécurisée avec l'un des dispositifs électroniques dudit écosystème, si ladite communication n'est pas autorisée par ledit serveur gestionnaire des communications, et à fortiori avec un dispositif électronique n' appartenant pas audit écosystème .
Parmi les nombreux avantages apportés par l'invention, nous pouvons mentionner que celle-ci permet notamment :
de mettre en œuvre un protocole de confiance, c'est-à-dire un service d'échanges de messages de données et/ou d'actions entre différents objets ou dispositifs électroniques à un niveau que nous pourrions qualifier d'applicatif, c'est-à-dire sans qu'il soit nécessaire de modifier la conception de certains desdits objets électroniques et sans qu'il soit nécessaire de constituer un tiers de confiance qui aurait accès à la teneur en clair desdits messages de données et/ou d'actions ; de constituer un réseau d'objets électroniques communicants ou nœuds permettant à chacun desdits nœuds de mettre en œuvre une communication directe et privée avec un nœud pair en toute confidentialité, c'est-à-dire de constituer un réseau de confiance ;
de faciliter le déploiement d'une solution conforme à l'invention par l'intégration de modules de sécurité coopérant éventuellement et respectivement avec des dispositifs électroniques communicants d'ores et déjà mis en œuvre sur le terrain, ces derniers assurant essentiellement un rôle de passerelle, de collecte d'informations et/ou de pilotage d'actionneurs et/ou de moyens de communication avec les autres nœuds d'un réseau auquel lesdits dispositifs électroniques appartiennent, sous- traitant ainsi auxdits modules de sécurité des traitements à des fins calculatoire et/ou de conservation de secrets propres à l'invention ; de tirer le meilleur, en termes de sécurité et de performances de schémas de chiffrement/déchiffrement symétriques et asymétriques, sans pénaliser la bande passante du réseau de communication nécessaire à la mise en œuvre de communications bilatérales sécurisées et administrées entre objets électroniques, et ainsi minimiser les coûts de déploiement d'une solution conforme à l ' invention .
A cet effet, l'invention concerne tout d'abord un premier procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques parmi une pluralité. Un tel procédé est destiné à être mis en œuvre par une unité de traitement d'un serveur gestionnaire de communications bilatérales sécurisées, ledit serveur gestionnaire de communications bilatérales sécurisées comportant outre ladite unité de traitement, une mémoire de données, des moyens de communication assurant une communication le monde extérieur, ladite mémoire de données et lesdits moyens de communication coopérant avec ladite unité de traitement. La mémoire de données comporte des valeurs respectives de données d' identification publiques et de données d' identification secrètes, lesdites données d'identification secrètes et publiques étant propres audit serveur gestionnaire de communications bilatérales sécurisées. Pour administrer les communications entre les dispositifs électroniques de sorte que des paires de dispositifs électroniques puissent échanger des messages de données et/ou d'actions de manière sécurisée, l'invention prévoit que :
- la mémoire de données comporte en outre :
une première structure de données, dite « table des dispositifs », comportant des enregistrements respectivement associés à des dispositifs électroniques parmi ceux appartement à ladite pluralité de dispositifs électroniques, chaque enregistrement stockant des données d' identification publiques du dispositif électronique qui lui est associé ;
une deuxième structure de données, dite « table des liens », comprenant un enregistrement associé à toute mise en relation autorisée entre deux dispositifs électroniques associés respectivement à des enregistrements dans la table des dispositifs, ledit enregistrement de la table des liens comportant les valeurs respectives de tout ou partie des données d' identification publiques desdits deux dispositifs électroniques autorisés à être mis en relation.
En outre l'invention prévoit que ledit procédé comporte :
- une étape pour lire des données d' identification de deux dispositifs électroniques dans la table des dispositifs électroniques ; - une étape pour :
élaborer un premier message encodant une requête de mise en relation, ledit premier message comportant tout ou partie des données d' identification de deux dispositifs électroniques lues dans la table des dispositifs électroniques ;
déclencher l'émission par les moyens de communication dudit premier message encodant une requête de mise en relation, à destination des deux dispositifs électroniques concernés par ladite requête de mise en relation ;
- une étape pour recevoir, via lesdits moyens de communication, et décoder deux messages accusant réception et traitement dudit premier message par lesdits deux dispositifs électroniques concernés par ladite requête de mise en relation ;
- une étape pour créer et mettre à jour un enregistrement dans la table des liens pour que ledit enregistrement mémorise les valeurs respectives de tout ou partie des données d' identification desdits deux dispositifs électroniques ainsi autorisés à être mis en relation, si et seulement si lesdits deux messages accusant réception et traitement par lesdits deux dispositifs électroniques dudit premier message encodant la requête de mise en relation ont été bien préalablement reçus et décodés . Pour établir une communication bilatérale sécurisée entre un tel serveur gestionnaire des communications bilatérales sécurisées et un dispositif électronique avec lequel il souhaite transmettre des messages ou requêtes, un tel procédé peut comporter une étape pour produire et inscrire dans ladite mémoire de données, la valeur d'une clé secrète exploitée pour mettre en œuvre une communication bilatérale sécurisée avec ledit premier ou ledit deuxième dispositif électronique, à partir de valeurs issues desdites données d' identification secrètes du serveur gestionnaire des communications bilatérales sécurisées et de valeurs issues des données d' identification publiques dudit premier ou dudit deuxième dispositif électronique.
Pour adapter les modalités de futurs échanges sécurisés entre deux dispositifs électroniques à la fonction assurée par les deux dispositifs électroniques, voire à la nature des échanges entre ces dernier, l'invention prévoit que le premier message encodant une requête de mise en relation puisse comporter en outre une donnée décrivant une modalité de mise en œuvre d'une communication bilatérale sécurisée entre les dispositifs électroniques autorisés à être mis en relation.
Une telle mise en relation peut être initiée par un serveur gestionnaire des communications bilatérales sécurisées ou par un objet tiers. Pour cela, un tel premier procédé conforme à l'invention peut comporter une étape, préalable à l'étape pour élaborer un message encodant une requête de mise en relation de deux dispositifs électroniques, pour recevoir, via les moyens de communication, et pour décoder un message de consigne de mise en relation des deux dispositifs électroniques, ledit message de consigne étant émis par un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques coopérant avec ledit serveur gestionnaire de communications bilatérales sécurisées, et comportant des données d' identification publiques des deux dispositifs électroniques à mettre en relation, l'étape pour lire dans la table des dispositifs des données d' identifications de deux dispositifs électroniques consistant à rechercher les enregistrements comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne.
Selon ce mode de réalisation avantageux, afin que ledit serveur gestionnaire des communications bilatérales sécurisées puisse rendre compte audit objet émetteur de consigne, un tel premier procédé peut comporter une étape, postérieure à l'étape pour créer et mettre à jour un enregistrement dans la table des liens pour :
élaborer un message accusant réception et traitement, par ledit serveur gestionnaire de communications bilatérales sécurisées, de la consigne de mise en relation des deux dispositifs électroniques ;
l'émission dudit message à destination de l'objet électronique agissant en tant que gestionnaire de la sécurité des dispositifs électroniques .
Pour ne pas autoriser une relation entre des premier et deuxième dispositif communicants alors, que l'exploitation de l'un des deux peut être suspendue, l'invention prévoit que :
le ou les enregistrement, respectivement associés à des dispositifs électroniques, de la table des dispositifs puissent stocker chacun, outre des données d' identification publiques du dispositif électronique qui lui est associé, une donnée décrivant un statut d'enrôlement dudit dispositif électronique, ledit statut d'enrôlement pouvant décrire un ensemble de valeurs prédéterminées caractérisant respectivement des statuts parmi lesquels un statut « dispositif valide », un statut « dispositif bloqué » ;
l'étape pour lire des données d'identification de deux dispositifs électroniques dans la table des dispositifs électroniques puisse consister en outre en la lecture desdits statuts d'enrôlement desdits dispositifs électroniques ;
- l'étape pour élaborer un message encodant une requête de mise en relation ne soit réalisée que si lesdits deux statuts d'enrôlement desdits deux dispositifs électroniques décrivent un statut « dispositif valide ».
Une telle mise en relation peut faire l'objet d'une annulation. Pour cela, l'invention prévoit que le premier procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques puisse éventuellement être adapté de sorte qu' il comporte :
une étape pour :
élaborer un deuxième message encodant une requête d'annulation de mise en relation de deux dispositifs électroniques, ledit deuxième message comportant tout ou partie des données d' identification publiques desdits deux dispositifs électroniques préalablement lues dans la table des dispositifs électroniques ;
■ déclencher l'émission par les moyens de communication dudit deuxième message encodant une requête d'annulation de mise en relation, à destination de chacun des deux dispositifs électroniques concernés par ladite requête d'annulation de mise en relation ;
une étape pour recevoir, via lesdits moyens de communication, et décoder deux messages accusant réception et traitement dudit deuxième message encodant une requête d'annulation de mise en relation, par lesdits deux dispositifs électroniques concernés par ladite requête d'annulation de mise en relation ;
une étape pour supprimer l'enregistrement dans la table des liens, ledit enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification desdits deux dispositifs électroniques préalablement autorisés à être mis en relation, si et seulement si lesdits deux messages, accusant réception et traitement dudit deuxième message encodant la requête d'annulation de mise en relation par lesdits deux dispositifs électroniques, ont été bien préalablement reçus et décodés. Pour pouvoir suspendre la capacité d'un dispositif électronique à pourvoir communiquer avec un deuxième dispositif électronique partenaire, l'invention prévoit qu'un premier procédé pour administrer selon l'invention puise comporter :
une étape pour :
élaborer un troisième message encodant une requête de blocage d'un dispositif électronique, ledit troisième message comportant tout ou partie des données d' identification publiques dudit dispositif électronique ;
déclencher l'émission par les moyens de communication dudit troisième message encodant une requête de blocage du dispositif électronique à destination dudit dispositif électronique concerné par la présente requête de blocage ;
une étape pour recevoir, via lesdits moyens de communication, et décoder, un message accusant réception et traitement dudit troisième message par ledit dispositif électronique concerné par ladite requête de blocage ;
une étape pour mettre à jour, dans la table des dispositifs, l'enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification dudit dispositif électronique de sorte que le statut d'enrôlement, au sein dudit enregistrement, décrive la valeur prédéterminée caractérisant un statut « dispositif bloqué », si et seulement si ledit message, accusant réception et traitement dudit troisième message encodant la requête de blocage, a bien été reçu et décodé par ledit dispositif électronique.
Pour pouvoir éventuellement lever une telle suspension ou un tel blocage d'un dispositif électronique, un premier procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques selon l'invention peut comporter :
une étape pour :
élaborer un quatrième message encodant une requête de déblocage d'un dispositif électronique, ledit quatrième message comportant tout ou partie des données d' identification publiques dudit dispositif électronique ;
déclencher l'émission par les moyens de communication dudit quatrième message encodant une requête de déblocage du dispositif électronique à destination dudit dispositif électronique concerné ;
une étape pour recevoir, via lesdits moyens de communication, et pour décoder, un message accusant réception et traitement dudit quatrième message encodant une requête de déblocage par ledit dispositif électronique concerné ;
une étape pour mettre à jour, dans la table des dispositifs , l'enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification dudit dispositif électronique de sorte que le statut d'enrôlement, au sein dudit enregistrement, décrive une valeur prédéterminée caractérisant un statut « dispositif valide », si et seulement si ledit message, accusant réception et traitement dudit quatrième message encodant la requête de déblocage, a bien été reçu et décodé par ledit dispositif électronique.
Pour pouvoir éventuellement révoquer un dispositif électronique, c'est-à-dire en suspendre définitivement son exploitation, un premier procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques selon l'invention peut comporter :
une étape pour :
■ élaborer un cinquième message encodant une requête de révocation d'un dispositif électronique, ledit cinquième message comportant tout ou partie des données d' identification publiques dudit dispositif électronique ;
déclencher l'émission par les moyens de communication dudit cinquième message encodant une requête de révocation du dispositif électronique à destination dudit dispositif électronique concerné par présente requête de révocation ;
une étape pour supprimer, dans la table des dispositifs, l'enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification dudit dispositif électronique ; une étape pour supprimer tout enregistrement dans la table des liens, ledit enregistrement mémorisant les valeurs respectives de tout ou partie des données d' identification dudit dispositif électroniques.
1/ invention concerne en outre un produit programme d'ordinateur comportant des instructions de programme qui, lorsqu'elles sont exécutées ou interprétées par un ordinateur, provoquent la mise en œuvre d'un procédé pour administrer une communication bilatérale sécurisée entre deux dispositifs électroniques conforme à ladite invention .
Selon un deuxième objet, l'invention concerne un serveur gestionnaire de communications bilatérales sécurisées comportant une unité de traitement, une mémoire de données, une mémoire de programmes, des moyens de communication assurant une communication le monde extérieur, ladite mémoire de données et lesdits moyens de communication coopérant avec ladite unité de traitement, la mémoire de données comportant des valeurs respectives de données d' identification propres audit serveur gestionnaire de communications bilatérales sécurisées. Un tel serveur gestionnaire de communications bilatérales sécurisées comporte dans la mémoire de programmes, les instructions d'un produit programme d'ordinateur tel qu'exprimé précédemment.
Selon un troisième objet, l'invention concerne un système comportant une pluralité de dispositifs électroniques coopérant avec un tel serveur gestionnaire de communications bilatérales sécurisées conforme à ladite invention . Selon un quatrième objet, l'invention concerne un deuxième procédé pour mettre en œuvre une communication bilatérale sécurisée avec un deuxième dispositif électronique, ledit procédé étant destiné à être mis en œuvre par une unité de traitement d'un premier dispositif électronique, lesdits premier et deuxième dispositifs électroniques appartenant à un système conforme à 1 ' invention . Pour cela, ledit premier dispositif électronique comporte outre ladite unité de traitement, une mémoire de données, des moyens de communication assurant une communication le monde extérieur, ladite mémoire de données et lesdits moyens de communication coopérant avec ladite unité de traitement, la mémoire de données comportant des valeurs respectives de données d' identification publiques et de données d' identification secrètes, lesdites données d'identification secrètes et publiques étant propres audit premier dispositif électronique, parmi lesquelles un couple de clés, respectivement secrète et publique. Un tel deuxième procédé comporte :
une étape pour recevoir, via les moyens de communication, et pour décoder, un premier message encodant une requête de mise en relation, ledit premier message comportant tout ou partie des données d' identification publiques des premier et deuxième dispositifs électroniques et étant émis par un serveur gestionnaire de communications bilatérales sécurisées conforme à l'invention ; une étape pour inscrire dans la mémoire de données tout ou partie des données d' identification publiques du deuxième dispositif électronique et pour produire, puis inscrire dans ladite mémoire de données, la valeur d'une clé secrète exploitée pour mettre en œuvre une communication bilatérale sécurisée avec ledit deuxième dispositif électronique, à partir de valeurs issues desdites données d' identification secrètes du premier dispositif électronique et de valeurs issues desdites données d' identification publiques du deuxième dispositif électronique ;
une étape pour élaborer un message accusant réception et traitement de la requête de mise en relation à destination du serveur gestionnaire de communications bilatérales sécurisées ;
une étape pour recevoir, via les moyens de communication, et décoder, ou pour élaborer, encoder puis émettre via lesdits moyens de communication, un message de données et/ou d'action, la teneur dudit message étant chiffrée à l'aide de la valeur de ladite clé secrète, exploitée pour mettre en œuvre une communication bilatérale sécurisée, préalablement produite par ledit premier dispositif électronique.
Pour établir une communication bilatérale sécurisée entre un tel dispositif électronique et le serveur gestionnaire des communications bilatérales sécurisées avec lequel il souhaite transmettre des messages ou requêtes, un tel procédé peut comporter une étape pour produire et inscrire dans ladite mémoire de données, la valeur d'une clé secrète exploitée pour mettre en œuvre une communication bilatérale sécurisée avec le serveur gestionnaire des communications bilatérales sécurisées, à partir de valeurs issues de données d' identification publiques dudit serveur gestionnaire des communications bilatérales sécurisées, lesdites données d'identification publiques étant préalablement inscrites dans la mémoire de données du premier dispositif électronique, et de valeurs issues des données d' identification secrètes dudit premier dispositif électronique.
Selon un cinquième objet, l'invention concerne un deuxième produit programme d' ordinateur comportant des instructions de programme qui, lorsqu'elles sont exécutées ou interprétées par un ordinateur, provoquent la mise en œuvre par ledit ordinateur d'un deuxième procédé pour mettre en œuvre une communication bilatérale sécurisée avec l'un des dispositifs électroniques d'un système selon 1 ' invention .
Selon un sixième objet, l'invention concerne un dispositif électronique comportant une unité de traitement, une mémoire de données, une mémoire de programmes, des moyens de communication assurant une communication assurant une communication le monde extérieur, ladite mémoire de données et lesdits moyens de communication coopérant avec ladite unité de traitement, la mémoire de données comportant des valeurs respectives de données d' identification propres audit dispositif électronique, ce dernier comportant dans la mémoire de programmes, les instructions d'un deuxième produit programme d'ordinateur selon l'invention. Pour faciliter le déploiement de l'invention, celle- ci prévoit qu'un tel dispositif électronique comporte ou coopère avantageusement avec un module de sécurité, ce dernier comportant la mémoire de données et une unité de traitement agencée pour mettre en œuvre l'étape pour produire puis inscrire dans ladite mémoire de données la valeur d'une clé secrète et partagée, avec un deuxième dispositif électronique, d'un deuxième procédé selon 1 ' invention .
D'autres caractéristiques et avantages apparaîtront plus clairement à la lecture de la description qui suit, se rapportant à un exemple de réalisation donné à titre indicatif et non limitatif, et à l'examen des figures qui l'accompagnent parmi lesquelles :
- les figures IA et IB illustrent respectivement deux exemples de configurations d'un dispositif électronique adapté selon l'invention pour mettre en œuvre une communication sécurisée avec un deuxième dispositif électronique ainsi qu'avec un serveur gestionnaire de communications bilatérales sécurisées ;
- la figure 2 présente l'architecture fonctionnelle d'un serveur gestionnaire de communications bilatérales sécurisées conforme à l'invention ;
- la figure 3 décrit une procédure d'enrôlement, au sein d'un écosystème, d'un dispositif électronique adapté pour mettre en œuvre une communication bilatérale sécurisée, à l'initiative d'un serveur gestionnaire de communication bilatérales sécurisées conforme à l'invention ; - la figure 4 décrit une procédure visant à autoriser, voire à en spécifier les modalités, une communication bilatérale sécurisée entre des premier et deuxième dispositifs électroniques, ladite procédure étant déclenchée par un serveur gestionnaire de communications bilatérales sécurisées conformément à l'invention ;
- la figure 5 décrit une procédure visant à annuler l'autorisation préalable d'une communication bilatérale sécurisée entre des premier et deuxième dispositifs électroniques, ladite procédure étant déclenchée à l'initiative d'un serveur gestionnaire de communications bilatérales sécurisées conformément à l'invention ;
- les figures 6 et 7 décrivent respectivement des procédures de blocage et de réhabilitation, déclenchées par un serveur gestionnaire de communications bilatérales sécurisées, d'un premier dispositif électronique adapté pour que ce dernier puisse mettre en œuvre ou cesser une communication bilatérale sécurisée avec un deuxième dispositif électronique, conformément à l'invention ;
- la figure 8 décrit une procédure de révocation d'un dispositif électronique, annulant ainsi un processus préalable d'enrôlement de ce dernier, à l'initiative d'un serveur gestionnaire de communications bilatérales sécurisées conformément à l'invention ;
- la figure 9 présente des étapes d'un procédé pour communiquer de manière bilatérale et sécurisée, mis en œuvre par toute paire de dispositifs électroniques, adaptés pour être membres d'un écosystème comportant une pluralité de dispositifs électroniques dont les communications sont administrées par un serveur gestionnaire de communications bilatérales sécurisées selon l'invention ;
- les figures 10A et 10B présentent des étapes d'un procédé pour administrer des communications bilatérales et sécurisées au sein d'un écosystème comportant une pluralité de dispositifs électroniques, ledit procédé étant mis en œuvre par un serveur gestionnaire de telles communications selon l'invention.
Les échanges de messages au sein d'un écosystème comportant une pluralité de dispositifs électroniques peuvent être réalisés par voies radio et/ou filaires. Une telle communication entre de tels dispositifs électroniques sera décrite ci-après selon un mode de communications préféré mais non limitatif, sans fil. Pour cela, lesdits dispositifs électroniques sont agencés avantageusement pour mettre en œuvre des technologies et/ou des protocoles de communication sélectionnés parmi ceux connus sous les appellations Bluetooth, Wi-Fi, Lora, Sigfox, ou parmi toutes autres solutions sensiblement équivalentes .
Comme l'indique à titre d'exemple préféré la figure IA, un premier exemple de dispositif électronique Di comporte, généralement et principalement, une unité de traitement 11, par exemple, sous la forme d'un microcontrôleur ou d'un microprocesseur. Ladite unité de traitement 11 coopère avec une mémoire de données 12, éventuellement avec une mémoire de programmes 14, lesdites mémoires 12 et 14 constituant éventuellement deux éléments physiques distincts ou bien une seule et même entité physique. Dans ce dernier cas, une séparation d'ordre « logique » peut être mise en œuvre pour en régir des accès en lecture et surtout en écriture, éventuellement différents, pour et/ou par ladite unité de traitement 11.
Un tel dispositif électronique Di peut en outre comporter un ou plusieurs capteurs de mesure 15 d'une grandeur physique en lien avec l'environnement dudit dispositif électronique Di. Un tel capteur 15 peut mesurer de manière non exhaustive une température environnante, la présence et/ou l'absence de luminosité ambiante. En variante ou en complément, un tel exemple de dispositif électronique Di peut comporter une interface 18 de pilotage d'un actionneur Ai, tel que, par exemple, un moteur à commande numérique d'un volet roulant, une pompe, ou encore un compresseur d'un climatiseur, etc.
Un dispositif électronique Di selon la figure IA peut également comporter des premiers moyens de communication 13 coopérant avec l'unité de traitement 11 et assurant une communication de proximité ou de longue portée, préférentiellement sans fil, avec tout autre deuxième dispositif électronique Dj situé à portée de communication. Ledit dispositif électronique Di peut en outre comporter des deuxièmes moyens de communication 16 de types filaires ou sans fil. Dans ce cas, lesdits moyens de communication 13 et 16 peuvent ne constituer qu'une seule et même entité physique. Ces deuxièmes moyens de communication 16 permettent, à un tel dispositif électronique Di, de pouvoir échanger notamment avec un serveur gestionnaire de communications bilatérales sécurisées ESM, par exemple, sous la forme d'un ordinateur comportant une unité de traitement propre, sous la forme d'un ou plusieurs microprocesseurs, associée à des moyens de mémorisation intégrés audit serveur gestionnaire ESM et/ou distants de ce dernier, comme nous l'étudierons ultérieurement en liaison avec la figure 2. Une telle liaison entre un dispositif électronique Di et ledit serveur de communications bilatérales sécurisées ESM peut être réalisée au travers d'un réseau de communication N filaire ou sans fil exploitant des technologies et/ou protocoles de communications connus, tels que de manière non exhaustive, Lora, Sigfox, Wi-fi, Bluetooth, ou en variante, Internet ou Ethernet.
Pour fonctionner, notamment pour que l'unité de traitement 11 mette en œuvre un procédé de communication bilatérale sécurisé conforme à l'invention, un exemple non limitatif et préféré d'un tel procédé étant décrit ultérieurement en liaison avec le procédé 100 de la figure 9, la mémoire de programmes 14 d'un dispositif électronique Di selon la figure IA et adapté selon l'invention peut comporter des instructions d'un programme d'ordinateur PI, dont l'interprétation ou l'exécution par ladite unité de traitement 11 provoque la mise en œuvre, par le dispositif électronique Di, d'un tel procédé de communication bilatérale sécurisé conforme à l'invention, tel que le procédé 100 de la figure 9.
Un dispositif électronique Di selon la figure IA peut également comporter une source d'énergie électrique 17, par exemple sous la forme d'une ou plusieurs batteries, qui lui sont propres. Une telle source d'énergie électrique 17 peut ainsi alimenter en énergie électrique les différents organes électroniques dudit dispositif électronique Di. En variante, une telle source énergétique peut être extérieure à ce dernier. L'unité de traitement 11 d'un dispositif électronique Di selon la figure IA coopère avec lesdites mémoires 12 et/ou 14, les moyens de communication 13 et/ou 16, le ou les capteur 15, voire encore l'interface de pilotage d' actionneur 18, au moyen de bus de communication internes, représentés en figure IA par des doubles flèches en trait simple. La fourniture en énergie électrique par l'éventuelle source d'énergie électrique interne 17 est représentée par un bus en alimentation électrique symbolisé par une flèche en trait double, ledit bus étant connecté, par mesure de simplification, uniquement à l'unité de traitement 11 sur les figures IA et IB. Il est évident qu'un tel bus en alimentation électrique dessert tout organe électronique qui le nécessiterait.
La figure IB décrit un deuxième exemple de dispositif électronique Di adapté pour être conforme à l'invention. Celui-ci est très similaire à celui présenté en lien avec la figure IA. Toutefois, le dispositif électronique Di selon la figure IB comporte en outre des troisièmes moyens de communication 19 permettant à un tel dispositif électronique Di de transmettre, à un module de sécurité SMi, sous la forme par exemple d'un objet sécurisé comme une carte à puce, des données au travers d'une liaison par couplage électromagnétique ou encore une liaison sans fil dite de proximité, voire en variante, via une liaison filaire, par exemple à titre non limitatif, une liaison conforme à la norme internationale ISO-7816, afin de sous- traiter, audit module de sécurité SMi, le stockage de données secrètes ou certains calculs dont le traitement ne doit pas être corrompu. Ce type d'association est bien connue de l'homme de l'art dans le domaine des objets électroniques communicants. Un tel module de sécurité SMi est parfois désigné par l'appellation anglo-saxonne « Secure Application (or Access) Module ». Il est chargé principalement de réaliser des calculs cryptographiques et/ou de mémoriser des secrets non échangés avec le monde extérieur. Une telle association permet de ne pas modifier le fonctionnement interne de dispositifs électroniques Di ou Dj , qui seraient d'ores et déjà en service avant leur adaptation conformément à l'invention. Par la suite et par mesure de simplification, nous considérerons qu'un module de sécurité SMi constitue une extension matérielle et/ou logicielle de l'unité de traitement 11, voire des mémoires 12 et/ou 14 dudit dispositif électronique Di, à l'instar de celui décrit en lien avec la figure IA. Ainsi, à l'instar du dispositif électronique Dj présent dans les figures 2 à 8, nous ne parlerons par la suite que de dispositif électronique Di, Dj , au sens large, que celui- ci comporte un module de sécurité SMi, à l'instar du dispositif électronique Di au sein desdites figures 2 à 8, ou n'en comporte pas, comme c'est le cas du dispositif Dj décrit au sein des mêmes figures 2 à 8.
Lorsque qu'un module de sécurité SMi est associé à un dispositif électronique Di et que ledit module de sécurité SMi consiste ainsi en une entité physiquement dissociée de ce dernier, comme c'est par exemple le cas lorsque ledit module de sécurité SMi consiste en une carte à puce ou en tout autre facteur de forme adapté, ledit module SMi comporte sa propre unité de traitement 31, sous la forme d'un microcontrôleur ou d'un microprocesseur comportant des ressources matérielles et/ou logicielles particulièrement optimisées pour une mise en œuvre de traitements cryptographiques. A l'instar de l'unité de traitement 11 précédemment décrite, l'unité de traitement 31 coopère avec une mémoire de programmes 33 pour comporter des instructions d'un programme d'ordinateur P3 destiné à adapter le fonctionnement dudit module de sécurité SMi . En outre, ladite unité de traitement 31 coopère généralement avec une mémoire de données 32, dont certains accès en lecture et/ou en écriture sont particulièrement restreints depuis le monde extérieur, voire proscrits. Pour interagir avec le dispositif électronique Di selon la figure IB, le module de sécurité SMi comporte des moyens de communication 34, complémentaires aux moyens de communication 19 précédemment évoqués, pour assurer les échanges entre ledit dispositif électronique Di et le module de sécurité SMi .
Un dispositif électronique Di, selon la figure IA ou IB, comporte dans la mémoire de données 12, voire par extension dans la mémoire 32 lorsque ledit dispositif électronique Di est associé à un module de sécurité SMi, des données particulières dont certaines sont propres au dispositif électronique Di. Tout ou partie de celles-ci sont avantageusement enregistrées dans une ou plusieurs sections des mémoires de données 12 et/ou 32, lesdites mémoires étant généralement électriquement effaçables et inscriptibles , lesdites sections étant classiquement non effaçables, à l'exception d'un mode d'effacement d'urgence, pour que toute mise à jour puisse être proscrite après initialisation desdites données particulières.
Un tel accès en modification de telles sections des mémoires de données 12 et/ou 32 peut, en variante, requérir la satisfaction d'une procédure d'authentification forte. Par la suite du document et par mesure de simplification, nous considérerons la mémoire de données 12 comme englobant éventuellement la mémoire 32, si celle-ci existe, quand bien même lesdites mémoires 12 et 32 soient physiquement dissociées. Nous parlerons ainsi par extension de mémoire de données 12.
Une telle section de ladite mémoire de données 12, dont l'accès en modification est avantageusement restreint, permet de consigner notamment la valeur d'un identifiant IDi dédié à tout dispositif électronique Di. De manière préférée mais non obligatoire, un dispositif électronique Di peut en outre comporter, dans la mémoire de données 12, des valeurs respectives d'un couple de clés PKi et SKi lui permettant de mettre en œuvre un procédé de chiffrement/déchiffrement asymétrique. Ainsi, la valeur d'une première clé PKi, destinée à être rendue publique, permet par exemple de signer un message à destination d'un deuxième objet électronique. Ce dernier, si celui-ci connaît la valeur de la clé publique PKi, peut chiffrer les données d'un message confidentiel que seul le dispositif électronique Di pourra déchiffrer à l'aide de la clé SKi, dont la valeur est secrète et uniquement connue du premier dispositif électronique Di. Comme évoqué précédemment, la valeur de la clé secrète SKi, peut servir à l'élaboration, en combinaison avec la valeur d'une clé publique PKj d'un deuxième dispositif électronique Dj , d'une clé secrète et « virtuellement » partagée SKij entre les dispositifs électroniques Di et Dj , pour que ces deniers puissent mettre en œuvre une communication bilatérale sécurisée SCij par chiffrement/déchiffrement symétrique. Dans ce cas, ladite clé secrète SKij pourra être avantageusement établie selon le procédé Diffie- Helmann, par exemple. La valeur de la clé SKij peut être enregistrée dans la mémoire de données 12 ou recalculée à la volée, préalablement ou lors de chaque échange de données. Elle pourra également faire l'objet d'une diversification, par l'élaboration d'une clé temporaire ou dite de session, en exploitant la valeur d'une graine partagée entre deux dispositifs électroniques, par exemple un compteur, conformément à l'état de l'art.
Pour administrer, c'est-à-dire autoriser, mais aussi éventuellement suspendre ou récuser, une ou plusieurs communications bilatérales sécurisées entre des paires de dispositifs électroniques parmi un ensemble éventuellement dynamique de dispositifs électroniques Dl, ...Di, ... Dj , ... Dn, l'invention prévoit un serveur gestionnaire de telles communication dont un exemple d'architecture fonctionnelle est décrit par la figure 2. Ainsi, un serveur ESM gestionnaire des communications bilatérales sécurisées entre des dispositifs électroniques, que nous nommerons par la suite « serveur gestionnaire des communications » par mesure de concision, consiste, par exemple, en un ordinateur comportant sa propre unité de traitement 21. Cette dernière comporte un ou plusieurs microprocesseurs et/ou coprocesseurs arithmétiques optimisés pour effectuer notamment des calculs cryptographiques. Ladite unité de traitement 21 coopère, par exemple par un bus de données, avec une mémoire de données 22 et une mémoire de programmes 23, lesdites mémoires 22 et 23 pouvant être des entités physiquement plurielles et dissociées, ou ne constituer qu'une seule et même entité physique. Ladite mémoire de programmes 23 est agencée pour enregistrer les instructions de programme d'un programme d'ordinateur P2. Lesdites instructions de programme sont alors agencées pour provoquer, lors de leur interprétation ou exécution par ladite unité de traitement 21, la mise en œuvre d'un procédé de gestion de communications bilatérales sécurisées, tel que le procédé 200 décrit ultérieurement en lien avec les figures 10A et 10B.
Un tel serveur ESM gestionnaire des communications comporte des moyens de communication 23 lui permettant d'échanger avec des dispositifs électroniques DI à Dn conformes à la figure IA ou IB, par voie radio ou filaire au travers d'un réseau N, conformément à toute technologie connue permettant à deux objets électroniques d'échanger des messages de données et/ou d'actions. De tels moyens de communication 23 permettent au serveur gestionnaire des communications ESM d' interagir avec un deuxième serveur DSM gestionnaire de la sécurité des dispositifs électroniques, que nous nommerons par la suite « serveur de sécurité », par mesure de concision. La nature ou les architectures logicielle et/ou matérielle d'un tel deuxième serveur de sécurité DSM peuvent être proches ou similaires à celles du serveur gestionnaire des communications ESM. Un tel deuxième serveur de sécurité DSM peut, par exemple, selon l'invention, être opéré et/ou administré par un agent garant d'une politique de sécurité desdits dispositifs électroniques DI à Dn . En variante, une telle liaison N entre les serveurs ESM et DSM pourrait être mise en œuvre par des moyens de communication complémentaires et additionnels au regard des moyens de communication 23, pour assurer une liaison de type Ethernet, Internet ou toute autre forme de liaison dite de longue portée équivalente.
Nous étudierons, en lien avec les figures 3 à 8, comment se traduit notamment l'évolution du contenu de la mémoire de données 22 au gré de la gestion des enrôlements, voire des révocations, de dispositifs électroniques parmi les dispositifs électroniques DI à Dn, ainsi que durant l'établissement ou la suspension de communications bilatérales sécurisées entre de tels dispositifs électroniques DI à Dn .
Toutefois, la figure 2 présente succinctement le contenu type d'une telle mémoire de données 22. Ainsi, à l'instar de chaque dispositif électronique DI à Dn, la mémoire de données 22 d'un serveur gestionnaire des communication ESM peut comporter tout d' abord des données caractéristiques et propres audit serveur ESM. De telles données caractéristiques sont exploitées pour mettre en œuvre un procédé de chiffrement/déchiffrement asymétrique avec le monde extérieur. Ainsi, la mémoire de données 22 peut comporter les valeurs respectives d'un identificateur unique IDesm, d'une clé publique PKesm et d'une clé secrète SKesm associée à la précédente.
La figure 2 décrit en outre une mémoire de données 22 pouvant comporter une première table de données, que nous nommerons « table des dispositifs électroniques enrôlés » ou plus simplement par mesure de concision « table des dispositifs ». Cette dernière est référencée DT en figure 2 et comporte un ou plusieurs enregistrements ou structures de données DTi, DTj , DTn, respectivement associés aux dispositifs électroniques enrôlés, c'est-à-dire, en l'espèce en figure 2, aux dispositifs électroniques Di, Dj et Dn qui sont connus du serveur gestionnaire des communications ESM. Ainsi, la figure 2 décrit un premier enregistrement DTi associé au dispositif électronique Di, un deuxième enregistrement DTj associé au dispositif électronique Dj et un troisième enregistrement DTn associé au nlème dispositif électronique Dn . Selon l'exemple de la figure 2, nous pouvons constater qu'aucun enregistrement actuellement associé au dispositif électronique DI n'existe dans ladite table des dispositifs DT. Cette absence traduit le fait que le serveur gestionnaire ESM ne connaît pas, à cette heure, l'existence du dispositif électronique Dl, ou plus précisément, que ce dernier n'a pas encore fait l'objet d'une procédure d'enrôlement.
Un enregistrement, tel que l'enregistrement DTi, de ladite table des dispositifs DT peut comporter principalement, à titre d'exemples non limitatifs :
un premier champ enregistrant la valeur de l'identificateur IDi du dispositif électronique Di auquel il est associé ;
un deuxième champ enregistrant la valeur de la clé publique PKi dudit dispositif électronique Di ;
un troisième champ comportant la teneur d'un certificat Ci élaboré par le serveur se sécurité DSM, voire par le serveur gestionnaire des communications ESM, à partir desdites valeurs de l'identificateur IDi et de la clé publique PKi ; un quatrième champ encodant un statut Si en lien avec l'enrôlement et/ou l'état dudit enrôlement dudit dispositif électronique Di.
Il en est de même pour l'enregistrement DTj associé au dispositif électronique Dj qui peut englober les champs mémorisant l'identificateur IDj, la clé publique PKj , un certificat Cj encodant les deux précédentes valeurs IDj et PKj, voire un statut Sj de l'enrôlement dudit dispositif électronique Dj . De la même manière, l'enregistrement DTn associé au dispositif électronique Dn peut englober des champs mémorisant l'identificateur IDn, la clé publique PKn, un certificat Cn encodant les deux précédentes valeurs IDn et PKn, voire un statut Sn de l'enrôlement dudit dispositif électronique Dn .
La mémoire de données 22 du serveur gestionnaire des communications ESM peut comporter en outre une deuxième table, que nous nommerons « table des liens », ladite table des liens étant référencée BT dans l'exemple non limitatif de la figure 2. Une telle table BT permet de matérialiser une ou plusieurs mises en relation autorisées de deux dispositifs électroniques, en l'espèce dans le cadre de l'exemple de la figure 2, l'unique lien entre les dispositifs électroniques Di et Dj , de sorte que les dispositifs électroniques ainsi liés puissent échanger des messages d'actions et/ou de données dans le cadre d'une communication bilatérale sécurisée.
Chaque lien constitué par le serveur gestionnaire ESM est associé à un enregistrement propre dans ladite table BT. Ainsi, la mise en relation autorisée des dispositifs électroniques Di et Dj se manifeste par l'enregistrement BTij dans la table des liens BT, ledit enregistrement BTij comportant, de manière préférée mais non limitative, deux premiers champs pour mémoriser respectivement les identificateurs IDi et IDj des deux dispositifs électroniques liés, un champ supplémentaire BPij pour encoder éventuellement un type particulier de mise en relation ou, autrement dit, pour encoder une politique régissant les échanges de messages entre lesdits dispositifs électroniques (chiffrement, signature, authentification, etc.) et enfin éventuellement un champ complémentaire pour encoder un statut BSij du lien ainsi créé, ledit lien pouvant être éventuellement validé, suspendu, en-cours d'établissement, etc. Toute autre champ complémentaire pourrait être prévu dans un enregistrement BTij de la table des liens BT pour enrichir les modalités d'une mise en relation entre deux dispositifs électroniques .
L'administration et la mise en œuvre de communications bilatérales sécurisées entre différents dispositifs électroniques DI à Dn d'un système, décrit en lien avec la figure 2, seront à présent illustrées à titre non limitatif par les figures 3 à 10A et 10B.
Ainsi, la figure 9 présente successivement les différents traitements mis en œuvre par une unité de traitement 11, voire 31, d'un premier dispositif électronique, tel que le dispositif électronique Di préalablement décrit en lien avec les figures IA et IB, lorsque ladite unité de traitement 11 et/ou 31 met en œuvre un procédé 100 pour mettre en œuvre une communication bilatérale sécurisée SCij , conformément à l'invention, avec un deuxième dispositif électronique Dj . Pour cela, et préalablement à l'établissement d'une telle communication sécurisée SCij , les figures 10A et 10B décrivent quant à elles, les traitements d'un procédé 200 pour administrer une communication bilatérale sécurisée entre lesdits premier et deuxième dispositifs électroniques Di et Dj , ledit procédé 200 étant mis en œuvre par une unité de traitement 21 d'un serveur gestionnaire ESM, conforme à l'invention et tel que décrit par la figure 2.
Lesdits procédés 100 et 200, ou les traitements particuliers mis en œuvre dans le cadre desdits procédés 100 et 200, sont illustrées par les figures 3 à 8, au travers d'un exemple d'application non limitatif mettant en scène certains objets électroniques mentionnés en lien avec la figure 2, en mettant en exergue les échanges nécessaires, à différents instants référencés de EO à E57, pour administrer un réseau de dispositifs électroniques conforme à l'invention.
Lesdites figures 3 à 8 mettent ainsi plus particulièrement en situation deux dispositifs électroniques Di et Dj appartenant à une pluralité de dispositifs communicants. Par mesure de concision, seuls deux dispositifs Di et Dj sont représentés en figures 3 à 8. Ces deux dispositifs Di et Dj sont agencés respectivement à l'instar des dispositifs électroniques décrits en lien avec la figure IA pour le dispositif électronique Dj et la figure IB pour le dispositif électronique Di. Nous pouvons remarquer que, selon l'exemple illustré par les figures 3 à 8, le dispositif Di est associé à un module de sécurité SMi, contrairement au dispositif électronique Dj . Les figures 3 à 8 mettent en outre en scène un serveur ESM, gestionnaire des communications bilatérales entre dispositifs électroniques de ladite pluralité, en l'espèce éventuellement les dispositif électroniques Di et Dj précédemment mentionnés.
Enfin, lesdites figures 3 à 8 décrivent un deuxième serveur DSM, gestionnaire de la sécurité des dispositifs électroniques. Comme évoqué précédemment, la nature ou les architectures logicielle et/ou matérielle d'un tel deuxième serveur de sécurité DSM peuvent être proches ou similaires à celles du serveur gestionnaire des communications ESM. Selon l'invention, un tel deuxième serveur de sécurité DSM peut, par exemple, être opéré et/ou administré par un agent garant d'une politique de sécurité desdits dispositifs électroniques. Les figures 3 à 8 décrivent des sections des mémoires de données du serveur gestionnaire ESM ou des dispositifs électroniques Di et Dj , telles que les tables des dispositif DT ou encore la table des liens BT d'ores et déjà décrites en lien avec les figures IA, IB et/ou 2, lorsque leurs contenus sont modifiés .
La chronologie des instants d' intérêts est matérialisée, sur lesdites figures 3 à 8, par des références Ex, x étant un entier croissant compris entre 0 et 57, cerclées d'un ovale.
La figure 3 décrit une étape optionnelle et préalable à l'établissement d'une communication bilatérale sécurisée, un tel établissement étant décrit ultérieurement en lien avec la figure 4.
Selon ladite figure 3, lorsqu'un module de sécurité SMi est associée à un dispositif électronique Di, l'invention prévoit que ledit module de sécurité SMi puisse mettre en œuvre un traitement spécifique, tel que l'étape 111 d'un traitement 110 du procédé 100 décrit à titre d'exemple par la figure 9, de sorte que des données d' identification, notamment le couple de clés respectivement secrète et publique SKi et PKi, soient générées ou initialisées automatiquement par ledit module de sécurité SMi, afin qu'aucune autre entité physique ne puisse connaître la valeur de ladite clé secrète SKi. Une telle étape préliminaire 111 est destinée à être mise en œuvre une seule et unique fois, en un instant E0, lors de la première utilisation dudit module de sécurité SMi par exemple. D'une manière générale, dans la suite du présent document, nous ferons une distinction parmi lesdites données d'identification d'un dispositif électronique ou d'un serveur gestionnaire de communications bilatérales sécurisées, entre des données d'identification dites « publiques », c'est-à-dire des données qui ont vocation à être échangées ou transmises à un équipement tiers et des données d' identification dites « secrètes » ou « privées », c'est-à-dire des données uniquement connues de l'équipement concerné et qui n'ont pas vocation à être transmises à un équipement tiers. De manière avantageuse, l'invention prévoit que des données d'identification, bien que « publiques » soient préférentiellement transmises, entre deux équipements dans le cadre d'une communication bilatérales sécurisée au sens de l'invention.
Au-delà de cette étape préliminaire 111, la figure 3 illustre un processus d'enrôlement permettant à tout dispositif électronique d'être enrôlé ou connu par ledit serveur gestionnaire des communications ESM. Un tel processus d'enrôlement permet également audit dispositif enrôlé de connaître certaines données d' identification publiques du serveur gestionnaire des communications ESM, notamment l'identificateur IDesm de celui-ci, voire en outre une clé publique PKesm de ce dernier. L'inscription, dans la mémoire de données 12 et/ou 32 d'un dispositif électronique, desdites données d'identification du serveur gestionnaires des communications ESM de sorte que ledit dispositif électronique puisse interagir avec ledit serveur ESM, peut faire l'objet du traitement spécifique d'initialisation, tel que l'étape 111 d'un traitement 110 du procédé 100, ou bien d'une opération de préparation de ladite mémoire de données 12 et/ou 32 avant toute première utilisation dudit dispositif électronique. Ledit processus d'enrôlement permet en outre au serveur de sécurité DSM de connaître un dispositif électronique enrôlé par le gestionnaire des communications ESM et de produire un certificat numérique propre au dispositif électronique enrôlé, afin que ledit serveur gestionnaire des communications ESM puisse in fine transmettre à un tiers un tel certificat numérique, en lieu et place de la clé publique dudit dispositif électronique enrôlé, prévenant ainsi toute attaque de l'homme du milieu.
Au sens de l'invention, tout message échangé entre deux objets électroniques, par exemple deux dispositifs électroniques Di, Dj ou un serveur des communications ESM, voire un serveur de sécurité DSM, se traduit avantageusement par une trame de données comportant un ou plusieurs champs, au format connu sous l'acronyme anglo- saxon TLV (« Tag, Length, Value » selon une terminologie anglo-saxonne) selon lequel chaque champ comporte un marqueur (Tag) , une valeur (Value) et une longueur (Length) de cette dernière, exprimée par exemple en nombre d'octets. Chaque message peut comporter un entête, permettant à son destinataire d'en reconnaître la forme ou la signification et/ou un suffixe, pouvant exprimer un code de redondance pour en vérifier l'intégrité par exemple. Lorsqu'un message est destiné à un objet électronique destinataire en particulier, un tel message peut comporter un premier élément en la valeur d'une donnée d'identification publique dudit objet électronique destinataire, telle qu'un identificateur IDi, IDj, IDesm, par exemple. Lorsque le message est transmis en mode de diffusion, mode connu également sous le terme anglo-saxon « broadcast », c'est- à-dire transmis à tout destinataire en capacité de réceptionner ou recevoir ledit message, ce dernier ne comporte pas de données d'identification d'un destinataire en particulier. Enfin, avantageusement, tout message peut comporter ou encoder la valeur d'une donnée d'identification permettant d'identifier le géniteur et/ou l'émetteur d'un message.
L'invention prévoit en outre, lorsqu'un message comporte un suffixe exprimant un code de redondance, que ledit suffixe du message puisse ne comporter qu'une partie dudit code de redondance, par exemple les quatre premiers octets, si ledit code de redondance s'exprime sous une forme de huit octets. Le destinataire peut alors vérifier l'intégrité dudit message original en calculant, de son côté, ledit code de redondance, puis comparer le code partiel véhiculé par ledit message original avec les quatre premiers octets dudit code de redondance calculé. Si lesdits octets sont identiques, le message original est jugé intègre. Dans le cas contraire, le message original peut être ignoré. En réponse, c'est-à-dire, en guise d'accusé de réception, un message de réponse ACK peut être à son tour encodé par le destinataire dudit message original puis transmis par ledit objet destinataire, à destination cette fois-ci, de l'objet émetteur et/ou géniteur dudit message original. Ledit message ACK peut comporter par exemple, les quatre derniers octets dudit code de redondance ainsi calculé par le destinataire du message original. A réception du message ACK, l'émetteur du message original peut comparer les octets reçus avec les quatre derniers octets du code de redondance dudit message original élaboré lors de l'émission de ce dernier. Si lesdits octets sont identiques, alors l'objet émetteur dudit message original sait que l'objet destinataire de ce dernier a bien réceptionné son message original et que celui-ci fait l'objet d'un traitement. En liaison avec les figures 3, 9 et 10A, un tel premier processus d'enrôlement se traduit par les mises en œuvre respectives de procédés interdépendants, d'une part, par le dispositif électronique Di requérant un enrôlement et d'autre part, par le serveur gestionnaire des communications ESM. Ainsi, ledit dispositif électronique Di requérant un enrôlement met en œuvre un procédé de mise en œuvre d'une communication sécurisée, plus précisément un premier sous-procédé 110 d'un procédé global 100 illustré à titre d'exemple non limitatif par la figure 9. De son côté, ledit serveur gestionnaire des communications ESM déroule un procédé pour administrer une communication bilatérale sécurisée, plus précisément un sous-procédé de ce dernier visant à traiter une telle requête en enrôlement. Un tel procédé 200 est illustré, à titre d'exemple non limitatif, par la figure 10A.
Un premier processus d'enrôlement, selon l'invention, peut ainsi consister en une première phase, matérialisée par l'instant El sur ladite figure 3, selon laquelle un premier dispositif électronique Di élabore et transmet, en une étape 112 du procédé 100, par exemple sous la forme d'une diffusion, un premier message encodant une requête en enrôlement RR, véhiculant des valeurs respectives de données d' identification publiques dudit premier dispositif électronique Di, parmi lesquelles, les valeurs respectives de l'identificateur IDi et de la clé publique PKi . En réponse à la réception par ledit serveur gestionnaire des communications ESM en une étape 211 d'un procédé 200 mis en œuvre par ledit serveur ESM, ce dernier peut transmettre, en une étape 212, un message ACK adressé audit premier dispositif électronique Di ayant émis la requête en enrôlement RR, tel qu'évoqué précédemment. De manière avantageuse mais non obligatoire, un serveur gestionnaire des communications ESM peut transmettre, à son tour en un instant E2, un message encodant une requête en autorisation d'enrôlement ARR à destination d'un serveur de sécurité DSM. Une telle élaboration d'un message ARR, suivie de l'émission de ce dernier, constitue une étape 213 du sous-procédé 220 mis en œuvre par ledit serveur gestionnaire des communications ESM. Un tel message encodant une requête en autorisation d'enrôlement ARR véhicule tout ou partie des données d' identification publiques du premier dispositif électronique Di requérant un enrôlement. En réponse à une telle sollicitation, ledit serveur de sécurité DSM peut élaborer un certificat numérique Ci, encodant tout ou partie desdites données d' identification dudit premier dispositif électronique Di et l'adresser au serveur gestionnaire des communications ESM. Ce dernier réceptionne un tel certificat numérique Ci en une étape 214 et crée, en une étape subséquente 215, une entrée ou un enregistrement DTi dans la table des dispositifs DT stockée dans la mémoire de données 22 dudit serveur gestionnaire des communications ESM. Ledit enregistrement DTi comporte alors ledit certificat numérique Ci et/ou les valeurs respectives de l'identificateur IDi et de la clé publique PKi dudit dispositif électronique Di requérant 1 ' enrôlement .
Le premier processus d'enrôlement du dispositif électronique Di peut être considéré à ce stade comme finalisé. De manière avantageuse, l'invention prévoit toutefois, que ledit premier processus se poursuive par l'élaboration puis l'émission d'un message RA de finalisation d'enrôlement, en une étape 216 par ledit serveur gestionnaire des communications ESM à destination dudit dispositif électronique requérant Di. Cette étape correspond à l'instant référencé E4 en figure 3.
Un tel message RA peut comporter, outre des données d' identification publiques des deux entités Di et ESM, telles que les identificateurs IDi et IDesm, des données complémentaires AI, telles que, par exemple, un code de blocage et/ou un code de révocation dudit premier dispositif électronique Di, ou toute autre information complémentaire de nature à éventuellement conditionner ou limiter dans le temps l'enrôlement dudit premier dispositif électronique Di, voire encore la clé publique PKesm du serveur gestionnaire ESM. De tels codes de blocage et/ou de révocation pourront être exploités par ledit premier dispositif électronique Di, en réponse à des requêtes en blocage ou en révocation émises par ledit serveur gestionnaire des communications ESM, comme nous le détaillerons ultérieurement et notamment en lien avec les figures 6 et 8. Tout ou partie des données d' indentification publiques du serveur gestionnaire des communications ESM ainsi que desdites informations additionnelles AI peuvent faire l'objet, en une étape 114, d'une opération de consignation, dans la mémoire de données 12 et/ou 32 du premier dispositif électronique Di.
L'invention prévoit que ladite étape 114 puisse en outre consister en l'élaboration puis la transmission, par les moyens de communication 13 ou 16 dudit premier dispositif électronique Di, d'un message ACK accusant réception et traitement du message RA à destination du serveur gestionnaire des communications ESM. Ce dernier, alors en attente dudit message, en une étape 217, peut avantageusement déclencher la mise en œuvre d'une étape 218 pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT, afin que ce dernier inscrive un champ de statut d'enrôlement Si prenant pour valeur courante, une première valeur prédéterminée attestant que le processus d'enrôlement a été intégralement réalisé par ledit premier dispositif électronique Di et par le serveur gestionnaire des communications ESM. Une telle première valeur inique ainsi un statut « dispositif valide ». Dans le cas contraire, ledit statut d'enrôlement Si maintient pour valeur courante, une deuxième valeur déterminée, autre que celle attestant que le premier processus d'enrôlement a été intégralement réalisé, ladite deuxième valeur courante ayant été initialisée lors de la création de l'enregistrement DTi à l'étape 215. La mise à jour dudit enregistrement correspond à l'instant référencé E5 sur la figure 3.
Ladite figure 3 décrit en parallèle des instants El à E5, une deuxième instance d'un tel premier processus d'enrôlement, instance similaire à celle du premier processus d'enrôlement du premier dispositif électronique Di, ladite deuxième instance du processus d'enrôlement étant initiée par un deuxième dispositif électronique Dj , de nature et/ou d'architecture fonctionnelle proches d'un dispositif Di décrit en lien avec la figure IA. Un tel deuxième dispositif électronique Dj , requérant un enrôlement, implémente un procédé de mise en œuvre d'une communication sécurisée similaire au procédé 100 tel que décrit précédemment en liaison avec la figure 9 et déroulé par le premier dispositif électronique Di. Les instants El' à E5' sont donc respectivement des instants « miroirs » et/ou correspondant aux instants El à E5 détaillés dans le cadre du processus d'enrôlement du premier dispositif électronique Di. A l'issue de la mise en œuvre du processus d'enrôlement dudit deuxième dispositif électronique Dj , la table DT, stockée dans la mémoire de données 22 du serveur de gestion des communications ESM comporte un deuxième enregistrement DTj associé et dédié audit deuxième dispositif électronique Dj .
Brièvement, un premier instant El' correspond à l'élaboration et la transmission (étape 112 du procédé 100) d'un premier message encodant une requête en enrôlement RR, véhiculant des valeurs respectives de données d' identification dudit deuxième dispositif électronique Dj , parmi lesquelles les valeurs respectives de l'identificateur IDj et de la clé publique PKj . En réponse à la réception par ledit serveur gestionnaire des communications ESM (étape 211 d'un procédé 200), ce dernier peut transmettre, en une étape 212, un message ACK adressé audit deuxième dispositif électronique Dj ayant émis la deuxième requête en enrôlement RR, tel qu'évoqué précédemment .
De manière avantageuse mais non obligatoire, un serveur gestionnaire des communications ESM conforme à l'invention peut transmettre, à son tour, en un instant E2', un message encodant une requête en autorisation d'enrôlement ARR à destination d'un serveur de sécurité DSM. Une telle élaboration d'un message ARR, suivie de l'émission de ce dernier, constitue une étape 213 du sous procédé 220 mis en œuvre par ledit serveur gestionnaire des communications ESM. Un tel message encodant une requête en autorisation d'enrôlement ARR véhicule tout ou partie des données d' identification du deuxième dispositif électronique Dj requérant un enrôlement. En réponse à une telle sollicitation, ledit serveur de sécurité DSM peut élaborer un certificat numérique Cj , encodant tout ou partie desdites données d' identification dudit deuxième dispositif électronique Dj et l'adresser au serveur gestionnaire des communications ESM. Ce dernier réceptionne un tel certificat numérique Cj en une étape 214 et crée, en une étape subséquente 215, une entrée ou un deuxième enregistrement DTj dans la table des dispositifs DT. Ledit enregistrement DTj comporte alors ledit certificat numérique Cj et/ou les valeurs respectives de l'identificateur IDj et de la clé publique PKj dudit deuxième dispositif électronique Dj requérant un enrôlement. Selon l'exemple décrit par la figure 3, ledit processus d'enrôlement du deuxième dispositif électronique Dj , de manière avantageuse, se poursuit par l'élaboration puis l'émission d'un message RA de finalisation d'enrôlement, en une étape 216 par ledit serveur gestionnaire des communications ESM à destination dudit dispositif électronique requérant Dj . Cette étape correspond à l'instant référencé E4' en figure 3.
Un tel message RA peut comporter, outre des données d' identification publiques des deux entités Dj et ESM, telles que les identificateurs IDj et IDesm, des données complémentaires AI, telles que, par exemple, un code de blocage et/ou un code de révocation dudit deuxième dispositif électronique Dj , ou toute autre information complémentaire de nature à éventuellement conditionner ou limiter dans le temps l'enrôlement dudit deuxième dispositif électronique Dj . Tout ou partie des données d' identification du serveur gestionnaire des communications ESM ainsi que desdites informations additionnelles AI peuvent faire l'objet, en une étape 114, d'une opération de consignation, dans la mémoire de données 12 du deuxième dispositif électronique Dj .
L'invention prévoit que ladite étape 114 puisse en outre consister en l'élaboration puis la transmission, par les moyens de communication 13 ou 16 dudit deuxième dispositif électronique Dj , d'un message ACK accusant réception et traitement du message RA à destination du serveur gestionnaire des communications ESM. Ce dernier, alors en attente dudit message, en une étape 217, peut avantageusement déclencher la mise en œuvre d'une étape 218 pour mettre à jour l'enregistrement DTj dans la table des dispositifs DT pour que ce dernier inscrive un champ de statut d'enrôlement Sj prenant pour valeur courante, une première valeur prédéterminée attestant que le processus d'enrôlement a été intégralement réalisé par ledit deuxième dispositif électronique Dj et par le serveur gestionnaire des communications ESM. Dans le cas contraire, ledit statut d'enrôlement Sj maintient pour valeur courante, une deuxième valeur déterminée autre que celle attestant que le premier processus d'enrôlement a été intégralement réalisé, ladite deuxième valeur courante ayant été initialisée lors de la création de l'enregistrement DTj à l'étape 215. La mise à jour dudit enregistrement correspond à l'instant référencé E5' sur la figure 3.
La figure 4, en lien avec les figures 9 et 10A, décrit un deuxième processus visant à autoriser des premier et deuxième dispositifs électroniques à établir une communication bilatérale directe et sécurisée SCij , en l'espèce les dispositifs électroniques Di et Dj précédemment décrits en lien avec la figure 3, ayant donc fait l'objet de processus d'enrôlement. Selon l'exemple non limitatif de la figure 4, un tel processus visant à autoriser une communication bilatérale sécurisée consiste principalement en deux sous-procédés référencés 120 et 220, respectivement en figures 9 et 10A, et mis en œuvre par les dispositifs électroniques Di et Dj et par le serveur gestionnaire des communications ESM.
Un tel deuxième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, et tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi un sous-procédé visant à autoriser une communication bilatérale sécurisée entre deux dispositifs électroniques ayant fait l'objet préalablement d'un premier processus d'enrôlement. Un exemple préféré mais non limitatif sous la forme d'un sous- procédé 220 visant à autoriser une telle communication est illustré par la figure 10A. Ce dernier comporte une étape 222, et correspond aux instants Eli et Eli' en figure 4, pour lire des données d'identification IDi, IDj, Ci, PKi, Cj ou encore PKj de premier et deuxième dispositifs électroniques Di et Dj dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 222 comporte une lecture du contenu des deux enregistrements DTi et DTj associés respectivement auxdits dispositifs électroniques Di et Dj et initialisés par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un premier processus d'enrôlement conforme à l'invention.
Pour administrer une future communication bilatérale sécurisée SCij entre les deux dispositifs électroniques Di et Dj , le sous-procédé 220 comporte une étape 224, correspondant à l'instant E12 ou E12' en figure 4, pour élaborer un premier message encodant une requête de mise en relation BR, ledit premier message comportant tout ou partie des données d'identification publiques, telles que les valeurs des identificateurs IDi, IDj, et/ou les clés publiques PKi et PKj , voire les certificats numériques Ci et Cj associés aux deux dispositifs électroniques, lesdites données étant tirées ou lues à l'étape 222 dans la table des dispositifs électroniques DT.
Une telle étape 224 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit premier message encodant une requête de mise en relation BR, à destination des deux dispositifs électroniques Di et Dj concernés par ladite requête de mise en relation BR.
Ledit sous-procédé 220 comporte à présent une étape d'attente 225 d'une réponse émanant de chacun desdits deux dispositifs électroniques, en l'espèce un message ACK accusant réception et traitement de ladite requête BR de mise en relation.
Ainsi, chaque dispositif électronique Di ou Dj , ou plus précisément leur propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 120 d'un procédé de mise en œuvre d'une communication sécurisée 100 tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 121 pour recevoir, via leurs moyens de communication 13 respectifs, le message encodant une requête de mise en relation BR émis par le serveur gestionnaire des communications ESM, en des instants E12 et E12' en figure 4, respectivement pour les dispositifs électroniques Di et Dj .
Ladite étape 121 consiste en outre à décoder un tel message encodant une requête de mise en relation BR pour collecter tout ou partie des données d' identification publiques IDi, IDj, Ci, PKi, Cj et/ou PKj , des premier et deuxième dispositifs électroniques Di, Dj . Ainsi, par la lecture desdites données d' identification, les deux dispositifs électroniques Di et Dj peuvent chacun vérifier que ledit message BR reçu leur est bien destiné et connaître certaines données d'indentification d'un futur partenaire de communication. Les deux dispositifs électroniques Di et Dj , en des instants respectifs E13 et E13' , mettent en œuvre une étape 122 subséquente dudit sous-procédé 120, pour inscrire dans leurs mémoires de données 12 et/ou 32, tout ou partie des données d'identification dudit dispositif électronique partenaire. Ainsi, l'étape 122 consiste, pour le premier dispositif électronique Di, à mémoriser, par exemple, les valeurs respectives de l'identificateur IDj et de la clé publique PKj propres au deuxième dispositif électronique Dj . Ces valeurs peuvent être immédiatement déduites de la teneur du message encodant une requête de mise en relation BR transmis du serveur gestionnaire des communications ESM ou bien déduites du certificat électronique Cj , si celui-ci est véhiculé par ledit message en lieu et place desdits identificateur IDj et clé publique PKj . Réciproquement, l'étape 122 du sous-procédé mis en œuvre par l'unité de traitement du deuxième dispositif électronique Dj consiste à mémoriser, par exemple, les valeurs respectives de l'identificateur IDi et de la clé publique PKi propres au premier dispositif électronique Dj . Ces valeurs peuvent être immédiatement déduites de la teneur du message encodant une requête de mise en relation BR transmis du serveur gestionnaire des communications ESM ou bien déduites du certificat électronique Ci, si celui-ci est véhiculé par ledit message en lieu et place desdits identificateur IDi et clé publique PKi .
Pour pouvoir mettre en œuvre une communication bilatérale sécurisée SCij préservant d'une part, la bande passante du réseau de communication N véhiculant les futurs messages de données et/ou d'actions que pourront s'échanger lesdits premier et deuxième dispositifs électroniques Di et Dj , l'invention prévoit en outre que ladite étape 122, mise en œuvre par lesdits deux dispositifs électroniques Di et Dj , consiste à produire une valeur de clé SKij secrète et partagée, bien que non échangée, entre lesdits deux dispositifs électroniques, en mettant par exemple en œuvre un procédé connu sous l'appellation Diffie-Helmann . D'autres techniques pourraient en variante et/ou en complément être mises en œuvre pour produire, chez chacun desdits deux dispositifs électroniques Di et Dj , une valeur d'une clé secrète SKij destinée à être exploitée dans le cadre d'un processus de communication par chiffrement/déchiffrement symétrique, symbolisé par l'instant E17, par la mise en œuvre avantageuse mais non limitative de l'algorithme AES (« Advanced Encryption Standard » selon une terminologie anglo-saxonne) ou standard de chiffrement avancé également connu sous le nom de Rijndael, couplé au mode d'opération de chiffrement par bloc GCM (« Galois/Counter » Mode selon une terminologie anglo-saxonne) . Un tel choix avantageux permet de privilégier efficacité et performances dans le cadre des futurs échanges chiffrés entre les deux dispositifs électroniques Di et Dj , sans que ces derniers disposent obligatoirement de ressources matérielles sophistiquées, réduisant ainsi le coût de déploiement de l'invention. Nous pouvons remarquer que chacun desdits premier et deuxième dispositifs électroniques peut enregistrer la clé secrète SKij produite, voire en dériver classiquement la valeur au cours de la communication sécurisée SCij , sans qu'aucune autre entité électronique ne connaisse ladite valeur secrète SKij, y compris le serveur gestionnaire des communications ESM.
Ladite valeur de la clé secrète SKij partagée entre les deux dispositifs électroniques Di et Dj , sans que ces derniers aient besoin de l'échanger, est ainsi avantageusement obtenue à partir des valeurs issues desdites données d' identification des premier et deuxième dispositifs électroniques. Ainsi, par exemple, à l'étape 122, le premier dispositif électronique Di élabore la clé SKij à partir des valeurs de sa clé secrète SKi et de la clé publique PKj du deuxième dispositif électronique et ledit deuxième dispositif électronique Dj élabore ladite clé SKij à partir des valeurs de sa clé secrète SKj et de la clé publique PKi dudit premier dispositif électronique Di .
L'invention prévoit qu'un mécanisme similaire puisse être mis en œuvre par le dispositif électronique Di et par le serveur gestionnaire des communication ESM pour établir une clé secrète SKiesm partagée, c'est-à-dire construite de part et d'autre, entre ledit dispositif électronique Di et le serveur gestionnaire des communications ESM, sans que ces derniers aient besoin de l'échanger. Le premier dispositif électronique Di peut élaborer la clé SKiesm à partir des valeurs de sa clé secrète SKi et de la clé publique PKesm du serveur gestionnaire des communications ESM. Ce dernier peut élaborer ladite clé SKiesm à partir des valeurs de sa clé secrète SKiesm et de la clé publique PKi dudit premier dispositif électronique Di. Il peut en être de même pour le deuxième dispositif électronique Dj . De cette manière, lesdits dispositifs électroniques Di et Dj peuvent interagir, respectivement par communications bilatérales sécurisées SCiesm ou SCjesm, avec le serveur gestionnaire des communications ESM via un protocole de chiffrement/déchiffrement symétrique par l ' exploitations respectives des clés secrètes SKiesm et SKjesm.
Le sous-procédé 120, mis en œuvre par les deux dispositifs électroniques Di et Dj , peut également comporter, dès l'élaboration de ladite clé secrète SKij , une étape 123 pour élaborer un message ACK accusant réception et traitement de la requête de mise en relation BR à destination du serveur gestionnaire de communications bilatérales sécurisées ESM.
A l'instant E14 ou E14' en figure 4, le procédé 200, mis en œuvre par le serveur gestionnaire ESM, alors en attente à l'étape 225, peut recevoir, via les moyens de communication 23, et décoder deux messages ACK, accusant réception et traitement de la requête en mise en relation BR, respectivement par lesdits deux dispositifs électroniques Di et Dj concernés par ladite requête de mise en relation BR. Ledit procédé, plus précisément le sous-procédé 220 décrit à titre d'exemple par la figure 10A, peut comporter une étape 226, correspondant à l'instant E15 en figure 4, pour créer et mettre à jour un enregistrement BTij dans la table des liens BT, afin que ledit enregistrement BTij mémorise les valeurs respectives de tout ou partie des données d' identification publiques desdits premier et deuxième dispositifs électroniques Di et Dj ainsi autorisés à être mis en relation. Une telle création dudit enregistrement BTij est avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si (situation symbolisée par le lien 225y en figure 10A) lesdits deux messages ACK accusant réception et traitement par lesdits deux dispositifs électroniques Di et Dj dudit premier message encodant la requête de mise en relation BR ont été bien préalablement reçus et décodés à l'étape 225, aux instants E14, E14'.
De leurs côtés, lesdits premier et deuxième dispositifs Di et Dj , ainsi mis en relation ou « partenaires », peuvent entreprendre des échanges sécurisés, via une ou plusieurs itérations d'étapes 131, et 132, au-delà de l'instant E17, pour recevoir, via les moyens de communication 13, et décoder un message de données et/ou d'actions, émanant du dispositif électronique partenaire. Réciproquement, lesdits premier et deuxième dispositifs Di et Dj peuvent entreprendre des échanges sécurisés, via une ou plusieurs itérations d'étapes 135, et 136, au-delà de l'instant E17, pour élaborer, encoder puis émettre, via les moyens de communication 13, un tel message de données et/ou d'actions, à destination dudit dispositif électronique partenaire. La teneur de tels messages est chiffrée ou déchiffrée à l'aide de la valeur de ladite clé SKij seule connue des deux dispositifs partenaires. De telles étapes 131, 132, 135, 136, sont représentées en figure 9 comme appartenant à un même sous-procédé 130 du procédé 100 pour mettre en œuvre une communication sécurisée au sens de 1 ' invention .
L'invention prévoit en outre qu'un serveur gestionnaire de communications ESM, mettant en œuvre un procédé 200 tel qu'évoqué précédemment, puisse préciser certaines modalités conduisant des échanges chiffrés SCij entre deux dispositifs électroniques liés ou partenaires.
En effet, selon la fonction principale d'un dispositif électronique, par exemple si celui-ci est principalement agencé pour effectuer des mesures périodiques d'une température ou bien s'il contrôle un actionneur sensible, le niveau de sécurité et/ou de chiffrement des échanges peut être modulé et administré par ledit serveur gestionnaire des communications ESM. Ainsi, l'invention prévoit, par exemple, qu'une mise en relation de deux dispositifs électroniques puisse requérir une authentification mutuelle forte préalable à tout échange entre les deux dispositifs électroniques, une communication de message chiffrés sans authentification mutuelle préalable, voire même une communication requérant un faible niveau de protection ou une absence de protection sur certains messages, comme pour de la télémétrie par exemple. Pour cela, une politique de telle mise en relation, ou « binding policy » selon une terminologie anglo-saxonne, peut être encodée sous la forme d'un champ ou élément supplémentaire BP véhiculé dans un message encodant une requête en mise en relation BR, tel qu'évoquée précédemment (instants E14, E14' en figure 4) . Ainsi, ledit serveur gestionnaire des communications ESM peut décrire par ledit champ BP une modalité de mise en œuvre d'une communication sécurisée SCij entre deux dispositifs électroniques, tels que les dispositifs Di et Dj selon la figure 4, autorisés à être mis en relation.
Dans ce cas, l'invention prévoit qu'une l'étape 122 d'un procédé 100 de mise en œuvre d'une communication sécurisée par tout dispositif électronique Di, agencé pour être conforme à l'invention, puisse consister en outre à inscrire la valeur du champ BP ou d'en procéder en une transcription, dans la mémoire de données 12 ou 32 d'un tel dispositif électronique Di, si celui-ci est conforme à la figure Al. Les étapes du sous-procédé 130, évoqué précédemment pour mettre en œuvre la communication SCij , sont également adaptées pour satisfaire à la politique de mise en relation définie par le champ BP véhiculé par la requête en mise en relation BR émise par le serveur gestionnaire des communications ESM.
En liaison avec les figures 4, 9 et 10A, nous avons tout d'abord examiné une mise en œuvre d'une relation sécurisée SCij entre des premier et deuxième dispositifs électroniques Di et Dj , en réponse à l'émission d'un message encodant une requête de mise en relation BR par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête BR peut être à l'initiative dudit serveur gestionnaire des communications ESM ou bien résulter d'une consigne venant d'un tiers, en l'espèce selon la figure 4, d'un serveur de sécurité des dispositifs électroniques DSM.
Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E10, un message de consigne B de mise en relation des premier et deuxième dispositifs électroniques Di et Dj . Un tel message de consigne B comporte avantageusement des données d' identification, telles que les valeurs des identificateurs IDi et IDj, des deux dispositifs électroniques Di et Dj à mettre en relation. L'étape 222 pour lire dans la table des dispositifs DT des données d' identification de deux dispositifs électroniques (correspondant aux instants Eli et Eli' en figure 4) d'un procédé pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10A, peut alors être adaptée pour rechercher les enregistrements DTi et DTj , comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne B et reçu en une étape 221. Les étapes subséquentes 223 à 226, telles que détaillées précédemment, demeurent inchangées.
L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 227, subséquente à l'étape 226, pour créer et mettre à jour un enregistrement BTij dans la table des liens BT, afin que ladite étape 227 consiste à :
élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire de communications ESM, de la consigne de mise en relation B des deux dispositifs électroniques Di et Dj ;
déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.
La mise en œuvre d'une telle étape 227 est symbolisée par l'instant E16 en figure 4.
La figure 4 nous a permis d'étudier comment, selon l'invention, un serveur gestionnaire de communications ESM peut, éventuellement sous la consigne d'un objet tiers, tel qu'un serveur de sécurité DSM, peut instaurer une mise en relation entre deux dispositifs électroniques appartenant à une pluralité, voire en préciser les modalités ou plus généralement une politique de sécurité régissant les futurs échanges SCij sécurisés entre les deux dispositifs électroniques partenaires.
La figure 5, en lien avec les figures 9 et 10A, permet d'illustrer qu'un tel serveur gestionnaire des communications ESM conforme à l'invention peut également interrompre une telle mise en relation, par exemple, lorsque que celle-ci n'est plus pertinente au regard d'un contexte d'ordre applicatif.
Ladite figure 5, en lien avec les figures 9 et 10A, décrit un troisième processus, visant quant à lui, à mettre ainsi un terme à un partenariat de communication bilatérale sécurisée SCij entre des premier et deuxième dispositifs électroniques, préalablement autorisés à établir une telle communication bilatérale directe et sécurisée SCij, en l'espèce les dispositifs électroniques Di et Dj précédemment décrits en lien avec la figure 4.
Selon l'exemple non limitatif illustré par la figure 5, un tel troisième processus visant à suspendre une communication bilatérale sécurisée SCij consiste principalement en deux sous-procédés référencés 140 et 230, respectivement en figures 9 et 10A, et mis en œuvre par les dispositifs électroniques Di et Dj et par le serveur gestionnaire des communications ESM.
Un tel troisième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, et tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi en œuvre un sous- procédé visant à annuler une relation préalablement autorisée. Un exemple préféré mais non limitatif sous la forme d'un sous-procédé 230 est illustré par la figure 10A. Ce dernier comporte une étape 232, et correspond aux instants E22 et E22' en figure 5, pour lire des données d'identification IDi, IDj, Ci, PKi, Cj ou encore PKj de premier et deuxième dispositifs électroniques Di et Dj dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 232 comporte une lecture du contenu des deux enregistrements DTi et DTj associés respectivement auxdits dispositifs électroniques Di et Dj et initialisés par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un processus d'enrôlement conforme à l'invention.
Pour administrer une future fin de communication bilatérale sécurisée entre les deux dispositifs électroniques Di et Dj , encore faut-il qu'une mise en relation préalable ait eu lieu. L'invention prévoit ainsi que le sous-procédé 230 puisse comporter une étape optionnelle 233 visant à s'assurer d'un tel fait préalable. Ladite étape 233 consiste à lire la table des liens BT et à rechercher dans ladite table, un enregistrement associé à une telle mise en relation préalable. Un tel enregistrement BTij doit comporter, comme examiné dans le cadre d'une mise en relation, en l'espèce l'étape 226, tout ou partie des données d' identification publiques desdits premier et deuxième dispositifs électroniques Di et Dj autorisés à être mis en relation. En l'absence d'un tel enregistrement BTij (situation symbolisée par le lien 233n en figure 10A) , ledit sous-procédé 230 peut s'interrompre. Dans la situation contraire symbolisée par le lien 233y en figure 10A, ledit sous-procédé 230 comporte une étape 234, correspondant à l'instant E23 ou E23' en figure 5, pour élaborer un message encodant une requête d'annulation de mise en relation UBR, ledit message comportant tout ou partie des données d' identification, telles que les valeurs des identificateurs IDi, IDj, et/ou les clés publiques PKi et PKj , voire les certificats numériques Ci et Cj associés des deux dispositifs électroniques, lesdites données étant tirées ou lues à l'étape 232 dans la table des dispositifs électroniques DT .
Une telle étape 234 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit message encodant une requête d'annulation de mise en relation UBR, à destination des deux dispositifs électroniques Di et Dj concernés par ladite requête d'annulation de mise en relation UBR.
Ledit sous-procédé 230 comporte à présent une étape d'attente 235 d'une réponse émanant de chacun desdits deux dispositifs électroniques, en l'espèce un message ACK accusant réception et traitement de ladite requête d'annulation de mise en relation UBR.
Ainsi, chaque dispositif électronique Di ou Dj , ou plus précisément leur propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 140, d'un procédé de mise en œuvre d'une communication sécurisée 100 tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 141 pour recevoir, via leurs moyens de communication 13 respectifs, le message encodant une requête d'annulation de mise en relation UBR émis par le serveur gestionnaire des communications ESM, en des instants E23 et E23' en figure 5 respectivement pour les dispositifs électroniques Di et Dj .
Ladite étape 141 consiste en outre à décoder un tel message encodant une requête d'annulation de mise en relation UBR pour collecter tout ou partie des données d'identification publiques IDi, IDj, Ci, PKi, Cj et/ou PKj , des premier et deuxième dispositifs électroniques Di, Dj . Ainsi, par la lecture desdites données d' identification, les deux dispositifs électroniques Di et Dj peuvent chacun vérifier que ledit message UBR reçu leur est bien destiné et connaître certaines données d'identification d'un futur ex-partenaire de communication. Les deux dispositifs électroniques Di et Dj , en des instants respectifs E24 et E24' en figure 5, mettent en œuvre une étape 142 subséquente dudit sous- procédé 140, pour supprimer dans leurs mémoires de données 12 et/ou 32, tout ou partie des données d'identification dudit dispositif électronique anciennement partenaire. Ainsi, l'étape 142 consiste, pour le premier dispositif électronique Di, à effacer, par exemple, les valeurs respectives de l'identificateur IDj et de la clé publique PKj propres au deuxième dispositif électronique Dj . Ces valeurs peuvent être immédiatement déduites de la teneur du message encodant la requête d'annulation de mise en relation UBR transmis du serveur gestionnaire des communications ESM ou bien déduites du certificat électronique Cj , si celui-ci est véhiculé par ledit message en lieu et place desdits identificateur IDj et clé publique PKj. Réciproquement, l'étape 142 du sous-procédé mis en œuvre par l'unité de traitement du deuxième dispositif électronique Dj consiste à effacer, par exemple, les valeurs respectives de l'identificateur IDi et de la clé publique PKi propres au premier dispositif électronique Dj . Ces valeurs peuvent être immédiatement déduites de la teneur du message encodant la requête d'annulation de mise en relation UBR transmis du serveur gestionnaire des communications ESM ou bien déduites du certificat électronique Ci, si celui-ci est véhiculé par ledit message en lieu et place desdits identificateur IDi et clé publique PKi .
Pour pouvoir mettre un terme à toute communication bilatérale sécurisée SCij interdisant tout futur message de données et/ou d'actions échangé par lesdits premier et deuxième dispositifs électroniques Di et Dj , l'invention prévoit en outre que ladite étape 142 mise en œuvre par lesdits deux dispositifs électroniques Di et Dj consiste à effacer la valeur de clé secrète et partagée SKij entre lesdits deux dispositifs électroniques.
Le sous-procédé 140 mis en œuvre par les deux dispositifs électroniques Di et Dj peut également comporter, dès la suppression de la valeur de ladite clé secrète SKij, une étape 143 pour élaborer un message ACK accusant réception et traitement de la requête d'annulation de mise en relation UBR à destination du serveur gestionnaire de communications bilatérales sécurisées ESM.
A l'instant E25 ou E25' en figure 5, le sous-procédé 230 du procédé 200, mis en œuvre par le serveur gestionnaire ESM, alors en attente à l'étape 235, peut recevoir, via les moyens de communication 23, et décoder deux messages ACK, accusant réception et traitement de la requête d'annulation de mise en relation UBR, respectivement par lesdits deux dispositifs électroniques Di et Dj concernés par ladite requête d'annulation de mise en relation UBR. Ledit procédé 200, plus précisément le sous-procédé 230, décrit à titre d'exemple par la figure 10A, peut comporter une étape 236, correspondant à l'instant E26 en figure 5, pour supprimer l'enregistrement BTij dans la table des liens BT, afin que lesdits premier et deuxième dispositifs électroniques Di et Dj ne soient plus autorisés à être mis en relation. Une telle suppression dudit enregistrement BTij est avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si (situation symbolisée par le lien 235y en figure 10A) lesdits deux messages accusant réception et traitement par lesdits deux dispositifs électroniques Di et Dj dudit premier message encodant la requête d'annulation de mise en relation UBR ont été bien préalablement reçus et décodés à l'étape 235, aux instants E25, E25' .
De leurs côtés, lesdits premier et deuxième dispositifs Di et Dj , ne sont plus « partenaires » ou liés, et ne peuvent plus, dès la suppression de la valeur de la clé SKij , voire des données d'identification de l'ex partenaire, soit au premier des instants entre les instants E24 et E24', entreprendre des échanges sécurisés, via une ou plusieurs itérations d'étapes 131 et 132 pour recevoir, via les moyens de communication 13, et décoder un message de données et/ou d'actions, émanant du dispositif électronique ex-partenaire. Réciproquement, lesdits premier et deuxième dispositifs Di et Dj ne peuvent plus entreprendre des échanges sécurisés, via une ou plusieurs itérations d'étapes 135 et 136 pour élaborer, encoder puis émettre, via les moyens de communication 13, un tel message de données et/ou d'actions, à destination dudit dispositif électronique ex-partenaire.
En liaison avec les figures 5, 9 et 10A, nous avons tout d'abord examiné l'annulation d'une relation sécurisée, sous la forme d'une communication bilatérale sécurisée SCij , entre des premier et deuxième dispositifs électroniques Di et Dj , en réponse à l'émission d'un message encodant une requête d'annulation de mise en relation UBR par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête UBR peut être à l'initiative dudit serveur gestionnaire des communications ESM ou bien résulter d'une consigne venant d'un tiers, en l'espèce sur la figure 5 d'un serveur de sécurité des dispositifs électroniques DSM .
Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E21, un message de consigne UB en annulation de mise en relation des premier et deuxième dispositifs électroniques Di et Dj . Un tel message de consigne UB comporte avantageusement des données d'identification publiques, telles que les valeurs des identificateurs IDi et IDj des deux dispositifs électroniques Di et Dj dont on souhaite mettre un terme à toute relation ou partenariat selon l'invention.
L'étape 232 pour lire, dans la table des dispositifs DT, DTi, DTj , des données d'identification publiques de deux dispositifs électroniques, correspondant aux E22 et E22' en figure 5, d'un procédé pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10A, peut alors être adaptée pour rechercher les enregistrements DTi et DTj , comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne UB reçu en une étape 231. Les étapes subséquentes 233 à 236, telles que détaillées précédemment, demeurent inchangées.
L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 237, subséquente à l'étape 236, pour supprimer un enregistrement BTij dans la table des liens BT, afin que ladite étape 237 consiste à :
élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire de communications ESM, de la consigne UB en annulation de mise en relation des deux dispositifs électroniques Di et Dj ;
déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.
La mise en œuvre d'une telle étape 237 est symbolisée par l'instant E27 en figure 5.
La figure 4 et nous a permis d'étudier comment, selon l'invention, un serveur gestionnaire des communications ESM, peut, éventuellement sous la consigne d'un objet tiers, tel qu'un serveur de sécurité DSM, instaurer ou annuler une mise en relation entre deux dispositifs électroniques appartenant à une pluralité.
Outre un premier processus d'enrôlement d'un dispositif électronique illustré par la figure 3, un deuxième processus pour autoriser une mise en relation sécurisée entre deux dispositifs électroniques illustré par la figure 4 et un troisième processus pour annuler une telle autorisation décrite en lien avec la figure 5, la figure 6, en liaison avec les figures 9 et 10B, permet d' illustrer une quatrième fonctionnalité ou processus qu'un serveur gestionnaire des communications ESM conforme à l'invention, peut également assurer.
Durant une exploitation d'une pluralité de dispositifs électroniques, quand bien même ces derniers aient individuellement satisfaits à leurs obligations imposées par ledit premier processus d'enrôlement, voire même que d'autres soient concernés par un processus de mise en relation bilatérale avec un pair, l'un desdits dispositifs électroniques peut nécessiter, par exemple, une opération de maintenance ou de calibrage, durant laquelle, il est souhaitable de suspendre provisoirement toute nouvelle tentative de mise en relation, voire toute communication sécurisée actuellement autorisée.
La figure 6, en lien avec les figures 9 et 10B, illustre ainsi un quatrième processus visant à bloquer ou suspendre un tel dispositif électronique, en l'espèce le dispositif Di, évoqué précédemment d'une part, dans le cadre d'un premier processus d'enrôlement puis d'un deuxième processus de mise en relation avec un deuxième dispositif électronique Dj , respectivement selon les figures 3 et 4. Selon l'exemple non limitatif de la figure 6, un tel quatrième processus consiste principalement en deux sous-procédés référencés 150 et 240, respectivement en figures 9 et 10B, et mis en œuvre par les dispositifs électroniques Di et Dj et par le serveur gestionnaire des communications ESM.
Un tel quatrième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi en œuvre un sous-procédé 240 visant à suspendre ou bloquer l'exploitation d'un dispositif électronique ayant fait l'objet préalablement d'un processus d'enrôlement, en l'espèce le dispositif électronique Di. L'exemple préféré mais non limitatif d'un tel sous-procédé 240 comporte une étape 242, et correspond à l'instant E32 en figure 5, pour lire des données d'identification IDi, PKi, ou Ci du dispositif électronique Di dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 242 comporte une lecture du contenu de l'enregistrement DTi associé audit dispositif électroniques Di et initialisé par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un premier processus d'enrôlement conforme à l'invention.
Pour suspendre l'exploitation du dispositif électronique Di, le sous-procédé 240 comporte une étape 244, correspondant à l'instant E33 en figure 6, pour élaborer un message encodant une requête de blocage d'un dispositif électronique BKR, ledit message comportant tout ou partie des données d'identification publiques, telles que les valeurs de l'identificateur IDi et/ou de la clé publique PKi, voire le certificat numérique Ci associé du dispositif électronique Di, et un code de blocage BC, lesdites données étant tirées ou lues à l'étape 242 dans la table des dispositifs électroniques DT.
Une telle étape 244 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit message encodant une requête de blocage d'un dispositif électronique BKR, à destination du dispositif électronique Di concerné par ladite requête de blocage BKR.
Ledit sous-procédé 240 comporte à présent une étape d'attente 245 d'une réponse émanant dudit dispositif électronique Di, en l'espèce un message ACK accusant réception et traitement de ladite requête de blocage BKR. Ainsi, le dispositif électronique Di, ou plus précisément sa propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 150, d'un procédé de mise en œuvre d'une communication sécurisée 100, tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 151 pour recevoir, via les moyens de communication 13, le message encodant une requête de blocage d'un dispositif électronique BKR émis par le serveur gestionnaire des communications ESM, en un instant E33 en figure 5, pour le dispositif électronique Di.
Ladite étape 151 consiste en outre à décoder un tel message encodant une requête de blocage d'un dispositif électronique BKR pour collecter tout ou partie des données d'identification IDi, PKi et/ou Ci du dispositif électronique Di. Ainsi, par la lecture desdites données d' identification, le dispositif électronique Di peut vérifier que ledit message BKR reçu lui est bien destiné. Le dispositif électronique Di, en un instant E34 en figure 5, met en œuvre une étape 152 subséquente dudit sous- procédé 150, pour comparer la valeur ou teneur du code de blocage BC tiré dudit message avec celle mémorisée par ledit dispositif électronique Di lors du traitement 110 de la dernière requête en enrôlement de ce dernier (à l'étape 114 notamment) . Si une égalité est alors vérifiée, alors ladite étape 152 consiste à inscrire dans la mémoire de données 12 et/ou 32, une information, symbolisée par un panneau d'interdiction en figure 9, agissant tel un sémaphore exploité par l'unité de traitement 11 et/ou 31 pour notamment prévenir toute communication avec un pair. Le sous-procédé 150, mis en œuvre par le dispositif électronique Di, peut également comporter, dès l'inscription de la donnée sémaphore, une étape 153 pour élaborer un message ACK accusant réception et traitement de la requête de blocage BKR à destination du serveur gestionnaire des communications bilatérales sécurisées ESM .
A l'instant E35, le procédé 200, mis en œuvre par le serveur gestionnaire ESM, alors en attente à l'étape 245 peut recevoir, via les moyens de communication 23, et décoder le message ACK accusant réception et traitement de la requête de blocage BKR par ledit dispositif électronique Di concernés par ladite requête de blocage BKR. Ledit procédé 200, plus précisément le sous-procédé 240 décrit à titre d'exemple par la figure 10B, peut comporter une étape 246, correspondant à l'instant E36 en figure 6, pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT, afin que ledit enregistrement DTi comporte la donnée décrivant un statut d'enrôlement Si dudit dispositif électronique Di, ledit statut d'enrôlement prenant comme valeur prédéterminée caractérisant le statut « dispositif bloqué » ou plus généralement une valeur autre que la valeur prédéterminée associée à un « dispositif valide » c'est-à-dire ayant suivi parfaitement un premier processus d'enrôlement et n'étant pas concerné par une procédure de blocage.
Une telle mise à jour de l'enregistrement DTi est avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si, situation symbolisée par le lien 245y en figure 10B, le message accusant réception et traitement par ledit dispositifs électronique Di dudit message encodant la requête de blocage BKR a bien été préalablement reçu et décodé à l'étape 245, à l'instant E35 en figure 6. Pour que les communications avec un ou plusieurs dispositifs électroniques partenaires cessent, telle que la communication bilatérale sécurisée SCij avec le dispositif électronique Dj , les étapes du sous-procédé 130, mis en œuvre par ledit dispositif électronique Di, sont agencées pour exploiter ladite donnée sémaphore mouvementée lors de la mise en œuvre de l'étape 152, pour ne pas entreprendre d'échanges sécurisés, au-delà de l'instant E34, au moyen d'une ou de plusieurs itérations d'étapes 131 et 132 pour recevoir, via les moyens de communication 13, et décoder un message de données et/ou d'actions, émanant d'un dispositif électronique partenaire. Également, le dispositif électronique Di ne peut plus entreprendre d'échanges sécurisés, via une ou plusieurs itérations d'étapes 135 et 136, au-delà dudit instant E34, pour élaborer, encoder puis émettre, via les moyens de communication 13, un tel message de données et/ou d'actions, à destination d'un deuxième dispositif électronique partenaire.
Pour prévenir, durant une phase de blocage d'un premier dispositif Di, toute requête inutile en mise en relation dudit premier dispositif électronique Di avec un deuxième dispositif électronique Dj , l'invention prévoit d'adapter un procédé 200 pour administrer une communication sécurisée, mis en œuvre par un serveur gestionnaire des communications ESM, afin que l'étape 224 de celui-ci pour élaborer un message encodant une requête de mise en relation BR entre un premier dispositif électronique Di et un deuxième dispositif électronique Dj ne puisse être réalisée que si (situation symbolisée par le lien 223y en figure 10A) les deux statuts d'enrôlement Si et Sj associées aux deux dispositifs électroniques Di et Dj décrivent un statut « dispositif valide », c'est-à-dire ne faisant pas l'objet d'un processus d'enrôlement inachevé ou d'un processus de blocage. Un tel test de la valeur de chaque statut Si, Sj est symbolisée par l'étape 223 en figure 10A.
En liaison avec les figures 6, 9 et 10B, nous avons tout d'abord examiné l'élaboration et le traitement d'une requête en blocage d'un dispositif électronique BKR initiée par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête BKR peut être à l'initiative dudit serveur gestionnaire des communications ESM ou bien résulter d'une consigne venant d'un tiers, en l'espèce sur la figure 6 d'un serveur de sécurité des dispositifs électroniques DSM. Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E31 en figure 6, un message de consigne BK de blocage d'un dispositif électronique Di. Un tel message de consigne BK comporte avantageusement des données d'identification publiques, telles que les valeurs de l'identificateur IDi du dispositif électronique Di dont l'exploitation en tant que nœud communicant dans un réseau administré selon l'invention doit être suspendue.
L'étape 242 pour lire dans la table des dispositifs DT des données d'identification du dispositif électronique, correspondant à l'instant E32 en figure 6, d'un procédé pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10B, peut alors être adaptée pour rechercher l'enregistrement DTi comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne BK reçu en une étape 241. Les étapes subséquentes 243 à 246, telles que détaillées précédemment, demeurent inchangées.
L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 247, subséquente à l'étape 246, pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT, afin que ladite étape 247 consiste à :
élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire des communications ESM, de la consigne de blocage BK du dispositif électronique Di ;
déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.
La mise en œuvre d'une telle étape 247 est symbolisée par l'instant E37 en figure 6.
L'invention prévoit qu'un serveur gestionnaire des communications ESM ne transmette pas inutilement une requête en blocage à un dispositif électronique qui fait déjà l'objet d'une suspension provisoire. Dans ce cas, ledit sous-procédé 240, tel que décrit à titre d'exemple non limitatif en lien avec la figure 10B, peut comporter une étape optionnelle 243 visant à s'assurer d'un tel fait préalable. Ladite étape 243 consiste ainsi à lire la table des dispositifs DT et à rechercher dans ladite table, un enregistrement DTi associé à au dispositif électronique concerné par une éventuelle requête en blocage et, dans l'affirmative à lire la valeur du champ Si caractérisant le statut d'enrôlement dudit dispositif électronique Di. Un tel enregistrement DTi doit comporter tout ou partie des données d' identification dudit dispositif électronique Di. En l'absence d'un tel enregistrement DTi ou, lorsque celui-ci existe, mais que ledit statut Si indique une valeur autre que la valeur prédéterminée caractérisant un dispositif valide, situation symbolisée par le lien 243n en figure 10B, ledit sous-procédé 240 peut s'interrompre. Dans la situation contraire, symbolisée par le lien 243y en figure 10B, ledit sous-procédé 240 peut déclencher la mise en œuvre de l'étape 244 d'élaboration d'une requête en blocage d'un dispositif électronique, tel qu'évoqué précédemment .
A l'instar du deuxième processus permettant une autorisation de mise en relation entre deux dispositifs électroniques, ladite autorisation pouvant être annulée par la mise d'un œuvre d'un troisième processus conforme à l'invention, cette dernière prévoit que le blocage ou la suspension d'exploitation d'un dispositif électronique puisse être annulé par la mise en œuvre d'un cinquième processus visant à débloquer ou lever la suspension d'un tel dispositif électronique.
Un tel cinquième processus est illustré par la figure 7, en lien avec les figures 9 et 10B. Ledit processus vise à annuler les effets d'un traitement d'une requête en blocage BKR étudiée précédemment en lien avec la figure 6 et le dispositif électronique Di. Nous rappelons qu'un tel dispositif électronique Di a fait l'objet d'un premier processus d'enrôlement, puis éventuellement d'un deuxième processus de mise en relation avec un deuxième dispositif électronique Dj , respectivement selon les figures 3 et 4. Selon l'exemple non limitatif de la figure 7, considérons que ledit dispositif électronique Di a récemment fait l'objet d'un processus de blocage, illustré par la figure 6, et qu'il demeure donc dans un état de fonctionnement ne lui permettant ni d'être lié avec un deuxième dispositif électrique tel que le dispositif électronique Dj , ni d'échanger avec un tel deuxième dispositif électronique Dj , via une communication bilatérale sécurisée au sens de l'invention. Un tel cinquième processus consiste principalement en deux sous-procédés référencés 160 et 250, respectivement en figures 9 et 10B, et mis en œuvre par le dispositif électronique Di et par le serveur gestionnaire des communications ESM.
Un tel cinquième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi en œuvre un sous-procédé 250 visant à réhabiliter, restaurer ou débloquer l'exploitation d'un dispositif électronique ayant fait l'objet préalablement d'un processus d'enrôlement, en l'espèce le dispositif électronique Di. L'exemple préféré mais non limitatif d'un tel sous-procédé 250 comporte une étape 252, correspondant à l'instant E42 en figure 7, pour lire des données d'identification IDi, PKi, ou Ci du dispositif électronique Di dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 252 comporte une lecture du contenu de l'enregistrement DTi associé audit dispositif électronique Di et initialisé par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un premier processus d'enrôlement conforme à 1 ' invention .
Pour restaurer une exploitation du dispositif électronique Di, le sous-procédé 250 comporte une étape 254, correspondant à l'instant E43 en figure 7, pour élaborer un message encodant une requête de déblocage d'un dispositif électronique UBKR, ledit message comportant tout ou partie des données d'identification publiques, telles que les valeurs de l'identificateur IDi et/ou de la clé publique PKi, voire le certificat numérique Ci associé du dispositif électronique Di, et un code de déblocage UBC, lesdites données étant tirées ou lues à l'étape 252 dans la table des dispositifs électroniques DT.
Une telle étape 254 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit message encodant une requête de déblocage d'un dispositif électronique UBKR, à destination du dispositif électronique Di concerné par ladite requête de déblocage BKR .
Ledit sous-procédé 250 comporte à présent une étape d'attente 255 d'une réponse émanant dudit dispositif électronique Di, en l'espèce d'un message ACK accusant réception et traitement de ladite requête de déblocage UBKR.
Ainsi, le dispositif électronique Di, ou plus précisément sa propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 160 d'un procédé de mise en œuvre d'une communication sécurisée 100, tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 161 pour recevoir, via ses moyens de communication 13, le message encodant une requête de déblocage d'un dispositif électronique UBKR émis par le serveur gestionnaire des communications ESM, en un instant E43 en figure 6, pour le dispositif électronique Di.
Ladite étape 161 consiste en outre à décoder un tel message encodant une requête de déblocage d'un dispositif électronique UBKR pour collecter tout ou partie des données d' identification IDi, PKi et/ou Ci du dispositif électronique Di. Ainsi, par la lecture desdites données d' identification, le dispositif électronique Di peut vérifier que ledit message UBKR reçu lui est bien destiné. Le dispositif électronique Di, en un instant E44, met en œuvre une étape 162 subséquente dudit sous-procédé 160, pour comparer la valeur ou teneur du code de déblocage UBC tiré dudit message avec celle mémorisée par ledit dispositif électronique Di lors du traitement 110 de la dernière requête en enrôlement de ce dernier (étape 114) . Si une égalité est alors vérifiée, alors ladite étape 162 consiste à effacer dans la mémoire de données 12 et/ou 32, l'information, symbolisée par un panneau d'interdiction en figure 9, agissant tel un sémaphore exploité par l'unité de traitement 11 et/ou 31 pour notamment prévenir toute communication avec un pair. Le sous-procédé 160 mis en œuvre par le dispositif électronique Di peut également comporter, dès l'effacement de la donnée sémaphore, une étape 163 pour élaborer un message ACK accusant réception et traitement de la requête de déblocage UBKR à destination du serveur gestionnaire des communications bilatérales sécurisées ESM.
A l'instant E45, le procédé 200, mis en œuvre par le serveur gestionnaire ESM, alors en attente à l'étape 255 peut recevoir, via les moyens de communication 23, et décoder le message ACK, accusant réception et traitement de la requête de déblocage UBKR par ledit dispositif électronique Di concerné par ladite requête de déblocage UBKR. Ledit procédé 200, plus précisément le sous-procédé 250 décrit à titre d'exemple par la figure 10B, peut comporter une étape 256, correspondant à l'instant E46 en figure 6, pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT afin que ledit enregistrement DTi comporte la donnée décrivant un statut d'enrôlement Si dudit dispositif électronique Di, ledit statut d'enrôlement prenant comme valeur prédéterminée caractérisant le statut « dispositif valide », ou plus généralement une valeur autre que la valeur prédéterminée associée à un « dispositif bloqué », c'est-à-dire ayant suivi parfaitement un premier processus d'enrôlement et n'étant pas, en l'espèce plus, concerné par une procédure de blocage.
Une telle mise à jour de l'enregistrement DTi est avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si, situation symbolisée par le lien 255y en figure 10B, le message ACK accusant réception et traitement par ledit dispositifs électronique Di dudit message encodant la requête de déblocage UBKR a été bien préalablement reçu et décodé à l'étape 255, à l'instant E55.
Les communications avec un ou plusieurs dispositifs électroniques partenaires reprennent, telle que la communication bilatérale sécurisée SCij avec le dispositif électronique Dj , par la mise en œuvre des étapes du sous- procédé 130, mis en œuvre par ledit dispositif électronique Di, dès que la donnée sémaphore a été mouvementée ou effacée lors de la mise en œuvre de l'étape 162, c'est-à- dire dès l'instant E44 en figure 7.
Un processus de déblocage d'un premier dispositif électronique Di permet également toute nouvelle requête en mise en relation dudit premier dispositif électronique Di avec un deuxième dispositif électronique dès l'instant E46, soit dès la mise à jour 256 du statut Si dans la table des dispositifs électroniques DT. En effet, comme évoqué précédemment en lien avec le précédent processus de blocage, l'invention prévoit d'adapter un procédé 200, pour administrer une communication sécurisée mis en œuvre par un serveur gestionnaire des communications ESM, pour que l'étape 224 pour élaborer un message encodant une requête de mise en relation BR entre un premier dispositif électronique Di et un deuxième dispositif électronique Dj ne puisse être réalisée que si (situation symbolisée par le lien 223y en figure 10A) les deux statuts d'enrôlement Si et Sj associées aux deux dispositifs électroniques Di et Dj décrivent un statut « dispositif valide », c'est-à- dire ne faisant pas l'objet d'un processus d'enrôlement inachevé ou d'un processus de blocage.
En liaison avec les figures 7, 9 et 10B, nous avons tout d'abord examiné l'élaboration et le traitement d'une requête en déblocage d'un dispositif électronique UBKR initiée par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête UBKR peut, en variante ou en complément, résulter d'une consigne venant d'un tiers, en l'espèce sur la figure 7 d'un serveur de sécurité des dispositifs électroniques DSM. Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E41 en figure 7, un message de consigne UBK de déblocage d'un dispositif électronique Di. Un tel message de consigne UBK comporte avantageusement des données d' identification, telles que les valeurs de l'identificateur IDi du dispositif électronique Di dont l'exploitation en tant que nœud communicant dans un réseau administré selon l'invention ne doit plus être suspendue. L'étape 252 pour lire dans la table des dispositifs DT des données d'identifications du dispositif électronique, correspondant à l'instant E42 en figure 7, d'un procédé 200 pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10B, peut alors être adaptée pour rechercher l'enregistrement DTi comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne UBK reçu en une étape 251. Les étapes subséquentes 253 à 256, telles que détaillées précédemment, demeurent inchangées.
L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 257, subséquente à l'étape 256, pour mettre à jour l'enregistrement DTi dans la table des dispositifs DT, afin que ladite étape 257 consiste à :
élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire de communications ESM, de la consigne de déblocage UBK du dispositif électronique Di ;
déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.
La mise en œuvre d'une telle étape 257 est symbolisée par l'instant E47 en figure 7.
L'invention prévoit qu'un serveur gestionnaire des communications ESM ne transmette pas inutilement une requête en déblocage à un dispositif électronique non concerné par une suspension provisoire au sens du quatrième processus. Dans ce cas, ledit sous-procédé 250, tel que décrit à titre d'exemple non limitatif en lien avec la figure 10B, peut comporter une étape optionnelle 253 visant à s'assurer d'un tel fait préalable. Ladite étape 253 consiste ainsi à lire la table des dispositifs DT et à rechercher dans ladite table, un enregistrement DTi associé au dispositif électronique concerné par une éventuelle requête en déblocage et, dans l'affirmative à lire la valeur du champ Si caractérisant le statut d'enrôlement dudit dispositif électronique Di. Un tel enregistrement DTi doit comporter tout ou partie des données d'identification dudit dispositif électronique Di. En l'absence d'un tel enregistrement DTi ou, lorsque celui- ci existe, mais que ledit statut Si indique une valeur autre que la valeur prédéterminée caractérisant un dispositif bloqué, situation symbolisée par le lien 253n en figure 10B, ledit sous-procédé 250 peut s'interrompre. Dans la situation contraire, symbolisée par le lien 253y en figure 10B, ledit sous-procédé 250 peut déclencher la mise en œuvre de l'étape 254 d'élaboration d'une requête en déblocage d'un dispositif électronique, tel qu'évoqué précédemment .
Les quatrième et cinquième processus selon l'invention, tels que décrits en lien avec les figure 6 et 7, visent respectivement à suspendre et à rétablir la capacité de communication ou de mise en relation d'un dispositif électronique, lorsque ladite suspension est provisoire, par exemple durant une phase de maintenance dudit dispositif électronique ou pour des raisons d'ordre applicatif. Dans le cas où un serveur gestionnaire des communications ESM, voire un serveur de sécurité des dispositifs électroniques DSM, considérait qu'un dispositif électronique n'est plus en capacité d'agir correctement dans son réseau d'objets communicants, par exemple si la sécurité intrinsèque ou l'intégrité dudit dispositif électronique deviennent contestés ou suspectes, l'invention prévoit qu'un tel dispositif électronique puisse être définitivement révoqué. Celui-ci devra être retiré du réseau d'objets communicants, réinitialisé et devra procéder à un nouveau processus d'enrôlement.
Étudions à présent, en liaison avec les figures 8, 9 et 10B, comment mettre en application un tel sixième processus de révocation permanente d'un dispositif électronique, en l'espèce le dispositif électronique Di étudié précédemment avec les figures 3 à 7.
Selon l'exemple non limitatif de la figure 8, un tel sixième processus consiste principalement en deux sous- procédés référencés 170 et 260, respectivement en figures 9 et 10B, et mis en œuvre par tout dispositif électronique Di ou Dj et par le serveur gestionnaire des communications ESM .
Un tel sixième processus est majoritairement opéré par un serveur gestionnaire des communications ESM conforme à l'invention, tel que celui décrit en lien avec la figure 2. Ce dernier met ainsi un sous-procédé 260 visant à révoquer un dispositif électronique, c'est-à-dire suspendre l'exploitation d'un tel dispositif électronique ayant fait l'objet préalablement d'un premier processus d'enrôlement, en l'espèce le dispositif électronique Di, jusqu'à ce que dernier soit remplacé ou bien mette en œuvre un nouveau processus d'enrôlement. L'exemple préféré mais non limitatif d'un tel sous-procédé 260 comporte une étape 262, correspondant à l'instant E52 en figure 8, pour lire des données d'identification publiques IDi, PKi, ou Ci du dispositif électronique Di dans la table des dispositifs électroniques DT. Plus précisément, une telle étape 262 comporte une lecture du contenu de l'enregistrement DTi associé audit dispositif électronique Di et initialisé par la mise en œuvre du sous-procédé 210 évoqué précédemment en lien avec un premier processus d'enrôlement conforme à 1 ' invention .
Pour révoquer le dispositif électronique Di, le sous- procédé 260 comporte une étape 263, correspondant à l'instant E53 en figure 8, pour élaborer un message encodant une requête de révocation d'un dispositif électronique KR, ledit message comportant tout ou partie des données d' identification, telles que les valeurs de l'identificateur IDi et/ou de la clé publique PKi, voire le certificat numérique Ci associé du dispositif électronique Di, et un code de révocation KC, lesdites données étant tirées ou lues à l'étape 262 dans la table des dispositifs électroniques DT.
Une telle étape 263 consiste en outre à déclencher l'émission, par les moyens de communication 23, dudit message encodant une requête en révocation d'un dispositif électronique KR, à destination du dispositif électronique Di concerné par ladite requête en révocation KR.
Le dispositif électronique Di, ou plus précisément sa propre unité de traitement 11 et/ou 31, met en œuvre un sous-procédé 170 d'un procédé de mise en œuvre d'une communication sécurisée 100 tel que décrit en lien avec la figure 9. Ce dernier comporte une première étape 171 pour recevoir, via ses moyens de communication 13, le message encodant une requête en révocation d'un dispositif électronique KR émis par le serveur gestionnaire des communications ESM, en un instant E53, pour le dispositif électronique Di. Ladite étape 171 consiste en outre à décoder un tel message encodant une requête en révocation d'un dispositif électronique KR pour collecter tout ou partie des données d'identification IDi, PKi et/ou Ci du dispositif électronique Di. Ainsi, par la lecture desdites données d' identification, le dispositif électronique Di peut vérifier que ledit message BKR reçu lui est bien destiné. Le dispositif électronique Di, en un instant E54, met en œuvre une étape 172 subséquente dudit sous-procédé 170, pour comparer la valeur ou teneur du code de révocation KC tiré dudit message avec celle mémorisée par ledit dispositif électronique Di lors du traitement 110 de la dernière requête en enrôlement de ce dernier (étape 114) . Si une égalité est alors vérifiée, alors ladite étape 172 consiste à effacer la mémoire de données 12 et/ou 32, y compris les données d' indentification propres au dispositif électronique Di, rendant celui-ci inapte à fonctionner, du moins à mettre en œuvre toute communication avec un pair. Le sous-procédé 170 mis en œuvre par le dispositif électronique Di peut également comporter, préalablement à l'étape 173, une étape 172 pour élaborer un message ACK accusant réception et traitement de la requête en révocation KR à destination du serveur gestionnaire des communications bilatérales sécurisées ESM .
A l'instant E55 en figure 8, le procédé 200, mis en œuvre par le serveur gestionnaire ESM, plus précisément le sous-procédé 260 décrit à titre d'exemple par la figure 10B, peut comporter une étape 264 pour supprimer l'enregistrement DTi dans la table des dispositifs DT ainsi qu' éventuellement et avantageusement, en une étape 265, supprimer tout enregistrement BTij dans la table des liens, associé à une mise en relation dudit dispositif électronique Di avec un tiers. Une telle mise à jour des tables DT et/ou BT peut être avantageusement mise en œuvre par le serveur gestionnaire des communications ESM, si et seulement si, situation non représentée en figure 10B, un message ACK accusant réception et traitement par ledit dispositifs électronique Di dudit message encodant la requête en révocation KR a été bien préalablement reçu.
En liaison avec les figures 8, 9 et 10B, nous avons tout d'abord examiné l'élaboration et le traitement d'une requête en révocation d'un dispositif électronique KR initiée par un serveur gestionnaire des communications ESM conforme à l'invention. Une telle requête KR peut être à l'initiative dudit serveur gestionnaire des communications ESM ou bien résulter d'une consigne venant d'un tiers, en l'espèce sur la figure 8 d'un serveur de sécurité des dispositifs électroniques DSM. Pour cela, un tel serveur de sécurité DSM, ou plus généralement un objet électronique tiers agissant en tant que gestionnaire de la sécurité des dispositifs électroniques et coopérant avec ledit serveur gestionnaire de communications ESM, peut émettre à l'instant E51, un message de consigne K de révocation d'un dispositif électronique Di. Un tel message de consigne K comporte avantageusement des données d' identification, telles que les valeurs de l'identificateur IDi du dispositif électronique Di dont l'exploitation en tant que nœud communicant dans un réseau administré selon l'invention doit être irrémédiablement suspendue.
L'étape 262 pour lire dans la table des dispositifs DT des données d'identification du dispositif électronique, correspondant à l'instant E52 en figure 8, d'un procédé 200 pour administrer une communication bilatérale sécurisée selon l'invention, tel qu'illustré par la figure 10B, peut alors être adaptée pour rechercher l'enregistrement DTi comportant les valeurs respectives desdites données d' identification publiques véhiculées dans le message de consigne K reçu en une étape 261. Les étapes subséquentes 263 à 265, telles que détaillées précédemment, demeurent inchangées.
L' invention prévoit simplement de pouvoir adapter un procédé 200 en ajoutant une étape 266, subséquente aux étapes 264 et/ou 265, afin que ladite étape 267 consiste à :
élaborer un message ACK accusant réception et traitement, par ledit serveur gestionnaire de communications ESM, de la consigne de révocation K du dispositif électronique Di ;
déclencher l'émission dudit message ACK à destination de l'objet électronique DSM agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.
La mise en œuvre d'une telle étape 266 est symbolisée par l'instant E56 dans la figure 8.

Claims

REVENDICATIONS
1. Procédé (200, 220) pour administrer une communication bilatérale sécurisée (SCij) entre deux dispositifs électroniques (Di, Dj ) parmi une pluralité (Dl, Di, Dj , Dn) , ledit procédé (200) étant mis en œuvre par une unité de traitement (21) d'un serveur gestionnaire des communications bilatérales sécurisées (ESM) , ledit serveur gestionnaire des communications bilatérales sécurisées (ESM) comportant outre ladite unité de traitement (21), une mémoire de données (22), des moyens de communication (23) assurant une communication avec le monde extérieur, ladite mémoire de données (22) et lesdits moyens de communication (23) coopérant avec ladite unité de traitement (21), la mémoire de données (22) comportant :
des valeurs respectives de données d'identification publiques (IDesm, PKesm) et de données d'identification secrètes (SKesm) , lesdites données d' identification secrètes et publiques étant propres audit serveur gestionnaire des communications bilatérales sécurisées (ESM) ;
une première structure de données (DT) , dite « table des dispositifs », comportant des enregistrements (DTi, DTj , DTn) respectivement associés à des dispositifs électroniques (Di, Dj , Dn) parmi ceux appartenant à ladite pluralité de dispositifs électroniques (Dl, Di, Dj , Dn) , chaque enregistrement (DTi, DTj , DTn) stockant des données d'identification publiques (IDi, PKi, Ci, IDj, PKj , Cj , IDn, PKn, Cn) du dispositif électronique (Di, Dj , Dn) qui lui est associé ;
une deuxième structure de données (BT) , dite « table des liens », comprenant un enregistrement (BTij ) associé à toute mise en relation autorisée entre deux dispositifs électroniques (Di, Dj ) associés respectivement à des enregistrements (DTi, DTj , DTn) dans la table des dispositifs (DT), ledit enregistrement (BTij) de la table des liens (BT) comportant les valeurs respectives de tout ou partie des données d'identification publiques (IDi, IDj) desdits deux dispositifs électroniques (Di, Dj ) autorisés à être mis en relation ;
ledit procédé (200) étant caractérisé en ce qu'il comporte :
une étape (222, Eli, Eli') pour lire des données d'identification publiques (IDi, PKi, Ci, IDj, PKj, Cj ) de deux dispositifs électroniques dans la table des dispositifs électroniques (DT) ;
- une étape (224, E12, E12') pour :
élaborer un premier message encodant une requête de mise en relation (BR) , ledit premier message comportant tout ou partie des données d' identification publiques (IDi, PKi, Ci, IDj, PKj , Cj ) de deux dispositifs électroniques lues (222, Eli, Eli') dans la table des dispositifs électroniques (DT) ;
déclencher l'émission par les moyens de communication (23) dudit premier message encodant une requête de mise en relation (BR) , à destination des deux dispositifs électroniques (Di, Dj ) concernés par ladite requête de mise en relation (BR) ;
- une étape (225, E14, E14') pour recevoir, via lesdits moyens de communication (23) , et décoder deux messages (ACK) accusant réception et traitement dudit premier message (BR) par lesdits deux dispositifs électroniques (Di, Dj ) concernés par ladite requête de mise en relation ;
- une étape (226, E15) pour créer et mettre à jour un enregistrement (BTij ) dans la table des liens (BT) pour que ledit enregistrement (BTij) mémorise les valeurs respectives de tout ou partie des données d' identification publiques desdits deux dispositifs électroniques (Di, Dj ) ainsi autorisés à être mis en relation, si et seulement si (225y) lesdits deux messages (ACK) accusant réception et traitement, par lesdits deux dispositifs électroniques (Di, Dj ) dudit premier message encodant la requête de mise en relation (BR) ont été bien préalablement reçus et décodés (225, E14, E14 ' ) .
2. Procédé (200, 220) selon la revendication précédente, comportant une étape pour produire, puis inscrire dans ladite mémoire de données (22), la valeur d'une clé secrète (SKiesm, SKjesm) exploitée pour mettre en œuvre une communication bilatérale sécurisée (SCiesm, SCjesm) avec ledit premier (Di) ou ledit deuxième (Dj) dispositif électronique, à partir de valeurs issues desdites données d'identification secrètes (SKesm) du serveur gestionnaire des communications bilatérales sécurisées (ESM) et de valeurs issues des données d'identification publiques (IDi, Ci, PKi, IDj, Cj , PKj ) dudit premier (Di) ou dudit deuxième (Dj) dispositif électronique.
3. Procédé (200, 220) selon la revendication 1 ou 2, pour lequel le premier message encodant une requête de mise en relation (BR) comporte en outre une donnée (BP) décrivant une modalité de mise en œuvre d'une communication bilatérale sécurisée (SCij) entre les dispositifs électroniques (Di, Dj ) autorisés à être mis en relation.
4. Procédé (200, 220) selon l'une quelconque des revendications précédentes, comportant une étape (221, E10), préalable à l'étape (224) pour élaborer un message encodant une requête de mise en relation (BR) de deux dispositifs électroniques (Di, Dj ) , pour recevoir, via les moyens de communication (23) , et pour décoder un message de consigne (B) de mise en relation des deux dispositifs électroniques (Di, Dj ) , ledit message de consigne (B) étant émis (E10) par un objet électronique tiers (DSM) agissant en tant que serveur gestionnaire de la sécurité des dispositifs électroniques coopérant (N) avec ledit serveur gestionnaire de communications bilatérales sécurisées (ESM) , et comportant des données d'identification publiques (IDi, IDj) des deux dispositifs électroniques (Di, Dj ) à mettre en relation, l'étape pour lire (222, Eli, Eli') dans la table des dispositifs (DT, DTi, DTj ) des données d' identification publiques de deux dispositifs électroniques consistant à rechercher les enregistrements (DTi, DTj ) comportant les valeurs respectives desdites données d' identification véhiculées dans le message de consigne (B) .
5. Procédé (200, 220) selon la revendication précédente, comportant une étape (227, E16), postérieure à l'étape (226, E15) pour créer et mettre à jour un enregistrement (BTij ) dans la table des liens (BT) pour :
élaborer un message (ACK) accusant réception et traitement, par ledit serveur gestionnaire de communications bilatérales sécurisées (ESM) , de la consigne de mise en relation (B) des deux dispositifs électroniques (Di, Dj ) ;
déclencher l'émission dudit message (ACK) à destination de l'objet électronique (DSM) agissant en tant que serveur gestionnaire de la sécurité des dispositifs électroniques.
6. Procédé (200, 220) selon l'une quelconque des revendications précédentes, pour lequel :
le ou les enregistrements (DTi, DTj , DTn) , respectivement associés à des dispositifs électroniques (Di, Dj , Dn) , de la table des dispositifs (DT) stockent chacun, outre des données d'identification publiques (IDi, PKi, Ci, IDj, PKj , Cj , IDn, PKn, Cn) du dispositif électronique (Di, Dj , Dn) qui lui est associé, une donnée décrivant un statut d'enrôlement (Si, Sj , Sn) dudit dispositif électronique (Di, Dj , Dn) , ledit statut d'enrôlement pouvant décrire un ensemble de valeurs prédéterminées caractérisant respectivement des statuts parmi lesquels un statut « dispositif valide », un statut « dispositif bloqué » ;
l'étape (222, Eli, Eli') pour lire des données d'identification publiques (IDi, IDj, Ci, PKi, Cj , PKj) de deux dispositifs électroniques dans la table des dispositifs électroniques (DT) consiste en outre en la lecture desdits statuts d'enrôlement (Si, Sj , Sn) desdits dispositifs électroniques (Di, Dj ) ;
- l'étape (224, E12, E12') pour élaborer un message encodant une requête de mise en relation (BR) n'est réalisée que si lesdits deux statuts d'enrôlement (Si, Sj ) desdits deux dispositifs électroniques (Di, Dj ) décrivent un statut « dispositif valide ».
7. Procédé (200, 230) selon l'une quelconque des revendications précédentes, comportant :
une étape (234, E23, E23' ) pour :
élaborer un deuxième message encodant une requête d'annulation de mise en relation (UBR) de deux dispositifs électroniques, ledit deuxième message comportant tout ou partie des données d' identification publiques (IDi, IDj, Ci, Cj ) desdits deux dispositifs électroniques préalablement lues (232, E22, E22') dans la table des dispositifs électroniques (DT) ;
déclencher l'émission par les moyens de communication (23) dudit deuxième message encodant une requête d'annulation de mise en relation (UBR) , à destination de chacun des deux dispositifs électroniques (Di, Dj ) concernés par ladite requête d'annulation de mise en relation (UBR) ; une étape (235, E23, E23' ) pour recevoir, via lesdits moyens de communication (23) , et décoder deux messages (ACK) accusant réception et traitement dudit deuxième message encodant une requête d'annulation de mise en relation (UBR) , par lesdits deux dispositifs électroniques (Di, Dj ) concernés par ladite requête d'annulation de mise en relation (UBR) ;
une étape (236, E24) pour supprimer l'enregistrement (BTij ) dans la table des liens
(BT), ledit enregistrement (BTij) mémorisant les valeurs respectives de tout ou partie des données d' identification publiques desdits deux dispositifs électroniques (Di, Dj ) préalablement autorisés à être mis en relation, si et seulement si (235y) lesdits deux messages
(CK) accusant réception et traitement dudit deuxième message encodant la requête d'annulation de mise en relation (UBR) par lesdits deux dispositifs électroniques (Di, Dj ) , ont été bien préalablement reçus et décodés (235, E23, E23' ) .
8. Procédé (200, 230) selon la revendication précédente, comportant une étape (231, E21), préalable à l'étape (234) pour élaborer un deuxième message encodant une requête d'annulation de mise en relation (UBR) de deux dispositifs électroniques (Di, Dj ) , pour recevoir, via les moyens de communication (23) , et pour décoder, un message de consigne (UB) en annulation de mise en relation des deux dispositifs électroniques (Di, Dj ) , ledit message de consigne (UB) étant émis (E21) par un objet électronique tiers (DSM) agissant en tant que serveur gestionnaire de la sécurité des dispositifs électroniques et coopérant (N) avec ledit serveur gestionnaire des communications bilatérales sécurisées (ESM) , ledit message de consigne (UB) comportant des données d' identification publiques (IDi, IDj) des deux dispositifs électroniques (Di, Dj ) à ne plus mettre en relation, l'étape pour lire (232, Eli, Eli') dans la table des dispositifs (DT, DTi, DTj ) des données d'identification publiques de deux dispositifs électroniques consistant à rechercher les enregistrements (DTi, DTj ) comportant les valeurs respectives desdites données d' identification publiques véhiculées dans le message de consigne (UB) en annulation de mise en relation .
9. Procédé (200, 230) selon la revendication précédente, comportant une étape (237, E27), postérieure à l'étape (236, E15) pour supprimer un enregistrement (BTij ) dans la table des liens (BT), ladite étape postérieure consistant à :
élaborer un message (ACK) accusant réception et traitement de la consigne d'annulation de mise en relation (B) des deux dispositifs électroniques (Di, Dj ) par ledit serveur gestionnaire des communications bilatérales sécurisées (ESM) ; déclencher l'émission dudit message (ACK) à destination de l'objet électronique (DSM) agissant en tant que serveur gestionnaire de la sécurité des dispositifs électroniques.
10. Procédé (200, 240) selon l'une quelconque des revendications précédentes, comportant :
une étape (244, E33) pour :
élaborer un troisième message encodant une requête de blocage d'un dispositif électronique (BKR) , ledit troisième message comportant tout ou partie des données d'identification publiques (IDi, Ci) dudit dispositif électronique (Di) ;
déclencher l'émission par les moyens de communication (23) dudit troisième message encodant une requête de blocage du dispositif électronique (BKR) à destination dudit dispositif électronique (Di) concerné par la présente requête de blocage (BKR) ; une étape (245, E33) pour recevoir, via lesdits moyens de communication (23) , et décoder, un message (ACK) accusant réception et traitement dudit troisième message (BKR) par ledit dispositif électronique (Di) concerné par ladite requête de blocage ;
une étape (246, E32) pour mettre à jour, dans la table des dispositifs (DT), l'enregistrement (DTi) mémorisant les valeurs respectives de tout ou partie des données d' identification publiques dudit dispositif électronique (Di) , de sorte que le statut d'enrôlement, au sein dudit enregistrement (DTi) , décrive la valeur prédéterminée caractérisant un statut « dispositif bloqué », si et seulement si (245y) ledit message (ACK) , accusant réception et traitement dudit troisième message encodant la requête de blocage (BKR) , a bien été reçu et décodé (245, E33) par ledit dispositif électronique (Di) .
11. Procédé (200, 240) selon la revendication précédente, comportant une étape (241, E31), préalable à l'étape (244) pour élaborer un troisième message encodant une requête de blocage (BKR) du dispositif électronique (Di) , pour recevoir, via les moyens de communication (23) , et pour décoder, un message de consigne (BK) en blocage d'un dispositif électronique (Di), ledit message de consigne (BK) étant émis (E31) par un objet électronique tiers (DSM) agissant en tant que serveur gestionnaire de la sécurité des dispositifs électroniques et coopérant (N) avec ledit serveur de gestion des communications bilatérales sécurisées (ESM) , ledit message de consigne (BK) comportant des données d' identification publiques (IDi) dudit dispositif électronique (Di) à bloquer, l'étape pour lire (242, E31), dans la table des dispositifs (DT), des données d'identification publiques dudit dispositif électronique, consistant à rechercher l'enregistrement (DTi) comportant les valeurs respectives desdites données d' identification publiques véhiculées dans le message de consigne en blocage (BK) .
12. Procédé (200, 240) selon la revendication précédente, comportant une étape (247, E36) postérieure à l'étape (246, E33) pour mettre à jour un enregistrement (DTi) dans la table des dispositifs (DT), ladite étape postérieure (247, E36) consistant à :
élaborer un message (ACK) accusant réception et traitement de la consigne en blocage (BK) du dispositif électronique (Di) par ledit serveur gestionnaire de communications bilatérales sécurisées (ESM) ;
déclencher l'émission dudit message (ACK) à destination de l'objet électronique (DSM) agissant en tant que gestionnaire de la sécurité des dispositifs électroniques.
13. Procédé (200, 250) selon l'une quelconque des revendications précédentes, comportant :
une étape (254, E43) pour :
élaborer un quatrième message encodant une requête de déblocage d'un dispositif électronique (UBKR) , ledit quatrième message comportant tout ou partie des données d'identification publiques (IDi, Ci) dudit dispositif électronique (Di) ; déclencher l'émission par les moyens de communication (23) dudit quatrième message encodant une requête (UBKR) de déblocage du dispositif électronique à destination dudit dispositif électronique (Di) concerné ;
une étape (255, E43) pour recevoir, via lesdits moyens de communication (23) , et pour décoder, un message (ACK) accusant réception et traitement dudit quatrième message encodant une requête (UBKR) de déblocage par ledit dispositif électronique (Di) concerné ; une étape (256, E44) pour mettre à jour, dans la table des dispositifs (DT), l'enregistrement (DTi) mémorisant les valeurs respectives de tout ou partie des données d' identification publiques dudit dispositif électronique (Di) de sorte que le statut d'enrôlement, au sein dudit enregistrement (DTi) , décrive une valeur prédéterminée caractérisant un statut « dispositif valide », si et seulement si (255y) ledit message (ACK) , accusant réception et traitement dudit quatrième message encodant la requête de déblocage (UBKR) , a bien été reçu et décodé (255, E43) par ledit dispositif électronique (Di) .
14. Procédé (200, 250) selon la revendication précédente, comportant une étape (251, E41), préalable à l'étape (254) pour élaborer un quatrième message encodant une requête de déblocage (UBKR) d'un dispositif électronique (Di), pour recevoir, via les moyens de communication (23) , et pour décoder, un message de consigne (UBK) en déblocage d'un dispositif électronique (Di), ledit message de consigne (UBK) étant émis (E41) par un objet électronique tiers (DSM) agissant en tant que serveur gestionnaire de la sécurité des dispositifs électroniques et coopérant (N) avec ledit serveur de gestion de communications bilatérales sécurisées (ESM) , ledit message de consigne (UBK) comportant des données d'identification (IDi) dudit dispositif électronique (Di) à débloquer, l'étape pour lire (252, E42), dans la table des dispositifs (DT) des données d' identification du dispositif électronique (Di), consistant à rechercher l'enregistrement (DTi) comportant les valeurs respectives desdites données d' identification publiques véhiculées dans le message de consigne en déblocage (UBK) .
15. Procédé (200, 250) selon la revendication précédente, comportant une étape (257, E47), postérieure à l'étape (256, E44) pour mettre à jour un enregistrement (DTi) dans la table des dispositifs (DT), ladite étape postérieure (257, E47) consistant à :
élaborer un message (ACK) accusant réception et traitement de la consigne en déblocage (UBK) du dispositif électronique (Di) par ledit serveur gestionnaire des communications bilatérales sécurisées (ESM) ; déclencher l'émission dudit message (ACK) à destination de l'objet électronique (DSM) agissant en tant que serveur gestionnaire de la sécurité des dispositifs électroniques.
16. Procédé (200, 260) selon l'une quelconque des revendications précédentes, comportant :
une étape (263, E53) pour :
élaborer un cinquième message encodant une requête de révocation d'un dispositif électronique (KR) , ledit cinquième message comportant tout ou partie des données d'identification publiques (IDi, Ci) dudit dispositif électronique (Di) ;
déclencher l'émission par les moyens de communication (23) dudit cinquième message encodant une requête de révocation du dispositif électronique (KR) à destination dudit dispositif électronique (Di) concerné par la présente requête de révocation (KR) ; une étape (264, E52) pour supprimer, dans la table des dispositifs (DT), l'enregistrement (DTi) mémorisant les valeurs respectives de tout ou partie des données d' identification publiques dudit dispositif électronique (Di) ; une étape (265, E55) pour supprimer tout enregistrement (BTij ) dans la table des liens (BT), ledit enregistrement (BTij) mémorisant les valeurs respectives de tout ou partie des données d' identification publiques dudit dispositif électroniques (Di) .
17. Procédé (200, 260) selon la revendication précédente, comportant une étape (261, E51), préalable à l'étape (263) pour élaborer un cinquième message encodant une requête de révocation (KR) du dispositif électronique (Di) , pour recevoir, via les moyens de communication (23) , et pour décoder, un message de consigne (K) en révocation d'un dispositif électronique (Di), ledit message de consigne (K) étant émis (E51) par un objet électronique tiers (DSM) agissant en tant que serveur gestionnaire de la sécurité des dispositifs électroniques et coopérant (N) avec ledit serveur de gestion de communications bilatérales sécurisées (ESM) , ledit message de consigne (K) en révocation comportant des données d'identification publiques (IDi) dudit dispositif électronique (Di) à révoquer, l'étape pour lire (262), dans la table des dispositifs (DT) des données d' identification publiques du dispositif électronique (Di) , consistant à rechercher l'enregistrement (DTi) comportant les valeurs respectives desdites données d' identification publiques véhiculées dans le message de consigne en révocation (K) .
18. Procédé (200, 260) selon la revendication précédente, comportant une étape (266, E57), postérieure à l'étape (263, E53) pour supprimer un enregistrement (DTi) dans la table des dispositifs (DT), ladite étape postérieure (266, E57) consistant à :
élaborer un message (ACK) accusant réception et traitement de la consigne en révocation (K) du dispositif électronique (Di) par ledit serveur gestionnaire des communications bilatérales sécurisées (ESM) ;
déclencher l'émission dudit message (ACK) à destination de l'objet électronique (DSM) agissant en tant que serveur gestionnaire de la sécurité des dispositifs électroniques.
19. Produit programme d'ordinateur (P2) comportant des instructions de programme qui, lorsqu'elles sont exécutées ou interprétées par un ordinateur (ESM, 21), provoquent la mise en œuvre d'un procédé pour administrer une communication bilatérale sécurisée (200) entre deux dispositifs électroniques selon l'une quelconque des revendications 1 à 18.
20. Serveur gestionnaire des communications bilatérales sécurisées (ESM) , comportant une unité de traitement (21), une mémoire de données (22), une mémoire de programmes (24), des moyens de communication (23) assurant une communication avec le monde extérieur, ladite mémoire de données (22) et lesdits moyens de communication (23) coopérant avec ladite unité de traitement (21), la mémoire de données (22) comportant des valeurs respectives de données d'identification publiques (IDesm, PKesm) et secrètes (SKesm) propres audit serveur gestionnaire des communications bilatérales sécurisées (ESM) , ledit serveur gestionnaire des communications bilatérales sécurisées (ESM) étant caractérisé en ce qu' il comporte dans la mémoire de programmes (24), les instructions d'un produit programme d'ordinateur (P2) selon la revendication précédente .
21. Système comportant une pluralité de dispositifs électroniques (Dl, Di, Dj , Dn) coopérant avec un serveur gestionnaire de communications bilatérales sécurisées (ESM) conforme à la revendication précédente .
22. Procédé (100, 120) pour mettre en œuvre une communication bilatérale sécurisée (SCij) avec un deuxième dispositif électronique (Dj), ledit procédé (100) étant mis en œuvre par une unité de traitement (11) d'un premier dispositif électronique (Di) , lesdits premier et deuxième dispositifs électroniques (Di, Dj ) appartenant à un système comportant une pluralité de dispositifs électroniques (Dl, Di, Dj , Dn) coopérant avec un serveur gestionnaire de communications bilatérales sécurisées (ESM) , ledit premier dispositif électronique (Di) comportant outre ladite unité de traitement (11), une mémoire de données (12), des moyens de communication (13) assurant une communication avec le monde extérieur, ladite mémoire de données (12) et lesdits moyens de communication (13) coopérant avec ladite unité de traitement (11), la mémoire de données (12) comportant des valeurs respectives de données d'identification publiques (IDi, PKi) et de données d'identification secrètes (SKi) , lesdites données d' identification secrètes et publiques étant propres audit premier dispositif électronique (Di) , parmi lesquelles un couple de clés, respectivement secrète (SKi) et publique (PKi) , ledit procédé (100) étant caractérisé en ce qu'il comporte :
une étape (121, E12) pour recevoir, via les moyens de communication (13), et pour décoder, un premier message encodant une requête de mise en relation (BR) , ledit premier message comportant tout ou partie des données d'identification publiques (IDi, IDj, Ci, PKi, Cj , PKj ) des premier et deuxième dispositifs électroniques (Di, Dj ) et étant émis par le serveur gestionnaire des communications bilatérales sécurisées (ESM) ;
une étape (122, E13) pour inscrire dans la mémoire de données (12) tout ou partie des données d'identification publiques (IDj, Cj , PKj) du deuxième dispositif électronique (Dj) et pour produire et inscrire dans ladite mémoire de données (12) du premier dispositif électronique (Di), la valeur d'une clé (SKij) secrète et exploitée pour mettre en œuvre une communication bilatérale sécurisée (SCij) avec ledit deuxième dispositif électronique (Dj), à partir de valeurs issues desdites données d'identification secrètes (SKi) du premier dispositif électronique (Di) et de valeurs issues desdites données d' identification publiques (IDj, Cj , PKj ) du deuxième dispositif électronique (Dj) ;
une étape (123, E14) pour élaborer un message (ACK) accusant réception et traitement de la requête de mise en relation (BR) par ledit dispositif électronique (Di) à destination dudit serveur gestionnaire des communications bilatérales sécurisées (ESM) ;
une étape (132, 136, E17) pour recevoir, via les moyens de communication (13), et décoder, ou pour élaborer, encoder puis émettre (136) via lesdits moyens de communication (13), un message de données et/ou d'actions, la teneur dudit message étant chiffrée à l'aide de la valeur de ladite clé (SKij) secrète exploitée pour mettre en œuvre une communication bilatérale sécurisée (SCij) préalablement produite (122, E13) par ledit premier dispositif électronique (Di) .
23. Procédé (100, 120) selon la revendication précédente, comportant une étape pour produire et inscrire dans ladite mémoire de données (12), la valeur d'une clé secrète (SKiesm) exploitée pour mettre en œuvre une communication bilatérale sécurisée (SCiesm) avec le serveur gestionnaire des communications bilatérales sécurisées (ESM) , à partir de valeurs issues de données d'identification publiques (PKesm) dudit serveur gestionnaire des communications bilatérales sécurisées (ESM) , lesdites données d' identification publiques étant préalablement inscrites dans la mémoire de données (12) du premier dispositif électronique (Di) , et de valeurs issues des données d'identification secrètes (SKi) dudit premier dispositif électronique (Di) .
24. Produit programme d'ordinateur (PI) comportant des instructions de programme qui, lorsqu'elles sont exécutées ou interprétées par un ordinateur (Di, Dj , 11), provoquent la mise en œuvre par ledit ordinateur (Di, Dj , 11) d'un procédé (100) pour mettre en œuvre une communication bilatérale sécurisée (SCij) avec un dispositif électronique.
25. Dispositif électronique (Di) comportant une unité de traitement (11, 31), une mémoire de données (12, 32), une mémoire de programmes (14), des moyens de communication (13) assurant une communication avec le monde extérieur, ladite mémoire de données (12, 32) et lesdits moyens de communication (13) coopérant avec ladite unité de traitement (11), la mémoire de données (12) comportant des valeurs respectives de données d' identification publiques (IDi, PKi) et de données d'identification secrètes (SKi) , lesdites données d'identification secrètes et publiques étant propres audit dispositif électronique (Di) , ce dernier (Di) étant caractérisé en ce qu' il comporte dans la mémoire de programmes (14), les instructions d'un produit programme d'ordinateur (PI) selon la revendication précédente .
26. Dispositif électronique (Di) selon la revendication précédente, comportant ou coopérant avec un module de sécurité (SMi) , ce dernier comportant la mémoire de données (32) et une unité de traitement (31) agencée pour mettre en œuvre l'étape (123) pour produire puis inscrire dans ladite mémoire de données (32) la valeur d'une clé (SKij) secrète et exploitée pour mettre en œuvre une communication bilatérale sécurisée (SCij) avec un deuxième dispositif électronique (Dj), d'un procédé selon la revendication 22.
27. Dispositif selon l'une quelconque des revendications 25 et 26, comportant un capteur de mesure (15) d'une grandeur physique en lien avec l'environnement dudit dispositif électronique (Di), pour lequel l'unité de traitement (11, 31) est agencée de sorte que l'étape (136, E17) pour élaborer, encoder puis émettre un message de données et/ou d'actions d'un procédé (100) pour mettre en œuvre une communication bilatérale sécurisée (SCij) selon la revendication 22, consiste à intégrer la valeur d'une mesure délivrée par ledit capteur (15) dans ledit message de données et/ou d'actions.
28. Dispositif selon l'une quelconque des revendications 25 et 26, comportant une interface de pilotage (18) d'un actionneur (Ai) associé audit dispositif électronique (Di), pour lequel l'unité de traitement (11, 31) est agencée de sorte que l'étape (136, E17) pour recevoir et décoder un message de données et/ou d'actions d'un procédé (100) pour mettre en œuvre une communication bilatérale sécurisée (SCij) selon la revendication 22, consiste à délivrer audit actionneur (Ai) une consigne de pilotage de ce dernier, ladite consigne étant déduite dudit message de données et/ou d'actions décodé.
29. Procédé, mis en œuvre par un système comportant une pluralité de dispositifs électroniques (Dl, Di, Dj , Dn) coopérant avec un serveur gestionnaire de communications bilatérales sécurisées (ESM) , comportant :
une première étape pour autoriser une communication bilatérale sécurisée entre des premier et deuxième dispositifs électroniques (Di, Dj ) parmi la pluralité de dispositifs électroniques (Dl, Di, Dj , Dn) dudit système, ladite première étape étant mise en œuvre par une unité de traitement (21) du serveur gestionnaire de communications bilatérales sécurisées selon un procédé (200, 220) conforme à l'une quelconque des revendications 1 à 18 ; une deuxième étape (100, 120) pour mettre en œuvre une communication bilatérale sécurisée (SCij) entre lesdits premier et deuxième dispositifs électroniques (Di, Dj ) , ladite deuxième étape étant mise en œuvre par l'unité de traitement (12) de chacun desdits premier et deuxième dispositifs électroniques (Di, Dj ) selon un procédé (100) conforme à la revendication 22 ou 23.
PCT/FR2019/051419 2018-06-12 2019-06-12 Procede de communication securisee entre deux dispositifs electroniques, procede pour administrer une telle communication, objets electroniques mettant en oeuvre respectivement lesdits procedes et systeme associe WO2019239066A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1855123 2018-06-12
FR1855123A FR3082382B1 (fr) 2018-06-12 2018-06-12 Procede de communication securisee entre deux dispositifs electroniques, procede pour administrer une telle communication, objets electroniques mettant en oeuvre respectivement lesdits procedes et systeme associe

Publications (1)

Publication Number Publication Date
WO2019239066A1 true WO2019239066A1 (fr) 2019-12-19

Family

ID=63963112

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2019/051419 WO2019239066A1 (fr) 2018-06-12 2019-06-12 Procede de communication securisee entre deux dispositifs electroniques, procede pour administrer une telle communication, objets electroniques mettant en oeuvre respectivement lesdits procedes et systeme associe

Country Status (2)

Country Link
FR (1) FR3082382B1 (fr)
WO (1) WO2019239066A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100153727A1 (en) * 2008-12-17 2010-06-17 Interdigital Patent Holdings, Inc. Enhanced security for direct link communications
US20160065362A1 (en) * 2013-04-05 2016-03-03 Interdigital Patent Holdings, Inc. Securing peer-to-peer and group communications
US20160269903A1 (en) * 2013-10-30 2016-09-15 Nec Corporation Apparatus, system and method for secure direct communication in proximity based services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100153727A1 (en) * 2008-12-17 2010-06-17 Interdigital Patent Holdings, Inc. Enhanced security for direct link communications
US20160065362A1 (en) * 2013-04-05 2016-03-03 Interdigital Patent Holdings, Inc. Securing peer-to-peer and group communications
US20160269903A1 (en) * 2013-10-30 2016-09-15 Nec Corporation Apparatus, system and method for secure direct communication in proximity based services

Also Published As

Publication number Publication date
FR3082382A1 (fr) 2019-12-13
FR3082382B1 (fr) 2020-09-25

Similar Documents

Publication Publication Date Title
EP2741466B1 (fr) Procédé et système de gestion d'un élément sécurisé intégré ese
EP0800300A1 (fr) Vérification d'intégrité des réquêtes dans un réseau client serveur
FR2944667A1 (fr) Procede pour authentifier un terminal mobile client aupres d'un serveur distant
FR2737067A1 (fr) Systeme et procede permettant de realiser des communications du type echange de donnees electronique sur un reseau ouvert
WO2007012583A1 (fr) Procede de controle de transactions securisees mettant en oeuvre un dispositif physique unique, dispositif physique, systeme, et programme d'ordinateur correspondants
EP1371207A1 (fr) Dispositif portable pour securiser le trafic de paquets dans une plate-forme hote
FR3030828A1 (fr) Procede de securisation de transactions sans contact
WO2018087483A1 (fr) Procédé de gestion d'autorisation dans une communauté d'objets connectes
EP3238200A1 (fr) Entité électronique sécurisée, appareil électronique et procédé de vérification de l'intégrité de données mémorisées dans une telle entité électronique sécurisée
FR3066666A1 (fr) Procede de securisation d'une communication sans gestion d'etats
EP3734901B1 (fr) Procédé de transmission sécurisée de données
WO2019239066A1 (fr) Procede de communication securisee entre deux dispositifs electroniques, procede pour administrer une telle communication, objets electroniques mettant en oeuvre respectivement lesdits procedes et systeme associe
EP3219077B1 (fr) Procédé et système de gestion d'identités d'utilisateurs destiné à être mis en oeuvre lors d'une communication entre deux navigateurs web
EP3622688B1 (fr) Singularisation de trames à émettre par un objet connecté et blocage de trames réémises sur un réseau de communication sans-fil basse consommation
FR3095707A1 (fr) Procédé de sécurisation d’une communication et dispositif correspondant.
EP3829101B1 (fr) Procede de securisation de flux de donnees entre un equipement de communication et un terminal distant, equipement mettant en oeuvre le procede
CA3047855A1 (fr) Procede de transmission d'une information numerique chiffree de bout en bout, application de ce procede et objet connecte mettant en oeuvre ce procede
FR2813151A1 (fr) Communication securisee dans un equipement d'automatisme
EP3195276A1 (fr) Dispositif de déverrouillage d'au moins un ouvrant, et équipement de réception d'objets, ensemble de stockage de données et systeme de distribution d'objets associés
EP3688926A1 (fr) Gestion de groupes d'objets connectés utilisant des protocoles de communication sans fil
EP2911365B1 (fr) Procédé et système de sécurisation de transactions offertes par une pluralité de services entre un appareil mobile d'un utilisateur et un point d'acceptation
WO2023089245A1 (fr) Systeme et procede de controle d'acces
WO2021165625A1 (fr) Procede de calcul d'une cle de session, procede de recuperation d'une telle cle de session
EP2808819A1 (fr) Procédé de mise à jour de certificats dans un dispositif portable
WO2010133459A1 (fr) Procede de chiffrement de parties particulieres d' un document pour les utilisateurs privileges

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19742860

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19742860

Country of ref document: EP

Kind code of ref document: A1