EP2002636A1 - Loss of control of connection between a first device and a second device, access point and corresponding user terminal in shared network - Google Patents

Loss of control of connection between a first device and a second device, access point and corresponding user terminal in shared network

Info

Publication number
EP2002636A1
EP2002636A1 EP07731718A EP07731718A EP2002636A1 EP 2002636 A1 EP2002636 A1 EP 2002636A1 EP 07731718 A EP07731718 A EP 07731718A EP 07731718 A EP07731718 A EP 07731718A EP 2002636 A1 EP2002636 A1 EP 2002636A1
Authority
EP
European Patent Office
Prior art keywords
pairing
session key
access point
sub
server device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP07731718A
Other languages
German (de)
French (fr)
Inventor
Matthieu Malledant
Patrick Langlet
Matthieu Maupetit
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of EP2002636A1 publication Critical patent/EP2002636A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Definitions

  • the invention relates to a method for controlling the connection of a first and a second device, an access point and a shared network user terminal, in particular a WiFi network, forming a server device or a client terminal respectively.
  • Wi-Fi shared network communication interfaces are defined by 802.11 (b), (g), (i) and (e) and rely on authentication and data encryption protocols for security and access control such as its protocols WPA - PSK and WPA2 - PSK for "Wifi Protection Access" in English.
  • these protocols apply to access points and user terminals requesting a wireless connection to them, via a radio link.
  • the solution proposed in this document applicable to an access point and a shared network user terminal is to perform a local initialization command for a certain duration on the access point and the user terminal, and to a temporary pairing of the access point and the user terminal, to exchange the respective initialization duration values of the access points of the user terminal. If the respective initialization durations of the latter differ from a value lower than a threshold value, the connection is continued. Otherwise, the connection is inhibited.
  • the present invention aims to overcome the disadvantages and limitations of known prior art.
  • an object of the present invention is the implementation of a method of controlling the connection of a first and a second device, such as an access point and a shared network user terminal, WiFi type, in which the tedious introduction and error source of a key value in hexadecimal notation is suppressed.
  • Another object of the present invention is in particular the implementation of a method for controlling the connection of an access point and a shared network user terminal, of the WiFi 1 type, in which the transmission of any Cryptographic or wireless value is provided by radio between the access point and the user terminal.
  • Another object of the present invention is also the implementation of a method for controlling the connection of a first and a second device, such as an access point and a shared network user terminal, of WiFi type, in which the difference of initialization time duration on the access point respectively on the shared network terminal is made substantially inoperative, through the introduction of an authentication and access control process by exchange of encrypted values over the air.
  • a first and a second device such as an access point and a shared network user terminal, of WiFi type
  • the method for controlling the connection of a first and a second device provided with cryptographic resources which is the subject of the invention, is remarkable in that it consists at least in executing a local control of initialization during a certain period of time. duration on the first device, and during this time, initiate an identification process on the first device from a first identification value of the first device, execute before the end of this initialization a local initialization command on the second device for temporarily placing the second device and the identification process through the first device, the initialization of the first and second devices being performed according to a common initialization step.
  • the method further comprises establishing a common session key to the first and second devices, to encrypt, in the first device, a second local identification value of the first device and a value secret key associated with this first device by means of said common session key according to an encrypted value and transmit this encrypted value from the first to the second device, and, at the latter, decrypt the encrypted value of the second identification value and the secret key value associated with the first device using the common session key, and configure the second device from the second local identification value and the secret key value for pairing connection with the device.
  • first device establishing a common session key to the first and second devices, to encrypt, in the first device, a second local identification value of the first device and a value secret key associated with this first device by means of said common session key according to an encrypted value and transmit this encrypted value from the first to the second device, and, at the latter, decrypt the encrypted value of the second identification value and the secret key value associated with the first device using the common session key, and configure the second device from the second local identification value and the secret key value for pairing connection
  • the method which is the subject of the invention is remarkable in that it furthermore comprises the transmission by the second device of a public key to ensure the transmission of the common session key in the form of the encrypted value of the first at the second device, the decryption of this encrypted value of the common session key by this second device to restore to the latter the common session key.
  • the method which is the subject of the invention is furthermore remarkable in that the first device being a shared network access point forming a server device, this server device executes, following the execution of the local initialization command, by actuating a trigger button and the launching step of an identification process by opening the pairing process from the first identification value, an event waiting stage, these events comprising at least either the transmission of a request for establishment of common session key, or the transmission of a request for reception of pairing data by the second device or the expiration of a pairing delay, and, an end step of the pairing process called either on expiration of the pairing delay or on detection of a number of common session key establishment request greater than unity.
  • the method which is the subject of the invention is furthermore remarkable in that the step of processing any common session key establishment request includes at least the control of the reception of a number of key establishment requests. common session superior to the unit.
  • the method which is the subject of the invention is furthermore remarkable in that waiting for the transmission of a request for reception of pairing data by the second device is formed by a loop back to the waiting step of The event is conditional upon the expiration of the pairing delay and the failure to receive a common session key establishment request and includes a step of processing any pairing data request.
  • the method that is the subject of the invention is furthermore remarkable in that for a number of session key establishment requests greater than unity, the step of processing any request for receiving pairing data includes at least one the transmission, by the server device, of an error message and the call of the end of pairing step.
  • the method which is the subject of the invention is furthermore remarkable in that the second device being a shared network terminal, this method includes at least one step of inviting the terminal user to execute the local initialization command.
  • this method includes at least one step of inviting the terminal user to execute the local initialization command. on the first device, forming an access point to this shared network, a paired shared network search scanning step, and, upon detection of a server device constituting an access point, a control step of temporary connection of the client terminal to this access point, and, upon successful provisional connection, a transmission control and joint session key establishment request step, and, upon receipt of an acknowledgment of receipt of the request common session key set-up, a polling pairing request data transmission check step, and, upon receiving pairing data, a config control step pairing and connection management of the client terminal to the device server constituting an access point.
  • the method which is the subject of the invention is furthermore remarkable in that, on the client terminal side, in the absence of detection of a server device constituting an access point, it comprises a step of returning to the invitation stage of the user of this client terminal conditional on a choice by this user is the repetition of the execution of the local initialization command, or the execution of a conventional connection.
  • the method which is the subject of the invention is furthermore remarkable in that, on the client terminal side, on detecting a plurality of server devices constituting a shared network access point, this method comprises another step of returning to the step inviting the user of this client terminal conditional on a timed choice by using either the repetition of the execution of the local initialization command, or the execution of a conventional connection.
  • the shared network access point forming a server device, object of the invention is remarkable in that it comprises at least local initialization control means by actuating a trigger button, launching means an identification process by opening the pairing process from a first identification value, means for executing an event waiting stage, these events comprising at least one transmission of a common session key establishment request, ie the transmission of a request for reception of pairing data by a shared network client terminal or the expiry of a pairing delay, closure means of the pairing process ordered either on expiration of the pairing delay or on detection of a number of session key establishment requests greater than unity.
  • the shared network client terminal object of the invention is remarkable in that it includes at least means for displaying an invitation message from the user of this client terminal to execute a local initialization command on a shared network access point, forming a server device, means for searching for shared network pairing and temporary connection means of this client terminal to this access point, transmission control means of a common session key establishment request, transmission control means of a polling pairing data request and pairing configuration and connection control means of the client terminal to the server device forming this access point.
  • the method of controlling the connection of a first and a second device, the access point and the shared network user terminal, objects of the invention find application to the connection of WiFi terminals to the access terminals.
  • the INTERNET network in particular to user terminals of any type, in particular to home peripherals equipped with WiFi, Bluetooth, power line or other line interfaces.
  • FIG. 1a represents, by way of illustration, a general flowchart of the essential steps of the method of controlling the connection of a first and a second device according to the subject of the present invention
  • FIG. 1b represents an implementation detail of the step of establishing a common session key in a nonlimiting preferential implementation mode when the first and the second device comprise a radio link, such that a WiFi connection for example;
  • FIG. 2a represents, by way of illustration, a nonlimiting preferred mode of implementation of the method that is the subject of the invention by the first device, when the latter forming a shared network access point constitutes a server device;
  • FIG. 2b represents, as an illustrative example, a nonlimiting preferential embodiment of the method that is the subject of the invention by the second device, when the latter constitutes a client user terminal;
  • FIG. 3 represents, by way of illustration, a block diagram of a shared network access point forming a server device allowing the implementation of the method of the invention as shown in Figure 2a.
  • FIG. 1a A more detailed description of the method for controlling the connection of a first and a second device, in accordance with the subject of the present invention, will now be given in connection with FIG. 1a and the following figures.
  • the first and second devices are provided with cryptographic resources and capable of executing encryption operations - decryption for example.
  • the method which is the subject of the invention consists in executing A local initialization command, denoted L! Di for a certain duration on the first device noted Di and during this period, to start an identification process in step B on this first device D- t , the identification process being carried out from a first value identification of this first device and noted ID (SSiD).
  • Step B is then followed by a step C consisting in executing, before the end of the initialization executed in step A, a local initialization command on the second device D 2 , this step in step C being noted LI D 2 , to put in temporary communication the second device and the identification process via the first device Di.
  • the initialization of the first device Di and the second device D 2 are performed according to a common initialization step, concomitantly or not.
  • Step C is then followed by a step D of establishing a session key, denoted CSK, common to the first device Di and the second device D 2 .
  • CSK session key
  • the concept of establishing a common session key covers both the establishment and the common storage of the same key of session by a secret convention for example, or, where appropriate, restoration of a common session key by the first device D 1 for example, and the communication in encrypted form of this common session key to the second device D 2 and it will be described later in the description.
  • Step D is then followed by a step E of encrypting in the first device Di a second local identification value of this first device, denoted ssid, and a secret key value denoted K s i associated with the first device Dt , the corresponding encryption being effected by means of the common session key CSK.
  • An encrypted value is thus obtained, which is then transmitted from the first device D 1 to the second device D 2 .
  • step E of FIG. 1a is noted by the symbolic relation:
  • Step E is then followed by a step F of decrypting the previous encrypted value transmitted V ssldKsX , this transmitted encrypted value being representative of the second local identification value ssid and the value of the associated secret key K s i at the first device. It is decrypted using the common session key CSK which of course has the second device D 2 .
  • step F 1 the decryption operation is noted symbolically:
  • Step F is then followed by a step G consisting in configuring the second device D 2 from the second local identification value ssid and the secret key value K s i for connection by pairing with the first device Di .
  • the method which is the subject of the invention advantageously comprises the transmission by the second device D 2 to the first device Di of a public key K pu2 associated with the second device D 2 to ensure the transmission of the key CSK session common in the form of encrypted value from the first to the second device.
  • the decryption of the encrypted value and the session key CSK by the second device D2 is intended to restore the second device common session key CSK
  • step D1 0 denotes a generation of the common session key step CSK, which may advantageously consist in generating this key as a sequence of random bits, for example.
  • the number of bits chosen may be 64 or 128 bits, for example, without limitation.
  • Step D10 is then followed by a step of transmitting the public key represented by the relation:
  • the common session key CSK is encrypted and transmitted to the second device in encrypted form according to the symbolic relationship shown in FIG. 1b:
  • the decryption operation is then executed at the second device in step D 13 to restore the common session key CSK this decryption operation being represented by the relation:
  • K p a designates the private key associated with the second device D 2 and in particular the public key K pU2 associated with the latter.
  • connection control method of a first and a second device will now be given in the particular application in which the first device is an access point.
  • AP to a shared network, that is to say a WiFi network for example, and where the second device D 2 is a WiFi terminal seeking to connect to the access point AP considered.
  • the AP AP constitutes a server device and the terminai seeking to connect to the aforementioned access point is a user terminal UT user.
  • the operating mode of the server device represented in FIG. 2a is represented after step A of FIG. 1a, that is to say the local initialization step of the first device D1, in other words of the AP access point forming the server device, has been executed.
  • This step may advantageously be performed by actuating a trigger button which makes it possible to execute the local initialization command previously mentioned.
  • step 101 the step of launching an identification process by opening the pairing process from the first identification value, identification process noted ID (SSID ) is performed in step 101, which corresponds to step B of Figure 1a at the corresponding server device.
  • SSID identification process noted ID
  • step 101 is then followed by an event waiting step 102, the server device waiting for events comprising at least one transmission of a common session key establishment request, this operation being noted R_CSK?, or the transmission of a request for reception of pairing data by the second device forming the termina! UT user, this event being noted R_UT_G_D?, or the expiration of a pairing time noted P_D_ ⁇ ?.
  • the steps 102a, 102b and 102c represented by a dashed rectangle correspond in fact to the realization of a corresponding event of the event waiting step 102.
  • step 102a the transmission of a request for the establishment of a common session code, denoted 3 R_CSK in step 102a, results from the execution of such a transmission and a positive response to the corresponding test executed in step 102.
  • step 102b when performing the transmission of a pairing data reception request, by the second device, this operation being noted, 3 R_UT_G_D.
  • step 102c the pairing time PJDJE has expired, which makes it possible to go to an end of pairing step 105 called, either on expiration of the pairing delay considered, or on detection of a number of common session die establishment requests greater than the unit, as will be described later in the description.
  • the waiting time for the second device to transmit a request for establishing a common session code R_CSK is formed by a feedback loop at step d.
  • event waiter 102 including a step of processing any session key setup request, noted 103 in FIG. 2a.
  • the step 103 of processing any session key establishment request is represented in the form of a test due to the execution during the aforementioned step 103 of a series of tests which will be explained below.
  • waiting for the transmission of a request for reception of pairing data by the second device D 2 is formed by a loop back to the event waiting step 102 conditional on the non-expiration of the pairing delay, P_DJE ⁇ 1, and the absence of receipt of a request d common session key establishment ⁇ R-CSK.
  • This return loop further includes a processing step 104 of any request for receiving pairing data R_UT_G_D.
  • the return loop represented in FIG. 2a for executing waiting for the transmission of a request for reception of pairing data by the second device comprises the execution of the condition of step 102 of FIG. waiting for existence events of a request receiving the pairing data ⁇ RJJT GJD in step 102b and the processing step 104 of this request by the server device and checking the conditions 104a of non-expiration of the pairing delay, this condition being noted PJDJE ⁇ 1, and of not receiving a request for establishment of common session key noted: ⁇ R_CSK and the verification of pairing data transmitted to the user terminal UT.
  • This condition being denoted PD ⁇ 0.
  • the step of processing any session key establishment request 103 also includes the control of the reception of a number of common session key establishment requests greater than one. 'unit.
  • the step of processing any said pairing data reception request 104 includes transmitting, by the server device, an error message and the call of the end of pairing step 105 above.
  • step 101 that is to say after the user has, for example, pressed the trigger button of the access point AP, three events are executed:
  • a light flashes on the access point AP forming the server device during the entire pairing period.
  • the server device forming the access point AP then switches according to the standard pairing mode on the basis of its main identifier. to say its MAC address.
  • the access control is deactivated and any WiFi-type UT user terminal that successfully connects to the AP access point by a WiFt type link is then added as a candidate user terminal for the MAC address considered.
  • the main identifier is then broadcast by the access point by the radio interface of the latter.
  • the standard pairing mode thus lasts for a determined time ⁇ 0 which can be of the order of 600 seconds for example. However, in the case where this delay expires, the temporary connection procedure based on the MAC address is then reactivated.
  • a new local identifier playing the role of first local identifier noted SSlD or pairing identifier is then created.
  • This local identifier has no WiFi security measures ie no WEP or WPA security protocol and then provides access to a LAN separate and distinct from the original LAN.
  • This separate LAN does not allow access to the Internet and is totally isolated from the original LAN.
  • This separate local area network may have, advantageously but without limitation, the following characteristics:
  • the IP range of the local network is given by a domain IP address and an IP network mask
  • a DHCP server for "Dynamic Host Configuration Protocol" in English makes it possible to deliver IP addresses to client terminals UT from an address range between a start address and an end address;
  • a firewall system only allows DHCP or HTTP requests between a UT client user terminal and the AP access point, no WtFi traffic being authorized between the client user terminal;
  • an HTTP server having two URLs makes it possible to process the R_CSK or R_UT_G_D common session key transmission requests during the event waiting step. as described previously in the description.
  • the corresponding WEB server does not have other access pages;
  • the pairing identifier SSiD is valid during a time S 1 for opening the pairing process which is valid for about 60 seconds.
  • the first local SSID pairing ID is disabled.
  • Step 103 of the processing of a common session key transmission request R CSK is a common session key transmission request.
  • the aforementioned step 103 executes the responses to the request for sending common session key launched by the user terminal UT during the common initialization period.
  • the server device then tries to read the public key Kp u2 and if an error is detected, the server device returns a 200 code HTTP message and an HTML page containing a string of characters coded Result ⁇ n;
  • the processing step 104 executes the responses of the server device to the aforementioned requests transmitted by the user terminal UT.
  • the processing step 104 is executed as a verification of the successive conditional constraints:
  • step 104b of FIG. 2a This condition is represented in step 104b of FIG. 2a.
  • the pairing process of the server device is then terminated by calling the end pairing step 105 which has the effect of deactivating the first local identifier value SSlD.
  • the pairing process can be restarted by pressing the pairing trigger button again On the server device playing AP role AP.
  • EKeyi, EKey2, EKey3, EiV, EPSK and ESSID are the respective encrypted values of the session key or, more exactly, a combination of a session key value and a public key value such as the key K pU2. associated with the user terminal UT, and where ESSiD designates the value encrypted by a symmetric encryption protocol type DES, for example, the second local identification value of the server device.
  • DES symmetric encryption protocol type
  • Step 105 end of pairing step.
  • the trusted pairing process is terminated.
  • any pending HTTP requests are answered but no new HTTP requests are accepted.
  • the pairing ID is disabled. The pairing process is not stopped yet and continues until its own pairing time, the standard pairing time S 0, has expired.
  • the client terminal UT displays a step of inviting the user of the client terminal on a screen, such as the screen of a PDA or any device with a screen by for example, to execute the local initialization command on the first device, that is to say the server device playing the role of access point AP in shared network.
  • a screen such as the screen of a PDA or any device with a screen by for example, to execute the local initialization command on the first device, that is to say the server device playing the role of access point AP in shared network.
  • This operation is represented in step 201 in FIG. 2b.
  • Step 201 is followed by a step 202 of searching for a paired shared network search, ie searching for the identifier of the access point AP constituted by the MAC address of the latter.
  • step 202 On negative response at step 202 that is to say when no access point and in particular no access point MAC address is detected, as represented in step 202a of FIG. 2b, a return is made to the invitation step 201 via a choice step 208 offered to the user between a standard connection 208a or on the contrary a return to the invitation step 201 to make a connection Trusted.
  • the choice step 208 is in fact a step back to the user terminal conditional user's invitation stage of choice by this user, either from the repetition of the execution of the local command 201 or from the execution of a conventional connection 208a.
  • the detection of a plurality of AP access points can result, for example, from the existence, in an apartment building, of neighboring access points which simultaneously transmit their MAC address, the user terminal then detecting several points of access. AP access on which he does not have to connect.
  • step 203 a temporary connection control step of the client terminal UT at the point d said AP access is called at step 203.
  • the aforementioned temporary connection is made initially on the basis of the MAC address of the access point AP and then on the basis of the first local identification value of the server device, the value SSID previously described in the description.
  • step 203 On a negative response at step 203, an error message at step 203a is sent and a return to step 201 is performed through the choice step 208 and alternative choice 208a previously described in the description.
  • a step 204a of transmitting an error message due to the existence of a common session key allows the return to step 201 via the step choice 208 and standard connection choice 208a.
  • a polling pairing request request transmission step 205 is executed by the user terminal UT which, in the operation polling still referred to as "Polling" in English, search the encrypted value VssidKsl previously mentioned in the description.
  • a step 206 of configuration control of pairing and connection of the client terminal to the server device constituting an access point is executed.
  • the step 206 makes it possible, thanks to the decryption G represented in FIG. 1a, to restore the identifier values, the second local value of identifier ssid, and the secret key K s i associated with the server device, acting as a point d AP access.
  • a return to the invitation step 201 is performed via the selection step 208 and the standard connection 208a.
  • a step 206b is called the execution of the queuing process between the user terminal UT and the server device on the basis of the pairing parameters and in particular the values obtained by decryption at step 206.
  • the pairing data correspond to those contained in Table 1 previously described in the description.
  • step 203 at the AP access point
  • the temporary connection to the AP access point allows the user terminal AP to obtain an IP address seion the DHCP protocol already mentioned.
  • step 204
  • the client terminal UT transmits its common session key transmission request CSK and public key transmission K pU 2 for example in the form of an HTTP POST message to the server device forming the access point AP .
  • step 205 of scanning
  • step 206
  • the invention furthermore covers a shared network user terminal connection device forming an access point to this shared network, and operating as a server device vis-à-vis client terminals.
  • Such a server device comprises, for a WiFi type shared network for example, a module 1 Q WiFi radio link signal interface, a module 1 i software interface for managing the WiFi radio link signal interface and a pairing module 1.2 for executing the reliable pairing in accordance with the method that is the subject of the present invention.
  • the pairing module I 2 may be associated with a temporary and permanent database 1 3 and an initialization circuit 1 4 is provided which may consist of a push button placed outside the housing constituting the server device considered.
  • a short-range interface 1 5 may be optionally provided, when it is desirable to reduce the scope of the server of the object of the invention as shown in FIG. 3.
  • the pairing module 1 2 also comprises a sub-module M 2 end pairing process called either on expiration of the pairing period reliability or on detection of a number of common session key establishment requests greater than the unit as shown for processing 104, 104b of Figure 2a.
  • the invention finally covers a computer program recorded on a storage medium comprising a sequence of instructions for execution by a computer or by a server device forming a shared network access point as represented in FIG. 3, this program computer is remarkable in that during the execution of these instructions this program performs the steps of the method of the invention as shown in Figure 1a and Figure 2a in particular.

Abstract

The invention concerns method for loss of connection between a first device and a second device (D<SUB>1</SUB>, D<SUB>2</SUB>) which consists in executing (A) an initializing command on the first device (D<SUB>1</SUB>), initiating (B) a process of identification from a first identification value (SSID) of said first device (D<SUB>1</SUB>), initiating (C) a local initializing command on the second device (D<SUB>2</SUB>) during a common initializing step, establishing (D) a common session key (CSK), encrypting (E) in the first device (D<SUB>1</SUB>) a second identification value (ssid) and a secret key value (K<SUB>s1</SUB>) of the first device (D<SUB>1</SUB>) based on an encrypted value (V<SUB>ssid</SUB>K<SUB>s1</SUB>) transmitted to the second device (D<SUB>2</SUB>), decrypting (F) the encrypted value (V<SUB>ssid</SUB>K<SUB>s1</SUB>) using the common session key (CSK) and configuring the second device (D<SUB>2</SUB>) based on the second identification value (ssid) and the secret key (K<SUB>s1</SUB>) of the first device for connecting an pairing with the first device (D<SUB>1</SUB>).

Description

PROCÉDÉ DE CONTRÔLE DE LA CONNEXION D'UN PREMIER ET METHOD FOR CONTROLLING THE CONNECTION OF A FIRST AND
D'UN DEUXIÈME DISPOSITIF, POINT D'ACCÈS ET TERMINAL UTILISATEUR EN RÉSEAU PARTAGÉ CORRESPONDANT.SECOND DEVICE, ACCESS POINT AND USER TERMINAL IN CORRESPONDING SHARED NETWORK.
L'invention concerne un procédé de contrôle de la connexion d'un premier et d'un deuxième dispositif, un point d'accès et un terminai utilisateur en réseau partagé, notamment réseau WiFi, formant un dispositif serveur respectivement un terminal client.The invention relates to a method for controlling the connection of a first and a second device, an access point and a shared network user terminal, in particular a WiFi network, forming a server device or a client terminal respectively.
A l'heure actuelle, les interfaces de communication en réseau partagé, de type WiFi, sont définies par les normes 802.11 b), g), i) et e) et font appei à des protocoles d'authentification et de chiffrement de données pour la sécurité et le contrôle d'accès tels que Ses protocoles WPA - PSK et WPA2- PSK pour « Wifi Protection Accès » en anglais.At the present time, Wi-Fi shared network communication interfaces are defined by 802.11 (b), (g), (i) and (e) and rely on authentication and data encryption protocols for security and access control such as its protocols WPA - PSK and WPA2 - PSK for "Wifi Protection Access" in English.
De manière plus spécifique, ces protocoles s'appliquent à des points d'accès et à des terminaux utilisateur sollicitant une connexion sans fil à ces derniers, par l'intermédiaire d'une liaison radio.More specifically, these protocols apply to access points and user terminals requesting a wireless connection to them, via a radio link.
Pour assurer une telle ou une nouvelle connexion à ce type de point d'accès, il est nécessaire, pour l'utilisateur du terminal utilisateur, d'introduire manuellement une valeur de clé, en notation hexadécimale, au niveau du terminal utilisateur.To provide such a new connection to this type of access point, it is necessary for the user terminal user to manually enter a hexadecimal key value at the user terminal.
Bien que cette procédure soit relativement facile à mettre en œuvre sur un terminal du type PC, ordinateur personnel nomade par exemple, les difficultés ci-après ont pu être mises en évidence :Although this procedure is relatively easy to implement on a terminal of the PC type, nomadic personal computer for example, the following difficulties could be highlighted:
- la valeur hexadécimale de la clé n'est pas bien comprise par les utilisateurs, avec un risque de confusion de la valeur littérale O (lettre O) et 0 (chiffre 0) ;- the hexadecimal value of the key is not well understood by the users, with a risk of confusion of the literal value O (letter O) and 0 (digit 0);
- l'introduction d'une clé comportant 26 caractères successifs est difficile à mémoriser, alors que la copie directe introduit un risque d'erreurs non négligeable ;the introduction of a key comprising 26 successive characters is difficult to memorize, whereas the direct copy introduces a significant risk of errors;
- la position de la clé sur le point d'accès introduit une difficulté supplémentaire pour lire la clé ;- the position of the key on the access point introduces a difficulty extra to read the key;
- i! est en outre nécessaire de connaître la configuration du point d'accès dans ie but de retenir la même configuration de sécurité et de contrôle d'accès, parmi les protocoles WEP Open pour Wired Equivalent Privacy ouvert ou anonyme, WEP Shared pour « Wired Equivalent Privacy » partagé en anglais ou WPA - PSK déjà cité.- i! In addition, it is necessary to know the configuration of the access point in order to retain the same configuration of security and access control, among WEP Open Open or Anonymous Wired Equivalent Privacy protocols, WEP Shared for "Wired Equivalent Privacy" "Shared in English or WPA - PSK already cited.
Lorsque le terminal utilisateur est un termina! à ressources limitées, telles que PDA pour « Personal Digital Assistant » en anglais (Assistant numérique personnel) comportant par exemple uniquement un écran et un clavier de taille réduite, la difficulté d'introduire 26 caractères hexadécimaux est encore accrue.When the user terminal is a termina! with limited resources, such as PDA for "Personal Digital Assistant" (English personal digital assistant) comprising for example only a screen and a small keyboard, the difficulty of entering 26 hexadecimal characters is further increased.
Lorsque, enfin, le terminal utilisateur, plus rudimentaire, ne comporte pas d'écran et/ou de clavier, la tâche est encore plus difficile et il est alors nécessaire d'installer un tel dispositif sur un ordinateur hôte et de configurer l'ensemble pour connexion à un point d'accès.When, finally, the user terminal, more rudimentary, has no screen and / or keyboard, the task is even more difficult and it is then necessary to install such a device on a host computer and configure all for connection to an access point.
Parmi ies solutions de la technique antérieure connue des inventeurs, on peut en outre citer celle décrite dans la demande de brevet français FR05 05315 déposée Ie 26 mai 2005 au nom du demandeur incorporée à titre de référence.Among the solutions of the prior art known to the inventors, mention may also be made of the one described in the French patent application FR05 05315 filed on May 26, 2005 in the name of the applicant incorporated by reference.
La solution proposée dans ce document, applicable à un point d'accès et à un terminal utilisateur en réseau partagé consiste à effectuer une commande locale d'initialisation pendant une certaine durée sur le point d'accès et sur le terminal utilisateur, et, suite à un appairage provisoire du point d'accès et du terminai utilisateur, à échanger les valeurs de durées d'initialisation respectives des points d'accès du terminal utilisateur. Si ies durées d'initialisation respectives de ces derniers diffèrent d'une valeur inférieure à une valeur de seuil, on poursuit la connexion. Sinon, on inhibe la connexion.The solution proposed in this document, applicable to an access point and a shared network user terminal is to perform a local initialization command for a certain duration on the access point and the user terminal, and to a temporary pairing of the access point and the user terminal, to exchange the respective initialization duration values of the access points of the user terminal. If the respective initialization durations of the latter differ from a value lower than a threshold value, the connection is continued. Otherwise, the connection is inhibited.
Un tel processus donne satisfaction. Toutefois, il peut se produire qu'un utilisateur peu attentionné dépasse la durée relative d'initialisation du point d'accès et du terminal utilisateur, ce qui rend le processus de connexion peu aisé à exécuter dans cette hypothèse. L'adoption d'une valeur de seuil trop importante réduit la sélectivité du processus.Such a process is satisfactory. However, it may happen that a careless user exceeds the relative initialization time of the access point and the user terminal, which makes the connection process not easy to perform in this case. The adoption of Threshold value too high reduces the selectivity of the process.
La présente invention a pour objet de remédier aux inconvénients et limitations des techniques antérieures connues.The present invention aims to overcome the disadvantages and limitations of known prior art.
En particulier, un objet de la présente invention est la mise en œuvre d'un procédé de contrôle de la connexion d'un premier et d'un deuxième dispositif, tels qu'un point d'accès et un terminal utilisateur en réseau partagé, de type WiFi, dans lequel l'introduction fastidieuse et source d'erreur d'une valeur de clé en notation hexadécimale est supprimée.In particular, an object of the present invention is the implementation of a method of controlling the connection of a first and a second device, such as an access point and a shared network user terminal, WiFi type, in which the tedious introduction and error source of a key value in hexadecimal notation is suppressed.
Un autre objet de la présente invention est en particulier la mise en œuvre d'un procédé de contrôle de ia connexion d'un point d'accès et d'un terminal utilisateur en réseau partagé, de type WiFi1 dans lequel la transmission de toute valeur cryptographique ou de cié est assurée par voie radio, entre le point d'accès et îe terminal utilisateur.Another object of the present invention is in particular the implementation of a method for controlling the connection of an access point and a shared network user terminal, of the WiFi 1 type, in which the transmission of any Cryptographic or wireless value is provided by radio between the access point and the user terminal.
Un autre objet de la présente invention est également la mise en œuvre d'un procédé de contrôle de la connexion d'un premier et d'un deuxième dispositif, tels qu'un point d'accès et un terminal utilisateur en réseau partagé, de type WiFi, dans lequel la différence de durée de commande d'initialisation sur le point d'accès respectivement sur le terminal en réseau partagé est rendue sensiblement inopérante, grâce à l'introduction d'un processus d'authentification et de contrôle d'accès par échange de valeurs chiffrées par voie hertzienne.Another object of the present invention is also the implementation of a method for controlling the connection of a first and a second device, such as an access point and a shared network user terminal, of WiFi type, in which the difference of initialization time duration on the access point respectively on the shared network terminal is made substantially inoperative, through the introduction of an authentication and access control process by exchange of encrypted values over the air.
Le procédé de contrôle de la connexion d'un premier et d'un deuxième dispositif munis de ressources de cryptographie, objet de l'invention, est remarquable en ce qu'il consiste au moins à exécuter une commande locale d'initiaiisation pendant une certaine durée sur le premier dispositif, et, pendant cette durée, lancer un processus d'identification sur ce premier dispositif à partir d'une première valeur d'identification de ce premier dispositif, exécuter avant Ia fin de cette initialisation une commande locale d'initialisation sur le deuxième dispositif pour mettre en communication provisoire le deuxième dispositif et le processus d'identification par l'intermédiaire du premier dispositif, l'initialisation du premier et du deuxième dispositif étant exécutée selon une étape d'initiaiisation commune. Pendant l'étape d'initialisation commune, le procédé consiste en outre à établir une clé de session commune au premier et au deuxième dispositif, à chiffrer, dans le premier dispositif, une deuxième valeur d'identification locale de ce premier dispositif et une valeur de clé secrète associée à ce premier dispositif au moyen de ladite clé de session commune selon une valeur chiffrée et transmettre cette vaieur chiffrée du premier au deuxième dispositif, et, au niveau de ce dernier, déchiffrer cette valeur chiffrée de la deuxième valeur d'identification locale et de la valeur de clé secrète associées au premier dispositif au moyen de la clé de session commune, et, configurer le deuxième dispositif à partir de la deuxième valeur d'identification locale et de la valeur de clé secrète pour connexion par appairage avec le premier dispositif.The method for controlling the connection of a first and a second device provided with cryptographic resources, which is the subject of the invention, is remarkable in that it consists at least in executing a local control of initialization during a certain period of time. duration on the first device, and during this time, initiate an identification process on the first device from a first identification value of the first device, execute before the end of this initialization a local initialization command on the second device for temporarily placing the second device and the identification process through the first device, the initialization of the first and second devices being performed according to a common initialization step. During the common initialization step, the method further comprises establishing a common session key to the first and second devices, to encrypt, in the first device, a second local identification value of the first device and a value secret key associated with this first device by means of said common session key according to an encrypted value and transmit this encrypted value from the first to the second device, and, at the latter, decrypt the encrypted value of the second identification value and the secret key value associated with the first device using the common session key, and configure the second device from the second local identification value and the secret key value for pairing connection with the device. first device.
Selon un autre aspect, le procédé objet de l'invention est remarquable en ce qu'il comporte en outre la transmission par le deuxième dispositif d'une clé publique pour assurer la transmission de la clé de session commune sous forme de valeur chiffrée du premier au deuxième dispositif, le déchiffrement de cette valeur chiffrée de la clé de session commune par ce deuxième dispositif pour restituer à ce dernier la clé de session commune.According to another aspect, the method which is the subject of the invention is remarkable in that it furthermore comprises the transmission by the second device of a public key to ensure the transmission of the common session key in the form of the encrypted value of the first at the second device, the decryption of this encrypted value of the common session key by this second device to restore to the latter the common session key.
Ceci permet d'éviter l'établissement préalable et/ou à la seule initiative du deuxième dispositif de la c!é de session commune.This makes it possible to avoid the prior establishment and / or the sole initiative of the second device of the joint session session.
Le procédé objet de l'invention est en outre remarquable en ce que le premier dispositif étant un point d'accès en réseau partagé formant un dispositif serveur, ce dispositif serveur exécute, suite à l'exécution de la commande locale d'initialisation, par actionnement d'un bouton de déclenchement et de l'étape de lancement d'un processus d'identification par ouverture du processus d'appairage à partir de la première valeur d'identification, une étape d'attente d'événements, ces événements comportant au moins, soit la transmission d'une requête d'établissement de clé de session commune, soit la transmission d'une requête de réception de données d'appairage par le deuxième dispositif ou encore l'expiration d'un délai d'appairage, et, une étape de fin de processus d'appairage appelée soit sur expiration du délai d'appairage, soit sur détection d'un nombre de requête d'établissement de clé de session commune supérieur à l'unité.The method which is the subject of the invention is furthermore remarkable in that the first device being a shared network access point forming a server device, this server device executes, following the execution of the local initialization command, by actuating a trigger button and the launching step of an identification process by opening the pairing process from the first identification value, an event waiting stage, these events comprising at least either the transmission of a request for establishment of common session key, or the transmission of a request for reception of pairing data by the second device or the expiration of a pairing delay, and, an end step of the pairing process called either on expiration of the pairing delay or on detection of a number of common session key establishment request greater than unity.
Le procédé objet de l'invention est en outre remarquabie en ce que l'étape de traitement de toute requête d'établissement de clé de session commune inclut au moins le contrôle de Ia réception d'un nombre de requêtes d'établissement de clé de session commune supérieur à l'unité.The method which is the subject of the invention is furthermore remarkable in that the step of processing any common session key establishment request includes at least the control of the reception of a number of key establishment requests. common session superior to the unit.
Le procédé objet de l'invention est en outre remarquable en ce que l'attente de la transmission d'une requête de réception de données d'appairage par le deuxième dispositif est formée par une boucle de retour à l'étape d'attente d'événements conditionnelle à Ia non expiration du délai d'appairage et à l'absence de réception d'une requête d'établissement de clé de session commune et inclut une étape de traitement de toute requête de réception de données d'appairage.The method which is the subject of the invention is furthermore remarkable in that waiting for the transmission of a request for reception of pairing data by the second device is formed by a loop back to the waiting step of The event is conditional upon the expiration of the pairing delay and the failure to receive a common session key establishment request and includes a step of processing any pairing data request.
Le procédé objet de l'invention est en outre remarquable en ce que pour un nombre de requêtes d'établissement de clé de session supérieur à l'unité, l'étape de traitement de toute requête de réception de données d'appairage inclut au mois la transmission, par le dispositif serveur, d'un message d'erreur et l'appel de l'étape de fin d'appairage.The method that is the subject of the invention is furthermore remarkable in that for a number of session key establishment requests greater than unity, the step of processing any request for receiving pairing data includes at least one the transmission, by the server device, of an error message and the call of the end of pairing step.
Le procédé objet de l'invention est en outre remarquable en ce que le deuxième dispositif étant un terminal ciient en réseau partagé, ce procédé inclut au moins une étape d'invitation de l'utilisateur du terminal citent à exécuter la commande locale d'initialisation sur le premier dispositif, formant un point d'accès à ce réseau partagé, une étape de balayage de recherche de réseau partagé d'appairage, et, sur détection d'un dispositif serveur constituant un point d'accès, une étape de contrôle de connexion provisoire du terminal client à ce point d'accès, et, sur connexion provisoire réussie, une étape de contrôle de transmission et de requête d'établissement de clé de session commune, et, sur réception d'un accusé de réception de la requête d'établissement de clé de session commune, une étape de contrôle de transmission de requête de données d'appairage par scrutation, et, sur réception de données d'appairage, une étape de contrôle de configuration d'appairage et de connexion du terminal client au dispositif serveur constituant un point d'accès.The method which is the subject of the invention is furthermore remarkable in that the second device being a shared network terminal, this method includes at least one step of inviting the terminal user to execute the local initialization command. on the first device, forming an access point to this shared network, a paired shared network search scanning step, and, upon detection of a server device constituting an access point, a control step of temporary connection of the client terminal to this access point, and, upon successful provisional connection, a transmission control and joint session key establishment request step, and, upon receipt of an acknowledgment of receipt of the request common session key set-up, a polling pairing request data transmission check step, and, upon receiving pairing data, a config control step pairing and connection management of the client terminal to the device server constituting an access point.
Le procédé objet de l'invention est en outre remarquable en ce que, côté terminal client, en l'absence de détection d'un dispositif serveur constituant un point d'accès, il comprend une étape de retour à l'étape d'invitation de l'utilisateur de ce terminal client conditionnelle à un choix par cet utilisateur soit de Ia répétition de l'exécution de la commande locale d'initialisation, soit de l'exécution d'une connexion classique.The method which is the subject of the invention is furthermore remarkable in that, on the client terminal side, in the absence of detection of a server device constituting an access point, it comprises a step of returning to the invitation stage of the user of this client terminal conditional on a choice by this user is the repetition of the execution of the local initialization command, or the execution of a conventional connection.
Le procédé objet de l'invention est en outre remarquable en ce que, côté terminal client, sur détection d'une pluralité de dispositifs serveurs constituant un point d'accès en réseau partagé, ce procédé comprend une autre étape de retour à l'étape d'invitation de l'utilisateur de ce terminal client conditionnelle à un choix temporisé par l'utilisation soit de la répétition de l'exécution de la commande locale d'initialisation, soit de l'exécution d'une connexion classique.The method which is the subject of the invention is furthermore remarkable in that, on the client terminal side, on detecting a plurality of server devices constituting a shared network access point, this method comprises another step of returning to the step inviting the user of this client terminal conditional on a timed choice by using either the repetition of the execution of the local initialization command, or the execution of a conventional connection.
Le point d'accès en réseau partagé formant un dispositif serveur, objet de l'invention, est remarquable en ce qu'il comporte au moins des moyens de commande locale d'initialisation par actionnement d'un bouton de déclenchement, des moyens de lancement d'un processus d'identification par ouverture du processus d'appairage à partir d'une première valeur d'identification, des moyens d'exécution d'une étape d'attente d'événements, ces événements comportant au moins soit la transmission d'une requête d'établissement de clé de session commune, soit la transmission d'une requête de réception de données d'appairage par un terminal client en réseau partagé ou encore l'expiration d'un délai d'appairage, des moyens de fermeture du processus d'appairage commandés soit sur expiration du délai d'appairage, soit sur détection d'un nombre de requêtes d'établissement de clé de session supérieur à l'unité.The shared network access point forming a server device, object of the invention, is remarkable in that it comprises at least local initialization control means by actuating a trigger button, launching means an identification process by opening the pairing process from a first identification value, means for executing an event waiting stage, these events comprising at least one transmission of a common session key establishment request, ie the transmission of a request for reception of pairing data by a shared network client terminal or the expiry of a pairing delay, closure means of the pairing process ordered either on expiration of the pairing delay or on detection of a number of session key establishment requests greater than unity.
Le terminal client en réseau partagé objet de l'invention est remarquable en ce qu'il inclut au moins des moyens d'affichage d'un message d'invitation de l'utilisateur de ce terminal client à exécuter une commande locale d'initialisation sur un point d'accès en réseau partagé, formant un dispositif serveur, des moyens de baiayage de recherche de réseau partagé d'appairage et des moyens de connexion provisoire de ce terminal client à ce point d'accès, des moyens de contrôle de transmission d'une requête d'établissement de clé de session commune, des moyens de contrôle de transmission d'une requête de données d'appairage par scrutation et des moyens de contrôle de configuration d'appairage et de connexion du terminal client au dispositif serveur formant ce point d'accès.The shared network client terminal object of the invention is remarkable in that it includes at least means for displaying an invitation message from the user of this client terminal to execute a local initialization command on a shared network access point, forming a server device, means for searching for shared network pairing and temporary connection means of this client terminal to this access point, transmission control means of a common session key establishment request, transmission control means of a polling pairing data request and pairing configuration and connection control means of the client terminal to the server device forming this access point.
Le procédé de contrôle de la connexion d'un premier et d'un deuxième dispositif, le point d'accès et le terminal utilisateur en réseau partagé, objets de l'invention, trouvent application à ia connexion de terminaux WiFi aux bornes d'accès au réseau INTERNET, en particulier aux terminaux utilisateurs de tout type, notamment aux périphériques domestiques équipés d'interfaces WiFi, Bluetooth, courants porteurs en ligne ou autres. ils seront mieux compris à la lecture de la description et à l'observation des dessins ci-après dans lesquels :The method of controlling the connection of a first and a second device, the access point and the shared network user terminal, objects of the invention, find application to the connection of WiFi terminals to the access terminals. to the INTERNET network, in particular to user terminals of any type, in particular to home peripherals equipped with WiFi, Bluetooth, power line or other line interfaces. they will be better understood by reading the description and by observing the following drawings in which:
- la figure 1a représente, à titre illustratif, un organigramme général des étapes essentielles du procédé de contrôle de la connexion d'un premier et d'un deuxième dispositif conforme à l'objet de la présente invention ;FIG. 1a represents, by way of illustration, a general flowchart of the essential steps of the method of controlling the connection of a first and a second device according to the subject of the present invention;
- la figure 1 b représente un détail de mise en œuvre de l'étape d'établissement d'une clé de session commune dans un mode de mise en œuvre préférentiel non limitatif lorsque le premier et le deuxième dispositif comportent une liaison radio, telle qu'une liaison WiFi par exemple ;FIG. 1b represents an implementation detail of the step of establishing a common session key in a nonlimiting preferential implementation mode when the first and the second device comprise a radio link, such that a WiFi connection for example;
- la figure 2a représente, à titre illustratif, un mode de mise en œuvre préférentiel non limitatif du procédé objet de l'invention par le premier dispositif, lorsque ce dernier formant un point d'accès en réseau partagé constitue un dispositif serveur ;FIG. 2a represents, by way of illustration, a nonlimiting preferred mode of implementation of the method that is the subject of the invention by the first device, when the latter forming a shared network access point constitutes a server device;
- la figure 2b représente, à titre iliustratif, un mode de mise en œuvre préférentiel non limitatif du procédé objet de l'invention par le deuxième dispositif, lorsque ce dernier constitue un terminal utilisateur client ;FIG. 2b represents, as an illustrative example, a nonlimiting preferential embodiment of the method that is the subject of the invention by the second device, when the latter constitutes a client user terminal;
- la figure 3 représente, à titre illustratif, un schéma synoptique d'un point d'accès en réseau partagé formant un dispositif serveur permettant la mise en œuvre du procédé objet de l'invention tel que représenté en figure 2a.FIG. 3 represents, by way of illustration, a block diagram of a shared network access point forming a server device allowing the implementation of the method of the invention as shown in Figure 2a.
Une description plus détaillée du procédé de contrôle de la connexion d'un premier et d'un deuxième dispositif, conforme à l'objet de la présente invention, sera maintenant donnée en liaison avec la figure 1a et les figures suivantes.A more detailed description of the method for controlling the connection of a first and a second device, in accordance with the subject of the present invention, will now be given in connection with FIG. 1a and the following figures.
D'une manière générale, on indique que le premier et le deuxième dispositif sont munis de ressources cryptographiques et capables d'exécuter des opérations de chiffrement - déchiffrement par exemple.In general, it is indicated that the first and second devices are provided with cryptographic resources and capable of executing encryption operations - decryption for example.
En référence à la figure 1a, on indique que le procédé objet de l'invention consiste à exécuter A une commande locale d'initialisation, notée L! Di pendant une certaine durée sur Ie premier dispositif noté Di et pendant cette durée, à lancer un processus d'identification à l'étape B sur ce premier dispositif D-t, le processus d'identification étant effectué à partir d'une première valeur d'identification de ce premier dispositif et noté ID(SSiD).With reference to FIG. 1a, it is indicated that the method which is the subject of the invention consists in executing A local initialization command, denoted L! Di for a certain duration on the first device noted Di and during this period, to start an identification process in step B on this first device D- t , the identification process being carried out from a first value identification of this first device and noted ID (SSiD).
L'étape B est alors suivie d'une étape C consistant à exécuter avant la fin de l'initialisation exécutée à l'étape A, une commande locale d'initialisation sur ie deuxième dispositif D2, cette étape à l'étape C étant notée LI D2, pour mettre en communication provisoire le deuxième dispositif et le processus d'identification par l'intermédiaire du premier dispositif Di.Step B is then followed by a step C consisting in executing, before the end of the initialization executed in step A, a local initialization command on the second device D 2 , this step in step C being noted LI D 2 , to put in temporary communication the second device and the identification process via the first device Di.
Ainsi, on comprend que l'initialisation du premier dispositif Di et du deuxième dispositif D2 sont exécutées selon une étape d'initialisation commune, de manière concomitante ou non.Thus, it is understood that the initialization of the first device Di and the second device D 2 are performed according to a common initialization step, concomitantly or not.
On note, en particulier, que la différence effective de durée d'initialisation du premier et du deuxième dispositif est alors sensiblement sans effet, contrairement à la technique antérieure décrite précédemment dans la description.In particular, it is noted that the effective difference in the initialization duration of the first and second devices is then substantially ineffective, unlike the prior art previously described in the description.
L'étape C est alors suivie d'une étape D consistant à établir une clé de session, notée CSK, commune au premier dispositif Di et au deuxième dispositif D2.Step C is then followed by a step D of establishing a session key, denoted CSK, common to the first device Di and the second device D 2 .
La notion d'établissement de clé de session commune recouvre à Ia fois l'établissement et la mémorisation commune d'une même clé de session par une convention secrète par exemple, ou, le cas échéant, rétablissement d'une clé de session commune par le premier dispositif D1 par exemple, et la communication sous forme chiffrée de cette clé de session commune au deuxième dispositif D2 ainsi qu'il sera décrit ultérieurement dans la description.The concept of establishing a common session key covers both the establishment and the common storage of the same key of session by a secret convention for example, or, where appropriate, restoration of a common session key by the first device D 1 for example, and the communication in encrypted form of this common session key to the second device D 2 and it will be described later in the description.
L'étape D est alors suivie d'une étape E consistant à chiffrer dans le premier dispositif Di une deuxième valeur d'identification locale de ce premier dispositif, notée ssid, et une valeur de clé secrète notée Ksi associée au premier dispositif Dt, le chiffrement correspondant étant effectué au moyen de la clé de session commune CSK. On obtient ainsi une valeur chiffrée laquelle est alors transmise du premier dispositif D1 au deuxième dispositif D2.Step D is then followed by a step E of encrypting in the first device Di a second local identification value of this first device, denoted ssid, and a secret key value denoted K s i associated with the first device Dt , the corresponding encryption being effected by means of the common session key CSK. An encrypted value is thus obtained, which is then transmitted from the first device D 1 to the second device D 2 .
L'opération correspondante à l'étape E de la figure 1 a est notée par la relation symbolique :The corresponding operation in step E of FIG. 1a is noted by the symbolic relation:
Ccsκ (ssid,Ksl) → VsslιiKsl .C csκ (ssid, Ks1) → V sslιiKsl .
L'étape E est alors suivie d'une étape F consistant à déchiffrer la valeur chiffrée précédente transmise VssldKsX , cette valeur chiffrée transmise étant représentative de la deuxième valeur d'identification locale ssid et de la valeur de la clé secrète Ksi associé au premier dispositif. Elle est déchiffrée au moyen de la clé de session commune CSK dont dispose bien entendu le deuxième dispositif D2.Step E is then followed by a step F of decrypting the previous encrypted value transmitted V ssldKsX , this transmitted encrypted value being representative of the second local identification value ssid and the value of the associated secret key K s i at the first device. It is decrypted using the common session key CSK which of course has the second device D 2 .
A l'étape F1 l'opération de déchiffrement est notée de manière symbolique : In step F 1, the decryption operation is noted symbolically:
L'étape F est alors suivie d'une étape G consistant à configurer ie deuxième dispositif D2 à partir de la deuxième valeur d'identification locale ssid et de la valeur de clé secrète Ksi pour connexion par appairage avec le premier dispositif Di.Step F is then followed by a step G consisting in configuring the second device D 2 from the second local identification value ssid and the secret key value K s i for connection by pairing with the first device Di .
D'une manière générale, on indique que le procédé objet de l'invention comporte avantageusement la transmission par le deuxième dispositif D2 au premier dispositif Di d'une clé publique Kpu2 associée au deuxième dispositif D2 pour assurer la transmission de la clé de session CSK commune sous forme de valeur chiffrée du premier au deuxième dispositif.In general, it is indicated that the method which is the subject of the invention advantageously comprises the transmission by the second device D 2 to the first device Di of a public key K pu2 associated with the second device D 2 to ensure the transmission of the key CSK session common in the form of encrypted value from the first to the second device.
Dans cette hypothèse, le déchiffrement de ia valeur chiffrée et de la clé de session CSK par le deuxième dispositif D2 est prévu pour restituer au deuxième dispositif la clé de session commune CSK,In this case, the decryption of the encrypted value and the session key CSK by the second device D2 is intended to restore the second device common session key CSK,
Les opérations précitées sont représentées en figure 1 b dans laquelle l'étape D10 désigne une étape de génération de la clé de session commune CSK, laquelle peut consister avantageusement à engendrer cette clé sous forme d'une séquence de bits aléatoires par exemple. Le nombre de bits choisis peut être de 64 ou 128 bits par exemple, de manière non limitative.The above operations are shown in Figure 1b wherein the step D1 0 denotes a generation of the common session key step CSK, which may advantageously consist in generating this key as a sequence of random bits, for example. The number of bits chosen may be 64 or 128 bits, for example, without limitation.
L'étape D10 est alors suivie d'une étape Du de transmission de Ia clé publique représentée par Ia relation :Step D10 is then followed by a step of transmitting the public key represented by the relation:
D2 Kp'Λ > D1.D 2 Kp ' Λ > D 1 .
Au niveau du premier dispositif, la clé de session commune CSK est chiffrée et transmise vers le deuxième dispositif sous forme chiffrée selon ia relation symbolique représentée à ia figure 1 b :At the first device, the common session key CSK is encrypted and transmitted to the second device in encrypted form according to the symbolic relationship shown in FIG. 1b:
D1 C^iCSK) > D2 D 1 C ^ iCSK) > D 2
L'opération de déchiffrement est alors exécutée au niveau du deuxième dispositif à l'étape D13 pour restituer la clé de session commune CSK cette opération de déchiffrement étant représentée par la relation : The decryption operation is then executed at the second device in step D 13 to restore the common session key CSK this decryption operation being represented by the relation:
Dans la relation symbolique précédente, on indique que Kpa désigne la clé privée associée au deuxième dispositif D2 et en particulier à ia clé publique KpU2 associée à ce dernier.In the preceding symbolic relation, it is indicated that K p a designates the private key associated with the second device D 2 and in particular the public key K pU2 associated with the latter.
Une description plus détaillée du procédé de contrôle de connexion d'un premier et d'un deuxième dispositif, conforme à l'objet de la présente invention, sera maintenant donnée dans l'application particulière dans laquelle ie premier dispositif est un point d'accès AP à un réseau partagé, c'est-à-dire un réseau WiFi par exemple, et où le deuxième dispositif D2 est un terminal WiFi cherchant à se connecter au point d'accès AP considéré. En outre, le point d'accès AP constitue un dispositif serveur et le terminai cherchant à se connecter au point d'accès précité constitue un terminal utilisateur client UT.A more detailed description of the connection control method of a first and a second device, according to the subject of the present invention, will now be given in the particular application in which the first device is an access point. AP to a shared network, that is to say a WiFi network for example, and where the second device D 2 is a WiFi terminal seeking to connect to the access point AP considered. In addition, the AP AP constitutes a server device and the terminai seeking to connect to the aforementioned access point is a user terminal UT user.
Le mode opératoire et !e comportement du dispositif serveur permettant la mise en œuvre du procédé objet de l'invention, sera maintenant décrit en liaison avec ta figure 2a,The operating mode and the behavior of the server device allowing the implementation of the method which is the subject of the invention will now be described in connection with FIG. 2a.
Le mode opératoire du dispositif serveur représenté en figure 2a est représenté après que l'étape A de la figure 1a c'est-à-dire l'étape d'initialisation locale du premier dispositif D1 , autrement dit du point d'accès AP formant le dispositif serveur, a été exécutée.The operating mode of the server device represented in FIG. 2a is represented after step A of FIG. 1a, that is to say the local initialization step of the first device D1, in other words of the AP access point forming the server device, has been executed.
Cette étape peut avantageusement être exécutée par actionnement d'un bouton de déclenchement ce qui permet d'exécuter la commande locale d'initialisation précédemment mentionnée.This step may advantageously be performed by actuating a trigger button which makes it possible to execute the local initialization command previously mentioned.
Suite à l'exécution de cette commande locale d'initialisation, l'étape de lancement d'un processus d'identification par ouverture du processus d'appairage à partir de la première valeur d'identification, processus d'identification noté ID(SSID) est exécutée à l'étape 101 , laquelle correspond à l'étape B de la figure 1 a au niveau du dispositif serveur correspondant.Following the execution of this local initialization command, the step of launching an identification process by opening the pairing process from the first identification value, identification process noted ID (SSID ) is performed in step 101, which corresponds to step B of Figure 1a at the corresponding server device.
L'étape 101 précitée est alors suivie d'une étape 102 d'attente d'événements, le dispositif serveur étant en attente d'événements comportant au moins soit la transmission d'une requête d'établissement de clé de session commune, cette opération étant notée R_CSK ?, soit la transmission d'une requête de réception de données d'appairage par le deuxième dispositif formant le termina! utilisateur UT, cet événement étant noté R_UT_G_D ?, ou encore l'expiration d'un délai d'appairage noté P_D_ε ?.The aforementioned step 101 is then followed by an event waiting step 102, the server device waiting for events comprising at least one transmission of a common session key establishment request, this operation being noted R_CSK?, or the transmission of a request for reception of pairing data by the second device forming the termina! UT user, this event being noted R_UT_G_D?, or the expiration of a pairing time noted P_D_ε?.
Sur la figure 2a, les étapes 102a, 102b et 102c représentées par un rectangle en pointillé, correspondent en fait à la réalisation d'un événement correspondant de l'étape 102 d'attente d'événements.In FIG. 2a, the steps 102a, 102b and 102c represented by a dashed rectangle correspond in fact to the realization of a corresponding event of the event waiting step 102.
Ainsi, la transmission d'une requête d'établissement de cié de session commune, notée 3 R_CSK à l'étape 102a, résulte de la réalisation d'une telle transmission et d'une réponse positive au test correspondant exécuté e l'étape 102. il en est de même pour l'étape 102b iors de la réalisation de ia transmission d'une requête de réception de données d'appairage, par le deuxième dispositif, cette opération étant notée, 3 R_UT_G_D.Thus, the transmission of a request for the establishment of a common session code, denoted 3 R_CSK in step 102a, results from the execution of such a transmission and a positive response to the corresponding test executed in step 102. The same is true for step 102b when performing the transmission of a pairing data reception request, by the second device, this operation being noted, 3 R_UT_G_D.
Enfin, à i'étape 102c, le délai d'appairage PJDJE est expiré ce qui permet de passer à une étape de fin d'appairage 105 appelée, soit sur expiration du délai d'appairage considéré, soit sur détection d'un nombre de requêtes d'établissement de dé de session commune supérieure à i'unité, ainsi qu'il sera décrit uitérieurement dans la description.Finally, in step 102c, the pairing time PJDJE has expired, which makes it possible to go to an end of pairing step 105 called, either on expiration of the pairing delay considered, or on detection of a number of common session die establishment requests greater than the unit, as will be described later in the description.
Ainsi qu'on l'a représenté en figure 2a, l'attente de ia transmission, par le deuxième dispositif, d'une requête d'établissement de cté de session commune R_CSK est formée par une boucle de retour à l'étape d'attente d'événements 102 incluant une étape de traitement de toute requête d'établissement de clé de session, notée 103 à la figure 2a.As shown in FIG. 2a, the waiting time for the second device to transmit a request for establishing a common session code R_CSK is formed by a feedback loop at step d. event waiter 102 including a step of processing any session key setup request, noted 103 in FIG. 2a.
L'étape 103 de traitement de toute requête d'établissement de clé de session est représentée sous forme de test en raison de l'exécution pendant l'étape 103 précitée d'une série de tests qui seront explicités ci- après.The step 103 of processing any session key establishment request is represented in the form of a test due to the execution during the aforementioned step 103 of a series of tests which will be explained below.
De même, l'attente de la transmission d'une requête de réception de données d'appairage par le deuxième dispositif D2, c'est-à-dire en fait la réception de ia requête R_UT_G_D par le premier dispositif Di formant le point d'accès AP, est formée par une boucle de retour à l'étape d'attente d'événements 102 conditionnelle à la non expiration du délai d'appairage, P_DJE<1 , et à l'absence de réception d'une requête d'établissement de clé de session commune ^R-CSK. Cette boucle de retour inclut en outre une étape de traitement 104 de toute requête de réception de données d'appairage R_UT_G_D.Similarly, waiting for the transmission of a request for reception of pairing data by the second device D 2 , that is to say, the receipt of the request R_UT_G_D by the first device Di forming the point AP access, is formed by a loop back to the event waiting step 102 conditional on the non-expiration of the pairing delay, P_DJE <1, and the absence of receipt of a request d common session key establishment ^ R-CSK. This return loop further includes a processing step 104 of any request for receiving pairing data R_UT_G_D.
Ainsi, la boucle de retour représentée en figure 2a pour l'exécution de l'attente de la transmission d'une requête de réception de données d'appairage par ie deuxième dispositif, comporte l'exécution de la condition de i'étape 102 d'attente d'événements d'existence d'une requête de réception de données d'appairage Ξ RJJT GJD à l'étape 102b puis de l'étape de traitement 104 de cette requête par le dispositif serveur et la vérification des conditions 104a de non expiration du délai d'appairage, cette condition étant notée PJDJE<1 , et d'absence de réception d'une requête d'établissement de clé de session commune notée : ^R_CSK ainsi que ia vérification de données d'appairage transmises au terminal utilisateur UT. Cette condition étant notée PD ≠ 0.Thus, the return loop represented in FIG. 2a for executing waiting for the transmission of a request for reception of pairing data by the second device, comprises the execution of the condition of step 102 of FIG. waiting for existence events of a request receiving the pairing data Ξ RJJT GJD in step 102b and the processing step 104 of this request by the server device and checking the conditions 104a of non-expiration of the pairing delay, this condition being noted PJDJE <1, and of not receiving a request for establishment of common session key noted: ^ R_CSK and the verification of pairing data transmitted to the user terminal UT. This condition being denoted PD ≠ 0.
Enfin, ainsi que représenté en figure 2a, l'étape de traitement de toute requête d'établissement de clé de session 103, inclut également le contrôle de la réception d'un nombre de requêtes d'établissement de clé de session commune supérieur à l'unité.Finally, as shown in FIG. 2a, the step of processing any session key establishment request 103 also includes the control of the reception of a number of common session key establishment requests greater than one. 'unit.
Dans cette hypothèse, le nombre de requêtes d'établissement de clé de session commune NRjDSK est décompté et sur dépassement d'un nombre supérieur à 1 pendant ia durée d'appairage P_DJΞ, cette condition étant vérifiée à l'étape 104 de la figure 2a et représentée à l'étape 104b selon la relation NR_CSK>1 , l'étape de traitement de toute requête de réception de données d'appairage 104 précitée inclut la transmission, par le dispositif serveur, d'un message d'erreur et l'appel de l'étape de fin d'appairage 105 précité.In this case, the number of NRjDSK common session key establishment requests is counted and on exceeding a number greater than 1 during the pairing time P_DJΞ, this condition being verified in step 104 of FIG. 2a. and represented in step 104b according to NR_CSK> 1, the step of processing any said pairing data reception request 104 includes transmitting, by the server device, an error message and the call of the end of pairing step 105 above.
Différentes indications de mise en œuvre du mode opératoire du dispositif serveur constituant un point d'accès AP permettant la mise en œuvre du procédé objet de l'invention, ainsi que représenté en figure 2a, seront données ci-après.Various indications for implementing the operating mode of the server device constituting an access point AP making it possible to implement the method that is the subject of the invention, as represented in FIG. 2a, will be given hereinafter.
Etape 101 d'identificationIdentification step 101
A l'étape 101 , c'est-à-dire après que l'utilisateur ait par exemple, appuyé sur le bouton de déclenchement du point d'accès AP, trois événements sont exécutés :In step 101, that is to say after the user has, for example, pressed the trigger button of the access point AP, three events are executed:
- un voyant lumineux entre en clignotement sur le point d'accès AP formant le dispositif serveur pendant toute Ia durée d'appairage.a light flashes on the access point AP forming the server device during the entire pairing period.
- le dispositif serveur formant point d'accès AP commute alors selon le mode d'appairage standard sur la base de son identifiant principal c'est- à-dire de son adresse MAC. Dans cette phase, le contrôle d'accès est désactivé et tout terminal utilisateur UT de type WiFi qui se connecte avec succès au point d'accès AP par une liaison de type WiFt est alors ajouté comme terminal utilisateur candidat pour l'adresse MAC considérée.the server device forming the access point AP then switches according to the standard pairing mode on the basis of its main identifier. to say its MAC address. In this phase, the access control is deactivated and any WiFi-type UT user terminal that successfully connects to the AP access point by a WiFt type link is then added as a candidate user terminal for the MAC address considered.
Pendant cette première période, l'identifiant principal est alors diffusé par îe point d'accès par l'interface radio de ce dernier.During this first period, the main identifier is then broadcast by the access point by the radio interface of the latter.
Le mode d'appairage standard dure ainsi pendant un délai déterminé δ 0 lequel peut être de l'ordre de 600 secondes par exemple. Dans le cas toutefois où ce délai expire, la procédure de connexion provisoire sur la base de l'adresse MAC est alors réactivée.The standard pairing mode thus lasts for a determined time δ 0 which can be of the order of 600 seconds for example. However, in the case where this delay expires, the temporary connection procedure based on the MAC address is then reactivated.
Un nouvel identifiant local jouant le rôle de premier identifiant local noté SSlD ou identifiant d'appairage est alors créé. Cet identifiant local ne dispose d'aucune mesure de sécurité de type WiFi c'est-à-dire pas de protocole de sécurité WEP ou WPA et permet alors de fournir un accès à un réseau local séparé et distinct du réseau local d'origine.A new local identifier playing the role of first local identifier noted SSlD or pairing identifier is then created. This local identifier has no WiFi security measures ie no WEP or WPA security protocol and then provides access to a LAN separate and distinct from the original LAN.
Ce réseau local séparé ne permet pas l'accès au réseau Internet et est totalement isolé du réseau local d'origine.This separate LAN does not allow access to the Internet and is totally isolated from the original LAN.
Ce réseau local séparé peut avoir, de manière avantageuse mais non limitative, les caractéristiques suivantes :This separate local area network may have, advantageously but without limitation, the following characteristics:
- la plage IP de réseau local est donnée par une adresse IP de domaine et par un masque de réseau IP ;the IP range of the local network is given by a domain IP address and an IP network mask;
- un serveur DHCP pour « Dynamic Host Configuration Protocol » en anglais permet de délivrer aux terminaux clients utilisateurs UT des adresses IP à partir d'une plage d'adresses comprise entre une adresse de début et une adresse de fin ;a DHCP server for "Dynamic Host Configuration Protocol" in English makes it possible to deliver IP addresses to client terminals UT from an address range between a start address and an end address;
- un système de pare-feu permet uniquement ies requêtes DHCP ou HTTP entre un terminai utilisateur client UT et le point d'accès AP, aucun trafic WtFi n'étant autorisé entre terminal utilisateur client ;a firewall system only allows DHCP or HTTP requests between a UT client user terminal and the AP access point, no WtFi traffic being authorized between the client user terminal;
- un serveur HTTP disposant de deux adresses URL permet le traitement des requêtes de transmission de clé de session commune R_CSK respectivement R_UT_G_D lors de l'étape d'attente d'événements 102 ainsi que décrit précédemment dans la description. Le serveur WEB correspondant ne dispose pas d'autres pages d'accès ;an HTTP server having two URLs makes it possible to process the R_CSK or R_UT_G_D common session key transmission requests during the event waiting step. as described previously in the description. The corresponding WEB server does not have other access pages;
- l'identifiant d'appairage SSiD est valable pendant un délai S 1 d'ouverture du processus d'appairage fiabiiisé de 60 secondes environ. Lorsque ce délai est expiré, le premier identifiant local d'appairage SSID est désactivé.the pairing identifier SSiD is valid during a time S 1 for opening the pairing process which is valid for about 60 seconds. When this time has expired, the first local SSID pairing ID is disabled.
En outre, le fait d'appuyer sur le bouton de déclenchement du point d'accès AP constituant Ie dispositif serveur, alors que ce dispositif serveur est en mode d'appaîrage c'est-à-dire en attente d'événements 102, a pour effet de relancer et de mettre à zéro tous les délais, et la machine d'état correspondante, et le processus d'appairage recommencent au départ.In addition, pressing the trigger button of the AP AP constituting the server device, while this server device is in the mode of drawing that is to say, pending events 102, a the effect of restarting and setting all deadlines to zero, and the corresponding state machine and the pairing process start over again.
Etape 103 du traitement d'une requête de transmission de clé de session commune R CSK.Step 103 of the processing of a common session key transmission request R CSK.
L'étape 103 précitée exécute les réponses à la requête d'envoi de clé commune de session lancée par le terminal utiiisateur UT pendant la période d'initialisation commune.The aforementioned step 103 executes the responses to the request for sending common session key launched by the user terminal UT during the common initialization period.
Le traitement précité est exécuté sous forme de résolution des contraintes conditionnelles ci-après :The aforementioned processing is performed as a resolution of the conditional constraints below:
- si le dispositif serveur jouant le rôle de point d'accès AP est en mode de sécurité WEP ou, le cas échéant, ne dispose d'aucun mode de sécurité, le dispositif serveur retourne un message HTTP de code 200 et une page HTML contenant seulement une chaîne de caractères spécifique indiquant, par exemple, que le processus d'appairage est alors terminé, sous forme codée Result=4\n ;if the server device acting as AP access point is in WEP security mode or, if necessary, has no security mode, the server device returns a code 200 HTTP message and an HTML page containing only a specific string indicating, for example, that the pairing process is now complete, in coded form Result = 4 \ n;
- si un délai ^ 2 de requête d'appairage pris par exemple égal à 30 secondes est expiré, alors !e dispositif serveur retourne un message HTTP de code 200 et une page HTML contenant seulement une chaîne de caractères sous forme codée Result=3\n ;- if a time ^ 2 request pairing taken for example equal to 30 seconds has expired, then an HTTP server device returns a message code 200, and an HTML page containing only a character string encoded form Result = 3 \ not ;
- si le dispositif serveur formant point d'accès AP a déjà reçu une clé publique pour effectuer la transmission de la cié de session commune ainsi que décrit précédemment dans la description, par l'intermédiaire du serveur de cié publique, alors, ie dispositif serveur jouant ie rôle de point d'accès AP retourne un message HTTP de code 200 et une page HTML contenant uniquement une chaîne de caractères d'invitation sous forme codée Result=2\n ;if the server device forming AP access point has already received a public key to perform the transmission of the joint session cie as described previously in the description, via the public access server, then, the server device playing the role of an AP access point returns a code HTTP message 200 and an HTML page containing only a string of characters. invitation in coded form Result = 2 \ n;
- le dispositif serveur tente alors de procéder à la lecture de la clé publique Kpu2 et si une erreur est détectée, le dispositif serveur retourne un message HTTP de code 200 et une page HTML contenant une chaîne de caractères sous forme codée Résultai \n ;- The server device then tries to read the public key Kp u2 and if an error is detected, the server device returns a 200 code HTTP message and an HTML page containing a string of characters coded Result \ n;
- si le dispositif serveur procède au chargement de la clé publique Kpu2 alors il procède à un retour d'un message HTTP 200 et d'une page HTML contenant un résultat sous forme codée Resuit = 0\n.if the server device loads the public key K pu2 then it proceeds to return an HTTP message 200 and an HTML page containing a result in coded form Resuit = 0 \ n.
Etape 104 de traitement d'une requête de transmission de données d'appairage par le terminal utilisateur UT requête UT G D.Step 104 of processing a request for transmission of pairing data by the user terminal UT request UT G D.
L'étape de traitement 104 exécute les réponses du dispositif serveur aux requêtes précitées transmises par ie terminal utilisateur UT.The processing step 104 executes the responses of the server device to the aforementioned requests transmitted by the user terminal UT.
L'étape de traitement 104 est exécutée sous forme de vérification des contraintes conditionneiies successives ci-après :The processing step 104 is executed as a verification of the successive conditional constraints:
- si le dispositif serveur n'a pas reçu de demande de transmission de cié de session CSK ou n'a pas reçu de clé publique de transmission d'une telle clé de session, alors iî retourne un message HTTP code 200 et une page HTML contenant uniquement le résultat codé Resuit = 3\n ;if the server device has not received a request for transmission of CSK session code or has not received a public key for transmission of such a session key, then it returns an HTTP message code 200 and an HTML page. containing only the coded result Resuit = 3 \ n;
- si le point d'accès AP a reçu plus d'une requête de transmission de clé de session ou plusieurs clés publiques Kpu2, alors il retourne un message HTTP de code 200 et une page HTML contenant seulement le résultat codé Resuit = 2\n.if the AP access point has received more than one session key transmission request or more than one public key K pu2 , then it returns a code 200 HTTP message and an HTML page containing only the coded result Resuit = 2 not.
Cette condition est représentée à l'étape 104b de la figure 2a. Le processus d'appairage du dispositif serveur est alors terminé par appel de l'étape 105 de fin d'appairage qui a pour effet de désactiver la première valeur d'identifiant local d'appaîrage SSlD. Le processus d'appairage peut être relancé par nouvelle pression du bouton de déclenchement d'appairage sur Se dispositif serveur jouant (e rôle de point d'accès AP.This condition is represented in step 104b of FIG. 2a. The pairing process of the server device is then terminated by calling the end pairing step 105 which has the effect of deactivating the first local identifier value SSlD. The pairing process can be restarted by pressing the pairing trigger button again On the server device playing AP role AP.
- si le délai S 2 de requête d'appairage n'est pas encore expiré alors, le dispositif serveur retourne un message HTTP de code 200 et une page HTML contenant uniquement le résultat codé Resuit = 1\n ;if the pairing request time S 2 has not yet expired then the server device returns a code 200 HTTP message and an HTML page containing only the coded result Resuit = 1 \ n;
- si au contraire le délai δ 2 de requête d'appairage est expiré et si le dispositif serveur jouant le rôle de point d'accès AP a reçu uniquement une demande ou requête de transmission de clé de session, alors, i! retourne un message HTTP code 200 et une page contenant les informations indiquées ci-après au tabieau 1.if, on the other hand, the pairing request delay δ 2 has expired and if the server device acting as the AP access point has received only a session key transmission request or request, then i! returns an HTTP message code 200 and a page containing the information shown below in Table 1.
Tableau 1 :Table 1:
Resuit = 0/nResuit = 0 / n
EKeyi EKey1\nEKeyi EKey1 \ n
EKey2 EKey2\nEKey2 EKey2 \ n
EKey3 EKey3\nEKey3 EKey3 \ n
EtV EIWiEtV EIWi
EPSK EPSKVnEPSK EPSKVn
ESSID ESSID\nESSID ESSID \ n
Le résultat codé est le résultat Result=0\n accompagné de certaines valeurs chiffrées dans lesquelles :The result is the result Result = 0 \ n accompanied by certain values in which:
- EKeyi , EKey2, EKey3, EiV, EPSK et ESSID sont les valeurs chiffrées respectives de clé de session ou plus exactement d'une combinaison d'une valeur de clé de session et d'une valeur de clé publique telle que la clé KpU2 associée au terminal utilisateur UT, et où ESSiD désigne la valeur chiffrée par un protocole de chiffrement symétrique de type DES par exemple, de la deuxième valeur d'identification iocale du dispositif serveur.EKeyi, EKey2, EKey3, EiV, EPSK and ESSID are the respective encrypted values of the session key or, more exactly, a combination of a session key value and a public key value such as the key K pU2. associated with the user terminal UT, and where ESSiD designates the value encrypted by a symmetric encryption protocol type DES, for example, the second local identification value of the server device.
Etape 105, étape de fin d'appairage.Step 105, end of pairing step.
Lorsque le délai S ^ d'ouverture du processus d'appairage fiabiltsé est dépassé, le processus d'appairage fiabilisé est terminé.When the opening time of the trusted pairing process is exceeded, the trusted pairing process is terminated.
Toute requête HTTP pendante, est l'objet d'une réponse mais aucune nouvelle requête HTTP n'est acceptée. Lorsque toutes les requêtes pendantes HTTP ont été traitées ou que le délai δ \ a été atteint, l'identifiant d'appairage est désactivé. Le processus d'appairage n'est pas stoppé pour autant et il continue jusqu'à ce que son propre délai d'appairage, le délai S o d'appairage standard, soit expiré.Any pending HTTP requests are answered but no new HTTP requests are accepted. When all requests HTTP has been processed or the delay δ \ has been reached, the pairing ID is disabled. The pairing process is not stopped yet and continues until its own pairing time, the standard pairing time S 0, has expired.
Une description plus détaillée du mode opératoire du terminal client pour la mise en œuvre du procédé objet de l'invention sera maintenant donnée en liaison avec la figure 2b, lorsque ce terminal client UT est en relation avec le dispositif serveur opérant tel que représenté en figure 2a.A more detailed description of the operating mode of the client terminal for the implementation of the method which is the subject of the invention will now be given in connection with FIG. 2b, when this client terminal UT is in relation with the operating server device as represented in FIG. 2a.
En premier lieu, le terminal client UT procède à l'affichage d'une étape d'invitation de l'utilisateur du terminai client sur un écran, tel que i'écran d'un PDA ou de tout dispositif muni d'un écran par exemple, à exécuter la commande locale d'initialisation sur le premier dispositif, c'est-à- dire le dispositif serveur jouant ie rôle de point d'accès AP en réseau partagé. Cette opération est représentée à l'étape 201 sur la figure 2b.First, the client terminal UT displays a step of inviting the user of the client terminal on a screen, such as the screen of a PDA or any device with a screen by for example, to execute the local initialization command on the first device, that is to say the server device playing the role of access point AP in shared network. This operation is represented in step 201 in FIG. 2b.
L'étape 201 est suivie d'une étape 202 de baiayage de recherche de réseau partagé d'appairage c'est-à-dire de recherche de l'identifiant du point d'accès AP constituée par l'adresse MAC de ce dernier.Step 201 is followed by a step 202 of searching for a paired shared network search, ie searching for the identifier of the access point AP constituted by the MAC address of the latter.
Sur réponse négative à l'étape 202 c'est-à-dire lorsque aucun point d'accès et en particulier aucune adresse MAC de point d'accès n'est détectée, ainsi que représenté à l'étape 202a de la figure 2b, un retour est effectué à l'étape 201 d'invitation par i' intermédiaire d'une étape de choix 208 proposée à l'utilisateur entre une connexion standard 208a ou au contraire un retour à l'étape d'invitation 201 pour effectuer une connexion fiabilisée.On negative response at step 202 that is to say when no access point and in particular no access point MAC address is detected, as represented in step 202a of FIG. 2b, a return is made to the invitation step 201 via a choice step 208 offered to the user between a standard connection 208a or on the contrary a return to the invitation step 201 to make a connection Trusted.
L'étape 208 de choix constitue en fait une étape de retour à l'étape d'invitation de l'utilisateur du terminal client conditionnelle au choix par cet utilisateur, soit de la répétition de l'exécution de la commande locale 201 soit de l'exécution d'une connexion classique 208a.The choice step 208 is in fact a step back to the user terminal conditional user's invitation stage of choice by this user, either from the repetition of the execution of the local command 201 or from the execution of a conventional connection 208a.
Sur réponse positive, mais néfaste, à l'étape 202 d'une détection d'un nombre de points d'accès AP supérieur à l'unité représentée à l'étape 202b de la figure 2b, cette situation étant représentée par la détection de n point d'accès nAP alors, le procédé objet de l'invention tel que représenté en figure 2b comprend une autre étape de retour à l'étape d'invitation de l'utilisateur du terminal client 201 conditionnelle à un choix temporisé 207 par l'utilisateur soit de l'exécution de la commande locale, soit de l'exécution d'une connexion classique 207a.On a positive but detrimental response, in step 202 of detecting an AP access points number greater than the unit represented in step 202b of FIG. 2b, this situation being represented by the detection of n nAP access point then, the method object of the invention as shown FIG. 2b comprises another step of returning to the step of inviting the user of the client terminal 201 conditional on a timed choice 207 by the user of either the execution of the local command or the execution of the a conventional connection 207a.
La détection d'une pluralité de points d'accès AP peut résulter par exemple de l'existence, dans un immeuble d'appartements, de points d'accès voisins qui émettent simultanément leur adresse MAC, le terminal utilisateur détectant alors, plusieurs points d'accès AP sur lesquels il n'a pas à se connecter.The detection of a plurality of AP access points can result, for example, from the existence, in an apartment building, of neighboring access points which simultaneously transmit their MAC address, the user terminal then detecting several points of access. AP access on which he does not have to connect.
Lorsque, au contraire, un seul point d'accès AP a été détecté jouant le rôle de dispositif serveur, ainsi que représenté à l'étape 202c de la figure 2b, alors une étape de contrôle de connexion provisoire du terminal client UT au point d'accès AP précité est appelée à l'étape 203.When, on the other hand, only one AP access point has been detected acting as a server device, as represented in step 202c of FIG. 2b, then a temporary connection control step of the client terminal UT at the point d said AP access is called at step 203.
La connexion provisoire précitée est réalisée dans un premier temps sur la base de l'adresse MAC du point d'accès AP puis sur ia base de la première valeur d'identification locale du dispositif serveur, la valeur SSID précédemment décrite dans la description.The aforementioned temporary connection is made initially on the basis of the MAC address of the access point AP and then on the basis of the first local identification value of the server device, the value SSID previously described in the description.
Sur réponse négative à l'étape 203, un message d'erreur à l'étape 203a est envoyé et un retour à l'étape 201 est exécuté par l'intermédiaire de l'étape de choix 208 et de l'alternative de choix 208a décrite précédemment dans la description.On a negative response at step 203, an error message at step 203a is sent and a return to step 201 is performed through the choice step 208 and alternative choice 208a previously described in the description.
Au contraire, sur réponse positive à l'étape 203, la connexion provisoire étant réussie, une étape de contrôle de transmission d'une requête d'établissement de clé de session commune 204 représentée par la relation R_CSK ? sur la figure 2b est exécutée.In contrast, on positive response at step 203, the provisional connection being successful, a transmission control step of a common session key establishment request 204 represented by the relation R_CSK? in Figure 2b is executed.
Sur réponse négative à l'étape 204, une étape 204a de transmission d'un message d'erreur en raison de l'existence d'une clé de session commune permet le retour à l'étape 201 par l'intermédiaire de l'étape de choix 208 et de choix de connexion standard 208a.On a negative response in step 204, a step 204a of transmitting an error message due to the existence of a common session key allows the return to step 201 via the step choice 208 and standard connection choice 208a.
Au contraire, sur réponse positive à l'étape 204, une étape 205 de contrôle de transmission de requête de données d'appairage par scrutation est exécutée par le terminal utilisateur UT lequel, dans l'opération de scrutation encore désignée « Polling » en anglais, recherche la valeur chiffrée VssidKsl précédemment mentionnée dans la description.On the contrary, on a positive response in step 204, a polling pairing request request transmission step 205 is executed by the user terminal UT which, in the operation polling still referred to as "Polling" in English, search the encrypted value VssidKsl previously mentioned in the description.
Sur réponse négative au test 205, et pour un nombre de clés de session commune N CSK>1 ou pour un nombre de ciés publiques associées à un terminal utilisateur supérieur à 1 , une étape de retour à l'étape d'invitation 201 par l'intermédiaire de l'étape de choix 208 de la connexion standard 208a, est en outre exécutée.On negative answer to the test 205, and for a number of common session keys N CSK> 1 or for a number of public states associated with a user terminal greater than 1, a step of returning to the invitation step 201 by the The intermediate of the selection step 208 of the standard connection 208a is further executed.
Au contraire, sur réponse positive à l'étape 205, une étape 206 de contrôle de configuration d'appairage et de connexion du terminal client au dispositif serveur constituant un point d'accès, est exécutée.On the contrary, on a positive response at step 205, a step 206 of configuration control of pairing and connection of the client terminal to the server device constituting an access point, is executed.
L'étape 206 permet en particulier, grâce au déchiffrement G représenté en figure 1a de restituer les valeurs d'identifiant, deuxième valeur locale d'identifiant ssid, et la clé secrète Ksi associée au dispositif serveur, jouant le rôle de point d'accès AP.In particular, the step 206 makes it possible, thanks to the decryption G represented in FIG. 1a, to restore the identifier values, the second local value of identifier ssid, and the secret key K s i associated with the server device, acting as a point d AP access.
Sur réponse négative au test 206 c'est-à-dire sur erreur de déchiffrement par exemple, un retour à l'étape 201 d'invitation est effectué par l'intermédiaire de l'étape de choix 208 et de ia connexion standard 208a. Au contraire sur réponse positive à l'étape 206, une étape 206b est appelée d'exécution du processus d'appaîrage entre le terminal utilisateur UT et le dispositif serveur sur la base des paramètres d'appairage et en particulier des valeurs obtenues par déchiffrement à l'étape 206.On negative response to the test 206, that is to say on decryption error for example, a return to the invitation step 201 is performed via the selection step 208 and the standard connection 208a. On the contrary, on a positive response in step 206, a step 206b is called the execution of the queuing process between the user terminal UT and the server device on the basis of the pairing parameters and in particular the values obtained by decryption at step 206.
Les données d'appairage correspondent à celles qui sont contenues au tableau 1 précédemment décrit dans la description.The pairing data correspond to those contained in Table 1 previously described in the description.
Différents détails d'exécution de mise en œuvre du procédé objet de l'invention tels que représentés en figure 2b, seront maintenant donnés ci-après : - étape 202 :Various implementation details of the method of the invention as shown in FIG. 2b will now be given below:
Lorsque le client utilisateur UT tente de se connecter à l'identifiant d'appairage du dispositif serveur c'est-à-dire la première valeur d'identification locale émise par ce dernier SSID1 cette opération est réalisée par des requêtes successives exécutées toutes les 5 secondes par exemple. Ce mode opératoire ne correspond pas à celui d'une découverte passive telle que l'obtention de l'adresse MAC du dispositif serveur car le premier identifiant locai du dispositif serveur SSID, contrairement à l'adresse MAC, ne doit pas être diffusé. En ce qui concerne le choix temporisé à i'étape 207 sur détection d'une pluralité de points d'accès nAP, on indique que ce choix temporisé de l'ordre d'une minute, permet le retour à l'étape d'invitation 201.When the user UT client tries to connect to the pairing identifier of the server device that is to say the first local identification value issued by the latter SSID 1 this operation is performed by successive requests executed every 5 seconds for example. This procedure does not correspond to that of a passive discovery such as obtaining the MAC address of the server device because the first locai identifier of the SSID server device, unlike the MAC address, should not be broadcast. With regard to the choice timed in step 207 on detecting a plurality of access points nAP, it is indicated that this delayed choice of the order of one minute, allows the return to the invitation step 201.
- étape 203 au point d'accès AP :step 203 at the AP access point:
Lors de cette étape la connexion provisoire au point d'accès AP permet au terminal utilisateur AP d'obtenir une adresse IP seion le protocole DHCP déjà cité.During this step the temporary connection to the AP access point allows the user terminal AP to obtain an IP address seion the DHCP protocol already mentioned.
- étape 204 :step 204:
Au cours de cette étape le terminal client UT transmet sa requête de transmission de clé de session commune CSK puis de transmission de clé publique KpU2 par exemple sous la forme d'un message POST HTTP au dispositif serveur formant le point d'accès AP.During this step the client terminal UT transmits its common session key transmission request CSK and public key transmission K pU 2 for example in the form of an HTTP POST message to the server device forming the access point AP .
Ces requêtes sont transmises à l'adresse d'URL précédemment mentionnées dans la description et les valeurs de clé sont indiquées sous forme chiffrée dans le paramètre P de la requête POST HTTP transmise.These requests are transmitted to the URL address previously mentioned in the description and the key values are indicated in encrypted form in the parameter P of the transmitted HTTP POST request.
- étape 205 de scrutation :step 205 of scanning:
Lorsque Ie termina! utilisateur UT a transmis avec succès sa clé publique au dispositif serveur, il entre alors dans un mode de scrutation « Polling » en anglais avec une période de cinq secondes par exemple jusqu'à ce qu'il reçoive une réponse.When I finished it! UT user successfully transmitted his public key to the server device, he then enters a polling mode in English with a period of five seconds for example until he receives a response.
- étape 206 :step 206:
Lorsque le terminal utilisateur reçoit des données d'appairage par une réponse effectuée par l'URL de transmission des données de réponses par l'intermédiaire du serveur URL de transmission des données d'appairage, et lorsque la valeur codée du résultat est Result=Q\n ainsi que décrit précédemment dans la description, il reçoit alors les données d'appairage indiquées précédemment dans le tableau 1 dans la description, et, après déchiffrement de ces valeurs, il dispose de la deuxième valeur d'identification locale du dispositif serveur ssîd et de la clé privée Ksi associée au dispositif serveur.When the user terminal receives pairing data by a response made by the transmission URL of the response data via the pairing data transmission URL server, and when the coded value of the result is Result = Q as described previously in the description, it then receives the pairing data indicated previously in Table 1 in the description, and, after decryption of these values, it has the second local identification value of the server device ssid and some private key K s i associated with the server device.
Enfin on comprend, à l'observation de la figure 2b que sur absence de détection d'un dispositif serveur situé en point d'accès AP1 sur connexion provisoire non réussie, sur existence d'une clé de session déjà reçue ou expiration du délai d'appairage, sur réception d'un message d'erreur du premier dispositif de réception d'un nombre de requêtes d'établissement d'une clé de session commune supérieur à l'unité ou sur échec de l'étape de contrôle de configuration du termina! client et de connexion au dispositif serveur, le procédé permet le retour par la boucle de retour à l'étape d'invitation de l'utilisateur du terminal client, étape 201 de la figure 2b.Finally, it is understood from the observation of FIG. 2b that on the absence of detection of a server device located in access point AP 1 on unsuccessful provisional connection, on the existence of a session key already received or expiration of the delay of pairing, on receipt of an error message of the first device for receiving a number of requests for setting a common session key greater than unity or for failure of the configuration control step of the termina! client and connection to the server device, the method allows return by the feedback loop to the client terminal user invitation step, step 201 of Figure 2b.
L'invention couvre en outre un dispositif de connexion de terminaux utilisateurs en réseau partagé formant un point d'accès à ce réseau partagé, et opérant comme dispositif serveur vis-à-vis de terminaux client.The invention furthermore covers a shared network user terminal connection device forming an access point to this shared network, and operating as a server device vis-à-vis client terminals.
Un tel dispositif serveur est maintenant décrit en liaison avec la figure 3. D'une manière générale, un tel dispositif serveur, comprend pour un réseau partagé de type WiFi par exempte, un module 1 Q interface de signal de liaison radio WiFi, un module 1 i interface logiciel de gestion de l'interface de signal de liaison radio WiFi et un module 12 d'appairage permettant d'exécuter i'appairage fiabilisé conformément au procédé objet de la présente invention.Such a server device is now described in conjunction with FIG. 3. In general, such a server device comprises, for a WiFi type shared network for example, a module 1 Q WiFi radio link signal interface, a module 1 i software interface for managing the WiFi radio link signal interface and a pairing module 1.2 for executing the reliable pairing in accordance with the method that is the subject of the present invention.
Le module d'appairage I2 peut être associé à une base de données temporaire et permanente 13 et un circuit d'initialisation 14 est prévu lequel peut consister en un bouton poussoir placé à l'extérieur du boîtier constituant le dispositif serveur considéré.The pairing module I 2 may be associated with a temporary and permanent database 1 3 and an initialization circuit 1 4 is provided which may consist of a push button placed outside the housing constituting the server device considered.
Enfin, une interface à courte portée 15 peut être prévue de manière optionnelle, lorsqu'il est souhaitable de réduire la portée du dispositif du serveur objet de l'invention tel que représenté en figure 3.Finally, a short-range interface 1 5 may be optionally provided, when it is desirable to reduce the scope of the server of the object of the invention as shown in FIG. 3.
Ainsi que représenté sur la figure 3 précitée, le module d'appairage 12 comprend avantageusement au moins un module M0 de lancement du processus d'identification par ouverture du processus d'appairage à partir d'une première valeur d'identification du dispositif serveur, un module Mi d'attente d'événements, ces événements comportant soit la transmission d'une requête d'établissement d'une clé de session commune, la clé CSK, lors de la transmission de la requête R_CSK, soit la transmission d'une requête de réception de données d'appairage par un terminal utilisateur ciient UT, requête notée R_UT_G_D sur la figure 2a ou encore l'expiration d'un délai d'appairage fiabilisé, ie délai P_D_E=1 représenté à l'étape 102c de la figure 2a.As represented in FIG. 3 above, the pairing module 1 2 advantageously comprises at least one module M 0 for launching the identification process by opening the process pairing from a first identification value of the server device, a module Mi waiting events, these events comprising either the transmission of a request for establishment of a common session key, the key CSK, during the transmission of the request R_CSK, that is to say the transmission of a request for reception of pairing data by a user terminal UT, a request denoted R_UT_G_D in FIG. 2a or the expiry of a delay of Reliable pairing, ie delay P_D_E = 1 represented in step 102c of FIG. 2a.
Le module d'appairage 12 comporte également un sous module M2 de fin de processus d'appairage appelé soit sur expiration du délai d'appairage fiabilisée soit sur détection d'un nombre de requêtes d'établissement de clé de session commune supérieur à l'unité ainsi que représenté pour ie traitement 104, 104b de la figure 2a.The pairing module 1 2 also comprises a sub-module M 2 end pairing process called either on expiration of the pairing period reliability or on detection of a number of common session key establishment requests greater than the unit as shown for processing 104, 104b of Figure 2a.
L'invention couvre enfin un programme d'ordinateur enregistré sur un support de mémorisation comportant une suite d'instructions pour exécution par un ordinateur ou par un dispositif serveur formant un point d'accès en réseau partagé tel que représenté en figure 3, ce programme d'ordinateur étant remarquable en ce que lors de l'exécution de ces instructions ce programme exécute les étapes du procédé objet de l'invention tel que représenté en figure 1a et en figure 2a notamment. The invention finally covers a computer program recorded on a storage medium comprising a sequence of instructions for execution by a computer or by a server device forming a shared network access point as represented in FIG. 3, this program computer is remarkable in that during the execution of these instructions this program performs the steps of the method of the invention as shown in Figure 1a and Figure 2a in particular.

Claims

REVENDICATIONS
1. Procédé de contrôle de la connexion d'un premier et d'un deuxième dispositif, munis de ressources de cryptographie, caractérisé en ce que ce procédé consiste au moins à :1. A method of controlling the connection of a first and a second device, provided with cryptographic resources, characterized in that this method consists of at least:
- exécuter une commande locale d'initialisation pendant une certaine durée sur le premier dispositif, et, pendant cette durée,execute a local initialization command for a certain duration on the first device, and during this period,
- lancer un processus d'identification sur ce premier dispositif, à partir d'une première valeur d'identification de ce premier dispositif ;launching an identification process on this first device, starting from a first identification value of this first device;
- exécuter avant la fin de ladite initialisation une commande locale d'initialisation sur le deuxième dispositif pour mettre en communication provisoire ledit deuxième dispositif et ledit processus d'identification, par l'intermédiaire dudit premier dispositif, l'initialisation du premier et du deuxième dispositif étant exécutée selon une étape d'initialisation commune ; et, pendant ladite étape d'initialisation commune,executing, before the end of said initialization, a local initialization command on the second device for temporarily setting said second device and said identification process, via said first device, to initialize the first and second devices; being executed according to a common initialization step; and, during said common initialization step,
- établir une clé de session commune au premier et au deuxième dispositif ;- establish a common session key to the first and second device;
- chiffrer, dans ledit premier dispositif une deuxième valeur d'identification locale de ce premier dispositif et une valeur de clé secrète associée à ce premier dispositif au moyen de la dite clé de session commune selon une valeur chiffrée et transmettre ladite valeur chiffrée dudit premier dispositif audit deuxième dispositif ; et, au niveau dudît deuxième dispositif,encrypting, in said first device, a second local identification value of said first device and a secret key value associated with said first device by means of said common session key according to an encrypted value and transmitting said encrypted value of said first device second device; and, at the level of said second device,
- déchiffrer ladite valeur chiffrée de ladite deuxième valeur d'identification locale et de ladite valeur de clé secrète associées audit premier dispositif au moyen de la clé de session commune ; etdecrypting said encrypted value of said second local identification value and said secret key value associated with said first device by means of the common session key; and
- configurer ledit deuxième dispositif à partir de ladite deuxième valeur d'identification locale et de ladite valeur de clé secrète pour connexion par appairage avec ledit premier dispositif,configuring said second device from said second local identification value and said secret key value for connection by pairing with said first device,
2. Procédé selon la revendication 1 , caractérisé en ce que celui- ci comporte en outre : - ia transmission par ledit deuxième dispositif audit premier dispositif d'une cîé publique pour assurer la transmission de ladite clé de session sous forme de valeur chiffrée du premier au deuxième dispositif ;2. Method according to claim 1, characterized in that it further comprises: transmitting by said second device to said first device a public route for transmitting said session key as an encrypted value from the first to the second device;
- le déchiffrement de ladite valeur chiffrée de ladite clé de session par ledit deuxième dispositif pour restituer au deuxième dispositif ladite clé de session commune.the decryption of said encrypted value of said session key by said second device to restore to the second device said common session key.
3. Procédé selon la revendication 2, caractérisé en ce que celui- ci consiste en outre à engendrer ladite clé de session commune dans ledit premier dispositif sous forme d'une séquence de bits aléatoires.3. Method according to claim 2, characterized in that it further comprises generating said common session key in said first device in the form of a sequence of random bits.
4. Procédé selon Tune des revendications 1 à 3, caractérisé en ce que ledit premier dispositif étant un point d'accès en réseau partagé formant un dispositif serveur, ledit dispositif serveur exécute, suite à l'exécution de ladite commande locale d'initialisation par actionnement d'un bouton de déclenchement et de ladite étape de lancement d'un processus d'identification par ouverture du processus d'appairage à partir de ladite première valeur d'identification :4. Method according to one of claims 1 to 3, characterized in that said first device being a shared network access point forming a server device, said server device executes, following the execution of said local initialization command by actuating a trigger button and said launching step of an identification process by opening the pairing process from said first identification value:
- une étape d'attente d'événements, lesdits événements comportant au moins, soit Ia transmission d'une requête d'établissement de clé de session commune, soit ia transmission d'une requête de réception de données d'appairage par ledit deuxième dispositif ou encore l'expiration d'un délai d'appairage ;an event waiting step, said events comprising at least either the transmission of a common session key establishment request or the transmission of a pairing data reception request by said second device; or the expiration of a pairing delay;
- une étape de fin de processus d'appairage appelée soit sur expiration dudit délai d'appairage, soit sur détection d'un nombre de requêtes d'établissement de clé de session commune supérieur à l'unité.an end of pairing process step called either on expiration of said pairing delay, or on detection of a number of common session key establishment requests greater than unity.
5. Procédé selon la revendication 4, caractérisé en ce que l'attente de la transmission par ledit deuxième dispositif d'une requête d'établissement de clé de session commune est formée par une boucle de retour à l'étape d'attente d'événements incluant une étape de traitement de toute requête d'établissement de clé de session.5. Method according to claim 4, characterized in that the waiting for the transmission by said second device of a common session key establishment request is formed by a return loop to the waiting step of events including a step of processing any session key establishment request.
6. Procédé selon la revendication 4 ou 5, caractérisé en ce que l'attente de la transmission d'une requête de réception de données d'appairage par ledit deuxième dispositif est formée par une boucle de retour à i'έtape d'attente d'événements conditionnelle à la non expiration dudit délai d'appairage et à l'absence de réception d'une requête d'établissement de clé de session commune et incluant une étape de traitement de toute requête de réception de données d'appairage.6. Method according to claim 4 or 5, characterized in that waiting for the transmission of a request for reception of pairing data by said second device is formed by a feedback loop. at the event waiting stage conditional on the non-expiration of said pairing delay and the absence of reception of a common session key establishment request and including a step of processing any request for reception pairing data.
7. Procédé selon la revendication 5, caractérisé en ce que ladite étape de traitement de toute requête d'établissement de clé de session inclut au moins le contrôle de la réception d'un nombre de requêtes d'établissement de clé de session commune supérieur à i'unité.The method of claim 5, characterized in that said step of processing any session key establishment request includes at least controlling the reception of a number of common session key establishment requests greater than i'unité.
8. Procédé selon les revendication 6 à 7, caractérisé en ce que, pour un nombre de requêtes d'établissement de clé de session supérieur à l'unité, ladite étape de traitement de toute requête de réception de données d'appairage inclut au moins Ia transmission par ledit dispositif serveur d'un message d'erreur et l'appel de l'étape de fin d'appairage.Method according to claims 6 to 7, characterized in that, for a number of session key establishment requests greater than unity, said step of processing any pairing data reception request includes at least The transmission by said server device of an error message and the call of the end of pairing step.
9. Procédé selon l'une des revendications 1 à 8, caractérisé en ce que ledit deuxième dispositif étant un terminal client en réseau partagé, iedit procédé inclut au moins :9. Method according to one of claims 1 to 8, characterized in that said second device being a shared network client terminal, iedit method includes at least:
- une étape d'invitation de l'utilisateur dudit terminal citent à exécuter ladite commande locale d'initialisation sur ledit premier dispositif, formant un point d'accès à ce réseau partagé,a step of inviting the user of said terminal to execute said local initialization command on said first device, forming an access point to this shared network,
- une étape de balayage de recherche de réseau partagé d'appairage ; et, sur détection d'un dispositif serveur constituant un point d'accès» a paired shared network search scan step; and on detection of a server device constituting an access point "
- une étape de contrôle de connexion provisoire dudit terminal client audit point d'accès ; et, sur connexion provisoire réussie,a step of temporarily checking the connection of said client terminal to said access point; and, on successful provisional connection,
- une étape de contrôle de transmission d'une requête d'établissement de clé de session connue ; et, sur réception d'un accusé de réception de la requête d'établissement de clé de session commune,a transmission control step of a known session key establishment request; and, on receipt of an acknowledgment of receipt of the common session key establishment request,
- une étape de contrôle de transmission d'une requête de données d'appairage par scrutation ; et, sur réception de données d'appairage,a step of transmitting control of a query of pairing data by scanning; and, upon receiving pairing data,
- une étape de contrôle de configuration d'appairage et de connexion du terminal client audit dispositif serveur constituant un point d'accès.a step of controlling configuration of pairing and connection of the client terminal to said server device constituting an access point.
10. Procédé selon la revendication 9, caractérisé en ce que, en l'absence de détection d'un dispositif serveur constituant un point d'accès, ledit procédé comprend une étape de retour à l'étape d'invitation de l'utilisateur dudit terminai client conditionnelle à un choix par cet utilisateur soit de la répétition de l'exécution de ladite commande locale, soit de l'exécution d'une connexion classique.10. Method according to claim 9, characterized in that, in the absence of detection of a server device constituting an access point, said method comprises a step of returning to the step of inviting the user of said client terminal conditional on a choice by this user either of the repetition of the execution of said local command, or of the execution of a connection classic.
11. Procédé selon la revendication 9 ou 10, caractérisé en ce que, sur détection d'une pluralité de dispositifs serveurs constituant un point d'accès, ledit procédé comprend une autre étape de retour à l'étape d'invitation de l'utilisateur dudit terminal client conditionnelle à un choix temporisé par l'utilisateur soit de la répétition de l'exécution de ladite commande locale, soit de l'exécution d'une connexion classique.11. The method of claim 9 or 10, characterized in that, on detecting a plurality of server devices constituting an access point, said method comprises another step of returning to the user invitation step. said client terminal conditional to a choice timed by the user is the repetition of the execution of said local command, or the execution of a conventional connection.
12. Procédé selon l'une des revendications 9 à 11 , caractérisé en ce que sur absence de détection d'un dispositif serveur constituant un point d'accès, sur connexion provisoire non réussie, sur existence d'une clé de session déjà reçue ou expiration du délai d'appairage, sur réception d'un message d'erreur du premier dispositif de réception d'un nombre de requêtes d'établissement d'une clé de session commune supérieur à l'unité ou sur échec de l'étape de contrôle de configuration du terminal client audit dispositif serveur ledit procédé comporte une boucle de retour à ladite étape d'invitation de l'utilisateur dudit terminal client.12. Method according to one of claims 9 to 11, characterized in that on lack of detection of a server device constituting an access point, unsuccessful provisional connection, on the existence of a session key already received or expiration of the pairing delay, on receipt of an error message of the first device receiving a number of requests to establish a common session key greater than unity or failure of the step of configuration control of the client terminal to said server device said method comprises a loop back to said step of inviting the user of said client terminal.
13. Dispositif de connexion de terminaux utilisateurs en réseau partagé formant un point d'accès à ce réseau partagé et opérant comme dispositif serveur vis-à-vis de terminaux clients, ce dispositif de connexion comportant au moins, une interface de signai de liaison radio commandée par un module d'appairage et un circuit d'initialisation, caractérisé en ce que ledit module d'appairage comprend au moins :13. Device for connecting user terminals in shared network forming an access point to this shared network and operating as a server device vis-à-vis client terminals, this connection device comprising at least a radio link signal interface controlled by a pairing module and an initialization circuit, characterized in that said pairing module comprises at least:
- un sous module (MO) de lancement d'un processus d'identification par ouverture du processus d'appairage à partir d'une première valeur d'identification dudit dispositif serveur,a sub-module (MO) for launching an identification process by opening the pairing process from a first identification value of said server device,
- un sous module (M1 ) d'attente d'événement, ces événements comportant soit la transmission d'une requête d'établissement de clé de session commune, soit la transmission d'une requête de réception de données d'appairage par un terminal utilisateur client ou encore l'expiration d'un délai d'appairage fiabilisé ; - un sous module (M2) de fin de processus d'appairage, appelé soit sur expiration dudit délai d'appairage fiabilisé, soit sur détection d'un nombre de requêtes d'établissement de clé de session commune supérieur à l'unité.an event waiting sub-module (M1), these events comprising either the transmission of a common session key establishment request or the transmission of a request for reception of pairing data by a terminal customer user or the expiration of a trusted pairing period; a sub-module (M2) at the end of the pairing process, called either on expiration of said trusted pairing delay, or on detection of a number of common session key establishment requests greater than unity.
14. Programme d'ordinateur comportant une suite d'instructions enregistrées sur un support de mémorisation pour exécution par un ordinateur ou par un dispositif serveur formant un point d'accès en réseau partagé, caractérisé en ce que lors de l'exécution de ces instructions ledit programme exécute les étapes du procédé objet de l'invention selon les revendications 1 à 8. 14. Computer program comprising a sequence of instructions stored on a storage medium for execution by a computer or a server device forming a shared network access point, characterized in that during the execution of these instructions said program executes the steps of the method according to the invention according to claims 1 to 8.
EP07731718A 2006-04-04 2007-03-09 Loss of control of connection between a first device and a second device, access point and corresponding user terminal in shared network Ceased EP2002636A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0602925 2006-04-04
PCT/FR2007/050902 WO2007113408A1 (en) 2006-04-04 2007-03-09 Loss of control of connection between a first device and a second device, access point and corresponding user terminal in shared network

Publications (1)

Publication Number Publication Date
EP2002636A1 true EP2002636A1 (en) 2008-12-17

Family

ID=37487584

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07731718A Ceased EP2002636A1 (en) 2006-04-04 2007-03-09 Loss of control of connection between a first device and a second device, access point and corresponding user terminal in shared network

Country Status (2)

Country Link
EP (1) EP2002636A1 (en)
WO (1) WO2007113408A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005032072A2 (en) * 2003-09-30 2005-04-07 Koninklijke Philips Electronics N.V. Automatic assignment of a network id
JP2005117247A (en) * 2003-10-06 2005-04-28 Saxa Inc Registration method in wireless lan system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607015B2 (en) * 2002-10-08 2009-10-20 Koolspan, Inc. Shared network access using different access keys

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005032072A2 (en) * 2003-09-30 2005-04-07 Koninklijke Philips Electronics N.V. Automatic assignment of a network id
JP2005117247A (en) * 2003-10-06 2005-04-28 Saxa Inc Registration method in wireless lan system

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
"Machine Translation in English of JP2005117247 A 20050428 (application JP20030347039 20031006)", KATO TAKASHI; SAITO MINETAKA; WATABE HIROTO; CHIBA TOSHIYUKI; NAKAGAWA TADAYUKI; KOYAMA KENICHI; OKITA NORIMICHI; NAKAYAMA ATSUHIRO, 28 May 2005 (2005-05-28), XP055033501, Retrieved from the Internet <URL:http://dossier-services.internal.epo.org/application/JPO/JP/2003-347039/Description_50301661095/?serveAsMime=application/pdf;overlay=true&language=en&inline=true#view=fitH,0> [retrieved on 20120720] *
ANTON B ET AL: "Best current practices for wireless internet service provider (WISP) roaming", WIRELESS ISP ROAMING, XX, XX, 1 February 2003 (2003-02-01), pages 1 - 37, XP002963834 *
L. CAMPAGNOLLE: "(MISE à JOUR) LES 'BOX' DES FAI SèMENT LA PANIQUE DANS LES CENTRES D'APPELS", 01NET, 7 January 2005 (2005-01-07), pages 1 - 2, XP003031388
M. CALAIS: "ORANGE MET à PROFIT LES IDéES DE SES SALARIéS", LA TRIBUNE, 13 August 2010 (2010-08-13), pages 1 - 2, XP003031387
See also references of WO2007113408A1 *

Also Published As

Publication number Publication date
WO2007113408A1 (en) 2007-10-11

Similar Documents

Publication Publication Date Title
EP1733533B1 (en) System and method for user authorization access management at the local administrative domain during the connection of a user to an ip network
WO2002102018A1 (en) Method for authentication between a portable telecommunication object and a public access terminal
FR3036913A1 (en) METHOD FOR CONTROLLING ACCESS TO A SERVICE
WO2006125885A1 (en) Method for controlling connection of a peripheral to an access point, corresponding access point and peripheral
EP2822285A1 (en) Pairing devices through distinct networks
FR2932936A1 (en) METHOD FOR SECURING EXCHANGES BETWEEN A REQUESTOR NODE AND A RECEIVING NODE, SAID NODES BELONGING TO A COMMUNICATION NETWORK.
EP2348763B1 (en) Method for authenticating a mobile terminal to access an application server
EP2608590A1 (en) Self-configuration of a device for connecting to a secure wireless network
EP2002636A1 (en) Loss of control of connection between a first device and a second device, access point and corresponding user terminal in shared network
WO2019186006A1 (en) Method for wirelessly connecting a communicating object to a local communication network, computer program and access equipment corresponding thereto
CA3153796A1 (en) Method for connecting a communication node, and corresponding communication node
EP3530036B1 (en) Pairing method at a gateway
EP4080923B1 (en) Electronic device for decentralised management of communication group(s)
EP1715690A1 (en) Method of videophone data transmission
EP4018554B1 (en) Methods and devices for pairing in a wireless network
WO2011073584A1 (en) Method for controlling access to a local area network
FR2895816A1 (en) Communication device e.g. television, configuring method for e.g. Internet network, involves executing automatic configuration program of communication devices based on configuration parameters list downloaded towards data storage device
FR3052004B1 (en) METHOD OF EXCHANGING DATA BETWEEN A CONNECTED OBJECT AND A CENTRAL SERVER
EP4256753A1 (en) Method for detecting a malicious device in a communication network, corresponding communication device and computer program
EP3970336A1 (en) Method for managing a piece of security information in a communication network, corresponding device, equipment for accessing the network and computer programs
FR2924294A1 (en) Authentication identifier e.g. medium access control address, and random sequence transmitting method for e.g. portable computer, involves sending authentication request nearer to communicating device by terminal
FR3116978A1 (en) Access control to a local communication network, and access gateway implementing such control
FR3122796A1 (en) Method of defense against a disconnection attempt between two entities, associated system
FR3139263A1 (en) Method and device for secure connection in a local network.
FR3110802A1 (en) Method for controlling the allocation of an IP address to a client equipment in a local communication network, method of processing a request for allocation of an IP address to a client equipment in a local communication network, devices , access equipment, server equipment and corresponding computer programs.

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20081001

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20090710

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ORANGE

TPAC Observations filed by third parties

Free format text: ORIGINAL CODE: EPIDOSNTIPA

TPAC Observations filed by third parties

Free format text: ORIGINAL CODE: EPIDOSNTIPA

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20160529