EP3925253A1 - Network key recovery, network key transmission, network key recovery management, terminal, mediation server and point of access implementing them - Google Patents

Network key recovery, network key transmission, network key recovery management, terminal, mediation server and point of access implementing them

Info

Publication number
EP3925253A1
EP3925253A1 EP20711230.1A EP20711230A EP3925253A1 EP 3925253 A1 EP3925253 A1 EP 3925253A1 EP 20711230 A EP20711230 A EP 20711230A EP 3925253 A1 EP3925253 A1 EP 3925253A1
Authority
EP
European Patent Office
Prior art keywords
terminal
network key
access point
mediation server
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP20711230.1A
Other languages
German (de)
French (fr)
Inventor
Halim Bendiabdallah
Elyass NAJMI
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Publication of EP3925253A1 publication Critical patent/EP3925253A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices

Definitions

  • a network key recovery method, a network key sending method, a network key recovery management method, a terminal, a mediation server and an access point are provided.
  • the network key is in particular a key for associating a terminal with an access point via a wireless network such as the Wifi network (registered trademark).
  • a terminal computer, smartphone, printer, camera, etc.
  • a wireless network in particular WiFi
  • an access point device to a communication network
  • a communication network in particular an Internet router or a gateway between a private network and a public network such as the Internet
  • the access points are equipped with a network key also called WEP key (Wired Equivalent Privacy in English for "intimacy equivalent to the wired” that is to- ie securing wireless access), WAP (Wifi Protected Access in English or Wifi protected access) or WAP2 (registered trademarks) depending on the standard used.
  • WEP key Wired Equivalent Privacy in English for "intimacy equivalent to the wired” that is to- ie securing wireless access
  • WAP Wi Protected Access in English or Wifi protected access
  • WAP2 registered trademarks
  • the network key can be simply written on the access point device, also called access point by abuse of language (for example on a label directly affixed to the access point and / or a label affixed to the packaging access point).
  • the user wishing to connect a tablet via the WiFi network to this access point will enter the WiFi key read on the access point during a connection request to this access point on his tablet.
  • This first connection is therefore tedious because the network keys are often long to avoid the risk of intrusion into the private network.
  • the security of the network depends on where the access point is located because if it is accessible to a large number of people, this will be reduced since the network key is easily readable.
  • This network key can be modified by users by means of an access point interface accessible via the Internet (either directly on an Internet page or via an application dedicated to the access point, such as the My Livebox application - brand filed). The risk is then the forgetting of the network key modified by the user preventing any new association of terminal with the access point, that is to say addition of terminal to the private network managed by the access point. access.
  • the network key affixed to the access point can be either replaced or combined with a barcode or QR code type code comprising the network key.
  • the security of the private network again depends on the location of the access point and its physical accessibility by third parties.
  • the WPS standard (Wifi Protected Setup in English for secure Wifi initialization) also proposes to facilitate this first connection by proposing to generate a random network key that is stronger than the network key provided by the access point manufacturer. So that this random network key is known to the two devices to be associated: the access point and the terminal (tablet, printer, smartphone ...), the WPS protocol comprises a series of message exchanges between the access point and the terminal following an action by the user of the terminal which when the series of exchanges is carried out successfully ends with the indication that the protocol is complete allowing the transmission of the random network key and the first connection of the terminal to the access point.
  • the WPS standard provides for several operating modes:
  • NFC mode in which the user brings the terminal near the access point to enable NFC (Near Field Communication) communication.
  • WPS exchanges are carried out between the terminal and the access point via the Wifi network following the action of the user (sends a PIN code to the access point and / or presses the push buttons).
  • One of the aims of the present invention is to remedy the drawbacks of the state of the art.
  • An object of the invention is a method for recovering the network key of a point of access to a network implemented by a terminal, the network key allowing the terminal to be associated with the access point during the first connection of the terminal to the access point, the network key recovery method comprising a reception by a terminal of a network key sent via a mediation server by an access point, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
  • the key is not easily retrievable by a third party since it is neither displayed on the access point nor transmitted by the access point directly to the terminal, in particular via a local radio network such as Wifi or Bluetooth. (registered trademarks). This limits intrusions into the private network managed by the access point, particularly intrusions linked to the vulnerability of the local radio network.
  • the network key recovery method comprises, prior to reception of the network key, a transmission of a network key request by the terminal to the mediation server.
  • the network key is only received by the terminal on request from the terminal, preventing the terminal from keeping a network key in its memory. This limits, if the terminal were the object of an intrusion by a third party, the risks of recovery of the network key by a third party directly in the terminal and therefore of intrusion into the private network managed by the access point.
  • the issuance of a network key request triggers at least one of the following steps:
  • the establishment of the communication session allows that, as soon as the terminal requests it, the transmission of the network key by the mediation server can be effected upon receipt thereof by the mediation server.
  • the network key recovery method comprises decryption of the received network key.
  • the decryption is performed by means of a private key generated by the terminal with a public key sent to the mediation server by the terminal during an association, carried out prior to the implementation of the recovery method, from the terminal to the Mediation Server, the network key having been encrypted with the public key by the Mediation Server.
  • An object of the invention is also a method for sending a network key from an access point to a network implemented by an access point, the network key allowing a terminal to be associated with the point of access. 'access during the first connection of the terminal to the access point, the method of sending a network key comprising a transmission of a network key by an access point via a mediation server at a terminal, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and of an identifier of the access point.
  • the transmission of the network key consists of the transmission of a message to the mediation server, the message comprising the network key and an identifier of the access point allowing the mediation server to determine an identifier of the terminal associated with the. access point identifier prior to the first connection.
  • the network key sending method comprises actuation of an actuatable device of the access point triggering the transmission of the network key.
  • the transmission of the network key by the access point to the mediation server is performed in a secure manner.
  • An object of the invention is also a method for managing network key recovery of an access point to a network implemented by a mediation server, the network key allowing a terminal to be associated with the point of 'access during the first connection of the terminal to the access point, the method for managing the recovery of the network key comprising a transmission by the mediation server to a terminal of a network key received from an access point, the mediation server having identified the terminal by means of an association prior to the first connection of an identifier of the terminal and of an identifier of the access point.
  • the recovery management method comprises, prior to transmission, encryption of the network key.
  • the various steps of the method according to the invention are implemented by software or computer program, this software comprising software instructions intended to be executed by a data processor of a device forming part of ... and being designed to control the execution of the various steps of this process.
  • the invention therefore also relates to a program comprising program code instructions for the execution of the steps of at least one of the following methods:
  • This program can use any programming language and be in the form of source code, object code or intermediate code between source code and object code such as in a partially compiled form or in any other desirable form.
  • An object of the invention is also a terminal comprising an interface for retrieving the network key of an access point to a network implemented by a terminal, the network key allowing the terminal to be associated with the access point during the first connection of the terminal to the access point, the recovery interface comprising a receiver of a network key sent via a mediation server by an access point, the terminal having been identified by the mediation server at the way an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
  • An object of the invention is also a mediation server comprising a network key recovery manager of an access point to a network implemented by a mediation server, the network key allowing a terminal to be associated. at the access point during the first connection of the terminal to the access point, the network key recovery manager comprising a transmitter to a terminal of a network key received from an access point, the mediation server having identified the terminal by means of an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
  • An object of the invention is also an access point to a network comprising a network key supplier, the network key allowing the terminal to be associated with the access point during the first connection of the terminal to the access point.
  • the network key provider comprising a sender of a message via a mediation server to a terminal, the message comprising the network key of the access point, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
  • FIG 1 Figure 1
  • Figure 2 Figure 2
  • Figure 2 a simplified initialization diagram of a network key recovery method according to the invention
  • FIG 3 Figure 3, a simplified diagram of a method for sending a network key according to the invention
  • FIG 4 Figure 4, a simplified diagram of a method for managing network key recovery according to the invention
  • FIG 5 a simplified diagram of a method for associating a mediation server with a terminal during the initialization of a method for recovering a network key according to the invention
  • FIG 6 Figure 6, a simplified diagram of exchanges during the implementation of network key sending, network key recovery management and network key recovery methods according to the invention
  • FIG 7 Figure 7, a simplified diagram of a communication architecture implementing the invention
  • FIG 8a Figure 8a, a simplified diagram of a communication architecture comprising a terminal, a mediation server and an access point according to the invention, detailing the devices implemented during the prior association of a access point identifier with a terminal identifier
  • Figure 8b a simplified diagram of a communication architecture comprising a terminal, a mediation server and an access point according to the invention, detailing the devices implemented during the initialization of the key collector terminal network
  • FIG 8c Figure 8c, a simplified diagram of a communication architecture comprising a terminal, a mediation server and an access point according to the invention, detailing the devices implemented during the implementation of the data collector. network key of the terminal.
  • Figure 1 illustrates a simplified diagram of a network key recovery method according to the invention.
  • the method NK_RVY for recovering a network key of an access point to a network implemented by a terminal T The network key nk allows the terminal T to be associated with the access point PA during the first connection of the terminal T to the access point PA.
  • the network key recovery method NK_RVY comprises a REC reception by a terminal T of a network key nk sent via a mediation server SM by an access point PA.
  • the terminal T was identified by the mediation server SM by means of an association prior to the first connection of an identifier of the terminal TJd and an identifier of the access point PJd.
  • the method for recovering NK_RVY of a network key comprises, prior to the reception REC of the network key nk, a transmission NKRQ_EM of a request for a network key nk rq by the terminal T to the mediation server SM.
  • the NKRQ_EM issuance of a network key request triggers at least one of the following steps:
  • the mediation server SM a verification by the mediation server SM that the terminal T which issued the request nk rq corresponds to the terminal T whose identifier TJd is associated with an identifier of the access point PAJd.
  • the method for recovering the network key NK_RVY comprises a DCRPT decryption of the received network key nk * .
  • the DCRPT decryption is performed by means of a private key ck pv generated by the terminal T with a public key ck pb sent to the mediation server SM by the terminal T during an association SM_ASS, carried out prior to the setting.
  • the prior association with the SM_ASS mediation server allows ok the implementation of the recovery of the network key NK_RVY, in particular by authorizing the start of the recovery process NK_RVY_ST.
  • the authorization message is sent following the generation of the pair of asymmetric keys (ck pv , ck pb ), in particular as soon as the public key ck pb of this pair of keys is transmitted to the mediation server SM and / or as soon as the private key ck pv is recorded in the terminal T, in particular in a memory T_MEM of the terminal T, such as a database, a memory card, etc.
  • the method for recovering the network key NK_RVY comprises a step of starting the method NK RVY ST.
  • This starting step NK RVY ST is in particular triggered by a st cmd action of a user U, for example on an input interface of the terminal or by means of a capture interface, such as a voice interface, a camera, etc.
  • the user U can indicate to the terminal T that he wishes the latter to recover the network key of the access point PA whose identifier PAJd has been previously associated with an identifier of the terminal TJd.
  • the NK_RVY_ST start step is not authorized if the terminal T has not been previously associated with a mediation server SM by means of a pair asymmetric keys (ck;: V. ck pb ).
  • the start of the recovery of the NK_RVY_ST network key directly generates a cnx cmd command which controls a transmission of an NKRQ EM request.
  • the start of the recovery of the NK_RVY_ST network key generates an rpr cmd reproduction command which controls the CPT_RPR reproduction of a cpt rq message to the access point PA.
  • the reproduced message cpt rq asks a user U of the terminal T to interact with the access point PA.
  • the CPT_RPR reproduction sends the NKRQ_EM network key request issuance the cnx cmd command which controls the NKRQ_EM request issuance.
  • the transmission of request NKRW_EM sends a request for a network key nk rq to a mediation server SM, in particular the mediation server previously associated SM_ASS with the terminal T.
  • the request for network key nk rq includes in particular an identifier of the requesting terminal T_id: nk_rq (T_id).
  • the transmission of the network key request nk rq directly or indirectly triggers the establishment of a communication session between the terminal and the mediation server T / SM_SS allowing transmission of the network key nk of the mediation server SM to terminal T.
  • the network key of the access point PA can be transmitted from the mediation server SM to the terminal T without processing nk, encrypted nk * (in particular by means of the public key ck pb ), integrated in a message mssg ( nk), embedded encrypted in an mssg (nk * ) message, embedded in an encrypted message mssg * (nk), etc.
  • the T / SM_SS communication session between the terminal and the mediation server is in particular a Web socket securing the transmission of the network key.
  • the network key nk received by the terminal of the mediation server is possibly received by the mediation server SM of the access point PA during the period of execution of the method for retrieving the network key by the terminal T.
  • the recovery of the network key on the mediation server by a third party is limited to the time during which the method for recovering the network key by the terminal is being executed.
  • the method for recovering the network key NK_RVY comprises a DCRPT decryption using in particular the private key ck pv to decrypt the encrypted message mssg * (nk) and / or the encrypted network key received nk * or the encrypted message received mssg * ( nk).
  • the private key ck pv possibly used by the DCRPT decryption is read by the decryption in a memory of the terminal T_MEM in which it has been previously recorded in particular during the prior association of the terminal with the mediation server SM_ASS.
  • the use of asymmetric keys to encrypt / decrypt the network key before / after its transmission between the mediation server and the terminal further reduces the risk of recovery of the network key by a third party, thereby reducing the risks of intrusion into the private network managed by the access point PA.
  • the method for recovering the network key NK_RVY comprises an extraction MSSG_XTR to extract from the received message, possibly decrypted, mssg (nk * ), mssg (nk) the encrypted network key or not nk * , nk.
  • the method for recovering the NK_RVY network key comprises a collection of the NK_CLT network key comprising one or more of the following steps:
  • the network key nk thus received, or even collected, can be used during a first connection PA_CNX from the terminal T to the access point PA.
  • the network key nk is temporarily stored in the terminal T for a first subsequent connection of the terminal T to the access point PA
  • FIG. 2 illustrates a simplified diagram of initialization of a network key recovery method according to the invention.
  • the NKAPPJNIT initialization method comprises associating the terminal with the SM_ASS mediation server prior to the NK_RVY network key recovery method, in particular as illustrated in FIG. 1.
  • the NKAPPJNIT initialization method comprises a NKAPP_LD loading of the network key recovery method by the terminal T, in particular from an application server APP_S.
  • the network key recovery process is notably loaded in the form of an nkapp application.
  • the NKAPPJNIT initialization method comprises an execution of the initialization of the NKAPP_XI network key recovery method.
  • the execution of the initialization is in particular triggered init_trg by the end of the NKAPP_LD loading.
  • the execution of the NKAPP_XI initialization notably controls the association of the terminal with the SM_ASS mediation server and possibly other steps (not illustrated) such as the initialization of at least one parameter useful for the execution of the recovery method.
  • network key such as in particular reading an identifier of the terminal T_id, and / or searching for an address of a mediation server, etc.
  • the association with the SM_ASS mediation server notably sends an association request ass rq from the terminal T to the mediation server SM.
  • the association with the SM_ASS mediation server comprises a generation CK_GN of a pair of asymmetric keys (ck pv , ck pb ).
  • the private key ck pv is recorded in a memory of the terminal T_MEM and the public key ck pb transmitted via a first network N1 to the mediation server SM.
  • the public key ck pb is possibly associated with an identifier of the terminal T_id during its transmission to the mediation server, such as the identifier of the terminal T_id previously associated with an identifier of an access point PA id.
  • the association request message ass rq includes the public key ck pb and / or an identifier of the terminal TJd: ass_rq (ck pb ), ass_rq (ck pb T_id), ass_rq (T_id), ...
  • the association with the mediation server SM_ASS comprises a reception of the activation code of the association AC_RC from the mediation server SM via a second network N2.
  • the act cd activation code is received by the terminal T from the mediation server SM having received a public key ck pb from the terminal T. It allows the mediation server SM to trigger validation of the authentication of the sender of the association request by means of the activation code.
  • the reception of the activation code AC_RC receives an authentication message auth mssg comprising the activation code act cd: auth_mssg (act_cd).
  • the association with the mediation server SM_ASS comprises a transmission of the activation code AC_EM from the terminal T to the mediation server SM via the first network N1.
  • the reception of the activation code AC_RC provides the activation code act cd to the transmission of the activation code AC_EM after possibly having extracted the activation code act cd from an authentication message received auth mssg.
  • the association with the mediation server SM_ASS comprises a validation of the sender of the association request T_VD comprising the reception of the activation code AC_RC from the mediation server SM via a second network N2 followed by the transmission of the activation code AC_EM to the mediation server SM via the first network N1.
  • the first network N1 is in particular a mobile Internet network such as the 4G network, the transmission of the public key is carried out in particular over a secure Internet link such as https;
  • the second network N2 is in particular a 3G mobile telephone network
  • the transmission of the activation code of the public key is for example an SMS, MMS or a control SMS, etc.
  • the association with the SM_ASS mediation server includes switching from the network key recovery method to operational NKAPP OP.
  • Switching to operational NKAPP OP notably provides an authorization command nk_rvy_ok for executing the recovery of network key NK_RVY, in particular at the start of the method for recovering network key NK RVY ST.
  • FIG. 3 illustrates a simplified diagram of a method of sending a network key according to the invention.
  • the method of sending the network key NK_SND from an access point to a network is implemented by an access point PA, the network key nk allowing a terminal T to be associated with the access point PA when the terminal T is connected for the first time to the access point PA.
  • the method of sending network key NK_SND comprises sending a network key NK_EM by an access point PA via a mediation server SM to a terminal T.
  • the terminal T has been identified by the mediation server SM by means of an association prior to the first connection of an identifier of the terminal T_id and of an identifier of the access point PA id.
  • the transmission of the NK_EM network key comprises the transmission of information comprising the network key of the access point PA and an identifier of this access point (nk, PA id).
  • the issuance of the network key NK_EM retrieves the network key nk from a memory of the PA_MEM access point: database, encrypted memory, etc.
  • the issuance of the NK_EM network key consists of the issuance of an mssg nk message to the mediation server SM.
  • the message mssg nk includes the network key nk and an identifier of the access point PA id allowing the mediation server SM to determine an identifier of the terminal T_id associated with the identifier of the access point PA id prior to the first connection.
  • the method for sending the NK_SND network key comprises a CPT actuation of an operable device of the access point triggering nk sh trg the issuance of the NK_EM network key.
  • a message cpt rq reproduced as illustrated in FIG. 1 asks a user U of the terminal T to perform an interaction with the access point PA. User U then performs the interaction c which triggers the CPT actuation.
  • the message cpt rq reproduced by the terminal T generates an interaction c of the terminal T directly with the access point PA placed near which the terminal T is placed.
  • the interaction c of the terminal T with the access point PA triggers the CPT actuation.
  • the method for sending network key NK_SND comprises a request for establishment SM_CNX_STB of a connection of the access point PA with a mediation server SM.
  • the request to establish a connection with the mediation server SM_CNX_STB sends a request to establish a connection stb_rq to the mediation server SM.
  • the stb_rq connection establishment request includes in particular an identifier of the access point PA id: stb_rq (PA_id).
  • the request for establishment SM_CNX_STB of a connection of the access point PA with a mediation server SM triggers an establishment of a communication session between the access point and the mediation server PA / SM_SS capable of allowing a transmission of network key nk of the access point PA to the mediation server SM.
  • the transmission of network key NK EM transmits via this communication session PA / SM SS.
  • the PA / SM_SS communication session between the access point and the mediation server is in particular a Web socket securing the transmission of the network key.
  • the NK_EM transmission of the network key by the access point to the mediation server is carried out in a secure manner, for example via a secure hypertext link https, or IPSEC, or via a tunnel such as VPN, etc.
  • Figure 4 illustrates a simplified diagram of a network key recovery management method according to the invention.
  • the method for managing network key recovery NK_MNGT from an access point PA to a network is implemented by a mediation server SM, the network key nk allowing a terminal T- to be associated with the point d 'PA access when the terminal T- is first connected to the PA access point.
  • the network key recovery management method NK_MNGT comprises a transmission NK_TR, EM by the mediation server M to a terminal T-, of a network key nk received from an access point PA.
  • the mediation server SM identified the terminal T-i by means of a T / PA_ASS association prior to the first connection of an identifier of the terminal T-iJd and an identifier of the access point PA.
  • FIG. 4 further illustrates the association T / PA_ASS prior to the first connection of an identifier of a terminal T-iJd and of an identifier of an access point PA.
  • This association of T / PA_ASS identifiers is implemented by a server, in particular the mediation server SM.
  • the pair of identifiers thus associated (T-iJd, PA id) is notably recorded in a memory of the server SM_MEM, such as a database ...
  • the network key recovery management method NK_MNGT comprises, prior to a network key transmission EM, a CRPT encryption of the network key nk.
  • the emission EM sends the encrypted network key nk * or data or message mssg comprising the encrypted network key nk * .
  • FIG. 4 also illustrates a T_ASS association of a terminal T 2 to the mediation server transmitting the network key.
  • the mediation server receives from the terminal T-, an encryption key, such as a public key ck pb allowing the mediation server SM to encrypt data, if necessary the network key nk, prior to their transmission NK_TR, EM to the terminal T-
  • other data such as the identifier of the terminal T-iJd are transmitted in association with the encryption key ck pb .
  • the mediation server SM stores the data received from the terminal T- ,, in particular the encryption key ck pb , for example in a memory or database SM_MEM.
  • the method for managing the recovery of the network key NK_MNGT comprises a CRPT encryption using in particular the public key ck pb to encrypt a message mssg (nk) and / or the network key nk to be sent.
  • the public key ck pb possibly used by the CRPT encryption is read by the encryption in a memory of the mediation server SM_MEM in which it has been previously recorded in particular during the prior association of the terminal with the mediation server SM ASS.
  • the use of asymmetric keys to encrypt / decrypt the network key before / after its transmission between the mediation server and the terminal further reduces the risk of recovery of the network key by a third party, thereby reducing the risks of intrusion into the private network managed by the access point PA.
  • the network key recovery management method NK_MNGT comprises a generation of message MSSG_GN to create a message to be sent, possibly encrypted, mssg (nk * ), mssg (nk) comprising the network key whether or not nk * , nk encrypted.
  • the method for managing the recovery of the NK_MNGT network key comprises a transmission of the NK_TR network key comprising one or more of the following steps:
  • the method for managing the recovery of network key NK_MNGT comprises reception of network key NK_REC by the mediation server SM of an access point PA.
  • the reception NK_REC allows the mediation server SM to receive a network key nk allowing a terminal Ti, T 2 to be associated with the access point PA.
  • the NK_MNGT network key recovery management method comprises, prior to receiving the NK_REC network key, an establishment PA_CNX_STB of a connection of the access point PA with a mediation server SM.
  • the connection establishment with the PA_CNX_STB Mediation Server receives a stb_rq connection establishment request from the PA access point.
  • the stb_rq connection establishment request includes an identifier of the access point PA id: stb_rq (PA_id).
  • the establishment PA_CNX_STB of a connection of the access point PA with a mediation server SM triggers PA_cnx_trg an establishment of a communication session between the access point and the PA / SM_SS mediation server capable of allowing a transmission of network key nk of the access point PA to the mediation server SM.
  • PA_cnx_trg an establishment of a communication session between the access point and the PA / SM_SS mediation server capable of allowing a transmission of network key nk of the access point PA to the mediation server SM.
  • the reception of network key NK_EM receives the network key nk via this communication session PA / SM_SS.
  • the network key recovery management method NK_MNGT comprises a search ASS_DT of the terminal Ti whose identifier T-iJd has been previously associated with an identifier PA id of the access point PA whose network key nk has been received by the NK_MNGT network key recovery management method.
  • the ASS_DT search is performed using an identifier of the access point PA id received with the network key nk: (nk, PA id).
  • the ASS_DT search includes in particular a reading of the terminal identifier T-iJd stored in a memory of a server S_MEM, SM_MEM in association with an identifier of the access point PA id which provided the network key nk.
  • the NK MNGT network key recovery management method comprises, prior to the transmission of the network key NK_TR, EM, a T_CNX_STB establishment of a connection of the terminal T-, determined by the ASS_DT search with the mediation server SM.
  • the establishment T_CNX_STB of a connection of the mediation server SM with the determined terminal Ti triggers T_cnx_trg an establishment of a communication session between the mediation server and the determined terminal Ti: T / SM_SS able to allow the transmission NK_TR, EM of network key nk of the mediation server SM to the determined terminal T- ,.
  • T_cnx_trg an establishment of a communication session between the mediation server and the determined terminal Ti: T / SM_SS able to allow the transmission NK_TR, EM of network key nk of the mediation server SM to the determined terminal T- ,.
  • the transmission of network key NK_TR, EM emits the network key nk via this communication session
  • the NK MNGT network key recovery management method comprises, prior to the transmission of the NK_TR, EM network key, a T_CNX_STB establishment of a connection d 'a terminal T 2 with a mediation server SM.
  • the connection establishment with the mediation server T_CNX_STB receives a connection establishment request stb_rq from a terminal T 2 , also called a second terminal.
  • the stb_rq connection establishment request comprises in particular an identifier of the second terminal T ⁇ / cf: stb_rq (T2_id).
  • the establishment T_CNX_STB of a connection of the second terminal T 2 with a mediation server SM triggers T_cnx_trg an establishment of a communication session between the second terminal T 2 and the mediation server T / SM_SS capable of allowing key transmission network nk from the mediation server SM to the terminal T 2 .
  • the transmission of the network key NK_TR, EM transmits, where appropriate, the network key nk via this communication session T / SM_SS.
  • the NK MNGT network key recovery management method comprises, prior to the transmission of the NK_TR, EM network key, an ASS_VFY check if the second terminal T 2 corresponds to the terminal, also called the first terminal, T ! whose identifier T-iJd has been previously associated with an identifier PAJd of the access point PA from which the reception NK REC has received the network key nk.
  • the ASS_VFY check includes the ASS_DT search for the first terminal Ti whose identifier T-i_id has been previously associated with an identifier PA id of the access point PA whose network key nk has been received by the management method of NK_MNGT network key recovery.
  • the ASS_DT search is performed on the basis of an identifier of the access point PA id received with the network key nk: (nk, PA id).
  • the ASS_DT search includes in particular a reading of the terminal identifier T-iJd stored in a memory of a server S_MEM, SM_MEM in association with an identifier of the access point PA id which provided the network key nk.
  • the NK_MNGT network key recovery management method comprises a timing TM triggered ign by the establishment of the connection with the terminal T_CNX_STB.
  • the timing TM makes it possible to authorize the transmission of the network key to the terminal Ti, T 2 connected for a limited time D M.
  • the timing TM comprises an inverted countdown of the time from a maximum duration D M.
  • the TM timing is stopped A_stp directly or indirectly by the reception of the network key NK_REC from the access point PA.
  • timing TM includes timing MN counting time upward from the trigger ign of timing TM.
  • the MN timing is stopped A_stp directly or indirectly by the reception of the network key NK_REC coming from the access point PA.
  • the timing MN then provides a time A counted down between the triggering instant ign, that is to say the instant of establishment of a connection between the mediation server SM and the terminal T- ,, T 2 and the instant of reception of the network key from the access point PA.
  • the timing TM then comprises a comparison of the measured time A with the maximum duration D M: D ⁇ D M ?
  • the MN timing is stopped (in reverse count or not) directly by the reception of the network key NK_REC, it is the reception NK_REC that sends the timing (without intermediate step) the A_stp command.
  • the MN timing is stopped (in reverse count or not) indirectly by the reception of the network key NK_REC, it is the ASS_VFY verification carried out following the reception of the network key NK_REC which sends to the timing (without intermediate step) the A_stp command, in particular on condition that the ASS_VFY check authorizes the transmission [Y] (this reduces the costs of calculations).
  • the remaining timed time is not zero (reverse counting), or if the timed time A is less than or equal to the maximum duration D M: [Y], then the transmission of the network key NK_TR , EM is allowed.
  • the timed time is zero (reverse countdown), or if the timed time A is greater than the maximum duration D M: [N], then the network key recovery management process NK_MNGT is stopped without transmission of the key network at terminal Ti, T 2 .
  • the NK_MNGT network key recovery management method comprising both the ASS_VFY verification of the terminal identifier and the TM timing, it is sufficient that at least one of the two steps among the ASS_VFY verification and the timing TM commands stp stop without transmission of the network key so that the NK_MNGT network key recovery management process is stopped stp without transmission of the network key.
  • the timing MN receives the network key nk from the reception NK_REC and provides it, if the maximum duration D M is not exceeded:
  • MN timing receives or retrieves:
  • the ASS_VFY check receives or recovers:
  • an identifier of the access point PA id of the access point from which the mediation server SM received the network key nk in particular directly from the reception of the network key NK_REC or from the establishment of a connection with the access point PA_CNX_STB or indirectly from MN timing (for example, only when this allows the transmission of the network key to reduce calculation costs), and / or
  • the mediation server SM an identifier of the second terminal T2_id, that is to say the terminal T2 to which the mediation server SM is connected, in particular directly from the establishment of connection with the second terminal T_CNX_STB when the establishment ignites the timing connection with the second terminal T_CNX_STB or indirectly with MN timing (for example, only when this authorizes transmission of the network key to reduce calculation costs),
  • FIG. 5 illustrates a simplified diagram of a method for associating a mediation server with a T_ASS terminal during the initialization of a method for retrieving an NKAPPJNIT network key according to the invention.
  • the association of the terminal T with the mediation server T_ASS comprises in particular a receipt of an association request ass rq from the terminal T to the mediation server SM.
  • the public key ck pb was generated during generation of a pair of asymmetric keys (ck pv , ck pb ) by the terminal T.
  • the public key received ck pb is possibly received associated with an identifier of the terminal T_id during its reception CK_REC by the mediation server SM, such as the identifier of the terminal T_id previously associated with an identifier of an access point PA id.
  • the association with the terminal T_ASS comprises sending an activation code for the association AUTH_RQ to the terminal T via a second network N2.
  • the act cd activation code is sent by the mediation server SM to the terminal T having sent the public key ck pb received. It allows the SM mediation server to trigger a validation the authentication of the issuer of the association request by means of the activation code.
  • the transmission of the activation code AUTH_RQ sends an authentication message auth mssg comprising the activation code act cd: auth_mssg (act_cd).
  • the association with the terminal T_ASS includes receipt of the activation code VD_REC from the terminal T by the mediation server SM via the first network N1.
  • the association with the terminal T_ASS includes authentication of the terminal sending the association request T_AUTH comprising the transmission of the activation code AUTH_RQ by the mediation server SM via a second network N2 followed by the reception of the code d 'VD_REC activation by the mediation server SM via the first network N1.
  • the association method T_ASS comprises a triggering of the passage of the network key recovery method in operational NK_APP_TRG by sending an ok trigger message to the terminal T .
  • An embodiment of at least one of the methods illustrated by Figures 1 to 5 is a program comprising program code instructions for performing the steps of at least one of the following methods:
  • FIG. 6 illustrates a simplified diagram of the exchanges during the implementation of the methods of sending network key, managing network key recovery and recovering network key according to the invention.
  • the identifiers of a terminal T_id and of an access point PA id are associated T / P_ASS within a server, such as a server of a trusted third party or the mediation server according to the invention (cf. FIG. 4).
  • the terminal T implements an association with a mediation server SM_ASS in particular by executing a method of initialization NKAPPJNIT of a method for retrieving a network key and the mediation server implements an association to a T_ASS terminal in particular by executing a method for initializing NKMNGTJNIT of a method for managing network key recovery.
  • the association with the mediation server SM_ASS notably sends an association request ass rq from the terminal T to the mediation server SM.
  • the association with the SM_ASS mediation server generates an asymmetric key pair (ck pv , ck pb ).
  • the private key ck pv esl recorded in a memory of the terminal T_MEM and the public key ck pb transmitted to the mediation server SM.
  • the issued public key ck pb is possibly associated with an identifier of the terminal T_id during its transmission to the mediation server, such as the identifier of the terminal T_id previously associated with an identifier of an access point PA id.
  • the association request message ass rq includes the public key ck pb and / or an identifier of the terminal TJd: ass_rq (ck pb ), ass_rq (ck pb T_id), ass_rq (T_id), ...
  • the association with the terminal T of the mediation server T_ASS notably comprises a reception of the association request ass rq from the terminal T to the mediation server SM.
  • the public key ck pb received with this ass rq request is stored by the mediation server SM in a memory or database SM_MEM.
  • the NKAPP INIT initialization methods of a network key recovery method and NKMNGTJNIT initialization of a network key recovery management method further implement, respectively, a validation of the sender of the association request T_VD and an authentication of the terminal sending the association request T_AUTH before registering the keys, respectively, private ck pv and public ck pv .
  • the validation of the T_VD transmitter notably provides an authorization command nk_rvy_ok for executing the NK_RVY network key recovery process triggering the Phll network key recovery phase.
  • the access point PA implements a method for sending a network key NK_SND
  • the mediation server implements a method for managing the recovery of the NK MNGT network key
  • the terminal T implements a method for recovering the network key NK_RVY.
  • the NK_SND sending process includes an NK_EM transmission of a network key from the access point PA to a mediation server SM.
  • the network key recovery management method NK_MNGT comprises a transmission NK_TR of the network key received from the access point PA by the mediation server SM, the network key nk is transmitted to the terminal T whose identifier TJd has been associated, during the preliminary phase Ph0, with the identifier of the access point PA which provided the network key nk.
  • the method for recovering the network key NK RVY comprises a reception NK CLT, from the mediation server SM with which the terminal T was associated during the initialization phase Phi, of a network key of the access point PA of which l
  • the identifier PAJd was associated with its identifier TJd during the preliminary phase PhO.
  • the method for recovering the network key NK_RVY comprises a reproduction of a CPT_RPR message in particular triggered by a reproduction command l.rpr cmd.
  • the l.rpr cmd reproduction command is generated in particular when starting the NK_RVY_ST recovery (see figure 1).
  • the reproduced message is intended directly or indirectly for the access point PA whose identifier PJd was associated, during the preliminary phase PhO, with the identifier of the terminal T reproducing the message.
  • the reproduced message is indirectly intended for the PA access point, it is notably read, listened to, etc. by a user U of the terminal T.
  • the message in this case is a request for action 2.cpt_rq triggering an action 3.c from user U relative to the access point PA.
  • the message 3.c is reproduced CPT_RPT by the terminal T.
  • the NK_SND sending method comprises in particular a CPT capture respectively of the action of the user U relative to the access point or of the message reproduced by the terminal T: 3. c. CPT capture triggers 4.nk_sh_trg directly or indirectly the NK_EM issuance of the network key to the Mediation Server.
  • the sending method includes a request to establish a connection of the access point with the SM_CNX_STB mediation server.
  • the request to establish a connection between the access point and the SM_CNX_STB mediation server is triggered in particular by 4.nk_sh_trg by the CPT capture.
  • the request to establish a connection between the access point and the mediation server SM_CNX_STB sends in particular, to the mediation server SM, a connection establishment request 5.stb_rq possibly including an identifier of the access point PA id : 5.stb_rq (PA_id).
  • the NK_MNGT network key recovery management method includes establishing a connection from the mediation server with the access point PA_CNX_STB triggered by the connection establishment request 5.stb_rq from the access point PA. Establishing a connection from the Mediation Server to the PA_CNX_STB access point triggers 6. PA cnx trg to establish a communication session between the Mediation Server and the PA / SM_SS access point.
  • the NK_EM broadcast sends 7'.nk the network key to the SM Mediation Server using this communication session between the Mediation Server and the PA / SM_SS access point.
  • the network key recovery management method NK_MNGT comprises a reception of the network key NK_REC which receives the network key sent 7'.nk by the access point PA via the communication session PA / SM_SS established between the point d access PA and the SM mediation server.
  • the reception of network key NK_REC supplies the received network key 8.nk to the transmission of network key NK TR.
  • the method for recovering the network key NK_RVY comprises an NKRQ EM transmission of a request for a network key.
  • the NKRQ EM network key request issuance is initiated 4'.cnx_cmd by the CPT RPR reproduction.
  • the network key request NKRQ EM sends in particular, to the mediation server SM, a network key request 5'.nk_rq possibly comprising an identifier of the terminal T_id: 5'.nk_rq (T_id).
  • This request for a network key NKRQ_EM is made in particular in parallel with the request for establishing a connection between the access point and the mediation server SM_CNX_STB of the NK SND sending method.
  • the NK_MNGT network key recovery management method comprises establishing a connection from the mediation server to the T_CNX_STB terminal triggered by the network key request 5′.nk_rq coming from the terminal T.
  • the establishment of a a connection from the mediation server to the T_CNX_STB terminal triggers 6 '.
  • T_cnx_trg the establishment of a communication session between the Mediation Server and the T / SM_SS terminal.
  • the NK_MNGT management method implements the steps of establishing the connection of the mediation server with the T_CNX_STB terminal and of establishing a connection of the mediation server with the access point PA_CNX_STB in parallel.
  • the NK_MNGT management method implements the steps of establishing the connection of the mediation server with the terminal T_CNX_STB and of establishing a connection of the mediation server with the access point PA_CNX_STB simultaneously.
  • the network key recovery management method includes an ASS_DT search (see FIG. 4 ) which makes it possible to search for the identifier of the terminal T_id associated with the identifier of the access point which provided the network key 7'.nk.
  • the ASS_DT search then triggers the establishment of a T_CNX_STB connection with the terminal identified by the T search.
  • the transmission of the network key NK_TR is triggered directly or indirectly by the establishment of the connection of the mediation server with the T CNX STB terminal.
  • the network key recovery management method includes TM timing.
  • establishing the Mediation Server connection with the T_CNX_STB terminal triggers 8'.tm_trg a TM timer.
  • TM timing is stopped 8 ”.tm_stp by NK_REC receipt of a nk network key from the PA access point.
  • the transmission of the NK_TR network key is triggered indirectly by the establishment of a connection with the T_CNX_STB terminal, it is the TM timing that triggers the transmission of the NK TR network key.
  • the network key recovery management method includes an ASS_VFY check (see FIG. 4) which makes it possible to check whether the terminal T requesting the network key is the terminal whose identifier has been previously associated with an identifier of the network key.
  • AP access point whose network key is requested.
  • the ASS_VFY verification authorizes the transmission of the NK_TR network key if the verification is positive [Y].
  • the transmission of the network key NK_TR includes CRPT encryption and / or an integration of the network key in a message or data packet MSSG_GN (cf. FIG. 4).
  • the transmission of the network key NK_TR sends either the encrypted network key nk * or not nk, or an encrypted or unencrypted message comprising the encrypted network key mssg * (nk) or not mssg (n * ), mssg (nk), etc. : 11.
  • nk, nk * , mssg (nk), mssg (nk * ), mssg * (nk) via the communication session T / SM_SS established between the terminal T and the communication server intended for the terminal T.
  • the encryption is carried out using the public key ck pb stored during the initialization phase Phi.
  • the collection of the network key NK_CLT comprises a DCRPT decryption and / or an MSSG_XTR extraction of the network key of a message or data packet comprising the network key received from the mediation server SM (cf. FIG. 4).
  • the decryption is carried out using the private key ck pv stored during the initialization phase Phi.
  • the NK_CLT collection provides in particular the received network key 13. nk, possibly decrypted and / or extracted in a method for associating the terminal with an access point PA_CNX which will be implemented in a later phase Phlll.
  • FIG. 7 illustrates a simplified diagram of a communication architecture implementing the invention.
  • system implemented by the invention consists of:
  • the network key recovery device is implemented in particular in the form of a mobile application implemented by a processor of the communication terminal 1 y.
  • a mediation server 2 placed between a communication terminal 1 y and an access point 3, such as a box (eg LiveBox, registered trademark) or a modem.
  • the mediation server implements an exchange between the access point 3 and the terminal 1 y of a network key of the access point 3, in particular in an encrypted manner.
  • the mediation server authenticates in particular the two actors of the system according to the invention, namely the communication terminal 1 y and the access point 3.
  • the mediation server 2 therefore constitutes a pivot between the access point 3 and the communication terminal 1 y.
  • an actuatable device triggering the transmission of the network key to the communication terminal 1 y, the actuatable device being implemented in the access point 3.
  • the actuatable device is the WPS button on the access point 3, then the only action by user U of terminal 1 y is to press the WPS button on access point 3.
  • the access point 3 is connected to the mediation server 2 via a communication network N1, in particular an Internet network.
  • a communication network N1 in particular an Internet network.
  • mediation server 2 is connected L2, N1 to network N1 by a TCP link (for "Transmission Control Protocol” in English or reliable transport protocol in French).
  • TCP link for "Transmission Control Protocol” in English or reliable transport protocol in French.
  • access point 3 is connected to network N1 by means of a TCP link and / or a dedicated link such as https or IPsec.
  • the communication terminal 1 is connected there to the mediation server 2 via a communication network N1, in particular an Internet network.
  • the mediation server 2 is connected LN1, 2 to the network N1 by a TCP link.
  • the communication terminal 1 is connected there to the network N1 by means of a mobile data link such as 4G, 5G etc.
  • FIGS. 8a, 8b and 8c illustrate simplified diagrams of a communication architecture comprising a terminal, a mediation server and an access point according to the invention, detailing the devices implemented respectively during the association previously d an identifier of the access point with an identifier of the terminal, during the initialization of the network key recuperator of the terminal, and during the implementation of the network key recuperator of the terminal.
  • Figure 8a corresponds to an architecture implementing the prior association, in particular as illustrated by Figure 4.
  • the architecture implementing the prior association includes:
  • a server respectively a trusted third party server 4 or a mediation server 2 of the architecture implementing the network key recovery according to the invention.
  • the terminal 1 y, 1 TC comprises an identifier transmitter 13 transmitting an identifier 4 ′.
  • the identifier of the communication terminal is an identifier of at least one communication terminal of a user or a group of users (eg of a family) purchasing an access point from the seller and the access point identifier is an identifier of the access point sold.
  • the identifier of the communication terminal is either the identifier of this communication terminal of the user 1 y, or an identifier of at at least one communication terminal of this user U or of a user group (for example of a family) comprising this user U recorded in a secure client file on a third party server, for example the trusted third party server 4.
  • the identifier of the access point is an identifier of an access point recorded in a secure client file associated with this user U on a third party server, for example the trusted third party server 4.
  • the server 2, 4 comprises an identifier receiver 401 receiving an identifier 4 'from the communication terminal 1 u, 1 T c. T_id of a communication terminal of a user 1 y and an identifier 4 ”.PA_id of an access point 3, in particular the identifiers sent by the terminal 1 u, 1 T c-
  • the server 2, 4 comprises a coupler 412 associating the two identifiers provided 6 '. T_id and 6 ”.PA_id by receiver 401.
  • the coupler 412 stores the associated identifiers 7. (T_id, PA id) in particular in a memory or database 419 possibly implemented in the server 2, 4.
  • the server 2, 4 comprises a verifier 410 which determines whether all the identifiers necessary for the coupler 412 have been received. If all the identifiers have been received, the verifier 410 triggers 6 ”'. Ok the coupler 412.
  • the server 2, 4 includes a requestor for identifiers 41 1 and / or a transmitter 420. If the verifier 410 determines that all the identifiers have not been received, for example when the receiver 401 has received only the terminal identifier 5 '. T_id, the verifier 410 triggers the requestor of identifiers 41 1 trg which generates an O.pp request to the terminal 1 y, 1 TC . The transmitter 420 sends the O.pp request to the terminal 1 y, 1 TC .
  • the terminal 1 u, 1 TC comprises a reproduction interface 1 1.
  • the reproduction interface 1 1 makes it possible in particular to reproduce the request for identifiers to, respectively, the user U, the trusted third party TC.
  • the terminal 1 y, 1 TC comprises a capture and / or input interface 10.
  • the capture interface 1 1 allows the user U, TC to interact with the terminal 1 y, 1 TC to indicate and / select a PAJd access point identifier.
  • the requestor of identifiers 41 1 supplies one or more lists of identifiers of terminals and / or access points O.pp which are sent to the terminal 1 y, 1 TC .
  • the list of terminal identifiers are terminals associated with the user U or with a group (family) in which the user U is a member and the list of access point identifiers includes the access points registered in a client file associated with this user U or consists of the identifier of the access point sold.
  • These lists of identifiers are reproduced by the terminal 1 y, 1 TC allowing, respectively, the user U, the trusted third party TC to select 2.slt from the list, respectively, a terminal and an access point.
  • either the requester of identifiers provides initially a list of terminal identifiers from which the user U or the trusted third party TC selects on his terminal 1 y, 1 TC a terminal from which the sender 13 receives 3.d the identifier that it emits 4 '. T_id to the server 2, 4.
  • the verifier 410 determines that the access point identifier is missing and triggers 6.trg the requestor 41 1 which returns the list of access points O.pp.
  • the user U or the trusted third party TC selects on his terminal 1 y, 1 TC an access point from the list from which the sender 13 receives 3.d the identifier that he sends 4 ”.PA_id to the server 2, 4.
  • the verifier 410 then triggers the coupler 412 which associates the identifiers 7. (T_id, PA id).
  • the server 2, 4 comprises association means comprising the coupler 412 and at least one of the following devices:
  • Figure 8b corresponds to an architecture implementing the initialization, in particular as illustrated by at least one of the following figures: Figure 2, Figure 5, Figure 6.
  • the architecture implementing the initialization comprises:
  • the terminal 1 y comprises a coupler 15 from the terminal 1 y to the mediation server 2 associating beforehand with the network key recovery the terminal 1 y with the mediation server 2, in particular as illustrated by FIG. 2 or FIG. 6.
  • the terminal 1 y comprises a loader 120 of the network key recovery method, in particular an application loader when the network key recovery device is implemented in the form of an application executed by a processor of the terminal 1 y , by the terminal 1 from in particular an application server 5.
  • the network key recovery method is loaded in particular in the form of an O.nkapp application.
  • the terminal 1 comprises therein a network key recovery initializer 14, in particular the initializer 14 comprises a processor implementing an initialization of a network key recovery method, for example in the form of a network key recovery application.
  • network key or initializes a network key collector implemented in terminal 1 y.
  • the initializer 14 is in particular triggered 1.ini by the charger 120 as soon as the end of the loading of the network key recovery process is loaded.
  • the initializer 14 notably controls the coupler 15 from the terminal to the mediation server and possibly other devices (not illustrated) such as an initializer of at least one parameter of the network key collector or useful for the execution of the method of network key recovery, such as in particular reading an identifier of the terminal T_id, and / or looking for an address of a mediation server, etc.
  • the coupler 15 to the mediation server in particular sends an association request ass rq from the terminal 1 y to the mediation server 2.
  • the server 2 comprises in particular a receiver 202 of an association request ass rq from the terminal T to the mediation server SM.
  • the coupler 15 to the SM_ASS mediation server comprises a generator 152 of a pair of asymmetric keys (ck pv , ck pb ).
  • the private key ck pv is recorded in a memory of the terminal 150 and the public key ck pb transmitted via a first network N1 to the mediation server 2.
  • the public key ck pb is optionally associated with an identifier of the terminal T_id during its transmission to the mediation server.
  • mediation server such as the identifier of the terminal T_id previously associated with an identifier of an access point PA id.
  • the association request message ass rq includes the public key ck pb and / or an identifier of the terminal TJd: ass_rq (ck pb ), ass_rq (ck pb T_id), ass_rq (T_id), ...
  • the server 2 comprises an authenticator 23.
  • the authenticator 23 comprises a transmitter (not shown) of an activation code for the destination association of the terminal T via a second network N2.
  • the act cd activation code is sent by the mediation server 2 to the terminal 1 which sent the public key ck pb received there. It allows the mediation server 2 to trigger validation of the authentication of the sender of the association request by means of the activation code.
  • the sender of the activation code AUTH_RQ sends an authentication message 5.auth_mssg comprising the activation code act cd: auth_mssg (act_cd).
  • the coupler 15 to the SM_ASS mediation server comprises an authentication transmitter / receiver 153 comprising in particular a receiver receiving an activation code from the association coming from the mediation server 2 via a second network N2.
  • the act cd activation code is received by the terminal 1 y from the mediation server 2 having received a public key ck pb from the terminal 1 y. It allows the mediation server 2 to trigger validation of the authentication of the sender of the association request by means of the activation code.
  • the authentication transmitter / receiver 153 receives an authentication message auth mssg comprising the activation code act cd: auth_mssg (act_cd).
  • the authentication transmitter / receiver 153 comprises a transmitter which transmits the activation code AC_EM from the terminal 1 y to the mediation server 2 via the first network N1 .
  • the receiver Following receipt of the activation code by the authentication transmitter / receiver 153, the receiver provides the activation code act cd to the transmitter of the activation code implemented in the authentication transmitter / receiver 153 after having possibly extracted the activation code act cd from an authentication message received auth mssg.
  • the authenticator 23 comprises an activation code receiver (not shown) which, following the transmission of an activation code by the transmitter of the authenticator 23, receives the activation code 6 .
  • ck pb _vd from terminal 1 y via the first network N1.
  • the first network N1 is in particular a mobile Internet network such as the 4G network, the transmission of the public key is carried out in particular over a secure Internet link such as https;
  • the second network N2 is in particular a 2G, 3G mobile telephone network
  • the transmission of the activation code of the public key is for example an SMS, MMS or a command SMS, etc.
  • the authenticator 23 controls a validator 24 which triggers the passage of the network key recuperator or of the network key retrieval method into operational mode by sending a trigger message 7.ok to the user. terminal 1 y.
  • the coupler 15 comprises a state changer 154 turning the network key recuperator into operational mode.
  • the state changer 1054 notably provides an authorization command nk_rvy_ok for implementing the recoverer or for executing the method for recovering the network key.
  • FIG. 8c corresponds to an architecture implementing the recovery of the network key, in particular as illustrated by at least one of the following figures: FIG. 1, FIG. 3, FIG. 4 and FIG. 6.
  • the architecture implementing network key recovery includes:
  • Access point 3 has a transmitter 33 of a network key from access point 3 to a mediation server 2.
  • the mediation server 2 comprises a transmitter 221 of the network key received from the access point 3 by the mediation server 2 to the terminal 1 y whose identifier TJd was associated, during the preliminary phase (cf. FIG. 8a), to the identifier of the access point 3 which provided the network key nk.
  • Terminal 1 comprises therein a receiver 121, coming from mediation server 2 with which terminal 1 was associated with it during the initialization phase (see FIG. 8b), of a network key of the access point PA of which l
  • the identifier PAJd was associated with its identifier TJd during the preliminary phase (cf. FIG. 8a).
  • the terminal 1 comprises an interface or device 18 for recovering the network key of an access point 3 to a network implemented by a terminal 1 y, the network key nk allowing the terminal 1 y to be associated with the point access 3 during the first connection of the terminal 1 y to the access point 3.
  • the recovery interface comprising a receiver 121 of a network key sent via a mediation server 2 by an access point 3.
  • the terminal 1 has been identified there by the mediation server 2 by means of an association prior to the first connection of an identifier of the terminal T_id and of an identifier of the access point PA id (cf. in particular FIG. 8a).
  • the mediation server 2 comprises a manager 28 for recovering the network key of an access point to a network implemented by a mediation server 2, the network key nk allowing the terminal 1 y to be associated with the point d 'access 3 during the first connection of terminal 1 y to access point 3.
  • the network key recovery manager comprises a transmitter 221 to a terminal 1 y of a network key 7'.nk received from a point d access 3.
  • the mediation server 2 having identified the terminal by means of an association prior to the first connection of an identifier of the terminal T_id and of an identifier of the access point PA id (cf. in particular FIG. 8a) .
  • the access point 3 to a network comprising a network key supplier 38, the network key nk allowing the terminal 1 y to be associated with the access point 3 during the first connection of the terminal 1 y to the access point 3.
  • the network key provider includes a transmitter 33 via a mediation server 2 at a terminal 1 y of the network key nk of the access point 3.
  • the terminal 1 has been identified there by the mediation server 2 by means of an association prior to the first connection of an identifier of the terminal T_id and of an identifier of the access point PA id (cf. in particular FIG. 8a).
  • the terminal 1 U comprises a reproducer or a reproduction interface 1 1 of a message reproducing the message rq mssg on reproduction command l.rpr cmd of a network key collector 16.
  • the l.rpr cmd reproduction command is generated in particular when starting the collector 16.
  • the reproduced message is intended directly or indirectly for access point 3 whose identifier PJd was associated, during the preliminary phase (see Figure 8a), with the identifier of terminal 1 reproducing the message there.
  • the reproduced message is indirectly intended for access point 3, it is notably reproduced on a screen 110 and / or by speakers 11 to be read, listened to, etc. by a user U of terminal 1 y.
  • the message in this case is a request for action 2.cpt_rq triggering an action 3.c of the user U relative to the access point 3.
  • the message 3.c is reproduced by the terminal 1 y, in particular by the reproduction interface 1 1.
  • the access point 3, or even the network key provider 38 comprises in particular a sensor 30 respectively of the action of the user U relative to the access point 3 or of the message reproduced by the terminal 1 y: 3. vs.
  • the sensor 30 triggers 4.nk_sh_trg directly or indirectly the transmitter 33 of the network key to the mediation server 2.
  • the access point 3, or even the network key provider 38 includes a requester 37 requesting the establishment of a connection from the access point 3 with the mediation server 2.
  • the requester 37 is in particular triggered 4 .nk_sh_trg by the sensor 30.
  • the requester 37 sends in particular, to the mediation server 2, a connection establishment request 5.stb_rq possibly comprising an identifier of the access point PA id: 5.stb_rq (PA_id).
  • the mediation server 2 comprises a connection establishment device 27 establishing a connection from the mediation server 2 with the access point 3 triggered by the establishment request. 5.stb_rq connection from the access point 3.
  • the connection establishment device comprises means of connection establishment with an access point 270 receiving the connection establishment request 5.stb_rq in from the access point 3.
  • the connection establishment device 27, or even the establishment means 270 triggers 6.
  • PA cnx trg the establishment of a communication session between the mediation server and the point of PA / SM_SS access.
  • the sender 33 sends 7′.nk the network key to the mediation server 2 using this communication session between the mediation server and the access point PA / SM_SS.
  • the mediation server 2 or even the network key recovery manager 28, comprises a network key receiver 203 which receives the network key sent 7′.nk by the access point 3 via the communication session PA / SM_SS established between Access Point 3 and Mediation Server 2.
  • the network key receiver 203 supplies the received network key 8.nk to the network key transmitter 221.
  • the terminal 1 U see the network key recovery interface 18, includes a sender 17 of a network key request.
  • the network key request transmitter 17 is triggered 4'.cnx_cmd by the collector 16 or the reproducer 1 1 during the reproduction of the rq mssg meessage.
  • the network key request sender 17 sends in particular, to the mediation 2 a network key request 5'.nk_rq possibly including an identifier of the terminal TJd: 5'.nk_rq (T_id).
  • This network key request transmitter 17 is implemented in particular in parallel with the implementation of the requester 37.
  • the establishment device comprises means 271 for establishing a connection between the mediation server and the terminal.
  • the establishment device 27 of the mediation server 2 is triggered by the network key request 5'.nk_rq coming from the terminal T.
  • the establishment device 27, or even the establishment means 271 triggers 6 ' .
  • T_cnx_trg the establishment of a communication session between the Mediation Server and the T / SM_SS terminal.
  • the mediation server 2 or even the network key recovery manager 28, implements the means for establishing a connection with the terminal 271 and the means for establishing a connection with the point of access 270 in parallel.
  • the mediation server 2 or even the network key recovery manager 28, implements the means for establishing a connection with the terminal 271 and the means for establishing a connection with the point of access 270 simultaneously.
  • the mediation server 2 in one embodiment in which the mediation server does not receive a network key request 5'.nk_rq from a terminal 1 u, the mediation server 2, or even the network key recovery manager 28, comprises a search engine 25 which makes it possible to search for the identifier of the terminal T_id associated with the identifier of the access point which provided the network key 7'.nk.
  • the search engine 25 then triggers the means for establishing a connection 271 with the terminal identified by the search l y.
  • the transmitter of the network key 221 is triggered directly or indirectly by the establishment device 270 during the establishment of a connection with the terminal identified 1 y, or even the means of establishment of the connection of the server. mediation with terminal 271.
  • the mediation server 2, or even the network key recovery manager 28, comprises a timer 26.
  • the establishment device 270 when establishing a connection with the identified terminal 1 y, or even the means for establishing the connection of the mediation server with the terminal 271 triggers 8'.tm_trg the timer 26.
  • the timer 26 is stopped 8 ”.tm_stp by the receiver 203 when receiving a network key nk from the point d access 3.
  • the transmitter of the network key 221 is triggered indirectly by the setting device 27, 271, it is the timer 26 which triggers the transmitter of the network key 221.
  • the mediation server 2, or even the network key recovery manager 28, comprises a verifier 25 which makes it possible to verify whether the terminal 1 requesting the network key is the terminal whose identifier has been previously associated with a identifier of the access point 3 whose network key is requested.
  • the verifier 25 authorizes the transmitter of the network key 221 to send the received network key nk if the verification is positive.
  • the verifier 25 comprises a search engine which makes it possible to search for the identifier of the terminal T_id associated with the identifier of the access point which provided the network key 7'.nk, recorded for example in a memory 223 of the server. mediation 2 or 423 of another server 4 (cf. figure 8a).
  • the verifier 25 comprises a comparator (not illustrated) of the terminal identifier obtained by the search engine with the identifier of the terminal 1 y requesting the network key.
  • the transmitter of the network key 221 comprises an encryptor, also called an encryptor, 2212 and / or an integrator 2213 of the network key in a message or data packet.
  • the network key transmitter 221 sends either the encrypted network key nk * or not nk, or an encrypted or unencrypted message comprising the encrypted network key mssg * (nk) or not mssg (n * ), mssg (nk), etc. . : 11.
  • the transmitter of the network key 221 comprises a transmitter 2211 capable of transmitting data comprising a network key via the communication session T / SM_SS.
  • the encryptor performs the encryption using the public key ck pb stored during the initialization phase (cf. FIG. 8b) in a memory 29 of the mediation server.
  • the terminal 1 comprises therein a network key collector 12 comprising the network key receiver 121.
  • the network key collector 12 comprises, in particular, a decryptor, also called a decryptor, 122 and / or an extractor 123 of the network key.
  • a message or data packet comprising the network key received from the mediation server 2.
  • the decryptor 122 performs the decryption using the private key ck pv stored during the initialization phase (see FIG. 8b).
  • the collector 12 provides in particular the received network key 13.nk, possibly decrypted and / or extracted to a coupler 19 making it possible to associate the terminal 1 y with the access point 3 during a first connection.
  • the invention is also aimed at a support.
  • the information medium can be any entity or device capable of storing the program.
  • the medium can comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM or else a magnetic recording means, for example a floppy disk or a hard disk.
  • the information medium can be a transmissible medium such as an electrical or optical signal which can be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can in particular be downloaded over a network, in particular of the Internet type.
  • the information medium can be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • the invention is implemented by means of software and / or hardware components.
  • module can correspond equally well to a software component or to a hardware component.
  • a software component corresponds to one or more computer programs, one or more subroutines of a program, or more general to any element of a program or software capable of implementing a function or a set of functions according to the description above.
  • a hardware component corresponds to any element of a hardware set (or hardware) capable of implementing a function or a set of functions.

Abstract

The invention relates to a method for recovering a network key, a method for transmitting a network key, a method for managing recovery of a network key. The method for recovering a network key from a point of access to a network is implemented by a terminal, with the network key allowing the terminal to be associated with the point of access during the first connection of the terminal to the point of access, the method for recovering a network key comprising receiving, by a terminal, a network key transmitted via a mediation server by a point of access, the terminal having been identified by the mediation server by means of an association, prior to the first connection, of an identifier of the terminal and of an identifier of the point of access. Thus, the key cannot be easily recovered by a third party. This limits the intrusions into the private network managed by the point of access, which intrusions are particularly related to the vulnerability of the local radio network.

Description

DESCRIPTION DESCRIPTION
RÉCUPÉRATION DE CLE RESEAU, ENVOI DE CLE RESEAU, GESTION DE RÉCUPÉRATION DE CLE RESEAU, NETWORK KEY RECOVERY, NETWORK KEY SENDING, NETWORK KEY RECOVERY MANAGEMENT,
TERMINAL, SERVEUR DE MEDIATION ET POINT D’ACCES LES METTANT EN ŒUVRE TERMINAL, MEDIATION SERVER AND ACCESS POINT IMPLEMENTING THEM
Domaine technique Technical area
L'invention concerne un procédé de récupération de clé réseau, un procédé d’envoi de clé réseau, un procédé de gestion de récupération de clé réseau, un terminal, un serveur de médiation et un point d’accès. La clé réseau est notamment une clé permettant d’associer un terminal à un point d’accès via un réseau sans-fil tel que le réseau Wifi (marque déposée). A network key recovery method, a network key sending method, a network key recovery management method, a terminal, a mediation server and an access point are provided. The network key is in particular a key for associating a terminal with an access point via a wireless network such as the Wifi network (registered trademark).
État de la technique State of the art
Afin de connecter un terminal (ordinateur, smartphone, imprimante, caméra, etc.) au travers d’un réseau sans fil (notamment Wifi) à un dispositif de point d'accès à un réseau de communication (notamment un routeur Internet ou une passerelle entre un réseau privé et un réseau public tel qu’internet), les points d’accès sont dotés d’une clé de réseau aussi nommée clé WEP (Wired Equivalent Privacy en anglais pour « intimité équivalente au filaire » c’est-à-dire une sécurisation de l’accès sans fil), WAP (Wifi Protected Access en anglais ou accès Wifi protégé) ou WAP2 (marques déposées) suivant la norme utilisée. In order to connect a terminal (computer, smartphone, printer, camera, etc.) through a wireless network (in particular WiFi) to an access point device to a communication network (in particular an Internet router or a gateway between a private network and a public network such as the Internet), the access points are equipped with a network key also called WEP key (Wired Equivalent Privacy in English for "intimacy equivalent to the wired" that is to- ie securing wireless access), WAP (Wifi Protected Access in English or Wifi protected access) or WAP2 (registered trademarks) depending on the standard used.
La clé réseau peut être simplement inscrite sur le dispositif de point d’accès, aussi nommé point d’accès par abus de langage (par exemple sur une étiquette directement apposée sur le point d’accès et/ou une étiquette apposée sur l’emballage du point d’accès). L’utilisateur souhaitant connecter une tablette via le réseau Wifi à ce point d’accès, saisira lors d’une demande connexion à ce point d’accès sur sa tablette la clé Wifi lue sur le point d’accès. Cette première connexion est donc fastidieuse car les clés réseau sont souvent longues pour éviter les risques d’intrusion dans le réseau privé. En outre, la sécurité du réseau dépend du lieu dans lequel le point d’accès est placé car s’il est accessible à un grand nombre de personnes, celle-ci s’en trouvera réduite puisque la clé réseau est facilement lisible. The network key can be simply written on the access point device, also called access point by abuse of language (for example on a label directly affixed to the access point and / or a label affixed to the packaging access point). The user wishing to connect a tablet via the WiFi network to this access point, will enter the WiFi key read on the access point during a connection request to this access point on his tablet. This first connection is therefore tedious because the network keys are often long to avoid the risk of intrusion into the private network. In addition, the security of the network depends on where the access point is located because if it is accessible to a large number of people, this will be reduced since the network key is easily readable.
Cette clé réseau peut être modifiée par les utilisateurs au moyen d’une interface du point d’accès accessible via Internet (soit directement sur une page Internet soit via une application dédié au point d’accès, tel que l’application Ma Livebox - marque déposée). Le risque est alors l’oubli de la clé réseau modifiée par l’utilisateur empêchant toute nouvelle association de terminal avec le point d’accès, c’est-à-dire d’ajout de terminal au réseau privé gérer par le point d’accès. This network key can be modified by users by means of an access point interface accessible via the Internet (either directly on an Internet page or via an application dedicated to the access point, such as the My Livebox application - brand filed). The risk is then the forgetting of the network key modified by the user preventing any new association of terminal with the access point, that is to say addition of terminal to the private network managed by the access point. access.
Pour faciliter cette première connexion à un grand nombre d’utilisateurs, la clé réseau apposée sur le point d’accès peut être soit remplacé soit combiner à un code type code barre ou code QR comportant la clé réseau. Néanmoins, la sécurité du réseau privé dépend là encore de l’emplacement du point d’accès et de son accessibilité physique par les tiers. To facilitate this first connection to a large number of users, the network key affixed to the access point can be either replaced or combined with a barcode or QR code type code comprising the network key. However, the security of the private network again depends on the location of the access point and its physical accessibility by third parties.
La norme WPS (Wifi Protected Setup en anglais pour initialisation Wifi sécurisée) propose elle aussi de faciliter cette première connexion en proposant de générer une clé réseau aléatoire plus solide que la clé réseau fournie par le fabricant du point d’accès. Afin que cette clé réseau aléatoire soit connue des deux équipements à associer : le point d’accès et le terminal (tablette, imprimante, smartphone...), le protocole WPS comporte une série d’échanges de messages entre le point d’accès et le terminal suite à une action de l’utilisateur du terminal qui lorsque la série d’échanges est effectuée avec succès se termine par l’indication que le protocole est complet permettant la transmission de la clé réseau aléatoire et la première connexion du terminal au point d’accès.The WPS standard (Wifi Protected Setup in English for secure Wifi initialization) also proposes to facilitate this first connection by proposing to generate a random network key that is stronger than the network key provided by the access point manufacturer. So that this random network key is known to the two devices to be associated: the access point and the terminal (tablet, printer, smartphone ...), the WPS protocol comprises a series of message exchanges between the access point and the terminal following an action by the user of the terminal which when the series of exchanges is carried out successfully ends with the indication that the protocol is complete allowing the transmission of the random network key and the first connection of the terminal to the access point.
La norme WPS prévoit plusieurs modes de fonctionnement : The WPS standard provides for several operating modes:
- deux modes « hors bande » (out-of-band en anglais), c’est-à-dire n’utilisant pas le réseau Wifi pour la série d’échanges du protocole WPS: - two "out-of-band" modes, that is to say not using the Wifi network for the series of exchanges of the WPS protocol:
• le mode USB dans lequel l’utilisateur connecte le terminal au point d’accès en utilisant un port USB via lequel la série d’échanges du protocole WPS est transmise, et • the USB mode in which the user connects the terminal to the access point using a USB port through which the series of exchanges of the WPS protocol is transmitted, and
• le mode NFC dans lequel l’utilisateur approche le terminal du point d’accès pour permettre une communication NFC (Near Field Communication en anglais pour communication en champ proche). • NFC mode in which the user brings the terminal near the access point to enable NFC (Near Field Communication) communication.
L’inconvénient de ces deux modes de mise en œuvre du WPS est qu’il nécessite la proximité du terminal avec le point d’accès auquel l’utilisateur souhaite l’associer ce qui n’est pas toujours possible : ordinateur, télévision, imprimante... The drawback of these two WPS implementation modes is that it requires the terminal to be close to the access point to which the user wishes to associate it, which is not always possible: computer, television, printer ...
- le mode PIN dans lequel l’utilisateur entre sur son terminal un numéro d’identification du point d’accès (numéro lu sur le point d’accès, notamment sur une étiquette collée sur le point d’accès ou directement gravé ou imprimé sur celui-ci, ou sur un écran du point d’accès) lors de la demande première connexion du terminal avec le point d’accès. L’inconvénient de cette méthode est qu’elle est vulnérable aux attaques de masse. - the PIN mode in which the user enters on his terminal an identification number of the access point (number read on the access point, in particular on a label stuck on the access point or directly engraved or printed on this, or on a screen of the access point) when requesting the first connection of the terminal with the access point. The downside to this method is that it is vulnerable to mass attacks.
- le mode « bouton poussoir » (ou « Push Button » en anglais) dans lequel l’utilisateur pousse un bouton virtuel ou physique sur chacun des deux équipements à associer : le terminal et le point d’accès. - "push button" mode (or "Push Button" in English) in which the user pushes a virtual or physical button on each of the two devices to be associated: the terminal and the access point.
Dans ces deux derniers modes, les échanges WPS sont effectués entre le terminal et le point d’accès via le réseau Wifi suite à l’action de‘l’utilisateur (envoie du code PIN au point d’accès et/ou appuie sur les boutons poussoir). In these last two modes, WPS exchanges are carried out between the terminal and the access point via the Wifi network following the action of the user (sends a PIN code to the access point and / or presses the push buttons).
Or, quels que soit la technique aujourd’hui utilisée pour la première connexion d’un terminal à un point d’accès, celle-ci reste sensible aux attaques de tiers et aux risques d’intrusion de tiers dans un réseau privé via le point d’accès. However, whatever the technique used today for the first connection of a terminal to an access point, this remains sensitive to attacks by third parties and to the risks of third party intrusion into a private network via the point. access.
Exposé de l’invention Disclosure of the invention
Un des buts de la présente invention est de remédier à des inconvénients de l'état de la technique. One of the aims of the present invention is to remedy the drawbacks of the state of the art.
Un objet de l’invention est un procédé de récupération de clé réseau d’un point d’accès à un réseau mis en œuvre par un terminal, la clé réseau permettant au terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le procédé de récupération de clé réseau comportant une réception par un terminal d’une clé réseau envoyée via un serveur de médiation par un point d’accès, le terminal ayant été identifié par le serveur de médiation au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. Ainsi, la clé n’est pas aisément récupérable par un tiers puisqu’elle n’est ni affiché sur le point d’accès ni transmise par le point d’accès directement au terminal, notamment via un réseau radio local tel que Wifi ou Bluetooth (marques déposées). Cela limite les intrusions dans le réseau privé géré par le point d’accès, intrusions notamment liées à la vulnérabilité du réseau radio local. An object of the invention is a method for recovering the network key of a point of access to a network implemented by a terminal, the network key allowing the terminal to be associated with the access point during the first connection of the terminal to the access point, the network key recovery method comprising a reception by a terminal of a network key sent via a mediation server by an access point, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and an identifier of the access point. Thus, the key is not easily retrievable by a third party since it is neither displayed on the access point nor transmitted by the access point directly to the terminal, in particular via a local radio network such as Wifi or Bluetooth. (registered trademarks). This limits intrusions into the private network managed by the access point, particularly intrusions linked to the vulnerability of the local radio network.
En outre, l’association préalable d’un identifiant du terminal avec un identifiant du point d’accès permet d’éviter des actions fastidieuses et éventuellement sources d’erreur de connexion de la part de l’utilisateur du terminal lors de la première connexion du terminal au point d’accès. In addition, the prior association of an identifier of the terminal with an identifier of the access point makes it possible to avoid tedious actions and possibly sources of connection error on the part of the user of the terminal during the first connection. from the terminal to the access point.
Avantageusement, le procédé de récupération de clé réseau comporte, préalablement à la réception de la clé réseau, une émission d’une demande de clé réseau par le terminal au serveur de médiation. Advantageously, the network key recovery method comprises, prior to reception of the network key, a transmission of a network key request by the terminal to the mediation server.
Ainsi, la clé réseau n’est reçue par le terminal que sur demande du terminal évitant au terminal de conserver une clé réseau dans sa mémoire. Cela limite si le terminal faisait l’objet d’une intrusion par un tiers les risques de récupération de la clé réseau par un tiers directement dans le terminal et donc d’intrusion dans le réseau privé géré par le point d’accès. Thus, the network key is only received by the terminal on request from the terminal, preventing the terminal from keeping a network key in its memory. This limits, if the terminal were the object of an intrusion by a third party, the risks of recovery of the network key by a third party directly in the terminal and therefore of intrusion into the private network managed by the access point.
Avantageusement, l’émission d’une demande de clé réseau déclenche au moins une des étapes suivantes : Advantageously, the issuance of a network key request triggers at least one of the following steps:
- déclenchant un établissement d’une session de communication entre le terminal et le serveur de médiation apte à permettre une transmission de clé réseau du serveur de médiation au terminal ; - triggering the establishment of a communication session between the terminal and the mediation server capable of allowing transmission of the network key from the mediation server to the terminal;
- une vérification par le serveur de médiation que le terminal ayant émis la demande correspond au terminal dont un identifiant est associé à un identifiant du point d’accès. - a verification by the mediation server that the terminal that issued the request corresponds to the terminal whose identifier is associated with an identifier of the access point.
Ainsi, l’établissement de la session de communication permet que, dès que le terminal en fait la demande, la transmission de la clé réseau par le serveur de médiation puisse être effectuée dès réception de celle-ci par le serveur de médiation. Thus, the establishment of the communication session allows that, as soon as the terminal requests it, the transmission of the network key by the mediation server can be effected upon receipt thereof by the mediation server.
Avantageusement, le procédé de récupération de clé réseau comporte un décryptage de la clé réseau reçue. Advantageously, the network key recovery method comprises decryption of the received network key.
Avantageusement, le décryptage est effectué au moyen d’une clé privée générée par le terminal avec une clé publique émise au serveur de médiation par le terminal lors d’une association, effectuée préalablement à la mise en œuvre du procédé de récupération, du terminal au serveur de médiation, la clé réseau ayant été cryptée au moyen de la clé publique par le serveur de médiation. Advantageously, the decryption is performed by means of a private key generated by the terminal with a public key sent to the mediation server by the terminal during an association, carried out prior to the implementation of the recovery method, from the terminal to the Mediation Server, the network key having been encrypted with the public key by the Mediation Server.
Un objet de l’invention est également un procédé d’envoi de clé réseau d’un point d’accès à un réseau mis en œuvre par un point d’accès, la clé réseau permettant à un terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le procédé d’envoi de clé réseau comportant une émission de clé réseau par un point d’accès via un serveur de médiation à un terminal, le terminal ayant été identifié par le serveur de médiation au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. Avantageusement, l’émission de clé réseau consiste en une émission d’un message au serveur de médiation, le message comportant la clé réseau et un identifiant du point d’accès permettant au serveur de médiation de déterminer un identifiant du terminal associé à l’identifiant du point d’accès préalablement à la première connexion. An object of the invention is also a method for sending a network key from an access point to a network implemented by an access point, the network key allowing a terminal to be associated with the point of access. 'access during the first connection of the terminal to the access point, the method of sending a network key comprising a transmission of a network key by an access point via a mediation server at a terminal, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and of an identifier of the access point. Advantageously, the transmission of the network key consists of the transmission of a message to the mediation server, the message comprising the network key and an identifier of the access point allowing the mediation server to determine an identifier of the terminal associated with the. access point identifier prior to the first connection.
Avantageusement, le procédé d’envoi de clé réseau comporte un actionnement d’un dispositif actionnable du point d’accès déclenchant l’émission de la clé réseau. Advantageously, the network key sending method comprises actuation of an actuatable device of the access point triggering the transmission of the network key.
Avantageusement, l’émission de la clé réseau par le point d’accès au serveur de médiation est effectuée de manière sécurisée. Advantageously, the transmission of the network key by the access point to the mediation server is performed in a secure manner.
Un objet de l’invention est aussi un procédé de gestion de récupération de clé réseau d’un point d’accès à un réseau mis en œuvre par un serveur de médiation, la clé réseau permettant à un terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le procédé de gestion de la récupération de clé réseau comportant une transmission par le serveur de médiation à un terminal d’une clé réseau reçue d’un point d’accès, le serveur de médiation ayant identifié le terminal au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. An object of the invention is also a method for managing network key recovery of an access point to a network implemented by a mediation server, the network key allowing a terminal to be associated with the point of 'access during the first connection of the terminal to the access point, the method for managing the recovery of the network key comprising a transmission by the mediation server to a terminal of a network key received from an access point, the mediation server having identified the terminal by means of an association prior to the first connection of an identifier of the terminal and of an identifier of the access point.
Avantageusement, le procédé de gestion de récupération comporte, préalablement à la transmission, un cryptage de la clé réseau. Advantageously, the recovery management method comprises, prior to transmission, encryption of the network key.
Avantageusement, selon une implémentation de l'invention, les différentes étapes du procédé selon l'invention sont mises en œuvre par un logiciel ou programme d'ordinateur, ce logiciel comprenant des instructions logicielles destinées à être exécutées par un processeur de données d'un dispositif faisant partie de... et étant conçus pour commander l'exécution des différentes étapes de ce procédé. Advantageously, according to an implementation of the invention, the various steps of the method according to the invention are implemented by software or computer program, this software comprising software instructions intended to be executed by a data processor of a device forming part of ... and being designed to control the execution of the various steps of this process.
L'invention vise donc aussi un programme comprenant des instructions de code de programme pour l’exécution des étapes d’au moins un des procédés suivants : The invention therefore also relates to a program comprising program code instructions for the execution of the steps of at least one of the following methods:
- un procédé de récupération d’une clé réseau, - a method for recovering a network key,
- un procédé d’envoi de clé réseau, - a method of sending a network key,
- un procédé de gestion de récupération de clé réseau - a network key recovery management method
lorsque ledit programme est exécuté par un processeur. when said program is executed by a processor.
Ce programme peut utiliser n'importe quel langage de programmation et être sous la forme de code source, code objet ou code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée ou dans n'importe quelle autre forme souhaitable. This program can use any programming language and be in the form of source code, object code or intermediate code between source code and object code such as in a partially compiled form or in any other desirable form.
Un objet de l’invention est également un terminal comportant une interface de récupération de clé réseau d’un point d’accès à un réseau mis en œuvre par un terminal, la clé réseau permettant au terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, l’interface de récupération comportant un récepteur d’une clé réseau envoyée via un serveur de médiation par un point d’accès, le terminal ayant été identifié par le serveur de médiation au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. An object of the invention is also a terminal comprising an interface for retrieving the network key of an access point to a network implemented by a terminal, the network key allowing the terminal to be associated with the access point during the first connection of the terminal to the access point, the recovery interface comprising a receiver of a network key sent via a mediation server by an access point, the terminal having been identified by the mediation server at the way an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
Un objet de l’invention est encore un serveur de médiation comportant un gestionnaire de récupération de clé réseau d’un point d’accès à un réseau mis en œuvre par un serveur de médiation, la clé réseau permettant à un terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le gestionnaire de récupération de clé réseau comportant un transmetteur vers un terminal d’une clé réseau reçue d’un point d’accès, le serveur de médiation ayant identifié le terminal au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. An object of the invention is also a mediation server comprising a network key recovery manager of an access point to a network implemented by a mediation server, the network key allowing a terminal to be associated. at the access point during the first connection of the terminal to the access point, the network key recovery manager comprising a transmitter to a terminal of a network key received from an access point, the mediation server having identified the terminal by means of an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
Un objet de l’invention est aussi un point d’accès à un réseau comportant un fournisseur de clé réseau, la clé réseau permettant au terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le fournisseur de clé réseau comportant un émetteur d’un message via un serveur de médiation à un terminal, le message comportant la clé réseau du point d’accès, le terminal ayant été identifié par le serveur de médiation au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. An object of the invention is also an access point to a network comprising a network key supplier, the network key allowing the terminal to be associated with the access point during the first connection of the terminal to the access point. , the network key provider comprising a sender of a message via a mediation server to a terminal, the message comprising the network key of the access point, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
Brève description des dessins Brief description of the drawings
Les caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description, faite à titre d'exemple, et des figures s’y rapportant qui représentent : The characteristics and advantages of the invention will emerge more clearly on reading the description, given by way of example, and the figures relating thereto which represent:
[Fig 1] Figure 1 , un schéma simplifié d’un procédé de récupération de clé réseau selon l’invention, [Fig 2] Figure 2, un schéma simplifié d’initialisation d’un procédé de récupération de clé réseau selon l’invention, [Fig 1] Figure 1, a simplified diagram of a network key recovery method according to the invention, [Fig 2] Figure 2, a simplified initialization diagram of a network key recovery method according to the invention ,
[Fig 3] Figure 3, un schéma simplifié d’un procédé d’envoi de clé réseau selon l’invention, [Fig 3] Figure 3, a simplified diagram of a method for sending a network key according to the invention,
[Fig 4] Figure 4, un schéma simplifié d’un procédé de gestion d’une récupération de clé réseau selon l’invention, [Fig 4] Figure 4, a simplified diagram of a method for managing network key recovery according to the invention,
[Fig 5] Figure 5, un schéma simplifié d’un procédé d’association d’un serveur de médiation à un terminal lors de l’initialisation d’un procédé de récupération de clé réseau selon l’invention, [Fig 5] Figure 5, a simplified diagram of a method for associating a mediation server with a terminal during the initialization of a method for recovering a network key according to the invention,
[Fig 6] Figure 6, un diagramme simplifié d’échanges lors de la mise en œuvre de procédés d’envoi de clé réseau, de gestion de récupération de clé réseau et de récupération de clé réseau selon l’invention, [Fig 6] Figure 6, a simplified diagram of exchanges during the implementation of network key sending, network key recovery management and network key recovery methods according to the invention,
[Fig 7] Figure 7, un schéma simplifié d’une architecture de communication mettant en œuvre l’invention, [Fig 7] Figure 7, a simplified diagram of a communication architecture implementing the invention,
[Fig 8a] Figure 8a, un schéma simplifié d’une architecture de communication comportant un terminal, un serveur de médiation et un point d’accès selon l’invention, détaillant les dispositifs mis en œuvre lors de l’association préalable d’un identifiant du point d’accès avec un identifiant du terminal, [Fig 8b] Figure 8b, un schéma simplifié d’une architecture de communication comportant un terminal, un serveur de médiation et un point d’accès selon l’invention, détaillant les dispositifs mis en oeuvre lors de l’initialisation du récupérateur de clé réseau du terminal, [Fig 8a] Figure 8a, a simplified diagram of a communication architecture comprising a terminal, a mediation server and an access point according to the invention, detailing the devices implemented during the prior association of a access point identifier with a terminal identifier, [Fig 8b] Figure 8b, a simplified diagram of a communication architecture comprising a terminal, a mediation server and an access point according to the invention, detailing the devices implemented during the initialization of the key collector terminal network,
[Fig 8c] Figure 8c, un schéma simplifié d’une architecture de communication comportant un terminal, un serveur de médiation et un point d’accès selon l’invention, détaillant les dispositifs mis en oeuvre lors de la mise en oeuvre du récupérateur de clé réseau du terminal. [Fig 8c] Figure 8c, a simplified diagram of a communication architecture comprising a terminal, a mediation server and an access point according to the invention, detailing the devices implemented during the implementation of the data collector. network key of the terminal.
Description des modes de réalisation Description of embodiments
La figure 1 illustre un schéma simplifié d’un procédé de récupération de clé réseau selon l’invention. Figure 1 illustrates a simplified diagram of a network key recovery method according to the invention.
Le procédé de récupération NK_RVY d’une clé réseau d’un point d’accès à un réseau mis en œuvre par un terminal T. La clé réseau nk permet au terminal T d’être associé au point d’accès PA lors de la première connexion du terminal T au point d’accès PA. Le procédé de récupération de clé réseau NK_RVY comporte une réception REC par un terminal T d’une clé réseau nk envoyée via un serveur de médiation SM par un point d’accès PA. Le terminal T a été identifié par le serveur de médiation SM au moyen d’une association préalable à la première connexion d’un identifiant du terminal TJd et d’un identifiant du point d’accès PJd. The method NK_RVY for recovering a network key of an access point to a network implemented by a terminal T. The network key nk allows the terminal T to be associated with the access point PA during the first connection of the terminal T to the access point PA. The network key recovery method NK_RVY comprises a REC reception by a terminal T of a network key nk sent via a mediation server SM by an access point PA. The terminal T was identified by the mediation server SM by means of an association prior to the first connection of an identifier of the terminal TJd and an identifier of the access point PJd.
En particulier, le procédé de récupération NK_RVY d’une clé réseau comporte, préalablement à la réception REC de la clé réseau nk, une émission NKRQ_EM d’une demande de clé réseau nk rq par le terminal T au serveur de médiation SM. In particular, the method for recovering NK_RVY of a network key comprises, prior to the reception REC of the network key nk, a transmission NKRQ_EM of a request for a network key nk rq by the terminal T to the mediation server SM.
En particulier, l’émission NKRQ_EM d’une demande de clé réseau déclenche au moins une des étapes suivantes : In particular, the NKRQ_EM issuance of a network key request triggers at least one of the following steps:
- déclenchant un établissement d’une session de communication entre le terminal et le serveur de médiation T/SM_SS apte à permettre une transmission de clé réseau nk du serveur de médiation SM au terminal T; - triggering the establishment of a communication session between the terminal and the mediation server T / SM_SS capable of allowing transmission of network key nk from the mediation server SM to the terminal T;
- une vérification par le serveur de médiation SM que le terminal T ayant émis la demande nk rq correspond au terminal T dont un identifiant TJd est associé à un identifiant du point d’accès PAJd. - a verification by the mediation server SM that the terminal T which issued the request nk rq corresponds to the terminal T whose identifier TJd is associated with an identifier of the access point PAJd.
En particulier, le procédé de récupération de clé réseau NK_RVY comporte un décryptage DCRPT de la clé réseau reçue nk*. In particular, the method for recovering the network key NK_RVY comprises a DCRPT decryption of the received network key nk * .
En particulier, le décryptage DCRPT est effectué au moyen d’une clé privée ckpv générée par le terminal T avec une clé publique ckpb émise au serveur de médiation SM par le terminal T lors d’une association SM_ASS, effectuée préalablement à la mise en œuvre du procédé de récupération NK_RVY, du terminal T au serveur de médiation SM, la clé réseau nk* ayant été cryptée au moyen de la clé publique ckpb par le serveur de médiation SM. In particular, the DCRPT decryption is performed by means of a private key ck pv generated by the terminal T with a public key ck pb sent to the mediation server SM by the terminal T during an association SM_ASS, carried out prior to the setting. implementation of the recovery method NK_RVY, from the terminal T to the mediation server SM, the network key nk * having been encrypted by means of the public key ck pb by the mediation server SM.
En particulier, l’association préalable avec le serveur de médiation SM_ASS autorise ok la mise en œuvre de la récupération de clé réseau NK_RVY, notamment en autorisant le démarrage du procédé de récupération NK_RVY_ST. Par exemple, le message d’autorisation est envoyé suite à la génération de la paire de clés asymétriques ( ckpv , ckpb), notamment dès que la clé publique ckpb de cette paire de clés est transmise au serveur de médiation SM et/ou dès que la clé privée ckpv est enregistrée dans le terminal T, notamment dans une mémoire T_MEM du terminal T, tel qu’une base de données, une carte mémoire, etc. In particular, the prior association with the SM_ASS mediation server allows ok the implementation of the recovery of the network key NK_RVY, in particular by authorizing the start of the recovery process NK_RVY_ST. For example, the authorization message is sent following the generation of the pair of asymmetric keys (ck pv , ck pb ), in particular as soon as the public key ck pb of this pair of keys is transmitted to the mediation server SM and / or as soon as the private key ck pv is recorded in the terminal T, in particular in a memory T_MEM of the terminal T, such as a database, a memory card, etc.
En particulier, le procédé de récupération de clé réseau NK_RVY comporte une étape de démarrage du procédé NK RVY ST. Cette étape de démarrage NK RVY ST est notamment déclenchée par une action st cmd d’un utilisateur U, par exemple sur une interface de saisie du terminal ou au moyen d’une interface de capture, tel qu’une interface vocale, une caméra, etc. Ainsi, l’utilisateur U peut indiquer au terminal T qu’il souhaite que celui-ci récupère la clé réseau du point d’accès PA dont un identifiant PAJd a été préalablement associé à un identifiant du terminal TJd. Eventuellement, lorsque la récupération de clé réseau NK_RVY met en œuvre un décryptage DCRPT, l’étape de démarrage NK_RVY_ST n’est pas autorisé si le terminal T n’a pas été préalablement associé à un serveur de médiation SM au moyen d’une paire de clés asymétriques (ck;:V. ckpb). In particular, the method for recovering the network key NK_RVY comprises a step of starting the method NK RVY ST. This starting step NK RVY ST is in particular triggered by a st cmd action of a user U, for example on an input interface of the terminal or by means of a capture interface, such as a voice interface, a camera, etc. Thus, the user U can indicate to the terminal T that he wishes the latter to recover the network key of the access point PA whose identifier PAJd has been previously associated with an identifier of the terminal TJd. Optionally, when the recovery of the NK_RVY network key implements a DCRPT decryption, the NK_RVY_ST start step is not authorized if the terminal T has not been previously associated with a mediation server SM by means of a pair asymmetric keys (ck;: V. ck pb ).
Le démarrage de la récupération de clé réseau NK_RVY_ST génère directement ou indirectement une commande d’émission d’une demande de clé réseau cnx cmd. Starting the NK_RVY_ST network key recovery directly or indirectly generates a command to issue a cnx cmd network key request.
Dans une première variante de réalisation, le démarrage de la récupération de clé réseau NK_RVY_ST génère directement une commande cnx cmd qui contrôle une émission de requête NKRQ EM. In a first variant embodiment, the start of the recovery of the NK_RVY_ST network key directly generates a cnx cmd command which controls a transmission of an NKRQ EM request.
Dans une deuxième variante de réalisation, le démarrage de la récupération de clé réseau NK_RVY_ST génère une commande de reproduction rpr cmd qui contrôle la reproduction CPT_RPR d’un message cpt rq à destination du point d’accès PA. Eventuellement, le message cpt rq reproduit demande à un utilisateur U du terminal T d’effectuer une interaction avec le point d’accès PA. La reproduction CPT_RPR envoie à l’émission de demande de clé réseau NKRQ_EM la commande cnx cmd qui contrôle l’émission de requête NKRQ_EM. In a second alternative embodiment, the start of the recovery of the NK_RVY_ST network key generates an rpr cmd reproduction command which controls the CPT_RPR reproduction of a cpt rq message to the access point PA. Optionally, the reproduced message cpt rq asks a user U of the terminal T to interact with the access point PA. The CPT_RPR reproduction sends the NKRQ_EM network key request issuance the cnx cmd command which controls the NKRQ_EM request issuance.
En particulier, quelle que soit la variante de réalisation de la génération de la commande de l’émission de demande cnx cmd, l’émission de demande NKRW_EM émet une requête de clé réseau nk rq à destination d’un serveur de médiation SM, notamment le serveur de médiation préalablement associé SM_ASS au terminal T. La requête de clé réseau nk rq comporte notamment un identifiant du terminal demandeur T_id : nk_rq(T_id ). In particular, whatever the variant embodiment of the generation of the command for the transmission of cnx cmd request, the transmission of request NKRW_EM sends a request for a network key nk rq to a mediation server SM, in particular the mediation server previously associated SM_ASS with the terminal T. The request for network key nk rq includes in particular an identifier of the requesting terminal T_id: nk_rq (T_id).
En particulier, l’émission de la requête de clé réseau nk rq déclenche directement ou indirectement l’établissement d’une session de communication entre le terminal et le serveur de médiation T/SM_SS permettant une transmission de la clé réseau nk du serveur de médiation SM au terminal T. La clé réseau du point d’accès PA peut être transmise du serveur de médiation SM au terminal T sans traitement nk, cryptée nk* (notamment au moyen de la clé publique ckpb), intégrée dans un message mssg(nk), intégrée cryptée dans un message mssg(nk*), intégrée dans un message crypté mssg*(nk), etc. In particular, the transmission of the network key request nk rq directly or indirectly triggers the establishment of a communication session between the terminal and the mediation server T / SM_SS allowing transmission of the network key nk of the mediation server SM to terminal T. The network key of the access point PA can be transmitted from the mediation server SM to the terminal T without processing nk, encrypted nk * (in particular by means of the public key ck pb ), integrated in a message mssg ( nk), embedded encrypted in an mssg (nk * ) message, embedded in an encrypted message mssg * (nk), etc.
La session de communication T/SM_SS entre le terminal et le serveur de médiation est notamment un Web socket sécurisant la transmission de la clé réseau. The T / SM_SS communication session between the terminal and the mediation server is in particular a Web socket securing the transmission of the network key.
La clé réseau nk reçue par le terminal du serveur de médiation est éventuellement reçue par le serveur de médiation SM du point d’accès PA durant la période d’exécution du procédé de récupération de clé réseau par le terminal T. Ainsi, la récupération de la clé réseau sur le serveur de médiation par un tiers est limitée au temps durant lequel le procédé de récupération de clé réseau par le terminal est en cours d’exécution.The network key nk received by the terminal of the mediation server is possibly received by the mediation server SM of the access point PA during the period of execution of the method for retrieving the network key by the terminal T. Thus, the recovery of the network key on the mediation server by a third party is limited to the time during which the method for recovering the network key by the terminal is being executed.
En particulier, le procédé de récupération de clé réseau NK_RVY comporte un décryptage DCRPT utilisant notamment la clé privée ckpv pour décrypter le message crypté mssg*(nk) et/ou la clé réseau cryptée reçue nk* ou le message crypté reçu mssg*(nk). La clé privée ckpv éventuellement utilisée par le décryptage DCRPT est lu par le décryptage dans une mémoire du terminal T_MEM dans laquelle elle a été préalable enregistrée notamment lors de l’association préalable du terminal au serveur de médiation SM_ASS. In particular, the method for recovering the network key NK_RVY comprises a DCRPT decryption using in particular the private key ck pv to decrypt the encrypted message mssg * (nk) and / or the encrypted network key received nk * or the encrypted message received mssg * ( nk). The private key ck pv possibly used by the DCRPT decryption is read by the decryption in a memory of the terminal T_MEM in which it has been previously recorded in particular during the prior association of the terminal with the mediation server SM_ASS.
Ainsi, l’utilisation de clés asymétriques pour crypter/décrypter la clé réseau avant/après sa transmission entre le serveur de médiation et le terminal réduit encore le risque de récupération de la clé réseau par un tiers, réduisant d’autant les risques d’intrusion dans le réseau privé géré par le point d’accès PA. Thus, the use of asymmetric keys to encrypt / decrypt the network key before / after its transmission between the mediation server and the terminal further reduces the risk of recovery of the network key by a third party, thereby reducing the risks of intrusion into the private network managed by the access point PA.
En particulier, le procédé de récupération de clé réseau NK_RVY comporte une extraction MSSG_XTR pour extraire du message reçu, éventuellement décrypté, mssg(nk*), mssg(nk) la clé réseau cryptée ou non nk*, nk. In particular, the method for recovering the network key NK_RVY comprises an extraction MSSG_XTR to extract from the received message, possibly decrypted, mssg (nk * ), mssg (nk) the encrypted network key or not nk * , nk.
En particulier le procédé de récupération de clé réseau NK_RVY comporte une collecte de clé réseau NK_CLT comportant une ou plusieurs des étapes suivantes : In particular, the method for recovering the NK_RVY network key comprises a collection of the NK_CLT network key comprising one or more of the following steps:
- la réception REC de la clé réseau cryptée nk* ou non nk ou d’un message crypté mssg*(nk) ou non comportant la clé réseau cryptée mssg(nk*) ou non mssg(nk) ; - REC reception of the encrypted network key nk * or not nk or of an encrypted message mssg * (nk) or not including the encrypted network key mssg (nk * ) or not mssg (nk);
- le décryptage DCRPT de la clé réseau cryptée reçue extraite ou non nk* ou d’un message crypté reçu mssg*(nk); - DCRPT decryption of the encrypted network key received, whether or not extracted nk *, or of an encrypted message received mssg * (nk);
- l’extraction de clé réseau cryptée nk* ou non nk d’un message reçu décrypté ou non mssg. - extracting the encrypted network key nk * or not nk from a message received, decrypted or not mssg.
La clé réseau nk ainsi reçue, voire collectée, peut être utilisée lors d’une première connexion PA_CNX du terminal T au point d’accès PA. Eventuellement, la clé réseau nk est enregistrée temporairement dans le terminal T pour une première connexion ultérieure du terminal T au point d’accès PA The network key nk thus received, or even collected, can be used during a first connection PA_CNX from the terminal T to the access point PA. Optionally, the network key nk is temporarily stored in the terminal T for a first subsequent connection of the terminal T to the access point PA
La figure 2 illustre un schéma simplifié d’initialisation d’un procédé de récupération de clé réseau selon l’invention. FIG. 2 illustrates a simplified diagram of initialization of a network key recovery method according to the invention.
Le procédé d’initialisation NKAPPJNIT comporte l’association du terminal au serveur de médiation SM_ASS préalable au procédé de récupération de clé réseau NK_RVY, notamment tel qu’illustré par la figure 1. The NKAPPJNIT initialization method comprises associating the terminal with the SM_ASS mediation server prior to the NK_RVY network key recovery method, in particular as illustrated in FIG. 1.
En particulier, le procédé d’initialisation NKAPPJNIT comporte un chargement NKAPP_LD du procédé de récupération de clé réseau par le terminal T à partir notamment d’un serveur d’applications APP_S. Le procédé de récupération de clé réseau est notamment chargé sous forme d’une application nkapp. In particular, the NKAPPJNIT initialization method comprises a NKAPP_LD loading of the network key recovery method by the terminal T, in particular from an application server APP_S. The network key recovery process is notably loaded in the form of an nkapp application.
En particulier, le procédé d’initialisation NKAPPJNIT comporte une exécution de l’initialisation du procédé de récupération de clé réseau NKAPP_XI. L’exécution de l’initialisation est notamment déclenchée init_trg par la fin du chargement NKAPP_LD. L’exécution de l’initialisation NKAPP_XI commande notamment l’association du terminal au serveur de médiation SM_ASS et éventuellement d’autres étapes (non illustrées) telles que l’initialisation d’au moins un paramètre utile à l’exécution du procédé de récupération de clé réseau, tel que notamment la lecture d’un identifiant du terminal T_id, et/ou la recherche d’une adresse d’un serveur de médiation, etc. In particular, the NKAPPJNIT initialization method comprises an execution of the initialization of the NKAPP_XI network key recovery method. The execution of the initialization is in particular triggered init_trg by the end of the NKAPP_LD loading. The execution of the NKAPP_XI initialization notably controls the association of the terminal with the SM_ASS mediation server and possibly other steps (not illustrated) such as the initialization of at least one parameter useful for the execution of the recovery method. network key, such as in particular reading an identifier of the terminal T_id, and / or searching for an address of a mediation server, etc.
L’association au serveur de médiation SM_ASS émet notamment une demande d’association ass rq du terminal T au serveur de médiation SM. The association with the SM_ASS mediation server notably sends an association request ass rq from the terminal T to the mediation server SM.
En particulier, l’association au serveur de médiation SM_ASS comporte une génération CK_GN d’une paire de clés asymétriques (ckpv, ckpb). La clé privée ckpv est enregistrée dans une mémoire du terminal T_MEM et la clé publique ckpb transmise via un premier réseau N1 au serveur de médiation SM. La clé publique ckpb est éventuellement associé à un identifiant du terminal T_id lors de sa transmission au serveur de médiation, tel que l’identifiant du terminal T_id préalablement associée à un identifiant d’un point d’accès PA id. In particular, the association with the SM_ASS mediation server comprises a generation CK_GN of a pair of asymmetric keys (ck pv , ck pb ). The private key ck pv is recorded in a memory of the terminal T_MEM and the public key ck pb transmitted via a first network N1 to the mediation server SM. The public key ck pb is possibly associated with an identifier of the terminal T_id during its transmission to the mediation server, such as the identifier of the terminal T_id previously associated with an identifier of an access point PA id.
Eventuellement, le message de demande d’association ass rq comporte la clé publique ckpb et/ou un identifiant du terminal TJd: ass_rq(ckpb), ass_rq(ckpb T_id), ass_rq(T_id), ... Optionally, the association request message ass rq includes the public key ck pb and / or an identifier of the terminal TJd: ass_rq (ck pb ), ass_rq (ck pb T_id), ass_rq (T_id), ...
En particulier, l’association au serveur de médiation SM_ASS comporte une réception de code d’activation de l’association AC_RC en provenance du serveur de médiation SM via un deuxième réseau N2. Notamment le code d’activation act cd est reçu par le terminal T du serveur de médiation SM ayant reçu une clé publique ckpb du terminal T. Il permet au serveur de médiation SM de déclencher une validation de l’authentification de l’émetteur de la demande d’association au moyen du code d’activation. Eventuellement, la réception de code d’activation AC_RC reçoit un message d’authentification auth mssg comportant le code d’activation act cd : auth_mssg(act_cd). En particulier, suite à la réception d’un code d’activation AC_RC, l’association au serveur de médiation SM_ASS comporte une émission du code d’activation AC_EM du terminal T au serveur de médiation SM via le premier réseau N1. La réception du code d’activation AC_RC fournit le code d’activation act cd à l’émission du code d’activiation AC_EM après avoir éventuellement extrait le code d’activation act cd d’un message d’authentification reçu auth mssg. In particular, the association with the mediation server SM_ASS comprises a reception of the activation code of the association AC_RC from the mediation server SM via a second network N2. In particular, the act cd activation code is received by the terminal T from the mediation server SM having received a public key ck pb from the terminal T. It allows the mediation server SM to trigger validation of the authentication of the sender of the association request by means of the activation code. Optionally, the reception of the activation code AC_RC receives an authentication message auth mssg comprising the activation code act cd: auth_mssg (act_cd). In particular, following the receipt of an activation code AC_RC, the association with the mediation server SM_ASS comprises a transmission of the activation code AC_EM from the terminal T to the mediation server SM via the first network N1. The reception of the activation code AC_RC provides the activation code act cd to the transmission of the activation code AC_EM after possibly having extracted the activation code act cd from an authentication message received auth mssg.
En particulier, l’association au serveur de médiation SM_ASS comporte une validation de l’émetteur de la demande d’association T_VD comportant la réception du code d’activation AC_RC du serveur de médiation SM via un deuxième réseau N2 suivi de l’émission du code d’activation AC_EM au serveur de médiation SM via le premier réseau N1. In particular, the association with the mediation server SM_ASS comprises a validation of the sender of the association request T_VD comprising the reception of the activation code AC_RC from the mediation server SM via a second network N2 followed by the transmission of the activation code AC_EM to the mediation server SM via the first network N1.
Lorsque le terminal T est un terminal mobile : When the terminal T is a mobile terminal:
- le premier réseau N1 est notamment un réseau d’internet mobile tel que le réseau 4G, la transmission de la clé publique est notamment effectué sur un lien Internet sécurisé tel que https ; - the first network N1 is in particular a mobile Internet network such as the 4G network, the transmission of the public key is carried out in particular over a secure Internet link such as https;
- le deuxième réseau N2 est notamment un réseau de téléphonique mobile 3G, la transmission du code d’activation de la clé publique est par exemple un SMS, MMS ou un SMS de commande, etc. En particulier, l’association au serveur de médiation SM_ASS comporte le passage du procédé de récupération de clé réseau en opérationnel NKAPP OP. Le passage en opérationnel NKAPP OP fournit notamment une commande d’autorisation nk_rvy_ok d’exécution du procédé de récupération de clé réseau NK_RVY, notamment au démarrage du procédé de récupération de clé réseau NK RVY ST. the second network N2 is in particular a 3G mobile telephone network, the transmission of the activation code of the public key is for example an SMS, MMS or a control SMS, etc. In particular, the association with the SM_ASS mediation server includes switching from the network key recovery method to operational NKAPP OP. Switching to operational NKAPP OP notably provides an authorization command nk_rvy_ok for executing the recovery of network key NK_RVY, in particular at the start of the method for recovering network key NK RVY ST.
La figure 3 illustre un schéma simplifié d’un procédé d’envoi de clé réseau selon l’invention. FIG. 3 illustrates a simplified diagram of a method of sending a network key according to the invention.
Le procédé d’envoi de clé réseau NK_SND d’un point d’accès à un réseau est mis en œuvre par un point d’accès PA, la clé réseau nk permettant à un terminal T d’être associé au point d’accès PA lors de la première connexion du terminal T au point d’accès PA. Le procédé d’envoi de clé réseau NK_SND comporte une émission de clé réseau NK_EM par un point d’accès PA via un serveur de médiation SM à un terminal T. Le terminal T a été identifié par le serveur de médiation SM au moyen d’une association préalable à la première connexion d’un identifiant du terminal T_id et d’un identifiant du point d’accès PA id. The method of sending the network key NK_SND from an access point to a network is implemented by an access point PA, the network key nk allowing a terminal T to be associated with the access point PA when the terminal T is connected for the first time to the access point PA. The method of sending network key NK_SND comprises sending a network key NK_EM by an access point PA via a mediation server SM to a terminal T. The terminal T has been identified by the mediation server SM by means of an association prior to the first connection of an identifier of the terminal T_id and of an identifier of the access point PA id.
En particulier, l’émission de clé réseau NK_EM comporte une émission d’une information comportant la clé réseau du point d’accès PA et un identifiant de ce point d’accès (nk, PA id). In particular, the transmission of the NK_EM network key comprises the transmission of information comprising the network key of the access point PA and an identifier of this access point (nk, PA id).
En particulier, l’émission de clé réseau NK_EM récupère la clé réseau nk dans une mémoire du point d’accès PA_MEM : base de données, mémoire chiffrée, etc. In particular, the issuance of the network key NK_EM retrieves the network key nk from a memory of the PA_MEM access point: database, encrypted memory, etc.
En particulier, l’émission de clé réseau NK_EM consiste en une émission d’un message mssg nk au serveur de médiation SM. Le message mssg nk comporte la clé réseau nk et un identifiant du point d’accès PA id permettant au serveur de médiation SM de déterminer un identifiant du terminal T_id associé à l’identifiant du point d’accès PA id préalablement à la première connexion. En particulier, le procédé d’envoi de clé réseau NK_SND comporte un actionnement CPT d’un dispositif actionnable du point d’accès déclenchant nk sh trg l’émission de la clé réseau NK_EM. Eventuellement, un message cpt rq reproduit tel qu’illustré par la figure 1 demande à un utilisateur U du terminal T d’effectuer une interaction avec le point d’accès PA. L’utilisateur U effectue alors l’interaction c qui déclenche l’actionnement CPT. In particular, the issuance of the NK_EM network key consists of the issuance of an mssg nk message to the mediation server SM. The message mssg nk includes the network key nk and an identifier of the access point PA id allowing the mediation server SM to determine an identifier of the terminal T_id associated with the identifier of the access point PA id prior to the first connection. In particular, the method for sending the NK_SND network key comprises a CPT actuation of an operable device of the access point triggering nk sh trg the issuance of the NK_EM network key. Optionally, a message cpt rq reproduced as illustrated in FIG. 1 asks a user U of the terminal T to perform an interaction with the access point PA. User U then performs the interaction c which triggers the CPT actuation.
Dans un mode de réalisation automatisé, le message cpt rq reproduit par le terminal T engendre une interaction c du terminal T directement avec le point d’accès PA placé à proximité duquel le terminal T est placé. L’interaction c du terminal T avec le point d’accès PA déclenche l’actionnement CPT. In an automated embodiment, the message cpt rq reproduced by the terminal T generates an interaction c of the terminal T directly with the access point PA placed near which the terminal T is placed. The interaction c of the terminal T with the access point PA triggers the CPT actuation.
En particulier, le procédé d’envoi de clé réseau NK_SND comporte une demande d’établissement SM_CNX_STB d’une connexion du point d’accès PA avec un serveur de médiation SM. La demande d’établissement de connexion avec le serveur de médiation SM_CNX_STB envoi une requête d’établissement de connexion stb_rq au serveur de médiation SM. La requête d’établissement de connexion stb_rq comporte notamment un identifiant du point d’accès PA id : stb_rq(PA_id). La demande d’établissement SM_CNX_STB d’une connexion du point d’accès PA avec un serveur de médiation SM déclenche un établissement d’une session de communication entre le point d’accès et le serveur de médiation PA/SM_SS apte à permettre une transmission de clé réseau nk du point d’accès PA au serveur de médiation SM. Ainsi, l’émission de clé réseau NK EM émet via cette session de communication PA/SM SS. La session de communication PA/SM_SS entre le point d’accès et le serveur de médiation est notamment un Web socket sécurisant la transmission de la clé réseau. In particular, the method for sending network key NK_SND comprises a request for establishment SM_CNX_STB of a connection of the access point PA with a mediation server SM. The request to establish a connection with the mediation server SM_CNX_STB sends a request to establish a connection stb_rq to the mediation server SM. The stb_rq connection establishment request includes in particular an identifier of the access point PA id: stb_rq (PA_id). The request for establishment SM_CNX_STB of a connection of the access point PA with a mediation server SM triggers an establishment of a communication session between the access point and the mediation server PA / SM_SS capable of allowing a transmission of network key nk of the access point PA to the mediation server SM. Thus, the transmission of network key NK EM transmits via this communication session PA / SM SS. The PA / SM_SS communication session between the access point and the mediation server is in particular a Web socket securing the transmission of the network key.
En particulier, l’émission NK_EM de la clé réseau par le point d’accès au serveur de médiation est effectuée de manière sécurisée, par exemple via un lien hypertexte sécurisé https, ou IPSEC, ou via un tunnel tel que VPN, etc. In particular, the NK_EM transmission of the network key by the access point to the mediation server is carried out in a secure manner, for example via a secure hypertext link https, or IPSEC, or via a tunnel such as VPN, etc.
La figure 4 illustre un schéma simplifié d’un procédé de gestion de récupération de clé réseau selon l’invention. Figure 4 illustrates a simplified diagram of a network key recovery management method according to the invention.
Le procédé de gestion de récupération de clé réseau NK_MNGT d’un point d’accès PA à un réseau est mis en œuvre par un serveur de médiation SM, la clé réseau nk permettant à un terminal T-, d’être associé au point d’accès PA lors de la première connexion du terminal T-, au point d’accès PA. Le procédé de gestion NK_MNGT de la récupération de clé réseau comporte une transmission NK_TR, EM par le serveur de médiation M à un terminal T-, d’une clé réseau nk reçue d’un point d’accès PA. Le serveur de médiation SM a identifié le terminal T-i au moyen d’une association T/PA_ASS préalable à la première connexion d’un identifiant du terminal T-iJd et d’un identifiant du point d’accès PA. The method for managing network key recovery NK_MNGT from an access point PA to a network is implemented by a mediation server SM, the network key nk allowing a terminal T- to be associated with the point d 'PA access when the terminal T- is first connected to the PA access point. The network key recovery management method NK_MNGT comprises a transmission NK_TR, EM by the mediation server M to a terminal T-, of a network key nk received from an access point PA. The mediation server SM identified the terminal T-i by means of a T / PA_ASS association prior to the first connection of an identifier of the terminal T-iJd and an identifier of the access point PA.
La figure 4 illustre en outre l’association T/PA_ASS préalable à la première connexion d’un identifiant d’un terminal T-iJd et d’un identifiant d’un point d’accès PA. Cette association d’identifiants T/PA_ASS est mise en œuvre par un serveur, notamment le serveur de médiation SM. Le couple d’identifiants ainsi associés ( T-iJd , PA id) est notamment enregistré dans une mémoire du serveur SM_MEM, tel qu’une base de données... FIG. 4 further illustrates the association T / PA_ASS prior to the first connection of an identifier of a terminal T-iJd and of an identifier of an access point PA. This association of T / PA_ASS identifiers is implemented by a server, in particular the mediation server SM. The pair of identifiers thus associated (T-iJd, PA id) is notably recorded in a memory of the server SM_MEM, such as a database ...
En particulier, le procédé de gestion NK_MNGT de récupération de clé réseau comporte, préalablement à une transmission EM de clé réseau, un cryptage CRPT de la clé réseau nk. Ainsi, l’émission EM émet la clé réseau cryptée nk* ou des données ou message mssg comportant la clé réseau cryptée nk*. In particular, the network key recovery management method NK_MNGT comprises, prior to a network key transmission EM, a CRPT encryption of the network key nk. Thus, the emission EM sends the encrypted network key nk * or data or message mssg comprising the encrypted network key nk * .
La figure 4 illustre aussi une association T_ASS d’un terminal T2 au serveur de médiation transmettant la clé réseau. Lors de l’association avec un terminal T_ASS, le serveur de médiation reçoit du terminal T-, une clé de cryptage, tel qu’une clé publique ckpb permettant au serveur de médiation SM de crypter des données, le cas échéant la clé réseau nk, préalablement à leur transmission NK_TR, EM vers le terminal T-|. Eventuellement, d’autres données telles que l’identifiant du terminal T-iJd, sont transmis en association avec la clé de cryptage ckpb. En particulier, le serveur de médiation SM stocke les données reçues du terminal T-,, notamment la clé de cryptage ckpb, par exemple dans une mémoire ou base de données SM_MEM. FIG. 4 also illustrates a T_ASS association of a terminal T 2 to the mediation server transmitting the network key. During the association with a terminal T_ASS, the mediation server receives from the terminal T-, an encryption key, such as a public key ck pb allowing the mediation server SM to encrypt data, if necessary the network key nk, prior to their transmission NK_TR, EM to the terminal T- | . Optionally, other data such as the identifier of the terminal T-iJd are transmitted in association with the encryption key ck pb . In particular, the mediation server SM stores the data received from the terminal T- ,, in particular the encryption key ck pb , for example in a memory or database SM_MEM.
En particulier, le procédé de gestion de récupération de clé réseau NK_MNGT comporte un cryptage CRPT utilisant notamment la clé publique ckpb pour crypter un message mssg(nk) et/ou la clé réseau nk à émettre. La clé publique ckpb éventuellement utilisée par le cryptage CRPT est lu par le cryptage dans une mémoire du serveur de médiation SM_MEM dans laquelle elle a été préalable enregistrée notamment lors de l’association préalable du terminal au serveur de médiation SM ASS. Ainsi, l’utilisation de clés asymétriques pour crypter/décrypter la clé réseau avant/après sa transmission entre le serveur de médiation et le terminal réduit encore le risque de récupération de la clé réseau par un tiers, réduisant d’autant les risques d’intrusion dans le réseau privé géré par le point d’accès PA. In particular, the method for managing the recovery of the network key NK_MNGT comprises a CRPT encryption using in particular the public key ck pb to encrypt a message mssg (nk) and / or the network key nk to be sent. The public key ck pb possibly used by the CRPT encryption is read by the encryption in a memory of the mediation server SM_MEM in which it has been previously recorded in particular during the prior association of the terminal with the mediation server SM ASS. Thus, the use of asymmetric keys to encrypt / decrypt the network key before / after its transmission between the mediation server and the terminal further reduces the risk of recovery of the network key by a third party, thereby reducing the risks of intrusion into the private network managed by the access point PA.
En particulier, le procédé de gestion récupération de clé réseau NK_MNGT comporte une génération de message MSSG_GN pour créer un message à émettre, éventuellement crypté, mssg(nk*), mssg(nk) comportant la clé réseau cryptée ou non nk*, nk. In particular, the network key recovery management method NK_MNGT comprises a generation of message MSSG_GN to create a message to be sent, possibly encrypted, mssg (nk * ), mssg (nk) comprising the network key whether or not nk * , nk encrypted.
En particulier le procédé de gestion de récupération de clé réseau NK_MNGT comporte une transmission de clé réseau NK_TR comportant une ou plusieurs des étapes suivantes : In particular, the method for managing the recovery of the NK_MNGT network key comprises a transmission of the NK_TR network key comprising one or more of the following steps:
- le cryptage CRPT de la clé réseau à émettre nk et/ou d’un message à émettre mssg(nk), mssg(nk*); - CRPT encryption of the network key to be sent nk and / or of a message to be sent mssg (nk), mssg (nk * );
- la génération MSSG_GN de message mssg comportant la clé réseau cryptée nk* ou non nk : mssg(nk*), mssg(nk) - the MSSG_GN generation of mssg message including the encrypted network key nk * or not nk: mssg (nk * ), mssg (nk)
- l’émission EM de la clé réseau cryptée nk* ou non nk ou d’un message crypté mssg*(nk) ou non comportant la clé réseau cryptée mssg(nk*) ou non mssg(nk). - EM transmission of the encrypted network key nk * or not nk or of an encrypted message mssg * (nk) or not including the encrypted network key mssg (nk * ) or not mssg (nk).
En particulier, le procédé de gestion de récupération de clé réseau NK_MNGT comporte une réception de clé réseau NK_REC par le serveur de médiation SM d’un point d’accès PA. La réception NK_REC permet au serveur de médiation SM de recevoir une clé réseau nk permettant à un terminal T-i , T2 d’être associé au point d’accès PA. In particular, the method for managing the recovery of network key NK_MNGT comprises reception of network key NK_REC by the mediation server SM of an access point PA. The reception NK_REC allows the mediation server SM to receive a network key nk allowing a terminal Ti, T 2 to be associated with the access point PA.
En particulier, le procédé de gestion de récupération de clé réseau NK_MNGT comporte, préalablement à la réception de clé réseau NK_REC, un établissement PA_CNX_STB d’une connexion du point d’accès PA avec un serveur de médiation SM. L’établissement de connexion avec le serveur de médiation PA_CNX_STB reçoit une requête d’établissement de connexion stb_rq du point d’accès PA. La requête d’établissement de connexion stb_rq comporte notamment un identifiant du point d’accès PA id: stb_rq(PA_id). L’établissement PA_CNX_STB d’une connexion du point d’accès PA avec un serveur de médiation SM déclenche PA_cnx_trg un établissement d’une session de communication entre le point d’accès et le serveur de médiation PA/SM_SS apte à permettre une transmission de clé réseau nk du point d’accès PA au serveur de médiation SM. Ainsi, la réception de clé réseau NK_EM reçoit la clé réseau nk via cette session de communication PA/SM_SS. In particular, the NK_MNGT network key recovery management method comprises, prior to receiving the NK_REC network key, an establishment PA_CNX_STB of a connection of the access point PA with a mediation server SM. The connection establishment with the PA_CNX_STB Mediation Server receives a stb_rq connection establishment request from the PA access point. The stb_rq connection establishment request includes an identifier of the access point PA id: stb_rq (PA_id). The establishment PA_CNX_STB of a connection of the access point PA with a mediation server SM triggers PA_cnx_trg an establishment of a communication session between the access point and the PA / SM_SS mediation server capable of allowing a transmission of network key nk of the access point PA to the mediation server SM. Thus, the reception of network key NK_EM receives the network key nk via this communication session PA / SM_SS.
En particulier, le procédé de gestion de récupération de clé réseau NK_MNGT comporte une recherche ASS_DT du terminal T-i dont l’identifiant T-iJd a été préalablement associé à un identifiant PA id du point d’accès PA dont la clé réseau nk a été reçue par le procédé de gestion de récupération de clé réseau NK_MNGT. Notamment, la rechercche ASS_DT est effectuée à partir d’un identifiant du point d’accès PA id reçu avec la clé réseau nk : (nk, PA id). La recherche ASS_DT comporte notamment une lecture de l’identifiant de terminal T-iJd enregistré dans une mémoire d’un serveur S_MEM, SM_MEM en association avec un identifiant du point d’accès PA id ayant fourni la clé réseau nk. In particular, the network key recovery management method NK_MNGT comprises a search ASS_DT of the terminal Ti whose identifier T-iJd has been previously associated with an identifier PA id of the access point PA whose network key nk has been received by the NK_MNGT network key recovery management method. In particular, the ASS_DT search is performed using an identifier of the access point PA id received with the network key nk: (nk, PA id). The ASS_DT search includes in particular a reading of the terminal identifier T-iJd stored in a memory of a server S_MEM, SM_MEM in association with an identifier of the access point PA id which provided the network key nk.
Dans une première variante de réalisation du procédé de gestion de récupération de clé réseau NK MNGT, le procédé de gestion de récupération de clé réseau NK MNGT comporte, préalablement à la transmission de clé réseau NK_TR, EM, un établissement T_CNX_STB d’une connexion du terminal T-, déterminé par la recherche ASS_DT avec le serveur de médiation SM. L’établissement T_CNX_STB d’une connexion du serveur de médiation SM avec le terminal déterminé T-i déclenche T_cnx_trg un établissement d’une session de communication entre le serveur de médiation et le terminal déterminé T-i : T/SM_SS apte à permettre la transmission NK_TR, EM de clé réseau nk du serveur de médiation SM au terminal déterminé T-,. Ainsi, la transmission de clé réseau NK_TR, EM émet la clé réseau nk via cette session de communication T/SM_SS. In a first variant embodiment of the NK MNGT network key recovery management method, the NK MNGT network key recovery management method comprises, prior to the transmission of the network key NK_TR, EM, a T_CNX_STB establishment of a connection of the terminal T-, determined by the ASS_DT search with the mediation server SM. The establishment T_CNX_STB of a connection of the mediation server SM with the determined terminal Ti triggers T_cnx_trg an establishment of a communication session between the mediation server and the determined terminal Ti: T / SM_SS able to allow the transmission NK_TR, EM of network key nk of the mediation server SM to the determined terminal T- ,. Thus, the transmission of network key NK_TR, EM emits the network key nk via this communication session T / SM_SS.
Dans une deuxième variante de réalisation du procédé de gestion de récupération de clé réseau NK MNGT, le procédé de gestion de récupération de clé réseau NK MNGT comporte, préalablement à la transmission de clé réseau NK_TR, EM, un établissement T_CNX_STB d’une connexion d’un terminal T2 avec un serveur de médiation SM. L’établissement de connexion avec le serveur de médiation T_CNX_STB reçoit une requête d’établissement de connexion stb_rq d’un terminal T2, aussi appelé deuxième terminal. La requête d’établissement de connexion stb_rq comporte notamment un identifiant du deuxième terminal T^/cf: stb_rq(T2_id). L’établissement T_CNX_STB d’une connexion du deuxième terminal T2 avec un serveur de médiation SM déclenche T_cnx_trg un établissement d’une session de communication entre le deuxième terminal T2 et le serveur de médiation T/SM_SS apte à permettre une transmission de clé réseau nk du serveur de médiation SM au terminal T2. Ainsi, la transmission de clé réseau NK_TR, EM émet, le cas échéant, la clé réseau nk via cette session de communication T/SM_SS. In a second variant embodiment of the NK MNGT network key recovery management method, the NK MNGT network key recovery management method comprises, prior to the transmission of the NK_TR, EM network key, a T_CNX_STB establishment of a connection d 'a terminal T 2 with a mediation server SM. The connection establishment with the mediation server T_CNX_STB receives a connection establishment request stb_rq from a terminal T 2 , also called a second terminal. The stb_rq connection establishment request comprises in particular an identifier of the second terminal T ^ / cf: stb_rq (T2_id). The establishment T_CNX_STB of a connection of the second terminal T 2 with a mediation server SM triggers T_cnx_trg an establishment of a communication session between the second terminal T 2 and the mediation server T / SM_SS capable of allowing key transmission network nk from the mediation server SM to the terminal T 2 . Thus, the transmission of the network key NK_TR, EM transmits, where appropriate, the network key nk via this communication session T / SM_SS.
En particulier, dans cette deuxième variante de réalisation du procédé de gestion de récupération de clé réseau NK MNGT, le procédé de gestion de récupération de clé réseau NK MNGT comporte, préalablement à la transmission de clé réseau NK_TR, EM, une vérification ASS_VFY si le deuxième terminal T2 correspond au terminal, aussi appelé premier terminal, T! dont l’identifiant T-iJd a été préalablement associé avec un identifiant PAJd du point d’accès PA duquel la réception NK REC a reçu la clé réseau nk. In particular, in this second variant embodiment of the NK MNGT network key recovery management method, the NK MNGT network key recovery management method comprises, prior to the transmission of the NK_TR, EM network key, an ASS_VFY check if the second terminal T 2 corresponds to the terminal, also called the first terminal, T ! whose identifier T-iJd has been previously associated with an identifier PAJd of the access point PA from which the reception NK REC has received the network key nk.
Par exemple, la vérification ASS_VFY comporte la recherche ASS_DT du premier terminal T-i dont l’identifiant T-i_id a été préalablement associé à un identifiant PA id du point d’accès PA dont la clé réseau nk a été reçue par le procédé de gestion de récupération de clé réseau NK_MNGT. Notamment, la recherche ASS_DT est effectuée à partir d’un identifiant du point d’accès PA id reçu avec la clé réseau nk : (nk, PA id). La recherche ASS_DT comporte notamment une lecture de l’identifiant de terminal T-iJd enregistré dans une mémoire d’un serveur S_MEM, SM_MEM en association avec un identifiant du point d’accès PA id ayant fourni la clé réseau nk. For example, the ASS_VFY check includes the ASS_DT search for the first terminal Ti whose identifier T-i_id has been previously associated with an identifier PA id of the access point PA whose network key nk has been received by the management method of NK_MNGT network key recovery. In particular, the ASS_DT search is performed on the basis of an identifier of the access point PA id received with the network key nk: (nk, PA id). The ASS_DT search includes in particular a reading of the terminal identifier T-iJd stored in a memory of a server S_MEM, SM_MEM in association with an identifier of the access point PA id which provided the network key nk.
Suite à la recherche ASS_DT, la vérification ASS_VFY comporte une comparaison T2 = T-i ? de l’identifiant du premier terminal T-i_id déterminé par la recherche ASS_DT avec un identifiant du deuxième terminal T^/cf avec lequel une session de communication T/SM_SS a été établie. Si les deux identifiants T-i_id, T^/cf ne correspondent pas au même terminal [N]: T2 ¹ T-,, alors le procédé de gestion de récupération de clé réseau NK_MNGT est arrêté et, éventuellement, déclenche cl la clôture de la session T/SM_SS avec le deuxième terminal T2 sans transmission de clé réseau. Si les deux identifiants T-iJd, T^id correspondent au même terminal [Y]: T2 = T-i, alors le procédé de gestion de récupération de clé réseau NK_MNGT comporte la transmission de la clé réseau NK TR, EM. Following the ASS_DT search, the ASS_VFY check includes a comparison T 2 = Ti? the identifier of the first terminal T-i_id determined by the ASS_DT search with an identifier of the second terminal T ^ / cf with which a communication session T / SM_SS has been established. If the two identifiers T-i_id, T ^ / cf do not correspond to the same terminal [N]: T 2 ¹ T- ,, then the network key recovery management process NK_MNGT is stopped and, possibly, triggers the closure of the T / SM_SS session with the second terminal T2 without transmission of a network key. If the two identifiers T-iJd, T ^ id correspond to the same terminal [Y]: T 2 = Ti, then the process of management of network key recovery NK_MNGT comprises the transmission of the network key NK TR, EM.
Quelle que soit la variante de réalisation du procédé de gestion de récupération de clé réseau NK_MNGT, le procédé de gestion de récupération de clé réseau NK_MNGT comporte un minutage TM déclenché ign par l’établissement de la connexion avec le terminal T_CNX_STB. Le minutage TM permet d’autoriser la transmission de la clé réseau au terminal T-i, T2 connecté pendant un temps limité DM. Regardless of the variant embodiment of the NK_MNGT network key recovery management method, the NK_MNGT network key recovery management method comprises a timing TM triggered ign by the establishment of the connection with the terminal T_CNX_STB. The timing TM makes it possible to authorize the transmission of the network key to the terminal Ti, T 2 connected for a limited time D M.
Notamment, le minutage TM comporte un décompte inversé du temps à partir d’une durée maximale DM. Le minutage TM est stoppé A_stp directement ou indirectement par la réception de la clé réseau NK_REC provenant du point d’accès PA. Dans un autre mode de réalisation, le minutage TM comporte un chronométrage MN effectuant un comptage croissant du temps à partir du déclenchement ign du minutage TM. Le chronométrage MN est stoppé A_stp directement ou indirectement par la réception de la clé réseau NK_REC provenant du point d’accès PA. Le chronométrage MN fournit alors un temps A décompté entre l’instant de déclenchement ign, c’est- à-dire l’instant d’établissement d’une connexion entre le serveur de médiation SM et le terminal T-,, T2 et l’instant de réception de la clé réseau provenant du point d’accès PA. Le minutage TM comporte alors une comparaison du temps chronométré A avec la durée maximale DM :D< DM?In particular, the timing TM comprises an inverted countdown of the time from a maximum duration D M. The TM timing is stopped A_stp directly or indirectly by the reception of the network key NK_REC from the access point PA. In another embodiment, timing TM includes timing MN counting time upward from the trigger ign of timing TM. The MN timing is stopped A_stp directly or indirectly by the reception of the network key NK_REC coming from the access point PA. The timing MN then provides a time A counted down between the triggering instant ign, that is to say the instant of establishment of a connection between the mediation server SM and the terminal T- ,, T 2 and the instant of reception of the network key from the access point PA. The timing TM then comprises a comparison of the measured time A with the maximum duration D M: D <D M ?
Dans le cas où le minutage MN est arrêté (en décompte inversé ou non) directement par la réception de la clé réseau NK_REC, c’est la réception NK_REC qui envoie au minutage (sans étape intermédiaire) la commande A_stp. Dans le cas où le minutage MN est arrêté (en décompte inversé ou non) indirectement par la réception de la clé réseau NK_REC, c’est la vérification ASS_VFY effectuée suite à la réception de clé réseau NK_REC qui envoie au minutage (sans étape intermédiaire) la commande A_stp, notamment à condition que la vérification ASS_VFY autorise la transmission [Y] (cela réduit les coûts de calculs). In the case where the MN timing is stopped (in reverse count or not) directly by the reception of the network key NK_REC, it is the reception NK_REC that sends the timing (without intermediate step) the A_stp command. In the case where the MN timing is stopped (in reverse count or not) indirectly by the reception of the network key NK_REC, it is the ASS_VFY verification carried out following the reception of the network key NK_REC which sends to the timing (without intermediate step) the A_stp command, in particular on condition that the ASS_VFY check authorizes the transmission [Y] (this reduces the costs of calculations).
Suivant le mode de réalisation, si le temps minuté restant n’est pas nul (décompte inversé), ou si le temps chronométré A est inférieur ou égale à la durée maximale DM : [Y], alors la transmission de la clé réseau NK_TR, EM est autorisée. Dès que le temps minuté est nul (décompte inversé), ou si le temps chronométré A est supérieur à la durée maximale DM : [N], alors le procédé de gestion de récupération de clé réseau NK_MNGT est arrêté stp sans transmission de la clé réseau au terminal T-i, T2. Depending on the embodiment, if the remaining timed time is not zero (reverse counting), or if the timed time A is less than or equal to the maximum duration D M: [Y], then the transmission of the network key NK_TR , EM is allowed. As soon as the timed time is zero (reverse countdown), or if the timed time A is greater than the maximum duration D M: [N], then the network key recovery management process NK_MNGT is stopped without transmission of the key network at terminal Ti, T 2 .
Dans un mode de réalisation du procédé de gestion de récupération de clé réseau NK_MNGT comportant à la fois la vérification ASS_VFY de l’identifiant du terminal et le minutage TM, il suffit qu’au moins une des deux étapes parmi la vérification ASS_VFY et le minutage TM commande l’arrêt stp sans transmission de la clé réseau pour que le procédé de gestion de récupération de clé réseau NK_MNGT soit arrêté stp sans transmission de la clé réseau. In one embodiment of the NK_MNGT network key recovery management method comprising both the ASS_VFY verification of the terminal identifier and the TM timing, it is sufficient that at least one of the two steps among the ASS_VFY verification and the timing TM commands stp stop without transmission of the network key so that the NK_MNGT network key recovery management process is stopped stp without transmission of the network key.
En particulier, le minutage MN reçoit la clé réseau nk de la réception NK_REC et la fournit, si la durée maximale DM n’est pas dépassée : In particular, the timing MN receives the network key nk from the reception NK_REC and provides it, if the maximum duration D M is not exceeded:
- soit à la vérification ASS_VFY qui fournit à son tour la clé réseau nk à la transmission NK_TR à condition que le deuxième terminal (c’est-à-dire le terminal T2 auquel le serveur de médiation SM est connecté) corresponde au premier terminal (c’est-à-dire le terminal T1 dont l’identifiant T-iJd a été associé à l’identifiant PA id du point d’accès duquel le serveur de médiation SM a reçu la clé réseau nk), - either to the ASS_VFY verification which in turn supplies the network key nk to the transmission NK_TR on condition that the second terminal (that is to say the terminal T2 to which the mediation server SM is connected) corresponds to the first terminal (that is to say the terminal T1 whose identifier T-iJd has been associated with the identifier PA id of the access point from which the mediation server SM has received the network key nk),
- soit à la transmission NK_TR. - or to the NK_TR transmission.
En particulier, le minutage MN reçoit ou récupère: In particular, MN timing receives or retrieves:
- un identifiant du point d’accès PA id du point d’accès duquel le serveur de médiation SM a reçu la clé réseau nk, notamment lors de l’arrêt du minutage A_stp déclenché par la réception de clé réseau NK REC, et/ou - an identifier of the access point PA id of the access point from which the mediation server SM received the network key nk, in particular when stopping the A_stp timing triggered by the reception of the NK REC network key, and / or
- un identifiant du deuxième terminal T2_id, c’est-à-dire le terminal 12 auquel le serveur de médiation SM est connecté, notamment de l’établissement de connexion avec le deuxième terminal T_CNX_STB lors du déclenchement ign du minutage par l’établissement de connexion avec le deuxième terminal T CNX STB, an identifier of the second terminal T2_id, that is to say the terminal 12 to which the mediation server SM is connected, in particular of the establishment of a connection with the second terminal T_CNX_STB when the timing ign is triggered by the establishment of connection with the second T CNX STB terminal,
et le ou les fournit à la vérification ASS_VFY. and the one or more supplies to the ASS_VFY verification.
En particulier, la vérification ASS_VFY reçoit ou récupère: In particular, the ASS_VFY check receives or recovers:
- un identifiant du point d’accès PA id du point d’accès duquel le serveur de médiation SM a reçu la clé réseau nk, notamment directement de la réception de clé réseau NK_REC ou de l’établissement de connexion avec le point d’accès PA_CNX_STB ou indirectement du minutage MN (par exemple, seulement lorsque celui-ci autorise la transmission de la clé réseau pour réduire les coûts de calculs), et/ou an identifier of the access point PA id of the access point from which the mediation server SM received the network key nk, in particular directly from the reception of the network key NK_REC or from the establishment of a connection with the access point PA_CNX_STB or indirectly from MN timing (for example, only when this allows the transmission of the network key to reduce calculation costs), and / or
- un identifiant du deuxième terminal T2_id, c’est-à-dire le terminal T2 auquel le serveur de médiation SM est connecté, notamment directement de l’établissement de connexion avec le deuxième terminal T_CNX_STB lors du déclenchement ign du minutage par l’établissement de connexion avec le deuxième terminal T_CNX_STB ou indirectement du minutage MN (par exemple, seulement lorsque celui-ci autorise la transmission de la clé réseau pour réduire les coûts de calculs), - an identifier of the second terminal T2_id, that is to say the terminal T2 to which the mediation server SM is connected, in particular directly from the establishment of connection with the second terminal T_CNX_STB when the establishment ignites the timing connection with the second terminal T_CNX_STB or indirectly with MN timing (for example, only when this authorizes transmission of the network key to reduce calculation costs),
et le ou les fournit à la vérification ASS_VFY. and the one or more supplies to the ASS_VFY verification.
La figure 5 illustre un schéma simplifié d’un procédé d’association d’un serveur de médiation à un terminal T_ASS lors de l’initialisation d’un procédé de récupération de clé réseau NKAPPJNIT selon l’invention. FIG. 5 illustrates a simplified diagram of a method for associating a mediation server with a T_ASS terminal during the initialization of a method for retrieving an NKAPPJNIT network key according to the invention.
L’association du terminal T au serveur de médiation T_ASS comporte notamment une réception d’une demande d’association ass rq du terminal T au serveur de médiation SM. The association of the terminal T with the mediation server T_ASS comprises in particular a receipt of an association request ass rq from the terminal T to the mediation server SM.
En particulier, la clé publique ckpb a été générée lors génération d’une paire de clés asymétriques (ckpv, ckpb) par le terminal T. La clé publique reçue ckpb est éventuellement reçue associé à un identifiant du terminal T_id lors de sa réception CK_REC par le serveur de médiation SM, tel que l’identifiant du terminal T_id préalablement associée à un identifiant d’un point d’accès PA id.In particular, the public key ck pb was generated during generation of a pair of asymmetric keys (ck pv , ck pb ) by the terminal T. The public key received ck pb is possibly received associated with an identifier of the terminal T_id during its reception CK_REC by the mediation server SM, such as the identifier of the terminal T_id previously associated with an identifier of an access point PA id.
En particulier, l’association au terminal T_ASS comporte une émission d’un code d’activation de l’association AUTH_RQ à destination du terminal T via un deuxième réseau N2. Notamment le code d’activation act cd est émis par le serveur de médiation SM à destination du terminal T ayant émis la clé publique ckpb reçue. Il permet au serveur de médiation SM de déclencher une validation de l’authentification de l’émetteur de la demande d’association au moyen du code d’activation. Eventuellement, l’émission du code d’activation AUTH_RQ émet un message d’authentification auth mssg comportant le code d’activation act cd : auth_mssg(act_cd). In particular, the association with the terminal T_ASS comprises sending an activation code for the association AUTH_RQ to the terminal T via a second network N2. In particular, the act cd activation code is sent by the mediation server SM to the terminal T having sent the public key ck pb received. It allows the SM mediation server to trigger a validation the authentication of the issuer of the association request by means of the activation code. Optionally, the transmission of the activation code AUTH_RQ sends an authentication message auth mssg comprising the activation code act cd: auth_mssg (act_cd).
En particulier, suite à l’émission d’un code d’activation AUTH_RQ, l’association au terminal T_ASS comporte une réception du code d’activation VD_REC du terminal T par le serveur de médiation SM via le premier réseau N1. In particular, following the issuance of an activation code AUTH_RQ, the association with the terminal T_ASS includes receipt of the activation code VD_REC from the terminal T by the mediation server SM via the first network N1.
En particulier, l’association au terminal T_ASS comporte une authentification du terminal émetteur de la demande d’association T_AUTH comportant l’émission du code d’activation AUTH_RQ par le serveur de médiation SM via un deuxième réseau N2 suivi de la réception du code d’activation VD_REC par le serveur de médiation SM via le premier réseau N1. In particular, the association with the terminal T_ASS includes authentication of the terminal sending the association request T_AUTH comprising the transmission of the activation code AUTH_RQ by the mediation server SM via a second network N2 followed by the reception of the code d 'VD_REC activation by the mediation server SM via the first network N1.
En particulier, le procédé d’association au terminal T_ASS comporte une comparaison du code d’activation émis act cd lors de l’émission AUTH_RQ et du code d’activation reçu act cd’ lors de la réception du code d’activation VD_REC : act_cd’=act_cd ?. Si les deux codes d’activations sont identiques [Y], le terminal T est authentifié et, le cas échéant, la clé publique ckpb reçue est stockée par le serveur de médiation SM dans une mémoire ou base de données SM_MEM. Si les deux codes d’activations sont identiques [Y], le terminal T n’est pas authentifié et, le cas échéant, la clé publique ckpb reçue n’est pas conservée par le serveur de médiation. In particular, the method of association with the terminal T_ASS comprises a comparison of the activation code transmitted act cd during the transmission AUTH_RQ and the activation code received act cd 'during the reception of the activation code VD_REC: act_cd '= act_cd?. If the two activation codes are identical [Y], the terminal T is authenticated and, where appropriate, the public key ck pb received is stored by the mediation server SM in a memory or database SM_MEM. If the two activation codes are identical [Y], the terminal T is not authenticated and, if applicable, the public key ck pb received is not kept by the mediation server.
En particulier, si le terminal T est authentifié [Y], le procédé d’association T_ASS comporte un déclenchement du passage du procédé de récupération de clé réseau en opérationnel NK_APP_TRG par l’émission d’un message de déclenchement ok à destination du terminal T. In particular, if the terminal T is authenticated [Y], the association method T_ASS comprises a triggering of the passage of the network key recovery method in operational NK_APP_TRG by sending an ok trigger message to the terminal T .
Un mode de réalisation d’au moins un des procédés illustrés par les figures 1 à 5 est un programme comprenant des instructions de code de programme pour l’exécution des étapes d’au moins un des procédés suivants : An embodiment of at least one of the methods illustrated by Figures 1 to 5 is a program comprising program code instructions for performing the steps of at least one of the following methods:
- du procédé de récupération de clé réseau NK RVY, - the NK RVY network key recovery process,
- du procédé d’envoi de clé réseau NK SND, - the method for sending the NK SND network key,
- du procédé de gestion de récupération de clé réseau NK_MNGT - the NK_MNGT network key recovery management method
lorsque ledit programme est exécuté par un processeur. when said program is executed by a processor.
La figure 6 illustre un diagramme simplifié d’échanges lors de la mise en oeuvre des procédés d’envoi de clé réseau, de gestion de récupération de clé réseau et de récupération de clé réseau selon l’invention. FIG. 6 illustrates a simplified diagram of the exchanges during the implementation of the methods of sending network key, managing network key recovery and recovering network key according to the invention.
Dans une phase préalable PhO (non illustrée par la figure 6), les identifiants d’un terminal T_id et d’un point d’accès PA id sont associées T/P_ASS au sein d’un serveur, tel qu’un serveur d’un tiers de confiance ou le serveur de médiation selon l’invention (cf. figure 4). In a preliminary phase PhO (not illustrated by FIG. 6), the identifiers of a terminal T_id and of an access point PA id are associated T / P_ASS within a server, such as a server of a trusted third party or the mediation server according to the invention (cf. FIG. 4).
Dans une phase d’initialisation Phi, le terminal T met en oeuvre une association à un serveur de médiation SM_ASS notamment en exécutant un procédé d’initialisation NKAPPJNIT d’un procédé de récupération de clé réseau et le serveur de médiation met en oeuvre une association à un terminal T_ASS notamment en exécutant un procédé d’initialisation NKMNGTJNIT d’un procédé de gestion de récupération de clé réseau. L’association au serveur de médiation SM_ASS émet notamment une demande d’association ass rq du terminal T au serveur de médiation SM. In an initialization phase Phi, the terminal T implements an association with a mediation server SM_ASS in particular by executing a method of initialization NKAPPJNIT of a method for retrieving a network key and the mediation server implements an association to a T_ASS terminal in particular by executing a method for initializing NKMNGTJNIT of a method for managing network key recovery. The association with the mediation server SM_ASS notably sends an association request ass rq from the terminal T to the mediation server SM.
En particulier, l’association au serveur de médiation SM_ASS génère une paire de clés asymétriques (ckpv, ckpb). La clé privée ckpv esl enregistrée dans une mémoire du terminal T_MEM et la clé publique ckpb transmise au serveur de médiation SM. La clé publique émise ckpb est éventuellement associé à un identifiant du terminal T_id lors de sa transmission au serveur de médiation, tel que l’identifiant du terminal T_id préalablement associée à un identifiant d’un point d’accès PA id. In particular, the association with the SM_ASS mediation server generates an asymmetric key pair (ck pv , ck pb ). The private key ck pv esl recorded in a memory of the terminal T_MEM and the public key ck pb transmitted to the mediation server SM. The issued public key ck pb is possibly associated with an identifier of the terminal T_id during its transmission to the mediation server, such as the identifier of the terminal T_id previously associated with an identifier of an access point PA id.
Eventuellement, le message de demande d’association ass rq comporte la clé publique ckpb et/ou un identifiant du terminal TJd: ass_rq(ckpb), ass_rq(ckpb T_id), ass_rq(T_id), ... Optionally, the association request message ass rq includes the public key ck pb and / or an identifier of the terminal TJd: ass_rq (ck pb ), ass_rq (ck pb T_id), ass_rq (T_id), ...
L’association au terminal T du serveur de médiation T_ASS comporte notamment une réception de la demande d’association ass rq du terminal T au serveur de médiation SM. Le cas échéant, la clé publique ckpb reçue avec cette demande ass rq est stockée par le serveur de médiation SM dans une mémoire ou base de données SM_MEM. The association with the terminal T of the mediation server T_ASS notably comprises a reception of the association request ass rq from the terminal T to the mediation server SM. Where appropriate, the public key ck pb received with this ass rq request is stored by the mediation server SM in a memory or database SM_MEM.
En particulier, les procédés d’initialisation NKAPP INIT d’un procédé de récupération de clé réseau et d’initialisation NKMNGTJNIT d’un procédé de gestion de récupération de clé réseau mettent en outre en œuvre, respectivement, une validation de l’émetteur de la demande d’association T_VD et une authentification du terminal émetteur de la demande d’association T_AUTH avant d’enregistrer les clés, respectivement, privé ckpv et publique ckpv. In particular, the NKAPP INIT initialization methods of a network key recovery method and NKMNGTJNIT initialization of a network key recovery management method further implement, respectively, a validation of the sender of the association request T_VD and an authentication of the terminal sending the association request T_AUTH before registering the keys, respectively, private ck pv and public ck pv .
En particulier, la validation de l’émetteur T_VD fournit notamment une commande d’autorisation nk_rvy_ok d’exécution du procédé de récupération de clé réseau NK_RVY déclenchant la phase de récupération de clé réseau Phll. In particular, the validation of the T_VD transmitter notably provides an authorization command nk_rvy_ok for executing the NK_RVY network key recovery process triggering the Phll network key recovery phase.
Durant la phase de récupération de clé réseau PHII : During the PHII network key recovery phase:
- le point d’accès PA met en œuvre un procédé d’envoi d’une clé réseau NK_SND, - the access point PA implements a method for sending a network key NK_SND,
- le serveur de médiation met en œuvre un procédé de gestion de récupération de clé réseau NK MNGT, et - the mediation server implements a method for managing the recovery of the NK MNGT network key, and
- le terminal T met en œuvre un procédé de récupération de clé réseau NK_RVY. the terminal T implements a method for recovering the network key NK_RVY.
Le procédé d’envoi NK_SND comporte une émission NK_EM d’une clé réseau du point d’accès PA à destination d’un serveur de médiation SM. The NK_SND sending process includes an NK_EM transmission of a network key from the access point PA to a mediation server SM.
Le procédé de gestion de récupération de clé réseau NK_MNGT comporte une transmission NK_TR de la clé réseau reçu du point d’accès PA par le serveur de médiation SM, la clé réseau nk est transmise à destination du terminal T dont l’identifiant TJd a été associé, durant la phase préalable PhO, à l’identifiant du point d’accès PA ayant fourni la clé réseau nk. The network key recovery management method NK_MNGT comprises a transmission NK_TR of the network key received from the access point PA by the mediation server SM, the network key nk is transmitted to the terminal T whose identifier TJd has been associated, during the preliminary phase Ph0, with the identifier of the access point PA which provided the network key nk.
Le procédé de récupération de clé réseau NK RVY comporte une réception NK CLT, en provenance du serveur de médiation SM auquel le terminal T a été associé durant la phase d’initialisation Phi, d’une clé réseau du point d’accès PA dont l’identifiant PAJd a été associé à son identifiant TJd durant la phase préalable PhO. The method for recovering the network key NK RVY comprises a reception NK CLT, from the mediation server SM with which the terminal T was associated during the initialization phase Phi, of a network key of the access point PA of which l The identifier PAJd was associated with its identifier TJd during the preliminary phase PhO.
Dans un mode de réalisation particulier illustré par la figure 6, le procédé de récupération de clé réseau NK_RVY comporte une reproduction d’un message CPT_RPR notamment déclenchée par une commande de reproduction l.rpr cmd. La commande de reproduction l.rpr cmd est notamment générée lors du démarrage de la récupération NK_RVY_ST (cf. figure 1 ). In a particular embodiment illustrated by FIG. 6, the method for recovering the network key NK_RVY comprises a reproduction of a CPT_RPR message in particular triggered by a reproduction command l.rpr cmd. The l.rpr cmd reproduction command is generated in particular when starting the NK_RVY_ST recovery (see figure 1).
Le message reproduit est destiné directement ou indirectement au point d’accès PA dont l’identifiant PJd a été associé, durant la phase préalable PhO, à l’identifiant du terminal T reproduisant le message. Dans le cas où le message reproduit est destiné indirectement au point d’accès PA, il est notamment lu, écouté, etc. par un utilisateur U du terminal T. Le message dans ce cas est une demande d’action 2.cpt_rq déclenchant une action 3.c de l’utilisateur U relativement au point d’accès PA. Dans le cas où le message reproduit est destiné directement au point d’accès PA, le message 3.c est reproduit CPT_RPT par le terminal T. The reproduced message is intended directly or indirectly for the access point PA whose identifier PJd was associated, during the preliminary phase PhO, with the identifier of the terminal T reproducing the message. In the event that the reproduced message is indirectly intended for the PA access point, it is notably read, listened to, etc. by a user U of the terminal T. The message in this case is a request for action 2.cpt_rq triggering an action 3.c from user U relative to the access point PA. In the case where the reproduced message is intended directly for the access point PA, the message 3.c is reproduced CPT_RPT by the terminal T.
Le procédé d’envoi NK_SND comporte en particulier une capture CPT respectivement de l’action de l’utilisateur U relativement au point d’accès ou du message reproduit par le terminal T : 3. c. La capture CPT déclenche 4.nk_sh_trg directement ou indirectement l’émission NK_EM de la clé réseau au serveur de médiation. The NK_SND sending method comprises in particular a CPT capture respectively of the action of the user U relative to the access point or of the message reproduced by the terminal T: 3. c. CPT capture triggers 4.nk_sh_trg directly or indirectly the NK_EM issuance of the network key to the Mediation Server.
En particulier, le procédé d’envoi comporte une demande d’établissement d’une connexion du point d’accès avec le serveur de médiation SM_CNX_STB. La demande d’établissement d’une connexion du point d’accès avec le serveur de médiation SM_CNX_STB est notamment déclenchée 4.nk_sh_trg par la capture CPT. La demande d’établissement d’une connexion du point d’accès avec le serveur de médiation SM_CNX_STB envoie notamment, au serveur de médiation SM, une requête d’établissement de connexion 5.stb_rq comportant éventuellement un identifiant du point d’accès PA id : 5.stb_rq(PA_id). In particular, the sending method includes a request to establish a connection of the access point with the SM_CNX_STB mediation server. The request to establish a connection between the access point and the SM_CNX_STB mediation server is triggered in particular by 4.nk_sh_trg by the CPT capture. The request to establish a connection between the access point and the mediation server SM_CNX_STB sends in particular, to the mediation server SM, a connection establishment request 5.stb_rq possibly including an identifier of the access point PA id : 5.stb_rq (PA_id).
En particulier, le procédé de gestion de récupération de clé réseau NK_MNGT comporte un établissement d’une connexion du serveur de médiation avec le point d’accès PA_CNX_STB déclenché par la requête d’établissement de connexion 5.stb_rq en provenance du point d’accès PA. L’établissement d’une connexion du serveur de médiation avec le point d’accès PA_CNX_STB déclenche 6. PA cnx trg l’établissement d’une session de communication entre le serveur de médiation et le point d’accès PA/SM_SS. In particular, the NK_MNGT network key recovery management method includes establishing a connection from the mediation server with the access point PA_CNX_STB triggered by the connection establishment request 5.stb_rq from the access point PA. Establishing a connection from the Mediation Server to the PA_CNX_STB access point triggers 6. PA cnx trg to establish a communication session between the Mediation Server and the PA / SM_SS access point.
Ainsi, l’émission NK_EM émet 7’.nk la clé réseau au serveur de médiation SM en utilisant cette session de communication entre le serveur de médiation et le point d’accès PA/SM_SS. Thus, the NK_EM broadcast sends 7'.nk the network key to the SM Mediation Server using this communication session between the Mediation Server and the PA / SM_SS access point.
En particulier, le procédé de gestion de récupération de clé réseau NK_MNGT comporte une réception de clé réseau NK_REC qui reçoit la clé réseau émise 7’.nk par le point d’accès PA via la session de communication PA/SM_SS établie entre le point d’accès PA et le serveur de médiation SM. In particular, the network key recovery management method NK_MNGT comprises a reception of the network key NK_REC which receives the network key sent 7'.nk by the access point PA via the communication session PA / SM_SS established between the point d access PA and the SM mediation server.
En particulier, la réception de clé réseau NK_REC fournit la clé réseau reçue 8.nk à la transmission de clé réseau NK TR. In particular, the reception of network key NK_REC supplies the received network key 8.nk to the transmission of network key NK TR.
En particulier, le procédé de récupération de clé réseau NK_RVY comporte une émission NKRQ EM d’une demande de clé réseau. L’émission de demande de clé réseau NKRQ EM est déclenchée 4’.cnx_cmd par la reproduction CPT RPR. La demande de clé réseau NKRQ EM envoie notamment, au serveur de médiation SM, une requête de clé réseau 5’.nk_rq comportant éventuellement un identifiant du terminal T_id : 5’.nk_rq(T_id). Cette demande de clé réseau NKRQ_EM est effectuée notamment en parallèle de la demande d’établissement d’une connexion du point d’accès avec le serveur de médiation SM_CNX_STB du procédé d’envoi NK SND. In particular, the method for recovering the network key NK_RVY comprises an NKRQ EM transmission of a request for a network key. The NKRQ EM network key request issuance is initiated 4'.cnx_cmd by the CPT RPR reproduction. The network key request NKRQ EM sends in particular, to the mediation server SM, a network key request 5'.nk_rq possibly comprising an identifier of the terminal T_id: 5'.nk_rq (T_id). This request for a network key NKRQ_EM is made in particular in parallel with the request for establishing a connection between the access point and the mediation server SM_CNX_STB of the NK SND sending method.
En particulier, le procédé de gestion de récupération de clé réseau NK_MNGT comporte un établissement d’une connexion du serveur de médiation avec le terminal T_CNX_STB déclenché par la requête de clé réseau 5’.nk_rq en provenance du terminal T. L’établissement d’une connexion du serveur de médiation avec le terminal T_CNX_STB déclenche 6’. T_cnx_trg l’établissement d’une session de communication entre le serveur de médiation et le terminal T/SM_SS. In particular, the NK_MNGT network key recovery management method comprises establishing a connection from the mediation server to the T_CNX_STB terminal triggered by the network key request 5′.nk_rq coming from the terminal T. The establishment of a a connection from the mediation server to the T_CNX_STB terminal triggers 6 '. T_cnx_trg the establishment of a communication session between the Mediation Server and the T / SM_SS terminal.
En particulier, le procédé de gestion NK_MNGT met en oeuvre les étapes d’établissement de la connexion du serveur de médiation avec le terminal T_CNX_STB et d’établissement d’une connexion du serveur de médiation avec le point d’accès PA_CNX_STB en parallèle. In particular, the NK_MNGT management method implements the steps of establishing the connection of the mediation server with the T_CNX_STB terminal and of establishing a connection of the mediation server with the access point PA_CNX_STB in parallel.
En particulier, le procédé de gestion NK_MNGT met en oeuvre les étapes d’établissement de la connexion du serveur de médiation avec le terminal T_CNX_STB et d’établissement d’une connexion du serveur de médiation avec le point d’accès PA_CNX_STB simultanément. In particular, the NK_MNGT management method implements the steps of establishing the connection of the mediation server with the terminal T_CNX_STB and of establishing a connection of the mediation server with the access point PA_CNX_STB simultaneously.
En particulier, dans un mode de réalisation dans lequel le serveur de médiation ne reçoit pas de requête de clé réseau 5’.nk_rq d’un terminal T, le procédé de gestion de récupération de clé réseau comporte une recherche ASS_DT(cf. figure 4) qui permet de rechercher l’identifiant du terminal T_id associé à l’identifiant du point d’accès ayant fourni la clé réseau 7’.nk. La recherche ASS_DT déclenche alors l’établissement d’une connexion T_CNX_STB avec le terminal identifié par la recherche T. In particular, in one embodiment in which the mediation server does not receive a network key request 5'.nk_rq from a terminal T, the network key recovery management method includes an ASS_DT search (see FIG. 4 ) which makes it possible to search for the identifier of the terminal T_id associated with the identifier of the access point which provided the network key 7'.nk. The ASS_DT search then triggers the establishment of a T_CNX_STB connection with the terminal identified by the T search.
En particulier, la transmission de la clé réseau NK_TR est déclenchée directement ou indirectement par l’établissement de la connexion du serveur de médiation avec le terminal T CNX STB. In particular, the transmission of the network key NK_TR is triggered directly or indirectly by the establishment of the connection of the mediation server with the T CNX STB terminal.
En particulier, le procédé de gestion de récupération de clé réseau comporte un minutage TM. Notamment, l’établissement de la connexion du serveur de médiation avec le terminal T_CNX_STB déclenche 8’.tm_trg un minutage TM. Le minutage TM est arrêté 8”.tm_stp par la réception NK_REC d’une clé réseau nk provenant du point d’accès PA. Dans le cas où la transmission de la clé réseau NK_TR est déclenchée indirectement par l’établissement de connexion avec le terminal T_CNX_STB, c’est le minutage TM qui déclenche la transmission de la clé réseau NK TR. In particular, the network key recovery management method includes TM timing. In particular, establishing the Mediation Server connection with the T_CNX_STB terminal triggers 8'.tm_trg a TM timer. TM timing is stopped 8 ”.tm_stp by NK_REC receipt of a nk network key from the PA access point. In the event that the transmission of the NK_TR network key is triggered indirectly by the establishment of a connection with the T_CNX_STB terminal, it is the TM timing that triggers the transmission of the NK TR network key.
En particulier, le procédé de gestion de récupération de clé réseau comporte une vérification ASS_VFY (cf. figure 4) qui permet de vérifier si le terminal T demandeur de la clé réseau est le terminal dont l’identifiant a été préalablement associé à un identifiant du point d’accès PA dont la clé réseau est demandée. La vérification ASS_VFY autorise la transmission de la clé réseau NK_TR si la vérification est positive [Y]. In particular, the network key recovery management method includes an ASS_VFY check (see FIG. 4) which makes it possible to check whether the terminal T requesting the network key is the terminal whose identifier has been previously associated with an identifier of the network key. AP access point whose network key is requested. The ASS_VFY verification authorizes the transmission of the NK_TR network key if the verification is positive [Y].
Notamment, la transmission de la clé réseau NK_TR comporte un cryptage CRPT et/ou une intégration de la clé réseau dans un message ou paquet de données MSSG_GN (cf. figure 4). Ainsi, la transmission de clé réseau NK_TR émet soit la clé réseau cryptée nk* ou non nk, soit un message cryptée ou non comportant la clé réseau cryptée mssg*(nk) ou non mssg(n*), mssg(nk), etc. : 11. nk, nk*, mssg(nk), mssg(nk*), mssg*(nk) via la session de communication T/SM_SS établie entre le terminal T et le serveur de communication à destination du terminal T. In particular, the transmission of the network key NK_TR includes CRPT encryption and / or an integration of the network key in a message or data packet MSSG_GN (cf. FIG. 4). Thus, the transmission of the network key NK_TR sends either the encrypted network key nk * or not nk, or an encrypted or unencrypted message comprising the encrypted network key mssg * (nk) or not mssg (n * ), mssg (nk), etc. : 11. nk, nk * , mssg (nk), mssg (nk * ), mssg * (nk) via the communication session T / SM_SS established between the terminal T and the communication server intended for the terminal T.
En particulier, le cryptage est effectué en utilisant la clé publique ckpb stockée durant la phase d’initialisation Phi. In particular, the encryption is carried out using the public key ck pb stored during the initialization phase Phi.
En particulier, la collecte de clé réseau NK_CLT comporte un décryptage DCRPT et/ou une extraction MSSG_XTR de la clé réseau d’un message ou paquet de données comportant la clé réseau reçu du serveur de médiation SM (cf. figure 4). Notamment, le décryptage est effectué en utilisant la clé privée ckpv stockée durant la phase d’initialisation Phi. In particular, the collection of the network key NK_CLT comprises a DCRPT decryption and / or an MSSG_XTR extraction of the network key of a message or data packet comprising the network key received from the mediation server SM (cf. FIG. 4). In particular, the decryption is carried out using the private key ck pv stored during the initialization phase Phi.
La collecte NK_CLT fournit notamment la clé réseau reçue 13. nk, éventuellement décryptée et/ou extraite à un procédé d’association du terminal à un point d’accès PA_CNX qui sera mis en œuvre dans une phase ultérieure Phlll. The NK_CLT collection provides in particular the received network key 13. nk, possibly decrypted and / or extracted in a method for associating the terminal with an access point PA_CNX which will be implemented in a later phase Phlll.
La figure 7 illustre un schéma simplifié d’une architecture de communication mettant en œuvre l’invention. FIG. 7 illustrates a simplified diagram of a communication architecture implementing the invention.
En particulier, le système mis en œuvre par l’invention se compose : In particular, the system implemented by the invention consists of:
- d’un dispositif de récupération de clé réseau implémenté dans un terminal de communication 1 y, notamment un téléphone mobile. Le dispositif de récupération de clé réseau est notamment implémenté sous forme d’une application mobile mise en œuvre par un processeur du terminal de communication 1 y. - a network key recovery device implemented in a communication terminal 1 y, in particular a mobile telephone. The network key recovery device is implemented in particular in the form of a mobile application implemented by a processor of the communication terminal 1 y.
- d’un serveur de médiation 2 placé entre un terminal de communication 1 y et un point d’accès 3, telle qu’une box (ex : LiveBox, marque déposée) ou un modem. Le serveur de médiation met en œuvre un échange entre le point d’accès 3 et le terminal 1 y d’une clé réseau du point d’accès 3, notamment de manière cryptée. En outre, le serveur de médiation authentifie notamment les deux acteurs du système selon l’invention, à savoir le terminal de communication 1 y et le point d’accès 3. Le serveur de médiation 2 constitue donc un pivot entre le point d’accès 3 et le terminal de communication 1 y. - a mediation server 2 placed between a communication terminal 1 y and an access point 3, such as a box (eg LiveBox, registered trademark) or a modem. The mediation server implements an exchange between the access point 3 and the terminal 1 y of a network key of the access point 3, in particular in an encrypted manner. In addition, the mediation server authenticates in particular the two actors of the system according to the invention, namely the communication terminal 1 y and the access point 3. The mediation server 2 therefore constitutes a pivot between the access point 3 and the communication terminal 1 y.
- d’un dispositif actionnable déclencheur de la transmission de la clé réseau à destination du terminal de communication 1 y, le dispositif actionnable étant implémenté dans le point d’accès 3. Notamment, le dispositif actionnable est le bouton WPS du point d’accès 3, alors la seule action par l’utilisateur U du terminal 1 y est l’appui sur le bouton WPS du point d’accès 3. - an actuatable device triggering the transmission of the network key to the communication terminal 1 y, the actuatable device being implemented in the access point 3. In particular, the actuatable device is the WPS button on the access point 3, then the only action by user U of terminal 1 y is to press the WPS button on access point 3.
En particulier, le point d’accès 3 est connecté au serveur de médiation 2 via un réseau de communication N1 , notamment un réseau Internet. Par exemple, pour ses échanges avec le point d’accès 3, le serveur de médiation 2 est connecté L2,N1 au réseau N1 par une liaison TCP (pour « Transmission Control Protocol » en anglais ou protocole de transport fiable en français). Eventuellement, le point d’accès 3 est connecté au réseau N1 au moyen d’une liaison TCP et/ou d’une liaison spécialisée telle que https ou IPsec. In particular, the access point 3 is connected to the mediation server 2 via a communication network N1, in particular an Internet network. For example, for its exchanges with access point 3, mediation server 2 is connected L2, N1 to network N1 by a TCP link (for "Transmission Control Protocol" in English or reliable transport protocol in French). Optionally, access point 3 is connected to network N1 by means of a TCP link and / or a dedicated link such as https or IPsec.
En particulier, le terminal de communication 1 y est connecté au serveur de médiation 2 via un réseau de communication N1 , notamment un réseau Internet. Par exemple, pour ses échanges avec le terminal de communication 1 y, le serveur de médiation 2 est connecté LN1 ,2 au réseau N1 par une liaison TCP. Eventuellement, le terminal de communication 1 y est connecté au réseau N1 au moyen d’une liaison mobile data tel que 4G, 5G etc. Les figures 8a, 8b et 8c illustrent des schémas simplifiés d’une architecture de communication comportant un terminal, un serveur de médiation et un point d’accès selon l’invention, détaillant les dispositifs mis en oeuvre respectivement lors de l’association préalablement d’un identifiant du point d’accès avec un identifiant du terminal, lors de l’initialisation du récupérateur de clé réseau du terminal, et lors de la mise en oeuvre du récupérateur de clé réseau du terminal. In particular, the communication terminal 1 is connected there to the mediation server 2 via a communication network N1, in particular an Internet network. For example, for its exchanges with the communication terminal 1 y, the mediation server 2 is connected LN1, 2 to the network N1 by a TCP link. Optionally, the communication terminal 1 is connected there to the network N1 by means of a mobile data link such as 4G, 5G etc. FIGS. 8a, 8b and 8c illustrate simplified diagrams of a communication architecture comprising a terminal, a mediation server and an access point according to the invention, detailing the devices implemented respectively during the association previously d an identifier of the access point with an identifier of the terminal, during the initialization of the network key recuperator of the terminal, and during the implementation of the network key recuperator of the terminal.
La figure 8a correspond à une architecture mettant en œuvre l’association préalable notamment telle qu’illustrée par la figure 4. Figure 8a corresponds to an architecture implementing the prior association, in particular as illustrated by Figure 4.
L’architecture mettant en œuvre l’association préalable comporte : The architecture implementing the prior association includes:
- un terminal de communication 1 y, 1 TC respectivement d’un utilisateur U ou d’un tiers de confiance TC (notamment du fournisseur d’un point d’accès 3), - a communication terminal 1 y, 1 TC respectively of a user U or of a trusted third party TC (in particular of the supplier of an access point 3),
- un serveur respectivement un serveur tiers de confiance 4 ou un serveur de médiation 2 de l’architecture mettant en œuvre la récupération de clé réseau selon l’invention. a server respectively a trusted third party server 4 or a mediation server 2 of the architecture implementing the network key recovery according to the invention.
En particulier, le terminal 1 y, 1 TC comporte un émetteur d’identifiants 13 émettant un identifiant 4’. T_id d’un terminal de communication d’un utilisateur 1 y et un identifiant 4”.PA_id d’un point d’accès 3. In particular, the terminal 1 y, 1 TC comprises an identifier transmitter 13 transmitting an identifier 4 ′. T_id of a communication terminal of a user 1 y and an identifier 4 ”.PA_id of an access point 3.
Par exemple, si le terminal 1 TC est le terminal d’un tiers de confiance TC, tel qu’un vendeur de point d’accès, l’identifiant du terminal de communication est un identifiant d’au moins un terminal de communication d’un utilisateur ou d’un groupe d’utilisateur (par exemple d’une famille) achetant un point d’accès auprès du vendeur et l’identifiant du point d’accès est un identifiant du point d’accès vendu. For example, if the terminal 1 TC is the terminal of a trusted third party TC, such as an access point seller, the identifier of the communication terminal is an identifier of at least one communication terminal of a user or a group of users (eg of a family) purchasing an access point from the seller and the access point identifier is an identifier of the access point sold.
Dans un autre exemple d’utilisation, si le terminal est le terminal d’un utilisateur U, l’identifiant du terminal de communication est soit l’identifiant de ce terminal de communication de l’utilisateur 1 y, soit un identifiant d’au moins un terminal de communication de cet utilisateur U ou d’un groupe d’utilisateur (par exemple d’une famille) comportant cet utilisateur U enregistré dans un fichier client sécurisé sur un serveur tiers, par exemple le serveur tiers de confiance 4. Et, l’identifiant du point d’accès est un identifiant d’un point d’accès enregistré dans un fichier client sécurisé associé à cet utilisateur U sur un serveur tiers, par exemple le serveur tiers de confiance 4. In another example of use, if the terminal is the terminal of a user U, the identifier of the communication terminal is either the identifier of this communication terminal of the user 1 y, or an identifier of at at least one communication terminal of this user U or of a user group (for example of a family) comprising this user U recorded in a secure client file on a third party server, for example the trusted third party server 4. And , the identifier of the access point is an identifier of an access point recorded in a secure client file associated with this user U on a third party server, for example the trusted third party server 4.
En particulier, le serveur 2, 4 comporte un récepteur 401 d’identifiants recevant du terminal de communication 1 u, 1 Tc un identifiant 4’. T_id d’un terminal de communication d’un utilisateur 1 y et un identifiant 4”.PA_id d’un point d’accès 3, notamment les identifiants émis par le terminal 1 u, 1 Tc- En particulier, le serveur 2, 4 comporte un coupleur 412 associant les deux identifiants fournis 6’. T_id et 6”.PA_id par le récepteur 401 . Eventuellement, le coupleur 412 stocke les identifiants associés 7.(T_id, PA id) notamment dans une mémoire ou base de données 419 éventuellement implémentée dans le serveur 2, 4. In particular, the server 2, 4 comprises an identifier receiver 401 receiving an identifier 4 'from the communication terminal 1 u, 1 T c. T_id of a communication terminal of a user 1 y and an identifier 4 ”.PA_id of an access point 3, in particular the identifiers sent by the terminal 1 u, 1 T c- In particular, the server 2, 4 comprises a coupler 412 associating the two identifiers provided 6 '. T_id and 6 ”.PA_id by receiver 401. Optionally, the coupler 412 stores the associated identifiers 7. (T_id, PA id) in particular in a memory or database 419 possibly implemented in the server 2, 4.
En particulier, le serveur 2, 4 comporte un vérificateur 410 qui détermine si tous les identifiants nécessaires au coupleur 412 ont été reçus. Si tous les identifiants ont été reçus, le vérificateur 410 déclenche 6”’.ok le coupleur 412. En particulier, le serveur 2, 4 comporte un demandeur d’identifiants 41 1 et/ou un émetteur 420. Si le vérificateur 410 détermine que tous les identifiants n’ont pas été reçus, par exemple lorsque le récepteur 401 n’a reçu que l’identifiant du terminal 5’. T_id, le vérificateur 410 déclenche trg le demandeur d’identifiants 41 1 qui génère une requête O.pp à destination du terminal 1 y, 1 TC. L’émetteur 420 envoie la demande O.pp au terminal 1 y, 1 TC. In particular, the server 2, 4 comprises a verifier 410 which determines whether all the identifiers necessary for the coupler 412 have been received. If all the identifiers have been received, the verifier 410 triggers 6 ”'. Ok the coupler 412. In particular, the server 2, 4 includes a requestor for identifiers 41 1 and / or a transmitter 420. If the verifier 410 determines that all the identifiers have not been received, for example when the receiver 401 has received only the terminal identifier 5 '. T_id, the verifier 410 triggers the requestor of identifiers 41 1 trg which generates an O.pp request to the terminal 1 y, 1 TC . The transmitter 420 sends the O.pp request to the terminal 1 y, 1 TC .
En particulier, le terminal 1 u, 1 TC comporte une interface de reproduction 1 1 . L’interface de reproduction 1 1 permet notamment de reproduire la demande d’identifiants à destination, respectivement, de l’utilisateur U, du tiers de confiance TC. In particular, the terminal 1 u, 1 TC comprises a reproduction interface 1 1. The reproduction interface 1 1 makes it possible in particular to reproduce the request for identifiers to, respectively, the user U, the trusted third party TC.
En particulier, le terminal 1 y, 1 TC comporte une interface de capture et/ou saisie 10. L’interface de capture 1 1 permet à l’utilisateur U, TC d’interagir avec le terminal 1 y, 1 TC pour indiquer et/sélectionner un identifiant de point d’accès PAJd. In particular, the terminal 1 y, 1 TC comprises a capture and / or input interface 10. The capture interface 1 1 allows the user U, TC to interact with the terminal 1 y, 1 TC to indicate and / select a PAJd access point identifier.
Par exemple, le demandeur d’identifiants 41 1 fournit une ou plusieurs listes d’identifiants de terminaux et/ou de points d’accès O.pp qui sont envoyées au terminal 1 y, 1 TC. Notamment la liste d’identifiants de terminaux sont des terminaux associées à l’utilisateur U ou à un groupe (famille) font l’utilisateur U est membre et la liste d’identifiants de point d’accès comporte les points d’accès enregistré dans un fichier client associé à cet utilisateur U ou est constitué par l’identifiant du point d’accès vendu. Ces listes d’identifiants sont reproduites par le terminal 1 y, 1 TC permettant à, respectivement, l’utilisateur U, au tiers de confiance TC de sélectionner 2.slt dans la liste, respectivement, un terminal et un point d’accès. For example, the requestor of identifiers 41 1 supplies one or more lists of identifiers of terminals and / or access points O.pp which are sent to the terminal 1 y, 1 TC . In particular, the list of terminal identifiers are terminals associated with the user U or with a group (family) in which the user U is a member and the list of access point identifiers includes the access points registered in a client file associated with this user U or consists of the identifier of the access point sold. These lists of identifiers are reproduced by the terminal 1 y, 1 TC allowing, respectively, the user U, the trusted third party TC to select 2.slt from the list, respectively, a terminal and an access point.
Par exemple, soit le demandeur d’identifiants fournit dans un premier temps une liste d’identifiants de terminaux parmi lesquelles l’utilisateur U ou le tiers de confiance TC sélectionne sur son terminal 1 y, 1 TC un terminal dont l’émetteur 13 reçoit 3.d l’identifiant qu’il émet 4’. T_id au serveur 2, 4. Le vérificateur 410 détermine qu’il manque l’identifiant de point d’accès et déclenche 6.trg le demandeur 41 1 qui renvoie la liste des points d’accès O.pp. Alors, l’utilisateur U ou le tiers de confiance TC sélectionne sur son terminal 1 y, 1 TC un point d’accès dans la liste dont l’émetteur 13 reçoit 3.d l’identifiant qu’il émet 4”.PA_id au serveur 2, 4. Le vérificateur 410 déclenche alors le coupleur 412 qui associe les identifiants 7.(T_id, PA id). For example, either the requester of identifiers provides initially a list of terminal identifiers from which the user U or the trusted third party TC selects on his terminal 1 y, 1 TC a terminal from which the sender 13 receives 3.d the identifier that it emits 4 '. T_id to the server 2, 4. The verifier 410 determines that the access point identifier is missing and triggers 6.trg the requestor 41 1 which returns the list of access points O.pp. Then, the user U or the trusted third party TC selects on his terminal 1 y, 1 TC an access point from the list from which the sender 13 receives 3.d the identifier that he sends 4 ”.PA_id to the server 2, 4. The verifier 410 then triggers the coupler 412 which associates the identifiers 7. (T_id, PA id).
En particulier, le serveur 2, 4 comporte des moyens d’association comportant le coupleur 412 et au moins un des dispositifs suivants : In particular, the server 2, 4 comprises association means comprising the coupler 412 and at least one of the following devices:
- le vérificateur 410, - the auditor 410,
- la mémoire ou base de données 419, - the memory or database 419,
- le demandeur 41 1 . - the applicant 41 1.
La figure 8b correspond à une architecture mettant en œuvre l’initialisation notamment telle qu’illustrée par au moins une des figures suivantes : figure 2, figure 5, figure 6. Figure 8b corresponds to an architecture implementing the initialization, in particular as illustrated by at least one of the following figures: Figure 2, Figure 5, Figure 6.
L’architecture mettant en œuvre l’initialisation comporte : The architecture implementing the initialization comprises:
- un terminal de communication 1 y d’un utilisateur U, - a communication terminal 1 y of a user U,
- un serveur de médiation 2. En particulier, le terminal 1 y comporte un coupleur 15 du terminal 1 y au serveur de médiation 2 associant préalablement à la récupération de clé réseau le terminal 1 y au serveur de médiation 2, notamment tel qu’illustré par la figure 2 ou la figure 6. - a mediation server 2. In particular, the terminal 1 y comprises a coupler 15 from the terminal 1 y to the mediation server 2 associating beforehand with the network key recovery the terminal 1 y with the mediation server 2, in particular as illustrated by FIG. 2 or FIG. 6.
En particulier, le terminal 1 y comporte un chargeur 120 du procédé de récupération de clé réseau, notamment un chargeur d’application lorsque le dispositif de récupération de clé réseau est implémenté sous la forme d’une application exécutée par un processeur du terminal 1 y, par le terminal 1 à partir notamment d’un serveur d’applications 5. Le procédé de récupération de clé réseau est notamment chargé sous forme d’une application O.nkapp. In particular, the terminal 1 y comprises a loader 120 of the network key recovery method, in particular an application loader when the network key recovery device is implemented in the form of an application executed by a processor of the terminal 1 y , by the terminal 1 from in particular an application server 5. The network key recovery method is loaded in particular in the form of an O.nkapp application.
En particulier, le terminal 1 y comporte un initialiseur de récupération de clé réseau 14, notamment l’initialiseur 14 comporte un processeur mettant en œuvre une initialisation d’un procédé de récupération de clé réseau, par exemple sous forme d’application de récupération de clé réseau ou initialise un récupérateur de clé réseau implémenté dans le terminal 1 y. L’initialiseur 14 est notamment déclenché 1.ini par le chargeur 120 dès que la fin du chargement du procédé de récupération de clé réseau est chargé. In particular, the terminal 1 comprises therein a network key recovery initializer 14, in particular the initializer 14 comprises a processor implementing an initialization of a network key recovery method, for example in the form of a network key recovery application. network key or initializes a network key collector implemented in terminal 1 y. The initializer 14 is in particular triggered 1.ini by the charger 120 as soon as the end of the loading of the network key recovery process is loaded.
L’initialiseur 14 commande notamment le coupleur 15 du terminal au serveur de médiation et éventuellement d’autres dispositifs (non illustrés) telles qu’un initialiseur d’au moins un paramètre du récupérateur de clé réseau ou utile à l’exécution du procédé de récupération de clé réseau, tel que notamment la lecture d’un identifiant du terminal T_id, et/ou la recherche d’une adresse d’un serveur de médiation, etc. The initializer 14 notably controls the coupler 15 from the terminal to the mediation server and possibly other devices (not illustrated) such as an initializer of at least one parameter of the network key collector or useful for the execution of the method of network key recovery, such as in particular reading an identifier of the terminal T_id, and / or looking for an address of a mediation server, etc.
Le coupleur 15 au serveur de médiation émet notamment une demande d’association ass rq du terminal 1 y au serveur de médiation 2. Le serveur 2 comporte notamment un récepteur 202 d’une demande d’association ass rq du terminal T au serveur de médiation SM. The coupler 15 to the mediation server in particular sends an association request ass rq from the terminal 1 y to the mediation server 2. The server 2 comprises in particular a receiver 202 of an association request ass rq from the terminal T to the mediation server SM.
En particulier, le coupleur 15 au serveur de médiation SM_ASS comporte un générateur 152 d’une paire de clés asymétriques (ckpv, ckpb). La clé privée ckpv est enregistrée dans une mémoire du terminal 150 et la clé publique ckpb transmise via un premier réseau N1 au serveur de médiation 2. La clé publique ckpb est éventuellement associé à un identifiant du terminal T_id lors de sa transmission au serveur de médiation, tel que l’identifiant du terminal T_id préalablement associée à un identifiant d’un point d’accès PA id. In particular, the coupler 15 to the SM_ASS mediation server comprises a generator 152 of a pair of asymmetric keys (ck pv , ck pb ). The private key ck pv is recorded in a memory of the terminal 150 and the public key ck pb transmitted via a first network N1 to the mediation server 2. The public key ck pb is optionally associated with an identifier of the terminal T_id during its transmission to the mediation server. mediation server, such as the identifier of the terminal T_id previously associated with an identifier of an access point PA id.
Eventuellement, le message de demande d’association ass rq comporte la clé publique ckpb et/ou un identifiant du terminal TJd: ass_rq(ckpb), ass_rq(ckpb T_id), ass_rq(T_id), ... Optionally, the association request message ass rq includes the public key ck pb and / or an identifier of the terminal TJd: ass_rq (ck pb ), ass_rq (ck pb T_id), ass_rq (T_id), ...
En particulier, le serveur 2 comporte un authentificateur 23. L’authentificateur 23 comporte une émetteur (non illustré) d’un code d’activation de l’association destination du terminal T via un deuxième réseau N2. Notamment le code d’activation act cd est émis par le serveur de médiation 2 à destination du terminal 1 y ayant émis la clé publique ckpb reçue. Il permet au serveur de médiation 2 de déclencher une validation de l’authentification de l’émetteur de la demande d’association au moyen du code d’activation. Eventuellement, l’émetteur du code d’activation AUTH_RQ émet un message d’authentification 5.auth_mssg comportant le code d’activation act cd : auth_mssg(act_cd). In particular, the server 2 comprises an authenticator 23. The authenticator 23 comprises a transmitter (not shown) of an activation code for the destination association of the terminal T via a second network N2. In particular, the act cd activation code is sent by the mediation server 2 to the terminal 1 which sent the public key ck pb received there. It allows the mediation server 2 to trigger validation of the authentication of the sender of the association request by means of the activation code. Optionally, the sender of the activation code AUTH_RQ sends an authentication message 5.auth_mssg comprising the activation code act cd: auth_mssg (act_cd).
En particulier, le coupleur 15 au serveur de médiation SM_ASS comporte un émetteur/récepteur d’authentification 153 comportant notamment un récepteur recevant un code d’activation de l’association en provenance du serveur de médiation 2 via un deuxième réseau N2. Notamment le code d’activation act cd est reçu par le terminal 1 y du serveur de médiation 2 ayant reçu une clé publique ckpb du terminal 1 y. Il permet au serveur de médiation 2 de déclencher une validation de l’authentification de l’émetteur de la demande d’association au moyen du code d’activation. Eventuellement, l’émetteur/récepteur d’authentification 153 reçoit un message d’authentification auth mssg comportant le code d’activation act cd : auth_mssg(act_cd). In particular, the coupler 15 to the SM_ASS mediation server comprises an authentication transmitter / receiver 153 comprising in particular a receiver receiving an activation code from the association coming from the mediation server 2 via a second network N2. In particular, the act cd activation code is received by the terminal 1 y from the mediation server 2 having received a public key ck pb from the terminal 1 y. It allows the mediation server 2 to trigger validation of the authentication of the sender of the association request by means of the activation code. Optionally, the authentication transmitter / receiver 153 receives an authentication message auth mssg comprising the activation code act cd: auth_mssg (act_cd).
En particulier, suite à la réception d’un code d’activation AC_RC, l’émetteur/récepteur d’authentification 153 comporte un émetteur qui émet le code d’activation AC_EM du terminal 1 y au serveur de médiation 2 via le premier réseau N1. Suite à la réception du code d’activation par l’émetteur/récepteur d’authentification 153, le récepteur fournit le code d’activation act cd à l’émetteur du code d’activiation implémenté dans l’émetteur/récepteur d’authentification 153 après avoir éventuellement extrait le code d’activation act cd d’un message d’authentification reçu auth mssg. In particular, following the reception of an activation code AC_RC, the authentication transmitter / receiver 153 comprises a transmitter which transmits the activation code AC_EM from the terminal 1 y to the mediation server 2 via the first network N1 . Following receipt of the activation code by the authentication transmitter / receiver 153, the receiver provides the activation code act cd to the transmitter of the activation code implemented in the authentication transmitter / receiver 153 after having possibly extracted the activation code act cd from an authentication message received auth mssg.
En particulier, l’authentificateur 23 comporte un récepteur (non illustré) de code d’activation qui, suite à l’émission d’un code d’activation par l’émetteur de l’authentificateur 23, reçoit le code d’activation 6. ckpb_vd du terminal 1 y via le premier réseau N1. In particular, the authenticator 23 comprises an activation code receiver (not shown) which, following the transmission of an activation code by the transmitter of the authenticator 23, receives the activation code 6 . ck pb _vd from terminal 1 y via the first network N1.
Lorsque le terminal T est un terminal mobile : When the terminal T is a mobile terminal:
- le premier réseau N1 est notamment un réseau d’internet mobile tel que le réseau 4G, la transmission de la clé publique est notamment effectué sur un lien Internet sécurisé tel que https ; - the first network N1 is in particular a mobile Internet network such as the 4G network, the transmission of the public key is carried out in particular over a secure Internet link such as https;
- le deuxième réseau N2 est notamment un réseau de téléphonique mobile 2G, 3G, la transmission du code d’activation de la clé publique est par exemple un SMS, MMS ou un SMS de commande, etc. - the second network N2 is in particular a 2G, 3G mobile telephone network, the transmission of the activation code of the public key is for example an SMS, MMS or a command SMS, etc.
En particulier, l’authentificateur 23 comporte un comparateur (non illustré) du code d’activation émis act cd lors de l’émission 5.auth_mssg et du code d’activation reçu act cd’ lors de la réception du code d’activation 6.ckpb_vd\ act_cd’=act_cd ?. Si les deux codes d’activations sont identiques, le terminal 1 y est authentifié et, le cas échéant, la clé publique ckpb reçue est stockée par l’authentificateur dans une mémoire ou base de données 29, notamment implémentée dans le serveur de médiation 2. Si les deux codes d’activations sont identiques, le terminal 1 y n’est pas authentifié et, le cas échéant, la clé publique ckpb reçue n’est pas conservée par le serveur de médiation 2. In particular, the authenticator 23 comprises a comparator (not illustrated) of the activation code transmitted act cd during the transmission 5.auth_mssg and of the activation code received act cd 'during the reception of the activation code 6 .ck pb _vd \ act_cd '= act_cd?. If the two activation codes are identical, the terminal 1 is authenticated there and, if applicable, the public key ck pb received is stored by the authenticator in a memory or database 29, in particular implemented in the mediation server 2. If the two activation codes are identical, terminal 1 is not authenticated there and, if applicable, the public key ck pb received is not kept by mediation server 2.
En particulier, si le terminal 1 y est authentifié, l’authentificateur 23 commande un validateur 24 qui déclenche le passage du récupérateur de clé réseau ou du procédé de récupération de clé réseau en opérationnel en émettant un message de déclenchement 7.ok à destination du terminal 1 y. In particular, if the terminal 1 is authenticated there, the authenticator 23 controls a validator 24 which triggers the passage of the network key recuperator or of the network key retrieval method into operational mode by sending a trigger message 7.ok to the user. terminal 1 y.
En particulier, le coupleur 15 comporte un changeur d’état 154 passant le récupérateur de clé réseau en opérationnel. Le changeur d’état 1054 fournit notamment une commande d’autorisation nk_rvy_ok de mise en œuvre du récupérateur ou d’exécution du procédé de récupération de clé réseau. La figure 8c correspond à une architecture mettant en œuvre la récupération de clé réseau notamment telle qu’illustrée par au moins une des figures suivantes : figure 1 , figure 3, figure 4 et figure 6. In particular, the coupler 15 comprises a state changer 154 turning the network key recuperator into operational mode. The state changer 1054 notably provides an authorization command nk_rvy_ok for implementing the recoverer or for executing the method for recovering the network key. FIG. 8c corresponds to an architecture implementing the recovery of the network key, in particular as illustrated by at least one of the following figures: FIG. 1, FIG. 3, FIG. 4 and FIG. 6.
L’architecture mettant en œuvre la récupération de clé réseau comporte : The architecture implementing network key recovery includes:
- un terminal de communication 1 y d’un utilisateur U, - a communication terminal 1 y of a user U,
- un serveur de médiation 2, et - a mediation server 2, and
- point d’accès 3. - access point 3.
Le point d’accès 3 comporte un émetteur 33 d’une clé réseau du point d’accès 3 à destination d’un serveur de médiation 2. Access point 3 has a transmitter 33 of a network key from access point 3 to a mediation server 2.
Le serveur de médiation 2 comporte un transmetteur 221 de la clé réseau reçu du point d’accès 3 par le serveur de médiation 2 au terminal 1 y dont l’identifiant TJd a été associé, durant la phase préalable (cf. figure 8a), à l’identifiant du point d’accès 3 ayant fourni la clé réseau nk. The mediation server 2 comprises a transmitter 221 of the network key received from the access point 3 by the mediation server 2 to the terminal 1 y whose identifier TJd was associated, during the preliminary phase (cf. FIG. 8a), to the identifier of the access point 3 which provided the network key nk.
Le terminal 1 y comporte un récepteur 121 , en provenance du serveur de médiation 2 auquel le terminal 1 y a été associé durant la phase d’initialisation (cf. figure 8b), d’une clé réseau du point d’accès PA dont l’identifiant PAJd a été associé à son identifiant TJd durant la phase préalable (cf. figure 8a). Terminal 1 comprises therein a receiver 121, coming from mediation server 2 with which terminal 1 was associated with it during the initialization phase (see FIG. 8b), of a network key of the access point PA of which l The identifier PAJd was associated with its identifier TJd during the preliminary phase (cf. FIG. 8a).
Le terminal 1 y comporte une interface ou dispositif de récupération 18 de clé réseau d’un point d’accès 3 à un réseau mis en œuvre par un terminal 1 y, la clé réseau nk permettant au terminal 1 y d’être associé au point d’accès 3 lors de la première connexion du terminal 1 y au point d’accès 3. L’interface de récupération comportant un récepteur 121 d’une clé réseau envoyée via un serveur de médiation 2 par un point d’accès 3. Le terminal 1 y a été identifié par le serveur de médiation 2 au moyen d’une association préalable à la première connexion d’un identifiant du terminal T_id et d’un identifiant du point d’accès PA id (cf. notamment figure 8a). The terminal 1 comprises an interface or device 18 for recovering the network key of an access point 3 to a network implemented by a terminal 1 y, the network key nk allowing the terminal 1 y to be associated with the point access 3 during the first connection of the terminal 1 y to the access point 3. The recovery interface comprising a receiver 121 of a network key sent via a mediation server 2 by an access point 3. The terminal 1 has been identified there by the mediation server 2 by means of an association prior to the first connection of an identifier of the terminal T_id and of an identifier of the access point PA id (cf. in particular FIG. 8a).
Le serveur de médiation 2 comporte un gestionnaire 28 de récupération de clé réseau d’un point d’accès à un réseau mis en œuvre par un serveur de médiation 2, la clé réseau nk permettant au terminal 1 y d’être associé au point d’accès 3 lors de la première connexion du terminal 1 y au point d’accès 3. Le gestionnaire de récupération de clé réseau comporte un transmetteur 221 vers un terminal 1 y d’une clé réseau 7’.nk reçue d’un point d’accès 3. Le serveur de médiation 2 ayant identifié le terminal au moyen d’une association préalable à la première connexion d’un identifiant du terminal T_id et d’un identifiant du point d’accès PA id (cf. notamment figure 8a). The mediation server 2 comprises a manager 28 for recovering the network key of an access point to a network implemented by a mediation server 2, the network key nk allowing the terminal 1 y to be associated with the point d 'access 3 during the first connection of terminal 1 y to access point 3. The network key recovery manager comprises a transmitter 221 to a terminal 1 y of a network key 7'.nk received from a point d access 3. The mediation server 2 having identified the terminal by means of an association prior to the first connection of an identifier of the terminal T_id and of an identifier of the access point PA id (cf. in particular FIG. 8a) .
Le point d’accès 3 à un réseau comportant un fournisseur 38 de clé réseau, la clé réseau nk permettant au terminal 1 y d’être associé au point d’accès 3 lors de la première connexion du terminal 1 y au point d’accès 3. Le fournisseur de clé réseau comporte un émetteur 33 via un serveur de médiation 2 à un terminal 1 y de la clé réseau nk du point d’accès 3. Le terminal 1 y a été identifié par le serveur de médiation 2 au moyen d’une association préalable à la première connexion d’un identifiant du terminal T_id et d’un identifiant du point d’accès PA id (cf. notamment figure 8a). The access point 3 to a network comprising a network key supplier 38, the network key nk allowing the terminal 1 y to be associated with the access point 3 during the first connection of the terminal 1 y to the access point 3. The network key provider includes a transmitter 33 via a mediation server 2 at a terminal 1 y of the network key nk of the access point 3. The terminal 1 has been identified there by the mediation server 2 by means of an association prior to the first connection of an identifier of the terminal T_id and of an identifier of the access point PA id (cf. in particular FIG. 8a).
Dans un mode de réalisation particulier illustré par la figure 8c, le terminal 1 U, voire l’interface ou dispositif de récupération 18, comporte un reproducteur ou une interface de reproduction 1 1 d’un message reproduisant le message rq mssg sur commande de reproduction l.rpr cmd d’un récupérateur de clé réseau 16. La commande de reproduction l.rpr cmd est notamment générée lors du démarrage du récupérateur 16. In a particular embodiment illustrated by FIG. 8c, the terminal 1 U, or even the interface or recovery device 18, comprises a reproducer or a reproduction interface 1 1 of a message reproducing the message rq mssg on reproduction command l.rpr cmd of a network key collector 16. The l.rpr cmd reproduction command is generated in particular when starting the collector 16.
Le message reproduit est destiné directement ou indirectement au point d’accès 3 dont l’identifiant PJd a été associé, durant la phase préalable (cf. figure 8a), à l’identifiant du terminal 1 y reproduisant le message. Dans le cas où le message reproduit est destiné indirectement au point d’accès 3, il est notamment reproduit sur un écran 1 10 et/ou par des haut-parleurs 1 1 1 pour être lu, écouté, etc. par un utilisateur U du terminal 1 y. Le message dans ce cas est une demande d’action 2.cpt_rq déclenchant une action 3.c de l’utilisateur U relativement au point d’accès 3. Dans le cas où le message reproduit est destiné directement au point d’accès 3, le message 3.c est reproduit par le terminal 1 y, notamment par l’interface de reproduction 1 1 . The reproduced message is intended directly or indirectly for access point 3 whose identifier PJd was associated, during the preliminary phase (see Figure 8a), with the identifier of terminal 1 reproducing the message there. In the case where the reproduced message is indirectly intended for access point 3, it is notably reproduced on a screen 110 and / or by speakers 11 to be read, listened to, etc. by a user U of terminal 1 y. The message in this case is a request for action 2.cpt_rq triggering an action 3.c of the user U relative to the access point 3. In the case where the reproduced message is intended directly for the access point 3, the message 3.c is reproduced by the terminal 1 y, in particular by the reproduction interface 1 1.
Le point d’accès 3, voire le fournisseur de clé réseau 38, comporte en particulier un capteur 30 respectivement de l’action de l’utilisateur U relativement au point d’accès 3 ou du message reproduit par le terminal 1 y : 3. c. Le capteur 30 déclenche 4.nk_sh_trg directement ou indirectement l’émetteur 33 de la clé réseau au serveur de médiation 2. The access point 3, or even the network key provider 38, comprises in particular a sensor 30 respectively of the action of the user U relative to the access point 3 or of the message reproduced by the terminal 1 y: 3. vs. The sensor 30 triggers 4.nk_sh_trg directly or indirectly the transmitter 33 of the network key to the mediation server 2.
En particulier, le point d’accès 3, voire le fournisseur de clé réseau 38, comporte un requêteur 37 demandant d’établissement d’une connexion du point d’accès 3 avec le serveur de médiation 2. Le requêteur 37 est notamment déclenchée 4.nk_sh_trg par le capteur 30. Le requêteur 37 envoie notamment, au serveur de médiation 2, une requête d’établissement de connexion 5.stb_rq comportant éventuellement un identifiant du point d’accès PA id : 5.stb_rq(PA_id). In particular, the access point 3, or even the network key provider 38, includes a requester 37 requesting the establishment of a connection from the access point 3 with the mediation server 2. The requester 37 is in particular triggered 4 .nk_sh_trg by the sensor 30. The requester 37 sends in particular, to the mediation server 2, a connection establishment request 5.stb_rq possibly comprising an identifier of the access point PA id: 5.stb_rq (PA_id).
En particulier, le serveur de médiation 2, voire le gestionnaire de récupération de clé réseau 28, comporte un dispositif d’établissement de connexion 27 établissant une connexion du serveur de médiation 2 avec le point d’accès 3 déclenché par la requête d’établissement de connexion 5.stb_rq en provenance du point d’accès 3. Notamment, le dispositif d’établissement de connexion comporte des moyens d’établissement de connexion avec un point d’accès 270 recevant la requête d’établissement de connexion 5.stb_rq en provenance du point d’accès 3. Le dispositif d’établissement de connexion 27, voire les moyens d’établissement 270, déclenche 6. PA cnx trg l’établissement d’une session de communication entre le serveur de médiation et le point d’accès PA/SM_SS. In particular, the mediation server 2, or even the network key recovery manager 28, comprises a connection establishment device 27 establishing a connection from the mediation server 2 with the access point 3 triggered by the establishment request. 5.stb_rq connection from the access point 3. In particular, the connection establishment device comprises means of connection establishment with an access point 270 receiving the connection establishment request 5.stb_rq in from the access point 3. The connection establishment device 27, or even the establishment means 270, triggers 6. PA cnx trg the establishment of a communication session between the mediation server and the point of PA / SM_SS access.
Ainsi, l’émetteur 33 émet 7’.nk la clé réseau au serveur de médiation 2 en utilisant cette session de communication entre le serveur de médiation et le point d’accès PA/SM_SS. Thus, the sender 33 sends 7′.nk the network key to the mediation server 2 using this communication session between the mediation server and the access point PA / SM_SS.
En particulier, le serveur de médiation 2, voire le gestionnaire de récupération de clé réseau 28, comporte un récepteur 203 de clé réseau qui reçoit la clé réseau émise 7’.nk par le point d’accès 3 via la session de communication PA/SM_SS établie entre le point d’accès 3 et le serveur de médiation 2. In particular, the mediation server 2, or even the network key recovery manager 28, comprises a network key receiver 203 which receives the network key sent 7′.nk by the access point 3 via the communication session PA / SM_SS established between Access Point 3 and Mediation Server 2.
En particulier, le récepteur 203 de clé réseau fournit la clé réseau reçue 8.nk au transmetteur de clé réseau 221 . In particular, the network key receiver 203 supplies the received network key 8.nk to the network key transmitter 221.
En particulier, le terminal 1 U, voir l’interface de récupération de clé réseau 18, comporte une émetteur 17 d’une demande de clé réseau. L’émetteur 17 de demande de clé réseau est déclenchée 4’.cnx_cmd par le récupérateur 16 ou le reproducteur 1 1 lors de la reproduction du meessage rq mssg. L’émetteur 17 de demande de clé réseau envoie notamment, au serveur de médiation 2 une requête de clé réseau 5’.nk_rq comportant éventuellement un identifiant du terminal TJd : 5'.nk_rq(T_id). In particular, the terminal 1 U, see the network key recovery interface 18, includes a sender 17 of a network key request. The network key request transmitter 17 is triggered 4'.cnx_cmd by the collector 16 or the reproducer 1 1 during the reproduction of the rq mssg meessage. The network key request sender 17 sends in particular, to the mediation 2 a network key request 5'.nk_rq possibly including an identifier of the terminal TJd: 5'.nk_rq (T_id).
Cet émetteur 17 de demande de clé réseau est mis en œuvre notamment en parallèle de la mise en œuvre du requêteur 37. This network key request transmitter 17 is implemented in particular in parallel with the implementation of the requester 37.
En particulier, le dispositif d’établissement comporte des moyens d’établissement 271 d’un connexion du serveur de médiation avec le terminal. In particular, the establishment device comprises means 271 for establishing a connection between the mediation server and the terminal.
En particulier, le dispositif d’établissement 27 du serveur de médiation 2 est déclenché par la requête de clé réseau 5’.nk_rq en provenance du terminal T. Le dispositif d’établissement 27, voire les moyens d’établissement 271 , déclenche 6’. T_cnx_trg l’établissement d’une session de communication entre le serveur de médiation et le terminal T/SM_SS. In particular, the establishment device 27 of the mediation server 2 is triggered by the network key request 5'.nk_rq coming from the terminal T. The establishment device 27, or even the establishment means 271, triggers 6 ' . T_cnx_trg the establishment of a communication session between the Mediation Server and the T / SM_SS terminal.
En particulier, le serveur de médiation 2, voire le gestionnaire de récupération de clé réseau 28, met en œuvre les moyens d’établissement d’une connexion avec le terminal 271 et les moyens d’établissement d’une connexion avec le point d’accès 270 en parallèle. In particular, the mediation server 2, or even the network key recovery manager 28, implements the means for establishing a connection with the terminal 271 and the means for establishing a connection with the point of access 270 in parallel.
En particulier, le serveur de médiation 2, voire le gestionnaire de récupération de clé réseau 28, met en œuvre les moyens d’établissement d’une connexion avec le terminal 271 et les moyens d’établissement d’une connexion avec le point d’accès 270 simultanément. In particular, the mediation server 2, or even the network key recovery manager 28, implements the means for establishing a connection with the terminal 271 and the means for establishing a connection with the point of access 270 simultaneously.
En particulier, dans un mode de réalisation dans lequel le serveur de médiation ne reçoit pas de requête de clé réseau 5’.nk_rq d’un terminal 1 u, le serveur de médiation 2, voire le gestionnaire de récupération de clé réseau 28, comporte un moteur de recherche 25 qui permet de rechercher l’identifiant du terminal T_id associé à l’identifiant du point d’accès ayant fourni la clé réseau 7’.nk. Le moteur de recherche 25 déclenche alors les moyens d’établissement d’une connexion 271 avec le terminal identifié par la recherche l y. In particular, in one embodiment in which the mediation server does not receive a network key request 5'.nk_rq from a terminal 1 u, the mediation server 2, or even the network key recovery manager 28, comprises a search engine 25 which makes it possible to search for the identifier of the terminal T_id associated with the identifier of the access point which provided the network key 7'.nk. The search engine 25 then triggers the means for establishing a connection 271 with the terminal identified by the search l y.
En particulier, le transmetteur de la clé réseau 221 est déclenché directement ou indirectement par le dispositif d’établissement 270 lors de l’établissement d’une connexion avec le terminal identifié 1 y, voire les moyens d’établissement de la connexion du serveur de médiation avec le terminal 271 . In particular, the transmitter of the network key 221 is triggered directly or indirectly by the establishment device 270 during the establishment of a connection with the terminal identified 1 y, or even the means of establishment of the connection of the server. mediation with terminal 271.
En particulier, le serveur de médiation 2, voire le gestionnaire de récupération de clé réseau 28, comporte un minuteur 26. Notamment, le dispositif d’établissement 270 lors de l’établissement d’une connexion avec le terminal identifié 1 y, voire les moyens d’établissement de la connexion du serveur de médiation avec le terminal 271 déclenche 8’.tm_trg le minuteur 26. Le minuteur 26est arrêté 8”.tm_stp par le récepteur 203 lors de la réception d’une clé réseau nk provenant du point d’accès 3. Dans le cas où le transmetteur de la clé réseau 221 est déclenché indirectement par le dispositif d’établissement 27, 271 , c’est le minuteur 26 qui déclenche le transmetteur de la clé réseau 221 . In particular, the mediation server 2, or even the network key recovery manager 28, comprises a timer 26. In particular, the establishment device 270 when establishing a connection with the identified terminal 1 y, or even the means for establishing the connection of the mediation server with the terminal 271 triggers 8'.tm_trg the timer 26. The timer 26 is stopped 8 ”.tm_stp by the receiver 203 when receiving a network key nk from the point d access 3. In the case where the transmitter of the network key 221 is triggered indirectly by the setting device 27, 271, it is the timer 26 which triggers the transmitter of the network key 221.
En particulier, le serveur de médiation 2, voire le gestionnaire de récupération de clé réseau 28, comporte un vérificateur 25 qui permet de vérifier si le terminal 1 y demandeur de la clé réseau est le terminal dont l’identifiant a été préalablement associé à un identifiant du point d’accès 3 dont la clé réseau est demandée. Le vérificateur 25 autorise le transmetteur de la clé réseau 221 à émettre la clé réseau reçue nk si la vérification est positive. Notamment, le vérificateur 25 comporte un moteur de recherche qui permet de rechercher l’identifiant du terminal T_id associé à l’identifiant du point d’accès ayant fourni la clé réseau 7’.nk, enregistré par exemple dans une mémoire 223 du serveur de médiation 2 ou 423 d’un autre serveur 4 (cf. figure 8a). Eventuellement le vérificateur 25 comporte un comparateur (non illustré) de l’identifiant de terminal obtenu par le moteur de recherche avec l’identifiant du terminal 1 y demandeur de la clé réseau. In particular, the mediation server 2, or even the network key recovery manager 28, comprises a verifier 25 which makes it possible to verify whether the terminal 1 requesting the network key is the terminal whose identifier has been previously associated with a identifier of the access point 3 whose network key is requested. The verifier 25 authorizes the transmitter of the network key 221 to send the received network key nk if the verification is positive. In particular, the verifier 25 comprises a search engine which makes it possible to search for the identifier of the terminal T_id associated with the identifier of the access point which provided the network key 7'.nk, recorded for example in a memory 223 of the server. mediation 2 or 423 of another server 4 (cf. figure 8a). Optionally, the verifier 25 comprises a comparator (not illustrated) of the terminal identifier obtained by the search engine with the identifier of the terminal 1 y requesting the network key.
Notamment, le transmetteur de la clé réseau 221 comporte un crypteur, aussi appelé chiffreur, 2212 et/ou un intégrateur 2213 de la clé réseau dans un message ou paquet de données. Ainsi, le transmetteur de clé réseau 221 émet soit la clé réseau cryptée nk* ou non nk, soit un message cryptée ou non comportant la clé réseau cryptée mssg*(nk) ou non mssg(n*), mssg(nk), etc. : 11. nk, nk*, mssg(nk), mssg(nk*), mssg*(nk) via la session de communication T/SM_SS établie entre le terminal T et le serveur de communication à destination du terminal T. En particulier, le transmetteur de la clé réseau 221 comporte un émetteur 2211 apte à émettre des données comportant une clé réseau via la session de communication T/SM_SS. In particular, the transmitter of the network key 221 comprises an encryptor, also called an encryptor, 2212 and / or an integrator 2213 of the network key in a message or data packet. Thus, the network key transmitter 221 sends either the encrypted network key nk * or not nk, or an encrypted or unencrypted message comprising the encrypted network key mssg * (nk) or not mssg (n * ), mssg (nk), etc. . : 11. nk, nk * , mssg (nk), mssg (nk * ), mssg * (nk) via the communication session T / SM_SS established between the terminal T and the communication server intended for the terminal T. In particular , the transmitter of the network key 221 comprises a transmitter 2211 capable of transmitting data comprising a network key via the communication session T / SM_SS.
En particulier, le crypteur effectue le cryptage en utilisant la clé publique ckpb stockée durant la phase d’initialisation (cf. figure 8b) dans une mémoire 29 du serveur de médiation. In particular, the encryptor performs the encryption using the public key ck pb stored during the initialization phase (cf. FIG. 8b) in a memory 29 of the mediation server.
En particulier, le terminal 1 y comporte un collecteur 12 de clé réseau comportant le récepteur de clé réseau 121. Le collecteur 12 de clé réseau comporte, notamment, un décrypteur, aussi appelé déchiffreur, 122 et/ou un extracteur 123 de la clé réseau d’un message ou paquet de données comportant la clé réseau reçu du serveur de médiation 2. Notamment, le décrypteur 122 effectue le décryptage en utilisant la clé privée ckpv stockée durant la phase d’initialisation (cf. figure 8b).In particular, the terminal 1 comprises therein a network key collector 12 comprising the network key receiver 121. The network key collector 12 comprises, in particular, a decryptor, also called a decryptor, 122 and / or an extractor 123 of the network key. a message or data packet comprising the network key received from the mediation server 2. In particular, the decryptor 122 performs the decryption using the private key ck pv stored during the initialization phase (see FIG. 8b).
Le collecteur 12 fournit notamment la clé réseau reçue 13.nk, éventuellement décryptée et/ou extraite à un coupleur 19 permettant d’associer le terminal 1 y au point d’accès 3 lors d’une première connexion. The collector 12 provides in particular the received network key 13.nk, possibly decrypted and / or extracted to a coupler 19 making it possible to associate the terminal 1 y with the access point 3 during a first connection.
L'invention vise aussi un support. Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique ou encore un moyen d'enregistrement magnétique, par exemple une disquette ou un disque dur. D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau notamment de type Internet. The invention is also aimed at a support. The information medium can be any entity or device capable of storing the program. For example, the medium can comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM or else a magnetic recording means, for example a floppy disk or a hard disk. On the other hand, the information medium can be a transmissible medium such as an electrical or optical signal which can be conveyed via an electrical or optical cable, by radio or by other means. The program according to the invention can in particular be downloaded over a network, in particular of the Internet type.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question. Alternatively, the information medium can be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
Dans une autre implémentation, l'invention est mise en œuvre au moyen de composants logiciels et/ou matériels. Dans cette optique le terme module peut correspondre aussi bien à un composant logiciel ou à un composant matériel. Un composant logiciel correspond à un ou plusieurs programmes d'ordinateur, un ou plusieurs sous-programmes d'un programme, ou de manière plus générale à tout élément d'un programme ou d'un logiciel apte à mettre en œuvre une fonction ou un ensemble de fonction selon la description ci-dessus. Un composant matériel correspond à tout élément d'un ensemble matériel (ou hardware) apte à mettre en œuvre une fonction ou un ensemble de fonctions. In another implementation, the invention is implemented by means of software and / or hardware components. From this perspective, the term module can correspond equally well to a software component or to a hardware component. A software component corresponds to one or more computer programs, one or more subroutines of a program, or more general to any element of a program or software capable of implementing a function or a set of functions according to the description above. A hardware component corresponds to any element of a hardware set (or hardware) capable of implementing a function or a set of functions.

Claims

REVENDICATIONS
1. Procédé de récupération de clé réseau d’un point d’accès à un réseau mis en œuvre par un terminal, la clé réseau permettant au terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le procédé de récupération de clé réseau comportant une réception par un terminal d’une clé réseau envoyée via un serveur de médiation par un point d’accès, le terminal ayant été identifié par le serveur de médiation au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. 1. Method for recovering the network key of a point of access to a network implemented by a terminal, the network key allowing the terminal to be associated with the access point during the first connection of the terminal to the point of 'access, the network key retrieval method comprising reception by a terminal of a network key sent via a mediation server by an access point, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
2. Procédé de récupération de clé réseau selon la revendication précédente, caractérisé en ce que le procédé de récupération de clé réseau comporte, préalablement à la réception de la clé réseau, une émission d’une demande de clé réseau par le terminal au serveur de médiation. 2. Network key recovery method according to the preceding claim, characterized in that the network key recovery method comprises, prior to reception of the network key, a transmission of a network key request by the terminal to the server. mediation.
3. Procédé de récupération de clé réseau selon la revendication précédente, caractérisé en ce que l’émission d’une demande de clé réseau déclenche au moins une des étapes suivantes : 3. Network key recovery method according to the preceding claim, characterized in that the issuance of a network key request triggers at least one of the following steps:
- déclenchant un établissement d’une session de communication entre le terminal et le serveur de médiation apte à permettre une transmission de clé réseau du serveur de médiation au terminal ;- triggering the establishment of a communication session between the terminal and the mediation server capable of allowing transmission of the network key from the mediation server to the terminal;
- une vérification par le serveur de médiation que le terminal ayant émis la demande correspond au terminal dont un identifiant est associé à un identifiant du point d’accès. - a verification by the mediation server that the terminal that issued the request corresponds to the terminal whose identifier is associated with an identifier of the access point.
4. Procédé de récupération de clé réseau selon l’une quelconque des revendications précédentes, caractérisé en ce que le procédé de récupération de clé réseau comporte un décryptage de la clé réseau reçue. 4. Network key recovery method according to any one of the preceding claims, characterized in that the network key recovery method comprises decryption of the received network key.
5. Procédé de récupération de clé réseau selon la revendication précédente, caractérisé en ce que le décryptage est effectué au moyen d’une clé privée générée par le terminal avec une clé publique émise au serveur de médiation par le terminal lors d’une association, effectuée préalablement à la mise en œuvre du procédé de récupération, du terminal au serveur de médiation, la clé réseau ayant été cryptée au moyen de la clé publique par le serveur de médiation. 5. Method for recovering a network key according to the preceding claim, characterized in that the decryption is performed by means of a private key generated by the terminal with a public key sent to the mediation server by the terminal during an association, carried out prior to the implementation of the recovery method, from the terminal to the mediation server, the network key having been encrypted by means of the public key by the mediation server.
6. Procédé d’envoi de clé réseau d’un point d’accès à un réseau mis en œuvre par un point d’accès, la clé réseau permettant à un terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le procédé d’envoi de clé réseau comportant une émission de clé réseau par un point d’accès via un serveur de médiation à un terminal, le terminal ayant été identifié par le serveur de médiation au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. 6. Method for sending a network key from an access point to a network implemented by an access point, the network key allowing a terminal to be associated with the access point during the first connection. from the terminal to the access point, the network key sending method comprising a network key transmission by an access point via a mediation server to a terminal, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and of an identifier of the access point.
7. Procédé d’envoi de clé réseau selon la revendication précédente, caractérisé en ce que l’émission de clé réseau consiste en une émission d’un message au serveur de médiation, le message comportant la clé réseau et un identifiant du point d’accès permettant au serveur de médiation de déterminer un identifiant du terminal associé à l’identifiant du point d’accès préalablement à la première connexion. 7. Method for sending a network key according to the preceding claim, characterized in that the transmission of the network key consists in sending a message to the mediation server, the message comprising the network key and an identifier of the point of. access allowing the mediation server to determine an identifier of the terminal associated with the identifier of the access point prior to the first connection.
8. Procédé d’envoi de clé réseau selon l’une quelconque des revendications 6 ou 7, caractérisé en ce que le procédé d’envoi de clé réseau comporte un actionnement d’un dispositif actionnable du point d’accès déclenchant l’émission de la clé réseau. 8. A method of sending a network key according to any one of claims 6 or 7, characterized in that the method of sending the network key comprises an actuation of an actuatable device of the access point triggering the transmission of the network key.
9. Procédé d’envoi de clé réseau selon l’une quelconque des revendications 6 à 8, caractérisé en ce que l’émission de la clé réseau par le point d’accès au serveur de médiation est effectuée de manière sécurisée. 9. A method of sending a network key according to any one of claims 6 to 8, characterized in that the transmission of the network key by the access point to the mediation server is performed in a secure manner.
10. Procédé de gestion de récupération de clé réseau d’un point d’accès à un réseau mis en œuvre par un serveur de médiation, la clé réseau permettant à un terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le procédé de gestion de la récupération de clé réseau comportant une transmission par le serveur de médiation à un terminal d’une clé réseau reçue d’un point d’accès, le serveur de médiation ayant identifié le terminal au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. 10. Method for managing network key recovery of an access point to a network implemented by a mediation server, the network key allowing a terminal to be associated with the access point during the first connection. from the terminal to the access point, the network key recovery management method comprising transmission by the mediation server to a terminal of a network key received from an access point, the mediation server having identified the terminal by means of an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
1 1 . Procédé de gestion de récupération de clé réseau selon la revendication précédente caractérisé en ce que le procédé de gestion de récupération comporte, préalablement à la transmission, un cryptage de la clé réseau. 1 1. Network key recovery management method according to the preceding claim, characterized in that the recovery management method comprises, prior to transmission, encryption of the network key.
12. Programme comprenant des instructions de code de programme pour l’exécution des étapes d’au moins un des procédés suivants : 12. Program comprising program code instructions for performing the steps of at least one of the following processes:
- du procédé de récupération de clé réseau selon l’une quelconque des revendications 1 à 5, - the network key recovery method according to any one of claims 1 to 5,
- du procédé d’envoi de clé réseau selon l’une quelconque des revendications 6 à 9, - the method for sending a network key according to any one of claims 6 to 9,
- du procédé de gestion de récupération de clé réseau selon l’une quelconque des revendications 10 ou 1 1 - The network key recovery management method according to any one of claims 10 or 1 1
lorsque ledit programme est exécuté par un processeur. when said program is executed by a processor.
13. Terminal comportant une interface de récupération de clé réseau d’un point d’accès à un réseau mis en œuvre par un terminal, la clé réseau permettant au terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, l’interface de récupération comportant un récepteur d’une clé réseau envoyée via un serveur de médiation par un point d’accès, le terminal ayant été identifié par le serveur de médiation au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. 13. Terminal comprising an interface for retrieving the network key of an access point to a network implemented by a terminal, the network key allowing the terminal to be associated with the access point during the first connection of the terminal at the access point, the recovery interface comprising a receiver of a network key sent via a mediation server by an access point, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and of an identifier of the access point.
14. Serveur de médiation comportant un gestionnaire de récupération de clé réseau d’un point d’accès à un réseau mis en œuvre par un serveur de médiation, la clé réseau permettant à un terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le gestionnaire de récupération de clé réseau comportant un transmetteur vers un terminal d’une clé réseau reçue d’un point d’accès, le serveur de médiation ayant identifié le terminal au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. 14. Mediation server comprising a network key recovery manager of an access point to a network implemented by a mediation server, the network key allowing a terminal to be associated with the access point during the first connection of the terminal to the access point, the network key recovery manager comprising a transmitter to a terminal of a network key received from an access point, the mediation server having identified the terminal by means of an association prior to the first connection of an identifier of the terminal and an identifier of the access point.
15. Point d’accès à un réseau comportant un fournisseur de clé réseau, la clé réseau permettant au terminal d’être associé au point d’accès lors de la première connexion du terminal au point d’accès, le fournisseur de clé réseau comportant un émetteur d’une clé réseau du point d’accès via un serveur de médiation à un terminal, le terminal ayant été identifié par le serveur de médiation au moyen d’une association préalable à la première connexion d’un identifiant du terminal et d’un identifiant du point d’accès. 15. Access point to a network comprising a network key supplier, the network key allowing the terminal to be associated with the access point during the first connection of the terminal to the access point, the network key supplier comprising a transmitter of a network key from the access point via a mediation server to a terminal, the terminal having been identified by the mediation server by means of an association prior to the first connection of an identifier of the terminal and d 'an identifier of the access point.
EP20711230.1A 2019-02-15 2020-02-13 Network key recovery, network key transmission, network key recovery management, terminal, mediation server and point of access implementing them Pending EP3925253A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1901553A FR3092954A1 (en) 2019-02-15 2019-02-15 Network key recovery, network key sending, network key recovery management, terminal, mediation server and access point implementing them
PCT/FR2020/050260 WO2020165540A1 (en) 2019-02-15 2020-02-13 Network key recovery, network key transmission, network key recovery management, terminal, mediation server and point of access implementing them

Publications (1)

Publication Number Publication Date
EP3925253A1 true EP3925253A1 (en) 2021-12-22

Family

ID=67185304

Family Applications (1)

Application Number Title Priority Date Filing Date
EP20711230.1A Pending EP3925253A1 (en) 2019-02-15 2020-02-13 Network key recovery, network key transmission, network key recovery management, terminal, mediation server and point of access implementing them

Country Status (4)

Country Link
US (1) US11963002B2 (en)
EP (1) EP3925253A1 (en)
FR (1) FR3092954A1 (en)
WO (1) WO2020165540A1 (en)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7853788B2 (en) * 2002-10-08 2010-12-14 Koolspan, Inc. Localized network authentication and security using tamper-resistant keys
US8743778B2 (en) * 2006-09-06 2014-06-03 Devicescape Software, Inc. Systems and methods for obtaining network credentials
US20170048700A1 (en) * 2012-08-16 2017-02-16 Mivalife Mobile Technology, Inc. Self-configuring wireless network
US20140247941A1 (en) * 2013-03-01 2014-09-04 Oplink Communications, Inc. Self-configuring wireless network
US20150229475A1 (en) * 2014-02-10 2015-08-13 Qualcomm Incorporated Assisted device provisioning in a network
DE102016114136A1 (en) * 2016-07-29 2018-02-01 Deutsche Telekom Ag Method for starting up a home network with an in-building base station and building-internal electrical appliance
US10547448B2 (en) * 2016-10-19 2020-01-28 Qualcomm Incorporated Configurator key package for device provisioning protocol (DPP)

Also Published As

Publication number Publication date
US11963002B2 (en) 2024-04-16
FR3092954A1 (en) 2020-08-21
WO2020165540A1 (en) 2020-08-20
US20220132308A1 (en) 2022-04-28

Similar Documents

Publication Publication Date Title
EP2884716B1 (en) Token-based authentication mechanism
EP2494489B1 (en) Method and client agent for monitoring the use of protected content
EP3010175B1 (en) Replay of a batch of secure commands in a secure channel
EP1549011A1 (en) Communication method and system between a terminal and at least a communication device
WO2005053263A2 (en) Method for the authentication of applications
FR2989799A1 (en) METHOD FOR TRANSFERRING A DEVICE TO ANOTHER RIGHTS OF ACCESS TO A SERVICE
US11824855B1 (en) Computer system and device for controlling use of secure media recordings
CN111177699B (en) Data extraction method, secret key generation method, unlocking method and device
WO2016207715A1 (en) Secure management of electronic tokens in a cell phone
WO2020165540A1 (en) Network key recovery, network key transmission, network key recovery management, terminal, mediation server and point of access implementing them
FR3095707A1 (en) Method for securing a communication and corresponding device.
EP1737191B1 (en) Method for creating a user equipment split between a terminal equipment and serially connected equipments
WO2021245351A1 (en) Method for discriminating a message between a terminal and a data server
EP2471237B1 (en) Mobile electronic device configured to establish secure wireless communication
EP3599782A1 (en) Network key recovery, network key recovery management, network key availability, terminal, server and access point implementing same
EP3868069B1 (en) Method and device for protecting data entered by means of a non-secure user interface
FR3097666A1 (en) Document authentication data storage method
WO2006051197A1 (en) Method of authorising a client terminal of a nominal network to access a communication network different from the nominal network, and corresponding system, authentication server and computer program
FR3111252A1 (en) Method of capturing a packet from an encrypted session
EP3360293A1 (en) Means for managing access to data
WO2010133459A1 (en) Method for encrypting specific portions of a document for superusers
FR3105482A1 (en) Method of obtaining a password for access to a service
FR2825213A1 (en) USER AUTHENTICATION SYSTEM
WO2016034812A1 (en) Securing of encryption keys for transactions on a device lacking a secure module
WO2010003957A1 (en) Electronic certification device

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20210913

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20230908

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ORANGE