EP4169009A1 - Procédé et dispositif de gestion d'une demande d'appairage d'un premier équipement avec un deuxième équipement - Google Patents

Procédé et dispositif de gestion d'une demande d'appairage d'un premier équipement avec un deuxième équipement

Info

Publication number
EP4169009A1
EP4169009A1 EP21739162.2A EP21739162A EP4169009A1 EP 4169009 A1 EP4169009 A1 EP 4169009A1 EP 21739162 A EP21739162 A EP 21739162A EP 4169009 A1 EP4169009 A1 EP 4169009A1
Authority
EP
European Patent Office
Prior art keywords
equipment
pairing request
pairing
certificate
management device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21739162.2A
Other languages
German (de)
English (en)
Inventor
David ARMAND
Fabrice Fontaine
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Publication of EP4169009A1 publication Critical patent/EP4169009A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Definitions

  • Method and device for managing a request for pairing a first item of equipment with a second item of equipment is described.
  • the present invention relates to a method of managing a request for pairing a first device with a second device.
  • It also relates to a device for managing a pairing request implementing the aforementioned method.
  • the invention applies in particular to equipment communicating by means of radio waves, in a professional context, for example in meeting rooms or offices, but also in a domestic context.
  • the pairing phase between two devices can be initiated in different ways.
  • the pairing phase can be started by a user action such as pressing a button, switching on the equipment, or entering a PIN code.
  • the devices are vulnerable to attacks that compromise the security of subsequent exchanges between the devices.
  • a third party can observe the exchanges between the two devices and generate the security key that will be used in the subsequent exchanges between the devices.
  • third-party equipment operated by a malicious user may pair up with an access point, without legitimate equipment noticing.
  • equipment seeking to pair with its access point can connect to a malicious access point without the user of the equipment being notified.
  • the invention proposes to improve this situation by securing the pairing requests between the devices.
  • the invention relates, according to a first aspect, to a method for managing a request for pairing from a first device to a second device, implemented by a device for managing a request for pairing. configured to communicate with the first device via an optical communication channel.
  • the management process includes:
  • the first equipment and the management device establishing an optical communication channel, the messages exchanged between them are difficult to intercept by a third party.
  • an optical communication channel is created when a photoreceptor receives a signal from a light source.
  • the photoreceptor In order for the optical communication channel to be created, the photoreceptor must be located in the illumination area of the light source. No obstacle, such as a wall, should be located between the light source and the photoreceptor. If an obstacle is present between the light source and the photoreceptor, the optical communication channel cannot be established.
  • a photoreceptor on board the device for managing a pairing request must be in the lighting zone of a light source.
  • embedded in the first device and a photoreceptor embedded in the first device must be in the lighting zone of a light source embedded in the management device.
  • the communication between the device for managing a pairing request and the first equipment item is secure, and in particular with respect to communications carried out via radio waves, this type of wave being omnidirectional.
  • the pairing is implemented.
  • the management device sends the first device security keys associated with the second device. These security keys will be used for the encryption and authentication of subsequent communications between the first device and the second device.
  • the management device has a list, for example stored in memory, with the security keys of the equipment to which it is connected, in particular of the second equipment.
  • the first item of equipment and the second item of equipment exchange the security keys via said management device.
  • the management device receives from the second device, the security key to be transmitted to the first device.
  • the management device is configured to communicate with the second equipment item via a wired communication channel.
  • the exchanges between the management device and the second item of equipment are secure.
  • the relative positioning of the management device and of the second equipment item has no constraints, and their installation is flexible.
  • the management device and the second equipment can be positioned in different rooms.
  • the management device and the second equipment can be located remotely. Consequently, the first item of equipment and the first item of equipment can be located remotely, the pairing between them being implemented in a secure manner via the management device.
  • the management device is configured to communicate with the second equipment item via an optical communication channel.
  • This embodiment has the advantage of avoiding the installation of wires while ensuring secure communications between the management device and the second equipment.
  • the data representative of the identity of the first device include a certificate associated with the first device.
  • the pairing request includes the certificate associated with the first device.
  • the data representative of the identity of the first equipment item furthermore comprises a series of data representative of a fingerprint uniquely identifying said first equipment item.
  • the pairing request includes a fingerprint uniquely identifying the first device, in addition to the certificate.
  • the pairing request includes either the certificate or the fingerprint identifying the first device.
  • the management method comprises recording the certificate received in association with the imprint received.
  • the certificate and the fingerprint are saved in a database.
  • This database can be in the management device or linked to the management device.
  • the series of data representative of the fingerprint is generated by the first equipment item, prior to the transmission of the pairing request to the management device.
  • the fingerprint (and the series of data representative of the fingerprint) can be generated each time a pairing request is going to be sent to the management device.
  • This footprint uniquely representing the first device is identical for each generation and remains constant over time.
  • the imprint generated is an optical imprint, the generation of the imprint comprising the illumination of a transparent surface located in the first equipment, the imprint corresponding to a single image generated by the illumination of said surface.
  • said at least one verification of the data identifying the first device comprises verifying the possession of a private key associated with the certificate, by the first device.
  • the pairing request is authorized if the first device has said private key.
  • the first device pairing request is authorized, if the first device has proof of possession of the private key associated with said certificate.
  • the verification of the possession of the private key comprises:
  • said at least one verification of the data identifying the first equipment item comprises verifying whether the received certificate was issued by a predetermined certification authority.
  • the pairing request is authorized if the result of the check is positive
  • the predetermined certification authority belongs to a list of trusted certification authorities stored in the management device.
  • said at least one verification of the data identifying the first device comprises checking whether the first device associated with the certificate received is authorized to implement pairing.
  • the verification comprises consulting, in a database, data associated with the certificate, and determining, as a function of the data associated with the certificate, whether the first item of equipment associated with the certificate is authorized for pairing via the management device.
  • said at least one check comprises checking whether the fingerprint has been received previously in association with a certificate different from said certificate received in the pairing request.
  • the management device determines whether the pairing request can be authorized or must be refused. According to embodiments, one or more of the checks presented above are implemented.
  • the pairing request is refused if the first device does not have the private key associated with the certificate (for example if the management device sends random data to the first device so that it encrypts it with the private key associated with the certificate. certificate then that the decryption of the encrypted data sent back fails using the public key contained in the certificate sent previously), or if the certification authority has not been previously declared as valid or if the fingerprint received has been previously received in association with a certificate different from said certificate received in the pairing request.
  • the pairing request is authorized if the first device has the private key associated with the certificate (for example if the random data encrypted in the response of the first device to the challenge addressed by the management device) can be decrypted. with the public key of the certificate, and / or if the certification authority has been declared beforehand as valid and / or if the fingerprint received has not been previously received in association with a certificate different from the certificate received in the request pairing.
  • the management method comprises determining an area where the first item of equipment is located, and modifying the lighting of at least one light source of the management device, in order to visually identify said area where the first item of equipment. is located.
  • the light sources of the management device are configured to illuminate the area where the first device is located.
  • a device making a pairing request can be identified visually.
  • the management method comprises modifying the lighting of at least one light source of the management device, to visually indicate whether the pairing request has been authorized or refused.
  • different colors can be selected for the light emitted by at least one light source of the management device to indicate whether the pairing request has been allowed or denied.
  • the management method further comprises receiving an identity datum identifying the user of the first equipment item and verifying the identity of the user as a function of said identity data received.
  • This feature adds security to the exchanges between the devices.
  • the management method further comprises the transmission of at least a second pairing request to a third device connected by a wired connection to the management device.
  • the management method further comprises the transmission of at least a second pairing request to a third item of equipment linked by an optical connection to the management device.
  • the present invention relates, according to a second aspect, to a device for managing a request for pairing from a first device to a second device.
  • the management device is configured to communicate with the first device via an optical communication channel, and comprises:
  • a reception module configured to receive, via the optical communication channel, a pairing request comprising data representative of the identity of the first device
  • an authorization module configured to authorize or refuse the pairing request depending on the result of said at least one verification carried out on the data representative of the identity of the first device
  • a transmission module configured to transmit, via the optical communication channel, a security key to the first device, if the pairing request is authorized.
  • the transmission module is further configured to transmit to the first device a first piece of data generated randomly on receipt of the pairing request.
  • the management device comprises a verification module configured to verify whether the first equipment item has the private key associated with the certificate.
  • the verification module is configured for:
  • the verification module is further configured to verify whether the received certificate was issued by a predetermined certification authority.
  • the verification module is further configured to verify whether the first item of equipment associated with the received certificate is authorized to implement pairing.
  • the verification module is configured to consult, in a database, data associated with said certificate, and to determine, as a function of the data associated with said certificate, whether the certificate is authorized for pairing via said management device.
  • the verification module is configured to verify whether the fingerprint has been received previously in association with a certificate different from said certificate received in the pairing request.
  • the management device further comprises a determination module configured to determine an area where the first equipment item is located, and a lighting modification module configured to modify the lighting of at least one light source of the device. management device, to visually identify said zone where the first item of equipment is located.
  • the lighting modification module is configured to modify the lighting of at least one light source of the management device, to visually indicate whether the pairing request has been accepted or refused
  • the management device further comprises a second verification module configured to verify the identity of the user of the first equipment item.
  • the management device further comprises a transmission module configured for the transmission of at least one second pairing request to a third device connected by a wired connection to the management device.
  • the characteristics of the management method and of the management device below can be taken in isolation or in combination with each other.
  • the present invention relates, according to a third aspect, to a gateway comprising a management device according to the invention.
  • the present invention relates, according to a fourth aspect, to a computer program capable of being implemented on a management device, the program comprising code instructions for the implementation of the steps of the management method in accordance with the invention. , when executed by a processor.
  • the present invention relates, according to a fifth aspect, to an information medium readable by a processor in a management device, on which is recorded a computer program comprising code instructions for implementing the steps of the management method. according to the invention, when it is executed by the processor.
  • the management device, the gateway, the computer program and the information medium have characteristics and advantages similar to those described above in relation to the management method.
  • FIG. 2 is a diagram showing the first equipment, the second equipment and a management device according to one embodiment of the invention
  • FIG. 3 illustrates the steps of the management method in accordance with one embodiment of the invention
  • FIG. 4a illustrates a hardware architecture that can implement the management method according to the invention
  • FIG. 4b is a functional representation of a management device according to one embodiment of the invention.
  • Figure 1 shows a set of equipment 10-13 configured to implement communications by radio waves.
  • These devices 10-13 can form a local network 100 or a LAN type network (for "Local Area Network”), such as a residential network or a business network.
  • a LAN type network for "Local Area Network”
  • One of the items of equipment is an access gateway 13 allowing access of the items of equipment 11-12 of the local network 100 to a wide area communications network 200 or a WAN type network (for "Wide Area Network”), such as the Internet.
  • the local network 100 is formed by a mobile telephone terminal 10, a surveillance camera 11, a laptop computer 12 and an access gateway 13. Other equipment (not shown) can be part of the system.
  • local network 100 such as a tablet, a printer, an audio speaker, a television decoder, a television set, a games console, a household appliance, a sensor (for temperature, light, humidity, etc. ) or any other connected object, i.e. any object configured to send or receive information via a communication network.
  • These items of equipment can communicate with each other by means of radio waves, via the local network 100 or via bidirectional exchanges.
  • the devices 10-13 use for example the IP protocol (for “Internet Protocol”) to communicate with each other and to communicate with the extended network 200. They can also communicate with each other according to wireless communication standards such as WiFi, Bluetooth or others.
  • IP protocol for “Internet Protocol”
  • WiFi Wireless Fidelity
  • Bluetooth Wireless Fidelity
  • the access gateway 13 is configured to allow the devices 10-12 to send requests to a server 20 in the wide area network 200 and to receive in return responses from the server 20.
  • the server 20 is a server providing content, such as audio or video content, electronic messages or websites.
  • At least one of the devices 10-13 is configured to establish an optical communication channel C01 with a light source 30.
  • a single light source 30 is shown in FIG. 1. Of course, the number of light sources can be different.
  • the first item of equipment 10 comprises an optical emitter and a photoreceptor.
  • the first device 10 is a mobile telephone terminal of the "Smartphone" type.
  • the other items of equipment 11, 12, 13 are in this example a surveillance camera 11, a laptop computer 12 and an access gateway 13 and are respectively connected to the light source 30 via wire links CL3, CL2, CL1.
  • all of the equipment is linked to the light source via optical means.
  • each item of equipment communicates with the management device via an optical communication channel.
  • FIG. 2 schematically represents a first device 10, a second device 13 and a light source 30.
  • the first device 10 is a mobile telephone terminal and the second device 13 is an access gateway 13.
  • the light source 30 is for example a light-emitting diode (LED) lamp or a light providing localized lighting, known as a “light spot”.
  • the light source 30 is configured, in addition to to emit light for the primary purpose of illuminating, to emit information by means of the light.
  • the light source 30 is configured to emit information according to Li-Fi technology (for "Light Fidelity”) or equivalent technologies. Using Li-Fi technology, the data is encoded and transmitted according to a modulation of the amplitude of the light signal.
  • the light source 30 can include several light emitting diodes or LEDs.
  • the diodes electroluminescent lamps may have the same color or different colors.
  • the colors of the light emitting diodes can be used for visual information of the users of the equipment. For example, as will be described below, diodes of one color may emit light during the implementation of a pairing request, or upon the success or failure of a pairing request. pairing, etc.
  • the light emitting diodes form an optical emitter EO_30.
  • the light source 30 comprises an optical receiver or photoreceptor RO_30 for receiving light signals coming from light sources of the equipment 10-13.
  • the RO_30 photoreceptor is configured to demodulate the received signal and obtain the data which has been transmitted. For the RO photoreceptor to receive data, it must be located in the illumination area of the light source emitting the data.
  • the light source 30 further comprises a CTRL_30 control module comprising electronic circuits configured to implement the method for managing a pairing request according to the invention. This method will be described below with reference to FIG. 3.
  • the light source 30 forms a device for managing a pairing request.
  • This management device 30 can be integrated into a piece of equipment, for example the access gateway 13 or more, where the equipment 10-13 can be independent as shown in Figure 1 where the management device is a light spot.
  • management device In the embodiment shown, the terms management device, light source and light spot correspond to the same device 30.
  • the second item of equipment 13 is connected to the light spot 30 by means of a wired connection.
  • this wired connection is of the Ethernet or CPL type (for “Line Carrier Current”).
  • the first item of equipment 10 comprises an optical transmission module or optical transmitter EO_10, and an optical reception module, optical receiver or photoreceptor RO_10. It will be noted that in order for the first device 10 and the light spot 30 to be able to establish a communication channel C01, the photoreceptor RO_30 of the light spot 30 must be located in the lighting zone of the optical transmitter EO_10 of the first device 10 and the RO_10 photoreceptor of the first equipment 10 must be in the lighting zone of the optical emitter EO_30 of the light spot 30.
  • lighting zone of an optical emitter is meant the zone receiving the light beams emitted by the optical emitter, or the zone in which an optical receiver can receive the light beams emitted by the optical emitter.
  • the first equipment further comprises a transmitter and a radio receiver E / R_R_10 allowing radio communication (or communication by means of radio waves) with other equipment 11 -13, and in this embodiment shown, with the second equipment 13.
  • the second equipment 13 also comprises a transmitter and a radio receiver E / R_R_13 allowing radio communication (or communication by means of radio waves) with other equipment 10-12, and in this embodiment shown, with the first equipment 10.
  • the items of equipment 10, 13 and the light spot 30 are provided with communication interfaces (not illustrated) configured for the implementation of the aforementioned communications.
  • the first item of equipment 10 comprises a first interface suitable for implementing optical communications and a second interface suitable for implementing radio communications.
  • the light spot 30 comprises a first interface suitable for implementing optical communications and a second interface suitable for implementing wired communications.
  • the second device 20 comprises a first interface suitable for implementing wired communications and a second interface suitable for implementing radio communications.
  • the second item of equipment 20 comprises a third interface suitable for implementing communications with the extended communications network 200. In particular, this third interface allows devices 10-12 of the local area network 100 to issue requests to servers 40 in the wide area network and to receive responses.
  • FIG. 3 illustrates the steps of the process for managing a pairing request from the first device 10 to the second device 13, according to one embodiment.
  • the management method is implemented by the management device 30, the management device being in one embodiment a light spot.
  • the management device 30 receives E10 a pairing request from the first device 10.
  • the pairing request R1 is received by the management device 30 via an optical communication channel C01 ( Figures 1 and 2).
  • the pairing request includes data representative of the DATJD identity of the first device 10.
  • the data representative of the DATJD identity of the first device 10 make it possible to uniquely identify this first device 10.
  • the data representative of the identity of the first device 10 includes a CERT certificate associated with the first device 10.
  • the CERT certificate was generated beforehand for this first device by a certification authority, in association with a public key K2.
  • This public key K2 is contained in the CERT certificate and is used to decrypt the data encrypted with the private key K1.
  • a public key and a private key are associated with the CERT certificate.
  • the management device 30 comprises a list of trusted certification authorities, including the certification authority that generated the CERT certificate associated with the first equipment 10.
  • This list of certification authorities may be updated.
  • the pairing request R1 addressed to the management device 30 includes the CERT certificate associated with the first device.
  • the data representative of the DATJD identity further comprises a PUF fingerprint uniquely identifying the first device 10.
  • the pairing request R1 includes the CERT certificate and the PUF fingerprint uniquely identifying the first device 10.
  • the PUF footprint can be defined as a series of data that uniquely identifies the first device. This fingerprint is generated E0 by the first device prior to the transmission of a pairing request. It is identical for each generation and remains constant over time.
  • the imprint associated with the first device 10 is generated according to an unclonable physical function or PUF (for "Physical Unclonable Function” in English terminology).
  • PUF Physical Unclonable Function
  • Electronic components are all different in their physical structure. During the manufacture of electronic components physical variations occur, these variations make it possible to differentiate electronic components which are otherwise identical and manufactured at the same time by identical manufacturing processes.
  • An unclonable physical function or PUF can be defined as a physical entity in an electronic component.
  • the unclonable physical function or PUF is used for the generation of the PUF type imprint.
  • the imprint is generated by means of an inclonable physical function or optical PUF present in the first equipment 10.
  • An optical PUF is formed by a transparent material doped with light scattering particles. When light passes through this transparent surface, an image is generated by illuminating this surface. This surface being unique (or tiltable), the generated image is unique for each optical PUF and therefore for each device.
  • the data series representative of the generated image forms the PUF imprint.
  • the optical PUFs are located downstream of the optical transmitter.
  • the generated image is related to imperfections of the optical lens of the optical transmitter.
  • the PUF imprint is generated each time the first device 10 implements a transmission.
  • the PUF imprint is generated each time a pairing request FÎ1 will be sent to the management device 30.
  • the PUF imprint can only be generated during the first request to pair a device.
  • the management device stores the footprint associated with the equipment in memory for carrying out the necessary checks during subsequent pairings.
  • the management device When the management device receives a pairing request E10, it extracts the data identifying the first device 10. In this embodiment, the management device 30 extracts the CERT certificate and the PUF imprint uniquely identifying the first device. 10.
  • the pairing request received includes only one of the above data identifying the first device.
  • the management device 30 records the received CERT certificate in association with the received PUF imprint.
  • the certificate and the fingerprint are recorded in the memory of the management device 30 or in a database connected to the management device 30.
  • the database can be located in a server 20 connected to the control device.
  • management 30 via the second device 13.
  • the server can be connected directly to the management device or via a device other than the second device.
  • the management device 30 receiving the pairing request R1 performs a verification E20 of the data identifying the first device 10.
  • the verification implemented is different depending on the embodiments.
  • the verification E30 may include:
  • the verification E20 comprises at least one of the verification operations E21, E22, E23, E34 mentioned below. In addition, all combinations may be possible.
  • the verification E20 comprises checking whether the first device 10 has the private key K1 associated with the CERT certificate, if the certification authority which issued the CERT certificate is present in a list of trusted certification authorities , check (not shown), if the first device associated with the certificate received CERT is authorized to implement a pairing and if the PUF imprint was previously received in association with a certificate different from the certificate received CERT in the pairing request R1 (checks E21, E22, E23 and E24).
  • the checks consisting in verifying whether the device associated with the certificate received CERT is authorized to implement a pairing or whether the PUF imprint has been received previously in association with a different certificate can be implemented by consultation in a database, of data associated with the CERT certificate. Depending on the data associated with the certificate CERT, it can be determined whether the CERT certificate is authorized for pairing via the management device 30.
  • the database can be the same database in which the received CERT certificates and PUF fingerprints are stored in association, or a different database.
  • the data associated with the certificate include the certification authority issuing the certificate, a serial number contained in the certificate, the name of the user of the first device and an identifier of the management device. .
  • the identifier of the management device can be an identifier of a meeting room in which the management device is placed.
  • the management device 30 determines E30 whether the pairing request is authorized or refused.
  • the pairing request is authorized E30.
  • the verification E21 of the possession of the private key is implemented as follows.
  • the management device 30, on receipt of the pairing request R1, randomly generates a piece of data and transmits it to the first device 10.
  • the first device 10 encrypts this data and transmits it to the management device 30.
  • the management device 30 decrypts the data. received using the public key associated with the CERT certificate, this public key being contained in the CERT certificate. If the data obtained corresponds to the data that it had previously generated and sent to the first device 10, the management device determines that the first device has the private key. If, on the contrary, the data obtained does not correspond to the data that it had previously generated and sent to the first device 10, the management device determines that the first device does not have the private key.
  • the management device 30 sends a response E40, via the optical communication channel C01, to the first device 10 informing it of the authorization or refusal of the pairing request. Then, the management device 30 sends E50 to the first device 10 identification data for the second device 20, for example of the SSID type (for "Service Set Identifier") or a security key. These identification data for the second equipment 13 allow secure communications between the first equipment 10 and the second equipment 13 once the pairing has been implemented.
  • SSID type for "Service Set Identifier”
  • the management device 30 can address a WPA (for "Wi-Fi Protected Access") type key to the gateway 13 (second device).
  • WPA for "Wi-Fi Protected Access”
  • the management device can send to the first item of equipment a security key associated with the management device, for example the key of the light spot.
  • the first equipment 10 Once the first equipment 10 has the identification data of the second equipment 13, it can establish a connection with the second equipment 13 and send it its own identification data.
  • the exchanges between the first item of equipment 10 and the management device 30 are implemented according to a Diffie-Hellman type protocol.
  • the first item of equipment 10 and the management device 30 use the Diffie-Hellman protocol to calculate a key, called the session key.
  • This session key is used for the exchanges between the first device 10 and the management device 30.
  • the first device 10 sends to the management device 30, the pairing request R1 encrypted with the session key. calculated.
  • the management device 30 sends to the first device 10, the identification data of the second device 13 encrypted with the session key.
  • the exchanges between the first device 10 and the management device 30 necessary to verify the possession of the private key K1 associated with the CERT certificate by the first device 10 are implemented using the calculated session key.
  • the management device includes in memory the identification data of the equipment to which it is connected.
  • the identification data are obtained by the management device during the implementation of the method for managing a pairing request in order to be able to exchange the identification data between the first equipment and second equipment.
  • the first device 10 and the second device can communicate via a radio communication channel CR1.
  • a verification of an identity data item identifying the user of the first device 10 is implemented.
  • This feature adds security to the exchanges between the devices.
  • the first item of equipment and the second item of equipment can also communicate via the optical communication channel established between the first item of equipment and the management device and the wired communication channel between the management device and the second item of equipment.
  • the management device operates as an intermediary between the first device and the second device.
  • these communication channels having been used previously during the pairing phase, continue to be used subsequently during communication phases.
  • the use of these communication channels can be very useful, for example for communications in environments where radio communications should be avoided, for example in hospitals, nurseries or the like.
  • the first device 10 can either communicate with the second device via the radio communication channel CR1, or via the communication device. management 30, that is to say via the optical communication channel C01 and the wired communication channel CL1.
  • the management device 30 can determine E100 the zone where the first equipment item is located. This information is determined by the RO_30 photoreceptor of the management device. Based on this information, the lighting of at least one light source of the management device (or light spot) 30 is modified E101 to visually identify the area where the first equipment 10 is located.
  • a first group of light sources or LEDs may light up and a second group of light sources or LEDs may turn off so as to illuminate only the area where the first equipment 10 is located.
  • a device initiating a pairing can be identified visually. Thanks to this feature an unauthorized user can be easily spotted.
  • the color of the light emitted by the light spot may change depending on the result of the check E20. This feature makes it possible to visually indicate whether the pairing request has been accepted or refused.
  • different colors can be selected for the light emitted by at least one light source of the management device 30 to indicate whether the pairing request has been accepted or refused.
  • the management method when the pairing request is validated, further comprises the transmission of at least one second pairing request to a third device 11, 12 connected by a wired connection to the management device 30.
  • the management device 30 includes a list of the items of equipment 11 -13 to which it is connected. Once the pairing request from the first device 10 is validated, the user of the first device 10 can select from the list at least one second device to initiate a pairing request.
  • This new pairing request may not require the implementation of the checks implemented previously, for example if the new pairing request is transmitted in the same session. In this case, the pairing with the rest of the equipment is thus implemented quickly.
  • the pairing with the second device 13 requested by the first device 10 authorized the pairing with the rest of the devices 11, 12 connected to the management device 30 is implemented automatically.
  • FIG. 4a schematically illustrates a hardware architecture of a management device 30 capable of implementing the management method according to the invention.
  • the management device 30 comprises an optical receiver or photoreceptor RO_30, an optical transmitter EO_30 and a control module CTRL_30.
  • This CTRL_30 control module comprises a communication bus 300 to which are connected:
  • a processing unit 301 named in the figure CPU (for “Central Processing Unit”) and which may include one or more processors;
  • non-volatile memory 302 for example ROM (for “Read Only Memory”), EEPROM (for “Electrically Erasable Read Only Memory”) or a Flash memory;
  • Random Access Memory a random access memory 303 or RAM (standing for “Random Access Memory”);
  • an input / output interface 304 named in the figure I / O (for “Input / Output”), for example keys or buttons, a screen, a keyboard, a mouse or other pointing device such as a touch screen or a remote control allowing a user to interact with the management device 30 via a graphical interface or man-machine interface; and
  • Communication interfaces 305 suitable for exchanging data for example with the first device 10, with the second device 13, or with a database DB via a communication network 100, 200.
  • These interfaces communication 305 are in particular configured to establish optical communication channels C01, radio communication channels CR1 or wired communication channels CL1, CL2, CL3.
  • Random access memory 303 comprises registers suitable for recording the variables and parameters created and modified during the execution of a computer program comprising instructions for implementing the management method according to the invention.
  • the instruction codes of the program stored in non-volatile memory 302 are loaded into RAM memory 303 for execution by the processing unit CPU 301.
  • the non-volatile memory 302 is for example a rewritable memory of the EEPROM or Flash memory type which can constitute a medium within the meaning of the invention, that is to say which can comprise a computer program comprising instructions for the implementation of the. management method according to the invention.
  • the rewritable memory can include, for example, a database in which CERT certificates are recorded in association with PUF fingerprints, or comprising a list of equipment linked to the management device 30, or a list of authorized certification authorities. This database can be updated as pairing requests are received.
  • FIG. 4b is a functional representation of a device 30 for managing a pairing request according to one embodiment.
  • These modules include in particular: a reception module 31 configured to receive, via the optical communication channel C01, a pairing request comprising data representative of the identity of the first device 10,
  • an authorization module 32 configured to authorize or refuse the pairing request depending on the result of said at least one verification E20 implemented on the data representative of the identity of the first device 10, and
  • a transmission module 33 configured to transmit, via the optical communication channel C01, a security key to the first device 10, if the pairing request is authorized.
  • the transmission module 33 is further configured to transmit to the first device a first piece of data generated randomly on receipt of the pairing request R1.
  • the management device comprises a verification module 34 configured for:
  • checking whether the first device has the private key associated with the certificate for example by checking whether an encrypted data received can be decrypted with a public key contained in the certificate.
  • the management device 30 can further comprise, depending on the embodiments:
  • a determination module 35 configured to determine an area where the first equipment item is located, and a lighting modification module configured to modify the lighting of at least one light source of the management device, to visually identify said area where the first equipment is located, and / or a second verification module 36 configured for the identity of the user as a function of said identity datum received, and / or
  • a transmission module 37 configured for the transmission of at least a second pairing request to a third device connected by a wired connection to the management device.
  • the aforementioned modules and means are controlled by the processor of the processing unit 301. They can take the form of a program executable by a processor, or a material form (or “hardware”), such as a specialized integrated circuit (known in Anglo-Saxon terminology known as ASIC for “Application-Specific Integrated Circuit”), a system on chip (known in Anglo-Saxon terminology as SoC for “System On Chip”), or an electronic component of the programmable logic circuit type, such as than an FPGA type component (for “Field-Programmable Gâte Array”).
  • ASIC Application-Specific Integrated Circuit
  • SoC System On Chip
  • the first equipment 10 also comprises a communication bus to which are connected a processing unit or microprocessor, a non-volatile memory, a random access memory or RAM, and a communication interface suitable in particular for exchanging data with the management device 30.
  • first equipment 10 can for example send the management device 30 a request for pairing with a second equipment 13.
  • the first equipment 10 can receive messages from the management device 30, for example to inform it if the request for pairing is accepted or refused or send it cryptographic keys.
  • the management device 30 is integrated into the second device 13, this second device being, by way of non-limiting example, an access gateway.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un procédé de gestion d'une demande d'appairage d'un premier équipement (10) à un deuxième équipement (13), est mis en œuvre par un dispositif de gestion (30) d'une demande d'appairage configuré pour communiquer avec le premier équipement (10) via un canal de communication optique. Le procédé de gestion comporte : - la réception (E10) via ledit canal de communication optique, d'une requête d'appairage (R1) comprenant de données représentatives de l'identité (DAT_ID) du premier équipement (10), - l'autorisation ou le refus (E30) de la demande d'appairage en fonction du résultat de d'au moins une vérification (E20) mise en œuvre sur les données représentatives de l'identité (DAT_ID) du premier équipement (10), et - si la demande d'appairage est autorisée, transmission via ledit canal de communication optique, d'une clé de sécurité au premier équipement (10)

Description

Procédé et dispositif de gestion d’une demande d’appairage d’un premier équipement avec un deuxième équipement.
La présente invention concerne un procédé de gestion d’une demande d’appairage d’un premier équipement avec un deuxième équipement.
Elle concerne en outre un dispositif de gestion d’une demande d’appairage mettant en oeuvre le procédé précité.
L’invention s’applique en particulier à des équipements communiquant au moyen d’ondes radioélectriques, dans un contexte professionnel, par exemple dans des salles de réunion ou des bureaux, mais aussi dans un contexte domestique.
Afin de sécuriser les communications entre deux équipements communiquant selon une technologie sans fils, il est nécessaire de mettre en oeuvre une phase d’appairage pendant laquelle des données sont échangées entre les équipements afin de déterminer une clé de sécurité. Cette clé de sécurité sera utilisée lors des communications entre les équipements.
La phase d’appairage entre deux équipements peut être initiée de différentes manières. Par exemple, la phase d’appairage peut être démarrée par une action de l’utilisateur tel que l’appui sur un bouton, la mise sous tension de l’équipement, ou la saisie d’un code PIN.
Pendant cette phase d’appairage les équipements sont vulnérables à des attaques qui compromettent la sécurité des échanges ultérieurs entre les équipements. Par exemple, un tiers peut observer les échanges entre les deux équipements et générer la clé de sécurité qui sera utilisé dans les échanges ultérieurs entre les équipements. Dans un autre exemple, un équipement tiers opéré par un utilisateur malicieux peut s’appairer à un point d’accès, sans qu’un équipement légitime s’en aperçoive. Aussi, un équipement cherchant à s’appairer à son point d’accès, peut se connecter à un point d’accès malicieux sans que l’utilisateur de l’équipement en soit averti.
La présente invention propose d’améliorer cette situation en sécurisant les demandes d’appairage entre les équipements. A cet effet, l’invention vise, selon un premier aspect, un procédé de gestion d’une demande d’appairage d’un premier équipement à un deuxième équipement, mis en oeuvre par un dispositif de gestion d’une demande d’appairage configuré pour communiquer avec le premier équipement via un canal de communication optique. Le procédé de gestion comporte :
- la réception via le canal de communication optique, d’une requête d’appairage comprenant des données représentatives de l’identité du premier équipement,
- l’autorisation ou le refus de la demande d’appairage en fonction du résultat d’au moins une vérification mise en oeuvre sur les données représentatives de l’identité du premier équipement, et
- si la demande d’appairage est autorisée, transmission via le canal de communication optique, d’une clé de sécurité au premier équipement.
Le premier équipement et le dispositif de gestion établissant un canal de communication optique, les messages échangés entre eux sont difficilement interceptés par un tiers.
En effet, un canal de communication optique est créé lorsqu’un photorécepteur reçoit un signal en provenance d’une source lumineuse. Pour que le canal de communication optique soit créé, le photorécepteur doit être situé dans la zone d’éclairage de la source lumineuse. Aucun obstacle, tel un mur, doit être situé entre la source lumineuse et le photorécepteur. Si un obstacle est présent entre la source lumineuse et le photorécepteur, le canal de communication optique ne peut pas être établi.
Ainsi, pour que le canal de communication optique bidirectionnel soit établi entre le premier équipement et le dispositif de gestion, un photorécepteur embarqué dans le dispositif de gestion d’une demande d’appairage doit être dans la zone d’éclairage d’une source lumineuse embarquée dans premier équipement et un photorécepteur embarqué dans le premier équipement doit être dans la zone d’éclairage d’une source lumineuse embarquée dans le dispositif de gestion.
Par conséquent, les échanges entre le dispositif de gestion d’une demande d’appairage et le premier équipement sont difficilement observables par un tiers. En outre, les appairages résultant d’actes malveillants sont limités. Autrement dit, il y a de faibles chances pour qu’un tiers malveillant intercepte des messages échangés entre le premier équipement et le dispositif de gestion, pour qu’il réussisse un appairage avec le deuxième équipement ou pour qu’il se fasse passer pour le premier équipement.
Par conséquent, la communication entre le dispositif de gestion d’une demande d’appairage et le premier équipement est sécurisée, et notamment par rapport aux communications effectuées via des ondes radioélectriques, ce type d’ondes étant omnidirectionnelles.
Si la demande d’appairage est refusée, l’appairage n’est pas mis en oeuvre.
Si la demande d’appairage est autorisée, l’appairage est mis en oeuvre. Lors de l’appairage, le dispositif de gestion adresse au premier équipement des clés de sécurité associées au deuxième équipement. Ces clés de sécurité seront utilisées pour le chiffrement et l’authentification des communications ultérieures entre le premier équipement et le deuxième équipement.
Dans un mode de réalisation, le dispositif de gestion a une liste, par exemple enregistrée en mémoire, avec des clés de sécurité des équipements auquel il est relié, en particulier du deuxième équipement.
Dans un autre mode de réalisation, le premier équipement et le deuxième équipement échangent via ledit dispositif de gestion, les clés de sécurité. Autrement dit, le dispositif de gestion reçoit du deuxième équipement, la clé de sécurité à transmettre au premier équipement.
Dans un mode de réalisation, le dispositif de gestion est configuré pour communiquer avec le deuxième équipement via un canal de communication filaire.
Ainsi, les échanges entre le dispositif de gestion et le deuxième équipement sont sécurisés. En outre, contrairement aux communications mises en oeuvre via au canal de communication optique, le positionnement relatif du dispositif de gestion et du deuxième équipement n’a pas de contraintes, et leur installation est flexible. Par exemple, le dispositif de gestion et le deuxième équipement peuvent être positionnés dans des pièces différentes. En outre, le dispositif de gestion et le deuxième équipement peuvent être situés à distance. Par conséquent, le premier équipement et le premier équipement peuvent être situés à distance, l’appairage entre eux étant mis en oeuvre de manière sécurisée via le dispositif de gestion.
Dans un autre mode de réalisation, le dispositif de gestion est configuré pour communiquer avec le deuxième équipement via un canal de communication optique.
Ce mode de réalisation a l’avantage d’éviter d’installation de fils tout en garantissant des communications sécurisées entre le dispositif de gestion et le deuxième équipement.
Selon une caractéristique, les données représentatives de l’identité du premier équipement comportent un certificat associé au premier équipement.
Ainsi, la requête d’appairage comporte le certificat associé au premier équipement.
Selon une autre caractéristique, les données représentatives de l’identité du premier équipement comportent en outre une suite de données représentatives d’une empreinte identifiant de manière unique ledit premier équipement.
Ainsi, la requête d’appairage comporte une empreinte identifiant de manière unique le premier équipement, en plus du certificat.
Dans d’autres modes de réalisation, la requête d’appairage comporte soit le certificat, soit l’empreinte identifiant le premier équipement.
Selon une caractéristique, le procédé de gestion comporte l’enregistrement du certificat reçu en association avec l’empreinte reçue.
Par exemple, le certificat et l’empreinte sont enregistrés dans une base de données. Cette base de données peut être dans le dispositif de gestion ou reliée au dispositif de gestion.
Selon une caractéristique, la suite de données représentative de l’empreinte est générée par le premier équipement, préalablement à la transmission de la requête d’appairage au dispositif de gestion. L’empreinte (et la suite de données représentative de l’empreinte) peut être générée à chaque fois qu’une requête d’appairage va être adressée au dispositif de gestion. Cette empreinte représentant de manière unique le premier équipement est identique à chaque génération et reste constant dans le temps.
Par exemple, l’empreinte générée est une empreinte optique, la génération de l’empreinte comportant l’éclairage d’une surface transparente située dans le premier équipement, l’empreinte correspondant à une image unique générée par l’éclairage de ladite surface.
Selon une caractéristique, ladite au moins une vérification des données identifiant le premier équipement comporte vérifier la possession d’une clé privée associée au certificat, par le premier équipement.
La demande d’appairage est autorisée si le premier équipement possède ladite clé privée. Ainsi, la demande d’appairage du premier équipement est autorisé, si le premier équipement a une preuve de la possession de la clé privée associée audit certificat.
Selon une caractéristique, la vérification de la possession de la clé privée comporte :
- transmettre au premier équipement une première donnée générée aléatoirement à réception de la requête d’appairage,
- recevoir, du premier équipement, une seconde donnée correspondant à la première donnée chiffrée,
- déchiffrer la seconde donnée avec une clé publique contenue dans le certificat reçu, et
- si la seconde donnée déchiffrée correspond à la première donnée générée, déterminer que le premier équipement possède la clé privée.
Selon une caractéristique, ladite au moins une vérification des données identifiant le premier équipement comporte vérifier si le certificat reçu a été émis par une autorité de certification prédéterminée.
La demande d’appairage est autorisée si le résultat de la vérification est positif
Par exemple, l’autorité de certification prédéterminée appartient à une liste d’autorités de certification de confiance stockée dans le dispositif de gestion. Selon une caractéristique, ladite au moins une vérification des données identifiant le premier équipement comporte vérifier si le premier équipement associé au certificat reçu est autorisé à mettre en oeuvre un appairage.
En pratique, la vérification comporte consulter, dans une base de données, de données associées au certificat, et déterminer en fonction des données associées au certificat, si le premier équipement associé au certificat est autorisé pour un appairage via le dispositif de gestion.
Selon une caractéristique, ladite au moins une vérification comporte vérifier si l’empreinte a été reçue précédemment en association avec un certificat différent dudit certificat reçu dans la requête d’appairage.
En fonction du résultat des vérifications précitées, le dispositif de gestion détermine si la demande d’appairage peut être autorisée ou doit être refusée. Selon des modes de réalisation, une ou plusieurs des vérifications présentées ci-dessus sont mises en oeuvre.
Par exemple, la demande d’appairage est refusée si le premier équipement ne possède pas la clé privée associé au certificat (par exemple si le dispositif de gestion envoie une donnée aléatoire au premier équipement afin qu’il la chiffre avec la clé privée associée au certificat puis que le déchiffrement de la donnée chiffrée envoyée en retour échoue en utilisant la clé publique contenue dans le certificat envoyé précédemment), ou si l’autorité de certification n’a pas été déclarée préalablement comme étant valable ou si l’empreinte reçue a été précédemment reçue en association avec un certificat différent dudit certificat reçu dans la requête d’appairage.
Selon des modes de réalisation, la demande d’appairage est autorisée si le premier équipement possède la clé privée associé au certificat (par exemple si la donnée aléatoire chiffrée dans la réponse du premier équipement au challenge adressé par le dispositif de gestion) peut être déchiffrée avec la clé publique du certificat, et/ou si l’autorité de certification a été déclarée préalablement comme étant valable et/ou si l’empreinte reçue n’a pas été précédemment reçue en association avec un certificat différent du certificat reçu dans la requête d’appairage. Selon une caractéristique, le procédé de gestion comporte la détermination d’une zone où le premier équipement se situe, et la modification de l’éclairage d’au moins une source lumineuse du dispositif de gestion, pour identifier visuellement ladite zone où le premier équipement est situé.
Par exemple, si la demande d’appairage est autorisée, les sources lumineuses du dispositif de gestion sont configurées pour éclairer la zone où se situe le premier équipement.
Ainsi, un équipement faisant une demande d’appairage peut être identifié visuellement.
Selon une caractéristique, le procédé de gestion comporte la modification de l’éclairage d’au moins une source lumineuse du dispositif de gestion, pour indiquer visuellement si la demande d’appairage a été autorisée ou refusée.
Par exemple, des couleurs différentes peuvent être sélectionnées pour la lumière émise par au moins une source lumineuse du dispositif de gestion pour indiquer si la demande d’appairage a été autorisée ou refusée.
Selon une caractéristique, si la demande d’appairage est autorisée, le procédé de gestion comporte en outre la réception d’une donnée d’identité identifiant l’utilisateur du premier équipement et la vérification de l’identité de l’utilisateur en fonction de ladite donnée d’identité reçue.
Cette caractéristique ajoute de la sécurité dans les échanges entre les équipements.
Selon une caractéristique, si la demande d’appairage est autorisée, le procédé de gestion comporte en outre la transmission d’au moins une deuxième requête d’appairage vers un troisième équipement relié par une connexion filaire au dispositif de gestion.
Ainsi, une fois que l’appairage du premier équipement au deuxième équipement est mis en oeuvre, il est possible d’appairer le premier équipement à d’autres équipements reliés au dispositif de gestion via une liaison filaire.
Selon une autre caractéristique, si la demande d’appairage est autorisée, le procédé de gestion comporte en outre la transmission d’au moins une deuxième requête d’appairage vers un troisième équipement relié par une connexion optique au dispositif de gestion.
Ainsi, une fois que l’appairage du premier équipement au deuxième équipement est mis en oeuvre, il est possible d’appairer le premier équipement à d’autres équipements reliés au dispositif de gestion via un canal de communication optique.
La présente invention concerne, selon un deuxième aspect, un dispositif de gestion d’une demande d’appairage d’un premier équipement à un deuxième équipement. Le dispositif de gestion est configuré pour communiquer avec le premier équipement via un canal de communication optique, et comporte :
- un module de réception configuré pour recevoir via le canal de communication optique, une requête d’appairage comprenant des données représentatives de l’identité du premier équipement,
- un module d’autorisation configuré pour autoriser ou refuser la demande d’appairage en fonction du résultat de ladite au moins une vérification mise en oeuvre sur les données représentatives de l’identité du premier équipement, et
- un module de transmission configuré pour transmettre, via le canal de communication optique, une clé de sécurité au premier équipement, si la demande d’appairage est autorisée.
Selon un mode de réalisation, le module de transmission est configuré en outre pour transmettre au premier équipement une première donnée générée aléatoirement à réception de la requête d’appairage.
Selon une caractéristique, le dispositif de gestion comporte un module de vérification configuré pour vérifier si le premier équipement possède la clé privée associé au certificat.
Selon un mode de réalisation, le module de vérification est configuré pour :
- recevoir, du premier équipement, une seconde donnée correspondant à la première donnée chiffrée, - déchiffrer la seconde donnée avec une clé publique contenue dans le certificat reçu, et
- déterminer que le premier équipement possède la clé privée, si la seconde donnée déchiffrée correspond à la première donnée générée.
Selon une caractéristique, le module de vérification est en outre configuré pour vérifier si le certificat reçu a été émis par une autorité de certification prédéterminée.
Selon une caractéristique, le module de vérification est configuré en outre pour vérifier si le premier équipement associé au certificat reçu est autorisé à mettre en oeuvre un appairage.
Par exemple, le module de vérification est configuré pour consulter, dans une base de données, de données associées audit certificat, et déterminer en fonction des données associées audit certificat, si le certificat est autorisé pour un appairage via ledit dispositif de gestion.
Selon une caractéristique, le module de vérification est configuré pour vérifier si l’empreinte a été reçue précédemment en association avec un certificat différent dudit certificat reçu dans la requête d’appairage.
Selon une caractéristique, le dispositif de gestion comporte en outre un module de détermination configuré pour déterminer une zone où le premier équipement se situe, et un module de modification de l’éclairage configuré pour modifier l’éclairage d’au moins une source lumineuse du dispositif de gestion, pour identifier visuellement ladite zone où le premier équipement est situé.
Selon une caractéristique, le module de modification de l’éclairage est configuré pour modifier l’éclairage d’au moins une source lumineuse du dispositif de gestion, pour indiquer visuellement si la demande d’appairage a été acceptée ou refusée
Selon une caractéristique, le dispositif de gestion comporte en outre, un deuxième module de vérification configuré pour vérifier l’identité de l’utilisateur du premier équipement.
Selon une caractéristique, le dispositif de gestion comporte en outre un module de transmission configuré pour la transmission d’au moins une deuxième requête d’appairage vers un troisième équipement relié par une connexion filaire au dispositif de gestion.
Les caractéristiques du procédé de gestion et du dispositif de gestion ci-dessous peuvent être prises isolément ou en combinaison les unes avec les autres.
La présente invention concerne, selon un troisième aspect, une passerelle comportant un dispositif de gestion conforme à l’invention.
La présente invention concerne, selon un quatrième aspect, un programme d’ordinateur apte à être mis en oeuvre sur un dispositif de gestion, le programme comprenant des instructions de code pour la mise en oeuvre des étapes du procédé de gestion conforme à l’invention, lorsqu’il est exécuté par un processeur.
La présente invention concerne, selon un cinquième aspect, un support d’informations lisible par un processeur dans un dispositif de gestion, sur lequel est enregistré un programme d’ordinateur comprenant des instructions de code pour la mise en oeuvre des étapes du procédé de gestion conforme à l’invention, lorsqu’il est exécuté par le processeur.
Le dispositif de gestion, la passerelle, le programme d’ordinateur et le support d’informations présentent des caractéristiques et avantages analogues à ceux décrits précédemment en relation avec le procédé de gestion.
D'autres particularités et avantages de l'invention apparaîtront encore dans la description ci-après. Aux dessins annexés, donnés à titre d'exemples non limitatifs :
- la figure 1 illustre schématiquement le contexte de l’invention,
- la figure 2 est un schéma représentant le premier équipement, le deuxième équipement et un dispositif de gestion conforme à un mode de réalisation de l’invention,
- la figure 3 illustre des étapes du procédé de gestion conforme à un mode de réalisation de l’invention,
- la figure 4a illustre une architecture matérielle pouvant mettre en oeuvre le procédé de gestion conforme à l’invention, et - la figure 4b est une représentation fonctionnelle d’un dispositif de gestion conforme à un mode de réalisation de l’invention.
La figure 1 représente un ensemble d’équipements 10-13 configurés pour mettre en oeuvre des communications par ondes radioélectriques. Ces équipements 10-13 peuvent former un réseau de local 100 ou réseau de type LAN (pour « Local Area Network »), tel qu’un réseau résidentiel ou un réseau d’entreprise. Un des équipements est une passerelle d’accès 13 permettant l’accès des équipements 11-12 du réseau local 100 à un réseau de communications étendu 200 ou réseau de type WAN (pour « Wide Area Network »), tel qu’internet.
Dans l’exemple représenté, le réseau local 100 est formé par un terminal de téléphonie mobile 10, une caméra de surveillance 11 , un ordinateur portable 12 et une passerelle d’accès 13. D’autres équipements (non représentés) peuvent faire partie du réseau local 100, tel qu’une tablette, qu’une imprimante, une enceinte audio, un décodeur de télévision, un téléviseur, une console de jeux, un appareil électroménager, un capteur (de température, de luminosité, d’humidité, etc) ou tout autre objet connecté, c’est-à-dire tout objet étant configuré pour émettre ou recevoir des informations via un réseau de communication.
Ces équipements peuvent communiquer entre eux au moyen des ondes radioélectriques, via le réseau local 100 ou via des échanges bidirectionnels.
Les équipements 10-13 utilisent par exemple le protocole IP (pour « Internet Protocol ») pour communiquer entre eux et pour communiquer avec le réseau étendu 200. Ils peuvent aussi communiquer entre eux selon des normes de communication sans fils tel que WiFi, Bluetooth ou autres.
La passerelle d’accès 13 est configurée pour permettre aux équipements 10-12 l’émission de requêtes à destination d’un serveur 20 dans le réseau étendu 200 et la réception en retour des réponses provenant du serveur 20. A titre illustratif, le serveur 20 est un serveur mettant à disposition des contenus, tel que des contenus audio ou vidéo, des messages électroniques ou des sites Web. Au moins un des équipements 10-13 est configuré pour établir un canal de communication optique C01 avec une source lumineuse 30.
Une seule source lumineuse 30 est représentée à la figure 1. Bien entendu, le nombre de sources lumineuses peut être différent.
En particulier, comme représenté à la figure 2, le premier équipement 10 comporte un émetteur optique et un photorécepteur.
Dans l’exemple représenté, le premier équipement 10 est un terminal de téléphonie mobile du type « Smartphone ». Les autres équipements 11 , 12, 13, sont dans cet exemple une caméra de surveillance 11 , un ordinateur portable 12 et une passerelle d’accès 13 et sont respectivement reliés à la source lumineuse 30 via des liaisons filaires CL3, CL2, CL1 .
Dans un autre mode de réalisation non illustré, l’ensemble des équipements est lié à la source lumineuse via de moyens optiques. Dans ce mode de réalisation, chaque équipement communique avec le dispositif de gestion via un canal de communication optique.
La figure 2 représente schématiquement un premier équipement 10, un deuxième équipement 13 et une source lumineuse 30.
Dans l’exemple décrit, le premier équipement 10 est un terminal de téléphonie mobile et le deuxième équipement 13 une passerelle d’accès 13.
Bien entendu, l’invention ne se limite pas à ces équipements mais s’applique à d’autres équipements comme indiqué ci-dessous.
La source lumineuse 30 est par exemple une lampe à diodes électroluminescentes (LED) ou une lumière assurant un éclairage localisé, connu comme « spot lumineux ». La source lumineuse 30 est configurée, en plus de pour émettre de la lumière dans le but premier d’éclairer, pour émettre de l’information au moyen de la lumière. Dans un mode de réalisation, la source lumineuse 30 est configurée pour émettre de l’information selon la technologie Li-Fi (pour « Light Fidelity ») ou des technologies équivalentes. Selon la technologie Li-Fi, les données sont codées et émises selon une modulation de l’amplitude du signal lumineux.
La source lumineuse 30 peut comprendre plusieurs diodes électroluminescentes ou LED. Selon des modes de réalisation, les diodes électroluminescentes peuvent présenter la même couleur ou des couleurs différentes. Les couleurs des diodes électroluminescentes peuvent être utilisées pour l’information visuelle des utilisateurs des équipements. Par exemple, comme il sera décrit ci-dessous, les diodes d’une couleur peuvent émettre de la lumière pendant la mise en oeuvre d’une demande d’appairage, ou lors de la réussite ou l’échec d’une demande d’appairage, etc.
Dans un mode de réalisation, les diodes électroluminescentes forment un émetteur optique EO_30. En outre, la source lumineuse 30 comporte un récepteur optique ou photorécepteur RO_30 pour recevoir des signaux lumineux en provenance de sources lumineuses des équipements 10-13. Le photorécepteur RO_30 est configuré pour démoduler le signal reçu et obtenir les données qui ont été émises. Pour que le photorécepteur RO reçoive des données, il doit être situé dans la zone d’éclairage de la source lumineuse émettant les données.
La source lumineuse 30 comporte en outre un module de contrôle CTRL_30 comportant de circuits électroniques configurés pour mettre en oeuvre le procédé de gestion d’une demande d’appairage selon l’invention. Ce procédé sera décrit ci-dessous en référence à la figure 3. Ainsi, la source lumineuse 30 forme un dispositif de gestion d’une demande d’appairage. Ce dispositif de gestion 30 peut être intégré dans un équipement, par exemple la passerelle d’accès 13 ou outre, où peut être indépendant des équipements 10-13 comme représenté à la figure 1 où le dispositif de gestion est un spot lumineux.
Dans le mode de réalisation représenté, les termes dispositif de gestion, source lumineuse et spot lumineux correspondent à un même dispositif 30.
Dans le mode de réalisation représenté, le deuxième équipement 13 est relié au spot lumineux 30 au moyen d’une connexion filaire. Par exemple, cette connexion filaire est de type Ethernet ou CPL (pour « Courant Porteurs en Ligne »).
Le premier équipement 10 comporte un module d’émission optique ou émetteur optique EO_10, et un module de réception optique, récepteur optique ou photorécepteur RO_10. On notera que pour que le premier équipement 10 et le spot lumineux 30 puissent établir un canal de communication C01 , le photorécepteur RO_30 du spot lumineux 30 doit être situé dans la zone d’éclairage de l’émetteur optique EO_10 du premier équipement 10 et le photorécepteur RO_10 du premier équipement 10 doit être dans la zone d’éclairage de l’émetteur optique EO_30 du spot lumineux 30.
On entend par zone d’éclairage d’un émetteur optique comme la zone recevant les faisceaux lumineux émis par l’émetteur optique, ou la zone dans laquelle un récepteur optique peut recevoir les faisceaux lumineux émis par l’émetteur optique.
Le premier équipement comporte en outre un émetteur et un récepteur radio E/R_R_10 permettant la communication radio (ou communication au moyen d’ondes radioélectriques) avec d’autres équipements 11 -13, et dans ce mode de réalisation représenté, avec le deuxième équipement 13.
Le deuxième équipement 13 comporte aussi un émetteur et un récepteur radio E/R_R_13 permettant la communication radio (ou communication au moyen d’ondes radioélectriques) avec d’autres équipements 10-12, et dans ce mode de réalisation représenté, avec le premier équipement 10.
On notera que les équipements 10, 13 et le spot lumineux 30 sont dotés d’interfaces de communication (non illustrées) configurées pour la mise en oeuvre des communications précitées. Ainsi, dans le mode de réalisation décrit, le premier équipement 10 comporte une première interface adaptée à la mise en oeuvre de communications optiques et une deuxième interface adaptée à la mise en oeuvre de communications radio. Le spot lumineux 30 comporte une première interface adaptée à la mise en oeuvre de communications optiques et une deuxième interface adaptée à la mise en oeuvre de communications filaires. Le deuxième équipement 20 comporte une première interface adaptée à la mise en oeuvre de communications filaires et une deuxième interface adaptée à la mise en oeuvre de communications radio. En outre, le deuxième équipement 20 comporte une troisième interface adaptée à la mise en oeuvre de communications avec le réseau de communications étendu 200. En particulier, cette troisième interface permet aux dispositifs 10-12 du réseau local 100 d’émettre des requêtes vers des serveurs 40 dans le réseau étendu et de recevoir des réponses.
La figure 3 illustre des étapes du procédé de gestion d’une demande d’appairage du premier équipement 10 au deuxième équipement 13, selon un mode de réalisation. Le procédé de gestion est mis en oeuvre par le dispositif de gestion 30, le dispositif de gestion étant dans un mode de réalisation un spot lumineux.
Lorsque le premier équipement 10 demande l’appairage au deuxième équipement 13, le dispositif de gestion 30 reçoit E10 une requête d’appairage en provenance du premier équipement 10.
Dans un mode de réalisation, la requête d’appairage R1 est reçue par le dispositif de gestion 30 via un canal de communication optique C01 (figures 1 et 2).
La requête d’appairage comporte des données représentatives de l’identité DATJD du premier équipement 10.
Les données représentatives de l’identité DATJD du premier équipement 10 permettent d’identifier de manière unique ce premier équipement 10.
Dans un mode de réalisation, les données représentatives de l’identité du premier équipement 10 comportent un certificat CERT associé au premier équipement 10.
Le certificat CERT a été généré préalablement pour ce premier équipement par une autorité de certification, en association avec une clé publique K2. Cette clé publique K2 est contenue dans le certificat CERT et permet de déchiffrer les données chiffrées avec la clé privée K1 . Ainsi, une clé publique et une clé privée sont associées au certificat CERT.
Selon un mode de réalisation, le dispositif de gestion 30 comporte un liste d’autorités de certification de confiance, dont fait partie l’autorité de certification ayant généré le certificat CERT associé au premier équipement 10.
Cette liste d’autorités de certification peut être mise à jour.
Les certificats et les algorithmes de chiffrement sont connus de l’homme du métier et ne seront pas décrit ici. Ainsi, dans un mode de réalisation, la requête d’appairage R1 adressée au dispositif de gestion 30 comporte le certificat CERT associé au premier équipement.
Dans un mode de réalisation, les données représentatives de l’identité DATJD comportent en outre une empreinte PUF identifiant de manière unique le premier équipement 10.
Ainsi, dans ce mode de réalisation, la requête d’appairage R1 comporte le certificat CERT et l’empreinte PUF identifiant de manière unique le premier équipement 10.
L’empreinte PUF peut être définie comme une suite de données identifiant de manière unique le premier équipement. Cette empreinte est générée E0 par le premier équipement préalablement à la transmission d’une requête d’appairage. Elle est identique à chaque génération et reste constante dans le temps.
Dans un mode de réalisation, l’empreinte associée au premier équipement 10 est généré selon une fonction physique inclonable ou PUF (pour « Physical Unclonable Function » en terminologie anglo-saxonne). Les composants électroniques sont tous différents de par leur structure physique. Lors de la fabrication des composants électroniques des variations physiques se produisent, ces variations permettent de différencier des composants électroniques par ailleurs identiques et fabriqués en même temps par des procédés de fabrication identiques.
Une fonction physique inclonable ou PUF peut être définie comme une entité physique dans un composant électronique. La fonction physique inclonable ou PUF est utilisée pour la génération de l’empreinte de type PUF.
Dans un mode de réalisation, l’empreinte est générée au moyen d’une fonction physique inclonable ou PUF optique présente dans le premier équipement 10. Une PUF optique est formée par un matériau transparent dopé avec des particules diffusant la lumière. Lorsque la lumière traverse cette surface transparente, une image est générée par éclairage de cette surface. Cette surface étant unique (ou inclonable), l’image générée est unique pour chaque PUF optique et par conséquent pour chaque équipement. La suite de données représentative de l’image générée forme l’empreinte PUF.
Les PUF optiques et la génération d’une empreinte de ce type sont connues de l’homme du métier et ne seront pas décrites en détail ici.
De manière connue, les PUF optiques sont situées en aval de l’émetteur optique. Ainsi, l’image générée est liée aux imperfections de la lentille optique de l’émetteur optique.
Selon un mode de réalisation, l’empreinte PUF est générée à chaque fois que le premier équipement 10 met en oeuvre une transmission. Ainsi, l’empreinte PUF est générée à chaque fois qu’une requête d’appairage FÎ1 va être adressée au dispositif de gestion 30.
Selon une autre mode de réalisation, l’empreinte PUF peut être seulement générée lors de la première demande d’appairage d’un équipement. Dans ce mode de réalisation, le dispositif de gestion enregistre en mémoire l’empreinte associé à l’équipement pour la mise en oeuvre des vérifications nécessaires lors d’appairages ultérieures.
Lorsque le dispositif de gestion reçoit E10 une requête d’appairage, il extrait les données identifiant le premier équipement 10. Dans ce mode de réalisation, le dispositif de gestion 30 extrait le certificat CERT et l’empreinte PUF identifiant de manière unique le premier équipement 10.
Dans d’autres modes de réalisation, la requête d’appairage reçue comporte seulement l’un des données précitées identifiant le premier équipement.
Dans un mode de réalisation, le dispositif de gestion 30 enregistre le certificat CERT reçu en association avec l’empreinte PUF reçue.
Par exemple, le certificat et l’empreinte sont enregistrés dans la mémoire du dispositif de gestion 30 ou dans une base de données reliée au dispositif de gestion 30. Par exemple, la base de données peut se trouver dans un serveur 20 relié au dispositif de gestion 30 via le deuxième équipement 13. Dans un autre mode de réalisation, le serveur peut être relié directement au dispositif de gestion ou via un autre équipement que le deuxième équipement. Le dispositif de gestion 30 recevant la requête d’appairage R1 met un oeuvre une vérification E20 des données identifiant le premier équipement 10.
La vérification mise en oeuvre est différente en fonction de modes de réalisation.
En fonction de modes de réalisation, la vérification E30 peut comporter :
- vérifier E21 si le premier équipement 10 possède la clé privée K1 associée au certificat CERT,
- vérifier E22 si l’autorité de certification ayant émis le certificat CERT est présent dans une liste d’autorités de certification de confiance enregistrée dans le dispositif de gestion,
- vérifier E23 si le premier équipement associé au certificat reçu CERT est autorisé à mettre en oeuvre un appairage, et
- vérifier E24 si l’empreinte PUF a été reçue précédemment en association avec un certificat différent du certificat reçu CERT dans la requête d’appairage R1 .
La vérification E20 comporte au moins une des opérations de vérifications E21 , E22, E23, E34 citées ci-dessous. En outre, toutes les combinaisons peuvent être possibles.
Dans le mode de réalisation décrit, la vérification E20 comporte vérifier si le premier équipement 10 possède la clé privée K1 associée au certificat CERT, si l’autorité de certification ayant émis le certificat CERT est présent dans une liste d’autorités de certification de confiance, vérifier (non illustré), si le premier équipement associé au certificat reçu CERT est autorisé à mettre en oeuvre un appairage et si l’empreinte PUF a été reçue précédemment en association avec un certificat différent du certificat reçu CERT dans la requête d’appairage R1 (vérifications E21 , E22,E23 et E24).
Les vérifications consistant à vérifier si le dispositif associé au certificat reçu CERT est autorisé à mettre en oeuvre un appairage ou si l’empreinte PUF a été reçue précédemment en association avec un certificat différent peuvent être mises en oeuvre par consultation dans une base de données, de données associées au certificat CERT. En fonction des données associées au certificat CERT, il peut être déterminé si le certificat CERT est autorisé pour un appairage via le dispositif de gestion 30.
La base de données peut être la même base de données dans laquelle sont enregistrés, en association, les certificats CERT et les empreintes PUF reçus, ou une base de données différente.
A titre d’exemple nullement limitatif, les données associées au certificat comportent l’autorité de certification émettrice du certificat, un numéro de série contenu dans le certificat, le nom de l’utilisateur du premier équipement ainsi qu’un identifiant du dispositif de gestion. Ainsi, il peut être vérifié si un utilisateur du premier terminal est autorisé à effectuer un appairage via le dispositif de gestion. L’identifiant du dispositif de gestion peut être un identifiant d’une salle de réunion dans laquelle est placé le dispositif de gestion.
En fonction du résultat de la vérification E20, le dispositif de gestion 30 détermine E30 si la demande d’appairage est autorisée ou refusée.
Dans le mode de réalisation représenté, si le premier équipement 10 possède la clé privée associée au certificat CERT inclus dans la requête d’appairage R1 , si l’autorité de certification a été déclarée préalablement comme étant valable, si le certificat CERT peut être utilisé pour l’appairage et si l’empreinte reçue n’a pas été précédemment reçue en association avec un certificat différent du certificat reçu dans la requête d’appairage, la demande d’appairage est autorisée E30.
Si le résultat d’une des vérifications E21 , E22, E23, E24 est négatif, c'est-à-dire si le premier équipement 10 possède la clé privée K1 associée au certificat CERT inclus dans la requête d’appairage R1 , ou si l’autorité de certification n’a pas été déclarée préalablement comme étant valable, ou si le certificat CERT peut être utilisé pour l’appairage, ou si l’empreinte reçue a été précédemment reçue en association avec un certificat différent dudit certificat reçu dans la requête d’appairage, la demande d’appairage est refusée E30.
Dans un mode de réalisation, la vérification E21 de la possession de la clé privée est mise en oeuvre de la manière suivante.
Le dispositif de gestion 30, à réception de la requête d’appairage R1 , génère de manière aléatoire une donnée et la transmet au premier équipement 10. Le première équipement 10 chiffre cette donnée et la transmet au dispositif de gestion 30. Pour vérifier si le premier équipement 10 possède la clé privée associé au certificat CERT reçu dans la requête d’appairage R1 , le dispositif de gestion 30 déchiffre la donnée reçue en utilisant la clé publique associée au certificat CERT, cette clé publique étant contenue dans le certificat CERT. Si la donnée obtenue correspond à la donnée qu’il avait préalablement générée et adressée au premier équipement 10, le dispositif de gestion détermine que le premier équipement possède la clé privée. Si au contraire, la donnée obtenue ne correspond pas à la donnée qu’il avait préalablement générée et adressée au premier équipement 10, le dispositif de gestion détermine que le premier équipement ne possède pas la clé privée.
Le dispositif de gestion 30 adresse une réponse E40, via le canal de communication optique C01 , au premier équipement 10 l’informant de l’autorisation ou du refus de la demande d’appairage. Ensuite, le dispositif de gestion 30 envoi E50 au premier équipement 10 des données d’identification du deuxième équipement 20, par exemple du type SSID (pour « Service Set Identifier ») ou une clé de sécurité. Ces données d’identification du deuxième équipement 13 permettent la sécurisation des communications entre le premier équipement 10 et le deuxième équipement 13 une fois l’appairage mis en oeuvre.
A titre d’exemple nullement limitatif, le dispositif de gestion 30 peut adresser une clé de type WPA (pour « Wi-Fi Protected Access ») de la passerelle 13 (deuxième équipement).
Dans un exemple dans lequel le dispositif de gestion et le deuxième équipement sont intégrés dans un même dispositif, le dispositif de gestion peut adresser au premier équipement une clé de sécurité associé au dispositif de gestion, par exemple la clé du spot lumineux.
Une fois que le premier équipement 10 a les données d’identification du deuxième équipement 13, il peut établir une connexion avec le deuxième équipement 13 et lui adresser ses propres données d’identification.
Dans un mode de réalisation, les échanges entre le premier équipement 10 et le dispositif de gestion 30 sont mis en oeuvre selon un protocole de type Diffie-Hellman. En particulier, le premier équipement 10 et le dispositif de gestion 30 utilisent le protocole Diffie-Hellman pour calculer une clé, nommée clé de session. Cette clé de session est utilisée pour les échanges entre le premier équipement 10 et le dispositif de gestion 30. Dans ce mode de réalisation, le premier équipement 10 adresse au dispositif de gestion 30, la requête d’appairage R1 chiffrée avec la clé de session calculée. En outre, le dispositif de gestion 30 adresse au premier équipement 10, les données d’identification du deuxième équipement 13 chiffrées avec la clé de session.
En outre, les échanges entre premier équipement 10 et le dispositif de gestion 30 nécessaires pour vérifier la possession de la clé privée K1 associé au certificat CERT par le premier équipement 10, sont mis en oeuvre en utilisant la clé de session calculée.
Dans certains modes de réalisation, le dispositif de gestion comporte en mémoire les données d’identification des équipements auquel il est relié. Dans d’autres modes de réalisation, les données d’identification sont obtenues par le dispositif de gestion pendant la mise en oeuvre du procédé de gestion d’une demande d’appairage pour pouvoir faire l’échange des données d’identification entre le premier équipement et le deuxième équipement.
Ensuite, le premier équipement 10 et le deuxième équipement peuvent communiquer via un canal de communication radio CR1 .
Dans certains modes de réalisation, lorsque la demande d’appairage est validée, une vérification d’une donnée d’identité identifiant l’utilisateur du premier équipement 10 est mise en oeuvre.
Cette caractéristique ajoute de la sécurité dans les échanges entre les équipements.
Le premier équipement et le deuxième équipement peuvent communiquer en outre via le canal de communication optique établi entre le premier équipement et le dispositif de gestion et le canal de communication filaire entre le dispositif de gestion et le deuxième équipement. Le dispositif de gestion fonctionne comme intermédiaire entre le premier équipement et le deuxième équipement. Ainsi, ces canaux de communication ayant été utilisés précédemment pendant la phase d’appairage, continuent d’être utilisés ultérieurement pendant des phases de communication. L’utilisation de ces canaux de communication peut être très utile, par exemple pour les communications dans des environnements ou les communications par voie radio doivent être évitées, par exemple dans des hôpitaux, des crèches ou autres. Dans le mode de réalisation illustré, une fois l’appairage du premier équipement avec le deuxième équipement mis en oeuvre, le premier équipement 10 peut soit communiquer avec le deuxième équipement via le canal de communication radio CR1 , soit par l’intermédiaire du dispositif de gestion 30, c’est-à-dire via le canal de communication optique C01 et le canal de communication filaire CL1 .
Le dispositif de gestion 30 peut déterminer E100 la zone où le premier équipement se situe. Cette information est déterminée par le photorécepteur RO_30 du dispositif de gestion. En fonction de cette information, l’éclairage d’au moins une source lumineuse du dispositif de gestion (ou spot lumineux) 30 est modifié E101 pour identifier visuellement la zone où le premier équipement 10 est situé.
Par exemple, un premier groupe de sources de lumière ou LED peut s’éclairer et un deuxième groupe de sources de lumière ou LED peut s’éteindre de façon à éclairer uniquement la zone où se trouve le premier équipement 10.
Ainsi, un équipement initiant un appairage peut être repéré visuellement. Grâce à cette caractéristique un utilisateur non autorisé peut être repéré facilement.
Dans certains modes de réalisation, la couleur de la lumière émise par le spot lumineux peut changer en fonction du résultat de la vérification E20. Cette caractéristique permet d’indiquer visuellement si la demande d’appairage a été acceptée ou refusée.
Par exemple, des couleurs différentes peuvent être sélectionnées pour la lumière émise par au moins une source lumineuse du dispositif de gestion 30 pour indiquer si la demande d’appairage a été acceptée ou refusée.
Dans un mode de réalisation, lorsque la demande d’appairage est validée, le procédé de gestion comporte en outre la transmission d’au moins une deuxième requête d’appairage vers un troisième équipement 11 , 12 relié par une connexion filaire au dispositif de gestion 30.
Par exemple, le dispositif de gestion 30 comporte une liste des équipements 11 -13 auxquels il est relié. Une fois que la demande d’appairage du premier équipement 10 est validée, l’utilisateur du premier équipement 10 peut sélectionner dans la liste au moins un deuxième équipement pour initier une demande d’appairage.
Cette nouvelle demande d’appairage peut ne pas nécessiter la mise en oeuvre des vérifications mise en oeuvre précédemment, par exemple si la nouvelle demande d’appairage est transmisse dans une même session. Dans ce cas, l’appairage avec le reste d’équipements est ainsi mis en oeuvre rapidement.
Selon une variante, une fois l’appairage au deuxième équipement 13 demandé par le premier équipement 10 autorisé, l’appairage avec le reste d’équipements 11 , 12 reliés au dispositif de gestion 30 est mis en oeuvre automatiquement.
Ceci permet un appairage efficace et sécuritaire avec plusieurs équipements.
La figure 4a illustre schématiquement une architecture matérielle d’un dispositif de gestion 30 pouvant mettre en oeuvre le procédé de gestion conforme à l’invention.
Le dispositif de gestion 30 comporte un récepteur optique ou photorécepteur RO_30, un émetteur optique EO_30 et un module de contrôle CTRL_30. Ce module de contrôle CTRL_30 comprend un bus de communication 300 auquel sont reliées :
- une unité de traitement 301 , nommée sur la figure CPU (pour « Central Processing Unit ») et pouvant comporter un ou plusieurs processeurs ;
- une mémoire non volatile 302, par exemple ROM (pour « Read Only Memory »), EEPROM (pour « Electrically Erasable Read Only Memory ») ou une mémoire Flash;
- une mémoire vive 303 ou RAM (pour « Random Access Memory ») ;
- une interface 304 d’entrée/sortie, nommée sur la figure I/O (pour « Input/Output »), par exemple des touches ou boutons, un écran, un clavier, une souris ou un autre dispositif de pointage tel qu’un écran tactile ou une télécommande permettant à un utilisateur d’interagir avec dispositif de gestion 30 via une interface graphique ou interface homme-machine ; et
- des interfaces de communication 305, nommées COM sur la figure, adaptées à échanger des données par exemple avec le premier équipement 10, avec le deuxième équipement 13, ou avec une base de données DB via un réseau de communication 100, 200. Ces interfaces de communication 305 sont en particulier configurées pour établir de canaux de communication optiques C01 , de canaux de communication radio CR1 ou de canaux de communication filaires CL1 , CL2, CL3.
La mémoire vive 303 comprend des registres adaptés à l'enregistrement des variables et paramètres créés et modifiés au cours de l'exécution d'un programme informatique comprenant des instructions pour la mise en oeuvre du procédé de gestion selon l'invention. Les codes d'instructions du programme stocké en mémoire non-volatile 302 sont chargés en mémoire RAM 303 en vue d'être exécutés par l'unité de traitement CPU 301 .
La mémoire non-volatile 302 est par exemple une mémoire réinscriptible de type EEPROM ou mémoire Flash pouvant constituer un support au sens de l'invention, c'est-à-dire pouvant comprendre un programme informatique comprenant des instructions pour la mise en oeuvre du procédé de gestion selon l'invention. La mémoire réinscriptible peut comprendre par exemple une base de données dans laquelle des certificats CERT sont enregistrés en association avec des empreintes PUF, ou comportant un liste d’équipement reliés au dispositif de gestion 30, ou une liste d’autorités de certification autorisés. Cette base de données peut être mis à jour à fur et à mesure que des requêtes d’appairage sont reçues.
Ce programme définit, par le biais de ses instructions, des modules fonctionnels du dispositif de gestion 30 qui sont mise en oeuvre et/ou commandent les éléments matériels décrits précédemment. La figure 4b est une représentation fonctionnelle d’un dispositif de gestion 30 d’une requête d’appairage conforme à un mode de réalisation.
Ces modules comprennent notamment : - un module de réception 31 configuré pour recevoir via le canal de communication optique C01 , une requête d’appairage comprenant des données représentatives de l’identité du premier équipement 10,
- un module d’autorisation 32 configuré pour autoriser ou refuser la demande d’appairage en fonction du résultat de ladite au moins une vérification E20 mise en oeuvre sur les données représentatives de l’identité du premier équipement 10, et
- un module de transmission 33 configuré pour transmettre, via le canal de communication optique C01 une clé de sécurité au premier équipement 10, si la demande d’appairage est autorisée.
Dans un mode de réalisation, le module de transmission 33 est configuré en outre pour transmettre au premier équipement une première donnée générée aléatoirement à réception de la requête d’appairage R1 .
Selon de modes de réalisation, le dispositif de gestion comporte un le module de vérification 34 configuré pour :
- vérifier si le premier équipement possède la clé privée associé au certificat, par exemple en vérifiant si une donnée chiffrée reçue peut être déchiffrée avec une clé publique contenue dans le certificat.
- vérifier si le certificat a été émis par une autorité de certification prédéterminée,
- vérifier si le premier équipement associé au certificat reçu est autorisé à mettre en oeuvre un appairage, ou
- vérifier si l’empreinte a été reçue précédemment en association avec un certificat différent dudit certificat reçu dans la requête d’appairage.
Le dispositif de gestion 30 peut comprendre en outre, en fonction de modes de réalisation :
- un module de détermination 35 configuré pour déterminer une zone où le premier équipement se situe, et un module de modification de l’éclairage configuré pour modifier l’éclairage d’au moins une source lumineuse du dispositif de gestion, pour identifier visuellement ladite zone où le premier équipement est situé, et/ou - un deuxième module de vérification 36 configuré pour l’identité de l’utilisateur en fonction de ladite donnée d’identité reçue, et/ou
- un module de transmission 37 configuré pour la transmission d’au moins une deuxième requête d’appairage vers un troisième équipement relié par une connexion filaire au dispositif de gestion.
Les modules et moyens précités sont pilotés par le processeur de l'unité de traitement 301. Ils peuvent prendre la forme d’un programme exécutable par un processeur, ou une forme matérielle (ou « hardware »), telle un circuit intégré spécialisé (connu en terminologie anglo-saxonne connu comme ASIC pour « Application-Specific Integrated Circuit »), un système sur puce (connu en terminologie anglo-saxonne comme SoC pour « System On Chip »), ou un composant électronique de type circuit logique programmable, tel qu’un composant de type FPGA (pour « Field-Programmable Gâte Array »).
Le premier équipement 10 comprend également un bus de communication auquel sont reliées une unité de traitement ou microprocesseur, une mémoire non volatile, une mémoire vive ou RAM, et une interface de communication adaptée notamment à échanger des données avec le dispositif de gestion 30. Le premier équipement 10 peut par exemple adresser au dispositif de gestion 30 une requête d’appairage avec un deuxième équipement 13. En outre, le premier équipement 10 peut recevoir des messages en provenance du dispositif de gestion 30 par exemple pour lui informer si la demande d’appairage est accepté ou refusée ou lui adresser des clés cryptographiques.
Dans certains modes de réalisation, le dispositif de gestion 30 est intégré dans le deuxième équipement 13, ce deuxième équipement étant à titre d’exemple nullement limitatif, une passerelle d’accès.

Claims

REVENDICATIONS
1. Procédé de gestion d’une demande d’appairage d’un premier équipement (10) à un deuxième équipement (13), caractérisé en ce qu’il est mis en oeuvre par un dispositif de gestion (30) d’une demande d’appairage configuré pour communiquer avec le premier équipement (10) via un canal de communication optique (C01 ), ledit procédé de gestion comportant :
- la réception (E10) via ledit canal de communication optique (C01 ), d’une requête d’appairage (R1 ) comprenant de données représentatives de l’identité (DATJD) du premier équipement (10),
- l’autorisation ou le refus (E30) de la demande d’appairage en fonction du résultat de d’au moins une vérification (E20) mise en oeuvre sur les données représentatives de l’identité (DATJD) du premier équipement (10), et
- si la demande d’appairage est autorisée, transmission (E50) via ledit canal de communication optique (C01 ), d’une clé de sécurité au premier équipement (10).
2. Procédé de gestion conforme à la revendication 1 , dans lequel lesdites données représentatives de l’identité (DATJD) du premier équipement (10) comportent un certificat (CERT) associé au premier équipement (10).
3. Procédé de gestion conforme à la revendication 2, dans lequel lesdites données représentatives de l’identité (DATJD) du premier équipement (10) comportent une suite de données représentatives d’une empreinte (PUF) identifiant de manière unique ledit premier équipement (10).
4. Procédé de gestion conforme à la revendication 3, dans lequel ladite suite de données est générée par ledit premier équipement (10) préalablement à la transmission de ladite requête d’appairage (R1 ) audit dispositif de gestion (30).
5. Procédé de gestion conforme à la revendication 2, dans lequel ladite au moins une vérification (E20) desdites données représentatives de l’identité (DATJD) du premier équipement (10) comporte vérifier (E21 ) si le premier équipement possède la clé privée associée audit certificat (CERT).
6. Procédé de gestion conforme à la revendication 2, dans lequel ladite au moins une vérification (E20) desdites données représentatives de l’identité (DATJD) du premier équipement (10) comporte vérifier si ledit certificat a été émis par une autorité de certification prédéterminée.
7. Procédé de gestion conforme à la revendication 2, dans lequel la vérification (E20) desdites données représentatives de l’identité (DATJD) du premier équipement (10) comporte vérifier (E22) si le premier équipement (10) associé au certificat (CERT) reçu est autorisé à mettre en oeuvre un appairage.
8. Procédé de gestion conforme à la revendication 3, dans lequel la vérification (E20) desdites données représentatives de l’identité (DATJD) du premier équipement (10) comporte vérifier (E24) si ladite suite de données représentatives d’une empreinte (PUF) a été reçue précédemment en association avec un certificat différent dudit certificat (CERT) reçu dans ladite requête d’appairage (R1).
9. Procédé de gestion conforme à la revendication 1 , comportant la détermination d’une zone où se situe le premier équipement (10), et la modification de l’éclairage d’au moins une source lumineuse dudit dispositif de gestion (30), pour identifier visuellement ladite zone où le premier équipement est situé.
10. Procédé de gestion conforme à la revendication 1 , dans lequel si la demande d’appairage est autorisée, le procédé de gestion comporte en outre la transmission d’au moins une deuxième requête d’appairage vers un troisième équipement relié par une connexion filaire (CL2, CL3) au dispositif de gestion (30).
11. Dispositif de gestion d’une demande d’appairage d’un premier équipement à un deuxième équipement, le dispositif de gestion (30) étant configuré pour communiquer avec ledit premier équipement (10) via un canal de communication optique (C01), et comporte :
- un module de réception (31) configuré pour recevoir via le canal de communication optique (C01), une requête d’appairage (R1) comprenant des données représentatives de l’identité (DATJD) du premier équipement (10), - un module d’autorisation (32) configuré pour autoriser ou refuser la demande d’appairage en fonction du résultat de ladite au moins une vérification (E20) mise en oeuvre sur les données représentatives de l’identité (DATJD) du premier équipement (10), et
- un module de transmission (33), via ledit canal de communication optique (C01) configuré pour transmettre (E50) une clé de sécurité au premier équipement (10), si la demande d’appairage est autorisée.
12. Programme d’ordinateur apte à être mis en oeuvre sur un dispositif de gestion, le programme comprenant des instructions de code pour la mise en oeuvre des étapes du procédé de gestion conforme à l’une des revendications 1 à 10, lorsqu’il est exécuté par un processeur.
13. Support d’informations lisible par un processeur dans un dispositif de gestion, sur lequel est enregistré un programme d’ordinateur comprenant des instructions de code pour la mise en oeuvre des étapes du procédé de gestion conforme à l’une des revendications 1 à 10, lorsqu’il est exécuté par le processeur.
EP21739162.2A 2020-06-19 2021-06-07 Procédé et dispositif de gestion d'une demande d'appairage d'un premier équipement avec un deuxième équipement Pending EP4169009A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2006407A FR3111498A1 (fr) 2020-06-19 2020-06-19 Procédé et dispositif de gestion d’une demande d’appairage d’un premier équipement avec un deuxième équipement.
PCT/FR2021/051022 WO2021255363A1 (fr) 2020-06-19 2021-06-07 Procédé et dispositif de gestion d'une demande d'appairage d'un premier équipement avec un deuxième équipement

Publications (1)

Publication Number Publication Date
EP4169009A1 true EP4169009A1 (fr) 2023-04-26

Family

ID=72709517

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21739162.2A Pending EP4169009A1 (fr) 2020-06-19 2021-06-07 Procédé et dispositif de gestion d'une demande d'appairage d'un premier équipement avec un deuxième équipement

Country Status (5)

Country Link
US (1) US20230239145A1 (fr)
EP (1) EP4169009A1 (fr)
CN (1) CN116057606A (fr)
FR (1) FR3111498A1 (fr)
WO (1) WO2021255363A1 (fr)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2018934A1 (fr) * 2007-07-26 2009-01-28 Renishaw plc Dispositif de mesure doté d'un module d'authentification
JP6166484B2 (ja) * 2014-02-05 2017-07-19 アップル インコーポレイテッド コントローラとアクセサリとの通信のための統一的通信プロトコル
US10313393B1 (en) * 2017-11-16 2019-06-04 Capital One Services, Llc Systems and methods for securely pairing a transmitting device with a receiving device

Also Published As

Publication number Publication date
WO2021255363A1 (fr) 2021-12-23
FR3111498A1 (fr) 2021-12-17
CN116057606A (zh) 2023-05-02
US20230239145A1 (en) 2023-07-27

Similar Documents

Publication Publication Date Title
EP1395019B1 (fr) Méthode et appareil pour fournir des informations d'authentification destinées à une communication de groupe sécurisée
FR3036913A1 (fr) Procede de controle d'acces a un service
EP1536606A1 (fr) Méthode d'authentification d'applications
EP3476097A1 (fr) Technique de téléchargement d'un profil d'accès à un réseau
EP2822285B1 (fr) Appariement de dispositifs au travers de réseaux distincts
EP1946552A2 (fr) Méthode de sécurisation de données échangées entre un dispositif de traitement multimédia et un module de sécurité
EP1714510A1 (fr) Emission de cle publique par un terminal mobile
EP3241137A1 (fr) Procede mis en oeuvre dans un document d'identite et document d'identite associe
FR3111203A1 (fr) Dispositif informatique et procédé pour l’authentification d’un utilisateur
FR3081654A1 (fr) Procede, dispositif et serveur de distribution securisee d'une configuration a un terminal
EP3665609B1 (fr) Procédé et serveur de certification d'un document électronique
FR3061971A1 (fr) Procede d'authentification en deux etapes, dispositif et programme d'ordinateur correspondant
EP3594880A1 (fr) Procédé de transmission sécurisée de données cryptographiques
WO2021255363A1 (fr) Procédé et dispositif de gestion d'une demande d'appairage d'un premier équipement avec un deuxième équipement
EP3381212B1 (fr) Technique de controle d'acces a un reseau d'acces radio
EP3465602A1 (fr) Procédé pour renseigner des informations personnelles d'un utilisateur demandées par un service en ligne donné
EP3829101A1 (fr) Procede de securisation de flux de donnees entre un equipement de communication et un terminal distant, equipement mettant en oeuvre le procede
WO2006072746A1 (fr) Procede de securisation d’une communication entre une carte sim et un terminal mobile
FR2813151A1 (fr) Communication securisee dans un equipement d'automatisme
KR100892941B1 (ko) 이동통신단말기를 이용한 보안처리 방법
WO2017005644A1 (fr) Procédé et système de contrôle d'accès à un service via un média mobile sans intermediaire de confiance
EP4380100A1 (fr) Système intégrant une délégation de gestion de clés publiques en mode dégradé fondé sur un mécanisme de confiance
EP4156606A1 (fr) Procédé de gestion d'un utilisateur intervenant dans une communication de groupe
FR3018021A1 (fr) Procede et systeme de securisation de transactions offertes par une pluralite de services entre un appareil mobile d'un utilisateur et un point d'acceptation
CN113850591A (zh) 一种基于加密和数字签名算法验证支付二维码真伪的方法

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20230118

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ORANGE