FR2694465A1 - Procédé de communication entre stations reliées à un réseau de communication et dispositifs pour mettre en Óoeuvre ce procédé. - Google Patents

Procédé de communication entre stations reliées à un réseau de communication et dispositifs pour mettre en Óoeuvre ce procédé. Download PDF

Info

Publication number
FR2694465A1
FR2694465A1 FR9209452A FR9209452A FR2694465A1 FR 2694465 A1 FR2694465 A1 FR 2694465A1 FR 9209452 A FR9209452 A FR 9209452A FR 9209452 A FR9209452 A FR 9209452A FR 2694465 A1 FR2694465 A1 FR 2694465A1
Authority
FR
France
Prior art keywords
message
network
messages
stations
transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9209452A
Other languages
English (en)
Other versions
FR2694465B1 (fr
Inventor
Cognet Yves
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
EXPERDATA
Original Assignee
EXPERDATA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by EXPERDATA filed Critical EXPERDATA
Priority to FR9209452A priority Critical patent/FR2694465B1/fr
Publication of FR2694465A1 publication Critical patent/FR2694465A1/fr
Application granted granted Critical
Publication of FR2694465B1 publication Critical patent/FR2694465B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

Procédé et réseau (1) pour la mise en œuvre du procédé de transmission de messages entre des points d'accès (10, 19 20, 29) raccordés au réseau (1) par des interfaces associées (8, 9), caractérisé par le fait que deux desdites interfaces (8, 9) comportent, l'une (8, 9), des moyens d'embrouillage (12, 22) pour transmettre au réseau (1), après les avoir embrouillés, des messages provenant du point d'accès associé (10, 20), l'autre (9, 8), des moyens de débrouillage (28, 18) pour transmettre au point d'accès associé (29, 19), après les avoir débrouillés, des messages provenant du réseau (1).

Description

PROCEDE DE COMMUNICATION ENTRE STATIONS RELIEES
A UN RESEAU DE COMMUNICATION ET DISPOSITIFS
POUR METTRE EN OEUVRE CE PROCEDE
La présente invention concerne un procédé de communication entre deux stations autorisées à communiquer entre elles à l'exclusion d'autres, parmi une pluralité de stations raccordées à un même réseau de transmission de messages.
La restriction apportée aux possibilités de communication entre certaines des stations permet de définir des groupes de stations au sein desquels les stations peuvent communiquer, sans toutefois pouvoir échanger des messages avec les stations des autres groupes. On préserve ainsi la confidentialité des données propres à chaque groupe, absence de lecture non autorisée, et leur sécurité, absence d'écriture non autorisée.
La restriction est généralement réalisée en segmentant le réseau de transmission en segments à chacun desquels est relié un groupe et en réunissant les segments par des passerelles électroniques qui analysent les adresses des messages et interdisent une transmission d'un segment à l'autre, tout en autorisant le passage de messages non soumis à restriction. Une passerelle de ce genre est appelée pont filtrant. Le procédé de filtrage est réalisé sur une analyse du contenu des données. Ces passerelles sont utilisées pour relier des segments de réseau à diffusion de type ETHERNET de la société XEROX ou du type correspondant à la norme IEEE 802-3.
Le procédé ci-dessus manque de souplesse car il faut regrouper physiquement, au voisinage d'un même segment, les stations d'un même groupe. De plus, les passerelles doivent comporter des tables d'adresses constamment tenues à jour qui indiquent le segment de rattachement de chaque station, ce qui est une contrainte et une source d'erreurs. De plus le filtrage est dépendant du contenu des trames.
Une autre façon de réaliser la restriction est d'affecter à chaque groupe un protocole de communication qui comporte une partie spécifique. Ainsi, la partie commune à tous les protocoles permet la transmission physique des messages sur le réseau, mais leur réception logique est conditionnée par la reconnaissance, dans la station réceptrice, du protocole de son groupe.
Un groupe se voit affecter un protocole spécifique mais ses besoins peuvent correspondre à un ou plusieurs autres protocoles, déjà monopolisés par d'autres groupes.
La présente invention vise à pallier ces inconvénients, et ce quel que soit le contenu des trames. A cet effet, elle concerne tout d'abord un procédé de communication entre deux stations autorisées à communiquer entre elles à l'exclusion d'autres, parmi une pluralité de stations raccordées à un même réseau de transmission de messages, caractérisé par le fait que, avant qu'une des deux stations n'émette un message sur le réseau, le message est embrouillé à l'émission et le message, à la réception par l'autre des deux stations, est débrouillé.
Ainsi, la restriction des communications n'est pas réalisée par les moyens de transmission du réseau mais elle l'est au niveau des stations elles-mêmes, dans celles-ci ou dans une interface de raccordement au réseau. Cela offre toute la souplesse voulue quant au choix de la position géographique des stations, tout en assurant une garantie absolue quant à la restriction puisque cette dernière ne dépend que des stations du groupe concerné.
Avantageusement, après embrouillage et avant émission, on ajoute au message un mot de code, non embrouillé, de contrôle d'intégrité du message à transmettre, déterminé à partir dudit message enbrouillé, destiné au contrôle de l'intégrité du message par tout récepteur de celuici.
Ainsi, si une passerelle de l'art antérieur, au cas ou elle est inévitable pour une raison étrangère à l'invention, contrôle l'intégrité des messages, il est inutile qu'elle effectue un débrouillage pour accéder au message avec son mot de code de contrôle d'origine, ce qui évite une perte de temps importante sans que soit divulgué, hors du groupe, le code permettant le débrouillage.
L'invention concerne aussi, pour la mise en oeuvre du procédé ci-dessus, un réseau de transmission de messages entre des points d'accès raccordés à celui-ci par des interfaces associées, caractérisé par le fait que, pour la mise en oeuvre du procédé de l'invention, deux desdites interfaces comportent, l'une, des moyens d'embrouillage pour transmettre au réseau, après les avoir embrouillés, des messages provenant du point d'accès associé, l'autre, des moyens de débrouillage pour transmettre au point d'accès associé, après les avoir débrouillés, des messages provenant du réseau.
L'invention concerne encore un dispositif de restriction de la transmission de messages entre points d'accès raccordés à un même réseau de transmission de messages, selon le procédé de l'invention, caractérisé par le fait qu'il comporte des moyens d'embrouillage destinés à embrouiller les messages entrant dans le réseau par un desdits points d'accès.
L'invention concerne aussi un dispositif de restriction de la transmission de messages entre points d'accès raccordés à un même réseau de transmission de messages, selon le procédé de l'invention, caractérisé par le fait qu'il comporte des moyens de débrouillage destinés à débrouiller les messages sortant du réseau par un desdits points d'accès et préalablement embrouillés par un dispositif d'embrouillage selon l'invention.
Le dispositif de l'invention présente un concept inventif unique mais, évidemment, les moyens d'embrouillage et de débrouillage peuvent être offerts à la vente indépendamment les uns des autres et être logés isolément du réseau ou des terminaux associés, ou bien y être intégrés.
La présente invention sera mieux comprise à l'aide de la description suivante de la forme de réalisation préférée d'un réseau de transmission de messages associé à des dispositifs de l'invention, en référence au dessin annexé, sur lequel - la figure 1 représente partiellement le réseau ainsi
que deux dispositifs interfaces de l'invention,
associés à deux stations du réseau et - la figure 2 illustre la structure d'un message traité
par les dispositifs ci-dessus.
Le réseau de transmission de messages de la figure 1, ici correspondant à la norme IEEE 802-3, comporte un câble coaxial 1 avec des liaisons en dérivation, deux de celles-ci 2,3 étant reliées respectivement à deux dispositifs interfaces 8,9, identiques, raccordés à deux stations électroniques 30,31, respectivement.
Le dispositif 8 comporte une chaîne 10-14 d'émission vers le réseau 1, reliant à la liaison 2 un point d'accès en entrée vers le réseau, constitué par une borne 10 à laquelle est raccordée la station 30. La chaîne d'émission comporte, chacun relié par une entrée à la borne 10, une porte OU exclusif 11 à deux entrées et un circuit embrouilleur 12.
La sortie de l'embrouilleur 12 attaque la seconde entrée de la porte 11 dont la sortie est reliée à un bloc de calcul 13 commandant un circuit émetteur 14 attaquant la liaison 2.
En sens inverse, une chaîne de réception du dispositif 8 relie la liaison 2 à une borne de sortie 19 du dispositif 8, à laquelle est raccordée la station 30. La chaîne de réception comporte un circuit récepteur 15, relié en entrée à la liaison 2, dont la sortie attaque un bloc de calcul 16. La sortie du bloc de calcul 16 est reliée à l'une des deux entrées d'une porte OU exclusif 17 ainsi qu'à l'entrée d'un circuit débrouilleur 18, dont la sortie attaque la seconde entrée de la porte 17, elle-même reliée en sortie à la borne 19.
Les éléments 20-29 du dispositif 9 sont respectivement semblables aux éléments 10-19 du dispositif 8.
L'embrouilleur 13 et le débrouilleur 18, de structure semblable, sont d'un type connu comportant un registre à décalage rebouclé par des portes OU exclusif pour produire en sortie une séquence de bits pseudoaléatoire.
L'embrouilleur 13 et le débrouilleur 18 sont agencés pour se synchroniser sur des champs de bits contenus dans les messages leur parvenant, par comptage des bits reçus. Cela a pour effet d'inhiber la sortie de ltembrouilleur 13 et du débrouilleur 18 lors de la transmission de champs d'adresse en tête du message, comme cela est expliqué plus loin.
Les embrouilleurs 13,23 et les débrouilleurs 18,28 ont une clé électronique commune qui leur est propre, c'està-dire que le débrouilleur 28,18 de l'un des deux circuits 9,8 effectue, après s'être synchronisé sur le message reçu, la transformation inverse de celle réalisée par l'embrouilleur 13,23 de l'autre dispositif 8,9, ce qui permet aux stations 30 et 31 de communiquer entre elles.
Le bloc de calcul 13 est agencé pour calculer un mot de code de contrôle d'intégrité (CRC2) à partir des bits du message à émettre et l'ajouter dans un champ 45 du message (figure 2) prévu à cet effet.
Inversement, le bloc de calcul 16 est agencé pour supprimer le mot de code de contrôle d'intégrité CRC2 des messages reçus. La présence du mot de code CRC2 n'est cependant pas nécessaire pour mettre en oeuvre l'invention.
D'autres stations, non représentées, sont aussi raccordées au réseau 1, mais elles ne disposent pas d'un dispositif semblable au dispositif 8, éventuellement d'une interface, physiquement semblable au circuit interface 8, mais comportant une clé électronique différente de celle indiquée ci-dessus.
La transmission d'un message de la station 30 vers la station 31 va maintenant être expliquée.
Pour la simplicité de l'exposé, l'interface matérielle et logicielle permettant, de façon connue, l'accès au réseau 1 est supposée, ici, être logée dans chaque station 30,31.
La station 30 ayant acquis, de façon connue, le droit d'accès au réseau 1, le message à émettre, comportant, dans l'ordre d'émission, comme le montre la figure 2, un champ 41 d'adresse du destinataire, un champ 42 d'adresse de l'émetteur, un champ 43 de données d'information et un champ 44 contenant un mot de code de contrôle d'intégrité du message (CRC1), calculé par la station 30, est envoyé par celle-ci à la borne 10 d'entrée du dispositif 8.
Le message traverse la porte 11, le bloc de calcul 13 et est émis sur le réseau 1 par l'émetteur 14.
Lors de la transmission des champs d'adresse sur la borne 10, l'embrouilleur 12 les détecte et inhibe sa sortie. Les champs d'adresse sont transmis sans embrouillage, celui-ci n'intervenant, de façon connue, par action de l'embrouilleur 12 sur la porte OU exclusif 11, que lors de la transmission du champ de données 43 et du champ 44 contenant le mot de code de contrôle CRC1 calculé par la station 30.
Tout comme la station 30, le bloc de calcul 13 calcule un mot de code d'intégrité, CRC2, du message émis, mais ce mot de code, bien que calculé selon le même algorithme, est différent de celui, CRC1, engendré par la station 30, car d'une part, le calcul de CRC2 porte sur le message après embrouillage et, d'autre part, le calcul porte, non seulement sur le champ de données 43, mais aussi sur le champ 44 du mot de code CRC1.
Le mot de code CRC2 est inséré en fin de message par le bloc de calcul 13 selon un format semblable à celui du champ 44 prévu pour CRC1. De ce fait, dans le cas où, contrairement à cet exemple, le message doit traverser une passerelle régénérant les signaux correspondants et contrôlant préalablement l'intégrité du message reçu, la passerelle peut accéder au mot de code CRC2, qui remplace fonctionnellement le mot de code CRC1.
En réception dans le dispositif 9, le bloc de calcul 26 transmet à la porte 27 le message reçu, à l'exclusion du mot de code CRC2. Dans cet exemple, le bloc de calcul 26 vérifie, par examen du mot de code CRC2, l'intégrité du message reçu et, en cas de défaut, fournit une indication correspondante à la station 31.
Le débrouilleur 28, synchronisé sur le message reçu, débrouille le champ 43 de données et le champ 44 de contrôle par action sur la porte OU exclusif 27, qui fournit, sur la borne 29, le message débrouillé.
Le réseau 1 étant ici du type à diffusion, toutes les stations reçoivent physiquement le message mais leurs logiciels ne l'acceptent pas si elles n'en sont pas destinataires. Dans le cas où la station 30 tente de transmettre un message à une station autre que la station 31, l'autre station reçoit le message mais ne peut le débrouiller.
On comprendra qu'il peut être prévu plus de deux stations pouvant communiquer entre elles, qu'un même message peut être reçu et débrouillé par plusieurs stations et qu'une station peut être spécialisée pour uniquement l'émission ou la réception de messages. De plus, plusieurs groupes de stations, disposant chacun d'une clé électronique propre, peuvent être raccordés au réseau 1.
De même, l'interface réseau connue peut être directement reliée au réseau 1, le dispositif 8 étant alors fonctionnellement branché entre cette interface et la station associée et éventuellement intégrée physiquement et logiquement à la station.

Claims (9)

REVENDICATIONS
1. Procédé de communication entre deux stations (30,31)
autorisées à communiquer entre elles à l'exclusion
d'autres, parmi une pluralité de stations raccordées
à un même réseau (1,2,3) de transmission de
messages, caractérisé par le fait que
avant qu'une (30,31) des deux stations n'émette un
message sur le réseau (1), le message est embrouillé
à l'émission et le message, à la réception par
l'autre (31,30) des deux stations, est débrouillé.
2. Procédé selon la revendication 1, dans lequel, après
embrouillage et avant émission, on ajoute au message
un mot de code (CRC2), non embrouillé, de contrôle
d'intégrité du message à transmettre, déterminé à
partir dudit message embrouillé, destiné au contrôle
de l'intégrité du message par tout récepteur de
celui-ci.
3. Réseau (1) de transmission de messages entre des
points d'accès (10,19 ; 20,29) raccordés à celui-ci
par des interfaces associées (8,9), caractérisé par
le fait que, pour la mise en oeuvre du procédé de la
revendication 1, deux desdites interfaces (8,9)
comportent, l'une (8,9), des moyens d'embrouillage
(12,22) pour transmettre au réseau (1), après les
avoir embrouillés, des messages provenant du point
d'accès associé (10,20), l'autre (9,8), des moyens
de débrouillage (28,18) pour transmettre au point
d'accès associé (29,19), après les avoir
débrouillés, des messages provenant du réseau (1).
4. Réseau selon la revendication 3, dans lequel lesdits
moyens d'embrouillage (12,22) sont agencés pour
engendrer, et associer au message embrouillé, un mot
de code de contrôle d'intégrité du message
embrouillé (CRC2), destiné à des moyens de contrôle
d'intégrité (18;28) reliés en réception au réseau (1).
5. Dispositif de restriction de la transmission de
messages entre points d'accès (10,19 ; 20,29)
raccordés à un même réseau (1) de transmission de
messages, selon le procédé de la revendication 1,
caractérisé par le fait qu'il comporte des moyens
d'embrouillage (12,22) destinés à embrouiller les
messages entrant dans le réseau (1) par un desdits
points d'accès (10,20).
6. Dispositif selon la revendication 5, dans lequel des
moyens de calcul (13,23) sont agencés pour engendrer
des mots de code de contrôle d'intégrité (CRC2) des
messages embrouillés.
7. Dispositif de restriction de la transmission de
messages entre points d'accès (10,19 ; 20,29)
raccordés à un même réseau (1) de transmission de
messages, selon le procédé de la revendication 1,
caractérisé par le fait qu'il comporte des moyens de
débrouillage (18,28) destinés à débrouiller les
messages sortant du réseau (1) par un desdits points
d'accès (19,29) et préalablement embrouillés par un
dispositif d'embrouillage (12,22) selon la
revendication 6.
8. Dispositif selon la revendication 7, dans lequel des
moyens de calcul (16,26) sont agencés pour
contrôler, dans un message sortant du réseau (1), la
validité d'un mot de code de contrôle d'intégrité du
message (CRC2) et fournir une indication
correspondante.
9. Dispositif selon la revendication 8, dans lequel
lesdits moyens de calcul (16,26) sont agencés pour
fournir des messages desquels ils ont extrait ledit
mot de code (CRC2).
FR9209452A 1992-07-30 1992-07-30 Procede de communication entre stations reliees a un reseau de communication et dispositifs pour mettre en óoeuvre ce procede. Expired - Fee Related FR2694465B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR9209452A FR2694465B1 (fr) 1992-07-30 1992-07-30 Procede de communication entre stations reliees a un reseau de communication et dispositifs pour mettre en óoeuvre ce procede.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR9209452A FR2694465B1 (fr) 1992-07-30 1992-07-30 Procede de communication entre stations reliees a un reseau de communication et dispositifs pour mettre en óoeuvre ce procede.

Publications (2)

Publication Number Publication Date
FR2694465A1 true FR2694465A1 (fr) 1994-02-04
FR2694465B1 FR2694465B1 (fr) 1995-06-16

Family

ID=9432453

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9209452A Expired - Fee Related FR2694465B1 (fr) 1992-07-30 1992-07-30 Procede de communication entre stations reliees a un reseau de communication et dispositifs pour mettre en óoeuvre ce procede.

Country Status (1)

Country Link
FR (1) FR2694465B1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2773427A1 (fr) * 1998-01-08 1999-07-09 Alsthom Cge Alcatel Procede de securisation de transmissions d'information realisees par l'intermediaire d'un reseau de telecommunications ouvert
US20230354034A1 (en) * 2022-04-28 2023-11-02 Cisco Technology, Inc. Identifying rogue wireless devices using mac address rotation techniques

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3939828A1 (de) * 1989-12-02 1991-06-06 Ant Nachrichtentech Gegen unberechtigten zugriff gesicherte uebertragung von daten

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3939828A1 (de) * 1989-12-02 1991-06-06 Ant Nachrichtentech Gegen unberechtigten zugriff gesicherte uebertragung von daten

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CRYPTO'88 Août 1988, BERLIN pages 507 - 519 HERBISON 'Developing Ethernet Enhanced-Security System' *
CRYPTO'88 Août 1988, BERLIN pages 540 - 563 TZONELIH HWANG 'Secret Error-Correcting Codes (SECC)' *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2773427A1 (fr) * 1998-01-08 1999-07-09 Alsthom Cge Alcatel Procede de securisation de transmissions d'information realisees par l'intermediaire d'un reseau de telecommunications ouvert
EP0929169A1 (fr) * 1998-01-08 1999-07-14 Alcatel Procédé de sécurisation de transmissions d'information réalisées par l'intermédiaire d'un réseau de télécommunications ouvert
US6574466B2 (en) 1998-01-08 2003-06-03 Alcatel Method of securing transmission of information utilizing time variant techniques with error detecting code
US20230354034A1 (en) * 2022-04-28 2023-11-02 Cisco Technology, Inc. Identifying rogue wireless devices using mac address rotation techniques

Also Published As

Publication number Publication date
FR2694465B1 (fr) 1995-06-16

Similar Documents

Publication Publication Date Title
EP0554182B1 (fr) Procédé, appareil et dispositif de chiffrement de messages transmis entre réseaux interconnectés
CA2423024C (fr) Systeme de telecommunication, notamment de type ip, et equipements pour un tel systeme
EP0993142B1 (fr) Transmission sécurisée de messages de données à large bande
US5235644A (en) Probabilistic cryptographic processing method
US6233338B1 (en) Virtual encryption scheme combining different encryption operators into compound-encryption mechanism
US5161193A (en) Pipelined cryptography processor and method for its use in communication networks
EP0464562B1 (fr) Procédé et dispositif de déchiffrage d'un paquet d'informations ayant un format sujet à des modifications
EP0464563B1 (fr) Chiffrage avec révélation sélective d'identificateurs de protocole
US5432850A (en) Method and apparatus for secure data transmission
US5099517A (en) Frame status encoding for communication networks
EP2892176A2 (fr) Procédé de conversion d'un contenu a accès conditionnel et récepteur pour la mise en oeuvre de ce procédé
JP3145407B2 (ja) 信号伝送方式および通信システム
US20090254744A1 (en) System and method for the concealment of device input parameters
EP2057576A2 (fr) Commande de trafic réseau à base de cryptage
OA12034A (fr) Mécanisme d'appariement entre un récepteur et un module de sécurité.
FR2694465A1 (fr) Procédé de communication entre stations reliées à un réseau de communication et dispositifs pour mettre en Óoeuvre ce procédé.
CN112787987B (zh) 一种路径加密方法、装置和系统
JP2693881B2 (ja) 通信ネットワークで使用される暗号処理装置及び方法
CA2029189C (fr) Systeme et methode de transformation de textes cryptes en textes decryptes
EP1502382B8 (fr) Procede de controle d acces a un reseau
EP0464566B1 (fr) Interruption de traitement dans une communication du type pipeline
EP1868349B1 (fr) Dispositif de mise en communication de réseaux locaux par un commutateur exclusif et systéme de mise en communication correspondant ainsi qu'un support d'informations et un programme d'ordinateur
JP2005065322A (ja) パケット暗号化方法及びパケット復号化方法
FR2717972A1 (fr) Procédé de transmission de données numériques entre abonnés d'un réseau de transmission par paquets.
FR2709847A1 (fr) Réseau de transmission de données pour au moins deux terminaux.

Legal Events

Date Code Title Description
CD Change of name or company name
CJ Change in legal form
CD Change of name or company name
TP Transmission of property
TP Transmission of property
CD Change of name or company name
ST Notification of lapse