FR2848754A1 - Procede d'authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede - Google Patents

Procede d'authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede Download PDF

Info

Publication number
FR2848754A1
FR2848754A1 FR0215759A FR0215759A FR2848754A1 FR 2848754 A1 FR2848754 A1 FR 2848754A1 FR 0215759 A FR0215759 A FR 0215759A FR 0215759 A FR0215759 A FR 0215759A FR 2848754 A1 FR2848754 A1 FR 2848754A1
Authority
FR
France
Prior art keywords
authentication
user
wireless network
called
electronic circuits
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0215759A
Other languages
English (en)
Other versions
FR2848754B1 (fr
Inventor
Didier Plateau
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
UCOPIA COMM
Original Assignee
UCOPIA COMM
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by UCOPIA COMM filed Critical UCOPIA COMM
Priority to FR0215759A priority Critical patent/FR2848754B1/fr
Publication of FR2848754A1 publication Critical patent/FR2848754A1/fr
Application granted granted Critical
Publication of FR2848754B1 publication Critical patent/FR2848754B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

L'invention concerne un procédé et une architecture d'authentification d'un utilisateur (Ui) désirant se connecter à un réseau sans fil (1), notamment répondant au standard "IEEE 802.11" ou à ses extensions. Des liaisons (STi) par ondes radioélectriques s'effectuent par l'intermédiaire de stations d'utilisateur (STi) et de points d'accès (APi) connectés à un système de distribution (DS). Le réseau (1) comprend un serveur d'identification (SAi) connecté au système de distribution (DS). Selon l'invention, une autorité de certification (PS) délivre une paire de cartes à puce personnalisées (CPUi, CPSAi) enregistrant des clés de chiffrage/déchiffrage. L'authentification mutuelle d'une paire "serveur - station d'utilisateur" (SAi, STi) est déléguée aux cartes à puce (CPUi, CPSAi), par utilisation de leurs moyens de traitement et de mémorisation. Les moyens de mémorisation peuvent également stocker des données de droits et/ou privilèges associés aux utilisateurs (Ui), de manière à décentraliser le traitement certaines fonctionnalités du réseau sans fil (1).

Description

L'invention concerne un procédé d'authentification d'un utilisateur
désirant se connecter à un réseau sans fil, par l'intermédiaire d'un terminal ou d'un dispositif similaire L'invention concerne également l'architecture pour la mise en oeuvre du procédé.
Elle s'applique plus particulièrement à des réseaux sans fil conformes au standard "IEEE 802.11", et de façon plus générale aux standards "IEEE 802. 11*", * étant une extension représentant des évolutions de ce standard, par exemple 802.1 1a, 802.1 1 b ou 802.1 1 g, notamment des extensions définissant 10 des hauts débits.
De tels réseaux sont également appelés "WLAN", selon l'abréviation anglosaxonne couramment utilisée, pour "Wireless LAN" ("Local Area Dans les réseaux locaux classiques ou "LAN", les liaisons entre unités 15 à connecter sont habituellement réalisées à bases de câbles métalliques ou similaires. Pour cette raison, on appellera ce type de réseau, "réseau filaire".
Cependant, depuis quelques années, le nombre de systèmes informatiques ou de communication portables: ordinateurs portables, téléphones mobiles, organiseurs ou assistants numériques personnels, dit 20 "PDA", etc., s'est fortement accru. Ces systèmes portables seront appelés ciaprès, de façon générique, "stations d'utilisateurs", certains étant susceptibles de communiquer entre eux et/ou avec des systèmes informatiques de divers types. Cet accroissement a accompagné le besoin de mobilité, ou "nomadisme", de leurs utilisateurs. L'obligation de se connecter à un système 25 informatique central ou à un réseau local par des moyens permanents ou semipermanents (enfichage dans un connecteur électrique, par exemple) présente peu de souplesse et est ressentie comme un frein important à ce "nomadisme".
Aussi, il a été proposé d'effectuer le couplage entre un système central ou un réseau local et des stations d'utilisateurs en ayant recours à des moyens 30 de transmission par ondes radioélectriques ou infrarouges. Diverses architectures ont été proposées, dont certaines sont devenues des standards, ou pour le moins des standards de fait. A titre d'exemple, on peut citer diverses architectures connues sous les noms de "Bluetooth", "HomeRF", "Hyperlan", etc. L'invention s'intéresse plus particulièrement à une architecture conforme au standard précité "IEEE 802.11" et à ses variantes. Il est donc tout d'abord utile d'en rappeler les principales caractéristiques.
Le standard "IEEE 802.11", dont la première version date de 1997, et ses variantes ont été conçus pour que les stations d'utilisateur puissent bénéficier de services comparables à ceux offerts aux systèmes faisant partie intégrante d'un réseau local "filaire", tout en évitant le principal désavantage: 10 manque de souplesse due à la connectivité en "dur" (câble ou organes équivalents). Ce standard permet une connectivité sans fil entre un système central ou un réseau local, d'une part, et des stations fixes ou se déplaçant à faible vitesse, tel un piéton, un véhicule, d'autre part, ce dans un bâtiment ou en 15 milieu ouvert, ce qui permet une grande liberté d'action.
Comme tout standard lié à un réseau de transmission, il est fait appel à un modèle "OSI" (pour "Open System Interconnections") à sept couches, allant des plus basses (couches dites "physique" et de "liaison") à la plus haute (couche dite "d'application") et communiquant habituellement entre elles par 20 des primitives. Le standard "802.11" concerne plus particulièrement les deux couches basses.
Ce standard définit trois types de "couche physique" ou "PHY', une mettant en oeuvre des ondes infrarouges, et les deux autres mettant en oeuvre des ondes radiofréquences: "DSS" ("Direct Sequence Spread Spectrum", 25 c'est-à-dire à étalement de spectre à séquence directe) et "FHSS" (Frequency Hopping Spread Spectrum" ou à étalement de spectre par saut de fréquence), respectivement. L'invention est plus particulièrement concernée par des liaisons par ondes radiofréquences.
Le standard définit également la "couche de liaison", divisée en deux 30 sous-couches: "LLC IEEE 802.2" (pour "Logical Link Control" ou commande logique de lien) et "MAC" (pour "Medium Access Control" ou commande d'accès médium), respectivement. Cette dernière entité ("MAC") définit le mode opératoire pour l'accès à un canal de transmission par un utilisateur, par exemple des stations d'utilisateurs. Des formats de trame sont définis et mis en oeuvre, et il est fait appel à un algorithme du type dit "CSMA/CA", c'est-à-dire une méthode d'accès multiple à détection de porteuse et évitement de collision.
Il existe deux types d'architectures de réseaux "WLAN".
La première est une architecture, que l'on peut qualifier de minimale, dite "ad hoc". Les stations d'utilisateurs communiquent directement les unes avec les autres, à condition d'être situées dans une zone commune aux limites de couverture radioélectrique de ces deux stations. Cette architecture présente l'avantage d'une grande souplesse (notamment, elle ne nécessite pas le 10 déploiement préalable d'une infrastructure quelconque), mais montre très vite des limites: entre autre, chaque station d'utilisateur doit opérer de manière autonome et être capable d'effectuer, notamment, des opérations d'authentification mutuelle, d'établissement et de maintien des communications dans le réseau. En outre, l'interopérabilité entre stations de constructeurs 15 différents est aléatoire, les spécifications du standard n'étant pas exhaustives pour ce type d'architecture.
La seconde est une architecture dite "basée sur une infrastructure".
L'invention est plus particulièrement concernée par ce type d'architecture. Un exemple d'une telle architecture est illustré schématiquement par la figure 1, 20 annexée à la présente description.
Le réseau sans fil proprement dit 1 peut être interfacé avec un ou plusieurs réseau(x) filaire(s) par l'intermédiaire de dispositifs P, connus sous la dénomination de portail servant de passerelle entre les deux réseaux.
Le réseau sans fil 1 comprend un ou plusieurs dispositifs dit points 25 d'accès, deux, AP1 et AP2, dans l'exemple décrit. Ces points d'accès, APR et AP2, munis d'antennes, At, et At2, respectivement, sont interconnectés par un réseau DS, de type filaire, dit "système de distribution". Bien que le standard "IEEE 802.11" ne précise pas le type de réseau filaire à utiliser, le réseau le plus utilisé est du type "Ethernet 802.3". Ce système de distribution DS permet 30 d'étendre la couverture du réseau 1 au-delà des couvertures radioélectriques individuelles, 0raî et Cra2, des stations d'utilisateurs qui veulent se connecter au réseau 1, par exemple STuî et STu2, sur la figure 1.
Les points d'accès, AP1 et AP2, forment ce qui est appelé un BSS" ou "Basic Service Set"V(ensemble de service de base).
Pour assurer un couplage radioélectrique avec le réseau 1, les stations d'utilisateurs, STu1 et STU2, sont munies de cartes électroniques spécifiques, 5 Cal et Ca2, ou de dispositifs similaires, comprenant un port au standard "IEEE 802.11", autorisant une émission-réception d'ondes radioélectriques, formant une liaison immatérielle, IR, et IR2, respectivement. Le débit dépend de l'extension de standard mise en oeuvre, "IEEE 802.11a" ou "IEEE 802.11b" par exemple. Chaque point d'accès, AP1 ou AP2, gère un réseau de transmissions 10 radioélectriques permettant d'échanger des trames d'informations sur des canaux. Les échanges peuvent s'effectuer entre stations d'utilisateurs, STui et STu2, et/ou entre l'une des stations d'utilisateurs et les unités du réseau local 2, via le réseau sans fil 1.
Le réseau sans fil 1 est généralement conçu comme l'extension d'un 15 réseau filaire de type Intranet, sur lequel se trouvent des ressources (unités centrales, ordinateurs personnels, stations de travail, etc.), deux, référencées CPU1 et CPU2 dans l'exemple décrit, et dans lesquelles sont enregistrées des informations (bases de données, etc.). Un serveur particulier S, pouvant se situer entre les points d'accès, AP1 et AP2, et le portail P, et pouvant se situer 20 dans le point d'accès ou dans le portail, implémente des fonctions classiques comme le filtrage de paquets (fonctions de type "firewall" ou "coupe-feu"), des mécanismes de gestion de qualité de service ou "QoS" pour "Quality of Service", selon la terminologie anglo-saxonne généralement utilisée), garantissant à des utilisateurs privilégiés des paramètres de trafic habituels tels 25 que débit moyen, délai de transmission et gigue, gestion des changements intercellulaires, etc. Le réseau Intranet 2 peut lui-même être relié à d'autres réseaux (non représentés) ou au réseau Internet RIT, par tous moyens classiques.
Une description plus détaillée de la norme "IEEE 802.11" et de ses 30 extensions peut être trouvée, à titre d'exemple, dans l'article de Daniel REZENTOS, intitulé "Standard pour réseaux sans fil: IEEE 802.11", pages TE 7 375-1 à TE 7 375-1, des Techniques de l'ingénieur", mai 2002, auquel on se référera avec profit.
En conclusion de ce qui précède, on constate que les réseaux sans fil "WAN" présentent de nombreux avantages, notamment en terme de cot, délais de déploiement et cot de maintenance. Mais l'un des principaux apports du réseau sans fil est sa capacité à accompagner les utilisateurs dans leur 5 mobilité ou "nomadisme" à l'intérieur d'un bâtiment, d'une entreprise, voire n'importe o dans le monde.
Cependant, comme dans tout système informatique ou de transmission de données, un des aspects important à prendre en compte est lié à la sécurité, dans le sens le plus général de ce terme. On parle du concept 10 "DIC", pour "Disponibilité - Intégrité - Confidentialité" et il est le plus souvent nécessaire de mettre en place une politique de sécurité efficace.
Dans le cas d'un réseau filaire, par exemple de type Intranet, ou de façon plus générale "LAN" filaire, comme le réseau 2, la sécurité peut être assurée de façon efficace par un contrôle physique des personnes qui 15 accèdent aux locaux d'un établissement (badge, contrôle biométrique, etc.).
Parce que l'usage d'ordinateurs portables est courant, la connexion au réseau Intranet 2 est libre à l'intérieur d'une entreprise.
Par contre, le déploiement d'accès de type sans fil (réseau "WAN" 1) implique la mise en place d'une politique de sécurité adaptée à cette 20 architecture, puisque la portée des liens radio, IRi ou IR2, (typiquement de l'ordre de 100 m) permet à une personne non habilitée ou mal intentionnée, par exemple un pirate, même située à l'extérieur des locaux d'une entreprise, de se connecter au réseau 1, ce de manière invisible et non contrôlée (cette attaque est encore nommée "parking lot attack"). Inversement, un utilisateur habilité, 25 qui veut se connecter au réseau 1, peut simultanément se connecter, sans le savoir, à un point d'accès pirate (non représenté), situé par exemple à l'extérieur des locaux de l'entreprise, mais dans sa zone de couverture radioélectrique (par exemple CRaI pour la station d'utilisateur STu1) et mettre en danger les informations manipulées. La sécurité est donc beaucoup plus 30 difficile à assurer.
Dans un contexte sans fils, les besoins essentiels de sécurité sont les suivants: - Authentification des utilisateurs (clients) du réseau sans fil 1. Cette procédure permet d'interdire l'accès au réseau aux personnes non autorisées, elle permet également d'établir leurs privilèges (doits de lire, d'écrire ou de supprimer des données particulières, d'utiliser telle ou telle ressource, etc.).
- Filtrage des paquets (trames) émis ou reçus par les clients du réseau sans fil (stations STui et STu2, dans l'exemple de la figure 1) au niveau du serveur (portail P ou des points d'accès, AP, et AP2). Cette opération nécessite un couplage avec la procédure d'authentification, c'est à dire que la politique de filtrage appliquée doit dépendre des droits associés au client.
Le chiffrement et la signature des trames échangées en mode sans fil sont décrits par le standard "802.11 WEP" (pour "Wired Equivalent Privacy" ou "secret équivalent au filaire") et son extension "TKIP" (pour "Temporal Key Integrity Protocol" ou protocole d'intégrité à clé temporaire).
En ce qui concerne le concept "WEP", on pourra se reporter à l'article 15 de Daniel REZENTOS précité, au paragraphe 5.3. Ce concept est un mécanisme optionnel qui regroupe l'authentification, la confidentialité et le contrôle d'accès.
En particulier, en ce qui concerne la confidentialité, celle-ci est assurée par le chiffrement des données échangées, chiffrement basé sur un algorithme 20 mettant en oeuvre un générateur pseudo-aléatoire initialisé par une clé de chiffrement secrète, connue des unités à interconnecter et renouvelée périodiquement. Les clés de chiffrement nécessaires sont déduites de la procédure d'authentification, généralement à partir d'une clé maître ou "Master Key". "TKIP" est défini par l'extension du standard WEP et est basé sur des clés dynamiques par session.
Le standard "IEEE 802.1x" décrit une architecture d'authentification, basée sur les protocoles dit "EAP" (pour "Extensible Authentication Protocol" ou protocole d'authentification étendu) et un serveur d'authentification de type 30 "RADIUS" (pour "Remote Authentification Dial-In User Service" ou service d'authentification à distance d'un utilisateur appelant). Ce dernier protocole a été développé par la société "Livingston Entreprise" et est devenu un standard de fait décrit par les demandes de commentaires, connues sous le sigle anglo- saxon "RFC" (pour "Request For Comment") "RFC 2865" et RFC 2866". Il s'appuie sur une architecture dite "Client-Serveur".
Un scénario d'authentification est conduit au moyen du protocole "EAP" entre un client, par exemple une des stations STui ou STU2, du réseau 5 sans fil 1 et un serveur "RADIUS" d'authentification (non explicitement représenté). Cependant, ce standard ne précise aucun mode opératoire permettant de lier les opérations authentification et de filtrage des paquets (au niveau du serveur).
De telles architectures centralisées sont déployées par des opérateurs 10 de téléphonie mobile qui disposent d'une infrastructure d'authentification, appelée "Host Location Register". A titre d'exemple, la société "Nokia" (marque déposée) a introduit le concept dit "OWLAN" ("Operator Wireless Local Area Network"), c'est à dire un accès conforme au standard "IEEE 802.11" à un réseau "GPRS" (pour "General Packet Radio Services") préexistant. 15 L'authentification est réalisée de manière centralisée (par un serveur unique) et le filtrage fonctionne en mode tout ou rien.
Les solutions pour mettre en oeuvre une administration de sécurité efficace qui viennent d'être rappelées sont toutes basées sur une architecture très centralisée, notamment en ce qui concerne l'authentification d'un 20 utilisateur, mais avec des inconvénients habituellement associés à ce type de solution: manque de souplesse, lourdeur, complexité, etc., ce qui est antinomique avec le besoin signalé de "nomadisme" des utilisateurs, et ce qui réduit les avantages apportés par ailleurs par une architecture de type réseau sans fil.
En outre, la robustesse de l'algorithme "WEP" et des mécanismes d'authentification "EAP", et donc la sécurité, a été mise en doute par des chercheurs. Il a été montré qu'il était possible d'intercepter des transmissions et de se livrer à de l'espionnage domestique ou professionnel, voire de capturer des mots de passe (attaque sur la confidentialité). Il a été également montré 30 que des données pouvaient être modifiées et renvoyées sans que le destinataire puisse le remarquer (attaque sur l'intégrité). On pourra se référer à ce sujet à l'article de Arunesh Mishra et William A. Arbaugh, intitulé "An Initial Security Analysis of the IEEE802.lX Standard", Université de Maryland, 6 février 2002.
Le besoin se fait donc sentir de disposer d'un procédé d'authentification décentralisé, plus souple et assurant néanmoins un grand degré de sécurité.
L'invention vise à pallier les inconvénients des procédés et systèmes de l'art connu, et dont certains viennent d'être rappelés, et de remplir les besoins qui se font sentir dans le domaine des réseaux sans fil, et qui viennent également d'être rappelés.
L'invention se fixe pour but de fournir un service d'authentification, totalement décentralisé, permettant en outre de mettre en oeuvre tous types de fonctions réseaux de façon distribuée, c'est à dire de réaliser ces opérations localement, au niveau du système de distribution précité, en d'autres termes encore de les déléguer.
Elle offre cependant des garanties de sécurité équivalente à l'approche centralisée des réseaux de téléphonie mobile à la norme "GSM", tout en permettant un accès aux services du réseau sans fil sans nécessiter une communication permanente avec un site central d'authentification, ou encore une sécurité de niveau équivalent à celle que l'on peut obtenir dans un "réseau 20 filaire" Pour ce faire, selon une caractéristique importante de l'invention, les fonctions d'authentification d'un utilisateur et la mise en place de toutes les fonctions réseaux d'un réseau sans fil, sont réalisée à l'aide d'une paire de puces électroniques sécurisées, l'une étant détenue par une entité dite "client", 25 par exemple une station d'utilisateur, désirant se connecter au réseau sans fil, et l'autre étant associée à une entité du réseau dite "serveur" d'authentification et de filtrage.
Dans un mode de réalisation préféréle serveur peut être localisé sur le système de distribution, voire dans un point d'accès ou encore dans le portail. 30 Dans le cadre de l'invention, on entend par puce électronique des circuits intégrés comprenant notamment des moyens de traitement de données numériques à programme enregistré (microprocesseur ou microcontrôleur) et de mémorisation de ces données.
L'invention tire partie des qualités de sécurité des puces électroniques, notamment de type dit sécurisé (dites "Tamper Resistant Device"). Elles 5 peuvent se présenter sous la forme d'un module autonome, similaire au module dit "SIM" ("Subscriber ldentity Module" ou module d'identification d'abonnée) présent dans certains téléphones mobiles ou être incorporées dans une carte support, dénommée "carte à puce" ou encore "token USB". Pour simplifier, on groupera ci-après tous ces dispositifs sous la dénomination 10 unique de "carte à puce", sans limiter en quoi que ce soit la portée de l'invention. L'invention tire également partie des capacités précitées de stockage de données et de calcul de la carte à puce.
La paire de cartes à puce, ou de façon plus générale, la paire de 15 puces ou de modules électroniques, est émise par un prestataire de service et ces cartes à puce sont mises à la disposition du client et du serveur.
L'authentification mutuelle entre le client et le serveur peut alors être réalisée de façon décentralisée, directement par les puces électroniques de la paire, c'est-à-dire de façon déléguée, en mettant en òuvre un protocole 20 d'authentification approprié.
Dans un mode de réalisation préféré, on fait appel au protocole "EAP" précité, dont les caractéristiques de fonctionnement principales seront rappelées ci-après de façon plus détaillée, plus précisément au protocole "EAP TLS" (pour "Transport Layer Security" ou Sécurité de la couche de transport).
De façon préférentielle, un algorithme de chiffrement robuste, à clés publiques, est mis en oeuvre, par exemple du type "RSA" ou similaire. Un tel algorithme de chiffrement est décrit, par exemple, dans le brevet américain US 4 405 829 (aux noms de Rivest, Shamir et Aldleman). On recourt également à des certificats de sécurité, avantageusement conforme à la norme "X509". 30 Chaque carte à puce dispose de ce certificat de sécurité et d'une copie de la clé publique. Le procédé de chiffrage nécessite une clé secrète, encore appelée clé privée, connue seulement des entités entre lesquelles s'établit une session. Une clé secrète n'est jamais transmise sur le réseau, mais par le moyen d'un canal sécurisé.
L'invention présente de nombreux avantages, notamment elle ne nécessite qu'une installation minimale, voire nulle sur la station d'utilisateur (on 5 parle de "Client Free"), ce qui facilite grandement le déploiement de la solution.
En effet, il suffit que la station d'utilisation dispose d'un lecteur de carte à puce ou d'un organe similaire, ce qui est courant, ou que l'on connecte un tel dispositif à un port existant, par exemple du type "USB" (pour "Universal Serial Bus" ou bus série universel).
Le procédé reste donc compatible avec les systèmes de l'art connu et permet de respecter les standards en vigueur pour les réseaux sans fil ("IEEE 802.11" et extensions), contrairement à une solution qui serait d'un type dit "propriétaire". La sécurité est par ailleurs garantie par le fait que le module, ou la 15 carte à puce, côté utilisateur, est la propriété de celui-ci et peut, dans un mode de réalisation préféré, être retiré de la station d'utilisateur et conservé en lieu sr. D'autre part, comme il vient d'être indiqué, on peut faire appel à des algorithmes de chiffrements robustes.
La complexité globale du procédé n'est pas augmentée de façon 20 significative et présente une grande souplesse du fait de la décentralisation des traitements liés aux opérations d'authentification.
L'invention a donc pour objet principal un procédé d'identification d'un utilisateur désirant se connecter à un réseau sans fil comprenant au moins un dispositif dit point d'accès destiné à établir une communication, par 25 l'intermédiaire d'une liaison sans fil, entre au moins une station dite d'utilisateur associée au dit utilisateur et ledit réseau sans fil, et au moins un dispositif dit serveur d'authentification connecté au dit réseau sans fil, caractérisé en ce qu'il comprend au moins les étapes suivantes: - des étapes initiales consistant en la délivrance par une autorité dite de 30 certification d'une paire de dispositifs comprenant des circuits électroniques munis de moyens de traitement de données numériques à programme enregistré et de moyens de mémorisation, des premiers circuits électroniques étant associés à chacun desdits serveurs d'authentification et il des seconds circuits électroniques étant associé à chacune desdites stations d'utilisateur, et en la personnalisation desdits premiers et seconds circuits électroniques par l'enregistrement, dans lesdits moyens de mémorisation, de données secrètes d'identification et de clés de chiffrage/déchiffrage; et - des étapes ultérieures d'authentification dudit utilisateur comprenant au moins l'émission par lesdits seconds circuits électroniques d'une requête de connexion au dit réseau sans fil, ladite requête comprenant des données d'identification, transmise aux dits premiers circuits électroniques, le traitement par ceux-ci de ladite requête conformément à un protocole 10 d'authentification déterminé, comprenant la comparaison avec des données d'authentification dudit utilisateur et, en résultat de ladite comparaison, l'émission par lesdits premiers circuits électroniques d'une autorisation ou d'un rejet de ladite requête de connexion.
L'invention a encore pour objet une architecture pour la mise en oeuvre 15 de ce procédé d'authentification d'un utilisateur désirant se connecter à un réseau sans fil.
L'invention va maintenant être décrite de façon plus détaillée en se référant aux dessins annexés, parmi lesquels: - la figure 1 illustre schématiquement un exemple de réalisation 20 d'une architecture selon l'art connu, comprenant un réseau sans fil conforme au standard "IEEE 802.11", couplé par ondes radioélectriques à des stations d'utilisateur, d'une part, et à un réseau filaire, d'autre part, via un portail; - la figure 2 illustre schématiquement la délégation de 25 l'authentification vers deux cartes à puce par une autorité de certification selon un mode de réalisation préféré du procédé de l'invention; - la figure 3A illustre une architecture d'authentification implémentant le protocole dit "EAP" - la figure 3B est un diagramme illustrant les principaux échanges de données nécessités par ce protocole; et - la figure 4 est un exemple d'architecture implémentant le procédé d'authentification selon l'invention de la figure 2.
Dans ce qui suit, sans en limiter en quoi que ce soit la portée, on se placera ci-après dans le cadre de l'application préférée de l'invention, sauf mention contraire, c'est-à-dire dans le cas d'un réseau sans fil au standard "IEEE 802.11" et ses extensions, couplé via un portail, formant passerelle, à un réseau filaire de type Intranet.
Ce réseau reprend les principaux éléments décrits en regard de la figure 1, et il est inutile de les re-décrire plus avant. L'architecture générale d'un réseau sans fil selon l'invention reste en effet conforme, pour l'essentiel à l'art connu, et ceci constitue un avantage supplémentaire.
On va maintenant décrire le procédé d'authentification de l'invention et une architecture pour sa mise en oeuvre, par référence aux figures 2 à 4. Sur ces figures, les éléments identiques portent les mêmes références que sur la figure 1 et ne seront re-décrits qu'en tant que de besoin.
La figure 2 illustre schématiquement le mécanisme de délégation d'une 15 autorité de certification selon une des caractéristiques importantes du procédé selon l'invention.
Ce mécanisme permet une décentralisation complète des opérations d'authentification d'un utilisateur UJ, ou plus précisément d'une station d'utilisateur St1 (par exemple ST1 ou ST2 de la figure 1) associée à une carte à 20 puce CPui, propriété de cet utilisateur Us, à l'aide, d'une part de cette carte à puce CPuî, et, d'autre part, d'une deuxième carte à puce CPSAI associée à un serveur d'authentification SA1, localisé à un endroit quelconque de la "partie filaire" du réseau sans fil 1 ou du réseau filaire Intranet 2, mais préférentiellement sur le système de distribution DS ou dans l'un des points 25 d'accès AP1.
Le serveur d'authentification SA1 peut être unique pour tout le réseau 1, s'il est associé au système de distribution DS, ou répliqué, s'il est associé à tout ou partie des points d'accès APR. La carte à puce SASAI peut être lue par un lecteur de carte à puce (non représenté) ou être placée de façon fixe ou semi30 fixe à l'intérieur du serveur d'authentification SAi.
De même, la carte à puce CPui peut être lue par un lecteur de carte à puce LCui, externe ou interne. Généralement, les communications entre la station d'utilisateur ST1 et la carte à puce CPui, via le lecteur de carte à puce LCul, s'effectuent de façon standardisée (voir par exemple les normes ISO 7816-1 à 7816-4). Là encore, des procédés classiques, en soi communs à l'art connu, peuvent être mis en oeuvre. Ces procédés sont bien connus de l'Homme de Métier et il est inutile de les re-décrire plus avant. La carte à puce 5 CPui, ou un module en faisant fonction, peut aussi être insérée dans un logement approprié, connecteur ou similaire, à l'intérieur de la station d'utilisateur STui.
Le système, dans sa globalité comprend également un prestataire de service, PS, symbolisé sur la figure 2 par une unité de traitement d'information 10 spécifique, préférentiellement une des unités connectées au réseau Intranet 2 (figure 1). On va supposer ci-après qu'il est mis en oeuvre un algorithme de
chiffrement du type "RSA". Pour une description plus détaillée de ce procédé, on pourra se reporter avec profit au brevet américain US 4 405 829 précité.
Le prestataire du service PS stocke en un lieu sr une clé privée "RSA", que l'on dénommera ci-après "K_ProviderPrivate". Il dispose également d'une clé publique que l'on dénommera ci-après "KProviderPublic", associée à un certificat de sécurité de type "X509, que l'on dénommera ci-après "X509_Provide?'. Ce site central PS se comporte 20 comme une autorité de certification telle que décrite par les standards informels "PKCS" (pour "Public Key Cryptography Standards" ou standards de chiffrement par clé publique). Il délivre aux serveurs d'authentification gérés par le prestataire de service, par exemple le serveur SA1, des paires de clés "RSA", à savoir des clés publique et privée, que l'on appellera d'authentification, ci25 après dénommées "KAuthenticatorPublic" et "K_AuthenticatorPrivate", respectivement. La clé privé "KAuthenticatorPrivate" est stockée dans la carte à puce CPSAi du serveur d'authentification SAi, ainsi qu'un certificat "X509", que l'on dénommera ci-après "X509_Authenticatog', de la clé publique 30 "K_AuthenticatorPublic", signé au moyen de la clé privée de l'opérateur "KProviderPrivate". La carte à puce sécurisée CPui contient également la clé publique du prestataire de service "KProviderPublic". Cette dernière a pu, par exemple, être enregistrée dans une mémoire fixe, de type "ROM" (Mémoire à lecture seule), "PROM" (mémoire à lecture seule programmable) ou similaire, au moment de la caractérisation de la carte à puce CPui, ou tout simplement lui être transmise et mémorisée dans ses moyens de mémoire (non représentés).
Le site central PS délivre également aux clients du prestataire de service PS du réseau sans fil 1, c'est-à-dire les stations d'utilisateur STf, des paires de clés "RSA", à savoir des clés publique et privée, que l'on appellera de "demande" ou "Supplicant", ci-après dénommées "K_Supplicant Public" et "K_Supplicant Private", respectivement. La clé privée "K Supplicant Private" 10 est stockée dans la carte à puce CPui, ainsi que le certificat "X509" "X509_Supplicanr' de la clé publique "K SupplicantPublic", signé au moyen de la clé privé de l'opérateur "K_Provider Private". La carte à puce sécurisée CPuî contient également la clé publique du prestataire de service PS, soit "K_Provider Public".
La carte à puce sécurisée du client CPui contient enfin un certain nombre d'autres données, tels que les droits associés à l'utilisateur Us. et'des données similaires, sous la référence générale DTu1.
L'authentification est donc réalisée entre les deux cartes à puces sécurisées, CPui et CPSA , respectivement, plus précisément entre les puces 20 électroniques de ces cartes. Ces cartes à puces, CPu, et CPSA,, sont émises par le prestataire de services PS, et sont disponibles chez le client, station ST,, et dans le serveur d'authentification SA,.
Ce procédé permet d'obtenir une très grande sécurité. En effet, on doit bien comprendre que les opérations relatives à la sécurité sont entièrement 25 traitées à l'intérieur des cartes à puce, CPui et CPSA1, et non dans les unités hôtes, la station d'utilisateur ST; et le serveur d'authentification SA1. Les cartes à puce, CPui et CPSAi, ne transmettent pas aux hôtes, ST1 et SA1, les clés ou autres données secrètes qu'elles stockent, sous quelle forme que ce soit, même chiffrées.
Comme dans l'art connu (voir la figure 1), les communications entre la station d'utilisateur ST, et la partie "filaire" du réseau sans fil 1, le ou les point(s) d'accès AP1 et le système de distribution DS, s'effectuent par ondes radioélectriques, lien lRf, conformément au standard "IEEE 802.11" ou l'une de ses extensions.
Un protocole tel que le protocole "EAP TLS" précité, transporté par les réseaux sans fil 1 et filaire 2, et traité par la paire de cartes à puce sécurisées, 5 CPui et CPSAi, réalise l'authentification mutuelle proprement dite entre le serveur SA; et le client, c'est-à-dire la station d'utilisateur ST, et son utilisateur QJ, propriétaire de la carte à puce CPui.
Il est utile, avant de décrire plus avant le procédé de l'invention, et une architecture de mise en oeuvre de ce procédé, de rappeler brièvement les 10 caractéristiques principales du protocole d'authentification "EAP".
La figure 3A illustre très schématiquement une architecture d'authentification implémentant ce protocole.
Une station d'utilisateur STI, que l'on appellera ci-après "demanderesse" ou "supplicant" selon la terminologie anglo-saxonne 15 couramment utilisée, pose une requête de connexion au réseau sans fil 1, par l'intermédiaire d'une liaison lRf d'ondes radioélectriques interceptées par un point d'accès APi, situé dans sa zone de couverture radioélectrique CRa,. Cette requête est transmise à un dispositif AF, dit d'authentification/filtrage. Ce dispositif est relié à un serveur d'authentification SA par une liaison spécifique, 20 CAF, de couplage authentification/filtrage, généralement implémentant le protocole "RADUIS" précité. Le dispositif CAF joue un rôle de client vis-à-vis du serveur d'authentification SA.
Les principaux échanges de données entre les trois entités principales de la figure 3A, intervenant directement dans le protocole "EAP", soit ST1, AF et 25 SA, sont représentés schématiquement sur le diagramme de la figure 3B. L'axe vertical est l'axe des temps t, à partir d'un instant arbitraire to. Les échanges principaux sont les suivants: - instant to: la station d'utilisateur ST, ("supplicant") pose une requête de connexion au réseau sans fil 1: "demande de connexion"; - instant t1: le dispositif AF émet une demande d'authentification vers le "supplicant" ST,: "demande d'authentification"; - instant t2: le "supplicant" ST, répond en envoyant, par exemple un nom (identité ou "logon"), un mot de passe associé, etc.: "réponse"; - instant t3: le dispositif AF transmet la réponse reçue au serveur d'authentification SA, par la liaison CAF: "réponse de 1'utilisateue'; - instant t4: le serveur SA vérifie dans une base de données sécurisée les données d'authentification reçues et, en fonction du résultat de la vérification, envoie au dispositif AF une réponse positive ou négative "succès/échec de l'authentification"; et - instant t5: le dispositif AF répercute cette réponse au "supplicant" ST, "succès/échec de connexion".
En fonction de la réponse reçue du serveur d'authentification SA et 10 répercutée au "supplicant" ST,, ce dernier est autorisé ou non à se connecter au réseau sans fil 1 et à ouvrir une session. Le protocole de communication est bien connu et notamment défini par le standard "IEEE 802.11" ou ses extensions. Il est donc inutile de décrire plus avant les opérations subséquentes. Dans un mode de réalisation préféré de l'invention, comme il a été indiqué, l'authentification est basée sur le protocole "EAP", dont les caractéristiques principales viennent d'être rappelées. Cependant, selon une caractéristique importante, tous les traitements d'information concernant l'authentification/filtrage et la sécurité (chiffrement/déchiffrement) sont réalisés 20 directement par les cartes à puce, grâce aux moyens de calcul et de mémorisation dont elles sont munies, sans intermédiaire. Les échanges de données (questions/réponses), en tout ou partie, sont chiffrés, selon le procédé "RSA" précité, dans un mode de réalisation préféré.
Le procédé est rendu possible parce que les deux entités sécurisées, 25 les cartes à puce, CP, et CPSAI, disposent de certificats: "X509_Authenticatoe' et "X509_Supplicant', respectivement, signés par la même autorité : clé privée "k Provider Private" du prestataire de service PS, et disposent toutes deux d'une copie de la clé publique "K Provider Public" de ce prestataire de service PS.
La figure 4 illustre un exemple d'architecture entièrement décentralisée d'authentification, c'est-à-dire déléguée, basée, selon une caractéristique principale de l'invention, sur l'utilisation d'une paire de cartes à puce.
L'architecture de la figure 4 est semblable pour l'essentiel à celle de la figure 3A, à l'exception majeure du fait, comme il vient d'être rappelé, que les opérations liées à l'authentification/filtrage et, de façon plus générale, aux opérations liées à la sécurité, notamment aux chiffrements/déchiffrements, sont 5 réalisées par les cartes à puce, CPui, côté utilisateur (c'est-à-dire la station d'utilisateur STu1) et CPSAi, côté dispositif de filtrage/authentification SA;, ce dernier dispositif jouant aussi le rôle du serveur d'authentification SA de la figure 3A (plus précisément par l'intermédiaire de sa carte à puce CPSA ).
De façon préférentielle, comme représenté sur la figure 4, le dispositif 10 SA; peut être localisé directement sur le système de distribution DS (ce qui ne nécessite aucune modification du réseau 1, le dispositif SA; constituant alors l'une des unités connectées au système de distribution DS) voire dans un point d'accès AP;. Cependant, le dispositif SA; pourrait tout aussi bien être localisé sur le réseau filaire 2 (figure 1), voire sur un système distant (non représenté), 15 relié par Internet à ce dernier réseau ou par tout autre moyen.
Lorsqu'un utilisateur Us veut se connecter au réseau sans fil 1, via la station STu1, la liaison radioélectrique fR, et le point d'accès AP;, il émet, via sa carte à puce CPui, une requête, semblable à la requête "demande de connexion" (instant to: figure 3B). La carte à puce CPui peut être connectée à 20 la station STu1, via un lecteur de carte à puce LCu1, ou directement être intégrée dans celle-ci, comme il a été indiqué. Cette requête est transmise directement au dispositif AP;, et traité par sa carte à puce CPSAi. Le processus se déroule alors de façon semblable à ce qui a été décrit en regard de la figure 3B: il consiste en une suite de questions/réponses, à l'exception du fait qu'il n'y a 25 plus d'intermédiaire, le dispositif SA; et sa carte à puce CPSA1 jouant les rôles cumulés du dispositif AF et du serveur SA (figure 3A). Les étapes (question et réponse) des instants t3 et t4 (figure 3B) ne sont donc plus nécessaires.
La puce sécurisée CPu, de l'utilisateur U1 ("Supplicant") est protégée, par exemple, en ayant recours à un mécanisme classique dit de "PIN code" 30 (identification, nom ou "logon", apparié à un mot de passe), avec blocage après un nombre d'essais infructueux, généralement après trois essais. La carte à puce sécurisée CPSAi ("Authenticator") peut aussi être protégée par des mécanismes de type "PIN code" ou des méthodes de présentation plus élaborées (de type dit "challenge/response", selon la terminologie anglosaxonne). Dans ce dernier cas, la carte à puce CPSA peut être mise en fonction à partir d'un site central éloigné (non représenté).
Les mécanismes de protection des cartes à puce sécurisées décrits 5 précédemment permettent d'interdire avantageusement toutes opérations (en particulier les procédures d'authentification) lorsqu'une carte à puce (que ce soit les cartes à puce SA;, mais surtout CPui plus exposées) a été retirée du système informatique de manière volontaire ou mal intentionnée (vol, piratage, etc.). Le mécanisme ne nécessite aucune installation spécifique sur les stations d'utilisateur ST;, car le procédé selon l'invention s'appuie sur des programmes et des données stockées sur les cartes à puce CPui. La gestion des clients U1 dont l'autorisation de connexion a été retirée peut être avantageusement assurée par une gestion de listes de révocation, telle que 15 décrite dans les normes informelles "PKCS" précitées.
En dehors des opérations liées strictement à l'authentification d'un utilisateur Us désirant se connecter au réseau sans fil 1, et de la station d'utilisateur ST; qu'il utilise pour ce faire, d'autres fonctionnalités peuvent être implémentées dans cette architecture.
Par exemple, et de manière classique, diverses informations ou droits spécifiques associés au compte d'un utilisateur U, peuvent être stockées dans un annuaire électronique, de façon préférentielle un annuaire de type dit "LDAP". Un annuaire électronique est une base de donnée spécialisée, dont la 25 fonction première est de retourner un ou plusieurs attributs d'un objet grâce à des fonctions de recherche multicritères. Sa fonction peut être de servir pour le stockage centralisé d'informations diverses: coordonnées de personnes, données système, etc., et de les rendre disponibles, via un réseau à des applications, des systèmes d'exploitation ou des utilisateurs. "LDAP", ou 30 "Lightweight Directory Access Protocol" (protocole d'accès à un répertoire "allégé"), est né de la nécessaire adaptation du protocole "DAP" (protocole d'accès au service d'annuaire X500 de "I'OSI") à l'environnement "TCP/IP". Ces informations sont consultées lors de la procédure d'authentification pour établir les privilèges et les préférences du client Ui.
Dans le cadre de l'invention, ces fonctions peuvent être placées avantageusement sous le contrôle de la carte à puce CPui d'utilisateur U1 5 ("Supplicant"). En effet, celle-ci peut stocker ces informations, qui sont par exemple signées par la clé privée ("k_Provider Private") du prestataire de service PS (figure 2). Les cartes à puce "Supplicants", c'est-à-dire des utilisateurs UI, permettent donc le transport distribué d'un annuaire "LDAP" pouvant contenir un nombre très important d'enregistrements. Les informations 10 caractérisant un client peuvent avantageusement être intégrées au certificat échangé par le protocole "EAP TLS" lors de la phase d'authentification. Le système d'authentification/fonctionnalités dispose donc des informations permettant d'appliquer une politique pour les fonctions liée aux services sans fils. Il s'ensuit que, là encore, les mécanismes permettant de mettre en oeuvre ces fonctions peuvent être rendus opérants sur un mode entièrement délégué grâce à la paire de cartes à puce et ne nécessitent aucune installation logicielle résidente sur le poste client grâce à la capacité de stockage et de traitement d'information de la carte à puce CPui de la station d'utilisateur ST1 de 20 l'utilisateur Ui.
A la lecture de ce qui précède, on constate aisément que l'invention atteint bien les buts qu'elle s'est fixés.
Elle présente de nombreux avantages, et notamment: - une authentification mutuelle est effectuée sans nécessiter l'accès à un site 25 central, en d'autres termes l'authentification est entièrement déléguée, pour le moins après la phase initiale de délivrance des cartes à puce par une autorité centrale de certification; - le poste client, c'est-à-dire la station d'utilisateur, est personnalisé par une carte à puce sécurisée (ou encore une puce électronique ou un module en 30 faisant fonction), que l'on a appelée "Supplicant"; - le serveur d'authentification/filtrage est également personnalisé par une carte à puce sécurisée (ou encore une puce électronique ou un module en faisant fonction), que l'on a appelé "Authenticator"; - l'architecture du réseau sans fil dans sa globalité ne nécessite aucune adaptation ou modification significative, notamment en ce qui concerne les stations d'utilisateur; - le réseau sans fil reste compatible avec les standards du domaine d'applications, notamment le standard "IEEE 802.11" et ses extensions; - le procédé selon l'invention offre cependant un niveau de sécurité important, comparable à celui des réseaux filaires, malgré la décentralisation rappelée; et - il autorise également la décentralisation d'autres fonctionnalités, tel le 10 traitement d'informations, droits et privilèges associés à un utilisateur.
En outre, une même station "matériel" d'utilisateur pourrait servir à des utilisateurs distincts, chacun ayant une carte à puce personnelle qu'il insère dans un lecteur de carte à puce lorsqu'il désire se servir de cette station d'utilisateur, ce qui permet encore un plus grand "nomadisme". Il est seulement 15 nécessaire que l'utilisateur transporte avec lui une simple carte à puce.
L'utilisateur peut aussi se connecter à différents réseaux sans fils, non reliés entre eux, s'il possède des droits de connexions reconnus par ces réseaux et des clés enregistrées compatibles.
Il doit être clair cependant que l'invention n'est pas limitée aux seuls 20 exemples de réalisations explicitement décrits, notamment en relation avec les figures 2 à 4.
L'invention n'est pas limitée non plus aux seuls réseaux sans fil répondant au standard "IEEE 802.11" et ses extensions. En effet, le procédé selon l'invention, bien que trouvant une application préférée pour ce standard, 25 n'est pas dépendant d'un standard particulier.
Il en est de même notamment pour le protocole d'authentification "EAP". Il est possible, sans sortir du cadre de l'invention, d'utiliser tout autre protocole d'authentification approprié.
Enfin, les exemples numériques (nombre de stations d'utilisateur, de 30 points d'accès, etc.) n'ont été fournis que pour mieux fixer les idées et ne sauraient constituer une quelconque limitation de la portée de l'invention. Ils procèdent d'un choix technologique à la portée de l'Homme de Métier.

Claims (10)

REVENDICATIONS
1. Procédé d'identification d'un utilisateur désirant se connecter à un réseau sans fil comprenant au moins un dispositif dit point d'accès destiné à établir une communication, par l'intermédiaire d'une liaison sans fil, entre au moins 5 une station dite d'utilisateur associée au dit utilisateur et ledit réseau sans fil, et au moins un dispositif dit serveur d'authentification connecté au dit réseau sans fil, caractérisé en ce qu'il comprend au moins les étapes suivantes: - des étapes initiales consistant en la délivrance par une autorité dite de certification (PS) d'une paire de dispositifs (CPsA,, CPu1) comprenant 10 des circuits électroniques munis de moyens de traitement de données numériques à programme enregistré et de moyens de mémorisation, des premiers circuits électroniques (CPSAi) étant associés à chacun desdits serveurs d'authentification (SA;) et des seconds circuits électroniques (CPui) étant associé à chacune desdites stations d'utilisateur (ST;), et en 15 la personnalisation desdits premiers (CPsAj) et seconds (CPu1) circuits électroniques par l'enregistrement, dans lesdits moyens de mémorisation, de données secrètes d'identification et de clés de chiffrage/déchiffrage; et - des étapes ultérieures d'authentification dudit utilisateur (U1) comprenant au moins l'émission par lesdits seconds circuits électroniques 20 (CPuj) d'une requête de connexion au dit réseau sans fil (1), ladite requête comprenant des données d'identification, transmise aux dits premiers circuits électroniques (CPSAi), le traitement par ceux-ci de ladite requête conformément à un protocole d'authentification déterminé, comprenant la comparaison avec des données d'authentification dudit utilisateur (U1) et, 25 en résultat de ladite comparaison, l'émission par lesdits premiers circuits électroniques (CPSAi) d'une autorisation ou d'un rejet de ladite requête de connexion.
2. Procédé selon la revendication 1, caractérisé en ce que lesdits premiers (CPSA,) et seconds (CPu;) circuits électroniques sont constitués chacun par 30 une puce électronique sécurisée supportée par une carte à puce.
3. Procédé selon la revendication 2, caractérisé en ce lesdites clés de chiffrage/déchiffrage enregistrées dans lesdits moyens de mémorisation desdites cartes à puce (CPSAI, CPu1), comprennent au moins une paire de clés associées aux dites puces, en ce que cette paire comprend une clé dite 5 publique, et une clé secrète, dite privée, et en ce qu'il comprend des opérations de chiffrage/déchiffrage de tout ou partie des données échangées pendant lesdites étapes d'authentification par utilisation desdites clés et d'un algorithme du type dit "RSA".
4. Procédé selon la revendication 3, caractérisé en ce que ladite autorité de 10 certification (PS) génère une paire de clés de chiffrage/déchiffrage supplémentaire qui lui est spécifique, en ce que cette paire comprend une clé dite publique et une clé secrète, dite privée, en ce qu'une copie de ladite clé publique est stockée dans lesdits moyens de mémorisation desdites première (CPSA ) et seconde (CPu1) puces électroniques, et en ce que 15 lesdites données d'identification comprennent des certificats d'authentification de clé publique, à la norme dite "X509", générés par ladite autorité de certification (PS), signés par ladite clé privée de ladite autorité de certification (PS), et stockés dans lesdits moyens de mémorisation desdites premières (CPSAi) et secondes (CPu1) puces électroniques.
5. Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que ledit réseau sans fil (1) est conforme au standard "IEEE 802.11" ou à l'un de ses extensions.
6. Procédé selon la revendication 5, caractérisé en ce que ledit protocole d'authentification est le protocole dit "EAP" décrit par le standard "IEEE 25 802.1x".
7. Procédé selon la revendication 6, caractérisé en ce qu'il comprend une étape supplémentaire consistant à enregistrer, dans lesdits moyens de mémorisation associés aux dites cartes à puce (CPu1) desdites stations d'utilisateur (ST1), des données correspondant à des droits et/ou privilèges 30 accordés à des utilisateurs (Us) desdites carte à puce (CPuî), de manière à décentraliser le traitement de fonctionnalités déterminées dudit réseau sans fil (1) et à effectuer tout ou partie desdites fonctionnalités par utilisation desdits moyens de traitement de données numériques à programme enregistré et de moyens de mémorisation de ces cartes à puce (CPu,), pour autoriser l'accès desdits utilisateurs (Us) à des services prédéterminés.
8. Architecture pour la mise en oeuvre du procédé selon l'une quelconque des revendications précédentes pour l'authentification d'un utilisateur disposant d'une desdites stations d'utilisateur munie de moyens de communication sur une liaison sans fil, ladite architecture comprenant au 10 moins un desdits points d'accès destiné à établir ladite communication et au moins un desdits serveurs d'authentification connecté au dit réseau sans fil, caractérisée en ce que chacune desdites stations d'utilisateur (ST;) et chacun desdits serveurs d'authentification (SA;) sont munis d'une desdites cartes à puces sécurisées (CPui, CPsA,) délivrées par ladite autorité de 15 certification (PS), en ce que lesdites cartes à puce (CPu,, CPSA ) comprennent des circuits électroniques munis de moyens de traitement de données numériques à programme enregistré et de moyens de mémorisation et en ce que ces moyens de mémorisation enregistrent lesdites données secrètes d'identification et de clés de chiffrage/déchiffrage 20 personnalisant lesdites cartes à puce (CPui, CPSA,), de manière à pouvoir effectuer des sessions d'authentification mutuelle d'une paire de dispositifs comprenant un serveur d'authentification (SAi) et une station d'utilisateur (ST;), sous la commande desdits moyens de traitement de données numériques à programme enregistré, lesdits dispositifs (SAi, ST;) échangeant 25 des données conformes au dit protocole d'authentification déterminé, lesdites données comprenant au moins une requête de connexion au dit réseau sans fil (1) émise par la carte à puce (CPu,) de ladite station d'utilisateur (ST;) et une réponse d'autorisation ou de rejet de ladite requête, fonction du résultat de ladite authentification, émise par la carte à puce 30 (CPsA,) dudit serveur (SA;).
9. Architecture selon la revendication 8, caractérisée en ce que ledit réseau sans fil (1) comprend une pluralité de points d'accès (AP1) et une liaison filaire auxquels ils sont connectés, dite système de distribution (DS).
10. Architecture selon la revendication 9, caractérisée en ce que ledit serveur 5 d'authentification (SA1) est connecté au dit système de distribution (DS) ou localisé dans un desdits points d'accès (APj).
FR0215759A 2002-12-12 2002-12-12 Procede d'authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede Expired - Fee Related FR2848754B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0215759A FR2848754B1 (fr) 2002-12-12 2002-12-12 Procede d'authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0215759A FR2848754B1 (fr) 2002-12-12 2002-12-12 Procede d'authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede

Publications (2)

Publication Number Publication Date
FR2848754A1 true FR2848754A1 (fr) 2004-06-18
FR2848754B1 FR2848754B1 (fr) 2005-03-11

Family

ID=32338743

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0215759A Expired - Fee Related FR2848754B1 (fr) 2002-12-12 2002-12-12 Procede d'authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede

Country Status (1)

Country Link
FR (1) FR2848754B1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
EP1081895A1 (fr) * 1999-09-03 2001-03-07 Intel Corporation Réseau local radio securisé
EP1178644A2 (fr) * 2000-02-11 2002-02-06 Nokia Inc. Procédés de gestion de clé pour réseaux locaux sans fil

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
EP1081895A1 (fr) * 1999-09-03 2001-03-07 Intel Corporation Réseau local radio securisé
EP1178644A2 (fr) * 2000-02-11 2002-02-06 Nokia Inc. Procédés de gestion de clé pour réseaux locaux sans fil

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PRASAD N R: "IEEE 802.11 System Design", PAGE(S) 490-494, XP010534101 *

Also Published As

Publication number Publication date
FR2848754B1 (fr) 2005-03-11

Similar Documents

Publication Publication Date Title
EP1687953B1 (fr) Méthode d'authentification d'applications
EP2820795B1 (fr) Procede de verification d'identite d'un utilisateur d'un terminal communiquant et systeme associe
EP2912594B1 (fr) Procédé de fourniture d'un service sécurisé
EP2166728B1 (fr) Procédé d'échange de données, telles que des clés cryptographiques, entre un système informatique et une entité électronique, telle qu'une carte à microcircuit
EP1371207A1 (fr) Dispositif portable pour securiser le trafic de paquets dans une plate-forme hote
WO2007115982A2 (fr) Procede de protection d'identite, dispositifs, et produit programme d'ordinateur correspondants
EP3032799B1 (fr) Procédé d'authentification d'un utilisateur, serveur, terminal de communication et programmes correspondants
FR2877521A1 (fr) Dispositif, procede, programme et support de distribution d'informations, d'initialisation, dispositif, procede, programme et support de transfert d'initialisation d'authentification et programme de reception ...
WO2011048161A1 (fr) Dispositif et procédé de gestion des droits d'accès à un réseau sans fil
EP1815638A1 (fr) Procede de securisation d'un terminal de telecommunication connecte a un module d'identification d'un utilisateur du terminal
US20060068758A1 (en) Securing local and intra-platform links
EP3375133B1 (fr) Procede de securisation et d'authentification d'une telecommunication
FR2883115A1 (fr) Procede d'etablissement d'un lien de communication securise
FR3013177A1 (fr) Technique de configuration d'acces securise d'un terminal invite a un reseau hote
EP3991381A1 (fr) Procédé et système de génération de clés de chiffrement pour données de transaction ou de connexion
FR2848754A1 (fr) Procede d'authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede
WO2005079038A1 (fr) Procede, terminal mobile, systeme et equipement pour la fourniture d’un service de proximite accessible par l’intermediaire d’un terminal mobile
WO2006072746A1 (fr) Procede de securisation d’une communication entre une carte sim et un terminal mobile
WO2006082296A2 (fr) Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique
FR2895857A1 (fr) Systeme, dispositif portable et procede pour la configuration d'un dispositif communicant dans un reseau
FR3074990A1 (fr) Methode d'appairage de terminaux electroniques, terminaux et programme correspondant
WO2006035137A1 (fr) Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
FR3118225A1 (fr) Procédé et dispositif de génération d'informations d'authentification pour une entité sécurisée et procédé et dispositif de contrôle d'identité associés
FR3135585A1 (fr) Routeur

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20081020