FR2885753A1 - Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique - Google Patents

Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique Download PDF

Info

Publication number
FR2885753A1
FR2885753A1 FR0504850A FR0504850A FR2885753A1 FR 2885753 A1 FR2885753 A1 FR 2885753A1 FR 0504850 A FR0504850 A FR 0504850A FR 0504850 A FR0504850 A FR 0504850A FR 2885753 A1 FR2885753 A1 FR 2885753A1
Authority
FR
France
Prior art keywords
access point
signature
station
value
frame
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0504850A
Other languages
English (en)
Inventor
Stevens Stevens
Laurent Butti
Franck Veysset
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0504850A priority Critical patent/FR2885753A1/fr
Priority to PCT/FR2006/000922 priority patent/WO2006120316A1/fr
Publication of FR2885753A1 publication Critical patent/FR2885753A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

L'invention concerne un procédé de communication par trames de données et trames de gestion au moins, entre une station et au moins un point d'accès à un réseau sans fil, notamment WiFi ou Wimax, dans lequel les trames de gestion, utilisées pour la diffusion d'informations, l'association, ou l'authentification entre la station et au moins un point d'accès, sont échangées préalablement à l'échange de trames de données.Le procédé comprend, en outre, une opération consistant à inclure une signature, au niveau d'au moins un point d'accès, par des moyens de signature électronique, dans au moins l'une des trames de gestion émises par ce point d'accès, et une opération de validation de l'authenticité de ces trames, au niveau de la station, par des moyens de validation de l'authenticité de la signature électronique.

Description

PROCEDE DE COMMUNICATION POUR RESEAUX SANS FIL PAR TRAMES
DE GESTION COMPORTANT UNE SIGNATURE ELECTRONIQUE.
La présente invention concerne les réseaux sans fil, notamment les opérations nécessaires pour sécuriser 5 l'échange de données entre une station et au moins un point d'accès à un réseau sans fil.
Plus précisément, la présente invention concerne un procédé de communication entre au moins une station et au moins un point d'accès à un réseau sans fil, par exemple WiFi ou Wimax, dans lequel des trames de gestion, utilisées pour la diffusion d'informations (capacités du point d'accès, mesure des ressources radios, etc.), l'association, ou l'authentification entre la station et au moins un point d'accès, sont échangées prés_lablement à l'échange de trames de données.
Ce type de réseaux est bien connu de l'état de la technique et permet de créer des réseaux locaux sans fil à haut débit pour peu que la station à connecter ne soit pas trop distante par rapport au point d'accès.
Dans la pratique, les réseaux sans fil, tels que le WiFi, permettent de relier des ordinateurs portables, des machines de bureau, des assistants personnels (PDA) ou tout type de périphérique par une liaison haut débit (11 Mbps ou supérieur) sur un rayon de plusieurs dizaines de mètres en intérieur (généralement entre une vingtaine et une cinquantaine de mètres) à plusieurs centaines de mètres en environnement ouvert, voire plus dans le cas du Wimax.
Les réseaux sans fil sont de plus en plus utilisés 30 dans les réseaux ouverts dits "Hot-Spots" (zones publiques à forte concentration d'utilisateurs et clairement délimitées telles que cafés, bibliothèques, gares, aéroports, hôtels, trains...), ou les réseaux Entreprises ou Résidentiels.
Cependant, parallèlement à l'intérêt grandissant 5 pour ce type de technologies d'accès, des techniques de piratage sont apparues.
Aussi différentes solutions relatives à la sécurité ont-elles vu le jour. Cependant, la grande majorité d'entre elles vise à protéger les trames de dcnnées.
A l'heure actuelle, une problématique importante des réseaux sans fil, par exemple WiF]., est la possibilité pour un attaquant de créer un faux point d'accès diffusant le même nom de réseau que le réseau WiFi valide, et ce, sans que le client (station) puisse faire la différence entre un point d'accès légitime et un point d'accès illégitime, ce qui permet des attaques très efficaces.
Les solutions proposées à l'heure actuelle sont basées sur l'utilisation de techniques à base de tunnels SSL/IPsec pour réaliser des connexions sécurisées vers, par exemple, un Intranet; mais ces solutions ne résolvent en rien la problématique d'association à un point d'accès (il) légitime.
Aussi l'invention concerne un p:_océdé de communication entre une station et au moins un point d'accès à un réseau sans fil dans lequel des trames de gestion sont échangées préalablement à l'change de trames de données.
Les trames de gestion sont utilisées notamment pour l'association, ou l'authentification entre la station et au moins un point d'accès, et sont échangées préalablement à l'échange de trames de données, Avec cet objectif d'authentification des points d'accès en vue, le procédé de l'invention, par ailleurs conforme à la définition générique qu'er donne le préambule sus-évoqué, est caractérisé en ce qu'il comprend une étape consistant à générer et à inclure une signature électronique, au niveau d'au moins un point d'accès, par des moyens de signature électrcnique, dans au moins l'une des trames de gestion émises par ce point d'accès; et une étape de validation de l'authenticité de ces trames, au niveau de la station, par des moyens de validation de l'authenticité de la signature électronique.
Ainsi selon l'invention, le point d'a:cès inclut une signature dans au moins une trame de gestion, afin que le client (station) valide de manière préférentielle, i.e. manuellement (l'utilisateur de la station validant ses choix) ou automatiquement (en fonc:ion d'une configuration préalable de la station) l'authenticité des points d'accès présents dans la zone géographique dans laquelle il se situe, afin qu'il puisse décider, ou non, de s'y connecter.
On trouvera ci-dessous divers exemples de données pouvant être utilisées pour ladite signature électronique.
Par ailleurs, le point d'accès peut signer toutes les trames de gestion émises ou seulement certaines d'entre elles.
Selon des caractéristiques particulières, la station récupère des informations - à authentifier - sur 30 les points d'accès l'avoisinant É soit, depuis la station, par trames de requête de sondage ("Probe Request" en anglais) auquel au moins un point d'accès répond par au moins une trame de réponse ("Probe R :sponse" en anglais); É soit, par la réception de trames de balises ("Beacon" en anglais) émises par au moins un point d'accès, où au moins une trame émise par au moins un point d'accès comprend une signature générée par des moyens de signature électronique, une opération de validation de l'authenticité de cette trame étant effectuée au niveau de la station, par des moyens de validation de l'authenticité de la signature électronique.
Grâce à cet agencement, la station est capable de distinguer d'une part les points d'accès considérés comme authentifiés; et d'autre part, les points d'accès non authentifiés. Ceux-ci pouvant, par ailleurs, être parfaitement valides mais, n'étant pas authentifiés, il est difficile de leur accorder une quelconque confiance.
Dans un mode de réalisation de l'invention, la signature électronique est effectuée par deE moyens de signature basés sur une logique de clé asymétrique, par exemple une Infrastructure à clé Publique (ICP, ou "PKI" en anglais) ou une Infrastructure Basée sur l'Identité (IBC).
La clé asymétrique est utilisée pour effectuer les opérations de signature électronique et peul: également être utilisée pour des opérations de chiffrement. Elle peut ainsi être utilisée pour l'envoi par la station d'une clé symétrique maîtresse, à partir e laquelle pourront être dérivées une ou plusieurs clés de signature et de chiffrement. L'utilisation d'une clé symétrique par la suite permet d'augmenter la vitesse de calc.xl.
De préférence, l'invention porte sur un réseau sans fil configuré en mode infrastructure où chaque station se connecte à un point d'accès via une liaison sans fil, mais peut également être mis en uvre lorsque le réseau sans fil est configuré en mode ad hoc où un point d'accès peut être constitué par une autre station. En mode ad hoc les machines sans fil clientes se connectent les unes aux autres afin de constituer un réseau point à point ( peer to peer en anglais), c'est-à-dire un réseau dans lequel chaque machine joue en même temps le rôle de client et le rôle de point d'accès.
Dans un mode de réalisation, chaque trame émise par une station désirant obtenir des réponses authentifiées vers au moins un point d'accès comprend un champ (SNONCE) dont la valeur est un aléa, différent à c- iaque trame émise; et chaque trame émise par un point d'accès et que l'on souhaite authentifier comprend notamment un champ (ANONCE) dont la valeur est un compteur incrémenté à chaque trame de gestion émise, et un champ contenant la signature électronique.
A ce titre, chaque trame comprenant une signature, émise par un point d'accès, et répondant à une trame issue du client comprend en outre un cr:amp SNONCE contenant la valeur de l'aléa égal à l'aléa 3e la trame issue du client à laquelle elle répond.
La signature électronique est appliquée, par exemple, à au moins l'un des éléments suivants: l'adresse source de la trame de gestion, l'adresse de destination de cette trame, le compteur du champ (ANONCE), et le champ (SNONCE) pour les trames qui le comprennent.
Dans une alternative, elle est réalisée à partir d'une fonction de hachage. Dans un mode de réalisation, elle est réalisée, à partir d'un haché au moyen de la clé asymétrique possédée par le point d'accès, ou de la clé symétrique de signature dérivée de la clé symétrique maîtresse décrite précédemment. La fonction de hachage peut aussi être appliquée, par exemple, à au moins l'un des éléments suivants: l'adresse source de La trame de gestion, l'adresse de destination de cette trame, le compteur du champ ANONCE et le champ SNONCE pour les trames qui le comprennent.
L'invention concerne également un poins d'accès à un réseau sans fil, par exemple WiFi ou Wimax, comprenant des moyens de communication, par trames de données et trames de gestion au moins, vers au moins une station, ce point d'accès étant caractérisé en ce qu'il comprend, en outre, des moyens de signature électronique configurés pour inclure une signature dans au moins l'une des trames de gestion émises par ce point d'accès.
De préférence, le point d'accès comprend des moyens pour comptabiliser les trames émises, par exemple un compteur (ANONCE) incrémenté à chaque trame de gestion comprenant une signature et émise par ce point d'accès.
Enfin, la présente invention porte sur une station configurée pour communiquer avec au moinE. un point d'accès à un réseau sans fil, par exemple WiFi ou Wimax, par des moyens de communication comprenant al moins des trames de données et des trames de gestion, la dite station étant caractérisée en ce que, le dit point d'accès émettant des trames de gestion comportant une signature électronique, la station comprend en outre des moyens de validation de l'authenticité de ces trames émises par le point d'accès, par des moyens de validation de l'authenticité de la signature électronique.
De préférence, la station comprend des moyens pour générer des aléas (SNONCE) aléatoirement à chaque trame de gestion émise.
D'autres caractéristiques et avantaces de la présente invention apparaîtront plus clairement à la lecture de la description suivante donnée à titre d'exemple illustratif et non limitatif et: faite en référence aux figures annexées dans lesquelles; - la figure 1 représente un schéma de fonctionnement de machine à état pour les réseaux de type WiFi, la figure 2 représente un schéma de fonctionnement du procédé, selon le mode de réalisation préféré, pour les étapes de recherche, authentification et association, la figure 3 représente un schéma de fonctionnement du procédé, selon le mode de réalisation préféré, pour les étapes de ré-association, - la figure 4 représente un schéma de fonctionnement du procédé, selon le mode de réalisation préféré, pour les étapes de dis-association, la figure 5 représente un schéma de for.. ctionnement du procédé, selon le mode de réalisation préféré, pour les étapes de dé-authentification, - la figure 6 représente un schéma de for. ctionnement du procédé, selon le mode de réalisation préféré, pour les étapes d'envoi de trames de balises.
L'ensemble des trames de gestion impliquées dans le procédé sont les suivantes: - Trames de balise: trames émises régulièrement par les points d'accès afin d'informer les équipements clients (stations) de leur présence et d'un ensemble de caractéristiques qui leur sont propres (nom de réseau...), - Requêtes de sondage: trames de découverte de points d'accès émises par les stations afin de découvrir les points d'accès et d'obtenir un ensemble de caractéristiques qui leur sont propres, Réponses à une requête de sondage: trames de notification au client de la présence d'un point d'accès et d'un ensemble de caractéristiques propres au dit point d'accès, Requêtes d'authentification: de la station vers le point d'accès. I1 existe deux modes d'authentification, l'un ouvert qui rie nécessite pas de secret partagé ; et l'autre partagé qui nécessite la connaissance d'un secret partagé entre le client et le point d'accès, Réponse d'authentification: d'un point d'accès à une station. La réponse est succès ou échec , - Requête d'association: d'une station vers un point d'accès. Diffuse des informations sur la station(par exemple, les débits supportés) et le SSID du réseau avec lequel elle souhaite s'associer, - Réponse d'association: d'un point d'accès vers une station, contient une notification d'acceptation ou de rejet, - Requête de Réassociation: d'une station vers un point d'accès. Les réassociations se produisent lors de l'éloignement de la station de son point d'accès ou lors d'un trafic trop important sur un point d'accès (fonction d'équilibrage des charges).
- Réponse de Réassociation: d'un point d'accès vers une station, contient une notification d'acceptation ou de rejet de réassociation, -Disassociation: trame envoyée par une station ou un point d'accès pour notifier à ].'équipement destination qu'il n'est plus associé, - Déauthentification: trame envoyée par une station ou un point d'accès pour notifier à l'équipement destination qu'il n'est plus authentifié.
Les trames de balise sont le plus souvent de type broadcast (à diffusion générale), et émises par le point d'accès.
Les trames de Réponse, de Dis-association et de Dé-authentification sont de type unicast (, diffusion 15 individuelle).
Les trames de Requête (émises par une station vers au moins un point d'accès) sont de source le client, et de destination le point d'accès.
Par convention d'écriture, (ANONCE) et (SNONCE) se 20 rapportent respectivement aux champs ANONCE el: SNONCE ou à leur valeur.
Dans le cadre de l'invention, le réseau sans fil est, de préférence, configuré en mode infrastructure.
L'ensemble formé par le point d'accès et les stations situées dans sa zone de couverture est appelé ensemble de services de base (en anglais basic service set , noté BSS) et constitue une cellule. Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode infrastructure, le BSSID correspond à l'adresse MAC de l'interface sans-fil du point d'accès.
Il est possible de relier plusieurs points d'accès entre eux (ou plus exactement plusieurs BSS) par une liaison appelée système de distribution (no:ée DS pour Distribution System ) afin de constituer un ensemble de services étendu ( extended service set ou ESS). Le système de distribution (DS) peut être aussi bien un réseau filaire, qu'un câble entre deux points d'accès ou bien même un réseau sans fil. Un ESS est repéré par un ESSID ( Service Set Identifier ), c'est-à-dire un identifiant servant de nom pour le réseau.
Lors de l'entrée d'une station dans la zone de couverture d'un point d'accès, celle-ci diffuse une requête de sondage ( Probe Request ) conter..ant l'ESSID pour lequel elle est configurée ainsi que les débits que son adaptateur sans fil supporte. Si aucun ESSID n'est configuré, la station écoute le réseau à la recherche d'un SSID.
En effet chaque point d'accès diffuse régulièrement (à raison d'un envoi toutes les 0.1 secondes environ) une trame balise (nommée beacon en anglais) donnant des informations sur son BSSID, ses caractéristiques et éventuellement son ESSID.
A titre d'alternative, le réseau peut être configuré en mode ad hoc où un point c.'accès est constitué par une autre station.
La présente invention se place dans le cadre de processus d'authentification où différents types de trames de gestion sont émis par chacune des parties du système (station et point d'accès), afin de pouvoir changer d'état à la réception de certaines catégories de trames. Un tel fonctionnement est décrit dans la machine à état représentée sur la figure 1, où l'on passe successivement de l'état 10 (non authentifié, non associé) à l'état 20 (authentifié, non associé) par une étape 12 d'authentification réussie; et de l'état 20 à l'état 30 (authentifié, associé) par une étape 23 d'association ou de ré-association réussie. Réciproquement on passe de l'état 30 à l'état 20 par une étape de disassociation; et de l'état 20 à l'état 10 par une étape 21 de désauthentification, ou de l'état 30 à l'état 10 par une étape 31 de desauthentification.
La présente invention se base sur cette même machine à état, en réalisant des opérations sur les trames envoyées / reçues afin de pouvoir valider le passage d'un état à l'autre en fonction des informations contenues dans les trames de gestion.
La signature électronique est effectuée par des moyens de signature basés sur une logique de clé asymétrique (techniques à base d'infrastructures à clés publiques). Dans un mode de infrastructure à clé publique (PKI) cette configuration, on suppose confiance pré-distribué ou envoyé, réalisation, une est utilisée. Dans le certificat de par exemple, par un point d'accès, dans les trames de balise ou lets trames de réponse ( Probe Response ).
A titre d'alternative, on peut utiliser une infrastructure basée sur l'identité (IBC). L'avantage de telles solutions (IBC) étant que le client (station) n'a, dans ce cas, pas besoin de certificat mais seulement d'une clé publique présupposée connue (par exemple le couple { SSID, BSSID} du point d'accès).
La clé asymétrique peut être utilisée pour l'envoi par la station d'une clé symétrique maîtresse, à partir de laquelle peuvent être dérivées une ou plusieurs clés de signature et de chiffrement. L'utilisation de clé symétrique par la suite permettant d'augmenter la vitesse de calcul.
En effet, la cryptographie à clés asymétriques est réputée être lente, contrairement à la cryptographie à clés symétriques. Dans un contexte d'équiperr.ents légers (points d'accès ayant peu de ressources en terme de CPU), il apparaît intéressant d'optimiser les temps de calculs faits par le point d'accès, en dérivant des clés symétriques à partir du matériel cryptographique du point d'accès (clé publique) et de valeurs aléatoires fournies par le client (station) et le point d'accès. Ces clés seront alors utilisées par la suite pour l'inclusion de signature (et éventuellement le chiffrement) dans des trames de gestion.
Sur le plan du fonctionnement, chaque trame émise par une station vers au moins un point d'accès est une trame comprenant un champ (SNONCE) dont la valeur est un aléa différent donc à chaque trame émise.
Chaque trame émise par un point d'accès comprend notamment un champ (ANONCE) dont la valeur est un compteur incrémenté à chaque trame de gestio:a émise, et un champ contenant la signature électronique.
La valeur du champ (SIGNATURE) est una signature cryptographique utilisant une clé secrète propre au point d'accès. Elle est réalisée, par exemple, à partir d'une fonction de hachage. De préférence, pour garantir le nonrejeu, la fonction de hachage est appliquée à au moins l'un des éléments suivants: l'adresse source de la trame de gestion, l'adresse de destination de cette trame, le compteur du champ (ANONCE) et le champ (SNONCE) pour les trames qui le comprennent.
Typiquement, la valeur (ANONCE) est an compteur incrémenté par le point d'accès à chaque trame de gestion comprenant une signature et émise par ce point d'accès.
En ce sens, il débute à une certaine valeur, typiquement 5 zéro, puis est augmenté de un à chaque émission de trame de gestion comprenant une signature.
Lorsqu'elle est à diffusion ( unicast ), chaque trame signée émise d'accès répond à une trame issue préférence, outre la signature et le champ contenant la valeur de l'aléa clientindividuelle par un point et comprend de champ (ANONCE),un (SNONCE) égal à à laquelle elle trame de elle, la (SNONCE) dans la la en que valeur outre du client l'aléa de la trame issue du répond.
A chaque réception par la station d'une 15 réponse à une trame précédemment envoyée par station vérifie trame de réponse, ou dans la signature, est bien égale à la valeur (SNONCE) de sa requête précédente.
L'invention concerne également un point: d'accès à un réseau sans fil, par exemple WiFi ou Wimax, comprenant des moyens de communication, par trames de données et trames de gestion au moins, vers au moins une station.
Le point d'accès comprend, en outre, des moyens de signature électronique configurés pour inclure une signature dans au moins l'une des trames de gestion émises par ce point d'accès.
De préférence, le point d'accès comprend des moyens pour comptabiliser les trames émises, par exemple un compteur (ANONCE) incrémenté à chaque trame de gestion comprenant une signature et émise par ce point d'accès.
Dans un mode de réalisation, il est configuré pour recevoir d'au moins une station, des premières trames de gestion comprenant chacune un champ (SNONCE) dont la valeur est un aléa, différent à chaque trame émise, et émettre respectivement des deuxièmes trames de gestion en réponse à ces premières trames; ce point d'accès comprenant des moyens pour copier l'aléa (SNONCE) de chaque première trame reçue dans chaque deuxième trame émise respectivement en réponse à cette premiÈre trame.
Enfin, l'invention concerne également une station configurée pour communiquer avec au moine un point d'accès à un réseau sans fil, par exemple WiFi ou Wimax, par des moyens de communication comprenant au moins des trames de données et des trames de gestion.
Le dit point d'accès émettant des trames de gestion comportant une signature électronique, =_a station comprend en outre des moyens de validation de l'authenticité du point d'accès, comprenant des moyens de validation de l'authenticité de la signature électronique de cette trame.
De préférence, la station comprend des moyens pour 20 générer des aléas (SNONCE) aléatoirement à c:zaque trame de gestion émise.
Dans un mode de réalisation, la station comprend une mémoire et est configurée pour, à réception de chaque trame de gestion comprenant un champ (ANONCE) émise par le point d'accès, vérifier la présence d'une valeur du champ (ANONCE) en mémoire.
Dans la négative, la station vérifie alors la validité de la signature et met à jour la valeur (ANONCE) en mémoire pour ce point d'accès avec la valeur (ANONCE) reçue, lorsque la signature est authentifiée.
Dans l'affirmative, la station vérifie que la valeur du champ (ANONCE) reçue est supérieure à celle qu'elle 30 contient en mémoire pour ce point d'accès. Puis, dans l'affirmative, elle vérifie la validité de la signature et met à jour la valeur (ANONCE) en mémoire pour ce point d'accès avec la valeur (ANONCE) reçue, lorsque la signature est authentifiée.
Selon un mode de réalisation particulier, le processus de communication d'une station; un point d'accès se fait en mode ouvert , dans une infrastructure à clé publique (PKI) où la signature générée par le point d'accès est une fonction. de hachage appliquée sur une combinaison de la clé, du champ (ANONCE) et du champ (SNONCE). Ce mode particulier fonctionne de la manière suivante (figure 2) . En amont du processus d'association, 1. La station envoie une trame Probe Request avec un champ (SNONCE1) ; 2. Le point d'accès répond à cette trame avec une trame Probe Response contenant des champs (SNONCE1), (ANONCEl) et (SIGNATURE). Le client vérifie alors plusieurs points: a. Si le client a un (ANONCE) en mémoire pour ce point d'accès, alors il vérifie par deE moyens de vérification que le (ANONCE1) reçu est supérieur au (ANONCE) contenu en mémoire i. Si la vérification du champ (ANONCE) est positive, il vérifie la validité de la signature grâce à la PKI (certificats) et aux éléments (SNONCE1), (ANONCE1).
1. Si la vérification de la signature est positive, le client met à jour la valeur du (ANONCE) en mémoire avec le (ANONCE1) reçu puis passe à l'étape 3.
2. Si la vérification de la signature est négative, alors le client: rejette silencieusement la trame de gestion et attend pendant une durée déterminée. Dirant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 2. S'il n'en reçoit pas, il retourne à l'étape 1.
ii. Si la vérification du champ (ANONCE) est négative, alors le client rejette silencieusement la trame de gestion et attend pendant une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 2. S'il n'en reçoit pas, il retourne à l'étape 1.
b. Si le client n'a pas de (ANONCE) en mémoire pour ce point d'accès alors il vérifie la validité de la signature grâce à la PKI (certificats) et aux éléments (SNONCE1), (ANONCE1) i. Si la vérification de la signature est positive, le client met à jour la valeur du (ANONCE) en mémoire avec (ANONCE1) reçu puis passe à l'étape 3.
ii. Si la vérification de la signature est négative, alors le client rejette silencieusement la trame de gestion et attend pendan.: une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 2. S'il n'en reçoit pas, il retourne à l'étape 1.
Pour le processus d'association, 10 15 20 25 3. Le client demande une authentification Open avec une trame de requête d'authentification contenant un champ (SNONCE2) ; 4. Le point d'accès répond à cette trame avec une trame 5 de réponse d'authentification contenant des champs (SNONCE2), (ANONCE2) et (SIGNATURE). Le client vérifie alors plusieurs points: a. Si le client a un (ANONCE) en mémoire pour ce point d'accès alors il vérifie par des moyens de 10 vérification que le (ANONCE2) reçu est supérieur au (ANONCE) contenu en mémoire i. Si la vérification du champ (ANONCE) est positive, il vérifie la validité de la signature grâce à la PKI (certificats) et aux éléments (SNONCE2), (ANONCE2).
1. Si la vérification de la signature est positive, le client met à jour lia valeur du (ANONCE) en mémoire avec le (ANONCE2) reçu puis passe à l'étape 5.
2. Si la vérification de la signature est négative, alors le client rejette silencieusement la trame de gesticn et attend pendant une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 4. S'il n'en reçoit pas, il retourne à l'étape 3.
ii. Si la vérification du champ (ANONCE) est négative, alors le client rejette silencieusement la trame de gestion et attend pendant= une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 4. S'il n'en reçoit pas, il retourne à l'étape 3.
b. Si le client n'a pas de (ANONCE) en mémoire pour ce point d'accès alors il vérifie la validité de la signature grâce à la PKI (certificats) et aux éléments (SNONCE2), (ANONCE2) i. Si la vérification de la sicnature est positive, le client met à jour la valeur du (ANONCE) en mémoire avec (ANONCE2) reçu puis passe à l'étape 5.
ii. Si la vérification de la sicnature est négative, alors le client rejette silencieusement la trame de gestion et attend pendant une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 4. S'il n'en reçoit pas, il retourne à l'étape 3.
5. Le client envoie une trame Association Request contenant un champ (SNONCE3) ; 6. Le point d'accès répond à cette trame avec une trame Association Response contenant des champs (SNONCE3), (ANONCE3) et (SIGNATURE). Le client a maintenant nécessairement un (ANONCE) en mémoire pour ce point d'accès car les étapes 3 et 4 sont obligatoires dans le processus d'association. Le client vérifie alors plusieurs points: a. Ilvérifie que le (ANONCE3) reçu est supérieur au (ANONCE) contenu en mémoire i. Si la vérification du champ (ANONCE) est positive, il vérifie la validité de 1à signature grâce à la PKI (certificats) et at;.x éléments (SNONCE3), (ANONCE3).
1. Si la vérification de la signature est positive, le client met à jour la valeur du (ANONCE) en mémoire avec (ANONCE3) reçu puis passe à l'étape 7.
2. Si la vérification de la signature est négative, alors le client rejette silencieusement la trame de gestion et attend pendant une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 6. S'il n'en reçoit pas, il retourne à l'étape 5.
ii. Si la vérification du champ (ANONCE) est négative, alors le client rejette silencieusement la trame de gestion et attend pendant une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 6. S'il n'en reçoit pas, il retourne à l'étape 5.
7. Le client est alors associé au point d'accès et a pu vérifier la signature de chacune des réponses du point d'accès.
La description ci-dessus permet d'assurer au client qu'il communique bien avec un point d'accès légitime.
En mode secret partagé (Shared Key), le principe est exactement le même. Seul un échange de deux messages supplémentaires (partage du secret) a lieu pour réaliser une authentification dans ce mode.
Pour un processus de réassociation, le principe est 30 également le même que précédemment pour la vérification de l'authenticité de la trame émise par le point d'accès (voir figure 3). 10 15
1. Le client demande une authentification Open avec une trame de requête d'authentification contenant un champ (SNONCE4) ; 2. Le point d'accès répond à cette trame avec une trame 5 de réponse d'authentification contenant des champs (SNONCE4), (ANONCE4) et (SIGNATURE). Le client vérifie alors plusieurs points: a. Si le client a un (ANONCE) en mémoire pour ce point d'accès alors il vérifie par des moyens de 10 vérification que le (ANONCE4) reçu est supérieur au (ANONCE) contenu en mémoire i. Si la vérification du champ (ANONCE) est positive, il vérifie la validité de la signature grâce à la PKI (certificats) et aux éléments (SNONCE4), (ANONCE4).
1. Si la vérification de la signature est positive, le client met à jour la valeur du (ANONCE) en mémoire avec le (ANONCE4) reçu puis passe à l'étape 3.
2. Si la vérification de la signature est négative, alors le client rejette silencieusement la trame de gesticn et attend pendant une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 2. S'il n'en reçoit pas, il retourne à l'étape 1.
ii. Si la vérification du champ (ANONCE) est négative, alors le client rejette silencieusement la trame de gestion et attend pendant: une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 2. S'il n'en reçoit pas, il retourne à l'étape 1.
b. Si le client n'a pas de (ANONCE) en mémoire pour ce point d'accès alors il vérifie la validité de la signature grâce à la PKI (certificats) et aux éléments (SNONCE4), (ANONCE4) i. Si la vérification de la sicnature est positive, le client met à jour la valeur du (ANONCE) en mémoire avec (ANONCE4) reçu puis passe à l'étape 3.
ii. Si la vérification de la signature est négative, alors le client rejette silencieusement la trame de gestion et attend pendant une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 2. S'il:l'en reçoit pas, il retourne à l'étape 1.
3. Le client envoie une trame Réassociation contenant un champ (SNONCE5) ; 4. Le point d'accès répond à cette trame avec une trame Réponse de Réassociation contenant des champs (SNONCE5), (ANONCE5) et (SIGNATURE). Le client a maintenant nécessairement le (ANONCE) en mémoire car les étapes 1 et 2 sont obligatoires dans le processus de 25 réassociation. Le client vérifie alors plusietrs points: a. Il vérifie que le (ANONCE5) reçu est supérieur au (ANONCE) contenu en mémoire pour ce point d'accès i. Si la vérification du champ (ANONCE) est positive, il vérifie la validité de la signature grâce à la PKI (certificats) et aux éléments (SNONCE5), (ANONCE5).
1. Si la vérification de la signature est positive, le client met à jour la valeur du (ANONCE5) en mémoire avec (ANONCE5) reçu puis passe à l'étape 5.
2. Si la vérification de la signature est négative, alors le client: rejette silencieusement la trame de gestion et attend pendant une durée déterminée. D'irant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 4. S'il n'en reçoit pas, retour à l'étape 3.
ii. Si la vérification du champ (ANONCE) est négative, alors le client rejette silencieusement la trame de gestion et attend pendant, une durée déterminée. Durant cette durée, il peut recevoir de nouvelles trames qu'il devra vérifier en suivant à nouveau l'étape 4. S'il:'en reçoit pas, il retourne à l'étape 3.
5. Le client est alors réassocié au point d'accès et a pu vérifier la signature de chacune des réponses du point d'accès.
Le processus d'envoi d'une trame de dis-association d'un point d'accès vers un client selon l'invention 25 fonctionne comme suit (figure 4) . Le principe est le même que précédemment pour la vérification de l'authenticité de la trame émise par le point d'accès.
1. Le point d'accès envoie une trame Dis-association contenant le champ (ANONCE6) et la signature de la trame.
a. Le client vérifie que le (ANONCE6) reçu est supérieur au (ANONCE) contenu en mémoi:_-e pour ce 10 15 point d'accès (il y en a nécessairement un, puisqu'une dis-association ne peut avoir lieu qu'après une association) i. Si la vérification du champ (ANONCE) est 5 positive, il vérifie la validité de la signature grâce à la PKI (certificats) et < l'élément (ANONCE6).
1. Si la vérification de la signature est positive, le client met à jour la valeur du (ANONCE) en mémoire avec (ANONCE6) puis passe à l'étape 2.
2. Si la vérification de la signature est négative, alors le client rejette silencieusement la trame de gestion.
ii. Si la vérification du champ (ANONCE) est négative, alors le client rejette silencieusement la trame de gestion.
2. Le client est désassocié du point d'accès.
La description ci-dessus permet d'assurer au client 20 qu'il communique bien avec un point d'accès légitime.
Le processus d'envoi d'une trame de dé- authentification d'un point d'accès vers un client fonctionne comme suit (figure 5) . Le principe est le même que précédemment pour la 25 vérification de l'authenticité de la trame émise par le point d'accès.
1. Le point d'accès envoie une trame dé-authentification contenant le champ (ANONCE7) et la signature de la trame.
a. Le client vérifie que le (ANONCE7) est supérieur 30 au (ANONCE) contenu en mémoire i. Si la vérification du champ (PNONCE) est positive, il vérifie la validité de la signature grâce à la PKI (certificats) et l'élément (ANONCE7).
1. Si la vérification de la signature est positive, le client met à jour 1à valeur du (ANONCE) en mémoire avec (ANONCE7) reçu puis passe à l'étape 2.
2. Si la vérification de la signature est négative, alors le client rejette silencieusement la trame de gestion.
ii. Si la vérification du champ (ANONCE) est négative, alors le client rejette silencieusement la trame de gestion.
2. Le client n'est plus authentifié au point d'accès.
La description ci-dessus permet d'assurer au client qu'il communique bien avec un point d'accès légitime.
L'authentification et la vérification de l'authenticité des trames de balise ( beacons ), figure 6, et plus généralement, de toute trame en provenance du point d'accès, à destination d'un ou de plusieurs clients, et n'étant pas une réponse à une requête préalable du client, est effectuée comme celle des trames de dis-association ou de déauthentification.
1. Le point d'accès envoie une trame de balise contenant le champ (ANONCE8) et la signature de la trame.
i. Si le client n'a pas de (ANONCE) en mémoire pour le point d'accès duquel il reçoit une trame, il passe directement à l'étape l.ii.l.
ii. Le client vérifie que le (ANONCE8; reçu est supérieur au (ANONCE) contenu en mémoire 1. Si la vérification du champ (ANONCE) est positive, le client vérifie la validité de la signature grâce à la PKI (certificats) et à l'élément (ANONCE8).
a. Si la vérification de la signature est positive, le client met à jour la valeur du (ANONCE) en mémoire avec (ANONCE1) reçu puis passe à l'étape 2.
b. Si la vérification de la signature est négative, alors le client rejette silencieusement la trame de gestion.
2. Si la vérification du champ (ANONCE) est négative, alors le client rejette silencieusement la trame de gestion.
La description ci-dessus permet d'assurer au client qu'il reçoit bien les trames de balise en provenance d'un 15 point d'accès légitime.
Ainsi, le procédé comprend, à réception par la station de chaque trame de gestion émise par le point d'accès, une étape de vérification de la valeur du champ (ANONCE) reçu dans laquelle, la station vérifie, par des moyens de vérification, qu'une valeur du champ (ANONCE) est déjà contenue en mémoire. Dans la négative, la station vérifie la validité de la signature, et met à jour la valeur (ANONCE) en mémoire avec la valeur (ANONCE) reçue lorsque la signature est authentifiée.
Dans l'affirmative, la station vérifie que la valeur du champ (ANONCE) reçue est supérieure à celle qu'elle contient en mémoire, puis, dans l'affirmative, vérifie la validité de la signature, et met à jour la valeur (ANONCE) en mémoire avec la valeur (ANONCE) reçue lorsque la signature est authentifiée.
Il est à noter qu'un point d'accès illégitime, et se faisant passer pour un point d'accès lég:_time, peut rejouer du trafic émis auparavant par ce pcint d'accès légitime, pour faire en sorte que le client démarre la procédure d'authentification vers le point d'accès illégitime. Cependant, le client s'apercevra dès la réception d'une trame d'authentification en réponse à sa requête d'authentification que le point d'accès en question n'est pas capable de signer corre:tement les messages, et pourra réagir en conséquence (par exemple, un client peut choisir d'ignorer les trames de balise provenant de ce point d'accès, ou bien d'émettre des requêtes de sondage pour s'assurer que les informations sur les capacités et caractéristiques du point d'accès soient transmises en temps réel).
Si la vérification de la signature montre que la signature est invalide (dans le sens ne permet pas d'authentifier le point d'accès), alors le client peut supposer que soit une erreur de transmission est arrivée, soit une attaque active est en cours.
Dans tous les cas, le clien: rejette silencieusement les trames de gestion invalides.
Selon les implémentations, il est possible d'avertir le client, par des moyens d'alerte, qu'une attaque est en cours, au bout d'un certain nombre de trames de gestion présentant des signatures invalides.

Claims (1)

  1. 27 REVENDICATIONS
    1. Procédé de communication entre une station et au moins un point d'accès à un réseau sans fil dans lequel des trames de gestion sont échangées préalablement à l'échange de trames de données, caractérisé en ce que le procédé comprend, É une étape consistant à générer et inclure une signature électronique, au niveau d'au moins un point d'accès, par des moyens de signature électronique, dans au moins l'une des trames de gestion émises par ce point d'accès, et É une étape de validation de l'authenticité de ladite au moins une trame, au niveau de la station, par des 15 moyens de validation de l'authenticité de la signature électronique.
    2. Procédé de communication selon la revendication 1 dans lequel les moyens de signature sont basés sur une logique de clé asymétrique.
    3. Procédé de communication selon la revendication 2, dans lequel ladite clé asymétrique est ensuite utilisée pour l'envoi par la station d'une clé symétrique maîtresse, à partir de laquelle sont dérives une ou plusieurs clés de signature et de chiffrement.
    4. Procédé de communication selon l'une quelconque des revendications précédentes dans lequel le réseau sans fil est configuré en mode ad hoc.
    5. Procédé de communication selon l'une quelconque des revendications précédentes dans lequel chaque trame de gestion émise par ledit point d'accès comprend au moins un champ (ANONCE1 à ANONCE8) dont la valeur est un compteur incrémenté à chaque trame de gestion émise, et un champ (SIGNATURE) contenant ladite signature électronique.
    6. Procédé de communication selon la revendication 5 dans lequel, chaque trame de gestion émise par la station vers ledit point d'accès comprend un champ (SNONCE1 à SNONCE5) dont la valeur est un aléa, différent à chaque trame émise; et chaque trame de gestion émise avec une signature électronique en réponse par un point d'accès comprend en outre un champ contenant]a valeur de l'aléa (SNONCE1 à SNONCE5) égal à l'aléa de la trame à laquelle elle répond.
    7. Procédé de communication selon l'une quelconque des revendications 5 et 6, comprenant, à réception par la station de chaque trame de gestion émise par le point d'accès, une étape de vérification de la valeur du champ (ANONCE1 à ANONCE8) reçu dans laquelle, la station vérifie qu'une valeur du champ (ANONCE1 à ANDNCE8) pour ce point d'accès est déjà contenue en mémoire et, dans la négative, la station vérifie la validité de la signature et met à jour la valeur (ANONCE1 à ANONCE8) en mémoire pour ce point d'accès avec la valeur (ANONCE1 à ANONCE8) reçue lorsque la signature est authentifiée.
    8. Procédé de communication selon l'une quelconque des revendications 5 et 6, comprenant, à réception par la station de chaque trame de gestion émise par le point d'accès, une étape de vérification de la valeur du champ (ANONCE1 à ANONCE8) reçu dans laquelle la station vérifie qu'une valeur du champ (ANONCE1 à ANONCE8) pour ce point d'accès est déjà contenue en mémoire et dans l'affirmative, la station vérifie que la valeur du champ (ANONCE1 à ANONCE8) reçue est supérieure à celle qu'elle contient en mémoire pour ce point d'accès, puis, dans l'affirmative, vérifie la validité de la signature et met à jour la valeur (ANONCE1 à ANONCE8) en mémcire pour ce point d'accès avec la valeur (ANONCE1 à ANCNCE8) reçue lorsque la signature est authentifiée.
    9. Procédé de communication selon l'une quelconque des revendications 5 à 8, dans lequel la signature électronique est appliquée à au moins l'un des éléments suivants: l'adresse source de la trame de gestion, l'adresse de destination de cette trame, le compteur du champ (ANONCE1 à ANONCE8), et le champ (SNONCE1 à SNONCE5) pour les trames qui le comprennent.
    10. Procédé de communication selon l'une quelconque des revendications précédentes, dans lequel la signature électronique est réalisée à partir d'une:_onction de hachage.
    11. Point d'accès à un réseau sans fil comprenant des moyens de communication, par trames de données et trames de gestion au moins, vers au moins une station, caractérisé en ce que ledit point d'accès cDmprend, en outre, des moyens de signature électronique configurés pour inclure une signature dans au moins l'une des trames de gestion émises par ce point d'accès.
    12. Point d'accès à un réseau sans fil selon la revendication 11 comprenant des moyens pour ccmptabiliser les trames de gestion comprenant une signature émises.
    13. Point d'accès à un réseau sans fil selon l'une quelconque des revendications 11 ou 12, configuré pour recevoir d'au moins une station, des premières trames de gestion comprenant chacune un champ (SNONCE1 à SNONCE5) dont la valeur est un aléa, différent à chaque trame de gestion émise, et émettre respectivement des deuxièmes trames de gestion en réponse auxdites premières trames, ce point d'accès comprenant des moyens pour copier l'aléa (SNONCE1 à SNONCE5) de chaque première trame reçue dans chaque deuxième trame émise respectivement en réponse à cette première trame.
    14. Station configurée pour communiquer avec au moins un point d'accès à un réseau sans fil par des moyens de communication comprenant au moins des trames de données et des trames de gestion, caractérisée en ce que, le dit point d'accès émettant des trames de gestion comportant une signature électronique, La station comprend en outre des moyens de validation de l'authenticité dudit point d'accès, comprenant. des moyens de validation de l'authenticité de la signature électronique de ladite trame.
    15. Station configurée pour communiqu r avec au moins un point d'accès à un réseau sans fil selon la revendication 14, comprenant des moyens pour générer des aléas (SNONCE1 à SNONCE5) à chaque trame de gestion émise.
    16. Station selon l'une quelconque des revendications 14 et 15, comprenant une mémoire et configurée pour, à réception de chaque trame de gestion comprenant un champ (ANONCE1 à ANONCE8) émise par le point d'accès, vérifier la présence d'une valeur du champ (ANONCE1 à ANONCE8) en mémoire, et pour vérifier, dans la négative, la validité de la signature et mettre à jour la valeur (ANONCE1 à ANONCE8) en mémoire pour ce point d'accès avec la valeur (ANONCE1 à ANONCE8) reçue lorsque la signature est authentifiée.
    17. Station selon l'une quelconque des revendications 14 et 15, comprenant une mémoire et configurée pour, à réception de chaque trame de gestion comprenant un champ (ANONCE1 à ANONCE8) émise par le point d'accès, vérifier la présence d'une valeur du champ (ANONCE1 à ANONCE8) en mémoire, et pour vérifier, dans l'affirmative, que la valeur du champ (ANONCE__ à ANONCE8) reçue est supérieure à celle qu'elle contient. en mémoire pour ce point d'accès, puis, dans l'affirmative, vérifier la validité de la signature et mettre à jour la valeur (ANONCE1 à ANONCE8) en mémoire pour ce point d'accès avec la valeur (ANONCE1 à ANONCE8) reçue lorsque la signature est authentifiée.
FR0504850A 2005-05-13 2005-05-13 Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique Pending FR2885753A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0504850A FR2885753A1 (fr) 2005-05-13 2005-05-13 Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique
PCT/FR2006/000922 WO2006120316A1 (fr) 2005-05-13 2006-04-25 Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0504850A FR2885753A1 (fr) 2005-05-13 2005-05-13 Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique

Publications (1)

Publication Number Publication Date
FR2885753A1 true FR2885753A1 (fr) 2006-11-17

Family

ID=35519084

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0504850A Pending FR2885753A1 (fr) 2005-05-13 2005-05-13 Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique

Country Status (2)

Country Link
FR (1) FR2885753A1 (fr)
WO (1) WO2006120316A1 (fr)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101931951B (zh) 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
CN112887974B (zh) * 2021-01-23 2022-02-11 深圳市智开科技有限公司 一种wapi无线网络的管理帧保护方法
CN113691974A (zh) * 2021-08-19 2021-11-23 支付宝(杭州)信息技术有限公司 验证无线接入点的方法和装置
CN113613245A (zh) * 2021-08-19 2021-11-05 支付宝(杭州)信息技术有限公司 管理通信信道的方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5524052A (en) * 1993-08-25 1996-06-04 International Business Machines Corp. Communication network access method and system
WO2005041531A1 (fr) * 2003-10-16 2005-05-06 Cisco Technology, Inc. Systeme et procede pour la protection de trames de gestion de reseau

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5524052A (en) * 1993-08-25 1996-06-04 International Business Machines Corp. Communication network access method and system
WO2005041531A1 (fr) * 2003-10-16 2005-05-06 Cisco Technology, Inc. Systeme et procede pour la protection de trames de gestion de reseau

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"A Comprehensive Review of 802.11 Wireless LAN Security and the Cisco Wireless Security Suite", 1, 1 January 2002 (2002-01-01), XP002311109 *

Also Published As

Publication number Publication date
WO2006120316A1 (fr) 2006-11-16

Similar Documents

Publication Publication Date Title
EP2823595B1 (fr) Procédé, appareils et support d&#39;informations lisibles par ordinateur, permettant d&#39;accéder de manière sécurisée à des données de réseautage social
EP2335431B1 (fr) Distribution d&#39;une fonction d&#39;authentification dans un reseau mobile
EP2294850B1 (fr) Procede pour securiser des echanges entre un noeud demandeur et un noeud destinataire
EP3386162A1 (fr) Communication sécurisée de bout en bout pour capteur mobile dans un réseau iot
EP1520390A1 (fr) Procede et organe pour controler l&#39;acces a un systeme cellulaire de radiocommunication a travers un reseau local sans fil
EP1753173A1 (fr) Contrôle d&#39;accès d&#39;un équipement mobile à un réseau de communication IP par modification dynamique des politiques d&#39;accès
WO2005079090A1 (fr) Emission de cle publique par terminal mobile
FR2885753A1 (fr) Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique
EP2822285A1 (fr) Appariement de dispositifs au travers de réseaux distincts
US7751569B2 (en) Group admission control apparatus and methods
FR3081652A1 (fr) Methode d&#39;etablissement de cles pour le controle d&#39;acces a un service ou une ressource
EP3785403B1 (fr) Procédé d&#39;élaboration de données d&#39;utilisation de relais utilisés au cours d&#39;une communication entre deux appareils, de recherche desdites données, et appareils associés
EP2665224B1 (fr) Procédé de distribution d&#39;une clef numérique de chiffrement vers des terminaux de télécommunication
EP2630765B1 (fr) Procede d&#39;optimisation du transfert de flux de donnees securises via un reseau autonomique
Tchepnda Authentification dans les réseaux véhiculaires opérés
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
EP1883199B1 (fr) Procédé de contrôle de l&#39;accès d&#39;une station mobile à une station de base
EP4156606A1 (fr) Procédé de gestion d&#39;un utilisateur intervenant dans une communication de groupe
EP4068818A1 (fr) Procédé de gestion de sécurité dans un système de communication de données, et système pour la mise en oeuvre du procédé
FR3122796A1 (fr) Procédé de défense contre une tentative de déconnexion entre deux entités, système associé
FR2924294A1 (fr) Procede de transmission et systeme de telecommunications
WO2016005386A1 (fr) Procede et dispositif d&#39;etablissement furtif de communications sans-fil
WO2019149679A1 (fr) Procédé d&#39;agrégation d&#39;une pluralité de connexions radio dans un réseau sans fil
WO2006035137A1 (fr) Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique
WO2007042664A1 (fr) Vérification d&#39;un message reçu en mode de multidiffusion dans un réseau de communications