FR2887720A1 - Systemes et procedes d'authentification adaptative - Google Patents
Systemes et procedes d'authentification adaptative Download PDFInfo
- Publication number
- FR2887720A1 FR2887720A1 FR0602515A FR0602515A FR2887720A1 FR 2887720 A1 FR2887720 A1 FR 2887720A1 FR 0602515 A FR0602515 A FR 0602515A FR 0602515 A FR0602515 A FR 0602515A FR 2887720 A1 FR2887720 A1 FR 2887720A1
- Authority
- FR
- France
- Prior art keywords
- authentication
- network
- wireless
- processing system
- authentication method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 271
- 230000003044 adaptive effect Effects 0.000 title 1
- 238000004891 communication Methods 0.000 claims abstract description 55
- 230000010365 information processing Effects 0.000 claims description 55
- 230000015654 memory Effects 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 13
- 238000003672 processing method Methods 0.000 claims 2
- 238000007726 management method Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 6
- 101100297738 Danio rerio plekho1a gene Proteins 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000012360 testing method Methods 0.000 description 4
- 230000001186 cumulative effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000005755 formation reaction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000001152 differential interference contrast microscopy Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 229940036310 program Drugs 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
La présente invention concerne des systèmes et procédés d'authentification d'un dispositif client (420) dans un réseau (200, 300), en utilisant une ou plusieurs caractéristiques du ou des procédés d'authentification (416) précédemment utilisés pour authentifier le dispositif client (420) pour des communications sur réseau.
Description
La présente invention concerne de manière générale les réseaux, et de
manière plus particulière une authentification de dispositif dans des environnements de gestion en réseau.
Du fait de la valeur et de l'utilisation croissantes des informations, les utilisateurs et les entre-prises cherchent des moyens supplémentaires pour traiter et mémoriser les informations. L'une des options mises à la disposition des utilisateurs concerne les systèmes de traitement d'informations. Un système de traitement d'in-formations d'une manière générale traite, compile, mémorise, et/ou communique des informations ou des données à des fins commerciales, personnelles, ou autres, offrant ainsi aux utilisateurs la possibilité d'exploiter la va-leur des informations. Du fait que les besoins et impératifs en termes de technologie et traitement d'informations varient entre des utilisateurs différents ou applications différentes, les systèmes de traitement d'informations peuvent également varier en fonction du type d'informations qui sont traitées, de la manière par la-quelle les informations sont traitées, de la quantité d'informations qui sont traitées, mémorisées, ou communiquées, et du degré de rapidité et d'efficacité avec le-quel les informations peuvent être traitées, mémorisées, ou communiquées. Les variations dans les systèmes de traitement d'informations offrent des systèmes de traite-ment d'informations généraux ou configurés pour un utilisateur spécifique ou une utilisation spécifique telle que le traitement de transactions financières, les réserva- tions de vols, la mémorisation de données d'entreprise, ou des communications globales. De plus, les systèmes de traitement d'informations peuvent inclure une variété de composants matériels et logiciels qui peuvent être configurés pour traiter, mémoriser, et communiquer des infor- mations et peuvent inclure un ou plusieurs systèmes in- formatiques, systèmes de mémorisation de données, et systèmes de gestion de réseau.
Dans un réseau sans fil typique, les dispositifs de système de traitement d'informations sans fil doivent être authentifiés avant qu'un accès à des servi-ces de réseau soit accordé. Pour accomplir cette tâche, un système de traitement d'informations, configuré sous la forme d'un serveur d'authentification ou un autre type de dispositif d'authentification de réseau, peut être pa- ramétré pour supporter un grand nombre de procédés d'authentification sans fil sous la forme de modes et d'algorithmes de sécurité. Un système de traitement d'informations sans fil donné communiquant comme client avec le dispositif d'authentification de réseau est typiquement paramétré pour utiliser un de ces procédés d'authentification sans fil. Lors d'une authentification du client sans fil, le dispositif d'authentification doit prendre le temps de passer en boucle à travers tous les procédés d'authentification sans fil jusqu'à ce qu'il trouve le procédé d'authentification sans fil correct supporté par le client.
Dans un schéma d'authentification de réseau classique, une authentification de périphérie pour des dispositifs clients sans fil peut être réalisée par un point d'accès sans fil (commutateur sans fil ou point d'accès sans fil) qui supporte de nombreux procédés d'authentification différents et choisit le procédé d'authentification correct pour un client donné avant d'accorder un accès au réseau fédérateur où une autre authentifica- tion peut avoir lieur. EAP est un mécanisme standard pour accorder un accès au réseau et est défini dans un Document (RFC) 3746 du Groupe pour la participation à la standardisation Internet (IETF). Le mécanisme EAP définit un procédé pour demander et accorder un accès au réseau en utilisant une autorité d'authentification, habituelle- ment un Serveur de Services Utilisateur de Numération d'Authentification à Distance (RADIUS). La norme EAP est le mécanisme d'authentification, mais les spécificités de l'authentification sont transférées dans des trames EAP.
Les trames EAP, à leur tour, sont transférées dans des trames IEEE 802.IX dans un réseau câblé ou sans fil de couche 2 (802.11). La figure 1 illustre un schéma de convergence d'identité 802.1X et EPA classique tel qu'il est pratiqué dans la technique antérieure entre un dispo- sitif client donné et un point d'accès de passerelle sans fil après association du dispositif client avec le point d'accès. Comme décrit davantage cidessous, la convergence vers une procédé d'authentification voulu peut nécessiter de multiples tentatives, chaque tentative étant représentée par une paire de demande/réponse EAP.
Sur la figure 1, le dispositif d'accès doit "deviner" le procédé d'authentification EAP utilisé par le dispositif client sans fil donné de transmettre de manière répétée des Demandes d'Identité EAP, chaque demande contenant un type différent de procédé d'authentification EAP (TYPE). Le client sans fil répond à chaque Demande d'Identité EAP par une Réponse d'Identité EAP qui contient un accusé de réception négatif (NAK) lorsque la Demande d'Identité EAP reçue ne contient pas le type cor- rect de procédé d'authentification EAP pour le dispositif client sans fil donné. Ce traitement se poursuit autant de fois que nécessaire jusqu'à ce qu'une convergence EAP apparaisse (c'est-à-dire un accord entre le dispositif client et le dispositif passerelle sur un procédé d'au- thentification EAP particulier), et le client sans fil réponde à une Demande d'Identité EAP particulière par une Réponse d'Identité EAP qui contient un accusé de réception positif (TYPE) du procédé d'authentification EAP correct utilisé par le client. Du fait que le protocole EAP supporte jusqu'à 256 procédés d'authentification (avec plus de 50 procédées d'authentification actuelle-ment connus comme utilisés avec le mécanisme EAP), cela peut prendre une durée significative pour qu'une convergence EAP se produise. Du fait de cette méthodologie par essais et erreurs, une convergence d'authentification sans fil utilisant des procédés à base de mécanisme 802.IX et EAP (Protocole d'Authentification Extensible) peut durer un temps relativement long au même moment où de nombreux services sans fil (voix, vidéo) requièrent une authentification de faible attente.
On décrit ici des systèmes et des procédés pour l'authentification de systèmes de traitement d'informations en tant que dispositifs client au sein d'un réseau. En utilisant les systèmes et procédés décrits, une ou plusieurs caractéristiques du ou des procédés d'authentification (par exemple, modes et algorithmes d'authentification) précédemment utilisés par un dispositif client donné (par exemple, un dispositif client sans fil) peu-vent être mémorisées (par exemple, dans une mémoire ca- che) par un dispositif d'authentification de réseau (par exemple, un serveur d'authentification, un point d'accès de passerelle sans fil, etc.) pour être utilisées par le dispositif d'authentification dans la sélection du procédé de communication permettant de communiquer avec le dispositif client donné. Ces caractéristiques du procédé d'authentification incluent l'identité du dernier procédé d'authentification utilisé par le client donné, la fréquence relative d'utilisation de deux ou plus de deux procédés d'authentification différents par un client don- né, le motif d'utilisation de deux ou plus de deux procédés d'authentification différents par un client donné, leurs combinaisons, etc., mais ne sont pas limitées à ces dernières. De manière avantageuse, les systèmes et procédés décrits peuvent être mis en oeuvre dans un mode de réalisation pour réduire le temps nécessaire pour attein- dre une convergence d'authentification sur le temps de convergence requis par des procédés classiques.
Dans un exemple de mode de réalisation, un mécanisme de cache peut être mis en oeuvre sur un disposi- tif d'authentification sans fil pour mémoriser le plus récent procédé d'authentification sans fil (par exemple, mode et algorithme d'identification) utilisé par le dis-positif d'authentification sans fil pour authentifier un dispositif client sans fil donné. La fois d'après, le dispositif client sans fil donné tente de s'authentifier à l'aide du dispositif d'authentification sans fil, le dispositif d'authentification sans fil peut par défaut faire référence au procédé d'authentification sans fil mémorisé dans une tentative pour écourter le temps d'au- thentification en identifiant plus rapidement le procédé d'authentification correct actuellement utilisé par le dispositif client sans fil donné. Par exemple, un dispositif sans fil peut mettre en cache, ou sauvegarder, le dernier procédé d'authentification choisi par un échange EAP et utiliser ce procédé EAP pour la première tentative lors d'un événement futur de sélection de procédé d'authentification. Dans un mode de réalisation, les systèmes et procédés décrits peuvent être mis en oeuvre pour être utilisés dans des réseaux sans fil qui sont homogènes quant à des procédés d'authentification afin de mettre en cache un procédé EAP et simplifier une convergence de procédé EAP entre un dispositif sans fil et un dispositif d'authentification sans fil (par exemple, un point d'accès) d'une manière qui est conforme à des normes.
Dans un autre exemple de mode de réalisation, un dispositif d'authentification sans fil peut en plus ou en variante suivre (par exemple, en utilisant un ou des compteurs) la fréquence ou le nombre de fois qu'un client sans fil donné utilise un procédé d'authentification sans fil donné (par exemple, le mode et l'algorithme d'authen- tification) par rapport à un ou d'autres procédés d'authentification sans fil. Dans une telle mise en oeuvre, le dispositif d'authentification sans fil peut utiliser la fréquence relative suivie d'utilisation d'un procédé d'authentification sans fil donné pour donner la priorité à deux ou plus de deux procédés d'authentification différents. Par exemple, si le procédé d'authentification sans fil le plus récent n'est pas une coïncidence correcte pour le procédé d'authentification courant utilisé par un dispositif client sans fil, alors le dispositif d'authentification sans fil peut alors tester les procédés d'authentification sans fil possibles restants dans l'ordre de fréquence relative suivie d'utilisation jusqu'à ce que le procédé d'authentification sans fil courant correct soit trouvé. En variante, un dispositif d'authentification sans fil peut commencer en testant les procédés d'authentification sans fil possibles dans l'ordre de la fréquence relative suivie d'utilisation, au lieu de commencer par le procédé d'authentification sans fil utilisé en dernier par le client sans fil donné.
Dans un aspect, on décrit ici un procédé de communication avec un système de traitement d'informations, le procédé incluant: la sélection d'un procédé d'authentification de réseau; et la communication de l'identité du procédé d'authentification de réseau sélectionné au système de traitement d'informations, dans le-quel le procédé d'authentification est sélectionné sur la base d'une ou plusieurs caractéristiques d'au moins un procédé d'authentification précédemment utilisé pour au-thentifier le système de traitement d'informations pour des communications sur le réseau.
Dans un autre aspect, on décrit ici un procédé de communication avec un premier système de traitement d'informations configuré en tant que dispositif client, le procédé incluant: la mémorisation dans une mémoire d'un second système de traitement d'informations configuré en tant que dispositif d'authentification de réseau ayant une ou plusieurs caractéristiques d'au moins un procédé d'authentification précédemment utilisé par le dispositif d'authentification de réseau pour authentifier le dispositif client pour des communications sur réseau câblé ou sans fil; la réception d'une demande d'authentification dans le dispositif d'authentification de ré-seau par une communication câblée ou sans fil depuis le dispositif client; la sélection d'un premier procédé d'authentification de réseau sur la base de la ou des caractéristiques du au moins un procédé d'authentification précédemment utilisé par le dispositif d'authentification de réseau pour identifier le dispositif client pour des communications sur réseau câblé ou sans fil qui sont mémorisées dans la mémoire du dispositif d'authentification de réseau; et la communication de l'identité du premier dispositif d'authentification de réseau sélectionné par une communication câblée ou sans fil au dispositif client.
Dans un autre aspect, on décrit ici un système de traitement d'informations, le système de traitement d'informations étant configuré pour: sélectionner un procédé d'authentification de réseau sur la base d'une ou de plusieurs caractéristiques d'au moins un procédé d'authentification précédemment utilisé pour authentifier un système de traitement d'informations client pour des communications sur réseau; et communiquer l'identité du procédé d'authentification de réseau sélectionné au sys- tème de traitement d'informations.
La présente invention va maintenant être mieux comprise à partir de la lecture de la description qui va suivre faite en référence aux dessins annexés, sur les-quels: - la figure 1 illustre un schéma de convergence d'identité classique entre un dispositif client sans fil et un point d'accès de passerelle sans fil, - la figure 2 est un diagramme simplifié d'un environnement de gestion de réseau selon un exemple de mode de réalisation des systèmes et procédés décrits, - la figure 3 est un diagramme simplifié d'un environnement de gestion de réseau selon un exemple de mode de réalisation des systèmes et procédés décrits, - la figure 4 est un schéma fonctionnel simplifié illustrant une communication entre un dispositif d'authentification et un dispositif client selon un exemple de mode de réalisation des systèmes et procédés décrits, - la figure 5 est un ordinogramme illustrant une méthodologie d'authentification selon un exemple de mode de réalisation des systèmes et procédés décrits, et - la figure 6 illustre un schéma de convergence d'identité entre un dispositif client sans fil et un point d'accès de passerelle sans fil selon un exemple de mode de réalisation des systèmes et procédés décrits.
La figure 2 est un diagramme simplifié d'un environnement de gestion de réseau 200 selon un exemple de mode de réalisation dans lequel les systèmes et procédés décrits peuvent être mis en oeuvre pour authentifier à la fois des dispositifs de réseau câblés et sans fil. Comme représenté, l'environnement de gestion de réseau 200 inclut de nombreux exemples de dispositifs sans fil et câblés qui peuvent être configurés pour communiquer les uns avec les autres via des communications sans fil ou câblées respectivement. Bien qu'à la fois des dispositifs sans fil et câblés soient illustrés, il doit être entendu que les systèmes et procédés décrits peuvent être mis en oeuvre pour authentifier des dispositifs pour des commu- nications en réseau dans tout autre type d'environnement de gestion de réseau, par exemple, dans des environnements de gestion de réseau qui incluent seulement des dispositifs sans fil, ou dans des environnements en ré-seau qui incluent seulement des dispositifs câblés. De plus, les systèmes et procédés décrits peuvent être mis en oeuvre pour authentifier des communications sur réseau dans une variété de type d'environnement de gestion de réseau, par exemple des environnements en réseau domestique, des environnements en réseau bureautique, etc. Dans l'exemple de mode de réalisation de la figure 2, l'environnement de gestion de réseau 200 inclut des dispositifs client sans fil 210 et 212 qui sont il-lustrés comme étant des systèmes de traitement d'informations portables sous la forme d'un ordinateur portable et d'un assistant numérique personnel (PDA), respectivement. L'environnement de gestion de réseau 200 inclut également un dispositif client câblé 206 sous la forme d'un ordinateur de bureau. Comme ceci est représenté, chacun des dispositifs client sans fil 210 et 212 sont configurés pour communiquer avec d'autres dispositifs de l'environnement de gestion de réseau 200 via un point d'accès sans fil 208 et un commutateur de réseau 202. Le dispositif client câblé 206 est présenté configuré pour communiquer avec d'autres dispositifs de l'environnement de gestion de réseau 200 via un commutateur 202. Un dispositif d'authentification 204 est présenté couplé au commutateur 202 pour communiquer avec des dispositifs client câblés et sans fil de l'environnement de gestion de réseau 200. Dans le mode de réalisation illustré de la figure 2, le dispositif d'authentification 204 est présenté comme étant un serveur d'authentification (par exemple, un serveur RADIUS) qui est couplé pour communiquer avec d'autres dispositifs du réseau via un connexion câblée au commutateur de réseau 202.
Concernant l'exemple de configuration de la figure 2, il sera entendu que le nombre et types des dispositifs clients câblés et sans fil illustrés sont seule-ment des exemples, et que les systèmes et procédés dé- crits peuvent être mis en oeuvre avec de quelconques autres nombres et/ou types de systèmes de traitement d'in-formation configurés d'une manière adaptée pour une communication câblée et/ou sans fil dans un environnement de gestion de réseau donné. De plus, il sera entendu que la configuration illustrée particulière du commutateur de réseau 202, du point d'accès sans fil 208 et du serveur d'authentification 204 est également un exemple seule-ment, et qu'une quelconque autre configuration adaptée de communication de réseau et des dispositifs d'authentifi-cation peut être utilisée, par exemple, un dispositif commun unique qui est configuré pour effectuer les tâches du point d'accès sans fil, du routeur de réseau et du dispositif d'authentification.
Par exemple, la figure 3 illustre un diagramme simplifié d'un environnement de gestion de réseau 300 dans lequel les systèmes et procédés décrits peuvent être mis en oeuvre dans un autre exemple de mode de réalisation pour effectuer une authentification de périphérie de réseau des dispositifs de réseau. Comme représenté, l'en- vironnement de gestion de réseau 300 inclut de nombreux exemples de dispositifs client sans fil 310, 312 et 314 qui peuvent être configurés pour communiquer les uns avec les autres via des communications sans fil par l'intermédiaire d'un dispositif d'authentification 302 qui est également configuré pour fonctionner comme un point d'accès de passerelle sans fil, par exemple un point d'accès de norme 802.IX. Comme représenté, le dispositif d'authentification 302 est couplé via une connexion câblée à un serveur d'authentification 304 (par exemple, un serveur RADIUS) à l'intérieur du ré-seau fédérateur 320. Le dispositif d'authentification 302 est configuré pour recevoir des demandes d'authentification à partir des dispositifs sans fil 310, 312 et 314 qui n'identifient pas le procédé d'authentification en cours d'utilisation par le dispositif client demandeur, et effectuer une authentification de périphérie de réseau en échangeant des informations avec le dispositif client demandeur afin de converger vers le procédé d'authentifi- cation correct avant de permettre au client sans fil un accès au réseau fédérateur 320. Dans le mode de réalisation illustré, le serveur d'authentification 304 est configuré pour effectuer des tâches d'authentification de réseau fédérateur (par exemple, une validation d'utilisa- teur, etc.) après qu'un dispositif client donné 310 ait été soumis à une authentification de périphérie de réseau et reçu une autorisation d'accès au réseau fédérateur 320 par le dispositif d'authentification 302. On a également représenté comme communiquant à l'intérieur du réseau fé- dérateur 320 des dispositifs clients sans fil 312 et 314 qui ont précédemment reçu l'autorisation d'accéder au ré-seau fédérateur 320.
Bien qu'à la fois des dispositifs sans fil et câblés soient illustrés comme étant présents dans les en- vironnements de gestion de réseau des figures 2 et 3, il sera entendu que les systèmes et procédés décrits peuvent être mis en oeuvre pour authentifier des dispositifs pour des communications de mise en réseau dans de quelconques autres types d'environnement de gestion en réseau, par exemple, dans des environnements de gestion de réseau qui incluent seulement des dispositifs sans fil, ou dans des environnements de gestion de réseau qui incluent seule-ment des dispositifs câblés. De plus, les systèmes et procédés décrits peuvent être mis en oeuvre pour authen- tifier des communications sur réseau dans une variété de types d'environnement de gestion de réseau, par exemple des environnements de gestion de réseau domestique, des environnements de gestion de réseau bureautique, etc.).
La figure 4 est un schéma fonctionnel simplifié illustrant une communication entre un dispositif d'authentification 402 et un dispositif client 420 selon un exemple de mode de réalisation des systèmes et procédés décrits. Bien que les dispositifs 402 et 420 soient il-lustrés comme communiquant sans fil sur la figure 4, il sera entendu que la communication entre le dispositif d'authentification 402 et 420 peut se dérouler en va-riante via un connexion câblée. Dans ce contexte, les capacités d'authentification du dispositif d'authentification sans fil 402 peuvent être prises pour représenter les capacités du serveur d'authentification 204 de la figure 2 ou du point d'accès de passerelle sans fil 302 de la figure 3.
Dans le mode de réalisation illustré de la figure 4, le dispositif d'authentification sans fil 402 est configuré muni d'un processeur 406 qui est couplé à une mémoire 408 et qui est configuré pour recevoir et produire des communications sur réseau via une carte d'interface réseau (NIC) sans fil couplée 404 et une antenne 414. De même, le dispositif client sans fil 420 est configuré muni d'un processeur 424 qui est couplé à une mémoire 426 et qui est configuré pour recevoir et produire des communications sur réseau via une carte d'interface réseau (NIC) sans fil couplée 422 et une antenne 428. Les mémoires 408 et 426 peuvent être de quelconques dispositifs mémoire adaptés (par exemple, une mémoire à semiconducteurs, un disque dur, etc.) ou une combinaison de dispositifs mémoire adaptés pour mémoriser les informations nécessaires ou voulues pour accomplir les fonctionnalités des systèmes et procédés décrits tels que dé- crits davantage ici. De manière similaire, les proces- seurs 424 peuvent être de quelconques dispositifs de traitement (par exemple, un microprocesseur, un micro-contrôleur, etc.) adapté pour récupérer et mémoriser des informations sur des dispositifs mémoire associés, et pour exécuter des algorithmes ou routines nécessaires ou voulus pour accomplir les fonctionnalités des systèmes et procédés décrits, comme décrit davantage ici. Les cartes NIC 404 et 428 peuvent être une quelconque carte d'inter-face réseau ou composants d'adaptateur réseau adaptés pour permettre une communication sur réseau sans fil entre le dispositif d'authentification sans fil 402 et le dispositif client sans fil 420 via les antennes 414 et 428, étant entendu qu'un mode de réalisation de réseau sans fil peut être mis en oeuvre en utilisant des compo- sants NIC adaptés pour une communication sur réseau câblée entre un dispositif d'authentification câblé et un dispositif client câblé.
Dans ce mode de réalisation, le processeur 424 et la mémoire 426 du dispositif client sans fil 420 sont configurés pour exécuter au moins un procédé d'authentification sans fil (par exemple le mode et/ou algorithme de sécurité) afin de produire des informations d'authentification qui sont communiquées au dispositif d'authentification 402 via la carte NIC 428. Le dispositif d'au- thentification sans fil 402 est configuré pour traiter les informations d'authentification reçues depuis le dis-positif de communication sans fil 420 via l'antenne 414 et la carte NIC 404 en utilisant deux ou plus de deux procédés d'authentification sans fil différents (par exemple, modes et/ou algorithmes de sécurité) s'exécutant sur le processeur 406.
En faisant encore référence à la figure 4, le dispositif d'authentification sans fil 402 est capable de supporter une pluralité de procédés d'authentification sans fil 416, par exemple, correspondant à différents ty- pes et/ou gammes de dispositifs clients, différentes politiques de réseau (par exemple, niveau de sécurité ou politique de groupe de travail) pour des dispositifs clients sans fil et/ou utilisateurs différents, etc. Ces multiples procédés de sécurité sans fil 416 peuvent être mémorisés dans la mémoire 408 du dispositif d'authentification sans fil 402, et sélectionnés et utilisés lorsque nécessaire pour authentifier différents dispositifs clients sans fil et/ou utilisateurs sur une base dynamique lorsque nécessaire. Le tableau 1 est un exemple d'une liste de procédés d'authentification sans fil 416 qui peuvent être mémorisés dans la mémoire 408 du dispositif d'authentification sans fil 402 et n'est pas destiné à être exhaustif, étant entendu que le nombre de procédés d'authentification sans fil mémorisés 416 peut être plus grand ou plus petit; et/ou que différents types de pro-cédés d'authentification sans fil peuvent également être mémorisés dans la mémoire 408.
Tableau 1 - Procédés d'Authentification Type Algorithme Protocole Procédé de Mode d'au- Identifi- de d'authentifica- de création cryptage thentifica- cation sécurité tion de réseau de passe- de tion de réd'entrée relie données seau de cache Aucun Ouvert N/A Sécurité N/A 1 Équiva- lente câ- blée (WEP) Aucun De base Partagé N/A WEP N/A 3 Aucun 4 Clé pré-partagée N/A WEP N/A 5 pour accès Protocole 6 Protégé pour Wid'intégri- Fi (WPA-PSK) té de clé temporaire (TKIP) Norme de 7 Cryptage Evoluée (AES) Evolué Algorithme de N/A WEP 802.1x 8 cryptographie 5 Protocole 9 (MD5) d'Intégri- té par clé Cisco (CKIP) Protocole d'Au- N/A WEP 802.1x, 10 thentification Gestion de Extensible à pon- Clé Centradération (LEAP) lisée de Cisco (CCKM) CKIP 802.1x, Ex- 11 tension Compatible Cisco (CCX), CCKM TKIP Accès Pro- 12 tégé pour Wi-fi (WPA)
CCKM
Sécurité de Cou- N/A WEP 802.1x 13 che Transport CKIP 802.1x 14 (TLS) TKIP WPA 15 AES WPA 16 Protocole d'Au- Carte Jeton WEP 802.1x 17 thentification Générique CKIP 802.1x 18 Extensible Proté- (GTC), TLS, TKIP WPA 19 gé (PEAP) Protocole AES WPA 20 d'Authenti- fication par dé-fi- réponse de Micro- soft ( MS- CHAP) v2 Sécurité de Cou- Protocole WEP 802. 1x 21 che Transport de d'Authenti- CKIP 802.1x 22 Création de Pas- fication de TKIP WPA 23 serelle (TTLS) Mot de AES WPA 24 passe (PAP), Pro- tocole d'Authenti- fication d'accueil par dé- fi-réponse (CHAP), MD5, MS- CHAP, MS- CHAP v2 Comme représenté dans le tableau 1, chaque pro-cédé d'authentification sans fil de cet exemple de mode de réalisation d'authentification sans fil peut être sélectionné de manière à correspondre à une combinaison particulière de caractéristiques d'authentification, c'est-à-dire le type de sécurité de réseau étendu (WLAN) sans fil (par exemple, aucun, de base ou évolué), un algorithme d'authentification de réseau, un protocole de création de passerelle, un procédé de cryptage de données et un mode d'authentification de réseau. Toutefois, il sera entendu que dans d'autres modes de réalisation, un procédé d'authentification câblé ou sans fil individuel peut correspondreà une quelconque autre caractéristique d'authentification ou combinaison de caractéristiques d'authentification comme ceci peut être adapté pour être utilisé dans la mise en oeuvre d'une ou plusieurs fonctionnalités des systèmes et procédés décrits dans un environnement de gestion de réseau sans fil donné. Dans un exemple de mode de réalisation, les informations conte-nues dans le tableau 1 peuvent être mémorisées sous la forme d'un tableau de consultation de procédés d'authentification dans la mémoire 408 du dispositif d'authentification sans fil 402. Dans un tel cas, un identificateur (ID) d'entrée de cache peut être utilisé pour identifier chaque combinaison de caractéristiques d'authentification supportée par le dispositif d'authentification sans fil 402.
Comme représenté sur la figure 4, la mémoire 408 du dispositif d'authentification sans fil 402 peut également inclure un cache d'authentification 412 pour maintenir des informations concernant l'identité du ou des procédés d'authentification utilisés par le dispositif client sans fil 420 et d'autres dispositifs clients sans fil 420 (lorsque présents), par exemple, une liste de tous les procédés d'authentification précédemment utilisés par chaque dispositif client sans fil 420, le pro-cédé d'authentification utilisé en dernier par chaque dispositif client sans fil 420, une liste de tous les procédés d'authentification supportés par chaque disposi- tif client sans fil 420, etc. La mémoire 408 peut égale-ment inclure un compteur facultatif 410 pour suivre la fréquence d'utilisation ou le nombre d'utilisations cumulées pour chaque procédé d'authentification sans fil (par exemple, algorithme et mode) utilisé par chaque dispositif client sans fil 420.
Le tableau 2 représente un exemple de mode de réalisation d'un tableau de suivi des procédés d'identification tel qu'il peut être maintenu par le compteur fa- cultatif 410 (lorsque présent) d'un dispositif d'authentification sans fil 402 pour de multiples dispositifs clients sans fil 420. Comme représenté dans le tableau 2, un compteur d'utilisations (par exemple, depuis la dernière amorce du système) peut être maintenu pour chaque dispositif client sans fil 420 (par exemple, un client A, un client B, etc.) pour chaque procédé d'authentification sans fil utilisé par le dispositif client sans fil donné 420. Dans le mode de réalisation illustré, des estampilles temporelles peuvent également être maintenues pour la dernière date et la dernière heure d'utilisation de chaque procédé d'authentification utilisé par chaque dispositif client sans fil 420, bien que cela ne soit pas nécessaire. Comme représenté, le tableau 2 inclut un identificateur (ID) d'entrée de cache qui correspond aux identificateurs d'entrée de cache du tableau 1 pour per-mettre l'identification de chaque procédé d'authentification sans fil inclus dans le tableau 2.
Tableau 2 - Suivi des Procédés d'Authentification Identificateur Client A Client B d'entrée de cache Compteur Dernière Dernière Compteur Dernière Dernière d'utili- estampille estam- d'utili- estampille estampille sations de date pille sations de date d'heure depuis utilisée d'heure depuis utilisée utilisée dernière utilisée dernière amorce amorce 1 1 2/14/2003 13:15 0 2 2 3/1/2004 8:00 0 3 0 0 4 0 2 6/12/2003 16:15 0 3 5/12/2003 15:30 Le tableau 3 représente un tableau d'informations sur le cache concernant des procédés d'authentification tel qu'il peut être maintenu dans une mémoire cache 412 du dispositif d'authentification sans fil 402 selon un exemple de modes de réalisation des systèmes et procédés décrits. Comme représenté, le tableau 3 inclut un identificateur respectif A à z (par exemple, l'adresse de Contrôle d'Accès Au Support (MAC) ou un autre identificateur adapté correspondant à chacun des dispositifs clients sans fil A à z qui ont été précédemment authentifiés (ou qui peuvent tenter une authentification) par le dispositif d'authentification sans fil 402. Dans cet exemple de mode de réalisation, la structure de cache de mode d'authentification du tableau 3 inclut l'identificateur d'entrée de cache pour le dernier procédé d'authentification utilisé (LU) pour chaque dispositif client sans fil A à z, ainsi que l'identificateur d'entrée de cache pour le procédé d'authentification le plus utilisé (MU) pour chaque dispositif client sans fil A à Z. Tableau 3 - Cache des Procédés d'Authentification Adresse MAC de Identificateur Identificateur client d'entrée de cache d'entrée de cache (LU) (MU) A 2 2 B 5 4 Z 6 2 La figure 5 est un ordinogramme illustrant une méthodologie d'authentification 500 telle qu'elle serait mise en oeuvre selon un exemple de mode de réalisation des systèmes et procédés décrits, par exemple comme partie d'établissement de liaison entre un dispositif client sans fil et un dispositif d'authentification sans fil. La méthodologie 500 peut être mise en oeuvre, par exemple, par un serveur d'authentification 204 pour identifier un dispositif client câblé 206 et/ou dispositifs clients sans fil 210 et 212 de la figure 2. Toutefois, il sera entendu qu'une méthodologie similaire peut être mise en oeuvre par d'autres types de dispositifs d'authentification en utilisant une communication sans fil et/ou câ- blée, par exemple, par un point d'accès de passerelle sans fil 302 de la figure 3 à des fins d'authentification de périphérie de réseau.
Comme représenté, la méthodologie d'authentification commence dans l'étape 502 où un serveur d'authen- tification en attente reçoit une demande d'authentification depuis un client donné. La demande d'authentification n'identifie pas le procédé d'authentification utilisé par le client donné. En réponse à la demande d'authentification, le serveur d'authentification accède aux in- formations de cache de procédés d'authentification (par 10 exemple, le tableau 3 contenu dans le cache d'authentification 412 de la figure 4) dans l'étape 504 et consulte l'identificateur (ID) de cache utilisé en dernier (LU) correspondant au dernier procédé d'authentification uti- lisé pour l'adresse MAC du client donné qui a demandé l'authentification accède à des informations de procédés d'authentification (le tableau 1 maintenu dans les informations de procédés d'authentification 416 de la figure 4) et consulte le dernier procédé d'authentification uti- lisé correspondant à l'identificateur d'entrée de cache LU obtenu dans l'étape 504. Dans l'étape 508, le serveur d'authentification envoie une demande d'identité au client donné qui contient le dernier procédé d'authentification utilisé obtenu dans l'étape 506.
En faisant encore référence à la figure 5, le dispositif client demandeur reçoit la demande d'identité envoyée dans l'étape 506 par le serveur d'authentification et détermine dans l'étape 510 si le dernier procédé d'authentification utilisé contenu dans la demande d'identité coïncide avec la configuration du procédé d'authentification de client courante. Si le dernier pro-cédé d'authentification utilisé contenu dans la demande d'identité coïncide avec la configuration de procédé d'authentification de client courante, alors le disposi- tif client répond au serveur d'authentification dans l'étape 512 par une réponse d'identité positive, et le serveur d'authentification à son tour sélectionne le pro-cédé d'authentification (par exemple, le mode et l'algorithme d'authentification) à partir de la mémoire de pro- cédés d'authentification 416 et authentifie le dispositif client demandeur donné.
Dans l'étape 514, le serveur d'authentification met à jour l'identificateur d'entrée de cache utilisé en dernier (LU) des informations de cache de procédés d'au- thentification (par exemple, le tableau 3 contenu dans la mémoire cache 412 de la figure 4) par l'identificateur d'entrée de cache correspondant à l'identité du procédé d'authentification utilisé dans l'étape 512 pour le client donné. Dans l'étape 514, le serveur d'authentifi- cation met également à jour le compteur d'utilisations cumulées (qui reflète le nombre cumulé d'utilisation) et des estampilles temporelles contenues dans les informations de suivi de procédés d'authentification (par exemple, le tableau 2 contenu dans le compteur 410 de la fi- gure 4) qui correspondent au procédé d'authentification utilisé dans l'étape 512 pour le client donné. Dans l'étape 516, le serveur d'authentification met à jour l'identificateur d'entrée de cache le plus utilisé (MU) des informations de cache de procédés d'authentification (par exemple, le tableau 3 contenu dans la mémoire cache 412 de la figure 4) par l'identificateur d'entrée de cache correspondant au procédé d'authentification le plus utilisé après l'exécution de l'étape 512 pour le client donné. A ce stade, la méthodologie 500 se termine et le serveur d'authentification attend que la demande d'authentification suivante soit reçue depuis un dispositif client dans l'étape 502, moment auquel la méthodologie 500 recommence à nouveau à traiter la demande d'authentification suivante.
En revenant à l'étape 510 de la figure 5, si le dernier procédé d'authentification utilisé contenu dans la demande d'identité ne coïncide pas avec la configuration de procédé d'authentification de client courante, alors le dispositif client répond par une réponse d'iden- tité négative qui est reçue par le serveur d'authentification dans l'étape 518. A réception d'une réponse d'identité négative dans l'étape 518, le serveur d'authentification accède aux informations de cache de procédés d'authentification (par exemple, le tableau 3 contenu dans le cache d'authentification 412 de la figure 4) dans l'étape 520 et consulte l'identificateur (ID) d'entrée de cache le plus utilisé (MU) correspondant au procédé d'authentification le plus utilisé pour l'adresse MAC du client donné qui a demandé une authentification. Dans l'étape 522, le serveur d'authentification accède aux in-formations de procédés d'authentification (par exemple, le tableau 1 maintenu dans les informations de procédés d'authentification 416 de la figure 4) et consulte le procédé d'authentification le plus utilisé correspondant à l'identificateur d'entrée de cache le plus utilisé (MU) obtenu dans l'étape 520. Dans l'étape 524, le serveur d'authentification envoie une demande d'identité au client donné qui contient le procédé d'authentification le plus utilisé obtenu dans l'étape 522.
En faisant encore référence à la figure 5, le dispositif client demandeur reçoit la demande d'identité envoyée dans l'étape 524 par le serveur d'authentification et détermine dans l'étape 526 si le procédé d'authentification le plus utilisé contenu dans la demande d'identité coïncide avec la configuration de procédé d'authentification de client courante. Si le procédé d'authentification le plus utilisé contenu dans la de-mande d'identité correspond à la configuration de procédé d'authentification de client courante, alors le disposi- tif client répond au serveur d'authentification dans l'étape 512 par une réponse d'identité positive, et exécute les étapes 514 et 516 d'une manière identique à celle précédemment décrite. Cependant, si dans l'étape 526, le procédé d'authentification le plus utilisé conte- nu dans la demande d'identité envoyée dans l'étape 524 par le serveur d'authentification ne correspond pas à la configuration courante de procédé d'authentification de client, alors le dispositif client répond par une réponse d'identité négative dans l'étape 528.
A la réception d'une réponse d'identité négative envoyée dans l'étape 528, le serveur d'authentification passe dans l'étape 530 à un traitement séquentiel de sélection de procédés d'authentification individuels et d'envoi de demandes d'identité pour ces procédés d'authentification sélectionnés une à la fois jusqu'à ce que le dispositif client réponde au serveur d'authentification par une réponse d'identité positive (nonreprésenté sur la figure 5). A la réception d'une telle réponse d'identité positive depuis le dispositif client, le serveur d'authentification à son tour sélectionne le procédé d'authentification (par exemple, le mode et l'algorithme d'authentification) à partir de la mémoire de procédés d'authentification 416 et authentifie le dispositif client demandeur donné. A ce moment, un identificateur (ID) d'entrée de cache utilisé en dernier (LU), un identificateur (ID) d'entrée de cache le plus utilisé (MU) et un compteur d'utilisations et des estampilles temporelles peuvent être mis à jour d'une manière similaire à celle décrite en relation aux étapes 514 et 516. A ce stade, le serveur d'authentification attend que la demande d'authentification suivante soit reçue depuis un dispositif client dans l'étape 502, moment auquel la méthodologie 500 recommence à nouveau à traiter la demande d'authenti- fication suivante.
Il sera entendu que la méthodologie 500 de la figure 5 est seulement un exemple, et que les systèmes et procédés décrits peuvent être mis en oeuvre dans d'autres modes de réalisation par plus ou moins d'étapes que cel- les incluses dans la méthodologie 500, et/ou en utilisant une autre séquence d'étapes. Par exemple, il est possible de mettre en oeuvre une méthodologie d'authentification similaire à la méthodologie 500 qui utilise une ou plu-sieurs quelconques caractéristiques de procédés d'authen- tification appropriés pour sélectionner un procédé d'authentification afin de communiquer avec un dispositif client donné, par exemple en utilisant seulement des in-formations d'authentification utilisée en dernier (LU), en utilisant seulement des informations d'authentifica- tion les plus utilisées (MU), et qui utilise les informations d'authentification les plus utilisées (MU) pour sélectionner un éventuel procédé d'authentification avant d'utiliser les dernières informations d'authentification utilisées (LU). De plus, il sera entendu qu'il n'est pas nécessaire de procéder à un traitement de sélection de procédés d'authentification séquentiel comme décrit par rapport à l'étape 530, et/ou qu'une ou plusieurs caractéristiques de procédés d'authentification peuvent être utilisées dans la sélection d'un procédé d'authentifica- tion pour communiquer avec un dispositif client donné, par exemple en utilisant des informations d'authentification qui suivent les dernières utilisées, la sélection des informations d'authentification après les plus utilisées, etc. Il sera attendu que la méthodologie 500 peut être configurée de manière à utiliser un quelconque pro-cédé de détermination de procédé d'authentification approprié lorsque la mémoire cache (par exemple, le cache d'authentification 412 de la figure 4) ne contient pas de précédentes informations d'authentification pour un dispositif client donné (par exemple, tel que la première fois qu'un client donné demandant une authentification). Par exemple, si aucune information d'identificateur (ID) d'entrée de cache n'est trouvée dans les étapes 504 et/ou 520 pour un dispositif client donné, la méthodologie 500 peut sauter à l'étape 530 pour la sélection, pour la première fois, du procédé d'authentification pour le dispositif client donné. Après qu'un procédé d'authentification ait été utilisé pour authentifier un client sans fil donné pour la première fois, l'identificateur d'entrée de cache le plus utilisé (LU), l'identificateur d'entrée de cache le plus utilisé (MU) et le compteur d'utilisations et les estampilles temporelles peuvent être mises à jour d'une manière similaire à celle décrite en relation aux étapes 514 et 516. Si cela est nécessaire, l'adresse MAC du dispositif client peut être ajoutée à la mémoire si elle n'était pas précédemment présente.
La figure 6 illustre un schéma de convergence d'identité 802.1X et EAP selon un exemple de mode de ré- alisation des systèmes et procédés décrits tel qu'il peut être mis en oeuvre entre un dispositif client donné et un dispositif de point d'accès de passerelle sans fil après l'association du dispositif client avec le point d'accès. Dans ce mode de réalisation, le point d'accès de passe- relle sans fil a mis en cache de précédentes informations de procédés d'authentification destinées à être utilisées dans un échange EAP futur. Comme représenté sur la figure 6, le dispositif de point d'accès commence en sélectionnant un procédé d'authentification EAP sur la base d'une ou de plusieurs caractéristiques du ou des procédés d'authentification précédemment utilisés par le dispositif client donné (par exemple, en utilisant une méthodologie similaire à celle illustrée et décrite en relation à la figure 5) et en transmettant ensuite une Demande d'Iden- tité EAP contenant le procédé d'authentification EAP sélectionné (TYPE). Le client sans fil répond à cette première Demande d'Identité EAP par une Réponse d'Identité EAP qui contient un accusé de réception positif (TYPE) du procédé d'authentification EAP correct utilisé par le client.
Par conséquent, dans l'exemple du mode de réalisation de la figure 6, la convergence vers le procédé d'authentification correct nécessite avantageusement qu'un seul essai, c'est-à-dire représenté par une seule paire de demande/réponse EAP. Il s'agit d'une comparaison aux multiples essais (et multiples paires de demande/réponse EAP correspondantes) requis typiquement par la méthodologie classique de la figure 1 pour obtenir une convergence vers le procédé d'authentification correct.
Bien qu'il sera entendu que dans certains cas, il est possible que cela nécessitera plusieurs essais (c'est-à-dire plusieurs paires de demande/réponse EAP) pour obtenir une convergence vers le procédé d'authentification correct lors de l'utilisation de la méthodologie des systèmes et procédés décrits, ceci nécessitera typiquement moins d'essais (et moins de temps de traitement) pour obtenir une convergence avec la méthodologie des systèmes et procédés décrits que lors de l'utilisation de la méthodologie classique telle qu'illustrée et décrite en relation à la figure 1.
Dans le but de cette description, un système de traitement d'information peut inclure un quelconque dis-positif ou ensemble de dispositifs opérationnels pour calculer, classer, traiter, transmettre, recevoir, récu- pérer, émettre, commuter, mémoriser, afficher, manifester, détecter, enregistrer, reproduire, gérer, ou utiliser toute forme d'informations, d'intelligence ou de don-nées à des fins commerciales, scientifiques, de commande, de divertissement ou autre. Par exemple, un système de traitement d'information peut être un ordinateur individuel, un assistant numérique personnel (PDA), un dispositif électronique grand public, un dispositif de mémorisation de réseau, ou tout autre dispositif adapté et peut varier en taille, forme, performance, fonctionnalité, et prix. Le système de traitement d'informations peut inclure une mémoire, une ou plusieurs ressources de traite-ment telles qu'une unité centrale de traitement (CPU) ou une logique de commande de matériel ou logiciel. Des composants supplémentaires du système de traitement d'infor- mations peuvent inclure un ou plusieurs dispositifs de mémorisation, un ou plusieurs ports de communication pour communiquer avec des dispositifs externes ainsi que di-vers périphériques d'entrée et sortie (E/S), tels qu'un clavier, une souris et un afficheur vidéo. Le système de traitement d'informations peut également inclure un ou plusieurs bus opérationnels pour transmettre des communications entre les divers composants matériels.
Bien que la présente invention puisse être adaptée à diverses modifications et autres formes, des modes de réalisation spécifiques ont été présentés à titre d'exemple et décrits ici. Toutefois, il doit être en-tendu que la présente invention n'est pas destinée à être limitée aux formes particulières décrites. Au lieu de ce-la, la présente invention doit couvrir toutes les modifi- cations, équivalences, et variantes comprises dans le domaine et la portée de la présente invention telle que dé-finie dans les revendications annexées. De plus, les différents aspects des systèmes et procédés décrits peuvent être utilisés dans diverses combinaisons et/ou de manière indépendante. Par conséquent, la présente invention n'est pas limitée seulement aux combinaisons présentées ici, mais plutôt peuvent inclure d'autres combinaisons.
Claims (20)
1. Procédé pour communiquer avec un système de traitement d'information, le procédé étant caractérisé en ce qu'il comporte les étapes consistant à : sélectionner un procédé d'authentification de réseau (416), communiquer l'identité du procédé d'authentification de réseau (416) sélectionné au système de traite-ment d'informations, dans lequel le procédé d'authentification (416) est sélectionné sur la base d'une ou plusieurs caractéristiques d'au moins un procédé d'authentification (416) précédemment utilisé pour authentifier le système de traitement d'information pour des communications sur ré- seau.
2. Procédé selon la revendication 1, caractérisé en ce qu'il comporte en outre la sélection du procédé d'authentification de réseau (416) de manière à être le même que le procédé d'authentification utilisé en dernier pour authentifier le système de traitement d'informations pour des communications sur réseau.
3. Procédé selon la revendication 1, caractérisé en ce qu'il comporte en outre la sélection du procédé d'authentification de réseau (416) identique au procédé d'identification (416) le plus utilisé, précédemment utilisé pour authentifier le système de traitement d'informations pour des communications sur réseau.
4. Procédé selon la revendication 1, caractérisé en ce le procédé comporte de plus la communication de l'identité du procédé d'authentification de réseau (416) sélectionné au système de traitement d'information par une communication sans fil.
5. Procédé selon la revendication 4, caractérisé en ce que le procédé d'authentification de réseau (416) comporte un Protocole d'Authentification Extensible (EAP).
6. Procédé selon la revendication 1, caractérisé en ce que le procédé comporte la sélection du procédé d'authentification de réseau (416) parmi deux ou plus de deux procédés d'authentification de réseau (416) précédemment utilisés pour authentifier le système de traite-ment d'information pour des communications sur réseau.
7. Procédé selon la revendication 1, caractéri- sé en ce qu'il comporte de plus l'authentification du système de traitement d'informations pour des communications sur réseau si le procédé d'authentification de ré-seau (416) sélectionné correspond au procédé d'authentification actuellement en cours d'utilisation par le sys- tème de traitement d'informations.
8. Procédé pour communiquer avec un premier système de traitement d'information configuré en tant que dispositif client (420), le procédé étant caractérisé en ce qu'il comporte les étapes consistant à : mémoriser dans une mémoire (408) d'un second système de traitement d'information configurée en tant que dispositif d'authentification de réseau une ou plu-sieurs caractéristiques d'au moins un procédé d'authentification (416) précédemment utilisé par le dispositif d'authentification de réseau pour authentifier le dispositif client (420) pour des communications de réseau câblé ou sans fil, recevoir une demande d'authentification dans le dispositif d'authentification de réseau par une communi- cation câblée ou sans fil depuis le dispositif client (420), sélectionner un premier procédé d'authentification de réseau (416) sur la base de la ou des caractéristiques du au moins un procédé d'authentification (416) précédemment utilisé par le dispositif d'authentification de réseau (402) pour authentifier le dispositif client (420) pour des communications de réseau câblé ou sans fil qui sont mémorisées dans la mémoire (408) du dispositif d'authentification de réseau (402), et communiquer l'identité du premier procédé d'authentification de réseau (416) sélectionné par une communication câblée ou sans fil au dispositif client {420).
9. Procédé selon la revendication 8, caractérisé en ce qu'il comporte de plus les étapes consistant à : recevoir une première réponse du dispositif d'authentification de réseau (402) par une communication câblée ou sans fil depuis le dispositif client (420), la première réponse indiquant si l'identité du premier pro-cédé d'authentification de réseau (416) sélectionné cor- respond au procédé d'authentification actuellement utilisé par le dispositif client (420), authentifier le dispositif client {420) pour des communications câblées ou sans fil sur réseau si la première réponse indique que le premier procédé d'authen- tification de réseau (416) sélectionné correspond au pro-cédé d'authentification actuellement utilisé par le dis-positif client (420), et mettre à jour la mémoire (408) du dispositif d'authentification de réseau (402) de manière à inclure une ou plusieurs caractéristiques du premier procédé d'authentification de réseau (416) sélectionné, dans lequel le procédé comporte la sélection du premier procédé d'authentification de réseau (416) parmi deux ou plus de deux procédés d'authentification de ré- seau précédemment utilisés par le dispositif d'authentification de réseau (402) pour authentifier le dispositif client (420) pour des communications câblées ou sans fil sur réseau, et dans lequel le premier procédé d'authentifica- tion (416) sélectionné est le même que le procédé d'au- thentification (416) utilisé en dernier par le dispositif d'authentification de réseau (402) pour authentifier le dispositif client (420) pour des communications câblées ou sans fil sur réseau.
10. Procédé selon la revendication 8, caractérisé en ce qu'il comporte en outre les étapes consistant à: recevoir une première réponse du dispositif d'authentification de réseau (402) par une communication câblée ou sans fil depuis le dispositif client (420), la première réponse indiquant si l'identité du premier pro-cédé d'authentification de réseau (416) sélectionné correspond au procédé d'authentification actuellement utilisé par le dispositif client (420), sélectionner un second procédé d'authentification de réseau (416) sur la base de la ou des caractéristiques du au moins un procédé d'authentification précédemment utilisé par le dispositif d'authentification de réseau (402) pour authentifier le dispositif client (420) pour des communications câblées ou sans fil sur réseau qui sont mémorisées dans la mémoire (408) du dispositif d'authentification de réseau (402) si la première réponse indique que le premier procédé d'authentification de ré-seau (416) sélectionné ne correspond pas au procédé d'au- thentification actuellement utilisé par le dispositif client (420), et communiquer l'identité du second procédé d'authentification de réseau (416) sélectionné par une communication câblée ou sans fil au dispositif client sans fil {420), recevoir une seconde réponse du dispositif d'authentification de réseau (402) par une communication câblée ou sans fil depuis le dispositif client (420), la seconde réponse indiquant si l'identité du second procédé d'authentification de réseau {416) sélectionné correspond au procédé d'authentification actuellement utilisé par le dispositif client (420), authentifier le dispositif client (420) pour des communications câblées ou sans fil sur réseau si la seconde réponse indique que le second procédé d'authentification de réseau (416) sélectionné correspond au procédé d'authentification actuellement utilisé par le dispositif client (420), et mettre à jour la mémoire (408) du dispositif d'authentification de réseau (402) de manière à inclure une ou plusieurs caractéristiques du second procédé d'authentification de réseau (416) sélectionné, dans lequel le procédé comporte la sélection des premier et second procédés d'authentification de ré- seau parmi deux ou plus de deux procédés d'authentification de réseau (416) précédemment utilisés par le dispositif d'authentification de réseau (402) pour authentifier le dispositif client (420) pour des communications de réseau câblées ou sans fil, dans lequel le premier procédé d'authentification (416) sélectionné est le même que le procédé d'authentification utilisé en dernier par le dispositif d'authentification de réseau (402) pour authentifier le dis-positif client (420) pour des communications câblées ou sans fil sur réseau, et dans lequel le second procédé d'authentification (416) sélectionné est le même que le procédé d'authentification le plus utilisé précédemment pour authentifier le dispositif client (420) pour des communications de réseau câblées ou sans fil.
11. Procédé selon la revendication 8, caractérisé en ce que le dispositif client (420) constitue un dispositif client sans fil (420), et en ce que le dispositif d'authentification de réseau (402) constitue un dispositif d'authentification de réseau sans fil.
12. Procédé selon la revendication 11, caractérisé en ce que le dispositif d'authentification de réseau sans fil (402) constitue un point d'accès de passerelle sans fil (208) configuré pour réaliser une authentifica- tion de périphérie de réseau.
13. Procédé selon la revendication 8, caractérisé en ce que le dispositif d'authentification de réseau {402) constitue un serveur d'authentification (204) configuré pour effectuer une authentification de réseau fédérateur.
14. Système de traitement d'informations, le système de traitement d'informations étant caractérisé en ce qu'il est configuré pour: sélectionner un procédé d'authentification de réseau (416) sur la base d'une ou de plusieurs caractéristiques d'au moins un procédé d'authentification précédemment utilisé pour authentifier un système de traite-ment d'informations client pour des communications sur réseau, et communiquer l'identité du procédé d'authentification de réseau (416) sélectionné au système de traite-ment d'informations client.
15. Système de traitement d'informations selon la revendication 14, caractérisé en ce que le système de traitement d'informations est de plus configuré pour sélectionner le procédé d'authentification de réseau (416) parmi deux ou plus de deux procédés d'authentification de réseau précédemment utilisés pour authentifier le système de traitement d'informations client pour des communica- tions sur réseau, communiquer l'identité du procédé d'authentification de réseau (416) sélectionné au système de traitement d'informations client, et authentifier le système de traitement d'informations client pour des communications sur réseau si le procédé d'authentification de réseau (416) sélectionné correspond au procédé d'authen- tification actuellement utilisé par le système de traite-ment d'informations client.
16. Système de traitement d'informations selon la revendication 15, caractérisé en ce que le système de traitement d'informations est de plus configuré pour sélectionner le procédé d'authentification de réseau {416) de manière à être le même que le procédé d'authentification utilisé en dernier pour authentifier le système de traitement d'informations client pour des communications sur réseau.
17. Système de traitement d'informations selon la revendication 15, caractérisé en ce que le système de traitement d'informations est de plus configuré pour sélectionner le procédé d'authentification de réseau (416) de manière à être le même que le procédé d'authentification le plus utilisé précédemment pour authentifier le système de traitement d'informations client pour des communications sur réseau.
18. Système de traitement d'informations selon la revendication 15, caractérisé en ce que le dispositif client (420) constitue un dispositif client sans fil, et en ce que le dispositif d'authentification de réseau (420) constitue un dispositif d'authentification de ré-seau sans fil.
19. Système de traitement d'informations selon la revendication 18, caractérisé en ce que le système de traitement d'informations est de plus configuré en tant que point d'accès de passerelle sans fil (208) configuré pour effectuer une authentification de périphérie de ré- seau.
20. Système de traitement d'informations selon la revendication 15, caractérisé en ce que le système de traitement d'informations est de plus configuré en tant que serveur d'authentification (204) configuré pour effectuer une authentification de réseau fédérateur.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/088,214 US20060218393A1 (en) | 2005-03-23 | 2005-03-23 | Systems and methods for adaptive authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2887720A1 true FR2887720A1 (fr) | 2006-12-29 |
| FR2887720B1 FR2887720B1 (fr) | 2009-04-10 |
Family
ID=36383976
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0602515A Active FR2887720B1 (fr) | 2005-03-23 | 2006-03-23 | Systemes et procedes d'authentification adaptative |
| FR0803252A Withdrawn FR2915045A1 (fr) | 2005-03-23 | 2008-06-11 | Systemes et procedes d'authentification adaptative. |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0803252A Withdrawn FR2915045A1 (fr) | 2005-03-23 | 2008-06-11 | Systemes et procedes d'authentification adaptative. |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US20060218393A1 (fr) |
| JP (1) | JP2006268855A (fr) |
| CN (1) | CN1838594B (fr) |
| AU (1) | AU2006201199B2 (fr) |
| DE (1) | DE102006012646B4 (fr) |
| FR (2) | FR2887720B1 (fr) |
| GB (1) | GB2424559B (fr) |
| HK (1) | HK1100149A1 (fr) |
| IT (1) | ITTO20060215A1 (fr) |
| MY (1) | MY139907A (fr) |
| SG (2) | SG146667A1 (fr) |
| TW (1) | TWI407747B (fr) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9191215B2 (en) | 2003-12-30 | 2015-11-17 | Entrust, Inc. | Method and apparatus for providing authentication using policy-controlled authentication articles and techniques |
| US8230486B2 (en) * | 2003-12-30 | 2012-07-24 | Entrust, Inc. | Method and apparatus for providing mutual authentication between a sending unit and a recipient |
| US8966579B2 (en) * | 2003-12-30 | 2015-02-24 | Entrust, Inc. | Method and apparatus for providing authentication between a sending unit and a recipient based on challenge usage data |
| US8060915B2 (en) * | 2003-12-30 | 2011-11-15 | Entrust, Inc. | Method and apparatus for providing electronic message authentication |
| US9281945B2 (en) * | 2003-12-30 | 2016-03-08 | Entrust, Inc. | Offline methods for authentication in a client/server authentication system |
| US8676922B1 (en) | 2004-06-30 | 2014-03-18 | Google Inc. | Automatic proxy setting modification |
| US8126145B1 (en) * | 2005-05-04 | 2012-02-28 | Marvell International Ltd. | Enhanced association for access points |
| WO2007007690A1 (fr) * | 2005-07-07 | 2007-01-18 | Kabushiki Kaisha Toshiba | Système d’authentification, dispositif et programme |
| WO2007027958A1 (fr) * | 2005-08-29 | 2007-03-08 | Junaid Islam | Architecture pour des applications ipv6 mobile sur ipv4 |
| ATE451768T1 (de) * | 2005-09-28 | 2009-12-15 | Nortel Networks Ltd | Authentifizierungsverfahren und dazugehörige vorrichtungen |
| US7966489B2 (en) * | 2006-08-01 | 2011-06-21 | Cisco Technology, Inc. | Method and apparatus for selecting an appropriate authentication method on a client |
| US8812651B1 (en) * | 2007-02-15 | 2014-08-19 | Google Inc. | Systems and methods for client cache awareness |
| JP5018559B2 (ja) * | 2008-03-03 | 2012-09-05 | 富士電機リテイルシステムズ株式会社 | 記録媒体処理装置 |
| GB2459434A (en) * | 2008-03-31 | 2009-10-28 | Vodafone Plc | Configuration of access points in a telecommunications network |
| TWI380169B (en) * | 2008-10-03 | 2012-12-21 | Wistron Corp | A method for storing a time of boot |
| US20100146262A1 (en) * | 2008-12-04 | 2010-06-10 | Shenzhen Huawei Communication Technologies Co., Ltd. | Method, device and system for negotiating authentication mode |
| US8756661B2 (en) * | 2009-08-24 | 2014-06-17 | Ufp Identity, Inc. | Dynamic user authentication for access to online services |
| US8666403B2 (en) * | 2009-10-23 | 2014-03-04 | Nokia Solutions And Networks Oy | Systems, methods, and apparatuses for facilitating device-to-device connection establishment |
| US10693874B2 (en) | 2013-04-19 | 2020-06-23 | Pearson Education, Inc. | Authentication integrity protection |
| US10235511B2 (en) | 2013-04-19 | 2019-03-19 | Pearson Education, Inc. | Authentication integrity protection |
| US9307405B2 (en) | 2013-10-17 | 2016-04-05 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| US10069811B2 (en) | 2013-10-17 | 2018-09-04 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US9203823B2 (en) | 2013-10-30 | 2015-12-01 | At&T Intellectual Property I, L.P. | Methods and systems for selectively obtaining end user authentication before delivering communications |
| GB2530028B8 (en) * | 2014-09-08 | 2021-08-04 | Advanced Risc Mach Ltd | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| EP3335394B1 (fr) * | 2015-08-13 | 2020-12-09 | Telefonaktiebolaget LM Ericsson (publ) | Procédé et appareil pour un protocole d'authentification extensible |
| US11822637B2 (en) * | 2018-10-18 | 2023-11-21 | Oracle International Corporation | Adaptive authentication in spreadsheet interface integrated with web service |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6842860B1 (en) * | 1999-07-23 | 2005-01-11 | Networks Associates Technology, Inc. | System and method for selectively authenticating data |
| CN1182479C (zh) * | 2000-01-07 | 2004-12-29 | 国际商业机器公司 | 有效地收集、整理和访问证书吊销表的系统和方法 |
| US6795701B1 (en) * | 2002-05-31 | 2004-09-21 | Transat Technologies, Inc. | Adaptable radio link for wireless communication networks |
| US20030017826A1 (en) * | 2001-07-17 | 2003-01-23 | Dan Fishman | Short-range wireless architecture |
| JP3983035B2 (ja) * | 2001-11-19 | 2007-09-26 | 富士通株式会社 | ユーザ端末認証プログラム |
| US20030115142A1 (en) * | 2001-12-12 | 2003-06-19 | Intel Corporation | Identity authentication portfolio system |
| US7448068B2 (en) * | 2002-10-21 | 2008-11-04 | Microsoft Corporation | Automatic client authentication for a wireless network protected by PEAP, EAP-TLS, or other extensible authentication protocols |
| DE60206634T2 (de) | 2002-10-22 | 2006-06-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Verfahren und System zur Authentifizierung von Benutzern in einem Telekommunikationssystem |
| KR100548354B1 (ko) * | 2003-06-14 | 2006-02-02 | 엘지전자 주식회사 | 동기화 프로토콜에서의 사용자 인증 방법 |
| JP3642336B2 (ja) * | 2003-07-01 | 2005-04-27 | 松下電器産業株式会社 | 目画像撮像装置 |
| US7461248B2 (en) * | 2004-01-23 | 2008-12-02 | Nokia Corporation | Authentication and authorization in heterogeneous networks |
| US8413213B2 (en) * | 2004-12-28 | 2013-04-02 | Intel Corporation | System, method and device for secure wireless communication |
-
2005
- 2005-03-23 US US11/088,214 patent/US20060218393A1/en not_active Abandoned
-
2006
- 2006-03-20 DE DE102006012646.7A patent/DE102006012646B4/de active Active
- 2006-03-21 SG SG200806962-7A patent/SG146667A1/en unknown
- 2006-03-21 SG SG200601741A patent/SG126085A1/en unknown
- 2006-03-22 AU AU2006201199A patent/AU2006201199B2/en active Active
- 2006-03-22 TW TW095109848A patent/TWI407747B/zh active
- 2006-03-22 IT IT000215A patent/ITTO20060215A1/it unknown
- 2006-03-22 JP JP2006078785A patent/JP2006268855A/ja active Pending
- 2006-03-22 GB GB0605759A patent/GB2424559B/en active Active
- 2006-03-22 MY MYPI20061252A patent/MY139907A/en unknown
- 2006-03-23 FR FR0602515A patent/FR2887720B1/fr active Active
- 2006-03-23 CN CN200610065819.1A patent/CN1838594B/zh active Active
-
2007
- 2007-03-09 HK HK07102637.8A patent/HK1100149A1/xx unknown
-
2008
- 2008-06-11 FR FR0803252A patent/FR2915045A1/fr not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| CN1838594B (zh) | 2014-08-06 |
| FR2915045A1 (fr) | 2008-10-17 |
| AU2006201199B2 (en) | 2009-01-08 |
| ITTO20060215A1 (it) | 2006-09-24 |
| TW200704093A (en) | 2007-01-16 |
| CN1838594A (zh) | 2006-09-27 |
| GB2424559A (en) | 2006-09-27 |
| HK1100149A1 (en) | 2007-09-07 |
| IE20060220A1 (en) | 2006-10-04 |
| MY139907A (en) | 2009-11-30 |
| GB2424559B (en) | 2007-07-18 |
| TWI407747B (zh) | 2013-09-01 |
| DE102006012646B4 (de) | 2018-03-01 |
| US20060218393A1 (en) | 2006-09-28 |
| IE20080305A1 (en) | 2008-06-11 |
| FR2887720B1 (fr) | 2009-04-10 |
| AU2006201199A1 (en) | 2006-10-12 |
| GB0605759D0 (en) | 2006-05-03 |
| SG126085A1 (en) | 2006-10-30 |
| JP2006268855A (ja) | 2006-10-05 |
| SG146667A1 (en) | 2008-10-30 |
| DE102006012646A1 (de) | 2006-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2887720A1 (fr) | Systemes et procedes d'authentification adaptative | |
| US11290337B2 (en) | Hybrid cloud identity mapping infrastructure | |
| US8813243B2 (en) | Reducing a size of a security-related data object stored on a token | |
| FR2877521A1 (fr) | Dispositif, procede, programme et support de distribution d'informations, d'initialisation, dispositif, procede, programme et support de transfert d'initialisation d'authentification et programme de reception ... | |
| EP2811708B1 (fr) | Système et méthode pour l'authentification d'un utilisateur | |
| US20170374017A1 (en) | Verification of server name in a proxy device for connection requests made using domain names | |
| EP1909462B1 (fr) | Procédé de mise à disposition cloisonnée d'un service électronique | |
| CN110365701B (zh) | 客户终端设备的管理方法、装置、计算设备及存储介质 | |
| WO2002102018A1 (fr) | Procede d'authentification entre un objet de telecommunication portable et une borne d'acces public | |
| EP2279581A1 (fr) | Procede de diffusion securisee de donnees numeriques vers un tiers autorise | |
| FR2987529A1 (fr) | Procede de verification d'identite d'un utilisateur d'un terminal communiquant et systeme associe | |
| EP2822285B1 (fr) | Appariement de dispositifs au travers de réseaux distincts | |
| GB2435161A (en) | Selecting authentication protocol for a device in an EAP system from preferably the most recently used or most often used by that device | |
| WO2005079038A1 (fr) | Procede, terminal mobile, systeme et equipement pour la fourniture d’un service de proximite accessible par l’intermediaire d’un terminal mobile | |
| US20100175121A1 (en) | Adding biometric identification to the client security infrastructure for an enterprise service bus system | |
| EP3041192A1 (fr) | Infrastructure d'authentification de téléphones ip d'un système toip propriétaire par un système eap-tls ouvert | |
| WO2023104598A1 (fr) | Procédé de contrôle d'accès à une zone à sécuriser et procédé d'initialisation associé | |
| WO2021123542A1 (fr) | Procede d'obtention d'une commande relative a un profil d'acces reseau d'un module de securite de type euicc | |
| WO2022200704A1 (fr) | Contrôle d'accès à un réseau de communication sans fil par authentification fondée sur une empreinte biométrique d'un utilisateur | |
| WO2022135952A1 (fr) | Procédé et dispositif de génération d'informations d'authentification pour une entité sécurisée et procédé et dispositif de contrôle d'identité associés | |
| EP4362391A1 (fr) | Procédé de gestion d'accès d'un utilisateur à au moins une application, programme d'ordinateur et système associés | |
| FR3007929A1 (fr) | Procede d'authentification d'un utilisateur d'un terminal mobile | |
| FR3128089A1 (fr) | Procédé et dispositif de sélection d’une station de base | |
| EP3360293A1 (fr) | Moyens de gestion d'accès à des données | |
| IE85009B1 (en) | Systems and methods for adaptive authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 11 |
|
| PLFP | Fee payment |
Year of fee payment: 12 |
|
| PLFP | Fee payment |
Year of fee payment: 13 |
|
| PLFP | Fee payment |
Year of fee payment: 15 |
|
| PLFP | Fee payment |
Year of fee payment: 16 |
|
| PLFP | Fee payment |
Year of fee payment: 17 |
|
| PLFP | Fee payment |
Year of fee payment: 18 |
|
| PLFP | Fee payment |
Year of fee payment: 19 |