FR2915045A1 - Systemes et procedes d'authentification adaptative. - Google Patents
Systemes et procedes d'authentification adaptative. Download PDFInfo
- Publication number
- FR2915045A1 FR2915045A1 FR0803252A FR0803252A FR2915045A1 FR 2915045 A1 FR2915045 A1 FR 2915045A1 FR 0803252 A FR0803252 A FR 0803252A FR 0803252 A FR0803252 A FR 0803252A FR 2915045 A1 FR2915045 A1 FR 2915045A1
- Authority
- FR
- France
- Prior art keywords
- authentication
- information processing
- processing system
- wireless
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
La présente invention concerne des systèmes et procédés d'authentification d'un dispositif client (420) dans un réseau (200, 300), en utilisant une ou plusieurs caractéristiques du ou des procédés d'authentification (416) précédemment utilisés pour authentifier le dispositif client (420) pour des communications sur réseau.
Description
La présente invention concerne de manière générale les réseaux, et de
manière plus particulière une authentification de dispositif dans des environnements de gestion en réseau.
Du fait de la valeur et de l'utilisation croissantes des informations, les utilisateurs et les entreprises cherchent des moyens supplémentaires pour traiter et mémoriser les informations. L'une des options mises à la disposition des utilisateurs concerne les systèmes de traite- ment d'informations. Un système de traitement d'informations d'une manière générale traite, compile, mémorise, et/ou communique des informations ou des données à des fins commerciales, personnelles, ou autres, offrant ainsi aux utilisateurs la possibilité d'exploiter la valeur des informations. Du fait que les besoins et impératifs en termes de technologie et traitement d'informations va-rient entre des utilisateurs différents ou applications différentes, les systèmes de traitement d'informations peuvent également varier en fonction du type d'informa-tions qui sont traitées, de la manière par laquelle les informations sont traitées, de la quantité d'informations qui sont traitées, mémorisées, ou communiquées, et du de-gré de rapidité et d'efficacité avec lequel les informations peuvent être traitées, mémorisées, ou communiquées.
Les variations dans les systèmes de traitement d'informations offrent des systèmes de traitement d'informations généraux ou configurés pour un utilisateur spécifique ou une utilisation spécifique telle que le traitement de transactions financières, les réservations de vols, la mémorisation de données d'entreprise, ou des communications globales. De plus, les systèmes de traitement d'in-formations peuvent inclure une variété de composants matériels et logiciels qui peuvent être configurés pour traiter, mémoriser, et communiquer des informations et peuvent inclure un ou plusieurs systèmes informatiques, systèmes de mémorisation de données, et systèmes de gestion de réseau. Dans un réseau sans fil typique, les dispositifs de système de traitement d'informations sans fil doivent être authentifiés avant qu'un accès à des services de réseau soit accordé. Pour accomplir cette tâche, un système de traitement d'informations, configuré sous la forme d'un serveur d'authentification ou un autre type de dispositif d'authentification de réseau, peut être paramétré pour supporter un grand nombre de procédés d'authentification sans fil sous la forme de modes et d'algorithmes de sécurité. Un système de traitement d'informations sans fil donné communiquant comme client avec le dispositif d'authentification de réseau est typiquement paramétré pour utiliser un de ces procédés d'authentification sans fil. Lors d'une authentification du client sans fil, le dispositif d'authentification doit prendre le temps de passer en boucle à travers tous les procédés d'authentification sans fil jusqu'à ce qu'il trouve le procédé d'authentifi- cation sans fil correct supporté par le client. Dans un schéma d'authentification de réseau classique, une authentification de périphérie pour des dispositifs clients sans fil peut être réalisée par un point d'accès sans fil (commutateur sans fil ou point d'accès sans fil) qui supporte de nombreux procédés d'authentification différents et choisit le procédé d'authentification correct pour un client donné avant d'accorder un accès au réseau fédérateur où une autre authentification peut avoir lieur. EAP est un mécanisme standard pour accorder un ac- cès au réseau et est défini dans un Document (RFC) 3746 du Groupe pour la participation à la standardisation Internet (IETF). Le mécanisme EAP définit un procédé pour demander et accorder un accès au réseau en utilisant une autorité d'authentification, habituellement un Serveur de Services Utilisateur de Numération d'Authentification à Distance (RADIUS). La norme EAP est le mécanisme d'authentification, mais les spécificités de l'authentification sont transférées dans des trames EAP. Les trames EAP, à leur tour, sont transférées dans des trames IEEE 802.IX dans un réseau câblé ou sans fil de couche 2 (802.11). La figure 1 illustre un schéma de convergence d'identité 802.1X et EPA classique tel qu'il est pratiqué dans la technique antérieure entre un dispositif client donné et un point d'accès de passerelle sans fil après association du dispositif client avec le point d'accès. Comme décrit davantage ci-dessous, la convergence vers une procédé d'authentification voulu peut nécessiter de multiples tentatives, chaque tentative étant représentée par une paire de demande/réponse EAP.
Sur la figure 1, le dispositif d'accès doit "deviner" le procédé d'authentification EAP utilisé par le dispositif client sans fil donné de transmettre de manière répétée des Demandes d'Identité EAP, chaque demande contenant un type différent de procédé d'authentification EAP (TYPE).
Le client sans fil répond à chaque Demande d'Identité EAP par une Réponse d'Identité EAP qui contient un accusé de réception négatif (NAK) lorsque la Demande d'Identité EAP reçue ne contient pas le type correct de procédé d'authentification EAP pour le dispositif client sans fil donné. Ce traitement se poursuit autant de fois que nécessaire jusqu'à ce qu'une convergence EAP apparaisse (c'est-à-dire un accord entre le dispositif client et le dispositif passerelle sur un procédé d'authentification EAP particulier), et le client sans fil réponde à une De- mande d'Identité EAP particulière par une Réponse d'Identité EAP qui contient un accusé de réception positif (TYPE) du procédé d'authentification EAP correct utilisé par le client. Du fait que le protocole EAP supporte jus-qu'à 256 procédés d'authentification (avec plus de 50 procédées d'authentification actuellement connus comme utilisés avec le mécanisme EAP), cela peut prendre une durée significative pour qu'une convergence EAP se produise. Du fait de cette méthodologie par essais et erreurs, une convergence d'authentification sans fil utili- sant des procédés à base de mécanisme 802.IX et EAP (Protocole d'Authentification Extensible) peut durer un temps relativement long au même moment où de nombreux services sans fil (voix, vidéo) requièrent une authentification de faible attente.
On décrit ici des systèmes et des procédés pour l'authentification de systèmes de traitement d'informations en tant que dispositifs client au sein d'un réseau. En utilisant les systèmes et procédés décrits, une ou plusieurs caractéristiques du ou des procédés d'authentification (par exemple, modes et algorithmes d'authentification) précédemment utilisés par un dispositif client donné (par exemple, un dispositif client sans fil) peuvent être mémorisées (par exemple, dans une mémoire cache) par un dispositif d'authentification de réseau (par exemple, un serveur d'authentification, un point d'accès de passerelle sans fil, etc.) pour être utilisées par le dispositif d'authentification dans la sélection du procédé de communication permettant de communiquer avec le dispositif client donné. Ces caractéristiques du procédé d'au- thentification incluent l'identité du dernier procédé d'authentification utilisé par le client donné, la fréquence relative d'utilisation de deux ou plus de deux procédés d'authentification différents par un client don-né, le motif d'utilisation de deux ou plus de deux procé- dés d'authentification différents par un client donné, leurs combinaisons, etc., mais ne sont pas limitées à ces dernières. De manière avantageuse, les systèmes et procédés décrits peuvent être mis en oeuvre dans un mode de réalisation pour réduire le temps nécessaire pour attein- dre une convergence d'authentification sur le temps de convergence requis par des procédés classiques. Dans un exemple de mode de réalisation, un mécanisme de cache peut être mis en oeuvre sur un dispositif d'authen- tification sans fil pour mémoriser le plus récent procédé d'authentification sans fil (par exemple, mode et algorithme d'identification) utilisé par le dispositif d'authentification sans fil pour authentifier un dispositif client sans fil donné. La fois d'après, le dispositif client sans fil donné tente de s'authentifier à l'aide du dispositif d'authentification sans fil, le dispositif d'authentification sans fil peut par défaut faire référence au procédé d'authentification sans fil mémorisé dans une tentative pour écourter le temps d'authentifica- tion en identifiant plus rapidement le procédé d'authentification correct actuellement utilisé par le dispositif client sans fil donné. Par exemple, un dispositif sans fil peut mettre en cache, ou sauvegarder, le dernier pro-cédé d'authentification choisi par un échange EAP et uti- liser ce procédé EAP pour la première tentative lors d'un événement futur de sélection de procédé d'authentification. Dans un mode de réalisation, les systèmes et procédés décrits. peuvent être mis en oeuvre pour être utilisés dans des réseaux sans fil qui sont homogènes quant à des procédés d'authentification afin de mettre en cache un procédé EAP et simplifier une convergence de procédé EAP entre un dispositif sans fil et un dispositif d'authentification sans fil (par exemple, un point d'accès) d'une manière qui est conforme à des normes.
Dans un autre exemple de mode de réalisation, un dispositif d'authentification sans fil peut en plus ou en va-riante suivre (par exemple, en utilisant un ou des compteurs) la fréquence ou le nombre de fois qu'un client sans fil donné utilise un procédé d'authentification sans fil donné (par exemple, le mode et l'algorithme d'authen- tification) par rapport à un ou d'autres procédés d'authentification sans fil. Dans une telle mise en oeuvre, le dispositif d'authentification sans fil peut utiliser la fréquence relative suivie d'utilisation d'un procédé d'authentification sans fil donné pour donner la priorité à deux ou plus de deux procédés d'authentification différents. Par exemple, si le procédé d'authentification sans fil le plus récent n'est pas une coïncidence correcte pour le procédé d'authentification courant utilisé par un dispositif client sans fil, alors le dispositif d'authentification sans fil peut alors tester les procédés d'authentification sans fil possibles restants dans l'ordre de fréquence relative suivie d'utilisation jusqu'à ce que le procédé d'authentification sans fil courant correct soit trouvé. En variante, un dispositif d'authentification sans fil peut commencer en testant les procédés d'authentification sans fil possibles dans l'ordre de la fréquence relative suivie d'utilisation, au lieu de commencer par le procédé d'authentification sans fil utilisé en dernier par le client sans fil donné. Dans un aspect, on décrit ici un procédé de communication avec un système de traitement d'informations, le procédé incluant : la sélection d'un procédé d'authentification de réseau ; et la communication de l'identité du procédé d'authentification de réseau sélectionné au système de traitement d'informations, dans lequel le procédé d'authentification est sélectionné sur la base d'une ou plu-sieurs caractéristiques d'au moins un procédé d'authentification précédemment utilisé pour authentifier le sys- tème de traitement d'informations pour des communications sur le réseau. Dans un autre aspect, on décrit ici un procédé de communication avec un premier système de traitement d'informations configuré en tant que dispositif client, le procédé incluant : la mémorisation dans une mémoire d'un second système de traitement d'informations configuré en tant que dispositif d'authentification de réseau ayant une ou plusieurs caractéristiques d'au moins un procédé d'authentification précédemment utilisé par le dispositif d'authentification de réseau pour authentifier le dispositif client pour des communications sur réseau câblé ou sans fil ; la réception d'une demande d'authentification dans le dispositif d'authentification de réseau par une communication câblée ou sans fil depuis le dispositif client ; la sélection d'un premier procédé d'authentification de réseau sur la base de la ou des caractéristiques du au moins un procédé d'authentification précédemment utilisé par le dispositif d'authentification de ré-seau pour identifier le dispositif client pour des commu- nications sur réseau câblé ou sans fil qui sont mémorisées dans la mémoire du dispositif d'authentification de réseau ; et la communication de l'identité du premier dis positif d'authentification de réseau sélectionné par une communication câblée ou sans fil au dispositif client.
Dans un autre aspect, on décrit ici un système de traite-ment d'informations, le système de traitement d'informations étant configuré pour : sélectionner un procédé d'authentification de réseau sur la base d'une ou de plu-sieurs caractéristiques d'au moins un procédé d'authenti-fication précédemment utilisé pour authentifier un système de traitement d'informations client pour des communications sur réseau ; et communiquer l'identité du pro-cédé d'authentification de réseau sélectionné au système de traitement d'informations.
La présente invention va maintenant être mieux comprise à partir de la lecture de la description qui va suivre faite en référence aux dessins annexés, sur lesquels : ù la figure 1 illustre un schéma de convergence d'iden- tité classique entre un dispositif client sans fil et un point d'accès de passerelle sans fil, û la figure 2 est un diagramme simplifié d'un environne-ment de gestion de réseau selon un exemple de mode de réalisation des systèmes et procédés décrits, û la figure 3 est un diagramme simplifié d'un environne- ment de gestion de réseau selon un exemple de mode de réalisation des systèmes et procédés décrits, û la figure 4 est un schéma fonctionnel simplifié illus- trant une communication entre un dispositif d'authen- tification et un dispositif client selon un exemple de mode de réalisation des systèmes et procédés décrits, - la figure 5 est un ordinogramme illustrant une métho- dologie d'authentification selon un exemple de mode de réalisation des systèmes et procédés décrits, et û la figure 6 illustre un schéma de convergence d'iden- tité entre un dispositif client sans fil et un point d'accès de passerelle sans fil selon un exemple de mode de réalisation des systèmes et procédés décrits. La figure 2 est un diagramme simplifié d'un environnement de gestion de réseau 200 selon un exemple de mode de ré-alisation dans lequel les systèmes et procédés décrits peuvent être mis en oeuvre pour authentifier à la fois des dispositifs de réseau câblés et sans fil. Comme représenté, l'environnement de gestion de réseau 200 inclut de nombreux exemples de dispositifs sans fil et câblés qui peuvent être configurés pour communiquer les uns avec les autres via des communications sans fil ou câblées respectivement. Bien qu'à la fois des dispositifs sans fil et câblés soient illustrés, il doit être entendu que les systèmes et procédés décrits peuvent être mis en oeu- vre pour authentifier des dispositifs pour des communications en réseau dans tout autre type d'environnement de gestion de réseau, par exemple, dans des environnements de gestion de réseau qui incluent seulement des dispositifs sans fil, ou dans des environnements en réseau qui incluent seulement des dispositifs câblés. De plus, les systèmes et procédés décrits peuvent être mis en oeuvre pour authentifier des communications sur réseau dans une variété de type d'environnement de gestion de réseau, par exemple des environnements en réseau domestique, des en- vironnements en réseau bureautique, etc. Dans l'exemple de mode de réalisation de la figure 2, l'environnement de gestion de réseau 200 inclut des dis-positifs client sans fil 210 et 212 qui sont illustrés comme étant des systèmes de traitement d'informations portables sous la forme d'un ordinateur portable et d'un assistant numérique personnel (PDA), respectivement. L'environnement de gestion de réseau 200 inclut également un dispositif client câblé 206 sous la forme d'un ordinateur de bureau. Comme ceci est représenté, chacun des dispositifs client sans fil 210 et 212 sont configurés pour communiquer avec d'autres dispositifs de l'environnement de gestion de réseau 200 via un point d'accès sans fil 208 et un commutateur de réseau 202. Le dispositif client câblé 206 est présenté configuré pour communiquer avec d'autres dispositifs de l'environnement de gestion de réseau 200 via un commutateur 202. Un dispositif d'authentification 204 est présenté couplé au commutateur 202 pour communiquer avec des dispositifs client câblés et sans fil de l'environnement de gestion de réseau 200.
Dans le mode de réalisation illustré de la figure 2, le dispositif d'authentification 204 est présenté comme étant un serveur d'authentification (par exemple, un serveur RADIUS) qui est couplé pour communiquer avec d'autres dispositifs du réseau via un connexion câblée au commutateur de réseau 202. Concernant l'exemple de configuration de la figure 2, il sera entendu que le nombre et types des dispositifs clients câblés et sans fil illustrés sont seulement des exemples, et que les systèmes et procédés décrits peuvent être mis en oeuvre avec de quelconques autres nombres et/ou types de systèmes de traitement d'information configurés d'une manière adaptée pour une communication câblée et/ou sans fil dans un environnement de gestion de réseau donné. De plus, il sera entendu que la configura- tion illustrée particulière du commutateur de réseau 202, du point d'accès sans fil 208 et du serveur d'authentification 204 est également un exemple seulement, et qu'une quelconque autre configuration adaptée de communication de réseau et des dispositifs d'authentification peut être utilisée, par exemple, un dispositif commun unique qui est configuré pour effectuer les tâches du point d'accès sans fil, du routeur de réseau et du dispositif d'authentification. Par exemple, la figure 3 illustre un diagramme simplifié d'un environnement de gestion de réseau 300 dans lequel les systèmes et procédés décrits peuvent être mis en oeuvre dans un autre exemple de mode de réalisation pour effectuer une authentification de périphérie de réseau des dispositifs de réseau. Comme représenté, l'environnement de gestion de réseau 300 inclut de nombreux exemples de dispositifs client sans fil 310, 312 et 314 qui peuvent être configurés pour communiquer les uns avec les autres via des communications sans fil par l'intermédiaire d'un dispositif d'authentification 302 qui est également configuré pour fonctionner comme un point d'accès de passerelle sans fil, par exemple un point d'accès de norme 802.IX. Comme représenté, le dispositif d'authentification 302 est couplé via une connexion câblée à un serveur d'authentification 304 (par exemple, un serveur RADIUS) à l'intérieur du réseau fédérateur 320. Le dispositif d'authentification 302 est configuré pour recevoir des demandes d'authentification à partir des dispositifs sans fil 310, 312 et 314 qui n'identifient pas le procédé d'authentification en cours d'utilisation par le dispositif client demandeur, et effectuer une authentification de périphérie de réseau en échangeant des informations avec le dispositif client demandeur afin de converger vers le procédé d'authentification correct avant de permettre au client sans fil un accès au réseau fédérateur 320. Dans le mode de réalisation illustré, le serveur d'authentification 304 est configuré pour effectuer des tâches d'authentification de réseau fédérateur (par exemple, une validation d'utilisateur, etc.) après qu'un dispositif client donné 310 ait été soumis à une authentification de périphérie de réseau et reçu une autorisation d'accès au réseau fédérateur 320 par le dispositif d'authentification 302. On a également représenté comme communiquant à l'intérieur du réseau fédérateur 320 des dispositifs clients sans fil 312 et 314 qui ont précédemment reçu l'autorisation d'accéder au réseau fédérateur 320. Bien qu'à la fois des dispositifs sans fil et câblés soient illustrés comme étant présents dans les environnements de gestion de réseau des figures 2 et 3, il sera entendu que les systèmes et procédés décrits peuvent être mis en oeuvre pour authentifier des dispositifs pour des communications de mise en réseau dans de quelconques autres types d'environnement de gestion en réseau, par exemple, dans des environnements de gestion de réseau qui incluent seulement des dispositifs sans fil, ou dans des environnements de gestion de réseau qui incluent seule-ment des dispositifs câblés. De plus, les systèmes et procédés décrits peuvent être mis en oeuvre pour authentifier des communications sur réseau dans une variété de types d'environnement de gestion de réseau, par exemple des environnements de gestion de réseau domestique, des environnements de gestion de réseau bureautique, etc.). La figure 4 est un schéma fonctionnel simplifié illustrant une communication entre un dispositif d'authentification 402 et un dispositif client 420 selon un exemple de mode de réalisation des systèmes et procédés décrits.
Bien que les dispositifs 402 et 420 soient illustrés comme communiquant sans fil sur la figure 4, il sera en-tendu que la communication entre le dispositif d'authentification 402 et 420 peut se dérouler en variante via un connexion câblée. Dans ce contexte, les capacités d'authentification du dispositif d'authentification sans fil 402 peuvent être prises pour représenter les capacités du serveur d'authentification 204 de la figure 2 ou du point d'accès de passerelle sans fil 302 de la figure 3.
Dans le mode de réalisation illustré de la figure 4, le dispositif d'authentification sans fil 402 est configuré muni d'un processeur 406 qui est couplé à une mémoire 408 et qui est configuré pour recevoir et produire des communications sur réseau via une carte d'interface réseau (NIC) sans fil couplée 404 et une antenne 414. De même, le dispositif client sans fil 420 est configuré muni d'un processeur 424 qui est couplé à une mémoire 426 et qui est configuré pour recevoir et produire des communications sur réseau via une carte d'interface réseau (NIC) sans fil couplée 422 et une antenne 428. Les mémoires 408 et 426 peuvent être de quelconques dispositifs mémoire adaptés (par exemple, une mémoire à semi-conducteurs, un disque dur, etc.) ou une combinaison de dispositifs mémoire adaptés pour mémoriser les informations nécessaires ou voulues pour accomplir les fonctionnalités des systèmes et procédés décrits tels que décrits davantage ici. De manière similaire, les processeurs 424 peuvent être de quelconques dispositifs de traitement (par exemple, un microprocesseur, un microcontrôleur, etc.) adapté pour récupérer et mémoriser des informations sur des dispositifs mémoire associés, et pour exécuter des algorithmes ou routines nécessaires ou voulus pour accomplir les fonctionnalités des systèmes et procédés décrits, comme décrit davantage ici. Les cartes NIC 404 et 428 peuvent être une quelconque carte d'interface réseau ou compo- sants d'adaptateur réseau adaptés pour permettre une communication sur réseau sans fil entre le dispositif d'authentification sans fil 402 et le dispositif client sans fil 420 via les antennes 414 et 428, étant entendu qu'un mode de réalisation de réseau sans fil peut être mis en oeuvre en utilisant des composants NIC adaptés pour une communication sur réseau câblée entre un dispositif d'authentification câblé et un dispositif client câblé. Dans ce mode de réalisation, le processeur 424 et la mé- moire 426 du dispositif client sans fil 420 sont configurés pour exécuter au moins un procédé d'authentification sans fil (par exemple le mode et/ou algorithme de sécurité) afin de produire des informations d'authentification qui sont communiquées au dispositif d'authentification 402 via la carte NIC 428. Le dispositif d'authentification sans fil 402 est configuré pour traiter les informations d'authentification reçues depuis le dispositif de communication sans fil 420 via l'antenne 414 et la carte NIC 404 en utilisant deux ou plus de deux procédés d'au- thentification sans fil différents (par exemple, modes et/ou algorithmes de sécurité) s'exécutant sur le processeur 406. En faisant encore référence à la figure 4, le dispositif d'authentification sans fil 402 est capable de supporter une pluralité de procédés d'authentification sans fil 416, par exemple, correspondant à différents types et/ou gammes de dispositifs clients, différentes politiques de réseau (par exemple, niveau de sécurité ou politique de groupe de travail) pour des dispositifs clients sans fil et/ou utilisateurs différents, etc. Ces multiples procédés de sécurité sans fil 416 peuvent être mémorisés dans la mémoire 408 du dispositif d'authentification sans fil 402, et sélectionnés et utilisés lorsque nécessaire pour authentifier différents dispositifs clients sans fil et/ou utilisateurs sur une base dynamique lorsque néces- saire. Le tableau 1 est un exemple d'une liste de procédés d'authentification sans fil 416 qui peuvent être mémorisés dans la mémoire 408 du dispositif d'authentification sans fil 402 et n'est pas destiné à être exhaustif, étant entendu que le nombre de procédés d'authentification sans fil mémorisés 416 peut être plus grand ou plus petit ; et/ou que différents types de procédés d'authentification sans fil peuvent également être mémorisés dans la mémoire 408.
Tableau 1 - Procédés d'Authentification Type Algorithme Protocole Procédé de Mode d'au- Identifi- de d'authentifica- de création cryptage thentifica- cation sécurité tion de réseau de passe- de tion de ré-d'entrée relie données seau de cache Aucun Ouvert N/A Sécurité N/A 1 Equiva- lente câ- blée (WEP) Aucun 2 De base Partagé N/A WEP N/A 3 Aucun 4 Clé pré-partagée N/A WEP N/A 5 pour accès Protégé pour Wi- Fi (WPA-PSK) Protocole d'intégri- té de clé temporaire (TKIP) 6 Norme de Cryptage Evoluée (AES) 7 Evolué Algorithme de N/A WEP 802.1x 8 cryptographie 5 Protocole 9 (MD5) d'Intégri- té par clé Cisco (CKIP) Protocole d'Au- N/A WEP 802.1x, 10 thentification Gestion de Extensible à pon- Clé Centra-dération (LEAP) lisée de Cisco (CCKM) CKIP 802.1x, Ex- 11 tension Compatible Cisco (CCX), CCKM TKIP Accès Pro- 12 tégé pour Wi-fi (WPA) CCKM Sécurité de Cou- N/A WEP 802.1x 13 che Transport CKIP 802.1x 14 (TLS) TKIP WPA 15 AES WPA 16 Protocole d'Au- Carte Jeton WEP 802.1x 17 thentification Générique CKIP 802.1x 18 Extensible Proté- (GTC), TLS, TKIP WPA 19 gé (PEAP) Protocole AES WPA 20 d'Authenti- fication par dé- fi-réponse de Micro- soft ( MS- CHAP) v2 Sécurité de Cou- Protocole WEP 802.1x 21 che Transport de d'Authenti- CKIP 802.1x 22 Création de Pas- fication de TKIP WPA 23 serelle (TTLS) Mot de AES WPA 24 passe (PAP), Pro- tocole d'Authenti- fication d'accueil par dé- fi-réponse (CHAP), MD5, MS- CHAP, MS- CHAP v2 Comme représenté dans le tableau 1, chaque procédé d'authentification sans fil de cet exemple de mode de réalisation d'authentification sans fil peut être sélectionné de manière à correspondre à une combinaison particulière de caractéristiques d'authentification, c'est-à-dire le type de sécurité de réseau étendu (WLAN) sans fil (par exemple, aucun, de base ou évolué), un algorithme d'authentification de réseau, un protocole de création de passerelle, un procédé de cryptage de données et un mode d'authentification de réseau. Toutefois, il sera entendu que dans d'autres modes de réalisation, un procédé d'authentification câblé ou sans fil individuel peut correspondre à une quelconque autre caractéristique d'authenti- fication ou combinaisonde caractéristiques d'authentification comme ceci peut être adapté pour être utilisé dans la mise en oeuvre d'une ou plusieurs fonctionnalités des systèmes et procédés décrits dans un environnement de gestion de réseau sans fil donné. Dans un exemple de mode de réalisation, les informations contenues dans le tableau 1 peuvent être mémorisées sous la forme d'un tableau de consultation de procédés d'authentification dans la mémoire 408 du dispositif d'authentification sans fil 402. Dans un tel cas, un identificateur (ID) d'entrée de cache peut être utilisé pour identifier chaque combinai-son de caractéristiques d'authentification supportée par le dispositif d'authentification sans fil 402. Comme représenté sur la figure 4, la mémoire 408 du dis- positif d'authentification sans fil 402 peut également inclure un cache d'authentification 412 pour maintenir des informations concernant l'identité du ou des procédés d'authentification utilisés par le dispositif client sans fil 420 et d'autres dispositifs clients sans fil 420 (lorsque présents), par exemple, une liste de tous les procédés d'authentification précédemment utilisés par chaque dispositif client sans fil 420, le procédé d'authentification utilisé en dernier par chaque dispositif client sans fil 420, une liste de tous les procédés d'au- thentification supportés par chaque dispositif client sans fil 420, etc. La mémoire 408 peut également inclure un compteur facultatif 410 pour suivre la fréquence d'utilisation ou le nombre d'utilisations cumulées pour chaque procédé d'authentification sans fil (par exemple, algorithme et mode) utilisé par chaque dispositif client sans fil 420. Le tableau 2 représente un exemple de mode de réalisation d'un tableau de suivi des procédés d'identification tel qu'il peut être maintenu par le compteur facultatif 410 (lorsque présent) d'un dispositif d'authentification sans fil 402 pour de multiples dispositifs clients sans fil 420. Comme représenté dans le tableau 2, un compteur d'utilisations (par exemple, depuis la dernière amorce du système) peut être maintenu pour chaque dispositif client sans fil 420 (par exemple, un client A, un client B, etc.) pour chaque procédé d'authentification sans fil utilisé par le dispositif client sans fil donné 420. Dans le mode de réalisation illustré, des estampilles temporelles peuvent également être maintenues pour la dernière date et la dernière heure d'utilisation de chaque procédé d'authentification utilisé par chaque dispositif client sans fil 420, bien que cela ne soit pas nécessaire. Comme représenté, le tableau 2 inclut un identificateur (ID) d'entrée de cache qui correspond aux identificateurs d'entrée de cache du tableau 1 pour permettre l'identification de chaque procédé d'authentification sans fil inclus dans le tableau 2.
Tableau 2 - Suivi des Procédés d'Authentification Identifica- Client A Client B teur d'en- trée de ca- che Compteur Dernière Der- Compteur Dernière Dernier d'utili- estam- nière d'utili- estampille estam- sations pille de estam- sations de date pille depuis date uti- pille depuis utilisée d'heure dernière lisée d'heure dernière utilisée amorce utili-amorce sée 1 1 2/14/2003 13:15 0 2 2 3/1/2004 8:00 0 3 0 0 4 0 2 6/12/2003 16:15 5 0 3 5/12/2003 15:30 Le tableau 3 représente un tableau d'informations sur le cache concernant des procédés d'authentification tel qu'il peut être maintenu dans une mémoire cache 412 du 20 dispositif d'authentification sans fil 402 selon un exemple de modes de réalisation des systèmes et procédés décrits. Comme représenté, le tableau 3 inclut un identifi-15 cateur respectif A à z (par exemple, l'adresse de Contrôle d'Accès Au Support (MAC) ou un autre identificateur adapté correspondant à chacun des dispositifs clients sans fil A à z qui ont été précédemment authenti- fiés (ou qui peuvent tenter une authentification) par le dispositif d'authentification sans fil 402. Dans cet exemple de mode de réalisation, la structure de cache de mode d'authentification du tableau 3 inclut l'identificateur d'entrée de cache pour le dernier procédé d'authen- tification utilisé (LU) pour chaque dispositif client sans fil A à Z, ainsi que l'identificateur d'entrée de cache pour le procédé d'authentification le plus utilisé (MU) pour chaque dispositif client sans fil A à Z. Adresse MAC de Identificateur Identificateur client d'entrée de cache d'entrée de cache (LU) (MU) A 2 2 B 5 4 Z 6 2 La figure 5 est un ordinogramme illustrant une méthodologie d'authentification 500 telle qu'elle serait mise en oeuvre selon un exemple de mode de réalisation des systèmes et procédés décrits, par exemple comme partie d'établissement de liaison entre un dispositif client sans fil et un dispositif d'authentification sans fil. La méthodologie 500 peut être mise en oeuvre, par exemple, par un serveur d'authentification 204 pour identifier un dispo- 15 Tableau 3 - Cache des Procédés d'Authentification 5 10 sitif client câblé 206 et/ou dispositifs clients sans fil 210 et 212 de la figure 2. Toutefois, il sera entendu qu'une méthodologie similaire peut être mise en oeuvre par d'autres types de dispositifs d'authentification en utilisant une communication sans fil et/ou câblée, par exemple, par un point d'accès de passerelle sans fil 302 de la figure 3 à des fins d'authentification de périphérie de réseau. Comme représenté, la méthodologie d'authentification corn- mence dans l'étape 502 où un serveur d'authentification en attente reçoit une demande d'authentification depuis un client donné. La demande d'authentification n'identifie pas le procédé d'authentification utilisé par le client donné. En réponse à la demande d'authentification, le serveur d'authentification accède aux informations de cache de procédés d'authentification (par exemple, le tableau 3 contenu dans le cache d'authentification 412 de la figure 4) dans l'étape 504 et consulte l'identificateur (ID) de cache utilisé en dernier (LU) correspondant au dernier procédé d'authentification utilisé pour l'adresse MAC du client donné qui a demandé l'authentification accède à des informations de procédés d'authentification (le tableau 1 maintenu dans les informations de procédés d'authentification 416 de la figure 4) et consulte le dernier procédé d'authentification utilisé correspondant à l'identificateur d'entrée de cache LU obtenu dans l'étape 504. Dans l'étape 508, le serveur d'authentification envoie une demande d'identité au client donné qui contient le dernier procédé d'authentification utilisé obtenu dans l'étape 506. En faisant encore référence à la figure 5, le dispositif client demandeur reçoit la demande d'identité envoyée dans l'étape 506 par le serveur d'authentification et dé-termine dans l'étape 510 si le dernier procédé d'authen- tification utilisé contenu dans la demande d'identité coïncide avec la configuration du procédé d'authentification de client courante. Si le dernier procédé d'authentification utilisé contenu dans la demande d'identité coïncide avec la configuration de procédé d'authentifica- tion de client courante, alors le dispositif client ré-pond au serveur d'authentification dans l'étape 512 par une réponse d'identité positive, et le serveur d'authentification à son tour sélectionne le procédé d'authentification (par exemple, le mode et l'algorithme d'authen- tification) à partir de la mémoire de procédés d'authentification 416 et authentifie le dispositif client demandeur donné. Dans l'étape 514, le serveur d'authentification met à jour l'identificateur d'entrée de cache utilisé en der- nier (LU) des informations de cache de procédés d'authentification (par exemple, le tableau 3 contenu dans la mémoire cache 412 de la figure 4) par l'identificateur d'entrée de cache correspondant à l'identité du procédé d'authentification utilisé dans l'étape 512 pour le client donné. Dans l'étape 514, le serveur d'authentification met également à jour le compteur d'utilisations cumulées (qui reflète le nombre cumulé d'utilisation) et des estampilles temporelles contenues dans les informations de suivi de procédés d'authentification (par exem- pie, le tableau 2 contenu dans le compteur 410 de la figure 4) qui correspondent au procédé d'authentification utilisé dans l'étape 512 pour le client donné. Dans l'étape 516, le serveur d'authentification met à jour l'identificateur d'entrée de cache le plus utilisé (MU) des informations de cache de procédés d'authentification (par exemple, le tableau 3 contenu dans la mémoire cache 412 de la figure 4) par l'identificateur d'entrée de cache correspondant au procédé d'authentification le plus utilisé après l'exécution de l'étape 512 pour le client donné. A ce stade, la méthodologie 500 se termine et le serveur d'authentification attend que la demande d'authentification suivante soit reçue depuis un dispositif client dans l'étape 502, moment auquel la méthodologie 500 recommence à nouveau à traiter la demande d'authenti- fication suivante. En revenant à l'étape 510 de la figure 5, si le dernier procédé d'authentification utilisé contenu dans la de-mande d'identité ne coïncide pas avec la configuration de procédé d'authentification de client courante, alors le dispositif client répond par une réponse d'identité négative qui est reçue par le serveur d'authentification dans l'étape 518. A réception d'une réponse d'identité négative dans l'étape 518, le serveur d'authentification accède aux informations de cache de procédés d'authentifi- cation (par exemple, le tableau 3 contenu dans le cache d'authentification 412 de la figure 4) dans l'étape 520 et consulte l'identificateur (ID) d'entrée de cache le plus utilisé (MU) correspondant au procédé d'authentification le plus utilisé pour l'adresse MAC du client donné qui a demandé une authentification. Dans l'étape 522, le serveur d'authentification accède aux informations de procédés d'authentification (par exemple, le tableau 1 maintenu dans les informations de procédés d'authentification 416 de la figure 4) et consulte le procédé d'au- thentification le plus utilisé correspondant à l'identificateur d'entrée de cache le plus utilisé (MU) obtenu dans l'étape 520. Dans l'étape 524, le serveur d'authentification envoie une demande d'identité au client donné qui contient le procédé d'authentification le plus utili- sé obtenu dans l'étape 522. En faisant encore référence à la figure 5, le dispositif client demandeur reçoit la demande d'identité envoyée dans l'étape 524 par le serveur d'authentification et dé-termine dans l'étape 526 si le procédé d'authentification le plus utilisé contenu dans la demande d'identité coïn- cide avec la configuration de procédé d'authentification de client courante. Si le procédé d'authentification le, plus utilisé contenu dans la demande d'identité correspond à la configuration de procédé d'authentification de client courante, alors le dispositif client répond au serveur d'authentification dans l'étape 512 par une réponse d'identité positive, et exécute les étapes 514 et 516 d'une manière identique à celle précédemment décrite. Cependant, si dans l'étape 526, le procédé d'authentifi- cation le plus utilisé contenu dans la demande d'identité envoyée dans l'étape 524 par le serveur d'authentification ne correspond pas à la configuration courante de procédé d'authentification de client, alors le dispositif client répond par une réponse d'identité négative dans l'étape 528. A la réception d'une réponse d'identité négative envoyée dans l'étape 528, le serveur d'authentification passe dans l'étape 530 à un traitement séquentiel de sélection de procédés d'authentification individuels et d'envoi de demandes d'identité pour ces procédés d'authentification sélectionnés une à la fois jusqu'à ce que le dispositif client réponde au serveur d'authentification par une réponse d'identité positive (non représenté sur la figure 5). A la réception d'une telle réponse d'identité posi- tive depuis le dispositif client, le serveur d'authentification à son tour sélectionne le procédé d'authentification (par exemple, le mode et l'algorithme d'authentification) à partir de la mémoire de procédés d'authentification 416 et authentifie le dispositif client deman- Beur donné. A ce moment, un identificateur (ID) d'entrée de cache utilisé en dernier (LU), un identificateur (ID) d'entrée de cache le plus utilisé (MU) et un compteur d'utilisations et des estampilles temporelles peuvent être mis à jour d'une manière similaire à celle décrite en relation aux étapes 514 et 516. A ce stade, le serveur d'authentification attend que la demande d'authentification suivante soit reçue depuis un dispositif client dans l'étape 502, moment auquel la méthodologie 500 recommence à nouveau à traiter la demande d'authentification sui- vante. Il sera entendu que la méthodologie 500 de la figure 5 est seulement un exemple, et que les systèmes et procédés décrits peuvent être mis en oeuvre dans d'autres modes de réalisation par plus ou moins d'étapes que celles inclu- ses dans la méthodologie 500, et/ou en utilisant une autre séquence d'étapes. Par exemple, il est possible de mettre en oeuvre une méthodologie d'authentification similaire à la méthodologie 500 qui utilise une ou plu-sieurs quelconques caractéristiques de procédés d'authen- tification appropriés pour sélectionner un procédé d'authentification afin de communiquer avec un dispositif client donné, par exemple en utilisant seulement des in-formations d'authentification utilisée en dernier (LU), en utilisant seulement des informations d'authentifica- tion les plus utilisées (MU), et qui utilise les informations d'authentification les plus utilisées (MU) pour sélectionner un éventuel procédé d'authentification avant d'utiliser les dernières informations d'authentification utilisées (LU). De plus, il sera entendu qu'il n'est pas nécessaire de procéder à un traitement de sélection de procédés d'authentification séquentiel comme décrit par rapport à l'étape 530, et/ou qu'une ou plusieurs caractéristiques de procédés d'authentification peuvent être utilisées dans la sélection d'un procédé d'authentifica- tion pour communiquer avec un dispositif client donné, par exemple en utilisant des informations d'authentification qui suivent les dernières utilisées, la sélection des informations d'authentification après les plus utilisées, etc.
Il sera attendu que la méthodologie 500 peut être configurée de manière à utiliser un quelconque procédé de détermination de procédé d'authentification approprié lors-que la mémoire cache (par exemple, le cache d'authentifi- cation 412 de la figure 4) ne contient pas de précédentes informations d'authentification pour un dispositif client donné (par exemple, tel que la première fois qu'un client donné demandant une authentification). Par exemple, si aucune information d'identificateur (ID) d'entrée de ca- che n'est trouvée dans les étapes 504 et/ou 520 pour un dispositif client donné, la méthodologie 500 peut sauter à l'étape 530 pour la sélection, pour la première fois, du procédé d'authentification pour le dispositif client donné. Après qu'un procédé d'authentification ait été utilisé pour authentifier un client sans fil donné pour la première fois, l'identificateur d'entrée de cache le plus utilisé (LU), l'identificateur d'entrée de cache le plus utilisé (MU) et le compteur d'utilisations et les estampilles temporelles peuvent être mises à jour d'une manière similaire à celle décrite en relation aux étapes 514 et 516. Si cela est nécessaire, l'adresse MAC du dis-positif client peut être ajoutée à la mémoire si elle n'était pas précédemment présente. La figure 6 illustre un schéma de convergence d'identité 802.1X et EAP selon un exemple de mode de réalisation des systèmes et procédés décrits tel qu'il peut être mis en oeuvre entre un dispositif client donné et un dispositif de point d'accès de passerelle sans fil après l'association du dispositif client avec le point d'accès. Dans ce mode de réalisation, le point d'accès de passerelle sans fil a mis en cache de précédentes informations de procédés d'authentification destinées à être utilisées dans un échange EAP futur. Comme représenté sur la figure 6, le dispositif de point d'accès commence en sélectionnant un procédé d'authentification EAP sur la base d'une ou de plusieurs caractéristiques du ou des procédés d'authentification précédemment utilisés par le dispositif client donné (par exemple, en utilisant une méthodologie similaire à celle illustrée et décrite en relation à la fi- gure 5) et en transmettant ensuite une Demande d'Identité EAP contenant le procédé d'authentification EAP sélectionné (TYPE). Le client sans fil répond à cette première Demande d'Identité EAP par une Réponse d'Identité EAP qui contient un accusé de réception positif (TYPE) du procédé d'authentification EAP correct utilisé par le client. Par conséquent, dans l'exemple du mode de réalisation de la figure 6, la convergence vers le procédé d'authentification correct nécessite avantageusement qu'un seul essai, c'est-à-dire représenté par une seule paire de de- mande/réponse EAP. Il s'agit d'une comparaison aux multiples essais (et multiples paires de demande/réponse EAP correspondantes) requis typiquement par la méthodologie classique de la figure 1 pour obtenir une convergence vers le procédé d'authentification correct. Bien qu'il sera entendu que dans certains cas, il est possible que cela nécessitera plusieurs essais (c'est-à-dire plusieurs paires de demande/réponse EAP) pour obtenir une convergence vers le procédé d'authentification correct lors de l'utilisation de la méthodologie des systèmes et procédés décrits, ceci nécessitera typiquement moins d'essais (et moins de temps de traitement) pour obtenir une convergence avec la méthodologie des systèmes et procédés décrits que lors de l'utilisation de la méthodologie classique telle qu'illustrée et décrite en relation à la fi- gure 1. Dans le but de cette description, un système de traite-ment d'information peut inclure un quelconque dispositif ou ensemble de dispositifs opérationnels pour calculer, classer, traiter, transmettre, recevoir, récupérer, émet- tre, commuter, mémoriser, afficher, manifester, détecter, enregistrer, reproduire, gérer, ou utiliser toute forme d'informations, d'intelligence ou de données à des fins commerciales, scientifiques, de commande, de divertisse-ment ou autre. Par exemple, un système de traitement d'information peut être un ordinateur individuel, un assistant numérique personnel (PDA), un dispositif électronique grand public, un dispositif de mémorisation de ré-seau, ou tout autre dispositif adapté et peut varier en taille, forme, performance, fonctionnalité, et prix. Le système de traitement d'informations peut inclure une mémoire, une ou plusieurs ressources de traitement telles qu'une unité centrale de traitement (CPU) ou une logique de commande de matériel ou logiciel. Des composants supplémentaires du système de traitement d'informations peu-vent inclure un ou plusieurs dispositifs de mémorisation, un ou plusieurs ports de communication pour communiquer avec des dispositifs externes ainsi que divers périphériques d'entrée et sortie (E/S), tels qu'un clavier, une souris et un afficheur vidéo. Le système de traitement d'informations peut également inclure un ou plusieurs bus opérationnels pour transmettre des communications entre les divers composants matériels.
Claims (14)
1. Un procédé pour communiquer avec un système de traite-ment d'informations, le procédé étant caractérisé en ce qu'il comporte les étapes consistant à : a) sélectionner un procédé d'authentification de réseau (416) sur la base d'une ou plusieurs caractéristiques d'au moins un procédé d'authentification précédemment utilisé pour authentifier le système de traitement d'informations pour des communications sur réseau ; b) communiquer l'identité du procédé d'authentification de réseau sélectionné au système de traitement d'in-formations ; et c) sélectionner séquentiellement des procédés d'authenti- fication et envoyer des demandes d'identité pour les procédés d'authentification sélectionnés, un à la fois, sur réception d'une indication en provenance du système de traitement d'informations de ce que le pro-cédé d'authentification utilisé en dernier lieu pour authentifier le système de traitement d'informations et le procédé d'authentification utilisé le plus sou-vent pour authentifier le système de traitement d'in-formations ne correspondent pas à la configuration de procédé d'authentification actuellement utilisée par le système de traitement d'informations.
2. Le procédé de la revendication 1, comprenant en outre le saut des étapes a) et b) si aucune caractéristique des procédés d'authentification précédemment utilisés n'est disponible.
3. Le procédé de la revendication 1 ou 2, dans lequel le procédé comprend en outre la communication de ladite identité du procédé d'authentification de réseau sélec-tionné au système de traitement d'informations par une communication sans fil.
4. Le procédé de la revendication 3, caractérisé en ce que le procédé d'authentification de réseau comporte un Protocole d'Authentification Extensible EAP.
5. Le procédé de l'une quelconque des revendications précédentes, comprenant en outre l'authentification du sys- tème de traitement d'informations pour des communications sur réseau si le procédé d'authentification de réseau sélectionné correspond au procédé d'authentification actuellement utilisé par le système de traitement d'informations.
6. Le procédé de l'une quelconque des revendications précédentes exécuté dans un dispositif d'authentification de réseau, dans lequel les étapes a) et b) sont exécutées sur réception d'une demande d'authentification dans le dispositif d'authentification de réseau par une communication sans fil ou filaire en provenance du système de traitement d'informations.
7. Le procédé de la revendication 6, dans lequel le sys- tème de traitement d'informations comprend un système sans fil de traitement d'informations, et dans lequel le dispositif d'authentification de réseau comprend un dis-positif d'authentification de réseau sans fil.
8. Le procédé de la revendication 7, dans lequel le dis-positif d'authentification de réseau comprend un point d'accès à passerelle sans fil configuré pour exécuter une authentification de périphérie de réseau.
9. Le procédé de la revendication 6, 7 ou 8, dans lequel le dispositif d'authentification de réseau comprend un serveur d'authentification configuré pour exécuter une authentification de coeur de réseau.
10. Un système de traitement d'informations, caractérisé en ce qu'il est configuré pour : a) sélectionner un procédé d'authentification de réseau (416) sur la base d'une ou plusieurs caractéristiques d'au moins un procédé d'authentification précédemment utilisé pour authentifier un système de traitement d'informations client pour des communications sur ré-seau ; b) communiquer l'identité du procédé d'authentification 15 de réseau sélectionné au système de traitement d'in-formations client ; et c) sélectionner séquentiellement des procédés d'authentification et envoyer des demandes d'identité pour les procédés d'authentification sélectionnés, un à la 20 fois, sur réception d'une indication en provenance du système de traitement d'informations client de ce que le procédé d'authentification utilisé en dernier lieu pour authentifier le système de traitement d'informations et le procédé d'authentification utilisé le plus 25 souvent pour authentifier le système de traitement d'informations ne correspondent pas à la configuration de procédé d'authentification actuellement utilisée par le système de traitement d'informations client. 30
11. Le système de traitement d'informations de la revendication 10, dans lequel le dispositif client comprend un dispositif client sans fil, et dans lequel le dispositif d'authentification de réseau comprend un dispositif d'authentification de réseau sans fil. 35
12. Le système de traitement d'informations de la revendication 10 ou 11, dans lequel le système de traitement d'informations est en outre configuré en point d'accès à passerelle sans fil configuré pour exécuter une authenti- fication de périphérie de réseau.
13. Le système de traitement d'informations de la revendication 10 ou 11, dans lequel le système de traitement d'informations est en outre configuré pour exécuter une authentification de cœur de réseau.
14. Le système de traitement d'informations de la revendication 10, 11 ou 12, dans lequel en outre les étapes a) et b) sont sautées si aucune caractéristique des procédés d'authentification précédemment utilisés n'est disponible.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/088,214 US20060218393A1 (en) | 2005-03-23 | 2005-03-23 | Systems and methods for adaptive authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR2915045A1 true FR2915045A1 (fr) | 2008-10-17 |
Family
ID=36383976
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0602515A Active FR2887720B1 (fr) | 2005-03-23 | 2006-03-23 | Systemes et procedes d'authentification adaptative |
| FR0803252A Withdrawn FR2915045A1 (fr) | 2005-03-23 | 2008-06-11 | Systemes et procedes d'authentification adaptative. |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0602515A Active FR2887720B1 (fr) | 2005-03-23 | 2006-03-23 | Systemes et procedes d'authentification adaptative |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US20060218393A1 (fr) |
| JP (1) | JP2006268855A (fr) |
| CN (1) | CN1838594B (fr) |
| AU (1) | AU2006201199B2 (fr) |
| DE (1) | DE102006012646B4 (fr) |
| FR (2) | FR2887720B1 (fr) |
| GB (1) | GB2424559B (fr) |
| HK (1) | HK1100149A1 (fr) |
| IT (1) | ITTO20060215A1 (fr) |
| MY (1) | MY139907A (fr) |
| SG (2) | SG146667A1 (fr) |
| TW (1) | TWI407747B (fr) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9191215B2 (en) | 2003-12-30 | 2015-11-17 | Entrust, Inc. | Method and apparatus for providing authentication using policy-controlled authentication articles and techniques |
| US8230486B2 (en) * | 2003-12-30 | 2012-07-24 | Entrust, Inc. | Method and apparatus for providing mutual authentication between a sending unit and a recipient |
| US8966579B2 (en) * | 2003-12-30 | 2015-02-24 | Entrust, Inc. | Method and apparatus for providing authentication between a sending unit and a recipient based on challenge usage data |
| US8060915B2 (en) * | 2003-12-30 | 2011-11-15 | Entrust, Inc. | Method and apparatus for providing electronic message authentication |
| US9281945B2 (en) * | 2003-12-30 | 2016-03-08 | Entrust, Inc. | Offline methods for authentication in a client/server authentication system |
| US8676922B1 (en) | 2004-06-30 | 2014-03-18 | Google Inc. | Automatic proxy setting modification |
| US8126145B1 (en) * | 2005-05-04 | 2012-02-28 | Marvell International Ltd. | Enhanced association for access points |
| WO2007007690A1 (fr) * | 2005-07-07 | 2007-01-18 | Kabushiki Kaisha Toshiba | Système d’authentification, dispositif et programme |
| WO2007027958A1 (fr) * | 2005-08-29 | 2007-03-08 | Junaid Islam | Architecture pour des applications ipv6 mobile sur ipv4 |
| ATE451768T1 (de) * | 2005-09-28 | 2009-12-15 | Nortel Networks Ltd | Authentifizierungsverfahren und dazugehörige vorrichtungen |
| US7966489B2 (en) * | 2006-08-01 | 2011-06-21 | Cisco Technology, Inc. | Method and apparatus for selecting an appropriate authentication method on a client |
| US8812651B1 (en) * | 2007-02-15 | 2014-08-19 | Google Inc. | Systems and methods for client cache awareness |
| JP5018559B2 (ja) * | 2008-03-03 | 2012-09-05 | 富士電機リテイルシステムズ株式会社 | 記録媒体処理装置 |
| GB2459434A (en) * | 2008-03-31 | 2009-10-28 | Vodafone Plc | Configuration of access points in a telecommunications network |
| TWI380169B (en) * | 2008-10-03 | 2012-12-21 | Wistron Corp | A method for storing a time of boot |
| US20100146262A1 (en) * | 2008-12-04 | 2010-06-10 | Shenzhen Huawei Communication Technologies Co., Ltd. | Method, device and system for negotiating authentication mode |
| US8756661B2 (en) * | 2009-08-24 | 2014-06-17 | Ufp Identity, Inc. | Dynamic user authentication for access to online services |
| US8666403B2 (en) * | 2009-10-23 | 2014-03-04 | Nokia Solutions And Networks Oy | Systems, methods, and apparatuses for facilitating device-to-device connection establishment |
| US10693874B2 (en) | 2013-04-19 | 2020-06-23 | Pearson Education, Inc. | Authentication integrity protection |
| US10235511B2 (en) | 2013-04-19 | 2019-03-19 | Pearson Education, Inc. | Authentication integrity protection |
| US9307405B2 (en) | 2013-10-17 | 2016-04-05 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| US10069811B2 (en) | 2013-10-17 | 2018-09-04 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US9203823B2 (en) | 2013-10-30 | 2015-12-01 | At&T Intellectual Property I, L.P. | Methods and systems for selectively obtaining end user authentication before delivering communications |
| GB2530028B8 (en) * | 2014-09-08 | 2021-08-04 | Advanced Risc Mach Ltd | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| EP3335394B1 (fr) * | 2015-08-13 | 2020-12-09 | Telefonaktiebolaget LM Ericsson (publ) | Procédé et appareil pour un protocole d'authentification extensible |
| US11822637B2 (en) * | 2018-10-18 | 2023-11-21 | Oracle International Corporation | Adaptive authentication in spreadsheet interface integrated with web service |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6842860B1 (en) * | 1999-07-23 | 2005-01-11 | Networks Associates Technology, Inc. | System and method for selectively authenticating data |
| CN1182479C (zh) * | 2000-01-07 | 2004-12-29 | 国际商业机器公司 | 有效地收集、整理和访问证书吊销表的系统和方法 |
| US6795701B1 (en) * | 2002-05-31 | 2004-09-21 | Transat Technologies, Inc. | Adaptable radio link for wireless communication networks |
| US20030017826A1 (en) * | 2001-07-17 | 2003-01-23 | Dan Fishman | Short-range wireless architecture |
| JP3983035B2 (ja) * | 2001-11-19 | 2007-09-26 | 富士通株式会社 | ユーザ端末認証プログラム |
| US20030115142A1 (en) * | 2001-12-12 | 2003-06-19 | Intel Corporation | Identity authentication portfolio system |
| US7448068B2 (en) * | 2002-10-21 | 2008-11-04 | Microsoft Corporation | Automatic client authentication for a wireless network protected by PEAP, EAP-TLS, or other extensible authentication protocols |
| DE60206634T2 (de) | 2002-10-22 | 2006-06-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Verfahren und System zur Authentifizierung von Benutzern in einem Telekommunikationssystem |
| KR100548354B1 (ko) * | 2003-06-14 | 2006-02-02 | 엘지전자 주식회사 | 동기화 프로토콜에서의 사용자 인증 방법 |
| JP3642336B2 (ja) * | 2003-07-01 | 2005-04-27 | 松下電器産業株式会社 | 目画像撮像装置 |
| US7461248B2 (en) * | 2004-01-23 | 2008-12-02 | Nokia Corporation | Authentication and authorization in heterogeneous networks |
| US8413213B2 (en) * | 2004-12-28 | 2013-04-02 | Intel Corporation | System, method and device for secure wireless communication |
-
2005
- 2005-03-23 US US11/088,214 patent/US20060218393A1/en not_active Abandoned
-
2006
- 2006-03-20 DE DE102006012646.7A patent/DE102006012646B4/de active Active
- 2006-03-21 SG SG200806962-7A patent/SG146667A1/en unknown
- 2006-03-21 SG SG200601741A patent/SG126085A1/en unknown
- 2006-03-22 AU AU2006201199A patent/AU2006201199B2/en active Active
- 2006-03-22 TW TW095109848A patent/TWI407747B/zh active
- 2006-03-22 IT IT000215A patent/ITTO20060215A1/it unknown
- 2006-03-22 JP JP2006078785A patent/JP2006268855A/ja active Pending
- 2006-03-22 GB GB0605759A patent/GB2424559B/en active Active
- 2006-03-22 MY MYPI20061252A patent/MY139907A/en unknown
- 2006-03-23 FR FR0602515A patent/FR2887720B1/fr active Active
- 2006-03-23 CN CN200610065819.1A patent/CN1838594B/zh active Active
-
2007
- 2007-03-09 HK HK07102637.8A patent/HK1100149A1/xx unknown
-
2008
- 2008-06-11 FR FR0803252A patent/FR2915045A1/fr not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| CN1838594B (zh) | 2014-08-06 |
| AU2006201199B2 (en) | 2009-01-08 |
| ITTO20060215A1 (it) | 2006-09-24 |
| TW200704093A (en) | 2007-01-16 |
| CN1838594A (zh) | 2006-09-27 |
| GB2424559A (en) | 2006-09-27 |
| HK1100149A1 (en) | 2007-09-07 |
| IE20060220A1 (en) | 2006-10-04 |
| MY139907A (en) | 2009-11-30 |
| GB2424559B (en) | 2007-07-18 |
| TWI407747B (zh) | 2013-09-01 |
| FR2887720A1 (fr) | 2006-12-29 |
| DE102006012646B4 (de) | 2018-03-01 |
| US20060218393A1 (en) | 2006-09-28 |
| IE20080305A1 (en) | 2008-06-11 |
| FR2887720B1 (fr) | 2009-04-10 |
| AU2006201199A1 (en) | 2006-10-12 |
| GB0605759D0 (en) | 2006-05-03 |
| SG126085A1 (en) | 2006-10-30 |
| JP2006268855A (ja) | 2006-10-05 |
| SG146667A1 (en) | 2008-10-30 |
| DE102006012646A1 (de) | 2006-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2915045A1 (fr) | Systemes et procedes d'authentification adaptative. | |
| US8544074B2 (en) | Federated realm discovery | |
| FR2877521A1 (fr) | Dispositif, procede, programme et support de distribution d'informations, d'initialisation, dispositif, procede, programme et support de transfert d'initialisation d'authentification et programme de reception ... | |
| US20080189543A1 (en) | Method and system for reducing a size of a security-related data object stored on a token | |
| EP2811708B1 (fr) | Système et méthode pour l'authentification d'un utilisateur | |
| EP1909462B1 (fr) | Procédé de mise à disposition cloisonnée d'un service électronique | |
| CN110365701B (zh) | 客户终端设备的管理方法、装置、计算设备及存储介质 | |
| FR2987529A1 (fr) | Procede de verification d'identite d'un utilisateur d'un terminal communiquant et systeme associe | |
| FR3048530B1 (fr) | Systeme ouvert et securise de signature electronique et procede associe | |
| EP2822285A1 (fr) | Appariement de dispositifs au travers de réseaux distincts | |
| EP1762037A2 (fr) | Procede et systeme de certification de l'identite d'un utilisateur | |
| US9378348B2 (en) | Adding biometric identification to the server security infrastructure for an enterprise service bus system | |
| EP3668047B1 (fr) | Procédé d'ouverture d'une session sécurisée sur un terminal informatique | |
| US9246908B2 (en) | Adding biometric identification to the client security infrastructure for an enterprise service bus system | |
| WO2019129941A1 (fr) | Procédé d'authentification à l'aide d'un terminal mobile utilisant une clé et un certificat stockés sur un support externe | |
| WO2019038323A1 (fr) | Procédé d'authentification d'un utilisateur auprès d'un serveur d'authentification | |
| WO2023104598A1 (fr) | Procédé de contrôle d'accès à une zone à sécuriser et procédé d'initialisation associé | |
| WO2022135952A1 (fr) | Procédé et dispositif de génération d'informations d'authentification pour une entité sécurisée et procédé et dispositif de contrôle d'identité associés | |
| EP3672193A1 (fr) | Procédé et système d'authentification d'un terminal client par un serveur cible, par triangulation via un serveur d'authentification | |
| FR3007929A1 (fr) | Procede d'authentification d'un utilisateur d'un terminal mobile | |
| FR3103072A1 (fr) | procédé de configuration d’accès à un service Internet | |
| WO2018229089A1 (fr) | Procédé de gestion d'identifiants de fidélité, procédé de traitement de données de fidélité, serveur, dispositif de transaction et programmes correspondants | |
| WO2017060624A1 (fr) | Moyens de gestion d'accès à des données | |
| WO2017006013A1 (fr) | Procédé de gestion de l'authentification d'un client dans un système informatique | |
| IE85009B1 (en) | Systems and methods for adaptive authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |
Effective date: 20121130 |