FR2924294A1 - Procede de transmission et systeme de telecommunications - Google Patents

Procede de transmission et systeme de telecommunications Download PDF

Info

Publication number
FR2924294A1
FR2924294A1 FR0759378A FR0759378A FR2924294A1 FR 2924294 A1 FR2924294 A1 FR 2924294A1 FR 0759378 A FR0759378 A FR 0759378A FR 0759378 A FR0759378 A FR 0759378A FR 2924294 A1 FR2924294 A1 FR 2924294A1
Authority
FR
France
Prior art keywords
terminal
random sequence
authentication
identifier
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0759378A
Other languages
English (en)
Inventor
Fabrice Petesch
Eric Barault
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0759378A priority Critical patent/FR2924294A1/fr
Publication of FR2924294A1 publication Critical patent/FR2924294A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Le procédé de transmission selon l'invention comporte :- une étape d'émission par un premier terminal (10) d'une requête d'appairage (RA,RA') avec un dispositif communiquant (30), ladite requête comportant un identifiant (AD) d'un dispositif externe (20) audit dispositif communiquant ;- une étape de génération d'une séquence aléatoire (S) ;- une étape de mémorisation de ladite séquence aléatoire (S) dans ledit dispositif externe (20) ;- une étape d'obtention par ledit premier terminal de ladite séquence aléatoire mémorisée dans ledit dispositif externe ;- une étape d'envoi par ledit premier terminal d'une requête d'authentification (A) auprès dudit dispositif communiquant, ladite requête d'authentification comportant ladite séquence aléatoire et un identifiant d'authentification (IDA) dudit premier terminal.

Description

La présente invention se rapporte au domaine général des télécommunications. Elle concerne plus particulièrement les mécanismes permettant à un terminal de s'appairer avec un point d'accès d'un réseau de communication afin de pouvoir communiquer de façon sécurisée sur ce réseau. L'appairage au sens de l'invention permet de lier deux équipements, par exemple un point d'accès d'un réseau et un terminal 10 d'un usager, par un lien sécurisé de sorte que ces deux équipements puissent échanger des données sans risque d'écoute ou de vol d'information par un tiers non autorisé. Ainsi, l'invention s'applique de façon privilégiée mais non limitative dans un contexte où un usager désire établir une connexion sans 15 fil sécurisée entre son terminal et un point d'accès d'un réseau de communication local. Ce point d'accès est par exemple une borne WiFi (Wireless Fidelity) (marque déposée) accessible au grand public et localisée dans un lieu public tel qu'un aéroport, un centre commercial ou un jardin. Un tel réseau, lorsqu'il n'est pas sécurisé, est particulièrement 20 vulnérable aux écoutes et aux intrusions de tiers non autorisés du fait notamment du support de transmission utilisé (ondes radio). Dans l'état actuel de la technique, il existe une solution d'appairage simple ( easy pairing en anglais), spécifiée par la HGI (Home Gateway Initiative, http://www.homegatewayinitiative.orgi), 25 permettant à un terminal d'un usager de s'appairer avec un point d'accès WiFi dans un contexte résidentiel. A cette fin, le point d'accès du réseau WiFi dispose d'un bouton d'appairage facile. Lorsque l'usager du terminal à appairer presse ce bouton, le point d'accès établit un canal WiFi sécurisé avec le terminal via 30 lequel il lui transmet de manière cryptée des données de configuration du réseau pour lui permettre de communiquer avec lui de façon sécurisée. De telles données sont par exemple un identifiant du réseau de type SSID (Service Set IDentifier), une clé WEP (Wired Equivalent Privacy) ou WPA (WiFi Protected Access), etc. Pour obtenir ces données de configuration, l'usager peut avoir à saisir sur son terminal un code PIN (Persona) Identification Number). Ce code est inscrit sur le point d'accès afin de garantir que seul un usager à proximité du point d'accès puisse accéder à ce code. Pour mettre en oeuvre cette solution, l'usager doit donc pouvoir interagir physiquement avec le point d'accès, d'une part pour appuyer sur le bouton d'appairage facile et d'autre part pour lire le code PIN pouvant figurer sur le point d'accès. Par conséquent, cette solution est limitée à un environnement résidentiel. Elle ne peut être aisément mise en oeuvre dans un environnement quelconque tel qu'un hotspot public (i.e., une zone d'accès sans fil publique) où l'usager n'a pas la possibilité d'accéder 0 physiquement au point d'accès.
Selon un premier aspect, l'invention vise un procédé de transmission comportant : ù une étape d'émission par un premier terminal d'une requête d'appairage 15 avec un dispositif communiquant, cette requête comportant un identifiant d'un dispositif externe au dispositif communiquant ; ù une étape de génération d'une séquence aléatoire ; ù une étape de mémorisation de la séquence aléatoire dans le dispositif externe ; 20 ù une étape d'obtention par le premier terminal de la séquence aléatoire mémorisée dans le dispositif externe ; et ù une étape d'envoi par le premier terminal d'une requête d'authentification auprès du dispositif communiquant, cette requête d'authentification comportant la séquence aléatoire et un identifiant 25 d'authentification du premier terminal. Corrélativement, l'invention vise également un système de télécommunications comportant : ù un premier terminal muni de moyens d'émission d'une requête d'appairage avec un dispositif communiquant, cette requête 30 comportant un identifiant d'un dispositif externe au dispositif communiquant ; ù des moyens de génération d'une séquence aléatoire ; ù des moyens de mémorisation de cette séquence aléatoire dans le dispositif externe ; ù des moyens d'obtention par le premier terminal de la séquence aléatoire mémorisée dans le dispositif externe ; û des moyens d'envoi par le premier terminal d'une requête d'authentification auprès du dispositif communiquant, cette requête d'authentification comportant la séquence aléatoire et un identifiant d'authentification du premier terminal.
Le dispositif communiquant est par exemple un point d'accès à au moins un réseau de communication. Par souci de simplification, ce réseau de communication sera appelé premier réseau dans la suite. Un tel réseau est par exemple un réseau WIFI. En pratique, l'utilisateur du premier terminal choisira un dispositif externe au dispositif communiquant à proximité du premier terminal, et donc accessible par l'utilisateur. Ainsi, l'utilisateur du premier terminal pourra aisément, après lecture de la séquence aléatoire sur le dispositif externe, saisir cette séquence dans le premier terminal via un clavier du premier terminal par exemple.
En variante, le dispositif externe pourra envoyer, dés sa réception, la séquence aléatoire au premier terminal via notamment une liaison de type infrarouge ou Bluetooth (marque déposée). L'invention permet ainsi un appairage facile entre un premier terminal et un point d'accès du premier réseau de communication sans nécessiter d'interaction physique entre l'utilisateur du premier terminal et le dispositif communiquant ou le point d'accès. Une fois le premier terminal authentifié auprès du dispositif communiquant, un canal sécurisé peut être établi de façon connue entre le premier terminal et le dispositif communiquant, de sorte que ce dernier puisse alors envoyer au premier terminal et de façon sécurisée les paramètres de configuration du premier réseau (SSID du réseau, clé WEP, etc.). Pour permettre cet appairage, une séquence aléatoire destinée à authentifier le premier terminal auprès du dispositif communiquant est générée, puis transmise au dispositif externe à l'aide de son identifiant, cet identifiant étant contenu dans la requête d'appairage. Conformément à l'invention, cette séquence aléatoire est mémorisée dans un dispositif externe au dispositif communiquant (désigné ci-après par dispositif externe ). Ce dispositif externe a été avantageusement choisi par l'utilisateur du premier terminal. Ainsi, le procédé de transmission et le système de télécommunications selon l'invention garantissent que seule une personne ayant accès à la fois au premier terminal et au dispositif externe puisse s'authentifier auprès du dispositif communiquant. Ainsi, contrairement à l'art antérieur, la séquence destinée à authentifier le premier terminal auprès du point d'accès n'est pas accessible à tout public à proximité du point d'accès. L'invention permet donc de sécuriser l'appairage du premier terminal avec le dispositif communiquant (premier niveau de sécurisation). Par ailleurs, préférentiellement, une séquence aléatoire différente est générée pour chaque nouvel appairage d'un terminal au dispositif communiquant, et ce afin de renforcer la sécurité de l'appairage au dispositif communiquant (deuxième niveau de sécurisation). La séquence aléatoire ainsi générée est par exemple une séquence sur plusieurs octets ou un code sur quatre chiffres. Dans un mode particulier de réalisation de l'invention, le dispositif externe peut être incorporé dans un deuxième terminal distinct du premier terminal. Il peut s'agir notamment d'un deuxième terminal à proprement parler. En variante, le dispositif externe peut être incorporé dans le premier terminal. Il peut s'agir par exemple d'une application de type messagerie instantanée, etc. Dans cette variante de réalisation, les moyens du premier terminal en charge d'envoyer la requête d'authentification au dispositif communiquant peuvent, pour obtenir la séquence aléatoire, accéder à la mémoire du dispositif externe (il s'agit en fait d'une mémoire du premier terminal) et lire dans cette mémoire la séquence. Dans un mode de réalisation particulier de l'invention, la séquence aléatoire générée pour authentifier le premier terminal sera obtenue par le dispositif externe via un canal de communication sécurisé avant d'être mémorisée dans le dispositif externe.
Au sens de l'invention, un canal peut être sécurisé à différents niveaux (voire à plusieurs niveaux), à savoir par exemple au niveau d'un lien physique, d'une couche logique protocolaire, etc. Ainsi, on entendra par canal sécurisé au sens de l'invention, tout chemin de communication permettant de fournir la séquence aléatoire au dispositif externe de manière sécurisée.
Ainsi, le risque de vol de la séquence aléatoire puis ultérieurement d'écoute ou de vol d'informations sur l'accès de l'utilisateur au premier réseau de communication est évité. Cette caractéristique permet donc avantageusement de renforcer la sécurité de l'appairage du premier terminal avec le dispositif communiquant (troisième niveau de sécurisation de l'appairage). En particulier, le canal de communication sécurisé pourra être un canal d'un réseau de communication sécurisé (désigné ci-après par deuxième réseau ). Au sein d'un tel réseau sécurisé, les échanges sont sécurisés notamment via la mise en oeuvre de protocoies de sécurité dédiés efficaces, utilisant par exemple des algorithmes de chiffrement ou d'authentification. L'invention utilisera ainsi de façon avantageuse une voie descendante sécurisée d'un tel réseau de communication pour envoyer au dispositif externe la séquence aléatoire destinée à authentifier le premier terminal. Ce réseau sécurisé pourra être notamment logiquement ou physiquement différent du premier réseau. Il pourra s'agir par exemple d'un réseau GSM (Global System for Mobile communications), d'un réseau UMTS (Universal Mobile Telecommunication System), ou d'un réseau WIFI/UMA (Unlicenced Mobile Access) s'appuyant sur le même réseau d'accès physique WIFI que le premier réseau. Dans un mode particulier de réalisation de l'invention, la séquence aléatoire sera reçue par le dispositif externe dans un message de type SMS (Short Message Service).
En variante un canal de communication sécurisé pourra être établi avec le dispositif externe grâce à l'utilisation d'un protocole de communication (ou une application) propriétaire. Un tel protocole utilisant des messages propriétaires est intrinsèquement sécurisé. De façon avantageuse, l'invention ne nécessite pas la mise en oeuvre de dispositifs complexes pour permettre un appairage simple et sécurisé. L'utilisation par exemple d'un serveur Radius ou d'un système de gestion de clés publiques PKI (Public Key Infrastructure) n'est pas nécessaire pour mettre en oeuvre l'invention contrairement à d'autres mécanismes d'appairage sécurisé définis notamment par la WiFi Alliance dans un contexte d'entreprise (ex. WPA PSK Enterprise). L'invention permet au contraire d'utiliser des infrastructures de télécommunications déjà existantes (sécurité de certains réseaux de communications, serveur AAA d'un opérateur, etc.). Elle a ainsi une application privilégiée mais non limitative dans un environnement de type SOHO (Small Office Home Office) mais aussi dans des lieux publics tels des aéroports ou des gares.
Dans un mode de réalisation particulier de l'invention, le procédé de transmission comporte en outre une étape de vérification d'une possession par le premier terminal de droits d'accès prédéterminés, l'exécution de l'étape de génération de la séquence aléatoire étant conditionnée par le résultat de cette étape de vérification.
Au cours de cette étape, un contrôle des droits d'accès du premier terminal au premier réseau peut notamment être effectué. En variante, on pourra vérifier au cours de cette étape que l'usager du premier terminal est bien autorisé à recevoir sur un dispositif externe au dispositif communiquant la séquence aléatoire utilisée pour l'authentification du premier terminal auprès de ce dispositif communiquant. Cette vérification pourra se faire par exemple à partir de l'identifiant du dispositif externe. Dans un mode particulier de réalisation de l'invention, suite à l'étape de génération de la séquence aléatoire, cette séquence est mémorisée non seulement dans le dispositif externe mais également dans le dispositif communiquant. Dans le dispositif communiquant, elle est mémorisée en association avec l'identifiant d'authentification du premier terminal, de sorte qu'il puisse authentifier directement (i.e. par lui-même) le premier terminal au cours d'une étape d'authentification.
En variante, suite à l'étape de génération de la séquence aléatoire, cette séquence est mémorisée non seulement dans le dispositif externe mais également dans un serveur en association avec l'identifiant d'authentification du premier terminal. Ce serveur peut être le serveur ayant généré la séquence aléatoire ou un autre serveur. L'authentification du premier terminal est alors réalisée par l'intermédiaire de ce serveur pour le compte du dispositif communiquant, à l'aide de la séquence aléatoire et de l'identifiant d'authentification contenus dans la requête d'authentification. Ainsi, dans cette variante de réalisation le dispositif communiquant ne fait office que d'organe de transmission de la séquence aléatoire et de l'identifiant d'authentification du premier terminal et reçoit au final une notification du serveur lui signifiant que l'accès est autorisé (ou non). L'identifiant d'authentification du premier terminal peut être de différentes natures. Il peut s'agir par exemple d'un login de l'utilisateur du premier terminal, d'une adresse mél ou d'une adresse MAC du premier terminal. En variante, l'identifiant d'authentification du premier terminal peut être l'identifiant du dispositif externe compris dans la requête d'appairage. Ceci permet au dispositif communiquant d'authentifier le premier terminal sans nécessiter au préalable d'enregistrement de l'utilisateur du premier terminal (enregistrement au cours duquel l'utilisateur fournirait un identifiant d'authentification du premier terminal). Dans un mode particulier de réalisation de l'invention, la séquence aléatoire générée pour authentifier le premier terminal peut avoir une durée de vie limitée. De cette sorte, la séquence aléatoire ne pourra être utilisée pour authentifier le premier terminal que durant une période de temps prédéterminée. Ceci peut s'avérer utile notamment lorsque la séquence aléatoire ne parvient pas dans un laps de temps raisonnable au dispositif externe (par exemple du fait de l'encombrement du deuxième réseau) ou lorsqu'elle n'est pas utilisée rapidement par le premier terminal. Dans de tels cas il peut être préférable de générer une nouvelle séquence aléatoire pour l'authentification du premier terminal afin de renforcer la sécurité de l'accès au premier réseau. Le procédé de transmission et le système de télécommunications selon l'invention s'appuient donc sur plusieurs entités pour permettre l'appairage du (premier) terminal au dispositif communiquant du premier réseau de communication. Ces entités sont notamment le (premier) terminal, le dispositif communiquant, le dispositif externe au dispositif communiquant et au moins un serveur (pour la génération de séquences aléatoires et éventuellement le contrôle d'accès). En conséquence, l'invention vise également un terminal, un dispositif communiquant et un serveur de contrôle. Ainsi, selon un deuxième aspect, l'invention concerne un dispositif communiquant permettant d'accéder à au moins un réseau de communication et comportant : ù des moyens pour recevoir une requête d'appairage d'un terminal comportant un identifiant d'un dispositif externe au dispositif communiquant ; ù des moyens pour envoyer à un serveur une requête de génération d'une séquence aléatoire, cette requête comportant l'identifiant du dispositif externe et ù des moyens pour authentifier le terminal à l'aide de cette séquence aléatoire et d'un identifiant d'authentification du terminal. Corrélativement, l'invention vise également un procédé d'authentification d'un terminal susceptible d'être mis en oeuvre par un dispositif communiquant permettant d'accéder à au moins un réseau de communications, ce procédé comportant : ù une étape de réception d'une requête d'appairage du terminal comportant un identifiant d'un dispositif externe au dispositif communiquant ù une étape d'envoi vers un serveur d'une requête de génération d'une séquence aléatoire, cette requête comportant l'identifiant du dispositif externe; et ù une étape d'authentification du terminal à l'aide de cette séquence aléatoire et d'un identifiant d'authentification du terminal. Dans un mode de réalisation particulier de l'invention, dispositif communiquant comporte en outre : ù des moyens pour recevoir du serveur la séquence aléatoire destinée à authentifier le terminal ; et ù des moyens pour mémoriser cette séquence aléatoire en association avec l'identifiant d'authentification du terminal. Comme mentionné précédemment, l'invention vise également, selon un troisième aspect, un serveur de contrôle comportant : ù des moyens pour recevoir une requête d'appairage d'un terminal avec un dispositif communiquant d'un réseau de communication, cette requête ayant transité via le dispositif communiquant et comportant un identifiant d'un dispositif externe au dispositif communiquant ù des moyens pour générer une séquence aléatoire et ù des moyens pour envoyer un message comportant la séquence aléatoire au dispositif externe en utilisant son identifiant contenu dans la requête d'appairage.
Corrélativement, l'invention vise aussi un procédé de contrôle susceptible d'être mis en oeuvre par un serveur et comportant : ù une étape de réception d'une requête d'appairage d'un terminal avec un dispositif communiquant d'un réseau de communication, cette requête ayant transité via le dispositif communiquant et comportant un identifiant d'un dispositif externe au dispositif communiquant ; ù une étape de génération d'une séquence aléatoire et ù une étape d'envoi d'un message comportant cette séquence aléatoire au dispositif externe en utilisant son identifiant contenu dans la requête d'appairage, Dans un mode de réalisation particulier de l'invention, le serveur comporte en outre des moyens pour vérifier que le terminal possède des droits d'accès prédéterminés, la génération de la séquence aléatoire étant conditionnée par le résultat de cette vérification.
Selon un quatrième aspect, l'invention vise également un terminal susceptible de s'appairer avec un dispositif communiquant permettant d'accéder à au moins un réseau de communication et comportant : ù des moyens pour envoyer une requête d'appairage avec le dispositif communiquant, cette requête comportant un identifiant d'un dispositif externe au dispositif communiquant ù des moyens pour obtenir une séquence aléatoire mémorisée dans le dispositif externe et ù des moyens pour envoyer une requête d'authentification auprès du dispositif communiquant comportant la séquence aléatoire et un identifiant d'authentification du terminal. Corrélativement, l'invention vise également un procédé d'association, susceptible d'être mis en oeuvre dans un terminal pour s'appairer avec un dispositif communiquant permettant d'accéder à au moins un réseau de communications, le procédé d'association comportant : ù une étape d'envoi d'une requête d'appairage avec le dispositif communiquant, cette requête comportant un identifiant d'un dispositif externe au dispositif communiquant une étape d'obtention d'une séquence aléatoire mémorisée dans le dispositif externe ; et ù une étape d'envoi d'une requête d'authentification auprès du dispositif communiquant comportant la séquence aléatoire et un identifiant d'authentification. Dans un mode particulier de réalisation, les différentes étapes du procédé d'authentification et/ou du procédé de contrôle et/ou du procédé d'association sont déterminées par des instructions de programmes d'ordinateurs. En conséquence, l'invention vise aussi un programme d'ordinateur sur un support d'informations, ce programme étant susceptible d'être mis en oeuvre dans un dispositif communiquant permettant d'accéder à au moins un réseau de communication ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en oeuvre des étapes d'un procédé d'authentification tel que décrit ci-dessus. L'invention vise aussi un programme d'ordinateur sur un support d'informations, ce programme étant susceptible d'être mis en oeuvre dans un serveur ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en oeuvre des étapes d'un procédé de contrôle tel que décrit ci-dessus. 20 L'invention vise également un programme d'ordinateur sur un support d'informations, ce programme étant susceptible d'être mis en oeuvre dans un terminal ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en oeuvre des étapes d'un procédé de contrôle tel que décrit ci-dessus. 25 Ces programmes peuvent utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. 30 L'invention vise aussi un support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus. Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut 35 comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy disc) ou un disque dur. D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet. Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté 10 pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins 15 annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures û la figure 1 représente, dans son environnement, un système de télécommunications conforme à l'invention, dans un mode particulier de réalisation ; 20 û la figure 2 représente, sous forme d'organigramme, les principales étapes d'un procédé d'authentification conforme à l'invention dans un mode particulier de réalisation ; û la figure 3 représente, sous forme d'organigramme, les principales étapes d'un procédé de contrôle conforme à l'invention, dans un mode 25 particulier de réalisation ; la figure 4 représente, sous forme d'organigramme, les principales étapes d'un procédé d'association conforme à l'invention, dans un mode particulier de réalisation.
30 La figure 1 représente dans son environnement un système de télécommunications 50 conforme à l'invention, dans un mode particulier de réalisation. Dans l'exemple décrit ici, un utilisateur U équipé d'un terminal conforme à l'invention (premier terminal au sens de l'invention) 35 souhaite se connecter à un point d'accès WiFi 30 (aussi appelée borne WiFi) pour accéder à Internet. Ce point d'accès WiFi est localisé ici dans un hotspot public situé par exemple dans un aéroport ou un centre commercial. Le point d'accès 30 est un dispositif communiquant conforme à l'invention permettant d'accéder au réseau WiFi Ti. Il a ici l'architecture matérielle d'un ordinateur. Il comporte notamment un processeur 31, une mémoire morte 32, une mémoire vive 33 et des moyens de communication 34. Les moyens de communication 34 permettent au point d'accès 30 de communiquer d'une part avec le terminal 10 sur le réseau de télécommunications Ti et d'autre part avec un serveur de contrôle 40 conforme à l'invention. Par ailleurs, la mémoire morte 32 du point d'accès 30 décrit ici comporte un programme informatique adapté à exécuter les principales étapes du procédé d'authentification selon l'invention. Ces principales étapes sont représentées sous la forme d'un organigramme sur la figure 2 décrite ultérieurement.
Le terminal 10 est dans l'exemple décrit ici un ordinateur portable. Cette hypothèse n'est en aucun cas limitative. D'autres types de terminaux peuvent être utilisés comme par exemple un assistant personnel numérique (Persona) Digital Assistant). Le terminal 10 est équipé de moyens lui permettant de se connecter à un réseau WiFi. Citons notamment parmi ces moyens une carte WiFi et un logiciel L conforme à l'invention, appelé par la suite logiciel d'appairage . Ce logiciel L comporte notamment les instructions adaptées à la mise en oeuvre d'un procédé d'association conforme à l'invention, représentées sous la forme d'un organigramme sur la figure 4 décrite ultérieurement. Afin de pouvoir communiquer sur le réseau T1 de façon sécurisée, le terminal 10 doit en effet s'appairer avec le point d'accès 30, qui en retour lui enverra les paramètres de configuration du réseau Tl. Dans l'exemple décrit ici, l'utilisateur U dispose également d'un deuxième terminal 20 (par exemple ici un téléphone mobile 20), adapté à communiquer sur un réseau de télécommunications T2 sécurisé. Le réseau T2 est par exemple ici un réseau mobile sans fil de type GSM. De façon connue de l'homme du métier, le protocole GSM assure la sécurité des échanges sur le réseau en mettant en oeuvre des procédures d'authentification de l'abonné et de chiffrement des communications puissantes.
Le terminal 20 peut ainsi recevoir des données via un canal de communication sécurisé du réseau T2. Il comporte également des moyens pour mémoriser des données (par exemple une mémoire vive ou volatile). Le terminal 20 est un dispositif externe au dispositif communiquant 30 point d'accès) au sens de l'invention. En variante, le terminal 20 peut incorporer un dispositif externe au sens de l'invention, ce dispositif externe comprenant des moyens pour recevoir des données (par exemple une carte GSM) et des moyens pour mémoriser ces données (par exemple une mémoire vive). 10 Le terminal 20 est identifié sur le réseau T2 par un identifiant AD, qui est ici le numéro du terminal 20 sur le réseau T2. En variante, d'autres identifiants du dispositif externe peuvent être envisagés. De manière générale, tout identifiant du dispositif externe lui permettant de recevoir des données (de préférence sur un canal de 15 communication sécurisé) pourra être utilisé, comme par exemple une adresse mél, une adresse SIP, un identifiant d'un compte de l'utilisateur lorsque le dispositif externe est une application de messagerie instantanée, etc. Dans l'exemple décrit ici, l'accès du premier termina 10 au 20 réseau Tl via le point d'accès 30 est contrôlé par le serveur de contrôle 40. Ce serveur de contrôle 40 a, dans le mode de réalisation particulier décrit ici, l'architecture matérielle d'un serveur AAA (Authentication, Authorization, Accounting), comportant un processeur 41, une mémoire morte 42 et une mémoire vive 43. La mémoire morte 42 du serveur de 25 contrôle 40 comporte un programme informatique adapté à exécuter les principales étapes du procédé de contrôle selon l'invention représentées sous la forme d'un organigramme sur la figure 3 décrite ultérieurement. Le serveur de contrôle 40 comporte également un générateur de séquences aléatoires (non représenté sur la figure), connu de l'homme du métier, et 30 des moyens de communication 44 lui permettant de communiquer d'une part avec le point d'accès 30, et d'autre part avec le deuxième terminal 20 de l'utilisateur U, de façon sécurisée via le réseau T2. Nous allons maintenant décrire, en référence aux figures 2, 3 et 4 un procédé de transmission d'un terminal avec un dispositif 35 communiquant conforme à l'invention, dans deux modes particuliers de réalisation. Dans la suite : û les étapes référencées par Exx feront référence à des étapes mises en oeuvre par le point d'accès 30 (cf. figure 2) ; û les étapes référencées par Fxx feront référence à des étapes mises en oeuvre par le serveur de contrôle 40 (cf. figure 3) ; û les étapes référencées par Gxx feront référence à des étapes mises en oeuvre par le terminal 10 (cf. figure 4). Dans l'exemple décrit ici, l'utilisateur U a souscrit auprès d'un opérateur à un service W lui permettant de s'appairer de manière simple et sécurisée auprès de tous les points d'accès WiFi de cet opérateur. Lors de cette souscription, l'utilisateur U a fourni notamment un identifiant d'authentification IDA à utiliser pour l'appairage sécurisé de tout terminal de U (et en particulier du terminal 10) avec un point d'accès de l'opérateur. L'identifiant d'authentification IDA est donc considéré comme un identifiant d'authentification du terminal 10 au sens de l'invention.
Cet identifiant d'authentification est par exemple un Iogin ou une adresse mél ou une adresse MAC (Medium Access Control) du terminal 10 (carte WiFi). Il peut s'agir également de l'identifiant du terminal 20 sur le réseau T2 (auquel cas l'enregistrement préalable de cet identifiant n'est pas nécessaire). Il est mémorisé dans une base 45 de l'opérateur pour l'utilisateur U. Pour s'appairer de façon simple et sécurisée avec un point d'accès, le terminal 10 est doté comme décrit précédemment du logiciel L. Lorsque l'utilisateur U du terminal 10 lance le logiciel L au cours d'une étape G10, celui-ci lui demande de saisir un identifiant d'un dispositif externe au point d'accès 30 (à savoir ici le numéro AD du téléphone mobile 20) ainsi que l'identifiant d'authentification IDA du terminal 10. Nous allons maintenant décrire deux modes de fonctionnement du système 50 selon l'invention. Ces deux modes de fonctionnement sont distingués sur les figures 2, 3 et 4 par les enchaînements d'étapes référencés respectivement par MF(1) et MF(2).
Premier mode de fonctionnement MF(1): Suite à la saisie par l'utilisateur U sur le terminal 10 de l'identifiant AD du terminal 20 et de l'identifiant d'authentification IDA du terminal 10 (étape G20), une requête d'appairage RA avec le point d'accès 30 est envoyée au cours d'une étape G30 par le terminal 10.
Cette requête RA comporte l'identifiant AD du terminal 20 sur le réseau T2 ainsi que l'identifiant d'authentification IDA du terminal 10. La requête RA est envoyée au point d'accès 30 via un canal non sécurisé du réseau WiFi Tl. De façon connue de l'homme du métier en effet, il est possible pour un terminal de communiquer de façon non sécurisée sur un réseau WiFi dans le but notamment de s'appairer avec un point d'accès de ce réseau. Pour cela le terminal 10 écoute le réseau Tl afin d'obtenir son SSID, puis se connecte au réseau T1 à l'aide de ce SSID. Il peut ensuite envoyer des messages au point d'accès 30 sur un canal non sécurisé du réseau Tl. Suite à l'étape G30, le terminal 10 se place alors dans un état G40 d'attente d'une séquence aléatoire (ex. le logiciel d'appairage L demande à l'utilisateur U de saisir une séquence aléatoire). La requête d'appairage RA envoyée par le terminal 10 est reçue 15 par le point d'accès 30 au cours d'une étape E10. Au cours d'une étape E20, le point d'accès 30 mémorise dans un registre ou dans une base 35 (cf. figure 1) l'identifiant AD du terminal 20 en association avec l'identifiant IDA du terminal 10. Au cours d'une étape E30, le point d'accès 30 envoie alors une 20 requête R (requête de génération d'une séquence aléatoire) au serveur de contrôle 40 comportant l'identifiant AD du terminal 20. Cette requête R est reçue par le serveur de contrôle 40 au cours d'une étape F10. Dans l'exemple décrit ici, le serveur de contrôle 40 comporte des moyens pour vérifier au cours d'une étape F20 que le terminal 10 25 possède des droits d'accès prédéterminés. A cette fin, le point d'accès 30 transmet également ici dans la requête R l'identifiant d'authentification IDA du terminal 10. Diverses vérifications des droits d'accès du terminal 10 peuvent être effectuées. Par exemple : 30 ù le serveur de contrôle 40 peut vérifier que l'identifiant AD du terminal 20 se trouve dans la base 45 du service W ; ù il peut également vérifier que le couple (IDA,AD) est un couple autorisé dans cette base. Ceci suppose notamment qu'au cours de la souscription au service W, l'utilisateur U a saisi l'identifiant AD du 35 terminal 20 en association avec l'identifiant d'authentification IDA û le serveur de contrôle 40 peut aussi vérifier que l'identifiant d'authentification IDA correspond bien à un utilisateur U ayant souscrit au service W, c'est-à-dire qu'il se trouve dans la base 45 en tant qu'identifiant d'authentification pour un utilisateur. D'autres vérifications plus complexes peuvent être réalisées au cours de cette étape, notamment sur des paramètres autres que l'identifiant AD du terminal 20 et l'identifiant d'authentification IDA du terminal 10. Dans l'exemple décrit ici, au cours de l'étape F20, le serveur de 10 contrôle 40 vérifie que l'identifiant d'authentification IDA du terminal 10 se trouve bien enregistré dans la base 45. Le cas échéant, il génère au cours d'une étape F40 une séquence aléatoire S pour l'identifiant AD. Sinon, le serveur de contrôle 40 envoie au point d'accès 30 au cours d'une étape F30 un message d'erreur signalant que le terminal 10 15 n'est pas autorisé à accéder au service W. Ce message est ensuite transmis par le point d'accès 30 au terminal 10. L'appairage sécurisé du terminal 10 avec le point d'accès 30 ne peut alors être effectué. Au cours de l'étape F40, le serveur de contrôle 40 génère la séquence aléatoire S avec des moyens et selon des principes connus de 20 l'homme du métier. Le serveur de contrôle 40 peut notamment utiliser un générateur de séquences pseudo-aléatoires tel que ceux utilisés en cryptologie ou dans un mécanisme WEP pour générer une clé de chiffrement. Cette séquence S est ici une séquence longue, sur plusieurs octets. Dans un autre mode de réalisation, il peut s'agit d'un code sur 25 quatre chiffres (ex. 1648). Au cours d'une étape F50, le serveur de contrôle 40 envoie cette séquence S au point d'accès 30 dans un message M2. Le message M2 est reçu par le point d'accès 30 au cours d'une étape E40. Par ailleurs, le serveur de contrôle 40 envoie également la 30 séquence S au terminal mobile 20 dans un message MI de type SMS au cours d'une étape F60. Pour cela, le serveur de contrôle 40 utilise l'identifiant AD du terminal 20 sur le réseau de télécommunications T2 compris dans la requête R. L'invention permet ainsi de profiter avantageusement de la sécurité inhérente au réseau mobile T2 (du fait de 35 la mise en oeuvre de protocoles de sécurité performants sur ce réseau) pour transmettre à l'utilisateur U la séquence aléatoire S.
Les étapes F50 et F60 peuvent être simultanées ou successives (par exemple, légèrement décalées dans le temps, l'envoi au point d'accès se faisant préférentiellement avant l'envoi au terminal 20). Au cours d'une étape E50, le point d'accès 30 mémorise dans la base 35 la séquence aléatoire S contenue dans le message M2 en association avec l'identifiant d'authentification IDA du terminal 10. Le message M1, envoyé par le serveur de contrôle 40 et comportant la séquence S, est reçu par le terminal 20 et mémorisé par exemple dans la boîte de réception des messages du terminal 20 (la séquence S est ainsi mémorisée dans le terminal mobile 20). Au cours d'une étape G50, le terminal 10 obtient la séquence aléatoire S mémorisée dans le terminal 20. Par exemple, au cours de cette étape, après avoir lu la séquence S sur le terminal 20, l'utilisateur U la saisit dans le logiciel L du terminal 10.
Dans un autre mode de réalisation de l'invention, après réception et mémorisation du message M1 par le terminal 20, une liaison sans fil (par exemple Bluetooth ou infrarouge) est établie entre le terminal 10 et le terminal mobile 20. Cette liaison permet au terminal 20 d'envoyer la séquence aléatoire S au terminal 10. Cette séquence est alors directement reçue par le logiciel L du terminal 10 au cours de l'étape G50. Le terminal 10, via le logiciel L, envoie alors au cours d'une étape G60 une requête A d'authentification auprès du point d'accès 30, comportant la séquence aléatoire S mémorisée dans le terminal 20 et l'identifiant d'authentification du terminal 10 précédemment saisi par l'utilisateur. Le couple (IDA,S) étant connu à la fois du premier terminal 10 et du point d'accès 30, il permet ainsi l'authentification du terminal 10 auprès du point d'accès 30. En variante, de façon équivalente, l'identifiant d'authentification IDA du terminal 10 et la séquence aléatoire S peuvent être envoyés dans deux requêtes distinctes pour l'authentification du terminal 10 auprès du point d'accès 30. Par exemple, l'identifiant IDA peut être envoyé dans la requête RA envoyée par le terminal 10 au cours de l'étape G30 puis la séquence aléatoire S peut être envoyée dans la requête d'authentification A au cours de l'étape G60. La combinaison de ces deux requêtes constitue une requête d'authentification au sens de l'invention.
Sur réception de la requête d'authentification A au cours d'une étape E60, le point d'accès 30 vérifie au cours d'une étape E70 que le couple (IDA,S) se trouve dans la base 35. Si tel est le cas, le terminal 10 est authentifié auprès du point d'accès 30 au cours d'une étape E90.
Sinon, un message d'erreur est envoyé au terminal 10 par le point d'accès 30 au cours d'une étape E80 pour signaler l'échec de l'authentification. Comme décrit précédemment, une durée de vie limitée TS peut être associée à la séquence aléatoire S. L'authentification du terminal 10 échouera alors si par exemple la requête d'authentification A envoyée par le terminal 10 et comportant le couple (IDA,S) ne parvient pas au point d'accès 30 avant un temps TS comptabilisé à partir de la réception par le point d'accès 30 du message M2 provenant du serveur de contrôle 40. Il est également possible dans une autre variante d'associer plusieurs identifiants d'authentification du terminal 10 à la séquence S, par exemple l'identifiant AD du terminal 20 et l'identifiant IDA du terminal 10. L'utilisateur U s'authentifie alors auprès du point d'accès via la requête d'authentification A comportant le triplet (IDA,AD,S). Dans un autre mode de réalisation de l'invention, le point d'accès 30 authentifie le terminal 10 par l'intermédiaire du serveur de contrôle 40. A cette fin, la séquence aléatoire S générée par le serveur de contrôle 40 aura été mémorisée par le serveur en association avec l'identifiant d'authentification IDA du terminal 10, par exemple dans la base 45. Ainsi, dans ce mode de réalisation, le point d'accès 30 ne sert que de relais d'authentification , i.e., il relaie la requête d'authentification A émise par le terminal 10 vers le serveur de contrôle 40 qui authentifie pour le compte du point d'accès 30 le terminal 10 puis lui notifie cette authentification. Le point d'accès 30 n'a ainsi pas besoin, dans ce mode particulier de réalisation de l'invention, de connaître la séquence aléatoire S (i.e., le serveur 40 n'a pas besoin d'envoyer la séquence aléatoire S au point d'accès 30 au cours de l'étape F50). Si l'authentification du terminal 10 a réussi, le logiciel L du terminal 10 et le point d'accès 30 établissent alors un canal sécurisé entre eux au cours des étapes respectives G70 et E100. Ceci peut se faire par exemple à l'aide de protocoles de chiffrement symétriques tels que les protocoles AES (Advanced Encryption Standard), DES (Data Encryption Standard), 3DES (Triple DES), etc., et d'une clé de session partagée dérivée de la séquence aléatoire S connue du terminal et du point d'accès 30 ou calculée par un mécanisme d'entente de clé de type Diffie-Hellmann. Au cours d'une étape E110, le point d'accès WiFi 30 envoie au terminal 10 les paramètres PCT1 de configuration du réseau T1 via ce canal sécurisé. Ces paramètres sont reçus par le terminal 10 au cours d'une étape G80. Parmi ces paramètres, figurent par exemple un identifiant (SSID) sécurisé du réseau Tl, une clé WEP ou WPA, etc. Ces paramètres de configuration permettent notamment d'établir une 0 connexion sécurisée sur le réseau WiFi Tl pour de futurs échanges.
Deuxième mode de fonctionnement MF(2) : Dans ce deuxième mode de fonctionnement du système 50 selon l'invention, la requête d'appairage RA' avec le point d'accès 30 15 comportant l'identifiant AD du terminal 20 et l'identifiant d'authentification IDA du terminal 10 est envoyée directement par le logiciel L du terminal 10 au serveur de contrôle 40 au cours d'une étape G30'. Cet envoi se faisant via le réseau non sécurisé Tl, la requête RA' transite par le point d'accès 30 sans toutefois être interceptée par lui.
20 Ainsi, le point d'accès 30 ne met pas en oeuvre dans ce mode de fonctionnement les étapes E10 à E30 (réception de la requête d'appairage RA, stockage de l'identifiant AD du terminal 20 et envoi de la requête R au serveur comprenant l'identifiant AD) décrites précédemment. Les étapes E40 et E50 sont quant à elles remplacées par les étapes E40' et E50' 25 décrites ci-après. La requête RA' émise par le premier terminal 10 à destination du serveur 40 est reçue au cours d'une étape F10' par le serveur de contrôle 40. Les étapes F20 de vérification des droits d'accès du terminal 10, 30 F30 d'envoi d'un message d'erreur en cas de non-droit d'accès, F40 de génération de la séquence aléatoire S pour l'identifiant AD et F60 d'envoi de la séquence S au terminal 20 mises en oeuvre par le serveur de contrôle 40, sont identiques à celles décrites dans le premier mode de fonctionnement.
35 Au cours d'une étape F50', le serveur de contrôle 40 envoie la séquence aléatoire S au point d'accès 30 dans un message M2'. Ce message comporte également l'identifiant d'authentification IDA du terminal 10. Sur réception de ce message au cours d'une étape E40', le point d'accès 30 enregistre dans la base 35 le couple (IDA,S) compris dans le 5 message M2' au cours d'une étape E50'. En variante, les étapes F50', E40' et E50' peuvent ne pas être mises en oeuvre lorsque le serveur de contrôle 40 réalise lui-même l'authentification du terminal 10 pour le compte du point d'accès 30, comme décrit précédemment. La séquence aléatoire S est alors 10 mémorisée en association avec l'identifiant d'authentification IDA du terminal 10 dans le serveur de contrôle 40. Les étapes E60 à E110 du procédé d'authentification mises en oeuvre par le point d'accès 30 sont identiques dans ce deuxième mode de fonctionnement à celles décrites précédemment pour le premier mode de 15 fonctionnement. Il en est de même pour les étapes G40 à G80 du procédé d'association mises en oeuvre par le terminal 10.

Claims (9)

REVENDICATIONS
1. Procédé de transmission comportant : ù une étape d'émission (G30,G30') par un premier terminal (10) d'une requête d'appairage (RA,RA') avec un dispositif communiquant (30), ladite requête comportant un identifiant (AD) d'un dispositif externe (20) audit dispositif communiquant ù une étape de génération (F40) d'une séquence aléatoire (S) ; 10 ù une étape de mémorisation de ladite séquence aléatoire (S) dans ledit dispositif externe (20) ; ù une étape d'obtention (G50) par ledit premier terminal de ladite séquence aléatoire mémorisée dans ledit dispositif externe ; et ù une étape d'envoi (G60) par ledit premier terminal d'une requête 15 d'authentification (A) auprès dudit dispositif communiquant, ladite requête d'authentification comportant ladite séquence aléatoire et un identifiant d'authentification (IDA) dudit premier terminal.
2. Procédé selon la revendication 1 dans lequel ledit dispositif 20 externe est incorporé dans un deuxième terminal (20) distinct dudit premier terminal (10).
3. Procédé selon la revendication 1 dans lequel ladite séquence aléatoire (S) est obtenue par ledit dispositif externe via un canal de 25 communication sécurisé avant d'être mémorisée dans ledit dispositif externe.
4. Procédé selon la revendication 1, dans lequel l'étape de mémorisation de ladite séquence aléatoire dans ledit dispositif externe est 30 précédée par une étape de réception par ledit dispositif externe d'un message (M1 de type SMS comportant ladite séquence aléatoire.
5. Procédé selon la revendication 1 dans lequel, suite à l'étape de génération (F40) de ladite séquence aléatoire, ladite séquence 35 aléatoire est aussi mémorisée (E50,E50') dans ledit dispositif communiquant en association avec ledit identifiant d'authentification(IDA) dudit premier terminal pour authentifier (E90) ledit premier terminal.
6. Procédé selon la revendication 1 dans lequel suite à l'étape de génération (F40) de ladite séquence aléatoire, ladite séquence est aussi mémorisée dans un serveur (40) en association avec ledit identifiant d'authentification (IDA) dudit premier terminal, l'authentification (E90) dudit premier terminal auprès dudit dispositif communiquant étant réalisée par l'intermédiaire dudit serveur (40) à l'aide de ladite séquence aléatoire (S) et dudit identifiant d'authentification (IDA) contenus dans ladite requête d'authentification.
7. Procédé selon la revendication 1, comportant en outre une étape (F20) de vérification d'une possession par ledit premier terminal (10) de droits d'accès prédéterminés, l'exécution de l'étape de génération (F40) de ladite séquence aléatoire (S) étant conditionnée par le résultat de cette étape de vérification.
8. Système de télécommunications (50) comportant : ù un premier terminal (10) muni de moyens d'émission d'une requête d'appairage (RA,RA') avec un dispositif communiquant (30), ladite requête comportant un identifiant (AD) d'un dispositif externe (20) audit dispositif communiquant ù des moyens de génération d'une séquence aléatoire (S) ; ù des moyens de mémorisation de ladite séquence aléatoire (S) dans ledit dispositif externe (20) ; ù des moyens d'obtention par ledit premier terminal de ladite séquence aléatoire mémorisée dans ledit dispositif externe ; ù des moyens d'envoi par ledit premier terminal d'une requête d'authentification (A) auprès dudit dispositif communiquant, ladite requête d'authentification comportant ladite séquence aléatoire et un identifiant d'authentification (IDA) dudit premier terminal.
9. Système de télécommunications (50) selon la revendication 8 dans lequel ledit dispositif externe est incorporé dans un deuxième terminal (20) distinct dudit premier terminal (10).
FR0759378A 2007-11-28 2007-11-28 Procede de transmission et systeme de telecommunications Pending FR2924294A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0759378A FR2924294A1 (fr) 2007-11-28 2007-11-28 Procede de transmission et systeme de telecommunications

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0759378A FR2924294A1 (fr) 2007-11-28 2007-11-28 Procede de transmission et systeme de telecommunications

Publications (1)

Publication Number Publication Date
FR2924294A1 true FR2924294A1 (fr) 2009-05-29

Family

ID=39884905

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0759378A Pending FR2924294A1 (fr) 2007-11-28 2007-11-28 Procede de transmission et systeme de telecommunications

Country Status (1)

Country Link
FR (1) FR2924294A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001017310A1 (fr) * 1999-08-31 2001-03-08 Telefonaktiebolaget L M Ericsson (Publ) Système de sécurité gsm pour réseaux de données en paquet
WO2004111809A1 (fr) * 2003-06-18 2004-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Systeme et procede associes a un acces au reseau ip
US20070178882A1 (en) * 2006-01-31 2007-08-02 Teunissen Harold W A Method for secure authentication of mobile devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001017310A1 (fr) * 1999-08-31 2001-03-08 Telefonaktiebolaget L M Ericsson (Publ) Système de sécurité gsm pour réseaux de données en paquet
WO2004111809A1 (fr) * 2003-06-18 2004-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Systeme et procede associes a un acces au reseau ip
US20070178882A1 (en) * 2006-01-31 2007-08-02 Teunissen Harold W A Method for secure authentication of mobile devices

Similar Documents

Publication Publication Date Title
EP1022922B1 (fr) Procédé d'authentification, avec établissement d'un canal sécurise, entre un abonné et un fournisseur de services accessible via un opérateur de télécommunications
EP2415294B1 (fr) Procédé et dispositif de gestion d'une authentification d'un utilisateur
EP1536592A1 (fr) Authentification entre un terminal mobile de réseau cellulaire et un point d'accès de réseau de faible portée
EP3613186B1 (fr) Système et procédé de communications
FR2825869A1 (fr) Procede d'authentification entre un objet de telecommunication portable et une borne d'acces public
FR3013177A1 (fr) Technique de configuration d'acces securise d'un terminal invite a un reseau hote
EP2294850B1 (fr) Procede pour securiser des echanges entre un noeud demandeur et un noeud destinataire
FR3081654A1 (fr) Procede, dispositif et serveur de distribution securisee d'une configuration a un terminal
EP2348763B1 (fr) Procédé d'authentification d'un terminal mobile pour accéder à un serveur d'applications
WO2019186006A1 (fr) Procédé de connexion sans fil d'un objet communicant à un réseau de communication local, programme d'ordinateur et équipement d'accès correspondant
FR2984674A1 (fr) Auto-configuration d'un equipement pour la connexion a un reseau sans fil securise
FR2885753A1 (fr) Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique
EP2608591B1 (fr) Auto-configuration d'un terminal mobile pour la connexion à un réseau sans fil sécurisé
FR2924294A1 (fr) Procede de transmission et systeme de telecommunications
WO2011073584A1 (fr) Procede de controle d'acces a un reseau local
EP1867132B1 (fr) Procede et dispositifs de controle de presence d'un terminal sur un point d'acces a un reseau de telephonie
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
EP4068818A1 (fr) Procédé de gestion de sécurité dans un système de communication de données, et système pour la mise en oeuvre du procédé
FR3122796A1 (fr) Procédé de défense contre une tentative de déconnexion entre deux entités, système associé
FR3128089A1 (fr) Procédé et dispositif de sélection d’une station de base
EP3970336A1 (fr) Procede de gestion d'une information de securite dans un reseau de communication, dispositif, equipement d'acces audit reseau et programmes d'ordinateur correspondants
EP1883199B1 (fr) Procédé de contrôle de l'accès d'une station mobile à une station de base
FR3112057A1 (fr) Procédé et dispositif de sélection d’un réseau en mode non connecté.
EP2146534A1 (fr) Procédé, système, serveur et terminal d'authentification hybride
EP2002636A1 (fr) Procede de controle de la connexion d'un premier et d'un deuxieme dispositif, point d'acces et terminal utilisateur en reseau partage correspondant