9 85402 1 PROCEDE DE CONNEXION A UN RESEAU LOCAL D'UN TERMINAL METTANT EN OEUVRE UN PROTOCOLE D'AUTHENTIFICATION DE TYPE EAP ET SYSTEME DE COMMUNICATION ASSOCIE [01] DOMAINE TECHNIQUE DE L'INVENTION [02] L'invention concerne le domaine des télécommunications. [3] Plus particulièrement, l'invention concerne un procédé de connexion à un réseau local d'un terminal mettant en oeuvre un protocole d'authentification de type EAP ainsi que le système de communication associé. L'invention trouve une application particulièrement avantageuse avec des terminaux munis d'une carte SIM lors de la mise en oeuvre du protocole EAP-SIM mais pourrait également être mise en oeuvre avec toutes les méthodes EAP (certificat, password, etc...). [4] ETAT DE LA TECHNIQUE [5] La connexion à un réseau distant 10, par exemple Internet, depuis un réseau local 11 (LAN pour Local Area Network) domestique de l'abonné, illustrée à la figure 1, se fait classiquement à l'aide d'un dispositif d'accès 12, appelé passerelle ou modem. Un exemple de dispositif d'accès 12 est un équipement fourni par un Fournisseur d'Accès Internet (FAI) à ses usagers, tel que celui commercialisé sous les marques Neufbox ou SFR Box. Outre la connexion à Internet, il offre par exemple des services annexes tels que la téléphonie IP ou la télévision IP par exemple en Haute Définition. [6] La passerelle 12 est ainsi une interface de routage et de conversion de protocoles de télécommunications. La passerelle 12 relie des réseaux différents les uns des autres, des réseaux locaux comme ici le réseau local domestique 11 et le réseau distant 10 via le réseau 13 du FAI. Une adresse réseau IP publique délivrée par le FAI est attribuée au dispositif d'accès 12 sur le réseau 13 du FAI et le réseau distant 10. Les adresses réseaux IP privées locales sont attribuées aux réseaux locaux par le dispositif d'accès 12. [07] Dans le réseau local 11 de l'usager appelé "réseau local privé", les appareils susceptibles de se connecter à la passerelle 12, sont par exemple 2 9 85402 2 des appareils multimédia de type ordinateur personnel, téléphone ou téléviseur. La passerelle 12 attribue une adresse IP locale privée distincte à chacun des appareils pour les distinguer entre eux. La connexion entre le réseau local 11 et la passerelle 12 est réalisée par voie filaire et/ou radio, par 5 exemple par l'intermédiaire d'une liaison Ethernet et/ou Wi-Fi. En outre, les différents appareils multimédia du réseau privé 11 sont généralement aptes à communiquer entre eux via des protocoles de communication comme par exemple le protocole DLNA ("Digital Living Network Alliance" en anglais). Ce protocole permet notamment de partager des contenus média (musiques, 10 photo, vidéo) entre les appareils et/ou de contrôler ces appareils à distance. L'authentification sur ce réseau privé est réalisé selon les méthodes décrites dans la norme 802.11x, notamment, en utilisant les méthodes WEP ou WPA. [8] Par ailleurs, la plupart des passerelles 12 sont en outre des points d'accès publics, également connus sous l'appellation de « HotSpot ». Ces 15 « HotSpots » permettant aux usagers itinérants de profiter de la bande passante Wi-Fi et Internet non utilisée par l'usager du réseau local 11 auquel a été attribué le dispositif d'accès 12. Les utilisateurs peuvent ainsi accéder depuis leur terminal à une messagerie, au réseau Internet, ou à des applications partagées. L'opérateur en charge de la passerelle ou du réseau 20 Wifi, assure la gestion de l'authentification distante des utilisateurs, que ce soit par l'utilisation d'un identifiant/mot de passe, ou bien des méthodes décrites dans la norme 802.11x et des RFC IETF 4186 et 4187, comme EAPSIM, EAP AKA. A chaque passerelle 12 est donc associé également un deuxième réseau local appelé "réseau local itinérant" 14 qui est distinct du 25 réseau local 11 et qui dispose d'un adressage IP privé qui lui est propre. [9] On note qu'un utilisateur connecté au réseau itinérant 14 a des droits d'accès au réseau distant restreints par rapport à un utilisateur du réseau local privé 11. En effet, l'utilisateur itinérant dispose d'une bande passante restreinte et ne sera pas autorisé à réaliser des opérations 30 susceptibles d'être interdites par la loi en fonction des conditions dans lesquelles elles sont réalisées, telles que le téléchargement de contenus ou de droits média. En outre, la configuration de la passerelle 12 est telle que les terminaux faisant partie du réseau itinérant 14 n'ont a priori pas accès au réseau privé 11 et réciproquement les appareils multimédia ou terminaux du réseau privé 11 n'ont pas accès aux terminaux du réseau itinérant 14. [010] Un utilisateur itinérant (sur un réseau local), voulant se connecter au réseau distant 10 par l'intermédiaire du dispositif 12 d'accès au moyen de son terminal 18, doit généralement s'authentifier avant toute connexion au réseau Internet 10 en entrant un code d'accès difficile à saisir compte tenu de son nombre important de caractères. En outre, il peut être nécessaire de paramétrer le terminal, ce qui complique d'autant la phase de connexion au réseau distant 10. [011] Pour éviter cette étape d'authentification, il est connu de mettre en oeuvre des protocoles d'authentification de type EAP-SIM ou EAP-AKA définis par les normes 3GPP-TS-23.003, RFC 4186, RFC 4187 basés sur l'utilisation d'un serveur 16 d'authentification implanté sur le réseau 13 de l'opérateur. Ce protocole permet d'autoriser et d'établir, après échange d'informations d'authentification entre le terminal 18 et le serveur 16, une connexion sécurisée entre ledit terminal 18 et le réseau distant 10. A cet effet, le protocole vérifie l'appartenance du terminal au réseau de l'opérateur à partir d'un identifiant de la carte SIM dérivé du numéro IMSI (SIMIdx) comparé avec une liste d'identifiants stockée sur le serveur 16 ou sur le réseau 13 de l'opérateur. Le protocole EAP-SIM permet ainsi un accès au réseau Internet via le réseau itinérant 14 qui est complètement transparent pour l'utilisateur. [012] Toutefois, l'utilisation du protocole EAP-SIM peut entraîner un problème d'accès de l'utilisateur à son propre réseau local privé. En effet, le protocole EAP-SIM étant mis en oeuvre dès que l'utilisateur se trouve dans la portée radio de la passerelle 12 associée au réseau privé dudit utilisateur, ce dernier se retrouve malgré lui connecté au réseau distant 10 via le réseau local itinérant 14 et n'a alors plus accès aux ressources de son propre réseau local privé 11. [013] OBJET DE L'INVENTION [014] L'invention vise à remédier à cet inconvénient en permettant à l'utilisateur d'accéder aux ressources de son réseau local privé lors de la mise en oeuvre du protocole EAP-SIM. L'invention a également pour but de garantir la sécurité et l'intégrité de l'accès au réseau local privé afin de n'autoriser que les utilisateurs déclarés au préalable par l'administrateur du réseau privé ou par l'opérateur le cas échéant. [015] A cet effet, on crée une table établissant une correspondance entre une liste d'identifiants des terminaux autorisés à se connecter au réseau privé et un identifiant de la passerelle correspondante. Lorsqu'un terminal sollicite, depuis le réseau itinérant, une connexion avec le réseau distant, on vérifie si l'identifiant du terminal appartient à la liste d'identifiants associée à la passerelle. Dans le cas où l'identifiant de la passerelle correspond à un de ces identifiants, le procédé comporte l'étape d'autoriser la création d'un tunnel sécurisé entre le terminal et le réseau privé de sorte que le terminal peut accéder aux ressources du réseau privé. [016] L'invention permet ainsi selon au moins une de ses mises en oeuvre: - de devenir membre du réseau local privé via le réseau itinérant et d'accéder à l'ensemble des ressources présentes sur le réseau local, - d'éviter les restrictions d'accès au réseau distant pour les utilisateurs autorisés, - d'éviter le paramétrage du terminal dans la mesure où l'accès au réseau distant et au réseau local privé est effectué de manière transparente pour l'utilisateur, - d'assurer pour l'opérateur la gestion des offres multi-services combinant un service d'accès à Internet et un service d'accès au réseau mobile en configurant automatiquement la liste des utilisateurs autorisés à accéder au réseau distant via leur terminal mobile en fonction de l'offre souscrite. [017] L'invention concerne donc un procédé de connexion à un réseau local d'un terminal d'accès mettant en oeuvre un protocole d'authentification de type EAP par l'intermédiaire une passerelle mettant en relation, dans sa portée radio, un premier réseau local, dit réseau privé, et un deuxième réseau local de type communautaire, dit réseau itinérant, avec un réseau distant, par exemple Internet, cette passerelle appartenant à un réseau d'un opérateur, caractérisé en ce qu'il comporte les étapes suivantes : - créer une table établissant une correspondance entre les identifiants des terminaux autorisés à se connecter au réseau privé de ladite passerelle et un identifiant associé aux services d'accès mis en oeuvre par ladite passerelle, - émettre, via le terminal d'accès se trouvant dans la portée radio de ladite passerelle, une requête d'accès au réseau distant, cette requête comportant un identifiant relatif à la passerelle et un identifiant du terminal d'accès, - autoriser l'accès du terminal d'accès au réseau distant via le réseau itinérant par mise en oeuvre du protocole d'authentification de type EAP si le terminal d'accès correspond à un utilisateur du réseau de l'opérateur, - vérifier dans la table si l'identifiant correspondant au terminal d'accès cherchant à se connecter au réseau distant appartient à la liste d'identifiants associée à l'identifiant correspondant à ladite passerelle, et - dans le cas où cet identifiant correspond à un des identifiants de la liste d'identifiants associée à la passerelle, alors il comporte l'étape d'autoriser la création d'un tunnel sécurisé entre le terminal d'accès et le réseau privé de manière que le terminal d'accès peut accéder à des ressources du réseau privé. [18] Selon une mise en oeuvre, l'identifiant relatif à la passerelle est robuste à l'échange de la passerelle et à un changement de localisation physique de la passerelle au sein du réseau. [19] Selon une mise en oeuvre, la table établissant la correspondance entre les identifiants des terminaux autorisés à se connecter au réseau privé et l'identifiant de la passerelle est stockée dans un serveur assurant la mise en oeuvre du protocole d'authentification EAP-SIM. [20] Selon une mise en oeuvre, l'identifiant émis par le terminal d'accès étant un numéro dérivé du numéro IMSI et les identifiants du terminal stockés dans la table étant des numéros de type MSISDN, il comporte l'étape d'établir une correspondance entre le numéro dérivé de l'IMSI et le numéro MSISDN en interrogeant le module HLR du réseau de l'opérateur. [21] Selon une mise en oeuvre, la déclaration de la liste d'identifiants des terminaux autorisés à se connecter au réseau privé est effectuée de manière manuelle par l'utilisateur via une interface de type WEB, le serveur correspondant dont l'accès est restreint aux utilisateurs autorisés étant hébergé au sein de l'infrastructure de l'opérateur, de sorte que ce contrôle permet à un utilisateur de n'autoriser des terminaux que sur la passerelle donnant accès à son propre réseau privé. [022] Selon une mise en oeuvre, la déclaration de la liste d'identifiants des terminaux autorisés à se connecter au réseau privé peut également être effectuée de manière automatique par l'opérateur lors de la souscription de l'utilisateur à des services d'accès combiné au réseau mobile et au réseau Internet constituant le réseau distant. [023] L'invention concerne en outre un système de communication assurant la mise en oeuvre du procédé selon l'invention, caractérisé en ce qu'il comporte un serveur assurant la mise en oeuvre d'un protocole d'authentification de type EAP comportant une table établissant une correspondance entre les identifiants de terminaux autorisés à se connecter à un réseau privé d'une passerelle et un identifiant associé aux services d'accès de ladite passerelle, de sorte que lorsqu'un terminal d'accès émet une requête d'accès à un réseau distant depuis un réseau itinérant associé à ladite passerelle, et dans le cas où un identifiant du terminal d'accès reçu par le serveur correspond à un des identifiants de la liste d'identifiants de la table associée à la passerelle, alors il comporte l'étape d'autoriser la création d'un tunnel sécurisé entre le terminal d'accès et ledit réseau privé de manière que le terminal d'accès peut accéder à des ressources du réseau privé. [24] BREVE DESCRIPTION DES FIGURES [25] L'invention sera mieux comprise à la lecture de la description qui suit et à l'examen des figures qui l'accompagnent. Ces figures ne sont données qu'à titre illustratif mais nullement limitatif de l'invention. Elles montrent : [26] Figure 1: une représentation schématique d'un système de communication selon l'état de la technique ; [27] Figure 2: une représentation schématique d'un système de communication mettant en oeuvre le procédé de connexion à un réseau local selon l'invention; [28] Figure 3: une représentation schématique des étapes du procédé selon l'invention; [29] Figure 4: un diagramme d'allocation dynamique d'un VLAN en fonction de la passerelle à laquelle se connecte le terminal de l'utilisateur; [30] Figure 5: un diagramme d'un parcours utilisateur d'attribution d'un MSISDN depuis un espace WEB protégé dédié. [031] DESCRIPTION D'EXEMPLES DE REALISATION DE L'INVENTION [32] La Figure 2 montre un système de télécommunications désigné par la référence générale 20 dans un mode de mise en oeuvre de l'invention. Le système 20 comprend un dispositif d'accès ou passerelle 21 s'intercalant entre des réseaux. Cette passerelle 21 couramment appelée «box » propose par exemple des offres Triple-Play (Internet, téléphonie et télévision) ainsi que de nombreuses fonctionnalités telles que routeur, connexion Wi-Fi. Cette passerelle 21 est fournie par un fournisseur d'accès Internet (FAI) à ses abonnés, notamment à ses abonnés ADSL. L'équipement ADSL commercialisé sous la marque Neufbox® de SFR est un exemple de tel dispositif d'accès. Généralement, le dispositif d'accès 21 est relié au réseau téléphonique du domicile de l'abonné. [33] Dans l'exemple considéré, la passerelle 21 s'intercale d'une part entre un réseau local 22 et un réseau distant 23, typiquement le réseau Internet, en relation avec le réseau 28 du FAI. La passerelle 21 a pour fonction notamment de gérer des flux de communication entre le réseau local 22 et le réseau Internet 23. Le réseau local 22 est un réseau domestique privé de l'abonné auquel la passerelle 21 a été fournie par le FAI. [34] La passerelle 21 est munie d'une borne d'accès sans fil (non représentée) en émission/réception à un réseau radio. La borne peut être une borne Wi-Fi, Bluetooth, ou Wimax ou tout autre technologie permettant un accès mixte propriétaire/itinérant (FemtoCell, LTE...). Cette borne permet aux terminaux des utilisateurs équipés de cartes ou de modules radios compatibles, selon la technologie Wi-Fi, Wimax ou Bluetooth utilisée, de se connecter au réseau 23 Internet. Le signal radio issu d'un module émetteur d'un terminal de l'utilisateur est capté par la borne d'accès sans fil de la passerelle 21 qui se charge de le relayer vers le réseau Internet 23. [35] Dans l'exemple de la figure 2, le réseau local domestique 22 est un réseau Wi-Fi. Ce réseau local 22 Wi-Fi est protégé par une clé Wi-Fi personnelle (clé Wep ou Wpa). La passerelle 21 permet la connexion au réseau local 22 de différents équipements, tels qu'un ordinateur 24, un téléphone 25 de type SMARTPHONE comprenant des moyens d'émission et de réception de signaux Wi-Fi. Le réseau local privé 22 Wi-Fi peut être un réseau mettant en oeuvre les normes 802.11. [36] Dans un mode de réalisation, le réseau local privé 22 domestique est, ou comporte en outre, un réseau filaire Ethernet, le dispositif d'accès 21 comprenant alors des ports physiques de connexion d'équipements, par exemple d'un téléviseur 26 et d'un disque dur 27 réseau de type NAS ("Network Area Storage" en anglais), au réseau local 22, les ports prenant par exemple la forme de prises de type RJ45. Les équipements susceptibles de se connecter au dispositif d'accès 21 sont des équipements compatibles avec le protocole IP. [37] Les différents équipements multimédia (24, 25, 26, 27) du réseau privé 22 sont de préférence aptes à communiquer entre eux via des protocoles de communication, comme par exemple le protocole DLNA ("Digital Living Network Alliance" en anglais). Ce protocole permet notamment de partager des contenus média (musiques, photo, vidéo) entre les différents équipements au sein d'un même sous réseau IP et/ou de contrôler ces équipements à distance. [38] La passerelle 21 comprend un serveur DHCP destiné à l'attribution automatique et dynamique d'un identifiant réseau, notamment d'une adresse IP locale, à tout équipement se connectant à la passerelle 21 par voie filaire ou radio. L'adresse IP locale permet au dispositif d'accès 21 de distinguer les équipements les uns des autres et ainsi de leur envoyer des messages qui leur sont destinés. Ces adresses IP sont attribuées par la passerelle 21 sur une plage d'adresses prédéfinie, par exemple le sous-réseau 192.168.1.0/24. [39] La passerelle 21 est également configurée de manière à se comporter comme un point d'accès public également connu sous l'appellation de « HotSpot », en permettant à des usagers itinérants de se connecter à un réseau privé itinérant 29 sans fil. La passerelle 21 leur permet en fait de profiter de la bande passante sans fil non utilisée afin d'accéder depuis un terminal 31 de communication (téléphones, PDA, PC, etc.) à une messagerie, au réseau 23 Internet, ou à des applications partagées. [40] Le réseau itinérant 29 est distinct du réseau local privé 22 et dispose d'un adressage qui lui est propre. Les adresses IP sont attribuées de manière dynamique par la passerelle parmi une plage d'adresses prédéfinie, par exemple le sous-réseau 192.168.2.0/24. On note qu'un utilisateur connecté au réseau itinérant 29 a des droits d'accès au réseau Internet 23 restreints par rapport à un utilisateur du réseau privé 22. En outre, la configuration de la passerelle 21 est telle que les terminaux faisant partie du réseau itinérant 29 n'ont pas accès au réseau privé 22 et réciproquement, les équipements multimédia du réseau privé 22 n'ont pas accès au réseau itinérant 29. [41] Par ailleurs, un serveur 35 implanté sur le réseau 28 de l'opérateur assure la mise en oeuvre du protocole EAP-SIM défini par les normes 3GPPTS-23.003, IETF RFC 4186 et 4187. Ce protocole permet une authentification transparente pour l'utilisateur d'un terminal 31 muni d'une carte SIM, de type SMARTHPHONE, tablette, ou clé 3G, voulant se connecter au réseau itinérant 29 pour accéder au réseau Internet 23. A cet effet, le serveur 35 est apte à autoriser et établir, après échange d'informations cryptées avec le terminal, une connexion sécurisée entre ledit terminal 31 et le réseau Internet 23 depuis le réseau itinérant 29. Dans ce cadre, le serveur 35 vérifie qu'un identifiant SIMidx dérivé de la carte SIM du terminal 31 cherchant à se connecter au réseau Internet correspond à une carte SIM appartenant au réseau de l'opérateur. A cet effet, l'identifiant SIMidx est comparé avec une liste d'identifiants contenue dans une base de données 38 stockée par exemple dans le serveur 35 ou à un autre emplacement du réseau 28 du FAI. [42] Le serveur 35 contient en outre une table 40 établissant une correspondance entre les identifiants des terminaux autorisés à se connecter au réseau privé 22 et un identifiant relatif à la passerelle 21. La déclaration des identifiants du ou des terminaux est effectuée de manière manuelle par l'utilisateur via une interface 43 de type WEB. Le serveur correspondant dont l'accès est restreint aux utilisateurs autorisés est hébergé au sein de l'infrastructure de l'opérateur. Ce contrôle permet à un utilisateur de n'autoriser des terminaux que sur la passerelle donnant accès à son propre réseau privé. [43] Dans ce cas, pour faciliter à l'utilisateur l'entrée des identifiants du terminal dans la table 40, les identifiants prennent de préférence la forme d'un numéro MSISDN, ce dernier étant parfaitement connu de l'utilisateur final. Alternativement, l'utilisateur ayant souscrit à une offre de type multi- services combinant un accès à Internet et à un service de téléphonie mobile, la déclaration des identifiants est effectuée par l'opérateur de manière transparente pour l'utilisateur. En effet, l'opérateur associe alors les identifiants des terminaux à l'identifiant de la passerelle 21 relative à l'offre correspondante. L'utilisateur pourra éventuellement être autorisé par l'opérateur à modifier et/ou à compléter la liste des terminaux ainsi configurée. Dans ce cas, les identifiants pourront prendre une autre forme que les numéros MSISDN. [44] De préférence, l'identifiant relatif à la passerelle 21 est choisi pour être robuste à un échange de passerelle 21 suite à l'intervention du service après vente et à un changement d'adresse de l'utilisateur lors d'un déménagement. Dans un exemple, cet identifiant appelé "Idur" correspond à un numéro de contrat de l'utilisateur relatif à l'accès à Internet. L'utilisateur n'a pas à connaître a priori le numéro Idur attribué aux services d'accès mis en oeuvre par la passerelle 21 lors du paramétrage de la liste des terminaux autorisés à accéder au réseau privé 22. En effet, le numéro Idur pourra être déterminé à partir des coordonnées du compte client de l'utilisateur auquel ce dernier accède via la page WEB 43 par l'intermédiaire de son navigateur Internet. On précise ici que le numéro 'dur est attribué au service d'accès de l'abonné, indépendamment de sa localisation et de la passerelle 21 au sens d'équipement physique utilisé. Cet identifiant ne sera pas modifié durant toute la vie commerciale du client. [045] On décrit ci-après la mise en oeuvre du procédé de connexion selon l'invention au réseau local 22 par le terminal 31 muni d'une carte SIM. Préalablement, dans une étape 100, l'utilisateur effectue la déclaration de la liste des identifiants MSISDN_i associés à la passerelle 21 via la page WEB 43. Alternativement, la déclaration des identifiants est effectuée par l'opérateur dans le cas où l'utilisateur a souscrit à une offre combinant la téléphonie mobile et l'accès à Internet. [46] Dans une étape 101, lorsque le terminal 31 se trouve dans la portée radio de la passerelle 21, ledit terminal 31 capte un identifiant du réseau itinérant 29 et émet une requête R d'accès au réseau Internet 23.
Cette requête comporte l'identifiant Idur_A relatif à la passerelle 21, l'identifiant SIMidx du terminal 31, ainsi que l'adresse publique de la passerelle 21 pour permettre son identification. [47] Dans une étape 102, le terminal 31 échange alors des informations cryptées avec le serveur 35 qui vérifie selon le protocole EAP-SIM si l'identifiant SIMidx envoyé par le terminal 31 correspond à un utilisateur du réseau 28 du FAI. Dans le cas où la vérification est positive, alors le serveur 35 autorise l'accès du terminal 31 à Internet via une liaison sécurisée dans une étape 103. Conformément au protocole EAP-SIM, l'identifiant SIMidx est un identifiant qui dérive du numéro IMSI de la carte SIM du terminal 31.
L'étape de vérification est effectuée à partir de la base de données 38 stockant la liste des identifiants SIMid correspondant aux usagers autorisés à accéder au réseau Internet via le réseau communautaire. [48] Dans une étape 104, le serveur 35 vérifie dans la table 40 si l'identifiant du terminal 31 appartient à la liste d'identifiants associée à l'identifiant Idur_A de la passerelle 21. Afin d'effectuer cette vérification, le serveur 35 établit une correspondance entre l'identifiant SIMidx renvoyé par le terminal 31 et l'identifiant MSISDN. Cette correspondance est par exemple effectuée en envoyant une requête vers le module HLR 49 (Home Location Register) du réseau 28 du FAI qui contient les données relatives à l'abonnement des utilisateurs ainsi que les caractéristiques des différents services souscrits. [049] Dans une étape 105, dans le cas où l'identifiant du terminal 31 correspond à un des identifiants de la liste d'identifiants de la table 40 associée à la passerelle 21, alors le serveur 35 autorise la création d'un tunnel 50 sécurisé entre le terminal 31 et le réseau privé 22 de sorte que le terminal 31 peut accéder à des ressources dudit réseau privé 22. A cette fin, le serveur 35 autorise la création par la passerelle 21 d'un VLAN (Virtual LAN) entre le terminal 31 et le réseau privé 22. La création de ce VLAN est effectuée selon la norme RFC3580. L'utilisateur devient ainsi membre du réseau privé 22 bénéficiant d'un accès à l'ensemble des fonctionnalités proposées au sein de ce réseau privé, et n'a alors plus de restriction d'accès au réseau Internet 23. [050] Dans le cas où l'identifiant SIMidx du terminal 31 n'appartient pas à la liste des identifiants des terminaux dont une carte SIM est associée à la passerelle 21 stockée dans la table 40, l'accès au réseau local 22 n'est pas autorisé par le serveur 35. Le terminal 31 peut néanmoins accéder au réseau Internet 23 via le réseau itinérant 29 sous réserve de faire partie du réseau du FAI. [51] A titre de complément, la figure 4 montre un diagramme d'allocation dynamique d'un VLAN en fonction de la passerelle 21 à laquelle se connecte le terminal 31 de l'utilisateur. [52] Sur la Figure 4, seul l'aspect d'utilisateur disposant de l'offre permettant la mise en oeuvre de l'invention est présentée. Dans le cas d'un terminal 31 muni d'une carte SIM n'appartenant pas à l'opérateur, ou d'un utilisateur ne disposant pas de l'offre permettant la mise en oeuvre de l'invention, le rejet de l'authentification intervient en début de chaîne par l'intermédiaire du radius EAP (qui vérifie que la carte SIM appartient au réseau de l'opérateur) ou du radius Utilisateur (qui vérifie que l'utilisateur dispose de l'offre permettant la mise en oeuvre de l'invention). [053] La Figure 5 montre un diagramme d'un parcours utilisateur déclarant un MSISDN autorisé à accéder à son réseau local privé au travers du réseau local itinérant, lequel parcours se déroule depuis un espace WEB protégé dédié. On note que l'élément réseau PIMS correspond à la base contenant les couples MSISDN / IMSI autorisés à accéder au réseau communautaire. Cette base est provisionnée par le système d'informations de l'opérateur.