FR2998746A1 - Dispositif, systeme et procede de gestion de connexion a un reseau sans-fil securise - Google Patents

Dispositif, systeme et procede de gestion de connexion a un reseau sans-fil securise Download PDF

Info

Publication number
FR2998746A1
FR2998746A1 FR1261940A FR1261940A FR2998746A1 FR 2998746 A1 FR2998746 A1 FR 2998746A1 FR 1261940 A FR1261940 A FR 1261940A FR 1261940 A FR1261940 A FR 1261940A FR 2998746 A1 FR2998746 A1 FR 2998746A1
Authority
FR
France
Prior art keywords
communication device
connection
wireless network
access point
secure wireless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR1261940A
Other languages
English (en)
Inventor
Jerome Barois
Bertrand Pascual
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sagemcom Broadband SAS
Original Assignee
Sagemcom Broadband SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sagemcom Broadband SAS filed Critical Sagemcom Broadband SAS
Priority to FR1261940A priority Critical patent/FR2998746A1/fr
Publication of FR2998746A1 publication Critical patent/FR2998746A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Dispositif, système et procédé de gestion de connexion à un réseau sans-fil sécurisé Un point d'accès du réseau sans-fil sécurisé reçoit (301) une requête de connexion au réseau sans-fil sécurisé en provenance d'un premier dispositif de communication, le point d'accès échangeant des clefs de chiffrement avec le premier dispositif de communication lorsque la connexion du premier dispositif de communication au réseau sans-fil sécurisé est acceptée. Le point d'accès : identifie (302) un second dispositif de communication ; transmet (303) au second dispositif de communication une information représentative de ladite requête de connexion ; interagit (304, 305) avec le second dispositif de communication pour permettre d'afficher à un utilisateur l'information représentative de ladite requête de connexion et pour permettre à l'utilisateur de prendre une décision d'acceptation ou de refus de connexion du premier dispositif de communication au réseau sans-fil sécurisé.

Description

La présente invention concerne une gestion de requêtes de connexion à un réseau sans-fil sécurisé par un point d'accès. La mise en oeuvre de réseaux locaux sans-fil WLAN (« Wireless Local Area Network » en anglais) offre une grande flexibilité aux utilisateurs de dispositifs de communication, tels que des ordinateurs, des tablettes, des téléphones intelligents, etc. Afin de ne pas autoriser tout dispositif de communication à se connecter à un réseau WLAN et à avoir accès aux échanges de données intervenant via le réseau WLAN, des protocoles de sécurité sont mis en oeuvre. Assurer la sécurité du réseau WLAN ne doit cependant pas se faire au détriment d'une simplicité de configuration.
Par exemple, dans le cadre d'un réseau Wi-Fi (marque déposée), le protocole WPS (« Wi-Fi Protected Setup » en anglais) peut être mis en oeuvre. Le but du protocole WPS est que la phase de configuration pour sécuriser un réseau Wi-Fi soit simple, donc accessible à des utilisateurs sans connaissances particulières en configuration de réseau de communication. Le protocole WPS propose au moins trois manières de permettre à un dispositif de communication de se connecter au réseau Wi- Fi (marque déposée) sécurisé : la méthode PIN (« Personal Identification Number » en anglais), la méthode PBC (« Push-Button Configuration » en anglais) et la méthode NFC (« Near Field Communication » en anglais). La méthode PIN repose sur un code PIN généré par le dispositif de communication de se connecter au réseau Wi-Fi (marque déposée) sécurisé ; ce code est alors saisi par un utilisateur via une interface utilisateur d'un dispositif, appelé point d'accès sans-fil WAP (« Wireless Access Point » en anglais), qui gère toute connexion au réseau Wi-Fi (marque déposée). Cependant, en 2011, le chercheur Stefan Viehbôck a mis en évidence une faille importante dans la méthode PIN, ce qui la rend aujourd'hui inutilisable. La méthode PBC repose sur le fait que l'utilisateur appuie sur un bouton, qu'il soit physique ou virtuel, à la fois sur le point d'accès WAP et sur le dispositif de communication à connecter au réseau Wi-Fi (marque déposée) sécurisé. Cependant, la méthode PBC pose le problème d'ouvrir pendant un certain temps l'accès au réseau Wi-Fi (marque déposée) à tout dispositif de communication compatible. La méthode NFC repose sur le fait que l'utilisateur approche le dispositif de communication à connecter au réseau Wi-Fi (marque déposée) sécurisé auprès du point d'accès WAP pour établir une communication en champ proche. Cette solution n'est cependant pratique que pour les dispositifs de communication de petite taille, e.g. qui tiennent dans la main, et requiert que les dispositifs de communication à connecter au réseau Wi-Fi (marque déposée) sécurisé supportent la technologie NFC. La même problématique de simplicité de configuration se pose pour d'autres technologies de réseau de communication, dès que l'on cherche à restreindre l'accès au réseau à un ensemble limité et choisi de dispositifs de communication. Il est souhaitable de pallier ces inconvénients de l'état de la technique. Il est aussi souhaitable de fournir une solution qui soit simple à mettre en oeuvre et qui permette de supporter les dispositifs de communication, compatibles avec la technologie de communication du réseau, déjà disponibles sur étagère.
L'invention concerne un procédé de gestion de connexion à un réseau sans-fil sécurisé, un point d'accès du réseau sans-fil sécurisé recevant une requête de connexion au réseau sans-fil sécurisé en provenance d'un premier dispositif de communication, le point d'accès échangeant des clefs de chiffrement avec le premier dispositif de communication lorsque la connexion du premier dispositif de communication au réseau sans-fil sécurisé est acceptée. Le procédé est tel que le point d'accès effectue les étapes suivantes : identification d'un second dispositif de communication ; transmission au second dispositif de communication d'une information représentative de ladite requête de connexion ; interaction avec le second dispositif de communication pour permettre d'afficher à un utilisateur l'information représentative de ladite requête de connexion et pour permettre à l'utilisateur de prendre une décision d'acceptation ou de refus de connexion du premier dispositif de communication au réseau sans-fil sécurisé ; acceptation ou refus de la connexion du premier dispositif de communication au réseau sans-fil sécurisé d'après ladite décision. Ainsi, la configuration du réseau sans-fil sécurisé est simple, tout en permettant de restreindre l'accès au réseau à un ensemble limité et choisi de dispositifs de communication. De plus, la solution proposée permet de supporter les dispositifs de communication, compatibles avec la technologie de communication du réseau, déjà disponibles sur étagère. Selon un mode de réalisation particulier, le second dispositif de communication est un dispositif connecté au réseau sans-fil sécurisé. Selon un mode de réalisation particulier, le point d'accès met en oeuvre un serveur web accessible via le réseau sans-fil sécurisé, ledit serveur web fournit au second dispositif de communication, dans le cadre d'une session, une liste de dispositifs de communication en attente de décision d'acceptation ou de refus de connexion au réseau sans-fil sécurisé. Selon un mode de réalisation particulier, avant de fournir ladite liste, le point d'accès requiert une authentification de l'utilisateur.
Selon un mode de réalisation particulier, le point d'accès transmet à au moins un dispositif de communication connecté au réseau sans-fil sécurisé une notification indiquant que le second dispositif de communication requiert une connexion au réseau sans-fil sécurisé. Selon un mode de réalisation particulier, le point d'accès étant inclus dans une passerelle interconnectant le réseau sans-fil sécurisé et un réseau étendu, le second dispositif est un équipement d'un fournisseur d'accès associé à ladite passerelle, et, ledit équipement étant aussi connecté à un réseau de téléphonie mobile, ledit équipement interagit avec un terminal mobile connecté au réseau de téléphonie mobile pour permettre d'afficher à l'utilisateur l'information représentative de ladite requête de connexion et pour permettre à l'utilisateur de prendre la décision d'acceptation ou de refus de connexion du premier dispositif de communication au réseau sans-fil sécurisé. L'invention concerne également un point d'accès d'un réseau sans-fil sécurisé, le point d'accès comportant des moyens pour recevoir une requête de connexion au réseau sans-fil sécurisé en provenance d'un premier dispositif de communication et des moyens pour échanger des clefs de chiffrement avec le premier dispositif de communication lorsque la connexion du premier dispositif de communication au réseau sans-fil sécurisé est acceptée. Le point d'accès est tel qu'il comporte en outre : des moyens pour identifier un second dispositif de communication ; des moyens pour transmettre au second dispositif de communication une information représentative de ladite requête de connexion ; des moyens pour interagir avec le second dispositif de communication pour permettre d'afficher à un utilisateur l'information représentative de ladite requête de connexion et pour permettre à l'utilisateur de prendre une décision d'acceptation ou de refus de connexion du premier dispositif de communication au réseau sans-fil sécurisé ; des moyens pour accepter ou refuser la connexion du premier dispositif de communication au réseau sans-fil sécurisé d'après ladite décision. L'invention concerne également un système de gestion de connexion à un réseau sans-fil sécurisé comportant un point d'accès tel que mentionné ci-avant, le point d'accès étant inclus dans une passerelle interconnectant le réseau sans-fil sécurisé et un réseau étendu, le second dispositif est un équipement d'un fournisseur d'accès associé à ladite passerelle, et, ledit équipement comportant des moyens pour être connecté à un réseau de téléphonie mobile, ledit équipement comporte en outre des moyens pour interagir avec un terminal mobile connecté au réseau de téléphonie mobile pour permettre d'afficher à l'utilisateur l'information représentative de ladite requête de connexion et pour permettre à l'utilisateur de prendre la décision d'acceptation ou de refus de connexion du premier dispositif de communication au réseau sans-fil sécurisé. L'invention concerne également un programme d'ordinateur, qui peut être stocké sur un support et/ou téléchargé d'un réseau de communication, afin d'être lu par un processeur. Ce programme d'ordinateur comprend des instructions pour implémenter l'un quelconque des procédés mentionnés ci-dessus, lorsque ledit programme est exécuté par le processeur. L'invention concerne également des moyens de stockage comprenant un tel programme d'ordinateur.
Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels : - la Fig. lA illustre schématiquement un premier système dans lequel la présente invention peut être mise en oeuvre ; - la Fig. 1B illustre schématiquement un second système dans lequel la présente invention peut être mise en oeuvre ; - la Fig. 2 illustre schématiquement un exemple d'architecture matérielle d'un point d'accès du premier ou du second système ; - la Fig. 3 illustre schématiquement un algorithme de gestion de connexion à un réseau sans-fil ; - la Fig. 4 illustre schématiquement un échange de messages, selon un premier mode de réalisation ; - la Fig. 5 illustre schématiquement un échange de messages, selon un second mode de réalisation ; - la Fig. 6 illustre schématiquement un algorithme de relais de messages, dans un troisième mode de réalisation ; - la Fig. 7 illustre schématiquement un échange de messages, selon le troisième mode de réalisation.
La Fig. lA illustre schématiquement un premier système dans lequel la présente invention peut être mise en oeuvre. Le système de la Fig. lA comporte un point d'accès sans-fil WAP 110, qui gère toute connexion à un réseau local sans-fil WLAN 120. En d'autres termes, le point- accès WAP 110 est en charge d'accepter ou de refuser de connecter au réseau WLAN 120 tout dispositif de communication présent ou entrant dans la zone de couverture du réseau WLAN 120 et qui en fait la requête. Le réseau WLAN 120 est sécurisé, en ce sens que, en dehors des phases d'initialisation de la connexion au réseau WLAN 120, les communications sont chiffrées.
Préférentiellement, le réseau WLAN 120 est un réseau Wi-Fi (marque déposée), tel que défini par la famille de standards IEEE 802.11, et le point-accès WAP 110 sécurise le réseau WLAN 120 grâce au protocole WPS. C'est ce mode particulier de réalisation qui sera retenu par la suite. Il convient cependant de noter que l'invention peut être mise en oeuvre dans tout réseau de communication sans-fil sécurisé, pour lequel chaque dispositif souhaitant se connecter au réseau sans-fil s'annonce auprès du point d'accès WAP et se met en attente d'une validation du point d'accès WAP et de clefs nécessaires à la mise en place des communications chiffrées. Le réseau WLAN 120 peut s'inscrire dans un réseau LAN (« Local Area Network » en anglais) comportant aussi une partie filaire, le point-accès WAP 110 assurant que le réseau WLAN 120 et cette partie filaire constituent un seul et même réseau LAN. Le système présenté à la Fig. lA montre un dispositif de communication 111 connecté au réseau WLAN 120, ainsi qu'un dispositif de communication 112 souhaitant se connecter au réseau WLAN 120. Le dispositif de communication 111 est donc connu du point-accès WAP 110, et est par exemple un ordinateur, une tablette, ou un téléphone intelligent (« smartphone » en anglais). Le dispositif de communication 112 aussi est par exemple un ordinateur, une tablette, ou un téléphone intelligent. Les étapes mises en oeuvre par le point-accès WAP 110 pour accepter ou refuser que le dispositif de communication 112 se connecte au réseau WLAN 120 sont décrites ci-après en relation avec la Fig. 3. Dans ce cadre, des échanges intervenant entre le point-accès WAP 110 et le dispositif de communication 112, ainsi qu'entre le point-accès WAP 110 et le dispositif de communication 111, sont décrits ci-après en relation avec les Figs. 4 et 5.
La Fig. 1B illustre schématiquement un second système dans lequel la présente invention peut être mise en oeuvre. Le système de la Fig. 1B comporte le point d'accès WAP 110, qui est intégré dans une passerelle interconnectant le réseau WLAN 120 à un réseau étendu WAN (« Wide Area Network » en anglais) 130. L'accès au réseau étendu WAN 130 est assuré par un fournisseur d'accès (« Service Provider » en anglais), aussi appelé opérateur, grâce à un équipement 140. Le système de la Fig. 1B s'intéresse plus particulièrement aux architectures mises en place par le fournisseur d'accès pour mettre en oeuvre des offres quadruplay, c'est-à-dire des abonnements comportant l'accès à l'Internet, à la télévision et au téléphone via la passerelle, ainsi qu'à l'accès à un réseau de téléphonie mobile 150 pour des stations mobiles. Un utilisateur chez lequel la passerelle est installée peut alors disposer d'un téléphone intelligent 151 dont l'accès au réseau de téléphonie mobile 150 est géré par le fournisseur d'accès grâce à un même compte utilisateur que l'accès au réseau étendu WAN 130. Dans le cadre de ces offres quadruplay, ce n'est pas à l'aspect commercial que s'attache l'invention, ni à l'accès à la télévision et au téléphone via la passerelle, mais au fait que le fournisseur d'accès fournisse l'accès au réseau de téléphonie mobile 150 et au réseau étendu WAN 130. Un mode de réalisation particulier de l'invention en relation avec la Fig. 1B est décrit ci-après en relation avec la Fig. 6. Comme pour le système présenté à la Fig. 1A, le système présenté à la Fig. 1B montre le dispositif de communication 112 souhaitant se connecter au réseau WLAN 120. Dans ce cadre, des échanges intervenant entre le point-accès WAP 110 et le dispositif de communication 112, ainsi qu'entre le point-accès WAP 1 1 0 et l'équipement 140, sont décrits ci-après en relation avec la Fig. 7. La Fig. 2 illustre schématiquement un exemple d'architecture matérielle du point d'accès 100. Le point d'accès AP 110 comporte alors, reliés par un bus de communication 220: un processeur ou CPU (« Central Processing Unit » en anglais) 210 ; une mémoire vive RAM (« Random Access Memory » en anglais) 211 ; une mémoire morte ROM (« Read Only Memory » en anglais) 212 ; une unité de stockage ou un lecteur de support de stockage, tel qu'un lecteur de cartes SD (« Secure Digital » en anglais) ou un disque dur HDD (« Hard Disk Drive » en anglais) 213 ; et au moins une interface 214 permettant au point d'accès AP 110 de communiquer via au moins un réseau respectif. Le processeur 210 est capable d'exécuter des instructions chargées dans la RAM 211 à partir de la ROM 212, d'une mémoire externe (non représentée), d'un support de stockage, ou d'un réseau de communication. Lorsque le point d'accès 110 est mis sous tension, le processeur 210 est capable de lire de la RAM 211 des instructions et de les exécuter. Ces instructions forment un programme d'ordinateur causant la mise en oeuvre, par le processeur 210, de tout ou partie des algorithmes et étapes décrits ci-après.
Ainsi, tout ou partie des algorithmes et étapes décrits ci-après peut être implémenté sous forme logicielle par exécution d'un ensemble d'instructions par une machine programmable, tel qu'un DSP (« Digital Signal Processor » en anglais) ou un microcontrôleur. Tout ou partie des algorithmes et étapes décrits ci-après peut aussi être implémenté sous forme matérielle par une machine ou un composant dédié, tel qu'un FPGA (« Field-Programmable Gate Array » en anglais) ou un A S IC (« Application-Specific Integrated Circuit » en anglais). La Fig. 3 illustre schématiquement un algorithme, mis en oeuvre par le point d'accès WAP 110, de gestion de connexion au réseau WLAN 120. Dans une étape 301, le point d'accès WAP 110 détecte un dispositif requérant une connexion au réseau WLAN 120. En reprenant les Figs. lA et 1B, le point d'accès WAP 110 détecte que le dispositif de communication 112 requiert d'être connecté au réseau WLAN 120. Cette détection résulte d'un envoi de message, appelé probe request, par lequel le dispositif de communication 112 s'annonce auprès du point d'accès WAP 110 et requiert d'être connecté au réseau WLAN 120.
Dans une étape 302, le point d'accès WAP 110 détermine un dispositif de référence, afin de déléguer la prise de décision quant à l'acceptation ou le refus de connecter le dispositif de communication 112 au réseau WLAN 120. Selon une première variante de réalisation, le point d'accès WAP 110 dispose en mémoire d'un identifiant de dispositif de référence et les informations nécessaires pour entrer en contact avec le dispositif de référence, et envoie au dispositif de référence une notification indiquant que le dispositif de communication 112 requiert d'être connecté au réseau WLAN 120. Le dispositif de référence est par exemple un dispositif de communication connecté au réseau WLAN 120, tel que le dispositif de communication 111 sur la Fig. 1A, ou un dispositif de communication connecté au réseau LAN. Le dispositif de référence peut aussi être un serveur parmi l'équipement 140 du fournisseur d'accès dans le cadre de la Fig. 1B. Selon une seconde variante de réalisation, le point d'accès WAP 110 identifie au moins un dispositif de communication connecté au réseau WLAN 120, ou au réseau LAN, et envoie à chaque dispositif de communication identifié une notification indiquant que le dispositif de communication 112 requiert d'être connecté au réseau WLAN 120. L'échange de messages survenant lorsque le point d'accès WAP 110 envoie la notification mentionnée dans ces première et seconde variantes est détaillé ci-après en relation avec la Fig. 4. Selon une troisième variante de réalisation, le point d'accès WAP 110 enregistre en mémoire une information représentative de la requête du dispositif de communication 112. Le dispositif de référence est alors un dispositif de communication grâce auquel l'utilisateur se connecte ultérieurement à un serveur web embarqué par le point d'accès WAP 110 et accessible à partir du réseau WLAN 120 ou du réseau LAN. L'échange de messages survenant dans ce cas de figure est détaillé ci-après en relation avec la Fig. 5. Selon une quatrième variante de réalisation, le point d'accès WAP 110 enregistre en mémoire une information représentative de la requête du dispositif de communication 112. Le point d'accès WAP 110 envoie à au moins un dispositif de communication, identifié de la même manière que dans les première et seconde variantes, une notification indiquant que le dispositif de communication 112 requiert d'être connecté au réseau WLAN 120. Le dispositif de référence est alors un dispositif de communication ayant reçu la notification et grâce auquel l'utilisateur se connecte ultérieurement au serveur web embarqué par le point d'accès WAP 110. L'échange de messages survenant dans ce cas de figure est alors une combinaison des échanges détaillés ci-après en relation avec les Figs. 4 et 5. Par la suite, le point d'accès WAP 110 interagit avec le dispositif de référence pour permettre d'afficher à un utilisateur l'information représentative de la requête de connexion et pour permettre à l'utilisateur de prendre une décision d'acceptation ou de refus de connexion du dispositif de communication 112 au réseau WLAN 120. Dans une étape 303, le point d'accès WAP 110 fournit au dispositif de référence un identifiant du dispositif de communication 112 requérant d'être connecté au réseau WLAN 120.
Lorsque le point d'accès WAP 110 envoie une notification dans les première et seconde variantes susmentionnées, le point d'accès WAP 110 peut fournir cet identifiant dans la notification ou dans une notification subséquente. Lorsque le point d'accès WAP 110 met en oeuvre un serveur web dans les troisièmes et quatrièmes variantes, le point d'accès WAP 110 fournit cet identifiant dans une session ouverte auprès du serveur web. Dans une étape 304, le point d'accès WAP 110 fournit au dispositif de référence des moyens d'accepter ou de refuser que le dispositif de communication 112 soit connecté au réseau WLAN 120. Le point d'accès WAP 110 délègue ainsi au dispositif de référence la décision quant à l'acceptation ou au refus de connecter le dispositif de communication 112 au réseau WLAN 120. Lorsque le point d'accès WAP 110 envoie une notification dans les première et seconde variantes susmentionnées, le point d'accès WAP 110 peut fournir ces moyens d'accepter ou de refuser la connexion grâce à une application s'exécutant sur le dispositif de référence. L'application reçoit d'abord la notification et en informe l'utilisateur par affichage d'un message dédié dans une interface graphique, puis fournit les moyens à l'utilisateur d'accepter ou de refuser la connexion via cette interface graphique. L'application détecte alors le choix fait par l'utilisateur, par exemple en détectant un clic sur une zone prédéfinie de l'interface graphique ou en détectant l'appui sur un bouton dédié d'une télécommande permettant de contrôler le dispositif de référence via l'interface graphique. L'application transmet alors au point d'accès WAP 110, en réponse à la notification, une information représentative du choix fait par l'utilisateur. Lorsque le point d'accès WAP 110 met en oeuvre un serveur web dans les troisièmes et quatrièmes variantes, le point d'accès WAP 110 fournit ces moyens d'accepter ou de refuser la connexion dans le cadre de la session ouverte auprès du serveur web. Le dispositif de référence met alors en oeuvre un navigateur web (« web browser » en anglais) affichant une liste, fournie par le serveur web, de dispositifs de communication en attente de décision d'acceptation ou de refus de connexion au réseau WLAN 120. Pour chacun ou l'ensemble des dispositifs de communication de cette liste, le navigateur web permet à l'utilisateur d'accepter ou de refuser la connexion au réseau WLAN 120. L'application transmet alors au point d'accès WAP 110, dans le cadre de la session, une information représentative du choix fait par l'utilisateur.
Dans une étape 305, le point d'accès WAP 110 reçoit la décision transmise par le dispositif de référence. Dans une étape 306, le point d'accès WAP 110 détermine si la décision est une acceptation ou un refus de connecter le dispositif de communication 112 au réseau WLAN 120. Si la décision est une acceptation de connecter le dispositif de communication 112 au réseau WLAN 120, une étape 307 est effectuée ; sinon, une étape 308 est effectuée. Dans l'étape 307, le point d'accès WAP 110 envoie une réponse positive à la requête de connexion du dispositif de communication 112, et procède à un échange de clefs avec le dispositif de communication 112 pour pouvoir mettre en oeuvre les communications chiffrées dans le réseau WLAN 120. Dans le cas où le réseau WLAN 120 est un réseau Wi-Fi (marque déposée) et où le protocole WPS est mis en oeuvre, ces échanges prennent la forme de messages EAP (« Extensible Authentication Protocol » en anglais, tel que défini dans le document normatif RFC 3748).
Optionnellement, une étape 309 peut être effectuée. Dans l'étape 308, le point d'accès WAP 110 envoie une réponse négative à la requête de connexion du dispositif de communication 112. Optionnellement, l'étape 309 peut être effectuée. Dans l'étape 309, le point d'accès WAP 110 enregistre la décision reçue du dispositif de référence à l'étape 305, en association avec l'identifiant du dispositif de communication 112. Cela permet au point d'accès WAP 110 de pouvoir décider de lui-même quand le dispositif de communication 112 transmet à nouveau une requête de connexion au réseau WLAN 120. En cas d'acceptation de connecter le dispositif de communication 112 au réseau WLAN 120, cela permet aussi au point d'accès WAP d'éventuellement enrichir une liste de dispositifs de référence potentiels afin d'envoyer la notification selon la seconde variante susmentionnée. La Fig. 4 illustre schématiquement un échange de messages, selon un premier mode de réalisation. Dans une étape 401, le dispositif de communication 112 souhaite être connecté au réseau WLAN 120, par exemple parce que le dispositif de communication 112 pénètre dans la zone de couverture du réseau WLAN 120 ou sur requête d'un utilisateur. Le dispositif de communication 112 transmet alors dans une étape 402 une requête de connexion au réseau WLAN 120. Le dispositif de communication 112 s'annonce ainsi auprès du point d'accès WAP 110. Le requête est reçue dans une étape 403 par le point d'accès WAP 110, qui retrouve dans sa mémoire au moins un identifiant de dispositif de communication qui peut être un dispositif de référence. Dans une étape 404, le point d'accès WAP 110 transmet une notification à destination du ou des dispositifs correspondant au(x) identifiant(s) retrouvé(s), et fournit des moyens d'accepter ou de refuser la connexion du dispositif de communication 112 au réseau WLAN 120. La notification est représentative de la requête du dispositif de communication 112 et comporte un identifiant du dispositif de communication 112. Considérons que le dispositif de communication 111 est le dispositif de référence que l'utilisateur utilise pour indiquer sa décision quant à l'acceptation ou le refus de la connexion du dispositif de communication 112 au réseau WLAN 120. Le dispositif de communication 111 reçoit la notification dans une étape 405 et affiche dans une interface graphique une information représentative de la notification et de l'identifiant du dispositif de communication 112. L'interface graphique permet à l'utilisateur de choisir d'accepter ou de refuser la connexion du dispositif de communication 112 au réseau WLAN 120. Le dispositif de communication 111 obtient le choix de l'utilisateur et transmet, dans une étape 406, une réponse à la notification, la réponse comportant une information représentative de la décision d'accepter ou de refuser la connexion du dispositif de communication 112 au réseau WLAN 120. Le point d'accès WAP 110 reçoit cette réponse dans une étape 407. Si la décision est de refuser la connexion du dispositif de communication 112 au réseau WLAN 120, le point d'accès WAP 110 en informe le dispositif de communication 112 et il est mis fin aux échanges. Si la décision est d'accepter la connexion du dispositif de communication 112 au réseau WLAN 120, le point d'accès WAP 110 en informe le dispositif de communication 112 dans une étape 408. Le dispositif de communication 112 reçoit alors dans une étape 409 une réponse à la requête émise à l'étape 402. Il s'en suit, dans une étape 410, des échanges de clefs entre le point d'accès WAP 110 et le dispositif de communication 112, afin de permettre ultérieurement d'effectuer des communications chiffrées et ainsi d'assurer la sécurité des communications dans le réseau WLAN 120.
La Fig. 5 illustre schématiquement un échange de messages, selon un second mode de réalisation. Dans une étape 501, le dispositif de communication 112 souhaite être connecté au réseau WLAN 120. Le dispositif de communication 112 transmet alors dans une étape 502 une requête de connexion au réseau WLAN 120. Le dispositif de communication 112 s'annonce ainsi auprès du point d'accès WAP 110. La requête est reçue dans une étape 503 par le point d'accès WAP 110, qui enregistre dans une mémoire une information représentative de la requête du dispositif de communication 112.
Ultérieurement, dans une étape 504, le dispositif de communication 111 affiche à l'utilisateur une interface graphique via un navigateur web. Dans une étape 505, le dispositif de communication 111 requiert, auprès du point d'accès WAP 110, une liste d'identifiants de dispositifs de communication ayant requis d'être connectés au réseau WLAN 120 et dont les requêtes correspondantes sont en attente de décision. Une session est donc ouverte auprès d'un serveur web mis en oeuvre par le point d'accès WAP 110, la mise en place de cette session pouvant requérir une authentification par mot de passe saisi par l'utilisateur via l'interface graphique. Dans une étape 506, le point d'accès WAP 110 établit la liste requise, d'après les informations stockées en mémoire, et transmet la liste établie au dispositif de communication 111 dans une étape 507. Dans une étape 508, le dispositif de communication 111 reçoit cette liste et l'affiche à l'utilisateur via l'interface graphique. Il convient de noter que, la requête émise à l'étape 505 étant asynchrone par rapport aux requêtes de connexion au réseau WLAN 120, la liste peut être vide. L'interface graphique permet à l'utilisateur d'accepter ou de refuser la connexion au réseau WLAN 120 pour chacun ou l'ensemble des dispositifs de communication identifiés dans la liste affichée. L'utilisateur prend alors la décision d'accepter ou de refuser la connexion du dispositif de communication 112 au réseau WLAN 120. Le dispositif de communication 111 obtient le choix de l'utilisateur et transmet, dans une étape 509, un message comportant une information représentative de la décision d'accepter ou de refuser la connexion du dispositif de communication 112 au réseau WLAN 120. Le point d'accès WAP 110 reçoit ce message dans une étape 510. Si la décision est de refuser la connexion du dispositif de communication 112 au réseau WLAN 120, le point d'accès WAP 110 en informe le dispositif de communication 112 et il est mis fin aux échanges. Si la décision est d'accepter la connexion du dispositif de communication 112 au réseau WLAN 120, le point d'accès WAP 110 en informe le dispositif de communication 112 dans une étape 510. Le dispositif de communication 112 reçoit alors dans une étape 512 une réponse à la requête émise à l'étape 502. Il s'en suit, dans une étape 513, des échanges de clefs entre le point d'accès WAP 110 et le dispositif de communication 112, afin de permettre ultérieurement d'effectuer des communications chiffrées et ainsi d'assurer la sécurité des communications dans le réseau WLAN 120. Dans une variante de réalisation, le point d'accès WAP 110 notifie le dispositif de communication 111 de la réception en provenance du dispositif de communication 112 d'une requête de connexion au réseau WLAN 120. La notification est affichée par le dispositif de communication 111 comme déjà décrit en relation avec la Fig. 4. Cela permet de prévenir l'utilisateur qu'il/elle doit lancer son navigateur web pour accéder au serveur web du point d'accès WAP 110, afin de prendre une décision d'accepter ou refuser la connexion du dispositif de communication 112 au réseau LAN 120.
La Fig. 6 illustre schématiquement un algorithme de relais de messages, mis en oeuvre par l'équipement 140 du fournisseur d'accès, dans un troisième mode de réalisation. Le point d'accès WAP 110 interagit ainsi avec l'équipement 140, et l'équipement 140 interagit avec le téléphone mobile 150, pour permettre d'afficher à l'utilisateur l'information représentative de la requête de connexion du dispositif de communication 112 au réseau WLAN 120 et pour permettre à l'utilisateur de prendre une décision d'acceptation ou de refus quant à cette connexion. Dans une étape 601, l'équipement 140 reçoit en provenance du point d'accès WAP 110 une notification représentative d'une requête de connexion du dispositif de communication 112 au réseau WLAN 120 et qui comporte un identifiant du dispositif de communication 112. Dans une étape 602, l'équipement 140 détermine, à partir d'un identifiant du point d'accès WAP 110 contenu dans la notification, un compte utilisateur associé au point d'accès WAP 110. En d'autres termes, l'équipement 140 cherche à indirectement identifier l'utilisateur qui a souscrit auprès du fournisseur d'accès à l'offre d'accès au réseau étendu WAN. Dans une étape 603, l'équipement 140 détermine, à partir du compte utilisateur, un identifiant de téléphone intelligent qui puisse prendre le rôle de dispositif de référence. Par exemple, un tel identifiant est le numéro IMSI (« International Mobile Subscriber Identity » en anglais) ou le numéro MSISDN (« Mobile Station Integrated Services Digital Network Number » en anglais) associé à la carte SIM (« Subscriber Identity Module » en anglais) insérée dans le téléphone intelligent 151 et qui permet d'accéder au service du réseau de téléphonie mobile 150. Dans une étape 604, l'équipement 140 transfert la notification reçue à l'étape 601, éventuellement après reformatage, au téléphone intelligent 150 identifié à l'étape 603. L'utilisateur est ainsi notifié via son téléphone intelligent 150 que le dispositif de communication 112 requiert une connexion au réseau WLAN 120. Cette notification peut être transférée sous forme d'un message SMS (« Short Message Service » en anglais), d'un courriel, d'un message XMPP (« eXtensible Messaging and Presence Protocol » en anglais, tel que défini dans le document normatif RFC 6121). Le comportement du téléphone intelligent 150 est détaillé ci-après en relation avec la Fig. 7. Dans une étape 605, l'équipement 140 reçoit, en provenance du téléphone intelligent 150, une décision d'accepter ou de refuser la connexion du dispositif de communication 112 au réseau WLAN 120. Puis, dans une étape 606, l'équipement 140 transfère au point d'accès WAP 110 la décision reçue, éventuellement après reformatage. La Fig. 7 illustre schématiquement un échange de messages, selon le troisième mode de réalisation.
Dans une étape 701, le dispositif de communication 112 souhaite être connecté au réseau WLAN 120. Le dispositif de communication 112 transmet alors dans une étape 702 une requête de connexion au réseau WLAN 120. Le dispositif de communication 112 s'annonce ainsi auprès du point d'accès WAP 110. La requête est reçue dans une étape 703 par le point d'accès WAP 110, qui retrouve dans sa mémoire au moins un identifiant de l'équipement 140 du fournisseur d'accès. Dans une étape 704, le point d'accès WAP 110 transmet une notification à destination de l'équipement 140, et fournit des moyens d'accepter ou de refuser la connexion du dispositif de communication 112 au réseau WLAN 120. La notification est représentative de la requête du dispositif de communication 112 et comporte un identifiant du dispositif de communication 112. L' équipement 140 reçoit la notification dans une étape 705 et identifie le téléphone intelligent 150, comme décrit ci-dessus en relation avec la Fig. 6. L'équipement 140 transfère la notification au téléphone intelligent 150 dans une étape 706. Le téléphone intelligent 150 reçoit la notification dans une étape 707 et affiche dans une interface graphique une information représentative de la notification et de l'identifiant du dispositif de communication 112. Le téléphone intelligent offre la possibilité à l'utilisateur de communiquer sa décision, par exemple en répondant par un message SMS comportant le texte « OK » en cas d'acceptation de la connexion du dispositif de communication 112 au réseau WLAN 120, ou le texte « KO » en cas de refus de la connexion du dispositif de communication 112 au réseau WLAN 120. Selon un autre exemple, une application est installée sur le téléphone intelligent et, quand l'utilisateur lance cette application, le téléphone intelligent affiche une interface graphique qui permet à l'utilisateur de choisir d'accepter ou de refuser la connexion du dispositif de communication 112 au réseau WLAN 120. Le téléphone intelligent 150 obtient le choix de l'utilisateur et transmet à l'équipement 140, dans une étape 708, une réponse à la notification reçue à l'étape 707, la réponse comportant une information représentative de la décision d'accepter ou de refuser la connexion du dispositif de communication 112 au réseau WLAN 120.
L'équipement 140 reçoit la réponse dans une étape 709 et transfère la réponse au point d'accès WAP 110 dans une étape 710. Le point d'accès WAP 110 reçoit cette réponse dans une étape 711. Si la décision est de refuser la connexion du dispositif de communication 112 au réseau WLAN 120, le point d'accès WAP 110 en informe le dispositif de communication 112 et il est mis fin aux échanges. Si la décision est d'accepter la connexion du dispositif de communication 112 au réseau WLAN 120, le point d'accès WAP 110 en informe le dispositif de communication 112 dans une étape 712. Le dispositif de communication 112 reçoit alors dans une étape 713 une réponse à la requête émise à l'étape 702. Il s'en suit, dans une étape 714, des échanges de clefs entre le point d'accès WAP 110 et le dispositif de communication 112, afin de permettre ultérieurement d'effectuer des communications chiffrées et ainsi d'assurer la sécurité des communications dans le réseau WLAN 120.

Claims (10)

  1. REVENDICATIONS1) Procédé de gestion de connexion à un réseau sans-fil sécurisé (120), un point d'accès (110) du réseau sans-fil sécurisé recevant (301) une requête de connexion au réseau sans-fil sécurisé en provenance d'un premier dispositif de communication (112), le point d'accès échangeant (410 ; 513 ; 714) des clefs de chiffrement avec le premier dispositif de communication lorsque la connexion du premier dispositif de communication au réseau sans-fil sécurisé est acceptée, caractérisé en ce que le point d'accès effectue les étapes suivantes : - identification (302) d'un second dispositif de communication (111 ; 140) ; - transmission (303) au second dispositif de communication d'une information représentative de ladite requête de connexion ; - interaction (304, 305) avec le second dispositif de communication pour permettre d'afficher à un utilisateur l'information représentative de ladite requête de connexion et pour permettre à l'utilisateur de prendre une décision d'acceptation ou de refus de connexion du premier dispositif de communication au réseau sans-fil sécurisé ; - acceptation (307) ou refus (308) de la connexion du premier dispositif de communication au réseau sans-fil sécurisé d'après ladite décision.
  2. 2) Procédé selon la revendication 1, caractérisé en ce que le second dispositif de communication est un dispositif (111) connecté au réseau sans-fil sécurisé.
  3. 3) Procédé selon la revendication 2, caractérisé en ce que le point d'accès met en oeuvre un serveur web accessible via le réseau sans-fil sécurisé, ledit serveur web fournit (507) au second dispositif de communication, dans le cadre d'une session, une liste de dispositifs de communication en attente de décision d'acceptation ou de refus de connexion au réseau sans-fil sécurisé.
  4. 4) Procédé selon la revendication 3, caractérisé en ce que, avant de fournir ladite liste, le point d'accès requiert une authentification de l'utilisateur.
  5. 5) Procédé selon l'une quelconque des revendications 2 à 4, caractérisé en ce que le point d'accès transmet à au moins un dispositif de communication connecté auréseau sans-fil sécurisé une notification (404) indiquant que le second dispositif de communication requiert une connexion au réseau sans-fil sécurisé.
  6. 6) Procédé selon la revendication 1, caractérisé en ce que, le point d'accès étant inclus dans une passerelle interconnectant le réseau sans-fil sécurisé et un réseau étendu (130), le second dispositif est un équipement (140) d'un fournisseur d'accès associé à ladite passerelle, et en ce que, ledit équipement étant aussi connecté à un réseau de téléphonie mobile (150), ledit équipement interagit (604, 605) avec un terminal mobile (151) connecté au réseau de téléphonie mobile pour permettre d'afficher à l'utilisateur l'information représentative de ladite requête de connexion et pour permettre à l'utilisateur de prendre la décision d'acceptation ou de refus de connexion du premier dispositif de communication au réseau sans-fil sécurisé.
  7. 7) Point d'accès (110) d'un réseau sans-fil sécurisé (120), le point d'accès comportant des moyens pour recevoir (301) une requête de connexion au réseau sans-fil sécurisé en provenance d'un premier dispositif de communication (112) et des moyens pour échanger (410 ; 513 ; 714) des clefs de chiffrement avec le premier dispositif de communication lorsque la connexion du premier dispositif de communication au réseau sans-fil sécurisé est acceptée, caractérisé en ce que le point d'accès comporte en outre : - des moyens pour identifier (302) un second dispositif de communication (111 ; 140) ; - des moyens pour transmettre (303) au second dispositif de communication une information représentative de ladite requête de connexion ; - des moyens pour interagir (304, 305) avec le second dispositif de communication pour permettre d'afficher à un utilisateur l'information représentative de ladite requête de connexion et pour permettre à l'utilisateur de prendre une décision d'acceptation ou de refus de connexion du premier dispositif de communication au réseau sans-fil sécurisé ; - des moyens pour accepter (307) ou refuser (308) la connexion du premier dispositif de communication au réseau sans-fil sécurisé d'après ladite décision.
  8. 8) Système de gestion de connexion à un réseau sans-fil sécurisé comportant un point d'accès selon la revendication 7, le point d'accès étant inclus dans une passerelle interconnectant le réseau sans-fil sécurisé et un réseau étendu (130), le second dispositif est un équipement (140) d'un fournisseur d'accès associé à ladite passerelle, et en ce que, ledit équipement comportant des moyens pour être connecté à un réseau de téléphonie mobile (150), ledit équipement comporte en outre des moyens pour interagir (604, 605) avec un terminal mobile connecté au réseau de téléphonie mobile pour permettre d'afficher à l'utilisateur l'information représentative de ladite requête de connexion et pour permettre à l'utilisateur de prendre la décision d'acceptation ou de refus de connexion du premier dispositif de communication au réseau sans-fil sécurisé.
  9. 9) Programme d'ordinateur, caractérisé en ce qu'il comprend des instructions pour mettre en oeuvre, par un processeur d'un point d'accès à un réseau sans-fil sécurisé, le procédé selon l'une quelconque des revendications 1 à 5, lorsque ledit programme est exécuté par ledit processeur.
  10. 10) Moyens de stockage, caractérisés en ce qu'ils stockent un programme d'ordinateur comprenant des instructions pour mettre en oeuvre, par un processeur d'un point d'accès à un réseau sans-fil sécurisé, le procédé selon l'une quelconque des revendications 1 à 5, lorsque ledit programme est exécuté par ledit processeur.
FR1261940A 2012-12-12 2012-12-12 Dispositif, systeme et procede de gestion de connexion a un reseau sans-fil securise Pending FR2998746A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1261940A FR2998746A1 (fr) 2012-12-12 2012-12-12 Dispositif, systeme et procede de gestion de connexion a un reseau sans-fil securise

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1261940A FR2998746A1 (fr) 2012-12-12 2012-12-12 Dispositif, systeme et procede de gestion de connexion a un reseau sans-fil securise

Publications (1)

Publication Number Publication Date
FR2998746A1 true FR2998746A1 (fr) 2014-05-30

Family

ID=47833252

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1261940A Pending FR2998746A1 (fr) 2012-12-12 2012-12-12 Dispositif, systeme et procede de gestion de connexion a un reseau sans-fil securise

Country Status (1)

Country Link
FR (1) FR2998746A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090158402A1 (en) * 2006-08-18 2009-06-18 Huawei Technologies Co., Ltd. System and method for authorizing access request for home network
US20110271334A1 (en) * 2008-11-14 2011-11-03 Huawei Device Co., Ltd. Method, system, and device for implementing device addition in wi-fi device to device network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090158402A1 (en) * 2006-08-18 2009-06-18 Huawei Technologies Co., Ltd. System and method for authorizing access request for home network
US20110271334A1 (en) * 2008-11-14 2011-11-03 Huawei Device Co., Ltd. Method, system, and device for implementing device addition in wi-fi device to device network

Similar Documents

Publication Publication Date Title
FR2825869A1 (fr) Procede d'authentification entre un objet de telecommunication portable et une borne d'acces public
CN106575343B (zh) 基于客户端所确定的邻近客户端设备之间的关系来触发通信动作
EP1695576B1 (fr) Procede et dispositif de sauvegarde avance de donn es pers onnelles d un abonne a un reseau de telecommunications
US8521804B2 (en) Interconnection system between at least one communication device and at least one remote data system and interconnection method
CA2804562A1 (fr) Procede d'etablissement d'une communication sur internet entre terminaux mobiles, programme d'ordinateur et support d'enregistrement
EP3668047B1 (fr) Procédé d'ouverture d'une session sécurisée sur un terminal informatique
CN108390912B (zh) 一种多端测试数据采集的方法和装置
EP2348763A2 (fr) Procédé d'authentification d'un terminal mobile pour accéder à un serveur d'applications
WO2019186006A1 (fr) Procédé de connexion sans fil d'un objet communicant à un réseau de communication local, programme d'ordinateur et équipement d'accès correspondant
FR2998746A1 (fr) Dispositif, systeme et procede de gestion de connexion a un reseau sans-fil securise
EP3136758B1 (fr) Procédé et système de mise en relation sociale anonyme et sécurisée lors d'un événement
EP2608591B1 (fr) Auto-configuration d'un terminal mobile pour la connexion à un réseau sans fil sécurisé
EP3530036B1 (fr) Procédé d'appairage auprès d'une passerelle
EP2372958B1 (fr) Procédé pour authentifier un terminal se connectant à un serveur d' accès à internet
EP3327999B1 (fr) Dispositif de mutualisation des connexions internet
EP3021273A1 (fr) Procédé de sécurisation d'une transaction entre un terminal mobile et un serveur d'un fournisseur de service par l'intermédiaire d'une plateforme
WO2019110686A1 (fr) Acces a une ressource reseau par authentification mutuelle entre deux dispositifs mobiles par mouvements associees
WO2011073584A1 (fr) Procede de controle d'acces a un reseau local
WO2005036822A1 (fr) Procede et dispositif d'echange de donnees entre un terminal connecte a un reseau et une carte sim logee dans un terminal mobile
FR3046325A1 (fr) Systeme pour la connexion securisee d'un equipement terminal client a un reseau etendu, par exemple internet
EP3224994A1 (fr) Procédé de notification de messages
WO2014191669A1 (fr) Gestion d'acces a un reseau radio-cellulaire
FR3007600A1 (fr) Procede d'authentification d'un utilisateur pour l'acces a un ensemble de services fournis sur un reseau de communication prive
FR3032083A1 (fr) Differentiation de classes de services de proximite dans des messages entre terminaux mobiles
EP2469959B1 (fr) Procédé et dispositif de gestion d´une session de communication entre un terminal multi-accès et un serveur ANDSF