FR3083948A1 - Procede et systeme de gestion du fonctionnement d'un groupe de plusieurs objets connectes - Google Patents

Procede et systeme de gestion du fonctionnement d'un groupe de plusieurs objets connectes Download PDF

Info

Publication number
FR3083948A1
FR3083948A1 FR1856546A FR1856546A FR3083948A1 FR 3083948 A1 FR3083948 A1 FR 3083948A1 FR 1856546 A FR1856546 A FR 1856546A FR 1856546 A FR1856546 A FR 1856546A FR 3083948 A1 FR3083948 A1 FR 3083948A1
Authority
FR
France
Prior art keywords
firmware
group
objects
connected object
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR1856546A
Other languages
English (en)
Inventor
Frederic Ruelle
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
STMicroelectronics Grand Ouest SAS
Original Assignee
STMicroelectronics Grand Ouest SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by STMicroelectronics Grand Ouest SAS filed Critical STMicroelectronics Grand Ouest SAS
Priority to FR1856546A priority Critical patent/FR3083948A1/fr
Priority to US16/503,911 priority patent/US11303677B2/en
Publication of FR3083948A1 publication Critical patent/FR3083948A1/fr
Priority to US17/582,748 priority patent/US20220147319A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1044Group management mechanisms 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Stored Programmes (AREA)

Abstract

Le procédé de gestion du fonctionnement d'un groupe (1) de plusieurs objets connectés (L1, L2, L3, L4), comprend des échanges d'informations entre au moins deux objets connectés (L1, L2, L3, L4) dudit groupe (1), relatives à au moins un état de chaque objet connecté (L1, L2, L3, L4) participant à ces échanges d'informations, et un déclenchement d'au moins une action sur au moins un objet connecté (L1, L2, L3, L4) ayant participé à ces échanges en fonction des informations reçues par cet objet (L1, L2, L3, L4).

Description

Procédé et système de gestion du fonctionnement d’un groupe de plusieurs objets connectés
Des modes de mise en œuvre et de réalisation de l’invention concernent l’internet des objets, communément connu de l’homme du métier sous l’acronyme anglosaxon loT (« Internet of Things » en anglais), et plus particulièrement les objets connectés au réseau d’internet au sens large, c'est-à-dire y compris par exemple le réseau local (« Local Area Network » : LAN en anglais), le réseau étendu (« Wide Area Network » : WAN en anglais), destinés à communiquer mutuellement des données informatiques et à réaliser des fonctionnements pratiques et plus ou moins simples, tels que les détecteurs d’intensité lumineuse connectés, les détecteurs de température connectés, les détecteurs d’ouverture porte connectés et les commutateurs électriques connectés.
Généralement, un objet connecté reste toujours en communication avec un autre objet connecté ou un serveur informatique via un réseau d’internet et est prêt pour une ou plusieurs mises à jour de son ou ses microprogrammes (« firmware » en anglais) afin de corriger des erreurs de fonctionnements courants ou d’acquérir de nouvelles fonctionnalités.
Néanmoins, de telles communications via le réseau d’internet ne sont pas toujours sécurisées et ouvrent malheureusement souvent la possibilité de modifications de l’objet connecté via un ou des logiciels malveillants, voire la possibilité d’un piratage informatique (« hacking » en anglais), ce qui pourrait résulter en un dommage important.
Une solution classique consiste à utiliser pour chaque objet connecté un mécanisme basé sur des ressources cryptographiques, par exemple une signature numérique, de façon à vérifier l’autorisation de chaque intervention de cet objet connecté.
Toutefois, ce mécanisme est déployé et exécuté de façon individuelle sur chaque objet connecté.
Une fois que les logiciels malveillants ou les piratages informatiques ont réussi, malgré tout, à prendre le contrôle de l’objet connecté, ce dernier ne répond généralement plus à des requêtes de sécurité basées par exemple sur la signature numérique et émis par exemple par un serveur à distance. Au vu du serveur à distance, l’objet connecté est déconnecté ou est en panne.
Par conséquent, il n’est pas toujours évident d’identifier l’état de fonctionnement d‘un objet connecté et il est d’autant plus difficile de restaurer de façon automatique un objet connecté potentiellement modifié ou piraté.
Il existe ainsi un besoin de proposer une solution technique à faible complexité, à faible consommation énergétique de communication et à faible coût permettant de renforcer la sécurité d’objets connectés mutuellement couplés par des auto-évaluations entre eux, des vérifications groupées pour chaque intervention des objets connectés, et d’éventuelles restaurations pour le ou les objets connectés modifiés ou piratés, sans nécessairement avoir besoin de mettre à contribution un serveur qui est généralement chargé et susceptible d’être attaqué et neutralisé par des pirates informatiques (« hackers » en anglais).
Selon un aspect, il est proposé un procédé de gestion du fonctionnement d’un groupe de plusieurs objets connectés. Ce procédé comprend des échanges d’informations entre au moins deux objets connectés dudit groupe, relatives à au moins un état de chaque objet connecté participant à ces échanges d’informations, et un déclenchement d’au moins une action sur au moins un objet connecté ayant participé à ces échanges en fonction des informations reçues par cet objet.
Un tel procédé de gestion du fonctionnement d’objets connectés par groupe permet avantageusement de réduire la possibilité de modifications via des logiciels malveillants et le risque de piratages informatiques car les objets connectés d’un même groupe peuvent communiquer entre eux de façon à réaliser des auto-évaluations périodiques (entre eux) et d’éventuelles restaurations si une anormalité du fonctionnement d’un ou de plusieurs objets connectés du groupe est détectée.
Il convient de noter que la taille et la topologie dudit groupe peuvent par exemple ici être dynamiques. Autrement dit, un objet connecté peut être dynamiquement associé audit ou dissocié dudit groupe de façon à augmenter le caractère imprévisible dudit groupe. Ainsi, la sécurité dudit groupe est avantageusement renforcée.
Selon un mode de mise en œuvre, lesdits échanges comprennent des échanges périodiques entre lesdits objets connectés du groupe, de premières informations relatives à un état de fonctionnement des objets connectés, et ledit déclenchement comprend une délivrance d’un premier signal d’avertissement si l’état de fonctionnement d’au moins un objet connecté est erroné et/ou une délivrance d’un deuxième signal d’avertissement en cas d’échec de la transmission par l’un au moins des objets aux autres objets, de premières informations relatives à son état de fonctionnement.
Il convient de noter qu’un échec de transmission des informations relatives à l’état de fonctionnement d’un objet connecté signifie souvent une panne de l’objet connecté ou un piratage informatique de l’objet connecté.
Un tel procédé permet un contrôle périodique sur l’état de fonctionnement de chaque objet connecté du groupe de façon à identifier un ou des objets connectés ayant des états de fonctionnement irréguliers.
Lesdits échanges peuvent par exemple comprendre en outre des échanges périodiques entre lesdits objets connectés du groupe, d’au moins un paramètre mesuré localement par chaque objet connecté, et ledit déclenchement peut par exemple comprendre en outre la délivrance du deuxième signal d’avertissement si les échanges périodiques des premières informations sont réussis, tous les états de fonctionnement sont identiques, et ledit au moins un paramètre mesuré d’au moins un objet connecté dépasse une gamme nominale de la valeur nominale dudit au moins un paramètre ou une évolution dudit au moins un paramètre mesuré d’au moins un objet connecté se distingue de celle constatée pour le reste dudit groupe.
Avantageusement, on peut surveiller le bon fonctionnement d’un objet connecté en comparant un même paramètre mesuré par les objets connectés d’un groupe. Lorsque le paramètre mesuré par un objet connecté est trop différent de la valeur nominale, cet objet connecté peut être en panne ou avoir été modifié ou piraté.
Il convient de noter qu’une évolution dudit au moins un paramètre mesuré d’au moins un objet connecté se distingue de celle constatée pour le reste du groupe lorsque cette évolution est par exemple croissante par rapport à des évolutions décroissantes constatées par le reste dudit groupe.
Selon un autre mode de mise en œuvre, lesdits échanges comprennent des échanges à la suite d’une demande de mise à jour de microprogramme d’au moins un objet connecté du groupe, de deuxièmes informations représentatives d’un état de demande de mise à jour de microprogramme des objets connectés, et ledit déclenchement comprend une suspension de ladite demande de mise à jour de microprogramme si au moins un échange des deuxièmes informations n’est pas réussi ou si l’état de demande de mise à jour dudit au moins un objet connecté faisant ladite demande de mise à jour est différent de l’état de demande de mise à jour d’au moins un autre objet connecté du groupe.
Avantageusement, avec un tel procédé, la demande de mise à jour de chaque objet connecté du groupe est vérifiée en la comparant avec celles des autres objets connectés du groupe de façon à renforcer la sûreté du groupe.
Selon un autre mode de mise en œuvre, le procédé comprend en outre une étape d’élection des objets connectés du groupe de façon à déterminer un objet connecté élu.
Lesdits échanges comprennent des échanges dans une durée choisie à la suite d’une mise à jour de microprogramme de l’objet connecté élu, de troisièmes informations représentatives à un état de mise à jour de microprogramme de l’objet élu, et ledit déclenchement comprend une mise à jour de microprogramme des autres objets connectés du groupe si l’état de mise à jour de l’objet connecté élu est positif, ou une suspension de mises à jour de microprogramme des autres objets connectés du groupe et une délivrance d’un troisième signal d’avertissement si l’état de mise à jour de l’objet connecté élu est négatif ou au moins un échange des troisièmes informations des objets connectés n’est pas réussi.
Un état positif correspond par exemple à une mise à jour réussie du microprogramme tandis qu’un état négatif correspond par exemple à une mise à jour qui a échoué.
Autrement dit, la mise à jour de microprogramme des autres objets connectés du groupe est effectuée seulement si l’état de mise à jour de l’objet connecté élu ayant déjà eu la mise à jour est positif. Sinon, un signal d’avertissement est généré de façon à signaler un éventuel problème de sûreté pour les objets connectés du groupe.
A titre d’exemple non limitatif, lesdits échanges peuvent comprendre des échanges entre les objets connectés de quatrièmes informations représentatives d’un état de sûreté des objets connectés, et ledit déclenchement peut comprendre une détermination d’un état authentique de tous les objets connectés si les états de sûreté de tous les objets connectés sont identiques, et une délivrance d’un quatrième signal d’avertissement et une détermination d’un état d’insécurité si l’état de sûreté d’au moins un objet connecté est différent de ceux des autres objets connectés.
Un tel procédé permet aussi avantageusement une vérification de l’état de sûreté, par exemple via une signature numérique, des objets connectés au niveau du groupe.
Selon encore un autre mode de mise en œuvre, lesdits échanges comprennent des échanges entre un premier objet connecté du groupe ayant un microprogramme défaillant et au moins d’un deuxième objet connecté du groupe, de cinquièmes informations représentatives d’un état de fonctionnement de microprogramme du premier objet connecté et dudit au moins un deuxième objet connecté, et ledit déclenchement comprend si l’état de fonctionnement de microprogramme dudit au moins un deuxième objet connecté est positif, une délivrance au premier objet connecté d’un microprogramme opérationnel dudit au moins un deuxième objet connecté et une mise à jour de microprogramme du premier objet connecté avec ledit microprogramme opérationnel.
Un état de fonctionnement de microprogramme positif correspond par exemple à un fonctionnement correct ou opérationnel du microprogramme.
Là encore, un tel procédé permet de repérer un objet connecté défaillant ou piraté du groupe à l’aide d’un autre objet connecté du groupe qui présente un bon fonctionnement.
Ladite délivrance peut par exemple être effectuée à partir dudit au moins un deuxième objet connecté ou d’un serveur distinct à distance.
A titre indicatif non limitatif, l’état de fonctionnement de microprogramme comprend la version du microprogramme utilisé et un nombre d’erreurs détectées dans une durée choisie, ou encore une signature numérique du microprogramme.
Selon un autre mode de mise en œuvre, lesdits objets connectés sont identiques ou compatibles, et lesdits échanges et ladite au moins une action sont protégés par des cryptographies symétriques.
Une telle clé symétrique est propre audit groupe et ne permet donc pas à un pirate informatique de s’introduire dans ledit groupe, un objet répliqué n’ayant pas la clé symétrique.
En variante, lesdits objets connectés peuvent par exemple être identiques ou compatibles. Lesdits échanges et ladite au moins une action peuvent par exemple être protégés par des cryptographies asymétriques.
Selon un autre aspect, il est proposé un système de gestion du fonctionnement d’un groupe de plusieurs objets connectés mutuellement couplés et comportant un module de contrôle associé à chaque objet.
Chaque module de contrôle possède des moyens d’échange configurés pour échanger entre au moins deux objets connectés du groupe, des informations relatives à au moins un état de chaque objet connecté participant à ces échanges des informations, et des moyens de traitement configurés pour déclencher au moins une action sur au moins un objet connecté ayant participé à ces échanges en fonction des informations reçues par cet objet.
Un tel système permet avantageusement une meilleure protection contre des attaques informatiques car ledit module de contrôle est mieux isolé des moyens d’entrée de données, tels que des périphériques et interfaces d’échanges de données, incorporés dans chaque objet connecté.
Selon un mode de réalisation, les moyens d’échange sont configurés pour échanger périodiquement entre lesdits objets connectés du groupe, de premières informations relatives à un état de fonctionnement des objets connectés, et les moyens de traitement sont configurés pour délivrer un premier signal d’avertissement si l’état de fonctionnement d’au moins un objet connecté est erroné et/ou un deuxième signal d’avertissement en cas d’échec de la transmission par l’un au moins des objets aux autres objets, de premières informations relatives à son état de fonctionnement.
A titre d’exemple non limitatif, les moyens d’échange peuvent en outre être configurés pour échanger périodiquement entre lesdits objets connectés du groupe au moins un paramètre mesuré localement par chaque objet connecté, et les moyens de traitement peuvent en outre être configurés pour délivrer le deuxième signal d’avertissement si les échanges des premières informations sont réussis, tous les états de fonctionnement sont identiques, et ledit au moins un paramètre mesuré d’au moins un objet connecté dépasse une gamme nominale de la valeur nominale dudit au moins un paramètre ou une évolution dudit au moins un paramètre mesuré d’au moins un objet connecté se distingue de celle constatée pour le reste dudit groupe.
Selon un autre mode de réalisation, les moyens d’échange sont en outre configurés pour échanger à la suite d’une demande de mise à jour de microprogramme d’au moins un objet connecté du groupe, de deuxièmes informations représentatives d’un état de demande de mise à jour de microprogramme des objets connectés, et, les moyens de traitement sont en outre configurés pour suspendre ladite demande de mise à jour de microprogramme si au moins un échange des deuxièmes informations n’est pas réussi ou si l’état de demande de mise à jour dudit au moins un objet connecté faisant ladite demande de mise à jour est différent de l’état de demande de mise à jour d’au moins un autre objet connecté du groupe.
Selon encore un autre mode de réalisation, ledit module de contrôle comprend en outre un module d’élection configuré pour déterminer un objet connecté élu dans le groupe.
Les moyens d’échange sont en outre configurés pour échanger dans une durée choisie à la suite d’une mise à jour de microprogramme de l’objet connecté élu, de troisièmes informations représentatives à un état de mise à jour de microprogramme de l’objet élu, et les moyens de traitement sont en outre configurés pour mettre à jour des microprogrammes des autres objets connectés du groupe si l’état de mise à jour de l’objet connecté élu est positif, ou suspendre des mises à jour de microprogrammes des autres objets connectés du groupe et délivrer un troisième signal d’avertissement si l’état de mise à jour de l’objet connecté élu est négatif ou au moins un échange des troisièmes informations des objets connectés n’est pas réussi.
A titre d’exemple non limitatif, les moyens d’échange peuvent en outre être configurés pour échanger entre les objets connectés de quatrièmes informations représentatives d’un état de sûreté des objets connectés, et les moyens de traitement peuvent en outre être configurés pour déterminer un état authentique de tous les objets connectés si les états de sûreté de tous les objets connectés sont identiques, et délivrer un quatrième signal d’avertissement et déterminer un état d’insécurité si l’état de sûreté d’au moins un objet connecté est différent de ceux des autres objets connectés.
Selon un autre mode de réalisation, les moyens d’échange sont en outre configurés pour échanger entre un premier objet connecté du groupe ayant un microprogramme défaillant et au moins un deuxième objet connecté du groupe, des cinquièmes informations représentatives d’un état de fonctionnement de microprogramme du premier objet connecté et dudit au moins un deuxième objet connecté, et les moyens de traitement sont en outre configurés pour délivrer, si l’état de fonctionnement de microprogramme dudit au moins un deuxième objet connecté est positif, audit premier objet connecté un microprogramme opérationnel dudit au moins un deuxième objet connecté, et mettre à jour le microprogramme du premier objet connecté avec ledit microprogramme opérationnel.
Les moyens de traitement peuvent par exemple être configurés pour délivrer ledit microprogramme opérationnel à partir dudit au moins un deuxième objet connecté ou d’un serveur distinct à distance.
L’état de fonctionnement de microprogramme peut par exemple comprendre la version du microprogramme utilisé et un nombre d’erreurs détectées dans une durée choisie, ou encore une signature numérique du microprogramme.
Selon un autre mode de réalisation, lesdits objets connectés sont identiques ou compatibles, et chaque module de contrôle comprend en outre des moyens de protection configurés pour protéger les moyens d’échange et les moyens de traitement par des cryptographies symétriques.
En variante, lesdits objets connectés peuvent par exemple être identiques ou compatibles. Chaque module de contrôle peut par exemple comprendre en outre des moyens de protection configurés pour protéger les moyens d’échange et les moyens de traitement par des cryptographies asymétriques.
A titre indicatif non limitatif, lesdits objets connectés peuvent par exemple être des objets choisis dans le groupe formé par les objets : ampoules connectées, capteurs connectés, enceintes connectées, et appareils de surveillance connectés.
Selon un autre aspect il est proposé un objet connecté appartenant au système défini ci-avant.
D’autres avantages et caractéristiques de l’invention apparaîtront à l’examen de la description détaillée de modes de mise en œuvre et de réalisation, nullement limitatifs, et des dessins annexés sur lesquels :
- les figures 1 à 7 illustrent schématiquement des modes de mise en œuvre et de réalisation de l’invention.
La figure 1 illustre un exemple de réalisation d’un groupe 1 de plusieurs objets connectés, ici par exemple quatre lampadaires extérieurs connectés Ll, L2, L3, L4, et un système de gestion de fonctionnement 2 dudit groupe 1.
A titre d’exemple non limitatif, les structures et les fonctionnements des quatre lampadaires Ll, L2, L3, L4 sont compatibles voire identiques et ces quatre lampadaires Ll, L2, L3, L4 sont situés dans une même rue.
Chaque lampadaire Ll, L2, L3, L4 comporte une ampoule connectée Al, A2, A3, A4 configurée pour être allumée ou éteinte de façon contrôlée, et un capteur de luminosité connecté CL1, CL2, CL3, CL4 configuré pour détecter l’intensité de luminosité autour de l’ampoule connectée Al, A2, A3, A4.
Les quatre lampadaires Ll, L2, L3, L4 sont mutuellement couplés via des moyens de communication MCOM, ici par exemple via un réseau local LAN communément connu sous l’acronyme anglais « LAN » (« Local Area Network » en anglais) et couplés à un serveur de contrôle 3 à distance, par exemple via le réseau internet.
Le système de gestion de fonctionnement 2 comporte pour chaque lampadaire Ll, L2, L3, L4 un module de contrôle MCI, MC2, MC3, MC4 couplé à l’ampoule connectée Al, A2, A3, A4 correspondante et au capteur de luminosité connecté CL1, CL2, CL3, CL4 correspondant et configuré pour gérer le fonctionnement du lampadaire Ll, L2, L3, L4 correspondant et renforcer la sûreté du groupe.
Il convient de noter que chaque module de contrôle MCI, MC2, MC3, MC4 peut être couplé au réseau local LAN de façon à communiquer avec les autres modules de contrôle MCI, MC2, MC3, MC4 du groupe 1 via le réseau local LAN ou posséder une interface de programmation (« Application Programming Interface » : API en anglais) permettant des communications via des applications logicielles dédiées en utilisant des adresses IP (« Internet Protocol » en anglais) statiques, voire un réseau séparé et réservé aux moyens de communication MCOM. Dans ce dernier cas, des échanges informatiques au sein dudit groupe ne sont avantageusement pas visibles pour un possible pirate informatique qui attaquerait l’objet connecté via le réseau principal.
Chaque module de contrôle MCI, MC2, MC3, MC4 est par exemple réalisé sous forme d’un microcontrôleur de type STM32®L4 de la société STMicroelectronics, connu de l’homme du métier.
Avantageusement, un tel module de contrôle MCI, MC2, MC3, MC4 dans le microcontrôleur peut être isolé de façon virtuelle de façon à permettre au microcontrôleur d’effectuer d’autres opérations tel qu’un contrôle de l’ampoule connectée.
A titre d’exemple non limitatif, les communications entre les lampadaires Ll, L2, L3, L4 et le système de gestion de fonctionnement 2 peuvent être sécurisées à l’aide de cryptographies symétriques (« symmetric cryptography » en anglais) connues de l’homme du métier, par exemple avec une clé privée commune.
En solution alternative, lesdites communications peuvent également être protégées à l’aide de cryptographies asymétriques (« asymmetric cryptography » en anglais) connues de l’homme du métier, par exemple avec des clés publiques et privées.
Chaque module de contrôle MCI, MC2, MC3, MC4 comprend des moyens d’échange MEI, ME2, ME3, ME4 configurés pour échanger entre au moins deux objets connectés du groupe 1, des informations relatives à au moins un état de chaque objet connecté participant à ces échanges des informations, et des moyens de traitement MT1, MT2, MT3, MT4 configurés pour déclencher au moins une action sur au moins un objet connecté ayant participé à ces échanges en fonction des informations reçues par cet objet.
Les moyens d’échange MEI, ME2, ME3, ME4 sont implémentés sous forme d’applications logicielles et peuvent être mis à jour directement lorsque les modules de contrôle MCI, MC2, MC3, MC4 sont en fonctionnement.
En variante, les moyens d’échange MEI, ME2, ME3, ME4 peuvent être implémentés de façon figée comme les modules de contrôle MCI, MC2, MC3, MC4.
En revanche, les moyens de traitement MT1, MT2, MT3, MT4 ne peuvent jamais être mis à jour lorsque les modules de contrôle MCI, MC2, MC3, MC4 sont en fonctionnement de façon à assurer la sûreté du groupe 1.
En variante, les moyens de traitement MT1, MT2, MT3, MT4 peuvent par exemple ne jamais être mis à jour afin d’éviter de possibles attaques physiques du système de gestion de fonctionnement 2.
On se réfère maintenant à la figure 2 pour illustrer un exemple d’une étape dite de « découverte » du système de gestion de fonctionnement 2 dudit groupe 1.
Dans cette étape de découverte, les quatre lampadaires LI, L2, L3, L4 et les modules de contrôle MCI, MC2, MC3, MC4 sont mutuellement couplés via le réseau local LAN.
Chaque lampadaire Ll, L2, L3, L4 possède un numéro d’identité NI, N2, N3, N4 pour que les modules de contrôle MCI, MC2, MC3, MC4 puissent les identifier et un numéro de type pour reconnaître ses caractéristiques. Les quatre lampadaires sont identiques donc possèdent chacun un même numéro de type, ici par exemple T1.
Lorsque le groupe 1 des lampadaires connectés Ll, L2, L3, L4 est en fonctionnement pour la première fois, les moyens d’échange MEI, ME2, ME3, ME4 de chaque module de contrôle MCI, MC2, MC3, MC4 sont configurés pour échanger avec son lampadaire Ll, L2, L3, L4 correspondant et les autres lampadaires du groupe 1 de façon à récupérer les numéros d’identité NI, N2, N3, N4 et les numéros de type Tl de tous les lampadaires et puis délivrer ces numéros d’identité NI, N2, N3, N4 et les numéros de type Tl aux moyens de traitement MT1, MT2, MT3, MT4 correspondants.
Les moyens de traitement MT1, MT2, MT3, MT4 de chaque module de contrôle MCI, MC2, MC3, MC4 sont configurés pour enregistrer respectivement les numéros d’identité des autres lampadaires du groupe 1.
Par exemple, pour les moyens de traitement MT1 du module de contrôle MCI, les numéros d’identité enregistrés sont N2, N3 et N4.
On se réfère maintenant aux figures 3 à 7 pour illustrer des exemples de mise en œuvre du système de gestion de fonctionnement 2 dudit groupe 1.
Dans l’exemple illustré sur la figure 3, on illustre un exemple de mise en œuvre d’une surveillance d’état de fonctionnement des lampadaires connectés Ll, L2, L3, L4 du groupe 1.
Les moyens d’échange MEI, ME2, ME3, ME4 de chaque module de contrôle MCI, MC2, MC3, MC4 sont configurés pour échanger périodiquement entre eux de premières informations relatives à un état de fonctionnement des lampadaires connectés Ll, L2, L3, L4, ici par exemple un signal d’état de fonctionnement SEF1, SEF2, SEF3, SEF4 de chaque lampadaire Ll, L2, L3, L4.
Chaque signal d’état de fonctionnement SEF1, SEF2, SEF3, SEF4 comporte par exemple une signature numérique SN1, SN2, SN3, SN4 calculée à l’aide d’une clé symétrique commune aux lampadaires connectés Ll, L2, L3, L4 du groupe 1 afin de faciliter la vérification de l’état de fonctionnement de chaque lampadaire Ll, L2, L3, L4.
Si au moins un état de fonctionnement de ces lampadaires Ll, L2, L3, L4 est erroné, autrement dit au moins une signature numérique SN1, SN2, SN3, SN4 est erronée, ou au moins un échange entre ces lampadaires Ll, L2, L3, L4 n’est pas réussi, c'est-à-dire la vérification d’au moins une signature SN1, SN2, SN3, SN4 n’est pas aboutie, les moyens de traitement MT1, MT2, MT3, MT4 de chaque module de contrôle MCI, MC2, MC3, MC4 sont configurés pour délivrer un premier signal d’avertissement SV1 de façon à alerter sur l’anormalité du groupe 1.
Les moyens d’échange MEI, ME2, ME3, ME4 de chaque module de contrôle MCI, MC2, MC3, MC4 sont en outre configurés pour échanger périodiquement entre eux au moins un paramètre mesuré localement par chaque capteur de luminosité connecté CL1, CL2, CL3, CL4, ici par exemple un signal représentatif de l’intensité lumineuse IL1, IL2, IL3, IL4 mesurée par chaque capteur de luminosité connecté CL1, CL2, CL3, CL4.
Comme ces lampadaires Ll, L2, L3, L4 se trouvent dans une même rue, la transition temporelle de l’intensité lumineuse mesurée par chaque capteur de luminosité connecté CL1, CL2, CL3, CL4 est prévue d’être similaire et dans un même sens.
Les moyens de traitement MT1, MT2, MT3, MT4 de chaque module de contrôle MCI, MC2, MC3, MC4 sont en outre configurés pour délivrer un deuxième signal d’avertissement SV2 de façon à indiquer une anormalité dudit au moins un lampadaire Ll, L2, L3, L4 du groupe 1, si la vérification de la signature numérique SN1, SN2, SN3, SN4 d’au moins un lampadaire Ll, L2, L3, L4 est réussie mais que l’intensité lumineuse IL1, IL2, IL3, IL4 mesurée par chaque capteur de luminosité connecté CL1, CL2, CL3, CL4 dépasse ladite gamme nominale, ou si une évolution d’au moins une intensité lumineuse IL1, IL2, IL3, IL4 mesurée se distingue de celle constatée pour le reste dudit groupe 1 (par exemple l’intensité lumineuse IL1 mesurée a une évolution croissante et les autres intensités IL2, IL3, IL4 mesurées ont une évolution décroissante).
A titre d’exemple, le premier signal d’avertissement SV1 et le deuxième signal d’avertissement SV2 peuvent être identiques.
La figure 4 illustre un exemple de mise en œuvre du système de gestion de fonctionnement 2 lorsque les moyens d’échange d’au moins un lampadaire connecté du groupe 1, ici par exemple le lampadaire Ll, délivre une demande de mise à jour de microprogramme DMAJ.
A la suite de cette demande de mise à jour DMAJ, les moyens d’échange MEI, ME2, ME3, ME4 de chaque module de contrôle MCI, MC2, MC3, MC4 sont configurés pour échanger des deuxièmes informations représentatives d’un état de demande de mise à jour de microprogramme des lampadaires Ll, L2, L3, L4, ici par exemple un signal de demande SD1, SD2, SD3, SD4, de façon à vérifier si ladite demande de mise à jour de microprogramme DMAJ est synchronisée avec les autres lampadaires L2, L3, L3 du groupe 1.
Les moyens de traitement MT1, MT2, MT3, MT4 sont ensuite configurés pour suspendre ladite demande de mise à jour de microprogramme DMAJ si au moins un échange des signaux de demande SD1, SD2, SD3, SD4 n’est pas réussi, ou si l’état de demande de mise à jour du lampadaire Ll faisant ladite demande de mise à jour DMAJ est différent de l’état de demande de mise à jour d’au moins un autre lampadaire L2, L3, L4 du groupe 1.
Lorsque ledit au moins un échange n’a pas abouti, il est possible que cet ou ces échanges soient bloqués par le lampadaire L1 faisant ladite demande de mise à jour de microprogramme DMAJ.
Dans le cas où ladite demande de mise à jour DMAJ n’est pas synchronisée avec les autres lampadaires L2, L3, L4 du groupe 1, ladite demande de mise à jour DMAJ est susceptible d’être nonautorisée par le groupe 1.
Dans ces deux cas mentionnés ci-dessus, les moyens de traitements MT1, MT2, MT3, MT4 sont configurés pour marquer ledit au moins un lampadaire faisant ladite demande de mise à jour comme objet susceptible d’être défaillant ou piraté.
Par ailleurs, ladite demande de mise à jour DMAJ peut par exemple être considérée comme invalide par les moyens de traitement MT1, MT2, MT3, MT4 si aucune autre demande de mise à jour est détectée au bout d’un délai choisi, ici par exemple 24 heures, à la suite de ladite demande de mise à jour de microprogramme DMAJ.
La figure 5 illustre un autre exemple de mise en œuvre du système de gestion de fonctionnement 2 lorsque les moyens d’échange MEI, ME2, ME3, ME4 de tous les lampadaires connectés Ll, L2, L3, L4 du groupe 1 délivrent une même demande de mise à jour de microprogramme DMAJ.
Ledit module de contrôle 2 comprend en outre un module d’élection ME couplé aux quatre lampadaires Ll, L2, L3, L4 du groupe 1 et configuré pour déterminer un lampadaire élu LE, ici par exemple le lampadaire L4 dans le groupe 1.
Une fois que le lampadaire élu LE est déterminé, les moyens de traitement MT4 du lampadaire élu LE sont configurés pour procéder la mise à jour de microprogramme (MAJ).
Les moyens d’échange MEI, ME2, ME3, ME4 de chaque module de contrôle MCI sont ensuite configurés pour échanger dans une durée choisie, ici par exemple 24 heures, à la suite de ladite mise à jour de microprogramme MAJ du lampadaire élu LE, de troisièmes informations représentatives à un état de mise à jour de microprogramme de lampadaire élu LE, ici par exemple un signal d’état de mise à jour SEMJ du lampadaire élu LE.
Lorsque le signal SEMJ est dans son état positif, les moyens de traitement MT1, MT2, MT3 des autres lampadaires connectés LI, L2, L3 sont configurés pour mettre à jour des microprogrammes des autres lampadaires connectés Ll, L2, L3 du groupe 1 avec le même microprogramme que le lampadaire élu LE.
Lorsque le signal SEMJ est dans son état négatif ou au moins un échange du signal SEMJ n’est pas réussi, les moyens de traitement MT1, MT2, MT3 des autres lampadaires connectés Ll, L2, L3 sont configurés pour suspendre des mises à jour de microprogrammes des autres lampadaires connectés du groupe 1 et délivrer un troisième signal d’avertissement, ici par exemple un signal de suspension de mise à jour SSMAJ.
La figure 6 illustre un autre exemple de mise en œuvre du système de gestion de fonctionnement 2 pour vérifier l’authentification des microprogrammes des lampadaires connectés Ll, L2, L3, L4 du groupe 1.
Les moyens d’échange MEI, ME2, ME3, ME4 de chaque module de contrôle MCI, MC2, MC3, MC4 sont configurés pour échanger entre eux des quatrièmes informations représentatives d’un état de sûreté des lampadaires Ll, L2, L3, L4 du groupe 1, ici par exemple une signature numérique de microprogramme SNM1, SNM2, SNM3, SNM4 connue de l’homme du métier.
Les moyens de traitement MT1, MT2, MT3, MT4 de chaque module de contrôle MCI, MC2, MC3, MC4 sont en outre configurés pour déterminer un état authentique EA de tous les lampadaires Ll, L2, L3, L4 du groupe 1 si les signatures numériques de microprogramme SNM1, SNM2, SNM3, SNM4 sont identiques, et délivrer un quatrième signal d’avertissement, ici par exemple un signal d’avertissement d’authentification SAA, et déterminer un état d’insécurité El si la signature numérique de microprogramme SNM1, SNM2, SNM3, SNM4 d’au moins un lampadaire Ll, L2, L3, L4 est différent de celle des autres lampadaires connectés.
A titre d’exemple, si les signatures numériques de microprogramme SNM1, SNM2, SNM3 des lampadaires Ll, L2, L3 sont identiques mais différents de celle du lampadaire L4, la sûreté du groupe 1 ne peut plus être assurée et le groupe 1 est dans l’état d’insécurité.
La figure 7 illustre encore un autre exemple de mise en œuvre du système de gestion de fonctionnement 2 lorsqu’un lampadaire, ici par exemple le lampadaire Ll, du groupe 1 comporte un microprogramme défaillant MD.
Les moyens d’échange ME1 du module de contrôle MCI sont configurés pour échanger avec au moins un autre lampadaire connecté, ici par exemple le lampadaire L2, du groupe 1, des cinquièmes informations représentatives d’un état de fonctionnement de microprogramme du lampadaire Ll et du lampadaire L2, ici par exemple des signaux d’état de fonctionnement de microprogramme SEFM1, SEFM2.
A titre indicatif non limitatif, chaque signal d’état de fonctionnement de microprogramme SEFM1, SEFM2 peut comprendre la version du microprogramme VM utilisé et un nombre d’erreurs détectées NED dans une durée choisie, par exemple une heure ou une journée, ou encore une signature numérique du microprogramme VM.
Si le signal d’état de fonctionnement de microprogramme SEFM2 du lampadaire 2 est positif, autrement dit le microprogramme du lampadaire 2 est opérationnel, les moyens de traitement MT2 du lampadaire 2 sont configurés pour délivrer, sous la demande des moyens de traitement MT1 du lampadaire 1, audit premier lampadaire Ll ledit microprogramme opérationnel MO du lampadaire 2, et les moyens de traitement MT1 du lampadaire 1 sont configurés pour mettre à jour son microprogramme défaillant MD avec ledit microprogramme opérationnel MO.
De ce fait, les lampadaires connectés Ll, L2, L3, L4 du groupe 1 sont capables de restaurer localement un ou des microprogrammes défaillants MD.
En variante, le serveur de contrôle 3 à distance est configuré pour délivrer, sur la demande des moyens de traitement MT1 du lampadaire 1, audit premier lampadaire Ll ledit microprogramme opérationnel MO.
Les moyens de traitement MT1 du lampadaire 1 sont configurés pour mettre à jour son microprogramme défaillant MD avec ledit microprogramme opérationnel MO du serveur de contrôle 3.
Ainsi, les lampadaires connectés Ll, L2, L3, L4 du groupe 1 sont également capables de restaurer à distance un ou des 10 microprogrammes défaillants MD.

Claims (24)

  1. REVENDICATIONS
    1. Procédé de gestion du fonctionnement d’un groupe (1) de plusieurs objets connectés (Ll, L2, L3, L4), comprenant des échanges d’informations entre au moins deux objets connectés (Ll, L2, L3, L4) dudit groupe (1), relatives à au moins un état de chaque objet connecté (Ll, L2, L3, L4) participant à ces échanges d’informations, et un déclenchement d’au moins une action sur au moins un objet connecté (Ll, L2, L3, L4) ayant participé à ces échanges en fonction des informations reçues par cet objet (Ll, L2, L3, L4).
  2. 2. Procédé selon la revendication 1, dans lequel lesdits échanges comprennent des échanges périodiques entre lesdits objets connectés (Ll, L2, L3, L4) du groupe (1), de premières informations (SEF1, SEF2, SEF3, SEF4) relatives à un état de fonctionnement des objets connectés (Ll, L2, L3, L4), et ledit déclenchement comprend une délivrance d’un premier signal d’avertissement (SV1) si l’état de fonctionnement d’au moins un objet connecté (Ll, L2, L3, L4) est erroné et/ou une délivrance d’un deuxième signal d’avertissement (SV2) en cas d’échec de la transmission par l’un au moins des objets aux autres objets, de premières informations (SEF1, SEF2, SEF3, SEF4) relatives à son état de fonctionnement.
  3. 3. Procédé selon la revendication 2, dans lequel lesdits échanges comprennent en outre des échanges périodiques entre lesdits objets connectés (Ll, L2, L3, L4) du groupe (1), d’au moins un paramètre mesuré (IL1, IL2, IL3, IL4) localement par chaque objet connecté (Ll, L2, L3, L4), et ledit déclenchement comprend en outre la délivrance du deuxième signal d’avertissement (SV2) si les échanges périodiques des premières informations (SEF1, SEF2, SEF3, SEF4) sont réussis, tous les états de fonctionnement sont identiques, et ledit au moins un paramètre mesuré (IL1) d’au moins un objet connecté (Ll) dépasse une gamme nominale de la valeur nominale dudit au moins un paramètre (IL1, IL2, IL3, IL4), ou une évolution dudit au moins un paramètre mesuré (IL1) d’au moins un objet connecté (Ll) se distingue de celle constatée (IL2, IL3, IL4) pour le reste (L2, L3, L4) dudit groupe (1).
  4. 4. Procédé selon l’une quelconque des revendications précédentes, dans lequel lesdits échanges comprennent des échanges à la suite d’une demande de mise à jour de microprogramme (DMAJ) d’au moins un objet connecté (Ll) du groupe (1), de deuxièmes informations (SD1, SD2, SD3, SD4) représentatives d’un état de demande de mise à jour de microprogramme des objets connectés (Ll, L2, L3, L4), et ledit déclenchement comprend une suspension de ladite demande de mise à jour de microgramme (DMAJ) si au moins un échange des deuxièmes informations n’est pas réussi ou si l’état de demande de mise à jour (SD1) dudit au moins un objet connecté (Ll) faisant ladite demande de mise à jour (DMAJ) est différent de l’état de demande de mise à jour (SD2, SD3, SD4) d’au moins un autre objet connecté (L2, L3, L4) du groupe (1).
  5. 5. Procédé selon l’une quelconque des revendications précédentes, comprenant en outre une étape d’élection des objets connectés (Ll, L2, L3, L4) du groupe (1) de façon à déterminer un objet connecté élu (LE), dans lequel lesdits échanges comprennent des échanges dans une durée choisie à la suite d’une mise à jour de microprogramme (MAJ) de l’objet connecté élu (LE), de troisièmes informations (SEMJ) représentatives à un état de mise à jour de microprogramme de l’objet élu (LE), et ledit déclenchement comprend une mise à jour de microprogramme (MAJ) des autres objets connectés (Ll, L2, L3) du groupe (1) si l’état de mise à jour (SEMJ) de l’objet connecté élu (LE) est positif, ou une suspension de mises à jour de microprogramme des autres objets connectés (Ll, L2, L3) du groupe (1) et une délivrance d’un troisième signal d’avertissement (SSMAJ) si l’état de mise à jour de l’objet connecté élu (LE) est négatif ou au moins un échange des troisièmes informations (SEMAJ) des objets connectés (Ll, L2, L3, L4) n’est pas réussi.
  6. 6. Procédé selon l’une quelconque des revendications précédentes, dans lequel lesdits échanges comprennent des échanges entre les objets connectés (Ll, L2, L3, L4) de quatrièmes informations (SNM1, SNM2, SNM3, SNM4) représentatives d’un état de sûreté des objets connectés (Ll, L2, L3, L4), et ledit déclenchement comprend une détermination d’un état authentique (EA) de tous les objets connectés (Ll, L2, L3, L4) si les états de sûreté (SNM1, SNM2, SNM3, SNM4) de tous les objets connectés sont identiques, et une délivrance d’un quatrième signal d’avertissement (SAA) et une détermination d’un état d’insécurité (El) si l’état de sûreté (SNM4) d’au moins un objet connecté (L4) est différent de ceux des autres objets connectés (Ll, L2, L3).
  7. 7. Procédé selon l’une quelconque des revendications précédentes, dans lequel lesdits échanges comprennent des échanges entre un premier objet connecté (Ll) du groupe (1) ayant un microprogramme défaillant (MD) et au moins un deuxième objet connecté (L2) du groupe (1), de cinquièmes informations (SEFM1, SEFM2) représentatives d’un état de fonctionnement de microprogramme du premier objet connecté (Ll) et dudit au moins un deuxième objet connecté (L2), et ledit déclenchement comprend si l’état de fonctionnement de microprogramme (SEFM) dudit au moins un deuxième objet connecté (L2) est positif, une délivrance au premier objet connecté (Ll) un microprogramme opérationnel (MO) dudit au moins un deuxième objet connecté (L2) et une mise à jour de microprogramme du premier objet connecté (Ll) avec ledit microprogramme opérationnel (MO).
  8. 8. Procédé selon la revendication 7, dans lequel ladite délivrance est effectuée à partir dudit au moins un deuxième objet connecté (L2) ou d’un serveur distinct (3) à distance.
  9. 9. Procédé selon la revendication 7 ou 8, dans lequel l’état de fonctionnement de microprogramme (SEFM1, SEFM2) comprend la version du microprogramme (VM) utilisé et un nombre d’erreurs détectées (NED) dans une durée choisie, ou encore une signature numérique du microprogramme (VM).
  10. 10. Procédé selon l’une quelconque des revendications précédentes, dans lequel lesdits objets connectés sont identiques ou compatibles, et lesdits échanges et ladite au moins une action sont protégés par des cryptographies symétriques.
  11. 11. Procédé selon l’une quelconque des revendications 1 à 9, dans lequel lesdits objets connectés sont identiques ou compatibles, et lesdits échanges et ladite au moins une action sont protégés par des cryptographies asymétriques.
  12. 12. Système de gestion du fonctionnement (2) d’un groupe (1) de plusieurs objets connectés (Ll, L2, L3, L4) mutuellement couplés et comportant un module de contrôle (MC) associé à chaque objet connecté (Ll, L2, L3, L4) et comportant des moyens d’échange (MEI, ME2, ME3, ME4) configurés pour échanger entre au moins deux objets connectés du groupe (1), des informations relatives à au moins un état de chaque objet connecté participant à ces échanges des informations, et des moyens de traitement (MT1, MT2, MT3, MT4) configurés pour déclencher au moins une action sur au moins un objet connecté (Ll, L2, L3, L4) ayant participé à ces échanges en fonction des informations reçues par cet objet.
  13. 13. Système selon la revendication 12, dans lequel les moyens d’échange (MEI, ME2, ME3, ME4) sont configurés pour échanger périodiquement entre lesdits objets connectés (Ll, L2,
    L3, L4) du groupe (1), des premières informations (SEF1, SEF2, SEF3, SEF4) relatives à un état de fonctionnement des objets connectés, et les moyens de traitement (MT1, MT2, MT3, MT4) sont configurés pour délivrer un premier signal d’avertissement (SV1) si l’état de fonctionnement (SEF1) d’au moins un objet connecté (Ll, L2, L3, L4) est erroné et/ou un deuxième signal d’avertissement (SV2) en cas d’échec de la transmission par l’un au moins des objets aux autres objets, de premières informations (SEF1, SEF2, SEF3, SEF4) relatives à son état de fonctionnement.
  14. 14. Système selon la revendication 13, dans lequel les moyens d’échange (MEI, ME2, ME3, ME4) sont en outre configurés pour échanger périodiquement entre lesdits objets connectés (Ll, L2, L3, L4) du groupe (1) au moins un paramètre (IL1, IL2, IL3, IL4) mesuré localement par chaque objet connecté (Ll, L2, L3, L4), et les moyens de traitement (MT1, MT2, MT3, MT4) sont en outre configurés pour délivrer le deuxième signal d’avertissement (SV2) si les échanges des premières informations (SEF1, SEF2, SEF3, SEF4) sont réussis, tous les états de fonctionnement sont identiques, et ledit au moins un paramètre (IL1, IL2, IL3, IL4) mesuré d’au moins un objet connecté (Ll, L2, L3, L4) dépasse une gamme nominale de la valeur nominale dudit au moins un paramètre (IL1, IL2, IL3, IL4), ou une évolution dudit au moins un paramètre mesuré (IL 1 ) d’au moins un objet connecté (Ll) se distingue de celle (IL2, IL3, IL4) constatée pour le reste (L2, L3, L4) dudit groupe (1).
  15. 15. Système selon l’une quelconque des revendications 12 à 14, dans lequel les moyens d’échange (MEI, ME2, ME3, ME4) sont en outre configurés pour échanger à la suite d’une demande de mise à jour (DMAJ) de microprogramme d’au moins un objet connecté (Ll) du groupe (1), des deuxièmes informations (SD1, SD2, SD3, SD4) représentatives d’un état de demande de mise à jour de microprogramme des objets connectés (Ll, L2, L3, L4), et, les moyens de traitement (MT1, MT2, MT3, MT4) sont en outre configurés pour suspendre ladite demande de mise à jour de microprogramme (DMAJ) si au moins un échange des deuxièmes informations (SD1, SD2, SD3, SD4) n’est pas réussi ou si l’état de demande de mise à jour (SD1) dudit au moins un objet connecté (Ll) faisant ladite demande de mise à jour (DMAJ) est différent de l’état de demande de mise à jour (SD2, SD3, SD4) d’au moins un autre objet connecté (L2, L3, L4) du groupe (1).
  16. 16. Système selon l’une quelconque des revendications 12 à 15, dans lequel le module de contrôle (MC) comprend en outre un module d’élection (ME) configuré pour déterminer un objet connecté élu (LE) dans le groupe (1), dans lequel les moyens d’échange (MEI, ME2, ME3, ME4) sont en outre configurés pour échanger dans une durée choisie à la suite d’une mise à jour de microprogramme (MAJ) de l’objet connecté élu (LE), de troisièmes informations (SEMJ) représentatives à un état de mise à jour de microprogramme de l’objet élu (LE), et les moyens de traitement (MT1, MT2, MT3, MT4) sont en outre configurés pour mettre à jour des microprogrammes des autres objets connectés (Ll, L2, L3, L4) du groupe (1) si l’état de mise à jour (SEMJ) de l’objet connecté élu (LE) est positif, ou suspendre des mises à jour de microprogrammes (MAJ) des autres objets connectés (Ll, L2, L3, L4) du groupe (1) et délivrer un troisième signal d’avertissement (SSMAJ) si l’état de mise à jour (SEMJ) de l’objet connecté élu (LE) est négatif ou au moins un échange des troisièmes informations (SEMJ) des objets connectés (Ll, L2, L3, L4) n’est pas réussi.
  17. 17. Système selon l’une quelconque des revendications 12 à 16, dans lequel les moyens d’échange (MEI, ME2, ME3, ME4) sont en outre configurés pour échanger entre les objets connectés (Ll, L2, L3, L4) de quatrièmes informations (SNM1, SNM2, SNM3, SNM4) représentatives d’un état de sûreté des objets connectés (Ll, L2, L3, L4), et les moyens de traitement (MT1, MT2, MT3, MT4) sont en outre configurés pour déterminer un état authentique (ET) de tous les objets connectés (Ll, L2, L3, L4) si les états de sûreté (SNM1, SNM2, SNM3, SNM4) de tous les objets connectés (Ll, L2, L3, L4) sont identiques, et délivrer un quatrième signal d’avertissement (SAA) et déterminer un état d’insécurité (SI) si l’état de sûreté (SNM1, SNM2, SNM3, SNM4) d’au moins un objet connecté est différent de ceux des autres objets connectés.
  18. 18. Système selon l’une quelconque des revendications 12 à 17, dans lequel les moyens d’échange (MEI, ME2) sont en outre configurés pour échanger entre un premier objet connecté (Ll) du groupe (1) ayant un microprogramme défaillant (MD) et au moins un deuxième objet connecté (L2) du groupe (1), de cinquièmes informations (SEFM1, SEFM2) représentatives d’un état de fonctionnement de microprogramme du premier objet connecté (Ll) et dudit au moins un deuxième objet connecté (L2), et les moyens de traitement (MT1, MT2) sont en outre configurés pour délivrer, si l’état de fonctionnement de microprogramme (SEFM2) dudit au moins un deuxième objet connecté (L2) est positif, audit premier objet connecté (Ll) un microprogramme opérationnel (MO) dudit au moins un deuxième objet connecté (L2), et mettre à jour le microprogramme du premier objet connecté (Ll) avec ledit microprogramme opérationnel (MO).
  19. 19. Système selon la revendication 18, dans lequel les moyens de traitement (MT1) sont en outre configurés pour délivrer ledit microprogramme opérationnel (MO) à partir dudit au moins un deuxième objet connecté (L2) ou d’un serveur distinct (3) à distance.
  20. 20. Système selon la revendication 17 ou 18, dans lequel l’état de fonctionnement de microprogramme comprend la version du microprogramme (VM) utilisé et un nombre d’erreurs détectées (NED) dans une durée choisie, ou encore une signature numérique du microprogramme (VM).
  21. 21. Système selon l’une quelconque des revendications 12 à 20, dans lequel lesdits objets connectés sont identiques ou compatibles, et chaque module de contrôle comprend en outre des moyens de protection configurés pour protéger les moyens d’échange et les moyens de traitement par des cryptographies symétriques.
  22. 22. Système selon l’une quelconque des revendications 12 à 20, dans lequel lesdits objets connectés sont identiques ou compatibles, chaque module de contrôle comprend en outre des moyens de protection configurés pour protéger les moyens d’échange et les moyens de traitement par des cryptographies asymétriques.
  23. 23. Système selon l’une quelconque des revendications 12 à 22, dans lequel lesdits objets connectés sont des objets choisis dans le groupe formé par les objets : ampoules connectées, capteurs connectés, enceintes connectées, et appareils de surveillance connectés.
  24. 24. Objet connecté appartenant au système selon l’une des revendications 12 à 23.
FR1856546A 2018-07-16 2018-07-16 Procede et systeme de gestion du fonctionnement d'un groupe de plusieurs objets connectes Pending FR3083948A1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR1856546A FR3083948A1 (fr) 2018-07-16 2018-07-16 Procede et systeme de gestion du fonctionnement d'un groupe de plusieurs objets connectes
US16/503,911 US11303677B2 (en) 2018-07-16 2019-07-05 Method and system for managing the operation of a group of several connected objects
US17/582,748 US20220147319A1 (en) 2018-07-16 2022-01-24 Method and system for managing the operation of a group of several connected objects

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1856546A FR3083948A1 (fr) 2018-07-16 2018-07-16 Procede et systeme de gestion du fonctionnement d'un groupe de plusieurs objets connectes
FR1856546 2018-07-16

Publications (1)

Publication Number Publication Date
FR3083948A1 true FR3083948A1 (fr) 2020-01-17

Family

ID=65494194

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1856546A Pending FR3083948A1 (fr) 2018-07-16 2018-07-16 Procede et systeme de gestion du fonctionnement d'un groupe de plusieurs objets connectes

Country Status (2)

Country Link
US (1) US11303677B2 (fr)
FR (1) FR3083948A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3026911A1 (fr) * 2014-10-01 2016-04-08 B<>Com Procede de traitement d'une intrusion dans un reseau de communication sans fil, dispositif, et programme d'ordinateurs associes
US20180052681A1 (en) * 2016-08-19 2018-02-22 Veniam, Inc. Systems and methods for reliable software update in a network of moving things including, for example, autonomous vehicles
US20180103023A1 (en) * 2016-10-11 2018-04-12 International Business Machines Corporation Validating internet of things device firmware

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8686665B2 (en) * 2010-03-08 2014-04-01 Virticus Corporation Method and system for lighting control and monitoring
FR2961041B1 (fr) * 2010-06-02 2012-07-27 Parrot Procede de commande synchronisee des moteurs electriques d'un drone telecommande a voilure tournante tel qu'un quadricoptere
US20130257289A1 (en) * 2011-05-12 2013-10-03 LSI Saco Technologies, Inc. Light Balancing
JP5092039B1 (ja) * 2011-05-31 2012-12-05 株式会社東芝 サーバ装置、電話システム及びサーバ装置に使用されるファームウェア更新制御方法
TWI606332B (zh) * 2012-09-03 2017-11-21 鳳凰工業股份有限公司 偵錯控制系統及其方法
JP6433844B2 (ja) * 2015-04-09 2018-12-05 株式会社ソニー・インタラクティブエンタテインメント 情報処理装置、中継装置、情報処理システム、およびソフトウェアアップデート方法
US20210006583A1 (en) * 2018-03-12 2021-01-07 HighlOT Ltd. System and method of secure communication with internet of things devices
US10841303B2 (en) * 2018-04-12 2020-11-17 Bank Of America Corporation Apparatus and methods for micro-segmentation of an enterprise internet-of-things network
US10637876B2 (en) * 2018-04-27 2020-04-28 Dell Products L.P. Information handling system threat management
US11106450B2 (en) * 2018-09-28 2021-08-31 Getac Technology Corporation Information extraction apparatus, and automatic firmware update system and method for embedded system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3026911A1 (fr) * 2014-10-01 2016-04-08 B<>Com Procede de traitement d'une intrusion dans un reseau de communication sans fil, dispositif, et programme d'ordinateurs associes
US20180052681A1 (en) * 2016-08-19 2018-02-22 Veniam, Inc. Systems and methods for reliable software update in a network of moving things including, for example, autonomous vehicles
US20180103023A1 (en) * 2016-10-11 2018-04-12 International Business Machines Corporation Validating internet of things device firmware

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
RIAZ AHMED SHAIKH ET AL: "Trusting Anomaly and Intrusion Claims for Cooperative Distributed Intrusion Detection Schemes of Wireless Sensor Networks", YOUNG COMPUTER SCIENTISTS, 2008. ICYCS 2008. THE 9TH INTERNATIONAL CONFERENCE FOR, IEEE, PISCATAWAY, NJ, USA, 18 November 2008 (2008-11-18), pages 2038 - 2043, XP031373484, ISBN: 978-0-7695-3398-8 *

Also Published As

Publication number Publication date
US20200021616A1 (en) 2020-01-16
US11303677B2 (en) 2022-04-12

Similar Documents

Publication Publication Date Title
US10951632B2 (en) Systems and methods for providing security services during power management mode
CN105656902B (zh) 一种基于光传输的单向可靠传输及控制系统
US7389539B1 (en) Anti-intrusion software updating system and method
CN103391216B (zh) 一种违规外联报警及阻断方法
US9203802B2 (en) Secure layered iterative gateway
US20120005724A1 (en) Method and system for protecting private enterprise resources in a cloud computing environment
US20120047557A1 (en) Method and System for Device Integrity Authentication
US10819562B2 (en) Cloud services management systems utilizing in-band communication conveying situational awareness
EP1960933A1 (fr) Systeme et procede de detection d&#39;amorces non autorisees
KR100788256B1 (ko) 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법
JP2023010967A (ja) rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム
US10484380B2 (en) Untrusted network device identification and removal for access control and information security
CA2680231A1 (fr) Systeme et procede permettant d&#39;assurer la securite de donnees et de dispositifs entre des dispositifs externes et des dispositifs hotes
US20140156812A1 (en) Customized configuration settings for a network appliance
EP4042306B1 (fr) Installation sécurisée d&#39;un micrologiciel de contrôleur de gestion de carte mère au moyen d&#39;une interface physique
US20180375873A1 (en) Network Device Isolation For Access Control and Information Security
US20180375862A1 (en) Network Switch Port Access Control and Information Security
FR3083948A1 (fr) Procede et systeme de gestion du fonctionnement d&#39;un groupe de plusieurs objets connectes
EP2773067B1 (fr) Procédé de fiabilisation de la génération de messages d&#39;alerte sur un réseau synchronisé de données
CN114124459B (zh) 一种集群服务器安全防护方法、装置、设备及存储介质
US10609064B2 (en) Network device access control and information security
US10567433B2 (en) Network device authorization for access control and information security
US20110023134A1 (en) Network based casualty loss prevention system
FR3071946A1 (fr) Dispositif electronique et procede de surveillance de donnees stockees au sein d&#39;un appareil avionique, programme d&#39;ordinateur associe

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20200117

RX Complete rejection

Effective date: 20200424

Effective date: 20200428