FR3131165A1 - Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé - Google Patents

Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé Download PDF

Info

Publication number
FR3131165A1
FR3131165A1 FR2113926A FR2113926A FR3131165A1 FR 3131165 A1 FR3131165 A1 FR 3131165A1 FR 2113926 A FR2113926 A FR 2113926A FR 2113926 A FR2113926 A FR 2113926A FR 3131165 A1 FR3131165 A1 FR 3131165A1
Authority
FR
France
Prior art keywords
access point
station
network
association
sta
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2113926A
Other languages
English (en)
Inventor
Jean-Michel Bonnamy
Sylvain BALE
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2113926A priority Critical patent/FR3131165A1/fr
Priority to PCT/EP2022/084958 priority patent/WO2023110614A1/fr
Publication of FR3131165A1 publication Critical patent/FR3131165A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/12Access restriction or access information delivery, e.g. discovery data delivery using downlink control channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé L'invention concerne un procédé d’association d’une station Wi-Fi (STA) à un point d’accès Wi-Fi (AP) au travers d’un premier réseau Wi-Fi (VAP1) annoncé par le point d’accès, le procédé étant mis en œuvre par la station et comprenant : établissement d’une association (E201-E205) de la station au point d’accès au travers d’un second réseau Wi-Fi (VAP2) non annoncé par le point d’accès,émission (E206) vers le point d’accès d’une information de sécurité (STAPubK), au travers du second réseau,établissement d’une association (E401-E405) de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité. Figure pour l'abrégé : Figure 1

Description

Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé
1. Domaine de l'invention
L'invention se situe dans le domaine des réseaux de type IEEE 802.11, dits Wi-Fi, et plus particulièrement celui de l’appairage d’une station (STA) à un point d’accès (AP).
2. Etat de la technique antérieure
La facilité de l’appairage entre STA et AP, avec un niveau acceptable de sécurité, est un atout à la fois pour les clients et pour l’opérateur fournissant aux clients des équipements périphériques, c’est-à-dire les STA, et/ou le boitier de connexion au réseau Internet, c’est-à-dire l’AP. Les équipements à appairer sont par exemple des « set top box » permettant d’accéder aux programmes de télévision, des répéteurs Wi-Fi permettant d’étendre la portée du signal Wi-Fi, etc., et sont destinés à des utilisateurs dont beaucoup font partie d’un public qui n’est pas toujours bien formé aux usages digitaux.
La méthode d’appairage connue sous le nom de WPS (Wi-Fi Protected Setup, ou mise en place Wi-Fi protégée, en anglais) est destinée à être remplacée par le protocole DPP (Device Provisioning Protocol, ou protocole de provisionnement d’équipement, en anglais), aussi connu sous son nom commercial Easy Connect™ et qui est spécifié par l’organisme Wi-Fi Alliance. DPP repose sur l’utilisation d’un équipement tiers, par exemple un smartphone, en plus de la STA et de l’AP qui sont à appairer. Le smartphone est utilisé pour échanger entre la STA et l’AP des informations de sécurité telles que par exemple une clé cryptographique, afin d’assurer une authentification forte de la STA et d’augmenter le niveau de sécurité général de la connexion qui sera établie. Ceci nécessite l’installation sur le smartphone d’une application mobile spécifique. Par rapport à WPS où le client n’avait qu’à appuyer sur un bouton des équipements pour déclencher l’appairage, les contraintes imposées par DPP sont excessives pour certains utilisateurs.
Un des buts de l'invention est de remédier à ces inconvénients de l'état de la technique.
3. Exposé de l'invention
L'invention vient améliorer la situation à l'aide d’un procédé d’association d’une station Wi-Fi à un point d’accès Wi-Fi au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, le procédé étant mis en œuvre par la station et comprenant :
  • établissement d’une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • émission vers le point d’accès d’une information de sécurité, au travers du second réseau,
  • établissement d’une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
Grâce à ce procédé, la sécurisation de l’association de la station avec le premier réseau est faite sur la base d’informations qui ne sont pas échangées sur ce premier réseau, donc à un moment où il n’est pas encore sécurisé. Avantageusement, elles sont échangées sur un second réseau supporté par le même point d’accès Wi-Fi mais dont l’identifiant n’est pas diffusé, au contraire de l’identifiant du premier réseau. Les termes « réseau annoncé par un point d’accès » dans le présent contexte signifie que le point d’accès diffuse un identifiant dudit réseau pour permettre l’établissement d’une connexion. Inversement, les termes « réseau non annoncé par un point d’accès » dans le présent contexte signifie que le point d’accès ne diffuse pas un identifiant dudit réseau, mais ne signifie pas que l’établissement d’une connexion avec ce réseau soit impossible.
L’information de sécurité est par exemple une clé cryptographique propre à la station, qui permet au point d’accès d’authentifier la station et de chiffrer les données qu’il lui transmet. Avec une telle information de sécurité, il est possible pour le point d’accès d’authentifier la station en utilisant un protocole existant tel que DPP.
L’utilisation de ce second réseau Wi-Fi peut être limitée à la transmission de l’information de sécurité. L’existence de ce second réseau n’est connue que de la station qui connait à l’avance son identifiant SSID, qui est une chaine de caractères vide si le point d’accès diffuse des messages de balise (beacons en anglais) pour ce second réseau, ou n’importe quelle chaine de caractères si le point d’accès ne diffuse pas de messages de balise pour ce second réseau.
De plus, comme la station fournit directement au point d’accès l’information de sécurité, aucune intervention d’un équipement tiers ou de l’utilisateur n’est nécessaire.
Comme l’identifiant SSID du second n’est pas diffusé par le point d’accès, la station doit le connaitre à l’avance, par exemple en ayant été configurée avant sa première utilisation.
Selon un aspect de l'invention, préalablement à l’association au travers du second réseau, la station reçoit un message de balise du point d’accès, le message de balise comprenant un identifiant du second réseau égal à une chaine de caractères vide.
Dans un premier mode de réalisation, le point d’accès diffuse l’identifiant du second réseau, par exemple dans un message de balise, mais le champ SSID du message de balise est laissé vide, comme si l’identifiant du second réseau était une chaine de caractères vide.
Ainsi, l’identifiant, ou le vrai identifiant, du second réseau Wi-Fi reste caché pour des équipements autres que la station et non prévus pour s’associer au premier réseau Wi-Fi du point d’accès, et ce même alors que le point d’accès diffuse des messages de balise pour ce second réseau.
Ainsi la station peut répondre au message de balise conformément à la norme Wi-Fi. Selon l’invention, la station utilise la chaine de caractère vide comme identifiant du second réseau dans une procédure d’association au point d’accès, par exemple dans un message de type « probe request ».
Selon un aspect de l'invention, préalablement à l’association au travers du second réseau, la station ne reçoit pas de message de balise du point d’accès annonçant le second réseau.
Dans un second mode de réalisation, le point d’accès ne diffuse pas de messages de balise pour annoncer l’existence du second réseau.
Ainsi, l’identifiant du second réseau Wi-Fi reste caché pour des équipements autres que la station et non prévus pour s’associer au premier réseau Wi-Fi du point d’accès.
Ainsi, conformément à la norme Wi-Fi, la station peut prendre l’initiative de la procédure d’association sans recevoir de message de balise. Selon l’invention la station utilise la chaine de caractère correspondant à l’identifiant du second réseau, que la station connait à l’avance, dans une procédure d’association au point d’accès, par exemple dans un message de type « probe request ».
Selon un aspect de l'invention, le procédé d’association est déclenché par le démarrage de la station.
Ainsi, aucune intervention de l’utilisateur n’est nécessaire sur la station. Par exemple, si la station est une « set-op-box » ou un répéteur Wi-Fi, il suffit à l’utilisateur de la sortir de son emballage et de la mettre sous tension, au moment où il en fait l’acquisition. Ultérieurement, si la station se trouve désassociée du point d’accès, il lui suffit de redémarrer ou mettre à zéro la station, pour la réassocier au premier réseau Wi-Fi du point d’accès.
Selon un aspect de l'invention, le procédé d’association comprend la suppression de l’association de la station au point d’accès au travers du second réseau Wi-Fi, avant l’association de la station au point d’accès au travers du premier réseau Wi-Fi.
Ainsi, l’association entre STA et AP est refermée à l’initiative de la station dès que les données de sécurité sont échangées. Cela libère des ressources pour le point d’accès et, au cas où la station ne peut s’associer qu’à un seul point d’accès à la fois, cela lui permet de s’associer à nouveau sur un autre point d’accès, virtuel ou non.
Selon un aspect de l'invention, le procédé d’association comprend la réception, au travers du second réseau, d’une information de sécurité de la part du point d’accès.
Ainsi, la station peut également effectuer des opérations de sécurité telles qu’authentifier le point d’accès ou chiffrer les données qu’elle lui transmet. La sécurisation est alors mutuelle entre la station et le point d’accès.
Les différents aspects du procédé d’association, mis en œuvre par la station et qui viennent d'être décrits, peuvent être mis en œuvre indépendamment les uns des autres ou en combinaison les uns avec les autres.
L'invention concerne aussi un procédé d’association d’une station Wi-Fi à un point d’accès Wi-Fi au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, le procédé étant mis en œuvre par le point d’accès et comprenant :
  • établissement d’une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • réception en provenance de la station d’une information de sécurité, au travers du second réseau,
  • établissement d’une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
Du côté du point d’accès, on comprend que l’association n’est réalisée au travers du second réseau qu’à la condition que la station fournisse l’identifiant attendu par le point d’accès pour ce second réseau, qui est pourtant non diffusé par le point d’accès.
L’information de sécurité fournie par la station n’est utilisée qu’à cette condition, ce qui augmente le niveau de sécurité de l’association de la station avec le premier réseau.
Selon un aspect de l'invention, préalablement à l’association au travers du second réseau, le point d’accès émet un message de balise, le message de balise comprenant un identifiant du second réseau égal à une chaine de caractères vide.
Ceci correspond au premier mode de réalisation, mis en œuvre du côté du point d’accès.
Selon un aspect de l'invention, préalablement à l’association au travers du second réseau, le point d’accès n’émet pas de message de balise annonçant le second réseau.
Ceci correspond au second mode de réalisation, mis en œuvre du côté du point d’accès.
Selon un aspect de l'invention, le procédé d’association comprend la suppression de l’association de la station au point d’accès au travers du second réseau Wi-Fi, avant l’association de la station au point d’accès au travers du premier réseau Wi-Fi .
Ainsi, l’association entre STA et AP est refermée à l’initiative du point d’accès dès que les données de sécurité sont échangées. Cela libère des ressources pour le point d’accès et, au cas où la station ne peut s’associer qu’à un seul point d’accès à la fois, cela lui permet de s’associer à nouveau sur un autre point d’accès, virtuel ou non.
Selon un aspect de l'invention, l’information de sécurité est ignorée si elle est reçue à l’extérieur d’une fenêtre temporelle ouverte par une action de l’utilisateur sur le point d’accès.
Ainsi, le niveau de sécurité de l’association au premier réseau est augmenté, toujours sans intervention d’un équipement tiers.
L’action de l’utilisateur est par exemple d’appuyer sur un bouton spécifique, parfois appelé bouton d’appairage, positionné sur le boitier du point d’accès, afin d’ouvrir une fenêtre temporelle limitée durant laquelle le point d’accès se met en attente de données de la part de la station. Ainsi, la probabilité est considérablement réduite que ces données soient reçues et traitées par un autre point d’accès situé à proximité et supportant un réseau avec le même identifiant que le second réseau.
Selon un aspect de l'invention, le procédé d’association comprend l’émission vers la station, au travers du second réseau, d’une information de sécurité de la part du point d’accès.
L’information de sécurité transmise par le point d’accès à la station est par exemple une clé cryptographique propre au point d’accès. Ainsi, la station peut également effectuer des opérations de sécurité telles qu’authentifier le point d’accès ou chiffrer les données qu’elle transmet au point d’accès. La sécurisation est alors mutuelle entre la station et le point d’accès.
Selon un aspect de l'invention, l’information de sécurité est ignorée si elle ne correspond pas à une donnée reçue séparément de la part d’un terminal distinct de la station.
Ainsi, le point d’accès n’établit la seconde association que si l’information de sécurité reçue à l’aide de la première association est confirmée par une donnée reçue par un autre canal. Ceci empêche par exemple une station proche du point d’accès, mais non prévue ou non autorisée, de s’associer durablement au point d’accès. La donnée en question est par exemple un condensé (hash en anglais) de l’information de sécurité, figurant dans un QR code affiché sur le boitier de la station autorisée. Le terminal distinct est par exemple un smartphone connecté en Wi-Fi au point d’accès et utilisé pour capter le QR code.
Les différents aspects du procédé d’association, mis en œuvre par le point d’accès et qui viennent d'être décrits, peuvent être mis en œuvre indépendamment les uns des autres ou en combinaison les uns avec les autres.
Les procédés d’association mis en œuvre par la station et par le point d’accès sont des procédés distincts.
L'invention concerne également un dispositif d’association d’une station Wi-Fi à un point d’accès Wi-Fi au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, le dispositif étant compris dans la station et comprenant un récepteur, un émetteur, un processeur et une mémoire couplée au processeur avec des instructions destinées à être exécutées par le processeur pour :
  • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • émettre vers le point d’accès d’une information de sécurité, au travers du second réseau,
  • établir une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
Ce dispositif, apte à mettre en œuvre dans tous ses modes de réalisation le procédé d’association qui vient d'être décrit, est destiné à être mis en œuvre dans une station Wi-Fi.
L'invention concerne également un dispositif d’association d’une station Wi-Fi à un point d’accès Wi-Fi au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, le dispositif étant compris dans le point d’accès et comprenant un récepteur, un émetteur, un processeur et une mémoire couplée au processeur avec des instructions destinées à être exécutées par le processeur pour :
  • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • recevoir en provenance de la station d’une information de sécurité, au travers du second réseau,
  • établir une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
Ce dispositif, apte à mettre en œuvre dans tous ses modes de réalisation le procédé d’association qui vient d'être décrit, est destiné à être mis en œuvre dans un point d’accès Wi-Fi.
L'invention concerne aussi un programme d'ordinateur comprenant des instructions qui, lorsque ces instructions sont exécutées par un processeur, conduisent celui-ci à mettre en œuvre les étapes du procédé d’association mis en œuvre par une station Wi-Fi, qui vient d'être décrit.
L’invention vise aussi un support d'informations lisibles par une station Wi-Fi, et comportant des instructions de programmes d'ordinateur tel que mentionnés ci-dessus.
L'invention concerne aussi un programme d'ordinateur comprenant des instructions qui, lorsque ces instructions sont exécutées par un processeur, conduisent celui-ci à mettre en œuvre les étapes du procédé d’association mis en œuvre par un point d’accès Wi-Fi, qui vient d'être décrit.
L’invention vise aussi un support d'informations lisibles par un point d'accès Wi-Fi, et comportant des instructions de programmes d'ordinateur tel que mentionnés ci-dessus.
Les programmes mentionnés ci-dessus peuvent utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
Les supports d'informations mentionnés ci-dessus peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, un support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique.
Un tel moyen de stockage peut par exemple être un disque dur, une mémoire flash, etc.
D'autre part, un support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Un programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, un support d'informations peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés en question.
4. Présentation des figures
D'autres avantages et caractéristiques de l'invention apparaitront plus clairement à la lecture de la description suivante d'un mode de réalisation particulier de l'invention, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels :
la présente un exemple de mise en œuvre du procédé d’association d’une station Wi-Fi à un point d’accès Wi-Fi, selon des modes de réalisation de l'invention,
la présente un exemple de structure d'un dispositif dans une station Wi-Fi, mettant en œuvre le procédé d’association de la station Wi-Fi à un point d’accès Wi-Fi, selon un aspect de l'invention,
la présente un exemple de structure d'un dispositif dans un point d’accès Wi-Fi, mettant en œuvre le procédé d’association d’une station Wi-Fi au point d’accès Wi-Fi, selon un aspect de l'invention.
5. Description détaillée d'au moins un mode de réalisation de l'invention
Dans la suite de la description, il est entendu que l'invention s'applique à toutes les déclinaisons des normes IEEE 802.11. Le terme SSID entre autres, identifiant un point d’accès Wi-Fi, n’est qu’un exemple des manières d’identifier un point d’accès Wi-Fi, qu’il soit physique ou virtuel.
La présente un exemple de mise en œuvre du procédé d’association d’une station Wi-Fi à un point d’accès Wi-Fi, selon des modes de réalisation de l'invention.
Les exemples qui suivent se basent sur l’utilisation de DPP comme protocole de sécurisation de l’association d’une station Wi-Fi à un point d’accès Wi-Fi identifié par un identifiant SSID1. L’invention s’applique à tout protocole sécurisé basé sur un échange préalable d’informations de sécurité telles que par exemple des clés cryptographique.
L’appairage désigne l’ensemble des opérations effectuées entre une station et un point d’accès Wi-Fi menant à l’établissement d’une connexion entre la station et un réseau au travers de ce point d’accès. L’appairage se fait donc en plusieurs phases, décrites ci-dessous selon des modes de réalisation de l’invention. La première phase de l’appairage est la phase d’amorçage (« bootstrapping » en anglais), durant laquelle la station STA s’associe temporairement au point d’accès physique AP, afin de lui transmettre et de recevoir les informations de sécurité nécessaires à un protocole de sécurisation, par exemple le protocole DPP. Une fois les informations de sécurité transmises entre la station STA et le point d’accès AP, il est mis fin à l’association temporaire.
Après la phase d’amorçage viennent des phases d’authentification et de configuration, effectuées par exemple selon le protocole DPP.
Enfin, l’appairage se termine par la phase d’association de la station avec le point d’accès AP sur la base de l’identifiant SSID1.
Le point d’accès AP est par exemple une passerelle domestique d’accès à Internet, telle que par exemple une Livebox de l’opérateur Orange (Livebox et Orange sont des marques déposées). Le point d’accès AP est préconfiguré pour diffuser un identifiant de type SSID, SSID1, par exemple au moyen de messages de balise (« beacons » en anglais). Le point d’accès AP est aussi préconfiguré avec un second identifiant de type SSID, SSID2, qui peut ne pas être diffusé. Techniquement, la coexistence des 2 identifiants SSID1 et SSID2 peut se traduire par exemple par deux interfaces logiques respectivement VAP1 et VAP2 (aussi appelées en anglais « virtual access points ») sur l’interface physique du point d’accès, associées respectivement aux identifiants SSID1 et SSID2. Les interfaces logiques aussi appelées des points d’accès virtuels ; les deux termes sont utilisés indistinctement dans la suite du document. Par commodité les noms VAP1 et VAP2 sont également donnés aux réseaux WI-Fi respectivement accessibles par ces points.
On comprend que les points d’accès virtuels VAP1 et VAP2 sont contenus dans le point d’accès physique AP. Si le point d’accès AP possède plusieurs interfaces physiques, par exemple une à 2,4 GHz et une à 5 GHz, les points d’accès virtuels VAP1 et VAP2 peuvent être présents sur chacune des interfaces physiques, ou seulement sur une des deux.
Selon l’invention, la phase d’amorçage se fait sur l’interface logique VAP2 du point d’accès AP, et la phase d’association se fait sur l’interface logique VAP1 du point d’accès AP. L’interface logique VAP1 est par ailleurs celle sur laquelle les équipements du réseau Wi-Fi local, tels que la station STA, sont destinés à établir une association durable, par exemple pour servir de support à une connexion de la station STA à Internet, au travers du point d’accès. Les phases d’authentification et de configuration propres à DPP utilisent l’interface physique du point d’accès AP et n’ont pas besoin de distinguer les deux interfaces logiques du point d’accès AP. La station STA s’associe également au point d’accès AP durant la phase d’amorçage, mais sur l’interface logique VAP2 et non sur l’interface logique VAP1.
La station STA peut-être n’importe quel équipement destiné à se connecter sur le réseau local Wi-Fi offert par le point d’accès AP. Par exemple la station STA est un répéteur Wi-Fi qui permet d’augmenter la couverture Wi-Fi de la Livebox, ou qui permet de remplacer la version Wi-Fi de la Livebox par une version plus récente (Wi-Fi 5 par Wi-Fi 6 par exemple). La station STA est configurée, à l’avance de sa première utilisation, pour connaitre l’identifiant SSID2 du point d’accès AP, ainsi que le mot de passe associé (« passphrase » en anglais). Selon l’invention, la station connait donc à l’avance au moins les références (« credentials » en anglais) pour effectuer son association au point d’accès virtuel VAP2 identifié par SSID2.
Ensuite, pour effectuer son association au point d’accès virtuel VAP1 identifié par SSID1, les références peuvent être demandées par le point d’accès à la station selon une technique connue.
Dans un premier mode de réalisation, le point d‘accès virtuel VAP2 du point d’accès AP diffuse des messages de balise (« beacons » en anglais) afin de se laisser découvrir par une station, mais les messages de balise contiennent un champ SSID laissé vide. En d’autres termes, s’il existe une chaine de caractères, non vide, SSID2, correspondant à un identifiant de VAP2, cette chaine de caractères n’est pas diffusée par le point d’accès AP. La station STA connait ce fait et répond à un tel message de balise par un message « probe request » contenant un champ SSID également laissé vide.
Dans un second mode de réalisation, le point d‘accès virtuel VAP2 du point d’accès AP ne diffuse aucun message de balise. En d’autres termes, la chaine de caractères SSID2, non vide, correspondant à un identifiant de VAP2, n’est pas diffusée par le point d’accès AP. La station STA connait ce fait et émet un message « probe request » contenant un champ SSID égal à SSID2, sans attendre de message de balise correspondant de la part du point d’accès VAP2.
Dans un troisième mode de réalisation, le point d‘accès virtuel VAP2 du point d’accès AP diffuse des messages de balise avec un champ SSID contenant une chaine de caractères non vide égale à SSID2. La station STA connait SSID2 à l’avance et répond à un tel message de balise par un message « probe request » contenant SSID2.
Dans le premier mode de réalisation comme dans le second, le point d’accès AP ne diffuse pas d’identifiant SSID2 qui soit différent d’une chaine de caractère vide.
Lors d’une étape E1a répétée régulièrement, le point d’accès virtuel VAP1 émet des messages de balise BcnSSID1 comprenant son identifiant SSID1, afin d’annoncer aux stations environnantes la disponibilité de ce point d’accès identifié par SSID1. Cette étape E1a peut être omise si le point d’accès virtuel VAP1 répond avec son identifiant SSID1 à des « probe requests » spontanés de la part des stations.
Lors d’une étape E1b dans le premier mode de réalisation uniquement, répétée régulièrement, le point d’accès virtuel VAP2 émet des messages de balise BcnSSID2 afin d’annoncer aux stations environnantes la disponibilité de ce point d’accès, mais en laissant vide le champ SSID de chaque message de balise, c’est-à-dire en le mettant égal à une chaine de caractères vide.
Dans le second mode de réalisation l’étape E1b n’est pas réalisée.
Dans tous les modes de réalisation, la station STA, même si elle reçoit déjà des messages de balise avec l’identifiant SSID1, n’effectue pas encore d’association avec le point d’accès AP sur la base de l’identifiant SSID1. A la place, la station STA effectue la phase d’amorçage.
Au cours d’étapes non illustrées, la station et le point d’accès échangent leurs capacités respectives, par exemple au moyen d’un message de type « probe request » émis par la station STA et comprenant l’identifiant SSID2 (vide dans le cas du premier mode de réalisation), et d’un message de type « probe response » émis par le point d’accès pour le réseau identifié par SSID2, c’est-à-dire VAP2.
Lors d’une étape E201 la station STA émet vers le point d’accès virtuel VAP2 une requête d’authentification AuthReq.
Lors d’une étape E202 la station STA reçoit en réponse du point d’accès virtuel VAP2 une réponse d’authentification AuthResp.
Lors d’une étape E203 la station STA émet vers le point d’accès virtuel VAP2 une requête d’association AssocReq.
Lors d’une étape E204 la station STA reçoit en réponse du point d’accès virtuel VAP2 une réponse d’association AssocResp.
Lors d’une étape E205, la station STA et le point d’accès virtuel VAP2 échangent des messages EAPol permettant au point d’accès d’obtenir les références (« credentials » en anglais) de la station STA lui donnant le droit de s’associer à VAP2. Ces références incluent par exemple le mot de passe (passphrase) correspondant à l’identifiant SSID2.
Les étapes E201 à E205 sont connues et conformes aux normes Wi-Fi.
La station STA est alors associée au point d’accès virtuel VAP2. On dit aussi que la station STA est associée au point d’accès physique AP par son interface logique VAP2.
C’est par le biais de cette première association que sont échangées les informations de sécurité qui sont nécessaires à une autre association, celle entre la station STA et le point d’accès virtuel VAP1, autrement dit le point d’accès physique AP via son interface logique VAP1 identifiée par SSID1.
Lors d’une étape E206, la station STA émet, à destination du point d’accès VAP2 uniquement, une première information de sécurité STAPubK, par exemple sa clé cryptographique. Cette clé est par exemple une clé publique ou privée de chiffrement, ou tout type de matériau cryptographique. L’information de sécurité est par exemple incluse dans une trame de type https.
Dans une variante commune aux deux modes de réalisation, dite variante symétrique, lors d’une étape E207, le point d’accès VAP2 émet, à destination de la station STA uniquement, une seconde information de sécurité APPubK, par exemple la clé cryptographique du point d’accès virtuel VAP2. Cette clé est de préférence du même format que la première information de sécurité.
Lors d’une étape E208, l’association temporaire entre la station STA et le point d’accès virtuel VAP2 est fermée, soit à l’initiative de la station soit à l’initiative du point d’accès. Le point d’accès VAP2, après avoir éventuellement acquitté la réception de la trame https comprenant l’information de sécurité de la station, émet vers la station STA un message de type « disassociation » ou « deauthentication ». Alternativement, la station STA peut, après avoir reçu l’acquittement de la trame https, émettre vers le point d’accès un message de type « disassociation » ou « deauthentication ».
Dans la variante symétrique, si la clé cryptographique du point d’accès est transmise après celle de la station, la station STA, après avoir éventuellement acquitté la réception de la trame https comprenant l’information de sécurité du point d’accès, émet vers le point d’accès VAP2 un message de type « disassociation » ou « deauthentication ». Alternativement, le point d’accès VAP2 peut, après avoir reçu l’acquittement de la trame https, émettre vers la station STA un message de type « disassociation » ou « deauthentication ».
Avec la fermeture de l’association temporaire se termine la phase d’amorçage, et les phases d’authentification et de configuration de DPP peuvent commencer.
Optionnellement, afin d’éviter qu’une station autre que la station STA, proche du point d’accès AP, mais non prévue ou non autorisée, s’associe durablement au point d’accès après avoir effectué avec succès les étapes précédemment décrites, le point d’accès attend une confirmation sous la forme d’une donnée reçue séparément de la part d’un terminal de confiance et distinct de la station STA. Si cette donnée ne correspond pas à l’information de sécurité déjà reçue de la part de la station, cela signifie que l’information de sécurité et la donnée ne sont pas relatives à la même station. Dans ce cas, le point d’accès n’établit pas d’association au travers du réseau VAP1.
La donnée en question est par exemple un condensé (hash en anglais) de l’information de sécurité, figurant dans un QR code affiché sur le boitier de la station autorisée. Le terminal distinct est par exemple un smartphone connecté en Wi-Fi au point d’accès et utilisé pour capter le QR code. La donnée peut être reçue par le point d’accès à tout moment, même préalablement au début du procédé d’association afin d’être stockée par le point d’accès AP en prévision d’une association de la station STA. Alternativement au QR code, la donnée peut aussi être transmise de la station STA au smartphone par NFC (Near Field Communication, en anglais) ou par Bluetooth.
Dans le cadre du protocole DPP qui n’est qu’un exemple de protocole utilisable dans le cadre de l’invention, lors d’une étape E301, selon une technique connue, le point d’accès physique AP émet à destination de la station STA un message DPPAuthRq de demande d’authentification comprenant au moins un élément chiffré avec la clé publique de la station STA. Cet élément comprend au moins ladite clé publique de la station STA. Si la station STA, déchiffrant cet élément à l’aide de sa clé privée, découvre sa propre clé publique, elle émet, lors d’une étape E302, selon une technique connue, un message DPPAuthResp de réponse d’authentification comprenant au moins une information relative aux capacités de la station STA. Lors d’une étape E303, selon une technique connue, si ces capacités conviennent au point d’accès AP, il émet un message DPPAuthConfirm. Dans la variante symétrique, de manière connue les étapes E301 et E302 incluent également un élément chiffré par la station STA à l’aide de la clé publique du point d’accès.
Aussi dans le cadre du protocole DPP qui n’est qu’un exemple de protocole utilisable dans le cadre de l’invention, lors d’une étape E304 selon une technique connue, la station STA et le point d’accès AP échangent des messages DPPConfig de configuration utilisant une clé cryptographique précédemment échangée lors des étapes E301 à E303.
Une fois l’authentification forte (simple ou mutuelle) réalisée par les étapes E301 à E304, la station STA peut alors s’associer au point d’accès physique AP par son interface logique VAP1 identifiée par l’identifiant SSID1.
En d’autres termes, si les phases d’authentification et de configuration de DPP, qui se basent sur la ou les clés cryptographiques échangées au travers de la première association temporaire au travers du réseau VAP2, se sont déroulées correctement, alors une association durable de la station STA au point d’accès AP est autorisée au travers du réseau VAP1. On comprend que cette association durable dépend donc des informations de sécurité échangées durant la phase d’amorçage au cours de laquelle une association temporaire a été établie.
Cette association est réalisée lors des étapes E401 à E405 qui sont similaires aux étapes E201 à E205 précédemment décrites, mais avec SSID1 au lieu de SSID2.
On comprend que la phase d’amorçage (étapes E201 à E208) selon l’invention, qui a permis la transmission d’une clé cryptographique de la station STA au point d’accès AP (et la réciproquement la transmission d’une clé cryptographique du point d’accès AP à la station STA dans le cas d’une authentification mutuelle), ne nécessitent aucune intervention d’un terminal tiers, et aucune intervention de l’utilisateur de la station STA, donc aucune interface utilisateur sur la station STA, contrairement à la technique antérieure. Les phases d’authentification et de configuration, effectuées par exemple selon le protocole DPP, restent inchangées tout en conservant le même niveau de sécurité. Ainsi, la station STA s’associe avec le point d’accès AP sur la base de l’identifiant SSID1 avec le même niveau de sécurité que celui prévu par le protocole DPP.
La présente un exemple de structure d'un dispositif dans une station Wi-Fi, mettant en œuvre le procédé d’association de la station Wi-Fi à un point d’accès Wi-Fi, selon un aspect de l'invention.
Le dispositif 100 met en œuvre le procédé d’association, dont différents modes de réalisation viennent d'être décrits.
Un tel dispositif 100 peut être mis en œuvre dans une station Wi-Fi, telle que par exemple la station STA, qui peut être un décodeur TV, un répéteur Wi-Fi, ou tout autre terminal apte à se connecter à un réseau Wi-Fi.
Par exemple, le dispositif 100 comprend un récepteur 101, un émetteur 102, une unité de traitement 130, équipée par exemple d'un microprocesseur µP, et pilotée par un programme d'ordinateur 110, stocké dans une mémoire 120 et mettant en œuvre le procédé d’association selon l'invention. A l’initialisation, les instructions de code du programme d’ordinateur 110 sont par exemple chargées dans une mémoire RAM, avant d’être exécutées par le processeur de l’unité de traitement 130.
Une telle mémoire 120, un tel processeur de l’unité de traitement 130, un tel récepteur 101 et un tel émetteur 102 sont aptes à, et configurés pour :
  • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • émettre vers le point d’accès d’une information de sécurité, au travers du second réseau,
  • établir une association de la station au point d’accès au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, en fonction de l’information de sécurité.
Avantageusement, ils sont également aptes à, et configurés pour :
  • déclencher les étapes du procédé suite au démarrage de la station,
  • recevoir un message de balise du point d’accès, le message de balise comprenant un identifiant du second réseau égal à une chaine de caractères vide,
  • recevoir, au travers du second réseau, une information de sécurité de la part du point d’accès,
  • supprimer l’association de la station au point d’accès au travers du second réseau Wi-Fi, avant d’établir l’association de la station au point d’accès au travers du premier réseau Wi-Fi.
La présente un exemple de structure d'un dispositif dans un point d’accès Wi-Fi, mettant en œuvre le procédé d’association d’une station Wi-Fi au point d’accès Wi-Fi, selon un aspect de l'invention.
Le dispositif 200 met en œuvre le procédé d’association, dont différents modes de réalisation viennent d'être décrits.
Un tel dispositif 200 peut être mis en œuvre dans une station Wi-Fi, telle que par exemple le point d’accès AP, qui peut être une passerelle ou un routeur domestique d’accès à Internet.
Par exemple, le dispositif 200 comprend un récepteur 201, un émetteur 202, une unité de traitement 230, équipée par exemple d'un microprocesseur µP, et pilotée par un programme d'ordinateur 210, stocké dans une mémoire 220 et mettant en œuvre le procédé d’association selon l'invention. A l’initialisation, les instructions de code du programme d’ordinateur 210 sont par exemple chargées dans une mémoire RAM, avant d’être exécutées par le processeur de l’unité de traitement 230.
Une telle mémoire 220, un tel processeur de l’unité de traitement 230, un tel récepteur 201 et un tel émetteur 202 sont aptes à, et configurés pour :
  • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • recevoir de la station une information de sécurité, au travers du second réseau,
  • établir une association de la station au point d’accès au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, en fonction de l’information de sécurité.
Avantageusement, ils sont également aptes à, et configurés pour :
  • préalablement à l’association au travers du second réseau, émettre un message de balise, le message de balise comprenant un identifiant du second réseau égal à une chaine de caractères vide,
  • préalablement à l’association au travers du second réseau, ne pas émettre de message de balise annonçant le second réseau,
  • supprimer l’association de la station au point d’accès au travers du second réseau Wi-Fi, avant d’établir l’association de la station au point d’accès au travers du premier réseau Wi-Fi,
  • ignorer l’information de sécurité est si elle est reçue à l’extérieur d’une fenêtre temporelle ouverte par une action de l’utilisateur sur le point d’accès,
  • émettre vers la station, au travers du second réseau, une information de sécurité de la part du point d’accès
  • ignorer l’information de sécurité si elle ne correspond pas à une donnée reçue séparément de la part d’un terminal distinct de la station.
Les entités décrites et comprises dans les dispositifs décrits en relation avec les figures 2 et 3 peuvent être matérielles ou logicielles. Les figures 2 et 3 illustrent seulement une manière particulière, parmi plusieurs possibles, de réaliser le procédé détaillé ci-dessus, en relation avec les figures précédentes. En effet, la technique de l’invention se réalise indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d’instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel).
Dans le cas où l’invention est implantée sur une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d’instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une clé USB, une disquette, un CD-ROM ou un DVD-ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.

Claims (15)

  1. Procédéd’association d’une station Wi-Fi (STA) à un point d’accès Wi-Fi (AP) au travers d’un premier réseau Wi-Fi (VAP1) annoncé par le point d’accès, le procédé étant mis en œuvre par la station et comprenant :
    • établissement d’une association (E201-E205) de la station au point d’accès au travers d’un second réseau Wi-Fi (VAP2) non annoncé par le point d’accès,
    • émission (E206) vers le point d’accès d’une information de sécurité (STAPubK), au travers du second réseau,
    • établissement d’une association (E401-E405) de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
  2. Procédéselon la revendication 1, où préalablement à l’établissement d’une association au travers du second réseau (VAP2), la station (STA) reçoit (E1b) un message de balise (BcnSSID2) du point d’accès (AP), le message de balise comprenant un identifiant du second réseau (SSID2) égal à une chaine de caractères vide.
  3. Procédéselon la revendication 1, où préalablement à l’établissement d’une association au travers du second réseau, la station (STA) ne reçoit pas de message de balise du point d’accès (AP) annonçant le second réseau (VAP2).
  4. Procédéselon l’une des revendications 1 à 3, où le procédé est déclenché par le démarrage de la station (STA).
  5. Procédéselon l’une des revendications 1 à 4, comprenant la suppression (E208) de l’association de la station (STA) au point d’accès (AP) au travers du second réseau Wi-Fi (VAP2), avant l’établissement de l’association de la station au point d’accès au travers du premier réseau Wi-Fi (VAP1).
  6. Procédéselon l’une des revendications 1 à 5, comprenant la réception (E207), au travers du second réseau (VAP2), d’une information de sécurité (APPubK) de la part du point d’accès (AP).
  7. Procédéd’association d’une station Wi-Fi (STA) à un point d’accès Wi-Fi (AP) au travers d’un premier réseau Wi-Fi (VAP1) annoncé par le point d’accès, le procédé étant mis en œuvre par le point d’accès et comprenant :
    • établissement d’une association (E201-E205) de la station au point d’accès au travers d’un second réseau Wi-Fi (VAP2) non annoncé par le point d’accès,
    • réception (E206) en provenance de la station d’une information de sécurité (STAPubK), au travers du second réseau,
    • établissement d’une association (E401-E405) de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
  8. Procédéselon la revendication 7, où préalablement à l’établissement de l’association au travers du second réseau (VAP2), le point d’accès (AP) émet un message de balise (BcnSSID2), le message de balise comprenant un identifiant du second réseau (SSID2) égal à une chaine de caractères vide.
  9. Procédéselon la revendication 7, où préalablement à l’établissement de l’association au travers du second réseau (VAP2), le point d’accès (AP) n’émet pas de message de balise annonçant le second réseau.
  10. Procédéselon l’une des revendications 7 à 9, comprenant la suppression (E208) de l’association de la station (STA) au point d’accès (AP) au travers du second réseau Wi-Fi (VAP2), avant l’établissement de l’association de la station au point d’accès au travers du premier réseau Wi-Fi (VAP1).
  11. Procédéselon l’une des revendications 7 à 10, où l’information de sécurité (STAPubK) est ignorée si elle est reçue à l’extérieur d’une fenêtre temporelle ouverte par une action de l’utilisateur sur le point d’accès (AP).
  12. Procédéselon l’une des revendications 7 à 11, comprenant l’émission (E207) vers la station (STA), au travers du second réseau (VAP2), d’une information de sécurité (APPubK) de la part du point d’accès (AP).
  13. Procédéselon l’une des revendications 7 à 12, où l’information de sécurité (STAPubK) est ignorée si elle ne correspond pas à une donnée reçue séparément de la part d’un terminal distinct de la station (STA).
  14. Dispositifd’association d’une station Wi-Fi (STA) à un point d’accès Wi-Fi (AP) au travers d’un premier réseau Wi-Fi (VAP1) annoncé par le point d’accès, le dispositif étant compris dans la station et comprenant un récepteur (101), un émetteur (102), un processeur (130) et une mémoire (120) couplée au processeur avec des instructions destinées à être exécutées par le processeur pour :
    • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi (VAP2) non annoncé par le point d’accès,
    • émettre vers le point d’accès d’une information de sécurité (STAPubK), au travers du second réseau,
    • établir une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
  15. Dispositifd’association d’une station Wi-Fi (STA) à un point d’accès Wi-Fi (AP) au travers d’un premier réseau Wi-Fi (VAP1) annoncé par le point d’accès, le dispositif étant compris dans le point d’accès et comprenant un récepteur (201), un émetteur (202), un processeur (230) et une mémoire (220) couplée au processeur avec des instructions destinées à être exécutées par le processeur pour :
    • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi (VAP2) non annoncé par le point d’accès,
    • recevoir en provenance de la station d’une information de sécurité (STAPubK), au travers du second réseau,
    • établir une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
FR2113926A 2021-12-17 2021-12-17 Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé Pending FR3131165A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR2113926A FR3131165A1 (fr) 2021-12-17 2021-12-17 Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé
PCT/EP2022/084958 WO2023110614A1 (fr) 2021-12-17 2022-12-08 Procédés et dispositifs facilitant l'appairage wi-fi sécurisé

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2113926 2021-12-17
FR2113926A FR3131165A1 (fr) 2021-12-17 2021-12-17 Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé

Publications (1)

Publication Number Publication Date
FR3131165A1 true FR3131165A1 (fr) 2023-06-23

Family

ID=80786494

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2113926A Pending FR3131165A1 (fr) 2021-12-17 2021-12-17 Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé

Country Status (2)

Country Link
FR (1) FR3131165A1 (fr)
WO (1) WO2023110614A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012151351A1 (fr) * 2011-05-04 2012-11-08 Marvell World Trade Ltd. Authentification sans fil à l'aide de messages balises
US20120317619A1 (en) * 2011-06-13 2012-12-13 Siddhartha Dattagupta Automated seamless reconnection of client devices to a wireless network
EP3637859A1 (fr) * 2017-07-04 2020-04-15 Huawei Technologies Co., Ltd. Procédé de balayage de points d'accès et dispositif électronique

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012151351A1 (fr) * 2011-05-04 2012-11-08 Marvell World Trade Ltd. Authentification sans fil à l'aide de messages balises
US20120317619A1 (en) * 2011-06-13 2012-12-13 Siddhartha Dattagupta Automated seamless reconnection of client devices to a wireless network
EP3637859A1 (fr) * 2017-07-04 2020-04-15 Huawei Technologies Co., Ltd. Procédé de balayage de points d'accès et dispositif électronique

Also Published As

Publication number Publication date
WO2023110614A1 (fr) 2023-06-22

Similar Documents

Publication Publication Date Title
EP1903746B1 (fr) Procédé de sécurisation de sessions entre un terminal radio et un équipement dans un réseau
FR2928798A1 (fr) Procede d'authentification, systeme d'authentification, terminal serveur, terminal client et programmes d'ordinateur correspondants
WO2023110614A1 (fr) Procédés et dispositifs facilitant l'appairage wi-fi sécurisé
EP2868130B1 (fr) Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces
EP2608590A1 (fr) Auto-configuration d'un équipement pour la connexion à un réseau sans fil sécurisé
EP2348763B1 (fr) Procédé d'authentification d'un terminal mobile pour accéder à un serveur d'applications
EP3568964B1 (fr) Procédé de transmission d'une information numérique chiffrée de bout en bout et système mettant en oeuvre ce procédé
WO2019053376A1 (fr) Accès à un service avec authentification basée sur un terminal mobile
EP2608591B1 (fr) Auto-configuration d'un terminal mobile pour la connexion à un réseau sans fil sécurisé
CA3153796A1 (fr) Procede de connexion d'un noeud de communication, et noeud de communication correspondant
EP2870817B1 (fr) Procede de traitement d'une requête de connexion a un reseau d'acces sans fil
WO2019186006A1 (fr) Procédé de connexion sans fil d'un objet communicant à un réseau de communication local, programme d'ordinateur et équipement d'accès correspondant
EP2400726B1 (fr) Procédé d'identification d'un réseau local identifié par une adresse IP publique
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
FR3052004B1 (fr) Procede d'echange de donnees entre un objet connecte et un serveur central.
WO2024068498A1 (fr) Procédés de preuve et de vérification d'usage d'une suite de chiffrement, entité de vérification, dispositifs de communication, terminal, et programme d'ordinateur associés
FR3060163B1 (fr) Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance.
FR3139263A1 (fr) Procédé et dispositif de connexion sécurisée dans un réseau local.
FR3128089A1 (fr) Procédé et dispositif de sélection d’une station de base
FR2985402A1 (fr) Procede de connexion a un reseau local d'un terminal mettant en oeuvre un protocole de type eap et systeme de communication associe
FR3112002A1 (fr) Procédé et dispositif de détection d'une faille de sécurité.
FR3093882A1 (fr) Procédé de configuration d’un objet communicant dans un réseau de communication, terminal utilisateur, procédé de connexion d’un objet communicant au réseau, équipement d’accès et programmes d’ordinateur correspondants.
FR3068800A1 (fr) Authentification basee sur un terminal mobile
FR2911036A1 (fr) Procede d'itinerance dans un reseau sans fil.
FR3074394A1 (fr) Acces a un service avec authentification basee sur un terminal mobile

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20230623