FR3136922A1 - Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d’ordinateur correspondants. - Google Patents

Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d’ordinateur correspondants. Download PDF

Info

Publication number
FR3136922A1
FR3136922A1 FR2205883A FR2205883A FR3136922A1 FR 3136922 A1 FR3136922 A1 FR 3136922A1 FR 2205883 A FR2205883 A FR 2205883A FR 2205883 A FR2205883 A FR 2205883A FR 3136922 A1 FR3136922 A1 FR 3136922A1
Authority
FR
France
Prior art keywords
equipment
mac address
remote server
communication
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2205883A
Other languages
English (en)
Inventor
Mohamed Boucadair
Christian Jacquenet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2205883A priority Critical patent/FR3136922A1/fr
Priority to PCT/EP2023/066058 priority patent/WO2023242318A1/fr
Publication of FR3136922A1 publication Critical patent/FR3136922A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5038Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Telephonic Communication Services (AREA)
  • Small-Scale Networks (AREA)

Abstract

Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d’ordinateur correspondants. L’invention concerne un procédé de gestion des communications d’un premier équipement, mis en œuvre par un serveur distant, comprenant : l’établissement (21) d’une première connexion sécurisée entre ledit premier équipement et ledit serveur distant, via une première interface de communication dudit premier équipement,la transmission (22), en utilisant ladite première connexion sécurisée, d’une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication du premier équipement. Figure pour l’abrégé : Figure 2

Description

Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d’ordinateur correspondants.
1. Domaine de l’invention
Le domaine de l’invention est celui des communications au sein d’au moins un réseau de communication, par exemple un réseau informatique mettant en œuvre le protocole IP.
Plus précisément, l’invention concerne la gestion d’au moins une adresse MAC (en anglais « Media Access Control ») affectée à au moins une interface d’un équipement connecté à un réseau de communication.
L’invention propose notamment une solution permettant de contribuer à la préservation de la confidentialité des communications.
2. Art antérieur
Le protocole QUIC est un protocole de communication reposant sur le protocole UDP (en anglais « User Datagram Protocol ») de la couche transport. Par rapport à l’utilisation du protocole TCP (en anglais « Transmission Control Protocol »), le protocole QUIC permet notamment de réduire les temps de latence généralement observés lors de l’établissement de connexions TCP.
Le protocole QUIC ne chiffre pas uniquement les données utiles, à la différence du protocole TLS (en anglais « Transport Layer Security »), mais également les informations de contrôle de connexion. Ainsi, les solutions classiques pour insérer des relais (« proxy », en anglais) applicatifs ne sont pas directement réutilisables pour les communications établies selon le protocole QUIC. Les informations de contrôle de connexion QUIC envoyées en clair sont limitées au strict minimum. Par exemple, un paquet QUIC comprend un entête non chiffré, comportant un ou plusieurs marqueurs « flags », un ou plusieurs identifiants de connexion et un numéro de paquet.
Afin de supporter un changement d’adresse IP d’un équipement, tel qu’un terminal, sans avoir à clôturer une connexion QUIC en cours, le protocole QUIC ne s’appuie pas sur les identifiants de transport, un identifiant de transport (aussi parfois désigné par « adresse de transport ») étant défini par un quadruplet {adresse IP source, numéro de port source, adresse IP destination, numéro de port destination}, mais sur au moins un identifiant de connexion, appelé CID (pour « Connection IDentifier ») ou CONNECTION_ID.
La spécification QUIC définit deux types de CID : Destination CID et Source CID.
Le protocole QUIC supporte un mécanisme de migration de connexion qui permet de maintenir une connexion QUIC active en cas de modification d’une des adresses (ou numéros de port) des équipements participant à l’établissement et à la maintenance de la connexion QUIC (incluant les changements d’adresses réalisés par des NAT (pour « Network Address Translation » en anglais) placés sur un chemin emprunté par les données échangées au titre d’une connexion QUIC). Ainsi, une migration de connexion consiste à passer d’un identifiant de transport défini par un quadruplet {adresse source, port source, adresse destination, port destination} à un autre. Dans la suite, et à titre d’exemple, un chemin de communication est identifié par un identifiant de transport défini par un quadruplet {adresse source, port source, adresse destination, port destination}. La modification d’au moins un paramètre de ce quadruplet donne lieu à un nouveau chemin de communication. Il convient toutefois de noter que cette définition n’impose pas que les chemins « physiques » correspondants soient en tout ou partie disjoints (en d’autres mots, la modification dudit au moins un paramètre ne signifie pas que les chemins physiques c’est-à-dire les routes emprunté(e)s par les données diffèrent). Les équipements participant à l’établissement et à la maintenance de la connexion QUIC peuvent procéder à la validation d’une nouvelle adresse utilisée par exemple par l’équipement QUIC à l’origine de l’établissement de la connexion à l’aide des trames PATH_CHALLENGE et PATH_RESPONSE échangées entre ces équipements pour valider une migration de connexion. La même procédure de migration de connexion est mise en place en cas d’annonce d’une nouvelle adresse par l’équipement distant.
Bien que cette solution permette de maintenir une connexion QUIC en cas de changement de chemin de communication (c’est à dire en cas de modification d’une des adresses ou numéros de port du quadruplet {adresse IP source, numéro de port source, adresse IP destination, numéro de port destination}), elle présente l’inconvénient de permettre le traçage des communications d’un utilisateur d’un équipement avec lequel la connexion QUIC a été établie. Ceci peut ainsi nuire à la confidentialité des données échangées par des utilisateurs de tels équipements, ou des données caractéristiques de ces utilisateurs.
Une première solution pour tenter de limiter le traçage des communications en cas de migration de connexion repose sur l’utilisation de nouveaux identifiants de connexion pour les communications établies sur d’autres chemins, au sein de la même connexion QUIC.
Toutefois une telle solution ne suffit pas à fournir des garanties strictes quant à la non-traçabilité des connexions QUIC, notamment lorsqu’une même adresse MAC est utilisée par un équipement tel qu’un terminal pour les communications établies sur différents chemins.
On rappelle à cet effet que les adresses MAC sont des identifiants affectés à des interfaces réseau pour les besoins de communication. Ces identifiants sont généralement affectés par les fabricants des cartes réseau. Une adresse MAC est souvent considérée comme unique et permanente (c’est-à-dire non modifiée dans le temps), ce qui permet de suivre et d’identifier un équipement tel qu’un terminal, même lorsque celui-ci est en mouvement.
Il existe donc un besoin d’une nouvelle solution permettant d’améliorer la confidentialité des communications.
3. Exposé de l’invention
L’invention propose une solution sous la forme d’un procédé de gestion des communications d’un premier équipement, mis en œuvre par un serveur distant, comprenant :
  • l’établissement d’une première connexion sécurisée entre ledit premier équipement et ledit serveur distant, via une première interface de communication dudit premier équipement,
  • la transmission, en utilisant ladite première connexion sécurisée, d’une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication du premier équipement.
On note que la première et la deuxième interface de communication du premier équipement peuvent être une même interface ou des interfaces distinctes. Par exemple, le premier équipement est un terminal (fixe ou mobile, comme un ordinateur, un smartphone, etc.) comprenant une ou plusieurs interfaces de communication, par exemple une interface WLAN (Wireless LAN), une interface Ethernet, etc.
Le premier équipement et le serveur distant peuvent être connectés à un même réseau, par exemple un réseau d’accès, ou à des réseaux distincts. Par exemple, le premier équipement est connecté à un réseau local, tel qu’un réseau domestique ou un réseau intranet d’entreprise. Un tel réseau peut éventuellement être un réseau hiérarchique, c’est-à-dire un réseau au sein duquel un ou plusieurs routeurs IP ont été déployés. Le premier équipement peut être connecté au serveur distant par l’intermédiaire d’un routeur d’accès. Le serveur distant peut notamment être connecté au réseau d’accès auquel le terminal se connecte ou à un autre réseau. La connectivité IP peut être fournie via un réseau filaire, ou sans fil (par exemple 5G), ou les deux.
Aucune hypothèse n’est faite par la suite quant à la nature des équipements impliqués ou l’architecture du ou des réseaux. De même, aucune hypothèse n’est faite quant à la nature du ou des services mis en place sur la base des adresses MAC.
Selon au moins un mode de réalisation de l’invention, le serveur peut déclencher une procédure de gestion de l’adresse MAC courante, en envoyant au premier équipement une instruction de gestion de cette adresse MAC courante. Par exemple, une telle instruction de gestion appartient au groupe comprenant :
  • une demande de renouvellement de ladite au moins une adresse MAC courante,
  • une demande d’extension de la durée de validité de ladite au moins une adresse MAC courante.
La solution proposée permet ainsi, selon au moins un mode de réalisation, d’éviter le traçage des communications grâce à la gestion des adresses MAC (par exemple, au renouvellement de l’adresse MAC courante ou à l’extension de sa durée de validité), et par conséquent de contribuer à la préservation de la confidentialité des données échangées par des utilisateurs de tels équipements ou des données caractéristiques de ces utilisateurs.
Une telle procédure de gestion des adresses MAC initiée par le serveur est par exemple appelée procédure ADET pour « ADvancEd anti-Tracking system ».
En particulier, une extension de la durée de validité de ladite au moins une adresse MAC courante peut s’avérer plus efficace dans certaines situations et/ou pour certains services, ou en anticipation d’une éventuelle demande de renouvellement. Cela permet notamment de rendre la procédure plus robuste (par exemple en prévenant le renouvellement concomitant des adresses MAC de toutes les interfaces actives d’un équipement).
En particulier, cette instruction de gestion de l’adresse MAC courante est transmise en utilisant une connexion sécurisée, ce qui permet d’améliorer la sécurité des échanges entre le premier équipement et le serveur distant.
Par exemple, la première connexion sécurisée repose sur un protocole de communication sécurisé, comme le protocole QUIC, MP-QUIC (« Multipath QUIC »), ou le protocole CoAP (en anglais « Constrained Application Protocol ») lorsqu’il est utilisé conjointement avec le protocole DTLS (en anglais « Datagram Transport Layer Security »), etc.
Lorsque le protocole MP-QUIC est utilisé, la migration de connexion peut être remplacée par une fonction d’ajout / suppression de chemins de communication entre le serveur et le premier équipement.
La solution proposée offre ainsi l’avantage d’utiliser des fonctions supportées par un protocole de communication sécurisé.
Si la connexion sécurisée met en œuvre un protocole tel que QUIC, une demande de renouvellement d’au moins une adresse MAC courante est par exemple transmise dans une trame QUIC appelée ici « MAC_RENEW ».
Selon un mode de réalisation particulier, une communication étant établie sur un premier chemin de communication entre le premier équipement et le serveur distant et utilisant ladite au moins une adresse MAC courante, l’instruction de gestion de ladite au moins une adresse MAC courante est transmise suite à la détection d’un événement relatif à ladite communication appartenant au groupe comprenant :
  • une durée d’utilisation de ladite au moins une adresse MAC courante,
  • une durée de validité de ladite au moins une adresse MAC courante, ou autrement dit une échéance pour le renouvellement de ladite au moins une adresse MAC courante,
  • une détection de migration de la communication établie sur le premier chemin de communication vers au moins un deuxième chemin de communication.
Selon au moins un mode de réalisation de l’invention, le serveur distant peut ainsi déclencher la procédure de gestion de l’adresse MAC courante sur détection d’un événement relatif à une communication utilisant au moins une adresse MAC courante associée à une interface du premier équipement.
Par exemple, le serveur distant peut détecter une communication de longue durée utilisant ladite au moins une adresse MAC courante associée à au moins une deuxième interface du premier équipement, et demander au premier équipement de renouveler la ou les adresses MAC courante(s) concernées. Le serveur distant peut de la sorte contrôler la durée de vie d’une adresse MAC utilisée par un client.
En variante, le serveur distant peut détecter une migration de la communication d’au moins un premier chemin de communication vers au moins un deuxième chemin de communication. Par exemple, le serveur distant détecte une migration de la communication suite à la réception d’un message émis par le premier équipement avec un nouvel identifiant de transport (par exemple une nouvelle adresse IP source).
La demande de renouvellement d’adresse MAC peut également être transmise au premier équipement préalablement à la migration. Par exemple, une notification QUIC peut être envoyée par le serveur distant au premier équipement pour l’informer de la migration à venir.
Selon ce mode de réalisation, il est ainsi possible d’éviter, ou à tout le moins de réduire le risque de traçage du premier équipement, notamment en cas de communication de longue durée ou de migration de connexion.
On note qu’une telle communication peut être établie entre le premier équipement et le serveur, ou le premier équipement et un deuxième équipement connecté au même réseau que le premier équipement ou à un réseau distinct.
Dans un mode de réalisation particulier, une communication étant établie sur un premier chemin de communication entre le premier équipement et le serveur distant et utilisant ladite au moins une adresse MAC courante, ledit serveur distant temporise la transmission de données sur le premier chemin pendant une durée définie (par exemple de l’ordre de quelques millisecondes ou quelques secondes) ou tant que le serveur distant n’a pas reçu de confirmation d’association d’au moins une nouvelle adresse MAC à ladite au moins une deuxième interface dudit premier équipement pour poursuivre la communication sur le premier chemin de communication.
Ladite durée définie peut être configurable.
En d’autres termes, le serveur distant n’utilise pas le premier chemin de communication pendant le renouvellement d’au moins une adresse MAC associée à au moins une interface du premier équipement, et observe une temporisation (appelé dans la suite période de « pause ») en stockant par exemple les données dans une mémoire tampon. Ainsi, aucune donnée utile n’est transmise pendant une période donnée, par exemple de l’ordre de 100 ms.
Dans un autre mode de réalisation particulier, une communication étant établie sur un premier chemin de communication entre le premier équipement et le serveur distant et utilisant ladite au moins une adresse MAC courante, ledit serveur distant transmet des données sur au moins un deuxième chemin entre le premier équipement et le serveur distant pendant une durée définie (par exemple de l’ordre de quelques millisecondes ou quelques secondes, cette durée étant configurable) ou tant que ledit serveur distant n’a pas reçu de confirmation d’association d’au moins une nouvelle adresse MAC à ladite au moins une deuxième interface dudit premier équipement pour poursuivre la communication sur le premier chemin de communication.
En d’autres termes, le serveur distant n’utilise pas le premier chemin de communication pendant le renouvellement d’au moins une adresse MAC associée à au moins une interface du premier équipement, et transmet les données sur au moins un deuxième chemin de communication (chemin alternatif). Ainsi, les données utiles peuvent être transmises sur un autre chemin disponible pendant une période donnée, par exemple de l’ordre de 1s.
Dans un mode de réalisation particulier, le serveur distant peut notamment envoyer au premier équipement une demande d’extension de la durée de validité de l’adresse MAC associée à une interface du premier équipement utilisée pour les communications avec le serveur distant sur le deuxième chemin, de façon à s’assurer que cette adresse MAC n’est pas modifiée pendant la durée définie ou tant que le serveur distant n’a pas reçu de confirmation d’association d’une nouvelle adresse MAC à l’interface du premier équipement et utilisée pour les communications avec le serveur sur le premier chemin.
Ces différents modes de réalisation permettent d’éviter, ou à tout le moins réduire, le risque de perte de données pendant qu’une adresse MAC est en cours de renouvellement.
Dans un mode de réalisation particulier, l’instruction de gestion d’au moins une adresse MAC courante comporte au moins un élément appartenant au groupe comprenant :
  • un ou plusieurs identifiants d’interface (permettant d’identifier la ou les interfaces du premier équipement qui doivent être associées à une nouvelle adresse MAC),
  • un ou plusieurs identifiants de chemins réseau (permettant d’identifier le ou les chemins de communication courants et/ou précédemment utilisés entre ledit premier équipement et le serveur distant). Par exemple, de tels identifiants peuvent être une adresse, un identifiant d’adresse, etc.
  • etc.
Ces identifiants, lorsqu’ils sont présents, peuvent être utilisés par le premier équipement pour sélectionner la ou les interfaces associées à une adresse MAC à gérer.
L’invention concerne encore un procédé de communication entre un premier équipement et un serveur distant, mis en œuvre par ledit premier équipement, comprenant :
  • l’établissement d’une première connexion sécurisée entre ledit premier équipement et ledit serveur distant, via une première interface de communication dudit premier équipement,
  • la réception, en utilisant ladite première connexion sécurisée, d’une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication dudit premier équipement,
  • l’exécution de ladite instruction de gestion.
Selon ce mode de réalisation, la gestion d’au moins une adresse MAC du premier équipement est mise en œuvre sur requête du serveur distant.
Comme indiqué ci-dessus, le serveur peut ainsi déclencher une procédure de gestion d’au moins une adresse MAC courante associée à au moins une interface du premier équipement, par exemple suite à la détection d’un événement relatif à une communication utilisant cette adresse MAC courante.
La solution proposée permet notamment, selon au moins un mode de réalisation, d’éviter le traçage des communications grâce à la gestion des adresses MAC, et par conséquent de contribuer à la préservation de la confidentialité des données échangées par des utilisateurs de tels équipements ou des données caractéristiques de ces utilisateurs.
Dans un mode de réalisation particulier, l’exécution de ladite instruction de gestion comprend l’association d’au moins une nouvelle adresse MAC à ladite au moins une deuxième interface.
De cette façon, au moins une adresse MAC courante peut être renouvelée et remplacée par une nouvelle adresse MAC.
Dans un mode de réalisation particulier, ladite au moins une nouvelle adresse MAC est choisie de sorte à ne pas pouvoir être corrélée à ladite au moins une adresse MAC courante.
De cette façon, un équipement malveillant ne peut pas détecter que ces adresses MAC sont associées au même équipement.
En particulier, on rappelle que si une même adresse MAC associée à au moins une interface du terminal est exposée sur différents chemins de communication, les communications établies sur les différents chemins peuvent être corrélées.
Selon ce mode de réalisation, la solution proposée offre ainsi une solution pour contribuer à préserver la confidentialité des communications en évitant d’exposer des informations qui permettent de déduire qu’il s’agit d’une migration d’une communication établie sur un premier chemin de communication vers une communication établie sur au moins un deuxième chemin de communication.
Dans un mode de réalisation particulier, l’association d’au moins une nouvelle adresse MAC à ladite au moins une deuxième interface met en œuvre une technique de renouvellement d’adresse MAC classique, par exemple une technique de génération aléatoire des adresses MAC (« randomisation »).
Dans un autre mode de réalisation, l’association d’au moins une nouvelle adresse MAC à ladite au moins une deuxième interface met en œuvre une nouvelle technique appelée ici MUSC (en anglais « Efficient MAC address Update for Service Continuity »), telle que décrite dans la demande de brevet français FR2205880 déposée le 16/06/2022.
En particulier, une telle procédure peut être mise en œuvre lorsque ladite au moins une adresse MAC courante est utilisée pour communiquer avec ou via au moins un deuxième équipement localisé sur un chemin de communication entre ledit premier équipement et ledit serveur distant, ou un équipement intermédiaire localisé sur un chemin de communication entre ledit premier équipement et ledit deuxième équipement.
En particulier, un tel deuxième équipement peut être un routeur d’accès qui permet de connecter ledit premier équipement au serveur distant. L’équipement intermédiaire peut être un autre routeur localisé sur le chemin entre le premier équipement et le deuxième équipement.
Par exemple, le premier équipement met en œuvre :
  • l’établissement d’une deuxième connexion sécurisée entre ledit premier équipement et ledit deuxième équipement, via une troisième interface de communication dudit premier équipement,
  • la transmission, en utilisant ladite deuxième connexion sécurisée, d’un message comportant au moins une adresse MAC chiffrée, associée ou apte à être associée à ladite troisième interface et utilisée pour communiquer avec ou via ledit deuxième équipement ou ledit équipement intermédiaire.
On note que la première, deuxième et troisième interface de communication du premier équipement peuvent être une même interface ou des interfaces distinctes.
Ainsi, selon ce mode de réalisation de l’invention, le premier équipement peut déclarer au deuxième équipement l’adresse MAC courante qu’il utilise pour communiquer avec ou via le deuxième équipement, ou au moins une adresse MAC candidate qu’il souhaite utiliser pour communiquer avec ou via le deuxième équipement. Le chiffrement d’au moins une adresse MAC permet de renforcer la confidentialité de l’information transmise. De plus, ce mode de réalisation permet de communiquer cette ou ces adresses MAC au deuxième équipement lorsqu’il n’est pas directement connecté au premier équipement (cas d’un réseau hiérarchique par exemple). Enfin, il est possible pour un équipement destinataire dudit message de comparer l’adresse MAC source du message (qui peut être transportée en clair dans l’entête du message) avec l’adresse MAC chiffrée telle que déclarée dans le message, pour détecter une éventuelle manipulation frauduleuse des adresses MAC.
La solution proposée permet ainsi, selon au moins un mode de réalisation, de contribuer à la préservation de la confidentialité des communications.
Par exemple, la deuxième connexion sécurisée repose sur un protocole de communication sécurisé, comme le protocole QUIC, le protocole CoAP sur DTLS, etc. La solution proposée offre ainsi l’avantage d’utiliser des fonctions supportées par un protocole de communication sécurisé, et ne repose pas simplement sur l’utilisation d’adresses MAC. L’utilisation d’un canal sécurisé et le chiffrement des adresses MAC permet notamment d’obtenir une autorisation d’accès au réseau sur la base de l’adresse MAC même si le contrôle d’accès est activé par un équipement qui n’est pas sur le même lien (c'est-à-dire situé à plusieurs sauts IP).
Le message correspond par exemple à au moins une trame appartenant au groupe comprenant :
  • une trame qui décrit l’adresse MAC courante que le premier équipement utilise pour communiquer avec ou via le deuxième équipement, par exemple une trame QUIC appelée ici « CURRENT_MAC_ADDRESS »,
  • une trame qui décrit une adresse MAC candidate que le premier équipement envisage d’utiliser pour communiquer avec ou via le deuxième équipement, par exemple une trame QUIC appelée ici « CANDIDATE_MAC_ADDRESS »,
  • une trame qui décrit une liste d’adresses MAC que le premier équipement prévoit d’utiliser pour communiquer avec ou via le deuxième équipement, par exemple une trame QUIC appelée ici « LIST_MAC_ADDRESS ».
Dans un mode de réalisation particulier, la solution proposée permet notamment d’offrir une continuité de service, même en cas de renouvellement d’adresse MAC.
En particulier, la solution proposée ne requiert pas d’authentification explicite ou d’établissement d’association de sécurité entre le premier équipement (terminal par exemple) et le deuxième équipement (routeur d’accès par exemple) pour chaque échange de paquets avec des équipements externes au réseau.
Dans un mode de réalisation particulier, le premier équipement et le serveur peuvent échanger des messages pour confirmer qu’ils sont aptes à mettre en œuvre l’invention, selon au moins un mode de réalisation.
Par exemple, le premier équipement met en œuvre la transmission d’un premier paramètre signalant au serveur que le premier équipement supporte la procédure de gestion des adresses MAC initialisée par le serveur (procédure ADET). Le serveur met également en œuvre, par exemple à réception de ce premier paramètre, la transmission d’un deuxième paramètre signalant au premier équipement que le serveur est apte à gérer les adresses MAC du premier équipement.
Par exemple, de tels paramètres sont des paramètres de transport QUIC appelés ici « mac-update », et valorisés à « 1 » pour indiquer que l’équipement émetteur du message QUIC comportant un tel paramètre supporte le procédé selon l’invention.
L’échange de tels paramètres peut être mis en œuvre avant la transmission, par le serveur, de l’instruction de gestion des adresses MAC.
Dans d’autres modes de réalisation, l’invention concerne un premier équipement et un serveur distant correspondants.
Un mode de réalisation de l’invention vise aussi à protéger un ou plusieurs programmes d’ordinateur comportant des instructions adaptées à la mise en œuvre d’au moins une étape des procédés selon au moins un mode de réalisation de l’invention tel que décrit ci-dessus, lorsque ce ou ces programmes sont exécutés par un processeur, ainsi qu’au moins un support d’informations lisible par un ordinateur comportant des instructions d’au moins un programme d’ordinateur tel que mentionné ci-dessus.
4. Liste des figures
D’autres caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante d’un mode de réalisation particulier, donné à titre d’exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels :
  • la présente un exemple d’architecture de réseaux ;
  • la illustre les principales étapes mises en œuvre par un premier équipement et un serveur distant selon au moins un mode de réalisation de l’invention ;
  • la illustre l’échange de paramètres pour vérifier la compatibilité du premier équipement et du serveur distant selon un mode de réalisation de l’invention ;
  • la illustre un exemple d’architecture de réseaux mettant en œuvre une procédure MUSC sur l’un des chemins de communication entre le premier équipement et le serveur distant ;
  • la présente des exemples de messages échangés entre un premier équipement, un premier routeur d’accès et un serveur distant lorsque la procédure MUSC est mise en œuvre suite à la réception d’une instruction de gestion en provenance du serveur distant ;
  • la illustre un exemple d’architecture de réseaux mettant en œuvre une procédure MUSC sur chacun des chemins de communication disponibles suite à la réception d’une instruction de gestion en provenance du serveur distant ;
  • la présente des exemples de messages échangés entre le premier équipement, le premier routeur d’accès, et le serveur distant, et entre le premier équipement, un deuxième routeur d’accès, et le serveur distant, lorsque la procédure MUSC est mise en œuvre pour chacun des chemins de communication disponibles suite à la réception d’une instruction de gestion en provenance du serveur distant ;
  • la présente la structure simplifiée d’un premier équipement, respectivement d’un serveur distant, selon un mode de réalisation particulier.
5. Description d’un mode de réalisation de l’invention
5.1 Principe général
Le principe général de l’invention repose sur la gestion, par un serveur distant, d’au moins une adresse MAC courante associée à au moins une interface de communication d’un premier équipement, de façon à limiter les risques de traçage du premier équipement et ainsi à contribuer à la préservation de la confidentialité des communications.
Le premier équipement et le serveur distant peuvent être connectés à un même réseau, par exemple à un réseau d’accès, ou à des réseaux distincts. Par exemple, comme illustré en , on considère que le premier équipement H 11 est un terminal multi-interfaces, qui peut utiliser une même interface ou des interfaces distinctes pour se connecter à un ou plusieurs réseaux d’accès. Dans la suite, on considère que le premier équipement est connecté à au moins un réseau d’accès, par exemple à un premier réseau d’accès NET. #1 121 et à un deuxième réseau d’accès NET. #2 122. Le serveur distant S 13 peut être connecté à un réseau externe, par exemple le réseau d’un opérateur auprès duquel l’utilisateur du premier équipement a souscrit une offre de service Internet 131 (ISP, « Internet Service Provider » en anglais) ou à un autre réseau géré par une tierce partie, ou directement aux réseaux d’accès NET. #1 121 et/ou NET. #2 122. Le premier équipement 11 peut communiquer avec le serveur distant 13 par l’intermédiaire du premier routeur d’accès R1 1211 du premier réseau d’accès NET. #1 121 et/ou par l’intermédiaire d’un deuxième routeur d’accès R2 1221 du deuxième réseau d’accès NET. #2 122.
Comme indiqué au préalable, d’autres architectures réseau ou d’autres natures d’équipements peuvent être utilisées dans le cadre de l’invention.
Comme discuté en relation avec l’art antérieur, le premier équipement 11 utilise classiquement la même adresse MAC (par exemple @MAC1) pour communiquer avec le serveur 13, quel que soit le chemin de communication utilisé (premier chemin de communication par l’intermédiaire du premier routeur d’accès 1211 ou deuxième chemin de communication par l’intermédiaire du deuxième routeur d’accès 1221), particulièrement, lorsqu’une même interface est utilisée pour se connecter à ces réseaux d’accès. En d’autres termes, la même adresse MAC est exposée sur les différents chemins de communication, et les communications établies sur ces différents chemins peuvent être corrélées. Un équipement malveillant peut donc facilement tracer les communications émanant du premier équipement 11, même en cas de changement du réseau d’accès auquel se connecte le premier équipement.
La solution proposée permet de gérer au moins une adresse MAC associée à au moins une interface du premier équipement 11, par exemple en modifiant cette adresse MAC en cas de migration de la communication d’un premier chemin de communication vers au moins un deuxième chemin de communication. La même procédure peut être utilisée également en cas de maintien de la communication sur plusieurs chemins de communication (c'est-à-dire lors d’une utilisation simultanée des ressources associées aux différents chemins en l’absence de migration de la communication). Il est par ailleurs possible de contrôler la durée d’utilisation d’une adresse MAC, par exemple en fonction du service invoqué, ou de prolonger sa durée de validité.
La illustre les principales étapes mises en œuvre par un serveur distant et par un premier équipement, par exemple le serveur 13 et le premier équipement 11 de la , pour la mise en œuvre des procédés selon au moins un mode de réalisation de l’invention.
Au cours d’une première étape 21, une première connexion sécurisée entre le premier équipement et le serveur distant est établie, via une première interface de communication du premier équipement. L’établissement d’une telle connexion sécurisée étant classique, il n’est pas décrit plus en détail ici.
Le serveur 13 peut alors transmettre (22) au premier équipement 11, en utilisant la première connexion sécurisée, une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication du premier équipement (les première et deuxième interfaces de communication pouvant être une même interface ou des interfaces distinctes).
Une telle instruction de gestion est par exemple de type demande de renouvellement de l’adresse MAC courante ou demande d’extension de la durée de validité de l’adresse MAC courante.
Par exemple, le serveur peut déclencher l’envoi d’une instruction de gestion d’au moins une adresse MAC lorsque la durée d’utilisation de l’adresse MAC courante est supérieure à une durée définie, lorsqu’une durée de validité de l’adresse MAC courante est atteinte (correspondant à une échéance pour le renouvellement de l’adresse MAC courante) et/ou suite à la migration d’une communication établie sur un premier chemin de communication vers au moins un deuxième chemin de communication, etc.
Le premier équipement 11 peut ainsi recevoir (23) l’instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication du premier équipement, en utilisant la première connexion sécurisée.
Le premier équipement peut alors exécuter (24) l’instruction de gestion correspondante, par exemple procéder au renouvellement de l’adresse MAC courante @MAC1 et associer au moins une nouvelle adresse MAC @MAC2 à l’interface concernée du premier équipement.
Selon un mode de réalisation particulier, le premier équipement peut mettre en œuvre une procédure classique pour l’association d’au moins une adresse MAC à au moins l’une de ses interfaces.
Dans un autre mode de réalisation, le premier équipement peut mettre en œuvre une nouvelle procédure pour l’association d’au moins une adresse MAC à au moins l’une de ses interfaces, dite procédure MUSC, telle que décrite dans la demande de brevet français FR2205880 précitée.
Une telle procédure MUSC peut notamment être mise en œuvre entre le premier équipement et un deuxième équipement localisé sur un chemin de communication entre le premier équipement et le serveur, par exemple le premier routeur d’accès 1211 et/ou le deuxième routeur d’accès 1221 de la .
5.2 Exemples de mise en œuvre
On décrit ci-après différents exemples de mise en œuvre de l’invention, selon lesquels la première connexion sécurisée entre le serveur et le premier équipement utilise le protocole QUIC. Comme déjà indiqué, dans d’autres modes de réalisation, la première connexion sécurisée peut utiliser le protocole CoAP sur DTLS ou tout autre protocole permettant l’établissement d’une connexion sécurisée. Aucune hypothèse n’est faite quant à l’utilisation du protocole QUIC. La solution proposée peut également s’appliquer à des communications QUIC établies sur plusieurs chemins en exploitant les ressources MP-QUIC. L’exploitation de tout ou partie de ces différents chemins peut faire l’objet d’une négociation entre le serveur et le premier équipement.
Comme illustré dans la , selon un mode de réalisation particulier, le premier équipement peut utiliser un nouveau paramètre de transport QUIC (comme prévu en section 7.4.2 du document RFC 9000, mai 2021), appelé ici « mac-update », pour signaler au serveur qu’il supporte la procédure de gestion des adresses MAC initialisée par le serveur (procédure ADET). Par exemple, le premier équipement 11 met en œuvre la transmission 31 d’un premier paramètre signalant au serveur 13 que le premier équipement 11 est apte à modifier son adresse MAC courante ou à prolonger sa durée de validité, en utilisant la première connexion sécurisée. Si le serveur supporte également la procédure ADET, il peut répondre en utilisant le nouveau paramètre de transport QUIC « mac-update », en utilisant également la première connexion sécurisée. En d’autres termes, le serveur 13 met en œuvre la transmission 32 d’un deuxième paramètre signalant au premier équipement 11 que le serveur 13 est apte à gérer au moins une adresse MAC associée à au moins une interface du premier équipement.
Ces premier et deuxième paramètres sont par exemple valorisés à « 1 » (mac-update = 0x1) pour indiquer le support de la procédure ADET.
Le serveur peut alors transmettre au premier équipement une instruction de gestion des adresses MAC, par exemple une demande de renouvellement d’au moins une de ses adresses MAC courantes dans une trame QUIC appelée ici « MAC_RENEW » 33.
On présente ci-après en relation avec les figures 4 et 5 un exemple de mise en œuvre de l’invention.
La illustre un exemple d’architecture réseau, selon laquelle le premier équipement 11 peut communiquer avec le serveur distant 13 par l’intermédiaire du premier routeur d’accès R1 1211 du premier réseau d’accès NET. #1 121.
La illustre des exemples de messages échangés entre le premier équipement 11, le premier routeur d’accès 1211 et le serveur 13 lorsque la procédure MUSC est mise en œuvre suite à la réception d’une instruction de gestion en provenance du serveur distant.
Une connexion sécurisée QUIC Connect. #1 (51) est établie entre le premier équipement 11 et le serveur 13. La connexion sécurisée QUIC Connect #1 établie entre le premier équipement 11 et le serveur 13 via le premier routeur d’accès 1211 est caractérisée par des identifiants de connexion CID (notamment CID source).
Comme expliqué en relation avec la , des paramètres de transport QUIC « mac-update » peuvent être échangés entre le premier équipement 11 et le serveur 13 pour vérifier qu’ils supportent la procédure de gestion des adresses MAC (procédure ADET) selon un mode de réalisation de l’invention.
On suppose par la suite que le premier équipement 11 et le serveur 13 supportent la procédure ADET.
Des données D peuvent notamment être échangées entre le premier équipement 11 et le serveur 13 via la connexion sécurisée QUIC Connect. #1, par le premier chemin de communication via le premier routeur d’accès 1211.
On considère par exemple que le serveur 13 détecte que le premier équipement 11 a établi une communication de longue durée (par exemple de durée supérieure à un seuil donné recommandé pour le service en cours) avec un deuxième équipement situé sur le premier chemin de communication (par exemple avec le serveur 13 ou avec le premier routeur d’accès 1211), en utilisant une adresse MAC courante @MAC1 associée à une interface de communication du premier équipement pour communiquer avec ou via le deuxième équipement.
Le serveur 13 peut alors déclencher la procédure de gestion des adresses MAC de façon à éviter que le premier équipement n’établisse durablement des communications reposant sur l’utilisation de la même adresse MAC.
Pour ce faire, le serveur 13 peut envoyer une demande de renouvellement de l’adresse @MAC1 utilisée par le premier équipement 11, pour que l’adresse MAC utilisée pour la transmission de paquets sur le premier chemin soit modifiée. Le serveur 13 peut par exemple envoyer une trame MAC_RENEW au premier équipement 11 via la connexion sécurisée QUIC Connect. #1, et un cycle de négociation d’adresse MAC peut alors être déclenché.
Une procédure MUSC peut notamment être mise en œuvre entre le premier équipement 11 et le deuxième équipement, pour associer une nouvelle adresse MAC à l’interface utilisée par le premier équipement pour communiquer avec ou via le deuxième équipement. On considère par exemple que le deuxième équipement est le premier routeur d’accès 1211.
Pour ce faire, une connexion sécurisée QUIC Connect. #2 (52) est établie entre le premier équipement 11 et le premier routeur d’accès 1211. Par exemple, une telle connexion sécurisée utilise le protocole QUIC, le protocole CoAP sur DTLS, etc.
Le premier équipement 11 peut alors transmettre un message au premier routeur d’accès 1211, en utilisant la connexion sécurisée QUIC Connect. #2. Un tel message comporte au moins une adresse MAC chiffrée, associée ou apte à être associée à l’interface considérée du premier équipement, et utilisée pour communiquer avec ou via le premier routeur d’accès 1211 ou un équipement intermédiaire localisé sur un chemin de communication entre le premier équipement et le premier routeur d’accès 1211.
Le premier routeur d’accès 1211 peut ainsi recevoir un tel message, et valider la ou les adresses MAC reçues.
Différents types de messages peuvent être envoyés du premier équipement 11 au premier routeur d’accès 1211.
Dans l’exemple de la , le premier équipement 11 peut générer au moins une nouvelle adresse MAC @MAC 2 et transmettre cette nouvelle adresse @MAC 2 chiffrée dans un message en utilisant la connexion sécurisée QUIC Connect. #2. Le premier routeur d’accès 1211 peut alors valider la nouvelle adresse @MAC 2 et le cas échéant procéder à la mise à jour de règles de filtrage qu’il maintient.
Par exemple, une fois que la nouvelle adresse @MAC 2 est associée à l’interface considérée du premier équipement, la nouvelle adresse @MAC 2 devient l’adresse MAC courante associée à l’interface considérée. Un message correspondant à au moins une trame QUIC qui décrit l’adresse MAC courante que le premier équipement utilise pour communiquer avec ou via le premier routeur d’accès 1211, appelée par exemple ici « CURRENT_MAC_ADDRESS », peut alors être transmis du premier équipement 11 au premier routeur d’accès 1211.
L’insertion de l’adresse MAC courante dans la nouvelle trame, et donc son chiffrement lié à l’utilisation de la connexion sécurisée QUIC, permet au premier routeur d’accès 1211 de comparer des informations transportées dans la partie chiffrée du message (par exemple l’adresse MAC courante) avec des informations véhiculées en clair dans la connexion QUIC (par exemple l’adresse MAC source) et de détecter la manipulation éventuelle des informations véhiculées en clair.
L’insertion de l’adresse MAC courante dans la nouvelle trame permet aussi de communiquer l’adresse MAC courante au premier routeur d’accès 1211 même s’il n’est pas directement connecté au premier équipement (cas d’un équipement intermédiaire de type routeur par exemple).
Le premier équipement 11 peut alors utiliser l’adresse @MAC2 pour communiquer avec le serveur 13 en utilisant la première connexion sécurisée QUIC Connect. #1 (53), via le premier routeur d’accès 1211.
On note que préalablement à la transmission du message chiffré sur la connexion sécurisée QUIC Connect #2, des paramètres de transport QUIC « mac-update » peuvent être échangés entre le premier équipement 11 et le premier routeur d’accès 1211 pour vérifier qu’ils supportent la procédure MUSC selon un mode de réalisation de l’invention.
Par exemple, le premier équipement utilise le nouveau paramètre de transport QUIC « mac-update », pour signaler au premier routeur d’accès 1211 qu’il supporte la procédure MUSC. Si le premier routeur d’accès 1211 supporte également la procédure MUSC, il peut répondre en utilisant le nouveau paramètre de transport QUIC « mac-update ».
Ces premier et deuxième paramètres sont par exemple valorisés à « 1 » (mac-update = 0x1) pour indiquer le support de la procédure MUSC.
On présente désormais, en relation avec les figures 6 et 7, un autre exemple de mise en œuvre de l’invention, selon lequel la procédure MUSC peut être mise en œuvre avant la procédure ADET. En effet, aucune hypothèse n’est faite quant à l’ordre d’invocation de ces différentes étapes de l’invention.
La illustre un exemple d’architecture réseau, selon laquelle le premier équipement 11 peut communiquer avec le serveur distant 13 par l’intermédiaire du premier routeur d’accès R1 1211 du premier réseau d’accès NET. #1 121 et/ou par l’intermédiaire du deuxième routeur d’accès R2 1221 du deuxième réseau d’accès NET. #2 122.
La illustre des exemples de messages échangés entre le premier équipement 11, le premier routeur d’accès 1211 et le serveur 13, et entre le premier équipement 11, le deuxième routeur d’accès 1221 et le serveur 13, lorsque la procédure MUSC est mise en œuvre pour chacun des chemins de communication entre le premier équipement et le serveur distant disponibles suite à la réception d’une instruction de gestion en provenance du serveur distant.
Selon ce deuxième exemple, une procédure MUSC peut être mise en œuvre entre le premier équipement 11 et un deuxième équipement localisé sur un chemin de communication entre le premier équipement 11 et le serveur 13. Par exemple, une première procédure MUSC peut être mise en œuvre entre le premier équipement 11 et le premier routeur d’accès 1211, et une deuxième procédure MUSC peut être mise en œuvre entre le premier équipement 11 et le deuxième routeur d’accès 1221. Autant de procédures MUSC que de chemins de communication entre le premier équipement 11 et le serveur 13 peuvent être mises en œuvre.
La première procédure MUSC met en œuvre les étapes suivantes.
Une connexion sécurisée QUIC Connect. #1 (71) est établie entre le premier équipement 11 et le premier routeur d’accès 1211. Par exemple, une telle connexion sécurisée utilise le protocole QUIC, ou en variante le protocole CoAP sur DTLS, etc.
Comme expliqué ci-dessus, des paramètres de transport QUIC « mac-update » peuvent éventuellement être échangés entre le premier équipement 11 et le premier routeur d’accès 1211 pour vérifier qu’ils supportent la procédure MUSC selon un mode de réalisation de l’invention.
Le premier équipement 11 peut alors transmettre un message au premier routeur d’accès 1211, en utilisant la connexion sécurisée QUIC Connect. #1. Comme indiqué ci-dessus en relation avec la , un tel message comporte au moins une adresse MAC chiffrée, associée ou apte à être associée à l’interface considérée du premier équipement, et utilisée pour communiquer avec ou via le premier routeur d’accès 1211 ou un équipement intermédiaire localisé sur un chemin de communication entre le premier équipement et le premier routeur d’accès 1211.
Le premier routeur d’accès 1211 peut ainsi recevoir un tel message, et valider la ou les adresses MAC reçues.
Différents types de messages peuvent être envoyés du premier équipement 11 au premier routeur d’accès 1211.
Selon un premier exemple, le message correspond à une trame QUIC « CURRENT_MAC_ADDRESS » qui décrit l’adresse MAC courante que le premier équipement utilise pour communiquer avec ou via le premier routeur d’accès 121. Une telle adresse MAC courante est donc d’ores et déjà affectée à l’interface utilisée pour contacter le premier routeur d’accès 1211.
Selon un deuxième exemple, le premier équipement 11 peut préparer la migration d’adresses MAC en indiquant au préalable au premier routeur d’accès 1211 au moins une adresse MAC qu’il prévoit d’utiliser, dite adresse MAC candidate.
Selon ce deuxième exemple, le message envoyé du premier équipement 11 au premier routeur d’accès 1211, via la connexion sécurisée QUIC Connect. #1, correspond à une trame QUIC, appelée par exemple ici « LIST_MAC_ADDRESSES », comportant au moins une adresse MAC candidate chiffrée que le premier équipement prévoit d’utiliser pour communiquer avec ou via le premier routeur d’accès 1211 (par exemple a5:c7:ef:82:58:e9, e1:44:5c:32:3c:72, ee:3c:50:18:7e:44). A ce stade, aucune de ces adresses MAC candidates n’est associée à l’interface considérée du premier équipement 11.
En particulier, avant d’associer une adresse MAC candidate à une interface du premier équipement 11, le premier équipement 11 peut vérifier auprès du premier routeur d’accès 1211 que l’adresse MAC candidate est disponible. Ceci permet notamment d’éviter un conflit avec les adresses MAC utilisées par d’autres équipements connectés au même réseau et évite d’impacter le délai d’accès au service induit par un changement d’adresse MAC.
Selon un troisième exemple, le message envoyé par le premier équipement 11 au premier routeur d’accès 1211, via la connexion sécurisée QUIC Connect #1, correspond à une trame QUIC, appelée par exemple ici « CANDIDATE_MAC_ADDRESS », comportant au moins une adresse candidate chiffrée.
Ainsi, selon ces différents exemples, le premier équipement met en œuvre une procédure MUSC pour associer une adresse MAC à au moins une de ses interfaces et valider cette adresse MAC.
En variante, le premier équipement peut utiliser une adresse MAC par défaut, configurée par exemple par un utilisateur du premier équipement ou par le système d’exploitation.
Dans l’exemple illustré en , on considère par exemple que le premier équipement 11 transmet au premier routeur d’accès 1211 un message correspondant à une trame QUIC « CURRENT_MAC_ADDRESS » portant l’adresse @MAC1.
Une connexion sécurisée QUIC Connect. #2 (72) est également établie entre le premier équipement 11 et le serveur 13 (avant, pendant ou après l’établissement de la connexion sécurisée QUIC Connect. #1). Plusieurs identifiants de connexion peuvent être utilisés.
Par exemple, la connexion sécurisée QUIC Connect #2 établie entre le premier équipement 11 et le serveur 13 via le premier routeur d’accès 1211 (resp. deuxième routeur d’accès 1221) est caractérisée par des premiers (resp. deuxièmes) identifiants de connexion, notamment CID source, négociés au préalable (Section 19.15 du RFC 9000) avec le serveur 13. On considère donc qu’il existe une seule connexion sécurisée entre le premier équipement 11 et le serveur 13, correspondant aux différents chemins de communication entre le premier équipement 11 et le serveur 13.
Comme expliqué en relation avec la , des paramètres de transport QUIC « mac-update » peuvent être échangés entre le premier équipement 11 et le serveur 13 pour vérifier qu’ils supportent la procédure de gestion des adresses MAC (ADET) selon un mode de réalisation de l’invention.
Des données D peuvent notamment être échangées entre le premier équipement 11 et le serveur 13 via la connexion sécurisée QUIC Connect. #2, par le premier chemin de communication via le premier routeur d’accès 1211.
Si le premier équipement 11 est mobile par exemple, ou si le trafic via le premier routeur d’accès 1211 est congestionné, le premier équipement 11 peut migrer une communication établie avec le serveur 13 sur le premier chemin via le premier routeur d’accès 1211 vers un deuxième chemin via le deuxième routeur d’accès 1221.
On considère par exemple que le serveur 13 détecte l’utilisation d’un nouvel identifiant de transport (par exemple une nouvelle adresse IP source lorsque les paquets de données en provenance du premier équipement 11 et à destination du serveur 13 arrivent par au moins un nouveau chemin ou lors d’une tentative de migration de connexion). Par exemple, le serveur 13 détecte qu’il reçoit des paquets de données en provenance d’adresses sources différentes.
Le serveur 13 peut déclencher la procédure de gestion des adresses MAC selon un mode de réalisation de l’invention, de façon à éviter que le premier équipement utilise toujours l’adresse MAC courante @MAC1 pour communiquer avec ou via le deuxième routeur d’accès 1221.
Pour ce faire, le serveur 13 peut envoyer une demande de renouvellement de l’adresse @MAC1 utilisée par le premier équipement 11, pour que l’adresse MAC utilisée pour la transmission de paquets via le deuxième chemin soit différente de celle utilisée pour la transmission de données sur le premier chemin. Le serveur 13 peut par exemple envoyer une trame MAC_RENEW au premier équipement 11 via la connexion sécurisée QUIC Connect. #2, et un cycle de négociation d’adresses MAC peut être déclenché. On rappelle que l’ordre des différentes connexions QUIC Connect. #1 (71) et QUIC Connect. #2 (72) n’a pas d’importance.
Une procédure MUSC peut notamment être mise en œuvre entre le premier équipement 11 et le deuxième routeur d’accès 1221, pour associer une nouvelle adresse MAC à l’interface utilisée par le premier équipement pour communiquer avec ou via le deuxième routeur d’accès 1221.
Pour ce faire, une connexion sécurisée QUIC Connect. #3 (73) est établie entre le premier équipement 11 et le deuxième routeur d’accès 1221. Par exemple, une telle connexion sécurisée utilise le protocole QUIC, ou en variante le protocole CoAP sur DTLS, etc.
Dans l’exemple de la , le premier équipement 11 peut générer au moins une nouvelle adresse MAC @MAC 2 et transmettre cette nouvelle adresse @MAC 2 chiffrée dans un message CURRENT_MAC_ADDRESS en utilisant la connexion sécurisée QUIC Connect. #3. Le deuxième routeur d’accès 1221 peut alors valider la nouvelle adresse @MAC 2 et procéder le cas échéant à la mise à jour de règles de filtrage qu’il maintient.
Le premier équipement 11 peut alors utiliser l’adresse @MAC2 pour communiquer avec le serveur 13 en utilisant la connexion sécurisée QUIC Connect. #2 (74), via le deuxième routeur d’accès 1221.
Un nouvel identifiant de connexion peut être utilisé lors de la migration. Cet identifiant peut être échangé préalablement selon la procédure décrite dans Section 19.15 du RFC 9000.
La connexion sécurisée QUIC Connect. #2 est donc établie sur les deux chemins via le premier routeur d’accès 1211 et via le deuxième routeur d’accès 1221, et l’un et/ou l’autre des chemins peut être exploité pour échanger les données entre le premier équipement 11 et le serveur 13.
Dans un mode de réalisation particulier, le serveur distant peut, en variante ou complément, envoyer une demande d’extension de la durée de validité d’au moins une adresse MAC courante, par exemple de l’adresse @MAC1 utilisée pour les communications sur le premier chemin.
L’adresse @MAC1 peut ainsi être conservée pour les communications via le premier routeur d’accès 1211, et l’adresse @MAC2 peut être utilisée pour les communications via le deuxième routeur d’accès 1221. On note que les adresses MAC utilisées sur les chemins alternatifs ne sont pas communiquées aux routeurs d’accès localisés sur les autres chemins.
La solution proposée permet ainsi de négocier des adresses MAC différentes pour le premier équipement 11, selon le réseau d’accès auquel il est attaché, quand bien même la même interface du premier équipement 11 serait utilisée pour les communications avec les différents réseaux d’accès. Par exemple, le premier équipement 11 peut communiquer avec le premier routeur d’accès 1211 via une première interface du premier équipement 11 en utilisant l’adresse MAC @MAC1, et le premier équipement 11 peut communiquer avec le deuxième routeur d’accès 1221 via la première interface du premier équipement 11 en utilisant l’adresse MAC @MAC2.
Dans ces différents modes de réalisation, la ou les nouvelles adresses MAC sont choisies de sorte à ne pas pouvoir être corrélées avec la ou les adresses MAC courantes, de façon à prévenir la traçabilité du premier équipement. Ainsi, le premier équipement utilise une nouvelle adresse MAC qui ne peut pas être corrélée avec une adresse MAC préalablement utilisée, par exemple au cours des dernières 24 heures.
Selon au moins un mode de réalisation, le premier équipement 11 peut notamment confirmer le renouvellement de son adresse MAC, en transmettant un message via la connexion sécurisée établie avec le serveur 13 (QUIC Connect #1 selon la ou QUIC Connect #2 selon la ). Par exemple, un tel message transmis du premier équipement vers le serveur est nommé ici « MAC_RENEWED » et comporte la nouvelle adresse MAC associée à l’interface considérée du premier équipement 11.
Selon au moins un mode de réalisation, une communication utilisant l’adresse MAC courante @MAC1 étant établie sur le premier chemin de communication via le premier routeur d’accès 1211, le serveur distant 13 temporise la transmission de données sur le premier chemin pendant une durée définie ou tant que le serveur distant n’a pas reçu de confirmation d’association d’au moins une nouvelle adresse MAC au premier équipement pour poursuivre la communication sur le premier chemin (par exemple tant que le serveur distant n’a pas reçu de message MAC_RENEWED).
En d’autres termes, le serveur 13 peut observer une période de « pause » pendant le renouvellement de l’adresse MAC du premier équipement 11 et associée au premier chemin, pour éviter, ou à tout le moins réduire, le risque de perte de paquets alors que l’adresse MAC est en cours de modification par le premier équipement 11 selon les indications reçues du serveur 13. Par exemple, le serveur 13 n’envoie pas de données utiles sur le premier chemin pendant une courte durée configurable, par exemple de l’ordre de 100 ms.
Selon au moins un mode de réalisation, une communication utilisant l’adresse MAC courante @MAC1 étant établie sur le premier chemin de communication via le premier routeur d’accès 1211, le serveur distant 13 transmet des données sur au moins un autre chemin pendant une durée définie ou tant que le serveur distant n’a pas reçu de confirmation d’association d’au moins une nouvelle adresse MAC au premier équipement pour poursuivre la communication sur le premier chemin (par exemple tant que le serveur distant n’a pas reçu de message MAC_RENEWED).
En d’autres termes, le serveur 13 peut utiliser un autre chemin pendant le renouvellement de l’adresse MAC du premier équipement 11 associée au premier chemin, pour éviter, ou à tout le moins réduire, le risque de perte de paquets alors que l’adresse MAC est en cours de modification par le premier équipement 11 selon les indications reçues du serveur 13. Par exemple, le serveur 13 envoie les données utiles sur au moins un autre chemin disponible (par exemple le deuxième chemin via le deuxième routeur d’accès) pendant une courte durée configurable, par exemple de l’ordre de 1s. Il peut également procéder à l’envoi dupliqué des données par le premier chemin et par au moins un autre chemin disponible, de façon à s’assurer que le premier équipement reçoive les données utiles.
Selon un mode de réalisation particulier, le serveur peut envoyer une demande d’extension de la durée de validité de l’adresse MAC @MAC2 utilisée pour les communications sur le deuxième chemin pendant le renouvellement de l’adresse MAC @MAC1 utilisée pour les communications sur le premier chemin.
Selon au moins un mode de réalisation, le premier équipement peut refuser la mise en œuvre la procédure ADET, notamment si une instruction de gestion similaire a d’ores et déjà été reçue (par exemple la même instruction a été reçue plusieurs fois, une instruction de gestion similaire a été reçue en provenance d’un autre serveur, etc.) ou est en conflit avec une instruction de gestion précédemment reçue. Pour ce faire, un nouveau message d’erreur peut être transmis par le premier équipement au serveur, par exemple en utilisant une nouvelle trame QUIC appelée ici « REJECT_MAC_RENEW ».
Dans les modes de réalisation présentés ci-dessus, le serveur 13 est à l’initiative du renouvellement d’au moins une adresse MAC du premier équipement. C’est donc le serveur qui envoie une trame QUIC « MAC_RENEW » au premier équipement. On considère en revanche que le premier équipement ne peut pas envoyer de trame QUIC « MAC_RENEW » vers le serveur. En d’autres termes, le premier équipement n’est pas à l’initiative du renouvellement d’au moins une adresse MAC associée à l’une de ses interfaces. Si un message de type « MAC_RENEW » est reçu par le serveur, le serveur peut l’ignorer.
On a décrit ci-dessus en relation avec les figures 6 et 7 la mise en œuvre d’une procédure MUSC pour l’association d’adresses MAC sur les interfaces du premier équipement pour l’ensemble des chemins disponibles entre le premier équipement et le serveur. En variante, une telle procédure peut être mise en œuvre sur certains chemins uniquement. En variante, une telle procédure peut être mise en œuvre à la réception d’une demande de renouvellement d’adresse MAC émise par le serveur distant (réception d’une trame QUIC MAC_RENEW par le premier équipement).
Selon un mode de réalisation, une nouvelle adresse MAC peut être générée de façon classique pour au moins une interface du premier équipement ou un chemin. Dans ce cas, le premier équipement implémente localement une procédure de génération d’adresses MAC qui ne peuvent pas être corrélées avec les adresses MAC utilisées dans le passé (par exemple au cours des dernières 24 heures).
Dans un mode de réalisation particulier, la génération aléatoire d’adresses MAC est mise en œuvre localement par le premier équipement. Le serveur peut notamment demander au premier équipement de prolonger la validité d’au moins une adresse MAC associée à au moins une de ses interfaces (qui peut être celle pour laquelle le renouvellement d’adresse est effectué ou une autre interface, notamment en cas de communication de courte durée).
5.3 Dispositifs correspondants
On présente finalement, en relation avec la , les structures simplifiées d’un premier équipement H et d’un serveur S selon au moins un mode de réalisation de l’invention.
Le premier équipement H (resp. le serveur S), selon un mode de réalisation de l’invention, comprend une mémoire 81H(resp. 81S), une unité de traitement 82H(resp. 82S), équipée par exemple d’une machine de calcul programmable ou d’une machine de calcul dédiée, par exemple un processeur P, et pilotée par le programme d’ordinateur 83H(resp. 83S), mettant en œuvre des étapes du procédé de communication (resp. du procédé de gestion des communications) selon au moins un mode de réalisation de l’invention.
A l’initialisation, les instructions de code du programme d’ordinateur 83H(resp. 83S) sont par exemple chargées dans une mémoire RAM avant d’être exécutées par le processeur de l’unité de traitement 82H(respectivement 82S).
Le processeur de l’unité de traitement 82Hdu premier équipement met en œuvre des étapes du procédé de communication décrit précédemment, selon les instructions du programme d’ordinateur 83H, pour :
  • établir une première connexion sécurisée entre un premier équipement et ledit serveur distant, via une première interface de communication dudit premier équipement,
  • transmettre, en utilisant ladite première connexion sécurisée, une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication du premier équipement.
Le processeur de l’unité de traitement 82Sdu serveur met en œuvre des étapes du procédé de gestion des communications décrit précédemment, selon les instructions du programme d’ordinateur 83S, pour :
  • établir une première connexion sécurisée entre ledit premier équipement et un serveur distant, via une première interface de communication dudit premier équipement,
  • recevoir, en utilisant ladite première connexion sécurisée, une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication dudit premier équipement,
  • exécuter ladite instruction de gestion.

Claims (15)

  1. Procédé de gestion des communications d’un premier équipement (11), mis en œuvre par un serveur distant (13), comprenant :
    • l’établissement (21) d’une première connexion sécurisée entre ledit premier équipement et ledit serveur distant, via une première interface de communication dudit premier équipement,
    • la transmission (22), en utilisant ladite première connexion sécurisée, d’une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication du premier équipement.
  2. Procédé selon la revendication 1, caractérisé en ce qu’une communication étant établie sur un premier chemin de communication entre ledit premier équipement (11) et ledit serveur distant (13) et utilisant ladite au moins une adresse MAC courante, ladite instruction de gestion d’au moins une adresse MAC courante est transmise suite à la détection d’un événement relatif à ladite communication appartenant au groupe comprenant :
    • une durée d’utilisation de ladite au moins une adresse MAC courante,
    • une durée de validité de ladite au moins une adresse MAC courante,
    • une détection de migration de ladite communication établie sur ledit premier chemin de communication vers au moins un deuxième chemin de communication.
  3. Procédé selon l'une quelconque des revendications 1 et 2, caractérisé en ce qu’une communication étant établie sur un premier chemin de communication entre ledit premier équipement (11) et ledit serveur distant (13) et utilisant ladite au moins une adresse MAC courante, ledit serveur distant temporise la transmission de données sur ledit premier chemin pendant une durée définie ou tant que ledit serveur distant n’a pas reçu de confirmation d’association d’au moins une nouvelle adresse MAC à ladite au moins une deuxième interface dudit premier équipement pour poursuivre ladite communication sur ledit premier chemin de communication.
  4. Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce qu’une communication étant établie sur un premier chemin de communication entre ledit premier équipement (11) et ledit serveur distant (13) et utilisant ladite au moins une adresse MAC courante, ledit serveur distant transmet des données sur au moins un deuxième chemin de communication entre ledit premier équipement et ledit serveur distant pendant une durée définie ou tant que ledit serveur distant n’a pas reçu de confirmation d’association d’au moins une nouvelle adresse MAC à ladite au moins une deuxième interface dudit premier équipement pour poursuivre ladite communication sur ledit premier chemin de communication.
  5. Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que ladite instruction de gestion d’au moins une adresse MAC courante comporte au moins un élément appartenant au groupe comprenant :
    • au moins un identifiant permettant d’identifier ladite au moins une deuxième interface,
    • au moins un identifiant de chemin de communication permettant d’identifier au moins un chemin de communication courant et/ou précédemment utilisé entre ledit premier équipement (11) et ledit serveur distant (13).
  6. Procédé de communication entre un premier équipement (11) et un serveur distant (13), mis en œuvre par ledit premier équipement, comprenant :
    • l’établissement (21) d’une première connexion sécurisée entre ledit premier équipement et ledit serveur distant, via une première interface de communication dudit premier équipement,
    • la réception (23), en utilisant ladite première connexion sécurisée, d’une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication dudit premier équipement,
    • l’exécution (24) de ladite instruction de gestion.
  7. Procédé selon la revendication 6, caractérisé en ce que l’exécution de ladite instruction de gestion met en œuvre l’association d’au moins une nouvelle adresse MAC à ladite au moins une deuxième interface.
  8. Procédé selon la revendication 7, caractérisé en ce que ladite au moins une nouvelle adresse MAC est choisie de sorte à ne pas pouvoir être corrélée à ladite au moins une adresse MAC courante.
  9. Procédé selon l’une quelconque des revendications 6 à 8, caractérisé en ce que ladite au moins une adresse MAC courante est utilisée pour communiquer avec ou via au moins un deuxième équipement (1211, 1221) localisé sur un chemin de communication entre ledit premier équipement (11) et ledit serveur distant (13), ou un équipement intermédiaire localisé sur un chemin de communication entre ledit premier équipement et ledit deuxième équipement.
  10. Procédé selon la revendication 9, caractérisé en ce qu’il comprend :
    • l’établissement d’une deuxième connexion sécurisée entre ledit premier équipement (11) et ledit deuxième équipement (1211, 1221), via une troisième interface de communication dudit premier équipement,
    • la transmission, en utilisant ladite deuxième connexion sécurisée, d’un message comportant au moins une adresse MAC chiffrée, associée ou apte à être associée à ladite troisième interface et utilisée pour communiquer avec ou via ledit deuxième équipement ou ledit équipement intermédiaire.
  11. Procédé selon l'une quelconque des revendications 1 à 10, caractérisé en ce que lesdites première et/ou deuxième connexions sécurisées mettent en œuvre le protocole QUIC.
  12. Procédé selon l'une quelconque des revendications 1 à 11, caractérisé en ce que ladite instruction de gestion d’au moins une adresse MAC courante appartient au groupe comprenant :
    • une demande de renouvellement de ladite au moins une adresse MAC courante,
    • une demande d’extension de la durée de validité de ladite au moins une adresse MAC courante.
  13. Serveur distant (13) comprenant au moins un processeur configuré pour :
    • établir une première connexion sécurisée entre un premier équipement (11) et ledit serveur distant, via une première interface de communication dudit premier équipement,
    • transmettre, en utilisant ladite première connexion sécurisée, une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication du premier équipement.
  14. Premier équipement (11) comprenant au moins un processeur configuré pour :
    • établir une première connexion sécurisée entre ledit premier équipement et un serveur distant (13), via une première interface de communication dudit premier équipement,
    • recevoir, en utilisant ladite première connexion sécurisée, une instruction de gestion d’au moins une adresse MAC courante associée à au moins une deuxième interface de communication dudit premier équipement,
    • exécuter ladite instruction de gestion.
  15. Programme d'ordinateur comprenant des instructions qui, lorsque ces instructions sont exécutées par un processeur, conduisent celui-ci à mettre en œuvre les étapes des procédés selon l’une quelconque des revendications 1 à 12.
FR2205883A 2022-06-16 2022-06-16 Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d’ordinateur correspondants. Pending FR3136922A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR2205883A FR3136922A1 (fr) 2022-06-16 2022-06-16 Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d’ordinateur correspondants.
PCT/EP2023/066058 WO2023242318A1 (fr) 2022-06-16 2023-06-15 Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d'ordinateur correspondants.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2205883 2022-06-16
FR2205883A FR3136922A1 (fr) 2022-06-16 2022-06-16 Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d’ordinateur correspondants.

Publications (1)

Publication Number Publication Date
FR3136922A1 true FR3136922A1 (fr) 2023-12-22

Family

ID=83505830

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2205883A Pending FR3136922A1 (fr) 2022-06-16 2022-06-16 Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d’ordinateur correspondants.

Country Status (2)

Country Link
FR (1) FR3136922A1 (fr)
WO (1) WO2023242318A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2205880A5 (fr) 1972-11-09 1974-05-31 Coflexip
JP2016025478A (ja) * 2014-07-18 2016-02-08 セイコーソリューションズ株式会社 中継装置、中継方法、及び中継プログラム
US20160316362A1 (en) * 2013-12-30 2016-10-27 Huawei Device Co., Ltd. Location Privacy Protection Method, Apparatus, and System

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2205880A5 (fr) 1972-11-09 1974-05-31 Coflexip
US20160316362A1 (en) * 2013-12-30 2016-10-27 Huawei Device Co., Ltd. Location Privacy Protection Method, Apparatus, and System
JP2016025478A (ja) * 2014-07-18 2016-02-08 セイコーソリューションズ株式会社 中継装置、中継方法、及び中継プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JEONG J ET AL: "IPv6 Wireless Access in Vehicular Environments (IPWAVE): Problem Statement and Use Cases draft-ietf-ipwave-vehicular-networking-29; draft-ietf-ipwave-vehicular-networking-29.txt", no. 29, 19 May 2022 (2022-05-19), pages 1 - 54, XP015151974, Retrieved from the Internet <URL:https://tools.ietf.org/html/draft-ietf-ipwave-vehicular-networking-29> [retrieved on 20220519] *

Also Published As

Publication number Publication date
WO2023242318A1 (fr) 2023-12-21

Similar Documents

Publication Publication Date Title
EP3476095B1 (fr) Procédé de communication udp via des chemins multiples entre deux terminaux
FR3067550A1 (fr) Procede de communication quic via des chemins multiples
EP3739843A1 (fr) Procédé de communication udp via des chemins multiples entre deux terminaux
EP3556130B1 (fr) Procédé de surveillance d&#39;un réseau de télécommunications mis en oeuvre par un point d&#39;accès
WO2011039460A2 (fr) Procede et dispositifs de communications securisees dans un reseau de telecommunications
EP2577901A1 (fr) Procede et dispositifs de communications securisees dans un reseau de telecommunications
CA3087762A1 (fr) Procede de configuration d&#39;un systeme d&#39;extension de couverture de communication sans-fil et un systeme d&#39;extension de couverture de communication sans-fil mettant en oeuvre ledit procede
WO2020260813A1 (fr) Procédé de gestion d&#39;une communication entre terminaux dans un réseau de communication, et dispositifs pour la mise en oeuvre du procédé
FR3072238B1 (fr) Dispositif et procede de transmission de donnees
EP3476108B1 (fr) Procédé, programme d&#39;ordinateur et dispositif de fourniture d&#39;une adresse par un dispositif à gérer d&#39;un réseau
EP3788762A1 (fr) Procédé d&#39;envoi d&#39;une information et de réception d&#39;une information pour la gestion de réputation d&#39;une ressource ip
EP1142269B1 (fr) Procede d&#39;adressage et serveur de noms et d&#39;adresses dans un reseau numerique
WO2023242318A1 (fr) Procédé de communication entre un premier équipement et un serveur distant, procédé de gestion des communications, premier équipement, serveur distant et programme d&#39;ordinateur correspondants.
EP3235217A1 (fr) Procédé d&#39;échanges de données entre deux navigateurs internet, équipement de routage, terminal, programme d&#39;ordinateur et support d&#39;informations corespondants
FR3114723A1 (fr) Procédés de configuration d’un équipement utilisateur, de négociation avec une entité du réseau, et de gestion d’une connexion, et dispositifs associés.
TW201714444A (zh) 虛擬私人網路建立連結之方法
WO2020002853A1 (fr) Procédés de gestion du trafic associé à un domaine client, serveur, nœud client et programme d&#39;ordinateur correspondants
FR3081653A1 (fr) Procede de modification de messages par un equipement sur un chemin de communication etabli entre deux noeuds
WO2023242315A1 (fr) Procédé de communication entre deux équipements, premier équipement, deuxième équipement et programme d&#39;ordinateur correspondants.
WO2009080971A1 (fr) Procede de configuration d&#39;un terminal d&#39;utilisateur dans un reseau de telephonie ip
FR3143150A1 (fr) Procédé de gestion d’un ensemble d’adresses IP, procédé de collaboration et dispositifs configurés pour mettre en œuvre ces procédés.
WO2024068722A1 (fr) Procedes de resolution de nom, de communication, de traitement de messages et serveur, dispositif client et noeud relais correspondants
WO2022136796A1 (fr) Procedes pour la redirection de trafic, terminal, controleur, serveur d&#39;autorisation, serveurs de resolution de noms, et programme d&#39;ordinateur correspondants
FR3109255A1 (fr) Procédé mis en œuvre par une entité intermédiaire pour gérer une communication entre deux dispositifs de communication
FR3110802A1 (fr) Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20231222