WO2006056687B1 - Procede d'authentification de la decouverte de voisinage de l'environnement reseau ip d'un terminal candidat a un acces reseau - Google Patents

Procede d'authentification de la decouverte de voisinage de l'environnement reseau ip d'un terminal candidat a un acces reseau

Info

Publication number
WO2006056687B1
WO2006056687B1 PCT/FR2005/002911 FR2005002911W WO2006056687B1 WO 2006056687 B1 WO2006056687 B1 WO 2006056687B1 FR 2005002911 W FR2005002911 W FR 2005002911W WO 2006056687 B1 WO2006056687 B1 WO 2006056687B1
Authority
WO
WIPO (PCT)
Prior art keywords
dns
parent
value
zone
public key
Prior art date
Application number
PCT/FR2005/002911
Other languages
English (en)
Other versions
WO2006056687A3 (fr
WO2006056687A2 (fr
Inventor
Sarah Nataf
Melaine Broudic
Olivier Charles
Original Assignee
France Telecom
Sarah Nataf
Melaine Broudic
Olivier Charles
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom, Sarah Nataf, Melaine Broudic, Olivier Charles filed Critical France Telecom
Publication of WO2006056687A2 publication Critical patent/WO2006056687A2/fr
Publication of WO2006056687A3 publication Critical patent/WO2006056687A3/fr
Publication of WO2006056687B1 publication Critical patent/WO2006056687B1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

L'invention concerne un procédé d'authentification de la découverte de voisinage réseau IP d'un terminal (T). On alloue (A) à chaque zone DNS parente respectivement fille une valeur cryptographique privée spécifique (CVP, CV0) chaque valeur (CVC) d'une zone DNS fille pouvant être authentifiée par la valeur (CVp) de la zone DNS parente. Sur première requête d'accès d'un terminal (T) au réseau IP on lance (B) à partir du routeur d'accès (RA) de la zone d'accès fille une procédure d'enregistrement d'autorisation de routage permettant de délivrer par le serveur DNS de zone DNS parente un certificat de routage (Cert(RA)) et on lance (C) à partir du routeur d'accès (RA) une procédure d'authentification du certificat de routage Λ(Cert(RA)), en fonction de la valeur cryptographique privée allouée à la zone DNS parente. Application à la sécurisation des connexions de terminaux fixes ou mobiles sur le réseau IP ou Internet.

Claims

REVENDICATIONS MODIFIÉES reçues par le Bureau international le 11 septembre 2006 (11.09.2006)
1. Procédé d'authentification de la découverte de voisinage de l'environnement réseau IP d'un terminal candidat à un accès réseau, ledit réseau IP étant géré par une pluralité de zones DNS formées par un serveur DNS racine et par des serveurs DNS intermédiaires, chaque zone DNS étant associée à l'un des serveurs DNS, lesdites zones DNS et iesdits serveurs DNS étant configurés selon une arborescence de zones DNS parentes et de zones DNS filles entre une zone DNS racine et une zone DNS fille d'accès, à partir de laquelle ledit terminal candidat exécute cet accès par connexion au réseau IP, à chaque zone DNS, parente respectivement fille étant allouée une valeur cryptographique privée spécifique, chaque valeur cryptographique privée allouée à une zone DNS fille étant susceptible d'être authentifiée par l'intermédiaire de la valeur cryptographique privée associée à la zone DNS parente immédiatement supérieure de ladite structure arborescente, caractérisé en ce que, sur requête d'accès au réseau IP par connexion d'un terminal candidat à un routeur de ladite zone DNS fille d'accès, ledit routeur constituant un routeur d'accès, ledit procédé consiste au moins à :
- lancer à partir dudit routeur d'accès, vers l'un au moins des serveurs DNS d'une zone DNS parente, une procédure d'enregistrement d'autorisation de routage à partir d'une requête d'enregistrement d'autorisation de routage, permettant d'engendrer et transmettre audit routeur d'accès un certificat d'autorisation de routage délivré par ledit serveur de zone DNS parente et consistant en une valeur de signature de paramètres spécifiques audit routeur d'accès, ladite valeur de signature étant obtenue à partir de la valeur cryptographique privée allouée à ladite zone DNS parente ;
- lancer via le routeur d'accès une procédure d'authentification dudit certificat d'autorisation de routage par vérification de ladite valeur de signature en fonction de la valeur cryptographique privée allouée à ladite zone DNS parente.
2. Procédé selon la revendication 1 , caractérisé en ce que ladite procédure d'enregistrement d'autorisation de routage consiste au moins à :
- transmettre au serveur DNS de la zone parente une requête d'enregistrement d'autorisation de routage, comportant au moins un champ d'information de ressources DNS associant au moins une adresse IP représentative de l'adresse IP dudit routeur d'accès et une référence de chemin d'accès réseau à ce routeur d'accès ;
- signer électroniquement les informations de ressources DNS à partir de la valeur cryptographique privée allouée à ladite zone DNS parente pour engendrer une valeur de signature des informations de ressources DNS ;
- transmettre ladite valeur de signature des informations de ressources DNS audit routeur d'accès.
3. Procédé selon l'une des revendications 1 ou 2, caractérisé en ce que ladite procédure d'authentification du certificat d'autorisation de routage consiste au moins à :
- transmettre via ledit routeur d'accès audit terminal candidat les informations de ressources DNS et la valeur de signature des informations de ressources DNS, constituant le certificat d'autorisation de routage ;
- vérifier électroniquement la valeur de signature des ressources DNS, en fonction de la valeur cryptographique privée allouée à ladite zone DNS parente.
4. Procédé selon l'une des revendications 1 à 3, caractérisé en ce que ladite valeur cryptographique privée spécifique est constituée par :
- une clé secrète détenue par la zone DNS parente et le serveur DNS associé à celle-ci, ladite clé secrète étant utilisée pour signer électroniquement les informations de ressource DNS et obtenir la valeur de signature des informations de ressource DNS ;
- une clé publique associée à ladite clé secrète et librement disponible, ladite clé publique étant utilisée pour vérifier électroniquement la valeur de signature des ressources DNS.
5. Procédé selon la revendication 4, caractérisé en ce que celui-ci comporte en outre, préalablement à chaque opération de vérification de signature, au moyen de la clé publique associée à la clé privée associée à chaque zone DNS fille ou parente, une procédure d'authentification de ladite clé publique par requête de signature de cette clé publique au moyen de la clé privée parente, auprès du serveur DNS gérant la zone DNS parente et détenant la dite clé privée parente, puis vérification de la valeur signée de cette clé publique au moyen de ladite clé publique parente par ledit terminal candidat.
6. Procédé selon l'une des revendications 4 ou 5, caractérisé en ce que pour une mise en œuvre optimisée en termes de flux de données sur le réseau IP visité, celui-ci consiste à : a) transmettre dudit routeur d'accès vers un serveur DNS parent une requête unique d'enregistrement d'autorisation de routage ; b) transmettre dudit serveur DNS parent vers tout serveur DNS parent intermédiaire, hiérarchiquement supérieur audit serveur DNS parent, jusqu'au serveur DNS parent racine, des requêtes successives de communication de la clé publique et de la valeur de signature séparée de cette clé publique, au moyen de la clé secrète associée à respectivement détenue par chacun des serveurs DNS parents intermédiaires hiérarchiquement supérieurs ; et au niveau dudit serveur DNS parent, après réception successive desdites clés publiques et de leur valeur de signature ; c) agréger dans un message unique la valeur desdites clés publiques reçues et de la clé publique dudit serveur DNS parent et les valeurs de signature de clé publique correspondantes ; d) calculer la valeur de signature des informations de ressources DNS au moyen de la clé secrète associée à ladite zone DNS parente et audit serveur DNS parent ; e) transmettre audit terminal candidat la valeur desdites clés publiques agrégées, la valeur de signature séparée de chacune des clés publiques agrégées et la valeur de signature des informations de ressources DNS, lesdites valeurs de signature constituant ledit certificat d'autorisation de routage.
7. Procédé selon la revendication 6, caractérisé en ce que sur vérification à la valeur vraie de chacune des valeurs de signature séparée de chacune des clés publiques, la valeur de la clé publique associée audit serveur et à ladite zone DNS parente, la valeur de la clé secrète détenue par ledit serveur DNS parent sont authentifiées, sous l'autorité du serveur DNS racine, ce qui permet de rétablir la chaîne de confiance d'authentification dudit routeur d'accès à partir du seul paramètre de clé publique dudit serveur DNS parent au bénéfice dudit terminal candidat.
8. Procédé selon la revendication 7, caractérisé en ce que, suite à l'authentification de la clé publique associée audit serveur et à ladite zone DNS parente et de la valeur de la clé secrète détenue par ledit serveur et la zone DNS parente, l'opération de vérification électronique de la valeur de signature des ressources DNS est conduite à partir de ladite seule clé publique authentifiée.
9. Structure de données élémentaire de requête d'enregistrement d'autorisation de routage d'une ressource DNS de routage enregistrée pour exécution de cette déclaration sur un serveur DNS, caractérisée en ce qu'elle comporte :
- un premier champ de données représentatif de l'adresse IP de ladite ressource DNS de routage ;
- un deuxième champ codant le type d'enregistrement requis pour cette ressource DNS ;
- un troisième champ représentatif d'informations d'adresse d'accès réseau de ladite ressource DNS de routage, autorisant l'acheminement des paquets de données par la fonction de routage légitimement exécutée par ladite ressource DNS de routage.
10. Structure de données de déclaration d'une ressource DNS de routage enregistrée auprès d'un serveur DNS, comportant des structures de données élémentaires de définition d'un domaine DNS donné, caractérisée en ce qu'elle comporte en outre des structures de données élémentaires spécifiques comprenant au moins une structure de données élémentaire selon la revendication 9.
11. Structure de données selon la revendication 10, caractérisée en ce que lesdites structures de données élémentaires spécifiques comportent en outre au moins une structure de données d'adresse et une structure de données de jonction de définition des zones DNS.
12. Produit de programme comprenant des instructions de code de programme, enregistré sur un support lisible par un ordinateur, pour exécution, par un terminal candidat à un accès réseau IP, d'une authentification de la découverte de voisinage de l'environnement réseau IP de ce terminal candidat lors de la connexion de ce dernier à ce réseau, conformément au procédé selon l'une des revendications 1 à 8, caractérisé en ce que, sur réception par ledit terminal candidat des informations de ressources DNS et de la valeur de signature de ces ressources DNS ledit produit de programme comprend au moins : - des moyens de programmation lisibles par ordinateur pour effectuer l'étape de discrimination de la connaissance, par ledit terminal candidat, de la clé publique de la zone DNS et du serveur DNS parent qui a exécuté l'opération de calcul de la valeur de signature de ces ressources DNS ; et, sur discrimination de l'absence de connaissance de ladite clé publique ;
- • des moyens de programmation lisibles par ordinateur pour effectuer l'étape de transmission, auprès du serveur DNS parent, d'un message de requête de communication de toute clé publique, accompagnée d'une valeur de signature de cette clé publique, au moyen de la clé secrète détenue par ledit serveur DNS parent ; et, sur réception de ladite clé publique et de ladite valeur de signature de cette clé publique,
- • des moyens de programmation lisibles par ordinateur pour effectuer l'étape de vérification de ladite valeur de signature de toute clé publique, y compris de la clé publique associée à ladite zone DNS fille d'accès ; et, sur vérification à respectivement connaissance préalable de la valeur vraie de ladite valeur de signature de cette clé publique,
- ' des moyens de programmation lisibles par ordinateur pour effectuer l'étape de vérification de la valeur de signature de ces ressources DNS avec la clé publique associée audit serveur DNS parent et à ladite zone DNS parente ; et, sur vérification à la valeur vraie de la valeur de signature de ces ressources DNS, le certificat d'autorisation de routage étant authentifié,
- • des moyens de programmation lisibles par ordinateur pour effectuer l'étape de confirmation dudit routeur d'accès comme routeur d'accès par défaut pour la connexion et l'accès dudit terminal candidat audit réseau IP ; sinon, sur absence de vérification à la valeur vraie de la valeur de signature de ces ressources DNS, le certificat d'autorisation de routage n'étant pas authentifié,
- des moyens de programmation lisibles par ordinateur pour effectuer l'étape d'affichage, sur le terminal candidat, d'un message d'avertissement informant l'utilisateur de ce dernier des risques dus à la non-conformité de la transmission des données aux critères de sécurité de la transaction, lorsque ledit programme fonctionne sur un ordinateur.
PCT/FR2005/002911 2004-11-26 2005-11-23 Procede d'authentification de la decouverte de voisinage de l'environnement reseau ip d'un terminal candidat a un acces reseau WO2006056687A2 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0412596 2004-11-26
FR0412596A FR2878671A1 (fr) 2004-11-26 2004-11-26 Procede d'authentification de la decouverte de voisinage de l'environnement reseau ip d'un terminal candidat a un acces reseau

Publications (3)

Publication Number Publication Date
WO2006056687A2 WO2006056687A2 (fr) 2006-06-01
WO2006056687A3 WO2006056687A3 (fr) 2006-12-07
WO2006056687B1 true WO2006056687B1 (fr) 2007-01-04

Family

ID=35219338

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/002911 WO2006056687A2 (fr) 2004-11-26 2005-11-23 Procede d'authentification de la decouverte de voisinage de l'environnement reseau ip d'un terminal candidat a un acces reseau

Country Status (2)

Country Link
FR (1) FR2878671A1 (fr)
WO (1) WO2006056687A2 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113179525B (zh) * 2020-08-27 2023-04-07 几维通信技术(深圳)有限公司 终端设备及接入网设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040240669A1 (en) * 2002-02-19 2004-12-02 James Kempf Securing neighbor discovery using address based keys

Also Published As

Publication number Publication date
WO2006056687A3 (fr) 2006-12-07
FR2878671A1 (fr) 2006-06-02
WO2006056687A2 (fr) 2006-06-01

Similar Documents

Publication Publication Date Title
CA3015695C (fr) Systemes et procedes pour le partage de donnees distribuees avec attestation de tiers asynchrone
US8533806B2 (en) Method for authenticating a trusted platform based on the tri-element peer authentication(TEPA)
JP5851021B2 (ja) ソーシャルネットワークベースのpki認証
KR101354898B1 (ko) 피어-투-피어 통신 채널을 통한 전자 상거래
US10382562B2 (en) Verification of server certificates using hash codes
CN108781163A (zh) 用于无密码计算机登录的服务辅助移动配对的系统和方法
US11658963B2 (en) Cooperative communication validation
CN108768608A (zh) 在区块链pki下支持瘦客户端的隐私保护身份认证方法
JP2018517367A5 (fr)
CN109040079A (zh) 直播链接地址的组建和验证方法及相应装置
Chattaraj et al. Designing fine-grained access control for software-defined networks using private blockchain
Karbasi et al. A post-quantum end-to-end encryption over smart contract-based blockchain for defeating man-in-the-middle and interception attacks
CN110166577A (zh) 分布式应用群组会话处理系统及方法
CN109067785A (zh) 集群认证方法、装置
CN102893575A (zh) 借助于ipsec和ike第1版认证的一次性密码
Putri et al. Two factor authentication framework based on ethereum blockchain with dApp as token generation system instead of third-party on web application
CN112989426A (zh) 授权认证方法及装置、资源访问令牌的获取方法
US9800567B2 (en) Authentication of network nodes
FR3111203A1 (fr) Dispositif informatique et procédé pour l’authentification d’un utilisateur
CN113852628B (zh) 一种去中心化的单点登录方法、装置及存储介质
CN113612616A (zh) 一种基于区块链的车辆通信方法和装置
CN110139163B (zh) 一种获取弹幕的方法和相关装置
Abubakar et al. A lightweight and user-centric two-factor authentication mechanism for iot based on blockchain and smart contract
CN109379371B (zh) 证书验证方法、装置及系统
CN116170144A (zh) 智能电网匿名认证方法、电子设备及存储介质

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KN KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase in:

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 05822916

Country of ref document: EP

Kind code of ref document: A2