WO2007125235A2 - Identification de noeuds dans un reseau - Google Patents

Identification de noeuds dans un reseau Download PDF

Info

Publication number
WO2007125235A2
WO2007125235A2 PCT/FR2007/051097 FR2007051097W WO2007125235A2 WO 2007125235 A2 WO2007125235 A2 WO 2007125235A2 FR 2007051097 W FR2007051097 W FR 2007051097W WO 2007125235 A2 WO2007125235 A2 WO 2007125235A2
Authority
WO
WIPO (PCT)
Prior art keywords
node
parameter
identifier
file
cryptographic
Prior art date
Application number
PCT/FR2007/051097
Other languages
English (en)
Other versions
WO2007125235A3 (fr
Inventor
Daniel Migault
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Priority to JP2009507124A priority Critical patent/JP2009535875A/ja
Priority to EP07788935A priority patent/EP2014057A2/fr
Priority to US12/298,791 priority patent/US20090109874A1/en
Publication of WO2007125235A2 publication Critical patent/WO2007125235A2/fr
Publication of WO2007125235A3 publication Critical patent/WO2007125235A3/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks

Definitions

  • the present invention relates to an identification of nodes in a network. More particularly, it relates to secure identification of heterogeneous nodes in a network without an infrastructure, for example an ad-hoc type network.
  • the identification according to the invention is defined in accordance with the domain name system according to the DNS / DNSSEC specification ("Domain Name System / Domain Name System Security") in order to facilitate its subsequent integration.
  • a DNS naming system is designed specifically for a communications network comprising an infrastructure like that of I 1 internet or intranet network connecting nodes such as terminals or servers.
  • This naming system matches for each of these nodes one or more understandable names, called domain names, for example "mydomain.com", to network information relating to the node, such as textual fields, cryptographic identifiers, parameters security, a mail server, or more particularly IP type addresses ("Internet Protocol" in English).
  • domain names for example "mydomain.com”
  • IP type addresses Internet Protocol" in English.
  • networks including networks without infrastructure such as ad-hoc networks, use the nodes to establish connectivity between users of said nodes.
  • These nodes are very heterogeneous and can be simple entities such as servers or terminals, or complex entities such as networks. Referring to the last case, the DNS naming system does not apply to complex entities.
  • the DNS naming system does not apply to nodes connected in a network without an infrastructure such as an ad-hoc network, where communications are established spontaneously between two nodes without the intermediary of a network. central entity.
  • the nodes of an ad-hoc network are ignored a priori and are not referenced in DNS servers.
  • the invention fills this gap by identifying heterogeneous nodes as simple nodes and complex nodes present in a network without infrastructure.
  • the invention relates to a method for identifying a node with other nodes in a communication network, characterized in that it comprises the following steps: storing in each node a file containing descriptive parameters of the node, each parameter being indexed by a cryptographic identifier of the node and a parameter identifier, broadcast from a first node connecting to the network, from the cryptographic identifier of said first node to the other nodes of the network, transmitting the cryptographic identifier of the first node and the identifier of a parameter of the first node required by another node from said other node of the network to the first node, searching for a portion of the required parameter in the file of the first node node according to the cryptographic identifier and the identifier of the required parameter, and transmitting the found portion of the required parameter from the first node to said other node.
  • the invention advantageously identifies any type of node, both simple nodes such as a server, a mobile terminal or a computer, as complex nodes such as a network, such a node being unknown in the domain name system according to the DNS specification.
  • the identification based on a cryptographic identifier is universal for all the nodes, since the cryptographic identifier of each node is relative to a public key of a public key / private key pair assigned to the node.
  • the identifier of a descriptive parameter is a name dedicated to the parameter which makes it possible to distinguish the descriptive parameters from each other and thus allows the file to contain a large number of descriptive parameters.
  • the identifier of a descriptive parameter is a type characterizing the parameter which facilitates a subsequent integration of the invention with the DNS system.
  • the invention also relates to a node of a communication network, characterized in that it comprises: a memory for a file containing descriptive parameters of the node, each parameter being indexed by a cryptographic identifier of the node and a parameter identifier, a means for distributing the cryptographic identifier of said node to the other nodes of the network, a means for transmitting the cryptographic identifier of a first other node and the identifier of a parameter of said first other node required by said node, means for searching in the file for a part of a parameter required by a second other node according to the cryptographic identifier of said node and parameter identifier transmitted by the second other node, and means for transmitting the found portion of the requested parameter to said second other node.
  • the invention relates to a computer program comprising instructions for implementing the method according to the invention when said instructions are implemented by a processor in a node according to the invention.
  • FIG. 1 is a schematic block diagram of an identification system in a network without infrastructure according to the invention
  • FIG. 2 is a schematic block diagram of a node according to the invention
  • FIG. 3 is a representative diagram of a node descriptive file according to the invention
  • FIG. 4 is an algorithm of a node identification method according to the invention
  • Figures 5 and 6 are respectively representative diagrams of an identification request and an identification response according to a first embodiment of the invention.
  • FIGS. 7 and 8 are respectively representative diagrams of an identification request and an identification response according to a second embodiment of the invention.
  • an identification system comprises a set of heterogeneous nodes Ni to Nj present in a communication network without infrastructure.
  • the network is considered an ad-hoc network RA and is thus called in the following description.
  • the ad-hoc network RA the communications between two nodes are established spontaneously and the nodes have no prior knowledge of the other nodes present in the network.
  • the identification between two nodes is effected by an exchange of identification request RQI and identification response RPI.
  • the nodes are heterogeneous and may be simple entities such as a server Ni, a mobile terminal N3, Nj + i, or a personal computer Nj, Nj and / or complex entities such as a network R forming the node N2 and associated with a terminal T.
  • the network R is different from an ad-hoc network and can be a. an infrastructure network such as the Internet or an Intranet, to which client terminals are wired or wirelessly connected, or a GSM (Global System for Mobile Communications) or UMTS (Universal Mobile Telecommunications System) radio network.
  • GSM Global System for Mobile Communications
  • UMTS Universal Mobile Telecommunications System
  • a descriptive file F j comprising descriptive information specific to the node, such as information relating to the identity of the node, for example : if it is a router or a terminal, information relating to the location of the node, for example an IP address, and accessible to other nodes.
  • the terminal T associated with the network R comprises the descriptive file F2 identifying the network R.
  • the descriptive information specific to the node Nj is called in the following description "descriptive parameters" P mj , with 1 ⁇ m ⁇ M, the integer M may be different from one node to another.
  • the file Fj of the node N j is described in more detail with reference to FIG.
  • the nodes N 1 to N 1 of the ad-hoc network RA comprise similar entities in order to implement the identification method of the invention described with reference to FIG.
  • IR network interface which is a radio interface when the node is a mobile terminal for example, a communication unit UC, a descriptive file management unit UF, and two memories M1 and M2.
  • a specific unit US characterizes the node N j , for example the processing unit of a PC, the processing unit of a server or the processing unit of a terminal mobile. All the entities of the node are connected by a bidirectional communication bus B.
  • the node Nj communicates with the other nodes of the ad-hoc network RA via the IR network interface to transmit requests and receive responses to said requests.
  • the RQI identification requests transmitted from the network interface of the node N j are established by the communication unit UC.
  • the identification responses received by the IR network interface are processed by the communication unit UC.
  • the UF descriptive file management unit manages the information relating to the node N j , included in a descriptive file F j .
  • the management unit UF responds to the identification requests RQI relating to the identification of the node N j transmitted by other nodes in the ad hoc network.
  • the functionalities of the UC, UF and US units can be realized in the form of software modules implemented in the node Nj and executed by a central processing unit of the node N j .
  • the memory Ml contains, among other things, the descriptive file F j of the node N j , a public key KPUj of a public key cryptographic pair KPU j / private key KPVj assigned to the node Nj and a one-way hash function H.
  • memory M2 is a security memory including the private key KPVj of the cryptographic pair.
  • the file F j of the node Nj is specified by a cryptographic identifier ICj dedicated to the node to establish a link to a more complete description of the node relating to the descriptive parameters Pi j to P m ⁇ of the node.
  • the cryptographic identifier ICj depends on the public key KPUj of the public key cryptographic pair KPU j / private key KPV j assigned to the node.
  • the cryptographic identifier ICj is the public key KPU ⁇ , or a hash of the public key H (KPU j ) determined by applying the hash function H to the public key KPUj, the minced public key H (KPU j ) being generally fixed size and smaller than that of the public key KPU- ⁇ .
  • the public key-based node identification has the advantage of being universal, with each node of the RA network having its own cryptographic pair.
  • the cryptographic pair of the node participates in security functions when sending data to a destination node.
  • the signature of the data using the private key of the node guarantees the integrity of the data for the destination node which verifies the signature using the public key of the node that sent the data.
  • the encryption of the data using the public key of the destination node guarantees the confidentiality of the exchange between the node and the destination node, which is the only one able to decrypt the data using its private key.
  • the file F j comprises one or more descriptive parameters related to the nature of the node M j .
  • a descriptive parameter of a personal computer (PC) Nj or Nj is the IP address of the personal computer.
  • descriptive parameters of the network R are the address of a DHCP server ("Dynamic Host Configuration Protocol" in English) or the address of a network gateway such as a HTTP proxy ("HyperText Transfer Protocol" in English) .
  • a descriptive parameter of the terminal mobile N3 or N-JJ-I is for example the international telephone number MSISDN ("Mobile Station ISDN Number" and "Integrated Digital Services Network” in English) of the mobile terminal.
  • the public key KPU j and the hashed public key H (KPU j ) of a node are also descriptive parameters contained in the file of each node. All the parameters contained in the file are parameters that are accessible by the other nodes.
  • Each descriptive parameter P n J in the file Fj contains an identifier of the parameter, such as a name NP mj and / or a type TP m ⁇ , and a parameter value VP mj .
  • the name NP n -J is a sub-identifier of the node Nj.
  • the type TP m j characterizes the parameter P mj by indicating for example that the parameter is an IPv4 address "A", an e-mail server name "MX" or a text "TXT”.
  • the parameter value VP m j is required by another node of the network and is for example of the form "2001: 2: 56" for a parameter of type address, or of the form "server name mail.com" for a parameter e-mail server type.
  • Information other than the descriptive parameters in the file F j are related to the descriptive parameter (s) of the file and / or their name and each include a type and a value. This information corresponds to the detection of errors and the integrity of the information to be transmitted from the node Np.
  • the error value VE m j of the error information contains a list of types linked to a parameter name NPj n - ,, such as TP 1n J, TA, and the name of the next parameter NP ⁇ i.
  • a RQI Identification request transmitted by another node concerning a name parameter NP mj existing in the file F j whose type TP mj contained in the request is invalid, a response to the error value VE m -.
  • the response indicates that the type contained in the request for this required parameter name does not exist in the F j file, which is justified by the list of types associated with the NP mj name of the required parameter.
  • Authentication information characterized by a type TA and relating to a respective value VP mj i v E mj to be transmitted to another node which has requested it, authenticates the origin and guarantees the integrity of said respective value relative to the node N j , the authentication value VAP nj , VAE mj associated with the authentication information corresponds to a signature determined according to the respective value VP m j, VE m j to be transmitted and the private key KPV j assigned at node N j .
  • the value VAP mj , VAE m j is determined by applying the hash function H to the value VP mj , VE mj and by asymmetric encryption of the hash value as a function of the private key KPV j assigned to the node.
  • the value VAP 111 -; transmitted in an RPI response at the same time as the respective value VP m j of the parameter P mj required ensures that said respective value comes from the node N mj .
  • the value VAE mj transmitted in an RPI response at the same time as the error value VE m j relative to the name NP m j of the required parameter P m j ensures the integrity of the error value VE m j.
  • the value VAP mj , VAE mj is transmitted encrypted by the public key of the other node, thereby guaranteeing the confidentiality of the information exchange in the RPI response.
  • the other node receiving an identification response containing the value VP T g has also required, or previously, the public key KPU ⁇ associated with the private key KPV- cryptographic pair assigns node N- ] to decrypt the authentication value V ⁇ P mi .
  • the other node applies to the value VP m - j received the one-way hash function H to obtain a hash value, and compares the obtained hash value and the decrypted value which must be identical.
  • the descriptive parameters in the file F j are indexed according to two indexing embodiments.
  • the first embodiment of indexing relates to a parameter indexing associating the identifier IC- of the node N- ] and the name NP mj of the parameter in order to obtain the associated value VP m .
  • the types TPI ⁇ to ⁇ Pm j characterizing the parameters Pi j to P m - j of the node are identical and do not differentiate a parameter of the node from another parameter of the node.
  • Parameters Pi, at P mj of the node are differentiated by their names NPi ⁇ to
  • the second indexing embodiment relates to a parameter indexation associating the identifier IC 1 of the node B j and the type TP mj of the parameter in order to obtain the associated value VP ⁇ .
  • the types TP ⁇ j to TP 1n - ] characterizing the parameters P i to P n .- of the node are distinct from each other, the parameters having no name NPi ] to NPr n -J .
  • the F-F then contains error information containing all types of parameters and information of the descriptive file of the node N j , which reduces the size of the file.
  • Each descriptive parameter or information in the descriptive file is defined by an identical class for all the information, for example the class "IN” relative to the Internet.
  • the descriptive file includes file management information characterized by the type "SOA" ("Start Of Authority” in English) whose value includes, inter alia, the identity and address of the administrator of the file and data. describing how the file is managed.
  • the descriptive file may further comprise cryptographic information characterized by the "Domain Name System KEY" (DNSKEY) type relating to the public key of the cryptographic pair assigned to the node.
  • DNSKEY Domain Name System KEY
  • the values of this additional information are respectively authenticated by authentication information characterized by the TA type.
  • step E1 node N1 is connected for the first time to the ad-hoc RA network.
  • the IR network interface of the node N1 broadcasts to the other nodes an MS message established by the CPU unit of the node N1 and containing the cryptographic identifier ICi of the node N1 and an address of source ADNi assigned to the Node Node so that the other nodes identify the Node and send it messages or queries.
  • the ADNI address is for example the MAC ("Medium Access Control") address of the node including identifiers and a serial number, or alternatively an address formed from the cryptographic identifier IC 1.
  • the IR network interface of another node N2 intercepts the message MS.
  • the communication unit OC of the node N2 establishes a request for identification RQI intended for the node N1 to read one or more descriptive parameters required such as at least the public key assigned to the node N, in order to check the integrity of the parameters coming from of the node Ni.
  • the request RQI contains at least the identifier ICi of the node N extracted from the message MS, the name NP m ⁇ of the required parameter, as identifier of the parameter, and a source address ADN2 relating to the node N2 for the node Ni to transmit a response from the request RQI to the node N2 -
  • the node N2 can require all the parameters of the node N1 by the transmission of a specific identification request.
  • the IR network interface of the node N1 receives the request RQI which is processed by the communication unit UC of the node N1.
  • the descriptive file management unit UF of the node NN looks for the value VP n . and the VAP m i authentication value associated with the NP n i parameter name in the Fi file.
  • step E4 the values VP n -I and VAP m i are included in the file Fi
  • the communication unit of the node N1 establishes an identification response RPI including the identifier ICi ⁇ u node Ni, the name NP m i and the values VP m i and VAP m ⁇ of the required parameter found in the file Fi of the first node Ni.
  • the RPI response is transmitted to node N2 in step E5.
  • the node N2 receives the response RPI and the communication unit of the node N2 checks the integrity of the parameter value VP m i required.
  • the communication unit of the node N2 decrypts the authentication value VAP m i according to the public key KPUi assigned to the node N1 and transmitted in the response RPI or in a previous response and produces a decrypted value. Then the communication unit applies the one-way hash function H to the value VP m i extracted from the transmitted response RPI and compares the hash value with the decrypted value, which must be identical.
  • the communication unit UC of the node N 1 establishes an identification response RPI containing the identifier IC 1 of the node Ni, the NP m i name of the parameter, the error value VE m i corresponding to the parameter P n i and the associated authentication value VAE m i.
  • the response RPI is transmitted by the IR interface of the node N1 to the node N2 in the step E1, which verifies the integrity of the error value VAE m i in the step E8 similarly to the step E6.
  • the identification requests RQI and the identification responses RPI do not contain the name NP m i of the parameter, but contain the type TP m i characterizing the parameter P rc i, as identifier of the parameter.
  • steps E3 and E4 The search for the values VP m i and VAP i i of the required parameter P m i in the file Fi is performed according to the identifier IC i and the type of parameter TP i i included in the request RQI transmitted in step E 2.
  • step E4 If in step E4, the values VP m i and VAP m i are not included in the file Fi, an error information containing all the types of parameters and information of the descriptive file Fi and accompanied by the value d associated authentication is transmitted to node N2.
  • RQI identification request frames and RPI identification response frames have identical field structures and conform to the frames of the DNS / DNSSEC specification.
  • a frame has at least four fields.
  • a first C_ET header field indicates whether the frame is relative to an RQI request or an RPI response
  • a second C_RQ field comprises the request
  • a third C__RP field comprises the response
  • a fourth field C__AD may include additional information .
  • the field C_RQ of the request RQI and of the response RPI includes the name NP m j of the required parameter associated with the identifier IC j of the node N j to which the Query is intended.
  • the TP mj type of the parameter is included in the request to conform to the DNS / DMSSEC specification, but does not distinguish one parameter from another parameter.
  • the C_RP field of the RPI response also has the NP name n -, - of the required parameter associated with the identifier IC j and the type TP- of the parameter, and furthermore comprises the value VP m ⁇ of the parameter and the value d 1 authentxfication VAP 1n -, associated.
  • the field C_RQ of the request RQI and the response RPI include the identifier IC j of the node INh for which the request is intended and the type TP m - characterizing the required parameter.
  • the C_RP field of the RPI response also comprises the identifier IC 1 and the TP m - type of the parameter, and furthermore comprises the value VP n - J of the parameter and the value d 1 authentication VAP T0 associated.
  • the additional field C_AD of the RPI identification response of a node N j may contain parameters useful for a first exchange with another node, such as the public key KPU j or the IP address of the node N j .
  • the invention is not limited to networks without ad-hoc type infrastructure, it can also be implemented in a network with infrastructure such as the internet in which the nodes have access to the DNS system. In this case, the identification system of the invention easily integrates into the DNS without ambiguity.
  • the DNS / DNSS ⁇ C databases relating to the invention associate a domain name of an N- j node with an IP address j and a cryptographic identifier IC j .
  • a client node can obtain the cryptographic identifier IC 3 of the N- node, other than by receiving said identifier broadcast by the N- node.
  • the client node To obtain the cryptographic identifier of a node N j , the client node requires the identifier ICi associated with the domain name of the node Kj from one of the DNS servers linked to a database that transmits it to him.
  • the client node obtains a more detailed description of the node Nj after the steps E2 to E8 of FIG.
  • a client node which requires the IP address of the node Nj to a DNS server, also obtains in response the cryptographic identifier IC j of the node N j included in the additional field C_AD.
  • the invention described herein relates to a method and a node among heterogeneous nodes.
  • the steps of the method of the invention are determined by the instructions of a computer program incorporated in the node.
  • the program comprises program instructions which, when said program is executed in a processor of the node whose operation is then controlled by the execution of the program, carry out the steps of the method according to the invention.
  • the invention also applies to a computer program, including a computer program on or in an information carrier, adapted to implement the invention.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a partially compiled form, or in any other form desirable to implement the method according to the invention.
  • the information carrier may be any entity or device capable of storing the program.
  • the medium may comprise storage means or recording medium on which is recorded the computer program according to the invention, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a USB key, or a magnetic recording means, for example a floppy disk (fioppy dise) or a hard disk.
  • the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can in particular be downloaded to an Internet type network.
  • the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in carrying out the method according to the invention.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Procédé d'identification sécurisée entre des nœuds (Nn) dans un réseau de communication comprenant pour chaque nœud un fichier (Fn) contenant des paramètres descriptifs du nœud, chaque paramètre étant indexé par un identificateur cryptographique du nœud et un identificateur du paramètre. Une interface (IR) diffuse depuis le nœud un message contenant l'identificateur cryptographique dudit nœud vers les autres nœuds du réseau. Une unité (UC) transmet une requête d'identification contenant l'identificateur cryptographique d'un premier autre nœud et l'identificateur d'un paramètre dudit premier autre nœud requis par ledit nœud. Une unité (UF) recherche dans le fichier une partie d'un paramètre requis par un deuxième autre nœud en fonction de l 'identificateur cryptographique dudit nœud et de l'identificateur du paramètre transmis par le deuxième autre noeud, et l'interface transmet la partie trouvée du paramètre requis par ledit deuxième autre nœud audit deuxième autre nœud.

Description

Identification de nœuds dans un réseau
La présente invention est relative à une identification de nœuds dans un réseau. Plus particulièrement, elle a trait à une identification sécurisée de nœuds hétérogènes dans un réseau dépourvu d'infrastructure, par exemple un réseau de type ad-hoc. L'identification selon l'invention est définie conformément au système de nom de domaine selon la spécification DNS/DNSSEC ("Domain Name System/Domain Name System Security" en anglais) afin de faciliter son intégration ultérieure .
Un système de nommage DNS est conçu spécifiquement pour un réseau de communication comportant une infrastructure comme celle de I1 internet ou d'un réseau intranet connectant des nœuds tels que des terminaux ou des serveurs. Ce système de nommage fait correspondre pour chacun de ces nœuds un ou des noms compréhensibles, appelés noms de domaine, par exemple "mondomaine.com", à des informations réseau relatives au nœud, telles que des champs textuels, des identificateurs cryptographiques, des paramètres de sécurité, un serveur mail, ou plus particulièrement des adresses de type IP ("Internet Protocol" en anglais) . Ces correspondances sont enregistrées dans une ou des bases de données reliées ou intégrées à un ou des serveurs dédiés au service de nom de domaine, appelés serveurs DNS. Tous ces serveurs sont accessibles à un nœud client qui fait une demande d'accès à un nom de domaine, afin de trouver la correspondance entre le nom de domaine et le nœud réseau associé audit nom de domaine. Actuellement, les réseaux, et notamment les réseaux dépourvus d'infrastructure comme les réseaux ad-hoc, utilisent les noeuds pour mettre en place Ia connectivité entre usagers desdits noeuds. Ces nœuds sont très hétérogènes et peuvent être des entités simples telles que des serveurs ou des terminaux, ou bien des entités complexes telles que des réseaux. En se référant au dernier cas, le système de nommage DNS ne s'applique pas aux entités complexes.
De même, le système de nommage DNS ne s'applique pas aux nœuds connectés dans un réseau dépourvu d'infrastructure tel qu'un réseau ad-hoc, où les communications sont établies de manière spontanée entre deux nœuds sans l'intermédiaire d'une entité centrale. Les nœuds d'un réseau ad-hoc s'ignorent a priori et ne sont pas référencés dans des serveurs DNS.
L'invention comble cette insuffisance en identifiant des nœuds hétérogènes comme des nœuds simples et des nœuds complexes présents dans un réseau sans infrastructure.
L'invention concerne un procédé d'identification d'un nœud auprès d'autres noeuds dans un réseau de communication, caractérisé en ce qu'il comprend les étapes suivantes : mémorisation dans chaque nœud d'un fichier contenant des paramètres descriptifs du nœud, chaque paramètre étant indexé par un identificateur cryptographique du nœud et un identificateur de paramètre, diffusion depuis un premier nœud se connectant au réseau, de l'identificateur cryptographique dudit premier nœud vers les autres nœuds du réseau, transmission de l'identificateur cryptographique du premier nœud et de l'identificateur d'un paramètre du premier nœud requis par un autre nœud depuis ledit autre nœud du réseau vers le premier nœud, recherche d'une partie du paramètre requis dans le fichier du premier nœud en fonction de l'identificateur cryptographique et de l'identificateur du paramètre requis, et transmission de la partie trouvée du paramètre requis depuis le premier nœud audit autre nœud.
L'invention identifie avantageusement tout type de nœud, aussi bien des nœuds simples tels qu'un serveur, un terminal mobile ou un ordinateur, que des nœuds complexes tels qu'un réseau, un tel nœud étant méconnu dans le système de nom de domaine selon la spécification DNS.
L'identification basée sur un identificateur cryptographique est universelle pour tous les nœuds, puisque l'identificateur cryptographique de chaque nœud est relatif à une clé publique d'un couple clé publique/clé privée assigné au nœud.
Selon une caractéristique de l'invention, l'identificateur d'un paramètre descriptif est un nom dédié au paramètre ce qui permet de distinguer les paramètres descriptifs entre eux et ainsi permet au fichier de contenir un grand nombre de paramètres descriptifs .
Selon une autre caractéristique de l'invention, l'identificateur d'un paramètre descriptif est un type caractérisant le paramètre ce qui facilite une intégration ultérieure de l'invention au système DNS.
L'invention concerne également un nœud d'un réseau de communication, caractérisé en ce qu'il comprend : une mémoire pour un fichier contenant des paramètres descriptifs du nœud, chaque paramètre étant indexé par un identificateur cryptographique du nœud et un identificateur de paramètre, un moyen pour diffuser l'identificateur cryptographique dudit nœud vers les autres nœuds du réseau, un moyen pour transmettre l'identificateur cryptographique d'un premier autre nœud et l'identificateur d'un paramètre dudit premier autre nœud requis par ledit nœud, un moyen pour rechercher dans le fichier une partie d'un paramètre requis par un deuxième autre nœud en fonction de l'identificateur cryptographique dudit nœud et de l'identificateur du paramètre transmis par le deuxième autre nœud, et un moyen pour transmettre la partie trouvée du paramètre requis audit deuxième autre nœud.
Enfin, l'invention se rapporte à un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé selon l'invention lorsque lesdites instructions sont mises en œuvre par un processeur dans un nœud selon l'invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la iecrure de la description suivante de plusieurs réalisations de l'invention, données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels :
- la figure 1 est un bloc-diagramme schématique d'un système d'identification dans un réseau sans infrastructure selon l'invention ; - la figure 2 est un bloc-diagramme schématique d'un nœud selon l'invention ;
- la figure 3 est un schéma représentatif d'un fichier descriptif de nœud selon l'invention ; - la figure 4 est un algorithme d'un procédé d'identification de nœud selon l'invention ; les figures 5 et 6 sont respectivement des schémas représentatifs d'une requête d'identification et d'une réponse d'identification selon une première réalisation de l'invention ; et
- les figures 7 et 8 sont respectivement des schémas représentatifs d'une requête d'identification et d'une réponse d'identification selon une deuxième réalisation de l'invention.
En référence à la figure 1, un système d'identification selon l'invention comprend un ensemble de nœuds hétérogènes Ni à Nj présents dans un réseau de communication sans infrastructure. Par exemple, le réseau est considéré comme un réseau ad- hoc RA et est appelé ainsi dans la suite de la description. Dans le réseau ad-hoc RA, les communications entre deux nœuds s'établissent de manière spontanée et les nœuds n'ont aucune connaissance préalable des autres nœuds présents dans le réseau. Selon l'invention, l'identification entre deux nœuds s'effectue par un échange de requête d'identification RQI et de réponse d'identification RPI. Les nœuds sont hétérogènes et peuvent être des entités simples telles qu'un serveur Ni, un terminal mobile N3, Nj+i, ou un ordinateur personnel Nj, Nj et/ou des entités complexes telles qu'un réseau R formant le nœud N2 et associé à un terminal T. Le réseau R est différent d'un réseau ad-hoc et peut être un. réseau à infrastructure tel que l'Internet ou un Intranet, auquel des terminaux clients sont connectés en filaire ou sans fil, ou un réseau de radiocommunications de type GSM {Global System for Mobile communications) ou UMTS (Universal Mobile Télécommunications System) .
Dans chaque nœud Nj, avec 1 < j ≤ J, est créé et mémorisé, selon l'invention, un fichier descriptif Fj comportant des informations descriptives propres au nœud, telles que des informations relatives à l'identité du nœud, par exemple : s'il s'agit d'un routeur ou d'un terminal, des informations relatives à la localisation du nœud par exemple une adresse IP, et accessibles aux autres nœuds . Concernant le nœud N2, le terminal T associé au réseau R comprend le fichier descriptif F2 identifiant le réseau R.
Les informations descriptives propres au nœud Nj sont appelées dans la suite de la description "paramètres descriptifs" Pmj , avec 1 < m < M, l'entier M pouvant être différent d'un nœud à l'autre. Le fichier Fj du nœud Nj est décrit plus en détail en référence à la figure 3.
Comme montré à la figure 2, les nœuds N^ à Nj du réseau ad-hoc RA comportent des entités similaires afin de mettre en œuvre le procédé d'identification de l'invention décrit en référence à la figure 4. Le nœud Nj comprend une interface de réseau IR qui est une interface radio lorsque le nœud est un terminal mobile par exemple, une unité de communication UC, une unité de gestion de fichier descriptif UF, et deux mémoires Ml et M2. Une unité spécifique US caractérise le nœud Nj, par exemple l'unité de traitement d'un PC, l'unité de traitement d'un serveur ou l'unité de traitement d'un terminal mobile. Toutes les entités du nœud sont reliées par un bus de communication bidirectionnel B.
Le nœud Nj communique avec les autres nœuds du réseau ad-hoc RA via l'interface de réseau IR pour transmettre des requêtes et recevoir des réponses auxdites requêtes. Les requêtes d'identification RQI transmises depuis l'interface de réseau du nœud Nj sont établies par l'unité de communication UC. De même, les réponses d'identification reçues par l'interface de réseau IR sont traitées par l'unité de communication UC. L'unité de gestion de fichier descriptif UF gère les informations relatives au nœud Nj, comprises dans un fichier descriptif Fj. L'unité de gestion UF répond aux requêtes d'identification RQI relatives à l'identification du nœud Nj transmises par des autres nœuds dans le réseau ad- hoc. Les fonctionnalités des unités UC, UF et US peuvent être réalisées sous forme de modules logiciels implémentés dans le nœud Nj et exécutés par une unité centrale de traitement du nœud Nj.
La mémoire Ml contient, entre autres, le fichier descriptif Fj du nœud Nj, une clé publique KPUj d'un couple cryptographique clé publique KPUj /clé privée KPVj assigné au nœud Nj et une fonction de hachage à sens unique H. La mémoire M2 est une mémoire de sécurité incluant la clé privée KPVj du couple cryptographique .
En référence à la figure 3, le fichier Fj du nœud Nj est spécifié par un identificateur cryptographique ICj dédié au nœud pour établir un lien vers une description plus complète du nœud relative aux paramètres descriptifs Pij à Pmή du nœud. Selon une réalisation de l'invention et conformément au protocole HIP (Host Identity Protocol), l'identificateur cryptographique ICj dépend de la clé publique KPUj du couple cryptographique clé publique KPUj /clé privée KPVj assigné au nœud. L'identificateur cryptographique ICj est la clé publique KPUή, ou bien un hash de la clé publique H(KPUj) déterminé par application de la fonction de hachage H à la clé publique KPUj, la clé publique hachée H(KPUj) étant généralement de taille fixe et inférieure à celle de la clé publique KPU-^ . L'identification de nœud basée sur les clés publiques a pour avantage d'être universelle, chaque nœud du réseau RA possédant son propre couple cryptographique. En outre, le couple cryptographique du nœud participe à des fonctions de sécurité lors d'un envoi de donnée à un nœud destinataire. Ainsi, la signature de la donnée à l'aide de la clé privée du nœud garantit l'intégrité de la donnée pour le nœud destinataire qui vérifie la signature à l'aide de la clé publique du nœud qui a envoyé la donnée. Le chiffrement de la donnée à l'aide de la clé publique du nœud destinataire garantit la confidentialité de l'échange entre le nœud et le nœud destinataire qui est le seul à pouvoir déchiffrer la donnée à l'aide de sa clé privée.
Le fichier Fj comprend un ou plusieurs paramètres descriptifs liés à la nature du nœud Mj . Par exemple, un paramètre descriptif d'un ordinateur personnel (PC) Nj ou Nj est l'adresse IP de l'ordinateur personnel. De même, des paramètres descriptifs du réseau R sont l'adresse d'un serveur DHCP ("Dynamic Host Configuration Protocol" en anglais) ou l'adresse d'une passerelle de réseau telle qu'un proxy HTTP ("HyperText Transfer Protocol" en anglais) . Un paramètre descriptif du terminal mobile N3 ou N-JJ-I est par exemple le numéro téléphonique international MSISDN ("Mobile Station ISDN Number" et "Integrated Digital Services Network" en anglais) du terminal mobile. La clé publique KPUj et la clé publique hachée H(KPUj) d'un nœud sont aussi des paramètres descriptifs contenus dans le fichier de chaque nœud. Tous les paramètres contenus dans le fichier sont des paramètres qui sont accessibles par les autres nœuds.
Chaque paramètre descriptif PnJ dans le fichier Fj contient un identificateur du paramètre, tel qu'un nom NPmj et/ou un type TPmή , et une valeur de paramètre VPmj . Le nom NPn-J est un sous- identificateur du nœud Nj. Le type TPmj caractérise le paramètre Pmj en indiquant par exemple que le paramètre est une adresse IPv4 "A", un nom de serveur de messagerie électronique "MX" ou un texte "TXT". La valeur de paramètre VPmj est requise par un autre nœud du réseau et est par exemple de la forme "2001:2:56" pour un paramètre de type adresse, ou de la forme "nom serveur mail.com" pour un paramètre de type serveur de messagerie électronique.
Des informations autres que les paramètres descriptifs dans le fichier Fj sont liées au(x) paramètre (s) descriptif (s ) du fichier et/ou à leur nom et comportent chacune un type et une valeur. Ces informations correspondent à la détection d'erreurs et à l'intégrité des informations à transmettre du nœud Np .
Une information d'erreur caractérisée par un type TEmj et associée à chaque nom de paramètre NPmj, apporte une preuve de l'absence d'une valeur VP d'un paramètre requis. La valeur d'erreur VEmj de l'information d'erreur contient une liste des types liés à un nom de paramètre NPjn-,, tels que TP1nJ, TA, et le nom du paramètre suivant NP^^i. Ainsi une requête d'identification RQI transmise par un autre nœud, relative à un nom de paramètre NPmj existant dans le fichier Fj dont le type TPmj contenu dans la requête est erroné, a pour réponse la valeur d'erreur VEm- . La réponse indique que le type contenu dans la requête pour ce nom de paramètre requis n'existe pas dans le fichier Fj, ce qui est justifié par la liste des types associés au nom NPmj du paramètre requis.
Une information d' authentification caractérisée par un type TA et relative à une valeur respective VPmj i vEmj à transmettre à un autre nœud qui en a fait la demande, authentifie l'origine et garantit l'intégrité de ladite valeur respective relativement au nœud Nj, La valeur d' authentification VAPnj , VAEmj associée à l'information d ' authentification correspond à une signature déterminée en fonction de la valeur respective VPmj , VEmj à transmettre et de la clé privée KPVj assignée au nœud Nj. Par exemple, la valeur VAPmj , VAEmj est déterminée par application de la fonction de hachage H à la valeur VPmj , VEmj et par chiffrement asymétrique de la valeur hachée en fonction de la clé privée KPVj assignée au nœud. La valeur VAP111-; transmise dans une réponse RPI en même temps que la valeur respective VPmj du paramètre Pmj requis assure que ladite valeur respective provient du nœud Nmj . De même, la valeur VAEmj transmise dans une réponse RPI en même temps que la valeur d'erreur VEmj relative au nom NPmj du paramètre requis Pmj assure l'intégrité de la valeur d'erreur VEmj .
Avantageusement la valeur VAPmj , VAEmj est transmise chiffrée par la clé publique de l'autre nœud, garantissant ainsi la confidentialité de l'échange d'informations dans la réponse RPI. Afin de vérifier l'intégrité de la valeur VPn^, l'autre nœud recevant une réponse d'identification contenant la valeur VPTg , a requis également, ou antérieurement, la clé publique KPU^ associée à la clé privée KPV- du couple cryptographique assigne au nœud N-] pour déchiffrer la valeur d ' authentification VΛPmi . Puis l'autre nœud applique à la valeur VPm-j reçue la fonction de hachage à sens unique H pour obtenir une valeur hachée, et compare la valeur hachée obtenue et la valeur déchiffrée qui doivent être identiques.
Les paramètres descriptifs dans le fichier Fj sont indexes selon deux réalisations d'indexation. La première réalisation d'indexation est relative à une indexation de paramètre associant l'identificateur IC-, du nœud N-] et le nom NPmj du paramètre afin d'obtenir la valeur VPm associée. Selon cette réalisation, les types TPI^ à ^Pmj caractérisant les paramètres Pij à Pm-j du nœud sont identiques et ne différencient pas un paramètre du nœud d'un autre paramètre du nœud. Les paramètres Pi-, à Pmj du nœud sont différencies par leurs noms NPi^ à
NPm3- La deuxième réalisation d'indexation est relative à une indexation de paramètre associant l'identificateur IC1 du nœud Bj et le type TPmj du paramètre afin d'obtenir la valeur VP^ associée. Selon la deuxième réalisation, les types TP^j à TP1n-] caractérisant les paramètres Pi-j à Pn.- du nœud sont distincts les uns des autres, les paramètres ne comportant pas de nom NPi-] à NPrn-J . Le ficmer F-; comporte alors une information d'erreur contenant tous les types de paramètres et d'informations du fichier descriptif du nœud Nj, ce qui réduit la taille du fichier.
Pour se conformer aux spécifications DNS/DNSSEC d'autres descriptions sont incluses dans le fichier descriptif. Chaque paramèrre descriptif ou information du fichier descriptif est défini par une classe identique pour toutes les informations, par exemple la classe "IN" relative à l'Internet. Le fichier descriptif comprend une information de gestion du fichier caractérisée par le type "SOA" ("Start Of Authority" en anglais) dont la valeur comporte, entre autres, l'identité et l'adresse de l'administrateur du fichier et des données décrivant la manière dont le fichier est géré.
Le fichier descriptif peut comprendre encore une information cryptGgraphique caractérisée par le type "DNSKEY" {"Domaine Name System KEY" en anglais) relatif à la clé publique du couple cryptographique assigné au nœud.
Les valeurs de ces informations supplémentaires sont respectivement authentifiées par des informations d ' authentification caractérisées par le type TA.
Le procédé d'identification d'un premier nœud Ni par un autre nœud N2 est maintenant décrit selon la première réalisation d'indexation, et comprend des étapes El à E3 montrées à la figure 4. A l'étape El, le nœud Ni est connecté pour la première fois au réseau ad-hoc RA. L'interface de réseau IR du nœud Ni diffuse vers les autres nœuds un message MS établi par l'unité UC du nœud Ni et contenant l'identificateur cryptographique ICi du nœud Ni et une adresse de source ADNi assignée au nœud Ni afin que les autres nœuds identifient le nœud Ni et lui transmettent des messages ou des requêtes . L'adresse ADNi est par exemple l'adresse MAC ("Médium Access Control" en anglais) du nœud incluant des identificateurs et un numéro de série, ou en variante une adresse formée à partir de l'identificateur cryptographique ICi.
A l'étape E2, l'interface de réseau IR d'un autre nœud N2 intercepte le message MS. L'unité de communication OC du nœud N2 établit une requête d'identification RQI destinée au nœud Ni pour y lire un ou des paramètres descriptifs requis tels qu'au moins la clé publique assignée au nœud Ni afin de vérifier l'intégrité des paramètres provenant du nœud Ni. Selon la première réalisation, la requête RQI contient au moins l'identificateur ICi du nœud Ni extrait du message MS, le nom NPmχ du paramètre requis, en tant qu'identificateur du paramètre, et une adresse de source ADN2 relative au nœud N2 pour que le nœud Ni transmette une réponse de la requête RQI au nœud N2 -
Le nœud N2 peut requérir tous les paramètres du nœud Ni par la transmission d'une requête d'identification spécifique. A l'étape E3 l'interface de réseau IR du nœud Ni reçoit la requête RQI qui est traitée par l'unité de communication UC du nœud Ni. En fonction de l'identificateur cryptographique ICi désignant le fichier Fx et du nom NPmi du paramètre requis extraits de la requête RQI, l'unité de gestion de fichier descriptif UF du nœud Ni recherche la valeur VPn.,! et la valeur d'authentification VAPmi associées au nom de paramètre NPni dans le fichier Fi.
Si à l'étape E4, les valeurs VPn-I et VAPmi sont incluses dans le fichier Fi, l'unité de communication du nœud Ni établît une réponse d'identification RPI incluant l'identificateur ICi ^u nœud Ni, le nom NPmi et les valeurs VPmi et VAPmχ du paramètre requis trouvées dans le fichier Fi du premier nœud Ni. La réponse RPI est transmise au nœud N2 a l'étape E5.
A l'étape E6, le nœud N2 reçoit la réponse RPI et l'unité de communication du nœud N2 vérifie l'intégrité de la valeur de paramètre VPmi requise. L'unité de communication du nœud N2 déchiffre la valeur d' authentification VAPmi en fonction de la clé publique KPUi assignée au nœud Ni et transmise dans la réponse RPI ou dans une réponse antérieure et produit une valeur déchiffrée. Puis l'unité de communication applique la fonction de hachage à sens unique H à la valeur VPmi extraite de la réponse transmise RPI et compare la valeur hachée à la valeur déchiffrée, lesquelles doivent être identiques.
En revenant à l'étape E4, si les valeurs VPmi et VAPmi ne sont pas incluses dans le fichier Fi, l'unité de communication UC du nœud Ni établit une réponse d'identification RPI contenant l'identificateur ICi du nœud Ni, le nom NPmi du paramètre, la valeur d'erreur VEmi correspondant au paramètre Pni et la valeur d' authentification associée VAEmi . La réponse RPI est transmise par l'interface IR du nœud Ni au nœud N2 à l'étape El, qui vérifie l'intégrité de la valeur d'erreur VAEmi à l'étape E8 de manière analogue à l'étape E6.
Selon la deuxième réalisation d'indexation, les requêtes d'identification RQI et les réponses d'identification RPI ne contiennent pas le nom NPmi du paramètre, mais contiennent le type TPmi caractérisant le paramètre Prci, en tant qu'identificateur du paramètre. Aux étapes E3 et E4, Ia recherche des valeurs VPmi et VAP^i du paramètre requis Pmi dans le fichier Fi est effectuée en fonction de l'identificateur ICi et du type de paramètre TP^i inclus dans la requête RQI transmise à l'étape E2.
Si à l'étape E4, les valeurs VPmi et VAPmi ne sont pas incluses dans le fichier Fi, une information d'erreur contenant tous les types de paramètres et d'informations du fichier descriptif Fi et accompagnée de la valeur d' authentification associée est transmise au nœud N2.
Comme représenté aux figures 5 à 8, des trames de requête d'identification RQI et des trames de réponse d'identification RPI selon l'invention présentent des structures de champs identiques et sont conformes aux trames de la spécification DNS/DNSSEC.
Une trame comporte au moins quatre champs. Un premier champ d' en-tête C_ET indique si la trame est relative à une requête RQI ou à une réponse RPI, un deuxième champ C_RQ comprend la requête, un troisième champ C__RP comprend la réponse et un quatrième champ C__AD peut comprendre des informations additionnelles. Selon la première réalisation d'indexation et en référence aux figures 5 et 6, le champ C_RQ de la requête RQI et de la réponse RPI inclut le nom NPmj du paramètre requis associé à l'identificateur ICj du nœud Nj auquel la requête est destinée. Le type TPmj du paramètre est inclus dans la requête afin d'être conforme à la spécification DNS/DMSSEC, mais ne permet pas de distinguer un paramètre d'un autre paramètre .
Le champ C_RP de la réponse RPI comporte également le nom NPn-,- du paramètre requis associé à l'identificateur ICj et le type TP- du paramètre, et comprend en plus la valeur VPm~ du paramètre et la valeur d1 authentxfication VAP1n-, associée.
Selon la deuxième réalisation d'indexation et en référence aux figures 7 et 8, le champ C_RQ de la requête RQI et de la réponse RPI inclut l'identificateur ICj du nœud INh auquel la requête est destinée et le type TPm-, caractérisant le paramètre requis . Le champ C_RP de la réponse RPI comporte également l'identificateur IC1 et le type TPm-, du paramètre, et comprend en plus la valeur VPn-J du paramètre et la valeur d1 authentification VAPT0 associée . Le champ additionnel C_AD de la réponse d'identification RPI d'un nœud Nj peut contenir des paramètres utiles a un premier échange avec un autre nœud, tels que la clé publique KPUj ou l'adresse IP du nœud Nj .
L'invention n'est pas limitée aux réseaux sans infrastructures de type ad-hoc, elle peut également être implémentee dans un reseau avec infrastructure tel que l' internet dans lequel les nœuds ont accès au système DNS. Dans ce cas, le système d'identification de l'invention s'intègre facilement dans le système DNS sans apporter d'ambiguïté. Les bases de données DNS/DNSSΞC relativement à l'invention associent à un nom de domaine d'un nœud N-j une adresse IPj et un identificateur cryptographique ICj .
Ainsi, un nœud client peut obtenir l'identificateur cryptographique IC3 du nœud N-, autrement que par réception dudit identificateur diffusé par le nœud N-, . Pour obtenir l'identificateur cryptographique d'un nœud Nj, le nœud client requiert l'identificateur ICi associé au nom de domaine du nœud Kj auprès de l'un des serveurs DNS lié à une base de données qui le lui transmet. Le nœud client obtient une description plus détaillée du nœud Nj à l'issue des étapes E2 à E8 de la figure 4.
En variante, un nœud client, qui requiert l'adresse IP du nœud Nj à un serveur DNS, obtient également en réponse l'identificateur cryptographique ICj du nœud Nj inclus dans le champ additionnel C_AD .
L'invention décrite ici concerne un procédé et un nœud parmi des nœuds hétérogènes. Selon une implémentation, les étapes du procédé de l'invention sont déterminées par les instructions d'un programme d'ordinateur incorporé dans le nœud. Le programme comporte des instructions de programme qui, lorsque ledit programme est exécuté dans un processeur du nœud dont le fonctionnement est alors commandé par l'exécution du programme, réalisent les étapes du procédé selon l'invention.
En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur sur ou dans un support d'informations, adapté à mettre en œuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage ou support d'enregistrement sur lequel est enregistré le programme d'ordinateur selon l'invention, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore une clé USB, ou un moyen d'enregistrement magnétique, par exemple une disquette (fioppy dise) ou un disque dur.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type internet . Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé selon 1 ' invention .

Claims

REVENDICATIONS
1 - Procédé d'identification d'un nœud auprès d'autres noeuds dans un réseau de communication, caractérisé en ce qu'il comprend les étapes suivantes : mémorisation dans chaque nœud (Nj) d'un fichier
(Fj) contenant des paramètres descriptifs (PIJ-PMJ) du nœud, chaque paramètre étant indexé par un identificateur cryptographique (ICj) du nœud et un identificateur de paramètre (NPmj, TPmj ) , diffusion (El) depuis un premier nœud (Ni) se connectant au réseau, de l'identificateur cryptographique dudit premier nœud vers les autres nœuds du réseau, transmission (E2) de l'identificateur cryptographique du premier nœud et de l'identificateur d'un paramètre du premier nœud requis par un autre nœud depuis ledit autre nœud (N2) du réseau vers le premier nœud, recherche (E3-E4) d'une partie (VPmj) du paramètre requis dans le fichier du premier nœud en fonction de l'identificateur cryptographique et de l'identificateur du paramètre requis, et transmission (E5) de la partie trouvée du paramètre requis depuis le premier nœud audit autre nœud.
2 - Procédé conforme à la revendication 1, selon lequel l'identificateur de paramètre (Pmj) est un nom
(NPnj) dédié au paramètre.
3 - Procédé conforme à la revendication 1, selon lequel l'identificateur de paramètre (Pmj) est un type (TPmj) caractérisant le paramètre. 4 - Procédé conforme à l'une quelconque des revendications 1 à 3, selon lequel l'identificateur cryptographique (ICj) d'un nœud [Nj) dépend d'une clé publique (KPUj) d'un couple clé publique (KPUj ) /clé privée (KPVj) assigné au nœud.
5 - Procédé conforme à la revendication 4, selon lequel la partie de paramètre (Vmj) est transmise accompagnée d'une signature (VAPmj) de ladite partie de paramètre (VP1nJ ) déterminée par la clé privée (KPVn) assignée au premier nœud.
6 - Procédé conforme à l'une quelconque des revendications 1 à 5, comprenant, lorsque le fichier
(Fl) du premier nœud (Nl) ne contient pas la partie du paramètre requis, une transmission (E7) d'une information d'erreur (VEmj) contenue dans le fichier et prouvant l'absence de ladite partie du paramètre requis dans le fichier.
7 - Procédé conforme à l'une quelconque des revendications 1 à 6, selon lequel le réseau de communication (RA) est un réseau ad hoc.
8 - Nœud d'un réseau de communication, caractérisé en ce qu'il comprend : une mémoire (Ml) pour un fichier (Fj) contenant des paramètres descriptifs (PIJ-PM3) du nœud, chaque paramètre étant indexé par un identificateur cryptographique (ICj) du nœud et un identificateur de paramètre (NP1T0, TPmj ) , un moyen (UC, IR) pour diffuser l'identificateur cryptographique dudit nœud vers les autres nœuds du réseau, un moyen (UC, IR) peur transmettre l'identificateur cryptographique d'un premier autre nœud et l'identificateur d'un paramètre dudit premier autre nœud requis par ledit nœud, un moyen (UF) pour rechercher dans le fichier (Fj) une partie (VPmj ) d'un paramètre requis par un deuxième autre nœud en fonction de l'identificateur cryptographique dudit nœud et de l'identificateur du paramètre transmis par le deuxième autre nœud, et un moyen pour transmettre (UC, IR) la partie trouvée du paramètre requis par ledit deuxième autre noeud audit deuxième autre nœud.
9 - Programme d'ordinateur apte a être mis en œuvre dans un nœud d'un réseau de communication, ledit programme étant caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans ledit nœud (N3), réalisent les étapes suivantes : mémorisation dans le nœud (Nj) d'un fichier (Fj) contenant des paramètres descriptifs (Fij-P^j) du nœud, chaque paramètre étant indexé par un identificateur cryptographique (ICj) du nœud et un identificateur de paramètre (NPmj, TPmj), diffusion (El) de l'identificateur cryptographique dudit nœud vers les autres nœuds du réseau, transmission (E2) de l'identificateur cryptographique d'un premier autre nœud et de l'identificateur d'un paramètre dudit premier autre nœud requis par ledit nœud, recherche (E3-E4) d'une partie (VPrnJ) d'un paramètre requis par un deuxième autre nœud dans le fichier dudit nœud en fonction de l'identificateur cryptographique dudit nœud et de l'identificateur du paramètre transmis par le deuxième autre noeud, et transmission (E5) de la partie trouvée du paramètre requis par le deuxième autre nœud audit deuxième autre nœud.
XO. Moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé selon l'une quelconque des revendications 1 à 7.
PCT/FR2007/051097 2006-04-28 2007-04-12 Identification de noeuds dans un reseau WO2007125235A2 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2009507124A JP2009535875A (ja) 2006-04-28 2007-04-12 ネットワークにおけるノードの識別
EP07788935A EP2014057A2 (fr) 2006-04-28 2007-04-12 Identification de noeuds dans un reseau
US12/298,791 US20090109874A1 (en) 2006-04-28 2007-04-12 Identifying nodes in a network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0651527 2006-04-28
FR0651527A FR2900523A1 (fr) 2006-04-28 2006-04-28 Identification de noeuds dans un reseau

Publications (2)

Publication Number Publication Date
WO2007125235A2 true WO2007125235A2 (fr) 2007-11-08
WO2007125235A3 WO2007125235A3 (fr) 2007-12-21

Family

ID=37597722

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2007/051097 WO2007125235A2 (fr) 2006-04-28 2007-04-12 Identification de noeuds dans un reseau

Country Status (5)

Country Link
US (1) US20090109874A1 (fr)
EP (1) EP2014057A2 (fr)
JP (1) JP2009535875A (fr)
FR (1) FR2900523A1 (fr)
WO (1) WO2007125235A2 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120094600A1 (en) * 2010-10-19 2012-04-19 Welch Allyn, Inc. Platform for patient monitoring
CN109314714B (zh) * 2016-06-28 2022-03-15 罗伯特·博世有限公司 将票证认证委托给物联网和服务中星形网络的系统和方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000072506A1 (fr) * 1999-05-21 2000-11-30 International Business Machines Corporation Procede et appareil permettant d'initialiser des communications protegees entre des dispositifs hertziens apparies et exclusivement entre ceux-ci
WO2001031836A2 (fr) * 1999-10-27 2001-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Secured ad hoc eme pour reseau de communication

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6496704B2 (en) * 1997-01-07 2002-12-17 Verizon Laboratories Inc. Systems and methods for internetworking data networks having mobility management functions
US20040025018A1 (en) * 2002-01-23 2004-02-05 Haas Zygmunt J. Secure end-to-end communication in mobile ad hoc networks
JP4554968B2 (ja) * 2004-03-26 2010-09-29 株式会社日立製作所 アドホックネットワークにおける無線通信端末装置
WO2007111710A2 (fr) * 2005-11-22 2007-10-04 Motorola Inc. Procédé et appareil élaborant un code de sûreté de communications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000072506A1 (fr) * 1999-05-21 2000-11-30 International Business Machines Corporation Procede et appareil permettant d'initialiser des communications protegees entre des dispositifs hertziens apparies et exclusivement entre ceux-ci
WO2001031836A2 (fr) * 1999-10-27 2001-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Secured ad hoc eme pour reseau de communication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YU-CHEE TSENG ET AL: "Secure bootstrapping and routing in an IPv6-based ad hoc network" PARALLEL PROCESSING WORKSHOPS, 2003. PROCEEDINGS. 2003 INTERNATIONAL CONFERENCE ON 6-9 OCT. 2003, PISCATAWAY, NJ, USA,IEEE, 6 octobre 2003 (2003-10-06), pages 375-382, XP010664138 ISBN: 0-7695-2018-9 *

Also Published As

Publication number Publication date
WO2007125235A3 (fr) 2007-12-21
FR2900523A1 (fr) 2007-11-02
EP2014057A2 (fr) 2009-01-14
JP2009535875A (ja) 2009-10-01
US20090109874A1 (en) 2009-04-30

Similar Documents

Publication Publication Date Title
RU2444054C2 (ru) Одноранговый обмен контактной информацией
US7546454B2 (en) Automated digital certificate discovery and management
FR2847752A1 (fr) Methode et systeme pour gerer l&#39;echange de fichiers joints a des courriers electroniques
EP2092703A1 (fr) Contrôle de message a transmettre depuis un domaine d&#39;émetteur vers un domaine de destinataire
EP3568966B1 (fr) Procédés et dispositifs de délégation de diffusion de contenus chiffrés
WO2018130796A1 (fr) Procédés et dispositifs de vérification de la validité d&#39;une délégation de diffusion de contenus chiffrés
EP3854021A1 (fr) Méthode de traitement confidentiel de logs d&#39;un système d&#39;information
EP3087718A1 (fr) Obtention de donnees de connexion a un equipement via un reseau
WO2007125235A2 (fr) Identification de noeuds dans un reseau
EP3900305A1 (fr) Procédé d&#39;acquisition d&#39;une chaîne de délégation relative à la résolution d&#39;un identifiant de nom de domaine dans un réseau de communication
EP3900306A1 (fr) Procédé de détermination d&#39;une chaîne de délégation associée à une résolution d&#39;un nom de domaine dans un réseau de communication
FR3015839A1 (fr) Procede de ralentissement d&#39;une communication dans un reseau
EP3149902B1 (fr) Technique d&#39;obtention d&#39;une politique de routage de requêtes émises par un module logiciel s&#39;exécutant sur un dispositif client
US7412599B1 (en) Administrative remote notification system and method
Godra et al. Practical Approach to Design and Implement a P2P and E2EE Instant Messaging System
WO2021240098A1 (fr) Procede de delegation de la livraison de contenus a un serveur cache
WO2024047128A1 (fr) Procédé, dispositif et système de contrôle de la validité d&#39;un message
EP4128717A1 (fr) Délégation d&#39;une fonction de résolution d&#39;identifiants de nommage
FR2902260A1 (fr) Verification et correction d&#39;erreurs de donnees d&#39;enregistrement dans un systeme de nommage
FR3141020A1 (fr) Procédé de mise en œuvre d’un service d’une chaîne de services et dispositif électronique associé
EP4222632A1 (fr) Procédé de synchronisation d&#39;une pluralité de serveurs de communications, dispositifs et programmes d&#39;ordinateurs correspondants
FR3141021A1 (fr) Procédé de mise en œuvre d’un service d’une chaîne de services et dispositif électronique associé
CN118353685A (zh) 一种匿名访问控制方法及系统
Trabelsi Services spontanés sécurisés pour l'informatique diffuse
FR3038413A1 (fr) Procede de gestion de l&#39;authentification d&#39;un client dans un systeme informatique

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07788935

Country of ref document: EP

Kind code of ref document: A2

WWE Wipo information: entry into national phase

Ref document number: 2007788935

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2009507124

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 12298791

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE