WO2011073584A1 - Procede de controle d'acces a un reseau local - Google Patents

Procede de controle d'acces a un reseau local Download PDF

Info

Publication number
WO2011073584A1
WO2011073584A1 PCT/FR2010/052771 FR2010052771W WO2011073584A1 WO 2011073584 A1 WO2011073584 A1 WO 2011073584A1 FR 2010052771 W FR2010052771 W FR 2010052771W WO 2011073584 A1 WO2011073584 A1 WO 2011073584A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
network
identifier
access
entity
Prior art date
Application number
PCT/FR2010/052771
Other languages
English (en)
Inventor
Romain Carbou
Karima Rafes
Olivier Dugeon
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2011073584A1 publication Critical patent/WO2011073584A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation

Definitions

  • the invention relates to the general field of telecommunications.
  • It relates more particularly to access to a local network of a user by a terminal, the local network being equipped with a router connected to an external telecommunications network via an access provider.
  • the invention is particularly applicable in a preferred manner but not limited to WiR (Wireless Fidelity) wireless home networks, connected to the public Internet network through routers such as residential gateways (or "homegate ay" in English). .
  • WiR Wireless Fidelity
  • friends of a home network owner invited by the latter to view various multimedia content stored on a network device, may wish to recover some of these contents on their wireless terminals. Similarly, they may wish to provide multimedia content stored on their terminals to the local network holder.
  • WiFi technology has become today the dominant standard for wireless communications within a home network.
  • HGI Home Gateway Initiative
  • This technique provides for the presence of a pairing button on the same router of the home network. Pressing this button makes it possible to establish, for a limited time window, a secure channel between the router and a terminal located near the router and wishing to connect to the home network.
  • the router transmits to the terminal the connection data necessary for its configuration (eg SSID (Service Set IDentifier) home network, Wired Equivalent Privacy (WEP) key, etc.), which will enable him to communicate securely with him.
  • SSID Service Set IDentifier
  • WEP Wired Equivalent Privacy
  • connection data can also be conditioned by the entry on the terminal of a PIN (Personal Identification Number) code, often registered on the same router to ensure that only a user near the router can access the home network.
  • PIN Personal Identification Number
  • the "easy pairing" technique therefore requires physical interaction with the router for each connection envisioned to the local network. This constraint can quickly become very tedious when considering the connection of a plurality of visitor terminals to the home network.
  • the present invention responds in particular to this need by proposing a method of controlling access to a local area network equipped with a router connected to an external telecommunications network via an access provider, this method being implemented implemented by an entity of the service provider.
  • the access control method comprises: a step of receiving an identifier of the local network and an identifier of a first terminal, connected to a mobile telecommunications network and equipped with a interface for communicating with said router;
  • control step for verifying the presence of the identifier of the first terminal in a list of terminals authorized to access the local network
  • the invention also relates to an entity of an access provider to an external telecommunications network, adapted to control access to a local area network equipped with a router connected to the external telecommunications network via the provider. access.
  • this entity comprises:
  • control means capable of checking the presence of the identifier of the terminal in a list of terminals authorized to access the local network
  • the invention proposes to move the access control to the local network to an entity outside this network, and more particularly, to an entity of an access provider to an external network to which the local network is connected via a router.
  • This router is for example a home or residential gateway connected to the public Internet network via an Internet Service Provider (ISP) and with which the holder of the local network is registered.
  • ISP Internet Service Provider
  • the invention therefore does not require physical interaction with the router to allow secure local connection of a terminal to the local network. In particular, it is no longer necessary for the user of a visitor terminal to press the router's pairing button to allow the configuration of his terminal.
  • the solution proposed by the invention is therefore particularly advantageous in a context where a plurality of terminals wishes to access the local network.
  • the invention thus allows the holder of the local network to predefine a list of users who can access the local network, specifying terminal identifiers associated with these users.
  • These identifiers may be, for example, MSISDN numbers (Mobile Station ISDN) allocated to wireless terminals on a mobile telecommunications network.
  • these identifiers are used by the service provider entity to determine whether the user of the first terminal is authorized or not to access the local network.
  • the mere presence of the identifier of the first terminal in the list of authorized terminals is sufficient to allow the user of the first terminal to access the network.
  • the invention thus proposes a secure simplification of the punctual access by a visitor terminal to a local network which remains under the control of the holder of the local network at all times.
  • the invention therefore relates to local access management, via a local connection, to the local network.
  • the first terminal can designate the terminal with which the visitor user wishes to access the local network.
  • the invention makes it possible Furthermore, advantageously, to avoid the input on the terminal connection data (eg encryption key or password, SSID) to send to the router.
  • the terminal connection data eg encryption key or password, SSID
  • the first terminal may also designate a terminal separate from the terminal used to access the local network, in which case the latter must be equipped with means for obtaining the connection data of the first terminal.
  • These means may comprise in particular a short-range interface (eg Bluetooth, infrared, etc.) or a keyboard on which the connection data can be entered by the user of the first terminal.
  • the list of terminals is obtained by the provider's entity from a contact list associated with a second terminal whose identifier is registered with the service provider's entity. association with a local network identifier.
  • the second terminal will be a terminal of the holder of the local network, an identifier of which has previously been registered with the access provider, in association with a local network identifier such as, for example, for a local WiFi network, an SSID ( alphanumeric character string naming the local network).
  • a local network identifier such as, for example, for a local WiFi network, an SSID ( alphanumeric character string naming the local network).
  • This registration may be made at a preliminary stage, in particular when the holder of the local network subscribes to a subscription relating to access to the external network with the access provider.
  • a contact list allows quick and easy definition of the terminals authorized to access a network; indeed, it makes it possible to choose the contact or contacts whose terminals will be authorized to access the local network.
  • the identifier of the second terminal identifies it on a mobile telecommunications network
  • the contact list is stored in an entity of the mobile telecommunications network, and interrogated during the control step by the entity of the access provider by means of the identifier of the second terminal.
  • the invention proposes, in this first variant, to use a "network address book" application, offered by the mobile telecommunications network to which the second terminal is connected, to define the list of terminals authorized to access the network. local.
  • a network address book designates a list of contacts associated with a mobile terminal, stored in an entity of the mobile telecommunications network with which it is registered.
  • this list includes various information, such as presence information or the capacity of the terminals identified as contacts, enabling the user of the mobile terminal to initiate communications, to transfer data to his contacts, to associate to his contacts multimedia elements such as photos, etc.
  • the RCS ich Communication Suite
  • IMS Internet Multimedia Subsystem
  • the identifier of the second terminal identifies the latter on a mobile telecommunications network to which it is connected;
  • the contact list is stored in the second terminal and interrogated during the control step by the access provider entity by means of the identifier of the second terminal.
  • the configuration of the access control implemented by the invention is transparent for the local network holder.
  • Access control is in fact carried out on the basis of predefined contact lists, for applications independent of access control to the local network (i.e. applications on its mobile terminal).
  • the exploitation by the invention of an address book can be done in two ways: either all terminals identified in the contact list are presumed to be authorized to access the local network, or an indicator defining an authorization / prohibition of access is added to the contact list to manage access permissions. In all cases, it is the presence in a list of authorized terminals that is verified by the entity of the service provider.
  • the step of sending the connection data can be conditioned not only by the presence of the identifier of the first terminal in the list of authorized terminals, but also by the presence of an indicator, associated in the contact list to the identifier of the first terminal, and allowing access to the local network.
  • This characteristic is particularly advantageous when predefined address books such as those envisaged previously are used, since it allows the user of the second terminal to restrict access to his network to a reduced list of users selected from these address books.
  • this feature can be used to only temporarily grant a user the right to access the local network.
  • the terminals authorized to access the local network are identified from configuration data of the router of the local network, entered by means of a management or configuration user interface, made available to a user of the local network.
  • router for example a local user interface or a web interface.
  • the list of terminals authorized to access the local network is in this case obtained by querying a database of the operator of the network to which the second terminal is connected, including the configuration data of the router of the local network.
  • the identifier of the first terminal identifies it on a mobile telecommunications network to which it is connected.
  • This mobile telecommunications network is for example a GSM network (Global System for Mobile Communications), GPRS (General Packet Radio Service) or a UMTS (Universal Mobile Telecommunications System) network;
  • the identifier of the local network and the identifier of the first terminal are received by the entity of the access provider in a message sent by a server of this mobile telecommunications network;
  • connection data are sent, if necessary, by the entity of the access provider to the server, for transmission to the first terminal via the mobile network.
  • mobile telecommunications networks In a known manner, to preserve the confidentiality of communications and data exchanged, mobile telecommunications networks generally implement efficient dedicated security protocols, notably using encryption or authentication algorithms.
  • the invention exploits the inherent security of the mobile telecommunications network and thus enhances the security of access to the local network.
  • the identifier of the local network is associated with an identifier of the access provider to the external telecommunications network. This feature enables the mobile network to which the first terminal is connected to more easily identify the access provider of the external telecommunications network to which the LAN identifier and the identifier of the first terminal are to be transmitted.
  • connection data is encrypted before sending it to the first terminal, using a public encryption key of the first terminal and a private encryption key of the entity of the service provider.
  • the public encryption key of the first terminal is transmitted in a message to the entity of the access provider with the identifier of the local network and the identifier of the first terminal;
  • a public encryption key corresponding to the private encryption key of the entity of the access provider is sent by the entity of the access provider to the first terminal with the connection data.
  • the various steps of the access control method are determined by computer program instructions.
  • the invention also relates to a computer program on an information carrier, this program being capable of being implemented in an entity of the access provider or more generally in a computer, this program comprising instructions adapted to the implementation of the steps of an access control method as described above.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other form desirable shape.
  • the invention also relates to a computer-readable information medium, comprising instructions of a computer program as mentioned above.
  • the information carrier may be any entity or device capable of storing the program.
  • the medium may include storage means, such as a ROM, for example a CD ROM or a circuit ROM microelectronics, or a magnetic recording means, for example a diskette (floppy disk) or a hard disk.
  • the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can be downloaded in particular on an Internet type network.
  • the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • the invention relies more particularly on three elements:
  • an access control entity located in the infrastructure of the access provider
  • this terminal possibly being the terminal seeking to connect to the local network
  • a mobile network server that plays a proxy role between the mobile terminal and the access control entity.
  • the invention also aims at a two-mode terminal, connected to a mobile telecommunications network and equipped with an interface for communicating with a router of a local area network for accessing a telecommunications network. external, this terminal comprising:
  • connection data is received by the terminal if the identifier of the first terminal is present in a list of terminals authorized to access the local network.
  • the invention also aims at a server of a mobile telecommunications network comprising:
  • the invention also relates to a communications system comprising:
  • a dual-mode terminal connected to a mobile telecommunications network and equipped with an interface enabling it to communicate with a router of a local network making it possible to access an external telecommunications network;
  • a server of the mobile telecommunications network according to the invention and an entity of an external telecommunications network access provider, adapted to control access to the local area network according to the invention.
  • the method and the access control entity, the two-mode terminal, the server and the communications system according to the invention present in combination. all or some of the aforementioned features.
  • FIG. 1 shows, in its environment, a communications system according to the invention, in a particular embodiment
  • FIG. 2 illustrates the access control method according to the invention, in a particular embodiment in which it is implemented by the system represented in FIG. 1.
  • FIG. 1 represents, in its environment, a communication system 1 according to the invention, in a particular embodiment.
  • a user A receives from his home friends Bl ("Bob"), B2 ("Beatrice”) and B3 (“Bernard”), in order to view photos and videos contained in a multimedia server 10 of its wireless LAN, LAN_ ⁇ .
  • This multimedia server 10 is hosted by a terminal 11 belonging to the user A, and connected to the LAN_A network according to means known to those skilled in the art.
  • the terminal 11 is here a computer.
  • the communications system 1 is adapted to control access to the local area network LAN_A by the users B1, B2 and B3 via their respective terminals 12_1, 12_2 and 12_3.
  • Terminals 12_1, 12_2 and 12_3 are here two-mode terminals of type smart phones (also commonly called “smartphones"), in accordance with the invention.
  • other terminals could be considered, such as for example laptops or personal digital assistants (or “Personal Digital Assistant").
  • the terminals 12_1, 12_2 and 12_3 are provided on the one hand with means enabling them to connect locally to the LAN_A network (eg WiFi card). These means comprise a card and / or connection interface for establishing a local communication link, for example a short-range radio link (WiFi, Bluetooth, etc.) or a local wired link (USB cable or other).
  • the terminals 12_1, 12_2 and 12_3 are provided on the other hand with means enabling them to connect to a MNJ3 mobile telecommunications network (eg USIM card (Universal Subscriber Identity Module), physical interface, etc.).
  • MNJ3 mobile telecommunications network eg USIM card (Universal Subscriber Identity Module), physical interface, etc.
  • the MN_B network is a UMTS network, on which the terminals 12_1, 12_2 and 12_3 are respectively identified by the numbers MSISDN ID_B1, ID_B2, ID_B3.
  • the wireless LAN LAN_A is equipped with a home gateway 13, connected to the public Internet network via an ISP..A ISP to which the user A is registered.
  • This gateway is uniquely identified on the Internet network by IP address (Internet Protocol) @ IP_13. It is a router within the meaning of the invention.
  • ID_A is a MSISDN number identifying the mobile terminal 14 on a UMTS network MN_A to which it is connected.
  • the MN_N and MN_B networks are UMTS mobile networks. This assumption is in no way limiting, the invention also being related to other mobile telecommunications networks such as a GSM network, GPRS, EDGE, LTE (Long Term Evolution), etc. Similarly, the invention also applies to other external networks that the public Internet network.
  • such a service offers storage and management functions of the address book of a mobile terminal within the MN_A mobile telecommunications network.
  • the address book of the terminal 14 comprises three entries or contacts, respectively corresponding to the users "Anna”, “Bob” and “Mum", each entry being associated with a telephone number.
  • the entry "Bob” is associated with the telephone number ID B1.
  • this address book also includes here an indicator, activated for each contact of the user A authorized to access a local network of the user A, and therefore a local LAN_A LAN.
  • This indicator is for example a bit, set to 1 for each contact of the user A authorized to access a local network of the user A, and to 0 for the unauthorized contacts. It is shown in Figure 1 by a cross in front of the name of each authorized user. Thus, in Figure 1, only “Bob” and “Mum” are allowed to access LAN LAN, when it is accessible.
  • the server 20 of the ISP_A ISP has, in the example considered here, the hardware architecture of a computer, and notably comprises a processor 22, a 10 052771
  • the first memory 24 of the server 20 constitutes a recording medium according to the invention, readable by the processor 22 of the server 20 and on which is recorded a computer program according to the invention, comprising instructions for execution steps of an access control method according to the invention, described later with reference to FIG. 2.
  • the server 20 further comprises communication means 26, enabling it to communicate in particular with the home gateway 13, the entity 30 (for interrogating the network address book 31), and with a server 40 of the mobile communications network MN_B according to the invention.
  • These means of communication comprise a network card, the communications between the server 20, the gateway 13 and the server 40 being established here via the Internet network.
  • the access provider ISP_A also has two other servers 27 and 28, with which the server 20 communicates via the means 26.
  • the server 27 is a gateway (i.e. website) of access to the server 20 of the service provider.
  • the configuration server 28 is, in turn, adapted to generate and store connection data that can be used to connect to the gateway 13, as described later.
  • the software functions (ie portal and configuration) implemented by the servers 27 and 28 can be integrated into the server 20.
  • This entity 2 is located in an information system of the network infrastructure of the operator.
  • the user A is equipped with two distinct terminals 11 and 14, and the users B_1, B_2 and B_3 of two-mode terminals.
  • the implementation of the invention is preceded by a preliminary phase of initialization during which the user A allows one or more users to access their network and / or revoke existing permissions.
  • the LAN_A home network access control method is based on the permissions thus defined to accept or reject an access request for a terminal, without further user A being required.
  • this initialization phase can be repeated as many times as desired, the access control automatically taking into account the current permissions.
  • the user A activates, with the portal 27 of the ISP_A access provider, the sharing function of his home network LAN_A (step E10). Through this activation, user A tells ISP_A ISP_A that it wants to make its local network accessible to authorized visitor terminals.
  • the user A To activate the home network LAN_A, the user A connects to the portal 27 with his computer 11 (or alternatively with any other terminal having access to the Internet).
  • the computer 11 sends to the portal 27, an activation request MO including the identifier IDLAN_A LAN LANA.
  • the identifier IDLAN_A of the local network is associated with an identifier of the ISP_A access provider.
  • the identifier IDLAN_A is here an SSID, which includes a field identifying the ISP_A ISP. For example :
  • IDLAN_A "APrivate + ISP_A + A36BBF78".
  • the activation request having passed through the home gateway 13, it also contains, in a manner known per se, the address @ IP_13 of the gateway.
  • the portal 27 relays the activation request MO sent by the computer 11 to the configuration server 28 (step E20).
  • the configuration server 28 In response to this request, the configuration server 28 generates a dynamic password PWD_A using means known to those skilled in the art (step E30).
  • this password in combination with the IDLAN_A identifier and the address @ ⁇ P_13, both extracted from the activation request. It will be noted that the password PWD_A and the identifier IDLAN_A each constitute connection data within the meaning of the invention.
  • the configuration server 28 notifies the client database 21 that the user A has enabled the sharing function of the home network LAN_A (step E40). For this, it sends a notification message to the database 21 comprising the address @ IP_13 of the gateway 13 and IDLAN_A identifier.
  • the customer database 21 identifies the user A using the address @ IP_13, and records the identifier IDLAN_A in association with the identifier ID_A of the mobile terminal 14 indicated by the user A when his subscription to his Internet subscription (step E50).
  • the password PWD_A is not registered in the client database 21 for security reasons.
  • the configuration server 28 also sends the connection data PWD_A and IDLAN_A to the gateway 13 (step E60).
  • the gateway 13 stores this connection data in a configuration database (step E70).
  • step E80 the SSID IDLAN_A is received in this way by the terminal 12_1.
  • Step E80 closes the initial phase of initialization, after which the LAN LAN_A is registered in the client database 21 of the ISP_A ISP_A, via the identifier IDLAN_A associated with the identifier ID_A of the mobile terminal 14.
  • steps E10 to E80 implemented during the preliminary phase may differ somewhat.
  • the home gateway 13 may be configured not via the gate 27 but locally.
  • the activation request MO is sent by the computer 11 directly to the gateway 13, which itself generates the password
  • the IDLAN_A and PWD_A connection data are then notified by the gateway 13 to the configuration server 28.
  • the user wants to access BI LAN LAN ⁇ A via its dual-mode terminal 12_1.
  • the user A provides the user Bl with the IDLAN identifier A of the LAN_A network. 1
  • the user Bl selects on his dual-mode terminal 12_1, from among a list of neighboring networks proposed to him, the identifier IDLAN_A of the LAN_A network (step E90).
  • the gateway 13 broadcasting the identifier IDLAN_A following the preliminary phase of initialization, it is easy for the terminal 12_1 to enter this identifier by listening to the LAN_A network on its WiFi interface and to propose it to the user Bl in a list of neighboring networks to which the terminal 12_1 can connect provided that it is authorized.
  • the selection of the LAN_A network is followed by the sending to the server 40, by the terminal 12_1, a connection message Ml on a data channel of the mobile telecommunications network MN_B (step E100). This message is intended for the server 20 of the access provider.
  • the message M1 can be sent in an SMS to the server 40, to the server 20 of the service provider.
  • the message Ml here comprises the identifier IDLAN_A of the network LAIM_A, the identifier ID_B1 of the terminal 12_1, as well as a public encryption key, pk_Bl, associated with the terminal 12_1.
  • This encryption key is for example a public key stored in the USIM card of the terminal 12_1.
  • the server 40 extracts the identifier IDLAN_A from the connection message M1 in order to identify the access provider to which the local area network LAN_A is connected (step El 10). This identification is easily permitted here because of the naming convention used for the LAN_A network, according to which the IDLAN_A identifier comprises, as mentioned above, a field identifying the ISP_A access provider.
  • this identification can be carried out by interrogating a base common to the various access providers, which would for example associate with each home gateway IP address or with each MAC (Medium Access Control) address of the home gateway, the provider's name. access to which it is registered.
  • a base common to the various access providers which would for example associate with each home gateway IP address or with each MAC (Medium Access Control) address of the home gateway, the provider's name. access to which it is registered.
  • the server 40 has a predefined database in which, to each access provider is associated the IP address of at least one entity according to the invention, to which to direct the connection message Ml to control LAN_A LAN access.
  • the identification of the access provider enables the server 40, by consulting this predefined database, to identify the entity 2 of the ISP_A access provider.
  • the server 40 then relays the message M1 to the server 20 of the entity 2 of the access provider, via the Internet (step E120).
  • the server 40 here plays a role of proxy cutoff flow between the mobile terminal 12_1 on the one hand and the server 20 of the other access provider.
  • the server 40 as the operator server of the mobile telecommunications network MN_B, knows the number MSISDN IDJ31 of the terminal B 1 connected to this network.
  • the server 20 On receipt of the message Ml (or alternatively of the message M1 '), the server 20 extracts from this message M1 the identifier ID1_AN_A. With this identifier, he queries the customer database 21 to determine the mobile phone number of the holder of the Internet access for which the LAN_A network sharing functionality has been activated (step E130).
  • an identifier of the cell to which the terminal 12_1 is attached may be included in the message M1 sent to the server 40 and relayed to the server 20. This cell identifier makes it easier to identify the user. A, especially when several local networks associated with different users are similarly identified with the ISP_A ISP.
  • the cell identifier may be used to carry out an anti-spoofing check as soon as the ISP access provider ⁇ A knows how to geographically locate "its" router 13 and compare this location with that of the cell where the terminals B1, B2, B3 are stored. For example, if the access provider ISP_A knows that the router 13 is in Rouen while the cell is in Marseille, it is likely that there is an identity theft. In case of non-correspondence between the two determined locations, the ISP_A ISP may refuse the processing of the request.
  • the database 21 sends back to the server 20 the ID_A number of the mobile terminal 14 of the user A (step E140).
  • the server 20 identifies the database that it must interrogate to check whether the user B1 is authorized to access the LAN_A network (step E150).
  • the mobile operator of the user A is determined by analyzing the national addressing plan. As is known, MSISDN number ranges are uniquely assigned to each operator at the national level, so that from an MSISDN number it is possible to find the operator to which it is assigned. If the portability of the number is supported, the server 20 determines the mobile operator of the user A by connecting to the signaling network, or by querying a HLR or HSS portability database.
  • the server 20 here identifies in this manner the network operator MN_A.
  • This information combined with the identifier ID_A indicates to the server 20 which database it should query to control whether the user B1 is authorized to access the local area network LAN_A.
  • the relationship between the database to be interrogated, the operator of the network MN_A and the identifier ID_A is pre-established and stored in the nonvolatile memory 25 of the server 20.
  • the database of data to be interrogated would be a database of the network operator MN_A including the configuration data of the router 13 of the local network.
  • the server 20 determines that it must interrogate the network address book 31, attached to the identifier ID_A, and hosted by the entity 30 of the network N_A.
  • the network address book 31 is a database attached to the identifier ID_A of the terminal 14.
  • the server 20 then sends the entity 30 an interrogation request 2 containing the identifier ID_B1 of the terminal 12_1 (step E160), extracted from the message M1.
  • This request aims at checking the presence of the identifier ID_B1 in the address book network 31.
  • the entity 30 checks whether the network address book 31 contains the identifier ID_B1, and, in the particular embodiment described here, that the identifier ID_B1 is also associated with an indicator authorizing access to the local network (step E170).
  • the identifier ID_B1 is present in the address book 31 and it is effectively associated with an indicator authorizing access to the local area network LAN_A (represented by a cross in front of the name "Bob" as previously mentioned).
  • the network address book 31 thus confirms to the server 20 that the user B1 is authorized to access the LAN_A network (step E180)
  • the entity 30 digitally signs the response sent back to the server 20 in order to guarantee its authenticity (for example, by simple signature with a private key assigned to the entity 30 and sending the public key with the answer).
  • T FR2010 / 052771 T FR2010 / 052771
  • the server 20 queries, to determine whether the user B1 is authorized to access the LAN_A network, the local directory stored in the terminal 14 of the user A, similar to the network address book. 31.
  • the server 20 Upon receipt of the confirmation, the server 20 sends an M3 message to the configuration server 28 to obtain the password PWD_A.
  • This message M3 contains the SSID identifier of the LAN_A network as well as the public key pk_B1 of the terminal 12_1, extracted from the message M1 (step E190).
  • the configuration server 28 recovers in its storage space the password PWD_A associated with the identifier IDLAN, stored in step E30. Then, it encrypts this password by using an asymmetric encryption algorithm (or public key encryption algorithm) such as the RSA algorithm (Rivest Shamir Adleman), the key of which consists of a private key sk_28 of the server. configuration 28 and the public key pk_Bl of the terminal 12_1 (step E200).
  • an asymmetric encryption algorithm or public key encryption algorithm
  • RSA algorithm Ramir Adleman
  • the RSA algorithm is known per se and will not be described in more detail here. Alternatively, other asymmetric encryption algorithms can be envisaged.
  • the password thus encrypted is sent by the configuration server 28 to the server 20, accompanied by the public key pk_28 associated with the private key sk_28 of the configuration server 28 (step E210).
  • password encryption PWD_20 can alternatively be performed by the server 20 itself using a dedicated private key.
  • the server 20 then transmits, to the server 40 of the network MNJ3, in a message M4, the encrypted password and the public key pk_28 to the terminal 12_1 (step E220).
  • the message M4 is relayed by the server 40, via a data channel of the network MN_B, to the terminal 12_1 (E230).
  • the server 20 rejects access to the network. local network by the user B1. In other words, he transmits to the server 40 a message M4 to the terminal 12_1 rejecting access to the LAN_A network, this message being then relayed by the server 40 to the terminal 12_1.
  • the terminal 12_1 extracts from the message M4 the encrypted password. It decrypts this password, according to means known to those skilled in the art, using the public key pk_28 and the private key sk_Bl associated with the public key pk_Bl (step E240). The terminal 12_1 then sends to the gateway 13, via its WiFi interface, according to means known per se, a connection request comprising the connection data PWD_A and IDLAN_A (step E250).
  • the gateway 13 Upon receipt of this request, the gateway 13 checks the consistency of the connection data it contains with the connection data stored in the configuration database, and accepts the connection of the terminal 12_1 LAN_A network if necessary (step E260).

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Le procédé de contrôle selon l'invention est mis en œuvre par une entité (2,20) d'un fournisseur d'accès, par l'intermédiaire duquel un routeur équipant le réseau local est connecté à un réseau de télécommunication externe, ledit procédé comprenant : une étape de réception (E20) d'un identifiant du réseau local et d'un identifiant (ID_B1) d'un premier terminal (12_1), connecté à un réseau de télécommunications mobile (MN_B) et équipé d'une interface pour communiquer avec ledit routeur; une étape de contrôle (E160) visant à vérifier la présence de l'identifiant du premier terminal (ID_B1) dans une liste (31) de terminaux autorisés à accéder au réseau local; si l'identifiant du premier terminal (ID_B1) est présent dans ladite liste de terminaux (31), une étape d'envoi (E210), à destination du premier terminal (12_1) via le réseau de télécommunications mobile (MN_B), de données de connexion à utiliser pour se connecter via ladite interface au routeur (13); sinon, une étape de rejet de l'accès au réseau local.

Description

Procédé de contrôle d'accès à un réseau local
Arrière-plan de l'invention
L'invention se rapporte au domaine général des télécommunications.
Elle concerne plus particulièrement l'accès à un réseau local d'un utilisateur par un terminal, ce réseau local étant équipé d'un routeur connecté à un réseau de télécommunications externe via un fournisseur d'accès.
L'invention s'applique notamment de façon privilégiée mais non limitative aux réseaux domestiques sans fil de type WiR (Wireless Fidelity), connectés au réseau public Internet par le biais de routeurs tels que des passerelles résidentielles (ou « homegate ay » en anglais).
On assiste actuellement à un véritable essor des services communicants au sein des réseaux domestiques, tels que les serveurs multimédia, les services de partage de contenus (ex. vidéos, photos), les jeux en réseau, etc.
Ces services ont vocation à être utilisés non seulement par le titulaire du réseau domestique, par l'intermédiaire de ses propres terminaux, mais également par d'autres usagers, tels que des hôtes équipés de terminaux sans fil en visite chez le titulaire du réseau domestique. Dans la suite de la description, on désignera ces terminaux par « terminaux visiteurs ».
Ainsi, à titre d'exemple, les amis d'un titulaire d'un réseau domestique, invités par celui-ci pour visualiser divers contenus multimédia stockés sur un équipement du réseau, peuvent souhaiter récupérer certains de ces contenus sur leurs terminaux sans fil. De même, ils peuvent souhaiter fournir des contenus multimédia stockés sur leurs terminaux au titulaire du réseau local.
La technologie WiFi s'est imposée aujourd'hui comme le standard dominant des communications sans fil au sein d'un réseau domestique. Dans l'état actuel de la technique, il existe une solution dite « d'appairage simple » (ou « easy pairing » en anglais), prônée par la Home Gateway Initiative (HGI), qui permet de contrôler l'accès d'un terminal à un réseau domestique WIFI.
Cette technique prévoit la présence d'un bouton d'appairage sur le routeur même du réseau domestique. Une pression exercée sur ce bouton permet d'établir, pour une fenêtre temporelle limitée, un canal sécurisé entre le routeur et un terminal situé à proximité du routeur et souhaitant se connecter au réseau domestique.
Durant cette fenêtre temporelle limitée, le routeur transmet au terminal les données de connexion nécessaires à sa configuration (ex. SSID (Service Set IDentifier) du réseau domestique, clé WEP (Wired Equivalent Privacy), etc.), et qui lui permettront de pouvoir communiquer de façon sécurisée avec lui.
L'obtention de ces données de connexion peut en outre être conditionnée par la saisie sur le terminal d'un code PIN (Personal Identification Number), souvent inscrit sur le routeur même afin de garantir que seul un usager à proximité du routeur puisse accéder au réseau domestique.
La technique d' « easy pairing » requiert donc une interaction physique avec le routeur pour chaque connexion envisagée au réseau local. Cette contrainte peut vite devenir très fastidieuse dès lors qu'on envisage la connexion d'une pluralité de terminaux visiteurs au réseau domestique.
Il existe donc un besoin d'un procédé de contrôle d'accès à un réseau domestique ne présentant pas de tels inconvénients.
Objet et résumé de l'invention
La présente invention répond notamment à ce besoin en proposant un procédé de contrôle d'accès à un réseau local équipé d'un routeur connecté à un réseau de télécommunications externe par l'intermédiaire d'un fournisseur d'accès, ce procédé étant mis en œuvre par une entité du fournisseur d'accès.
Conformément à l'invention, le procédé de contrôle d'accès comprend : - une étape de réception d'un identifiant du réseau local et d'un identifiant d'un premier terminal, connecté à un réseau de télécommunications mobile et équipé d'une interface pour communiquer avec ledit routeur;
- une étape de contrôle visant à vérifier la présence de l'identifiant du premier terminal dans une liste de terminaux autorisés à accéder au réseau local ;
- si l'identifiant du premier terminal est présent dans ladite liste de terminaux, une étape d'envoi, à destination du premier terminal via le réseau de télécommunications mobile, de données de connexion à utiliser pour se connecter via ladite interface au routeur;
- sinon, une étape de rejet de l'accès au réseau local.
Corrélativement, l'invention vise également une entité d'un fournisseur d'accès à un réseau de télécommunications externe, adaptée à contrôler l'accès à un réseau local équipé d'un routeur connecté au réseau de télécommunications externe par l'intermédiaire du fournisseur d'accès. Conformément à l'invention, cette entité comprend :
- des moyens de réception d'un identifiant du réseau local et d'un identifiant d'un terminal, connecté à un réseau de télécommunications mobile et équipé d'une interface pour communiquer avec ledit routeur ; - des moyens de contrôle aptes à vérifier la présence de l'identifiant du terminal dans une liste de terminaux autorisés à accéder au réseau local ;
- des moyens d'envoi à destination du terminal via le réseau de télécommunications mobile de données de connexion à utiliser pour se connecter via ladite interface au routeur, lesdits moyens d'envoi étant destinés à être activés si ledit identifiant du terminal est présent dans ladite liste de terminaux
- des moyens de rejet de l'accès au réseau local, destinés à être activés sinon.
Ainsi, l'invention propose de déplacer le contrôle de l'accès au réseau local vers une entité extérieure à ce réseau, et plus particulièrement, vers une entité d'un fournisseur d'accès à un réseau externe auquel est connecté le réseau local via un routeur. Ce routeur est par exemple une passerelle domestique ou résidentielle connectée au réseau public Internet via un fournisseur d'accès Internet (FAI) et auprès duquel le titulaire du réseau local est enregistré.
L'invention ne requiert donc pas d'interaction physique avec le routeur pour permettre la connexion sécurisée locale d'un terminal au réseau local. Notamment, il n'est plus nécessaire pour l'usager d'un terminal visiteur d'appuyer sur le bouton d'appairage du routeur pour permettre la configuration de son terminal.
La solution proposée par l'invention est donc particulièrement avantageuse dans un contexte où une pluralité de terminaux souhaite accéder au réseau local.
L'invention permet ainsi au titulaire du réseau local de prédéfinir une liste d'usagers pouvant accéder au réseau local, en précisant des identifiants de terminaux associés à ces usagers. Ces identifiants peuvent être, par exemple, des numéros MSISDN (Mobile Station ISDN) attribués à des terminaux sans fil sur un réseau de télécommunications mobile.
Conformément à l'invention, ces identifiants sont utilisés par l'entité du fournisseur d'accès pour déterminer si l'utilisateur du premier terminal est autorisé ou non à accéder au réseau local. La simple présence de l'identifiant du premier terminal dans la liste de terminaux autorisés suffit à autoriser l'usager du premier terminal à accéder au réseau.
L'invention propose ainsi une simplification sécurisée de l'accès ponctuel, par un terminal visiteur à un réseau local qui reste à tout moment sous le contrôle du titulaire du réseau local. L'invention concerne donc une gestion d'accès local, via une liaison locale, au réseau local.
On notera que le premier terminal peut désigner le terminal avec lequel l'usager visiteur souhaite accéder au réseau local. Dans ce cas, l'invention permet en outre, avantageusement, de s'affranchir de la saisie sur le terminal des données de connexion (ex. clé de cryptage ou mot de passe, SSID) à envoyer au routeur.
Toutefois, le premier terminal peut également désigner un terminal distinct du terminal utilisé pour accéder au réseau local, auquel cas ce dernier doit être équipé de moyens pour obtenir les données de connexion du premier terminal. Ces moyens peuvent comprendre notamment une interface courte-portée (ex. Bluetooth, infrarouge, etc.) ou un clavier sur lequel les données de connexion pourront être saisies par l'usager du premier terminal.
Selon un mode de réalisation, la liste de terminaux est obtenue par l'entité du fournisseur d'accès à partir d'une liste de contacts associée à un second terminal dont un identifiant est enregistré auprès de l'entité du fournisseur d'accès en association avec un identifiant du réseau local.
Préférentiel lement le second terminal sera un terminal du titulaire du réseau local, dont un identifiant aura été enregistré préalablement auprès du fournisseur d'accès, en association avec un identifiant du réseau local tel que par exemple, pour un réseau local WiFi, un SSID (chaîne de caractères alphanumériques nommant le réseau local). Cet enregistrement pourra être réalisé lors d'une étape préliminaire, notamment lors de la souscription par le titulaire du réseau local à un abonnement relatif à l'accès au réseau externe auprès du fournisseur d'accès.
Une liste de contacts permet une définition simple et rapide des terminaux autorisés à accéder à un réseau; en effet, elle permet de choisir le ou les contacts dont les terminaux seront autorisés à accéder au réseau local.
Dans une première variante de réalisation de l'invention :
- l'identifiant du second terminal identifie celui-ci sur un réseau de télécommunications mobile ;
- la liste de contacts est stockée dans une entité du réseau de télécommunications mobile, et interrogée durant l'étape de contrôle par l'entité du fournisseur d'accès au moyen de l'identifiant du second terminal.
L'invention propose, dans cette première variante, d'utiliser une application de type « carnet d'adresses réseau », offerte par le réseau de télécommunications mobile auquel est connecté le second terminal, pour définir la liste des terminaux autorisés à accéder au réseau local.
De façon connue, un carnet d'adresses réseau désigne une liste de contacts associés à un terminal mobile, stockée dans une entité du réseau de télécommunications mobile auprès duquel il est enregistré. Outre les coordonnées des contacts à proprement parler, cette liste inclut diverses informations, telles que des informations de présence ou de capacité des terminaux identifiés comme contacts, permettant à l'usager du terminal mobile d'initier des communications, de transférer des données à ses contacts, d'associer à ses contacts des éléments multimédia tels que des photos, etc.
A titre d'exemple, le standard RCS (Rich Communication Suite) propose une application de type « carnet d'adresses réseau » pour les réseaux mobiles s'appuyant sur une architecture IMS (Internet Multimedia Subsystem). De plus amples informations sur cette application et sur le standard RCS de manière générale sont disponibles sur www.qsmworld.com/our-work/mobile lifestvle/rcs/rcs spécification documents.htm.
Dans une deuxième variante de réalisation de l'invention :
- l'identifiant du second terminal identifie celui-ci sur un réseau de télécommunications mobile auquel il est connecté ; et
- la liste de contacts est stockée dans le second terminal et interrogée durant l'étape de contrôle par l'entité du fournisseur d'accès au moyen de l'identifiant du second terminal.
Ainsi, dans cette deuxième variante, c'est le carnet d'adresses (ou répertoire) mémorisé en local sur le second terminal qui est utilisé pour définir la liste des visiteurs autorisés à accéder au réseau local.
Dans la variante s'appuyant sur le carnet d'adresses réseau comme dans la variante s'appuyant sur le carnet d'adresses stocké en local sur le second terminal, la configuration du contrôle d'accès mis en œuvre par l'invention est transparente pour le titulaire du réseau local. Le contrôle d'accès est en effet réalisé sur la base de listes de contacts prédéfinies, pour des applications indépendantes du contrôle d'accès au réseau local (i.e. applications sur son terminal mobile).
L'exploitation par l'invention d'un carnet d'adresses peut se faire de deux manières: soit tous les terminaux identifiés dans la liste de contacts sont présumés être autorisés à accéder au réseau local, soit un indicateur définissant une autorisation / interdiction d'accès est ajouté dans la liste de contacts pour gérer les autorisations d'accès. Dans tous les cas, c'est la présence dans une liste de terminaux autorisés qui est vérifiée par l'entité du fournisseur d'accès.
Ainsi l'étape d'envoi des données de connexion peut être conditionnée non seulement par la présence de l'identifiant du premier terminal dans la liste des terminaux autorisés, mais également par la présence d'un indicateur, associé dans la liste de contacts à l'identifiant du premier terminal, et autorisant l'accès au réseau local.
Cette caractéristique est particulièrement avantageuse lorsque des carnets d'adresses prédéfinis tels que ceux envisagés précédemment sont utilisés, puisqu'elle permet à l'utilisateur du second terminal de restreindre l'accès à son réseau à une liste réduite d'utilisateurs choisis parmi ces carnets d'adresses.
En outre, cette caractéristique peut être utilisée afin de n'accorder que temporairement à un usager le droit d'accéder au réseau local.
Dans une troisième variante, les terminaux autorisés à accéder au réseau local sont identifiés à partir de données de configuration du routeur du réseau local, saisies au moyen d'une interface utilisateur de gestion ou de configuration, mise à la disposition d'un utilisateur du routeur, par exemple une interface utilisateur locale ou une interface web. La liste des terminaux autorisés à accéder au réseau local est dans ce cas obtenue par interrogation d'une base de données de l'opérateur du réseau auquel est connecté le second terminal, comprenant les données de configuration du routeur du réseau local.
Dans un mode particulier de réalisation de l'invention :
- l'identifiant du premier terminal identifie celui-ci sur un réseau de télécommunications mobile, auquel il est connecté. Ce réseau de télécommunications mobile est par exemple un réseau GSM (Global System for Mobile communications), GPRS (General Packet Radio Service) ou un réseau UMTS (Universal Mobile Télécommunication System) ;
- l'identifiant du réseau local et l'identifiant du premier terminal sont reçus par l'entité du fournisseur d'accès dans un message émis par un serveur de ce réseau de télécommunications mobile ; et
- les données de connexion sont envoyées, le cas échéant, par l'entité du fournisseur d'accès au serveur, pour transmission au premier terminal via le réseau mobile.
De façon connue, pour préserver la confidentialité des communications et des données échangées, les réseaux de télécommunications mobiles mettent généralement en œuvre des protocoles de sécurité dédiés efficaces, utilisant notamment des algorithmes de chiffrement ou d'authentification. En se servant du réseau de télécommunications mobile du premier terminal, d'une part pour transmettre l'identifiant du réseau local et l'identifiant du premier terminal à l'entité du fournisseur d'accès, et d'autre part pour transmettre les données de connexion au premier terminal, l'invention exploite la sécurité inhérente du réseau de télécommunications mobiles et renforce ainsi la sécurité de l'accès au réseau local.
Dans un mode particulier de réalisation de l'invention, l'identifiant du réseau local est associé à un identifiant du fournisseur d'accès au réseau de télécommunications externe. Cette caractéristique permet au réseau mobile auquel est connecté le premier terminal d'identifier plus facilement le fournisseur d'accès du réseau de télécommunications externe auquel transmettre l'identifiant du réseau local et lldentifiant du premier terminal.
Dans un mode particulier de réalisation, les données de connexion sont chiffrées, avant leur envoi à destination du premier terminal, en utilisant une clé de chiffrement publique du premier terminal et une clé de chiffrement privée de l'entité du fournisseur d'accès.
Ceci permet avantageusement de fiabiliser la transmission des données de connexion au premier terminal et de s'assurer que seul le premier terminal puisse accéder à ces données.
Par exemple :
- la clé de chiffrement publique du premier terminal est transmise dans un message à l'entité du fournisseur d'accès avec l'identifiant du réseau local et l'identifiant du premier terminal ; et
- une clé de chiffrement publique correspondant à la clé de chiffrement privée de l'entité du fournisseur d'accès est envoyée, par l'entité du fournisseur d'accès, à destination du premier terminal, avec les données de connexion.
Dans un mode particulier de réalisation, les différentes étapes du procédé de contrôle d'accès sont déterminées par des instructions de programmes d'ordinateurs.
En conséquence, l'invention vise aussi un programme d'ordinateur sur un support d'informations, ce programme étant susceptible d'être mis en œuvre dans une entité du fournisseur d'accès ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en œuvre des étapes d'un procédé de contrôle d'accès tel que décrit ci-dessus.
Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.
L'invention vise aussi un support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Comme mentionné précédemment, dans un mode particulier de réalisation, l'invention s'appuie plus particulièrement sur trois éléments :
- une entité de contrôle d'accès localisée dans l'infrastructure du fournisseur d'accès ;
- un terminal mobile, apte à recevoir les données de connexion au réseau local, ce terminal pouvant être éventuellement le terminal cherchant à se connecter au réseau local ; et
- un serveur du réseau mobile qui joue un rôle de proxy entre le terminal mobile et l'entité de contrôle d'accès.
Ainsi, selon un deuxième aspect, l'invention vise également un terminal bi- mode, connecté à un réseau de télécommunications mobile et équipé d'une interface pour communiquer avec un routeur d'un réseau local permettant d'accéder à un réseau de télécommunications externe, ce terminal comprenant :
- des moyens pour envoyer, à destination d'une entité d'un fournisseur d'accès au réseau de télécommunications externe, via le réseau de télécommunications mobile, un message comprenant son identifiant sur le réseau de télécommunications mobile et un identifiant du réseau local ; et
- des moyens, activés sur réception de données de connexion au routeur, pour utiliser ces données afin de se connecter au routeur.
Dans un mode de réalisation, les données de connexion sont reçues par le terminal si l'identifiant du premier terminal est présent dans une liste de terminaux autorisés à accéder au réseau local.
Selon un troisième aspect, l'invention vise aussi un serveur d'un réseau de télécommunications mobile comprenant :
- des moyens de réception d'un message émis par un termina! via le réseau de télécommunications mobile, ce message comprenant un identifiant de ce terminal sur le réseau mobile et un identifiant d'un réseau local équipé d'un routeur connecté à un réseau de télécommunications externe ;
- des moyens d'identification d'une entité d'un fournisseur d'accès, conforme à l'invention, , à partir de l'identifiant du réseau local ;
- des moyens de transmission à cette entité de l'identifiant du réseau local et de l'identifiant du terminal sur le réseau mobile ; et
- des moyens, activés sur réception de données de connexion de l'entité du fournisseur d'accès, pour transmettre ces données au terminal, via ledit réseau mobile. - Selon un quatrième aspect, l'invention vise également un système de communications comprenant :
- un terminal bi-mode conforme à l'invention, connecté à un réseau de télécommunications mobile et équipé d'une interface lui permettant de communiquer avec un routeur d'un réseau local permettant d'accéder à un réseau de télécommunications externe ;
- un serveur du réseau de télécommunications mobile conforme à l'invention ; et une entité d'un fournisseur d'accès au réseau de télécommunications externe, adaptée à contrôler l'accès au réseau local conforme à l'invention. On notera qu'on peut également envisager, dans d'autres modes de réalisation, que le procédé et l'entité de contrôle d'accès, le terminal bi-mode, le serveur et le système de communications selon l'invention présentent en combinaison tout ou partie des caractéristiques précitées. Brève description des dessins
D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
- la figure 1 représente, dans son environnement, un système de communications conforme à l'invention, dans un mode particulier de réalisation ;
- la figure 2 illustre le procédé de contrôle d'accès selon l'invention, dans un mode particulier de réalisation dans lequel il est mis en uvre par le système représenté sur la figure 1. Description détaillée d'un mode de réalisation La figure 1 représente, dans son environnement, un système 1 de communications conforme à l'invention, dans un mode particulier de réalisation.
Pour illustrer la mise en œuvre de l'invention, nous supposons ici qu'un utilisateur A reçoit chez lui des amis Bl (« Bob »), B2 (« Béatrice ») et B3 (« Bernard »), en vue de visionner des photos et des vidéos contenus dans un serveur multimédia 10 de son réseau local sans fil WiFi, LAN_Â. Ce serveur multimédia 10 est hébergé par un terminal 11 appartenant à l'utilisateur A, et connecté au réseau LAN_A selon des moyens connus de l'homme du métier. Le terminal 11 est ici un ordinateur.
Au cours de cette séance de visionnage, les utilisateurs Bl, B2, B3, équipés respectivement des terminaux 12_1, 12_2 et 12_3, souhaitent échanger des photos/vidéos avec l'utilisateur A, en accédant au réseau local LAN_A. Conformément à l'invention, le système de communications 1 est adapté à contrôler l'accès au réseau local LAN_A, par les usagers Bl, B2 et B3 via leurs terminaux respectifs 12_1, 12_2 et 12_3.
Ce contexte n'est bien entendu donné qu'à titre illustratif ; l'invention s'applique à d'autres contextes dans lesquels, de manière générale, un terminal visiteur souhaite accéder à un réseau local, notamment en vue de partager des contenus avec un équipement de ce réseau local.
Les terminaux 12_1, 12_2 et 12_3 sont ici des terminaux bi-modes de type téléphones intelligents (aussi communément appelés « smartphones »), conformes à l'invention. En variante, d'autres terminaux pourraient être considérés, tels que par exemples des ordinateurs portables ou des assistants numériques personnels (ou « Personal Digital Assistant » en anglais).
Les terminaux 12_1, 12_2 et 12_3 sont munis d'une part, de moyens leur permettant de se connecter localement au réseau LAN_A (ex. carte WiFi). Ces moyens comprennent une carte et/ou interface de connexion pour établir une liaison locale de communication, par exemple une liaison radio courte portée (WiFi, Bluetooth, etc) ou une liaison filaire locale (câble USB ou autre). Les terminaux 12_1, 12_2 et 12_3 sont munis d'autre part, de moyens leur permettant de se connecter à un réseau de télécommunications mobile MNJ3 (ex. carte USIM (Universal Subscriber Identity Module), interface physique, etc.).
Dans l'exemple envisagé ici, le réseau MN_B est un réseau UMTS, sur lequel les terminaux 12_1, 12_2 et 12_3 sont identifiés respectivement par les numéros MSISDN ID_B1, ID_B2, ID_B3.
Le réseau local sans fil LAN_A est équipé d'une passerelle domestique 13, connectée au réseau public Internet via un fournisseur d'accès Internet ISP..A auprès duquel l'utilisateur A est enregistré. Cette passerelle est identifiée de façon unique sur le réseau Internet par l'adresse IP (Internet Protocole) @IP_13. Il s'agit d'un routeur au sens de l'invention.
De façon connue, l'utilisateur A a été enregistré, lors de la souscription de son abonnement Internet, auprès d'un serveur 20 du fournisseur d'accès ISP_A, dans une base de données « clients » 21. Lors de cet enregistrement, l'utilisateur A a été amené à fournir un certain nombre d'informations dont notamment ici, le numéro ID_A de son téléphone mobile 14. ID_A est un numéro MSISDN identifiant le terminal mobile 14 sur un réseau UMTS MN_A auquel il est connecté.
Dans le mode de réalisation décrit ici, les réseaux MN_Â et MN_B sont des réseaux mobiles UMTS. Cette hypothèse n'est en aucun cas limitative, l'invention s'appiiquant également à d'autres réseaux télécommunications mobiles comme par exemple un réseau GSM, GPRS, EDGE, LTE (Long Term Evolution), etc. De même, l'invention s'applique également à d'autres réseaux externes que le réseau public Internet.
On suppose ici que l'abonnement mobile dont dispose l'utilisateur A sur le réseau MN_A lui permet de bénéficier d'un service de carnet d'adresses réseau, conforme au standard RCS (Rich Communication Suite). Ce service est mis en œuvre ici par une entité 30 du réseau MN_A, qui héberge le carnet d'adresses 31 du terminal 14.
De façon connue, un tel service offre des fonctionnalités de stockage et de gestion du carnet d'adresses d'un terminal mobile au sein même du réseau de télécommunications mobile MN_A.
Dans l'exemple représenté sur la figure 1, le carnet d'adresses du terminal 14 comprend trois entrées ou contacts, correspondant respectivement aux usagers « Anna », « Bob » et « Mum », chaque entrée étant associée avec un numéro de téléphone. Par exemple, l'entrée « Bob » est associée au numéro de téléphone ID Bl.
En outre, ce carnet d'adresses comprend également ici un indicateur, activé pour chaque contact de l'utilisateur A autorisé à accéder à un réseau local de l'utilisateur A, et donc a fortiori réseau local LAN_A.
Cet indicateur est par exemple un bit, positionné à 1 pour chaque contact de l'utilisateur A autorisé à accéder à un réseau local de l'utilisateur A, et à 0 pour les contacts non autorisés. Il est matérialisé sur la figure 1 par une croix présente devant le nom de chaque usager autorisé. Ainsi, sur la figure 1, seuls « Bob » et « Mum » sont autorisés à accéder au réseau local LAN_A, lorsque celui-ci est accessible.
Le serveur 20 du fournisseur d'accès ISP_A a, dans l'exemple envisagé ici, l'architecture matérielle d'un ordinateur, et comporte notamment un processeur 22, une 10 052771
12
première mémoire 24 et une deuxième mémoire 25 dans laquelle est enregistrée la base clients 21.
La première mémoire 24 du serveur 20 constitue un support d'enregistrement conforme à l'invention, lisible par le processeur 22 du serveur 20 et sur lequel est enregistré un programme d'ordinateur conforme à l'invention, comportant des instructions pour l'exécution des étapes d'un procédé de contrôle d'accès selon l'invention, décrites ultérieurement en référence à la figure 2.
Le serveur 20 comporte en outre des moyens de communication 26, lui permettant de communiquer notamment avec la passerelle domestique 13, l'entité 30 (pour interroger le carnet d'adresses réseau 31), et avec un serveur 40 du réseau de communications mobile MN_B conforme à l'invention. Ces moyens de communications comprennent une carte réseau, les communications entre le serveur 20, la passerelle 13 et le serveur 40 étant établies ici via le réseau Internet.
Dans le mode de réalisation décrit ici, le fournisseur d'accès ISP_A dispose par ailleurs de deux autres serveurs 27 et 28, avec lesquels le serveur 20 communique par l'intermédiaire des moyens 26.
Le serveur 27 est un portail (i.e. site web) d'accès au serveur 20 du fournisseur d'accès. Le serveur de configuration 28 est, quant à lui, adapté à générer et à mémoriser des données de connexion pouvant être utilisées pour se connecter à la passerelle 13, comme décrit ultérieurement.
On notera que les fonctions logicielles (i.e. portail et configuration) mises en œuvre par les serveurs 27 et 28, peuvent être intégrées dans le serveur 20. Le serveur 20 et les serveurs 27 et 28, qu'ils soient colocalisés ou non, constituent une entité 2 du fournisseur d'accès adaptée à contrôler l'accès au réseau LAN_A au sens de l'invention. Cette entité 2 est localisée dans un système d'information de l'infrastructure réseau de l'opérateur.
Par ailleurs, dans le mode de réalisation décrit ici, l'utilisateur A est équipé de deux terminaux distincts 11 et 14, et les utilisateurs B_l, B_2 et B_3 de terminaux bi- modes.
Nous allons maintenant décrire, en référence à la figure 2, les principales étapes du procédé de contrôle d'accès selon l'invention, lorsqu'elles sont mises en œuvre par le serveur 20 en vue de contrôler l'accès du terminal 12_1 au réseau local LAN_A. Ces étapes peuvent être mises en œuvre de façon similaire pour contrôler l'accès des terminaux 12_2 et 12_3 au réseau LAN_A.
Dans le mode de réalisation décrit ici, la mise en œuvre de l'invention est précédée par une phase préliminaire d'initialisation au cours de laquelle l'utilisateur A autorise un ou plusieurs utilisateurs à accéder à son réseau et/ou révoque des autorisations existantes. Le procédé de contrôle d'accès au réseau domestique LAN_A se base sur les autorisations ainsi définies pour accepter ou rejeter une demande d'accès pour un terminal, sans qu'aucune autre intervention de l'utilisateur A ne soit nécessaire. En outre, cette phase d'initialisation peut être répétée autant de fois que désiré, le contrôle d'accès prenant en compte automatiquement les autorisations courantes.
Dans l'exemple décrit ici, il est fait usage d'un carnet d'adresses réseau : cette méthode simplifie pour l'utilisateur A la définition des autorisations d'accès puisqu'il a tout au plus des informations binaires à saisir (autorisation / interdiction pour un ou plusieurs contacts).
Au cours de cette phase d'initialisation, l'utilisateur A active, auprès du portail 27 du fournisseur d'accès ISP_A, la fonctionnalité de partage de son réseau domestique LAN_A (étape E10). Par l'intermédiaire de cette activation, l'utilisateur A indique au fournisseur d'accès ISP_A qu'il souhaite rendre accessible son réseau local à des terminaux visiteurs autorisés.
Pour activer le réseau domestique LAN_A, l'utilisateur A se connecte au portail 27 avec son ordinateur 11 (ou en variante avec tout autre terminal disposant d'un accès à Internet).
Une fois connecté, l'ordinateur 11 envoie au portail 27, une requête d'activation MO comprenant l'identifiant IDLAN_A du réseau local LAN_A. Dans l'exemple envisagé ici, l'identifiant IDLAN_A du réseau local est associé à un identifiant du fournisseur d'accès ISP_A. Plus précisément, l'identifiant IDLAN_A est ici un SSID, qui comprend un champ identifiant le fournisseur d'accès Internet ISP_A. Par exemple :
IDLAN_A = "APrivate+ISP_A+A36BBF78".
La requête d'activation ayant transité par la passerelle domestique 13, elle contient en outre, de façon connue en soi, l'adresse @IP_13 de la passerelle.
Le portail 27 relaie la requête d'activation MO envoyée par l'ordinateur 11 au serveur de configuration 28 (étape E20).
En réponse à cette requête, le serveur de configuration 28 génère un mot de passe dynamique PWD_A à l'aide de moyens connus de l'homme du métier (étape E30).
Il mémorise, dans un espace de stockage non représenté sur la figure 1, ce mot de passe en association avec l'identifiant IDLAN_A et l'adresse @ÏP_13, tous deux extraits de la requête d'activation. On notera que le mot de passe PWD_A et l'identifiant IDLAN_A constituent chacun des données de connexion au sens de l'invention.
Puis, le serveur de configuration 28 notifie la base de données clients 21 que l'utilisateur A a activé la fonctionnalité de partage du réseau domestique LAN_A (étape E40). Pour cela, il envoie un message de notification à la base de données 21 comprenant l'adresse @IP_13 de la passerelle 13 et l'identifiant IDLAN_A.
Sur réception de ce message, la base de données clients 21 identifie l'utilisateur A en utilisant l'adresse @IP_13, et enregistre l'identifiant IDLAN_A en association avec l'identifiant ID_A du terminal mobile 14 indiqué par l'utilisateur A lors de sa souscription à son abonnement Internet (étape E50).
Dans le mode de réalisation décrit ici, le mot de passe PWD_A n'est pas enregistré dans la base de données clients 21 par souci de sécurité.
Le serveur de configuration 28 envoie également les données de connexion PWD_A et IDLAN_A à la passerelle 13 (étape E60).
La passerelle 13 stocke ces données de connexion dans une base de données de configuration (étape E70).
Puis elle diffuse sur le réseau local le SSID IDLAN_A, selon des moyens connus de l'homme du métier (étape E80). Le SSID IDLAN_A est reçu notamment par ce biais, par le terminal 12_1.
L'étape E80 clôture la phase préliminaire d'initialisation, à l'issue de laquelle le réseau local LAN_A est enregistré dans la base de données clients 21 du fournisseur d'accès ISP_A, par l'intermédiaire de l'identifiant IDLAN_A associé avec l'identifiant ID_A du terminal mobile 14.
On notera qu'en fonction du mode de configuration de la passerelle 13, les étapes E10 à E80 mises en œuvre durant la phase préliminaire peuvent quelque peu différer.
En effet, en variante, la passerelle domestique 13 peut être configurée non pas par l'intermédiaire du portail 27 mais localement.
Dans cette variante de réalisation, la requête d'activation MO est envoyée par l'ordinateur 11 directement à la passerelle 13, qui génère elle-même le mot de passe
PWD_A. Les données de connexion IDLAN_A et PWD_A sont alors notifiées par la passerelle 13 au serveur de configuration 28.
Les diverses variantes de réalisation de la phase préliminaire sont sans effet sur la mise en oeuvre de l'invention et ne font que refléter les diverses implémentations de l'interface de configuration des passerelles domestiques existant chez les fournisseurs d'accès Internet.
On suppose maintenant que l'utilisateur Bl souhaite accéder au réseau local LAN^A par l'intermédiaire de son terminal bi-mode 12_1. A cette fin, l'utilisateur A fournit à l'utilisateur Bl l'identifiant IDLAN A du réseau LAN_A. 1
15
L'utilisateur Bl sélectionne alors sur son terminal bi-mode 12_1, parmi une liste de réseaux voisins qui lui est proposée, l'identifiant IDLAN_A du réseau LAN_A (étape E90). En effet, la passerelle 13 diffusant l'identifiant IDLAN_A suite à la phase préliminaire d'initialisation, il est aisé pour le terminal 12_1 de saisir cet identifiant en écoutant le réseau LAN_A sur son interface WiFi et de le proposer à l'utilisateur Bl dans une liste de réseaux voisins auxquels le terminal 12_1 peut se connecter à condition d'y être autorisé.
La sélection du réseau LAN_A est suivie de l'envoi au serveur 40, par le terminal 12_1, d'un message de connexion Ml sur un canal de données du réseau de télécommunications mobile MN_B (étape E100). Ce message est destiné au serveur 20 du fournisseur d'accès.
En variante, le message Ml peut être envoyé dans un SMS au serveur 40, à destination du serveur 20 du fournisseur d'accès.
Le message Ml comprend ici l'identifiant IDLAN_A du réseau LAIM_A, l'identifiant ID_B1 du terminal 12_1, ainsi qu'une clé de chiffrement publique, pk_Bl, associée au terminal 12_1. Cette clé de chiffrement est par exemple une clé publique stockée dans la carte USIM du terminal 12_1.
Le serveur 40 extrait l'identifiant IDLAN_A du message de connexion Ml afin d'identifier le fournisseur d'accès auquel est connecté le réseau local LAN_A (étape El 10). Cette identification est aisément permise ici du fait de la convention de nommage utilisée pour le réseau LAN_A, selon laquelle l'identifiant IDLAN_A comporte, comme mentionné précédemment, un champ identifiant le fournisseur d'accès ISP_A.
En variante, cette identification peut être effectuée en interrogeant une base commune aux différents fournisseurs d'accès, qui associerait par exemple à chaque adresse IP de passerelle domestique ou à chaque adresse MAC (Médium Access Control) de la passerelle domestique, le nom du fournisseur d'accès auprès duquel elle est enregistrée.
On suppose ici que le serveur 40 dispose d'une base de données prédéfinie dans laquelle, à chaque fournisseur d'accès est associée l'adresse IP d'au moins une entité conforme à l'invention, vers laquelle diriger le message de connexion Ml afin qu'elle contrôle l'accès au réseau local LAN_A.
L'identification du fournisseur d'accès permet au serveur 40, en consultant cette base de données prédéfinie, d'identifier l'entité 2 du fournisseur d'accès ISP_A.
Le serveur 40 relaie alors le message Ml vers le serveur 20 de l'entité 2 du fournisseur d'accès, via le réseau Internet (étape E120). Le serveur 40 joue ici un rôle de proxy en coupure de flux entre le terminal mobile 12_1 d'une part et le serveur 20 du fournisseur d'accès d'autre part.
Le serveur 40, en tant que serveur de l'opérateur du réseau de télécommunications mobile MN_B, a connaissance du numéro MSISDN IDJ31 du terminal Bl connecté à ce réseau.
Sur réception du message Ml (ou en variante du message Ml'), le serveur 20 extrait de ce message Ml l'identifiant IDl_AN_A. Il interroge, à l'aide de cet identifiant, la base de données clients 21 afin de déterminer le numéro de téléphone mobile du titulaire de l'accès Internet pour lequel la fonctionnalité de partage du réseau LAN_A a été activée (étape E130).
Dans une variante de réalisation, un identifiant de la cellule à laquelle est rattachée le terminal 12_1 peut être inclus dans le message Ml envoyé au serveur 40 puis relayé vers le serveur 20. Cet identifiant de cellule permet de faciliter l'identification de l'utilisateur A, notamment lorsque plusieurs réseaux locaux associés à différents utilisateurs sont identifiés de façon similaire auprès du fournisseur d'accès ISP_A.
L'identifiant de cellule peut être utilisé pour réaliser un contrôle d'usurpation d'identité ("anti-spoofing") dès lors que le fournisseur d'accès ISP^A sait localiser géographiquement « son » routeur 13 et comparer cette localisation à celle de la cellule où sont enregistrés les terminaux Bl, B2, B3. Par exemple, si le fournisseur d'accès ISP_A sait que le routeur 13 est à Rouen alors que la cellule est à Marseille, c'est qu'il y a vraisemblablement une usurpation d'identité. En cas de non correspondance entre les deux localisations déterminées, le fournisseur d'accès ISP_A peut refuser le traitement de la requête.
La base de données 21 renvoie au serveur 20 le numéro ID_A du terminal mobile 14 de l'utilisateur A (étape E140).
A partir du numéro ID_A, le serveur 20 identifie la base de données qu'il doit interroger pour vérifier si l'utilisateur Bl est autorisé à accéder au réseau LAN_A (étape E150).
Pour cela, il détermine tout d'abord quel est l'opérateur mobile auprès duquel l'utilisateur A est enregistré avec le numéro ID_A, selon des techniques connues de l'homme du métier.
Ainsi, si la portabilité du numéro n'est pas supportée dans la zone couverte par le réseau MN_A, l'opérateur mobile de l'utilisateur A est déterminé en analysant le plan d'adressage national. De façon connue, des plages de numéros MSISDN sont attribuées de façon unique à chaque opérateur au niveau national, de sorte qu'à partir d'un numéro MSISDN il est possible de retrouver l'opérateur auquel il est attribué. Si la portabilité du numéro est supportée, le serveur 20 détermine l'opérateur mobile de l'utilisateur A en se connectant au réseau sémaphore, ou en interrogeant une base de données de portabilité de type HLR ou HSS.
Le serveur 20 identifie ici de cette manière l'opérateur du réseau MN_A. Cette information combinée à l'identifiant ID_A indiquent au serveur 20 quelle base de données il doit interroger pour contrôler si l'utilisateur Bl est autorisé à accéder au réseau local LAN_A. On suppose par exemple que la relation entre la base de données à interroger, l'opérateur du réseau MN_A et l'identifiant ID_A, est préétablie et stockée dans la mémoire non volatile 25 du serveur 20.
Dans le cas où il serait fait usage pour l'obtention de la liste des terminaux autorisés à accéder au réseau local MN_A, non pas des données d'un carnet d'adresses réseau, mais des données de configuration du routeur 13, la base de données à interroger serait une base de données de l'opérateur du réseau MN_A comprenant les données de configuration du routeur 13 du réseau local.
On suppose ici que le serveur 20 détermine qu'il doit interroger le carnet d'adresses réseau 31, rattaché à l'identifiant ID_A, et hébergé par l'entité 30 du réseau N_A. Le carnet d'adresses réseau 31 est une base de données rattachée à l'identifiant ID_A du terminal 14.
Le serveur 20 envoie alors à l'entité 30 une requête d'interrogation 2 contenant l'identifiant ID_B1 du terminal 12_1 (étape E160), extrait du message Ml. Cette requête vise à contrôler la présence de l'identifiant ID_B1 dans le carnet d'adresses réseau 31.
Sur réception de cette requête M2, l'entité 30 vérifie si le carnet d'adresses réseau 31 contient l'identifiant ID_B1, et, dans le mode de réalisation particulier décrit ici, que l'identifiant ID_B1 est en outre associé à un indicateur autorisant l'accès au réseau local (étape E170).
Dans l'exemple de la figure 1, l'identifiant ID_B1 est présent dans le carnet d'adresses 31 et il est effectivement associé à un indicateur autorisant l'accès au réseau local LAN_A (matérialisé par une croix devant le nom « Bob » comme mentionné précédemment).
En réponse à la requête M2, le carnet d'adresses réseau 31 confirme donc au serveur 20 que l'utilisateur Bl est autorisé à accéder au réseau LAN_A (étape E180)
Selon un mode de réalisation, l'entité 30 signe numériquement la réponse renvoyée au serveur 20 afin d'en garantir l'authenticité (par exemple, par signature simple avec une clé privée affectée à l'entité 30 et envoi de la clé publique avec la réponse). T FR2010/052771
18
Dans un autre mode de réalisation, le serveur 20 interroge, pour déterminer si l'utilisateur Bl est autorisé à accéder au réseau LAN_A, le répertoire local mémorisé dans le terminal 14 de l'utilisateur A, de façon similaire au carnet d'adresses réseau 31.
Sur réception de la confirmation, le serveur 20 envoie un message M3 au serveur de configuration 28 afin d'obtenir le mot de passe PWD_A. Ce message M3 contient l'identifiant SSID du réseau LAN_A ainsi que la clé publique pk_Bl du terminal 12_1, extraite du message Ml (étape E190).
Le serveur de configuration 28 récupère dans son espace de stockage le mot de passe PWD_A associé à l'identifiant IDLAN, mémorisé à l'étape E30. Puis, il chiffre ce mot de passe en utilisant un algorithme de chiffrement asymétrique (ou algorithme de chiffrement à clé publique) tel que l'algorithme RSA (Rivest Shamir Adleman), dont la clé est constituée d'une clé privée sk_28 du serveur de configuration 28 et de la clé publique pk_Bl du terminal 12_1 (étape E200).
L'algorithme RSA est connu en soi et ne sera pas décrit plus en détails ici. En variante, d'autres algorithmes de chiffrement asymétriques peuvent être envisagés.
Le mot de passe ainsi chiffré est envoyé par le serveur de configuration 28 au serveur 20, accompagné de la clé publique pk_28 associée à la clé privée sk_28 du serveur de configuration 28 (étape E210).
On notera que le chiffrement du mot de passe PWD_20 peut en variante être réalisé par le serveur 20 lui-même à l'aide d'une clé privée dédiée.
Le serveur 20 transmet alors, au serveur 40 du réseau MNJ3, dans un message M4, le mot de passe chiffré ainsi que la clé publique pk_28 à destination du terminal 12_1 (étape E220).
Le message M4 est relayé par le serveur 40, via un canal de données du réseau MN_B, jusqu'au terminal 12_1 (E230).
On notera que si l'identifiant ID_B1 n'est pas présent dans le carnet d'adresses réseau 31 er ou s'il n'est pas associé à un indicateur autorisant l'accès au réseau local, le serveur 20 rejette l'accès au réseau local par l'utilisateur Bl. Autrement dit, il transmet au serveur 40 un message M4 à destination du terminal 12_1 rejetant l'accès au réseau LAN_A, ce message étant ensuite relayé par le serveur 40 jusqu'au terminal 12_1.
Le terminal 12_1 extrait du message M4 le mot de passe chiffré. Il déchiffre ce mot de passe, selon des moyens connus de l'homme du métier, en utilisant la clé publique pk_28 et de la clé privée sk_Bl associée à la clé publique pk_Bl (étape E240). Le terminal 12_1 envoie ensuite à la passerelle 13, via son interface WiFi, selon des moyens connus en soi, une requête de connexion comprenant les données de connexion PWD_A et IDLAN_A (étape E250).
Sur réception de cette requête, la passerelle 13 vérifie la cohérence des données de connexion qu'elle contient avec les données de connexion stockées dans la base de configuration, et accepte la connexion du terminal 12_1 au réseau LAN_A le cas échéant (étape E260).

Claims

REVENDICATIONS
1. Procédé de contrôle d'accès à un réseau local (LAN_A) équipé d'un routeur (13) connecté à un réseau de télécommunications externe par l'intermédiaire d'un fournisseur d'accès (ISP_Â), ledit procédé étant mis en uvre par une entité (2,20) du fournisseur d'accès, ledit procédé de contrôle d'accès comprenant :
- une étape de réception (E20) d'un identifiant du réseau local et d'un identifiant (ID_B1) d'un premier terminal (12_1), connecté à un réseau de télécommunications mobile ( N_B) et équipé d'une interface pour communiquer avec ledit routeur;
- une étape de contrôle (E160) visant à vérifier la présence de l'identifiant du premier terminal (ID_B1) dans une liste (31) de terminaux autorisés à accéder au réseau local;
- si l'identifiant du premier terminal (IDJ31) est présent dans ladite liste de terminaux (31), une étape d'envoi (E210), à destination du premier terminal (12_1) via le réseau de télécommunications mobile (MNJ3), de données de connexion à utiliser pour se connecter via ladite interface au routeur (13) ;
- sinon, une étape de rejet de l'accès au réseau local.
2. Procédé de contrôle d'accès selon la revendication 1 dans lequel ladite liste de terminaux est obtenue à partir d'une liste de contacts associée à un second terminal (14) dont un identifiant (ID_A) est enregistré (E50) auprès de ladite entité en association avec un identifiant (IDLAN_A) du réseau local.
3. Procédé de contrôle d'accès selon la revendication 2 dans lequel :
- l'identifiant (ID_A) du second terminal identifie celui-ci sur un réseau de télécommunications mobile (MN_A) ; et
- ladite liste de contacts est stockée dans une entité (30) dudit réseau mobile ( N_A) et interrogée durant l'étape de contrôle (E160) par ladite entité (2,20) du fournisseur d'accès au moyen de l'identifiant (ID_A) du second terminal.
4. Procédé de contrôle d'accès selon la revendication 2 dans lequel :
- l'identifiant du second terminal identifie celui-ci sur un réseau de télécommunications mobile auquel il est connecté ; et
- ladite liste de contacts est stockée dans le second terminal et interrogée (E160) durant l'étape de contrôle par ladite entité du fournisseur d'accès au moyen de l'identifiant (ID_A) du second terminal.
5. Procédé de contrôle d'accès selon la revendication 3 ou 4 dans lequel ladite étape d'envoi (E210) des données de connexion est mise en oeuvre si l'identifiant (ID_B1) du premier terminal est présent dans ladite liste de contacts (31) et s'il est en outre associé à un indicateur autorisant l'accès au réseau local.
6. Procédé de contrôle d'accès selon la revendication 1 dans lequel ;
- l'identifiant (ID_B1) du premier terminal identifie celui-ci sur un réseau de télécommunications mobile (MNJ3) auquel il est connecté ;
- l'identifiant (IDLAN_A) du réseau local et ndentifiant (ID_B1) du premier terminal sont reçus par l'entité (20) du fournisseur d'accès dans un message (Ml) émis par un serveur (40) dudit réseau mobile ; et
- les données de connexion sont envoyées, le cas échéant, par ladite entité du fournisseur d'accès audit serveur (40), pour transmission via ledit réseau mobile (MN_B) audit premier terminal (12_1).
-
7. Procédé de contrôle d'accès selon la revendication 6 dans lequel l'identifiant (IDLAISLA) du réseau local est associé à un identifiant dudit fournisseur d'accès (ISP_A).
8. Procédé de contrôle d'accès selon la revendication 2 dans lequel l'identifiant (IDJ31) du premier terminal (12_1) et l'identifiant (ID_A) du second terminal (14) sont des numéros MSISDN identifiant les premier et second terminaux sur un réseau de télécommunications mobile (MN_B,MN_A).
9. Procédé de contrôle d'accès selon la revendication 1 dans lequel lesdites données de connexion sont chiffrées (E190) avant leur envoi à destination du premier terminal en utilisant une clé de chiffrement publique du premier terminal et une clé de chiffrement privée de l'entité du fournisseur d'accès.
10. Procédé de contrôle d'accès selon la revendication 9 dans lequel :
- la clé de chiffrement publique du premier terminal est transmise (E20) dans un message (Ml) à l'entité du fournisseur d'accès (2) avec l'identifiant du réseau local et l'identifiant du premier terminal ; et
- une clé de chiffrement publique correspondant à la clé de chiffrement privée de l'entité du fournisseur d'accès est envoyée (E210) par l'entité du fournisseur d'accès, à destination du premier terminal, avec les données de connexion.
11. Programme d'ordinateur comportant des instructions pour l'exécution des étapes du procédé de contrôle selon l'une quelconque des revendications 1 à 10 lorsque ledit programme est exécuté par un ordinateur,
12. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé de contrôle selon l'une quelconque des revendications 1 à 10.
13. Entité (2,20) d'un fournisseur d'accès à un réseau de télécommunications externe, adaptée à contrôler l'accès à un réseau local (LAN_A) équipé d'un routeur (13) connecté au réseau de télécommunications externe par l'intermédiaire dudit fournisseur d'accès (ISP_A), ladite entité comprenant ;
- des moyens de réception (26) d'un identifiant du réseau local (IDLAN_A) et d'un identifiant (ID_B1) d'un terminal, connecté à un réseau de télécommunications mobile
(MN_B) et équipé d'une interface pour communiquer avec ledit routeur ;
- des moyens de contrôle (22) aptes à vérifier la présence de l'identifiant du terminal (ID_B1) dans une liste (31) de terminaux autorisés à accéder au réseau local ;
- des moyens d'envoi (22,26) à destination du terminal (12_1) via le réseau de télécommunications mobile ( N_B) de données de connexion à utiliser pour se connecter via ladite interface au routeur, lesdits moyens d'envoi étant destinés à être activés si ledit identifiant du terminal est présent dans ladite liste de terminaux (31)
- des moyens de rejet de l'accès au réseau local, destinés à être activés sinon.
14. Terminal bi-mode (12_1), connecté à un réseau de télécommunications mobile (MNJ3) et équipé d'une interface pour communiquer avec un routeur (13) d'un réseau local permettant d'accéder à un réseau de télécommunications externe, caractérisé en ce qu'il comprend :
- des moyens pour envoyer, à destination d'une entité (2,20) d'un fournisseur d'accès (ISP_A) au réseau de télécommunications externe, via le réseau de télécommunications mobile (MNJ3), un message comprenant son identifiant (ID_B1) sur le réseau de télécommunications mobile et un identifiant (IDLAN_A) du réseau local ; et
- des moyens pour recevoir (E210), en provenance de ladite entité via le réseau de télécommunications mobile (MN_B), des données de connexion à utiliser pour se connecter via ladite interface au routeur (13).
15. Serveur (40) d'un réseau de télécommunications mobile (MN_B) comprenant :
- des moyens de réception d'un message (Ml) émis par un terminal (12_1) via ledit réseau de télécommunications mobile, ledit message comprenant un identifiant
(ID_B1) de ce terminal sur ledit réseau mobile et un identifiant (IDLAN_A) d'un réseau local équipé d'un routeur connecté à un réseau de télécommunications externe ;
- des moyens d'identification, à partir de l'identifiant du réseau local, d'une entité (2,20) d'un fournisseur d'accès conforme à la revendication 13;
- des moyens de transmission à cette entité (2,20) de l'identifiant du réseau local et de l'identifiant du terminal ; et
- des moyens, activés sur réception de données de connexion de l'entité du fournisseur d'accès, pour transmettre ces données audit terminal, via ledit réseau de télécommunications mobile.
16. Système de communications (1) comprenant :
- un terminal bi-mode (12_1) selon la revendication 14, connecté à un réseau de télécommunications mobile et équipé d'une interface lui permettant de communiquer avec un routeur (13) d'un réseau local permettant d'accéder à un réseau de télécommunications externe ;
- un serveur (40) du réseau de télécommunications mobile selon la revendication 15 ; et
- une entité (2,20) d'un fournisseur d'accès au réseau de télécommunications externe adaptée à contrôler l'accès au réseau local selon la revendication 13.
PCT/FR2010/052771 2009-12-18 2010-12-16 Procede de controle d'acces a un reseau local WO2011073584A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0959197 2009-12-18
FR0959197 2009-12-18

Publications (1)

Publication Number Publication Date
WO2011073584A1 true WO2011073584A1 (fr) 2011-06-23

Family

ID=42312960

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2010/052771 WO2011073584A1 (fr) 2009-12-18 2010-12-16 Procede de controle d'acces a un reseau local

Country Status (1)

Country Link
WO (1) WO2011073584A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2985402A1 (fr) * 2011-12-29 2013-07-05 Radiotelephone Sfr Procede de connexion a un reseau local d'un terminal mettant en oeuvre un protocole de type eap et systeme de communication associe
US20220360665A1 (en) * 2019-12-13 2022-11-10 Google Llc Detection of Spoofed Calls Using Call Header

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008141681A1 (fr) * 2007-05-24 2008-11-27 Sony Ericsson Mobile Communications Ab Consultation assistée d'identifiants de contact
WO2009113931A1 (fr) * 2008-03-14 2009-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Méthode et appareil d'accès à distance à un réseau local
US20090285166A1 (en) * 2008-05-13 2009-11-19 At&T Mobility Ii Llc Interactive white list prompting to share content and services associated with a femtocell

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008141681A1 (fr) * 2007-05-24 2008-11-27 Sony Ericsson Mobile Communications Ab Consultation assistée d'identifiants de contact
WO2009113931A1 (fr) * 2008-03-14 2009-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Méthode et appareil d'accès à distance à un réseau local
US20090285166A1 (en) * 2008-05-13 2009-11-19 At&T Mobility Ii Llc Interactive white list prompting to share content and services associated with a femtocell

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2985402A1 (fr) * 2011-12-29 2013-07-05 Radiotelephone Sfr Procede de connexion a un reseau local d'un terminal mettant en oeuvre un protocole de type eap et systeme de communication associe
US20220360665A1 (en) * 2019-12-13 2022-11-10 Google Llc Detection of Spoofed Calls Using Call Header

Similar Documents

Publication Publication Date Title
EP2514167B1 (fr) Procede et dispositif de controle
EP3298812B1 (fr) Chargement de profil d'abonnement dans une carte sim embarquée
FR2889780A1 (fr) Controle d'acces d'un equipement mobile a un reseau de communication ip par modification dynamique des politiques d'acces
EP2873211B1 (fr) Procédé d'enregistrement d'au moins une adresse publique dans un réseau ims et application correspondante
EP2348763B1 (fr) Procédé d'authentification d'un terminal mobile pour accéder à un serveur d'applications
WO2011073584A1 (fr) Procede de controle d'acces a un reseau local
EP2979435B1 (fr) Procédé de traitement de donnés d'utilisateur d'un réseau social
WO2019186006A1 (fr) Procédé de connexion sans fil d'un objet communicant à un réseau de communication local, programme d'ordinateur et équipement d'accès correspondant
EP2868058B1 (fr) Procédé d'émission d'un message par un serveur d'un coeur de réseau ip multimedia ims, et serveur
EP2608591B1 (fr) Auto-configuration d'un terminal mobile pour la connexion à un réseau sans fil sécurisé
EP2255509B1 (fr) Procédé d'accès à un service, dispositif et produit programme d'ordinateur correspondants
FR3030958A1 (fr) Procede et dispositif de communication entre un terminal sip et un serveur web
EP2538646A2 (fr) Serveur d'application apte à contrôler une conférence téléphonique
WO2023083771A1 (fr) Procédés de contrôle, de vérification et de configuration, et entités configurées pour mettre en œuvre ces procédés
EP1867132B1 (fr) Procede et dispositifs de controle de presence d'un terminal sur un point d'acces a un reseau de telephonie
FR2985402A1 (fr) Procede de connexion a un reseau local d'un terminal mettant en oeuvre un protocole de type eap et systeme de communication associe
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
FR3007600A1 (fr) Procede d'authentification d'un utilisateur pour l'acces a un ensemble de services fournis sur un reseau de communication prive
WO2014191669A1 (fr) Gestion d'acces a un reseau radio-cellulaire
WO2018234662A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
WO2017098171A1 (fr) Procede de controle de messages de recommandation dans un reseau de communication
FR2924294A1 (fr) Procede de transmission et systeme de telecommunications
FR2898447A1 (fr) Procede pour l'appairage securise de deux systemes prealablement a leur mise en communication
WO2015086460A1 (fr) Procede de gestion d'un identifiant public, systeme, serveur et element de securite correspondant
FR2937816A1 (fr) Procede et fonctionnement d'identification convergente d'utilisateur de reseau de communication

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10809288

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 10809288

Country of ref document: EP

Kind code of ref document: A1