WO2012001273A1 - Method for the secure allocation, to a private network node, of an ipv6 address - Google Patents

Method for the secure allocation, to a private network node, of an ipv6 address Download PDF

Info

Publication number
WO2012001273A1
WO2012001273A1 PCT/FR2011/051442 FR2011051442W WO2012001273A1 WO 2012001273 A1 WO2012001273 A1 WO 2012001273A1 FR 2011051442 W FR2011051442 W FR 2011051442W WO 2012001273 A1 WO2012001273 A1 WO 2012001273A1
Authority
WO
WIPO (PCT)
Prior art keywords
router
prefix
network
public key
certificate
Prior art date
Application number
PCT/FR2011/051442
Other languages
French (fr)
Inventor
Jean-Michel Combes
Daniel Migault
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2012001273A1 publication Critical patent/WO2012001273A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5092Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Definitions

  • the invention relates to a technique for securely allocating IPv6 addresses in a private network, and more specifically a technique for securely allocating network prefixes.
  • IPv6 is a new version of the network protocol of the Internet.
  • One of the features of IPv6 is to offer 128-bit addressing, instead of the 32-bit IP version 4 protocol.
  • IPv6 addresses have a specific structure. Any IPv6 address includes first and second 64-bit portions. The first part, called the network prefix, is used for routing in the network. The second part corresponds to an interface identifier.
  • IPv6 provides an auto-configuration procedure that allows a node in a network, public or private, to generate its own address, which avoids a manual address entry procedure at the node level, or a procedure configuration via a server type "DHCP" (Dynamic Host Configuration Protocol) adapted to automatically assign an address to a node with a suitable initial setting.
  • DHCP Dynamic Host Configuration Protocol
  • a router adapted to ensure the routing of packets in a network sends regularly, or on demand, on a network link on which it is located announcements marked "RA" for "Router Advertisement” set by a prefix corresponding to the network prefix associated with the router.
  • the router prefix obtained by the node it can generate its own IPv6 address by concatenating the prefix announced by the router to an interface identifier of its own, and which includes for example a hash of his own address MAC.
  • Securing this self-configuration mechanism in a public network is provided to prevent a malicious router from performing denial of service attacks on nodes of the link.
  • the malicious router may for example send in a RA announcement message a valid prefix, associated with a legitimate router, specifying that the validity period of this prefix is equal to 0. In d ' other words, this message indicates that the announced network prefix is no longer valid.
  • the node is unable to use its IP address.
  • the malicious router may also send an erroneous prefix, which causes the node to generate an erroneous address.
  • the mechanism for securing self-configuration in a public network and being standardized to "IETF"("Internet Engineering Task Force”) is based on the use of a mechanism called “SEND”("SecureNeighbor") Discovery "), described in RFC 3971.
  • the security mechanism is based on the use of X.509 certificates and is based on a" Resource Public Key Infrastructure "(" RPKI ”) type infrastructure.
  • the RPKI conforms to the IPv6 address management infrastructure, in this case "IANA"("Internet Assigned Number Authority”) which is the organization in charge of space management Internet IP addressing and other shared numbering resources required in IP networks.
  • the certificate is used to certify that the certificate holder, in this case the router that advertises a prefix is a router, and that it is authorized to advertise this prefix.
  • This mechanism is intended to certify a router public key in a public network to secure the announcement of a prefix in the public network.
  • it is unsuitable for announcing a prefix in a private network and therefore does not allow nodes of the private network to generate their IPv6 address.
  • An administrator of the private network for example an Internet Service Provider, then masters the addresses between these two values and allocates them for the clients of his network according to a policy that is specific to him.
  • two different administrators for example two Internet Service Providers who manage two respective private networks and who administer a respective router can independently choose the same network prefix for the respective routers of their respective private network.
  • this same router prefix in the two private networks it may be that a node of the first network and a node of the second network generate the same IPv6 address.
  • This is not problematic in terms of collision since the addresses of the nodes of each of the networks are not routed in the global Internet.
  • a Certification Authority such as IANA or RIPE, can not allocate and sign certificates to different entities, in this case the respective routers of the two networks, because there is a risk of having several identical addresses in administratively disjoint networks.
  • the invention overcomes the problem mentioned above by proposing a method for securely allocating a network prefix in a private network, the network comprising at least one router and at least one network node, the method comprising a sending step by the router to the network node of a prefix advertisement message, said message comprising:
  • Signed information comprising at least one network prefix generated by the router, the information being signed by means of a private key (K priv ) specific to the router and associated with the certified public key.
  • the method of the invention thus makes it possible to secure self-configuration of nodes in a private network, which was not possible until now.
  • a router transmits on a link of this network a network prefix announcement message to be used, as well as information that makes it possible to verify that the router that advertises the prefix is a router, and that it is authorized to announce this prefix.
  • the announcement message includes, in addition to the prefix generated by the router, all the data that make it possible to recalculate the prefix and thus to verify that the received prefix is the one expected.
  • these data are certified: the public key used in the calculation of the prefix is certified by the digital certificate that is transmitted, and the information that includes at least the prefix is signed.
  • the authenticity of the information and the public key are guaranteed and verifiable.
  • a malicious router to perpetrate a denial of service attack on private network nodes by sending a prefix advertisement message that includes the valid router prefix and a parameter that specifies the duration of the attack. life of this prefix a null value. Indeed, only the valid router is able to sign the information by means of the secret key associated with the public key certified by the transmitted certificate.
  • the allocation method comprises:
  • a step of forming the network prefix by concatenating a predefined value specific to a private network and a plurality of bits extracted from the calculated hash.
  • the invention makes it possible to complete a prefix to 64 bits in such a way that a node that receives this prefix in an announcement message can verify that the prefix is well advertised by a router and that the router is authorized to announce this prefix. Indeed, the verification is done on the last 56 bits of the prefix, the first 8 bits being composed of predefined values fixed for a private network.
  • the allocation method further comprises: a step of generation by the router of the digital certificate of the public key, and of signature of the certificate by the router by means of the private key.
  • a certificate specific to the router is generated by the router and signed by the router. It is therefore a self-signed certificate valid inside the private network to secure self-configuration of IPv6 addresses by nodes located within the private network. Specifically, the nodes for which auto-configuration is secure, are located on the same network link as the router and can generate an IPv6 address from the prefix announced by the router.
  • the invention makes it possible to set up networks with private addressing in a relatively simple manner. This aspect is interesting for corporate networks, or ad-hoc networks.
  • the allocation method also comprises a step of generation by the router of a pair of keys comprising the private key and the associated public key.
  • the invention also relates to a method for generating an IPv6 address by a node in a private network, the network comprising at least one router, the method comprising:
  • a step of receiving from the router a prefix advertisement message comprising a digital certificate of a public key and of the holder of the router, and information signed by means of a private key specific to the router and associated with the certified public key, the information comprising at least one prefix generated by the router,
  • a node on a network link that receives the Router Prefix Announcement RA message may from this message verify that the received prefix is valid by recalculating the same prefix from the received parameters and the certificate. It can also verify that the router is authorized to issue this prefix, by verifying the signature of the information received.
  • the step of verifying the signature of the method for generating an IPv6 address is performed only if the prefix received from the router is equal to the second calculated prefix.
  • the signature verification operation being expensive in terms of computing resources for the network node, the latter performs the signature verification only if the received prefix actually corresponds to the prefix calculated from the parameters and the certificate. transmitted.
  • the method for generating an IPv6 address further comprises a step of concatenating the received prefix with an interface identifier specific to the node.
  • the network node that receives and verifies a prefix according to the method of the invention can forge its own IPv6 address from an interface identifier of its own with the guarantee that its address is authentic.
  • the invention also relates to a public key X.509v3 digital certificate for the router, comprising an "ExtendedKeyUsage" field adapted to indicate a usage associated with the public key, characterized in that the field comprises a value indicating that the public key is intended to be used to implement the method of securely allocating a network prefix according to the invention.
  • the invention also relates to a router in a private network comprising at least one network node, the router comprising:
  • sending means arranged to send to the network node a prefix advertisement message comprising a digital certificate of a public key whose owner is the router, as well as signed information including at least one generated network prefix by the router, the information being signed by means of a private key specific to the router and associated with the certified public key.
  • the router further comprises:
  • computing means arranged to calculate a hash of a data item comprising the certified public key
  • means for forming a prefix arranged to form a network prefix associated with the router by concatenating a predefined value specific to a private network and a plurality of bits extracted from the calculated hash,
  • means for generating and signing a certificate arranged to generate and sign the private key certificate using the private key.
  • the invention also relates to a node in an IPv6 private network comprising at least one router, the node comprising:
  • reception means arranged to receive from the router a prefix advertisement message comprising a digital certificate of a public key and of the owner of the router, and information signed by means of a private key specific to the router and associated with the certified public key, the information comprising at least one prefix generated by the router,
  • calculating means arranged to calculate a second prefix from the public key of the certificate
  • comparison means arranged to compare the announced prefix and the second prefix
  • Signature verification means arranged to verify the signature of the signed information by means of the public key certified by the certificate.
  • the invention also relates to an IPv6 private network comprising:
  • At least one router according to the invention at least one router according to the invention, and at least one node according to the invention.
  • Such a network is for example a private enterprise network, or an ad-hoc network.
  • the entities of these networks in this case routers and network nodes according to the invention can set up their private addressing plan easily and securely.
  • the invention also relates to a computer program intended to be installed in a memory of a router, comprising instructions for implementing the steps of the method for securely allocating a network prefix according to the invention, when the program is executed by a processor.
  • the invention also relates to a computer program for installation in a memory of a network node, comprising instructions for implementing the steps of the method for generating an IPv6 address according to the invention when the program is executed. by a processor.
  • FIG. 1 represents the steps of the method of securely allocating an IPv6 address to a node in a private network, according to a first embodiment of the invention
  • FIG. 2 represents a first exemplary embodiment of a router according to the invention
  • FIG. 3 represents an exemplary embodiment of a network node according to the invention.
  • An N node in a private network (not shown) is adapted to generate an IPv6 compliant address according to an auto-configuration mechanism.
  • the private network also comprises an RT router located on the same network link as the N node. It is known that according to the IPv6 protocol, a 128-bit IP address comprises in a first part of 64 bits a network prefix, and in a second part of 64 bits an interface identifier. It is also known that entities of a private network, such as the node N and the router RT, have a network prefix which starts with a predefined value of 8 bits, including a field called "Prefix" of 7 bits and a field named "L" of 1 bit.
  • the "Prefix” field has the value "FC00:: / 7" and the “L” field is "1", in accordance with RFC 4193. These 8 bits are reserved to prefix any address in a private network. Such addresses are referred to as local addresses and are not intended to be routed in the global Internet.
  • the router RT In an initial step 10, the router RT generates a pair of private / public keys in accordance with an asymmetric cryptographic algorithm, for example "RSA" (named after their authors “Rivest, Shamir and Adleman”). Note this pair of keys (K pr , K pub ). In another embodiment, it is assigned such a pair in a secure manner by an entity adapted to generate and deliver key pairs.
  • RSA asymmetric cryptographic algorithm
  • the router RT concatenates the value of the public key Kpub with a set of parameters chosen by the router for the current generation of network prefix. Examples of parameters are the generation date of the prefix, a random (or "nonce"), the "MAC" address of the router RT (of "Media Access Control”), an interface identifier of the router RT .
  • the parameters concatenated to the public key are intended to prevent the new prefix generated from being identical to the prefix previously generated when the router generates a new prefix generation from the same private / public key pair.
  • the parameters participate in the manufacture of the network prefix.
  • the data created in step 11 is the result of the concatenation of the public key with all the parameters.
  • the router RT proceeds to hash the data obtained in the previous step. It uses for example the function "SHA-1" ("Secure Hash Algorithm") which provides a 160-bit print.
  • SHA-1 Secure Hash Algorithm
  • the router RT applies a function F to the hash obtained previously in order to obtain 56 bits.
  • the function F can take many forms. For example, it may consist in extracting from the hashed the 56 most significant bits, or the 56 least significant bits, or the first 56 even bits, or the first 56 odd bits.
  • the function F is of course not limited to these examples.
  • a step 14 for obtaining a prefix the router RT concatenates the first 8 bits of the reserved predefined value to designate that an IPv6 address corresponds to an address in a private network, with 56 bits obtained during the previous step.
  • the resulting 64-bit data sets the RT router prefix in the private network.
  • the prefix obtained at the end of this step 14 is denoted PFX.
  • the PFX prefix obtained is the concatenation of the 7 bits of the "Prefix" field of value "FC00 :: / 7", with the bit “L” of value "1" and with the 56 bits obtained during step 13.
  • the router RT In a step 15 for generating and signing a certificate, the router RT generates a certificate, here in X.509 version 3 format, adapted to certify the public key K pub of the router RT.
  • the X.509v3 certificate is a data structure with several fields, including:
  • the certificate holder is the router RT designated by its IP address, and the certification authority that certifies the public key is the router RT.
  • the certificate generated by the router RT is called self-signed certificate since it is the router RT, holder of the certificate, which certifies the authenticity of the public key by signing all the fields of the certificate by means of the private key K priv associated with the public key K pub which appears in the certificate.
  • the router RT sends on the network link a message RA announcing the prefix PFX generated in the previous steps.
  • the RA message includes information signed by the router RT by means of the private key K priv , and the certificate generated and self-signed by the router RT in step 15.
  • the information includes the prefix PFX obtained in step 14, the set of parameters chosen by the router during the step 11 of creating data for the generation of a prefix, and a lifetime indicating how long the IPv6 addresses created from the prefix PFX are valid. Lifetime is a parameter usually sent in an RA announcement message. Note that the public key certified by the certificate and all the parameters that are transmitted in the announcement message can recalculate the prefix PFX.
  • the prefix announcement RA message is sent by the router RT on the network link on which it is located at regular intervals. In another exemplary embodiment (not shown), the announcement message RA is sent following a solicitation of the node N.
  • the node N receives the announcement message RA.
  • a step 18 of calculating a second prefix PFX ' the node N calculates a second prefix from the received announcement message.
  • the node N extracts from the certificate received in the RA message the public key K pub certified. It also extracts from the information received in the announcement message RA all the parameters which, concatenated with the public key K pub in step 11, made it possible to obtain the data used to generate the prefix.
  • the node N applies a hash function to the data obtained in the preceding sub-step 18-1.
  • the hash function is the same function used by the router RT during step 12 of hashing, SHA-1 in the example described here.
  • the node N extracts 56 bits of the hash calculated in the substep 18-2.
  • the bits are extracted in the same way as by the router RT in step 13: by applying the same function F to the hash calculated in the substep 18-2.
  • the node N concatenates the 8 bits of the reserved predefined value to designate that an IPv6 address corresponds to an address in a private network with 56 bits obtained during of sub-step 18-3.
  • Node N has constructed a second 64-bit prefix PFX '.
  • the node N compares the PFX prefix received from the router RT in the announcement message RA during the step 17 to the second prefix PFX 'calculated by the node N during the step 18.
  • step 19 If the prefixes compared to step 19 are equal, then in a next signature verification step, node N verifies the signature of the information received in the announcement message RA. This verification is carried out using the public key K pub extracted from the certificate. Signature verification is performed only if the prefixes are identical. Indeed, this check is expensive in terms of computing resources and is useless if the prefixes are not identical. In this case, it means that the PFX prefix received from the router RT has not been calculated from the certified public key extracted from the received certificate and from the set of received parameters.
  • step 20 If the signature check performed in step 20 is positive, then it means that the RT router that sent the RA announcement message is legitimate to advertise the PFX prefix since it has the secret key that was used to sign the information received.
  • the node N In a subsequent step 21 of forming an IPv6 address, the node N generates its own IPv6 address in the private network by concatenating the PFX prefix received from the router RT with its own interface identifier IID. It obtains this interface identifier for example from a hash of its MAC address.
  • Steps 11 to 15 are performed by the router RT whenever the prefix thereof is to be renewed. Such a procedure is rare and is initiated by a network administrator. In an alternative embodiment of prefix renewal, step 10 is also executed.
  • no parameter is concatenated to the public key K pub during the step 11 of creating data for the generation of data.
  • a prefix only the public key of the router is used for the generation of the prefix.
  • the router uses a new pair of private / public keys during a generation of a new prefix. Indeed, in this case, the new prefix generated is necessarily different from the previous prefix, since the public key used as a parameter of the hash function is different.
  • the invention is not limited to the hash function SHA-1 for the calculation of the hash by the router RT during the step 12, and by the node N during the substep 18-2.
  • Other hash functions can be used, such as MD-5 ("Message Digest") that generates a 128-bit print, or SHA-256 that generates a 256-bit print. It is necessary, however, that the router RT and the node N use the same hash function.
  • an X.509 certificate is used. Some fields of an X.509 certificate have been presented above.
  • RFC 2459 provides a detailed description of X.509 certificates and RFC 3779 has extensions used for IP addresses and appeared in version 3 of X.509.
  • An X.509 certificate is a data structure that includes a plurality of fields. In particular, the certificate includes:
  • v3 is the version adapted for the invention
  • the identity of the Certificate Authority issuing the certificate, in this case the RT router, designated by its IP address,
  • the RT router designated by its IP address
  • a first field characterizes the use that can be made of the public key.
  • the certified public key and therefore the associated private key
  • a second field, called “ExtendedKeyUsage” is adapted to indicate one or more uses of the public key certified additionally, or to replace the use specified in the previous field.
  • Such a field can be specified according to the needs of an organization.
  • this field is adapted to specify, in the context of the invention, that the certified public key can be used to generate a network prefix.
  • an extension defined in RFC 3779 introduces a field that binds an IP address, such as a prefix, to a certificate holder.
  • This field designated “addressesOrRange” is used in the invention to link the generated prefix to the router RT.
  • An RT router provides a basic function of a router: the routing of packets. As a router, it allows nodes that are on the same network link as it to access other nodes of the same link or another link of the same network. It also allows these nodes to access one or more other networks. For packet routing to be possible, the RT router advertises a network prefix on the network link on which it is located, so that nodes located on this link generate a network address of their own which associates them, for routing, with the router RT. The router announces the prefix regularly or on solicitation of a node.
  • the RT network includes:
  • microprocessor 201 or "CPU” (of the "Central Processing Unit") which is a processing unit;
  • a RAM 202 which makes it possible to perform calculations such as, for example, calculating a hash, a signature, generating a certificate, and signing it.
  • the memory also makes it possible to load software instructions corresponding to the steps of the method for securely allocating a network prefix in a private network described above, and to have them executed by the processor 201;
  • a storage memory 203 for example a memory of the "ROM" type (from the English
  • Read Only Memory adapted to store for example a self-signed certificate generated by the router and whose owner is the router RT, a private key / public key pair.
  • the memory may contain a secure area adapted to securely store the secret key of the router;
  • network interfaces 204 adapted to allow entities such as nodes of the private network, or another router of the private network, or routers of another network to communicate with the router RT.
  • entities such as nodes of the private network, or another router of the private network, or routers of another network to communicate with the router RT.
  • they allow the router RT to access one or more networks, for example the Internet, and thus provide access to the network to the nodes of the private network that rely on it to route their packets;
  • the means 205 implement step 10 of the secure allocation method described above;
  • the generation means 206 for generating a certificate, for example an X.509v3 certificate adapted to certify the public key of the private key / public key pair generated by the means 205.
  • These generation means 206 are arranged to complete fields of an X.509v3 certificate. For example, these means fill the fields holder and signer of the certificate with the IP address of the router. It is indeed for the router RT that the certificate is generated and it is the router RT which signs the certificate as Certification Authority.
  • the generation means 206 also specify in an X.509v3 extension called "addressesOrRange" the network prefix generated by the router; this extension is intended to bind the network prefix to the certificate holder.
  • These means 206 also specify in an "ExtendedKeyUsage” field a value indicating that the secure allocation method of a network prefix according to the invention is implemented. This field is intended to specify a use of the certified public key. ;
  • signature means 207 arranged to sign the certificate generated by the means 206 by means of the private key of the private key / public key pair.
  • the means 206 of generation and the signature means 207 implement step 15 of the allocation method previously described;
  • calculation means 208 arranged to calculate a hash of a data item comprising the public key associated with the private key specific to the router.
  • These calculation means 208 comprise a hash function, for example SHA-1.
  • the calculation means 208 implement the concatenation step 12 and the hash step 12 of the previously described allocation method;
  • means 209 for forming a network prefix arranged to concatenate a predefined value specific to a private network and a plurality of bits extracted from the hash calculated by the calculation means 208.
  • the sending means 210 for sending an announcement message, arranged to send to the network node or nodes located on the same network link as the router a prefix announcement message comprising the digital certificate associated with the public key, and signed information including at least the prefix formed by the router, the information being signed by means of the private key.
  • the sending means 210 cooperate with the network interfaces 204 to send the announcement message on the network link.
  • the sending means 210 implement the step 16 of sending the allocation method described above.
  • the means 206 of generating an X.509v3 certificate, the means 207 for signing, the means 208 for calculating the hash, the means 209 for forming a network prefix and the means 210 for sending an announcement message are preferably software modules comprising software instructions for executing the steps of the method of securely allocating a previously described network prefix, implemented by the processor of a router.
  • the invention therefore also relates to:
  • a computer program comprising instructions for implementing the method of securely allocating a network prefix as described above when this program is executed by a processor;
  • the software modules can be stored in, or transmitted by, a data carrier.
  • This may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmission medium such as a signal or a telecommunications network.
  • a network node N according to an exemplary embodiment of the invention will now be described in relation to FIG.
  • Such a node may be any computer machine such as a user terminal, or a server, used in a private network.
  • Such a node is able to communicate with other entities, such as the router RT or another node of the private network. It is also able to communicate with entities of another network, via the Internet.
  • the packets that it sends or receives are routed by the RT router.
  • Node N comprises:
  • microprocessor 301 or "CPU” (of the "Central Processing Unit") which is a processing unit;
  • a RAM 302 which makes it possible to perform calculations such as, for example, calculating hashes, checking signatures, making comparisons, concatenations.
  • the memory also makes it possible to load software instructions corresponding to the steps of the method for generating an IPv6 address in a private network described above, and to have them executed by the processor 301;
  • a storage memory 303 for example a ROM memory, adapted to store, for example, the network prefix, the certificate received from a router, the public key;
  • network interfaces 304 adapted to allow other entities of the private network, for example the router RT (not shown) to communicate with the node N and the node N to communicate with these other entities. They also allow access to the entities of another network via the Internet, through the router RT which is responsible for routing packets to and from the N node;
  • receiving means 305 arranged to receive from a router located on the same network link a prefix announcement RA message comprising a digital certificate, adapted to certify a public key associated with a private key specific to this router , and signed information, the information including at least one prefix generated by the router.
  • the receiving means 305 cooperate with the network interfaces 304.
  • the receiving means 305 implement step 17 of the method for generating an IPv6 address, described above;
  • the means 306 for calculating, arranged to calculate a second prefix PFX 'from the public key certified by the certificate and received by the receiving means 305.
  • the calculation means 306 implement step 18 of calculating a second prefix of the method for generating a second prefix described above. More specifically, the calculation means 306 implement substeps 18-1 for concatenation, 18-2 for calculating a hash, 18-3 for extracting and 18-4 for obtaining a prefix;
  • the comparison means 307 for comparison, arranged to compare the announced prefix received in the announcement message by the reception means 305 and the second prefix calculated by the calculation means 306.
  • the comparison means 307 implement step 19 of comparing the method for forging an IPv6 address, described above;
  • Signature verification means 308 arranged to verify the signature of the signed information received in the announcement message by the receiving means 305.
  • the verification means 308 use the public key certified by the certificate.
  • the signature verification means 308 implements the process verification step for forging an IPv6 address, described above;
  • the node N also comprises concatenation means 309, arranged to concatenate a prefix generated by the router and received by the reception means 305 with an interface identifier specific to the node.
  • the concatenation means 309 comprise means for calculating the interface identifier, obtained for example by applying a hash function to the MAC address of the node N.
  • the concatenation means 309 implement the training step 21 an IPv6 address of the method for forging an IPv6 address, described above.
  • the network interfaces 304, the reception means 305, the calculation means 306, the comparison means 307, the signature verification means 308 and the concatenation means 309 for forming an IPv6 address are preferably software modules comprising instructions. software for performing the steps of the method for forging an IPv6 address previously described, implemented by the processor of a network node.
  • the invention therefore also relates to:
  • the software modules can be stored in, or transmitted by, a data carrier.
  • a data carrier This may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmission medium such as a signal or a telecommunications network.
  • the invention also relates to a private network comprising at least one router according to the invention and at least one network node according to the invention.
  • the network node is located on the same network link as the router.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a method for the secure allocation of a network label (PFX) in a private network, the network including at least one router (RT) and at least one network node (N), the method including a step (16) of the router sending a label announcement message (RA) to the network node, said message including: a digital certificate for a public key (Kpub), the owner of which is the router; signed information including at least one network label generated by the router, the information being signed using a private key (Kpriv) specific to the router and associated with the certified public key.

Description

Procédé d'allocation sécurisée d'une adresse IPv6 à un nœud d'un réseau privé  Method for securely allocating an IPv6 address to a node of a private network
L'invention concerne une technique d'allocation sécurisée d'adresses IPv6 dans un réseau privé, et plus précisément une technique d'allocation sécurisée de préfixes réseau. The invention relates to a technique for securely allocating IPv6 addresses in a private network, and more specifically a technique for securely allocating network prefixes.
IPv6 est une nouvelle version du protocole réseau de l'Internet. Une des caractéristiques d'IPvô est d'offrir un adressage sur 128 bits, au lieu des 32 bits dans la version 4 du protocole réseau IP. Les adresses IPv6 ont une structure déterminée. Toute adresse IPv6 comprend une première et une deuxième parties de 64 bits. La première partie, appelée préfixe réseau, est utilisée pour le routage dans le réseau. La deuxième partie correspond à un identifiant d'interface.  IPv6 is a new version of the network protocol of the Internet. One of the features of IPv6 is to offer 128-bit addressing, instead of the 32-bit IP version 4 protocol. IPv6 addresses have a specific structure. Any IPv6 address includes first and second 64-bit portions. The first part, called the network prefix, is used for routing in the network. The second part corresponds to an interface identifier.
Le protocole IPv6 offre une procédure d'auto-configuration qui permet à un nœud d'un réseau, public ou privé, de générer sa propre adresse, ce qui évite une procédure de saisie manuelle d'adresse au niveau du nœud, ou une procédure de configuration via un serveur de type « DHCP » (de l'anglais « Dynamic Host Configuration Protocol ») adapté pour attribuer une adresse à un nœud de manière automatique moyennant un paramétrage initial adapté. De telles procédures, pour un particulier qui supervise un sous-réseau, par exemple un réseau privé tel qu'un réseau domestique, peuvent être fastidieuses, voire compliquées.  IPv6 provides an auto-configuration procedure that allows a node in a network, public or private, to generate its own address, which avoids a manual address entry procedure at the node level, or a procedure configuration via a server type "DHCP" (Dynamic Host Configuration Protocol) adapted to automatically assign an address to a node with a suitable initial setting. Such procedures, for an individual who supervises a subnetwork, for example a private network such as a home network, can be tedious or complicated.
Ainsi, avec la procédure d'auto-configuration, un routeur adapté pour assurer le routage des paquets dans un réseau envoie régulièrement, ou à la demande, sur un lien réseau sur lequel il se situe des messages d' annonce notés « RA » pour « Router Advertisement » paramétrés par un préfixe correspondant au préfixe réseau associé au routeur. Une fois le préfixe du routeur obtenu par le nœud, celui-ci peut générer sa propre adresse IPv6 en concaténant le préfixe annoncé par le routeur à un identifiant d'interface qui lui est propre, et qui comprend par exemple un haché de sa propre adresse MAC.  Thus, with the auto-configuration procedure, a router adapted to ensure the routing of packets in a network sends regularly, or on demand, on a network link on which it is located announcements marked "RA" for "Router Advertisement" set by a prefix corresponding to the network prefix associated with the router. Once the router prefix obtained by the node, it can generate its own IPv6 address by concatenating the prefix announced by the router to an interface identifier of its own, and which includes for example a hash of his own address MAC.
Une sécurisation de ce mécanisme d'auto-configuration dans un réseau public est prévue afin d'éviter qu'un routeur malveillant ne perpètre des attaques par déni de service sur des nœuds du lien. Au cours d'une telle attaque, le routeur malveillant peut par exemple envoyer dans un message d'annonce RA un préfixe valide, associé à un routeur légitime, en précisant que le durée de validité de ce préfixe est égale à 0. En d'autres termes, ce message indique que le préfixe réseau annoncé n'est plus valable. Le nœud est alors incapable d'utiliser son adresse IP. Le routeur malveillant peut également envoyer un préfixe erroné, ce qui conduit le nœud à générer une adresse erronée. Le mécanisme de sécurisation de auto-configuration dans un réseau public et en cours de standardisation à « IETF » (« Internet Engineering Task Force ») repose sur l'utilisation d'un mécanisme appelé « SEND » (de l'anglais « Secure Neighbor Discovery »), décrit dans la RFC 3971. Le mécanisme de sécurisation est basé sur l'utilisation de certificats X.509 et repose sur une infrastructure de type « RPKI » (pour « Resource Public Key Infrastructure »). La RPKI est conforme à l'infrastructure de gestion des adresses IPv6, en l'espèce « IANA » (« Internet Assigned Number Authority ») qui est l'organisation en charge de la gestion de l'espace d'adressage IP de l'internet et autres ressources partagées de numérotation requises dans les réseaux IP. Securing this self-configuration mechanism in a public network is provided to prevent a malicious router from performing denial of service attacks on nodes of the link. During such an attack, the malicious router may for example send in a RA announcement message a valid prefix, associated with a legitimate router, specifying that the validity period of this prefix is equal to 0. In d ' other words, this message indicates that the announced network prefix is no longer valid. The node is unable to use its IP address. The malicious router may also send an erroneous prefix, which causes the node to generate an erroneous address. The mechanism for securing self-configuration in a public network and being standardized to "IETF"("Internet Engineering Task Force") is based on the use of a mechanism called "SEND"("SecureNeighbor") Discovery "), described in RFC 3971. The security mechanism is based on the use of X.509 certificates and is based on a" Resource Public Key Infrastructure "(" RPKI ") type infrastructure. The RPKI conforms to the IPv6 address management infrastructure, in this case "IANA"("Internet Assigned Number Authority") which is the organization in charge of space management Internet IP addressing and other shared numbering resources required in IP networks.
Avec cette RPKI, un couple de clés privée/publique et un certificat X.509v3 sont attribués à un routeur par une Autorité de Certification reconnue par ΙΑΝΑ, en Europe il s'agit de « RIPE » (pour « Réseaux IP Européens »). Le certificat certifie la clé publique associée à la clé privée. Un préfixe de routeur qui est ensuite distribué dans un message d'annonce RA est signé par le routeur au moyen de sa clé privée. Ainsi, un nœud qui reçoit un message d'annonce RA vérifie que l'adresse IPv6 du routeur est valide. A cette fin :  With this RPKI, a pair of private / public keys and an X.509v3 certificate are assigned to a router by a Certification Authority recognized by ΙΑΝΑ, in Europe it is "RIPE" (for "European IP Networks"). The certificate certifies the public key associated with the private key. A router prefix which is then distributed in an advertisement message RA is signed by the router by means of its private key. Thus, a node that receives an RA announcement message verifies that the router's IPv6 address is valid. To this end :
il vérifie la signature reçue au moyen de la clé publique associée au routeur et présente dans le certificat ;  it verifies the signature received by means of the public key associated with the router and present in the certificate;
puis, il vérifie que le routeur a bien le droit d'annoncer le préfixe qu'il annonce par vérification du certificat.  then, it checks that the router has the right to announce the prefix it announces by checking the certificate.
Le certificat est utilisé afin de certifier que le titulaire du certificat, en l'espèce le routeur qui annonce un préfixe est bien un routeur, et qu'il est bien autorisé à annoncer ce préfixe.  The certificate is used to certify that the certificate holder, in this case the router that advertises a prefix is a router, and that it is authorized to advertise this prefix.
Ce mécanisme est prévu pour certifier une clé publique de routeur dans un réseau public afin de sécuriser l'annonce d'un préfixe dans le réseau public. Par contre, il est inadapté pour annoncer un préfixe dans un réseau privé et ne permet donc pas à des nœuds du réseau privé de générer leur adresse IPv6. En effet, il est connu que dans le cas d'un réseau privé, il est dédié une plage d'adresses, comprise entre une première valeur et une deuxième valeur. Un administrateur du réseau privé, par exemple un Fournisseur d'Accès Internet maîtrise alors les adresses comprises entre ces deux valeurs et les alloue pour les clients de son réseau selon une politique qui lui est propre.  This mechanism is intended to certify a router public key in a public network to secure the announcement of a prefix in the public network. On the other hand, it is unsuitable for announcing a prefix in a private network and therefore does not allow nodes of the private network to generate their IPv6 address. Indeed, it is known that in the case of a private network, there is dedicated a range of addresses between a first value and a second value. An administrator of the private network, for example an Internet Service Provider, then masters the addresses between these two values and allocates them for the clients of his network according to a policy that is specific to him.
Ainsi, deux administrateurs différents, par exemple deux Fournisseurs d'Accès Internet qui gèrent deux réseaux privés respectifs et qui administrent un routeur respectif peuvent choisir indépendamment l'un de l'autre un même préfixe réseau pour les routeurs respectifs de leur réseau privé respectif. Ainsi, il se peut qu'ensuite, à partir de ce préfixe de routeur identique dans les deux réseaux privés, un nœud du premier réseau et un nœud du deuxième réseau génèrent la même adresse IPv6. Ce n'est pas problématique en termes de collision puisque les adresses des nœuds de chacun des réseaux ne sont pas routées dans l'Internet global. Cependant, il apparaît avec évidence que le mécanisme de sécurisation tel que décrit précédemment ne peut être mis en œuvre. En effet, une Autorité de Certification telle que IANA ou RIPE, ne peut allouer et signer des certificats à des entités différentes, en l'espèce les routeurs respectifs des deux réseaux, car il y a un risque d'avoir plusieurs adresses identiques dans des réseaux administrativement disjoints.  Thus, two different administrators, for example two Internet Service Providers who manage two respective private networks and who administer a respective router can independently choose the same network prefix for the respective routers of their respective private network. Thus, from this same router prefix in the two private networks, it may be that a node of the first network and a node of the second network generate the same IPv6 address. This is not problematic in terms of collision since the addresses of the nodes of each of the networks are not routed in the global Internet. However, it is clear that the security mechanism as described above can not be implemented. Indeed, a Certification Authority such as IANA or RIPE, can not allocate and sign certificates to different entities, in this case the respective routers of the two networks, because there is a risk of having several identical addresses in administratively disjoint networks.
Ainsi, il n'est pas possible, dans un réseau privé de certifier les préfixes de routeur de la même façon qu'en adressage public, c'est-à-dire au moyen d'un certificat alloué par une Autorité de Certification reconnue. Il n'est donc pas possible de sécuriser l'adressage dans un réseau privé IPv6. Ainsi il devient possible pour un routeur malveillant de perpétrer des attaques de déni de service sur des nœuds dans un réseau privé. Thus, it is not possible in a private network to certify router prefixes in the same way as in public addressing, that is to say by means of a certificate allocated by a recognized certification authority. It is therefore not possible to secure addressing in a private network IPv6. Thus it becomes possible for a malicious router to perpetrate denial of service attacks on nodes in a private network.
L'invention remédie au problème évoqué ci-dessus en proposant un procédé d'allocation sécurisée d'un préfixe réseau dans un réseau privé, le réseau comprenant au moins un routeur et au moins un nœud réseau, le procédé comprenant une étape d'envoi par le routeur vers le nœud réseau d'un message d'annonce de préfixe, ledit message comprenant : The invention overcomes the problem mentioned above by proposing a method for securely allocating a network prefix in a private network, the network comprising at least one router and at least one network node, the method comprising a sending step by the router to the network node of a prefix advertisement message, said message comprising:
- un certificat numérique d'une clé publique (Kpub) dont le titulaire est le routeur, a digital certificate of a public key (K pub ) whose owner is the router,
- une information signée comprenant au moins un préfixe réseau généré par le routeur, l'information étant signée au moyen d'une clé privée (Kpriv) propre au routeur et associée à la clé publique certifiée. - Signed information comprising at least one network prefix generated by the router, the information being signed by means of a private key (K priv ) specific to the router and associated with the certified public key.
Le procédé de l'invention permet ainsi de sécuriser auto-configuration de nœuds dans un réseau privé, ce qui n'était pas possible jusqu'à présent. En effet, un routeur transmet sur un lien de ce réseau un message d'annonce du préfixe réseau à utiliser, ainsi que des informations qui permettent de vérifier que le routeur qui annonce le préfixe est bien un routeur, et qu'il est bien autorisé à annoncer ce préfixe. Cette vérification est possible car le message d'annonce comprend, outre le préfixe généré par le routeur, toutes les données qui permettent de recalculer le préfixe et donc de vérifier que le préfixe reçu est bien celui attendu. D'autre part, ces données sont certifiées : la clé publique utilisée dans le calcul du préfixe est certifiée par le certificat numérique qui est transmis, et l'information qui comprend au moins le préfixe est signée. Ainsi, l'authenticité de l'information et de la clé publique sont garanties et vérifiables. Ainsi, il n'est pas possible pour un routeur malveillant de perpétrer une attaque par déni de service sur des nœuds du réseau privé en envoyant un message d'annonce de préfixe qui comprend le préfixe du routeur valide et un paramètre qui précise comme durée de vie de ce préfixe une valeur nulle. En effet, seul le routeur valide est apte à signer l'information au moyen de la clé secrète associée à la clé publique certifiée par le certificat transmis.  The method of the invention thus makes it possible to secure self-configuration of nodes in a private network, which was not possible until now. Indeed, a router transmits on a link of this network a network prefix announcement message to be used, as well as information that makes it possible to verify that the router that advertises the prefix is a router, and that it is authorized to announce this prefix. This check is possible because the announcement message includes, in addition to the prefix generated by the router, all the data that make it possible to recalculate the prefix and thus to verify that the received prefix is the one expected. On the other hand, these data are certified: the public key used in the calculation of the prefix is certified by the digital certificate that is transmitted, and the information that includes at least the prefix is signed. Thus, the authenticity of the information and the public key are guaranteed and verifiable. Thus, it is not possible for a malicious router to perpetrate a denial of service attack on private network nodes by sending a prefix advertisement message that includes the valid router prefix and a parameter that specifies the duration of the attack. life of this prefix a null value. Indeed, only the valid router is able to sign the information by means of the secret key associated with the public key certified by the transmitted certificate.
Selon un mode de réalisation de l'invention, le procédé d'allocation comprend :  According to one embodiment of the invention, the allocation method comprises:
- une étape de calcul d'un haché d'une donnée comprenant la clé publique,  a step of calculating a hash of a data item comprising the public key,
- une étape de formation du préfixe réseau par concaténation d'une valeur prédéfinie propre à un réseau privé et d'une pluralité de bits extraits du haché calculé.  a step of forming the network prefix by concatenating a predefined value specific to a private network and a plurality of bits extracted from the calculated hash.
Les premiers bits du préfixe d'une adresse IPv6 dans un réseau privé étant prédéfinis, l'invention permet de compléter à 64 bits un préfixe de telle manière qu'un nœud qui reçoit ce préfixe dans un message d'annonce peut vérifier que le préfixe est bien annoncé par un routeur et que le routeur est bien autorisé à annoncer ce préfixe. En effet, la vérification se fait sur les 56 derniers bits du préfixe, les 8 premiers bits étant composés de valeurs prédéfinies fixées pour un réseau privé.  Since the first bits of the prefix of an IPv6 address in a private network are predefined, the invention makes it possible to complete a prefix to 64 bits in such a way that a node that receives this prefix in an announcement message can verify that the prefix is well advertised by a router and that the router is authorized to announce this prefix. Indeed, the verification is done on the last 56 bits of the prefix, the first 8 bits being composed of predefined values fixed for a private network.
Selon un mode de réalisation de l'invention, le procédé d'allocation comprend en outre : - une étape de génération par le routeur du certificat numérique de la clé publique, et de signature du certificat par le routeur au moyen de la clé privée. According to one embodiment of the invention, the allocation method further comprises: a step of generation by the router of the digital certificate of the public key, and of signature of the certificate by the router by means of the private key.
Dans ce mode de réalisation un certificat propre au routeur est généré par le routeur et signé par le routeur. Il s'agit donc d'un certificat auto-signé valable à l'intérieur du réseau privé pour sécuriser auto-configuration d'adresses IPv6 par des nœuds situés à l'intérieur du réseau privé. Plus précisément, les nœuds pour lesquels auto-configuration est sécurisée, sont situés sur le même lien réseau que le routeur et peuvent générer une adresse IPv6 à partir du préfixe annoncé par le routeur.  In this embodiment, a certificate specific to the router is generated by the router and signed by the router. It is therefore a self-signed certificate valid inside the private network to secure self-configuration of IPv6 addresses by nodes located within the private network. Specifically, the nodes for which auto-configuration is secure, are located on the same network link as the router and can generate an IPv6 address from the prefix announced by the router.
En utilisant des certificats auto-signés, il devient possible de mettre en place une sécurisation et une vérification de l'adressage IPv6 dans un réseau privé sans qu'il soit nécessaire de déployer une infrastructure de type RPKI. Ainsi, l'invention permet de mettre en place des réseaux à adressage privé de façon relativement simple. Cet aspect est intéressant pour des réseaux d'entreprise, ou des réseaux ad-hoc.  By using self-signed certificates, it becomes possible to set up a secure and verified IPv6 addressing in a private network without the need to deploy a RPKI type infrastructure. Thus, the invention makes it possible to set up networks with private addressing in a relatively simple manner. This aspect is interesting for corporate networks, or ad-hoc networks.
Dans un exemple de réalisation de l'invention, le procédé d'allocation comprend aussi une étape de génération par le routeur d'un couple de clés comprenant la clé privée et la clé publique associée.  In an exemplary embodiment of the invention, the allocation method also comprises a step of generation by the router of a pair of keys comprising the private key and the associated public key.
L'invention concerne aussi un procédé pour générer une adresse IPv6 par un nœud dans un réseau privé, le réseau comprenant au moins un routeur, le procédé comprenant :  The invention also relates to a method for generating an IPv6 address by a node in a private network, the network comprising at least one router, the method comprising:
- une étape de réception en provenance du routeur d'un message d'annonce de préfixe comprenant un certificat numérique d'une clé publique et de titulaire le routeur, et une information signée au moyen d'une clé privée propre au routeur et associée à la clé publique certifiée, l'information comprenant au moins un préfixe généré par le routeur,  a step of receiving from the router a prefix advertisement message comprising a digital certificate of a public key and of the holder of the router, and information signed by means of a private key specific to the router and associated with the certified public key, the information comprising at least one prefix generated by the router,
- une étape de calcul d'un deuxième préfixe à partir de la clé publique du certificat, a step of calculating a second prefix from the public key of the certificate,
- une étape de comparaison du préfixe reçu et du deuxième préfixe calculé, a step of comparing the received prefix and the calculated second prefix,
- une étape de vérification de la signature de l'information au moyen de la clé publique certifiée par le certificat.  a step of verifying the signature of the information by means of the public key certified by the certificate.
Un nœud sur un lien réseau qui reçoit le message RA d'annonce de préfixe du routeur, peut à partir de ce message vérifier que le préfixe reçu est bien valide, en recalculant ce même préfixe à partir des paramètres reçus et du certificat. Il peut en outre vérifier que le routeur est bien autorisé à émettre ce préfixe, en vérifiant la signature de l'information reçue.  A node on a network link that receives the Router Prefix Announcement RA message may from this message verify that the received prefix is valid by recalculating the same prefix from the received parameters and the certificate. It can also verify that the router is authorized to issue this prefix, by verifying the signature of the information received.
Avantageusement, l'étape de vérification de la signature du procédé pour générer une adresse IPv6 n'est réalisée que si le préfixe reçu du routeur est égal au deuxième préfixe calculé.  Advantageously, the step of verifying the signature of the method for generating an IPv6 address is performed only if the prefix received from the router is equal to the second calculated prefix.
En effet, l'opération de vérification de signature étant coûteuse en termes de ressources de calcul pour le nœud réseau, celui-ci n'effectue la vérification de signature que si le préfixe reçu correspond effectivement au préfixe calculé à partir des paramètres et du certificat transmis.  Indeed, the signature verification operation being expensive in terms of computing resources for the network node, the latter performs the signature verification only if the received prefix actually corresponds to the prefix calculated from the parameters and the certificate. transmitted.
De manière avantageuse, le procédé pour générer une adresse IPv6 comprend en outre une étape de concaténation du préfixe reçu avec un identifiant d'interface propre au nœud. Le nœud réseau qui reçoit et vérifie un préfixe conformément au procédé de l'invention peut forger sa propre adresse IPv6 à partir d'un identifiant d'interface qui lui est propre en ayant la garantie que son adresse est authentique. Advantageously, the method for generating an IPv6 address further comprises a step of concatenating the received prefix with an interface identifier specific to the node. The network node that receives and verifies a prefix according to the method of the invention can forge its own IPv6 address from an interface identifier of its own with the guarantee that its address is authentic.
L'invention concerne aussi un certificat numérique X.509v3 de clé publique destiné au routeur, comprenant un champ « ExtendedKeyUsage » adapté pour indiquer un usage associé à la clé publique, caractérisé en ce que le champ comprend une valeur indiquant que la clé publique est destinée à être utilisée pour mettre en œuvre le procédé d'allocation sécurisée d'un préfixe réseau selon l'invention.  The invention also relates to a public key X.509v3 digital certificate for the router, comprising an "ExtendedKeyUsage" field adapted to indicate a usage associated with the public key, characterized in that the field comprises a value indicating that the public key is intended to be used to implement the method of securely allocating a network prefix according to the invention.
L'invention porte également sur un routeur dans un réseau privé comprenant au moins un nœud réseau, le routeur comprenant :  The invention also relates to a router in a private network comprising at least one network node, the router comprising:
- des moyens d'envoi, agencés pour envoyer vers le nœud réseau un message d'annonce de préfixe comprenant un certificat numérique d'une clé publique dont le titulaire est le routeur, ainsi qu'une information signée comprenant au moins un préfixe réseau généré par le routeur, l'information étant signée au moyen d'une clé privée propre au routeur et associée à la clé publique certifiée.  sending means, arranged to send to the network node a prefix advertisement message comprising a digital certificate of a public key whose owner is the router, as well as signed information including at least one generated network prefix by the router, the information being signed by means of a private key specific to the router and associated with the certified public key.
Dans un exemple de réalisation de l'invention, le routeur comprend en outre :  In an exemplary embodiment of the invention, the router further comprises:
- des moyens de calcul, agencés pour calculer un haché d'une donnée comprenant la clé publique certifiée,  computing means, arranged to calculate a hash of a data item comprising the certified public key,
- des moyens de formation d'un préfixe, agencés pour former un préfixe réseau associé au routeur par concaténation d'une valeur prédéfinie propre à un réseau privé et d'une pluralité de bits extraits du haché calculé,  means for forming a prefix, arranged to form a network prefix associated with the router by concatenating a predefined value specific to a private network and a plurality of bits extracted from the calculated hash,
- des moyens de génération et de signature d'un certificat, agencés pour générer et signer au moyen de la clé privée le certificat de la clé publique.  means for generating and signing a certificate, arranged to generate and sign the private key certificate using the private key.
L'invention concerne aussi un nœud dans un réseau privé IPv6 comprenant au moins un routeur, le nœud comprenant :  The invention also relates to a node in an IPv6 private network comprising at least one router, the node comprising:
- des moyens de réception, agencés pour recevoir en provenance du routeur un message d'annonce de préfixe comprenant un certificat numérique d'une clé publique et de titulaire le routeur, et une information signée au moyen d'une clé privée propre au routeur et associée à la clé publique certifiée, l'information comprenant au moins un préfixe généré par le routeur,  reception means, arranged to receive from the router a prefix advertisement message comprising a digital certificate of a public key and of the owner of the router, and information signed by means of a private key specific to the router and associated with the certified public key, the information comprising at least one prefix generated by the router,
- des moyens de calcul, agencés pour calculer un deuxième préfixe à partir de la clé publique du certificat,  calculating means, arranged to calculate a second prefix from the public key of the certificate,
- des moyens de comparaison, agencés pour comparer le préfixe annoncé et le deuxième préfixe,  comparison means, arranged to compare the announced prefix and the second prefix,
- des moyens de vérification de signature, agencés pour vérifier la signature de l'information signée au moyen de la clé publique certifiée par le certificat.  - Signature verification means, arranged to verify the signature of the signed information by means of the public key certified by the certificate.
Avantageusement, l'invention porte aussi sur un réseau privé IPv6 comprenant :  Advantageously, the invention also relates to an IPv6 private network comprising:
- au moins un routeur selon l'invention, et - au moins un nœud selon l'invention. at least one router according to the invention, and at least one node according to the invention.
Un tel réseau est par exemple un réseau privé d'entreprise, ou un réseau ad-hoc. Dans le cadre de l'invention les entités de ces réseaux, en l'espèce des routeurs et des nœuds réseau selon l'invention peuvent mettre en place leur plan d'adressage privé facilement et de manière sécurisée.  Such a network is for example a private enterprise network, or an ad-hoc network. In the context of the invention the entities of these networks, in this case routers and network nodes according to the invention can set up their private addressing plan easily and securely.
L'invention concerne aussi un programme d'ordinateur destiné à être installé dans une mémoire d'un routeur, comprenant des instructions pour la mise en œuvre des étapes du procédé d'allocation sécurisée d'un préfixe réseau selon l'invention, lorsque le programme est exécuté par un processeur.  The invention also relates to a computer program intended to be installed in a memory of a router, comprising instructions for implementing the steps of the method for securely allocating a network prefix according to the invention, when the program is executed by a processor.
L'invention porte également sur un programme d'ordinateur destiné à être installé dans une mémoire d'un nœud réseau, comprenant des instructions pour la mise en œuvre des étapes du procédé pour générer une adresse IPv6 selon l'invention lorsque le programme est exécuté par un processeur.  The invention also relates to a computer program for installation in a memory of a network node, comprising instructions for implementing the steps of the method for generating an IPv6 address according to the invention when the program is executed. by a processor.
De nombreux détails et avantages de l'invention seront mieux compris à la lecture de la description d'un mode particulier de réalisation en référence aux schémas annexés donnés à titre non limitatif et dans lesquels : Many details and advantages of the invention will be better understood on reading the description of a particular embodiment with reference to the accompanying drawings given in a non-limiting manner and in which:
- la figure 1 représente les étapes du procédé d'allocation sécurisée d'une adresse IPv6 à un nœud dans un réseau privé, selon un premier mode de réalisation de l'invention ;  FIG. 1 represents the steps of the method of securely allocating an IPv6 address to a node in a private network, according to a first embodiment of the invention;
- la figure 2 représente un premier exemple de réalisation d'un routeur selon l'invention ; FIG. 2 represents a first exemplary embodiment of a router according to the invention;
- la figure 3 représente un exemple de réalisation d'un nœud réseau selon l'invention. FIG. 3 represents an exemplary embodiment of a network node according to the invention.
Les étapes d'un exemple de réalisation du procédé d'allocation sécurisée d'une adresse IPv6 à un nœud d'un réseau privé vont maintenant être décrites en relation avec la figure 1. The steps of an exemplary embodiment of the method for securely allocating an IPv6 address to a node of a private network will now be described in relation to FIG. 1.
Un nœud N dans un réseau privé (non représenté) est adapté pour générer une adresse conforme au protocole IPv6 selon un mécanisme d'auto-configuration. Le réseau privé comprend également un routeur RT situé sur un même lien réseau que le nœud N. Il est connu que selon le protocole IPv6, une adresse IP de 128 bits comprend dans une première partie de 64 bits un préfixe réseau, et dans une deuxième partie de 64 bits un identifiant d'interface. Il est connu également que des entités d'un réseau privé, comme par exemple le nœud N et le routeur RT, ont un préfixe réseau qui débute par une valeur prédéfinie de 8 bits, comprenant un champ appelé « Prefix » de 7 bits et un champ nommé « L » de 1 bit. Le champ « Prefix » a comme valeur « FC00 : :/7 » et le champ « L » vaut « 1 », conformément à la RFC 4193. Ces 8 bits sont réservés pour préfixer toute adresse dans un réseau privé. De telles adresses sont qualifiées d'adresses locales et ne sont pas destinées à être routées dans le réseau Internet global.  An N node in a private network (not shown) is adapted to generate an IPv6 compliant address according to an auto-configuration mechanism. The private network also comprises an RT router located on the same network link as the N node. It is known that according to the IPv6 protocol, a 128-bit IP address comprises in a first part of 64 bits a network prefix, and in a second part of 64 bits an interface identifier. It is also known that entities of a private network, such as the node N and the router RT, have a network prefix which starts with a predefined value of 8 bits, including a field called "Prefix" of 7 bits and a field named "L" of 1 bit. The "Prefix" field has the value "FC00:: / 7" and the "L" field is "1", in accordance with RFC 4193. These 8 bits are reserved to prefix any address in a private network. Such addresses are referred to as local addresses and are not intended to be routed in the global Internet.
Dans une étape initiale 10, le routeur RT génère un couple de clés privée/publique conformément à un algorithme de cryptographie asymétrique, par exemple « RSA » (du nom de leurs auteurs « Rivest, Shamir et Adleman »). Notons ce couple de clés (Kpr, Kpub). Dans un autre exemple de réalisation, il se voit attribuer un tel couple de manière sécurisée par une entité adaptée pour générer et délivrer des couples de clés. In an initial step 10, the router RT generates a pair of private / public keys in accordance with an asymmetric cryptographic algorithm, for example "RSA" (named after their authors "Rivest, Shamir and Adleman"). Note this pair of keys (K pr , K pub ). In another embodiment, it is assigned such a pair in a secure manner by an entity adapted to generate and deliver key pairs.
Dans une étape 11 de création d'une donnée pour la génération d'un préfixe, le routeur RT concatène la valeur de la clé publique Kpub avec un ensemble de paramètres choisis par le routeur pour la génération courante de préfixe réseau. Des exemples de paramètres sont la date de génération du préfixe, un aléa (ou « Nonce »), l'adresse « MAC » du routeur RT (de l'anglais « Media Access Control »), un identifiant d'interface du routeur RT. Les paramètres concaténés à la clé publique sont destinés à éviter que lors d'une nouvelle génération de préfixe par le routeur à partir du même couple de clés privée/publique, le nouveau préfixe généré soit identique au préfixe précédemment généré. Les paramètres participent à la fabrication du préfixe réseau. La donnée créée à l'étape 11 est le résultat de la concaténation de la clé publique avec l'ensemble des paramètres.  In a step 11 of creating data for the generation of a prefix, the router RT concatenates the value of the public key Kpub with a set of parameters chosen by the router for the current generation of network prefix. Examples of parameters are the generation date of the prefix, a random (or "nonce"), the "MAC" address of the router RT (of "Media Access Control"), an interface identifier of the router RT . The parameters concatenated to the public key are intended to prevent the new prefix generated from being identical to the prefix previously generated when the router generates a new prefix generation from the same private / public key pair. The parameters participate in the manufacture of the network prefix. The data created in step 11 is the result of the concatenation of the public key with all the parameters.
Dans une étape 12 de hachage, le routeur RT procède au hachage de la donnée obtenue à l'étape précédente. Il utilise par exemple la fonction « SHA-1 » (« Secure Hash Algorithm ») qui fournit une empreinte de 160 bits.  In a hash step 12, the router RT proceeds to hash the data obtained in the previous step. It uses for example the function "SHA-1" ("Secure Hash Algorithm") which provides a 160-bit print.
Dans une étape 13 d'extraction de bits, le routeur RT applique une fonction F au haché obtenu précédemment afin d'obtenir 56 bits. La fonction F peut prendre plusieurs formes. Par exemple, elle peut consister à extraire du haché les 56 bits de poids fort, ou les 56 bits de poids faible, ou les 56 premiers bits pairs, ou les 56 premiers bits impairs. La fonction F n'est bien sûr pas limitée à ces exemples.  In a bit extracting step 13, the router RT applies a function F to the hash obtained previously in order to obtain 56 bits. The function F can take many forms. For example, it may consist in extracting from the hashed the 56 most significant bits, or the 56 least significant bits, or the first 56 even bits, or the first 56 odd bits. The function F is of course not limited to these examples.
Dans une étape 14 d'obtention d'un préfixe, le routeur RT concatène les 8 premiers bits de la valeur prédéfinie réservée pour désigner qu'une adresse IPv6 correspond à une adresse dans un réseau privé, aux 56 bits obtenus au cours de l'étape précédente. La donnée résultante de 64 bits définit le préfixe du routeur RT dans le réseau privé. Le préfixe obtenu au terme de cette étape 14 est noté PFX. Ainsi, le préfixe PFX obtenu est la concaténation des 7 bits du champ « Prefix » de valeur « FC00 ::/7 », avec le bit « L » de valeur « 1 » et avec les 56 bits obtenus au cours de l'étape 13.  In a step 14 for obtaining a prefix, the router RT concatenates the first 8 bits of the reserved predefined value to designate that an IPv6 address corresponds to an address in a private network, with 56 bits obtained during the previous step. The resulting 64-bit data sets the RT router prefix in the private network. The prefix obtained at the end of this step 14 is denoted PFX. Thus, the PFX prefix obtained is the concatenation of the 7 bits of the "Prefix" field of value "FC00 :: / 7", with the bit "L" of value "1" and with the 56 bits obtained during step 13.
Dans une étape 15 de génération et de signature d'un certificat, le routeur RT génère un certificat, ici au format X.509 version 3, adapté pour certifier la clé publique Kpub du routeur RT. Le certificat X.509v3 est une structure de données comprenant plusieurs champs, parmi lesquels figurent : In a step 15 for generating and signing a certificate, the router RT generates a certificate, here in X.509 version 3 format, adapted to certify the public key K pub of the router RT. The X.509v3 certificate is a data structure with several fields, including:
l'identité du titulaire du certificat (champ « subject »),  the identity of the certificate holder (subject field),
la valeur de la clé publique certifiée,  the value of the certified public key,
le préfixe généré, afin de lier celui-ci au titulaire du certificat,  the generated prefix, in order to link it to the certificate holder,
- l'identité de l'autorité de certification qui signe le certificat et donc qui certifie l'authenticité de la clé publique, et  - the identity of the certifying authority that signs the certificate and therefore certifies the authenticity of the public key, and
une signature numérique de l'ensemble des champs. Dans l'exemple de réalisation décrit ici, le titulaire du certificat est le routeur RT désigné par son adresse IP, et l'Autorité de Certification qui certifie la clé publique est le routeur RT. Ainsi, le certificat généré par le routeur RT est qualifié de certificat auto-signé puisque c'est le routeur RT, titulaire du certificat, qui certifie l'authenticité de la clé publique en signant l'ensemble des champs du certificat au moyen de la clé privée Kpriv associée à la clé publique Kpub qui figure dans le certificat. a digital signature of all the fields. In the exemplary embodiment described here, the certificate holder is the router RT designated by its IP address, and the certification authority that certifies the public key is the router RT. Thus, the certificate generated by the router RT is called self-signed certificate since it is the router RT, holder of the certificate, which certifies the authenticity of the public key by signing all the fields of the certificate by means of the private key K priv associated with the public key K pub which appears in the certificate.
Dans une étape 16 d'envoi, le routeur RT envoie sur le lien réseau un message RA d'annonce du préfixe PFX généré au cours des étapes précédentes. Plus précisément, le message RA comprend une information signée par le routeur RT au moyen de la clé privée Kpriv, et le certificat généré et auto-signé par le routeur RT au cours de l'étape 15. L'information comprend le préfixe PFX obtenu à l'étape 14, l'ensemble des paramètres choisis par le routeur au cours de l'étape 11 de création d'une donnée pour la génération d'un préfixe, et une durée de vie indiquant combien de temps les adresses IPv6 créées à partir du préfixe PFX sont valables. La durée de vie est un paramètre habituellement envoyé dans un message d'annonce RA. On remarque que la clé publique certifiée par le certificat et l'ensemble des paramètres qui sont transmis dans le message d'annonce permettent de recalculer le préfixe PFX. In a sending step 16, the router RT sends on the network link a message RA announcing the prefix PFX generated in the previous steps. Specifically, the RA message includes information signed by the router RT by means of the private key K priv , and the certificate generated and self-signed by the router RT in step 15. The information includes the prefix PFX obtained in step 14, the set of parameters chosen by the router during the step 11 of creating data for the generation of a prefix, and a lifetime indicating how long the IPv6 addresses created from the prefix PFX are valid. Lifetime is a parameter usually sent in an RA announcement message. Note that the public key certified by the certificate and all the parameters that are transmitted in the announcement message can recalculate the prefix PFX.
Le message RA d'annonce du préfixe est envoyé par le routeur RT sur le lien réseau sur lequel il se situe à intervalle régulier. Dans un autre exemple de réalisation (non représenté), le message d'annonce RA est envoyé suite à une sollicitation du nœud N.  The prefix announcement RA message is sent by the router RT on the network link on which it is located at regular intervals. In another exemplary embodiment (not shown), the announcement message RA is sent following a solicitation of the node N.
Dans une étape 17 de réception, le nœud N reçoit le message d'annonce RA.  In a reception step 17, the node N receives the announcement message RA.
Dans une étape 18 de calcul d'un deuxième préfixe PFX', le nœud N calcule un deuxième préfixe à partir du message d'annonce reçu. A cette fin, dans une sous-étape 18-1 de création d'une donnée pour générer le deuxième préfixe, le noeud N extrait du certificat reçu dans le message RA la clé publique Kpub certifiée. Il extrait également de l'information reçue dans le message d'annonce RA l'ensemble des paramètres qui, concaténés à la clé publique Kpub à l'étape 11, ont permis d'obtenir la donnée utilisée pour générer le préfixe. Puis dans une sous-étape 18-2 de calcul d'un haché, le nœud N applique une fonction de hachage à la donnée obtenue à la sous-étape 18-1 précédente. La fonction de hachage est la même fonction que celle utilisée par le routeur RT au cours de l'étape 12 de hachage, SHA-1 dans l'exemple décrit ici. Dans une sous-étape 18-3 d'extraction de bits, le nœud N extrait 56 bits du haché calculé à la sous-étape 18-2. Les bits sont extraits de la même manière que par le routeur RT au cours de l'étape 13 : en appliquant le même fonction F au haché calculé à la sous-étape 18-2. Puis, dans une sous-étape 18-4 d'obtention du deuxième préfixe, le nœud N concatène les 8 bits de la valeur prédéfinie réservée pour désigner qu'une adresse IPv6 correspond à un adresse dans un réseau privé aux 56 bits obtenus au cours de la sous-étape 18-3. Au terme de la sous-étape 18-4, le nœud N a construit un deuxième préfixe PFX' de 64 bits. Dans une étape 19 de comparaison, le nœud N compare le préfixe PFX reçu du routeur RT dans le message d'annonce RA au cours de l'étape 17 au deuxième préfixe PFX' calculé par le nœud N au cours de l'étape 18. In a step 18 of calculating a second prefix PFX ', the node N calculates a second prefix from the received announcement message. For this purpose, in a substep 18-1 for creating data to generate the second prefix, the node N extracts from the certificate received in the RA message the public key K pub certified. It also extracts from the information received in the announcement message RA all the parameters which, concatenated with the public key K pub in step 11, made it possible to obtain the data used to generate the prefix. Then, in a sub-step 18-2 for calculating a hash, the node N applies a hash function to the data obtained in the preceding sub-step 18-1. The hash function is the same function used by the router RT during step 12 of hashing, SHA-1 in the example described here. In a sub-step 18-3 of bit extraction, the node N extracts 56 bits of the hash calculated in the substep 18-2. The bits are extracted in the same way as by the router RT in step 13: by applying the same function F to the hash calculated in the substep 18-2. Then, in a sub-step 18-4 for obtaining the second prefix, the node N concatenates the 8 bits of the reserved predefined value to designate that an IPv6 address corresponds to an address in a private network with 56 bits obtained during of sub-step 18-3. At the end of substep 18-4, Node N has constructed a second 64-bit prefix PFX '. In a comparison step 19, the node N compares the PFX prefix received from the router RT in the announcement message RA during the step 17 to the second prefix PFX 'calculated by the node N during the step 18.
Si les préfixes comparés à l'étape 19 sont égaux, alors dans une étape suivante 20 de vérification de signature, le nœud N vérifie la signature de l'information reçue dans le message d'annonce RA. Cette vérification est effectuée au moyen de la clé publique Kpub extraite du certificat. La vérification de signature n'est effectuée que si les préfixes sont identiques. En effet, cette vérification est coûteuse en termes de ressources de calcul et est inutile si les préfixes ne sont pas identiques. En effet, dans ce cas, cela signifie que le préfixe PFX reçu du routeur RT n'a pas été calculé à partir de la clé publique certifiée extraite du certificat reçu et de l'ensemble de paramètres reçus. If the prefixes compared to step 19 are equal, then in a next signature verification step, node N verifies the signature of the information received in the announcement message RA. This verification is carried out using the public key K pub extracted from the certificate. Signature verification is performed only if the prefixes are identical. Indeed, this check is expensive in terms of computing resources and is useless if the prefixes are not identical. In this case, it means that the PFX prefix received from the router RT has not been calculated from the certified public key extracted from the received certificate and from the set of received parameters.
Si la vérification de signature effectuée au cours de l'étape 20 est positive, alors cela signifie que le routeur RT qui a envoyé le message d'annonce RA est bien légitime pour annoncer le préfixe PFX puisqu'il possède la clé secrète qui a été utilisée pour signer l'information reçue.  If the signature check performed in step 20 is positive, then it means that the RT router that sent the RA announcement message is legitimate to advertise the PFX prefix since it has the secret key that was used to sign the information received.
Dans une étape suivante 21 de formation d'une adresse IPv6, le nœud N génère sa propre adresse IPv6 dans le réseau privé en concaténant le préfixe PFX reçu du routeur RT avec un identifiant d'interface IID qui lui est propre. Il obtient cet identifiant d'interface par exemple à partir d'un haché de son adresse MAC.  In a subsequent step 21 of forming an IPv6 address, the node N generates its own IPv6 address in the private network by concatenating the PFX prefix received from the router RT with its own interface identifier IID. It obtains this interface identifier for example from a hash of its MAC address.
Les étapes 11 à 15 sont exécutées par le routeur RT chaque fois que le préfixe de celui-ci doit être renouvelé. Une telle procédure est rare et est à l'initiative d'un administrateur du réseau. Dans une variante de réalisation du renouvellement de préfixe, l'étape 10 est également exécutée.  Steps 11 to 15 are performed by the router RT whenever the prefix thereof is to be renewed. Such a procedure is rare and is initiated by a network administrator. In an alternative embodiment of prefix renewal, step 10 is also executed.
Dans une variante de réalisation du procédé d'allocation sécurisée d'une adresse IPv6 dans un réseau privé, aucun paramètre n'est concaténé à la clé publique Kpub au cours de l'étape 11 de création d'une donnée pour la génération d'un préfixe. Ainsi, seule la clé publique du routeur est utilisée pour la génération du préfixe. Cette variante est envisageable lorsque le routeur utilise un nouveau couple de clés privée/publique lors d'une génération d'un nouveau préfixe. En effet, dans ce cas, le nouveau préfixe généré est nécessairement différent du précédent préfixe, puisque la clé publique utilisée comme paramètre de la fonction de hachage est différente. In an alternative embodiment of the method of securely allocating an IPv6 address in a private network, no parameter is concatenated to the public key K pub during the step 11 of creating data for the generation of data. a prefix. Thus, only the public key of the router is used for the generation of the prefix. This variant is conceivable when the router uses a new pair of private / public keys during a generation of a new prefix. Indeed, in this case, the new prefix generated is necessarily different from the previous prefix, since the public key used as a parameter of the hash function is different.
L'invention n'est pas limitée à la fonction de hachage SHA-1 pour le calcul du haché par le routeur RT au cours de l'étape 12, et par le nœud N au cours de la sous-étape 18-2. D'autres fonctions de hachage peuvent être utilisées, comme par exemple MD-5 (« Message Digest ») qui génère une empreinte de 128 bits, ou SHA-256 qui génère une empreinte de 256 bits. Il est par contre nécessaire que le routeur RT et le nœud N utilisent la même fonction de hachage. Dans l'exemple de réalisation décrit ici, un certificat X.509 est utilisé. Quelques champs d'un certificat X.509 ont été présentés ci-avant. La RFC 2459 fournit une description détaillée des certificats X.509 et la RFC 3779 présente des extensions utilisées pour les adresses IP et apparues dans la version 3 de X.509. Un certificat X.509 est une structure de données qui comprend une pluralité de champs. En particulier, le certificat comprend : The invention is not limited to the hash function SHA-1 for the calculation of the hash by the router RT during the step 12, and by the node N during the substep 18-2. Other hash functions can be used, such as MD-5 ("Message Digest") that generates a 128-bit print, or SHA-256 that generates a 256-bit print. It is necessary, however, that the router RT and the node N use the same hash function. In the exemplary embodiment described here, an X.509 certificate is used. Some fields of an X.509 certificate have been presented above. RFC 2459 provides a detailed description of X.509 certificates and RFC 3779 has extensions used for IP addresses and appeared in version 3 of X.509. An X.509 certificate is a data structure that includes a plurality of fields. In particular, the certificate includes:
- un numéro de version ; v3 est la version adaptée pour l'invention,  - a version number; v3 is the version adapted for the invention,
- un numéro de série,  - a serial number,
- l'identité de l'Autorité de Certification émettrice du certificat, en l'espèce le routeur RT, désigné par son adresse IP,  - the identity of the Certificate Authority issuing the certificate, in this case the RT router, designated by its IP address,
- le nom de l'algorithme de signature utilisé par l'Autorité de Certification pour signer le certificat,  - the name of the signature algorithm used by the Certification Authority to sign the certificate,
- une période de validité du certificat,  - a period of validity of the certificate,
- le nom du titulaire du certificat (correspondant au champ « subject »), en l'espèce le routeur RT désigné par son adresse IP ;  - the name of the certificate holder (corresponding to the "subject" field), in this case the RT router designated by its IP address;
- des informations sur la clé publique :  - information about the public key:
- algorithme à utiliser avec la clé publique,  - algorithm to use with the public key,
- la clé publique proprement dite,  - the public key itself,
- des informations optionnelles, apparues selon la version de la norme et relatives au détenteur et/ou au signataire et/ou à des extensions, et  - optional information, appearing according to the version of the standard and relating to the holder and / or the signatory and / or extensions, and
- la signature du certificat par l'Autorité de Certification, ici, le routeur RT.  - the signature of the certificate by the Certification Authority, here, the router RT.
Parmi les informations optionnelles apparues dans la version 3 des certificats X.509, un premier champ, appelé « KeyUsage » caractérise l'usage qui peut être fait de la clé publique. Par exemple il est précisé que la clé publique certifiée (et donc la clé privée associée) est destinée à être utilisée pour de la signature, du chiffrement, de la signature de certificat. Un deuxième champ, appelé « ExtendedKeyUsage » est adapté pour indiquer un ou plusieurs usages de la clé publique certifiée en plus, ou en remplacement de l'usage précisé dans le champ précédent. Un tel champ peut être précisé selon des besoins propres d'une organisation. Ainsi, ce champ est adapté pour préciser, dans le cadre de l'invention, que la clé publique certifiée peut être utilisée pour générer un préfixe réseau. Par ailleurs, une extension définie dans le RFC 3779 introduit un champ qui permet de lier une adresse IP, tel qu'un préfixe à un titulaire de certificat. Ce champ désigné « addressesOrRange » est utilisé dans l'invention pour lier le préfixe généré au routeur RT. Un routeur RT selon un exemple de réalisation de l'invention va maintenant être décrit en relation avec la figure 2.  Among the optional information that appeared in version 3 of the X.509 certificates, a first field, called "KeyUsage" characterizes the use that can be made of the public key. For example it is specified that the certified public key (and therefore the associated private key) is intended to be used for signature, encryption, certificate signing. A second field, called "ExtendedKeyUsage" is adapted to indicate one or more uses of the public key certified additionally, or to replace the use specified in the previous field. Such a field can be specified according to the needs of an organization. Thus, this field is adapted to specify, in the context of the invention, that the certified public key can be used to generate a network prefix. In addition, an extension defined in RFC 3779 introduces a field that binds an IP address, such as a prefix, to a certificate holder. This field designated "addressesOrRange" is used in the invention to link the generated prefix to the router RT. An RT router according to an exemplary embodiment of the invention will now be described in relation to FIG. 2.
Un routeur RT selon l'invention assure une fonction de base d'un routeur : le routage de paquets. En tant que routeur, il permet à des nœuds qui sont sur le même lien réseau que lui d'accéder à d'autres nœuds du même lien ou d'un autre lien du même réseau. Il permet également à ces nœuds d'accéder à un ou plusieurs autres réseaux. Pour que le routage de paquets soit possible, le routeur RT annonce un préfixe réseau sur le lien réseau sur lequel il se situe, afin que des nœuds situés sur ce lien génèrent une adresse réseau qui leur est propre et qui les associe, pour le routage, au routeur RT. Le routeur annonce le préfixe régulièrement ou sur sollicitation d'un nœud. An RT router according to the invention provides a basic function of a router: the routing of packets. As a router, it allows nodes that are on the same network link as it to access other nodes of the same link or another link of the same network. It also allows these nodes to access one or more other networks. For packet routing to be possible, the RT router advertises a network prefix on the network link on which it is located, so that nodes located on this link generate a network address of their own which associates them, for routing, with the router RT. The router announces the prefix regularly or on solicitation of a node.
Le réseau RT comprend :  The RT network includes:
- un microprocesseur 201, ou "CPU" (de l'anglais "Central Processing Unit") qui est une unité de traitement ;  a microprocessor 201, or "CPU" (of the "Central Processing Unit") which is a processing unit;
- une mémoire vive 202 qui permet d'effectuer des calculs tels que par exemple calculer un haché, une signature, générer un certificat, le signer. La mémoire permet également de charger des instructions logicielles correspondant aux étapes du procédé d'allocation sécurisée d'un préfixe réseau dans un réseau privé décrites précédemment, et de les faire exécuter par le processeur 201 ;  a RAM 202 which makes it possible to perform calculations such as, for example, calculating a hash, a signature, generating a certificate, and signing it. The memory also makes it possible to load software instructions corresponding to the steps of the method for securely allocating a network prefix in a private network described above, and to have them executed by the processor 201;
- une mémoire de stockage 203, par exemple une mémoire de type « ROM » (de l'anglais a storage memory 203, for example a memory of the "ROM" type (from the English
« Read Only Memory »), adaptée pour stocker par exemple un certificat auto-signé généré par le routeur et dont le titulaire est le routeur RT, un couple clé privée/clé publique. Dans une variante, la mémoire peut contenir une zone sécurisée adaptée pour stocker de manière sécurisée la clé secrète du routeur ; "Read Only Memory"), adapted to store for example a self-signed certificate generated by the router and whose owner is the router RT, a private key / public key pair. Alternatively, the memory may contain a secure area adapted to securely store the secret key of the router;
- des interfaces réseau 204, adaptées pour permettre à des entités telles que des nœuds du réseau privé, ou un autre routeur du réseau privé, ou des routeurs d'un autre réseau de communiquer avec le routeur RT. Elles permettent d'autre part au routeur RT d'accéder à un ou plusieurs réseaux, par exemple le réseau Internet, et de fournir ainsi accès au réseau aux nœuds du réseau privé qui s'appuient sur lui pour router leurs paquets ;  network interfaces 204, adapted to allow entities such as nodes of the private network, or another router of the private network, or routers of another network to communicate with the router RT. On the other hand, they allow the router RT to access one or more networks, for example the Internet, and thus provide access to the network to the nodes of the private network that rely on it to route their packets;
- des moyens 205 de génération d'un couple de clés privée/publique propre au routeur RT. means 205 for generating a private / public key pair specific to the router RT.
Ces moyens comprennent par exemple une fonction RSA et des moyens de choisir des nombres premiers. Une fois généré, le couple de clés peut être mémorisé dans la mémoire de stockage 203. Les moyens 205 mettent en œuvre l'étape 10 du procédé d'allocation sécurisée décrite précédemment ; These means comprise for example an RSA function and means for choosing prime numbers. Once generated, the pair of keys can be stored in the storage memory 203. The means 205 implement step 10 of the secure allocation method described above;
- des moyens 206 de génération d'un certificat, par exemple un certificat X.509v3 adapté pour certifier la clé publique du couple clé privée/clé publique généré par les moyens 205. Ces moyens 206 de génération sont agencés pour compléter des champs d'un certificat X.509v3. Par exemple, ces moyens remplissent les champs titulaire et signataire du certificat avec l'adresse IP du routeur. C'est en effet pour le routeur RT que le certificat est généré et c'est le routeur RT qui signe le certificat en tant qu'Autorité de Certification. Les moyens 206 de génération précisent également dans une extension X.509v3 appelée « addressesOrRange » le préfixe réseau généré par le routeur ; cette extension est destinée à lier le préfixe réseau au titulaire du certificat. Ces moyens 206 précisent également dans un champ « ExtendedKeyUsage » une valeur indiquant que le procédé d'allocation sécurisée d'un préfixe réseau selon l'invention est mis en œuvre. Ce champ est destiné à préciser un usage de la clé publique certifiée. ;  means 206 for generating a certificate, for example an X.509v3 certificate adapted to certify the public key of the private key / public key pair generated by the means 205. These generation means 206 are arranged to complete fields of an X.509v3 certificate. For example, these means fill the fields holder and signer of the certificate with the IP address of the router. It is indeed for the router RT that the certificate is generated and it is the router RT which signs the certificate as Certification Authority. The generation means 206 also specify in an X.509v3 extension called "addressesOrRange" the network prefix generated by the router; this extension is intended to bind the network prefix to the certificate holder. These means 206 also specify in an "ExtendedKeyUsage" field a value indicating that the secure allocation method of a network prefix according to the invention is implemented. This field is intended to specify a use of the certified public key. ;
- des moyens 207 de signature, agencés pour signer le certificat généré par les moyens 206 au moyen de la clé privée du couple clé privée/clé publique. Les moyens 206 de génération et les moyens 207 de signature mettent en œuvre l'étape 15 du procédé d' allocation précédemment décrit ; signature means 207, arranged to sign the certificate generated by the means 206 by means of the private key of the private key / public key pair. The means 206 of generation and the signature means 207 implement step 15 of the allocation method previously described;
- des moyens de calcul 208, agencés pour calculer un haché d'une donnée comprenant la clé publique associée à la clé privée propre au routeur. Ces moyens 208 de calcul comprennent une fonction de hachage, par exemple SHA-1. Les moyens 208 de calcul mettent en œuvre l'étape 12 de concaténation et l'étape 12 de hachage du procédé d' allocation précédemment décrite ;  calculation means 208, arranged to calculate a hash of a data item comprising the public key associated with the private key specific to the router. These calculation means 208 comprise a hash function, for example SHA-1. The calculation means 208 implement the concatenation step 12 and the hash step 12 of the previously described allocation method;
- des moyens 209 de formation d'un préfixe réseau, agencés pour concaténer une valeur prédéfinie propre à un réseau privé et une pluralité de bits extraits du haché calculé par les moyens de calcul 208. Les moyens 209 de formation d'un préfixe réseau mettent en œuvre l'étape 13 d'extraction de bits et l'étape 14 du procédé d'allocation précédemment décrit ;  means 209 for forming a network prefix, arranged to concatenate a predefined value specific to a private network and a plurality of bits extracted from the hash calculated by the calculation means 208. The means 209 for forming a network prefix set implementing bit extraction step 13 and step 14 of the allocation method previously described;
- des moyens 210 d'envoi d'un message d' annonce, agencés pour envoyer vers le ou les nœuds réseau situés sur le même lien réseau que le routeur un message d'annonce de préfixe comprenant le certificat numérique associé à la clé publique, ainsi qu'une information signée comprenant au moins le préfixe formé par le routeur, l'information étant signée au moyen de la clé privée. Les moyens d'envoi 210 coopèrent avec les interfaces réseau 204 pour envoyer le message d'annonce sur le lien réseau. Les moyens d'envoi 210 mettent en œuvre l'étape 16 d'envoi du procédé d'allocation précédemment décrit.  means 210 for sending an announcement message, arranged to send to the network node or nodes located on the same network link as the router a prefix announcement message comprising the digital certificate associated with the public key, and signed information including at least the prefix formed by the router, the information being signed by means of the private key. The sending means 210 cooperate with the network interfaces 204 to send the announcement message on the network link. The sending means 210 implement the step 16 of sending the allocation method described above.
Les interfaces réseau 204, les moyens 205 de génération d'un couple de clés, les moyens The network interfaces 204, the means 205 for generating a pair of keys, the means
206 de génération d'un certificat X.509v3, les moyens 207 de signature, les moyens 208 de calcul du haché, les moyens 209 de formation d'un préfixe réseau et les moyens 210 d'envoi d'un message d' annonce sont de préférence des modules logiciels comprenant des instructions logicielles pour faire exécuter les étapes du procédé d' allocation sécurisée d'un préfixe réseau précédemment décrit, mises en œuvre par le processeur d'un routeur. 206 of generating an X.509v3 certificate, the means 207 for signing, the means 208 for calculating the hash, the means 209 for forming a network prefix and the means 210 for sending an announcement message are preferably software modules comprising software instructions for executing the steps of the method of securely allocating a previously described network prefix, implemented by the processor of a router.
L'invention concerne donc aussi :  The invention therefore also relates to:
- un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé d'allocation sécurisée d'un préfixe réseau tel que décrit précédemment lorsque ce programme est exécuté par un processeur ;  a computer program comprising instructions for implementing the method of securely allocating a network prefix as described above when this program is executed by a processor;
- un support d'enregistrement lisible par un routeur sur lequel est enregistré le programme d'ordinateur décrit ci-dessus.  - a recording medium readable by a router on which is recorded the computer program described above.
Les modules logiciels peuvent être stockés dans, ou transmis par un support de données. The software modules can be stored in, or transmitted by, a data carrier.
Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunication. Un nœud réseau N selon un exemple de réalisation de l'invention va maintenant être décrit en relation avec la figure 3. Un tel nœud peut être toute machine informatique telle qu'un terminal utilisateur, ou un serveur, utilisés dans un réseau privé. Un tel nœud est apte à communiquer avec d' autres entités, telles que le routeur RT ou un autre nœud du réseau privé. Il est également apte à communiquer avec des entités d'un autre réseau, via le réseau Internet. Les paquets qu'il émet ou reçoit sont routés par le routeur RT. Le nœud N comprend : This may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmission medium such as a signal or a telecommunications network. A network node N according to an exemplary embodiment of the invention will now be described in relation to FIG. Such a node may be any computer machine such as a user terminal, or a server, used in a private network. Such a node is able to communicate with other entities, such as the router RT or another node of the private network. It is also able to communicate with entities of another network, via the Internet. The packets that it sends or receives are routed by the RT router. Node N comprises:
- un microprocesseur 301 , ou "CPU" (de l'anglais "Central Processing Unit") qui est une unité de traitement ;  a microprocessor 301, or "CPU" (of the "Central Processing Unit") which is a processing unit;
- une mémoire vive 302 qui permet d'effectuer des calculs tels que par exemple calculer des hachés, vérifier des signatures, faire des comparaisons, des concaténations. La mémoire permet également de charger des instructions logicielles correspondant aux étapes du procédé pour générer une adresse IPv6 dans un réseau privé décrites précédemment, et de les faire exécuter par le processeur 301 ;  a RAM 302 which makes it possible to perform calculations such as, for example, calculating hashes, checking signatures, making comparisons, concatenations. The memory also makes it possible to load software instructions corresponding to the steps of the method for generating an IPv6 address in a private network described above, and to have them executed by the processor 301;
- une mémoire de stockage 303, par exemple une mémoire ROM, adaptée pour stocker par exemple le préfixe réseau, le certificat reçu d'un routeur, la clé publique ;  a storage memory 303, for example a ROM memory, adapted to store, for example, the network prefix, the certificate received from a router, the public key;
- des interfaces réseau 304, adaptées pour permettre à d'autres entités du réseau privé, par exemple le routeur RT (non représenté) de communiquer avec le nœud N et au nœud N de communiquer avec ces autres entités. Elles permettent également d'accéder aux entités d'un autre réseau via Internet, par le biais du routeur RT qui a en charge le routage de paquets en provenance et à destination du nœud N ;  network interfaces 304, adapted to allow other entities of the private network, for example the router RT (not shown) to communicate with the node N and the node N to communicate with these other entities. They also allow access to the entities of another network via the Internet, through the router RT which is responsible for routing packets to and from the N node;
- des moyens 305 de réception, agencés pour recevoir en provenance d'un routeur situé sur le même lien réseau un message RA d'annonce de préfixe comprenant un certificat numérique, adapté pour certifier une clé publique associée à une clé privée propre à ce routeur, et une information signée, l'information comprenant au moins un préfixe généré par le routeur. Les moyens 305 de réception coopèrent avec les interfaces réseau 304. Les moyens 305 de réception mettent en œuvre l'étape 17 du procédé pour générer une adresse IPv6, décrite précédemment ;  receiving means 305, arranged to receive from a router located on the same network link a prefix announcement RA message comprising a digital certificate, adapted to certify a public key associated with a private key specific to this router , and signed information, the information including at least one prefix generated by the router. The receiving means 305 cooperate with the network interfaces 304. The receiving means 305 implement step 17 of the method for generating an IPv6 address, described above;
- des moyens 306 de calcul, agencés pour calculer un deuxième préfixe PFX' à partir de la clé publique certifié par le certificat et reçu par les moyens 305 de réception. Les moyens 306 de calcul mettent en œuvre l'étape 18 de calcul d'un deuxième préfixe du procédé pour générer un deuxième préfixe décrit précédemment. Plus précisément, les moyens 306 de calcul mettent en œuvre les sous-étapes 18-1 de concaténation, 18-2 de calcul d'un haché, 18-3 d'extraction et 18-4 d'obtention d'un préfixe ;  means 306 for calculating, arranged to calculate a second prefix PFX 'from the public key certified by the certificate and received by the receiving means 305. The calculation means 306 implement step 18 of calculating a second prefix of the method for generating a second prefix described above. More specifically, the calculation means 306 implement substeps 18-1 for concatenation, 18-2 for calculating a hash, 18-3 for extracting and 18-4 for obtaining a prefix;
- des moyens 307 de comparaison, agencés pour comparer le préfixe annoncé reçu dans le message d' annonce par les moyens de réception 305 et le deuxième préfixe calculé par les moyens 306 de calcul. Les moyens 307 de comparaison mettent en œuvre l'étape 19 de comparaison du procédé pour forger une adresse IPv6, décrite précédemment ;  means 307 for comparison, arranged to compare the announced prefix received in the announcement message by the reception means 305 and the second prefix calculated by the calculation means 306. The comparison means 307 implement step 19 of comparing the method for forging an IPv6 address, described above;
- des moyens 308 de vérification de signature, agencés pour vérifier la signature de l'information signée reçue dans le message d' annonce par les moyens 305 de réception. Les moyens de vérification 308 utilisent la clé publique certifiée par le certificat. Les moyens 308 de vérification de signature mettent en œuvre l'étape 20 de vérification du procédé pour forger une adresse IPv6, décrite précédemment ; - Signature verification means 308, arranged to verify the signature of the signed information received in the announcement message by the receiving means 305. The verification means 308 use the public key certified by the certificate. The signature verification means 308 implements the process verification step for forging an IPv6 address, described above;
- le nœud N comprend également des moyens 309 de concaténation, agencés pour concaténer un préfixe généré par le routeur et reçu par les moyens 305 de réception avec un identifiant d'interface propre au nœud. Les moyens de concaténation 309 comprennent des moyens de calcul de l'identifiant d'interface, obtenu par exemple en appliquant une fonction de hachage à l'adresse MAC du nœud N. Les moyens 309 de concaténation mettent en œuvre l'étape 21 de formation d'une adresse IPv6 du procédé pour forger une adresse IPv6, décrite précédemment.  the node N also comprises concatenation means 309, arranged to concatenate a prefix generated by the router and received by the reception means 305 with an interface identifier specific to the node. The concatenation means 309 comprise means for calculating the interface identifier, obtained for example by applying a hash function to the MAC address of the node N. The concatenation means 309 implement the training step 21 an IPv6 address of the method for forging an IPv6 address, described above.
Les interfaces réseau 304, les moyens 305 de réception, les moyens 306 de calcul, les moyens 307 de comparaison, les moyens 308 de vérification de signature et les moyens 309 de concaténation pour former une adresse IPv6 sont de préférence de modules logiciels comprenant des instructions logicielles pour faire exécuter les étapes du procédé pour forger une adresse IPv6 précédemment décrit, mises en œuvre par le processeur d'un nœud réseau.  The network interfaces 304, the reception means 305, the calculation means 306, the comparison means 307, the signature verification means 308 and the concatenation means 309 for forming an IPv6 address are preferably software modules comprising instructions. software for performing the steps of the method for forging an IPv6 address previously described, implemented by the processor of a network node.
L'invention concerne donc aussi :  The invention therefore also relates to:
- un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé pour générer une adresse IPv6 tel que décrit précédemment lorsque ce programme est exécuté par un processeur ;  a computer program comprising instructions for implementing the method for generating an IPv6 address as described above when this program is executed by a processor;
- un support d'enregistrement lisible par un routeur sur lequel est enregistré le programme d'ordinateur décrit ci-dessus.  - a recording medium readable by a router on which is recorded the computer program described above.
Les modules logiciels peuvent être stockés dans, ou transmis par un support de données. Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunication.  The software modules can be stored in, or transmitted by, a data carrier. This may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmission medium such as a signal or a telecommunications network.
L'invention concerne également un réseau privé comprenant au moins un routeur selon l'invention et au moins un nœud réseau selon l'invention. Le nœud réseau est situé sur un même lien réseau que le routeur. The invention also relates to a private network comprising at least one router according to the invention and at least one network node according to the invention. The network node is located on the same network link as the router.

Claims

REVENDICATIONS
1. Procédé d'allocation sécurisée d'un préfixe réseau (PFX) dans un réseau privé, le réseau comprenant au moins un routeur (RT) et au moins un nœud réseau (N), le procédé comprenant une étape (16) d'envoi par le routeur vers le nœud réseau d'un message (RA) d'annonce de préfixe, ledit message comprenant : A method for securely allocating a network prefix (PFX) in a private network, the network comprising at least one router (RT) and at least one network node (N), the method comprising a step (16) of sending by the router to the network node a prefix advertisement (RA) message, said message comprising:
- un certificat numérique d'une clé publique (Kpub) dont le titulaire est le routeur, a digital certificate of a public key (K pub ) whose owner is the router,
- une information signée comprenant au moins un préfixe réseau généré par le routeur, l'information étant signée au moyen d'une clé privée (Kpriv) propre au routeur et associée à la clé publique certifiée. - Signed information comprising at least one network prefix generated by the router, the information being signed by means of a private key (K priv ) specific to the router and associated with the certified public key.
2. Procédé selon la revendication 1 , comprenant : The method of claim 1, comprising:
- une étape (12) de calcul d'un haché d'une donnée comprenant la clé publique,  a step (12) of calculating a hash of a data item comprising the public key,
- une étape (14) de formation du préfixe réseau par concaténation d'une valeur prédéfinie propre à un réseau privé et d'une pluralité de bits extraits du haché calculé.  a step (14) for forming the network prefix by concatenating a predefined value specific to a private network and a plurality of bits extracted from the calculated hash.
3. Procédé selon la revendication 2, comprenant en outre : The method of claim 2, further comprising:
- une étape (15) de génération par le routeur du certificat numérique de la clé publique, et de signature du certificat par le routeur au moyen de la clé privée.  - A step (15) of generation by the router of the digital certificate of the public key, and signature of the certificate by the router by means of the private key.
4. Procédé selon la revendication 3, comprenant une étape (10) de génération par le routeur d'un couple de clés comprenant la clé privée et la clé publique associée. 4. Method according to claim 3, comprising a step (10) for generation by the router of a pair of keys comprising the private key and the associated public key.
5. Procédé pour générer une adresse IPv6 par un nœud dans un réseau privé, le réseau comprenant au moins un routeur, le procédé comprenant : A method for generating an IPv6 address by a node in a private network, the network comprising at least one router, the method comprising:
- une étape (17) de réception en provenance du routeur d'un message (RA) d'annonce de préfixe comprenant un certificat numérique d'une clé publique et de titulaire le routeur, et une information signée au moyen d'une clé privée propre au routeur et associée à la clé publique certifiée, l'information comprenant au moins un préfixe généré par le routeur,  a step (17) of reception from the router of a prefix advertisement (RA) message comprising a digital certificate of a public key and of the holder of the router, and information signed by means of a private key specific to the router and associated with the certified public key, the information comprising at least one prefix generated by the router,
- une étape (18) de calcul d'un deuxième préfixe (PFX') à partir de la clé publique du certificat,  a step (18) for calculating a second prefix (PFX ') from the public key of the certificate,
- une étape (19) de comparaison du préfixe reçu et du deuxième préfixe calculé,  a step (19) for comparing the received prefix and the calculated second prefix,
- une étape (20) de vérification de la signature de l'information au moyen de la clé publique certifiée par le certificat. a step (20) of verifying the signature of the information by means of the public key certified by the certificate.
6. Procédé selon la revendication 5, dans lequel l'étape de vérification de la signature n'est réalisée que si le préfixe reçu du routeur est égal au deuxième préfixe calculé. The method of claim 5, wherein the step of verifying the signature is performed only if the prefix received from the router is equal to the second calculated prefix.
7. Procédé selon la revendication 5, comprenant en outre une étape (21) de concaténation du préfixe reçu avec un identifiant d'interface propre au nœud. The method of claim 5, further comprising a step (21) of concatenating the received prefix with an interface identifier specific to the node.
8. Certificat numérique X.509v3 de clé publique destiné au routeur, comprenant un champ « ExtendedKeyUsage » adapté pour indiquer un usage associé à la clé publique, caractérisé en ce que le champ comprend une valeur indiquant que la clé publique est destinée à être utilisée pour mettre en œuvre le procédé selon la revendication 1. 8. X.509v3 public key digital certificate for the router, comprising an "ExtendedKeyUsage" field adapted to indicate a usage associated with the public key, characterized in that the field includes a value indicating that the public key is intended to be used to implement the method of claim 1.
9. Routeur (RT) dans un réseau privé comprenant au moins un nœud réseau, le routeur comprenant : 9. Router (RT) in a private network comprising at least one network node, the router comprising:
- des moyens (210) d'envoi, agencés pour envoyer vers le nœud réseau un message d'annonce de préfixe comprenant un certificat numérique d'une clé publique dont le titulaire est le routeur, ainsi qu'une information signée comprenant au moins un préfixe réseau généré par le routeur, l'information étant signée au moyen d'une clé privée propre au routeur et associée à la clé publique certifiée.  means (210) for sending, arranged to send to the network node a prefix advertisement message comprising a digital certificate of a public key whose owner is the router, as well as signed information including at least one network prefix generated by the router, the information being signed using a private key specific to the router and associated with the certified public key.
10. Routeur selon la revendication 9 comprenant en outre : The router of claim 9 further comprising:
- des moyens (208) de calcul, agencés pour calculer un haché d'une donnée comprenant la clé publique certifiée,  calculation means (208), arranged to calculate a hash of a data item comprising the certified public key,
- des moyens (209) de formation d'un préfixe, agencés pour former un préfixe réseau associé au routeur par concaténation d'une valeur prédéfinie propre à un réseau privé et d'une pluralité de bits extraits du haché calculé,  means (209) for forming a prefix, arranged to form a network prefix associated with the router by concatenating a predefined value specific to a private network and a plurality of bits extracted from the calculated hash,
- des moyens (206, 207) de génération et de signature d'un certificat, agencés pour générer et signer au moyen de la clé privée le certificat de la clé publique.  means (206, 207) for generating and signing a certificate, arranged to generate and sign the private key certificate using the private key.
11. Nœud (N) dans un réseau privé IPv6 comprenant au moins un routeur, le nœud comprenant : 11. Node (N) in an IPv6 private network comprising at least one router, the node comprising:
- des moyens (305) de réception, agencés pour recevoir en provenance du routeur un message d'annonce de préfixe comprenant un certificat numérique d'une clé publique et de titulaire le routeur, et une information signée au moyen d'une clé privée propre au routeur et associée à la clé publique certifiée, l'information comprenant au moins un préfixe généré par le routeur,  receiving means (305) arranged to receive from the router a prefix advertisement message comprising a digital certificate of a public key and of the owner of the router, and information signed by means of a private key of its own to the router and associated with the certified public key, the information comprising at least one prefix generated by the router,
- des moyens (306) de calcul, agencés pour calculer un deuxième préfixe à partir de la clé publique du certificat, - des moyens (307) de comparaison, agencés pour comparer le préfixe annoncé et le deuxième préfixe, computing means (306) arranged to calculate a second prefix from the public key of the certificate, means (307) for comparison, arranged to compare the announced prefix and the second prefix,
- des moyens (308) de vérification de signature, agencés pour vérifier la signature de l'information signée au moyen de la clé publique certifiée par le certificat.  - Signature verification means (308) arranged to verify the signature of the signed information by means of the public key certified by the certificate.
12. Réseau privé IPv6 comprenant : 12. IPv6 Private Network including:
- au moins un routeur selon la revendication 9, et  at least one router according to claim 9, and
- au moins un nœud selon la revendication 11.  at least one node according to claim 11.
13. Programme d'ordinateur destiné à être installé dans une mémoire d'un routeur, comprenant des instructions pour la mise en œuvre des étapes du procédé d'allocation sécurisée d'un préfixe réseau selon l'une des revendications 1 à 4, lorsque le programme est exécuté par un processeur. 13. A computer program for installation in a memory of a router, comprising instructions for implementing the steps of the method of secure allocation of a network prefix according to one of claims 1 to 4, when the program is executed by a processor.
14. Support de données sur lequel est enregistré le programme d'ordinateur selon la revendication 13. Data carrier on which the computer program according to claim 13 is stored.
15. Programme d'ordinateur destiné à être installé dans une mémoire d'un nœud réseau, comprenant des instructions pour la mise en œuvre des étapes du procédé pour générer une adresse IPv6 selon l'une des revendications 5 à 7 lorsque le programme est exécuté par un processeur. A computer program for installation in a memory of a network node, comprising instructions for implementing the steps of the method for generating an IPv6 address according to one of claims 5 to 7 when the program is executed. by a processor.
16. Support de données sur lequel est enregistré le programme d'ordinateur selon la revendication 15. Data carrier on which the computer program according to claim 15 is stored.
PCT/FR2011/051442 2010-06-29 2011-06-23 Method for the secure allocation, to a private network node, of an ipv6 address WO2012001273A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1055262A FR2961994A1 (en) 2010-06-29 2010-06-29 METHOD OF SECURALLY ALLOCATING IPV6 ADDRESS TO A NODE OF A PRIVATE NETWORK
FR1055262 2010-06-29

Publications (1)

Publication Number Publication Date
WO2012001273A1 true WO2012001273A1 (en) 2012-01-05

Family

ID=43333303

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2011/051442 WO2012001273A1 (en) 2010-06-29 2011-06-23 Method for the secure allocation, to a private network node, of an ipv6 address

Country Status (2)

Country Link
FR (1) FR2961994A1 (en)
WO (1) WO2012001273A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453651A (en) * 2016-11-30 2017-02-22 中国互联网络信息中心 RPKI (resource public key infrastructure) database and data synchronization method

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009109221A1 (en) * 2008-03-04 2009-09-11 Telefonaktiebolaget Lm Ericsson (Publ) Ip address delegation

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009109221A1 (en) * 2008-03-04 2009-09-11 Telefonaktiebolaget Lm Ericsson (Publ) Ip address delegation

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MYUNG-EUN KIM ET AL: "The study on secure auto-configuration technology in IPv6", ADVANCED COMMUNICATION TECHNOLOGY, 2005, ICACT 2005. THE 7TH INTERNATI ONAL CONFERENCE ON PHOENIX PARK, KOREA FEB. 21-23, 2005, PISCATAWAY, NJ, USA,IEEE, vol. 1, 21 February 2005 (2005-02-21), pages 85 - 88, XP010813565, ISBN: 978-89-5519-123-3 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453651A (en) * 2016-11-30 2017-02-22 中国互联网络信息中心 RPKI (resource public key infrastructure) database and data synchronization method
CN106453651B (en) * 2016-11-30 2020-01-31 中国互联网络信息中心 RPKI database and data synchronization method

Also Published As

Publication number Publication date
FR2961994A1 (en) 2011-12-30

Similar Documents

Publication Publication Date Title
US8098823B2 (en) Multi-key cryptographically generated address
US8843751B2 (en) IP address delegation
US11728999B2 (en) Secure router authentication
CN109714447B (en) Domain name generation method and system based on block chain domain name system
US20120324218A1 (en) Peer-to-Peer Trusted Network Using Shared Symmetric Keys
CN110392128B (en) Method and system for providing quasi-unaddressed IPv6 public web service
JP2006033334A (en) Communication system, router device, communication apparatus, communicating method, routing method, communication program, and routing program
EP2186252B1 (en) Method for distributing cryptographic keys in a communication network
US10979750B2 (en) Methods and devices for checking the validity of a delegation of distribution of encrypted content
CN111314269B (en) Address automatic allocation protocol security authentication method and equipment
Liu et al. Secure name resolution for identifier-to-locator mappings in the global internet
CN115580498B (en) Cross-network communication method in converged network and converged network system
Rafiee et al. A secure, flexible framework for dns authentication in ipv6 autoconfiguration
WO2012001273A1 (en) Method for the secure allocation, to a private network node, of an ipv6 address
WO2019165330A1 (en) System and methods for proof of network element
CA2795420C (en) Derived certificate based on changing identity
Su et al. Secure DHCPv6 that uses RSA authentication integrated with self-certified address
CN115883088B (en) BGP route-based autonomous domain security parameter updating method
KR100917392B1 (en) Method for transmitting/receiving Neighbor Discovery Message in IPv6 network
Perrig et al. Configuration File Formats
WO2006056687A2 (en) Method for authenticating the discovery of the ip network environment neighbourhood of a terminal requesting network access
WO2021074527A1 (en) Method for managing a public key database, method for authenticating public keys, and server device and client device implementing these methods
Lu et al. Wheel of trust: A secure framework for overlay-based services
Roelofs Ad-hoc trust associations with Trust Anchor Repositories
Combes et al. Dynamic DNS Update security, based on Cryptographically Generated Addresses and ID-Based Cryptography, in an IPv6 autoconfiguration context

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11738006

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11738006

Country of ref document: EP

Kind code of ref document: A1