WO2023110614A1 - Procédés et dispositifs facilitant l'appairage wi-fi sécurisé - Google Patents

Procédés et dispositifs facilitant l'appairage wi-fi sécurisé Download PDF

Info

Publication number
WO2023110614A1
WO2023110614A1 PCT/EP2022/084958 EP2022084958W WO2023110614A1 WO 2023110614 A1 WO2023110614 A1 WO 2023110614A1 EP 2022084958 W EP2022084958 W EP 2022084958W WO 2023110614 A1 WO2023110614 A1 WO 2023110614A1
Authority
WO
WIPO (PCT)
Prior art keywords
access point
station
network
association
sta
Prior art date
Application number
PCT/EP2022/084958
Other languages
English (en)
Inventor
Jean-Michel Bonnamy
Sylvain BALE
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2023110614A1 publication Critical patent/WO2023110614A1/fr

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/12Access restriction or access information delivery, e.g. discovery data delivery using downlink control channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Definitions

  • the invention lies in the field of networks of the IEEE 802.11 type, known as Wi-Fi, and more particularly that of the pairing of a station (STA) to an access point (AP).
  • Wi-Fi IEEE 802.11 type
  • AP access point
  • the ease of pairing between STA and AP, with an acceptable level of security, is an asset both for customers and for the operator providing customers with peripheral equipment, i.e. STAs, and /or the connection box to the Internet network, that is to say the AP.
  • the equipment to be paired are for example "set top boxes" allowing access to television programs, Wi-Fi repeaters allowing the range of the Wi-Fi signal to be extended, etc., and are intended for users of whom many are part of a public that is not always well trained in digital uses.
  • the pairing method known as WPS Wi-Fi Protected Setup
  • DPP Device Provisioning Protocol
  • equipment in English
  • Easy ConnectTM Device Provisioning Protocol
  • Easy ConnectTM Easy ConnectTM
  • the smartphone is used to exchange security information between the STA and the AP, such as for example a cryptographic key, in order to ensure strong authentication of the STA and to increase the general level of security of the connection which will be established. .
  • This requires the installation on the smartphone of a specific mobile application.
  • the constraints imposed by DPP are excessive for some users.
  • One of the aims of the invention is to remedy these drawbacks of the state of the art.
  • the securing of the association of the station with the first network is made on the basis of information which is not exchanged on this first network, therefore at a time when it is not yet secure.
  • they are exchanged on a second network supported by the same Wi-Fi access point but whose identifier is not broadcast, unlike the identifier of the first network.
  • the term "network advertised by an access point” in this context means that the access point broadcasts an identifier of said network to allow a connection to be established.
  • the term “network not advertised by an access point” in this context means that the access point does not broadcast an identifier of said network, but does not mean that the establishment of a connection with this network is impossible.
  • the security information is for example a cryptographic key specific to the station, which allows the access point to authenticate the station and to encrypt the data that it transmits to it. With such security information, it is possible for the access point to authenticate the station using an existing protocol such as DPP.
  • this second Wi-Fi network may be limited to the transmission of security information.
  • the existence of this second network is known only to the station which knows in advance its SSID identifier, which is an empty character string if the access point broadcasts beacon messages for this second network, or any character string if the access point does not broadcast beacon messages for this second network.
  • the station since the station provides security information directly to the access point, no intervention by third-party equipment or the user is necessary.
  • the station As the SSID of the second is not broadcast by the access point, the station must know it in advance, for example by having been configured before its first use.
  • the station prior to the association through the second network, receives a beacon message from the access point, the beacon message comprising an identifier of the second network equal to an empty character string.
  • the access point broadcasts the identifier of the second network, for example in a beacon message, but the SSID field of the beacon message is left empty, as if the identifier of the second network were a empty character string.
  • the identifier, or the true identifier, of the second Wi-Fi network remains hidden for equipment other than the station and not intended to be associated with the first Wi-Fi network of the access point, even when the access point broadcasts beacon messages for this second network.
  • the station can respond to the beacon message in accordance with the Wi-Fi standard.
  • the station uses the empty character string as the identifier of the second network in an association procedure with the access point, for example in a "probe request" type message.
  • the station prior to the association through the second network, does not receive a beacon message from the access point announcing the second network.
  • the access point does not broadcast beacon messages to announce the existence of the second network.
  • the identifier of the second Wi-Fi network remains hidden for equipment other than the station and not intended to be associated with the first Wi-Fi network of the access point.
  • the station can initiate the association procedure without receiving a beacon message.
  • the station uses the character string corresponding to the identifier of the second network, which the station knows in advance, in an association procedure with the access point, for example in a message of the "probe" type. request".
  • the association process is triggered by the start of the station.
  • the station is a "set-op-box" or a Wi-Fi repeater, the user just needs to take it out of its packaging and turn it on, when it is acquired . Subsequently, if the station is disassociated from the access point, all he has to do is restart or reset the station to reassociate it with the first Wi-Fi network of the access point.
  • the association method comprises deleting the association of the station with the access point through the second Wi-Fi network, before the association of the station with the access point at the through the first Wi-Fi network.
  • association between STA and AP is closed at the initiative of the station as soon as the security data is exchanged. This frees resources for the access point and, in case the station can only associate with one access point at a time, it allows it to associate again on another access point. access, virtual or not.
  • the association method comprises the reception, through the second network, of security information from the access point.
  • the station can also perform security operations such as authenticating the access point or encrypting the data it transmits to it. Securing is then mutual between the station and the access point.
  • the security information provided by the station is only used under this condition, which increases the level of security of the association of the station with the first network.
  • the access point prior to the association through the second network, transmits a beacon message, the beacon message comprising an identifier of the second network equal to an empty character string.
  • the access point prior to the association through the second network, does not send a beacon message announcing the second network.
  • the association method comprises deleting the association of the station with the access point through the second Wi-Fi network, before the association of the station with the access point at the through the first Wi-Fi network.
  • association between STA and AP is closed at the initiative of the access point as soon as the security data is exchanged. This frees resources for the access point and, in case the station can only associate with one access point at a time, it allows it to associate again on another access point. access, virtual or not.
  • the security information is ignored if it is received outside of a time window opened by a user action on the access point.
  • the action of the user is for example to press a specific button, sometimes called a pairing button, positioned on the access point box, in order to open a limited time window during which the access point waits for data from the station.
  • a specific button sometimes called a pairing button
  • the probability is considerably reduced that this data is received and processed by another access point located nearby and supporting a network with the same identifier as the second network.
  • the association method comprises the transmission to the station, through the second network, of security information from the access point.
  • the security information transmitted by the access point to the station is for example a cryptographic key specific to the access point.
  • the station can also perform security operations such as authenticating the access point or encrypting the data it transmits to the access point. Securing is then mutual between the station and the access point.
  • the security information is ignored if it does not correspond to data received separately from a terminal distinct from the station.
  • the access point establishes the second association only if the security information received using the first association is confirmed by data received by another channel.
  • the data in question is for example a summary (hash) of the security information, appearing in a QR code displayed on the box of the authorized station.
  • the separate terminal is, for example, a smartphone connected via Wi-Fi to the access point and used to capture the QR code.
  • the association processes implemented by the station and by the access point are distinct processes.
  • This device capable of implementing in all its embodiments the association method which has just been described, is intended to be implemented in a Wi-Fi station.
  • This device capable of implementing in all its embodiments the association method which has just been described, is intended to be implemented in a Wi-Fi access point.
  • the invention also relates to a computer program comprising instructions which, when these instructions are executed by a processor, lead the latter to implement the steps of the association method implemented by a Wi-Fi station, which has just been described.
  • the invention also relates to an information medium readable by a Wi-Fi station, and comprising computer program instructions as mentioned above.
  • the invention also relates to a computer program comprising instructions which, when these instructions are executed by a processor, lead the latter to implement the steps of the association method implemented by a Wi-Fi access point, which has just been described.
  • the invention also relates to an information medium readable by a Wi-Fi access point, and comprising computer program instructions as mentioned above.
  • the programs mentioned above may use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in partially compiled form, or in n any other desirable shape.
  • a medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or even a magnetic recording means.
  • a storage means such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or even a magnetic recording means.
  • Such a storage means can for example be a hard disk, a flash memory, etc.
  • an information medium can be a transmissible medium such as an electrical or optical signal, which can be conveyed via an electrical or optical cable, by radio or by other means.
  • a program according to the invention can in particular be downloaded from an Internet-type network.
  • an information medium can be an integrated circuit in which a program is incorporated, the circuit being adapted to execute or to be used in the execution of the methods in question.
  • SSID among others, identifying a Wi-Fi access point, is just one example of the ways to identify a Wi-Fi access point, whether physical or virtual.
  • the following examples are based on the use of DPP as a protocol for securing the association of a Wi-Fi station with a Wi-Fi access point identified by an SSID1 identifier.
  • the invention applies to any secure protocol based on a prior exchange of security information such as, for example, cryptographic keys.
  • Pairing designates all the operations carried out between a station and a Wi-Fi access point leading to the establishment of a connection between the station and a network through this access point.
  • the pairing is therefore done in several phases, described below according to embodiments of the invention.
  • the first phase of pairing is the bootstrapping phase, during which the station STA temporarily associates with the physical access point AP, in order to transmit and receive the necessary security information to it. to a security protocol, for example the DPP protocol. Once the security information has been transmitted between the station STA and the access point AP, the temporary association is terminated.
  • the authentication and configuration phases carried out for example according to the DPP protocol.
  • the pairing ends with the phase of association of the station with the access point AP on the basis of the identifier SSID1.
  • the access point AP is for example a home Internet access gateway, such as for example a Livebox from the operator Orange (Livebox and Orange are registered trademarks).
  • the access point AP is preconfigured to broadcast an identifier of the SSID type, SSID1, for example by means of beacon messages (“beacons” in English).
  • the AP access point is also preconfigured with a second SSID type identifier, SSID2, which may not be broadcast.
  • the coexistence of the 2 identifiers SSID1 and SSID2 can result for example in two logical interfaces respectively VAP1 and VAP2 (also called in English "virtual access points") on the physical interface of the access point, associated respectively with the identifiers SSID1 and SSID2.
  • Logical interfaces also called virtual access points; the two terms are used interchangeably in the rest of the document.
  • the names VAP1 and VAP2 are also given to the WI-Fi networks respectively accessible by these points.
  • the virtual access points VAP1 and VAP2 are contained in the physical access point AP. If the access point AP has several physical interfaces, for example one at 2.4 GHz and one at 5 GHz, the virtual access points VAP1 and VAP2 can be present on each of the physical interfaces, or only on one of the two .
  • the initiation phase takes place on the logical interface VAP2 of the access point AP
  • the association phase takes place on the logical interface VAP1 of the access point AP.
  • the logical interface VAP1 is also the one on which the equipment of the local Wi-Fi network, such as the station STA, is intended to establish a lasting association, for example to serve as a support for a connection of the station STA to the Internet, through the access point.
  • the authentication and configuration phases specific to DPP use the physical interface of the access point AP and do not need to distinguish between the two logical interfaces of the access point AP.
  • the station STA also associates with the access point AP during the boot-up phase, but on the logical interface VAP2 and not on the logical interface VAP1.
  • the STA station can be any device intended to connect to the local Wi-Fi network offered by the AP access point.
  • the STA station is a Wi-Fi repeater that increases the Livebox's Wi-Fi coverage, or replaces the Livebox's Wi-Fi version with a more recent version (Wi-Fi 5 by Wi-Fi). -Fi 6 for example).
  • the STA station is configured, in advance of its first use, to know the SSID2 identifier of the AP access point, as well as the associated password ("passphrase"). According to the invention, the station therefore knows in advance at least the references ("credentials" in English) to perform its association with the virtual access point VAP2 identified by SSID2.
  • the references can be requested by the access point to the station according to a known technique.
  • the virtual access point VAP2 of the access point AP broadcasts beacon messages ("beacons" in English) in order to be discovered by a station, but the beacon messages contain an SSID field left blank.
  • the beacon messages contain an SSID field left blank.
  • SSID2 a non-empty string of characters
  • This string of characters is not broadcast by the access point AP.
  • the STA station knows this fact and responds to such a beacon message with a "probe request" message containing an SSID field also left blank.
  • the virtual access point VAP2 of the access point AP does not broadcast any beacon message.
  • the non-empty SSID2 character string corresponding to an identifier of VAP2 is not broadcast by the access point AP.
  • the station STA knows this fact and sends a "probe request" message containing an SSID field equal to SSID2, without waiting for a corresponding beacon message from the access point VAP2.
  • the virtual access point VAP2 of the access point AP broadcasts beacon messages with an SSID field containing a non-empty character string equal to SSID2.
  • the STA station knows SSID2 in advance and responds to such a beacon message with a "probe request" message containing SSID2.
  • the access point AP does not broadcast an SSID2 identifier which is different from an empty character string.
  • the virtual access point VAP1 transmits beacon messages BcnSSID1 comprising its identifier SSID1, in order to announce to surrounding stations the availability of this access point identified by SSID1.
  • This step E1a can be omitted if the virtual access point VAP1 responds with its SSID1 identifier to spontaneous "probe requests" from the stations.
  • the virtual access point VAP2 transmits beacon messages BcnSSID2 in order to announce to the surrounding stations the availability of this access point, but leaving empty the SSID field of each beacon message, i.e. setting it equal to an empty string.
  • step E1b is not performed.
  • the station STA even if it already receives beacon messages with the identifier SSID1, does not yet make an association with the access point AP on the basis of the identifier SSID1. Instead, the STA station performs the bootstrap phase.
  • the station and the access point exchange their respective capacities, for example by means of a "probe request” type message sent by the station STA and comprising the identifier SSID2 (empty in the case of the first embodiment), and a "probe response" type message sent by the access point for the network identified by SSID2, that is to say VAP2.
  • the station STA sends an AuthReq authentication request to the virtual access point VAP2.
  • the station STA receives in response from the virtual access point VAP2 an AuthResp authentication response.
  • the station STA sends an association request AssocReq to the virtual access point VAP2.
  • the station STA receives in response from the virtual access point VAP2 an association response AssocResp.
  • the station STA and the virtual access point VAP2 exchange EAPol messages allowing the access point to obtain the references (“credentials” in English) of the station STA giving it the right to s associate with VAP2.
  • These references include, for example, the password (passphrase) corresponding to the SSID2 identifier.
  • Steps E201 to E205 are known and comply with Wi-Fi standards.
  • the station STA is then associated with the virtual access point VAP2. It is also said that the station STA is associated with the physical access point AP by its logical interface VAP2.
  • the station STA transmits, intended for the access point VAP2 only, a first piece of security information STAPubK, for example its cryptographic key.
  • This key is for example a public or private encryption key, or any type of cryptographic material.
  • the security information is for example included in an https type frame.
  • the access point VAP2 transmits, intended for the station STA only, a second piece of security information APPubK, for example the cryptographic key of the VAP2 virtual access point.
  • This key is preferably of the same format as the first security information.
  • the temporary association between the station STA and the virtual access point VAP2 is closed, either at the initiative of the station or at the initiative of the access point.
  • the access point VAP2 after possibly acknowledging the receipt of the https frame including the station's security information, sends a "disassociation” or "dauthentication” type message to the station STA.
  • the station STA can, after having received the acknowledgment of the https frame, send a "disassociation” or "dauthentication” type message to the access point.
  • the station STA if the cryptographic key of the access point is transmitted after that of the station, the station STA, after possibly acknowledging the reception of the https frame comprising the security information of the access point, sends to the VAP2 access point a "disassociation” or "dauthentication” type message.
  • the access point VAP2 can, after having received the acknowledgment of the https frame, transmit to the station STA a message of the "disassociation” or "dauthentication" type.
  • the bootstrap phase ends, and the DPP authentication and configuration phases can begin.
  • the access point in order to prevent a station other than the station STA, close to the access point AP, but not planned or not authorized, from permanently associating with the access point after having successfully carried out the steps previously described, the access point awaits confirmation in the form of data received separately from a trusted terminal distinct from the station STA. If this data does not correspond to the security information already received from the station, this means that the security information and the data do not relate to the same station. In this case, the access point does not establish an association through the VAP1 network.
  • the data in question is for example a summary (hash) of the security information, appearing in a QR code displayed on the box of the authorized station.
  • the separate terminal is, for example, a smartphone connected via Wi-Fi to the access point and used to capture the QR code.
  • the data can be received by the access point at any time, even prior to the start of the association process in order to be stored by the access point AP in anticipation of an association of the station STA.
  • the data can also be transmitted from the STA station to the smartphone by NFC (Near Field Communication, in English) or by Bluetooth.
  • the physical access point AP sends to the station STA an authentication request message DPPAuthRq comprising at least one element encrypted with the public key of the station STA.
  • This element comprises at least said public key of the station STA. If the station STA, decrypting this element using its private key, discovers its own public key, it transmits, during a step E302, according to a known technique, an authentication response message DPPAuthResp comprising at least one information relating to the capabilities of the STA station.
  • steps E301 and E302 also include an element encrypted by the station STA using the public key of the access point.
  • the station STA and the access point AP exchange messages Configuration DPPConfig using a cryptographic key previously exchanged during steps E301 to E303.
  • the station STA can then associate with the physical access point AP via its logical interface VAP1 identified by the identifier SSID1.
  • steps E401 to E405 which are similar to steps E201 to E205 previously described, but with SSID1 instead of SSID2.
  • the boot phase (steps E201 to E208) according to the invention which allowed the transmission of a cryptographic key from the station STA to the access point AP (and the reciprocal transmission of a cryptographic key from the access point AP to the station STA in the case of mutual authentication), do not require any intervention from a third-party terminal, and no intervention from the user of the station STA, therefore no user interface on the station STA , unlike the prior art.
  • the authentication and configuration phases carried out for example according to the DPP protocol, remain unchanged while maintaining the same level of security.
  • the station STA associates with the access point AP on the basis of the identifier SSID1 with the same level of security as that provided by the DPP protocol.
  • the device 100 implements the association method, various embodiments of which have just been described.
  • Such a device 100 can be implemented in a Wi-Fi station, such as for example the station STA, which can be a TV decoder, a Wi-Fi repeater, or any other terminal capable of connecting to a Wi-Fi network. fi.
  • the device 100 comprises a receiver 101, a transmitter 102, a processing unit 130, equipped for example with a microprocessor ⁇ P, and controlled by a computer program 110, stored in a memory 120 and implementing the association method according to the invention.
  • a computer program 110 stored in a memory 120 and implementing the association method according to the invention.
  • the code instructions of the computer program 110 are for example loaded into a RAM memory, before being executed by the processor of the processing unit 130.
  • the device 200 implements the association method, various embodiments of which have just been described.
  • Such a device 200 can be implemented in a Wi-Fi station, such as for example the access point AP, which can be a gateway or a home Internet access router.
  • the access point AP can be a gateway or a home Internet access router.
  • the device 200 comprises a receiver 201, a transmitter 202, a processing unit 230, equipped for example with a microprocessor ⁇ P, and controlled by a computer program 210, stored in a memory 220 and implementing the association method according to the invention.
  • a computer program 210 stored in a memory 220 and implementing the association method according to the invention.
  • the code instructions of the computer program 210 are for example loaded into a RAM memory, before being executed by the processor of the processing unit 230.
  • FIGS. 2 and 3 can be hardware or software.
  • Figures 2 and 3 illustrate only one particular way, among several possible, of carrying out the method detailed above, in relation to the preceding figures. Indeed, the technique of the invention is carried out either on a reprogrammable calculation machine (a PC computer, a DSP processor or a microcontroller) executing a program comprising a sequence of instructions, or on a dedicated calculation machine (for example a set of logic gates like an FPGA or an ASIC, or any other hardware module).
  • a reprogrammable calculation machine a PC computer, a DSP processor or a microcontroller
  • a dedicated calculation machine for example a set of logic gates like an FPGA or an ASIC, or any other hardware module.
  • the corresponding program (that is to say the sequence of instructions) can be stored in a removable storage medium (such as for example a USB key , a floppy disk, a CD-ROM or a DVD-ROM) or not, this storage medium being partially or totally readable by a computer or a processor.
  • a removable storage medium such as for example a USB key , a floppy disk, a CD-ROM or a DVD-ROM

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

L'invention concerne un procédé d'association d'une station Wi-Fi (STA) à un point d'accès Wi-Fi (AP) au travers d'un premier réseau Wi-Fi (VAP1) annoncé par le point d'accès, le procédé étant mis en œuvre par la station et comprenant : • établissement d'une association (E201-E205) de la station au point d'accès au travers d'un second réseau Wi-Fi (VAP2) non annoncé par le point d'accès, • émission (E206) vers le point d'accès d'une information de sécurité (STAPubK), au travers du second réseau, • établissement d'une association (E401-E405) de la station au point d'accès au travers du premier réseau, en fonction de l'information de sécurité.

Description

Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé 1. Domaine de l'invention
L'invention se situe dans le domaine des réseaux de type IEEE 802.11, dits Wi-Fi, et plus particulièrement celui de l’appairage d’une station (STA) à un point d’accès (AP).
2. Etat de la technique antérieure
La facilité de l’appairage entre STA et AP, avec un niveau acceptable de sécurité, est un atout à la fois pour les clients et pour l’opérateur fournissant aux clients des équipements périphériques, c’est-à-dire les STA, et/ou le boitier de connexion au réseau Internet, c’est-à-dire l’AP. Les équipements à appairer sont par exemple des « set top box » permettant d’accéder aux programmes de télévision, des répéteurs Wi-Fi permettant d’étendre la portée du signal Wi-Fi, etc., et sont destinés à des utilisateurs dont beaucoup font partie d’un public qui n’est pas toujours bien formé aux usages digitaux.
La méthode d’appairage connue sous le nom de WPS (Wi-Fi Protected Setup, ou mise en place Wi-Fi protégée, en anglais) est destinée à être remplacée par le protocole DPP (Device Provisioning Protocol, ou protocole de provisionnement d’équipement, en anglais), aussi connu sous son nom commercial Easy Connect™ et qui est spécifié par l’organisme Wi-Fi Alliance. DPP repose sur l’utilisation d’un équipement tiers, par exemple un smartphone, en plus de la STA et de l’AP qui sont à appairer. Le smartphone est utilisé pour échanger entre la STA et l’AP des informations de sécurité telles que par exemple une clé cryptographique, afin d’assurer une authentification forte de la STA et d’augmenter le niveau de sécurité général de la connexion qui sera établie. Ceci nécessite l’installation sur le smartphone d’une application mobile spécifique. Par rapport à WPS où le client n’avait qu’à appuyer sur un bouton des équipements pour déclencher l’appairage, les contraintes imposées par DPP sont excessives pour certains utilisateurs.
Un des buts de l'invention est de remédier à ces inconvénients de l'état de la technique.
3. Exposé de l'invention
L'invention vient améliorer la situation à l'aide d’un procédé d’association d’une station Wi-Fi à un point d’accès Wi-Fi au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, le procédé étant mis en œuvre par la station et comprenant :
  • établissement d’une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • émission vers le point d’accès d’une information de sécurité, au travers du second réseau,
  • établissement d’une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
Grâce à ce procédé, la sécurisation de l’association de la station avec le premier réseau est faite sur la base d’informations qui ne sont pas échangées sur ce premier réseau, donc à un moment où il n’est pas encore sécurisé. Avantageusement, elles sont échangées sur un second réseau supporté par le même point d’accès Wi-Fi mais dont l’identifiant n’est pas diffusé, au contraire de l’identifiant du premier réseau. Les termes « réseau annoncé par un point d’accès » dans le présent contexte signifie que le point d’accès diffuse un identifiant dudit réseau pour permettre l’établissement d’une connexion. Inversement, les termes « réseau non annoncé par un point d’accès » dans le présent contexte signifie que le point d’accès ne diffuse pas un identifiant dudit réseau, mais ne signifie pas que l’établissement d’une connexion avec ce réseau soit impossible.
L’information de sécurité est par exemple une clé cryptographique propre à la station, qui permet au point d’accès d’authentifier la station et de chiffrer les données qu’il lui transmet. Avec une telle information de sécurité, il est possible pour le point d’accès d’authentifier la station en utilisant un protocole existant tel que DPP.
L’utilisation de ce second réseau Wi-Fi peut être limitée à la transmission de l’information de sécurité. L’existence de ce second réseau n’est connue que de la station qui connait à l’avance son identifiant SSID, qui est une chaine de caractères vide si le point d’accès diffuse des messages de balise (beacons en anglais) pour ce second réseau, ou n’importe quelle chaine de caractères si le point d’accès ne diffuse pas de messages de balise pour ce second réseau.
De plus, comme la station fournit directement au point d’accès l’information de sécurité, aucune intervention d’un équipement tiers ou de l’utilisateur n’est nécessaire.
Comme l’identifiant SSID du second n’est pas diffusé par le point d’accès, la station doit le connaitre à l’avance, par exemple en ayant été configurée avant sa première utilisation.
Selon un aspect de l'invention, préalablement à l’association au travers du second réseau, la station reçoit un message de balise du point d’accès, le message de balise comprenant un identifiant du second réseau égal à une chaine de caractères vide.
Dans un premier mode de réalisation, le point d’accès diffuse l’identifiant du second réseau, par exemple dans un message de balise, mais le champ SSID du message de balise est laissé vide, comme si l’identifiant du second réseau était une chaine de caractères vide.
Ainsi, l’identifiant, ou le vrai identifiant, du second réseau Wi-Fi reste caché pour des équipements autres que la station et non prévus pour s’associer au premier réseau Wi-Fi du point d’accès, et ce même alors que le point d’accès diffuse des messages de balise pour ce second réseau.
Ainsi la station peut répondre au message de balise conformément à la norme Wi-Fi. Selon l’invention, la station utilise la chaine de caractère vide comme identifiant du second réseau dans une procédure d’association au point d’accès, par exemple dans un message de type « probe request ».
Selon un aspect de l'invention, préalablement à l’association au travers du second réseau, la station ne reçoit pas de message de balise du point d’accès annonçant le second réseau.
Dans un second mode de réalisation, le point d’accès ne diffuse pas de messages de balise pour annoncer l’existence du second réseau.
Ainsi, l’identifiant du second réseau Wi-Fi reste caché pour des équipements autres que la station et non prévus pour s’associer au premier réseau Wi-Fi du point d’accès.
Ainsi, conformément à la norme Wi-Fi, la station peut prendre l’initiative de la procédure d’association sans recevoir de message de balise. Selon l’invention la station utilise la chaine de caractère correspondant à l’identifiant du second réseau, que la station connait à l’avance, dans une procédure d’association au point d’accès, par exemple dans un message de type « probe request ».
Selon un aspect de l'invention, le procédé d’association est déclenché par le démarrage de la station.
Ainsi, aucune intervention de l’utilisateur n’est nécessaire sur la station. Par exemple, si la station est une « set-op-box » ou un répéteur Wi-Fi, il suffit à l’utilisateur de la sortir de son emballage et de la mettre sous tension, au moment où il en fait l’acquisition. Ultérieurement, si la station se trouve désassociée du point d’accès, il lui suffit de redémarrer ou mettre à zéro la station, pour la réassocier au premier réseau Wi-Fi du point d’accès.
Selon un aspect de l'invention, le procédé d’association comprend la suppression de l’association de la station au point d’accès au travers du second réseau Wi-Fi, avant l’association de la station au point d’accès au travers du premier réseau Wi-Fi.
Ainsi, l’association entre STA et AP est refermée à l’initiative de la station dès que les données de sécurité sont échangées. Cela libère des ressources pour le point d’accès et, au cas où la station ne peut s’associer qu’à un seul point d’accès à la fois, cela lui permet de s’associer à nouveau sur un autre point d’accès, virtuel ou non.
Selon un aspect de l'invention, le procédé d’association comprend la réception, au travers du second réseau, d’une information de sécurité de la part du point d’accès.
Ainsi, la station peut également effectuer des opérations de sécurité telles qu’authentifier le point d’accès ou chiffrer les données qu’elle lui transmet. La sécurisation est alors mutuelle entre la station et le point d’accès.
Les différents aspects du procédé d’association, mis en œuvre par la station et qui viennent d'être décrits, peuvent être mis en œuvre indépendamment les uns des autres ou en combinaison les uns avec les autres.
L'invention concerne aussi un procédé d’association d’une station Wi-Fi à un point d’accès Wi-Fi au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, le procédé étant mis en œuvre par le point d’accès et comprenant :
  • établissement d’une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • réception en provenance de la station d’une information de sécurité, au travers du second réseau,
  • établissement d’une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
Du côté du point d’accès, on comprend que l’association n’est réalisée au travers du second réseau qu’à la condition que la station fournisse l’identifiant attendu par le point d’accès pour ce second réseau, qui est pourtant non diffusé par le point d’accès.
L’information de sécurité fournie par la station n’est utilisée qu’à cette condition, ce qui augmente le niveau de sécurité de l’association de la station avec le premier réseau.
Selon un aspect de l'invention, préalablement à l’association au travers du second réseau, le point d’accès émet un message de balise, le message de balise comprenant un identifiant du second réseau égal à une chaine de caractères vide.
Ceci correspond au premier mode de réalisation, mis en œuvre du côté du point d’accès.
Selon un aspect de l'invention, préalablement à l’association au travers du second réseau, le point d’accès n’émet pas de message de balise annonçant le second réseau.
Ceci correspond au second mode de réalisation, mis en œuvre du côté du point d’accès.
Selon un aspect de l'invention, le procédé d’association comprend la suppression de l’association de la station au point d’accès au travers du second réseau Wi-Fi, avant l’association de la station au point d’accès au travers du premier réseau Wi-Fi .
Ainsi, l’association entre STA et AP est refermée à l’initiative du point d’accès dès que les données de sécurité sont échangées. Cela libère des ressources pour le point d’accès et, au cas où la station ne peut s’associer qu’à un seul point d’accès à la fois, cela lui permet de s’associer à nouveau sur un autre point d’accès, virtuel ou non.
Selon un aspect de l'invention, l’information de sécurité est ignorée si elle est reçue à l’extérieur d’une fenêtre temporelle ouverte par une action de l’utilisateur sur le point d’accès.
Ainsi, le niveau de sécurité de l’association au premier réseau est augmenté, toujours sans intervention d’un équipement tiers.
L’action de l’utilisateur est par exemple d’appuyer sur un bouton spécifique, parfois appelé bouton d’appairage, positionné sur le boitier du point d’accès, afin d’ouvrir une fenêtre temporelle limitée durant laquelle le point d’accès se met en attente de données de la part de la station. Ainsi, la probabilité est considérablement réduite que ces données soient reçues et traitées par un autre point d’accès situé à proximité et supportant un réseau avec le même identifiant que le second réseau.
Selon un aspect de l'invention, le procédé d’association comprend l’émission vers la station, au travers du second réseau, d’une information de sécurité de la part du point d’accès.
L’information de sécurité transmise par le point d’accès à la station est par exemple une clé cryptographique propre au point d’accès. Ainsi, la station peut également effectuer des opérations de sécurité telles qu’authentifier le point d’accès ou chiffrer les données qu’elle transmet au point d’accès. La sécurisation est alors mutuelle entre la station et le point d’accès.
Selon un aspect de l'invention, l’information de sécurité est ignorée si elle ne correspond pas à une donnée reçue séparément de la part d’un terminal distinct de la station.
Ainsi, le point d’accès n’établit la seconde association que si l’information de sécurité reçue à l’aide de la première association est confirmée par une donnée reçue par un autre canal. Ceci empêche par exemple une station proche du point d’accès, mais non prévue ou non autorisée, de s’associer durablement au point d’accès. La donnée en question est par exemple un condensé (hash en anglais) de l’information de sécurité, figurant dans un QR code affiché sur le boitier de la station autorisée. Le terminal distinct est par exemple un smartphone connecté en Wi-Fi au point d’accès et utilisé pour capter le QR code.
Les différents aspects du procédé d’association, mis en œuvre par le point d’accès et qui viennent d'être décrits, peuvent être mis en œuvre indépendamment les uns des autres ou en combinaison les uns avec les autres.
Les procédés d’association mis en œuvre par la station et par le point d’accès sont des procédés distincts.
L'invention concerne également un dispositif d’association d’une station Wi-Fi à un point d’accès Wi-Fi au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, le dispositif étant compris dans la station et comprenant un récepteur, un émetteur, un processeur et une mémoire couplée au processeur avec des instructions destinées à être exécutées par le processeur pour :
  • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • émettre vers le point d’accès d’une information de sécurité, au travers du second réseau,
  • établir une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
Ce dispositif, apte à mettre en œuvre dans tous ses modes de réalisation le procédé d’association qui vient d'être décrit, est destiné à être mis en œuvre dans une station Wi-Fi.
L'invention concerne également un dispositif d’association d’une station Wi-Fi à un point d’accès Wi-Fi au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, le dispositif étant compris dans le point d’accès et comprenant un récepteur, un émetteur, un processeur et une mémoire couplée au processeur avec des instructions destinées à être exécutées par le processeur pour :
  • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • recevoir en provenance de la station d’une information de sécurité, au travers du second réseau,
  • établir une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
Ce dispositif, apte à mettre en œuvre dans tous ses modes de réalisation le procédé d’association qui vient d'être décrit, est destiné à être mis en œuvre dans un point d’accès Wi-Fi.
L'invention concerne aussi un programme d'ordinateur comprenant des instructions qui, lorsque ces instructions sont exécutées par un processeur, conduisent celui-ci à mettre en œuvre les étapes du procédé d’association mis en œuvre par une station Wi-Fi, qui vient d'être décrit.
L’invention vise aussi un support d'informations lisibles par une station Wi-Fi, et comportant des instructions de programmes d'ordinateur tel que mentionnés ci-dessus.
L'invention concerne aussi un programme d'ordinateur comprenant des instructions qui, lorsque ces instructions sont exécutées par un processeur, conduisent celui-ci à mettre en œuvre les étapes du procédé d’association mis en œuvre par un point d’accès Wi-Fi, qui vient d'être décrit.
L’invention vise aussi un support d'informations lisibles par un point d'accès Wi-Fi, et comportant des instructions de programmes d'ordinateur tel que mentionnés ci-dessus.
Les programmes mentionnés ci-dessus peuvent utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
Les supports d'informations mentionnés ci-dessus peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, un support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique.
Un tel moyen de stockage peut par exemple être un disque dur, une mémoire flash, etc.
D'autre part, un support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Un programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, un support d'informations peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés en question.
4. Présentation des figures
D'autres avantages et caractéristiques de l'invention apparaitront plus clairement à la lecture de la description suivante d'un mode de réalisation particulier de l'invention, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels :
la présente un exemple de mise en œuvre du procédé d’association d’une station Wi-Fi à un point d’accès Wi-Fi, selon des modes de réalisation de l'invention,
la présente un exemple de structure d'un dispositif dans une station Wi-Fi, mettant en œuvre le procédé d’association de la station Wi-Fi à un point d’accès Wi-Fi, selon un aspect de l'invention,
la présente un exemple de structure d'un dispositif dans un point d’accès Wi-Fi, mettant en œuvre le procédé d’association d’une station Wi-Fi au point d’accès Wi-Fi, selon un aspect de l'invention.
5. Description détaillée d'au moins un mode de réalisation de l'invention
Dans la suite de la description, il est entendu que l'invention s'applique à toutes les déclinaisons des normes IEEE 802.11. Le terme SSID entre autres, identifiant un point d’accès Wi-Fi, n’est qu’un exemple des manières d’identifier un point d’accès Wi-Fi, qu’il soit physique ou virtuel.
La présente un exemple de mise en œuvre du procédé d’association d’une station Wi-Fi à un point d’accès Wi-Fi, selon des modes de réalisation de l'invention.
Les exemples qui suivent se basent sur l’utilisation de DPP comme protocole de sécurisation de l’association d’une station Wi-Fi à un point d’accès Wi-Fi identifié par un identifiant SSID1. L’invention s’applique à tout protocole sécurisé basé sur un échange préalable d’informations de sécurité telles que par exemple des clés cryptographique.
L’appairage désigne l’ensemble des opérations effectuées entre une station et un point d’accès Wi-Fi menant à l’établissement d’une connexion entre la station et un réseau au travers de ce point d’accès. L’appairage se fait donc en plusieurs phases, décrites ci-dessous selon des modes de réalisation de l’invention. La première phase de l’appairage est la phase d’amorçage (« bootstrapping » en anglais), durant laquelle la station STA s’associe temporairement au point d’accès physique AP, afin de lui transmettre et de recevoir les informations de sécurité nécessaires à un protocole de sécurisation, par exemple le protocole DPP. Une fois les informations de sécurité transmises entre la station STA et le point d’accès AP, il est mis fin à l’association temporaire.
Après la phase d’amorçage viennent des phases d’authentification et de configuration, effectuées par exemple selon le protocole DPP.
Enfin, l’appairage se termine par la phase d’association de la station avec le point d’accès AP sur la base de l’identifiant SSID1.
Le point d’accès AP est par exemple une passerelle domestique d’accès à Internet, telle que par exemple une Livebox de l’opérateur Orange (Livebox et Orange sont des marques déposées). Le point d’accès AP est préconfiguré pour diffuser un identifiant de type SSID, SSID1, par exemple au moyen de messages de balise (« beacons » en anglais). Le point d’accès AP est aussi préconfiguré avec un second identifiant de type SSID, SSID2, qui peut ne pas être diffusé. Techniquement, la coexistence des 2 identifiants SSID1 et SSID2 peut se traduire par exemple par deux interfaces logiques respectivement VAP1 et VAP2 (aussi appelées en anglais « virtual access points ») sur l’interface physique du point d’accès, associées respectivement aux identifiants SSID1 et SSID2. Les interfaces logiques aussi appelées des points d’accès virtuels ; les deux termes sont utilisés indistinctement dans la suite du document. Par commodité les noms VAP1 et VAP2 sont également donnés aux réseaux WI-Fi respectivement accessibles par ces points.
On comprend que les points d’accès virtuels VAP1 et VAP2 sont contenus dans le point d’accès physique AP. Si le point d’accès AP possède plusieurs interfaces physiques, par exemple une à 2,4 GHz et une à 5 GHz, les points d’accès virtuels VAP1 et VAP2 peuvent être présents sur chacune des interfaces physiques, ou seulement sur une des deux.
Selon l’invention, la phase d’amorçage se fait sur l’interface logique VAP2 du point d’accès AP, et la phase d’association se fait sur l’interface logique VAP1 du point d’accès AP. L’interface logique VAP1 est par ailleurs celle sur laquelle les équipements du réseau Wi-Fi local, tels que la station STA, sont destinés à établir une association durable, par exemple pour servir de support à une connexion de la station STA à Internet, au travers du point d’accès. Les phases d’authentification et de configuration propres à DPP utilisent l’interface physique du point d’accès AP et n’ont pas besoin de distinguer les deux interfaces logiques du point d’accès AP. La station STA s’associe également au point d’accès AP durant la phase d’amorçage, mais sur l’interface logique VAP2 et non sur l’interface logique VAP1.
La station STA peut-être n’importe quel équipement destiné à se connecter sur le réseau local Wi-Fi offert par le point d’accès AP. Par exemple la station STA est un répéteur Wi-Fi qui permet d’augmenter la couverture Wi-Fi de la Livebox, ou qui permet de remplacer la version Wi-Fi de la Livebox par une version plus récente (Wi-Fi 5 par Wi-Fi 6 par exemple). La station STA est configurée, à l’avance de sa première utilisation, pour connaitre l’identifiant SSID2 du point d’accès AP, ainsi que le mot de passe associé (« passphrase » en anglais). Selon l’invention, la station connait donc à l’avance au moins les références (« credentials » en anglais) pour effectuer son association au point d’accès virtuel VAP2 identifié par SSID2.
Ensuite, pour effectuer son association au point d’accès virtuel VAP1 identifié par SSID1, les références peuvent être demandées par le point d’accès à la station selon une technique connue.
Dans un premier mode de réalisation, le point d‘accès virtuel VAP2 du point d’accès AP diffuse des messages de balise (« beacons » en anglais) afin de se laisser découvrir par une station, mais les messages de balise contiennent un champ SSID laissé vide. En d’autres termes, s’il existe une chaine de caractères, non vide, SSID2, correspondant à un identifiant de VAP2, cette chaine de caractères n’est pas diffusée par le point d’accès AP. La station STA connait ce fait et répond à un tel message de balise par un message « probe request » contenant un champ SSID également laissé vide.
Dans un second mode de réalisation, le point d‘accès virtuel VAP2 du point d’accès AP ne diffuse aucun message de balise. En d’autres termes, la chaine de caractères SSID2, non vide, correspondant à un identifiant de VAP2, n’est pas diffusée par le point d’accès AP. La station STA connait ce fait et émet un message « probe request » contenant un champ SSID égal à SSID2, sans attendre de message de balise correspondant de la part du point d’accès VAP2.
Dans un troisième mode de réalisation, le point d‘accès virtuel VAP2 du point d’accès AP diffuse des messages de balise avec un champ SSID contenant une chaine de caractères non vide égale à SSID2. La station STA connait SSID2 à l’avance et répond à un tel message de balise par un message « probe request » contenant SSID2.
Dans le premier mode de réalisation comme dans le second, le point d’accès AP ne diffuse pas d’identifiant SSID2 qui soit différent d’une chaine de caractère vide.
Lors d’une étape E1a répétée régulièrement, le point d’accès virtuel VAP1 émet des messages de balise BcnSSID1 comprenant son identifiant SSID1, afin d’annoncer aux stations environnantes la disponibilité de ce point d’accès identifié par SSID1. Cette étape E1a peut être omise si le point d’accès virtuel VAP1 répond avec son identifiant SSID1 à des « probe requests » spontanés de la part des stations.
Lors d’une étape E1b dans le premier mode de réalisation uniquement, répétée régulièrement, le point d’accès virtuel VAP2 émet des messages de balise BcnSSID2 afin d’annoncer aux stations environnantes la disponibilité de ce point d’accès, mais en laissant vide le champ SSID de chaque message de balise, c’est-à-dire en le mettant égal à une chaine de caractères vide.
Dans le second mode de réalisation l’étape E1b n’est pas réalisée.
Dans tous les modes de réalisation, la station STA, même si elle reçoit déjà des messages de balise avec l’identifiant SSID1, n’effectue pas encore d’association avec le point d’accès AP sur la base de l’identifiant SSID1. A la place, la station STA effectue la phase d’amorçage.
Au cours d’étapes non illustrées, la station et le point d’accès échangent leurs capacités respectives, par exemple au moyen d’un message de type « probe request » émis par la station STA et comprenant l’identifiant SSID2 (vide dans le cas du premier mode de réalisation), et d’un message de type « probe response » émis par le point d’accès pour le réseau identifié par SSID2, c’est-à-dire VAP2.
Lors d’une étape E201 la station STA émet vers le point d’accès virtuel VAP2 une requête d’authentification AuthReq.
Lors d’une étape E202 la station STA reçoit en réponse du point d’accès virtuel VAP2 une réponse d’authentification AuthResp.
Lors d’une étape E203 la station STA émet vers le point d’accès virtuel VAP2 une requête d’association AssocReq.
Lors d’une étape E204 la station STA reçoit en réponse du point d’accès virtuel VAP2 une réponse d’association AssocResp.
Lors d’une étape E205, la station STA et le point d’accès virtuel VAP2 échangent des messages EAPol permettant au point d’accès d’obtenir les références (« credentials » en anglais) de la station STA lui donnant le droit de s’associer à VAP2. Ces références incluent par exemple le mot de passe (passphrase) correspondant à l’identifiant SSID2.
Les étapes E201 à E205 sont connues et conformes aux normes Wi-Fi.
La station STA est alors associée au point d’accès virtuel VAP2. On dit aussi que la station STA est associée au point d’accès physique AP par son interface logique VAP2.
C’est par le biais de cette première association que sont échangées les informations de sécurité qui sont nécessaires à une autre association, celle entre la station STA et le point d’accès virtuel VAP1, autrement dit le point d’accès physique AP via son interface logique VAP1 identifiée par SSID1.
Lors d’une étape E206, la station STA émet, à destination du point d’accès VAP2 uniquement, une première information de sécurité STAPubK, par exemple sa clé cryptographique. Cette clé est par exemple une clé publique ou privée de chiffrement, ou tout type de matériau cryptographique. L’information de sécurité est par exemple incluse dans une trame de type https.
Dans une variante commune aux deux modes de réalisation, dite variante symétrique, lors d’une étape E207, le point d’accès VAP2 émet, à destination de la station STA uniquement, une seconde information de sécurité APPubK, par exemple la clé cryptographique du point d’accès virtuel VAP2. Cette clé est de préférence du même format que la première information de sécurité.
Lors d’une étape E208, l’association temporaire entre la station STA et le point d’accès virtuel VAP2 est fermée, soit à l’initiative de la station soit à l’initiative du point d’accès. Le point d’accès VAP2, après avoir éventuellement acquitté la réception de la trame https comprenant l’information de sécurité de la station, émet vers la station STA un message de type « disassociation » ou « deauthentication ». Alternativement, la station STA peut, après avoir reçu l’acquittement de la trame https, émettre vers le point d’accès un message de type « disassociation » ou « deauthentication ».
Dans la variante symétrique, si la clé cryptographique du point d’accès est transmise après celle de la station, la station STA, après avoir éventuellement acquitté la réception de la trame https comprenant l’information de sécurité du point d’accès, émet vers le point d’accès VAP2 un message de type « disassociation » ou « deauthentication ». Alternativement, le point d’accès VAP2 peut, après avoir reçu l’acquittement de la trame https, émettre vers la station STA un message de type « disassociation » ou « deauthentication ».
Avec la fermeture de l’association temporaire se termine la phase d’amorçage, et les phases d’authentification et de configuration de DPP peuvent commencer.
Optionnellement, afin d’éviter qu’une station autre que la station STA, proche du point d’accès AP, mais non prévue ou non autorisée, s’associe durablement au point d’accès après avoir effectué avec succès les étapes précédemment décrites, le point d’accès attend une confirmation sous la forme d’une donnée reçue séparément de la part d’un terminal de confiance et distinct de la station STA. Si cette donnée ne correspond pas à l’information de sécurité déjà reçue de la part de la station, cela signifie que l’information de sécurité et la donnée ne sont pas relatives à la même station. Dans ce cas, le point d’accès n’établit pas d’association au travers du réseau VAP1.
La donnée en question est par exemple un condensé (hash en anglais) de l’information de sécurité, figurant dans un QR code affiché sur le boitier de la station autorisée. Le terminal distinct est par exemple un smartphone connecté en Wi-Fi au point d’accès et utilisé pour capter le QR code. La donnée peut être reçue par le point d’accès à tout moment, même préalablement au début du procédé d’association afin d’être stockée par le point d’accès AP en prévision d’une association de la station STA. Alternativement au QR code, la donnée peut aussi être transmise de la station STA au smartphone par NFC (Near Field Communication, en anglais) ou par Bluetooth.
Dans le cadre du protocole DPP qui n’est qu’un exemple de protocole utilisable dans le cadre de l’invention, lors d’une étape E301, selon une technique connue, le point d’accès physique AP émet à destination de la station STA un message DPPAuthRq de demande d’authentification comprenant au moins un élément chiffré avec la clé publique de la station STA. Cet élément comprend au moins ladite clé publique de la station STA. Si la station STA, déchiffrant cet élément à l’aide de sa clé privée, découvre sa propre clé publique, elle émet, lors d’une étape E302, selon une technique connue, un message DPPAuthResp de réponse d’authentification comprenant au moins une information relative aux capacités de la station STA. Lors d’une étape E303, selon une technique connue, si ces capacités conviennent au point d’accès AP, il émet un message DPPAuthConfirm. Dans la variante symétrique, de manière connue les étapes E301 et E302 incluent également un élément chiffré par la station STA à l’aide de la clé publique du point d’accès.
Aussi dans le cadre du protocole DPP qui n’est qu’un exemple de protocole utilisable dans le cadre de l’invention, lors d’une étape E304 selon une technique connue, la station STA et le point d’accès AP échangent des messages DPPConfig de configuration utilisant une clé cryptographique précédemment échangée lors des étapes E301 à E303.
Une fois l’authentification forte (simple ou mutuelle) réalisée par les étapes E301 à E304, la station STA peut alors s’associer au point d’accès physique AP par son interface logique VAP1 identifiée par l’identifiant SSID1.
En d’autres termes, si les phases d’authentification et de configuration de DPP, qui se basent sur la ou les clés cryptographiques échangées au travers de la première association temporaire au travers du réseau VAP2, se sont déroulées correctement, alors une association durable de la station STA au point d’accès AP est autorisée au travers du réseau VAP1. On comprend que cette association durable dépend donc des informations de sécurité échangées durant la phase d’amorçage au cours de laquelle une association temporaire a été établie.
Cette association est réalisée lors des étapes E401 à E405 qui sont similaires aux étapes E201 à E205 précédemment décrites, mais avec SSID1 au lieu de SSID2.
On comprend que la phase d’amorçage (étapes E201 à E208) selon l’invention, qui a permis la transmission d’une clé cryptographique de la station STA au point d’accès AP (et la réciproquement la transmission d’une clé cryptographique du point d’accès AP à la station STA dans le cas d’une authentification mutuelle), ne nécessitent aucune intervention d’un terminal tiers, et aucune intervention de l’utilisateur de la station STA, donc aucune interface utilisateur sur la station STA, contrairement à la technique antérieure. Les phases d’authentification et de configuration, effectuées par exemple selon le protocole DPP, restent inchangées tout en conservant le même niveau de sécurité. Ainsi, la station STA s’associe avec le point d’accès AP sur la base de l’identifiant SSID1 avec le même niveau de sécurité que celui prévu par le protocole DPP.
La présente un exemple de structure d'un dispositif dans une station Wi-Fi, mettant en œuvre le procédé d’association de la station Wi-Fi à un point d’accès Wi-Fi, selon un aspect de l'invention.
Le dispositif 100 met en œuvre le procédé d’association, dont différents modes de réalisation viennent d'être décrits.
Un tel dispositif 100 peut être mis en œuvre dans une station Wi-Fi, telle que par exemple la station STA, qui peut être un décodeur TV, un répéteur Wi-Fi, ou tout autre terminal apte à se connecter à un réseau Wi-Fi.
Par exemple, le dispositif 100 comprend un récepteur 101, un émetteur 102, une unité de traitement 130, équipée par exemple d'un microprocesseur µP, et pilotée par un programme d'ordinateur 110, stocké dans une mémoire 120 et mettant en œuvre le procédé d’association selon l'invention. A l’initialisation, les instructions de code du programme d’ordinateur 110 sont par exemple chargées dans une mémoire RAM, avant d’être exécutées par le processeur de l’unité de traitement 130.
Une telle mémoire 120, un tel processeur de l’unité de traitement 130, un tel récepteur 101 et un tel émetteur 102 sont aptes à, et configurés pour :
  • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • émettre vers le point d’accès d’une information de sécurité, au travers du second réseau,
  • établir une association de la station au point d’accès au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, en fonction de l’information de sécurité.
Avantageusement, ils sont également aptes à, et configurés pour :
  • déclencher les étapes du procédé suite au démarrage de la station,
  • recevoir un message de balise du point d’accès, le message de balise comprenant un identifiant du second réseau égal à une chaine de caractères vide,
  • recevoir, au travers du second réseau, une information de sécurité de la part du point d’accès,
  • supprimer l’association de la station au point d’accès au travers du second réseau Wi-Fi, avant d’établir l’association de la station au point d’accès au travers du premier réseau Wi-Fi.
La présente un exemple de structure d'un dispositif dans un point d’accès Wi-Fi, mettant en œuvre le procédé d’association d’une station Wi-Fi au point d’accès Wi-Fi, selon un aspect de l'invention.
Le dispositif 200 met en œuvre le procédé d’association, dont différents modes de réalisation viennent d'être décrits.
Un tel dispositif 200 peut être mis en œuvre dans une station Wi-Fi, telle que par exemple le point d’accès AP, qui peut être une passerelle ou un routeur domestique d’accès à Internet.
Par exemple, le dispositif 200 comprend un récepteur 201, un émetteur 202, une unité de traitement 230, équipée par exemple d'un microprocesseur µP, et pilotée par un programme d'ordinateur 210, stocké dans une mémoire 220 et mettant en œuvre le procédé d’association selon l'invention. A l’initialisation, les instructions de code du programme d’ordinateur 210 sont par exemple chargées dans une mémoire RAM, avant d’être exécutées par le processeur de l’unité de traitement 230.
Une telle mémoire 220, un tel processeur de l’unité de traitement 230, un tel récepteur 201 et un tel émetteur 202 sont aptes à, et configurés pour :
  • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi non annoncé par le point d’accès,
  • recevoir de la station une information de sécurité, au travers du second réseau,
  • établir une association de la station au point d’accès au travers d’un premier réseau Wi-Fi annoncé par le point d’accès, en fonction de l’information de sécurité.
Avantageusement, ils sont également aptes à, et configurés pour :
  • préalablement à l’association au travers du second réseau, émettre un message de balise, le message de balise comprenant un identifiant du second réseau égal à une chaine de caractères vide,
  • préalablement à l’association au travers du second réseau, ne pas émettre de message de balise annonçant le second réseau,
  • supprimer l’association de la station au point d’accès au travers du second réseau Wi-Fi, avant d’établir l’association de la station au point d’accès au travers du premier réseau Wi-Fi,
  • ignorer l’information de sécurité est si elle est reçue à l’extérieur d’une fenêtre temporelle ouverte par une action de l’utilisateur sur le point d’accès,
  • émettre vers la station, au travers du second réseau, une information de sécurité de la part du point d’accès
  • ignorer l’information de sécurité si elle ne correspond pas à une donnée reçue séparément de la part d’un terminal distinct de la station.
Les entités décrites et comprises dans les dispositifs décrits en relation avec les figures 2 et 3 peuvent être matérielles ou logicielles. Les figures 2 et 3 illustrent seulement une manière particulière, parmi plusieurs possibles, de réaliser le procédé détaillé ci-dessus, en relation avec les figures précédentes. En effet, la technique de l’invention se réalise indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d’instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel).
Dans le cas où l’invention est implantée sur une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d’instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une clé USB, une disquette, un CD-ROM ou un DVD-ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.

Claims (15)

  1. Procédé d’association d’une station Wi-Fi (STA) à un point d’accès Wi-Fi (AP) au travers d’un premier réseau Wi-Fi (VAP1) annoncé par le point d’accès, le procédé étant mis en œuvre par la station et comprenant :
    • établissement d’une association (E201-E205) de la station au point d’accès au travers d’un second réseau Wi-Fi (VAP2) non annoncé par le point d’accès,
    • émission (E206) vers le point d’accès d’une information de sécurité (STAPubK), au travers du second réseau,
    • établissement d’une association (E401-E405) de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
  2. Procédé selon la revendication 1, où préalablement à l’établissement d’une association au travers du second réseau (VAP2), la station (STA) reçoit (E1b) un message de balise (BcnSSID2) du point d’accès (AP), le message de balise comprenant un identifiant du second réseau (SSID2) égal à une chaine de caractères vide.
  3. Procédé selon la revendication 1, où préalablement à l’établissement d’une association au travers du second réseau, la station (STA) ne reçoit pas de message de balise du point d’accès (AP) annonçant le second réseau (VAP2).
  4. Procédé selon l’une des revendications 1 à 3, où le procédé est déclenché par le démarrage de la station (STA).
  5. Procédé selon l’une des revendications 1 à 4, comprenant la suppression (E208) de l’association de la station (STA) au point d’accès (AP) au travers du second réseau Wi-Fi (VAP2), avant l’établissement de l’association de la station au point d’accès au travers du premier réseau Wi-Fi (VAP1).
  6. Procédé selon l’une des revendications 1 à 5, comprenant la réception (E207), au travers du second réseau (VAP2), d’une information de sécurité (APPubK) de la part du point d’accès (AP).
  7. Procédé d’association d’une station Wi-Fi (STA) à un point d’accès Wi-Fi (AP) au travers d’un premier réseau Wi-Fi (VAP1) annoncé par le point d’accès, le procédé étant mis en œuvre par le point d’accès et comprenant :
    • établissement d’une association (E201-E205) de la station au point d’accès au travers d’un second réseau Wi-Fi (VAP2) non annoncé par le point d’accès,
    • réception (E206) en provenance de la station d’une information de sécurité (STAPubK), au travers du second réseau,
    • établissement d’une association (E401-E405) de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
  8. Procédé selon la revendication 7, où préalablement à l’établissement de l’association au travers du second réseau (VAP2), le point d’accès (AP) émet un message de balise (BcnSSID2), le message de balise comprenant un identifiant du second réseau (SSID2) égal à une chaine de caractères vide.
  9. Procédé selon la revendication 7, où préalablement à l’établissement de l’association au travers du second réseau (VAP2), le point d’accès (AP) n’émet pas de message de balise annonçant le second réseau.
  10. Procédé selon l’une des revendications 7 à 9, comprenant la suppression (E208) de l’association de la station (STA) au point d’accès (AP) au travers du second réseau Wi-Fi (VAP2), avant l’établissement de l’association de la station au point d’accès au travers du premier réseau Wi-Fi (VAP1).
  11. Procédé selon l’une des revendications 7 à 10, où l’information de sécurité (STAPubK) est ignorée si elle est reçue à l’extérieur d’une fenêtre temporelle ouverte par une action de l’utilisateur sur le point d’accès (AP).
  12. Procédé selon l’une des revendications 7 à 11, comprenant l’émission (E207) vers la station (STA), au travers du second réseau (VAP2), d’une information de sécurité (APPubK) de la part du point d’accès (AP).
  13. Procédé selon l’une des revendications 7 à 12, où l’information de sécurité (STAPubK) est ignorée si elle ne correspond pas à une donnée reçue séparément de la part d’un terminal distinct de la station (STA).
  14. Dispositif d’association d’une station Wi-Fi (STA) à un point d’accès Wi-Fi (AP) au travers d’un premier réseau Wi-Fi (VAP1) annoncé par le point d’accès, le dispositif étant compris dans la station et comprenant un récepteur (101), un émetteur (102), un processeur (130) et une mémoire (120) couplée au processeur avec des instructions destinées à être exécutées par le processeur pour :
    • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi (VAP2) non annoncé par le point d’accès,
    • émettre vers le point d’accès d’une information de sécurité (STAPubK), au travers du second réseau,
    • établir une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
  15. Dispositif d’association d’une station Wi-Fi (STA) à un point d’accès Wi-Fi (AP) au travers d’un premier réseau Wi-Fi (VAP1) annoncé par le point d’accès, le dispositif étant compris dans le point d’accès et comprenant un récepteur (201), un émetteur (202), un processeur (230) et une mémoire (220) couplée au processeur avec des instructions destinées à être exécutées par le processeur pour :
    • établir une association de la station au point d’accès au travers d’un second réseau Wi-Fi (VAP2) non annoncé par le point d’accès,
    • recevoir en provenance de la station d’une information de sécurité (STAPubK), au travers du second réseau,
    • établir une association de la station au point d’accès au travers du premier réseau, en fonction de l’information de sécurité.
PCT/EP2022/084958 2021-12-17 2022-12-08 Procédés et dispositifs facilitant l'appairage wi-fi sécurisé WO2023110614A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2113926A FR3131165A1 (fr) 2021-12-17 2021-12-17 Procédés et dispositifs facilitant l’appairage Wi-Fi sécurisé
FRFR2113926 2021-12-17

Publications (1)

Publication Number Publication Date
WO2023110614A1 true WO2023110614A1 (fr) 2023-06-22

Family

ID=80786494

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/084958 WO2023110614A1 (fr) 2021-12-17 2022-12-08 Procédés et dispositifs facilitant l'appairage wi-fi sécurisé

Country Status (2)

Country Link
FR (1) FR3131165A1 (fr)
WO (1) WO2023110614A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012151351A1 (fr) * 2011-05-04 2012-11-08 Marvell World Trade Ltd. Authentification sans fil à l'aide de messages balises
US20120317619A1 (en) * 2011-06-13 2012-12-13 Siddhartha Dattagupta Automated seamless reconnection of client devices to a wireless network
EP3637859A1 (fr) * 2017-07-04 2020-04-15 Huawei Technologies Co., Ltd. Procédé de balayage de points d'accès et dispositif électronique

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012151351A1 (fr) * 2011-05-04 2012-11-08 Marvell World Trade Ltd. Authentification sans fil à l'aide de messages balises
US20120317619A1 (en) * 2011-06-13 2012-12-13 Siddhartha Dattagupta Automated seamless reconnection of client devices to a wireless network
EP3637859A1 (fr) * 2017-07-04 2020-04-15 Huawei Technologies Co., Ltd. Procédé de balayage de points d'accès et dispositif électronique

Also Published As

Publication number Publication date
FR3131165A1 (fr) 2023-06-23

Similar Documents

Publication Publication Date Title
EP1903746B1 (fr) Procédé de sécurisation de sessions entre un terminal radio et un équipement dans un réseau
FR2928798A1 (fr) Procede d'authentification, systeme d'authentification, terminal serveur, terminal client et programmes d'ordinateur correspondants
WO2023110614A1 (fr) Procédés et dispositifs facilitant l'appairage wi-fi sécurisé
EP2868130B1 (fr) Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces
EP2608590A1 (fr) Auto-configuration d'un équipement pour la connexion à un réseau sans fil sécurisé
EP2348763B1 (fr) Procédé d'authentification d'un terminal mobile pour accéder à un serveur d'applications
WO2017194852A1 (fr) Technique d'authentification d'un dispositif utilisateur
EP3568964B1 (fr) Procédé de transmission d'une information numérique chiffrée de bout en bout et système mettant en oeuvre ce procédé
FR3079709A1 (fr) Procede de connexion sans fil d'un objet communicant a un reseau de communication local, programme d'ordinateur et equipement d'acces correspondant.
EP3682661A1 (fr) Accès à un service avec authentification basée sur un terminal mobile
EP2608591B1 (fr) Auto-configuration d'un terminal mobile pour la connexion à un réseau sans fil sécurisé
CA3153796A1 (fr) Procede de connexion d'un noeud de communication, et noeud de communication correspondant
EP2870817B1 (fr) Procede de traitement d'une requête de connexion a un reseau d'acces sans fil
EP2471237B1 (fr) Dispositif électronique nomade configuré pour établir une communication sans fil sécurisé
EP2400726B1 (fr) Procédé d'identification d'un réseau local identifié par une adresse IP publique
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
FR3052004B1 (fr) Procede d'echange de donnees entre un objet connecte et un serveur central.
WO2024068498A1 (fr) Procédés de preuve et de vérification d'usage d'une suite de chiffrement, entité de vérification, dispositifs de communication, terminal, et programme d'ordinateur associés
FR2911036A1 (fr) Procede d'itinerance dans un reseau sans fil.
FR3060163B1 (fr) Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance.
EP4329245A1 (fr) Procédé et dispositif de connexion sécurisée dans un réseau local
FR3128089A1 (fr) Procédé et dispositif de sélection d’une station de base
FR2985402A1 (fr) Procede de connexion a un reseau local d'un terminal mettant en oeuvre un protocole de type eap et systeme de communication associe
FR3093882A1 (fr) Procédé de configuration d’un objet communicant dans un réseau de communication, terminal utilisateur, procédé de connexion d’un objet communicant au réseau, équipement d’accès et programmes d’ordinateur correspondants.
FR3112002A1 (fr) Procédé et dispositif de détection d'une faille de sécurité.

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22834929

Country of ref document: EP

Kind code of ref document: A1