WO2023203013A1 - Réseau de communication privé sécurisé - Google Patents

Réseau de communication privé sécurisé Download PDF

Info

Publication number
WO2023203013A1
WO2023203013A1 PCT/EP2023/059983 EP2023059983W WO2023203013A1 WO 2023203013 A1 WO2023203013 A1 WO 2023203013A1 EP 2023059983 W EP2023059983 W EP 2023059983W WO 2023203013 A1 WO2023203013 A1 WO 2023203013A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
access point
nfc
user
ibc
Prior art date
Application number
PCT/EP2023/059983
Other languages
English (en)
Inventor
Olivier Lepetit
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2023203013A1 publication Critical patent/WO2023203013A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B13/00Transmission systems characterised by the medium used for transmission, not provided for in groups H04B3/00 - H04B11/00
    • H04B13/005Transmission systems in which the medium consists of the human body
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/47Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Definitions

  • the invention relates to establishing a private communications network using near field technology.
  • the invention aims in particular at access of a terminal to a wireless network, for example Wi-Fi, administered by an access point, for example a domestic gateway or a mobile telephone of the "mobile hotspot" type, in in which a mobile phone is used as a network gateway.
  • a wireless network for example Wi-Fi
  • an access point for example a domestic gateway or a mobile telephone of the "mobile hotspot" type
  • a mobile phone is used as a network gateway.
  • the user enters the local network identification parameters into the terminal, for example WiFi type.
  • SSID Service Set Identifier
  • WPA WiFi Protected Access
  • PSK Pre-Shared Key
  • the invention improves the state of the art. To this end, it relates to a method of pairing a terminal equipped with a near-field module on a private network of an access point equipped with a near-field module, said access point being located at immediate proximity of a user, said access point being capable of communicating with the terminal: - on a first near-field channel using electromagnetic wave conduction capabilities of the body of said user, and:
  • the method comprising, on the access point positioned close to the user, the method comprising, on the access point, the steps of:
  • the invention thus makes it possible to create a private network, for example of the hotspot type, by authorizing the pairing of terminals with which the user positions himself in the near field.
  • the method uses the electromagnetic wave conduction capabilities of the human body.
  • This data transmission channel is also known as IBC for “Intra Body Communication” in English.
  • a radio carrier wave, or electromagnetic signal is transmitted by the terminal through the user's body to the access point, positioned near the user, and adapted to receive a such a signal.
  • the access point is a mobile device such as a smartphone
  • the IBC allows data to be received on the user's mobile device via their body while allowing the user to keep their device in their pocket, for example.
  • the access point is a gateway type device, the IBC allows data to be received on the gateway through the user's body simply by approaching or touching it.
  • a classic pairing can be carried out for the communication of the terminal and the access point and the connection to the private network administered by the point access.
  • IBC IBC communication
  • NFC/IBC does not require physical contact with the user, but only proximity (of the order of a few centimeters) between the user's body and the terminal or access point.
  • access point we mean here any routing element capable of creating a local network, for example Wi-Fi: gateway, mobile terminal positioned as a hotspot, router, etc., and having an NFC module adapted to receive the signals IBC, subsequently called NFC/IBC module.
  • terminal we mean a terminal equipped with an NFC/IBC module. This could be, for example, a mobile phone, a tablet, a connected object, etc.
  • NFC/IBC module By “near field communication module” or “NFC/IBC module”, we mean a controller, or NFC component (CLF for ContactLess Frontend) constituting a near field communication module in the manner of an electromagnetic transponder and comprising software components (firmware, etc.) necessary for the implementation of NFC communications. Such a component is associated with an antenna, which transmits the NF signals received to the NFC component.
  • NFC component CMF for ContactLess Frontend
  • private network we mean here a local type network, for example Wi-Fi, which allows terminals to communicate with each other and possibly with a broadband network, for example the Internet, via an access point.
  • This private network may or may not overlap with the local or corporate network traditionally administered by the access point.
  • certain access points for example a service gateway
  • the invention also relates to a method for requesting pairing of a terminal equipped with a near-field module on a private network of an access point equipped with a near-field module, said access point being in the immediate vicinity of a user, said access point being able to communicate with the terminal: - on a first near-field channel using electromagnetic wave conduction capabilities of the body of said user, and:
  • the method comprising, on the terminal, the steps of:
  • connection message is transmitted or received on the near-field channel.
  • connection message containing the password is transmitted on the IBC channel. It is only transmitted if the user is in physical proximity to the two devices (access point and terminal), which provides an additional degree of security.
  • Said connection request message includes at least one terminal identification data.
  • the request message contains an identifier of the terminal, such as an address, a serial number, etc.
  • This identifier facilitates the successive pairing of the terminal by the access point. If the terminal transmits, for example, its IP or MAC address to a gateway, it will be possible to simply authorize or refuse the pairing, to record it in the list of terminals authorized to access the private network for a subsequent connection, etc. .
  • Said connection message includes the name of the network.
  • connection message containing the name of the network the terminal is not obliged to carry out a discovery phase beforehand.
  • the name remains secret if transmitted on the IBC channel, which presents a security advantage.
  • Said request and/or connection message is sent or received during an ISO 14443 type communication.
  • an existing standard respected by all NFC equipment on the market.
  • messages imposed by the standard are exchanged between two devices (one generally being in reader mode and the other in card emulation mode). If the new request and/or connection message complies with the message format of the NFC standard (in terms of frequency, coding modes, frame types, frame content, etc.), compatibility with the terminal fleet and existing access points can be ensured at best.
  • the request for connection to the private network is indicated in a field of the message left free by the NFC standard for future use or for a proprietary application.
  • the password is indicated in a field of the message left free by the NFC standard for future use or for a proprietary application.
  • the protocol and frame format of an existing NFC standard are reused by using a field left free, or a field already defined for proprietary applications, in a frame, which therefore does not disrupt the operation of a receiver that would only be NFC type.
  • connection message transmission step is preceded by positioning the module in the field close to the access point in reader mode.
  • the step of obtaining the request message is preceded by positioning the module in the near field of the access point in card emulation mode.
  • the step of sending the request message is preceded by positioning the module in the field close to the terminal in reader mode.
  • the step of receiving the connection message is preceded by positioning the module in the near field of the terminal in card emulation mode.
  • the invention also relates to a device for pairing a terminal equipped with a near-field module on a private network of an access point equipped with a near-field module, said access point being located at immediate proximity of a user, said device being characterized in that it is configured to implement at the access point: communicate with the access point on a first near-field channel using electromagnetic wave conduction capabilities of the body of said user, and on a second channel distinct from the first channel; obtain a connection request message on the first channel when said user makes a movement to enter the immediate vicinity of the terminal;
  • connection message including a password for said network
  • the invention also relates to a device for requesting pairing of a terminal equipped with a near-field module on a private network of an access point equipped with a near-field module, said access point being located in the immediate vicinity of a user, characterized in that it is configured to implement at the terminal level:
  • the invention also relates to a computer program comprising instructions for implementing one of the methods according to any of the particular embodiments described above, when said programs are executed by a processor.
  • the methods can be implemented in various ways, notably in hardwired form or in software form.
  • the invention also relates to a recording medium or information medium readable by a computer, and comprising instructions for a computer program as mentioned above.
  • the recording media mentioned above can be any entity or device capable of storing the program.
  • the support may comprise a storage means, such as a ROM, for example a CD-ROM or a microelectronic circuit ROM, or even a magnetic recording means, for example a hard disk.
  • the recording media may correspond to a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the programs according to the invention can in particular be downloaded on an Internet type network.
  • the recording media may correspond to an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • FIG. 1 Figure 1 illustrates an example of an environment for implementing the invention according to a particular embodiment of the invention.
  • FIG. 2 Figure 2 illustrates an example of an environment for implementing the invention according to another particular embodiment of the invention.
  • FIG. 3 Figure 3 represents steps of the pairing process on a private network according to a particular embodiment of the invention.
  • FIG. 4 Figure 4 represents the architecture of an access point according to a particular embodiment of the invention.
  • FIG. 5 Figure 5 represents the architecture of a terminal according to a particular embodiment of the invention.
  • Figure 6 illustrates an NFC/IBC request frame according to a particular embodiment of the invention
  • the general principle of the invention is to create a secure private communication network between at least two terminals.
  • This private network can be a subset of an already existing local network (for example, that of the home, administered by the service gateway) or a new private network (for example, a guest network of such a gateway).
  • Figure 1 illustrates an example of an environment for implementing the invention according to a particular embodiment.
  • the mobile device DM positions itself as an access point (technique also called connection sharing mode, or “tethering” or hotspot) and authorizes the connection of one or more terminals (PCI and/or PC2 ) to the access point via near-field Intra Body Communication (IBC) initialization. Subsequently, the terminals of the private network thus created can communicate and possibly with other terminals on another network (Internet, etc.) via the access point,
  • IBC Intra Body Communication
  • the mobile device (DM) is a portable device naturally capable of receiving radio carrier waves, via an antenna, through the body of the user (U). To this end, the mobile device (DM) is located in the immediate vicinity of the user (U), without necessarily being in direct contact with the latter. For example, the mobile device (DM) is placed inside a pocket or bag carried against the user. In these configurations, it is estimated that the mobile device (DM) is not more than a few centimeters from the user's body. The distance is for example less than 5 cm.
  • a terminal is a device with a Wi-Fi connection and a NFC/IBC module, such as a laptop, a tablet, a connected object (printer, hard drive, decoder, smartphone, etc.)
  • data is transmitted between the PCI terminal and the user's mobile device (DM) via the IBC channel.
  • This data corresponds to connection data allowing the mobile device (DM) to authorize the PCI terminal on a private local network administered by the access point of the mobile device.
  • the NFC signal emitted by the terminal is transmitted via the user's body to their mobile device (DM).
  • the PCI terminal positions itself in reader mode within the meaning of the NFC standard then encodes an NFC near field communication protocol frame, for example a type B frame according to the ISO/IEC 14443- protocol. 3.
  • Figure 6 illustrates an example of part of such a frame.
  • the PCI generates an NFC frame including a connection request indicating the request for connection to the private network, for example, as will be detailed later, in an “AFI” field (application family identifier) of the NFC frame.
  • the NFC frame includes a PCI identifier (PC1 ID) allowing the mobile device (DM) to recognize and/or record it before establishing Wi-Fi communication with the PCI to transmit the access codes. to his private network.
  • PC1 ID PCI identifier
  • the mobile device DM receives the NFC/IBC signal emitted by the PCI (transmitted via the user's body), decodes the NFC/IBC frame received, extracts the connection request and optionally data relating to the PCI, according to an example the MAC address or IP address of the PCI.
  • the mobile device DM then proceeds to pair the PCI on its Wi-Fi Hotspot network, that is to say it transmits the password of the Wi-Fi hotspot network. Optionally, it also transmits a network name.
  • a network name As is known, in a “hotspot” type WiFi network, the access point and a terminal share a secret. It is, according to the IEEE 802.11 standard, a shared security key PSK (for “Pre-Shared Key”, in English), which is human readable and includes between 8 and 63 characters in ASCII format.
  • PSK shared security key
  • the PSK key is usually chosen by the device application mobile and any terminal that wants to connect to it must know this key.
  • the user of the PCI terminal must enter it via an interface of the terminal so that the latter can establish a connection with the DM access equipment.
  • the method according to the invention makes it possible to overcome this: pairing, initiated via IBC, prevents the user from entering network identifiers. It also makes it possible to secure the hotspot network of the mobile device: only terminals approached (in the sense of NFC proximity) by the user are authorized to connect to the hotspot.
  • the network identifiers are transmitted via Wi-Fi to the terminal.
  • the network identifiers are transmitted via Bluetooth.
  • the network identifiers are transmitted in an NFC/IBC frame transmitted by the mobile device DM. It is positioned in reader mode within the meaning of the NFC standard then: according to a first variant, the user brings their mobile device (DM) close to the PCI in order to conventionally transmit an NFC frame including the network identifiers; according to a second variant, the user keeps his mobile device in his pocket and the frame is transmitted in IBC format.
  • the PC must be positioned in “card emulation” mode within the meaning of the NFC standard and be capable of receiving IBC frames, which requires matching its reception power to NFC-IBC waves.
  • the PCI Once the PCI has the identifiers of the hotspot network, it conventionally connects to it via Wi-Fi.
  • the PC2 can pair in the same way to the hotspot of the DM terminal.
  • Figure 2 illustrates an example of an environment for implementing the invention according to a particular embodiment of the invention.
  • the user's local network gateway authorizes the connection of the terminal (PCI) to a private network via near field initialization of the Intra Body Communication (IBC) type.
  • This private network can be the local network conventionally administered by the gateway, or a subset of this local network, or another local network that the gateway can for example define as a private “guest network”, only concerning terminals “touched” by the user (in the sense of NFC proximity) and intended for example to share sensitive information.
  • the user stands near or touches the gateway equipped with an NFC/IBC module according to the invention. It then suffices to also touch a terminal equipped with a corresponding module (for example, by holding a laptop or tablet) for the terminal to be paired on a local network of the access point of the gateway.
  • a user to access a local network, a user must connect to the service gateway from the terminal.
  • the user To connect to the gateway, the user enters the local network identification parameters into the terminal, for example WiFi type.
  • the abbreviation SSID for “Service Set Identifier”
  • SSID for “Service Set Identifier”
  • WPA for "WiFi Protected Access”
  • Defining a security key for a Wi-Fi network requires generating relatively long alphanumeric security keys, due to the compromise to be made between network security and the ease of storing and/or sharing the key.
  • the WEP key generated to protect access to the user's local network can be in the known form of a series of 26 hexadecimal characters (for example, "32F34DA4CFE9EAD355A49EAE17"). The user is often reluctant to use such long and complex keys.
  • data is transmitted between the PCI terminal and the service gateway via the IBC channel. This data allows the gateway to authorize the PCI terminal on its private network (main or “guest”).
  • the NFC signal emitted by the PCI is transmitted via the user's body to the gateway.
  • the PCI encodes for example, as described previously, an NFC near field communication protocol frame, after being positioned in reader mode at the meaning of the NFC standard.
  • This message may include a connection request and/or a PCI identifier (IP address or MAC address).
  • the gateway receives the NFC signal emitted by the PCI (transmitted via the user's body), decodes the NFC frame received, extracts the connection request and optionally a PCI identifier.
  • the gateway must be capable of receiving IBC frames, which requires an adequacy of its power for receiving NFC-IBC waves.
  • the gateway transmits the password and optionally the name of the local network.
  • the network identifiers are transmitted via Wi-Fi to the terminal.
  • the network identifiers are transmitted via Bluetooth.
  • the network identifiers are transmitted in an NFC/IBC frame transmitted by the gateway. It is positioned in reader mode within the meaning of the NFC standard then: according to a first variant, the user brings their terminal close to the gateway in order to classically transmit an NFC frame including the network identifiers; according to a second variant, the user keeps his terminal away from the gateway and the frame is transmitted in IBC format. In this case, the PC must be capable of receiving IBC frames, which requires matching its reception power to NFC-IBC waves.
  • the PC Once the PC has the local network identifiers (SSID and WEP key), it normally connects to it.
  • SSID and WEP key the local network identifiers
  • the gateway then proceeds to pair the PCI on its private network, that is to say it authorizes it on the private network defined by the name and password (main or guest network).
  • Figure 3 represents steps of the method for creating a private network according to a particular embodiment of the invention as described in support of Figure 1 or 2.
  • the mobile device DM and/or the GW gateway are called “access point” PA.
  • access point PA the mobile device DM and/or the GW gateway
  • PA access point
  • at least one terminal (PC) is paired to the private network of the access point. Pairing, carried out via IBC, makes it possible to secure the network in question: the fact that the user “touches” the terminal is in fact a guarantee of security.
  • the PC terminal prepares for the connection. It turns on (or the user does it for it) a Wi-Fi type radio channel and, where applicable, the NFC/IBC module, if this is not activated by default. It is preferably positioned in card reader mode in order to be able to transmit frames that comply with NFC standards.
  • the access point prepares for the connection. If necessary, it turns on (or the user does it for it) a Wi-Fi type radio channel, and positions itself in Wi-Fi “hotspot” mode. If necessary, it activates the NFC/IBC module, if it is not activated by default. It is preferably positioned in “card emulation” mode in order to be able to receive frames conforming to NFC standards.
  • the terminal prepares then emits an NFC signal suitable for transmission via the human body, advantageously of the NFC type (this is hard at the frequency of NFC-13.56 MHz and with the characteristics of the standard NFC).
  • This signal includes an NFC type request message, with the aim of initiating a dialogue between the terminal and the access point, in NFC/IBC mode, in accordance with NFC standards.
  • the user's body receives Fonde and transforms into an antenna, that is to say it re-emits electromagnetic Fonde which is thus diffused throughout his body.
  • a piece of data (DCX) requesting connection to the service is inserted into the signal.
  • This may, for example, be a service code corresponding to a request for connection to the private network of the access point.
  • the new MSG1 message preferably respects the message format of the standard. According to an example, detailed later in support of Figure 6, it is an NFC-B type message therefore the fields are reused profitably to indicate the type of communication required (request for connection to the local network via IBC) and optionally terminal data and/or non-exhaustively any data useful for pairing such as the private network name if the terminal already knows it.
  • personal DID data relating to the terminal is inserted into the signal. It may for example be a number, a reference, a key, etc., or more generally any identification sign which subsequently allows the access point to accept and optionally memorize this device. It may be for example a number, a reference, a key, etc., or more generally any identification sign which subsequently allows the access point to accept this terminal (for example the MAC address of the terminal).
  • the name of the network (for example SSID.) is inserted into the signal. This assumes that the terminal is aware of the name, either because the mobile device is positioned as a hotspot and therefore broadcasts its name on a WiFi channel, or because the terminal has memorized the name during a previous connection.
  • a set of names known to the terminal is inserted into the signal (e.g. a list of SSIDs).
  • the access point receives the signal coming from the user's body; for this purpose the access point is positioned (for example by the application) in a reception mode of the electromagnetic wave.
  • the access point receives and demodulates the received signal. If the signal includes connection request data (DCX), the process continues with a step E12.
  • DCX connection request data
  • step E12 personal data DID relating to the terminal (address, unique identifier, etc.) is read in the signal.
  • the access point stores this identifier, for example in a table in memory (M), for later use. It also optionally reads the network name if transmitted in the signal.
  • the mobile device DM prepares a message MSG2 including the password PW of the network and optionally the name of the network (if not received in the previous step).
  • this MSG2 message is transmitted in a signal through the user's body; for this purpose the access point is positioned in a reader mode.
  • this message is transmitted over a Wi-Fi, Bluetooth, etc. channel.
  • the terminal receives the message, broadcast according to this embodiment through the user's body. It extracts the password and optionally the name of the network (if not known and transmitted in the previous step).
  • a communication channel can then be established conventionally between the terminal and the access point, during steps E3 and El 3: the terminal transmits for example to the access point name and password, and the access point accepts the connection if the name and password are correct. From this moment, the terminal is connected to the private network of the access point.
  • Figure 4 represents the architecture of an access point (AP) according to particular embodiments of the invention.
  • the PA access point can be a mobile device (DM) positioned as a hotspot (Fig. 1), or a gateway (GW) serving a local network (Fig. 2).
  • DM mobile device
  • GW gateway
  • the access point has the classic architecture of a computer and notably comprises a MEM memory, a processing unit UT, equipped for example with a PROC processor, and controlled by the computer program PG stored in MEM memory.
  • the computer program PG includes instructions for implementing the steps of the pairing process as described above, according to any of its embodiments, when the program is executed by the processor.
  • the code instructions of the computer program PG are for example loaded into a memory before being executed by the processor.
  • a mobile device further includes an access point or tethering (TETH) mode, which allows it to transform into a gateway.
  • TETH access point or tethering
  • the PA access point also includes a set of COM modules (routing modules, etc.) which conventionally allow it to communicate with one or more terminals of its local network and give them access to a LAN or a WAN (mobile network , Internet, etc.)
  • COM modules routing modules, etc.
  • the PA access point still has a number of modules that allow it to communicate with local and wide area networks, via different protocols on different physical links; in Figure 4, we have thus schematized a Wi-Fi module (WIF) allowing wireless communications with the Internet network, the mobile network, and/or the local network. It can also be a Bluetooth, Li-Fi, Ethernet module, etc.
  • WIF Wi-Fi module
  • the access point, mobile device or gateway also includes an application module (CONT) responsible for controlling IBC/Wi-Fi communication according to communication modes. realization of the invention.
  • CONT application module
  • the CONT module which can be software and/or hardware, is notably capable of carrying out the actions which have been described in support of the previous figures: positioning the access point in IBC mode in transmission and/or reception, in reader or NFC card emulation mode, recovery and storage of the message (MSG1) including the connection request and the identification of the terminal, preparation and transmission of connection identifiers (MSG2), effective connection with the terminal, etc.
  • Part of the MEM memory stores, among other things, the identification and association parameters of the home terminals to the access point (identifier table including the unique identifiers of the home terminals which have already been authorized to access the home network via access point, routing elements, etc.).
  • the PA device also includes an NFC/IBC communication module configured to establish contactless communications, and in particular to emit a signal intended to be transmitted by the user's body, and to receive in return an electromagnetic signal which has passed through and was re-emitted by the body.
  • This module conventionally comprises an NFC antenna (ANT) adapted to receive signals on the radio channel and via the user's body, so that a modulated electrical signal transported by the user's body is able to be received by the NFC antenna when it is in proximity to the human body.
  • ANT NFC antenna
  • the antenna can be amplified, or that the antenna has a sufficiently high gain. Acquiring such an antenna or amplifying it is within the reach of those skilled in the art.
  • the NFC/IBC module also includes a demodulator not shown, intended to receive via the antenna a modulated electrical signal and to transform it into a digital signal intended to be transmitted to the processing unit, a modulator, a controller and components software (firmware, etc.) necessary for the implementation of NFC/IBC communications.
  • a demodulator not shown, intended to receive via the antenna a modulated electrical signal and to transform it into a digital signal intended to be transmitted to the processing unit, a modulator, a controller and components software (firmware, etc.) necessary for the implementation of NFC/IBC communications.
  • Figure 5 represents the architecture of a terminal according to particular embodiments of the invention.
  • the terminal has the classic architecture of a computer and notably comprises a memory MEM', a processing unit UT', equipped for example with a processor PROC', and controlled by the stored computer program PG' in MEM' memory.
  • the computer program PG’ includes instructions for implementing the steps of the pairing request method as described above, according to any of its embodiments, when the program is executed by the processor.
  • the code instructions of the computer program PG’ are for example loaded into a memory before being executed by the processor.
  • Wi-Fi module allowing wireless communications with the access point. It can also be a Bluetooth, Li-Fi, Ethernet module, etc.
  • the terminal also includes an application module (CONT’) responsible for controlling IBC/Wi-Fi communication according to embodiments of the invention.
  • CONT' module which can be software and/or hardware, is notably capable of carrying out the actions which have been described in support of the previous figures: positioning the terminal in IBC mode in transmission and/or reception, in mode reader or emulation of an NFC card, preparation and transmission of the message (MSG1) including the connection request and the identification of the terminal, reception of the connection identifiers (MSG2), effective connection with the access point, etc.
  • the PC terminal also includes an NFC/IBC' communication module configured to establish contactless communications, and in particular to emit a signal intended to be transmitted by the user's body, and to receive in return an electromagnetic signal which has transited and was re-emitted by the body.
  • This module conventionally comprises an NFC antenna (ANT') adapted to receive signals on the radio channel and via the human body, so that a signal modulated electrical transport carried by the body is capable of being received by the NFC antenna when it is in proximity to the user's body.
  • ANT' NFC antenna
  • the antenna can be amplified, or that the antenna has a sufficiently high gain. Acquiring such an antenna or amplifying it is within the reach of those skilled in the art.
  • the NFC/IBC' module also includes a demodulator not shown, intended to receive via the antenna a modulated electrical signal and to transform it into a digital signal intended to be transmitted to the processing unit, a modulator, a controller and software components (firmware, etc.) necessary for the implementation of NFC/IBC communications.
  • a demodulator not shown, intended to receive via the antenna a modulated electrical signal and to transform it into a digital signal intended to be transmitted to the processing unit, a modulator, a controller and software components (firmware, etc.) necessary for the implementation of NFC/IBC communications.
  • All modules communicate conventionally with each other via a data bus (not shown)
  • Figure 6 illustrates an NFC/IBC request frame according to a particular embodiment of the invention.
  • NFC communications can cover two types of applications linked to two different operating modes on an NFC device:
  • the first mode relates to reading data on transponder type devices, or NFC cards.
  • the device in this mode is active. It transmits commands as it would send them to a contactless card according to the ISO 14443 (or Felica) standard. It generates a magnetic field which, upon contact with the antenna of the passive card, induces an electric current which powers the card.
  • the second mode implements an emulation of a near-field communication module, typically to secure electronic transactions between an application stored on the device and an external reading terminal, or reader terminal; in this mode, the NFC equipment of the device is used passively. It simulates the behavior that a passive contactless card would have. It is capable of receiving an initialization message from the reader.
  • the main steps for initializing NFC communication between an issuer and a card are defined in part 3 of the ISO 14443-3 standard.
  • the reader terminal sends an identification request (called “REQB” or “WUPB”) and waits for a response (called “ATQB”) from the card.
  • This embodiment proposes to reuse such a protocol message, so as to insert a network connection request indication (DCX) in the request message (MSG1) and optionally a certain amount of data for the subsequent communication (DID identifier terminal, SSID, etc.).
  • DCX network connection request indication
  • the standardized REQB/WUPB message contains:
  • AFI a byte called "AFI" indicating the application family representing the type of application targeted by the NFC reader (all applications - code 00, transport, finance, telecommunications, etc.) Only proximity cards with applications of the type indicated by the AFI are authorized to respond to a REQB/WUPB command with an AFI other than "00". When AFI is "00", all proximity cards must process REQB/WUPB.
  • Figure 6 illustrates a possible reuse of these fields, concerning a particular implementation mode.
  • connection request message MSG1 contains, according to this example (MSG1_1), the start of frame message (SOF) immediately followed by the data bytes necessary for the IBC request. As the AFI field is overwritten, the NFC module of the access point will not respond to this request.
  • the data fields may include in particular a terminal identifier (DID, for example the MAC address of the terminal), the name of the network (distributed over two bytes according to the example), etc.
  • the message also contains a two-byte “CRC IBC” byte containing a code to detect and correct errors.
  • connection request message MSG1 contains, according to a second example (MSG1_2), a first byte of anti-collision prefix APf, unmodified, then the “AFI” byte adapted for the IBC while maintaining compatibility with the standard .
  • MSG1_2 a second example
  • APf anti-collision prefix
  • the value 0x0 of the first half-byte corresponds to a private subfamily of the type specified in the second half-byte.
  • DCX the request for connection to the local network
  • connection message can use a similar type of format for transporting data transmitted from the access point to the terminal (password, SSID, etc.). To do this, the access point must be positioned in reader mode and the terminal in card emulation mode.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

L'invention concerne un procédé et un dispositif d'appairage d'un terminal (PC1, PC2) équipé d'un module en champ proche sur un réseau privé (RP) d'un point d'accès (DM) équipé d'un module en champ proche. Le point d'accès se trouve à proximité immédiate d'un utilisateur (U), le point d'accès est apte à communiquer avec le terminal (DM) : - sur un premier canal (IBC) en champ proche (NFC) utilisant des capacités de conduction d'onde électromagnétique du corps dudit utilisateur, et : - sur un second canal (Wi-Fi) distinct du premier canal (IBC). Le procédé comporte, sur le point d'accès, les étapes de : - obtention (E11) d'un message de requête (MSG1) de connexion sur le premier canal, lorsque ledit utilisateur effectue un mouvement pour rentrer dans la proximité immédiate du terminal (PC1); - transmission (E13) d'un message de connexion (MSG2) comportant un mot de passe (PW) dudit réseau; - appairage (E13) du terminal sur ledit réseau (RP) privé.

Description

DESCRIPTION
Titre de l'invention : Réseau de communication privé sécurisé.
1. Domaine de l'invention
L'invention concerne l’établissement d’un réseau privé de communication en utilisant une technologie en champ proche.
2. Art Antérieur
L’invention vise en particulier l’accès d’un terminal à un réseau sans fils, par exemple Wi-Fi, administré par un point d’accès, par exemple une passerelle domestique ou un téléphone mobile de type « hotspot mobile », dans lequel un téléphone mobile est utilisé comme passerelle de réseau. Aujourd’hui, pour se connecter au point d’accès, l’utilisateur saisit dans le terminal les paramètres d’identification du réseau local, par exemple de type Wifi. En particulier, par un processus dit « d’appairage » préalable, bien connu de l’homme du métier, il saisit ou sélectionne le nom du réseau domestique, tel qu’un SSID (pour « Service Set Identifier »), qui prend souvent la forme d’une chaîne alphanumérique (par exemple : « MOB666 ») et, dans la plupart des cas, une clé, ou mot de passe, d’accès au réseau domestique, tel qu’une clé WEP (pour « Wired Equivalent Privacy ») ou WPA (pour « WiFi Protected Access ») ou PSK (pour Pre- Shared Key). Les utilisateurs des terminaux doivent saisir au minimum le mot de passe du réseau. Une telle saisie est souvent fastidieuse, d’autant plus qu’il est difficile de générer un mot de passe qui soit facile à mémoriser et présente néanmoins un certain niveau de sécurité, en d’autres termes garantit la robustesse du mot de passe utilisé, c’est-à-dire le rend peu vulnérable aux attaques de pirates visant à se l’approprier.
Il existe donc un besoin d’améliorer l’état de la technique.
3. Exposé de l'invention
L'invention vient améliorer l'état de la technique. Elle concerne à cet effet un procédé d’appairage d’un terminal équipé d’un module en champ proche sur un réseau privé d’un point d’accès équipé d’un module en champ proche, ledit point d’accès se trouvant à proximité immédiate d'un utilisateur, ledit point d’accès étant apte à communiquer avec le terminal : - sur un premier canal en champ proche utilisant des capacités de conduction d'onde électromagnétique du corps dudit utilisateur, et :
-sur un second canal distinct du premier canal, le procédé comportant, sur le point d’accès positionné à proximité de l’utilisateur, le procédé comportant, sur le point d’accès, les étapes de :
-obtention d'un message de requête de connexion sur le premier canal, lorsque ledit utilisateur effectue un mouvement pour rentrer dans la proximité immédiate du terminal ;
- transmission d’un message de connexion comportant un mot de passe dudit réseau ;
- appairage du terminal sur ledit réseau privé.
L’invention permet ainsi de créer un réseau privé, par exemple de type hotspot, en autorisant l’appairage des terminaux avec lesquels l’utilisateur se positionne en champ proche.
Avantageusement, le procédé utilise les capacités de conduction d’onde électromagnétique du corps humain. Ce canal de transmission de données est également connu sous le nom de IBC pour « Intra Body Communication » en anglais. Lorsque l’utilisateur effleure le terminal, une onde porteuse radio, ou signal électromagnétique, est transmise par le terminal à travers le corps de l'utilisateur vers le point d’accès, positionné en proximité de l’utilisateur, et adapté à recevoir un tel signal. Si le point d’accès est un dispositif mobile de type smartphone, l’IBC permet de recevoir des données sur le dispositif mobile de l’utilisateur via son corps tout en permettant à l’utilisateur de garder son dispositif dans sa poche par exemple. Si le point d’accès est un dispositif de type passerelle, l’IBC permet de recevoir des données sur la passerelle via le corps de l’utilisateur simplement en s’en approchant ou en la touchant.
Une fois que le terminal dispose du mot de passe et l’a transmis au point d’accès, un appairage classique peut être effectué pour la mise en communication du terminal et du point d’accès et le rattachement au réseau privé administré par le point d’accès.
Par « IBC » ou communication IBC, on entend une communication en champ proche transitant par le corps de l’utilisateur, compatible avec une communication NFC classique, dans laquelle le terminal qui comporte le dispositif NFC est à proximité physique de son vis-à-vis NFC. Contrairement aux systèmes de transmission par le corps qui utilisent des électrodes, l’utilisation de l’IBC permet de s’en affranchir en utilisant des puces classiques de type NFC et en s’appuyant sur les normes NFC. De surcroît le NFC/IBC n’exige pas un contact physique avec l’utilisateur, mais seulement une proximité (de l’ordre de quelques centimètres) entre le corps de l’utilisateur et le terminal ou le point d’accès.
Par « point d’accès » on entend ici tout élément de routage apte à créer un réseau local, par exemple Wi-Fi : passerelle, terminal mobile positionné en hotspot, routeur, etc., et possédant un module NFC adapté pour recevoir les signaux IBC, appelé par la suite module NFC/IBC.
Par « terminal» on entend un terminal équipé d’un module NFC/IBC. Il peut s’agir par exemple d’un téléphone mobile, d’une tablette, d’un objet connecté, etc.
Par « module de communication en champ proche » ou « module NFC/IBC », on entend un contrôleur, ou composant NFC (CLF pour ContactLess Frontend) constituant un module de communication en champ proche à la manière d'un transpondeur électromagnétique et comprenant des composantes logicielles (firmware, etc.) nécessaires à la mise en œuvre des communications NFC. Un tel composant est associé à une antenne, qui transmet les signaux NF reçus au composant NFC.
Par « réseau privé » on entend ici un réseau de type local, par exemple Wi-Fi, qui permet à des terminaux de dialoguer entre eux et éventuellement avec un réseau large bande, par exemple Internet, via un point d’accès. Ce réseau privé peut se superposer ou non au réseau local ou d’entreprise administré classiquement par le point d’accès. En effet certains points d’accès (par exemple une passerelle de service) peut créer et gérer plusieurs réseaux, par exemple un premier réseau (ledit réseau privé) pour les données sensibles de l’utilisateur, un réseau invité pour les connexions temporaires, un réseau local pour les périphériques du domicile/de l’entreprise, etc.
Selon un autre aspect fonctionnel, l’invention concerne aussi un procédé de demande d’appairage d’un terminal équipé d’un module en champ proche sur un réseau privé d’un point d’accès équipé d’un module en champ proche, ledit point d’accès se trouvant à proximité immédiate d'un utilisateur, ledit point d’accès étant apte à communiquer avec le terminal : - sur un premier canal en champ proche utilisant des capacités de conduction d'onde électromagnétique du corps dudit utilisateur, et :
- sur un second canal distinct du premier canal, le procédé comportant, sur le terminal, les étapes de :
- émission sur le premier canal d'un message de requête de connexion lorsque ledit utilisateur effectue un mouvement pour rentrer dans la proximité immédiate du terminal ;
- Réception d’un message de connexion comportant un mot de passe dudit réseau ;
- Appairage du terminal sur ledit réseau privé.
Selon des modes particuliers de réalisation de l’invention, les procédés ci-dessus sont caractérisés en ce que :
Ledit message de connexion est transmis ou reçu sur le canal en champ proche.
Avantageusement selon ce mode, le message de connexion contenant le mot de passe est transmis sur le canal IBC. Il n’est transmis que si l’utilisateur est en proximité physique des deux équipements (point d’accès et terminal), ce qui offre un degré de sécurité supplémentaire.
Ledit message de requête de connexion comprend au moins une donnée d’identification du terminal.
Avantageusement selon ce mode, le message de requête contient un identifiant du terminal, comme une adresse, un numéro de série, etc. Cet identifiant facilite l’appairage successif du terminal par le point d’accès. Si le terminal transmet par exemple son adresse IP ou MAC à une passerelle, il lui sera possible d’autoriser ou refuser simplement l’appairage, de l’enregistrer dans la liste des terminaux autorisés à accéder au réseau privé pour une connexion ultérieure, etc.
Ledit message de connexion comprend le nom du réseau.
Avantageusement selon ce mode, le message de connexion contenant le nom du réseau, le terminal n’est pas obligé de procéder préalablement à une phase de découverte. De surcroît, le nom reste secret s’il est transmis sur le canal IBC, ce qui présente un avantage de sécurité.
Ledit message de requête et/ou de connexion est émis ou reçu au cours d’une communication de type ISO 14443. Avantageusement selon ce mode, on réutilise une norme existante et respectée par tous les équipements NFC du marché. Lors d’une communication de type ISO 14443-3, des messages imposés par la norme sont échangés entre deux dispositifs (l’un étant généralement en mode lecteur et l’autre en mode émulation de carte). Si le nouveau message de requête et/ou de connexion respecte le format de messages de la norme NFC (en termes de fréquence, modes de codage, types de trames, contenu des trames, etc.), la compatibilité avec le parc de terminaux et points d’accès existants peut être assurée au mieux.
- La requête de connexion au réseau privé est indiquée dans un champ du message laissé libre par la norme NFC pour un usage futur ou pour une application propriétaire.
- Le mot de passe est indiqué dans un champ du message laissé libre par la norme NFC pour un usage futur ou pour une application propriétaire.
Avantageusement selon ces modes, on réutilise le protocole et format de trames d’une norme NFC existante en utilisant un champ laissé libre, ou un champ déjà défini pour des applications propriétaires, dans une trame, ce qui ne perturbe donc pas le fonctionnement d’un récepteur qui serait uniquement de type NFC.
L’étape d’émission du message de connexion est précédée d’un positionnement du module en champ proche du point d’accès en mode lecteur.
L’étape d’obtention du message de requête est précédée d’un positionnement du module en champ proche du point d’accès en mode d‘émulation de carte.
L’étape d’émission du message de requête est précédée d’un positionnement du module en champ proche du terminal en mode lecteur.
L’étape de réception du message de connexion est précédée d’un positionnement du module en champ proche du terminal en mode d‘émulation de carte.
L’invention concerne également un dispositif d’appairage d’un terminal équipé d’un module en champ proche sur un réseau privé d’un point d’accès équipé d’un module en champ proche, ledit point d’accès se trouvant à proximité immédiate d'un utilisateur, ledit dispositif étant caractérisé en ce qu’il est configuré pour mettre en œuvre au niveau du point d’accès : communiquer avec le point d’accès sur un premier canal en champ proche utilisant des capacités de conduction d'onde électromagnétique du corps dudit utilisateur, et sur un second canal distinct du premier canal ; obtenir un message de requête de connexion sur le premier canal lorsque ledit utilisateur effectue un mouvement pour rentrer dans la proximité immédiate du terminal ;
- transmettre d’un message de connexion comportant un mot de passe dudit réseau ; appairer le terminal sur ledit réseau administré par le point d’accès.
L’invention concerne encore un dispositif de demande d’appairage d’un terminal équipé d’un module en champ proche sur un réseau privé d’un point d’accès équipé d’un module en champ proche, ledit point d’accès se trouvant à proximité immédiate d'un utilisateur, caractérisé en ce qu’il est configuré pour mettre en œuvre au niveau du terminal :
- communiquer avec le point d’accès sur un premier canal en champ proche utilisant des capacités de conduction d'onde électromagnétique du corps dudit utilisateur, et sur un second canal distinct du premier canal ;
- émettre un message de requête de connexion sur le premier canal lorsque ledit utilisateur effectue un mouvement pour rentrer dans la proximité immédiate du terminal ;
- recevoir un message de connexion comportant un mot de passe dudit réseau ;
- appairer le terminal sur ledit réseau privé.
L'invention concerne également un programme d'ordinateur comportant des instructions pour la mise en œuvre de l’un des procédés selon l'un quelconque des modes particuliers de réalisation décrits précédemment, lorsque lesdits programmes sont exécutés par un processeur. Les procédés être mis en œuvre de diverses manières, notamment sous forme câblée ou sous forme logicielle.
Ces programmes peuvent utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. L'invention vise aussi un support d'enregistrement ou support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus. Les supports d'enregistrement mentionnés ci-devant peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD- ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur. D'autre part, les supports d'enregistrement peuvent correspondre à un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Les programmes selon l'invention peuvent être en particulier téléchargés sur un réseau de type Internet.
Alternativement, les supports d'enregistrement peuvent correspondre à un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
4. Liste des figures
D’autres caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante de modes de réalisation particuliers, donnés à titre de simples exemples illustratifs et non limitatifs, et des dessins annexés, parmi lesquels :
[FIG. 1] La figure 1 illustre un exemple d'environnement de mise en œuvre de l'invention selon un mode particulier de réalisation de l'invention.
[FIG. 2] La figure 2 illustre un exemple d'environnement de mise en œuvre de l'invention selon un autre mode particulier de réalisation de l'invention.
[FIG. 3] La figure 3 représente des étapes du procédé d’appairage sur un réseau privé selon un mode particulier de réalisation de l’invention.
[FIG. 4] La figure 4 représente l’architecture d’un point d’accès selon un mode particulier de réalisation de l’invention.
[FIG. 5] La figure 5 représente l’architecture d’un terminal selon un mode particulier de réalisation de l’invention. [FIG. 6] La figure 6 illustre une trame de requête NFC/IBC selon un mode particulier de réalisation de l’invention
5. Description d'un mode de réalisation de l'invention
Le principe général de l’invention est de créer un réseau privé de communication sécurisé entre au moins deux terminaux. Ce réseau privé peut être un sous-ensemble d’un réseau local déjà existant (par exemple, celui du domicile, administré par la passerelle de service) ou un nouveau réseau privé (par exemple, un réseau invité d’une telle passerelle).
La figure 1 illustre un exemple d'environnement de mise en œuvre de l'invention selon un mode particulier de réalisation.
Selon ce mode de réalisation, le dispositif mobile DM se positionne en point d’accès (technique aussi appelée mode de partage de connexion, ou «tethering » ou hotspot) et autorise la connexion d’un ou plusieurs terminaux (PCI et/ou PC2) au point d’accès via une initialisation en champ proche de type Intra Body Communication (IBC). Par la suite, les terminaux du réseau privé ainsi créé peuvent communiquer et éventuellement avec d’autres terminaux sur un autre réseau (Internet, etc.) via le point d’accès,
Le dispositif mobile (DM) selon l’invention est un dispositif portatif naturellement apte à recevoir des ondes porteuses radio, via une antenne, à travers le corps de l’utilisateur (U). À cette fin, le dispositif mobile (DM) est situé à proximité immédiate de l’utilisateur (U), sans nécessairement être en contact direct avec celui-ci. Par exemple, le dispositif mobile (DM) est placé à l’intérieur d’une poche ou d’un sac porté contre l’utilisateur. Dans ces configurations, on estime que le dispositif mobile (DM) n’est pas éloigné de plus de quelques centimètres du corps de l’utilisateur. La distance est par exemple inférieure à 5 cm. Il s’agit selon cet exemple d’un dispositif mobile équipé d’une antenne NFC (non représentée) adaptée en mode IBC pour recevoir les signaux électriques modulés sous forme d’une onde électromagnétique à travers le corps de l’utilisateur lorsque celui-ci se trouve à proximité immédiate du terminal PC (PCI). Un terminal est un dispositif possédant une connexion Wi-Fi et un module NFC/IBC, comme un ordinateur portable, une tablette, un objet connecté (imprimante, disque dur, décodeur, smartphone, etc.)
Selon le mode particulier de réalisation illustré en figure 1 , des données sont transmises entre le terminal PCI et le dispositif mobile (DM) de l’utilisateur via le canal IBC. Ces données correspondent à des données de connexion permettant au dispositif mobile (DM) d’autoriser le terminal PCI sur un réseau local privé administré par le point d’accès du dispositif mobile.
Lorsque l’utilisateur effleure le PCI avec par exemple sa main, le signal NFC émis par le terminal (PCI) est transmis via le corps de l’utilisateur jusqu’à son dispositif mobile (DM).
À cette fin, selon un exemple, le terminal PCI se positionne en mode lecteur au sens de la norme NFC puis encode une trame de protocole de communication en champ proche NFC, par exemple une trame de type B selon le protocole ISO/CEI 14443-3. La figure 6 illustre un exemple d’une partie d’une telle trame. Pour cela, le PCI génère une trame NFC comportant une demande de connexion indiquant la demande de connexion au réseau privé, par exemple, comme il sera détaillé plus tard, dans un champ « AFI » (identificateur de la famille d’applications) de la trame NFC. Optionnellement, la trame NFC comprend un identifiant du PCI (ID PC1) permettant au dispositif mobile (DM) de le reconnaître et/ou l’enregistrer avant d’établir une communication Wi-Fi avec le PCI pour lui transmettre les codes d’accès à son réseau privé.
Le dispositif mobile DM reçoit le signal NFC/IBC émis par le PCI (transmis via le corps de l’utilisateur), décode la trame NFC/IBC reçue, en extrait la demande de connexion et optionnellement une donnée relative au PCI, selon un exemple l’adresse MAC ou l’adresse IP du PCI.
Le dispositif mobile DM procède alors à l’appairage du PCI sur son réseau Wi-Fi Hotspot, c’est-à-dire qu’il transmet le mot de passe du réseau Wi-Fi hotspot. Optionnellement, il transmet aussi un nom de réseau. De façon connue, dans un réseau Wifi de type « hotspot », le point d’accès et un terminal partagent un secret. Il s’agit, selon la norme IEEE 802.11, d’une clé de sécurité partagée PSK (pour « Pre-Shared Key », en anglais), qui est humainement lisible et comprend entre 8 et 63 caractères au format ASCII. La clé PSK est généralement choisie par l’application du dispositif mobile et tout terminal qui veut s’y connecter doit connaître cette clé. Selon l’art antérieur, l’utilisateur du terminal PCI doit la saisir via une interface du terminal pour que ce dernier puisse établir une connexion avec l’équipement d’accès DM. Le procédé selon l’invention permet de s’en affranchir : l’appairage, initié via IBC, évite à l’utilisateur de rentrer les identifiants du réseau. Il permet par ailleurs de sécuriser le réseau hotspot du dispositif mobile: seuls les terminaux approchés (au sens d’une proximité NFC) par l’utilisateur sont autorisés à se connecter au hospot.
Selon un mode de réalisation, les identifiants du réseau sont transmis en Wi-Fi au terminal.
Selon un autre mode de réalisation, les identifiants du réseau sont transmis en Bluetooth.
Selon un autre mode de réalisation, les identifiants du réseau sont transmis dans une trame NFC/IBC émise par le dispositif mobile DM. Il se positionne en mode lecteur au sens de la norme NFC puis : selon une première variante, l’utilisateur approche son dispositif mobile (DM) du PCI afin de lui transmettre classiquement une trame NFC comprenant les identifiants du réseau ; selon une deuxième variante, l’utilisateur garde son dispositif mobile en poche et la trame est émise au format IBC. Il faut dans ce cas que le PC se positionne en mode « émulation de carte » au sens de la norme NFC et soit capable de recevoir des trames IBC, ce qui suppose une adéquation de sa puissance de réception aux ondes NFC-IBC.
Une fois que le PCI dispose des identifiants du réseau hotspot, il s’y connecte classiquement en Wi-Fi. Le PC2 peut s’appairer de la même manière au hotspot du terminal DM.
La figure 2 illustre un exemple d'environnement de mise en œuvre de l'invention selon un mode particulier de réalisation de l'invention.
Selon ce mode de réalisation, la passerelle de réseau local de l’utilisateur (GW) autorise la connexion du terminal (PCI) à un réseau privé via une initialisation en champ proche de type Intra Body Communication (IBC). Ce réseau privé peut être le réseau local classiquement administré par la passerelle, ou un sous-ensemble de ce réseau local, ou un autre réseau local que la passerelle peut par exemple définir comme un «réseau invité » privé, ne concernant que les terminaux « touchés » par l’utilisateur (au sens d’une proximité NFC) et destinés par exemple à partager des informations sensibles.
L’utilisateur se tient à proximité de ou touche la passerelle équipée d’un module NFC/IBC selon l’invention. Il lui suffit alors de toucher aussi un terminal équipé d’un module correspondant (par exemple, par une prise en main d’un PC portable ou d’une tablette) pour que le terminal soit appairé sur un réseau local du point d’accès de la passerelle.
Selon l’état de l’art, pour accéder à un réseau local, un utilisateur doit se connecter à la passerelle de service à partir du terminal. Pour se connecter à la passerelle, l’utilisateur saisit dans le terminal les paramètres d’identification du réseau local, par exemple de type Wifi. En particulier, par un processus dit « d’appairage » préalable, bien connu de l’homme du métier, il saisit ou sélectionne le nom du réseau local, connu sous l’abréviation SSID (pour « Service Set Identifier »), qui prend souvent la forme d’une chaîne alphanumérique (par exemple : « Livebox_666 ») et, dans la plupart des cas, une clé, ou mot de passe, d’accès au réseau domestique, tel qu’une clé WEP (pour « Wired Equivalent Privacy ») ou WPA (pour « WiFi Protected Access »). La définition d’une clé de sécurisation d’un réseau Wi-Fi impose de générer des clés de sécurité alphanumériques relativement longues, du fait du compromis à réaliser entre la sécurité du réseau et la facilité de mémorisation et/ou partage de la clé. La clé WEP générée pour protéger l’accès au réseau local de l’utilisateur peut se présenter sous la forme connue d’une suite de 26 caractères hexadécimaux (par exemple, « 32F34DA4CFE9EAD355A49EAE17 »). L’utilisateur rechigne bien souvent à utiliser de telles clés, longues et complexes. Selon ce mode de réalisation de l’invention, des données sont transmises entre le terminal PCI et la passerelle de service via le canal IBC. Ces données permettent à la passerelle d’autoriser le terminal PCI sur son réseau privé (principal ou « invité »).
Lorsque l’utilisateur effleure le PCI avec par exemple sa main, le signal NFC émis par le PCI est transmis via le corps de l’utilisateur jusqu’à la passerelle. À cette fin, le PCI encode par exemple, comme décrit précédemment, une trame de protocole de communication en champ proche NFC, après s’être positionné en mode lecteur au sens de la norme NFC. Ce message peut comporter une demande de connexion et/ou un identifiant du PCI (adresse IP ou adresse MAC).
La passerelle reçoit le signal NFC émis par le PCI (transmis via le corps de l’utilisateur), décode la trame NFC reçue, en extrait la demande de connexion et optionnellement un identifiant du PCI . Il faut dans ce cas que la passerelle soit capable de recevoir des trames IBC, ce qui suppose une adéquation de sa puissance de réception des ondes NFC-IBC.
La passerelle transmet le mot de passe et optionnellement le nom du réseau local.
Selon un mode de réalisation, les identifiants du réseau sont transmis en Wi-Fi au terminal.
Selon un autre mode de réalisation, les identifiants du réseau sont transmis en Bluetooth.
Selon un autre mode de réalisation, les identifiants du réseau sont transmis dans une trame NFC/IBC émise par la passerelle. Elle se positionne en mode lecteur au sens de la norme NFC puis : selon une première variante, l’utilisateur approche son terminal de la passerelle afin de lui transmettre classiquement une trame NFC comprenant les identifiants du réseau ; selon une deuxième variante, l’utilisateur garde son terminal à distance de la passerelle et la trame est émise au format IBC. Il faut dans ce cas que le PC soit capable de recevoir des trames IBC, ce qui suppose une adéquation de sa puissance de réception aux ondes NFC-IBC.
Une fois que le PC dispose des identifiants du réseau local (SSID et clé WEP), il n’y connecte classiquement.
La passerelle procède alors à l’appairage du PCI sur son réseau privé, c’est-à-dire qu’elle l’autorise sur le réseau privé défini par le nom et le mot de passe (réseau principal ou invité).
La figure 3 représente des étapes du procédé de création d’un réseau privé selon un mode particulier de réalisation de l’invention tel que décrit à l’appui de la figure 1 ou 2. Dans la suite, le dispositif mobile DM et/ou la passerelle GW sont dénommés « point d’accès » PA. A la fin du procédé, au moins un terminal (PC) est appairé sur le réseau privé du point d’accès. L’appairage, réalisé via IBC, permet de sécuriser le réseau en question : le fait que l’utilisateur « touche » le terminal est en effet un gage de sécurité.
Lors d’une étape EO, le terminal PC se prépare à la connexion. Il allume (ou l’utilisateur le fait pour lui) un canal radio de type Wi-Fi et le cas échéant le module NFC/IBC, si celui-ci n’est pas activé par défaut. Il se positionne de préférence en mode lecteur de carte afin de pouvoir émettre des trames conformes aux normes NFC.
Lors d’une étape El 0, le point d’accès se prépare à la connexion. Il allume le cas échant (ou l’utilisateur le fait pour lui) un canal radio de type Wi-Fi, et se positionne en mode Wi-Fi « hotspot ». Il active le cas échéant le module NFC/IBC, si celui-ci n’est pas activé par défaut. Il se positionne de préférence en mode « émulation de carte » afin de pouvoir recevoir des trames conformes aux normes NFC.
Lors d’une étape El, le terminal prépare puis émet un signal NFC adapté à une transmission via le corps humain, avantageusement de type NFC (c’est à dure à la fréquence duNFC-13,56 Mhz et avec les caractéristiques de la norme NFC). Ce signal comprend un message de requête de type NFC, dans le but d’initier un dialogue entre le terminal et le point d’accès, en mode NFC/IBC, conformément aux normes NFC.
Le corps de l’utilisateur reçoit Fonde et se transforme en antenne, c’est-à-dire qu’il réémet Fonde électromagnétique qui se trouve ainsi diffusée dans tout son corps.
Une donnée (DCX) demandant la connexion au service est insérée dans le signal. Il peut s’agir par exemple d’un code de service correspondant à une demande de connexion au réseau privé du point d’accès. Le nouveau message MSG1 respecte de préférence le format des messages de la norme. Selon un exemple, détaillé ultérieurement à l’appui de la figure 6, il s’agit d’un message de type NFC-B donc les champs sont réutilisés à profit pour indiquer le type de communication requise (demande de connexion au réseau local via IBC) et optionnellement des données du terminal et/ou de manière non exhaustive toute donnée utile à l’appairage comme le nom de réseau privé si le terminal le connaît déjà.
Selon un mode de réalisation, une donnée personnelle DID relative au terminal (adresse, identifiant unique, etc.) est insérée dans le signal. Il peut s’agir par exemple d’un numéro, d’une référence, d’une clé, etc., ou de manière plus générale de n’importe quel signe d’identification qui permet ultérieurement au point d’accès d’accepter et optionnellement de mémoriser ce dispositif. Il peut s’agir par exemple d’un numéro, d’une référence, d’une clé, etc., ou de manière plus générale de n’importe quel signe d’identification qui permet ultérieurement au point d’accès d’accepter ce terminal (par exemple l’adresse MAC du terminal).
Selon un mode de réalisation, le nom du réseau (par exemple SSID.) est inséré dans le signal. Ceci suppose que le terminal ait connaissance du nom, soit parce que le dispositif mobile est positionné en hotspot et donc diffuse son nom sur un canal WiFi, soit parce que le terminal a mémorisé le nom au cours d’une précédente connexion.
Selon une variante, un ensemble de noms connus du terminal est inséré dans le signal (e.g. une liste de SSIDs).
Lors d’une étape El i, le point d’accès reçoit le signal en provenance du corps de l’utilisateur ; à cet effet le point d’accès est positionné (par exemple par l’application) dans un mode de réception de l’onde électromagnétique. Le point d’accès reçoit et démodule le signal reçu. Si le signal comporte une donnée de demande de connexion (DCX), le procédé se poursuit par une étape E12.
Lors de l’étape E12 optionnelle, une donnée personnelle DID relative au terminal (adresse, identifiant unique, etc.) est lue dans le signal. Le point d’accès mémorise cet identifiant, par exemple dans une table en mémoire (M), pour une utilisation ultérieure. Il lit aussi, optionnellement, le nom du réseau si transmis dans le signal.
Lors d’une étape El 3, le dispositif mobile DM prépare un message MSG2 comportant le mot de passe PW du réseau et optionnellement le nom du réseau (si non reçu à l’étape précédente). Selon ce mode de réalisation, ce message MSG2 est transmis dans un signal à travers le corps de l’utilisateur ; à cet effet le point d’accès est positionné dans un mode lecteur. Selon un autre mode de réalisation, ce message est transmis sur un canal Wi-Fi, Bluetooth, etc.
Lors d’une étape E2, le terminal reçoit le message, diffusé selon ce mode de réalisation à travers le corps de l’utilisateur. Il en extrait le mot de passe et optionnellement le nom du réseau (si non connu et transmis à l’étape précédente).
Un canal de communication peut alors être établi classiquement entre le terminal et le point d’accès, au cours des étapes E3 et El 3 : le terminal transmet par exemple au point d’accès le nom et le mot de passe, et le point d’accès accepte la connexion si le nom et le mot de passe sont corrects. À partir de cet instant, le terminal est connecté au réseau privé du point d’accès.
La figure 4 représente l’architecture d’un point d’accès (PA) selon des modes particuliers de réalisation de l’invention. On rappelle que le point d’accès PA peut être un dispositif mobile (DM) positionné en hotspot (Fig. 1), ou une passerelle (GW) de service d’un réseau local (Fig. 2).
Selon un mode particulier de réalisation de l'invention, le point d’accès (PA) a l'architecture classique d'un ordinateur et comprend notamment une mémoire MEM, une unité de traitement UT, équipée par exemple d'un processeur PROC, et pilotée par le programme d'ordinateur PG stocké en mémoire MEM. Le programme d'ordinateur PG comprend des instructions pour mettre en œuvre les étapes du procédé d’appairage tel que décrit précédemment, selon l’un quelconque de ses modes de réalisation, lorsque le programme est exécuté par le processeur.
A l'initialisation, les instructions de code du programme d'ordinateur PG sont par exemple chargées dans une mémoire avant d'être exécutées par le processeur.
Un dispositif mobile (DM) comprend en outre un mode de point d’accès ou tethering (TETH), qui lui permet de se transformer en passerelle.
Le point d’accès PA comprend en outre un ensemble de modules COM (modules de routage, etc.) qui lui permettent classiquement de communiquer avec un ou plusieurs terminaux de son réseau local et leur donner accès à un LAN ou un WAN (réseau mobile, Internet, etc.)
Le point d’accès PA comporte encore un certain nombre de modules qui lui permettent de communiquer avec les réseaux locaux et étendus, via différents protocoles sur différents liens physiques ; sur la figure 4, on a ainsi schématisé un module Wi-Fi (WIF) permettant des communications sans fils avec le réseau Internet, le réseau mobile, et/ou le réseau local. Il peut aussi s’agir d’un module Bluetooth, Li-Fi, Ethernet, etc.
Le point d’accès, dispositif mobile ou passerelle, comporte aussi un module applicatif (CONT) chargé du contrôle de la communication IBC/Wi-fi selon des modes de réalisation de l’invention. Le module CONT, qui peut être logiciel et/ou matériel, est notamment capable d’effectuer les actions qui ont été décrites à l’appui des figures précédentes : positionnement du point d’accès dans le mode IBC en émission et/ou réception, en mode lecteur ou émulation den carte NFC, récupération et mémorisation du message (MSG1) comportant la demande de connexion et l’identification du terminal, préparation et transmission des identifiants de connexion (MSG2), connexion effective avec le terminal, etc.
Une partie de la mémoire MEM stocke, entre autres, les paramètres d’identification et d’association des terminaux domestiques au point d’accès (table d’identifiants comprenant les identifiants uniques des terminaux domestiques qui ont déjà été autorisés à accéder au réseau domestique via le point d’accès, éléments de routage, etc.).
Le dispositif PA comprend aussi un module de communication NFC/IBC configuré pour établir des communications sans contact, et en particulier pour émettre un signal destiné à être transmis par le corps de l’utilisateur, et pour recevoir en retour un signal électromagnétique qui a transité et a été réémis par le corps. Ce module comprend classiquement une antenne NFC (ANT) adaptée pour recevoir des signaux sur la voie radio et via le corps de l’utilisateur, de manière à ce qu’un signal électrique modulé transporté par le corps de l’utilisateur soit apte à être reçu par l’antenne NFC quand elle se trouve en proximité avec le corps humain. Par adapté, on entend que l’antenne peut être amplifiée, ou que l’antenne dispose d’un gain suffisamment élevé. Acquérir une telle antenne ou l’amplifier est à la portée de l’homme du métier. Le module NFC/IBC comporte aussi un démodulateur non représenté, destiné à recevoir via l’antenne un signal électrique modulé et à le transformer en un signal numérique destiné à être transmis à l’unité de traitement, un modulateur, un contrôleur et des composantes logicielles (firmware, etc.) nécessaires à la mise en œuvre des communications NFC/IBC.
Il comporte aussi optionnellement un module de communication de type Bluetooth. Il comporte aussi optionnellement un module de communication de type UMTS ou équivalent pour accès au réseau mobile.
Tous les modules communiquent classiquement entre eux via un bus de données (non représenté). La figure 5 représente l’architecture d’un terminal selon des modes particuliers de réalisation de l’invention.
Le terminal (PC) a l'architecture classique d'un ordinateur et comprend notamment une mémoire MEM’, une unité de traitement UT’, équipée par exemple d'un processeur PROC’, et pilotée par le programme d'ordinateur PG’ stocké en mémoire MEM’. Le programme d'ordinateur PG’ comprend des instructions pour mettre en œuvre les étapes du procédé de demande d’appairage tel que décrit précédemment, selon l’un quelconque de ses modes de réalisation, lorsque le programme est exécuté par le processeur.
A l'initialisation, les instructions de code du programme d'ordinateur PG’ sont par exemple chargées dans une mémoire avant d'être exécutées par le processeur.
Il comporte en outre un module COM’ pour communiquer avec un point d’accès ainsi qu’un certain nombre de modules qui lui permettent de communiquer via différents protocoles sur différents liens physiques ; sur la figure 5, on a ainsi schématisé un module Wi-Fi (WIF’) permettant des communications sans fils avec le point d’accès. Il peut aussi s’agir d’un module Bluetooth, Li-Fi, Ethernet, etc.
Le terminal comporte aussi un module applicatif (CONT’) chargé du contrôle de la communication IBC/Wi-fi selon des modes de réalisation de l’invention. Le module CONT’, qui peut être logiciel et/ou matériel, est notamment capable d’effectuer les actions qui ont été décrites à l’appui des figures précédentes : positionnement du terminal dans le mode IBC en émission et/ou réception, en mode lecteur ou émulation den carte NFC, préparation et émission du message (MSG1) comportant la demande de connexion et l’identification du terminal, réception des identifiants de connexion (MSG2), connexion effective avec le point d’accès, etc.
Le terminal PC comprend aussi un module de communication NFC/IBC’ configuré pour établir des communications sans contact, et en particulier pour émettre un signal destiné à être transmis par le corps de l’utilisateur, et pour recevoir en retour un signal électromagnétique qui a transité et a été réémis par le corps. Ce module comprend classiquement une antenne NFC (ANT’) adaptée pour recevoir des signaux sur la voie radio et via le corps humain, de manière à ce qu’un signal électrique modulé transporté par le corps soit apte à être reçu par l’antenne NFC quand elle se trouve en proximité avec le corps de 1’utilisateur. Par adapté, on entend que l’antenne peut être amplifiée, ou que l’antenne dispose d’un gain suffisamment élevé. Acquérir une telle antenne ou l’amplifier est à la portée de l’homme du métier. Le module NFC/IBC’ comporte aussi un démodulateur non représenté, destiné à recevoir via l’antenne un signal électrique modulé et à le transformer en un signal numérique destiné à être transmis à l’unité de traitement, un modulateur, un contrôleur et des composantes logicielles (firmware, etc.) nécessaires à la mise en œuvre des communications NFC/IBC.
Tous les modules communiquent classiquement entre eux via un bus de données (non représenté)
La figure 6 illustre une trame de requête NFC/IBC selon un mode particulier de réalisation de l’invention.
On rappelle que les communications NFC peuvent couvrir deux types d’applications liées à deux modes de fonctionnement différents sur un dispositif NFC :
- Le premier mode, dit mode lecteur, se rapporte à la lecture de données sur des dispositifs de type transpondeurs, ou cartes NFC. Le dispositif dans ce mode est actif. Il transmet des commandes comme il les enverrait à une carte sans contact selon le standard ISO 14443 (ou Felica). Il génère un champ magnétique qui, au contact de l'antenne de la carte passive, induit un courant électrique qui alimente la carte.
- Le second mode, dit mode émulation, met en œuvre une émulation d'un module de communication en champ proche, typiquement pour sécuriser des transactions électroniques entre une application stockée sur le dispositif et une borne externe de lecture, ou terminal lecteur ; dans ce mode, l'équipement NFC du dispositif est utilisé de manière passive. Il simule le comportement qu'aurait une carte sans contact passive. Il est capable de recevoir un message d’initialisation du lecteur.
Les principales étapes d’initialisation de la communication NFC entre un émetteur et une carte sont définies dans la partie 3 de la norme ISO 14443-3. Pour une carte de type B, le terminal lecteur envoie une requête d’identification (appelée “REQB” ou « WUPB ») et attend une réponse (appelée “ATQB”) de la part du terminal mobile. Ce mode de réalisation se propose de réutiliser un tel message protocolaire, de manière à insérer une indication de requête de connexion au réseau (DCX) dans le message de requête (MSG1) et optionnellement un certain nombre de données pour la communication subséquente (identifiant DID du terminal, SSID, etc.).
Comme illustré à la figure 6, et détaillé dans la norme 14443-3 précitée, le message REQB/WUPB normalisé contient :
- un octet de début de trame, S OF ;
- un octet de préfixe d'anticollision APf (de valeur fixe, en hexadécimal 0x5) ;
- un octet dit « AFI » indiquant la famille d'application représentant le type d'application ciblé par le lecteur NFC (toutes applications - code 00, transport, finances, télécommunication, etc.) Seules les cartes de proximité avec des applications du type indiqué par l'AFI sont autorisées à répondre à une commande REQB/WUPB avec un AFI différent de "00". Lorsque AFI est égal à "00", toutes les cartes de proximité doivent traiter REQB/WUPB. Ces règles de codage sont spécifiées dans le tableau 12 de la norme 14443 précité, reproduit ci-dessous ;
- un octet « param » indiquant notamment le type de requête (REQB ou WUPB) ;
- un octet « CRC B » sur deux octets comportant un code permettant de détecter et corriger les erreurs.
[Table 1]
Tableau 12 — Codage de l'AFI
Figure imgf000022_0001
Wl
Figure imgf000022_0002
La Figure 6 illustre une réutilisation possible de ces champs, concernant un mode d’implémentation particulier.
Le message MSG1 de requête de connexion contient, selon cet exemple (MSG1_1), le message de début de trame (SOF) suivi immédiatement des octets de données nécessaires à la requête IBC. Comme le champ AFI est écrasé, le module NFC du point d’accès ne répondra pas à cette requête. Les champs de données peuvent comprendre notamment un identifiant du terminal (DID, par exemple l’adresse MAC du terminal), le nom du réseau (réparti sur deux octets selon l’exemple), etc. Le message contient aussi un octet « CRC IBC » sur deux octets comportant un code permettant de détecter et corriger les erreurs.
Le message MSG1 de requête de connexion contient, selon un second exemple (MSG1_2), un premier octet de préfixe d'anticollision APf, non modifié, puis l’octet « AFI » adapté pour l’IBC tout en conservant une compatibilité avec la norme. En référence au tableau 12 de la norme 14443 précité, reproduit ci- dessus, la valeur 0x0 du premier demi-octet correspond à une sous-famille privative du type précisé dans le second demi-octet. On peut donc utiliser ce second demi-octet pour préciser un type de requête IBC (ici, DCX, la demande de connexion au réseau local, par exemple DCX = ‘ 1’). On notera qu’il est possible, de cette manière, de prévoir plusieurs types de requêtes, variant notamment selon le type de réseau : connexion à un réseau de type Wi-Fi, de type Bluetooth, de type Ethernet, mobile, etc.
Naturellement, ces deux exemples ne sont nullement limitatifs et l’homme du métier pourrait imaginer toute adaptation de ce message ou d'un autre message d'initialisation NFC. Par exemple :
- les valeurs hexadécimales 0x9 à OxF du premier demi-octet du champ AFI sont réservées ; on peut donc sans empiéter sur la norme utiliser une de ces valeurs réservées, par exemple 0x9 pour les applications IBC, de manière générale, le second demi-octet du champ comportant le type d’application IBC ;
- une modification de la valeur du champ SOF permettrait au terminal mobile de détecter immédiatement un message non-NFC ; etc.
Le message de connexion (MSG2) peut utiliser un type de format similaire pour le transport des données transmises du point d’accès au terminal (mot de passe, SSID, etc.) Pour ce faire, le point d’accès devra être positionné en mode lecteur et le terminal en mode émulation de carte.

Claims

Revendications
1. Procédé d’appairage d’un terminal (PCI, PC2) équipé d’un module en champ proche sur un réseau privé (RP) d’un point d’accès (DM, GW, PA) équipé d’un module en champ proche, ledit point d’accès se trouvant à proximité immédiate d'un utilisateur (U), ledit point d’accès étant apte à communiquer avec le terminal (DM) :
- sur un premier canal (IBC) en champ proche (NF) utilisant des capacités de conduction d'onde électromagnétique du corps dudit utilisateur, le procédé comportant, sur le point d’accès, les étapes de :
- obtention (El 1) d'un message de requête (MSG1) de connexion au réseau privé sur le premier canal, lorsque ledit utilisateur effectue un mouvement pour rentrer dans la proximité immédiate du terminal (PCI) ;
- transmission (E13) d’un message de connexion (MSG2) comportant un mot de passe (PW) dudit réseau ;
- appairage (El 3) du terminal sur ledit réseau (RP) privé.
2. Procédé de demande d’appairage d’un terminal (PCI, PC2) équipé d’un module en champ proche sur un réseau privé (RP) d’un point d’accès (DM) équipé d’un module en champ proche, ledit point d’accès se trouvant à proximité immédiate d'un utilisateur (U), ledit point d’accès étant apte à communiquer avec le terminal (DM) :
- sur un premier canal (IBC) en champ proche (NF) utilisant des capacités de conduction d'onde électromagnétique du corps dudit utilisateur, le procédé comportant, sur le terminal, les étapes de :
- émission sur le premier canal (El) d'un message (MSG1) de requête de connexion au réseau privé lorsque ledit utilisateur effectue un mouvement pour rentrer dans la proximité immédiate du terminal (PCI) ;
- réception (E2) d’un message de connexion (MSG2) comportant un mot de passe (PW) dudit réseau ;
- appairage du terminal sur ledit réseau privé (RP).
3. Procédé selon la revendication 1 ou 2, caractérisé en ce que ledit message de connexion (MSG2) est transmis ou reçu sur le canal en champ proche (IBC). Procédé selon la revendication 1 ou 2, caractérisé en ce que ledit message de requête de connexion (MSG1) comprend au moins une donnée d’identification du terminal (DID, @MAC). Procédé selon la revendication 1 ou 2, caractérisé en ce que ledit message de connexion (MSG2) comprend le nom du réseau (SSID). Procédé selon la revendication 1 ou 2, dans lequel ledit message de requête (MSG1) est obtenu ou émis au cours d’une communication de type ISO 14443. Procédé selon la revendication précédente, dans lequel la requête de connexion au réseau privé est indiquée dans un champ du message laissé libre par la norme NFC pour un usage futur ou pour une application propriétaire (AFI, PARAM). Procédé selon la revendication 3, dans lequel ledit message de connexion (MSG2) est transmis ou reçu au cours d’une communication de type ISO 14443. Procédé selon la revendication précédente, dans lequel le mot de passe (PW) est indiqué dans un champ du message laissé libre par la norme NFC pour un usage futur ou pour une application propriétaire (AFI, PARAM). Dispositif d’appairage d’un terminal (PCI, PC2) équipé d’un module en champ proche (NFC/IBC’) sur un réseau privé (RP) d’un point d’accès (DM, GW, AP) équipé d’un module en champ proche (NFC/IBC), ledit point d’accès se trouvant à proximité immédiate d'un utilisateur (U), ledit dispositif étant caractérisé en ce qu’il est configuré pour mettre en œuvre au niveau du point d’accès:
- communiquer avec le point d’accès (DM, GW, AP) sur un premier canal (IBC) en champ proche (NFC) utilisant des capacités de conduction d'onde électromagnétique du corps dudit utilisateur;
- obtenir (El) un message de requête (MSG1) de connexion sur le premier canal lorsque ledit utilisateur effectue un mouvement pour rentrer dans la proximité immédiate du terminal (PCI) ;
- transmettre un message de connexion (MSG2) comportant un mot de passe (PW) dudit réseau ;
- appairer le terminal sur ledit réseau privé (RP). Dispositif de demande d’appairage d’un terminal (PCI, PC2) équipé d’un module en champ proche (NFC/IBC’) sur un réseau privé (RP) d’un point d’accès (PA) équipé d’un module en champ proche (NFC/IBC), ledit point d’accès se trouvant à proximité immédiate d'un utilisateur (U), caractérisé en ce qu’il est configuré pour mettre en œuvre au niveau du terminal :
- communiquer avec le point d’accès (PA) sur un premier canal (IBC) en champ proche (NFC) utilisant des capacités de conduction d'onde électromagnétique du corps dudit utilisateur;
- émettre (El) un message (MSG1) de requête de connexion sur le premier canal lorsque ledit utilisateur effectue un mouvement pour rentrer dans la proximité immédiate du terminal (PCI, PC2) ;
- recevoir un message de connexion (MSG2) comportant un mot de passe (PW) dudit réseau ;
- appairer le terminal sur ledit réseau privé (RP) Programme comportant des instructions pour la mise en œuvre du procédé d’appairage ou de demande d’appairage selon l’une quelconque des revendications 1 à 9, lorsque ledit programme est exécuté par un processeur.
PCT/EP2023/059983 2022-04-20 2023-04-18 Réseau de communication privé sécurisé WO2023203013A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FRFR2203613 2022-04-20
FR2203613A FR3134941A1 (fr) 2022-04-20 2022-04-20 Réseau de communication privé sécurisé.

Publications (1)

Publication Number Publication Date
WO2023203013A1 true WO2023203013A1 (fr) 2023-10-26

Family

ID=81851057

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2023/059983 WO2023203013A1 (fr) 2022-04-20 2023-04-18 Réseau de communication privé sécurisé

Country Status (2)

Country Link
FR (1) FR3134941A1 (fr)
WO (1) WO2023203013A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130273846A1 (en) * 2010-12-22 2013-10-17 Gemalto Sa Communication system
CN105848090A (zh) * 2016-03-30 2016-08-10 乐视控股(北京)有限公司 路由器、终端设备及其接入方法和装置
US20190228192A1 (en) * 2018-01-25 2019-07-25 Seiko Epson Corporation Terminal device, communication system, recording medium

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130273846A1 (en) * 2010-12-22 2013-10-17 Gemalto Sa Communication system
CN105848090A (zh) * 2016-03-30 2016-08-10 乐视控股(北京)有限公司 路由器、终端设备及其接入方法和装置
US20190228192A1 (en) * 2018-01-25 2019-07-25 Seiko Epson Corporation Terminal device, communication system, recording medium

Also Published As

Publication number Publication date
FR3134941A1 (fr) 2023-10-27

Similar Documents

Publication Publication Date Title
EP2912818B1 (fr) Procede d'authentification mutuelle entre un terminal et un serveur distant par l'intermediaire d'un portail d'un tiers
CN108196863A (zh) 一种固件的升级方法、装置、终端及存储介质
US20130052950A1 (en) Methods and apparatus for improving management of nfc logical connections
EP3613186B1 (fr) Système et procédé de communications
ES2628192T3 (es) Procedimientos y aparatos para mejorar un proceso de descubrimiento de NFCEE
CN102474516A (zh) 用于经由可信网络对不可信网络进行验证的装置、方法和设备
EP3656142B1 (fr) Chargement d'un nouveau profil d'abonnement dans un module embarqué d'identification de souscripteur
FR3025377A1 (fr) Gestion de tickets electroniques
US20070157020A1 (en) Method and apparatus for providing session key for WUSB security and method and apparatus for obtaining the session key
EP3552327B1 (fr) Procédé de personnalisation d'une transaction sécurisée lors d'une communication radio
WO2022162289A1 (fr) Procédé et dispositif d'adaptation d'une communication en champ proche
WO2023203013A1 (fr) Réseau de communication privé sécurisé
CN116830525A (zh) 数据传输方法、装置、系统、电子设备及可读介质
EP3813330A1 (fr) Procédés et dispositifs d'appairage
EP2471237B1 (fr) Dispositif électronique nomade configuré pour établir une communication sans fil sécurisé
FR2820266A1 (fr) Dispositif et procede d'appairage automatique securise des appareils d'un reseau radiofrequence
FR3025338A1 (fr) Dispositifs et procedes de transfert d'informations d'accreditation et d'acces a un reseau
EP3127374B1 (fr) Accès sécurisé à un réseau étendu via un réseau de communication mobile
WO2010149704A1 (fr) Procede de configuration a distance d'un terminal mobile d'un reseau de telecommunications
FR3119284A1 (fr) Procédé et dispositif de transfert de données en champ proche.
Latvala Evaluation of out-of-band authentication channels
FR3101465A1 (fr) Procédés de transmission et de réception de données relatives à une transaction de paiement, dispositifs et programme d’ordinateur correspondants.
EP4329245A1 (fr) Procédé et dispositif de connexion sécurisée dans un réseau local
EP2950569A1 (fr) Procédé de déclenchement d'une session OTA entre un terminal et un serveur distant, terminal, SIM/UICC/eUICC carte et serveur correspondants
CN114615323A (zh) 一种用户进场推送方法及终端

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23720811

Country of ref document: EP

Kind code of ref document: A1