FR3116978A1 - Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle - Google Patents

Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle Download PDF

Info

Publication number
FR3116978A1
FR3116978A1 FR2012239A FR2012239A FR3116978A1 FR 3116978 A1 FR3116978 A1 FR 3116978A1 FR 2012239 A FR2012239 A FR 2012239A FR 2012239 A FR2012239 A FR 2012239A FR 3116978 A1 FR3116978 A1 FR 3116978A1
Authority
FR
France
Prior art keywords
access
user terminal
personal
gateway
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2012239A
Other languages
English (en)
Inventor
Xavier Le Guillou
Coralie BONNET
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2012239A priority Critical patent/FR3116978A1/fr
Publication of FR3116978A1 publication Critical patent/FR3116978A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Titre. L'invention concerne un procédé de contrôle d’accès à un réseau de communication local, comprenant une passerelle d’accès audit réseau local et une pluralité de terminaux utilisateurs aptes à être connectés audit réseau local via ladite passerelle d’accès. Selon l'invention, un tel procédé de contrôle d’accès comprend une affectation aux terminaux utilisateurs de clés d’identification symétriques personnelles respectives. En outre, le contrôle d’accès d’un desdits terminaux utilisateurs audit réseau comprend une authentification dudit terminal utilisateur fondée sur ladite clé d’identification symétrique personnelle qui lui a été affectée. Figure pour l’abrégé : Fig 7

Description

Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
Le domaine de l'invention est celui du contrôle de l’accès de terminaux utilisateurs à un réseau de communication local, accessible via une passerelle d’accès. Plus précisément, l'invention concerne les problématiques de la planification de l’accès des terminaux utilisateurs à un tel réseau de communication local, et du contrôle parental pour les utilisateurs mineurs.
Art antérieur
La planification de l’accès des terminaux utilisateurs aux ressources d’un réseau de communication local, notamment domestique, et du réseau de communication étendu de type Internet auquel il permet d’accéder, est une problématique majeure pour les opérateurs des réseaux de communication, ainsi que pour les acteurs offrant des services de contournement de type OTT (pour l’anglais « Over The Top »), qui doivent gagner la confiance de leurs clients. Notamment, la problématique du contrôle parental, permettant de sécuriser l’accès des utilisateurs mineurs à ces ressources, est un enjeu majeur pour les foyers avec enfants.
Il est ainsi important pour les parents, d’une part de pouvoir planifier de manière certaine les horaires auxquels leurs enfants sont autorisés à accéder à ces ressources, afin par exemple de réduire le risque d’addiction aux écrans, et d’autre part de contrôler leur accès aux seules ressources qui ne sont pas susceptibles de heurter leur sensibilité, de leur nuire ou tout simplement de les exposer à des contenus inappropriés.
A ce jour, dans un réseau de communication local de type résidentiel, cette planification d’accès et ce contrôle parental sont mis en œuvre dans la passerelle d’accès (par exemple la Livebox® d’Orange®). Cette dernière a pour rôle de contrôler l’accès des terminaux utilisateurs au réseau de communication, en assurant la configuration automatique des paramètres IP de ces derniers, notamment en leur attribuant automatiquement une adresse IP (pour l’anglais « Internet Protocol », en français protocole internet).
Selon les techniques connues, ce contrôle est intégralement fondé sur l’adresse MAC (pour l’anglais « Media Access Control », en français adresse physique) que le terminal utilisateur déclare au serveur DHCP du réseau local. On parle de filtrage par adresse MAC. Cette adresse MAC est un identifiant physique stocké dans une carte réseau ou une interface réseau similaire, généralement constituée de 48 bits et représentée sous la forme hexadécimale.
La passerelle résidentielle mémorise une table de correspondance, permettant d’associer des permissions d’accès aux différentes adresses MAC des terminaux utilisateurs du réseau local. Par exemple, l’adresse MAC du smartphone (en français « téléphone intelligent ») d’un utilisateur mineur est enregistrée en association avec certaines règles d’autorisation permettant de limiter son accès sur certaines plages horaires seulement, ou à certains contenus uniquement. Cette table de correspondance est générée par l’administrateur du réseau (le parent client) lors du paramétrage des autorisations d’accès pour l’ensemble des terminaux utilisateurs du foyer, et mémorisée sous forme de table statique dans la passerelle.
Cependant, ce contrôle d’accès fondé sur l’adresse MAC des terminaux utilisateurs pose deux problèmes principaux à ce jour.
Un premier problème résulte de ce que tout utilisateur peut aujourd’hui modifier de façon simple l’adresse MAC logicielle de son terminal. En effet, avec certains systèmes d’exploitation (ou OS pour « Operating System »), l’adresse matérielle MAC n’est pas utilisée directement, on lui substitue une adresse MAC logicielle choisie par l’OS. Cette modification de l’adresse MAC, au niveau logiciel, est à la portée de la plupart des utilisateurs mineurs du foyer, qui souhaitent contourner le contrôle parental ou la planification établis par leurs parents. La fiabilité du contrôle parental et de la planification mis en œuvre dans les passerelles domestiques est donc insuffisante pour recueillir la confiance des clients des opérateurs et des acteurs OTT.
Un second problème découle de ce que certains fournisseurs de systèmes d’exploitation mobiles, comme Apple® ou Google®, poussent pour l’utilisation d’une adresse MAC aléatoire pour la connexion aux réseaux Wi-Fi. Ceci rendrait impossible le contrôle d’accès au niveau de la passerelle résidentielle par filtrage d’adresses MAC.
Il existe donc un besoin d'une technique de contrôle de l’accès de terminaux utilisateurs à un réseau de communication local, notamment de type domestique, qui ne présente pas ces inconvénients de l’art antérieur. Notamment, il existe un besoin d’une telle technique qui permette la mise en place d’une planification d’accès et d’un contrôle parental présentant une fiabilité accrue par rapport aux solutions antérieures. Il existe également un besoin d’une telle technique qui soit simple à mettre en œuvre, et compatible avec les normes de communication existantes (notamment IEEE 802.11i).
L'invention répond à ce besoin en proposant un procédé de contrôle d’accès à un réseau de communication local sans fil, comprenant une passerelle d’accès au réseau local et une pluralité de terminaux utilisateurs aptes à être connectés au réseau local via la passerelle d’accès. Selon l’invention, un tel procédé de contrôle d’accès comprend une affectation aux terminaux utilisateurs de clés d’identification symétriques personnelles respectives, et le contrôle d’accès d’un des terminaux utilisateurs au réseau comprend une authentification du terminal utilisateur fondée sur la clé d’identification symétrique personnelle qui lui a été affectée.
Ainsi, l'invention repose sur une approche tout à fait nouvelle et inventive du contrôle d’accès mis en œuvre au niveau d’une passerelle d’accès dans un réseau de communication local sans fil, notamment, mais non exclusivement, un réseau domestique ou résidentiel.
En effet, selon les solutions connues de l’art antérieur, tous les terminaux utilisateurs d’un même réseau de communication local sans fil se connectent en Wi-Fi à la passerelle d’accès selon un mécanisme de sécurisation de type WPA ou WPA2 (pour l’anglais « Wi-Fi Protected Access »), conforme à la norme IEEE 802.11i. Notamment, selon la technique « WPA personnel », connue également sous le nom de mode à secret partagé ou WPA-PSK, chaque équipement du réseau sans fil s’authentifie auprès du point d’accès en utilisant une même clé d’identification symétrique sur 256 bits, connue sous le nom de PSK pour l’anglais « Pre Shared Key ».
L'invention propose au contraire, de façon avantageuse, d’affecter une clé d’identification symétrique personnelle à chaque terminal utilisateur du réseau de communication local sans fil et de réaliser un contrôle d’accès à la passerelle résidentielle par filtrage de clé d’identification symétrique personnelle. Ainsi, la passerelle d’accès peut s’assurer qu’un seul utilisateur à la fois utilise une clé d’identification symétrique personnelle donnée ; dans le cas contraire, elle peut notifier l’administrateur du réseau de communication local, ou refuser l’accès d’un terminal utilisateur qui tenterait de s’authentifier avec la même PSK qu’un terminal déjà connecté.
Cette solution permet un contrôle d’accès plus fiable que les techniques antérieures reposant sur un filtrage par adresse MAC.
Selon un aspect d’un mode de réalisation de l'invention, un tel procédé de contrôle d’accès comprend également une phase d’enrôlement du terminal utilisateur auprès de la passerelle d’accès, au cours de laquelle la passerelle d’accès fournit au terminal utilisateur un certificat personnel représentatif d’une identité de l’utilisateur. Un tel certificat est par exemple conforme à la norme X.509 définie par l’UIT, et dans la RFC 5280 de l’IETF.
En effet, la sécurité d’un réseau Wi-Fi passe par l’utilisation d’une clé de sécurité (ou PSK) forte, sur 256 bits. Cette clé étant quasiment impossible à retenir pour les utilisateurs, chaque utilisateur doit saisir une phrase secrète (PassPhrase) pour accéder au réseau, qui peut contenir de 8 à 63 caractères ASCII, et qui sera, au préalable, convertie en une clé de 256 bits en appliquant une fonction de dérivation de clé PBKDF2, selon la formule :PSK= PBKDF2(PassPhrase, ssid, ssidLength, 4096, 256).
Cependant, l’utilisation de telles phrases secrètes rendent le système vulnérable aux attaques par force brute sur les mots de passe. Afin de trouver un compromis entre une clé forte permettant d’assurer la sécurité du réseau, et une clé suffisamment facile à retenir pour l’utilisateur, une solution avantageuse consiste à renouveler régulièrement la clé d’identification symétrique personnelle affectée aux terminaux utilisateurs du réseau. C’est pour permettre ce renouvellement qu’il est avantageux que la passerelle d’accès délivre, à chaque terminal utilisateur qui a déjà été connecté au réseau de communication local et qui a reçu l’autorisation de l’administrateur, un certificat X.509 (clé publique/clé privée).
Ainsi, selon un aspect d’un mode de réalisation de l’invention, l’affectation d’une clé d’identification symétrique personnelle au terminal utilisateur comprend un établissement d’une connexion en authentification mutuelle entre le terminal utilisateur et la passerelle d’accès, et une vérification du certificat personnel fourni au terminal utilisateur. La passerelle d’accès peut ainsi s’assurer de l’identité de l’utilisateur qui souhaite obtenir le renouvellement de sa clé PSK. Cette phase d’authentification mutuelle comprend également une vérification du certificat présenté par la passerelle d’accès au terminal utilisateur.
Selon un aspect particulier, la connexion en authentification mutuelle est établie entre le terminal utilisateur et la passerelle d’accès sur un réseau ouvert local non sécurisé.
Ainsi, lorsqu’un terminal utilisateur ne parvient plus à se connecter au réseau de communication local sans fil, parce que sa clé d’identification symétrique personnelle est arrivée à expiration, il peut se connecter avantageusement à un réseau Wi-Fi de type « Open » (i.e. un réseau Wi-Fi ne nécessitant pas de clé de sécurité pour se connecter), porté par la passerelle d’accès, sans connectivité Internet. Un tel réseau non sécurisé ne sert ainsi qu’à la distribution de clés d’identifications symétriques de type PSK.
En variante, cette connexion en authentification mutuelle est établie sur le réseau Wi-Fi domestique sécurisé, notamment dans le cas où le terminal utilisateur souhaite renouveler sa clé d’identification symétrique personnelle alors que cette dernière est encore valide.
Encore en variante, le renouvellement des clés d’identification symétriques personnelles des terminaux utilisateurs peut s’effectuer sur un réseau sécurisé par une clé WPA ou WPA2 ou WPA3, mais sans connectivité à Internet.
Selon une première variante de réalisation, après établissement de la connexion en authentification mutuelle, l’affectation d’une clé d’identification symétrique personnelle au terminal utilisateur comprend :
- une génération de la clé d’identification symétrique personnelle du terminal utilisateur,
- un envoi de la clé d’identification symétrique personnelle générée au terminal utilisateur.
Le terminal utilisateur ouvre ainsi une session de type TLS (pour l’anglais « Transport Layer Security », ou sécurité de la couche de transport) en authentification mutuelle vers la passerelle d’accès. La passerelle d’accès envoie au terminal utilisateur son certificat, qui contient sa clé publique, ses informations ainsi qu’une signature numérique. Le terminal utilisateur vérifie ce certificat, et présente à son tour son certificat à la passerelle d’accès, qui le vérifie. Après succès de cette authentification mutuelle, et établissement de la connexion TLS entre le terminal utilisateur et la passerelle d’accès, cette dernière génère une nouvelle clé d’identification symétrique personnelle pour le terminal utilisateur, et la lui envoie.
Si ces échanges avaient lieu sur un réseau « open », ou sur un réseau sécurisé mais sans accès à Internet, le terminal utilisateur peut alors se déconnecter de ce réseau , et se reconnecter au réseau de communication local sans fil nominal géré par la passerelle d’accès (i.e. le réseau domestique, avec connectivité à Internet) grâce à la nouvelle clé d’identification symétrique personnelle PSK qui lui a été affectée.
Selon une deuxième variante de réalisation, après établissement de la connexion en authentification mutuelle, l’affectation d’une clé d’identification symétrique personnelle au terminal utilisateur comprend :
- une réception d’une clé d’identification symétrique personnelle proposée par le terminal utilisateur,
- une détermination d’une durée de vie de la clé d’identification symétrique personnelle proposée,
- un envoi de la durée de vie déterminée au terminal utilisateur.
Ainsi, la PSK peut être proposée à la passerelle d’accès, à l’initiative du terminal utilisateur. La passerelle peut alors lui affecter une durée de vie, en fonction par exemple de sa complexité et de sa capacité de résistance aux attaques (plus la clé est simple et faible, plus la durée de vie affectée est courte). Elle mémorise la clé ainsi affectée au terminal utilisateur, ainsi que sa durée de vie, qu’elle transmet pour information au terminal utilisateur.
Selon une caractéristique d’un mode de réalisation de l’invention, un tel procédé de contrôle d’accès comprend une mémorisation d’une première table de correspondance associant une identité des utilisateurs et au moins une règle de contrôle d’accès des utilisateurs à la passerelle d’accès. Cette première table de correspondance peut être appelée table de permissions.
Ainsi, contrairement aux solutions de l’art antérieur reposant sur un filtrage par adresse MAC, pour lesquelles le contrôle d’accès était mis en œuvre au niveau de la passerelle d’accès par terminal utilisateur, la solution de l’invention permet de réaliser un contrôle d’accès par utilisateur. Pour ce faire, l’administrateur du réseau (par exemple le parent) peut configurer un certain nombre de règles d’autorisation ou d’interdiction (i.e. des permissions) associées à l’identité de l’utilisateur. La passerelle d’accès mémorise l’ensemble de ces règles dans une table de correspondance statique. Par exemple, pour l’utilisateur mineur Alice, l’accès au réseau Internet n’est autorisé qu’entre 16h et 20h.
Selon une autre caractéristique, un tel procédé de contrôle d’accès comprend également une mémorisation d’une deuxième table de correspondance associant une identité des utilisateurs et les clés d’identification symétriques personnelles affectées aux terminaux utilisateurs. Cette deuxième table de correspondance peut être appelée table des identités.
Ainsi, la passerelle d’accès garde en mémoire les clés PSK qu’elle a affectées à chacun des terminaux utilisateurs, sur la base du certificat personnel de l’utilisateur. Cette table statique peut cependant être mise à jour à chaque renouvellement des clés PSK, notamment à leur expiration. Elle peut ainsi avantageusement également contenir la durée de vie affectée à chaque clé PSK. Grâce à l’utilisation conjointe de la table de permissions et de la table des identités, il est ainsi facile de connaître l’association entre certificat, clé d’identification symétrique personnelle et identité de l’utilisateur, et donc de réaliser une planification fiable de l’accès à Internet ou un contrôle parental efficace et sécurisé.
Selon une autre caractéristique, un tel procédé de contrôle d’accès comprend également une mémorisation d’une troisième table de correspondance associant, pour chaque session d’accès d’un des terminaux utilisateurs à la passerelle d’accès, la clé d’identification symétrique personnelle affectée au terminal et une adresse MAC du terminal, et une génération, à partir des première, deuxième et troisième tables de correspondance, d’une quatrième table de correspondance associant ladite au moins une règle de contrôle d’accès des utilisateurs à la passerelle d’accès et les adresses MAC des terminaux utilisateurs.
Ainsi, à la connexion d’un terminal utilisateur à la passerelle d’accès, cette dernière associe son adresse MAC à sa clé d’identification symétrique personnelle, et donc, par transitivité, à ses règles de permissions. La quatrième table de correspondance ainsi générée, qui associe adresses MAC des terminaux utilisateurs et permissions accordées aux utilisateurs, permet avantageusement de maintenir une compatibilité avec les systèmes de contrôle parental existants.
L’invention concerne également une passerelle d’accès à un réseau de communication local sans fil, le réseau local comprenant une pluralité de terminaux utilisateurs aptes à être connectés au réseau local via la passerelle d’accès. Selon l’invention, une telle passerelle d’accès comprend un module d’affectation aux terminaux utilisateurs de clés d’identification symétriques personnelles, et un module de contrôle d’accès d’un des terminaux utilisateurs au réseau, apte à mettre en œuvre une authentification du terminal utilisateur fondée sur la clé d’identification symétrique personnelle qui lui a été affectée.
Une telle passerelle d’accès est notamment configurée pour mettre en œuvre le procédé de contrôle d’accès tel que décrit précédemment.
L’invention concerne également un produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d’un procédé tel que décrit précédemment, lorsqu’il est exécuté par un processeur.
L’invention vise également un support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur comprenant des instructions de code de programme pour l’exécution des étapes du procédé de contrôle d’accès à un réseau de communication local sans fil selon l’invention tel que décrit ci-dessus.
Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.
D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que le programme d’ordinateur qu’il contient est exécutable à distance. Le programme selon l'invention peut être en particulier téléchargé sur un réseau par exemple le réseau Internet.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé de contrôle d’affichage précité.
La passerelle d’accès et le programme d'ordinateur correspondants précités présentent au moins les mêmes avantages que ceux conférés par le procédé de contrôle d’accès à un réseau de communication local sans fil selon la présente invention.
Présentation des figures
D'autres buts, caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante, donnée à titre de simple exemple illustratif, et non limitatif, en relation avec les figures, parmi lesquelles :
présente un réseau de communication local sans fil domestique, comprenant une passerelle d’accès et plusieurs terminaux utilisateurs ;
illustre une phase d’enrôlement, au cours de laquelle un terminal utilisateur reçoit un certificat personnel associé à l’identité d’un utilisateur ;
décrit une phase d’authentification mutuelle entre un terminal utilisateur et la passerelle d’accès de la , préalable à l’affectation d’une clé d’identification symétrique personnelle au terminal utilisateur ;
présente une première variante de réalisation, dans laquelle la clé d’identification symétrique personnelle est générée par la passerelle d’accès ;
présente une deuxième variante de réalisation, dans laquelle la clé d’identification symétrique personnelle est proposée par le terminal utilisateur ;
illustre sous forme de datagramme simplifié un contrôle d’accès d’un terminal utilisateur à la passerelle d’accès sous forme de4-Way Handshake;
illustre différentes tables de correspondance mémorisées, dans le cadre d’un mode de réalisation de l’invention, par la passerelle d’accès pour mise en place d’une planification d’accès et d’un contrôle parental ;
présente un schéma bloc synthétique de la structure matérielle d’une passerelle d’accès selon un mode de réalisation de l’invention.
Description détaillée de modes de réalisation de l'invention
Le principe général de l'invention repose, dans un réseau de communication local sans fil, sur l’affectation d’une clé d’identification symétrique personnelle à chacun des terminaux utilisateurs du réseau, et sur la mise en œuvre d’un contrôle d’accès par authentification des terminaux utilisateurs, fondée sur la clé d’identification symétrique personnelle qui leur a été affectée à chacun. Ainsi, il est aisé de mettre en place une planification d’accès et un contrôle parental plus fiables que selon les techniques antérieures reposant sur un filtrage d’adresses MAC.
On présente désormais, en relation avec la , un réseau de communication local sans fil, par exemple un réseau Wi-Fi familial. Un tel réseau domestique 2 comprend une passerelle résidentielle 10, par exemple une Livebox® d’Orange®, et une pluralité de terminaux utilisateurs, par exemple un téléphone intelligent 11, un ordinateur portable 12, un ordinateur familial de type PC 13, et une tablette 14. Ces différents terminaux utilisateurs peuvent se connecter à la passerelle résidentielle 10, comme symbolisé par les doubles flèches de la , pour accéder aux ressources du réseau de communication local 2, ou aux ressources d’un réseau de communication étendu 1, par exemple le réseau Internet, auquel la passerelle 10 forme point d’accès. En outre, on considère à titre d’exemple que ce réseau domestique est celui d’une famille comptant deux parents et deux enfants mineurs Alice et Bob. Le smartphone 11 et l’ordinateur portable 12 sont par exemple utilisés exclusivement par chacun des deux parents, tandis qu’Alice et Bob peuvent tous deux utiliser l’ordinateur familial 13 ou la tablette 14.
Afin de limiter le temps passé par Alice et Bob devant les écrans, et éviter tout phénomène d’addiction, il est important pour leurs parents de pouvoir planifier les plages horaires pendant lesquelles Alice et Bob sont autorisés à se connecter à la passerelle résidentielle 10. Ces plages horaires ne sont pas nécessairement les mêmes pour Alice et pour Bob. Par exemple, Alice est autorisée de 16h à 21h, et Bob est autorisé de 16h à 19h.
En outre, il est également important de mettre en place un contrôle parental, permettant de limiter l’accès d’Alice ou de Bob aux seuls contenus, disponibles sur le réseau de communication étendu 1, adaptés à leur âge. A nouveau, ces contenus ne sont pas nécessairement les mêmes pour Alice et pour Bob.
Il est donc important pour les parents de pouvoir mettre en place un ensemble de permissions, ou de règles d’accès, personnalisées en fonction de l’identité d’Alice ou de Bob. En tant qu’administrateurs de la passerelle résidentielle 10 et du réseau local 2, ils peuvent configurer ces règles dans la passerelle résidentielle 10, où elles sont mémorisées sous forme d’une table de correspondance associant l’identité de chaque utilisateur de la famille à un ensemble de règles ou de droits d’accès qui lui sont affectés.
Pour permettre la mise en œuvre d’un contrôle d’accès fiable respectant ces règles et permissions, selon un mode de réalisation de l’invention, on affecte à chacun des terminaux utilisateurs 11 à 14 une clé d’identification symétrique personnelle de type PSK.
Selon un mode de réalisation, l’utilisation de telles clés MultiPSK est couplée à l’utilisation de certificats, comme illustré en .
Une phase initiale d’enrôlement est effectuée entre la passerelle résidentielle 10 et un utilisateur 20. L’utilisateur 20 utilise par exemple le terminal utilisateur 11 de la , qui a déjà été connecté dans le réseau domestique 2, et qui a reçu l’autorisation de l’administrateur du réseau 2 (qui peut être l’utilisateur 20 lui-même). Au cours de cette phase d’enrôlement, le terminal utilisateur de l’utilisateur 20 reçoit un certificat à clé publique unique C20, reconnu par la passerelle résidentielle 10, et témoignant de l’identité de l’utilisateur 20. Un tel certificat à clé publique C20 est par exemple conforme à la norme X.509, définie par l’UIT. Il consiste à associer une identité (celle de l’utilisateur 20) à une clé publique, et à garantir la validité de cette association, par le biais d’une Autorité de Certification, qui appose sa signature. La norme X. 509 repose ainsi sur un système hiérarchique (i.e. une chaîne de certification), dans lequel l’utilisateur 20 doit faire confiance aux différentes autorités de certification (autorité racine AC-R, autorité de certification intermédiaire AC-2 et autorité de certification émettrice AC-1), ayant validé les certificats.
On considère qu’une telle phase d’enrôlement est mise en œuvre pour chacun des utilisateurs du réseau domestique 2, de sorte que chacun des terminaux utilisateurs 11 à 14 reçoit, par l’intermédiaire de la passerelle d’accès 10, un certificat X. 509 unique, reconnu par cette dernière, et témoignant de l’identité de l’utilisateur du foyer familial (Alice, Bob, Parent 1, Parent 2).
Après réception du certificat C20, chaque terminal utilisateur peut requérir une clé d’identification symétrique personnelle de type PSK auprès de la passerelle d’accès 10.
Pour ce faire, chaque terminal utilisateur 11 à 14 peut se connecter à un réseau ouvert non sécurisé, porté par la passerelle d’accès 10 : un tel réseau est un réseau sans fil de type Wi-Fi ne nécessitant pas de clé de sécurité pour se connecter. En outre, un tel réseau « open » ne permet pas une connectivité au réseau de communication étendu 1, et ne sert qu’à la distribution de clés PSK aux terminaux utilisateurs du foyer familial.
Comme illustré en , le terminal utilisateur T20 (par exemple le téléphone intelligent 11 de la ) ouvre une connexion TLS en authentification mutuelle vers la passerelle d’accès 10.
Le terminal utilisateur T20 envoie un premier message « ClientHello » à la passerelle 10, pour initier cette phase d’authentification mutuelle (étape E1), auquel la passerelle répond (étape E2) par un message « ServerHello », auquel elle joint son certificat, et une requête d’obtention du certificat C20 du terminal T20. Le certificat de la passerelle 10 contient sa clé publique, ses informations ainsi qu’une signature numérique. A réception, au cours d’une étape E3, le client T20 authentifie le certificat reçu de la passerelle 10, en utilisant une clé publique, puis génère une clé de chiffrement symétrique, appelée clé de session, qu’il chiffre à l’aide de la clé publique contenue dans le certificat de la passerelle 10, puis transmet cette clé de session à la passerelle d’accès 10. Il lui envoie également, en même temps que cette clé de session, le certificat C20 qui lui a été transmis lors de la phase d’enrôlement de la .
A réception, la passerelle d’accès 10 vérifie que le certificat C20 du client T20 est valide, et déchiffre la clé de session envoyée par le client T20 grâce à sa clé privée (étape E4).
Le client T20 et la passerelle d’accès 10 peuvent alors commencer à s’échanger des données (étape E5) en chiffrant celles-ci avec la clé de session qu’ils ont en commun, afin notamment que le terminal utilisateur T20 se voie affecter une clé PSK unique et personnelle, liée à son certificat C20.
Pour ce faire, deux options peuvent être envisagées, illustrées respectivement en figures 4 et 5.
Sur la , la phase AUTH-MUT correspond à la phase d’authentification mutuelle mise en œuvre au cours des étapes référencées E1 à E4 de la , et ne sera donc pas décrite ici plus en détail : elle permet notamment à la passerelle d’accès 10 d’authentifier le terminal utilisateur T20, et réciproquement. A l’issue de cette phase, une connexion TLS sécurisée est établie entre le terminal utilisateur T20 et la passerelle 10. Le terminal utilisateur T20 peut alors adresser à la passerelle 10, au cours d’une étape E5-1, une requête d’obtention d’une clé d’identification symétrique personnelle de type PSK getIndividualPSK(). A réception, la passerelle d’accès 10 génère une clé PSK unique (computeEternalLifePSK()), et la transmet au terminal utilisateur T20 au cours d’une étape référencée E5-2 returnPSK. La passerelle d’accès 10 met alors à jour une table de correspondance, dans laquelle elle mémorise en association l’identité de l’utilisateur 20, et la clé d’identification symétrique personnelle PSK qu’elle vient de lui affecter.
La seconde option est illustrée en . A nouveau, sur la , la phase AUTH-MUT correspond à la phase d’authentification mutuelle mise en œuvre au cours des étapes référencées E1 à E4 de la , et permet notamment à la passerelle d’accès 10 de vérifier l’identité du terminal utilisateur T20 (getSTAIdentity()).
Dans cette variante, le terminal utilisateur T20 peut proposer une clé PSK à la passerelle d’accès 10, au cours d’une étape référencée E5-3 (customizeIndividualPSK(psk)).
On rappelle que selon la norme 802.11i relative au protocole WPA2, une clé PSK est constituée de 64 caractères hexadécimaux, et peut être générée à partir d’une séquence de 8 à 63 caractères ASCII, appeléepassphrase, selon la formule :PSK= PBKDF2(PassPhrase,ssid,ssidLength, 4096, 256). En effet, une tellepassphraseest plus facile à retenir qu’une clé PSK pour les utilisateurs 20. Cependant, en fonction de la complexité de cettepassphrase, la clé PSK qu’elle permet de générer peut être plus ou moins forte et résistante aux attaques. Dans le cas d’une clé faible, il peut donc s’avérer nécessaire, pour la sécurité du réseau, de renouveler la clé régulièrement.
En fonction de la clé PSK proposée par le terminal utilisateur T20, la passerelle d’accès 10 calcule donc la durée de vie de la clé PSK proposéecomputeLifeLength(psk), et l’envoie au terminal utilisateur T20 au cours d’une étape référencée E5-4return LifeLength.En parallèle, la passerelle d’accès 10 met à jour la table de correspondance dans laquelle elle associe à l’identité de chacun des utilisateurs du réseau familial la clé PSK qui lui est affectée, ainsi qu’une table dans laquelle elle enregistre, pour chacune des clés PSK du réseau, la durée de vie qui lui est associée.
On notera que, lorsque la durée de vie d’une clé PSK a expiré, il n’est plus possible pour le terminal utilisateur T20 d’accéder aux ressources de la passerelle 10 et du réseau internet 1. Il est alors nécessaire de renouveler cette clé PSK, en réitérant les étapes des figures 3 à 5.
La durée de vie de la clé PSK étant connue du terminal utilisateur T20, il est également possible de demander son renouvellement avant son expiration, en initiant le processus des figures 3 à 5 quand la clé PSK est encore valide. Dans ce cas, on notera que la phase d’authentification mutuelle TLS peut se faire sur le réseau WiFi familial nominal, plutôt que sur un réseau ouvert non sécurisé dédié à la distribution de clés PSK, ou sur un réseau sécurisé mais sans accès à Internet.
On décrit désormais, en relation avec la , la phase d’utilisation de cette clé PSK par la passerelle d’accès 10, lors des tentatives de connexion des terminaux utilisateurs T20 au réseau domestique 2.
Lorsqu’un terminal utilisateur T20, également appelé STA (pour STAtion), souhaite accéder à certains services, et notamment au réseau Internet 1, il doit s’authentifier auprès de la passerelle, ou AP (pour l’anglais Access Point) 10. Cette authentification est fondée sur le secret partagé entre le terminal utilisateur T20 et la passerelle 10, que constitue la clé d’identification symétrique personnelle PSK unique affectée au terminal utilisateur T20. L'implémentation de cette authentification est appelée WPA-Personnel par la WiFi Alliance.
La phase suivant cette authentification, illustrée en , est appelée le 4-Way Handshake, et consiste en un calcul et échange de clefs unicast/multicast à partir de la clé PSK : le point d’accès AP 10 et le terminal client sans fil T20 peuvent se prouver l’un à l’autre qu’ils connaissent la clé PSK qu’ils partagent, sans jamais la divulguer. Au lieu de se l’échanger en clair, le point d’accès AP 10 et le terminal client sans fil T20 chiffrent des messages qu’ils s’envoient, et qui ne peuvent être déchiffrés qu’au moyen de la clé PSK partagée. Le succès du déchiffrement des messages est une preuve de la connaissance de la clé PSK.
Ainsi, au cours d’une étape référencée E60, le point d’accès 10 envoie au terminal client T20 un aléa ANonce. A partir de cet aléa, et de la clé d’identification symétrique personnelle PSK qui lui a été affectée, le terminal utilisateur T20 calcule, au cours d’une étape référencée E61, une clé PTK (pour l’anglais « Pairwise Transient Key »), qui est générée en concaténant les attributs suivants : la clé PSK, l’aléa ANonce généré par la passerelle 10, un aléa SNonce généré par le terminal utilisateur STA T20, l’adresse MAC de la passerelle 10 et l’adresse MAC du terminal utilisateur T20.
Au cours d’une étape référencée E62, le terminal utilisateur T20 envoie son aléa SNonce à la passerelle 10, avec un code d’authentification de message MIC (pour « Message Integrity Code).
Au cours d’une étape référencée E63, le point d’accès 10 vérifie le message reçu du terminal utilisateur T20 et, en cas de validité confirmée, génère une clé GTK (pour l’anglais Group Temporal Key), qu’elle envoie, avec un autre code d’authentification de message MIC au cours d’une étape E64. A réception, le terminal utilisateur T20 vérifie le message reçu, et envoie une confirmation Ack au point d’accès 10, lors d’une étape E65.
Lors de la connexion d’un terminal utilisateur T20, la passerelle d’accès 10 peut donc renseigner et mémoriser une table de correspondance, dans laquelle elle associe l’adresse MAC du terminal utilisateur T20, et les clés dérivées de la PSK de ce client, selon le processus de la .
Ainsi, si plusieurs terminaux utilisateurs T20 tentent de se connecter avec la même PSK, la passerelle d’accès 10 peut identifier la problématique par consultation de cette table de correspondance, et refuser l’accès du terminal utilisateur T20 qui tente de frauder : ce dernier peut être éjecté du réseau familial 2, et une notification d’alerte peut être envoyée à l’administrateur du réseau local 2.
De même, si un terminal utilisateur tente de se connecter avec une clé PSK dont la durée de vie a expiré, la passerelle 10 le détecte par consultation de la table dans laquelle sont mémorisées en association les clés PSK distribuées aux terminaux utilisateurs et leurs durées de vie. L’accès est alors refusé.
En outre, si Alice ou Bob tentent de modifier l’adresse MAC du terminal utilisateur qu’ils utilisent, pour tenter de contourner les mesures de planification ou de contrôle parental mises en place par l’administrateur du réseau, cela n’a pas d’impact sur le contrôle d’accès mis en place par la passerelle 10.
En effet, l’administrateur du réseau définit des permissions par identité d’utilisateur, qui sont mémorisées dans la passerelle d’accès 10, dans une table de permissions statique (identité, permissions). En outre, lors des phases d’enrôlement et de délivrance de clé PSK des figures 2 à 5, la passerelle d’accès 10 construit une table de correspondance de l’identité des utilisateurs du foyer familial, et des clés d’identification personnelles PSK qui leur ont été distribuées, appelée table des identités (identité, PSK). Cette table peut être complétée avec une information relative à la durée de vie de chacune des clés PSK (voir ).
Comme illustré en , la passerelle d’accès 10 peut donc établir une table T1 de correspondance des clés PSK affectées à chaque terminal utilisateur T20, et des permissions associées (plages horaires au cours desquelles la connexion est autorisée, sites web auxquels il est autorisé d’accéder, …), à partir de la table de permissions et de la table des identités.
En outre, à la connexion du terminal utilisateur T20, la passerelle 10 peut relier l’adresse MAC du terminal utilisateur T20 à la clé PSK qu’il utilise (table T2). Elle peut donc, à la volée, générer une table T3 (@MAC, Permissions), associant l’adresse MAC du terminal utilisateur T20 aux permissions qui ont été accordées à son utilisateur par l’administrateur du réseau 2. Cette table T3 permet avantageusement de maintenir une compatibilité avec les systèmes de contrôle parental existants. En outre, si Alice ou Bob tentent de se connecter en dehors des plages horaires qui leur sont autorisées, la passerelle d’accès 10 peut très facilement leur refuser l’accès.
On présente désormais, en relation avec la , la structure matérielle d’une passerelle résidentielle HGW 10 selon un mode de réalisation de l’invention, comprenant un module d’affectation de clés d’identification symétriques personnelles aux terminaux utilisateurs du réseau 2, et un module de contrôle d’accès des terminaux utilisateurs au réseau, par authentification du terminal utilisateur fondée sur la clé d’identification symétrique personnelle qui lui a été affectée.
Le terme module peut correspondre aussi bien à un composant logiciel qu’à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d’ordinateur ou de manière plus générale à tout élément d’un programme apte à mettre en œuvre une fonction ou un ensemble de fonctions.
Plus généralement, une telle passerelle résidentielle HGW 10 comprend une mémoire vive 83 (par exemple une mémoire RAM), une unité de traitement 82 équipée par exemple d'un processeur, et pilotée par un programme d'ordinateur, représentatif des modules d’affectation de clés PSK et de contrôle d’accès des terminaux, stocké dans une mémoire morte 81 (par exemple une mémoire ROM ou un disque dur). A l'initialisation, les instructions de code du programme d'ordinateur sont par exemple chargées dans la mémoire vive 83 avant d'être exécutées par le processeur de l'unité de traitement 82. La mémoire vive 83 contient notamment les différentes tables de permissions, d’identité, de durée de vie des clés PSK, etc. décrites ci-avant en relation avec les modes de réalisation des figures 2 à 7. Le processeur de l’unité de traitement 82 pilote les différents échanges de messages permettant l’affectation de clés PSK personnelles aux terminaux utilisateurs T20, conformément aux figures 2 à 5, ainsi que les échanges de message permettant de contrôler l’accès des terminaux utilisateurs aux ressources de la passerelle 10 et des réseaux 1 et 2, conformément aux figures 6 et 7.
La illustre seulement une manière particulière, parmi plusieurs possibles, de réaliser la passerelle résidentielle HGW 10, afin qu’elle effectue les étapes du procédé détaillé ci-dessus, en relation avec les figures 2 à 7 (dans l’un quelconque des différents modes de réalisation, ou dans une combinaison de ces modes de réalisation). En effet, ces étapes peuvent être réalisées indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d’instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel).
Dans le cas où la passerelle résidentielle HGW 10 est réalisée avec une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d’instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une disquette, un CD-ROM ou un DVD-ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.
Les différents modes de réalisation ont été décrits ci-avant en relation avec une passerelle résidentielle de type Livebox®, mais peuvent plus généralement être mis en œuvre dans toutes les passerelles ou routeurs…

Claims (12)

  1. Procédé de contrôle d’accès à un réseau de communication local sans fil (2), comprenant une passerelle (10) d’accès audit réseau local et une pluralité de terminaux utilisateurs (11-14 ; T20) aptes à être connectés audit réseau local via ladite passerelle d’accès,
    caractérisé en ce qu’il comprend une affectation aux terminaux utilisateurs de clés d’identification symétriques personnelles respectives,
    et en ce quele contrôle d’accès d’un desdits terminaux utilisateurs audit réseau comprend une authentification dudit terminal utilisateur fondée sur ladite clé d’identification symétrique personnelle qui lui a été affectée.
  2. Procédé de contrôle d’accès selon la revendication 1,caractérisé en ce qu’il comprend également une phase d’enrôlement dudit terminal utilisateur auprès de ladite passerelle d’accès, au cours de laquelle ladite passerelle d’accès fournit audit terminal utilisateur un certificat personnel (C20) représentatif d’une identité dudit utilisateur.
  3. Procédé de contrôle d’accès selon la revendication 2,caractérisé en ce queladite affectation d’une clé d’identification symétrique personnelle audit terminal utilisateur comprend un établissement d’une connexion en authentification mutuelle entre ledit terminal utilisateur et ladite passerelle d’accès, et une vérification dudit certificat personnel (C20) fourni audit terminal utilisateur (T20).
  4. Procédé de contrôle d’accès selon la revendication 3,caractérisé en ce queladite connexion en authentification mutuelle est établie entre ledit terminal utilisateur et ladite passerelle d’accès sur un réseau ouvert local non sécurisé.
  5. Procédé de contrôle d’accès selon l'une quelconque des revendications 3 et 4,caractérisé en ce que, après établissement de ladite connexion en authentification mutuelle, ladite affectation d’une clé d’identification symétrique personnelle audit terminal utilisateur comprend :
    - une génération de ladite clé d’identification symétrique personnelle dudit terminal utilisateur,
    - un envoi (E5-2) de ladite clé d’identification symétrique personnelle générée audit terminal utilisateur.
  6. Procédé de contrôle d’accès selon l'une quelconque des revendications 3 et 4,caractérisé en ce que, après établissement de ladite connexion en authentification mutuelle, ladite affectation d’une clé d’identification symétrique personnelle audit terminal utilisateur comprend :
    - une réception (E5-3) d’une clé d’identification symétrique personnelle proposée par ledit terminal utilisateur,
    - une détermination d’une durée de vie de ladite clé d’identification symétrique personnelle proposée,
    - un envoi (E5-4) de ladite durée de vie déterminée audit terminal utilisateur.
  7. Procédé de contrôle d’accès selon l'une quelconque des revendications 1 à 6,caractérisé en ce qu’il comprend une mémorisation d’une première table de correspondance associant une identité desdits utilisateurs et au moins une règle de contrôle d’accès desdits utilisateurs à ladite passerelle d’accès.
  8. Procédé de contrôle d’accès selon l'une quelconque des revendications 1 à 7,caractérisé en ce qu’il comprend une mémorisation d’une deuxième table de correspondance associant une identité desdits utilisateurs et lesdites clés d’identification symétriques personnelles affectées auxdits terminaux utilisateurs.
  9. Procédé de contrôle d’accès selon l'une quelconque des revendications 7 et 8,caractérisé en ce qu’il comprend également une mémorisation d’une troisième table de correspondance (T2) associant, pour chaque session d’accès d’un desdits terminaux utilisateurs à ladite passerelle d’accès, ladite clé d’identification symétrique personnelle affectée audit terminal et une adresse MAC dudit terminal, et une génération, à partir des première, deuxième et troisième tables de correspondance, d’une quatrième table de correspondance (T3) associant ladite au moins une règle de contrôle d’accès desdits utilisateurs à ladite passerelle d’accès et lesdites adresses MAC desdits terminaux utilisateurs.
  10. Produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d’un procédé selon l'une quelconque des revendications 1 à 9, lorsqu’il est exécuté par un processeur.
  11. Passerelle d’accès (HGW, 10) à un réseau de communication local (2), ledit réseau local comprenant une pluralité de terminaux utilisateurs aptes à être connectés audit réseau local via ladite passerelle d’accès,
    caractérisée en ce qu’elle comprend un module d’affectation aux terminaux utilisateurs de clés d’identification symétriques personnelles respectives,
    et un module de contrôle d’accès d’un desdits terminaux utilisateurs audit réseau, apte à mettre en œuvre une authentification dudit terminal utilisateur fondée sur ladite clé d’identification symétrique personnelle qui lui a été affectée.
  12. Passerelle d’accès selon la revendication 11,caractérisée en ce qu’elle est configurée pour mettre en œuvre le procédé de contrôle d’accès selon l'une quelconque des revendications 1 à 9.
FR2012239A 2020-11-27 2020-11-27 Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle Pending FR3116978A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2012239A FR3116978A1 (fr) 2020-11-27 2020-11-27 Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2012239 2020-11-27
FR2012239A FR3116978A1 (fr) 2020-11-27 2020-11-27 Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle

Publications (1)

Publication Number Publication Date
FR3116978A1 true FR3116978A1 (fr) 2022-06-03

Family

ID=74592140

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2012239A Pending FR3116978A1 (fr) 2020-11-27 2020-11-27 Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle

Country Status (1)

Country Link
FR (1) FR3116978A1 (fr)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007128134A1 (fr) * 2006-05-09 2007-11-15 Travelnet Technologies Inc. Acces securise d'un invite a un reseau sans fil
EP1887730A1 (fr) * 2006-08-09 2008-02-13 Samsung Electronics Co., Ltd. Appareil et procédé de gestion des stations associées à un réseau sans fil WPA-PSK
US20150156632A1 (en) * 2004-04-16 2015-06-04 Broadcom Corporation Method and System for Providing Registration, Authentication and Access Via a Broadband Access Gateway
US20170230824A1 (en) * 2008-11-04 2017-08-10 Aerohive Networks, Inc. Exclusive preshared key authentication
US10230522B1 (en) * 2016-03-24 2019-03-12 Amazon Technologies, Inc. Network access control

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150156632A1 (en) * 2004-04-16 2015-06-04 Broadcom Corporation Method and System for Providing Registration, Authentication and Access Via a Broadband Access Gateway
WO2007128134A1 (fr) * 2006-05-09 2007-11-15 Travelnet Technologies Inc. Acces securise d'un invite a un reseau sans fil
EP1887730A1 (fr) * 2006-08-09 2008-02-13 Samsung Electronics Co., Ltd. Appareil et procédé de gestion des stations associées à un réseau sans fil WPA-PSK
US20170230824A1 (en) * 2008-11-04 2017-08-10 Aerohive Networks, Inc. Exclusive preshared key authentication
US10230522B1 (en) * 2016-03-24 2019-03-12 Amazon Technologies, Inc. Network access control

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
GUO JIANG ET AL: "A Secure Session Key Negotiation Scheme in WPA2-PSK Networks", 2020 IEEE WIRELESS COMMUNICATIONS AND NETWORKING CONFERENCE (WCNC), IEEE, 25 May 2020 (2020-05-25), pages 1 - 6, XP033783558, DOI: 10.1109/WCNC45663.2020.9120510 *

Similar Documents

Publication Publication Date Title
TWI466553B (zh) 家用節點b或家用演進型節點b及其以一網路認證的方法
EP1903746B1 (fr) Procédé de sécurisation de sessions entre un terminal radio et un équipement dans un réseau
EP1753173B1 (fr) Contrôle d'accès d'un équipement mobile à un réseau de communication IP par modification dynamique des politiques d'accès
EP2484084B1 (fr) Procédé et dispositifs de communications securisées contre les attaques par innondation et denis de service (dos) dans un réseau de télécommunications
Gutmann {Plug-and-Play}{PKI}: A {PKI} Your Mother Can Use
EP1427231A1 (fr) Procédé d'établissement et de gestion d'un modèle de confiance entre une carte à puce et un terminal radio
FR2877521A1 (fr) Dispositif, procede, programme et support de distribution d'informations, d'initialisation, dispositif, procede, programme et support de transfert d'initialisation d'authentification et programme de reception ...
FR2872983A1 (fr) Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
EP3613186B1 (fr) Système et procédé de communications
EP2871876B1 (fr) Technique de configuration d'accès sécurisé d'un terminal invité à un réseau hôte
WO2005079090A1 (fr) Emission de cle publique par terminal mobile
WO2011151573A1 (fr) Procede et dispositifs de communications securisees dans un reseau de telecommunications
EP2294850A1 (fr) Procede pour securiser des echanges entre un noeud demandeur et un noeud destinataire
FR3104875A1 (fr) Procédé de gestion d’authentification d’un équipement dans un système de communication de données, et système pour la mise en œuvre du procédé
WO2019186006A1 (fr) Procédé de connexion sans fil d'un objet communicant à un réseau de communication local, programme d'ordinateur et équipement d'accès correspondant
EP2348763A2 (fr) Procédé d'authentification d'un terminal mobile pour accéder à un serveur d'applications
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
FR3103987A1 (fr) Procede de securisation de flux de donnees entre un equipement de communication et un terminal distant, equipement mettant en oeuvre le procede
WO2005079038A1 (fr) Procede, terminal mobile, systeme et equipement pour la fourniture d’un service de proximite accessible par l’intermediaire d’un terminal mobile
WO2011073584A1 (fr) Procede de controle d'acces a un reseau local
EP2146534B1 (fr) Authentification d'un terminal
EP4376455A1 (fr) Filtrage d'accès d'un objet connecté à un réseau de communication local
WO2023242315A1 (fr) Procédé de communication entre deux équipements, premier équipement, deuxième équipement et programme d'ordinateur correspondants.
Wiederkehr Approaches for simplified hotspot logins with Wi-Fi devices
FR3093882A1 (fr) Procédé de configuration d’un objet communicant dans un réseau de communication, terminal utilisateur, procédé de connexion d’un objet communicant au réseau, équipement d’accès et programmes d’ordinateur correspondants.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20220603

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4