FR3116981A1 - Procédé et système de configuration d'accès à un réseau local. - Google Patents
Procédé et système de configuration d'accès à un réseau local. Download PDFInfo
- Publication number
- FR3116981A1 FR3116981A1 FR2012267A FR2012267A FR3116981A1 FR 3116981 A1 FR3116981 A1 FR 3116981A1 FR 2012267 A FR2012267 A FR 2012267A FR 2012267 A FR2012267 A FR 2012267A FR 3116981 A1 FR3116981 A1 FR 3116981A1
- Authority
- FR
- France
- Prior art keywords
- password
- access
- fragments
- network
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 239000012634 fragment Substances 0.000 claims abstract description 53
- 230000005540 biological transmission Effects 0.000 claims abstract description 12
- 230000015654 memory Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 3
- XREKLQOUFWBSFH-UHFFFAOYSA-N dimethyl 2-acetylbutanedioate Chemical compound COC(=O)CC(C(C)=O)C(=O)OC XREKLQOUFWBSFH-UHFFFAOYSA-N 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 13
- 230000003287 optical effect Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000007850 degeneration Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007620 mathematical function Methods 0.000 description 1
- 238000004377 microelectronic Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
Procédé et système de configuration d'accès à un réseau local.
L'invention concerne un procédé et un dispositif de configuration d'accès à un réseau (1) local administré par une passerelle de réseau. Elle permet à au moins un terminal (TAD) associé à un utilisateur, dit terminal utilisateur, d'accéder audit réseau local (1). Le procédé est mis en œuvre sur la passerelle, et comprend les étapes suivantes :- réception (E10) d’une requête pour générer au moins un identifiant d’accès au réseau, dit mot de passe (K), ladite requête comportant un nombre N indiquant un nombre de fragments à générer ;- génération (E12) d’un mot de passe comportant N fragments ;- transmission (E13) du mot de passe
fig. 1
Description
Domaine de l'invention
L'invention se rapporte au domaine de la sécurité des communications.
L'invention s'applique à tout dispositif manipulant des mots de passe sécurisés pour protéger l’accès à une ressource matérielle ou logicielle. En particulier, elle concerne la connexion d’un utilisateur à un réseau local piloté par une passerelle.
Art Antérieur
De manière connue, un mot de passe est un authentifiant permettant à un utilisateur d’accéder à un certain nombre de ressources matérielles et/ou logicielles d’un ordinateur, d’un serveur, d’un ensemble d’ordinateurs reliés en réseau, etc.
L’invention vise en particulier les mots de passe des réseaux locaux. Selon l’état de l’art, pour accéder à un réseau local, un utilisateur doit se connecter à un élément de routage, dit dans la suite « passerelle de service », ou plus simplement « passerelle », à partir d’un terminal. Pour se connecter à la passerelle, l’utilisateur saisit dans le terminal les paramètres d’identification du réseau local, par exemple de type Wifi. En particulier, par un processus dit « d’appairage » préalable, bien connu de l’homme du métier, il saisit ou sélectionne le nom du réseau domestique, connu sous l’abréviation SSID (pour « Service Set Identifier »), qui prend souvent la forme d’une chaîne alphanumérique (par exemple : « Livebox_666 ») et, dans la plupart des cas, une clé, ou mot de passe, d’accès au réseau domestique, tel qu’une clé WEP (pour « Wired Equivalent Privacy ») ou WPA (pour « WiFi Protected Access »). La définition d’une clé de sécurisation d’un réseau WiFi impose de générer des clés de sécurité alphanumériques relativement longues, du fait du compromis à réaliser entre la sécurité du réseau et la facilité de mémorisation et/ou partage de la clé. La clé WEP générée pour protéger l’accès au réseau local de l’utilisateur peut se présenter sous la forme connue d’une suite de 26 caractères hexadécimaux (par exemple, « 32F34DA4CFE9EAD355A49EAE17 »).
L’utilisateur rechigne bien souvent à utiliser de telles clés, longues et complexes, difficiles à mémoriser. C’est aussi le cas de l’administrateur, par exemple propriétaire de la passerelle, lorsqu’il souhaite manipuler et partager la clé avec, par exemple un invité souhaitant accéder temporairement au réseau local. Une solution pour aider l’utilisateur ou administrateur consiste à lui offrir la possibilité de générer lui-même des clés plus simples pour les transmettre par exemple à ses invités. Cette opportunité peut conduire l’utilisateur à générer des clés très courtes, très simples (« Mabox » « Invité ») et ne respectant pas les règles de base de robustesse d’une clé, c’est-à-dire sa résistance au piratage. En effet, la robustesse d’un mot de passe dépend de sa longueur (le nombre de mots, ou symboles, d’un dictionnaire donné) et du nombre total de mots du dictionnaire utilisé.
Pour pallier ce problème, la norme WPS (pour « Wi-Fi Protected Setup »), proposée par l’organisme WiFi Alliance, vise à faciliter l’accès aux réseaux WiFi, en proposant notamment des modes « WPS PIN » et « WPS PBC » (appui d’un bouton prévu sur le point d’accès), qui simplifient la connexion d'un terminal au réseau WiFi. Cependant ces deux modes souffrent de manière connue de failles de sécurité et ne permettent pas de gérer des droits spécifiques pour les invités.
Il existe donc un besoin pour offrir à l’utilisateur la possibilité de se connecter à un dispositif comme une passerelle de réseau local, en utilisant des mots de passe très simples tout en lui assurant une sécurité élevée sur le réseau local.
L'invention vient améliorer l'état de la technique.
Elle propose à cet effet un procédé de configuration d'accès à un réseau local administré par une passerelle de service, ledit procédé étant mis en œuvre sur la passerelle, et comprenant les étapes suivantes :
- réception d’une requête pour générer au moins un identifiant d’accès au réseau, dit mot de passe, ladite requête comportant un nombre N de fragments à générer ;
- génération d’un mot de passe comportant N fragments ;
- transmission du mot de passe.
- réception d’une requête pour générer au moins un identifiant d’accès au réseau, dit mot de passe, ladite requête comportant un nombre N de fragments à générer ;
- génération d’un mot de passe comportant N fragments ;
- transmission du mot de passe.
Par « mot de passe», on entend une suite de symboles constitutifs d’une clé d’accès, par exemple une clé de type WEP. Par « symbole » on entend n’importe quel symbole appartenant à un dictionnaire, par exemple un caractère. Par dictionnaire, on entend ici une source quelconque de symboles (alphabet, syllabes, mots, lettres, chiffres, suites de chiffres et de lettres, caractères spéciaux, etc.).
Avantageusement selon l’invention, lorsque la passerelle reçoit une requête de génération d’un mot de passe, par exemple un mot de passe invité, avec un nombre N de fragments à générer, elle génère un tel mot de passe en N fragments, par exemple en divisant une clé WEP en en une succession de N fragments dont la concaténation correspond à la clé, puis le transmet à un terminal dédié pour mémorisation. Le terminal dédié pourra aisément associer chacun des fragments à un bouton-poussoir, un chiffre, etc. Par la suite, lorsqu’un invité souhaitera accéder au réseau local, il lui suffira de connecter le terminal dédié ayant mémorisé le mot de passe à son terminal d’accès, puis de rejouer le code pour reconstituer les N fragments dans l’ordre, et donc le mot de passe d’accès au réseau. Par exemple, le mot de passe peut être une clé d’accès à un réseau invité parmi plusieurs. Par exemple, la passerelle peut avoir généré et transmis plusieurs mots de passe invités sous forme de fragments, et l’administrateur de réseau peut indiquer à son invité quel code composer sur le terminal dédié.
L’étape de transmission du mot de passe consiste à transmettre chacun des fragments, au fil de l’eau ou de manière groupée, vers le terminal dédié à la mémorisation, dit par la suite « terminal de mémorisation ».
Selon un mode de mise en œuvre particulier de l'invention, dans le procédé tel que décrit ci-dessus, l’étape de transmission du mot de passe consiste à transmettre chacun des fragments en association avec un symbole.
Avantageusement selon ce mode, chaque fragment du mot de passe est associé à un symbole (1 <=> 32F34D ; 2 <=>A4CFE9, etc.) avant d’être transmis au terminal de mémorisation. Ceci permet au terminal de mémorisation d’enregistrer un fragment en association avec un symbole comme un chiffre de 0 à 9, correspondant à une touche de son clavier. Ceci permet également d’imposer une certaine robustesse à la suite des symboles générés. Par exemple, on peut ainsi interdire la mémorisation du mot de passe en association avec un code jugé trop simple, comme par exemple « 0000 » ou « 1234 », etc. Selon un autre exemple, le procédé de configuration aide l’administrateur en lui proposant des mots de passe qui ont en sens pour le réseau invité généré (par exemple « SIMPLE » ou « VIDEO » ou « INV_0 », etc.)
Selon un mode de mise en œuvre particulier de l'invention, dans le procédé tel que décrit ci-dessus, la requête reçue comporte en outre une donnée indiquant une complexité du mot de passe et le mot de passe est généré en fonction de ladite donnée de complexité.
Avantageusement selon ce mode, le mot de passe généré tient compte d’une donnée de complexité. Ainsi, et notamment si le mot de passe à générer est associé à un réseau invité, la donnée de complexité permet de générer un mot de passe en adéquation avec les souhaits de l’administrateur concernant la vulnérabilité de ce réseau invité : un réseau invité donnant accès à tout le réseau local (en termes de fonctionnalités et d’équipements) nécessite une plus grande sécurisation qu’un réseau invité donnant seulement accès à Internet, et donc un mot de passe plus robuste.
La complexité peut porter sur différents éléments : nombre de symboles générés, longueur du mot de passe généré, contraintes sur les chiffres, caractères spéciaux, majuscules, minuscules, etc. Par exemple, un seuil minimal d’entropie à respecter peut être pris en compte. Une entropie se définit le plus généralement, dans le domaine de l’information et de la communication, comme une fonction mathématique qui correspond à la quantité d'information contenue ou délivrée dans un message (le mot de passe dans notre cas) par une source d'information, dans ce contexte un dictionnaire de caractères. Du point de vue d'un récepteur, plus la source émet des symboles différents avec une égale probabilité, et plus l'entropie est élevée. On peut ainsi générer sur la passerelle un mot de passe d’entropie, et donc de robustesse, donnée, qui assurera une certaine sécurité sur le réseau local invité.
Selon un mode de mise en œuvre particulier de l'invention, dans le procédé tel que décrit ci-dessus, la requête reçue comporte en outre une donnée indiquant un type d’accès au réseau local et le mot de passe est généré en fonction dudit type d’accès.
Avantageusement selon ce mode, le mot de passe généré tient compte d’une donnée du type d’accès requis. Ainsi, et notamment si le mot de passe à générer est associé à un réseau invité, la donnée de complexité permet de générer un mot de passe en adéquation avec les souhaits de l’administrateur concernant la vulnérabilité de ce réseau invité : un réseau invité donnant accès à tout le réseau local (en termes de fonctionnalités et d’équipements) nécessite une plus grande sécurisation qu’un réseau invité donnant seulement accès à Internet, et donc un mot de passe plus robuste. Le type d’accès peut porter sur différents éléments, comme par exemple les droits d’accès aux équipements du réseau local (objets connectés, disques durs, serveurs, décodeur numérique, etc.), à d’autres réseaux (Internet, réseau mobile, etc.), protocoles (accès au Wi-Fi, au Bluetooth, à UPnP, etc.), à certains services (de vidéo, de jeux, etc.), à certaines catégories de débit, etc. Ainsi la configuration pourra-t-elle associer des mots de passe plus complexes à des droits plus importants, ou des mots de passe associés à des suites de symboles en relation avec le/les services visés (par exemple, NET pour un accès réseau, VOD pour l’accès aux vidéo à la demande, NAS pour l’accès au disque dur associé à la passerelle, etc.)
Corrélativement, l’invention propose aussi un dispositif de configuration d'accès à un réseau local comprenant au moins un module de transmission, une mémoire et un processeur configurés pour:
- recevoir une requête pour générer au moins un identifiant d’accès au réseau, dit mot de passe, ladite requête comportant un nombre N de fragments à générer ;
- générer un mot de passe comportant N fragments ;
- transmettre le mot de passe.
- recevoir une requête pour générer au moins un identifiant d’accès au réseau, dit mot de passe, ladite requête comportant un nombre N de fragments à générer ;
- générer un mot de passe comportant N fragments ;
- transmettre le mot de passe.
L'invention concerne également un tel dispositif dans lequel le module de transmission est une interface de type série.
L'invention concerne également un tel dispositif dans lequel le module de transmission est une interface radio.
L'invention concerne également une passerelle domestique comprenant un tel dispositif de configuration.
L'invention concerne également un système comportant
- une passerelle domestique telle que définie précédemment ;
- un dispositif de mémorisation de mots de passe apte à mémoriser les fragments du mot de passe transmis par dispositif de configuration.
- un dispositif de mémorisation de mots de passe apte à mémoriser les fragments du mot de passe transmis par dispositif de configuration.
L'invention concerne également un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé ci-dessus selon l'un quelconque des modes particuliers de réalisation décrits précédemment, lorsque ledit programme est exécuté par un processeur. Le procédé peut être mis en œuvre de diverses manières, notamment sous forme câblée ou sous forme logicielle. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.
L'invention vise aussi un support d'enregistrement ou support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus. Les supports d'enregistrement mentionnés ci-devant peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur. D'autre part, les supports d'enregistrement peuvent correspondre à un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Les programmes selon l'invention peuvent être en particulier téléchargés sur un réseau de type Internet.
Alternativement, les supports d'enregistrement peuvent correspondre à un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Ce dispositif et ce programme d'ordinateur présentent des caractéristiques et avantages analogues à ceux décrits précédemment en relation avec le procédé de configuration d'accès à un réseau local.
Liste des figures
D’autres caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante de modes de réalisation particuliers, donnés à titre de simples exemples illustratifs et non limitatifs, et des dessins annexés, parmi lesquels :
Description d'un mode de réalisation de l'invention
Principe général de l'invention
Le principe général de l’invention consiste à connecter sur la passerelle domestique un terminal très simple, appelé par la suite terminal de mémorisation, dédié à la mémorisation de mots de passe sous forme de fragments, par exemple de type clavier, qui sera reconnu ultérieurement comme un périphérique d’accès par un terminal de l’utilisateur invité.
Sur demande de dégénération d’un mot de passe, notamment pour un réseau invité, la passerelle transmet au terminal dédié un mot de passe, par exemple une clé WEP, découpée en fragments de manière à pouvoir être mémorisée sur le terminal sous forme de fragments. Par exemple, si le terminal de mémorisation attend un code à 4 chiffres ou lettres, la clé sera découpée en 4 et transmise en 4 fragments de la passerelle vers le terminal de mémorisation. Si le terminal de mémorisation est une simple clé à bouton, la clé ne sera pas découpée, mais fournie dans son intégralité, c’est-à-dire sous forme d’un seul fragment.
Une fois le ou les mots de passe mémorisés sous forme de fragments, si chaque fragment est associé à une touche du clavier, lorsque l’invité souhaite se connecter au réseau local, il lui suffira de composer le code correspondant aux différents fragments du mot de passe sur son terminal de mémorisation, connecté à un terminal d’accès. Ce code sera transcodé sur le terminal de mémorisation en un mot de passe d’accès au réseau local, comme attendu par la passerelle de service. Si le mot e passe est correct, le terminal d’accès pourra accéder au réseau local invité.
Il est ainsi possible de générer une clé WEP de longueur standard pour un réseau invité, avec un nombre minimum de chiffres ou lettres à mémoriser par l'utilisateur, administrateur ou invité.
Modes particuliers de réalisation de l'invention.
La représente le contexte d’un mode de réalisation de l’invention selon lequel un utilisateur (AD) administrateur du réseau local piloté par la passerelle PAS souhaite générer un ou plusieurs mots de passe invités pour donner accès à tout ou partie des ressources du réseau local via un réseau dit « réseau invité ».
On rappelle ici qu’un réseau local, aussi appelé réseau domestique, est un réseau informatique qui relie ensemble, avec ou sans fils, les terminaux d’une maison (ordinateurs, périphériques d’impression, de restitution, de stockage, etc.) aptes à communiquer ensemble. Un réseau domestique comporte généralement un équipement routeur, aussi communément appelé passerelle domestique, ou passerelle de service, élément intermédiaire assurant la redirection, ou routage, des paquets de données entre les différents terminaux et les réseaux qui lui sont connectés. Un tel réseau domestique connecte souvent les différents terminaux en utilisant une technologie sans fils WiFi ou filaire Ethernet, les deux types de support étant prévus pour des communications basées sur les protocoles de la famille IP (Internet Protocol ), protocole de base pour les réseaux de type Internet et par extension, nom du réseau lui-même. À cet effet, la passerelle de service comporte une fonction de communication WiFi, ou point d’accès WiFi (en anglais : AP, pour Access Point), qui lui permet de communiquer sans fils avec les terminaux du réseau.
Le terminal de mémorisation C est, selon cet exemple, un clavier USB très simple qui permet de saisir des données numériques de type chiffres, de les convertir en un mot de passe complexe et de les transmettre à la passerelle via un terminal d’accès lors d’une utilisation ultérieure.
Selon ce mode de réalisation, pour configurer un ou plusieurs réseaux invités, l’utilisateur administrateur AD connecte son terminal dédié à la mémorisation de mots de passe C à la passerelle domestique PAS par un lien de communication (L). La connexion peut être de type quelconque, filaire ou non filaire. Selon un mode de réalisation, elle est de type USB (Universal Serial Bus) pour une connexion série avec la passerelle, qui dispose d’une interface de même type (USB).
Pour générer un ou plusieurs mots de passe invités, l’administrateur se connecte à la passerelle via un terminal TAD connu de la passerelle (car faisant partie du réseau local de la passerelle). Il accède par exemple via ce terminal à l’interface de configuration de la passerelle et crée un ou plusieurs comptes invités. Il lui suffit à cet effet de configurer classiquement le réseau invité (temps de validité, accès autorisés, etc.) et de demander à la passerelle une clé, ou mot de passe, en lui précisant le nombre de fragments souhaités, et de manière optionnelle une indication de robustesse (ou de longueur) et/ou un type d’accès. La passerelle génère un mot de passe (par exemple une clé WEP « 32F34DA4CFE9EAD355A49EAE17 ») puis le découpe en autant de fragments que requis (par exemple 4), qu’elle transmet au dispositif de mémorisation. Optionnellement chacun des fragments est associé à un chiffre (par exemple, pour la clé WEP précédemment mentionnée : 1 <=> 32F34D ; 2 <=>A4CFE9 ; 3 <=> EAD355 ; 9 <=> A49EAE17). Selon un exemple, chacun des mots de passe invités correspond à une clé WEP de 128 bits. Selon un autre exemple, la longueur est générée en fonction de la complexité et/ou du type d’accès requis.
Le terminal de mémorisation dédié mémorise les fragments, en association avec les symboles transmis ou choisis par l’utilisateur. Par exemple, l’utilisateur saisit sur le terminal, à l’aide de son clavier, un code de type « code PIN » c’est-à-dire une suite ordonnée de 4 chiffres. Chacun des fragments est enregistré par le terminal en liaison avec ces chiffres. Optionnellement le code et/ou le mot de passe peut s’afficher pour vérification sur l’écran du terminal et la saisie est validée par des touches de validation.
Une fois la configuration terminée, le terminal dédié peut être déconnecté. Par la suite, lorsqu’un invité souhaite accéder à un réseau invité via un terminal d’accès (PC, smartphone, etc.), il suffit qu’il connecte à ce terminal le terminal de mémorisation (par exemple petit clavier) de l’administrateur de la passerelle, et rentre le code simple associé à l’un des réseaux invités. Le mot de passe, par exemple une clé WEP, est regénéré à partir de ce code simple, par concaténation des fragments associés aux symboles du code. Optionnellement, le code peut s’afficher pour vérification sur l’écran du terminal d’accès ou de mémorisation et la saisie est validée par des touches de validation, déclenchant une transmission vers la passerelle PAS selon le protocole série USB.
Naturellement, de nombreuses variantes sont envisageables sans sortir du contexte de l’invention :
- d’autres interfaces et protocoles de communication filaires ou sans fils à la portée de l’homme du métier pourront remplacer les protocoles USB ou Bluetooth mentionnés pour la communication entre la passerelle et le dispositif de mémorisation : par exemple une interface radio de type Wi-Fi, ou lumineuse de type Li-Fi, etc.
- Une interface différente peut être utilisée pour la configuration et l’utilisation ultérieure du terminal de mémorisation. Par exemple, il peut être connecté à la passerelle en Bluetooth durant le procédé de configuration, puis par une liaison série au terminal d’accès de l’utilisateur invité lors de l’accès effectif au réseau.
- etc.
La représente l’architecture d’un équipement de type passerelle qui implémente un mode de réalisation de l’invention.
La passerelle PAS comprend, classiquement, des mémoires (MEM) associées à un processeur (PROC) piloté par une unité de traitement (UT). Les mémoires peuvent être de type ROM (de l’anglais Read Only Memory) ou RAM (de l’anglais Random Access Memory) ou encore Flash. Une partie de la mémoire M contient notamment, selon l’invention, la partie logicielle du dispositif de l’invention. Elle comprend aussi un module de routage NAT pour assurer la redirection, ou routage, des paquets de données entre les différents terminaux et réseaux qui lui sont connectés. La passerelle 2 comporte encore un certain nombre de modules qui lui permettent de communiquer avec les réseaux locaux et étendus, via différents protocoles sur différents liens physiques ; sur la , on a ainsi schématisé un module Ethernet (ETH) permettant des communications filaires avec le réseau internet et le réseau local 1, et un module Wi-Fi (WIFI) pour les communications sans fils, ainsi qu’un module de communication de type USB pour la communication avec le terminal C dédié à la mémorisation de mots de passe. Elle comporte aussi un module IHM pour la communication avec l’administrateur AD et son terminal TAD, utilisé pour la configuration de la passerelle.
La passerelle PAS comporte enfin, selon l’invention, un dispositif de mise à disposition DMAS de mots de passe, ainsi que, selon des modes de réalisation, un module ASS pour l’analyse et l’établissement d’une liste d’associations possibles entre un symbole et un fragment de mot de passe.
La illustre des étapes du procédé de configuration d'accès à un réseau local selon un mode de réalisation de l’invention.
Lors d’une étapeE10, l’administrateur envoie une requête vers la passerelle de service pour générer un mot de passe invité. À cet effet, il se connecte à la passerelle (par exemple via son interface de configuration, sur un terminal d’accès TAD connecté au réseau local de la passerelle) et connecte par ailleurs un dispositif de mémorisation de mots de passe C à la passerelle domestique par un lien L, par exemple de type USB. Optionnellement la passerelle propose à l’administrateur une interface d’aide à la configuration de son terminal dédié lors d’une étapeE11. Cette interface est visualisée sur le terminal de l’administrateur, TAD. Elle peut par exemple proposer une association entre un symbole (à saisir sur le terminal de mémorisation, ou sur le terminal TAD) et un fragment de mot de passe (par exemple 1 b7b2a385c ; 2e79av ; 39099 ; 4 32414c279f52, etc.).
Lors d’une étapeE12, La passerelle génère un mot de passe (par exemple une clé WEP « 32F34DA4CFE9EAD355A49EAE17 ») puis le découpe en autant de fragments que requis (par exemple 4).
Lors d’une étapeE13, elle transmet au dispositif de mémorisation les fragments. Optionnellement, chacun des fragments transmis est associé à un symbole/chiffre (1 <=> 32F34D ; 2 <=>A4CFE9 ; 3 <=> EAD355 ; 9 <=> A49EAE, etc.) qui peut être choisi et transmis par la passerelle, ou par l’utilisateur qui les sélectionne par exemple sur son terminal TAD. Selon une variante, le branchement du dispositif de mémorisation produit l'apparition d'un clavier virtuel à l'écran du terminal TAD, ce qui permet d'augmenter le nombre de possibilités et d'avoir accès à un code alphanumérique (par exemple un mot de passe simplifié 'garry' ou « BOX ») à associer au mot de passe. Si les fragments transmis ne sont pas associés à un symbole, c’est l’utilisateur qui les associe, par exemple à une touche du dispositif de mémorisation, en pressant chaque touche avant ou après réception du fragment.
Lors d’une étapeE1, le terminal dédié mémorise les fragments, en association avec les symboles transmis par la passerelle ou choisis par l’utilisateur. De nombreuses variantes sont possibles pour associer chaque fragment à une touche du terminal de mémorisation :
- selon un premier exemple, les fragments sont transmis séquentiellement. Ils peuvent être transmis par exemple à chaque fois que l’utilisateur entre un symbole (en pressant une touche) ; dans ce cas les étapes E1 et E2 sont effectuées autant de fois qu’il est nécessaire à l‘obtention du mot de passe complet. Ceci est illustré par la flèche remontante en pointillé sur la figure.
- selon un autre exemple, les fragments sont transmis ensemble, de manière séquentielle ; dans ce cas c’est au terminal de mémorisation de repérer le début et la fin des fragments pour les faire associer à un symbole, et donc à une touche du terminal.
- Etc.
Lors d’une étapeE14, le procédé peut vérifier la validité du mot de passe généré (robustesse, nombre de symboles, etc.) Si le mot de passe n’est pas valide, on peut revenir en E10 ou E13. Sinon la configuration du dispositif est terminée, il peut être déconnecté.
Le terminal de mémorisation est, selon un exemple, un dispositif très simple reconnu comme un clavier USB, qui permet de saisir des données numériques de type chiffres. Lors de sa configuration, comme expliqué précédemment, il associe chaque fragment en mémoire à une touche de son clavier. Ultérieurement, lorsqu’il est connecté par exemple à un terminal d’un utilisateur invité, il pourra convertir un code simple, par association de chaque chiffre saisi sur le clavier à l’un des fragments qui a été transmis par la passerelle domestique, en un mot de passe complexe. Par exemple, l’utilisateur invité saisit sur ce dispositif de mémorisation, à l’aide de son clavier, un code de type « code PIN » c’est-à-dire une suite ordonnée de 4 chiffres. À chaque fois qu’il saisit un chiffre, un fragment est obtenu depuis la mémoire du dispositif, et ce fragment est concaténé au mot de passe en cours de génération. Le mot de passe est finalisé après saisie du quatrième chiffre. Avantageusement, un tel dispositif très simple permet à l’invité de générer un mot de passe complexe à partir d’un code simple, et d’accéder par là à un réseau local invité, pourvu des fonctionnalités adéquates, en fonction de la complexité du mot de passe et/ou du type d’accès auquel l’administrateur l’a associé. Ce type de dispositif est en outre très peu vulnérable aux attaques et aux piratages.
Il va de soi que le mode de réalisation qui a été décrit ci-dessus a été donné à titre purement indicatif et nullement limitatif, et que de nombreuses modifications peuvent être facilement apportées par l’homme de l’art sans pour autant sortir du cadre de l’invention.
Claims (10)
- Procédé de configuration d'accès à un réseau (1) local administré par une passerelle de réseau, ledit procédé étant mis en œuvre sur la passerelle, et comprenant les étapes suivantes :
- réception (E10) d’une requête pour générer au moins un identifiant d’accès au réseau, dit mot de passe (K), ladite requête comportant un nombre N de fragments à générer ;
- génération (E12) d’un mot de passe comportant N fragments ;
- transmission (E13) du mot de passe. - Procédé selon la revendication 1, caractérisé en ce que l’étape de transmission du mot de passe consiste à transmettre chacun des fragments en association avec un symbole.
- Procédé selon la revendication 1, caractérisé en ce que la requête reçue comporte en outre une donnée indiquant une complexité (H) du mot de passe et en ce que le mot de passe est généré en fonction de ladite donnée de complexité.
- Procédé selon la revendication 1, caractérisé en ce que la requête reçue comporte en outre une donnée indiquant un type d’accès au réseau local et en ce que le mot de passe est généré en fonction dudit type d’accès.
- Dispositif (PAS) de configuration d'accès à un réseau (1) local comprenant au moins un module de transmission (COM), une mémoire (MEM) et un processeur (PROC) configurés pour:
- recevoir (IHM) une requête pour générer au moins un identifiant d’accès au réseau, dit mot de passe (K), ladite requête comportant un nombre N de fragments à générer ;
- générer (DMAS) un mot de passe comportant N fragments ;
- transmettre (USB) le mot de passe. - Dispositif (PAS) de configuration d'accès à un réseau (1) local selon la revendication 5, dans lequel le module de transmission est une interface de type série (USB).
- Dispositif de configuration d'accès à un réseau (1) local selon la revendication 5, dans lequel le module de transmission est une interface radio (BT, NFC, Wi-Fi).
- Passerelle domestique comprenant un dispositif de configuration selon la revendication 5, 6 ou 7.
- Système comprenant :
- une passerelle domestique selon la revendication 8 ;
- un dispositif de mémorisation de mots de passe apte à mémoriser les fragments du mot de passe transmis par le dispositif de configuration. - Programme d’ordinateur apte à être mis en œuvre sur un dispositif tel que défini dans l’une des revendications 5 à 8, le programme comprenant des instructions de code qui, lorsque le programme est exécuté par un processeur, réalise les étapes du procédé défini selon l’une des revendications 1 à 4.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2012267A FR3116981A1 (fr) | 2020-11-27 | 2020-11-27 | Procédé et système de configuration d'accès à un réseau local. |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2012267A FR3116981A1 (fr) | 2020-11-27 | 2020-11-27 | Procédé et système de configuration d'accès à un réseau local. |
| FR2012267 | 2020-11-27 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR3116981A1 true FR3116981A1 (fr) | 2022-06-03 |
Family
ID=74669002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR2012267A Pending FR3116981A1 (fr) | 2020-11-27 | 2020-11-27 | Procédé et système de configuration d'accès à un réseau local. |
Country Status (1)
| Country | Link |
|---|---|
| FR (1) | FR3116981A1 (fr) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1553729A1 (fr) * | 2004-01-07 | 2005-07-13 | Microsoft | Configuration des dispositifs dans un réseau ad hoc sans fil utilisant des supports de données portables |
| WO2007078940A2 (fr) * | 2005-12-30 | 2007-07-12 | Intel Corporation | Configuration automatique de dispositifs lors de l'introduction dans un environnement en réseau |
| FR3028336A1 (fr) * | 2014-12-22 | 2016-05-13 | Orange | Procede de creation d' un mot de passe securise |
| EP3089504A1 (fr) * | 2013-12-27 | 2016-11-02 | ZTE Corporation | Procédé et dispositif pour envoyer et recevoir un paramètre radio |
-
2020
- 2020-11-27 FR FR2012267A patent/FR3116981A1/fr active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1553729A1 (fr) * | 2004-01-07 | 2005-07-13 | Microsoft | Configuration des dispositifs dans un réseau ad hoc sans fil utilisant des supports de données portables |
| WO2007078940A2 (fr) * | 2005-12-30 | 2007-07-12 | Intel Corporation | Configuration automatique de dispositifs lors de l'introduction dans un environnement en réseau |
| EP3089504A1 (fr) * | 2013-12-27 | 2016-11-02 | ZTE Corporation | Procédé et dispositif pour envoyer et recevoir un paramètre radio |
| FR3028336A1 (fr) * | 2014-12-22 | 2016-05-13 | Orange | Procede de creation d' un mot de passe securise |
Non-Patent Citations (1)
| Title |
|---|
| SCOLAMIERO JOE: "SANS Institute Information Security Reading Room Securing Your Wireless Access Point: What Do All Those Settings Mean Anyways?", 1 January 2004 (2004-01-01), XP055814705, Retrieved from the Internet <URL:https://www.sans.org/reading-room/whitepapers/wireless/securing-wireless-access-point-settings-anyways-1405> [retrieved on 20210616] * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1909462B1 (fr) | Procédé de mise à disposition cloisonnée d'un service électronique | |
| EP2249543A2 (fr) | Procédé pour autoriser une connexion entre un terminal informatique et un serveur source | |
| WO2016102833A1 (fr) | Entité électronique sécurisée, appareil électronique et procédé de vérification de l'intégrité de données mémorisées dans une telle entité électronique sécurisée | |
| FR3092927A1 (fr) | Procédé de traitement d'une transaction de paiement, dispositif, système et programmes correspondants | |
| FR3116981A1 (fr) | Procédé et système de configuration d'accès à un réseau local. | |
| FR2955450A1 (fr) | Procede d'authentification d'un terminal mobile pour acceder a un serveur d'applications | |
| FR3090253A1 (fr) | Procédé d’ouverture d’une session sécurisée sur un terminal informatique | |
| EP1737191B1 (fr) | Procédé de création d'un terminal éclaté entre un terminal de base et des équipements connectés en serie | |
| FR2844943A1 (fr) | Procede de production d'un premier identifiant isolant un utilisateur se connectant a un reseau telematique | |
| EP1406425B1 (fr) | Procédé de production, par un fournisseur d'accès, d'un identifiant isolant multimédia | |
| FR2929480A1 (fr) | Procede de determination de donnees complementaires relatives a au moins un contenu, procede pour transmettre ces donnees complementaires, dispositif de traitement et serveur d'applications associes | |
| EP1180872A1 (fr) | Communication sécurisée dans un équipement d'automatisme | |
| EP2400726B1 (fr) | Procédé d'identification d'un réseau local identifié par une adresse IP publique | |
| FR3032582A1 (fr) | Procede de gestion de la duree d'une communication securisee | |
| FR3017730A1 (fr) | Procede d'ouverture de session securise | |
| FR2913841A1 (fr) | Procede d'acces a distance a un reseau,produit programme d'ordinateur,moyen de stockage et dispositifs correspondants | |
| WO2022112705A1 (fr) | Procédé, dispositif et système de génération de mots de passe | |
| EP4320534A1 (fr) | Méthode de contrôle d'accès à un bien ou service distribué par un réseau de communication de données | |
| WO2015145018A1 (fr) | Procédé de traitement d'un message dans un dispositif d'interconnexion | |
| EP2911365A1 (fr) | Procédé et système de sécurisation de transactions offertes par une pluralité de services entre un appareil mobile d'un utilisateur et un point d'acceptation | |
| FR3096479A1 (fr) | Procédé de vérification qu’un utilisateur d’un site web est un être humain, et plateforme de vérification associée | |
| EP4241416A1 (fr) | Procede de delegation d'acces a une chaine de blocs | |
| EP3900278A1 (fr) | Procede de surveillance du mode de terminaison d'un message telephonique | |
| EP3672209A1 (fr) | Procédé d'identification de noeud de communication | |
| EP3360293A1 (fr) | Moyens de gestion d'accès à des données |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20220603 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| PLFP | Fee payment |
Year of fee payment: 4 |