[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

FR2809560A1 - Procede et architecture de systeme de communication securise entre deux entites connectees a un reseau de type internet, comprenant un segment de transmissions sans fil - Google Patents

Procede et architecture de systeme de communication securise entre deux entites connectees a un reseau de type internet, comprenant un segment de transmissions sans fil Download PDF

Info

Publication number
FR2809560A1
FR2809560A1 FR0006693A FR0006693A FR2809560A1 FR 2809560 A1 FR2809560 A1 FR 2809560A1 FR 0006693 A FR0006693 A FR 0006693A FR 0006693 A FR0006693 A FR 0006693A FR 2809560 A1 FR2809560 A1 FR 2809560A1
Authority
FR
France
Prior art keywords
protocol
server
internet
called
wap
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0006693A
Other languages
English (en)
Other versions
FR2809560B1 (fr
Inventor
Michel Habert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bull SAS
Original Assignee
Bull SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to US10/048,057 priority Critical patent/US7275262B1/en
Application filed by Bull SAS filed Critical Bull SAS
Priority to FR0006693A priority patent/FR2809560B1/fr
Publication of FR2809560A1 publication Critical patent/FR2809560A1/fr
Application granted granted Critical
Publication of FR2809560B1 publication Critical patent/FR2809560B1/fr
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne un procédé et une architecture de communication sécurisée entre deux entités (U1 , 36a) associées à un système (10, 3') et interconnectées à un réseau Internet (RI, R) comprenant un segment de transmissions sans fil (RTT). Les entités sont des applications logicielles (36a) hébergées par les systèmes (3') et/ou des utilisateurs (U1 ) de ces systèmes (10). L'un des systèmes est un terminal (10) en technologie " WAP " connecté au segment de transmissions sans fil (RTT), constituant un système client, l'autre un système serveur (3'). Une adresse permanente réseau est attribuée aux deux entités (U1 , 36a), de façon préférentielle conforme au protocole "IPV6". Les systèmes serveur (3') et client (10) comprennent une pile protocolaire de communication comprenant des niveaux d'adressage "IP" et de sécurisation de bout en bout, de façon préférentielle conformément au protocole " IPSec " qui assure des services d'authentification de confidentialité et d'intégrité. Le système serveur (3') comprend couche logique supplémentaire (32) permettant à un serveur " WAP " intégré, de disposer d'interfaces applicatives identiques à celles utilisées communément par les serveurs " WEB ".

Description

L'invention concerne un procédé de communication sécurisé entre deux entités connectées à un réseau de type Internet.
Elle s'applique plus particulièrement à des communications via un réseau de type Internet comprenant un segment de transmissions sans fil. L'invention concerne encore une architecture de système de communication pour la mise en ceuvre de ce procédé.
Dans le cadre de l'invention, le terme "entité" doit être entendu dans son sens le plus général. Il s'agit aussi bien de ressources informatiques, matérielles ou logicielles, que, selon une caractéristique de l'invention qui sera explicitée ci-après, d'êtres humains, utilisateurs d'un des composants du système de communication.
Le terme "Internet" doit également être compris dans son sens le plus général. II englobe, outre le réseau Internet proprement dit, les réseaux privés d'entreprises ou similaires, du type dit "intranet", et les réseaux les prolongeant vers l'extérieur, du type dit "extranet", de façon générale tout réseau dans lequel les échanges de données s'effectuent selon un protocole du type Internet. Cependant, pour fixer les idées, sans que cela limite en quoi que ce soit la portée de l'invention, on se placera ci-après dans le cas du réseau Internet proprement dit, sauf mention contraire.
Habituellement, les communications sur les réseaux, quelle qu'en soit nature, s'effectuent conformément à des protocoles répondant à des standards comprenant plusieurs couches logicielles superposées.
L'architecture des réseaux de communication est décrite par diverses couches logiques. A titre d'exemple, le standard "0S1" ("Open System Interconnection"), défini par l' "1S0", comporte sept couches qui vont couches dites basses (par exemple la couche dite "physique" qui concerne I support de transmission physique) aux couches dites hautes (par exemple la couche dite d' "application"), en passant par des couches intermédiaires, notamment la couche dite de "transport". Une couche donnée offre ses services à la couche qui lui est immédiatement supérieure et requiert de la couche qui lui immédiatement inférieure d'autres services, via des interfaces appropriées. Les couches communiquent à l'aide de primitives. Elles peuvent également communiquer avec des couches de même niveau. Dans certaines architectures l'une ou l'autre de ces couches peuvent être inexistantes.
Dans le cas d'un réseau de type Internet, les communications s'effectuent selon des protocoles, spécifiques à ce type de communications, mais qui comprennent également plusieurs couches logicielles. Les couches sont au nombre de cinq, et de façon plus précise, en allant de la couche supérieure à la couche inférieure : la couche d'application ("http", "ftp", "e-mail", etc.), la couche de transport ("TCP"), la couche d'adressage de réseau ("1P"), I couche de liens de données ("PPP", "Slip", etc.) et la couche physique. Le protocole de communication est choisi en fonction de l'application plus particulièrement visée : interrogation de pages "WEB" ("HTTP"), transferts de fichiers "FTP"), courrier électronique (e-mel, ou "e-mail" selon la terminologie anglo-saxonne), forums ou "news", etc.
Dans sa globalité, un réseau de type Internet comprend tout d'abord un ou plusieurs réseaux de transmission de données proprement dits, éventuellement divisés en sous-réseaux. Ces réseaux comprennent notamment des canaux de liaison physique qui constituent le niveau le plus bas. Les communications peuvent être assurées par des liaisons à relativement bas débit : liaisons téléphoniques, ou des liaisons à haut ou très haut débit : fibres optiques, faisceaux hertziens, liaisons satellites, notamment pour les artères principales. A ce ou ces réseau(x) sont connectés de nombreux systèmes, sous- systèmes, machines et/ou terminaux divers. La connexion peut être directe (à l'aide d'un modem, par exemple) ou indirecte, par l'intermédiaire d'un système dit "fire-wall" (ou "pare-feu"), d'un "proxy", ou par l'intermédiaire du système informatique d'un fournisseur d'accès au réseau Internet (ou "ISP" selon la terminologie anglo-saxonne).
La gamme des entités connectées, dans l'art connu, peut aller des ordinateurs très puissants (par exemple du type dit "main-frame") jusqu'à des terminaux "légers", c'est-à-dire ne possédant que peu de ressources informatiques propres, par exemple des terminaux dédiés, voire de simples terminaux lecteurs de carte à puce. Ces entités, que l'on peut appeler de façon générique "systèmes", disposent d'un système d'exploitation (ou "OS" selon la terminologie anglo-saxonne), d'un type dit propriétaire ou A titre d'exemple, on peut citer le système d'exploitation "UNIX" (marque déposée"), très utilisé dans le cadre des applications relatives au réseau Internet.
Généralement, les communications entre entités connectées s'effectuent selon un mode dit client-serveur et mettent en ceuvre technologie dite d'objets. Un serveur peut être défini comme étant un logiciel, une application ou toute entité logicielle rendant un service donné (par exemple le transfert d'un fichier requis). Une telle entité est hébergée par des systèmes connectés au réseau Internet, que l'on appelle "serveurs". Une entité "client" peut être définie comme étant le dual de l'entité "serveur", c'est-à-dire demandant un service déterminé. Cependant, rien ne s'oppose à ce qu'un système une application soit à la fois "client" et "serveur".
Comme il a été indiqué, une des couches logicielle de communication est constituée par la couche d'adressage dite "1P". II est en effet nécessaire qu'un client, par exemple, puisse adresser sélectivement un serveur, via le réseau Internet. Pour ce faire, la technologie lnternet met en oeuvre le concept dit d' "URL" (pour "Uniform Resource Locator") faisant appel à une adresse appelée "1P" (pour "Internet protocol"). Le réseau Internet est fortement hiérarchisé en domaines et sous-domaines, qui correspondent eux-mêmes à des réseaux et sous-réseaux, gérés par des système d'annuaires électroniques, dénommés "DNS" (pour "Domains Name Servers"). La structure de l'adresse "1P" reflète cette hiérarchisation. Elle comprend une adresse "1P" proprement dite, comprenant elle-même une adresse de sous-réseau appelée et une adresse d'une entité à l'intérieur de ce sous-réseau. Elle est associée à un numéro de port permettant d'adresser un serveur à l'intérieur de l'entité précitée.
Pour une même entité connectée au réseau Internet, les adresses "IP" peuvent être permanentes ou variables dans le temps. A titre d'exemple, les systèmes connectés au réseau Internet, via un fournisseur d'accès, se voient généralement attribuer une adresse différente au début de chaque session.
Dans une période récente, un certain nombre de besoins se sont fait sentir. Un premier besoin concerne la mobilité. On parle de "nomadisme" des utilisateurs. Ceux-ci disposant de terminaux eux-mêmes mobiles, tels des micro- ordinateurs portables, ils désirent pouvoir se connecter à n'importe quel endroit du réseau, sans contraintes excessives. Notamment, la migration d'un domaine à un autre devrait être transparente pour l'usager. II doit également pouvoir conserver son environnement habituel, par exemple conserver un accès ' une liste de services auxquels il est abonné, gratuitement ou non, à un carnet d'adresses, etc. Les données caractérisant cet environnement peuvent être stockées dans un serveur éloigné auquel l'abonné peut accéder. II peut encore les transporter avec lui, par exemple dans la mémoire d'une carte à puce.
Plus récemment, il a été proposé de connecter directement des téléphones mobiles, seuls ou combinés avec des appareils du type organiseur ou similaire, au réseau Internet. Cette connexion s'effectue physiquement par l'intermédiaire d'un réseau de transmissions sans fil, tel le réseau à la norme "Global System for Mobile communications (acronyme de "GSM"). Ce réseau est lui-même connecté au réseau Internet par l'intermédiaire de passerelles spécialisées ou "gateway" selon la dénomination anglo-saxonne.
Cette disposition est très avantageuse,, car elle autorise une mobilité extrême. 1l n'est plus nécessaire de disposer de points fixes pour se connecter au réseau Internet.<I>A priori,</I> la seule limite à cette mobilité résulte la couverture territoriale, plus ou moins étendue, du réseau "GSM" d'un opérateur donné.
Cependant, il existe d'autres types de limitations dues à ce mode de transmission.
Une première limitation est relative à la bande passante. Dans l'état actuel des technologies, la vitesse de transmission est très faible : 9600 bits/s. Même dans le cas d'une simple ligne téléphonique filaire classique, la norme V90, par exemple, permet d'atteindre une vitesse maximale de 56000 bits/s. On peut obtenir des vitesses bien plus élevées si on fait appel à la technologie "ADSL" (470 kits/s à 1 Mbits/s). En outre, les liaisons de type "RNIS", par câble ou satellites permettent de hauts ou très hauts débits. De nouvelles technologies sont en cours d'étude ou d'implantation, telle "GPRS" ("Global Packet Radio Service") ou "UTMS" ("Universel Mobile Telecommunication Service") et autoriseront de plus grandes vitesses de transmission, mais ne sont pas encore toutes opérationnelles. Pour le moins, le réseau "GSM", dans sa version actuelle, subsistera pendant un laps de temps indéterminé, car des modifications et/ou des changements complets de matériels s'avéreront nécessaires, ce sera le cas notamment pour la version dite "G3" de "GSM"".
Une deuxième limitation, corollaire de la miniaturisation des dispositifs de communication sans fil, tient à la surface réduite, voire très réduite des écrans de visualisation de ces dispositifs.
II s'ensuit que les protocoles Internet, notamment en ce qui concerne le "WEB" proprement dit (protocole "HTTP") ne sont pas adaptés. En particulier, le langage couramment utilisé pour ces applications est un langage interprété de description de pages, dit "HTML" ("HyperText Markup Language"), ce langage ne convient pas aux types d'écrans précités.
Aussi, il a été proposé un nouveau protocole, derivé des protocoles de type Internet, de type propriétaire, appelé "WAP" pour "Wireless Application Protocol". Ce protocole permet, à des téléphones mobiles d'accéder à des applications de type "e-mail", "WEB" ou multimédia (vidéo par exemple), en tenant compte des caractéristiques spécifiques de ces appareils et du réseau de communication auquel ils sont connectés (par exemple réseau "GSM").
Même si elle permet l'accès aux applications ' dessus, cette solution n'est pas sans inconvénients.
Les sites Internet doivent être adaptés, car il n'est pas possible d'afficher sur l'écran d'un téléphone mobile, de surplus habituellement monochrome, ce qui est affichable sur un écran de plus grandes dimensions et définition, tel celui d'un micro-ordinateur. Un langage spécifique a été élaboré pour ces usages : le "WML" ("WAP Markup Language"). II est alors nécessaire de disposer d'un navigateur spécifique.
La plupart des services proposés par les opérateurs de téléphonie ayant recours à la technologie "WAP" concernent des services du type accès aux cotations de bourse, aux prévisions météorologiques, à des horaires de trains ou autres moyens de transport, aux horaires de spectacles divers, etc., ou à l'affichage de vidéogrammes simples ou à des jeux peu gourmands en ressources informatiques.
Cependant, le recours à cette solution, pour des applications de type commerce électronique ou de type bancaire, par exemple, pose des problèmes relatifs à la sécurité, comme il va l'être montré ci-après.
En effet, un autre besoin qui se fait sentir, dans de nombreux domaines d'application est le niveau de sécurité offert par le système I des transmissions entre deux entités.
Dans le cadre de l'invention, le terme "sécurité" doit être entendu dans un sens général. II concerne tout d'abord la confidentialité : certaines données sont dites sensibles et ne doivent pas pouvoir être accessibles, à entités non autorisées, personnes physiques ou applications logicielles. Pour faire, on a recours habituellement à diverses techniques de chiffrage. La sécurité concerne aussi les problèmes d'authentification entre parties, d'autant plus aigus que ces parties peuvent être mobiles sur le réseau Internet_ L'authentification peut s'effectuer à l'aide de données d'identification (mots de passe) et/ou en ayant recours à la technique dite de certificats, en association avec des clés de chiffrage, par exemple stockées dans une carte à puce. La sécurité concerne aussi ce qui relève de l'intégrité des données transmises. On doit pouvoir s'assurer que les données reçues n'ont pas subi de modifications non désirées, que ce soit de manière accidentelle (défaillance des circuits de transmission par exemple) ou intentionnelles (malveillance, etc.). Pour ce faire, on peut mettre en oeuvre des techniques de redondance et/ou des techniques de signature électronique (scellement).
Pour le réseau Internet "classique", une des techniques de sécurisation les plus utilisées fait appel à la technologie dite "SSL/TLS" ("secure Socket Layer/Transport Layer Security"). Cependant cette technologie n'assure qu'un niveau de sécurité minimal. Un niveau supérieur, d'ailleurs rendu obligatoire par la version dite "IPV6" des protocoles Internet (c'est-à-dire la version 6, la version actuellement utilisée étant majoritairement la version 4 ou "IPV4"), est assuré par le protocole de sécurité connu sous le sigle "IPSec". II s'agit d'un niveau de sécurité standardisée permettant une sécurisation bout en bout, au niveau réseau.
Dans le cas de la technologie "WAP", il a été proposé une couche de sécurité ayant une fonctionnalité analogue à la couche "SSL/TLS" précitée, utilisable pour les transmissions sans fil et connue sous sigle "WTLS" ("Wireless Transport Layer Security"). Cette technologie, d'usage optionnel. introduit un niveau de complexité important et n'offre pas un niveau de sécurité élevé. Aussi, puisque comme il a été rappelé, la majorité des services offerts ne nécessitant pas de mesures de sécurité particulières, les opérateurs des réseaux téléphoniques sont peu enclin à la mettre en oeuvre.
En outre, et surtout, comme il a été indiqué, il existe général une passerelle, ou "gateway", assurant l'interface entre le réseau Internet et le réseau de transmissions sans fil.
La figure 1, placée en fin de la présente description, illustre schématiquement une architecture, selon l'art connu, système de communication 1 entre un utilisateur U, muni d'un terminal mobile de type "WAP" 10 (par exemple un téléphone mobile"), connecté à un réseau de radio- transmission RTT (par exemple au standard "GSM" ou "GPRS"), et un dispositif informatique 12, connecté au réseau Internet RI, par exemple un serveur éloigné. Le terminal mobile 10 à un rôle de client vis-à-vis du serveur 12. Le réseau RTT forme le segment "aérien" du réseau de communication mobile; segment relié à un second segment RT, appelé réseau public terrestre mobile, ou sous le sigle anglo-saxon "PLMN" ("Public Land Mobile Networks"), via des balises émettrices/réceptrices (non représentées) définissant des cellules.
Cette technologie est bien connue de l'homme de métier et ne nécessite pas d'être décrite plus avant. On pourra se référer avec profit, à titre d'exemple non limitatif, à l'article de Jean CELLMER, intitulé "Réseaux cellulaires, Système GSM", paru dans les "Techniques de l'Ingénieur", Volume TE 7364, novembre 1999, pages 1 à 23.
Le réseau Internet RI est interconnecté au segment RT.
Les segments terrestres RT et aériens RTT sont interconnectés par une passerelle 11. Dans le cadre de la technologie "WAP", cette passerelle 11 joue également un rôle d'interface assurant conversions bilatérales "WAP" de ou vers "HTTP". Elle comprend notamment couche logique de protocole "WAP" 11 Oa et une couche logique de protocole "HTTP" 111 a, complétée par une couche de sécurité "SLL/TLS" 111b, côté "HTTP", et une couche (optionnelle) de sécurité "WTLS" 110b, du côté "WAP".
La passerelle 11 comprend enfin une interface 113 entre les deux séries de couches logiques destinées à effectuer la conversion bilatérale précitée. Or, précisément, cette interface 113, entre les protocoles de sécurité, "SSLITLS" 111 b et "WTSL" 11 Ob introduit une faille sécurité, ce qui crée une zone d'insécurité qui rend le concept dit "WAP gateway" qui vient d'être décrit incompatible, de façon pratique, avec le commerce électronique, les applications bancaires, et de façon plus génerale avec toute application dite sensible exigeant un niveau de sécurité éleve.
Par contre, si l'on considère une station de travail 13, ou tout dispositif similaire sous le contrôle d'un usager U2, connectée directement au réseau Internet R/, les protocoles de communication utilisés entre cette station de travail 13 et le serveur 12 restent homogènes. n'existe pas de faille de sécurité intrinsèque au système. II en aurait été de meure, si la station de travail 13 avait été connectée au serveur 12 via un réseau intranet ou extranet.
L'invention vise à remplir les besoins qui se font sentir pour les communications via un réseau de type Internet que ce soit un réseau de type classique ou un réseau mettant en ceuvre la technologie "WAP", tout en palliant les inconvénients des dispositifs de l'art connu, et dont certains viennent d'être rappelés.
Pour ce faire, selon une première caractéristique, le concept précité dit "WAP gateway" est entièrement éliminé, ce qui permet de supprimer la faille de sécurité constatée au niveau de l'interface "WEB/WAP". La conversion "WAP/WEB" est effectuée directement au niveau des serveurs.
Selon une deuxième caractéristique, attribue à chacune des entités devant être mise en relation une adresse dite permanente.
Selon une autre caractéristique, on adopte un mécanisme de sécurité de bout en bout, au niveau réseau, utilisable pour toute application de type Internet, "WEB", "WAP", ou autre, et qui est programmé de manière déclarative ce qui assure une transparence complète.
Du fait de cette transparence, une des conséquences avantageuses du procédé selon l'invention est qu'il n'est pas nécessaire de réécrire les applications existantes pour les sécuriser avec cette technique.
Dans une variante préférée de réalisation de l'invention, le mécanisme adopté est le protocole "IPSec" précité.
Bien que le procédé selon l'invention soit particulièrement avantageux lorsqu'un des segments du réseau de communication est constitué par un réseau de communication sans fil impliquant l'utilisation de la technologie "WAP", il doit être clair qu'il s'applique également à un réseau de type Internet homogène.
L'invention a donc pour objet principal un procédé de communication sécurisé entre des première et seconde entités interconnectées via un réseau de type Internet, lesdites entités étant associées à des premier et second systèmes de traitement informatique de données parmi un ensemble de systèmes distribués connectés au dit réseau de type Internet caractérisé en ce que lesdites première et seconde entités sont constituées par une pièce de logicielle hébergée dans un desdits systèmes connectés audit réseau de type Internet et/ou un utilisateur desdits systèmes connectés, en que ledit premier système fonctionne en mode dit client et ledit second système fonctionne en mode dit serveur, en ce qu'il comprend une étape d'attribution, sur ledit ensemble de systèmes, d'une adresse permanente de type Internet, du type dit "1P", à chacune desdites entités interconnectées, en ce est implanté dans ledit second système formant serveur au moins une pièce logiciel formant serveur et offrant les services d'au moins une application ' ladite première entité, et en ce qu'il est implanté dans lesdits premier et second systèmes une pile protocolaire de communication comportant au moins une couche pour l'exécution d'une étape de chiffrement, en mode bout en bout, conforme à un protocole de sécurisation déterminé, de données échangées entre lesdites entités interconnectées. L'invention a encore pour objet une architecture de communication dans un ensemble de systèmes distribués pour la mise en couvre du procédé.
L'invention va maintenant être décrite de façon plus détaillée en se référant aux dessins annexés, parmi lesquels - la figure 1 illustre schématiquement un exemple de réalisation d'un système de communication, selon l'art connu, comprenant un réseau Internet et un réseau de communication sans fil mettant en couvre la technologie "WAP" ; - la figure 2 illustre schématiquement un exemple d'architecture de système de communication via un réseau Internet et un réseau de communication sans fil mettant en couvre la technologie "WAP", selon un mode de réalisation préféré de l'invention ; - les figures 3 et 4 illustrent deux variantes de configuration de système serveurs selon l'invention ; - les figures 5 et 6 illustrent une architecture de système permettant d'adresser directement une application logicielle hebergée par un système ; - la figure 7 illustre de façon plus détaillée l'interconnexion de deux entités dans le système de la figure 2 ; - la figure 8 illustre schématiquement une liaison sécurisée du type dit "tunnel" obtenue par le procédé selon l'invention ; et - la figure 9 illustre un exemple d'architecture de système de communication sécurisée via un réseau Internet pour une application marchande en technologie dite "WAP".
Dans ce qui suit, sans en limiter en quoi que ce soit la portée, on se placera ci-après dans le cadre de l'application préférée de l'invention, sauf mention contraire, c'est-à-dire dans le cas d'un système communication hybride comprenant un réseau Internet et, éventuellement, réseau ïntranet, ainsi qu'un réseau de communication mobile, comportant un segment aérien, et mettant en couvre la technologie "WAP".
La figure 2 illustre de façon schématique un exemple d'architecture de système, désormais référencée 2, pour la mise en couvre procédé conforme à l'invention. Les éléments communs aux figures précédentes portent les mêmes références et ne seront re-décrits qu'en tant que de besoin.
Le système 2 de l'exemple de la figure 2, considéré dans globalité, comprend tout d'abord un terminal mobile 20, sous le contrôle d'un utilisateur U', (jouant un rôle analogue au terminal 10 de la figure 1), et une station mobile 25, sous le contrôle d'un utilisateur U'3, toutes deux connectées au réseau de radio- transmission RTT Le terminal 20, supposé être un téléphone ile, est connecté directement au réseau RTT La station mobile 25, par exemple un micro-ordinateur, est connectée à ce réseau RTT via un équipement terminal 26, qui peut être constitué également par un téléphone mobile. Ce dernier est connecté à la station mobile 25 via une liaison série ou une liaison infrarouge, par exemple.
Comme précédemment, le réseau RTT est connecté au réseau terrestre RT par l'intermédiaire d'une passerelle 21. Cependant, cette dernière ne joue plus le rôle d'interface de conversion "WAP - HTTP" (fonction "WAP gateway" précitée), selon un des aspects de l'invention. Elle permet de réaliser, de façon classique en soi, des conversions électriques et logiques nécessaires pour passer d'un mode transmission de données par voie terrestre à un mode de transmission par voie hertzienne, par exemple à la norme "GSM".
Le réseau terrestre RT est connecté au réseau Internet dernier étant, dans l'exemple de la figure 2, connecté lui-même à un réseau intranet it, via un serveur d'accès 22. Un serveur 3 est connecté au réseau intranet it.
On a également représenté une station de travail 24 connectée au réseau intranet it, par exemple un micro-ordinateur, sous le controle d'un utilisateur U'4, ainsi qu'une deuxième station de travail connectée directement-au réseau Internet RI, par exemple un micro-ordinateur, sous le contrôle d'un utilisateur U'z (jouant un rôle analogue à la station 13 de la figure 1).
Dans la réalité, un nombre beaucoup plus importants d'utilisateurs est connecté aux réseaux du système 2, via divers types de machines ou systèmes. Cependant, le système 2 de la figure 2 permet d'illustrer les principaux types de dispositifs rencontrés sur des réseaux où cohabitent les protocoles Internet standards et "WAP". On peut aussi prévoir des systèmes dits "firewall" ou "pare- feu" (non représentés), par exemple inclus dans le serveur d'accès 22, isolant le réseau intranet it du monde extérieur, c'est-à-dire du réseau Internet RI.
Selon une caractéristique, également commune en soi à connu, tout ou partie des machines ou systèmes connectés peut être mobile sur le réseau. Les autres utilisateurs devraient pouvoir adresser de façon transparente les machines qui ont migré. Aussi, au moins dans la version "IPV6" précitée, on prévoit un dispositif 23, connu généralement sous la dénomination anglo- saxonne "Home agent", ici connecté au réseau intranet it, permettant gérer cette mobilité. Pour ce faire, un protocole dit "Mobile IF est utilisé. Il permet de corréler une adresse temporaire attribuée à un système connecté avec une adresse permanente attribuée à l'entité qui lui est associée. Un utilisateur désirant adresser le système mobile ne manipule toujours que cette seule adresse permanente. Le protocole "Mobile IP" précité permet d'organiser une macro-mobilité. C'est le cas, par exemple, lorsque l'on change d'opérateur de réseau "GPRS".
Cet ensemble constitue un système distribué.
Jusqu'à présent, à l'exception de la structure de la passerelle 21, qui ne sert plus d'interface entre les protocoles "WAP/HTTP", l'architecture générale du système 2 qui vient d'être décrite est commune, en soi, à une architecture selon l'art connu (telle celle de la figure 1).
Selon une première caractéristique propre à l'invention, qui va être décrite en regard des figures 3 et 4, l'architecture des serveurs 3 est modifiée, de façon à ce que des conversions aux protocoles d'interfaces applicatives des serveurs "WEB" soient réalisées à l'intérieur de ceux-ci, et non plus niveau de la passereL1e 21, sous la forme de conversion de protocole de communication "WAP/HTTP". Le serveur 3 héberge donc une passerelle "WAP" avec un adaptateur d'interface applicative de serveur "WEB". Cette modification va permettre une sécurisation des transmissions, de bout en bout, transparente vis- à-vis des protocoles utilisés, "HHTP", "WAP" ou autres (transmissions mode paquet de données), ne présentant plus de faille de sécurité comme dans l'art connu, par la disparition de la fonction "WAP gateway". Elle permet enfin de ne plus utiliser le protocole de sécurité "WTLS", complexe à mettre en eeuvre et n'offrant qu'un faible niveau de sécurité.
Sur la figure 3, on a supposé que le serveur 3 comprenait à la fois des applications "WAP", sous les références 36a et 36b, et des applications "WEB", sous les références 37a et 37b. Selon un des aspects de l'invention, on prévoit aussi, implantés dans le serveur 3, un serveur dédié "WAP" 30 et serveur dédié "WEB" 31. Ces deux serveurs, 30 et 31, sont aptes à reconnaître sélectivement les requêtes selon le protocole "WAP" de celles selon le protocole "WEB", respectivement. Cette sélection s'effectue via les configurations particulières des messages reçus appartenant à l'autre des protocoles. Les requêtes sont reçues du réseau Internet RI, directement ou indirectement par un réseau intranet it (figure 2), via des organes classiques (non représentés) : modem, etc., et des couches de communications standardisées (également non représentées).
Selon une première variante de l'invention, illustrée par figure 3, on interpose un module 32 entre le serveur "WAP" 30 et des "APis" protocoles d'interface applicatives de type serveur "WEB" 33. Ce module 32, pouvant être constitué par une pièce de logiciel, est un adaptateur d'interface permettant que les méthodes d'accès des applications "WAP" soient les :mêmes les méthodes d'accès des applications "WEB" à des serveurs "WEB".
Les applications 36a-36b et 37a-37b peuvent être constituées de pages écrites en langages "WLM" et "HTLM", respectivement.
Comme il est bien connu en soi, un certain nombre de techniques sont utilisées pour écrire des applications "WEB" en "dos" de serveur "WEB". II peut s'agir "d'APis" de types connus sous les sigles "CGI" (pour "Common Gate Interface", qui constituent une passerelle), "NSAPI" (pour Netscape Server API - marque déposée) ou "ISAPI" (pour Internet Server API). L'application 37b est de ce type et est donc interconnectée directement au module 33. Plus récemment, on a proposé des "APIs" dits de conteneur (ou "container" selon la terminologie anglo-saxonne) constituant des moteurs dits de "Servlets" (marque déposée). L'application 37a est de ce type et est interconnectée au module 33 via un module connu sous l'appellation "WEB Container" 34 et des "APIs" spécifiques 35. A titre d'exemple, on peut citer "TOMCAT", pour des serveurs de type "APACHE", sous système d'exploitation "LINUX" (tous` ces termes correspondant à des marques déposées).
Selon la caractéristique avantageuse de l'invention qui vient d'être rappelée, le serveur "WAP" 30 dispose donc d'un adaptateur d'interface 32 qui permet aux applications écrites pour des serveurs "WAP" 30 d'utiliser les deux séries de mécanismes standards rappelés ci-dessus : applications "WAP" 36b et 36a respectivement.
Une deuxième variante de réalisation de l'invention est illustrée par la figure 4. Le serveur, ici référencé 3', comprend, comme précédemment, un serveur "WAP" 30 et un serveur "WEB" 31, ainsi que le module adaptateur d'interface 32. Cependant les applications présentes dans le serveur sont uniquement des applications de type "WEB", référencées 37a à 37d,<I>priori</I> écrites en langage "HTLM". Les applications "WEB" 37a et 37b correspondent aux applications "WEB" de mêmes références sur la figure 3, les applications 37c et 37d se substituant aux applications "WAP" 36a et 36b, respectivement. Des modules supplémentaires 38a et 38b sont intercalés entre les modules 33 et 34-35, d'une part, et les applications 38a et 38b, d'autre part. La fonction dévolue à ces module 38a et 38b est une conversion bidirectionnelle entre les langages "HTML" et "WML". De ce fait, les requêtes en provenance du serveur "WAP" 30 sont transmises via les modules 33 ou 34-35 aux convertisseurs 38a ou 38b, puis à une des applications "WEB" 37c ou 37d. Par contre, les requêtes en provenance du serveur "WEB" 31 sont transmises directement, des modules 33 ou 34-35 aux applications "WEB" 37a ou 37b. Le cheminement inverse est également vrai.
Selon u-ne autre caractéristique du procédé de l'invention, une adresse permanente est attribuée aux utilisateurs ou à des applications clientes (par exemple U, à U4, figure 2), et aux applications serveurs (par exemple -36b et/ou 37a-37b, figures 3 ou 4). De façon générale, on attribue une adresse permanente aux entités devant être connectées. Cette attribution peut être effectuée de façon dynamique. Dans les réseaux de type Internet actuels, il n'est pas possible d'adresser directement une application à l'intérieur d'un système. En général, des clients qui adressent une entité distante gérée par un système, service ou application, invoquent un service de noms. Celui-ci requiert le nom réseau et l'adresse du système qui contient l'entité à atteindre.
Aussi, la Demanderesse a proposé, dans la demande de brevet français publiée sous le numéro FR 2 773 428 A1, un procédé permettant notamment d'adresser directement une application logicielle hébergée par un système connecté à un réseau de type Internet. Ce procédé va etre rappelé brièvement ci-après par référence aux figures 5 et 6.
Cette figure 5 illustre schématiquement le procédé d'adressage de serveurs selon cette demande de brevet. Pour simplifier, il a été supposé que l'ensemble des systèmes, référencé 2', était compris dans un domaine D, unique, associé à un serveur de noms de domaine DNS,. On a représenté, également dans un but de simplification, un seul client, CI,. II peut s'agir, par exemple, de la station de travail 27 de la figure 2. Selon une des caractéristiques du procédé d'adressage, chaque système réel (par exemple les serveurs 3 ou 3' des figures 3 et 4) est assimilé à un réseau virtuel référencés SVN, <I>à</I> SVN", représentés en traits pointillés sur la figure 5, appelés arbitrairement "réseaux virtuels systèmes".
Selon une deuxième caractéristique du procédé d'adressage, les serveurs, par exemple SV" à SV,3 dans le réseau virtuel système SVN,, sont associés chacun à une adresse "1P" individuelle. II s'ensuit que chaque serveur, par exemple le serveur SV", c'est-à-dire un objet ou une entité logicielle, est directement adressable par un client, par exemple le client CI,, et; façon plus générale, un client CI, si le système 2' comporte plusieurs clients (x étant arbitraire). En d'autres termes, un client n'a plus besoin de connaître le nom du système hébergeant le serveur recherché. L'annuaire du serveur DNS, stocke toutes les adresses "1P" des serveurs, par exemple des serveurs SV" à SV,3 du réseau virtuel système SVN,.
II doit être noté que, dans un système multidomaines, tous les serveurs d'un réseau virtuel système appartiennent à un même domaine. Selon une troisième caractéristique du procédé d'adressage, les systèmes "réels" ou machines qui constituent, dans une configuration cl ique, des systèmes terminaux deviennent des systèmes intermédiaires. Ils constituent des noeuds des réseaux virtuels, SVN, à SVN", et également des noeuds du réseau "réel", c'est-à-dire le sous-réseau Internet ou intranet Les systèmes agissent en tant que passerelles qui interconnectent les nceuds des réseaux virtuels, SVN, à SVN", au sous-réseau SRX. Chaque système est également doté d'une adresse "1P".
On peut donc représenter un réseau virtuel système SVN, associé à un système S, de la façon illustrée par la figure 6. On constate qu'un système S, constitue bien un noeud pour le réseau RX et qu'il est associé, vu de ce réseau (c'est-à-dire de l'extérieur), à une première adresse IP,, avec @IP,:X,X, <I>X</I> étant le préfixe attribué au sous-réseau SRx et X, l'adresse de S, dans le sous- réseau SRX.
On suppose que le réseau virtuel système SVNy est constitué deux serveurs référencés SVA et SVB qu'il héberge et du système S, proprement dit. Vu du réseau virtuel système SVN,, le système S, est associé à une seconde adresse : IP2, avec @ IP2: <I>Y, Y,, Y</I> étant le préfixe attribué au réseau virtuel système SVNy et<I>Y,</I> l'adresse de S, dans le réseau SVNy.
De même, les serveurs SVA et SVB sont associés à deux adresses, IPA et IPe, respectivement, avec @ IPA: <I>Y,</I> YA, <I>et @</I> IPe: <I>Y, YB,</I> YA et YB étant les adresses de SVA et SVe, respectivement, dans le réseau SVNy.
Pour une description plus détaillée du mécanisme d'adressage, on pourra se référer avec profit à la demande de brevet français précitée, notamment à la figure 4 de cette demande qui illustre de façon détaillée l'architecture d'un système réel permettant l'adressage précité.
Dans le cadre de l'invention, les serveurs SVA et SVB peuvent être constitués par les serveurs "WAP" 30 et "WEB" 31 de la figure 3, le système réel S, étant alors le système serveur 3.
Le procédé d'adressage selon la demande de brevet français précité, comme le procédé selon l'invention restent compatibles avec le protocole Internet le plus couramment utilisé ce jour, c'est-à-dire la versi "IPV4". Cependant, une adresse conforme à ce protocole ne comporte que quatre octets, soit 232 adresses théoriques, en réalité beaucoup moins' du fait de la structure hiérarchique rappelée ci-dessus. Du fait de la croissance rapide du réseau Internet, des projections sur futur ont montré que cet espace d'adressage limité conduira rapidement ' une pénurie. Or le fait de pouvoir adresser directement des entités internes à un système et, selon une des caractéristiques de l'invention, de leur attribuer des adresses permanentes, multiplie les besoins en nombres d'adresses distinctes. Aussi, dans le cadre de l'invention, on préférera le protocole "IPV6" pour l'attribution des adresses permanentes. L'espace d'adressage théorique est alors fortement augmenté environ 6,65x1023 adresses réseau par metre carré de la surface de la terre.
Comme il a été indiqué, selon autre caractéristique de l'invention; la sécurisation des transmissions est réalisée de bout en bout, de façon transparente par vis-à-vis des différents protocoles : "WAP", "WEB" ou autres. Dans un mode de réalisation préféré, on adopte le protocole connu sous le sigle "IPSec", protocole d'ailleurs obligatoire " version "IPV6" est mise en #uvre pour les transmissions sur le réseau Internet.
La figure 7 illustre schématiquement un exemple d'architecture de système de transmission 2, selon l'invention, montrant l'interconnexion entre deux entités de type client, référencées et 4', et une entité de type serveur, 3. Les client 4 ou 4' est constitués par l'un des dispositifs représentés sur la figure 2 : 20, 24, 26 ou 27. Les deux entités, 3 et 4 ou 4', communiquent entre elles par l'intermédiaire d'un ou plusieurs des réseaux de la figure 2, sous la référence unique R. L'entité 4 est un client de type "WEB" et l'entité 4' un client de type "WAP".
On a supposé que le protocole "IPV4" était utilisé pour les transmissions, ce qui est généralement le cas à l'heure actuelle. Le procédé d'adressage illustré par référence avec les figures 5 et 6, et le procédé selon l'invention sont compatibles avec des réseaux de type, comme il a été rappelé. Dans le cadre de l'invention, on met en oeuvre un protocole dénommé "6-to-4" qui convertit les adresses "IPV6" en adresses "IPV4" compatibles "IPV6", et inversement. Selon le procédé de l'invention on implémente dans chaque système physique une pile protocolaire de communication comprenant successivement une pile "IPV6", 390 ou 44, incluant le protocole de sécurité "IPSec", 391 ou 45, et une pile "IPV4" 392 ou 46, respectivement pour le serveur et les clients 4 ou 4'. Les piles "IPV4", 392 et 46, sont interfacées avec le réseau R. Les piles "IPV6", 390 et 44, sont interfacées avec les serveurs "WAP" 30 et "WEB" 31, côté serveur 3, et avec des clients "WAP" 42 et "WEB" 43, côté client 4.
Sur la figure 7, on a également détaillé les couches applicatives du client 4, qui présentent une grande symétrie avec celles serveur 3. les clients, 42 et 42', peuvent être constitués par des navigateurs. Des associations de sécurité sont définies entre des utilisateurs ou des applications clientes et des applications serveurs, De façon avantageuse, un "triplet" identifie chaque association de sécurité - une adresse de destination des paquets de donnees ; - un protocole de sécurité, de façon préférentielle le protocole dit "ESP" ("Encapsulating Security Payload" ou protocole d'authentification de données) est utilisé en mode tunnel ; et - un paramètre index de sécurité ("Security Parameter Index" ou "S P I") .
On constate que la sécurisation des transmissions, du fait que le chiffrage et le déchiffrage est réalisé en amont des couches d'adresses "IPV4", dans chaque entité à mettre en relation, on obtient bien la sécurisation transparente désirée, de bout en bout. On ne constate plus de faille de sécurité lors du cheminement des données, même si un segment du réseau est du type à transmissions sans fil.
Le schéma équivalent à l'architecture représentée par la figure 7 est celui illustré par la figure 8. Le canal de transmission peut en effet être représenté symboliquement sous la forme d'un câble blindé ou "tunnel" mettant en liaison deux entités, arbitrairement référencées E, et E2, auxquelles les adresses permanentes respectives @IPE, et @IPE2 ont été attribuées. II s'agit, soit d'adresses "IPV6", soit d'adresses compatibles "IPV6" si le réseau est au protocole ""IPV4". A titre d'exemple, un "tunnel" sécurisé est établi entre un terminal "WAP", par exemple le téléphone mobile 20 (figure et le serveur 3 hébergeant une application "WAP" 33. De façon générale, "tunnel" transporte des communications "IPV6" de bout en bout entre utilisateur et une application.
Naturellement, si le réseau R est au protocole "IPV6" les conversions d'adresses ne sont plus nécessaires et les piles "IPV4", 392 et 46 n'existent pas. Lorsque la station connectée est du type mobile, on fait appel au protocole dit "mobile IPV6". La station mobile est associée à chaque instant à une adresse temporaire qui reste transparente pour les utilisateurs désirant adresser l'entité associée à cette station. Un dialogue est initialisé avec un dispositif du type "home agent" précité (figure 2 : 23). Ce dernier établit une corrélation entre l'adresse permanente attribuée et l'adresse temporaire. Cette disposition permet d'obtenir ce qui a été précédemment appelée une "macro- mobilité".
Le dialogue précité est sécurisé. De façon préférentielle, le mécanisme d'authentification propre à "IPSec" est mis en oeuvre comme le préconise le protocole "mobile IPV6".
On obtient des communications entre utilisateurs et applications avec mise en oeuvre des services suivants de "IPSec", s'ils sont sélectionnés - authentification de la source de données, incluant l'authentification de l'utilisateur ; - intégrité ; et - confidentialité.
En ce qui concerne plus précisément l'authentification des utilisateurs, celle-ci s'effectue avantageusement par l'intermédiaire de l'adresse permanente qui leur est attribuée. Les utilisateurs sont enregistrés dans un annuaire électronique. A titre d'exemple, l'organisme connu sous le sigle "IETF" ("Internet Engineering Task Force") a proposé un standard d'annuaire, que l'on peut qualifier d' "allégé", connu sous le sigle "LDAP" ("Lightweight Directory Access Protocol"). Un profil d'abonné et des privilèges éventuels sont associés à l'utilisateur. Comme "IPSec" est utilisé, avec le mécanisme "ESP", en mode "tunnel" (figure 8), une authentification de la source d'information (une adresse "IPV6" permanente), en l'occurrence l'identification de l'utilisateur, présente dans chaque paquet de données et chiffrée. En outre, la source de données est authentifiée et, dans ce cas, représente l'utilisateur. Cette identification est utilisée pour construire un contexte de sécurité utilisé lui-même par l'application ou, mieux, par le contenant de l'application pour effectuer un controle d'accès pour des contrôles d'autorisation.
Pour fixer les idées, on va maintenant décrire un exemple d'architecture de système de transmission, mettant en #uvre les dispositions de l'invention, adaptée à une application marchande mobile sécurisée, empruntant un tronçon de réseau de radio-transmission par paquets, par exemple du type "GPRS".
La figure 9 illustre schématiquement une telle architecture, référencée 2". Les éléments communs aux figures précédentes portent les mêmes références et ne seront re-décrits qu'en tant que de besoin.
Comme précédemment, le système 2", dans sa globalité comprend des terminaux mobiles, dont un seul, 20 sous le contrôle de l'utilisateur U,, a été illustré. Ce terminal mobile 20 est connecté au tronçon de réseau sans fil RTT, puis via la passerelle 21 au réseau terrestre public RT au réseau Internet RI. Un serveur, par exemple du type 3 de la figure 3, hébergeant au moins une application marchande par exemple l'application 36a, en technologie "WAP", est connecté au réseau Internet via le réseau Intranet it et le serveur d'accès 22. On a également représenté un terminal "WEB" 24 connecté au réseau intranet it. Ce terminal est similaire à la station 24 de la figure 2.
On n'a pas représenté les piles protocolaires d'adressage et "IPSec" (voir figure 7) permettant d'attribuer des adresses "IPV6" et d'effectuer les opérations nécessitées par le protocole "IPSec".
L'architecture qui vient d'être décrite permet d'établir un lien logique<I>Ils</I> entre l'utilisateur U, et l'application marchande "WAP" 36a, sécurisé de bout en bout, ce malgré le fait qu'il emprunte un segment de réseau sans fil.
A la lecture de ce qui précède, on constate aisément que l'invention atteint bien les buts qu'elle s'est fixés. II doit être clair cependant que l'invention n'est limitée aux seuls exemples de réalisations explicitement décrits, notamment relation avec les figures 2 à 9.
Les applications de l'invention ne se limitent pas non plus au seul domaine "commerce électronique sécurisé". Elles couvrent également des applications bancaires, médicales, et de façon plus générale toute application mettant en oeuvre des communications transitant par un réseau de type Internet, notamment dont un segment au moins est constitué par un réseau de transmissions sans fil.

Claims (1)

<U>REVENDICATIONS</U> 1. Procedé de communication sécurisé entre des première et seconde entités interconnectées via un réseau de type Internet, lesdites entités étant associées à des premier et second systèmes de traitement informatique de données parmi un ensemble de systèmes distribués connectés au dit réseau de type Internet, caractérisé en ce que lesdites première et seconde entités sont constituées par une pièce de logicielle (36a-36b, 37a 37b) hébergée dans desdits systèmes (3, 3') connectés audit réseau de type Internet (RI, R) et/ou un utilisateur (U,) desdits systèmes connectés (4, en ce que ledit premier système (4, 20) fonctionne en mode dit client it second système (3, 3') fonctionne en mode dit serveur, en ce qu'il comprend une étape d'attribution, sur ledit ensemble de systèmes, d'une adresse permanente de type Internet, du type dit "1P", à chacune desdites entités interconnectées (U,, 36a-36b, 37a-37d), en ce qu'il est implanté dans ledit second système formant serveur (3, 3') au moins une pièce de logiciel formant serveur (30, 31) et offrant les services d'au moins application (36a-<I>,</I> 37a-37d) <I>à</I> ladite première entité (U,), et en ce est implanté dans lesdits premier (4, 20) et second (3, 3') systèmes pile protocolaire de communication comportant au moins une couche (45, 391) pour l'exécution d'une étape de chiffrement, en mode bout en bout, conforme à un protocole de sécurisation déterminé, de données échangées entre lesdites entités interconnectées (U,, 36a-36b, 37a-37d). 2. Procedé selon la revendication 1, caractérisé en ce que lesdites adresses permanentes "1P" attribuées aux dites entités interconnectées (U,, 36a-36b, 37a-37d) sont conformes au protocole d'adressage de type Internet "IPV6". 3. Procédé selon la revendication 2, caractérisé en ce que lesdites communications sur ledit réseau de type Internet (RI, R) s'effectuant selon le protocole d'adressage de type Internet "IPV4", il comprend l'implantation dans lesdits premier (4, 20) et second (3, 3') systèmes d'une couche protocolaire 392) permettant de dériver des adresses "IPV4", compatibles avec ledit protocole "IPV6", par l'exécution d'une étape de conversion d'adresses conforme au protocole dit "6-to-4". 4. Procédé selon la revendication 1, caractérisé en ce que ladite étape de chiffrement est effectuée conformément au protocole dit "IPSec", utilisé avec mécanisme dit "EPS" d'authentification de sources d'information, en mode dit "tunnel", de manière à obtenir des échanges de données sécurisées entre lesdites entités interconnectées (U,, 36a-36b, 37a-37d). 5. Procédé selon la revendication 4, caractérisé en ce que, ladite première entité étant un utilisateur (U,) dudit premier système (4, il comprend une étape d'authentification dudit utilisateur (U,) et en ce ladite adresse IF est utilisée comme donnée d'identification de cet utilisateur (U,). 6. Procédé selon la revendication 5, caractérisé ce que lesdites communications s'effectuant en mode paquets de données lesdites données d'identification d'utilisateur (U,) sont présentes, sous forme chiffrée conforme au dit protocole "IPSec", dans chacun desdits paquets de données. 7. Procédé selon la revendication 1, caractérisé en ce ledit premier système (4, 20) est connecté à un segment de transmissions sans fil (RTT), en ce que les communications entre ce premier système constituant un système client (4, 20) et ledit second système constituant un système serveur (3, 3') s'effectuent selon le protocole dit "WAP", et en ce qu'il comprend l'implantation dans ledit second système (3, 3') d'au moins une pièce de logiciel constituant un serveur "WAP" (30) et un deuxième pièce de logiciel (32) formant une interface unifiée entre ledit serveur "WAP" (30) et au moins une application (36a-36b, 37a-37d) offrant ses services à ladite première entité (Ui), de manière à ce que ledit serveur "WAP" (30) soit intégré en tant que serveur "WEB" dans ledit système serveur (3, 3'). 8. Procédé selon la revendication 7, caractérisé en ce qu'il comprend l'implantation dans ledit second système (3, 3') d'un module supplémentaire (35) d'adaptation bilatérale d'interface de structures permettant de supporter des interfaces applicatives (33) utilisées par les serveurs type "WEB". 9. Procédé selon la revendication 7, caractérisé en qu'il comprend l'implantation dans ledit premier système (4, 20) d'une pièce de logiciel constituant un client et en ce que cette pièce de logiciel est un navigateur de type "WAP". 10. Procédé selon la revendication 1, caractérisé en ce que ledit premier système étant un système mobile (25), il comprend l'attribution au dit premier système (25) d'une adresse temporaire, en ce qu'il comprend une étape de dialogue entre ledit premier système (25) et un organe d'un type dit "home agent" (23), connecté au dit réseau de type Internet (it), permettant de corréler à chaque instant ladite adresse permanente, attribuée à ladite première entité (U3), avec ladite adresse temporaire, selon un protocole dit "mobile IPV6 protocol". 11. Architecture de système de communication sécurisé entre des première et seconde entités interconnectées via un réseau de type Internet, lesdites entités étant associées à des premier et second systèmes de traitement informatique de données parmi un ensemble de systèmes distribués connectés au dit réseau de type Internet, caractérisée en ce que le dit premier système (4, 20) est un système fonctionnant en mode dit client et ledit second système (3, 3') un système fonctionnant en mode dit serveur, en ce que lesdites première et seconde entités sont des pièces de logicielles (36a-36b, 37a-37d) hébergées dans lesdits premier (4, et second (3, 3') systèmes et/ou un utilisateur (U,) desdits systèmes connectés, en ce lesdites entités (Ul, 36a-36b, 37a-37d) sont associées à des adresses permanentes de type Internet, du type dit "1P", en ce que ledit second système (3, 3') formant serveur comprend au moins une pièce de logiciel (31) formant serveur (30, 31) et offrant les services d'au moins une application (36a-36b, 37a-37d) à ladite première entité (U,), et en ce que lesdits premier (4, 20) et second (3, 3') systèmes comprennent une pile protocolaire communication comportant au moins une couche d'adressage (44, 390) selon ladite adresse "1P" permanente et une couche logique (45, 391) pour l'exécution d'une étape de chiffrement, en mode bout en bout, conforme à un protocole de sécurisation déterminé, de données échangées entre lesdites entités interconnectées (U,, 36a-36b, 37a-37d).
1 Architecture selon la revendication 11, caractérisee en ce que ladite couche d'adressage (44, 390) est conforme au protocole "IPV6". 1 Architecture selon la revendication 12, caractérisée ce que ledit réseau type Internet (R) véhiculant des paquets de données conforme au protocole "IPV4", lesdites piles protocolaires desdits premier (4, 20) et second (3, 3') systèmes comprennent chacune une première couche d'adressage (44, 390) selon ladite adresse "1P" au protocole "IPV6" et une seconde couche (46, 392) d'adressage au protocole "IPV4" dont vont être derivées des adresses compatibles "IPV6" de manière à obtenir des echanges en mode dit "tunnel" ; lesdites couches logiques (45, 391) exécutant une étape de chiffrement (45, 37) en faveur desdits paquets de données échangés entre lesdites entités interconnectées (U,, 36a-36b, 37a- 37d). 14 Architecture selon la revendication 11, caractérisée en ce que lesdites couches logiques (45, 391) pour l'exécution d'une étape de chiffrement sont conformes au protocole dit "IPSec", utilisé avec le mécanisme dit "EPS" d'identification de sources d'information, en mode dit "tunnel", de manière à obtenir des échanges de données sécurisées entre lesdites entités interconnectées (U,, 36a-36b, 37a-37d), 15. Architecture selon la revendication 11, caractérisée en ce que ledit premier système (4, 20) est connecté à un segment de transmissions sans fil (RTT); ce que les communications entre ce premier système (4, 20), constituant un système client, et ledit second système (3, 3'), constituant un système serveur, s'effectuent selon le protocole dit "WAP", et en ce que ledit second système (3, 3') comprend au moins un premier module constituant un serveur "WAP" (30) et un deuxième module (32) formant une interface unifiée entre ledit serveur "WAP" (30) et au moins une application (36a-36b, 37a-37d) offrant ses services à ladite premi' entité (U,), de manière à ce que ledit serveur "WAP" (30) soit intégré en tant que serveur "WEB" dans ledit système serveur (3, 3'). 16. Architecture selon la revendication , caractérisée en ce que ledit second système (3, 3') comprend au moins module supplémentaire (38a-38b) de conversion bilatérale de paquets de données de structures conformes aux dits protocoles "WEB" ou "WAP". 17. Architecture selon la revendication 15, caractérisé en ce que ledit premier système est un terminal de téléphonie mobile (20, 4) à la norme dite "GSM", en ce qu'il comprend un navigateur de type WAP constituant un client, et en ce qu'il comprend un écran de visualisation pour l'affichage de pages en langage du type dit "WMI_". 18. Architecture selon la revendication 15, caractérisé en ce que ledit premier système est un terminal de téléphonie mobile à la norme dite "GPRS" et en ce qu'il comprend un navigateur de type Internet constituant un client, et en ce qu'il comprend un écran de visualisation pour l'affichage de pages en langage du type dit "WML".
FR0006693A 2000-05-25 2000-05-25 Procede et architecture de systeme de communication securise entre deux entites connectees a un reseau de type internet, comprenant un segment de transmissions sans fil Expired - Lifetime FR2809560B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US10/048,057 US7275262B1 (en) 2000-05-25 2000-05-22 Method and system architecture for secure communication between two entities connected to an internet network comprising a wireless transmission segment
FR0006693A FR2809560B1 (fr) 2000-05-25 2000-05-25 Procede et architecture de systeme de communication securise entre deux entites connectees a un reseau de type internet, comprenant un segment de transmissions sans fil

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0006693A FR2809560B1 (fr) 2000-05-25 2000-05-25 Procede et architecture de systeme de communication securise entre deux entites connectees a un reseau de type internet, comprenant un segment de transmissions sans fil

Publications (2)

Publication Number Publication Date
FR2809560A1 true FR2809560A1 (fr) 2001-11-30
FR2809560B1 FR2809560B1 (fr) 2002-10-11

Family

ID=8850608

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0006693A Expired - Lifetime FR2809560B1 (fr) 2000-05-25 2000-05-25 Procede et architecture de systeme de communication securise entre deux entites connectees a un reseau de type internet, comprenant un segment de transmissions sans fil

Country Status (2)

Country Link
US (1) US7275262B1 (fr)
FR (1) FR2809560B1 (fr)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20001837A (fi) * 2000-08-18 2002-02-19 Nokia Corp Autentikointi
WO2002017587A2 (fr) * 2000-08-25 2002-02-28 Research In Motion Limited Systeme et procede de mise en oeuvre d'un protocole de securite renforcee de la couche transport
SE0004338L (sv) * 2000-11-24 2002-05-25 Columbitech Ab Datanätbaserat system
US8160079B1 (en) * 2003-03-10 2012-04-17 Avaya Inc. Local communication agent
US7440466B2 (en) * 2003-08-05 2008-10-21 Intel Corporation Method, apparatus and system for accessing multiple nodes on a private network
EP1839424A1 (fr) * 2005-01-07 2007-10-03 Alcatel Lucent Procede et appareil assurant la continuite d'une session securisee a faible latence entre des noeuds mobiles
US8621641B2 (en) * 2008-02-29 2013-12-31 Vicki L. James Systems and methods for authorization of information access

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6278697B1 (en) * 1997-07-29 2001-08-21 Nortel Networks Limited Method and apparatus for processing multi-protocol communications
US6862622B2 (en) * 1998-07-10 2005-03-01 Van Drebbel Mariner Llc Transmission control protocol/internet protocol (TCP/IP) packet-centric wireless point to multi-point (PTMP) transmission system architecture
US7882247B2 (en) * 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US6356529B1 (en) * 1999-08-12 2002-03-12 Converse, Ltd. System and method for rapid wireless application protocol translation
US6708219B1 (en) * 1999-10-26 2004-03-16 3Com Corporation Method and system for dual-network address utilization
US6675219B1 (en) * 1999-11-01 2004-01-06 Nokia Corporation Technique for improving throughput of a gateway interface
US6763247B1 (en) * 1999-12-01 2004-07-13 Telefonaktiebolaget Lm Ericsson (Publ) Portable telecommunication apparatus for controlling an electronic utility device
US6901067B1 (en) * 2000-02-04 2005-05-31 Lucent Technologies Inc. Method and device for generating a PCM signal stream from a streaming packet source
US20020023209A1 (en) * 2000-02-14 2002-02-21 Lateca Computer Inc. N.V.United Encryption and decryption of digital messages in packet transmitting networks
US7421278B2 (en) * 2000-03-13 2008-09-02 Intellions, Inc. Method and apparatus for time-aware and location-aware marketing
US6336137B1 (en) * 2000-03-31 2002-01-01 Siebel Systems, Inc. Web client-server system and method for incompatible page markup and presentation languages
US6850766B2 (en) * 2000-04-26 2005-02-01 Wirenix, Inc. Voice activated wireless locator service
WO2001091401A2 (fr) * 2000-05-19 2001-11-29 Ztango, Inc. Systeme de prestation de services bases sur le protocole d'application sans fil (wap)
KR100644595B1 (ko) * 2000-06-26 2006-11-10 삼성전자주식회사 인터넷을 통한 무선 응용 프로토콜 서비스 제공 시스템 및방법
GB2366692B (en) * 2000-08-31 2002-08-14 F Secure Oyj Virus protection in an internet environment
US20020075844A1 (en) * 2000-12-15 2002-06-20 Hagen W. Alexander Integrating public and private network resources for optimized broadband wireless access and method
US6487401B2 (en) * 2000-12-18 2002-11-26 Sbc Technology Resources, Inc. Prepaid wireless telephone account regeneration in a wireless access protocol system
US7290286B2 (en) * 2001-05-10 2007-10-30 Nortel Networks Limited Content provider secure and tracable portal
US7245611B2 (en) * 2002-02-27 2007-07-17 J2 Global Communications Method and process for signaling, communication and administration of networked objects

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"WAP-195-WAEOverview;version 29-03-2000", ., 29 March 2000 (2000-03-29), XP002155622 *
STALLINGS W: "IPV6: THE NEW INTERNET PROTOCOL", IEEE COMMUNICATIONS MAGAZINE,IEEE SERVICE CENTER. PISCATAWAY, N.J,US, vol. 34, no. 7, 1 July 1996 (1996-07-01), pages 96 - 108, XP000623747, ISSN: 0163-6804 *
W.STALLINGS: "CRYPTOGRAPHY AND NETWORK SECURITY, PRINCIPLES AND PRACTICE, 2ND EDITION.", 1999, PRENTICE-HALL, US, XP002167283 *

Also Published As

Publication number Publication date
US7275262B1 (en) 2007-09-25
FR2809560B1 (fr) 2002-10-11

Similar Documents

Publication Publication Date Title
EP1142256B1 (fr) Terminal securise muni d&#39;un lecteur de carte a puce destine a communiquer avec un serveur via un reseau de type internet
EP1678899B1 (fr) Procede et dispositif d acces a un terminal serveur mobile d un premier reseau de communication au moyen d un termi nal client d un autre reseau de communication
EP1044436B1 (fr) Procede de communication entre une station d&#39;utilisateur et un reseau, notamment du type internet, et architecture de mise en oeuvre
CA2393089C (fr) Procede d&#39;adressage d&#39;un terminal mobile
EP1208684B1 (fr) Procede de transmission de flux de donnees a haut debit sur un reseau de type internet entre un serveur et un terminal a carte a puce
EP1169837B1 (fr) Procede de gestion de transmissions de donnees multimedias via internet et carte a puce pour la mise en oeuvre du procede
FR2853187A1 (fr) Systeme permettant a toute application reseau de fonctionner de facon transparente a travers un dispositif de traduction d&#39;adresse de reseau
FR2923969A1 (fr) Procede de gestion de trames dans un reseau global de communication, produit programme d&#39;ordinateur, moyen de stockage et tete de tunnel correspondants
EP0965211B1 (fr) Procede de communication dans un ensemble de systemes distribues via un reseau du type internet
FR2809560A1 (fr) Procede et architecture de systeme de communication securise entre deux entites connectees a un reseau de type internet, comprenant un segment de transmissions sans fil
WO1997005727A1 (fr) Dispositif, procede et routeur d&#39;interconnexion de reseaux
EP1432213B1 (fr) Plate-forme de médiation et réseau de transport de messages
WO2023083772A1 (fr) Procédés de contrôle et de transmission, et entités configurées pour mettre en œuvre ces procédés
WO2015181484A1 (fr) Technique d&#39;obtention d&#39;une politique de routage de requêtes émises par un module logiciel s&#39;exécutant sur un dispositif client
WO2023247459A1 (fr) Procédé de suspension d&#39;un jeton de certification permettant d&#39;authentifier l&#39;établissement d&#39;une connexion entre deux équipements de communication, dispositifs et programmes d&#39;ordinateur correspondants
EP4449678A1 (fr) Mécanismes de communication avec un service accessible via un réseau de télécommunication prenant en compte la mobilité des services, des utilisateurs et des équipements
WO2024156613A1 (fr) Procédé de révocation d&#39;un jeton de certification permettant d&#39;authentifier l&#39;établissement d&#39;une connexion entre deux équipements de communication, dispositifs et programmes d&#39;ordinateur correspondants
EP3070911A1 (fr) Procédé de contrôle d&#39;accès à un réseau privé
FR2901083A1 (fr) Une methode de mise en place des reseaux prives virtuels et de control d&#39;acces distant
FR2867004A1 (fr) Procede, systeme et dispositif de temporisation d&#39;un flux de paquets de donnees

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 17

PLFP Fee payment

Year of fee payment: 18

PLFP Fee payment

Year of fee payment: 19

PLFP Fee payment

Year of fee payment: 20