TITRE : Procédé de gestion d'une demande d'accès à un réseau de communication local, procédé de traitement d'une demande d'accès à un réseau de communication local, procédé de demande d'accès à un réseau de communication local, dispositifs, plateforme de gestion, passerelle, terminal utilisateur, système et programmes d'ordinateur correspondants.

Domaine technique de l'invention

Le domaine de l'invention est celui d'un réseau de communication local, domestique ou professionnel, géré par une passerelle, auxquels sont connectés des équipements utilisateurs, la passerelle et les équipements étant configurés pour être mis en veille en cas de non utilisation.

En particulier, l'invention concerne un accès distant d'un utilisateur à ce réseau local et le réveil de la passerelle et d'équipements de ce réseau, lorsque l'utilisateur est autorisé à y accéder.

Art antérieur

Si l'internet des objets tend à impacter tous les aspects de la vie quotidienne et professionnelle, le citoyen est de plus en plus soucieux de l'avenir de la planète. Ce souci l'amène à diminuer le gaspillage des ressources énergétiques.

Dans la maison ou l'entreprise connectée, la baisse de la consommation énergétique passe par l'arrêt ou la mise en veille des équipements non utilisés ou au moins certains de leurs composants, applications ou interfaces. C'est le cas par exemple quand les habitants d'une maison s'absentent pour une période de vacances. Aujourd'hui, on sait arrêter et redémarrer à distance un groupe d'équipements à l'aide d'une prise électrique commune dotée d'une interface de commande 3G/4G. Néanmoins, il reste difficile d'obtenir par ce biais une gestion et une utilisation flexibles de ces équipements. En tout état de cause, cette gestion ne peut pas être automatisée.

Pour permettre à des équipements de rester en veille, mais d'être réveillés à tout moment, que ce soit à la demande d'un utilisateur ou automatiquement, on connaît aussi, sur les réseaux Ethernet, l'envoi d'un paquet de réveil à l'adresse IP de la passerelle qui gère le réseau de communication local, ce paquet mentionnant l'adresse MAC de l'équipement à réveiller.

Or, cette solution, bien que séduisante, pose un réel problème de sécurité et l'absence des habitants de la maison ou des membres des locaux de la société laisse toute latitude à des pirates informatiques pour essayer de réveiller les équipements connectés au réseau de communication local et les interfaces de communication du réseau local pour y accéder à distance, par force brute ou par déni de service. On comprend que, faute de solution sûre pour réveiller à distance leurs équipements lorsqu'ils en ont besoin, les utilisateurs n'ont pas d'autre choix que de laisser leur installation en marche pendant leur absence ou de renoncer à tout accès distant, évitant ainsi un gaspillage énergétique.

L'invention vient améliorer la situation.

Présentation de l'invention

L'invention répond à ce besoin en proposant un procédé de gestion d'une demande d'accès à un service opéré par un réseau de communication local géré par une passerelle d'accès à un réseau de communication distant.

Ledit procédé est mis en oeuvre par une plateforme de gestion connectée au réseau distant et comprend :

- la réception de ladite demande d'accès au réseau de communication local en provenance d'un terminal utilisateur connecté au réseau de communication distant, ladite demande comprenant au moins un identifiant de l'utilisateur;

- la vérification que l'utilisateur est autorisé à accéder audit réseau à partir dudit identifiant, de l'utilisateur et de droits d'accès stockés en mémoire; et

- si l'utilisateur est autorisé à accéder au réseau demandé, l'émission d'un message de réveil à destination de la passerelle ; l'émission à destination du terminal utilisateur d'une réponse comprenant au moins un identifiant de ladite passerelle.

L'invention propose une approche tout-à-fait nouvelle et inventive pour résoudre le problème de l'accès distant d'un terminal utilisateur à un réseau de communication local. Cette approche consiste à déléguer la tâche d'autoriser ou d'interdire l'accès au réseau demandé par l'utilisateur à une plateforme gérée par l'opérateur du réseau distant. Celle-ci a donc la responsabilité de vérifier en amont que l'utilisateur qui demande à accéder au réseau local est bien autorisé à le faire, avant de réveiller effectivement la passerelle, lorsque la passerelle qui gère ce réseau est dans un état de veille. Lorsque la passerelle est active, le message de réveil est simplement traité comme une demande d'accès au réseau local contrôlée par la plateforme de gestion.

De la sorte, l'opérateur du réseau distant contrôle et sécurise l'accès au réseau de communication local d'un utilisateur.

En outre, l'accès à distance d'un service opéré par le réseau local est facilité pour l'utilisateur qui s'adresse toujours au même interlocuteur, la plateforme, et n'a pas à mémoriser les informations d'identification de la passerelle.

Par exemple, l'utilisateur est abonné à un service de gestion des accès à distance au réseau de communication local géré par sa passerelle domestique. Il y accède via une application installée sur son terminal, une application web ou encore une page web, dont l'interface homme/machine lui permet de formuler sa demande d'accès.

Ainsi, l'invention permet à l'utilisateur de concilier confort d'utilisation, économie énergétique et sécurité informatique.

Selon un aspect de l'invention, le procédé comprend l'émission à destination du terminal utilisateur d'une demande de sélection d'un réseau local et l'émission du message de réveil est déclenchée, sur réception d'une réponse comprenant l'identifiant du réseau de communication local sélectionné, à destination de la passerelle qui gère le réseau de communication local sélectionné.

Lorsque l'interface homme/machine disponible sur le terminal utilisateur pour communiquer avec la plateforme de gestion est simple et ne permet pas à l'utilisateur de choisir le réseau local auquel il souhaite accéder ou bien lorsque l'utilisateur demande à accéder à un réseau local pour lequel il ne dispose pas d'autorisation d'accès, c'est la plateforme qui propose avantageusement ce choix à l'utilisateur.

Lorsque l'interface homme/machine du terminal utilisateur est plus élaborée et propose à l'utilisateur de sélectionner un réseau local parmi une pluralité de réseaux locaux autorisés, alors la demande d'accès comprend en outre l'identifiant du réseau local sélectionné et la vérification d'une autorisation des droits de l'utilisateur consiste, au niveau de la plateforme de gestion à rechercher cet identifiant de réseau local dans les droits d'accès associés à l'identifiant de l'utilisateur.

Selon un autre aspect de l'invention, le procédé comprend, suite à l'émission du message de réveil, la réception d'une validation d'une autorisation d'accès au service en provenance de la passerelle et la réponse est transmise au terminal utilisateur, suite à ladite réception.

Avec l'invention, le filtrage réalisé en amont est plus strict. De la sorte, la passerelle ne reçoit des requêtes de connexion que des terminaux utilisateurs pour lesquels elle a validé l'autorisation accordée par la plateforme.

Selon encore un autre aspect de l'invention, la validation d'une autorisation d'accès reçue de la passerelle comprend un jeton d'autorisation d'accès et la réponse transmise au terminal utilisateur comprend ledit jeton.

Le jeton d'autorisation d'accès du fait qu'il a été validé par la passerelle en réponse à la demande de validation de la plateforme, constitue un lien de corrélation entre l'autorisation d'accès qu'elle a accordé à la plateforme de gestion et la requête de connexion à son réseau qu'elle reçoit ensuite du terminal utilisateur. Un avantage est de faciliter le contrôle des requêtes de connexion au niveau de la passerelle.

Avantageusement, c'est la passerelle qui génère ce jeton d'autorisation. Selon une variante, le jeton d'autorisation est généré par la plateforme et transmis à la passerelle dans une demande de validation d'une autorisation d'accès de l'utilisateur. La passerelle le réinsère dans la réponse de validation. Un avantage de cette variante est que la plateforme d'une part dispose d'une capacité CPU généralement supérieure à celle de la passerelle et d'autre part qu'elle est légitime à prendre en charge cette génération du fait qu'elle est la garante de la sécurité de l'accès à la passerelle.

Selon encore une autre variante, le jeton d'autorisation d'accès est généré par le terminal utilisateur qui le transmet à la plateforme de gestion dans sa demande d'accès au réseau local.

L'invention concerne également un produit programme d’ordinateur comprenant des instructions de code de programme pour la mise en oeuvre d'un procédé de gestion selon l'invention, tel que décrit précédemment, lorsqu'il est exécuté par un processeur.

L'invention vise également un support d'enregistrement lisible par un ordinateur sur lequel sont enregistrés les programmes d'ordinateur tels que décrits ci-dessus.

Un tel support d’enregistrement peut être n’importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu’une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d’enregistrement magnétique, par exemple une clé USB ou un disque dur.

D’autre part, un tel support d’enregistrement peut être un support transmissible tel qu’un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d’autres moyens, de sorte que le programme d'ordinateur qu'il contient est exécutable à distance. Le programme selon l’invention peut être en particulier téléchargés sur un réseau par exemple le réseau Internet.

Alternativement, le support d’enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l’exécution du procédé de gestion précité.

L'invention concerne aussi un dispositif de gestion d'une demande d'accès à distance à un réseau de communication local géré par une passerelle d'accès à un réseau de communication distant. Ledit dispositif est configuré pour mettre en oeuvre au niveau d'une plateforme de gestion connectée au réseau distant :

- la réception de ladite demande d'accès au réseau de communication local en provenance d'un terminal utilisateur connecté au réseau de communication distant, ladite demande comprenant au moins un identifiant de l'utilisateur;

- la vérification d'une autorisation de l'utilisateur à accéder audit réseau à partir dudit identifiant de l'utilisateur et de droits d'accès stockés en mémoire; et

- si l'utilisateur est autorisé à accéder au réseau demandé, l'émission d'un message de réveil à destination de la passerelle ; l'émission à destination du terminal utilisateur d'une réponse comprenant au moins un identifiant de ladite passerelle. Avantageusement, ledit dispositif est configuré pour mettre en oeuvre le procédé de gestion d'une demande d'accès précité, selon ses différents modes de réalisation.

Avantageusement, ledit dispositif est intégré dans une plateforme de gestion, ladite plateforme étant connectée au réseau de communications distant.

La plateforme de gestion, le dispositif de gestion et le programme d’ordinateur correspondants précités présentent au moins les mêmes avantages que ceux conférés par le procédé de gestion précité selon les différents modes de réalisation de la présente invention.

Corrélativement, l'invention concerne aussi un procédé de traitement d'une demande d'accès à distance à un réseau de communication local géré par une passerelle d'accès à un réseau distant. Un tel procédé est mis en oeuvre par ladite passerelle et comprend :

- la réception d'un message de réveil en provenance d'une plateforme de gestion connectée au réseau distant, ladite plateforme étant configurée pour recevoir une demande d'accès à un réseau de communication local en provenance d'un terminal utilisateur connecté au réseau distant et à vérifier une autorisation dudit terminal à accéder audit réseau;

- lorsque la passerelle est dans un état de veille, déclenchement d'un réveil de la passerelle, et

- sur réception d'une demande de validation d'une autorisation d'accès de l'utilisateur au réseau local en provenance de la plateforme de gestion, transmission d'une réponse de validation de l'autorisation d'accès de l'utilisateur au réseau local à ladite plateforme de gestion ; et

- sur réception d'une demande de connexion du terminal utilisateur, connexion du terminal utilisateur au réseau local.

Avec l'invention, l'interface WAN de la passerelle qui gère le réseau local ne traite que les messages de réveil émanant de la plateforme de gestion mise en place par l'opérateur du réseau distant. Comme cette plateforme a déjà filtré en amont les demandes d'accès, elle n'a qu'à valider les autorisations soumises par la plateforme.

Selon un aspect de l'invention, ledit procédé comprend l'obtention d'un jeton d'autorisation de connexion et la réponse de validation de l'autorisation d'accès comprend ledit jeton.

Pour les demandes d'accès qu'elle valide, la passerelle obtient un jeton d'autorisation d'accès qu'elle transmet à la plateforme de gestion. Ce jeton est destiné à être inséré par le terminal utilisateur dans sa requête de connexion car il permet à la passerelle d'établir facilement un lien de corrélation entre l'autorisation qu'elle a validée sur demande de la plateforme. Elle obtient ce jeton soit en le générant elle-même, soit elle le reçoit de la plateforme dans sa demande de validation.

Selon un autre aspect de l'invention, le procédé comprend l'obtention de contraintes de réveil comprenant des périodes temporelles autorisées et des périodes temporelles interdites et la vérification que le réveil de la passerelle est autorisé dans la période temporelle courante. Un avantage est de permettre à l'administrateur du réseau local de définir des périodes temporelles où le réveil à distance du réseau local est interdit.

L'invention concerne également un produit programme d’ordinateur comprenant des instructions de code de programme pour la mise en oeuvre d'un procédé de traitement selon l'invention, tel que décrit précédemment, lorsqu'il est exécuté par un processeur.

L'invention vise également un support d'enregistrement lisible par un ordinateur sur lequel sont enregistrés les programmes d'ordinateur tels que décrits ci-dessus.

Un tel support d’enregistrement peut être n’importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu’une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d’enregistrement magnétique, par exemple une clé USB ou un disque dur.

D’autre part, un tel support d’enregistrement peut être un support transmissible tel qu’un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d’autres moyens, de sorte que le programme d'ordinateur qu'il contient est exécutable à distance. Le programme selon l’invention peut être en particulier téléchargés sur un réseau par exemple le réseau Internet.

Alternativement, le support d’enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l’exécution du procédé de traitement précité.

L'invention concerne aussi un dispositif de traitement d'une demande d'accès à distance à un réseau de communication local géré par une passerelle d'accès à un réseau distant.

Un tel dispositif est configuré pour mettre en oeuvre au niveau de ladite passerelle :

- la réception d'un message de réveil en provenance d'une plateforme de gestion connectée au réseau distant, ladite plateforme étant configurée pour recevoir une demande d'accès à un service opéré par ledit réseau de communication local en provenance d'un terminal utilisateur connecté au réseau distant et à vérifier une autorisation dudit terminal à accéder audit service;

- lorsque la passerelle est dans un état de veille, déclenchement d'un réveil de la passerelle, et

- sur réception des droits d'accès de l'utilisateur au service en provenance de la plateforme de gestion, validation de l'autorisation d'accès du terminal utilisateur au service et transmission d'une réponse de validation à ladite plateforme de gestion ; et

- sur réception d'une demande de connexion du terminal utilisateur comprenant au moins l'identifiant de la passerelle, connexion du terminal utilisateur au réseau local.

Avantageusement, ledit dispositif est configuré pour mettre en oeuvre le procédé de traitement d'une demande d'accès précité, selon ses différents modes de réalisation. Avantageusement, ledit dispositif est intégré dans une passerelle d'accès à un réseau de communication distant, configurée pour gérer un réseau de communication local.

La passerelle, le dispositif de traitement et le programme d’ordinateur correspondants précités présentent au moins les mêmes avantages que ceux conférés par le procédé de traitement précité selon les différents modes de réalisation de la présente invention.

Corrélativement, l'invention concerne également un procédé de demande d'accès à distance à un réseau de communication local géré par une passerelle d'accès à un réseau de communication distant par un terminal utilisateur connecté au réseau distant.

Ledit procédé est mis en oeuvre par le terminal utilisateur et comprend :

- l'émission d'une demande d'accès à un réseau de communication local à destination d'une plateforme de gestion connectée au réseau distant, ladite demande comprenant au moins un identifiant de l'utilisateur ;

- la réception d'une réponse en provenance de ladite plateforme comprenant au moins un identifiant de ladite passerelle ;

- l'émission d'une requête de connexion à destination de ladite adresse IP.

Avec l'invention, le terminal utilisateur n'a qu'à connaître l'adresse de la plateforme de gestion et disposer de droits d'accès au réseau local stockés dans cette plateforme pour pouvoir accéder au réseau local.

Selon un aspect de l'invention, la réponse comprend en outre un jeton d'autorisation d'accès au réseau et la requête de connexion comprend ledit jeton.

Ce jeton constitue un lien de corrélation entre la validation d'autorisation d'accès demandée par la plateforme et accordée par la passerelle et la requête de connexion à la passerelle émise par le terminal utilisateur. Il facilite et sécurise le contrôle des requêtes de connexion reçues par la passerelle. Ce jeton peut être généré par la passerelle ou par la plateforme de gestion ou encore par le terminal. Le cas échéant, il le transmet à la plateforme via sa demande d'accès au réseau local. Selon un autre aspect de l'invention, le procédé comprend en outre une sélection d'un réseau local parmi une pluralité de réseaux locaux autorisés, sur réception d'une demande de sélection reçue de la plateforme de gestion ou du terminal utilisateur.

Un avantage est de permettre à l'utilisateur de choisir facilement un réseau local sans avoir à mémoriser l'identifiant de la passerelle qui le gère. Cette sélection peut lui être proposée quand il ne précise pas à quel réseau local il souhaite accéder ou lorsque sa demande d'accès comprend un identifiant de réseau local auquel il n'est pas autorisé à accéder.

Selon un premier exemple, l'interface homme/machine disponible sur le terminal est simple et permet seulement une connexion à la plateforme de gestion. Dans ce cas, c'est la plateforme qui demande à l'utilisateur de sélectionner un réseau et/ou un équipement et/ou un service parmi ceux auxquels il est autorisé.

Selon un deuxième exemple, l'interface homme/machine disponible depuis le terminal utilisateur permet à l'utilisateur de sélectionner localement le réseau auquel il souhaite accéder. Par exemple, un menu est proposé à l'utilisateur. Dans ce cas, la demande d'accès émise par le terminal comprend l'identifiant du réseau demandé.

L'invention concerne également un produit programme d’ordinateur comprenant des instructions de code de programme pour la mise en oeuvre d'un procédé de demande d'accès à un réseau local selon l'invention, tel que décrit précédemment, lorsqu'il est exécuté par un processeur.

L'invention vise également un support d'enregistrement lisible par un ordinateur sur lequel sont enregistrés les programmes d'ordinateur tels que décrits ci-dessus.

Un tel support d’enregistrement peut être n’importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu’une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d’enregistrement magnétique, par exemple une clé USB ou un disque dur.

D’autre part, un tel support d’enregistrement peut être un support transmissible tel qu’un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d’autres moyens, de sorte que le programme d'ordinateur qu'il contient est exécutable à distance. Le programme selon l’invention peut être en particulier téléchargés sur un réseau par exemple le réseau Internet.

Alternativement, le support d’enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l’exécution du procédé de demande d'accès précité.

L'invention concerne aussi un dispositif de demande d'accès à distance à un réseau de communication local géré par une passerelle d'accès à un réseau de communication distant par un terminal utilisateur connecté au réseau distant.

Ledit dispositif est configuré pour mettre en oeuvre au niveau du terminal utilisateur:

- l'émission d'une demande d'accès à un réseau de communication local à destination d'une plateforme de gestion connectée au réseau distant, ladite demande comprenant au moins un identifiant de l'utilisateur ;

- la réception d'une réponse en provenance de ladite plateforme comprenant au moins un identifiant de ladite passerelle; et

- l'émission d'une requête de connexion à destination de ladite passerelle à l'aide dudit identifiant. Avantageusement, ledit dispositif est configuré pour mettre en oeuvre le procédé de demande d'accès précité, selon ses différents modes de réalisation. Avantageusement, ledit dispositif est intégré dans un terminal utilisateur connecté au réseau distant. Le terminal, le dispositif de demande d'accès et le programme d’ordinateur correspondants précités présentent au moins les mêmes avantages que ceux conférés par le procédé de demande d'accès précité selon les différents modes de réalisation de la présente invention.

L'invention concerne enfin un système de gestion d'un accès à distance à un réseau de communication local géré par une passerelle d'accès à un réseau distant.

Ledit système comprend la passerelle, la plateforme de gestion et le terminal utilisateur précités.

Brève description des figures

D’autres buts, caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante, donnée à titre de simple exemple illustratif, et non limitatif, en relation avec les figures, parmi lesquelles :

[Fig 1] : présente un exemple d'architecture d'un système de gestion d'un accès distant à un réseau de communications local selon l'invention ;

[Fig 2] : illustre de façon schématique des exemples d'architecture d'une plateforme de gestion intégrant un dispositif de gestion d'une demande d'accès distante à un service selon un mode de réalisation de l'invention, d'une passerelle d'accès au réseau distant configurée pour gérer le réseau local et d'un terminal utilisateur demandeur de l'accès distant selon un mode de réalisation de l'invention ;

[Fig 3] : décrit sous forme d'un logigramme les étapes d'un procédé de gestion d'une demande d'accès à distance à un réseau de communication local, selon un exemple de réalisation de l'invention ;

[Fig 4] : décrit sous forme d'un logigramme les étapes d'un procédé de traitement d'une demande d'accès à distance à un réseau de communication local, selon un exemple de réalisation de l'invention ;

[Fig 5] : décrit sous forme d'un logigramme les étapes d'un procédé de demande d'accès à distance à un réseau de communication local, selon un exemple de réalisation de l'invention ;

[Fig 6] : décrit sous forme d'un diagramme de flux les échanges entre le terminal utilisateur, la plateforme de gestion et la passerelle d'accès au réseau de communication local selon un premier exemple de réalisation de l'invention ;

[Fig 7] : décrit sous forme d'un diagramme de flux les échanges entre le terminal utilisateur, la plateforme de gestion et la passerelle d'accès au réseau de communication local selon un deuxième exemple de réalisation de l'invention ;

[Fig 8] : décrit un exemple de structure matérielle d'un dispositif de gestion d'une demande d'accès à un réseau de communication local selon l'invention ; [Fig 9] : décrit un exemple de structure matérielle d'un dispositif de traitement d'une demande d'accès à un réseau de communication local selon l'invention ; et

[Fig 10] : décrit un exemple de structure matérielle d'un dispositif de demande d'accès à un réseau de communication local selon l'invention.

Description détaillée de l'invention

Le principe général de l'invention repose sur la mise en oeuvre d'une plateforme de gestion dans un réseau de communication distant, qui gère toutes les demandes d'accès au réseau de communication local d'une passerelle d'accès au réseau distant en provenance d'un terminal utilisateur connecté à ce réseau distant. Pour ce faire, c'est elle qui reçoit la demande d'accès à un réseau de communication local, vérifie que l'utilisateur est autorisé à accéder à ce réseau local, réveille le cas échéant la passerelle qui gère ce réseau local, fait valider cette autorisation d'accès par la passerelle et redirige cette validation vers le terminal utilisateur. Avec les informations de connexion reçues de la plateforme, le terminal utilisateur peut ensuite se connecter à la passerelle et accéder au réseau demandé. Il peut ensuite demander à la passerelle d'accéder à un équipement/service du réseau local.

Cette invention trouve de nombreuses applications aussi bien dans la vie quotidienne que professionnelle, pour tout type de terminal utilisateur, tel qu'un téléphone intelligent, une tablette, un ordinateur portable, etc, qui est connecté à un réseau de télécommunications WAN (« Wide Access Network », en anglais) qui souhaite accéder à distance à des services d'un réseau de communication local LAN (« Local Access Network », en anglais) de son environnement personnel ou professionnel.

En particulier, cette invention est particulièrement intéressante lorsque la passerelle qui le gère est dans un état de veille.

Dans la suite de la description, on désigne au sens large par service opéré dans le réseau de communication local, une ou plusieurs fonctions exécutées par un ou plusieurs équipements connectés à ce réseau. Il s'agit par exemple de l'accès à distance à un album photo stocké dans un serveur de stockage en réseau NAS connecté au réseau domestique d'un utilisateur. Un service peut aussi comprendre un enchaînement plus complexe de fonctions défini par un programme ou script, et nécessiter une coopération entre différentes ressources ou équipements. C'est le cas par exemple d'un service de simulation de présence fait intervenir plusieurs équipements du réseau local ou encore d'un service de diffusion vidéo local dont la mise en oeuvre s'appuie sur la coopération de ressources de stockage, de communication dans réseau local et de de diffusion vidéo (décodeur/écran). On présente désormais, en relation avec la figure 1, un exemple d'architecture d'un système de gestion 10 d'une demande d'accès à un réseau de communication LAN par un terminal utilisateur TU connecté à un réseau de communication distant WAN d'un opérateur selon un exemple de réalisation de l'invention. Le réseau de communication LAN est géré par une passerelle GW d'accès au réseau distant WAN fournie par l'opérateur à un utilisateur qui a souscrit un abonnement auprès de cet opérateur. Dans l'exemple considéré, la passerelle est connectée au réseau distant WAN par une liaison ADSL ou fibre. Bien sûr, elle peut aussi se connecter au réseau cellulaire de l'opérateur par une liaison de type 2G à 5G.

Dans cet exemple, le réseau LAN est un réseau domestique, auxquels sont connectés plusieurs équipements tels qu'une caméra CAM, un serveur de stockage en réseau ou NAS (« Network Attached Storage », en anglais), un décodeur TV STB (« Set Top Box », en anglais) ou encore une prise connectée PLG, une lampe connectée LGT et un ordinateur personnel PC. Ces équipements sont connectés à la passerelle GW. Par exemple, le serveur de stockage NAS, la lampe connectée LGT et la prise connectée PLG sont connectés à la passerelle GW par une liaison filaire, par exemple de type ethernet, USB ou CPL sur câblage électrique, le décodeur STB et la caméra CAM sont connectés par une liaison sans fil radio, par exemple Wi-Fi et l'ordinateur personnel PC est connecté via la lampe connectée LTG par une liaison sans fil optique de type LiFi. Bien sûr d'autres types de liaison sans fil peuvent être utilisés comme Bluetooth, Bluetooth Low Energy, z-wave, zigbee, DECT-ULE etc.

On considère aussi des terminaux tels que le téléphone intelligent (smartphone », en anglais) TU ou l'ordinateur portable (« laptop », en anglais) LTP d'au moins un utilisateur U à se connecter au réseau local LAN mais qui sont, dans l'exemple de la figure 1, absents de la maison et connectés au réseau distant WAN.

On suppose par exemple que l'utilisateur s'est absenté de son domicile et a rejoint pour plusieurs jours un lieu de villégiature. On suppose également que l'utilisateur administrateur de la passerelle et du réseau local LAN de la maison, qui peut être ou non l'utilisateur U, a placé au moins une partie des équipements de ce réseau en état de veille. Par exemple, il a activé la situation d'usage « Absence prolongée » sur un portail d'administration des services de sa passerelle domestique GW proposé par son opérateur. Par exemple, ce portail est accessible depuis une application mobile installée sur son téléphone TU ou une application web accessible depuis un navigateur web de son ordinateur portable LTP. Le passage explicite dans cette situation d'usage induit par exemple :

- l'envoi de commandes de coupure de l'alimentation électrique aux prises électriques connectées qui desservent les équipements considérés comme non indispensables, prédéfinis explicitement ou par défaut,

- l'envoi de commandes de mise en veille (paquet Ethernet ad hoc) aux équipements susceptibles d'être réveillés pendant cette période, que ce soit à la demande ou par programmation fixe ou semi- aléatoire (simulation de présence), comme par exemple les STB, les téléviseurs, les lampes connectées,

- la sauvegarde sur sa passerelle en mémoire non volatile des adresses IP et mac des équipements mis en veille, ou, le cas échéant, de leur identifiant unique sur les réseaux.

- l'envoi de commandes d'activation des équipements dédié à la détection de présence et aux alarmes comme une centrale d'alarme (non représentée) et certaines caméras autonomes,

- l'arrêt sur la passerelle des interfaces non indispensables et énergivores, comme par exemple, le cas échéant, le Wi-Fi ou la 4G/5G, et maintien d'autres, comme par exemple le BLE et l'Ethernet,

- l'arrêt sur la passerelle domestique des applications non indispensables et énergivores,

- l'activation sur la passerelle d'un programme gérant un calendrier de simulation de présence avec communication de sa programmation à la centrale d'alarme, afin que son système de détection de lumière ou de bruits suspects ne soit pas perturbé,

- l'activation sur la passerelle d'un programme gérant un calendrier de mise en veille et de réveil de certaines interfaces de la passerelle, comme par exemple son interface Wi-Fi (paquet Ethernet ad hoc).

Le passage de certains équipements en mode veille ou surveillance (par exemple , la caméra autonome) induit chez ceux-ci :

- le maintien en fonction des interfaces Bluetooth Low Energy (BLE) sur les équipements qui en sont dotés,

- le maintien en fonction des interfaces Ethernet sur les équipements qui en sont dotés,

- la mise en veille ou l'arrêt des interfaces Wi-Fi des équipements dotés par ailleurs d'interface Bluetooth Low Energy (BLE) ou Ethernet,

- l'arrêt de certaines de leurs composants et applications embarquées,

- la surveillance par ceux-ci de messages de réveil sur leurs interfaces BLE et Ethernet.

On suppose maintenant que l'utilisateur du réseau local LAN veut accéder à distance à ce réseau local LAN, depuis son terminal TU connecté au réseau distant WAN, alors que la passerelle GW qui le gère est dans un état de veille. Par exemple, il souhaite accéder au réseau LAN pour visualiser sur son terminal TU un album photo stocké dans le serveur de stockage NAS.

Comme illustré par la figure 1, le système 10 selon l'invention comprend une plateforme de gestion PTF gérée par l'opérateur du réseau distant WAN et connectée à ce réseau. Cette plateforme est configurée pour recevoir et gérer une demande d'accès à distance à un service du réseau LAN émise par le terminal utilisateur. Le système 10 comprend aussi la passerelle GW configurée pour gérer le réseau local LAN et pour router les communications des terminaux utilisateurs connectés au réseau LAN vers le réseau distant WAN. Le système 10 comprend enfin le terminal utilisateur TU. La figure 2 représente un exemple d'architecture de la plateforme de gestion PTF, selon un mode de réalisation de l'invention. Selon cet exemple de réalisation de l'invention, la plateforme PTF comprend un dispositif 100 de gestion d'une demande d'accès à distance au réseau local LAN selon l'invention, configuré pour recevoir cette demande d'accès à distance en provenance du terminal utilisateur TU, vérifier qu'il est autorisé à accéder au réseau local LAN demandé à l'aide de droits d'accès préalablement stockés en mémoire, le cas échéant réveiller la passerelle domestique GW, obtenir une validation d'autorisation d'accès et la rediriger vers le terminal utilisateur.

Les droits d'accès sont par exemple enregistrés dans une table TA1 en association avec un identifiant de l'utilisateur IDU ou de son terminal dans une mémoire MEM locale ou distante, par exemple organisée comme une base de données, à laquelle la plateforme PTF peut accéder.

Alternativement, le dispositif 100 peut être indépendant de la plateforme de gestion PTF, mais connecté à celle-ci par une liaison quelconque, filaire ou non.

En particulier, le dispositif de gestion 100 comprend un module de réception REC. RA d'une demande d'accès à un réseau local en provenance du terminal utilisateur TU, la demande comprenant au moins un identifiant de l'utilisateur IDU, un module de vérification VER. DA d'une autorisation de l'utilisateur à accéder au réseau demandé, un module de réveil WOW GW de la passerelle, configuré pour être mis en oeuvre lorsque l'utilisateur est autorisé à accéder au réseau, un module d'obtention OBT. IA d'une validation de l'autorisation par la passerelle, et un module de transmission TRNS. IA au terminal utilisateur TU d'informations de connexion à la passerelle.

On note que la vérification peut porter sur le terminal, sur l'utilisateur, ou les deux :

- on peut autoriser implicitement tout utilisateur d'un terminal donné (l'identifiant de l'utilisateur est celui du terminal ou de l'instance de l'application en charge de la session d'usage),

- on peut autoriser un utilisateur donné sur n'importe quel terminal (l'identifiant utilisateur autorisé lui est propre ou propre à, un groupe d'utilisateurs),

- on peut autoriser un utilisateur donné sur un terminal donné (double vérification : Id utilisateur et identifiant du terminal).

Avantageusement, le dispositif 100 comprend en outre un module AUTH d'authentification de la plateforme de gestion auprès de la passerelle GW. Il peut comprendre aussi un module de demande de sélection d'un réseau local RSEL au terminal utilisateur parmi une pluralité de réseaux locaux autorisés et un module d'obtention SEL du réseau local sélectionné par le terminal utilisateur dans la pluralité transmise. Il peut également comprendre un module d'obtention OBT. JA d'un jeton d'autorisation d'accès à la passerelle, ledit jeton étant destiné à être transmis au terminal utilisateur dans les informations d'autorisation de connexion à la passerelle. Le dispositif 100 comprend enfin un module TX/RX de réception et de transmission d'informations via le réseau distant LAN. Alternativement il utilise le module de transmission/réception de la plateforme PTF dans lequel il est intégré.

La mémoire non volatile MEM1 comprend avantageusement une table TA1 associant à un identifiant de l'utilisateur des droits d'accès à un ou plusieurs réseaux de communication local LAN et à des équipements/services de ce réseau.

Le dispositif 100 met ainsi en oeuvre le procédé de gestion d'une demande d'accès à distance à un réseau de communication local selon l'invention qui sera détaillé ci-après en relation avec la figure 3.

La figure 2 présente aussi un exemple d'architecture d'une passerelle GW selon un mode de réalisation de l'invention. Selon cet exemple de réalisation de l'invention, la passerelle GW comprend un dispositif 200 de traitement d'une demande d'accès à distance émise par un terminal utilisateur, à un réseau local LAN selon l'invention, configuré pour recevoir un message de réveil en provenance de la plateforme PTF, le cas échéant se réveiller, valider une demande d'autorisation d'accès au service en provenance de la plateforme et lui transmettre une réponse de validation comprenant des informations de connexion à la passerelle et, sur réception d'une requête de connexion du terminal utilisateur, traiter favorablement sa requête lorsqu'elle comprend lesdites informations de connexion.

Alternativement, le dispositif 200 peut être indépendant de la passerelle GW, mais connecté à celle- ci par une liaison quelconque filaire ou non.

En particulier, le dispositif de traitement 200 comprend un module de réception REC. WOW d'un message de réveil en provenance de la plateforme de gestion PTF, un module de validation VAL. IA d'une demande d'autorisation d'accès au service en provenance de la plateforme de gestion PTF et la transmission à ladite plateforme de gestion d'une réponse de validation TRNS. IA comprenant des informations de connexion à la passerelle. Le dispositif 200 comprend aussi un module de connexion du terminal utilisateur au service sur réception d'une requête de connexion comprenant les informations de connexion à ladite passerelle.

Avantageusement, le dispositif 200 comprend aussi un module d'authentification AUTH PTF de la plateforme de gestion PTF et un module de transmission RSEL EQ au terminal utilisateur d'une demande de sélection d'un équipement/service parmi une pluralité d'équipements/services auquel l'utilisateur est autorisé à accéder. Il peut comprendre un module d'obtention JA d'un jeton d'autorisation d'accès, ledit jeton étant ensuite inséré dans la réponse de validation à la plateforme parmi les informations de connexion. Ce jeton peut être généré par la passerelle elle-même ou reçu de la plateforme. Avantageusement, le dispositif 200 comprend enfin un module TX/RX de réception et de transmission d'informations via une interface avec le réseau distant LAN et une autre interface avec le réseau de communication local LAN. Alternativement il utilise le module de transmission/réception de la passerelle GW dans lequel il est intégré.

La mémoire non volatile MEM2 comprend avantageusement une table TA2 associant à un identifiant de l'utilisateur des droits d'accès au réseau de communication local LAN et à des équipements/services de ce réseau.

Le dispositif 200 met ainsi en oeuvre le procédé de traitement d'une demande d'accès à distance à un réseau local selon l'invention qui sera détaillé ci-après en relation avec la figure 4.

La figure 2 présente enfin un exemple d'architecture d'un terminal utilisateur TU selon un mode de réalisation de l'invention. Selon cet exemple de réalisation de l'invention, le terminal utilisateur TU comprend un dispositif 300 de demande d'accès à distance à un réseau local LAN, configuré pour émettre une demande d'accès à un tel réseau à destination de la plateforme PTF, recevoir des informations de connexion à la passerelle en provenance de la plateforme PTF et émettre une requête de connexion à destination de la passerelle GW comprenant les informations de connexion.

Alternativement, le dispositif 300 peut être indépendant du terminal utilisateur TU, mais connecté à celui-ci par une liaison quelconque, filaire ou non.

En particulier, le dispositif de demande d'accès 300 comprend un module d'émission TRNS RA d'une demande d'accès à un réseau de communication local LAN à destination de la plateforme PTF, un module REC. IA de réception d'informations de connexion à la passerelle GW et un module de demande de connexion CNX à destination de l'adresse IP de la passerelle, la demande de connexion comprenant les informations de connexion reçues. Avantageusement ces informations comprennent un jeton d'autorisation d'accès à la passerelle.

Avantageusement, le dispositif 300 comprend aussi un module SEL. LAN d'un réseau local parmi une pluralité de réseaux locaux autorisés par la plateforme pour le terminal utilisateur.et un module SEL.

S de sélection d'un équipement/service parmi une pluralité d'équipements/services autorisés par la passerelle pour le terminal utilisateur. Il peut comprendre aussi un module de génération du jeton d'autorisation d'accès à la passerelle, ledit jeton étant transmis dans sa demande d'accès au réseau local transmis à la plateforme PTF.

Avantageusement, le dispositif 300 comprend enfin un module TX/RX de réception et de transmission d'informations via une interface avec le réseau distant LAN et une autre interface avec le réseau de communication local LAN. Alternativement il utilise le module de transmission/réception du terminal utilisateur TU dans lequel il est intégré. Le dispositif 300 met ainsi en œuvre le procédé de demande d'accès à distance à un service selon l'invention qui sera détaillé ci-après en relation avec la figure 5.

On présente désormais, en relation avec la figure 3, sous une forme de logigramme, un premier exemple de mise en œuvre d'un procédé de gestion d'une demande d'accès à un réseau de communication local LAN géré par la passerelle GW d'accès au réseau distant WAN, en provenance du terminal utilisateur TU, lorsque la passerelle GW est dans un état de veille, selon un mode de réalisation de l'invention.

Au cours d'une étape 30, la plateforme de gestion PTF, connectée au réseau distant WAN, reçoit la demande RA d'accès à un réseau local LAN en provenance du terminal utilisateur TU. Cette demande RA comprend au moins un identifiant de l'identifiant IDU de l'utilisateur du terminal TU. Avantageusement, elle comprend aussi un identifiant du réseau local IDLAN qui opère le service et/ou un identifiant de la passerelle IDGW qui gère le réseau local LAN et/ou un identifiant d'un équipement ou d'un service IDS auquel l'utilisateur souhaite accéder à distance. Par exemple, l'utilisateur s'est abonné à un service de gestion des accès distants au réseau de communication local géré par sa passerelle domestique, proposé par l'opérateur du réseau distant. Il y accède par exemple via une application logicielle installée sur son terminal ou une application web ou encore une page web, dont l'interface homme/machine lui permet de formuler sa demande d'accès. On comprend que la quantité d'informations contenue dans cette demande d'accès RA dépend notamment d'un niveau d'intelligence de l'interface homme/machine et des informations relatives aux droits d'accès de l'utilisateur dont elle dispose. A minima, elle dispose de l'identifiant unique de la plateforme de gestion PTF dans le réseau distant WAN à laquelle transmettre la demande d'accès RA, mais si son interface est plus évoluée, elle peut proposer à l'utilisateur de choisir un réseau local parmi une pluralité de réseaux locaux pour lesquels il dispose d'une autorisation d'accès, voire les services opérés par ces réseaux. Dans ce cas, elle stocke ces informations en mémoire, par exemple dans une table ou une base de données. On rappelle que le terme service désigne ici au sens large toute fonctionnalité mise à la disposition d'un utilisateur par une ou plusieurs ressources d'un réseau de communication local. Il s'agit par exemple de l'interface Wi-Fi de la passerelle ou d'un service de simulation de présence qui fait intervenir plusieurs ressources du réseau local (caméra, serveur de stockage NAS, interface Wi-Fi etc). Des exemples de réalisation seront détaillés ci-après en relation avec les figures 6 et 7.

En 31, le dispositif 100 obtient des informations DA relatives aux droits d'accès de l'utilisateur, par exemple associées dans une mémoire MEM1 à l'identifiant IDU de l'utilisateur contenu dans sa demande RA. Par exemple, il interroge une base de données TLAN sur la base de l'identifiant IDU et obtient en retour un ou plusieurs identifiants, aussi appelés étiquettes, de passerelles ou de réseaux locaux auxquel(les) l'utilisateur est autorisé à se connecter. On comprend qu'un utilisateur peut être autorisé à accéder à plusieurs réseaux locaux, par exemple au réseau domestique de son domicile, géré par sa passerelle domestique et à un ou plusieurs réseaux locaux professionnels. On peut aussi envisager que plusieurs étiquettes de réseaux locaux soient stockées en association avec une étiquette de site IDS, un site correspondant à un lieu professionnel ou domestique qui regroupe plusieurs réseaux locaux.

Optionnellement, en 32, le dispositif 100 transmet une demande de sélection d'un réseau local au terminal utilisateur, comprenant les identifiants des réseaux locaux autorisés. Avantageusement, il met en oeuvre cette étape lorsque la demande d'accès ne comprend pas d'identifiant de réseau local ou de passerelle, par exemple une adresse MAC ou un identifiant unique ou bien lorsque l'utilisateur a demandé à accéder à un réseau local auquel il n'est pas autorisé alors que qu'au moins un identifiant de réseaux local autorisé est associé à l'identifiant de l'utilisateur IDU dans la table. On désigne par identifiant unique un futur identifiant envisagé pour supplanter les adresses MAC au niveau de la couche liaison. Aujourd'hui, un équipement doté d'interfaces Wi-Fi sur des bandes de fréquences différentes a une adresse MAC différente pour chacune d'elles. Cela pourrait être inutile avec un tel identifiant unique.

Sur réception d'une réponse, comprenant l'identifiant d'un réseau local IDLAN, e dispositif 100 vérifie en 33 que l'utilisateur est autorisé à accéder au réseau local LAN reçu en 30 ou en 33 sur la base des droits d'accès obtenus.

Le cas échéant, il émet en 35 un message de réveil WOW à destination de la passerelle GW qui gère le réseau local LAN demandé. Pour ce faire, le dispositif 100 a au préalable obtenu une adresse IP de la passerelle par exemple dans une deuxième table T@ de routage en association avec l'adresse MAC de cette passerelle. Cette adresse IP est maintenue dans la plateforme à l'aide d'une association statique adresse IP/ adresse MAC de la passerelle stockée dans une table de routage. A cet égard, on note que l'adresse IP d'une passerelle peut être fixe, préférentielle ou dynamique. On suppose que l'utilisateur en tant que client du service d'accès distant à son réseau local bénéficie pour sa passerelle d'une adresse fixe ou préférentielle. Dans le cas où cette adresse serait changée au bout d'un certain nombre de jours d'inactivité, il suffirait à la plateforme de réveiller périodiquement la passerelle puis de lui envoyer ensuite un message applicatif de mise en veille pour maintenir sa table d'adresses.

De façon alternative, il peut être décidé d'affecter une adresse IP fixe aux passerelles des utilisateurs abonnés au service.

Par exemple, le message de réveil est un message de type « Wake on Wan », connu de l'homme de métier, encapsulé dans un paquet IP. Ce paquet de réveil est transmis, par exemple selon le protocole UDP (pour « User Datagram Protocol », en anglais), à la passerelle GW par le réseau WAN, quelle que soit la technologie, ADSL ou fibre par exemple, utilisée et transite par un équipement d'accès de type DSLAM (« Digital Subscriber Line Access Multiplexer », en anglais) pour la première ou ONT (« Optical Network Termination », en anglais) pour la deuxième.

En 36, le dispositif 100 reçoit une demande d'authentification en provenance de la passerelle GW. Il y répond en mettant en oeuvre un échange chiffré d'authentification mutuelle de la passerelle et de la plateforme, selon une procédure connue de l'homme de métier.

En 37, le dispositif 100 transmet à la passerelle une demande de validation DVA de l'autorisation d'accès qu'il a accordé à l'utilisateur au réseau local demandé, pour validation. Cette demande comprend les droits d'accès (« credentials », en anglais) obtenus en mémoire pour ce réseau local en association avec l'identifiant IDU de l'utilisateur. Il s'agit par exemple des informations de connexion login/mot de passe, éventuellement d'une clé de cryptage. Dans un cas favorable, il reçoit en 38 une réponse de validation d'autorisation comprenant les informations de connexion. Avantageusement, la réponse comprend en outre un jeton d'autorisation d'accès JA généré par la passerelle. Selon une alternative, c'est la demande de validation DVA transmise par le dispositif 100 à la passerelle GW qui comprend un jeton d'autorisation temporaire JAT qui est renvoyé en tant que jeton d'autorisation validé JA par la passerelle à la plateforme. Selon une autre alternative, le jeton temporaire a été reçu du terminal utilisateur dans sa demande d'accès DA et inséré dans les informations de connexion de la demande de validation adressée par la plateforme PTF à la passerelle GW.

En 39, le dispositif 100 redirige les informations de connexion reçues dans la réponse de validation de la passerelle au terminal utilisateur TU.

On présente maintenant, en relation avec la figure 4, sous une forme de logigramme, un exemple de mise en oeuvre d'un procédé de traitement d'une demande d'accès à un réseau de communication local LAN géré par la passerelle GW d'accès au réseau distant WAN en provenance du terminal utilisateur TU, selon un mode de réalisation de l'invention. Par exemple, ce procédé est mis en oeuvre par le dispositif 200.

On suppose que la passerelle GW est dans un état de veille.

En 40, le dispositif 200 reçoit un message de réveil WOW en provenance de la plateforme de gestion PTF, sur son interface avec le réseau distant WAN.

En 41, il vérifie de façon optionnelle que le réveil de la passerelle GW est autorisé. Par exemple, le dispositif 200 obtient des informations relatives à des contraintes de réveil stockées en mémoire. Il s'agit par exemple de contraintes horaires qui sont consignées dans une table de type calendrier, qui associe à une période particulière une autorisation ou une interdiction de réveil. Dans ce cas, la période peut être exprimée en heures ou en jour. La vérification consiste dans ce cas à vérifier que le jour/la date/l'heure courant(e) appartient à une période autorisée. Selon un exemple de réalisation, le dispositif 200 commande pour ce faire à un pilote de l'interface WAN de la passerelle de déclencher un programme de gestion des rendez-vous.

Si le réveil de la passerelle est interdit pendant la période courante, par exemple en dehors des heures ou des jours ouvrés pour une passerelle en entreprise ou pendant les horaires de sommeil prévus sur le lieu de vacances pour une passerelle résidentielle, le dispositif 200 transmet une réponse négative à la plateforme.

On suppose maintenant que le réveil de la passerelle est autorisé. Le dispositif 200 commande en 42 l'exécution d'un réveil de la passerelle.

En 43, le dispositif 200 transmet à la plateforme une requête d'authentification et met en oeuvre, sur réception d'une réponse de la plateforme une procédure d'authentification mutuelle, impliquant des échanges chiffrés. Cette procédure étant connue de l'homme de métier, elle n'est pas détaillée.

En 44, une fois l'authentification terminée, le dispositif 200 vérifie l'autorisation d'accès accordée par la plateforme, reçue dans une demande de validation DVA en provenance de la plateforme et à partir de droits d'accès stockés en mémoire en association avec un identifiant de l'utilisateur IDU.

S'il valide cette autorisation, il transmet en 45 à la plateforme de gestion PTF un message de validation VA comprenant des informations de connexion IA. Avantageusement, il obtient un jeton d'autorisation d'accès JA, qui a par exemple été généré par la passerelle ou par un module dédié du réseau local. Il stocke en mémoire ce jeton JA en association avec l'identifiant de l'utilisateur. Selon une alternative, ce jeton d'autorisation n'a pas été généré par la passerelle, mais correspond à un jeton d'autorisation temporaire JAT reçu de la plateforme de gestion PTF dans sa demande de validation DVA.

En 46, sur réception d'une demande de connexion en provenance du terminal utilisateur TU, la demande de connexion comprenant les informations de connexion, la passerelle vérifie que ces informations de connexion correspondent à celles qu'elle a validées dans la demande reçue de la plateforme. Avantageusement, ces informations comprennent le jeton d'autorisation d'accès JA et elle vérifie que le jeton d'autorisation d'accès reçu correspond à celui qu'elle a émis en réponse à la demande de validation DVA de la plateforme. Le cas échéant, elle établit une connexion avec le terminal utilisateur TU.

Une fois la connexion établie avec le terminal utilisateur TU, la passerelle lui propose en 47 un choix d'équipements et/ou de services rendus par ces équipements auxquels cet utilisateur a l'autorisation d'accéder, comme par exemple la passerelle elle-même le serveur de stockage NAS, la caméra, l'ordinateur portable, une base domotique etc. En fonction du choix reçu de l'utilisateur, elle réveille en 48 l'équipement sélectionné. Comme cet équipement n'est pas intégré à la passerelle, elle récupère dans une mémoire non volatile les informations de connexion avec cet équipement et ses différentes interfaces de communication dans le réseau LAN, puis lui envoie un paquet de réveil sur une interface de communication restée active. Par exemple, si l'équipement est connecté en Ethernet, elle lui adresse un paquet de réveil de type « Wake on LAN », de façon connue de l'homme de métier. Enfin, elle transmet son adresse IP @EQ au terminal utilisateur TU afin qu'il puisse se connecter à l'équipement demandé.

On note que si la passerelle n'est pas en veille lorsqu'elle reçoit le message de réveil WOW de la part de la plateforme PTF, elle le traite comme un signal pour l'avertir qu'elle va recevoir une demande de validation d'une autorisation d'accès d'un terminal utilisateur à son réseau local LAN en provenance de la plateforme PTF.

On présente désormais, en relation avec la figure 5, sous une forme de logigramme, un exemple de mise en oeuvre d'un procédé de demande d'accès d'un terminal utilisateur à un réseau de communication local géré par une passerelle d'accès à un réseau distant, selon un mode de réalisation de l'invention. Dans cet exemple, le procédé est mis en oeuvre par le dispositif 300. Avantageusement ce dispositif 300 est intégré dans le terminal utilisateur TU.

Au cours d'une étape 51, le dispositif 300 émet une demande RA d'accès à un réseau de communication local, par exemple le réseau local LAN géré par la passerelle GW de la figure 1. Cette demande RA comprend au moins un identifiant IDU de l'utilisateur du terminal TU. Comme évoqué précédemment, l'utilisateur formule sa demande d'accès au réseau local LAN par l'intermédiaire d'une interface homme/machine de son terminal, par exemple une application mise en oeuvre par le terminal ou une application web. Cette application peut disposer d'informations relatives aux réseaux locaux auxquels l'utilisateur a déjà accédés ou bien est autorisé à accéder et lui proposer de sélectionner facilement le réseau qui l'intéresse. Par exemple, elle accède à une table TA3 associant des droits d'accès à l'identifiant de l'utilisateur IDU.

On comprend en effet qu'un utilisateur qui n'est pas connecté à son réseau local ne connaît pas forcément l'adresse IP, ni l'identifiant unique de la passerelle qui gère le réseau local en question, ni même l'identifiant de ce réseau. Dans ce cas, on suppose que l'utilisateur a sélectionné en 50 le réseau local LAN auquel il souhaite accéder, par exemple dans un menu de l'interface de son terminal TU.

Cette application peut aussi disposer d'une quantité d'informations limitée à l'adresse IP de la plateforme de gestion PTF à contacter. Dans ce cas, la demande RA est une simple demande de connexion à la plateforme PTF.

Optionnellement, en 52, le dispositif 300 reçoit une demande de sélection d'un réseau LAN en provenance de la plateforme, la demande comprenant au moins deux identifiants de réseaux LAN auxquels l'utilisateur est autorisé à accéder. Il sélectionne en 53 l'identifiant du réseau LAN qui l'intéresse et le transmet à la plateforme.

En 54, il reçoit des informations de connexion en provenance de la plateforme. Elles comprennent au moins l'identifiant de la passerelle GW et par exemple un identifiant de connexion et un mot de passe de l'utilisateur. Elles peuvent comprendre aussi un jeton d'autorisation d'accès JA. Par exemple, ce jeton a été généré par la passerelle et transmis à la plateforme qui l'a redirigé vers le terminal. Selon une alternative, il a été généré par la plateforme qui l'a transmis à la passerelle dans sa demande de validation d'autorisation d'accès.

Selon une autre alternative, il a été généré par le terminal utilisateur qui l'a transmis à la plateforme dans sa demande d'accès au réseau local LAN, laquelle l'a retransmis à la passerelle dans sa demande de validation d'autorisation.

En 55, il émet une requête de connexion à destination de la passerelle GW comprenant les informations de connexion et avantageusement jeton d'autorisation JA reçu.

Une fois connecté, il reçoit en 56 de la passerelle GW une demande de sélection d'un équipement parmi une pluralité d'équipements auxquels il est autorisé à accéder. Il répond en 57 et reçoit en 58 des informations de connexion à l'équipement comprenant au moins une adresse IP ou un identifiant unique de cet équipement.

Il peut ensuite se connecter en 59 à l'équipement et accéder à ses services.

On présente désormais, en relation avec la figure 6, sous une forme de diagramme de flux, les échanges de messages entre le terminal utilisateur TU, la plateforme de gestion PTF et la passerelle GW de gestion du réseau local LAN selon un premier exemple de réalisation de l'invention.

On suppose ici que l'utilisateur a souscrit à un service d'accès à distance à son ou ses réseaux locaux auprès de son opérateur et qu'il y accède via le web ou une application mobile qu'il a installée sur son terminal TU ou encore une application web. En particulier, il dispose d'un identifiant et d'un mot de passe pour se connecter à une interface ou portail de cette plateforme PTF. En 51, il émet une requête de connexion CNX avec cette interface, s'identifie et s'authentifie auprès de la plateforme à l'aide de son identifiant et de son mot de passe.

Dans ce premier exemple, on suppose que l'interface dont dispose l'utilisateur sur son terminal lui permet seulement de se connecter à celle de la plateforme PTF. Autrement dit, elle a une intelligence minimale et en particulier ne connaît pas les réseaux de communication locaux auxquels l'utilisateur est autorisé à se connecter.

Sa demande d'accès à un réseau local se limite donc à une requête de connexion au service d'accès à distance de la plateforme et ne précise pas le réseau de communication LAN souhaité. La plateforme reçoit et traitement la demande de connexion en 30. Une fois le terminal utilisateur authentifié, elle obtient en 31 les droits d'accès associés à l'identifiant IDU de l'utilisateur. Par exemple, elle obtient les identifiants des réseaux de communication locaux auxquels il est autorisé à accéder.

Optionnellement en 32, elle lui envoie une demande de sélection d'un réseau local parmi une liste des réseaux locaux auxquels il est autorisé à accéder. S'il n'est autorisé à accéder à aucun réseau local, elle l'en informe et met fin à la connexion.

A partir de ces identifiants, elle vérifie en 33 que l'utilisateur est autorisé à accéder à au moins un réseau de communication local LAN.

En 52, la demande de sélection est reçue par le terminal utilisateur TU qui fait son choix puis l'envoie en 53 à la plateforme. La plateforme envoie en 35 à l'adresse IP de la passerelle GW qui gère le réseau de communication LAN sélectionné, un message de réveil WOW, par exemple un paquet de réveil de type « Wake On Wan ». Il est transmis par le réseau distant WAN à la passerelle qui le reçoit en 40 sur son interface WAN.

On suppose dans cet exemple que la passerelle GW est dans un état de veille.

En 41, l'interface WAN de la passerelle GW active un programme de gestion de contraintes de réveil. Par exemple, il s'agit d'un calendrier de rendez-vous et elle obtient des informations relatives à des contraintes temporelles de réveil de la passerelle pour différentes heures de la journée ou jours de la semaine et elle vérifie que le réveil de la passerelle et du réseau local est autorisé pour la période temporelle courante. Si c'est bien le cas, elle réveille en 42 au moins une interface de gestion des demandes d'accès distant à son réseau local LAN et une interface de communication dans le réseau local, comme par exemple son interface Wifi. Optionnellement, elle déclenche en 43 une authentification mutuelle avec la plateforme PTF. Les échanges entre la passerelle et la plateforme sont chiffrés. Si au contraire le réveil n'est pas autorisé, elle rejette la demande de réveil et notifie la plateforme du rejet de sa requête de réveil.

Une fois l'authentification mutuelle réussie, la plateforme PTF transfère à la passerelle en 37 une demande de validation d'une autorisation d'accès au réseau de communication local LAN pour le terminal utilisateur TU. Cette demande peut comprendre des informations de connexion permettant de certifier que la demande d'accès du terminal TU à la passerelle GW a été validé par la plateforme PTF. Ces données peuvent être par exemple un simple indicateur (pour « flag », en anglais), ou bien un couple identifiant/mot de passe du terminal TU ou de son utilisateur. Cette demande DVA peut aussi comprendre un jeton d'autorisation d'accès temporaire JAT généré par la plateforme PTF ou bien reçu du terminal utilisateur TU dans sa demande d'accès DA au réseau LAN.

La passerelle GW, suite à l'authentification, a activé un programme de validation des droits d'accès des utilisateurs. A réception de la demande de validation DVA en provenance de la plateforme, elle valide en 44 les droits de l'utilisateur et renvoie sa réponse de validation en 45 à la plateforme. Cette réponse comprend les informations de connexion IA validées et notamment le jeton d'autorisation d'accès JA, qui peut être identique au jeton temporaire JAT qu'elle a reçu de la plateforme.

La plateforme PTF reçoit la réponse de la passerelle en 38, extrait les informations de connexion et les redirige en 39 vers le terminal utilisateur.

Le terminal utilisateur reçoit en 54 ces informations d'autorisation de connexion en provenance de la plateforme PTF. En 55, il émet une requête de connexion à destination de l'adresse IP de la passerelle, comprenant les informations de connexion et avantageusement le jeton d'autorisation JA. A réception en 46, la passerelle vérifie ces informations et en particulier le jeton d'autorisation JA de la connexion utilisateur. Si elles correspondent aux informations enregistrées pour cet utilisateur et notamment à l'autorisation précédemment validée avec la plateforme PTF la passerelle GW établit la connexion.

Elle propose ensuite à l'utilisateur en 47 un choix d'équipements/services auxquels l'utilisateur a le droit d'accéder. Il s'agit par exemple de la passerelle elle-même, d'une centrale d'alarme, d'un ordinateur personnel, d'une caméra autonome, d'un serveur de stockage en réseau NAS etc. L'utilisateur la reçoit en 56 et répond en 57 en sélectionnant un équipement/service parmi ceux proposés par la passerelle. Par exemple il s'agit du serveur NAS. A réception en 48, la passerelle réveille une de ses interfaces de communication avec le serveur NAS et lui envoie un message de réveil. Par exemple, elle active son interface Wifi et lui adresse un paquet de réveil de type « Wake On Lan ». Dès qu'il est réveillé, le serveur NAS active un programme d'accueil. En particulier, il se connecte à la passerelle qui redirige l'adresse IP du serveur NAS vers le terminal utilisateur en 48. A réception en 58, le terminal utilisateur envoie en 59 une requête de connexion à destination de l'adresse IP du serveur NAS. Une fois connecté, il accède à son programme d'accueil et aux services proposés.

Une fois que le terminal utilisateur s'est déconnecté et que les services qu'il a activés ont terminé leur exécution, la passerelle GW remet en veille son réseau local et ses propres fonctions.

On présente désormais, en relation avec la figure 7, sous une forme de diagramme de flux, les échanges de messages entre le terminal utilisateur TU, la plateforme de gestion PTF et la passerelle GW de gestion du réseau local LAN selon un deuxième exemple de réalisation de l'invention.

Dans ce deuxième exemple, on suppose que l'interface homme/machine dont dispose l'utilisateur sur son terminal TU pour accéder au service d'accès à distance à des réseaux de communication locaux, est plus élaborée que dans l'exemple de la figure 6 et notamment qu'elle lui permet de choisir parmi une liste de sites, les réseaux de communication locaux accessibles sur chaque site. On désigne ici par site l'emplacement géographique des bâtiments d'une entreprise ou d'un particulier, comprenant un ou plusieurs réseaux de communication locaux. Par exemple, cette interface accède dans une mémoire à une association entre l'identifiant IDU de l'utilisateur et un identifiant de site, un ou plusieurs identifiants de réseaux locaux de ce site autorisés pour cet utilisateur et pour chaque identifiant de réseau local à un ou plusieurs identifiants d'équipements/services. Elle propose en 50 à l'utilisateur de choisir au moins le réseau local voire l'équipement qui l'intéresse dans un menu, mais il peut aussi choisir un équipement de ce réseau local. Une fois ce choix établi, elle déclenche l'émission en 51 par le terminal une demande d'accès RA au réseau local choisi à destination de la plateforme PTF. Les étapes 30-32 de réception de la demande et de vérification des droits d'accès sont mises en oeuvre de façon similaire à l'exemple de la figure 6. Une différence est que la plateforme vérifie spécifiquement que le terminal utilisateur a le droit d'accéder au réseau local que l'utilisateur a explicitement demandé.

Lorsque l'utilisateur est autorisé, la plateforme envoie en 35 un message de réveil WOW à la passerelle qui gère le réseau d'accès demandé, comme précédemment décrit. Les étapes 35 à 38 mises en oeuvre par la plateforme sont inchangées, de même que les étapes 40-45 mises en oeuvre par la passerelle.

En 54, le terminal utilisateur TU reçoit les informations de connexion à la passerelle qui gère le réseau d'accès demandé, comme précédemment décrit, comprenant au moins l'adresse IP de la passerelle ou un identifiant unique de cette passerelle, un identifiant de connexion et un mot de passer et optionnellement le jeton d'autorisation d'accès JA. En 55, l'interface de l'application côté terminal utilisateur émet une requête de connexion CNX à destination de la passerelle, qui comprend non seulement les informations de connexion ICNX, mais aussi l'identifiant de l'équipement EQ auquel l'utilisateur souhaite accéder. En 46, la passerelle vérifie que le jeton d'autorisation est correct et que l'utilisateur est autorisé à accéder à l'équipement/service demandé. Si c'est le cas, elle réveille l'équipement EQ concerné en 48, comme précédemment décrit. La passerelle GW envoie ensuite un message applicatif au terminal utilisateur comprenant des informations de connexion à l'équipement. En 59, le terminal utilisateur TU émet une requête de connexion à l'équipement EQ comprenant les informations de connexion reçues. Une fois connecté, il accède aux services proposés par cet équipement.

Une fois que le terminal utilisateur s'est déconnecté et que les services qu'il a activés ont terminé leur exécution, la passerelle GW remet en veille son réseau local et ses propres fonctions.

On présente maintenant, en relation avec la figure 8, un autre exemple de structure matérielle d'un dispositif 100 de gestion d'une demande d'accès à distance à un réseau de communication local selon l'invention, comprenant, comme illustré par le premier exemple de la figure 2, au moins un module de réception REC. RA d'une demande d'accès à un réseau local en provenance du terminal utilisateur TU, la demande comprenant au moins un identifiant de l'utilisateur IDU, un module d'obtention OBT DA de droits d'accès associés à l'identifiant de l'utilisateur, un module de vérification VER. AR d'une autorisation de l'utilisateur à accéder au réseau demandé, un module de réveil WOW de la passerelle, configuré pour être mis en oeuvre lorsque l'utilisateur est autorisé à accéder au réseau, un module d'obtention OBT. JA d'une validation de l'autorisation par la passerelle, comprenant un jeton d'autorisation d'accès et un module de transmission TRNS. JA du jeton d'autorisation au terminal utilisateur TU.

Avantageusement, le dispositif 100 comprend en outre un module AUTH d'authentification de la plateforme de gestion auprès de la passerelle GW. Il peut comprendre aussi un module de demande de sélection d'un réseau local RSEL(LAN) au terminal utilisateur parmi une pluralité de réseaux locaux autorisés et un module d'obtention SEL(LAN) du réseau local sélectionné par le terminal utilisateur dans la pluralité transmise.

Le terme « module » peut correspondre aussi bien à un composant logiciel qu'à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d'ordinateur ou de manière plus générale à tout élément d'un programme apte à mettre en oeuvre une fonction ou un ensemble de fonctions.

Plus généralement, un tel dispositif 100 comprend une mémoire vive 103 (par exemple une mémoire RAM), une unité de traitement 102 équipée par exemple d’un processeur, et pilotée par un programme d’ordinateur Pgl, représentatif des modules de réception, vérification, validation et transmission d'informations de connexion, stocké dans une mémoire morte 101 (par exemple une mémoire ROM ou un disque dur). A l’initialisation, les instructions de code du programme d’ordinateur sont par exemple chargées dans la mémoire vive 103 avant d’être exécutées par le processeur de l’unité de traitement 102. La mémoire vive 103 peut aussi contenir une table comprenant une entrée associant des droits d'accès à des réseaux locaux à l'identifiant de l'utilisateur.

La figure 8 illustre seulement une manière particulière, parmi plusieurs possibles, de réaliser le dispositif 100 afin qu'il effectue les étapes du procédé de gestion d'une demande d'accès à un réseau de communication local tel que détaillé ci-dessus, en relation avec les figures 3, 6 et 7 dans ses différents modes de réalisation. En effet, ces étapes peuvent être réalisées indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d'instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel). Dans le cas où le dispositif 100 est réalisé avec une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d'instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une carte SD, une clé USB, un CD-ROM ou un DVD-ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.

Les différents modes de réalisation ont été décrits ci-avant en relation avec un dispositif 100 intégré dans une plateforme de gestion PTF connectée au réseau de communications WAN, mais il peut aussi être intégré à tout autre équipement connecté au réseau de communications WAN, comme par exemple un routeur du réseau d'accès, une plateforme de service existante telle qu'une plateforme de gestion d'un portail d'accueil des clients de l'opérateur du réseau WAN.

On présente aussi, en relation avec la figure 9, un deuxième exemple de structure matérielle d'un dispositif 200 de traitement d'une demande d'accès à un réseau de communication local selon l'invention, comprenant, comme illustré par l'exemple de la figure 2, au moins un module de réception REC. WOW d'un message de réveil en provenance de la plateforme de gestion PTF, un module d'autorisation du réveil en fonction de contraintes prédéterminées, un module de validation d'une demande d'autorisation d'accès au service en provenance de la plateforme de gestion PTF et la transmission à ladite plateforme de gestion d'un jeton d'autorisation d'accès. Le dispositif 200 comprend aussi un module de connexion du terminal utilisateur au service sur réception d'une requête de connexion comprenant le jeton d'autorisation d'accès.

Avantageusement, le dispositif 200 comprend aussi un module d'authentification AUTH PTF de la plateforme de gestion PTF et un module de transmission TRNS DS d'une demande de sélection d'un service parmi une pluralité de services auquel l'utilisateur est autorisé à accéder.

Le terme « module » peut correspondre aussi bien à un composant logiciel qu'à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d'ordinateur ou de manière plus générale à tout élément d'un programme apte à mettre en oeuvre une fonction ou un ensemble de fonctions.

Plus généralement, un tel dispositif 200 comprend une mémoire vive 203 (par exemple une mémoire RAM), une unité de traitement 202 équipée par exemple d’un processeur, et pilotée par un programme d’ordinateur Pg2, représentatif des modules de réception, de validation d'une autorisation et de connexion, stocké dans une mémoire morte 201 (par exemple une mémoire ROM ou un disque dur). A l’initialisation, les instructions de code du programme d’ordinateur sont par exemple chargées dans la mémoire vive 203 avant d’être exécutées par le processeur de l’unité de traitement 202. La mémoire vive 203 peut aussi contenir une table comprenant une entrée associant à l'identifiant de l'utilisateur IDU un droit d'accès au réseau local LAN géré par la passerelle et à des équipements de ce réseau.

La figure 9 illustre seulement une manière particulière, parmi plusieurs possibles, de réaliser le dispositif 200 afin qu'il effectue les étapes du procédé de traitement tel que détaillé ci-dessus, en relation avec les figures 4, 6 et 7 dans ses différents modes de réalisation. En effet, ces étapes peuvent être réalisées indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d'instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel).

Dans le cas où le dispositif 200 est réalisé avec une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d'instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une carte SD, une clé USB, un CD-ROM ou un DVD-ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.

On présente enfin, en relation avec la figure 10, un exemple de structure matérielle d'un dispositif 300 de demande d'accès à un réseau de communication local selon l'invention, comprenant, comme illustré par l'exemple de la figure 2, au moins un module d'émission TRNS RA d'une demande d'accès à un réseau de communication local LAN à destination de la plateforme de gestion PTF, un module REC. @ I P, JA de réception d'informations de connexion à la passerelle GW comprenant une adresse IP de la passerelle et un jeton d'autorisation d'accès et un module de demande de connexion CNX à destination de l'adresse IP de la passerelle, la demande de connexion comprenant le jeton d'autorisation d'accès au réseau.

Avantageusement, le dispositif 300 comprend aussi un module SEL. S de sélection d'un réseau local parmi une pluralité de réseaux locaux autorisés par la plateforme pour le terminal utilisateur.

Le terme « module » peut correspondre aussi bien à un composant logiciel qu'à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d'ordinateur ou de manière plus générale à tout élément d'un programme apte à mettre en oeuvre une fonction ou un ensemble de fonctions.

Plus généralement, un tel dispositif 300 comprend une mémoire vive 303 (par exemple une mémoire RAM), une unité de traitement 302 équipée par exemple d’un processeur, et pilotée par un programme d’ordinateur Pg3, représentatif des modules de réception, de validation d'une autorisation et de connexion, stocké dans une mémoire morte 301 (par exemple une mémoire ROM ou un disque dur). A l’initialisation, les instructions de code du programme d’ordinateur sont par exemple chargées dans la mémoire vive 303 avant d’être exécutées par le processeur de l’unité de traitement 302. La mémoire vive 303 peut aussi contenir une table comprenant une entrée associant à l'identifiant de l'utilisateur IDU un droit d'accès au réseau local LAN géré par la passerelle et à des équipements de ce réseau.

La figure 10 illustre seulement une manière particulière, parmi plusieurs possibles, de réaliser le dispositif 300 afin qu'il effectue les étapes du procédé de demande d'accès tel que détaillé ci-dessus, en relation avec les figures 5, 6 et 7 dans ses différents modes de réalisation. En effet, ces étapes peuvent être réalisées indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d'instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel).

Dans le cas où le dispositif 300 est réalisé avec une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d'instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une carte SD, clé USB, un CD-ROM ou un DVD- ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.

L'invention qui vient d'être décrite dans ses différents modes de réalisation présente de nombreux avantages. En particulier, elle facilite la tâche d'un utilisateur qui souhaite accéder à distance à un réseau de communication local placé dans un état de veille, tout en garantissant la sécurité des équipements de ce réseau. En effet, l'utilisateur s'adresse toujours à la même plateforme quelle que soit le réseau de communication auquel il souhaite accéder. Cette plateforme stocke les droits d'accès de cet utilisateur à un ou plusieurs sites et/ou réseaux locaux. Ainsi, la plateforme sécurise en amont l'accès à la passerelle et à son réseau local en ne laissant passer que les requêtes dûment identifiées et autorisés. Il est donc bien plus difficile pour des pirates d'accéder au réseau local d'un utilisateur lorsqu'il est dans un état de veille.

En favorisant un accès à distance simple et sécurisé, l'invention encourage donc les utilisateurs à mettre en veille leurs équipements lorsqu'ils s'absentent, et donc contribue à une économie des ressources énergétiques.