Procédé de gestion d'une phase de demande d'appairage entre dispositifs de traitement de données.

Domaine technique

L’invention se rapporte au domaine des télécommunications.

L'invention se rapporte plus particulièrement à un procédé de gestion de l'appairage d'un premier dispositif de traitement de données avec un deuxième dispositif de traitement de données.

Le premier dispositif choisi pour illustrer l'invention est un objet connecté.

Rappelons qu'un objet connecté est un dispositif communiquant et donc capable de communiquer avec un réseau de communication. L'objet peut être équipé de capteurs (de température, d'humidité, etc.), d'un appareil photo, d'une caméra, etc. et peut, du fait de ses capacités à émettre des données, transmettre des données captées ou des contenus multimédias par exemple à destination d'un autre dispositif de traitement de données tel qu'un serveur de traitement.

Le deuxième dispositif choisi pour illustrer l'invention est une passerelle domestique.

L'invention ne se limite bien évidemment pas aux objets connectés et aux passerelles domestiques. L'invention s'applique plus généralement à tous dispositifs de traitement de données.

Etat de la technique

L'installation d'un nouvel objet connecté sans fil (comme une caméra connectée ou une ampoule connectée WiFi), nécessite un appairage préalable par exemple avec une passerelle domestique. Cet appairage est capital car il permet d'être sûr que l'objet qui se présente est bien celui que l'utilisateur souhaite appairer et non un autre objet par exemple celui d'un voisin ou d'un tiers malveillant.

Cette phase de demande d'appairage est un moment particulièrement sensible dans la vie de l'objet. En effet, phase de demande d'appairage est souvent une source de vulnérabilité car la transmission des informations de connexion est parfois réalisée sans sécurité, par exemple sans authentification préalable. Cete phase de demande d'appairage est habituellement limitée dans le temps pour réduire les risques ; en effet, on estime que l'utilisateur qui achète un objet va l'appairer dans les premières minutes ou heures qui suivent sa mise sous tension. Il est donc fort probable que le dispositif qui souhaite s'appairer dans cet intervalle de temps avec l'objet soit un dispositif légitime. Cete phase de demande d'appairage limitée dans le temps est en quelque sorte une sécurité contre un accès frauduleux.

Pour certains objets, cete phase de demande d'appairage limitée dans le temps est répétée à chaque à chaque (re)démarrage électrique.

Pour d'autres objets, la phase de demande d'appairage est active en permanence tout au long de la vie de l'objet. Cete durée illimitée est pratique car elle ne nécessite aucune action d'un utilisateur, par exemple appuyer sur un bouton pour activer la phase de demande d'appairage ; elle permet aussi de réaliser l'appairage à tout moment. Le problème lié à la répétition des demandes d'appairage à chaque redémarrage électrique, ou lié à une durée de demande d'appairage illimitée, est que le risque de fraude augmente inévitablement. Un tiers malveillant peut utiliser la durée d'appairage illimitée, ou les phases de demande d'appairage répétées, pour tenter de prendre la main sur l'objet à l'insu du propriétaire de l'objet. Par exemple, si l'objet est une caméra connectée, le tiers malveillant en question peut par exemple filmer l'intérieur de la maison grâce à la caméra à l'insu de l'utilisateur légitime par exemple le propriétaire de la caméra.

L’invention vient améliorer la situation.

L’invention

A cet effet, selon un aspect fonctionnel, l’invention a trait à un procédé de gestion d'une phase de demande l'appairage d'un dispositif de traitement de données, caractérisé en ce qu'il comprend les étapes suivantes dans une entité externe au dispositif :

Une étape de détection d'une phase de demande d'appairage issue du dispositif de traitement de données ; Une étape d'obtention d'une durée écoulée liée à la phase de demande d'appairage,

Une étape de demande d'arrêt de la phase de l'appairage au-delà d'une durée donnée.

Selon l'invention, une phase de demande d'appairage dure une certaine durée au-delà de laquelle une entité requiert un arrêt de la phase de demande d'appairage. Cette durée de demande d'appairage est contrôlée par une entité externe au dispositif de traitement de données. L'entité externe est idéalement installée dans une passerelle domestique comme on le verra dans la suite.

En d'autres mots, la durée de la phase de demande d'appairage est personnalisable et peut être fixée par un dispositif externe au dispositif de traitement de données.

Comme on le verra dans la suite, l'entité est apte à mettre fin à la demande d'appairage par exemple en isolant le dispositif concerné de manière à mettre l'objet en quarantaine. L'entité décide par exemple de mettre fin à la demande d'appairage lorsque la durée de la phase de demande d'appairage a dépassé une durée seuil, la mise en quarantaine consistant à créer un point d'accès spécifique, ou sous-réseau spécifique, dit sous-réseau de quarantaine.

L'invention est tout particulièrement intéressante pour les dispositifs avec un mode d'appairage permanent, c'est-à-dire illimité dans le temps. L'invention s'applique néanmoins aux dispositifs offrant un mode d'appairage limité dans le temps. En effet, la durée du mode d'appairage choisie par défaut, par exemple par le constructeur de l'objet, peut ne pas convenir au propriétaire de l'objet par exemple parce qu'elle est trop longue.

Comme on le verra dans la description, la demande d'arrêt de la phase de demande d'appairage peut prendre plusieurs formes.

Selon un premier mode de mise en oeuvre particulier de l’invention, une demande d'arrêt comprend une étape de création d'un identifiant de connexion spécifique, assimilable à identifiant de connexion pour dispositif à mettre en quarantaine; l'étape de création est suivie d'une étape de transmission de l'identifiant de connexion au dispositif de traitement de données et une étape d'appairage du dispositif de traitement de données à la base de l'identifiant de connexion transmis. Dans ce premier mode, l'arrêt effectif de la demande d'appairage prend fin en appairant (ou appariant) l'objet. Ce premier mode a pour fonction de créer un point d'accès spécifique, ou sous-réseau, par exemple dans une passerelle domestique ; ce point d'accès spécifique a pour vocation de mettre en quarantaine un dispositif pour isoler ce dernier d'autres dispositifs offrant des points d'accès respectifs. Ce mode vise à empêcher un dispositif de traitement de données tel qu'un objet connecté de se connecter sur un autre réseau ou sous-réseau que celui créé pour la mise en quarantaine. En d'autres mots, ce premier mode de réalisation force l'appairage entre le dispositif de traitement de données et le sous-réseau créé pour mettre fin à la demande d'appairage en cours issue de l'objet.

Selon encore un deuxième mode de mise en oeuvre particulier de l’invention, qui pourra être mis en oeuvre alternativement ou cumulativement avec les précédents, l'identifiant de connexion créé est masqué. De cette manière, en supposant que l'entité est installée dans une passerelle, cette dernière ne diffuse pas l'identifiant de connexion spécifique créée aux dispositifs situés à proximité. Ce mode évite qu'un dispositif légitime, autre que le dispositif de traitement de données l'utilise pour s'appairer avec le sous-réseau de mise en quarantaine.

Selon encore un troisième mode de mise en oeuvre particulier de l’invention, qui pourra être mis en oeuvre alternativement ou cumulativement avec les précédents modes, l'identifiant de connexion créé est associé à un mot de passe. De cette manière, seul le dispositif de traitement de données visé par une mise en quarantaine peut établir une connexion avec l'identifiant de connexion créé. Ce mode évite qu'un autre dispositif se connecte sur le point d'accès de quarantaine créé.

Selon encore un quatrième mode de mise en oeuvre particulier de l’invention, qui pourra être mis en oeuvre alternativement ou cumulativement avec les précédents modes, une seule connexion est possible avec l'identifiant de connexion spécifique. Ce mode permet de refuser d'autres connexions autres que celle établit avec le dispositif de traitement de données. Selon un aspect matériel, l'invention se rapporte à une entité de gestion apte à gérer une phase de demande d'appairage d'un premier dispositif de traitement de données, caractérisé en ce que l'entité comprend

Un module de détection d'une phase de demande d'appairage issue du dispositif,

Un module d'obtention d'une durée écoulée liée à la phase de demande d'appairage,

Un module d'arrêt de la phase de l'appairage au-delà d'une durée donnée. Selon un autre aspect matériel, l'invention se rapporte à une passerelle domestique incluant l'entité décrite ci-dessus.

Selon un autre aspect matériel, l'invention a trait à un programme d'ordinateur apte à être mis en oeuvre sur une entité de gestion telle que définie ci-dessus, le programme comprenant des instructions de code qui, lorsqu'il est exécuté par un processeur, réalise les étapes du procédé définies ci-dessus.

Enfin, l'invention a trait à un support de données sur lequel a été mémorisée au moins une série d'instructions de code de programme pour l'exécution du procédé défini ci-dessus.

Le support de données peut être n’importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu’une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d’enregistrement magnétique tel qu'un un disque dur. D’autre part, le support d’informations peut être un support transmissible tel qu’un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d’autres moyens. Le programme selon l’invention peut être en particulier téléchargé sur un réseau de type Internet. Alternativement, le support d’informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l’exécution du procédé en question.

Enfin, signalons ici que, dans le présent texte, le terme « module » ou « entité » peut correspondre aussi bien à un composant logiciel qu'à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d'ordinateur ou de manière plus générale à tout élément d'un programme apte à mettre en oeuvre une fonction ou un ensemble de fonctions telles que décrites pour les modules concernés. De la même manière, un composant matériel correspond à tout élément d'un ensemble matériel (ou hardware) apte à mettre en oeuvre une fonction ou un ensemble de fonctions pour le module concerné (circuit intégré, carte à puce, carte à mémoire, etc.).

L’invention sera mieux comprise à la lecture de la description qui suit, donnée à titre d’exemple et faite en référence aux dessins annexés sur lesquels :

[Fig. 1] La figure 1 représente un système informatique sur lequel est illustré un exemple de réalisation de l’invention.

[Fig. 2] la figure 2 est une vue schématique de l'architecture d'une passerelle domestique selon un mode de réalisation de l'invention.

[Fig. 3] la figure 3 illustre un exemple d'étapes mises en oeuvre dans le cadre d'un procédé selon un mode de réalisation.

Description détaillée d’un (ou d') exemple(s) de réalisation illustrant l’invention

La figure 1 représente un dispositif de traitement de données OBJ pouvant accéder à un réseau de communication RES.

Dans notre exemple, le dispositif de traitement de données est un objet connecté.

L'objet OBJ peut être tout type de dispositif configuré pour accéder à un réseau de communication. L'objet OBJ peut être une ampoule connectée, un aspirateur connecté, un téléphone portable ou autre terminal de communication mobile, tel qu'une tablette ou un ordinateur portable, un ordinateur de bureau ou un appareil domestique pouvant établir une connexion avec le réseau de communication RES.

Dans notre exemple, l'objet connecté est apte à communiquer avec le réseau de communication RES via un dispositif d'interface GTW.

Dans notre exemple, le réseau de communication RES est le réseau Internet et le dispositif d'interface GTW est une passerelle domestique ou un routeur permettant l'accès du terminal d'un utilisateur OBJ à Internet. L'accès au réseau de communication RES est fourni par un fournisseur d'accès au réseau de communication (non représenté sur les figures).

La figure 2 illustre une passerelle domestique GTW configurée pour mettre en oeuvre le procédé de gestion selon un mode particulier de réalisation de l’invention.

Selon ce mode particulier, la passerelle GTW a l’architecture classique d’un ordinateur et comprend notamment un processeur CPU (ou microcontrôleur), une mémoire MEM dans laquelle, dans laquelle, une entité ENT est stockée. Dans notre exemple l'entité ENT est un programme d'ordinateur qui comprend des instructions pour mettre en oeuvre les étapes du procédé de gestion qui sera décrit par la suite en référence à la figure 3, lorsque le programme est exécuté par le processeur CPU.

La passerelle comprend en outre un module de communication référencé Wi-Fi sur la figure et un module RES pour communiquer, respectivement, avec un réseau local tel qu'un réseau WiFi et un réseau étendu tel qu'un réseau ADSL, Fibre, etc. Ce module est apte à recevoir et/ou émettre des données à la passerelle GTW.

La figure 3 illustre les étapes du procédé de traitement conforme à un premier mode de réalisation de l'invention.

Au cours d'une étape référencée ET1, l'objet OBJ crée un point d'accès WiFi®, dont le SSID contient le suffixe _AJ ou le préfixe AJ_.

Lors d'une deuxième étape ET2, l'objet OBJ publie son identifiant SSID. A ce stade, des dispositifs situés dans le champ de couverture de l'objet reçoivent l'identifiant SSID.

Dans notre exemple de réalisation, l'objet connecté OBJ communique au moyen d'un protocole de communication appelé AlIJoyn®.

Rappelons que, selon le service AlIJoyn® « Onboarding Service », un objet souhaitant communiquer avec un réseau de communication doit publier un réseau, c'est-à-dire créer un point d'accès WiFi®, dont l'identifiant SSID (pour l'anglais « Service Set Identifier », conformément à la norme IEEE 802.11) contient un préfixe AJ_ ou un suffixe _AJ. Ce point d'accès peut être sécurisé ou ouvert. Dans notre exemple, l'objet connecté OBJ publie un réseau Wi-Fi® « Lifi- A0_xxx_AJ ».

Lors d'une troisième étape ET3, la passerelle domestique GTW scanne en permanence les échanges radio afin de détecter tous les équipements en phase de demande d'appairage qui émettent leurs identifiants SSID respectifs.

Lors d'une quatrième étape ET4, la passerelle domestique GTW détecte un type d'objet en mode d'appairage par exemple en détectant les points d'accès WiFi ouvert. Pour cela, la passerelle détecte les publications du type « Lifi-A0 _ xxx_

AJ» provenant d'un ou plusieurs objets connectés. Dans notre exemple, la passerelle reçoit le SSID publié par l'objet OBJ, à savoir SSID xxx_AJ, et détecte de ce fait un objet en phase de demande d'appairage. La passerelle récupère l'adresse @MAC de cet objet.

L'invention ne se limite bien évidemment pas à l'utilisation du protocole AlIJoyn®; d'autres techniques peuvent bien évidemment être utilisées pour détecter qu'un objet est dans une phase de demande d'appairage. Par exemple, la passerelle domestique peut s'appuyer sur une marque ou un identifiant du type numéro de série, connus pour être des objets connectés. Par exemple, si un objet diffuse un SSID du type « mini35000 », 35000 peut désigner un numéro de série connu pour être une caméra connectée ; un SSID du type « Cam-xx » peut être connue par l'entité pour désigner un objet connecté du type caméra connectée.

Lors d'une cinquième étape ET5, suite à une détection d'un objet en phase de demande d'appairage, la passerelle GTW stocke en base de données persistante par exemple de type ROM (Read Only Memory) incluant des mémoires EPROM, EEPROM, etc., des données d'identification tels que l'adresse du ou des objets détectés dans une phase de demande d'appairage.

La passerelle GTW stocke, par exemple, les paramètres suivants pour un objet donné :

- l'adresse de l'objet par exemple son adresse @MAC,

- l'identifiant SSID publié par l'objet OBJ,

- etc. Précisons ici que le protocole Alljoyn donne la possibilité à la passerelle GTW de récupérer des données d'identification de l'objet OBJ. Par exemple, par l'intermédiaire du service AlIJoyn « About », la passerelle GTW obtient la référence du fabricant de l'objet, ainsi que son numéro de série ; par l'intermédiaire du service « Onboarding », la passerelle GTW obtient l'adresse MAC (pour « Media Access Control ») de l'objet connecté OBJ.

Lors d'une sixième étape ET6, la passerelle domestique GTW détermine pour un objet détecté en phase de demande d'appairage une durée DA représentative d'une durée écoulée liée à la phase de demande d'appairage en cours pour cet objet. Une durée maximum Dmax est définie dans l'entité ENT, durée au-delà de laquelle la passerelle GTW agit sur l'objet pour modifier la phase de demande d'appairage. La modification consiste, dans notre exemple, à mettre fin à la phase de demande d'appairage.

Cette durée écoulée peut être indifféremment

- une durée écoulée depuis la détection d'un objet en phase de demande d'appairage. Pour cela, la passerelle dispose d'un compteur temporel ; et/ou

- une durée écoulée depuis le démarrage de la phase de demande d'appairage. Dans ce cas, la durée DA obtenue peut être fournie par l'objet lui-même équipé d'un compteur temporel.

La durée écoulée peut aussi être déduite de l'heure de mise sous tension de l'objet considéré. En effet, certains objets connectés passent en mode de demande d'appairage dès l'instant où ils sont mis sous tension.

Précisons ici que l'entité ENT est idéalement installée dans la passerelle domestique GTW. Cependant, l'invention ne se limite pas à cette configuration, l'entité ENT pouvant être localisée à un autre endroit que dans la passerelle GTW par exemple sur un dispositif (non représenté) du réseau local de la passerelle domestique GTW ou sur un dispositif (non représenté) connecté au réseau RES. L'entité ENT pourrait très bien être située sur l'objet dans une zone mémoire sécurisée accessible que par une personne autorisée par exemple le constructeur de l'objet ou un gestionnaire de l'objet tel qu'un opérateur de télécommunication. Lors d'une septième étape ET7, la passerelle GTW requiert un arrêt de la phase de demande d'appairage si la durée Dmax est atteinte. L'arrêt peut être définitif ou temporaire.

Lors de cette septième étape ET7, la passerelle GTW compare cette durée DA à la durée Dmax.

Dès que Dmax est atteinte, lors d'une cinquième étape ET5, la passerelle GTW met fin à la phase de demande d'appairage.

L'arrêt de la phase de demande d'appairage peut être exécuté de plusieurs façons.

Selon une première façon, la passerelle notifie l'objet requérant à celui-ci de cesser l'appairage. Un module d'arrêt présent dans l'objet OBJ met fin à la phase de demande d'appairage.

On part ici du principe qu'un seul appairage n'est possible avec le réseau considéré, le réseau WiFi dans notre exemple.

Selon une deuxième façon, la passerelle GTW isole l'objet OBJ. Pour cela, dans notre exemple, la passerelle GTW créé un sous-réseau spécifique auquel va se s'appairer l'objet de façon à l'isoler et mettre l'objet OBJ en quarantaine. La passerelle créé pour cela un identifiant SSID dédié à l'objet pour lequel un arrêt de demande d'appairage est souhaité. Comme on le verra ci-dessous, une fois l'objet appairé (ou apparié) à la passerelle bloque l'accès au réseau RES. On verra aussi que l'accès au réseau RES peut être autorisé sur une durée limitée par exemple pour clore la phase d'appairage.

Dans notre exemple l'identifiant SSID est nommé « BCK ».

Lors d'une huitième étape ET8, la passerelle transmet à l'objet OBJ les données de configuration WiFi nécessaires pour établir une connexion avec la passerelle, ou plus précisément avec le sous-réseau créé nommé « BCK ». Les données sont, dans notre exemple, l'identifiant SSID nommé « BCK » et un mot de passe de la passerelle PW-BLK. Pour ce faire, la passerelle résidentielle FIGW 10 peut utiliser la fonction AlIJoyn® Onboarding.ConfigWifi (éventuellement sécurisé via AlIJoynSecurity 2.0), pour une transmission sécurisée et chiffrée de la clé WiFi et du mot de passe associé. Dans cette configuration, lors d'une neuvième étape ET9, l'objet OBJ s'appaire à la passerelle GTW en utilisant l'identifiant spécifique« BCK » et le mot de passe dédié. Une fois l'appairage réalisé, l'objet cesse d'émettre des messages de demande d'appairage.

Cette deuxième façon assure que l'objet ne se connectera pas à un point d'accès par la suite.

Le procédé décrit ci-dessus peut faire l'objet de variantes :

Selon une variante, une fois l'objet connecté au sous-réseau, l'objet vérifie qu'il a bien accès à internet via le point d'accès créé « BCK »pour terminer sa configuration et passer en mode normal. Dans cette configuration, le point d'accès « BCK » reste actif suffisamment longtemps et connecté au réseau Internet RES. Cela permet de clore la phase de demande d'appairage entre l'objet OBJ le point d'accès. Cette variante peut n'être mise en oeuvre que la première fois pour clore la phase initiale d'appairage de l'objet. Après, on pourrait aussi laisser l'objet connecté sans relancer le SSID BCK sur la passerelle domestique.

Selon une autre variante, l'identifiant SSID du sous-réseau, nommé « BCK » dans notre exemple, est masqué pour les autres dispositifs que l'objet. En d'autres mots, des dispositifs situés dans le rayon de couverture de la passerelle n'affichent pas « BCK » dans la liste de réseaux disponibles. Cette variante évite qu'un autre équipement non concerné par une mise en quarantaine utilise ce sous-réseau de quarantaine.

Selon une autre variante, un mot de passe est défini pour accéder au point d'accès« BCK ».

Selon une autre variante, dès que l'objet s'est appairé sur le point d'accès « BCK », la passerelle bloque toute tentative d'appairage sur ce point d'accès. Cette variante évite que plusieurs dispositifs puissent se connecter sur le point d'accès créé « BCK ».

Dans le cas d'une autorisation d'appairage temporaire seulement, la passerelle GTW peut, à l'expiration de la période d'autorisation d'appairage, transmettre à l'objet connecté OBJ une requête de déconnexion (étape E62), par exemple en utilisant le service AlIJoyn® Onboarding. L'objet connecté se déconnecte alors du sous-réseau temporaire qui lui avait été dédié. L'appel de la fonction « Offboard » permet de déconnecter automatiquement l'objet OBJ à la fin de la période autorisée pour son appairage. Lors de la troisième étape ET3 décrite ci-dessus, l'entité ENT peut aussi prendre en compte la force du signal (RSSI) issu de l'objet afin de s'assurer que l'objet que l'on essaie de protéger est bien celui de l'utilisateur et non celui d'un voisin par exemple. Une confirmation pourrait être demandée à l'utilisateur.

La troisième étape ET3 peut être consommatrice en énergie électrique. Selon une autre variante, l'entité ENT peut activer ce mode sous certains critères (à la demande de l'utilisateur, à intervalles de temps régulier, lors de la détection de l'entrée à la maison de l'utilisateur ...).

Selon une autre variante, au lieu de créer un point d'accès spécifique pour arrêter la phase de demande d'appairage, le procédé peut consister à transmettre à l'objet une commande d'arrêt de l'appairage. Pour la réalisation de ce mode, l'objet comprend un module de traitement apte à requérir sur commande un arrêt de l'appairage.

Pour la réalisation du procédé de l'invention, l'entité comprend

Un module de détection d'une phase de demande d'appairage issue du dispositif de traitement de données ;

Un module d'obtention d'une durée écoulée liée à la phase de demande d'appairage ;

Un module d'arrêt apte à requérir un arrêt de la phase de l'appairage au-delà d'une durée donnée.