BE1030439A1 - Systèmes et procédés de provisionnement sécurisé d’unités de détection - Google Patents

Systèmes et procédés de provisionnement sécurisé d’unités de détection Download PDF

Info

Publication number
BE1030439A1
BE1030439A1 BE20235333A BE202305333A BE1030439A1 BE 1030439 A1 BE1030439 A1 BE 1030439A1 BE 20235333 A BE20235333 A BE 20235333A BE 202305333 A BE202305333 A BE 202305333A BE 1030439 A1 BE1030439 A1 BE 1030439A1
Authority
BE
Belgium
Prior art keywords
detection unit
network
interface
short
access
Prior art date
Application number
BE20235333A
Other languages
English (en)
Other versions
BE1030439B1 (fr
Inventor
Minghao Sun
Original Assignee
Zebra Technologies
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zebra Technologies filed Critical Zebra Technologies
Publication of BE1030439A1 publication Critical patent/BE1030439A1/fr
Application granted granted Critical
Publication of BE1030439B1 publication Critical patent/BE1030439B1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/47Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • H04W12/55Secure pairing of devices involving three or more devices, e.g. group pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

La présente invention concerne des techniques de provisionnement sécurisé d’une unité de détection. Un exemple de procédé comporte la détection, via une interface de communication à courte portée, d’un couplage entre un terminal et une unité de détection; en réponse au couplage, l’obtention, via un ou plusieurs processeurs, d’informations d’identification identifiant de manière unique l’unité de détection; la transmission, via un réseau de communication sans fil, des informations d’identification à un serveur d’accès; la réception, via le réseau de communication sans fil et à partir du serveur d’accès, d’une réponse d’accès indiquant que l’unité de détection est un dispositif autorisé ; et en réponse à la réception de la réponse d’accès, le provisionnement, via l’interface de communication à courte portée, de l’unité de détection en informations de configuration qui permettent à l’unité de détection d’accéder au réseau de communication sans fil.

Description

1 BE2023/5333
SYSTÈMES ET PROCÉDÉS DE PROVISIONNEMENT SÉCURISÉ
D’UNITÉS DE DETECTION
ARRIÈRE-PLAN
Dans les environnements de vente au détail ou d'inventaire, les unités de détection (par exemple, les lecteurs de codes-barres, les lecteurs
RFID) doivent se connecter à un réseau local de communication sans fil pour réaliser une tâche de gestion d'inventaire. Par exemple, l’unité de détection peut être configurée pour détecter des identifiants apposés sur un objet et envoyer des rapports sur les identifiants détectés sur le réseau local de com- munication sans fil pour les applications de suivi de la chaîne logistique.
Comme pour tout autre dispositif de communication, les unités de détection doivent obtenir des informations de configuration concernant le réseau local de communication sans fil avant de s’y connecter.
Cependant, de nombreuses unités de détection ont des interfaces utilisateur rudimentaires. Ainsi, la configuration de l’unité de détection avec les informations de configuration via l’interface utilisateur d’unité de détec- tion est souvent une expérience ardue pour l'utilisateur.
De nombreux types d’unités de détection ont également la capa- cité de s’apparier avec des dispositifs terminaux via des liaisons de commu- nication à courte portée. Par exemple, certaines unités de détection peuvent être adaptées dans une configuration de traîneau dans laquelle un dispositif terminal est recu dans un appareil connecteur qui comporte une ou plu- sieurs broches pour prendre en charge les communications à courte portée entre elles. Par conséquent, afin d’améliorer l’expérience de configuration, certains ont permis une configuration manuelle de l’unité de détection via l’interface utilisateur de dispositif terminal.
Cependant, il s'agit toujours d’un processus manuel long et sujet à des erreurs de la part de l'utilisateur. En outre, le processus manuel ne per- met pas d’authentifier correctement l’unité de détection avant la
9 BE2023/5333 configuration. Compte tenu de ces difficultés, il est nécessaire de disposer de systèmes et de procédés de provisionnement sécurisé d'unités de détection.
RÉSUMÉ
Dans un mode de réalisation, un procédé de provisionnement sé- curisé d’une unité de détection est prévu. Le procédé comporte (1) la détec- tion, via une interface de communication à courte portée, d’un couplage entre un terminal et une unité de détection ; (2) en réponse au couplage, l’obtention, via un ou plusieurs processeurs, d'informations d'identification identifiant de manière unique l’unité de détection ; (3) la transmission, via un réseau de communication sans fil, des informations d’identification à un serveur d’accès ; (4) la réception, via le réseau de communication sans fil et à partir du serveur d'accès, d’une réponse d’accès indiquant que l'unité de détection est un dispositif autorisé ; et (5) en réponse à la réception de la ré- ponse d’accès, le provisionnement, via l’interface de communication à courte portée, de l’unité de détection en informations de configuration qui permet- tent à l’unité de détection d’accéder au réseau de communication sans fil.
Dans une variante, les communications via l'interface de commu- nication à courte portée peuvent utiliser un protocole de communication dif- férent des communications via le réseau de communication sans fil.
Dans une autre variante ou une variante supplémentaire, les in- formations d'identification identifiant de manière unique l'unité de détection peuvent être au moins un parmi un numéro de série et une adresse de com- mande d'accès au support (MAC); et pour déterminer la réponse d'accès, le serveur d'accès peut être configuré pour comparer au moins un parmi le nu- méro de série et l'adresse MAC à une liste de numéros de série ou d'adresses
MAC approuvés.
Dans encore une autre ou une autre variante, l'unité de détection peut être associée à une paire clé publique/clé privée unique; les informa- tions d'identification identifiant de manière unique l'unité de détection peu- vent comporter une signature numérique appliquée cryptée via la clé privée;
3 BE2023/5333 et pour déterminer la réponse d'accès, le serveur d'accès peut être configuré pour décrypter la signature numérique à l'aide de la clé publique.
L’unité de détection peut être au moins un parmi un lecteur de codes-barres et un lecteur d'identification par radiofréquence (RFID).
L’interface de communication à courte portée peut être au moins une parmi une interface Bluetooth, une interface de bus série univer- sel (USB), une interface série, une interface Ethernet, une interface de com- munication en champ proche (NFC) ou une interface d’entrée/sortie à usage général (GPIO).
Le réseau de communication sans fil peut être au moins un parmi un réseau de fidélité sans fil (Wi-Fi) et un réseau cellulaire.
Avantageusement, le réseau de communication sans fil peut être configuré comme un réseau local sécurisé (LAN).
Dans encore une autre ou une variante supplémentaire, les infor- mations de configuration peuvent comporter un certificat de sécurité pour l’authentification auprès du LAN sécurisé.
Dans encore d’autres variantes supplémentaires ou d’autres va- riantes, les informations de configuration peuvent comporter au moins un parmi un nom de réseau pour le réseau de communication sans fil, un mot de passe de réseau pour le réseau de communication sans fil, ou une mise à jour de logiciel pour l'unité de détection.
Dans un autre mode de réalisation, un autre procédé ou un pro- cédé supplémentaire de provisionnement sécurisé d’une unité de détection est prévu. Le procédé comporte (1) la détection, via une interface de commu- nication à courte portée, d’un couplage entre un terminal et une unité de dé- tection ; (2) en réponse au couplage, l'obtention, via un ou plusieurs proces- seurs, d'informations d’identification identifiant de manière unique l’unité de détection ; (3) la comparaison, par les un ou plusieurs processeurs, des in- formations d'identification à une liste d'informations d’identification de dis- positifs autorisés à utiliser un réseau de communication sans fil ; (4) la
4 BE2023/5333 determination, via les un ou plusieurs processeurs, du fait que l’unité de dé- tection est un dispositif autorisé ; et (5) en réponse à la détermination, le provisionnement, via l'interface de communication à courte portée, de l’unité de détection en informations de configuration qui permettent à l’unité de dé- tection d’accéder au réseau de communication sans fil.
Dans certaines variantes du procédé, les communications via la communication à courte portée peuvent utiliser un protocole de communica- tion différent des communications sur le réseau de communication sans fil.
Dans une autre ou une variante supplémentaire, les informations d'identification identifiant de manière unique l'unité de détection peuvent être au moins un parmi un numéro de série et une adresse de commande au support (MAC), la liste des informations d'identification comporte une liste de numéros de série ou d'adresses MAC approuvés ; et pour déterminer la réponse d'accès, le serveur d'accès peut être configuré pour comparer au moins un parmi le numéro de série et l'adresse MAC à la liste de numéros de série ou d'adresses MAC approuvés.
Dans encore une autre variante ou variante supplémentaire, l'unité de détection peut être associée à une paire clé publique/clé privée unique ; les informations d'identification identifiant de manière unique l'unité de détection peuvent comprendre une signature numérique appliquée cryptée via la clé privée ; et déterminer que l'unité de détection peut être un dispositif autorisé peut comprendre le décryptage de la signature numérique à l'aide de la clé publique.
L’unité de détection peut être au moins un parmi un lecteur de codes-barres et un lecteur d’identification par radiofréquence (RFID).
L’interface de communication à courte portée peut être au moins une parmi une interface Bluetooth, une interface de bus série univer- sel (USB), une interface série, une interface Ethernet, une interface de com- munication en champ proche (NFC) ou une interface d’entrée/sortie à usage général (GPIO).
Dans une autre variante ou une variante supplémentaire, le pro- cédé peut comprendre l'obtention, à partir d’un serveur d’accès, de la liste d'informations d’identification.
Dans encore d’autres variantes ou variantes supplémentaires, le 5 réseau de communication sans fil peut être au moins un parmi un réseau de fidélité sans fil (Wi-Fi) et un réseau cellulaire.
Dans encore une autre variante ou même une variante supplé- mentaire, le réseau de communication sans fil peut être configuré comme un réseau local sécurisé (LAN) ; et les informations de configuration peuvent comporter un certificat de sécurité pour l’authentification auprès du LAN sécurisé.
Dans une autre variante encore, les informations de configuration peuvent comporter au moins un parmi un nom de réseau pour le réseau de communication sans fil, un mot de passe de réseau pour le réseau de com- munication sans fil, ou une mise à jour de logiciel pour l’unité de détection.
BRÈVE DESCRIPTION DES DESSINS
Les figures ci-jointes, où les mêmes chiffres de référence se réfè- rent à des éléments identiques ou fonctionnellement similaires dans les vues séparées, ainsi que la description détaillée ci-dessous, sont incorporées dans la spécification et en font partie, et servent à illustrer davantage des modes de réalisation de concepts qui comportent l'invention revendiquée, et à expli- quer divers principes et avantages de ces modes de réalisation.
La FIG. 1 illustre un exemple d'environnement qui comporte une unité de détection couplée à un dispositif terminal, conformément à certains exemples.
La FIG. 2A illustre un exemple de diagramme de signaux de pro- visionnement sécurisé d’une unité de détection via une autorité centrale, conformément à certains exemples.
6 BE2023/5333
La FIG. 2B illustre un exemple de diagramme de signaux de pro- visionnement sécurisé d’une unité de détection via une autorité locale, con- formément à certains exemples.
La FIG. 3 illustre un schéma de principe d’un exemple de système comportant un circuit logique pour mettre en œuvre les exemples de procé- dés et/ou d’opérations décrits ici, comportant des procédés de provisionne- ment sécurisé d’une unité de détection.
Les FIG. 4 et 5 illustrent des schémas de principe d’exemples de processus, tels qu'ils peuvent être mis en œuvre par le système de la FIG. 3, pour mettre en œuvre les exemples de procédés et/ou d’opérations décrits ici, comportant des procédés de provisionnement sécurisé d’une unité de détec- tion.
Les artisans compétents apprécieront le fait que les éléments des figures sont illustrés pour des raisons de simplicité et de clarté et n’ont pas nécessairement été dessinés à l’échelle. Par exemple, les dimensions de cer- tains éléments des figures peuvent être exagérées par rapport à d’autres élé- ments afin d’améliorer la compréhension des modes de réalisation de la pré- sente invention.
Les composants de l'appareil et du procédé ont été représentés, le cas échéant, par des symboles conventionnels dans les dessins, ne montrant que les détails spécifiques qui sont pertinents pour comprendre les modes de réalisation de la présente invention afin de ne pas obscurcir la divulgation avec des détails qui seront facilement apparents pour les personnes ayant des compétences ordinaires dans l’art ayant le bénéfice de la description ici.
L'homme du métier reconnaîtra facilement à partir de la discus- sion suivante que d'autres exemples des assemblages et procédés illustrés ici peuvent être employés sans s'écarter des principes énoncés ici.
DESCRIPTION DÉTAILLÉE
La FIG. 1 illustre un exemple d'environnement 100 qui comporte un exemple d’unité de détection 102 et un exemple de terminal 104 de
7 BE2023/5333 dispositif informatique mobile fixé via un adaptateur 105 mécanique. Les techniques fournies par la présente divulgation impliquent le provisionne- ment sécurisé de l’unité de détection 102 via une interface de communica- tion à courte portée entre le terminal 104 de dispositif informatique mobile et l'unité de détection 102. Alors que la FIG. 1 représente l'unité de détec- tion 102 dans un facteur de forme de traîneau d'identification par radiofré- quence (RF) (RFID), dans d’autres modes de réalisation, l’unité de détection 102 est une unité de détection RFID autonome. De même, dans d’autres modes de réalisation, l’unité de détection 102 est une unité de détection de codes-barres configurée pour balayer des codes-barres, des codes de mar- quage direct de pièces (DPM), et analogues.
Dans le mode de réalisation illustré, l'adaptateur 105 comporte une panoplie de broches d’entrée/sortie à usage général (GPIO) qui établis- sent un couplage de communication physique entre l’unité de détection 102 et le terminal 104 lorsque l'adaptateur 105 est couplé au terminal 104. Dans certains modes de réalisation, le terminal 104 et l’unité de détection 102 éta- blissent en plus ou alternativement une liaison de communication sans fil à courte portée entre eux. Par exemple, la liaison de communication sans fil à courte portée peut être une liaison de communication Bluetooth (y compris le Bluetooth basse consommation (BLE)), une communication en champ proche (NFC), et/ou un autre type de liaison de communication sans fil à courte portée. En conséquence, le terminal 104 et unité de détection 102 peuvent établir l’interface de communication à courte portée via un couplage de communication physique et/ou la liaison de communication sans fil à courte portée.
Alors que la FIG. 1 représente le terminal 104 dans un facteur de forme de dispositif informatique mobile qui peut être reçu dans le facteur de forme de traîneau de l’unité de détection 102, dans d’autres modes de réali- sation le terminal 104 prend d’autres facteurs de forme, tels qu’un un ordi- — nateur de bureau, un ordinateur portable, une tablette, un dispositif
8 BE2023/5333 informatique mobile non adapté à la réception dans le facteur de forme de traîneau de l’unité de détection 102, ou d’autres types de facteurs de forme d'équipement utilisateur. Pour prendre en charge l'établissement de l’inter- face de communication à courte portée avec ces types de terminaux 104 al- ternatifs, l’unité de détection comporte un port 108, tel qu’un port série, un port de bus série universel (USB), un port Ethernet ou d'autres types de ports. Si les terminaux 104 alternatifs prennent également en charge un ou plusieurs types de liaisons de communication sans fil à courte portées, l’in- terface de communication à courte portée entre l’unité de détection 102 et le terminal 104 peut en plus ou alternativement être établie via la liaison de communication sans fil à courte portée.
Outre interface de communication à courte portée, l’unité de dé- tection 102 comporte également un ou plusieurs émetteurs-récepteurs adap- tés pour communiquer sur un réseau de communication sans fil 107 associé à unlieu, tel qu’un entrepôt, un quai de chargement, un port, une vente au détail ou un autre emplacement commercial, etc. Par exemple, le réseau de communication sans fil 107 peut être un réseau de communication Wi-Fi ou un réseau de communication cellulaire. Il convient de noter que lorsqu'un exploitant de lieu obtient pour la première fois une unité de détection 102, l’unité de détection 102 n’est généralement pas configurée avec les informa- tions de configuration nécessaires requises pour la communication sur le ré- seau de communication sans fil 107. Par exemple, de nombreux réseaux de communication sans fil requièrent un mot de passe et/ou un justificatif de sécurité pour s’authentifier sur le réseau. Par conséquent, avant d’utiliser l’unité de détection 102 pour sa fonctionnalité de détection, les exploitants de lieux doivent généralement configurer l’unité de détection 102 avec les in- formations de configuration appropriées.
Comme illustré, exemple d'environnement 100 comporte égale- ment un serveur d’accès 110 configuré pour authentifier et/ou autoriser des dispositifs, tels que l’unité de détection 102, avec le réseau de
9 BE2023/5333 communication sans fil. Il convient de noter que tandis que la FIG. 1 montre le terminal 104 et l'unité de détection 102 en communication directe avec le serveur d’accès 110, dans certains modes de réalisation, un ou plusieurs composants sont logiquement disposés entre eux (par exemple, un point d’accès, un pare-feu, un routeur de périphérie, etc.). Le serveur d’accès 110 peut être configuré pour conserver une liste de dispositifs autorisés à accé- der au réseau de communication sans fil 107. Les entrées de la liste peuvent comporter un ou plusieurs identifiants qui identifient de manière unique les dispositifs et un ou plusieurs droits (par exemple, une utilisation de base, des limites de données, etc.) autorisant le dispositif en ce qui concerne le ré- seau de communication sans fil 107. C’est-à-dire que si un dispositif est autorisé à accéder au réseau de communication sans fil, la liste comportera un identifiant de dispositif unique (par exemple, une adresse MAC, un nu- méro de série, un UICCID, etc.) et une indication du droit d’accès au réseau.
Dans un scénario, un exploitant de lieu passe une commande groupée pour une pluralité d'unités de détection 102. Dans le cadre de l’exé- cution de la commande, le fournisseur d’unité de détection fournit à l’exploi- tant de lieu une liste des identifiants de dispositif uniques correspondant aux unités de détection 102 à fournir au lieu. En réponse, l’exploitant de lieu peut configurer la liste conservée sur le serveur d’accès 110 pour y inclure les identifiants de dispositif uniques fournis par le fournisseur et les droits correspondants. Par conséquent, des unités de détection 102 non autorisées, comportant des unités de détection 102 qui peuvent par ailleurs être autori- sées pour une utilisation dans d’autres lieux, n’ont pas le droit d’utiliser le réseau de communication sans fil 107. Ainsi, le serveur d’accès 110 bloquera une tentative d'enregistrement sur le réseau associée aux unités de détec- tion 102 non autorisées.
En outre, pour améliorer la sécurité du réseau de communication sans fil 107, dans certains modes de réalisation, le serveur d’accès 110 met en œuvre des techniques d’authentification pour les dispositifs cherchant
10 BE2023/5333 une autorisation de réseau. Par exemple, dans certains modes de réalisa- tion, chaque unité de détection 102 correspond à une paire de clés pu- blique/privée. Dans ces modes de réalisation, l’unité de détection 102 stocke la clé privée de la paire de clés publique/privée dans une mémoire. Par ail- leurs, dans ces modes de réalisation, le serveur d’accès 110 stocke la clé pu- blique correspondante de la paire de clés publique/privée. Dans un exemple, lorsque le fournisseur d’unité de détection fournit la liste d’identifiants de dispositif uniques, la liste comporte également la clé publique qui corres- pond à l'identifiant de dispositif unique. Par conséquent, les enregistre- ments dans la liste de dispositifs autorisés conservée sur le serveur d’accès 110 peuvent comporter également la clé publique correspondant au disposi- tif.
Dans ces modes de réalisation, l’unité de détection 102 peut être configurée pour appliquer une signature numérique à une demande d’enre- gistrement de réseau. Dans un exemple, une signature numérique est une chaîne de caractères prédéterminée qui est cryptée à l’aide de la clé privée stockée dans l’unité de détection 102. En conséquence, lorsque la signature numérique est acheminée vers le serveur d'accès 110 au cours du processus d’authentification de dispositif, le serveur d’accès 110 utilise l'identifiant de dispositif unique inclus dans la demande d’enregistrement pour identifier la clé publique correspondante à appliquer à la signature numérique. Si le ser- veur d'accès est en mesure de décrypter la signature numérique et qu'il a identifié la chaîne de caractères prédéterminée, l’unité de détection 102 est alors authentifiée comme étant le dispositif qui correspond à l'identifiant de dispositif unique. En revanche, si l’application de la clé publique n’aboutit pas à la chaîne de caractères prédéterminée, le serveur d’accès 110 peut re- jeter la tentative d'enregistrement en raison de l’échec du contrôle d’authen- tification à l'enregistrement. Par conséquent, même si un malfaiteur mani- pule une unité de détection 102 non autorisée pour usurper une unité de dé- tection 102 autorisée en utilisant l'identifiant de dispositif unique
11 BE2023/5333 correspondant à l’unite de detection 102 autorisée, le serveur d’acces 110 re- jettera toujours la demande d'enregistrement.
Dans certains modes de réalisation, un enregistrement de réseau est réalisé localement par le terminal 104 en tandem avec le serveur d’accès 110. Dans ces modes de réalisation, le serveur d’accès 110 peut exposer la liste d’identifiants de dispositif uniques, des droits et/ou des clés publiques à une application s’exécutant sur le terminal 104. En conséquence, le terminal 104 peut comporter une copie locale de la liste. Dans ces modes de réalisa- tion, le serveur d'accès 110 peut sortir toute mise à jour de la liste dans le terminal 104 afin de synchroniser les changements.
Les FIG. 2A, 2B représentent des diagrammes de signaux repré- sentatifs de deux techniques différentes pour enregistrer l’unité de détection 102 sur le réseau de communication sans fil 107. Le diagramme de signaux 200 de la FIG. 2A représente une première technique de provisionnement sécurisé de unité de détection 102 via une autorité centrale (par exemple, le serveur d’accès 110). Le diagramme de signaux 250 de la FIG. 2B repré- sente une deuxième technique de provisionnement sécurisé de unité de dé- tection 102 via une autorité locale (par exemple, le terminal 104). Les ac- tions décrites dans les diagrammes de signaux 200, 250 sont réalisées par l’unité de détection 102, le terminal 104 et le serveur d’accès 110.
L’exemple de diagramme de signaux 200 commence lorsque l'unité de détection 102 et le terminal 104 établissent (205) un couplage à courte portée entre eux. Dans un exemple, le couplage à courte portée est l’interface de communication à courte portée décrite en référence à la FIG. 1.
En réponse, l’unité de détection 102 peut déterminer si l’unité de détection 102 est en mesure ou non de se connecter au réseau de communication sans fil 107. Si l’unité de détection 102 n’est pas en mesure de se connecter, l'unité de détection 102 peut initier une tentative d’enregistrement de ré- seau du réseau de communication sans fil 107.
12 BE2023/5333
Dans le cadre de la tentative d'enregistrement de réseau, l’unité de détection 102 peut transmettre (210) une demande d'enregistrement au terminal 104 via l’interface de communication à courte portée. La demande d’enregistrement comporte un identifiant de dispositif unique de l’unité de détection 102 qui est utilisé pour l’authentification. Dans certains modes de réalisation, l’unité de détection 102 applique une signature numérique à la demande d'enregistrement qui est cryptée à l’aide d’une clé privée d’une paire de clés publique/privée stockée dans une mémoire de l'unité de détec- tion 102.
Le terminal 104 achemine ensuite (215) la tentative d’enregistre- ment vers le serveur d’accès 110 pour traitement. Dans certains modes de réalisation, le terminal 104 achemine la tentative d'enregistrement sur le réseau de communication sans fil 107. Dans d’autres modes de réalisation, le terminal 104 achemine la tentative d’enregistrement vers le serveur d’ac- cès 110 via une connexion de communication alternative (par exemple, une connexion Ethernet).
Le serveur d’accès traite ensuite (220) la demande d’enregistre- ment pour authentifier et/ou autoriser l’unité de détection 102. En ce qui concerne l'autorisation, le serveur d’accès 110 peut utiliser l'identifiant de dispositif unique inclus dans la demande d'enregistrement pour interroger la liste de dispositifs autorisés. Si l’identifiant de dispositif unique corres- pond à un droit d’accès au réseau de communication sans fil 107, le serveur d’accès 110 autorise l’unité de détection 102 en conséquence. S'il existe un pare-feu ou un autre nœud de sécurité pour le réseau de communication sans fil 107, le serveur d’accès 110 peut communiquer avec le nœud de sécu- rité pour réaliser les configurations nécessaires pour permettre l’unité de détection 102 sur le réseau de communication sans fil 107. Par exemple, le nœud de sécurité peut être configuré pour générer un certificat de sécurité pour que l’unité de détection 102 l’utilise lors de l’accès au réseau sans fil 107.
13 BE2023/5333
En ce qui concerne l’authentification, le serveur d’accès 110 peut vérifier la signature numérique appliquée à la demande d’enregistrement.
En conséquence, le serveur d’accès 110 peut utiliser les informations d’iden- tité incluses dans la demande d'enregistrement pour obtenir une clé pu- blique qui correspond aux informations d’identité indiquées. Si le serveur d’accès 110 parvient à décrypter la signature numérique à l’aide de la clé publique, le serveur d’accès 110 peut authentifier l’unité de détection 102.
En revanche, si le serveur d’accès 110 ne parvient pas à décrypter la signa- ture numérique à l’aide de la clé publique, le serveur d'accès 110 peut indi- quer que l’authentification de l’unité de détection 102 a échoué.
Le serveur d’accès 110 transmet ensuite (225) une réponse d'accès au terminal 104. Si le serveur d'accès 110 a déterminé que l'unité de détec- tion 102 n’était pas authentifiée et/ou autorisée à utiliser le réseau de com- munication sans fil 107, la réponse d’accès peut indiquer le type d’échec cor- respondant. Dans le cas contraire, le serveur d’accès 110 met en forme la ré- ponse d’accès pour indiquer que l’authentification et/ou l’autorisation de l’unité de détection 102 a réussi. Si le réseau de communication sans fil 107 requiert un certificat de sécurité, la réponse d'accès peut comporter le certi- ficat de sécurité. Le terminal 104 peut alors relayer la réponse d’accès à l’unité de détection 102.
Si le terminal 104 a reçu une réponse d’accès réussie, le terminal 104 provisionne alors (230) l’unité de détection 102 en informations de confi- guration pour accéder au réseau de communication sans fil 107. Par exemple, le terminal 104 peut configurer l’unité de détection 102 pour quelle comporte le SSID et le mot de passe associés au réseau de communi- cation sans fil 107. Si le réseau de communication sans fil 107 nécessite un certificat de sécurité, le terminal 104 peut provisionner le certificat de sécu- rité reçu dans l’unité de détection 102. Après la configuration, l’unité de dé- tection 102 est en mesure d'accéder directement au réseau de communica- tion sans fil 107 sans utiliser le terminal 104 comme intermédiaire. En
14 BE2023/5333 conséquence, l’unité de détection 102 peut transmettre une nouvelle de- mande d'enregistrement du réseau de communication sans fil 107 afin d’éta- blir l’accès indépendant au réseau.
Dans certains modes de réalisation, lors de la connexion au réseau de communication sans fil 107, l’unité de détection 102 réalise un contrôle de mise à jour de logiciel pour déterminer si l’unité de détection 102 (ou l’un de ses modules) a besoin d’une mise à jour de logiciel. Par exemple, le mise à jour de logiciel peut comporter des fonctions de sécurité supplémentaires, corriger des failles de sécurité récemment découvertes ou fournir d’autres mises à Jour du fonctionnement de l’unité de détection 102. En conséquence, s’il existe des mises à Jour de logiciel en attente pour l'unité de détection 102, l’unité de détection 102 peut télécharger et installer les mises à jour de logiciel.
S'agissant maintenant de l'exemple de diagramme de signaux 250 pour l'obtention de l’autorisation et/ou de l’authentification au niveau du terminal 104, l'exemple de diagramme de signaux 250 commence lorsque le serveur d’accès 110 transmet (255) la liste de dispositifs autorisés pour le ré- seau de communication sans fil 107 au terminal 104. Comme décrit ci-des- sus, la liste peut comporter une correspondance entre des identifiants de dispositif uniques, des droits pour le réseau de communication sans fil 107 et/ou une clé publique. Dans certains modes de réalisation, le serveur d’ac- cès 110 pousse la liste vers une pluralité de terminaux 104 lorsque la liste est mise à jour. Dans d’autres modes de réalisation, une application s’exécu- tant sur le terminal 104 émet une demande pour que le serveur d’accès 110 envoie une version actuelle de la liste. Par exemple, l'application peut de- mander la mise à jour périodiquement ou en réponse à une interaction de l'utilisateur avec le terminal 104. Si le terminal 104 comporte déjà la der- nière version de la liste, le serveur d’accès 110 peut l'indiquer au lieu de transmettre un duplicata de la liste.
15 BE2023/5333
Le terminal 104 peut alors établir (260) un couplage à courte por- tee avec lunité de détection 102. En réponse à l’établissement du couplage à courte portée, l'unité de détection 102 peut transmettre (265) au terminal 104 des informations d’identité, telles qu’un identifiant de dispositif unique.
Ces actions associées aux étapes 260, 265 peuvent être sensiblement simi- laires à celles réalisées aux étapes 205, 210 de exemple de diagramme de signaux 200.
Le terminal 104 analyse ensuite (270) les informations d’identité pour authentifier et/ou autoriser l’unité de détection 102 avec le réseau de communication sans fil 107. Le terminal 104 peut réaliser une analyse sen- siblement similaire à l'analyse réalisée par le serveur d’accès 110 décrite en ce qui concerne l'étape 220 de l'exemple de diagramme de signaux 200. Dans certains modes de réalisation, le terminal 104 peut en outre informer le ser- veur d'accès 110 d’une réussite de l’authentification et/ou de l’autorisation de l’unité de détection 102 de sorte à initier tout traitement dorsal pour ac- cepter une demande d'enregistrement ultérieure directement à partir de l’unité de détection 102. Cela peut inclure la communication avec un nœud de sécurité pour générer un certificat de sécurité pour l’unité de détection 102.
En réponse à une réussite de l’authentification et/ou de l’autorisa- tion, le terminal 104 provisionne ensuite (275) l’unité de détection en infor- mations de configuration requises pour accéder au réseau de communication sans fil 107. Cela peut impliquer des actions sensiblement similaires à celles décrites en ce qui concerne l’étape 230 de l'exemple de diagramme de si- gnaux 200.
La FIG. 3 illustre un schéma de principe d’un exemple de système 300 comportant un circuit logique pour mettre en œuvre les exemples de procédés et/ou d’opérations décrits ici, comportant des procédés de détection sans fil d’un terminal à un attachement de traîneau. Le système 300 peut comporter une unité de détection (par exemple, un dispositif d’attachement
16 BE2023/5333 de traîneau à un lecteur RFID tel que discuté ci-dessus) 102, et un dispositif terminal 104, configurés pour communiquer l’un avec l’autre via des inter- faces de communication à courte portée 106, 109 respectives. L'interface de communication à courte portée 106 de l'unité de détection 102 peut compor- ter des émetteurs, des récepteurs, des émetteurs-récepteurs, etc, et peut être configurée pour envoyer et/ou recevoir des signaux de communication sans fil à courte portée (par exemple, des signaux Bluetooth®, des signaux
Zigbee®, des signaux infrarouges, des signaux USB, des signaux série, des signaux Ethernet etc.) vers et depuis l'interface de communication à courte portée 109 du dispositif terminal 104, et l'interface de communication à courte portée 109 du dispositif terminal 104 peut comporter des émetteurs, des récepteurs, des émetteurs-récepteurs, etc., et peut être configurée pour envoyer et/ou recevoir des signaux de communication sans fil à courte portée vers et depuis l’interface de communication à courte portée 106 de l’unité de detection 102.
Le dispositif terminal 104 peut comporter une interface utilisa- teur 120 via laquelle le dispositif terminal 104 peut afficher des informa- tions à des utilisateurs et/ou recevoir des entrées des utilisateurs, par exemple, concernant l'unité de détection 102, des articles 114 et/ou des codes 112. En outre, le dispositif terminal 104 peut comporter un ou plusieurs pro- cesseurs 122 et une mémoire 124 (par exemple, une mémoire volatile, une mémoire non volatile) accessible par les un ou plusieurs processeurs 122 (par exemple, via un dispositif de commande de mémoire). Les un ou plusieurs processeurs 122 peuvent interagir avec la mémoire 124 pour obte- nix, par exemple, des instructions lisibles par ordinateur stockées dans la mémoire 124. Les instructions lisibles par ordinateur stockées dans la mé- moire 124 peuvent amener les un ou plusieurs processeurs 122 à établir une liaison de communication à courte portée avec l’unité de détection 102 via les interfaces de communication à courte portée 106, 109. Les instructions lisibles par ordinateur stockées dans la mémoire 124 peuvent en outre
17 BE2023/5333 amener les un ou plusieurs processeurs 122 à continuer d’autoriser et/ou d’authentifier l’unité de détection 102 avec le réseau de communication sans fil 107. Dans certains modes de réalisation, la mémoire 124 stocke égale- ment une liste de dispositifs autorisés, à utiliser lors de l’autorisation et/ou de l’authentification de l’unité de détection 102. En outre, les instructions li- sibles par ordinateur stockées dans la mémoire 124 peuvent amener en outre les un ou plusieurs processeurs 122 à provisionner l'unité de détection 102 pour accéder au réseau de communication sans fil 107 une fois l’autori- sation et/ou l’authentification réussie. Par ailleurs, les instructions lisibles par ordinateur stockées dans la mémoire 124 peuvent comporter des ins- tructions pour effectuer l’une quelconque des étapes des procédés 400, 500, décrites plus en détail ci-dessous en référence aux FIG. 4 et 5, respective- ment.
L’unité de détection 102 peut en outre comporter un ensemble dé- tecteur 119 configuré pour détecter des indications de codes 112 associés aux articles 114 dans une plage 115, par exemple, dans un environnement de vente au détail ou d'inventaire. Dans un mode de réalisation où l'unité de détection 102 est un lecteur RFID, les codes 112 sont stockés dans des éti- quettes RFID apposées sur les articles 114. Dans un mode de réalisation où l’unité de détection 102 est un lecteur de codes-barres, les codes 112 sont en- codés par des codes-barres apposés sur les articles 114. En outre, l’unité de détection 102 peut comporter un ou plusieurs processeurs 116 et une mé- moire 118 (par exemple, une mémoire volatile, une mémoire non volatile) ac- cessible par les un ou plusieurs processeurs 116 (par exemple, via un dispo- sitif de commande de mémoire). Les un ou plusieurs processeurs 116 peu- vent interagir avec la mémoire 118 pour obtenir, par exemple, des instruc- tions lisibles par ordinateur stockées dans la mémoire 118. Les instructions lisibles par ordinateur stockées dans la mémoire 118 peuvent amener les un ou plusieurs processeurs 116 à détecter un couplage communicatif via les in- terfaces de communication à courte portée 106, 109 et établir une liaison de
18 BE2023/5333 communication entre elles. Les instructions lisibles par ordinateur stockées dans la mémoire 118 peuvent en outre amener les un ou plusieurs proces- seurs 116 à communiquer sur le réseau de communication sans fil 107 après avoir été configurés par le dispositif terminal 104. En outre, la mémoire 118 peut stocker un identifiant de dispositif et/ou une clé privée d’une paire de clés publique/privée correspondant de manière unique à l’unité de détection 102.
La FIG. 4 illustre un schéma de principe d’un exemple de procédé 400 tel qu'il peut être mis en œuvre par le système 300 de la FIG. 3, pour mettre en œuvre des exemples de procédés et/ou d'opérations décrits ici, comportant des procédés de provisionnement sécurisé d’une unité de détec- tion. Une ou plusieurs étapes du procédé 400 peuvent être mises en œuvre sous la forme d’un jeu d'instructions stockées dans une mémoire lisible par ordinateur (par exemple, la mémoire 124 du terminal 104) et exécutables sur un ou plusieurs processeurs (par exemple, les processeurs 122 du termi- nal 104).
Au bloc 402, le terminal détecte, via une interface de communica- tion à courte portée, un couplage entre un terminal et une unité de détec- tion. Dans certains modes de réalisation, l’unité de détection est au moins un parmi un lecteur de codes-barres et un lecteur d’identification par radio- fréquence (RFID).
Au bloc 404, en réponse au couplage, le terminal obtient des infor- mations d'identification identifiant de manière unique l’unité de détection du terminal. Dans certains modes de réalisation, les informations d’identifi- cation identifiant de manière unique l’unité de détection sont au moins un parmi un numéro de série et une adresse de commande d'accès au sup- port (MAC). En plus ou alternativement, dans certains modes de réalisation, l'unité de détection est associée à une paire clé publique/clé privée unique.
En conséquence, dans ces modes de réalisation, les informations
19 BE2023/5333 d’identification identifiant de manière unique l’unité de détection compor- tent une signature numérique appliquée cryptée via la clé privée.
Au bloc 406, le terminal transmet, via le réseau de communication sans fil, les informations d’identification à un serveur d’accès. Dans certains modes de réalisation, les communications via l'interface de communication à courte portée utilisent un protocole de communication différent de celui uti- lisé pour les communications sur le réseau de communication sans fil. Par exemple, dans certains modes de réalisation, interface de communication à courte portée est au moins une parmi une interface Bluetooth, une interface de bus série universel (USB), une interface série, une interface Ethernet, une interface de communication en champ proche (NFC) ou une interface d’entrée/sortie à usage général (GPIO). En revanche, dans certains modes de réalisation, le réseau de communication sans fil est au moins un parmi un réseau de fidélité sans fil (Wi-Fi) et un réseau cellulaire. Par exemple, dans certains modes de réalisation, le réseau de communication sans fil est confi- guré comme un réseau local sécurisé (LAN).
Au bloc 408, le terminal reçoit, via le réseau de communication sans fil et à partir du serveur d’accès, une réponse d’accès indiquant que l’unité de détection est un dispositif autorisé. Dans certains modes de réali- sation, pour déterminer la réponse d’accès, le serveur d’accès est configuré pour comparer au moins un parmi le numéro de série et l’adresse MAC à une liste de numéros de série ou d'adresses MAC approuvés. En plus ou al- ternativement, dans des modes de réalisation où l’unité de détection est as- sociée à une paire clé publique/clé privée, pour déterminer la réponse d’ac- ces, le serveur d’accès est configuré pour décrypter la signature numérique à l’aide de la clé publique.
Au bloc 410, en réponse à la réception de la réponse d’accès, le ter- minal provisionne, via l'interface de communication à courte portée, l’unité de détection en informations de configuration qui permettent à l’unité de dé- tection d’accéder au réseau de communication sans fil. Dans certains modes
20 BE2023/5333 de réalisation, les informations de configuration comportent au moins un parmi un nom de réseau pour le réseau de communication sans fil, un mot de passe de réseau pour le réseau de communication sans fil, ou une mise à jour de logiciel pour l'unité de détection. Dans des modes de réalisation où le réseau de communication sans fil est configuré comme un LAN sécurisé, les informations de configuration comportent un certificat de sécurité pour l’au- thentification auprès du LAN sécurisé.
La FIG. 5 illustre un schéma de principe d’un exemple de procédé 500 tel qu'il peut être mis en œuvre par le système 300 de la FIG. 3, pour mettre en œuvre des exemples de procédés et/ou d'opérations décrits ici, comportant des procédés de provisionnement sécurisé d’une unité de détec- tion. Une ou plusieurs étapes du procédé 500 peuvent être mises en œuvre sous la forme d’un jeu d'instructions stockées dans une mémoire lisible par ordinateur (par exemple, mémoire 124 du terminal 104) et exécutables sur un ou plusieurs processeurs (par exemple, processeurs 122 du terminal 104).
Au bloc 502, le terminal détecte, via une interface de communica- tion à courte portée, un couplage entre un terminal et une unité de détec- tion. Dans certains modes de réalisation, l’unité de détection est au moins un parmi un lecteur de codes-barres et un lecteur d’identification par radio- fréquence (RFID).
Au bloc 504, en réponse au couplage, le terminal obtient, via un ou plusieurs processeurs, des informations d’identification identifiant de manière unique l'unité de détection. Dans certains modes de réalisation, les informations d'identification identifiant de manière unique l’unité de détec- tion sont au moins un parmi un numéro de série et une adresse de com- mande d’accès au support (MAC). En plus ou alternativement, dans certains modes de réalisation, unité de détection est associée à une paire clé pu- blique/clé privée unique. En conséquence, dans ces modes de réalisation, les informations d'identification identifiant de manière unique l’unité de
21 BE2023/5333 détection comportent une signature numérique appliquée cryptée via la clé privée.
Au bloc 506, le terminal compare, à l’aide des un ou plusieurs pro- cesseurs, les informations d'identification à une liste d’informations d’identi- fication de dispositifs autorisés à utiliser un réseau de communication sans fil. Dans certains modes de réalisation, le terminal est configuré pour obte- nir, à partir d’un serveur d’accès, la liste d'informations d'identification.
Dans des modes de réalisation où les informations d’identification sont au moins un parmi un numéro de série et une adresse MAC, la liste d’informa- tions d’identification comporte une liste de numéros de série ou d'adresses
MAC approuvés.
Dans certains modes de réalisation, les communications via l’in- terface de communication à courte portée utilisent un protocole de communi- cation différent de celui utilisé pour les communications sur le réseau de communication sans fil. Par exemple, dans certains modes de réalisation, l’interface de communication à courte portée est au moins une parmi une in- terface Bluetooth, une interface de bus série universel (USB), une interface série, une interface Ethernet, une interface de communication en champ proche (NFC) ou une interface d’entrée/sortie à usage général (GPIO). En re- vanche, dans certains modes de réalisation, le réseau de communication sans fil est au moins un parmi un réseau de fidélité sans fil (Wi-Fi) et un ré- seau cellulaire. Par exemple, dans certains modes de réalisation, le réseau de communication sans fil est configuré comme un réseau local sécu- risé (LAN).
Au bloc 508, le terminal détermine, via les un ou plusieurs proces- seurs, que l’unité de détection est un dispositif autorisé. Dans certains modes de réalisation, pour déterminer la réponse d’accès, le terminal com- pare au moins un parmi le numéro de série et l'adresse MAC à la liste de numéros de série ou d'adresses MAC approuvés. En plus ou alternative- ment, dans des modes de réalisation où l'unité de détection est associée à
29 BE2023/5333 une paire clé publique/clé privée, pour déterminer la réponse d’accès, le ter- minal décrypte la signature numérique à l’aide de la clé publique.
Au bloc 510, en réponse à la détermination, le terminal provi- sionne, via l'interface de communication à courte portée, l’unité de détection avec informations de configuration qui permettent à l’unité de détection d’accéder au réseau de communication sans fil. Dans certains modes de réa- lisation, les informations de configuration comportent au moins un parmi un nom de réseau pour le réseau de communication sans fil, un mot de passe de réseau pour le réseau de communication sans fil, ou une mise à jour de logi- ciel pour l’unité de détection. Dans des modes de réalisation où le réseau de communication sans fil est configuré comme un LAN sécurisé, les informa- tions de configuration comportent un certificat de sécurité pour l’authentifi- cation auprès du LAN sécurisé.
La description ci-dessus fait référence à un schéma de principe des dessins d’accompagnement. Les mises en œuvre alternatives de l'exemple représenté par le schéma de principe comportent un ou plusieurs éléments, processus et/ou dispositifs supplémentaires ou alternatifs. De plus ou en variante, un ou plusieurs des exemples de blocs du schéma peuvent être combinés, divisés, réagencés ou omis. Les composants représentés par les blocs du schéma sont mis en œuvre par un matériel, logiciel, micrologi- ciel et/ou toute combinaison de matériel, logiciel et/ou micrologiciel. Dans certains exemples, au moins un des composants assurant les fonctions dé- crites dans les blocs est mis en œuvre par un circuit logique. Tel qu’utilisé ici, le terme "circuit logique" est expressément défini comme un dispositif physique comportant au moins un composant matériel configuré pour con- trôler (par exemple, via une opération suivant une configuration prédéter- minée et/ou via une exécution d'instructions stockées lisibles par la ma- chine) une ou plusieurs machines et/ou réaliser des opérations d’une ou plu- sieurs machines. Des exemples d’un circuit logique comportent un ou plu- sieurs processeurs, un ou plusieurs coprocesseurs, un ou plusieurs
23 BE2023/5333 microprocesseurs, un ou plusieurs dispositifs de commande, un ou plusieurs processeurs de signaux numériques (DSP), un ou plusieurs circuits intégrés à application spécifique (ASIC), un ou plusieurs réseaux rediffusés program- mables par l'utilisateur (FPGA), une ou plusieurs unités de microcontrô- leurs (MCU), un ou plusieurs accélérateurs matériels, une ou plusieurs puces informatiques spéciales, et un ou plusieurs dispositifs de système sur puce (SoC). Certains exemples de circuits logiques, comme les ASIC ou les
FPGA, sont des matériels configurés spécifiquement pour réaliser des opéra- tions (par exemple, une ou plusieurs des opérations décrites ici et représen- tées par les organigrammes de la présente divulgation, s'ils existent). Cer- tains exemples de circuits logiques sont un matériel qui exécute des instruc- tions lisibles par machine pour réaliser des opérations (par exemple, une ou plusieurs des opérations décrites ici et représentées par les organigrammes de la présente divulgation, s'ils existent). Certains exemples de circuits lo- giques comportent une combinaison de matériel spécifiquement configuré et de matériel qui exécute des instructions lisibles par machine. La description ci-dessus se réfère à diverses opérations décrites dans le présent document et à des organigrammes qui peuvent être annexés pour illustrer le déroule- ment de ces opérations. Tous ces organigrammes sont représentatifs d'exemples de procédés divulgués dans le présent document. Dans certains exemples, le procédés représentés par les organigrammes mettent en œuvre l'appareil représenté par le schémas de principe. Des mises en œuvre alter- natives d'exemples de procédés divulgués ici peuvent inclure des opérations supplémentaires ou alternatives. En outre, des opérations de mises en œuvre alternatives des procédés divulguées ici peuvent être combinées, divi- sées, réagencées ou omises. Dans certains exemples, les opérations décrites ici sont mises en œuvre par des instructions lisibles par machine (par exemple, un logiciel et/ou un microprogramme) stockées sur un support (par exemple, un support tangible lisible par machine) pour être exécutées par un ou plusieurs circuits logiques (par exemple, un ou des processeurs). Dans
24 BE2023/5333 certains exemples, les opérations décrites ici sont mises en œuvre par une ou plusieurs configurations d’un ou plusieurs circuits logiques spécifique- ment conçus (par exemple, un ou des ASIC). Dans certains exemples les opé- rations décrites ici sont mises en œuvre par une combinaison d’un ou de cir- cuits logiques spécifiquement conçus et d'instructions lisibles par machine stockées sur un support (par exemple, un support tangible lisible par ma- chine) pour être exécutées par le ou les circuits logiques.
Tels qu'ils sont utilisés ici, chacun des termes "support tangible li- sible par machine", "support non transitoire lisible par machine" et "disposi- tif de stockage lisible par machine" sont expressément définis comme un support de stockage (par exemple, un plateau d’un lecteur de disque dur, un disque numérique polyvalent, un disque compact, une mémoire flash, une mémoire morte, une mémoire à accès aléatoire, etc.) sur lequel des instruc- tions lisibles par machine (par exemple, un code de programme sous la forme, par exemple, d’un logiciel et/ou d’un microprogramme) sont stockées pendant une durée appropriée (par exemple de manière permanente, pen- dant une période prolongée (pendant l'exécution d’un programme associé aux instructions lisibles par machine par exemple) et/ou pendant une courte période (pendant que les instructions lisibles par machine sont mises en cache et/ou au cours d’un processus de mise en mémoire tampon par exemple)). En outre, tels qu’ils sont utilisés ici, chacun des termes "support tangible lisible par machine”, "support non transitoire lisible par machine" et "dispositif de stockage lisible par machine" sont expressément définis de manière à exclure les signaux de propagation. En d’autres termes, tels qu’ils sont utilisés dans toute revendication du présent brevet, aucun des termes support tangible lisible par machine", "support non transitoire lisible par machine" et "dispositif de stockage lisible par machine" ne peut être inter- prété comme étant mis en œuvre par un signal de propagation.
Dans la spécification qui précède, des modes de réalisation spéci- — fiques ont été décrits. Cependant, une personne ayant des compétences
25 BE2023/5333 ordinaires dans l’art apprécie le fait que diverses modifications et change- ments peuvent être apportés sans s’écarter de la portée de linvention telle qu’elle est exposée dans les revendications ci-dessous. En conséquence, la spécification et les figures doivent être considérées dans un sens illustratif plutôt que restrictif, et toutes les modifications sont censées être incluses dans la portée des présents enseignements. En outre, les modes de réalisa- tion/exemples/mises en œuvre décrits ne doivent pas être interprétés comme s’excluant mutuellement, et mais plutôt comme pouvant être combinés si ces combinaisons sont permissives d’une manière ou d’une autre. En d’autres termes, toute caractéristique divulguée dans l’un des modes de réalisa- tion/exemples/mises en œuvre susmentionnés peut être incluse dans l’un quelconque des autres modes de réalisation/exemples/mises en œuvre sus- mentionnés.
Les bénéfices, les avantages, les solutions aux problèmes, et tout élément qui peut faire en sorte qu’un bénéfice, un avantage, ou une solution se produise ou devienne plus prononcé ne doivent pas être interprétés comme des caractéristiques ou des éléments critiques, requis ou essentiels de l’une ou de toutes les revendications. L'invention revendiquée est définie uniquement par les revendications annexées comportant toutes les modifica- tions apportées pendant la durée de cette demande et tous les équivalents de ces revendications telles qu’elles ont été émises. Dans un but de clarté et de description concise, les caractéristiques sont décrites ici dans le cadre de modes de réalisation identiques ou séparés, cependant, on comprendra que la portée de l'invention peut inclure des modes de réalisation ayant des com- binaisons de tout ou partie des caractéristiques décrites. Il peut être compris que les modes de réalisation représentés ont des composants identiques ou similaires, sauf qu'ils sont décrits comme étant différents.
Par ailleurs dans le présent document, des termes relationnels tels que premier et deuxième, haut et fond, et analogues peuvent être utili- ses uniquement pour distinguer une entité ou une action d’une autre entité
26 BE2023/5333 ou action sans nécessairement exiger ou impliquer une relation ou un ordre réel entre ces entités ou actions. Les termes "comprend", "comprenant", "a", "ayant", "comporte", "comportant", "contient", "contenant" ou toute autre va- riante de ceux-ci, sont destinés à couvrir une inclusion non exclusive, de sorte qu'un processus, procédé, article, ou appareil qui comprend, a, com- porte, contient une liste d'éléments ne comporte pas seulement ces éléments mais peut comporter d’autres éléments non expressément énumérés ou in- hérents à ce processus, procédé, article, ou appareil. Un élément précédé de "comprend …un”, "a … un", "comporte … un", "contient … un" n'exclut pas, sans autres contraintes, existence d’éléments identiques additionnel dans le processus, procédé, article, ou appareil qui comprend, a, comporte, con- tient l’élément. Les termes "un" et "une" "des" sont définis comme singulier ou pluriel sauf indication contraire explicite dans le présent document. Les termes "sensiblement", "essentiellement", "approximativement", " environ " ou toute autre version de ces termes, sont définis comme étant proches de ce qui est compris par une personne de compétence ordinaire dans l’art, et dans un mode de réalisation non limitatif, le terme est défini comme étant à 10 % près, dans un autre mode de réalisation à 5 %, près dans un autre mode de réalisation à 1 % près et dans un autre mode de réalisation à 0,5 % pres. Le terme "couplé", tel qu'il est utilisé dans le présent document, est dé- fini comme étant connecté, mais pas nécessairement de manière directe et pas nécessairement de manière mécanique. Un dispositif ou une structure qui est "configuré" d’une certaine manière est configuré au moins de cette manière, mais peut également être configuré de manières qui ne sont pas énumérées.
L’abrégé de la divulgation est fourni pour permettre au lecteur d'établir rapidement la nature de la divulgation technique. Il est soumis avec la compréhension qu’il ne sera pas utilisé pour interpréter ou limiter la portée ou le sens des revendications. En outre, dans la description détaillée qui précède, on peut voir que diverses caractéristiques sont regroupées dans
27 BE2023/5333 divers modes de réalisation dans le but de rationaliser la divulgation.
Ce procédé de divulgation ne doit pas être interprété comme reflétant l’inten- tion que les modes de réalisation revendiqués nécessitent plus de caractéris- tiques que celles qui sont expressément mentionnées dans chaque revendi-
cation.
Au contraire, comme le reflètent les revendications suivantes, l’objet inventif peut résider dans moins que toutes les caractéristiques d’un seul mode de réalisation divulgué.
Ainsi, les revendications suivantes sont par la présente incorporées dans la description détaillée, chaque revendication étant considérée comme un objet revendiqué séparément.
Le simple fait que certaines mesures soient énoncées dans des revendications mutuellement différentes n’indique pas qu’une combinaison de ces mesures ne peut pas être utilisée à son avantage.
De nombreuses variantes apparaîtront à l'homme du métier.
Toutes les variantes s'entendent comme étant comprises dans la portée de l'invention définie dans les revendications suivantes.

Claims (20)

28 BE2023/5333 REVENDICATIONS
1. Procédé de provisionnement sécurisé d’une unité de détection, le pro- cédé comprenant : la détection, via une interface de communication à courte portée, d’un couplage entre un terminal et une unité de détection ; en réponse au couplage, l’obtention, via un ou plusieurs processeurs, d'informations d'identification identifiant de manière unique l’unité de dé- tection; la transmission, via un réseau de communication sans fil, des infor- mations d'identification à un serveur d'accès; la réception, via le réseau de communication sans fil et à partir du serveur d’accès, d’une réponse d’accès indiquant que l’unité de détection est un dispositif autorisé ; et en réponse à la réception de la réponse d'accès, le provisionnement, via l’interface de communication à courte portée, de l’unité de détection en informations de configuration qui permettent à l’unité de détection d'accéder au réseau de communication sans fil.
2. Procédé selon la revendication 1, dans lequel les communications via l’interface de communication à courte portée utilisent un protocole de com- munication différent de celui utilisé pour les communications sur le réseau de communication sans fil.
3. Procédé selon la revendication 1 ou 2, dans lequel : les informations d’identification identifiant de manière unique l’unité de détection sont au moins un parmi un numéro de série et une adresse de commande d’accès au support (MAC) ; et pour déterminer la réponse d’accès, le serveur d’accès est configuré pour comparer au moins un parmi le numéro de série et l’adresse MAC à une liste de numéros de série ou d'adresses MAC approuvés.
4. Procédé selon l’une quelconque des revendications précédentes, dans lequel :
29 BE2023/5333 Vunité de détection est associée à une paire clé publique/clé privée unique ; les informations d’identification identifiant de manière unique l’unité de détection comportent une signature numérique appliquée cryptée via la clé privée ; et pour déterminer la réponse d’accès, le serveur d’accès est configuré pour décrypter la signature numérique à l’aide de la clé publique.
5. Procédé selon l’une quelconque des revendications précédentes, dans lequel l’unité de détection est au moins un parmi un lecteur de codes-barres et un lecteur d'identification par radiofréquence (RFID).
6. Procédé selon l’une quelconque des revendications précédentes, dans lequel l’interface de communication à courte portée est au moins une parmi une interface Bluetooth, une interface de bus série universel (USB), une in- terface série, une interface Ethernet, une interface de communication en champ proche (NFC) ou une interface d’entrée/sortie à usage géné- ral (GPIO).
7. Procédé selon lune quelconque des revendications précédentes, dans lequel le réseau de communication sans fil est au moins un parmi un réseau de fidélité sans fil (Wi-Fi) et un réseau cellulaire.
0 8. Procédé selon l’une quelconque des revendications précédentes, dans lequel le réseau de communication sans fil est configuré comme un réseau local sécurisé (LAN).
9. Procédé selon la revendication 8, dans lequel les informations de con- figuration comportent un certificat de sécurité pour l’authentification auprès du LAN sécurisé.
10. Procédé selon l’une quelconque des revendications précédentes, dans lequel les informations de configuration comportent au moins un parmi un nom de réseau pour le réseau de communication sans fil, un mot de passe de
30 BE2023/5333 réseau pour le réseau de communication sans fil, ou une mise à jour de logi- ciel pour l'unité de détection.
11. Procédé de provisionnement sécurisé d’une unité de détection, le pro- cédé comprenant : la détection, via une interface de communication à courte portée, d’un couplage entre un terminal et une unité de détection; en réponse au couplage, l’obtention, via un ou plusieurs processeurs, d'informations d'identification identifiant de manière unique l’unité de dé- tection; la comparaison, par les un ou plusieurs processeurs, des informations d'identification à une liste d'informations d’identification de dispositifs auto- risés à utiliser un réseau de communication sans fil; la détermination, via les un ou plusieurs processeurs, du fait que l’unité de détection est un dispositif autorisé ; et en réponse à la détermination, le provisionnement, via l’interface de communication à courte portée, de l’unité de détection en informations de configuration qui permettent à l’unité de détection d’accéder au réseau de communication sans fil.
12. Procédé selon la revendication 11, dans lequel les communications via l'interface de communication à courte portée utilisent un protocole de com- munication différent de celui utilisé pour les communications sur le réseau de communication sans fil.
13. Procédé selon la revendication 11 ou 12, dans lequel : les informations d’identification identifiant de manière unique l’unité de détection sont au moins un parmi un numéro de série et une adresse de commande d'accès au support (MAC); la liste d’informations d'identification comporte une liste de numéros de série ou d'adresses MAC approuvés ; et pour déterminer la réponse d’accès, le serveur d’accès est configuré pour
31 BE2023/5333 comparer au moins un parmi le numéro de série et adresse MAC à la liste de numéros de numéros de série ou d’adresses MAC approuvés.
14. Procédé selon l’une quelconque des revendications 11 à 13, dans le- quel : l'unité de détection est associée à une paire clé publique/clé privée unique ; les informations d’identification identifiant de manière unique l’unité de détection comportent une signature numérique appliquée cryptée via la clé privée ; et la détermination du fait que l’unité de détection est un dispositif auto- risé comprend le décryptage de la signature numérique à l’aide de la clé pu- blique.
15. Procédé selon l’une quelconque des revendications 11 à 14, dans le- quel l'unité de détection est au moins un parmi un lecteur de codes-barres et un lecteur d'identification par radiofréquence (RFID).
16. Procédé selon l’une quelconque des revendications 11 à 15, dans le- quel l'interface de communication à courte portée est au moins une parmi une interface Bluetooth, une interface de bus série universel (USB), une in- terface série, une interface Ethernet, une interface de communication en champ proche (NFC) ou une interface d’entrée/sortie à usage géné- ral (GPIO).
17. Procédé selon l’une quelconque des revendications 11 à 16, compre- nant en outre : l’obtention, à partir d’un serveur d’accès, de la liste d’informations d’identification.
18. Procédé selon l’une quelconque des revendications 11 à 17, dans le- quel le réseau de communication sans fil est au moins un parmi un réseau de fidélité sans fil (Wi-Fi) et un réseau cellulaire.
39 BE2023/5333
19. Procédé selon l’une quelconque des revendications 11 à 18, dans le- quel : le réseau de communication sans fil est configuré comme un réseau lo- cal sécurisé (LAN) ; et les informations de configuration comportent un certificat de sécurité pour l’authentification auprès du LAN sécurisé.
20. Procédé selon l’une quelconque des revendications 11 à 19, dans le- quel les informations de configuration comportent au moins un parmi un nom de réseau pour le réseau de communication sans fil, un mot de passe de réseau pour le réseau de communication sans fil, ou une mise à jour de logi- ciel pour l'unité de détection.
BE20235333A 2022-04-28 2023-04-27 Systèmes et procédés de provisionnement sécurisé d’unités de détection BE1030439B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US17/732,045 US20230354035A1 (en) 2022-04-28 2022-04-28 Systems and Methods for Secure Provisioning of Detector Units

Publications (2)

Publication Number Publication Date
BE1030439A1 true BE1030439A1 (fr) 2023-11-09
BE1030439B1 BE1030439B1 (fr) 2024-06-17

Family

ID=87036899

Family Applications (1)

Application Number Title Priority Date Filing Date
BE20235333A BE1030439B1 (fr) 2022-04-28 2023-04-27 Systèmes et procédés de provisionnement sécurisé d’unités de détection

Country Status (4)

Country Link
US (1) US20230354035A1 (fr)
BE (1) BE1030439B1 (fr)
FR (1) FR3135152A1 (fr)
WO (1) WO2023211614A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12192336B1 (en) * 2023-06-14 2025-01-07 Auradine, Inc. Trusted platform module cryptocurrency miner with secure zero touch provisioning capability

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7422152B2 (en) * 2004-05-13 2008-09-09 Cisco Technology, Inc. Methods and devices for providing scalable RFID networks
WO2009057147A2 (fr) * 2007-11-04 2009-05-07 Rajendra Kumar Khare Procédé et système d'authentification utilisateur
US9820016B2 (en) * 2012-02-13 2017-11-14 Sony Mobile Communications Inc. Methods of communicating identification information and a responsive command via short-range communications, and related devices
CN103679073B (zh) * 2012-08-31 2018-09-14 手持产品公司 通过rfid对无线扫描器进行配对的方法
US20150058191A1 (en) * 2013-08-26 2015-02-26 Apple Inc. Secure provisioning of credentials on an electronic device
WO2015103485A1 (fr) * 2014-01-03 2015-07-09 Pellaton Eric Systèmes et procédés de commande de dispositifs électroniques en utilisant des dispositifs d'identification radiofréquence (rfid)
US20150229475A1 (en) * 2014-02-10 2015-08-13 Qualcomm Incorporated Assisted device provisioning in a network
US10192377B2 (en) * 2014-02-12 2019-01-29 Elika Access Systems, Llc Movable barrier operator configured for remote actuation
US10021087B2 (en) * 2014-09-15 2018-07-10 Mansour Aaron Karimzadeh Method and system for providing a secure communication channel to portable privatized data
US9961074B2 (en) * 2015-02-10 2018-05-01 Dell Products, Lp System and method for providing an authentication certificate for a wireless handheld device a data center environment
EP3289549A1 (fr) * 2015-06-07 2018-03-07 Apple Inc. Fourniture d'identifiants sécurisés multiples sur un dispositif électronique
US10045204B2 (en) * 2015-10-16 2018-08-07 Lenovo (Singapore) Pte. Ltd. Automatic network tethering for authorized personal devices
US10044674B2 (en) * 2016-01-04 2018-08-07 Afero, Inc. System and method for automatic wireless network authentication in an internet of things (IOT) system
US11257072B1 (en) * 2018-03-29 2022-02-22 Square, Inc. Detecting unauthorized devices
US20190313246A1 (en) * 2018-04-06 2019-10-10 Iot And M2M Technologies, Llc Device default wifi credentials for simplified and secure configuration of networked transducers
US11109234B2 (en) * 2018-06-15 2021-08-31 Proxy, Inc. Reader device with sensor streaming data and methods
US11062245B2 (en) * 2018-10-29 2021-07-13 Zebra Technologies Corporation Method, system and apparatus for supply chain event reporting
US10938558B2 (en) * 2018-12-17 2021-03-02 Zebra Technologies Corporation Authentication for connecting a barcode reader to a client computing device
US11552995B2 (en) * 2019-03-06 2023-01-10 Carefusion 303, Inc. Automatic network provisioning of a medical device
WO2021137218A2 (fr) * 2020-01-02 2021-07-08 Lavi Gabriel Procédés et systèmes pour prendre en charge la communication d'une pluralité de dispositifs de communication clients dans un réseau local sans fil

Also Published As

Publication number Publication date
WO2023211614A1 (fr) 2023-11-02
BE1030439B1 (fr) 2024-06-17
FR3135152A1 (fr) 2023-11-03
US20230354035A1 (en) 2023-11-02

Similar Documents

Publication Publication Date Title
US9544279B2 (en) Authentication for application
US10181022B2 (en) System for automated login initialization on detection of identification device
FR2887716A1 (fr) Systemes et procedes de gestion de liaisons hors-bande avec des dispositifs
US20170311366A1 (en) Method for performing an interaction from a communicating device configured to establish a wireless communication channel and corresponding telecommunication system
US10498742B2 (en) Secure access with trusted proximity device
EP2292035B1 (fr) Procede de diagnostic d'un terminal de telephonie mobile incluant des applications sans contact
FR3050555A1 (fr) Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes
EP2959656B1 (fr) Technique d'appairage dans un réseau sans fil
US10341114B2 (en) Providing device, terminal device, providing method, non-transitory computer readable storage medium, and authentication processing system
BE1030439B1 (fr) Systèmes et procédés de provisionnement sécurisé d’unités de détection
US20120324553A1 (en) Method for the discovery and secure access to mobile devices in proximity by means of the use of a visual channel
US10454920B2 (en) Non-transitory computer-readable recording medium, connection management method, and connection management device
CN115620426A (zh) 车钥匙控制装置、方法、电子设备及可读存储介质
EP3403370B1 (fr) Dispositif de gestion de communication dans un système de communication
JP6240349B2 (ja) 提供装置、提供方法、提供プログラム及び認証処理システム
EP4198791B1 (fr) Transaction nfc
US12598469B2 (en) Dynamic identification generation for telecommunications network user equipment
US12556896B2 (en) Caching a data payload on a peripheral device for delivery to a target device
CN117320007B (zh) 办公系统的控制方法及系统
WO2025215369A1 (fr) Systèmes et procédés de liaison et d'authentification multicouches pour un dispositif mobile
WO2025109113A1 (fr) Procédés, dispositifs et système de transmission et d'acquisition d'une donnée
EP4198790A1 (fr) Transaction nfc
EP4395187A1 (fr) Protection d'une transaction
FR3133284A1 (fr) procédé de gestion du mode de déverrouillage d’un objet.
FR3074006A1 (fr) Procede de mise en service indirecte d'au moins un objet connecte et systeme associe

Legal Events

Date Code Title Description
FG Patent granted

Effective date: 20240617