WO2005002147A1 - Wireless local-area network architecture - Google Patents

Wireless local-area network architecture Download PDF

Info

Publication number
WO2005002147A1
WO2005002147A1 PCT/FR2004/050225 FR2004050225W WO2005002147A1 WO 2005002147 A1 WO2005002147 A1 WO 2005002147A1 FR 2004050225 W FR2004050225 W FR 2004050225W WO 2005002147 A1 WO2005002147 A1 WO 2005002147A1
Authority
WO
WIPO (PCT)
Prior art keywords
network
wireless
implementing
equipment
area network
Prior art date
Application number
PCT/FR2004/050225
Other languages
French (fr)
Inventor
Jean-René LABARRIERE
Vincent Jamoulle
Jean-Paul Mallet
Stephen Turner
Original Assignee
Filfree Networks
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Filfree Networks filed Critical Filfree Networks
Publication of WO2005002147A1 publication Critical patent/WO2005002147A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Definitions

  • the present invention relates to the field of wireless local area networks.
  • the present invention relates more particularly to a method of implementing a wireless local area network architecture for digital data exchange comprising a plurality of equipment each comprising client resources and server resources as well as means of interconnection of said equipment by mesh.
  • Modern computing is essentially network-based. This notion of network is omnipresent, the connection between computers is at the origin of a revolution in communication tools, a vector of culture and freedom. The place of the computer has evolved from the status of a super calculating machine, then of a work or leisure tool to that of a multi-media station, a kind of window open to the world. The appearance and then the ubiquity of the Internet, a kind of network of networks, represents one more step.
  • an access point is a wireless transmitter that allows wireless connection to a wired LAN type network.
  • An access point manages this connection in such a way that clients of the wired network and clients of the wireless network have the illusion of being members of the same network.
  • the main constraints and limitations of these WLAN products are: "Security. The authentication mechanisms are not based on mutual authentication. "Limited control of the topology of the wireless network. 1 No integrated wireless network supervision tools. A Problem of hidden or faulty nodes. The possibility of connecting and the quality of this connection are not deterministic. 1 Problem geographic coverage of the wireless network. The extension of the wireless network is linked to the availability of a wired network. "The protocols work mainly at level 2 of the ISO model. Bandwidth is often degraded by broadcasts from the LAN and multicast traffic.
  • Access points use data encryption mechanisms to guarantee the confidentiality and integrity of transfers.
  • WEP has many weaknesses.
  • WEP uses the RC4 coding algorithm which uses the same key to encrypt and decrypt packets, this key can be 40 to 128 bits.
  • the weaknesses of this protocol and of the key exchange mechanisms are such that a hacker can decrypt a message by analyzing the equivalent of approximately five hours of data transmission.
  • the WEP coding key manager can reuse the same keys in a sufficiently "predictable" manner, so that it becomes possible to analyze network traffic and correlate the data to the keys used, which then makes it possible to crack the codes.
  • An access point in its basic form only allows connection of wireless clients (1 in Figure 1), the other access points are not recognized or connected.
  • the maximum distance between the access point and the customer is the "radio range limit", between 50 meters indoors and a few hundred meters outdoors. Beyond this maximum distance, connectivity can no longer be ensured.
  • Some manufacturers have included the possibility of using access points to create network "bridges" and relay wired networks (2 in Figure 1). In this configuration, the access points become network bridges without allowing the connection of wireless clients.
  • the two functionalities have been integrated to create wireless bridges between wired network segments and also allow the connection of clients (3 in Figure 1). This category of equipment can be confusing since the implementation remains limited due to the following constraints: • The implementation is often specific to a given manufacturer.
  • a LAN can be characterized as a medium offering high bandwidth, supporting broadcast and allowing multiple and shared access. This definition fully applies to WLANs.
  • LANs generally support extremely low error rates of around 10 " 9 while WLANs have error rates of the order of 10 "5 to 10 6 , or three orders of magnitude.”
  • the price / performance ratio of WLANs equipment remains considerably lower than that of LANs.
  • the bandwidth of a wireless network is a much more sensitive resource than that of a wired network.
  • WLANs equipment is limited by the low power authorized for transmission but also by the frequency band used (2.4GHz). This range is around 50 meters indoors and a few hundred meters outdoors. Beyond this limit, the connection being no longer ensured, it is necessary to add access equipment connected to the wired network or to configure the equipment in network bridge mode. This last solution is not satisfactory essentially because of the problem of hidden or defective nodes exposed previously.
  • security problems may arise insofar as the increase in geographic coverage increases the visibility of the network and the risk of hacking. Very often, users are content to think that the short range of their wireless network is a way to protect themselves.
  • An algorithm for creating a virtual backbone in an ad hoc wireless network uses three phases to establish an efficient network among devices independent of the ad hoc wireless network. Independent equipment in the transmission fields of others is nearby.
  • a phase of selecting a “leader” and constructing a tree makes it possible to construct a tree of neighboring equipment, one of the equipment being designated as the root and each equipment establishing and recording its position in the tree structure and neighbor identifiers; and sending a message when the tree is built.
  • a level calculation phase determines the distance of each item of equipment from the root equipment, each item of equipment recording the level (or distance to the root) of its neighbors.
  • the priority for each item of equipment is established by considering the level in the tree of each item of equipment and its identifier, the level in the tree being essential for determining the priority.
  • a message is issued when the tree levels are established.
  • a backbone construction phase makes it possible to qualify all the equipment as dominator or dominated, the dominators forming the network backbone and the dominated being neighbors of a dominator. Within the network, each device only needs to know the information of its neighboring devices.
  • the aim of the present invention is to define a new approach to wireless networks which fulfills the following objectives: "Define an architecture which makes it possible to retain the advantages of flexibility and flexibility of wireless networks, to extend its capacities and to circumvent the problems inherent in this technology in order to provide a alternative at least equivalent or even superior to the services offered by cable networks. "Build an operating system that implements this architecture independently of the hardware platform and define protocols, services, tools and interfaces independent of the radio technology used. The goal is to extend the architecture to other technologies than WiFi. This is one of the key points of the invention. "Reduce, or even remove constraints on users of the infrastructure and integrated services. 1 Eliminate the deployment constraints symptomatic of current WLAN products and their dependence on wired infrastructure. 1 Overall control of the wireless infrastructure using predefined rules and policies.
  • the present invention relates, in its most general sense, to a method for implementing a wireless local area network architecture for the exchange of digital data comprising a plurality of devices each comprising client resources and server resources as well as means of interconnection of said equipment by mesh, characterized in that said method comprises steps for defining rules for network deployment, and steps for applying these rules at the time of each creation of a connection between a client resource of a device and a server resource of another device of said local network.
  • said rules are hierarchically distributed at several levels, each of said levels comprising sufficient resources for its operation.
  • said exchanges of digital data are secure thanks to specific encryption means independent of the radio protocol used.
  • the wireless network implements a standard of the 802.11, BlueTooth or DECT type.
  • the method further comprises steps for supervising said data exchanges and the traffic of said digital data.
  • the method further comprises steps for optimizing the network structure in real time, these steps making it possible to guarantee the quality of service of said network.
  • the method further comprises a step of integrating at least one new piece of equipment, this integration making it possible to extend the coverage of the network and being carried out by implementing said deployment rules.
  • the present invention also relates to a local area network architecture for implementing the method.
  • FIG. 1 illustrates the elementary architecture of the IEEE802.il wireless equipment
  • Figure 2 illustrates a comparison between different networks
  • Figure 3 illustrates the delineation between backbone and access
  • Figure 4 shows the FMP channels
  • Figure 5 illustrates the extended structured mesh topology
  • Figure ⁇ represents the distribution of the overall network policy
  • FIG 7 represents the creation of a connection, and more particularly the negotiation; • Figure 8 illustrates the creation of connection, and more particularly authentication and encryption; • Figure 9 illustrates a non-partitioned network; • Figure 10 shows a partitioned network; • Figure 11 illustrates a multi-zone network; and • Figure 12 illustrates a multi-zone network, in which the zones are connected; • Figure 13 shows the packet exchange mechanism as part of the security process; and • Figure 14 shows the creation of links at the link access level as part of the security process.
  • the concept of the invention is mainly based on that of a structured mesh network using a wireless medium.
  • point-to-point (ad hoc) networks all stations wishing to exchange data must establish a direct connection with the adjacent stations. If a station integrates the capacity to transmit data transparently, the network then becomes a mesh and this need for a directly adjacent connection disappears.
  • Figure 2 illustrates a comparison of different types of networks. This data transfer capacity is supported by many types of stations and makes it possible to create highly dynamic and flexible network structures at low cost. This solution has already been implemented for cable networks as well as for wireless networks. However in the case of wireless networks, the integration of heterogeneous stations, including stations dedicated to end users (PC type), within this mesh network creates many weaknesses.
  • PC type stations dedicated to end users
  • the network becomes non-deterministic at the level of the stations themselves and the highly dynamic and heterogeneous nature of this architecture makes it difficult to manage, control and secure.
  • the approach of the invention is to retain the advantages inherent in the flexibility and flexibility of deployment of mesh networks while constraining the structure and topology of this network by applying predefined policies.
  • This control of the structure of the mesh network applies at three levels: 1. At the architectural level, the data routing network (called backbone) is clearly differentiated from the network offering access to users, 2. The backbone is made up of homogeneous stations forming the data routing service infrastructure. 3. Control rules are imposed on the entire network topology in terms of its deployment, transfer and routing of data and the security and integrity of this data.
  • the technology thus implemented applies the principles of mesh networks to the construction of a wireless network infrastructure capable of delivering communication services of quality, performance, predictability and equivalent security. and even superior in some aspects to those offered by cable network infrastructures.
  • the architecture implemented by the invention defines two distinct layers, respectively the routing layer (backbone) and the access layer. These two layers are logically distinct and isolated. The specific characteristics of the wireless networks described above (broadcast transmission, multi-access) are not propagated from one layer to the other, thus creating a strong delineation between these two layers. Within these two layers, the point-to-point network paradigm is systematically applied in order to maximize its efficiency and facilitate the control of its deployment and security.
  • the concept of wireless LAN (WLAN) absolutely does not apply to the invention since the defined architecture is completely different.
  • FIG. 3 describes the delineation between the two architecture layers: • The routing and access layers are architecturally separate, but can be implemented using either the same or two different radio devices. • The separation between the two layers allows the use of different radio technologies for the backbone and access, for example WiFi backbone IEEE802.11b and Bluetooth access.
  • the backbone layer is managed through the protocol specific to the invention, the FMP, which manages the deployment of the mesh network while respecting the predefined rules.
  • FMP the protocol specific to the invention
  • a resilient backbone is automatically created using the information from the ISOl to 3 layers. This information is used to establish an optimized mesh from methods specific to the invention which use convergence algorithms based on fuzzy logic. By extension, these deployment rules make it possible to fully control the topology and the structure of the mesh.
  • This FMP protocol is only used to create the backbone layer. It uses two communication channels.
  • Figure 4 shows the FMP channels.
  • the command channel is used to exchange information making it possible to optimize the initial structure of the mesh at the time of its creation but also to make this structure evolve in real time as a function of variations in the quality of propagation or the very topology of the network. .
  • This communication takes place directly over the wireless interface if no point-to-point link is yet established, or through a point-to-point link if a connection has been established.
  • the backbone is
  • the communication channel is used for the exchange of encrypted data between the adjacent devices present in the backbone.
  • This communication channel is encrypted by a type algorithm Blo Fish and uses 128-bit encoding keys.
  • This is a key point of the invention since the data is encrypted at the point-to-point link and does not use the functionalities included in the radio interfaces.
  • the protocol is “radio agnostic”, that is to say that it does not depend in any way on the type of radio interface or on the level 1 protocol used. This technique guarantees a very long life of the equipment insofar as the encryption standards integrated in this equipment are constantly being renewed.
  • the backbone management protocol is completely transparent to network users, the equipment offering resilient and secure TCP / IP services. Finally the backbone can be extended by adding equipment.
  • the addition of new equipment has two consequences: 1
  • the increase in the network topology A new station appears and allows to extend the coverage of the wireless mesh network.
  • the consolidation of the backbone insofar as the structured mesh network integrates the automatic routing functionalities and therefore makes it possible to take into account a new station as an element likely to increase the resilience of the whole.
  • Figure 5 illustrates an extended structured mesh topology.
  • the addition of the equipment implementing the method according to the invention also makes it possible to increase the overall bandwidth of the network.
  • each piece of equipment implementing the method according to the invention builds a radio cell with a given bandwidth
  • an additional radio cell created by another piece of equipment implementing the method according to the invention will add the bandwidth of this cell to the total aggregate bandwidth of the network.
  • this mesh operating essentially at the level ISO 3
  • broadcast aspects are limited to the lower layers.
  • emission possibilities broadcast at ISO 3 level remain throughout the network, but these broadcast emissions are entirely controlled by the TCP / IP layer.
  • Client connections to the backbone, through the access layer, are also based on a point-to-point link mechanism, implying that all communications, including between clients, pass through the equipment implementing the process. according to the invention.
  • This architecture offers the advantage of rationalizing and standardizing the network supervision mechanisms and controlling the overall security of the infrastructure. It should be noted that the additional traffic generated by the routing mechanisms between the clients remains low since the majority of the data flows generated by these wireless clients will be intended for fixed, or weakly dynamic, host centers.
  • the overall control of the backbone is managed by a controller agent (the FilFree Mesh Controller, FMC) present in each device which uses the FMP protocol on the command channel to distribute, implement and maintain the overall network policy in real time. This functionality is a major differentiating element of the invention.
  • FMC FilFree Mesh Controller
  • the concept of global policy brings together four types of information: “Topology, quality of service and network deployment,” Security, “Supervision and management, • Application and specific services
  • the policy is dynamic and distributed information that can be divided into three levels: 1 At the level of the company. the general rules applied to all stations "At the network level. These are the rules specific to a given network. "At the level of a sub-network. These are the rules specific to a given zone. Each level inherits the rules of the higher level when this exists.
  • FIG. 7 illustrates the distribution of the overall network policy
  • a client sends a connection request (FMPDRQ) in multiple transmission. All servers located in the client's radio cell overlay area receive this request.
  • the server On receipt of the client's request, the server performs a first check of the deployment policy and checks whether it can accept the request. If so, it sends a response to the client in targeted transmission (FMPDRS). This response contains the first level of information, essentially relating to ISO level 3, that the client will use when selecting the "best" server.
  • FMPDRS targeted transmission
  • a client can receive responses from multiple servers. "On receiving the response from a server, the client begins to exchange FMPBCN type messages in targeted transmission in order to characterize the radio link with this server. This exchange is initiated with each server having responded to the connection request. "Each server receiving an FMPBCN message responds with an FMPBCN message in targeted transmission, in order to characterize the radio link in a bidirectional manner. "After a limited number of FMPBCN exchanges, the client evaluates the information relating to each server. This evaluation uses a complex algorithm based on fuzzy logic which correlates the parameters measured with the deployment policy. At the end of this evaluation , if the evaluation results permit, the client sends a session creation request (FMPSRQ) in targeted transmission to the selected server. "On receipt of the client's session creation request, the server responds with a session creation response (FMPSRS) in targeted transmission to the client. After this negotiation, the authentication and encryption negotiation phase can begin.
  • FMPBCN session creation request
  • All equipment in a structured mesh network must be authenticated before it is allowed to join the network and offer access services.
  • This authentication and encryption represent two second-level elements of the overall deployment policy scheme and another major element differentiating from the invention.
  • the authentication control on the backbone and the encryption management are managed by the agent present in each device using the FMP protocol on the communication channel.
  • the principle, illustrated in Figure 8, is as follows: 1
  • the client issues an authentication request which contains a specific name and a challenge.
  • This challenge is an encryption of a password which makes it possible to avoid transferring this password directly on the network.
  • the use of a challenge instead of a clear password is important in terms of security because the link is not yet encrypted.
  • the link server contacts the authentication server through the communication channel.
  • This server can be local, integrated into the server equipment, or remote accessible through the LAN.
  • the negotiation of the encryption keys begins.
  • One of the key points of the invention is to support different encryption keys for each of the links between devices. Unlike protocols of the type WEP described previously, the keys are unique, private and unidirectional which means that at any time the discovery of one of these keys makes it possible to hack the entire network. using a Diffie-Hellman algorithm using 4096-bit secret keys, compared to the 24-bit RC4 of WEP.
  • the last phase consists in assigning TCP / IP addresses to each of the connections. At this point, the point-to-point link becomes active and is automatically associated with the communication channel.
  • the FMP protocol is used to establish links between devices and to maintain the state of these links using information from layers ISO 1 to ISO 3.
  • the FMP protocol is only used to communicate and establish the state between adjacent stations through point-to-point links.
  • This link state and routing information is distributed within the network using a convergence protocol such that each station maintains an identical view of the portion of the mesh network in which it is integrated.
  • the role of this protocol is to: 1 determine the routing rules between the different nodes of the mesh network, "determine the routing rules between the ends of the mesh network, notion of gateway, 1 establish and optimize in real-time data flow routing paths through the communication channel, "to support quality of service management functions.
  • Another key point of the invention is to combine the two protocols, FMP and link state management, in order to ensure the convergence of the information of the mesh network, from the ISO layer 1 to the ISO layer 3.
  • This combination opens the possibility of exploiting the unique characteristics of radio, specifically, the ability to create, destroy and adjust the physical links between the equipment and therefore optimize the topology, performance and overall reliability of the mesh network.
  • Each piece of equipment actively participates in the consolidation of the mesh network, but also in the possibility of extending this network by adding new stations.
  • the equipment activates the server component of this agent in order to accept requests from other potential clients.
  • the behavior of the FMC agent with respect to the established links is as follows: 1 the FMP communication channel allows the exchange of encrypted data flows, 1 once the link is established, the command channel of the
  • FMP is however maintained and used to exchange information on the status of the links that the equipment supports, 1
  • This multidimensional information on link status is maintained in real time in each device, "Consolidated information on link status is also distributed to all equipment in order to dynamically optimize the network.
  • Consolidated link state information can also be collected by supervision tools such as the FilFree Mesh Manager (FMM).
  • FMM FilFree Mesh Manager
  • the topology deployment policy is constantly evaluated to determine if and when alternative or additional links should be created," The topology optimization policy is also constantly evaluated to determine if links should be deleted.
  • any radio network consisting of more than two transmitters and receivers
  • various methods can be used to control spectrum sharing, avoid collisions and thereby optimize the available bandwidth.
  • the IEEE802 protocol suite is a well-known example that employs an RTS / CTS mechanism to try to solve the problem of hidden nodes in ad hoc networks.
  • the FMP protocol allows additional and variable optimizations by using generic information from the physical layer to determine if, when and where links should be made or removed. This innovative approach is independent of the mechanisms implemented at MAC / ISO 2 level in the radio device itself.
  • the structured mesh network architecture describes an infrastructure to which a highly dynamic component is attached. This approach eliminates the need for heavy protocols for routing data streams by broadcast transmission, which significantly contribute to packet corruption and reduce the available bandwidth.
  • the FMP protocol uses the broadcast broadcast only for the discovery of MeshPro TM and at a frequency which decreases exponentially according to the number of links already created.
  • Backbone and access layers provide ISO level 3 service over a point-to-point link network, unlike wireless access points or network bridges that provide ISO level 2 services only . Thanks to this approach, the following optimizations become possible: • Topologies constructed from ISO 2 level mechanisms must exclude any possibility of loops being created.
  • the radio collision domain cannot be segmented in this way and even a moderate level of broadcast emission can significantly reduce the useful bandwidth of the wireless network.
  • the use of an ISO level 3 topology makes it possible to eliminate the programs broadcast from ISO level 2 on the wireless network and not to propagate the programs broadcast from the LAN to the wireless domain.
  • the Microsoft network architecture still relies heavily on the NetBIOS o / TCPIP protocol and broadcast broadcast announcement mechanisms to establish connectivity in a domain or workgroup. This has a major impact on the bandwidth available to users of wireless access points.
  • eliminating broadcast shows compromises the ability of PCs to connect to a network.
  • the invention includes a mechanism for managing NetBIOS connections which makes it possible to integrate equipment.
  • Each wireless mesh network is typically composed of a group of equipment of the order of ten rather than a hundred. "Each wireless mesh network must be relatively stable in terms of the number of devices that connect or disappear. The technology described by the invention does not resemble that of systems such as mobile telephony.” The frequency of modifications of the topology due to the appearance or disappearance of equipment must be of the order of a few seconds rather than fraction of a second for the same reasons as the previous point. "The dynamics of the network are largely linked to those of the access layer.” No element connected through the access layer must contribute to the routing of data flows through the network. "The network architecture described by the invention may require the use of multiple deployment areas, multiple user domains, or multiple security perimeters.” Centralized or distributed security management methods may be required.
  • the network architecture described by the invention is distinct from typical wireless environments and so-called “ad hoc" networks, although some aspects of both scenarios be used.
  • This architecture is typically adapted in scenarios where the availability of services and where the aspects of security, control and characterized environment are paramount.
  • Such possibilities are generally associated with fixed wireless systems, but the structured mesh network approach of the invention makes it possible to benefit from these advantages while integrating more dynamic environments.
  • ad hoc wireless networks are generally considered to have a significant dynamic, with optimized methods of routing data flows allowing establishment times of the order of a second. Such possibilities are ideal for short-term scenarios, but ensuring availability and performance in such a context is very problematic.
  • such networks are "ad hoc", and require a large deployment autonomy, unlike the structured approach of the invention in which deployment and operating policies can be imposed.
  • the wireless structured mesh network architecture has the ability to operate independently of any wired infrastructure, but also to extend, integrate or merge with wired LAN networks.
  • Several network topologies are supported and can be deployed. Connections between devices can only be made within the same zone.
  • a simple contiguous network functionally equivalent to a wireless LAN is created.
  • Figure 9 depicts a simple stand-alone unpartitioned network.
  • Gateway equipment performs two functions: "It typically provides connectivity between the wireless mesh network and an external network such as the Internet. This connectivity can be varied such as ADSL, ISDN, Ethernet LAN etc.” This gateway equipment represents the
  • Unpartitioned networks offer security and simplified management benefits, but they require the construction of a contiguous wireless network. The connections between devices are made within the same logical zone, but partitioning is authorized. This configuration has the effect of reducing determinism as well as the level of security and ease of network management. If an item of equipment from one partition manages to join the radio cell of an item of equipment belonging to another partition, then the two partitioned networks can be combined into a single contiguous network. Multi-zone networks (as in Figure 11) are completely independent and behave like separate networks.
  • two independent zones are interconnected directly or indirectly through a shared zone.
  • the gateways exist simultaneously in each zone, respectively the “private” zone (zone # 1 or zone # 2 in the example below) and the shared zone.
  • This topology offers the capacity to establish a global infrastructure while making it possible to establish secure private sub-infrastructures.
  • the independent zones can connect securely to this global infrastructure through their respective gateways. It becomes possible to create completely independent subnets in the same building or even in the same physical perimeter which possibly share the resources of the shared area without compromising the security or the integrity of its private resources.
  • the extensibility and flexibility of this topology is a fundamental characteristic of the invention.
  • the present invention also relates to a new method for securing a wireless network allowing the secure distribution of the data routed.
  • This method includes a new communication protocol between the members of the network as well as authentication mechanisms. When used, this process provides advantages in terms of data security and integrity and verification of the use of this network.
  • the current technology of wireless networks poses many security and integrity of the data exchanged.
  • the invention makes it possible to solve these problems in an innovative way.
  • Current wireless network technologies and more particularly WLAN and Wifi adopt the IEEE 802.11 standard suite. This standard mainly defines a method of access, or connectivity, wirelessly to a wired network.
  • AP access points
  • An access point is a wireless transmitter that allows wireless connection to a wired LAN type network.
  • An access point manages this connection in such a way that clients of the wired network and clients of the wireless network have the illusion of being members of the same network.
  • In “Infrastructure” mode each station is linked to a base station which acts as a bridge between the wired network and the wireless clients. If several base stations are connected to the same wired network, the wireless client can freely switch from one station to another.
  • the standard configuration parameters are as follows: “All devices must be put in” Infrastructure "mode. 1 All clients must use the same network name (SSID parameter).” All access points must use the same name network (ESSID parameter). "All stations must use the same encryption key (WEP parameter) or no key.
  • Ad Hoc mode allows you to create mobile workgroups without a base station.
  • the machines directly exchange messages with each other.
  • the configuration constraints are as follows: “All clients must be put in” Ad Hoc "mode.” All clients must use the same network name (SSID parameter). "All clients must use the same encryption key (WEP parameter) or no key. U All clients must use the same communication channel.
  • the connection to the wireless network is made at ISO level 3.
  • Each wireless interface has a TCP / IP address which can be assigned at the time of configuration (fixed TCP / IP address) or by a DHCP service available on the wired network.
  • TCP / IP address In order to guarantee the correct routing of data, each station must be assigned a different TCP / IP address in the same subnet.
  • the data encryption method is called WEP. This mechanism has many weaknesses. WEP uses the RC4 coding algorithm which uses the same key to encrypt and decrypt packets, this key can be 40 to 128 bits. The weaknesses of this protocol and the key exchange mechanisms are such that a hacker can decrypt a message by scanning the equivalent of about five hours of data transmission.
  • An object of the present invention is to provide a method for securing wireless networks which is independent of the mechanisms integrated in WLAN equipment. This process, by extension, can be applied not only to Wifi / 802 type equipment. 11 but also to any network equipment which respects the ISO model.
  • Another object of the invention is to use one. high reliability data encryption method between each node of the wireless network.
  • Another object of the invention is to use different encryption keys for each node of the wireless network.
  • FMP This specific invention protocol
  • This specific invention protocol includes at least one algorithm for discovering adjacent nodes and at least one algorithm for controlling link creation.
  • FMP includes at least one algorithm for discovering adjacent nodes and at least one algorithm for controlling link creation.
  • These aims are achieved by the use of a method which does not use the WEP encryption mechanism but a method of encrypting the data packets which pass through the wireless interface.
  • These goals are achieved by using the wireless interface at ISO 2 level without it having a TCP / IP address.
  • PPP point-to-point protocol
  • TCP / IP ISO level 3
  • the TCP / IP address is assigned only after the station wishing to connect has been authenticated.
  • a method for exchanging encryption keys between the nodes of the network includes at least one encryption key exchange algorithm.
  • These aims are achieved by the use of an encryption method of the data packets exchanged between the nodes of the network.
  • This method includes at least one data encryption algorithm using private keys.
  • the mechanism for exchanging data packets is shown in Figure 13. This figure describes a secure connection between two stations. This process is then extended to all the connections of the stations of the wireless network which participate in the network.
  • PHYSICAL connectivity is provided by the wireless interface. The following parameters are assigned: “All clients must be put into Mode” Ad
  • Links are created at this level using the FMP protocol. This protocol describes a creation process, the operation of which, illustrated in FIG. 14, is as follows
  • a client transmits a connection request (FMPDRQ) in multiple transmission. All stations located in the client's radio cell overlap area receive this request. 1 On receipt of the client's request, the station checks whether it can accept the request. If yes, it sends a response to the client in targeted transmission (FMPDRS). "On receipt of the FMPDRS response, the client begins to exchange messages of type FMPBCN in targeted transmission in order to characterize the link. This exchange is initiated with each server that responded to the connection request. "Each server receiving an FMPBCN message responds with an FMPBCN message in targeted transmission, in order to characterize the link bidirectionally.” After a limited number of FMPBCN exchanges, the client evaluates the information relating to each station.
  • FMPDRS targeted transmission
  • the client sends a session creation request (FMPSRQ) in targeted transmission to the selected station.
  • FMPSRQ session creation request
  • FMPSRS session creation response

Abstract

The invention relates to a method of implementing a wireless local-area network architecture for the exchange of digital data. The invention consists of a plurality of devices each comprising client resources and server resources as well as means for interconnecting said devices by means of networking. The inventive method is characterised in that it comprises: steps involving the definition of network deployment rules, and steps involving the application of said rules whenever a connection is established between a client resource of a device and a server resource of another device of said local-area network. The invention also relates to an architecture which is used to implement said method.

Description

ARCHITECTURE DE RESEAU LOCAL SANS FIL WIRELESS LOCAL AREA NETWORK ARCHITECTURE
La présente invention se rapporte au domaine des réseaux locaux sans fil. La présente invention se rapporte plus particulièrement à un procédé de mise en œuvre d'une architecture de réseau local sans fil d'échange de données numériques comportant une pluralité d' équipements comportant chacun des ressources client et des ressources serveur ainsi que des moyens d' interconnexion desdits équipements par maillage. L'informatique moderne est essentiellement basée sur les réseaux. Cette notion de réseau est omniprésente, la mise est relation des ordinateurs est à l'origine d'une révolution des outils de communication, vecteur de culture et de liberté. La place de l'ordinateur a évolué du statut de super machine à calculer, puis d'outil de travail ou de loisir à celui de poste multi média, sorte de fenêtre ouverte sur le monde. L'apparition puis l'omniprésence d'Internet, sorte de réseau des réseaux, représente une étape de plus. Même si Internet n'est qu'un ensemble de moyens matériels et logiciels pour assurer les communications entre ordinateurs, il est devenu un enjeu politique, économique, culturel et philosophique de dimension planétaire bien plus par le contenu des informations qu'il véhicule que par sa technologie. Internet a perdu sa couleur exclusivement technologique en même temps qu'il devenait disponible à tous, on se « connecte » aujourd'hui aussi naturellement que l'on achète un journal. Du point de vue des utilisateurs, il est intéressant d'associer la banalisation d'Internet avec celle de la téléphonie mobile. Si la synergie apparaît naturelle pour les utilisateurs de ces deux technologies, il convenait jusqu'à présent d'opposer la mobilité du téléphone à la sédentarité liée à la nature essentiellement filaire des accès à haut débit au réseau Internet, la mobilité d'accès se faisant au prix de la performance. Ce lien entre mobilité et performance est apparu avec la technologie des réseaux sans fil aujourd'hui en grande partie supportée par les produits de type WLAN et WiFi alignés avec les normes IEEE 802.11. Cependant les problèmes posés par cette technologie sont apparus très tôt notamment la capacité de cette technologie à supporter l'extension géographique des réseaux ainsi qu'au niveau de la sécurité et de l'intégrité des données échangées. L'invention décrite permet de résoudre ces problèmes de façon innovante. Afin de comprendre les différences d'architecture, d' implementation et les bénéfices de l'invention il est important de rappeler l'état actuel des technologies sans fil. Le fait de s'affranchir des contraintes de câblage représente des avantages de mobilité et de flexibilité ; les technologies actuelles et plus particulièrement WLAN et Wifi offrent ces avantages. Ces produits adoptent la suite de norme IEEE 802.11 qui définit principalement une méthode d'accès, ou connectivité, sans fil à un réseau câblé. On parle généralement de points d' accès (AP) . Sous sa forme générique, un point d'accès est un transmetteur sans fil qui permet la connexion sans fil à un réseau câblé de type LAN. Un point d'accès gère cette connexion de telle façon que les clients du réseau câblé et les clients du réseau sans fil ont l'illusion d'être membre d'un même réseau. Les principales contraintes et limitations de ces produits de WLAN sont : " La sécurité. Les mécanismes d' authentification ne sont pas basés sur une authentification mutuelle. " Contrôle limité de la topologie du réseau sans fil. 1 Pas d'outils intégré de supervision du réseau sans fil. a Problème des nœuds cachés ou défectueux. La possibilité de se connecter et la qualité de cette connexion ne sont pas déterministes. 1 Problème de couverture géographique du réseau sans fil. L'extension du réseau sans fil est liée à la disponibilité d'un réseau câblé. " Les protocoles travaillent principalement au niveau 2 du modèle ISO. La bande passante est souvent dégradée par les émissions diffusées (broadcast) provenant du LAN et le trafic multicast.The present invention relates to the field of wireless local area networks. The present invention relates more particularly to a method of implementing a wireless local area network architecture for digital data exchange comprising a plurality of equipment each comprising client resources and server resources as well as means of interconnection of said equipment by mesh. Modern computing is essentially network-based. This notion of network is omnipresent, the connection between computers is at the origin of a revolution in communication tools, a vector of culture and freedom. The place of the computer has evolved from the status of a super calculating machine, then of a work or leisure tool to that of a multi-media station, a kind of window open to the world. The appearance and then the ubiquity of the Internet, a kind of network of networks, represents one more step. Even if the Internet is only a set of hardware and software to ensure communications between computers, it has become a political, economic, cultural and philosophical stake of planetary dimension much more by the content of the information that it conveys than by its technology. The Internet has lost its exclusively technological color at the same time as it became available to everyone, we “connect” today as naturally as we buy a newspaper. From the users' point of view, it is interesting to associate the trivialization of the Internet with that of mobile telephony. If the synergy appears natural for the users of these two technologies, it was appropriate until present to oppose the mobility of the telephone to the sedentary lifestyle linked to the essentially wired nature of broadband access to the Internet, access mobility being at the cost of performance. This link between mobility and performance appeared with wireless network technology today largely supported by WLAN and WiFi type products aligned with IEEE 802.11 standards. However, the problems posed by this technology appeared very early, in particular the ability of this technology to support the geographic extension of networks as well as the security and integrity of the data exchanged. The invention described solves these problems in an innovative way. In order to understand the differences in architecture, implementation and the benefits of the invention it is important to recall the current state of wireless technologies. Overcoming cabling constraints represents advantages of mobility and flexibility; current technologies and more particularly WLAN and Wifi offer these advantages. These products adopt the IEEE 802.11 standard suite which mainly defines a method of wireless access, or connectivity, to a wired network. We generally speak of access points (AP). In its generic form, an access point is a wireless transmitter that allows wireless connection to a wired LAN type network. An access point manages this connection in such a way that clients of the wired network and clients of the wireless network have the illusion of being members of the same network. The main constraints and limitations of these WLAN products are: "Security. The authentication mechanisms are not based on mutual authentication. "Limited control of the topology of the wireless network. 1 No integrated wireless network supervision tools. A Problem of hidden or faulty nodes. The possibility of connecting and the quality of this connection are not deterministic. 1 Problem geographic coverage of the wireless network. The extension of the wireless network is linked to the availability of a wired network. "The protocols work mainly at level 2 of the ISO model. Bandwidth is often degraded by broadcasts from the LAN and multicast traffic.
Les points d'accès utilisent des mécanismes de cryptage des données afin de garantir la confidentialité et l'intégrité des transferts. Malheureusement, le mécanisme employé, WEP, comporte de nombreuses faiblesses. Le WEP utilise l'algorithme de codage RC4 qui utilise la même clé pour chiffrer et déchiffrer les paquets, cette clé pouvant être de 40 jusqu'à 128 bits. Les faiblesses de ce protocole et des mécanismes d'échange des clés sont telles qu'un pirate peut déchiffrer un message en analysant l'équivalent d'environ cinq heures de transmission de données. De plus, le gestionnaire de clés de codage de WEP peut réutiliser les mêmes clés de façon suffisamment "prévisible", pour qu'il devienne possible d'analyser le trafic du réseau et de corréler les données aux clés utilisées, ce qui permet ensuite de casser les codes. Ces techniques de piratages sont tout aussi efficaces sur des codages RC4 à 40 bits que sur ceux à 128 bits. Un point d' accès dans sa forme basique ne permet la connexion que de clients sans fil (1 de la Figure 1) , les autres points d' accès ne sont pas reconnus ni connectés . La distance maximale entre le point d'accès et le client est la « limite de portée radio », comprise entre 50 mètres en intérieur et quelques centaines de mètres en extérieur. Au- delà de cette distance maximale, la connectivité ne peut plus être assurée. Certains constructeurs ont inclus la possibilité d'utiliser des points d'accès pour créer des « ponts » de réseau et relayer des réseaux filaires (2 de la Figure 1) . Dans cette configuration, les points d'accès deviennent des ponts de réseau sans permettre la connexion de clients sans fil. Par extension, les deux fonctionnalités ont été intégrées pour créer des ponts sans fil entre des segments de réseau filaire et permettre aussi la connexion de clients (3 de la Figure 1) . Cette catégorie d' équipements peut prêter à confusion dans la mesure ou 1' implementation reste limitée en raison des contraintes suivantes : • L' implementation est souvent spécifique à un constructeur donné. Dans la plupart des cas, il convient d'utiliser des équipements d'un même constructeur. • La fonctionnalité de l'équipement inférieur se limite au pont de réseau, il ne peut pas se comporter comme un point d'accès. Un LAN peut être caractérisé comme un média offrant une bande passante élevée, supportant l'émission diffusée (broadcast) et permettant des accès multiples et partagés. Cette définition s'applique tout à fait aux WLANs . Cependant plusieurs aspects importants sont souvent négligés quand les capacités et les fonctionnalités des LANs sont transposées au monde sans fil : " Les LANs supportent généralement des taux d'erreur extrêmement bas de l'ordre de 10"9 tandis que WLANs ont des taux d'erreur de l'ordre de 10"5 à 106, soit trois ordres de grandeur. " Le rapport prix/performances des équipements WLANs reste considérablement inférieur à celui des LANs. La bande passante d'un réseau sans fil est une ressource beaucoup plus sensible que celle d'un réseau câblé.Access points use data encryption mechanisms to guarantee the confidentiality and integrity of transfers. Unfortunately, the mechanism used, WEP, has many weaknesses. WEP uses the RC4 coding algorithm which uses the same key to encrypt and decrypt packets, this key can be 40 to 128 bits. The weaknesses of this protocol and of the key exchange mechanisms are such that a hacker can decrypt a message by analyzing the equivalent of approximately five hours of data transmission. In addition, the WEP coding key manager can reuse the same keys in a sufficiently "predictable" manner, so that it becomes possible to analyze network traffic and correlate the data to the keys used, which then makes it possible to crack the codes. These hacking techniques are just as effective on 40-bit RC4 encodings as on 128-bit ones. An access point in its basic form only allows connection of wireless clients (1 in Figure 1), the other access points are not recognized or connected. The maximum distance between the access point and the customer is the "radio range limit", between 50 meters indoors and a few hundred meters outdoors. Beyond this maximum distance, connectivity can no longer be ensured. Some manufacturers have included the possibility of using access points to create network "bridges" and relay wired networks (2 in Figure 1). In this configuration, the access points become network bridges without allowing the connection of wireless clients. By extension, the two functionalities have been integrated to create wireless bridges between wired network segments and also allow the connection of clients (3 in Figure 1). This category of equipment can be confusing since the implementation remains limited due to the following constraints: • The implementation is often specific to a given manufacturer. In most cases, equipment from the same manufacturer should be used. • The functionality of the lower equipment is limited to the network bridge, it cannot behave as an access point. A LAN can be characterized as a medium offering high bandwidth, supporting broadcast and allowing multiple and shared access. This definition fully applies to WLANs. However, several important aspects are often overlooked when the capabilities and functionality of LANs are transposed to the wireless world: "LANs generally support extremely low error rates of around 10 " 9 while WLANs have error rates of the order of 10 "5 to 10 6 , or three orders of magnitude." The price / performance ratio of WLANs equipment remains considerably lower than that of LANs. The bandwidth of a wireless network is a much more sensitive resource than that of a wired network.
La conjonction d'un taux d'erreurs élevé et d'une bande passante moindre signifie que l'utilisation directe des protocoles spécifiques au LAN avec des WLAN sans fil peut générer des problèmes très importants de fiabilité et d'efficacité. Le problème des nœuds cachés ou défectueux peut sérieusement compromettre le bon fonctionnement d'un réseau sans fil puisque ce réseau n' est pas déterministe en termes de connectivité de base et de bande passante. Un exemple de cette problématique est l'utilisation des ponts sans fil fonctionnant en mode point à point ou en mode point à multipoint. Dans un LAN transversal, un des objectifs des algorithmes de gestion de l'arbre de diffusion est d'éliminer les boucles de réseau. La conséquence est que le chemin entre deux stations peut être sub-optimal en terme de « distance » de transit d'un paquet de données. Ceci est cependant peu significatif en raison de la bande passante élevée, du relatif faible coût et de la segmentation des domaines de collision.The combination of a high error rate and a lower bandwidth means that the direct use of LAN-specific protocols with wireless WLANs can generate very serious problems of reliability and efficiency. The problem of hidden or faulty nodes can seriously compromise the proper functioning of a wireless network since this network is not deterministic in terms of basic connectivity and bandwidth. An example of this problem is the use of wireless bridges operating in point-to-point mode or in point-to-multipoint mode. In a transversal LAN, one of the objectives of the broadcasting tree management algorithms is to eliminate network loops. The consequence is that the path between two stations may be sub-optimal in terms of the transit “distance” of a data packet. This is however insignificant due to the high bandwidth, the relatively low cost and the segmentation of the collision domains.
Dans un environnement WLAN courant, les optimisations ne se produisent que lorsque le chemin direct est employé entre deux stations en raison de la bande passante inférieure et de la possibilité d'un domaine de collisions partagé au niveau physique (couche 1 du modèle ISO). En outre, le fonctionnement correct de l'algorithme de diffusion dépend des paquets de commande du « pont de réseau » qui peuvent être corrompus ou perdus . Le manque de cohésion et de convergence du réseau peut avoir des conséquences désastreuses si des boucles sont créées, même pendant une période très courte.In a current WLAN environment, optimizations only occur when the direct path is used between two stations due to the lower bandwidth and the possibility of a shared collision domain at the physical level (layer 1 of the ISO model). In addition, the correct functioning of the algorithm broadcast depends on "network bridge" command packets which can be corrupted or lost. The lack of cohesion and convergence of the network can have disastrous consequences if loops are created, even for a very short period.
Bien que de nouvelles normes qui devraient corriger certaines des insuffisances des WLANs sont à l'étude, nous croyons que les produits utilisant les protocoles actuels doivent être utilisés uniquement comme des possibilités d'accès et que le plus grand soin doit être apporté à comprendre les différences fondamentales entre ces deux types de média. La portée des équipements WLANs et limitée par la faible puissance autorisée à l'émission mais aussi par la bande de fréquence utilisée (2.4GHz). Cette portée est d'environ 50 mètres en intérieur et de quelques centaines de mètres en extérieur. Au-delà de cette limite, la connexion n'étant plus assurée, il convient de rajouter des équipements d'accès connectés au réseau filaire ou de configurer l'équipement en mode pont de réseau. Cette dernière solution n'est pas satisfaisante essentiellement en raison du problème des nœuds cachés ou défectueux exposé précédemment. De plus des problèmes de sécurité peuvent se poser dans la mesure ou l'augmentation de la couverture géographique augmente la visibilité du réseau et les risques de piratage. Très souvent, les utilisateurs se contentent de penser que la faible portée de leur réseau sans fil constitue un moyen de se protéger.Although new standards which should correct some of the shortcomings of WLANs are under study, we believe that products using current protocols should be used only as access facilities and that great care should be taken to understand the fundamental differences between these two types of media. The range of WLANs equipment is limited by the low power authorized for transmission but also by the frequency band used (2.4GHz). This range is around 50 meters indoors and a few hundred meters outdoors. Beyond this limit, the connection being no longer ensured, it is necessary to add access equipment connected to the wired network or to configure the equipment in network bridge mode. This last solution is not satisfactory essentially because of the problem of hidden or defective nodes exposed previously. In addition, security problems may arise insofar as the increase in geographic coverage increases the visibility of the network and the risk of hacking. Very often, users are content to think that the short range of their wireless network is a way to protect themselves.
L'art antérieur connaît déjà, par la demande de brevet américain US 2003/0104829, une technique pour établir un bac bone virtuel dans un réseau sans fil ad hoc. Un algorithme pour créer un backbone virtuel dans un réseau sans fil ad hoc utilise trois phases pour établir un réseau efficace parmi les équipements indépendants du réseau sans fil ad hoc. Des équipements indépendants dans les champs de transmission des autres sont voisins. Une phase de sélection d' un « leader » et de construction d' n arbre permet de construire un arbre des équipements voisins, un des équipements étant désigné comme étant la racine et chaque équipement établissant et enregistrant sa position dans la structure d'arbre et les identifiants des voisins ; et émettant un message lorsque l'arbre est construit. Une phase de calcul de niveau détermine la distance de chaque équipement de l'équipement racine, chaque équipement enregistrant le niveau (ou distance à la racine) de ses voisins . La priorité pour chaque équipement est établie en considérant le niveau dans l'arbre de chaque équipement et son identifiant, le niveau dans l'arbre étant primordial pour la détermination de la priorité. De plus, un message est émis lorsque les niveaux de l'arbre sont établis. Une phase de construction du backbone permet de qualifier tous les équipements de dominateur ou de dominé, les dominateurs formant le backbone du réseau et les dominés étant voisins d'un dominateur. Au sein du réseau, chaque équipement a uniquement besoin de connaître les informations de ses équipements voisins.The prior art already knows, by American patent application US 2003/0104829, a technique for establishing a virtual bone bac in an ad hoc wireless network. An algorithm for creating a virtual backbone in an ad hoc wireless network uses three phases to establish an efficient network among devices independent of the ad hoc wireless network. Independent equipment in the transmission fields of others is nearby. A phase of selecting a “leader” and constructing a tree makes it possible to construct a tree of neighboring equipment, one of the equipment being designated as the root and each equipment establishing and recording its position in the tree structure and neighbor identifiers; and sending a message when the tree is built. A level calculation phase determines the distance of each item of equipment from the root equipment, each item of equipment recording the level (or distance to the root) of its neighbors. The priority for each item of equipment is established by considering the level in the tree of each item of equipment and its identifier, the level in the tree being essential for determining the priority. In addition, a message is issued when the tree levels are established. A backbone construction phase makes it possible to qualify all the equipment as dominator or dominated, the dominators forming the network backbone and the dominated being neighbors of a dominator. Within the network, each device only needs to know the information of its neighboring devices.
Le but de la présente invention est de définir une nouvelle approche des réseaux sans fil qui remplit les objectifs suivants : " Définir une architecture qui permet de conserver les avantages de flexibilité et de souplesse des réseaux sans fil, d'étendre ses capacités et de contourner les problèmes inhérents à cette technologie afin d' offrir une alternative au moins équivalente, voire supérieure aux services offerts par les réseaux câblés. " Construire un système d' exploitation qui implémente cette architecture de façon indépendante de la plate-forme matérielle et définir des protocoles, des services, des outils et des interfaces indépendants de la technologie radio employée. Le but est d'étendre l'architecture à d'autres technologies que WiFi . Ceci est un des points clés de l'invention. " Réduire, voire supprimer les contraintes vis-à- vis des utilisateurs de l'infrastructure et des services intégrés . 1 Supprimer les contraintes de déploiement symptomatiques des produits WLANs actuels et de leur dépendance vis-à-vis de l'infrastructure câblée. 1 Contrôler globalement l'infrastructure sans fil par de règles et des politiques prédéfinies . " Supporter l'extension pratiquement illimitée de l'infrastructure de réseau sans fil et de la couverture géographique de ce réseau en dehors de toute dépendance vis-à-vis d'un réseau' câblé 1 Maximiser la résilience et la fiabilité de ce réseau au travers d'une architecture multi route de réseau maillé. " Supporter l'intégration simple et sans contraintes au sein d'une infrastructure de réseau câblé lorsque celle-ci est déjà présente. " Supprimer les problèmes de sécurité des réseaux sans fil en définissant des protocoles indépendants des couches réseaux ISOl et IS02 et implémenter cette sécurisation au travers de méthode d'encryptage fiables et transparentes qui ne nécessite pas l'emploi de méthode spécifique par l'utilisateur final. " Optimiser l'utilisation du spectre radio en supprimant les contraintes de topologie et de déploiement. " Minimiser les étapes nécessaires à la configuration de l'infrastructure sans fil tout en restant souple et flexible. " Supporter les protocoles de gestion de réseau standard afin de pouvoir superviser l'infrastructure sans fil au même titre qu'un réseau câblé par les outils de configuration, de gestion des incidents et d'analyse des performances les plus répandus.The aim of the present invention is to define a new approach to wireless networks which fulfills the following objectives: "Define an architecture which makes it possible to retain the advantages of flexibility and flexibility of wireless networks, to extend its capacities and to circumvent the problems inherent in this technology in order to provide a alternative at least equivalent or even superior to the services offered by cable networks. "Build an operating system that implements this architecture independently of the hardware platform and define protocols, services, tools and interfaces independent of the radio technology used. The goal is to extend the architecture to other technologies than WiFi. This is one of the key points of the invention. "Reduce, or even remove constraints on users of the infrastructure and integrated services. 1 Eliminate the deployment constraints symptomatic of current WLAN products and their dependence on wired infrastructure. 1 Overall control of the wireless infrastructure using predefined rules and policies. "Supporting the extension virtually unlimited wireless network infrastructure and geographical coverage of the network without any dependence on network-vis a 'wired 1 Maximizing resilience and reliability of the network through a multi-route mesh network architecture. "Support simple integration without constraints within a wired network infrastructure when it is already present. "Eliminate wireless network security problems by defining protocols independent of the ISOl and IS02 network layers and implement this security through reliable and transparent encryption methods which do not require the use of specific methods by the end user . "Optimize the use of the radio spectrum by eliminating topology and deployment constraints." Minimize the steps necessary to configure the wireless infrastructure while remaining flexible and flexible. "Support standard network management protocols so that you can supervise the wireless infrastructure in the same way as a wired network using the most popular configuration, incident management and performance analysis tools.
A cet effet, la présente invention concerne, dans son acception la plus générale, un procédé de mise en œuvre d'une architecture de réseau local sans fil d'échange de données numériques comportant une pluralité d' équipements comportant chacun des ressources client et des ressources serveur ainsi que des moyens d'interconnexion desdits équipements par maillage, caractérisé en ce que ledit procédé comporte des étapes de définition de règles de déploiement du réseau, et des étapes d'application de ces règles au moment de chaque création d'une connexion entre une ressource client d'un équipement et une ressource serveur d'un autre équipement dudit réseau local. De préférence, lesdites règles sont hiérarchiquement distribuées à plusieurs niveaux, chacun desdits niveaux comportant les ressources suffisantes pour son fonctionnement. Avantageusement, lesdits échanges de données numériques sont sécurisés grâce à des moyens d'encryptage spécifiques et indépendants du protocole radio utilisé. De préférence, le réseau sans fil met en œuvre une norme du type 802.11, BlueTooth ou DECT. Selon un mode de mise en œuvre particulier, le procédé comprend en outre des étapes de supervision desdits échanges de données et du trafic desdites données numériques . Selon une variante, le procédé comprend en outre des étapes d'optimisation en temps réel de la structure du réseau, ces étapes permettant de garantir la qualité de service dudit réseau. Selon une autre variante, le procédé comprend en outre une étape d' intégration d' au moins un nouvel équipement, cette intégration permettant d'étendre la couverture du réseau et étant réalisée en mettant en œuvre lesdites règles de déploiement. La présente invention se rapporte également à une architecture de réseau local pour la mise en œuvre du procédé .To this end, the present invention relates, in its most general sense, to a method for implementing a wireless local area network architecture for the exchange of digital data comprising a plurality of devices each comprising client resources and server resources as well as means of interconnection of said equipment by mesh, characterized in that said method comprises steps for defining rules for network deployment, and steps for applying these rules at the time of each creation of a connection between a client resource of a device and a server resource of another device of said local network. Preferably, said rules are hierarchically distributed at several levels, each of said levels comprising sufficient resources for its operation. Advantageously, said exchanges of digital data are secure thanks to specific encryption means independent of the radio protocol used. Preferably, the wireless network implements a standard of the 802.11, BlueTooth or DECT type. According to a particular mode of implementation, the method further comprises steps for supervising said data exchanges and the traffic of said digital data. According to a variant, the method further comprises steps for optimizing the network structure in real time, these steps making it possible to guarantee the quality of service of said network. According to another variant, the method further comprises a step of integrating at least one new piece of equipment, this integration making it possible to extend the coverage of the network and being carried out by implementing said deployment rules. The present invention also relates to a local area network architecture for implementing the method.
On comprendra mieux l'invention à l'aide de la description, faite ci-après à titre purement explicatif, d'un mode de réalisation de l'invention, en référence aux figures annexées : • la figure 1 illustre l'architecture élémentaire des équipements sans fil IEEE802.il ; • la figure 2 illustre une comparaison entre différents réseaux ; • la figure 3 illustre la délinéation entre backbone et accès ; • la figure 4 représente les canaux FMP ; • la figure 5 illustre la topologie maillée structurée étendue ; • la figure β représente la distribution de la politique globale du réseau ; • la figure 7 représente la création de connexion, et plus particulièrement la négociation ; • la figure 8 illustre la création de connexion, et plus particulièrement l' authentification et l'encryptage ; • la figure 9 illustre un réseau non partitionné ; • la figure 10 représente un réseau partitionné ; • la figure 11 illustre un réseau multi zones ; et • la figure 12 illustre un réseau multi zones, dans lequel les zones sont connectées ; • la figure 13 représente le mécanisme d'échange des paquets dans le cadre du procédé de sécurisation ; et • la figure 14 représente la création des liens au niveau de l'accès liaison dans le cadre du procédé de sécurisation.The invention will be better understood using the description, given below for purely explanatory purposes, of an embodiment of the invention, with reference to the appended figures: • Figure 1 illustrates the elementary architecture of the IEEE802.il wireless equipment; • Figure 2 illustrates a comparison between different networks; • Figure 3 illustrates the delineation between backbone and access; • Figure 4 shows the FMP channels; • Figure 5 illustrates the extended structured mesh topology; • Figure β represents the distribution of the overall network policy; FIG. 7 represents the creation of a connection, and more particularly the negotiation; • Figure 8 illustrates the creation of connection, and more particularly authentication and encryption; • Figure 9 illustrates a non-partitioned network; • Figure 10 shows a partitioned network; • Figure 11 illustrates a multi-zone network; and • Figure 12 illustrates a multi-zone network, in which the zones are connected; • Figure 13 shows the packet exchange mechanism as part of the security process; and • Figure 14 shows the creation of links at the link access level as part of the security process.
Le concept de l'invention repose principalement sur celui de réseau maillé structuré utilisant un médium sans fil. Dans les réseaux point à point (ad hoc) toutes les stations désirant échanger des données doivent établir une connexion directe avec les stations adjacentes. Si une station intègre la capacité de faire transiter les données de façon transparente, le réseau devient alors maillé et ce besoin de connexion directement adjacente disparaît. La Figure 2 illustre une comparaison de différents types de réseaux. Cette capacité de transfert de données est supportée par de nombreux types de stations et permet de créer des structures de réseaux hautement dynamiques et flexibles à moindre coût. Cette solution a déjà été mise en œuvre ainsi bien pour les réseaux câblés que pour les réseaux sans fil. Cependant dans le cas des réseaux sans fil, l'intégration de stations de nature hétérogènes, y compris des stations dédiées aux utilisateurs finaux (type PC) , au sein de ce réseau maillé crée de nombreuses faiblesses. Le réseau devient non déterministe au niveau des stations elles-mêmes et la nature hautement dynamique et hétérogène de cette architecture le rend difficile à gérer, à contrôler et à sécuriser. L'approche de l'invention est de conserver les avantages inhérents à la flexibilité et la souplesse de déploiement des réseaux maillés tout en contraignant la structure et la topologie de ce réseau en appliquant des politiques prédéfinies. Cette contrôle de la structure du réseau maillé s'applique à trois niveaux : 1. Au niveau de l'architecture, le réseau d'acheminement des données (appelé backbone) est clairement différencié du réseau offrant l'accès aux utilisateurs, 2. Le backbone est composé de stations homogènes formant l'infrastructure de service d'acheminement des données. 3. Des règles de contrôle sont imposées à toute la topologie du réseau au niveau de son déploiement, du transfert et de l'acheminement des données et de la sécurité et de l'intégrité de ces données. La technologie ainsi mise en œuvre applique les principes des réseaux maillés à la construction d'une infrastructure de réseau sans fil capable de délivrer des services de communication d'une qualité, d'une performance, d'une prédictibilité et d'une sécurité équivalente et même supérieure dans certains aspects à celles offertes par les infrastructures de réseaux câblés. L'architecture mise en œuvre par l'invention définit deux couches distinctes, respectivement la couche d'acheminement (backbone) et la couche d'accès. Ces deux couches sont logiquement distinctes et isolées. Les caractéristiques spécifiques des réseaux sans fil décrites précédemment (émission diffusée, multi accès) ne sont pas propagées d'une couche à l'autre créant ainsi une forte délinéation entre ces deux couches . Au sein de ces deux couches, le paradigme de réseau point à point est systématiquement appliqué afin de maximiser son efficacité et de faciliter le contrôle du son déploiement et de la sécurité. Le concept de LAN sans fil (WLAN) ne s'applique absolument pas à l'invention dans la mesure ou l'architecture définie est totalement différente. Cependant, du point de vue des utilisateurs finaux connectés à ce réseau, son comportement opérationnel est totalement transparent et se rapporte entièrement à celui d'un LAN. Au niveau de la couche d'acheminement (backbone), un réseau maillé sans fil est créé entre les stations homogènes supportant notre architecture dans le but de former une infrastructure déterministe à laquelle les utilisateurs finaux vont pouvoir se connecter avec leur interface réseau sans fil au travers de la couche d'accès. La combinaison et les interactions entre ces deux couches créent cette notion d'infrastructure réellement affranchie de toute contrainte de câblage (infrastructure WireFrβe) . La figure 3 décrit la délinéation entre les deux couches de l'architecture : • Les couches d'acheminement et d'accès sont architecturalement séparées, mais peuvent être implementees en utilisant soit le même soit deux périphériques radio différents . • La séparation entre les deux couches permet d'utiliser des technologies radio différentes pour le backbone et l'accès, par exemple backbone WiFi IEEE802.11b et accès Bluetooth.The concept of the invention is mainly based on that of a structured mesh network using a wireless medium. In point-to-point (ad hoc) networks, all stations wishing to exchange data must establish a direct connection with the adjacent stations. If a station integrates the capacity to transmit data transparently, the network then becomes a mesh and this need for a directly adjacent connection disappears. Figure 2 illustrates a comparison of different types of networks. This data transfer capacity is supported by many types of stations and makes it possible to create highly dynamic and flexible network structures at low cost. This solution has already been implemented for cable networks as well as for wireless networks. However in the case of wireless networks, the integration of heterogeneous stations, including stations dedicated to end users (PC type), within this mesh network creates many weaknesses. The network becomes non-deterministic at the level of the stations themselves and the highly dynamic and heterogeneous nature of this architecture makes it difficult to manage, control and secure. The approach of the invention is to retain the advantages inherent in the flexibility and flexibility of deployment of mesh networks while constraining the structure and topology of this network by applying predefined policies. This control of the structure of the mesh network applies at three levels: 1. At the architectural level, the data routing network (called backbone) is clearly differentiated from the network offering access to users, 2. The backbone is made up of homogeneous stations forming the data routing service infrastructure. 3. Control rules are imposed on the entire network topology in terms of its deployment, transfer and routing of data and the security and integrity of this data. The technology thus implemented applies the principles of mesh networks to the construction of a wireless network infrastructure capable of delivering communication services of quality, performance, predictability and equivalent security. and even superior in some aspects to those offered by cable network infrastructures. The architecture implemented by the invention defines two distinct layers, respectively the routing layer (backbone) and the access layer. These two layers are logically distinct and isolated. The specific characteristics of the wireless networks described above (broadcast transmission, multi-access) are not propagated from one layer to the other, thus creating a strong delineation between these two layers. Within these two layers, the point-to-point network paradigm is systematically applied in order to maximize its efficiency and facilitate the control of its deployment and security. The concept of wireless LAN (WLAN) absolutely does not apply to the invention since the defined architecture is completely different. However, from the point of view of the end users connected to this network, its operational behavior is completely transparent and relates entirely to that of a LAN. At the routing layer (backbone), a wireless mesh network is created between the homogeneous stations supporting our architecture in order to form a deterministic infrastructure to which end users will be able to connect with their wireless network interface to across the access layer. The combination and the interactions between these two layers create this notion of infrastructure really freed from all wiring constraints (WireFrβe infrastructure). Figure 3 describes the delineation between the two architecture layers: • The routing and access layers are architecturally separate, but can be implemented using either the same or two different radio devices. • The separation between the two layers allows the use of different radio technologies for the backbone and access, for example WiFi backbone IEEE802.11b and Bluetooth access.
La gestion de la couche backbone s'effectue au travers du protocole spécifique à l'invention, le FMP, qui gère le déploiement du réseau maillé en respectant les règles prédéfinies. Par défaut, un backbone résilient est automatiquement créé en utilisant les informations provenant des couches ISOl à 3. Ces informations sont exploitées pour établir un maillage optimisé à partir de méthodes spécifiques à l'invention qui utilisent des algorithmes de convergence basés sur la logique floue. Par extension, ces règles de déploiement permettent de contrôler entièrement la topologie et la structure du maillage. Ce protocole FMP s'emploie uniquement à créer la couche backbone. Il utilise deux canaux de communication. La Figure 4 représente les canaux FMP. Le canal de commande est utilisé pour échanger les informations permettant d'optimiser la structure initiale du maillage au moment de sa création mais aussi pour faire évoluer en temps réel cette structure en fonction des variations de la qualité de propagation ou de la topologie même du réseau. Cette communication s'effectue directement au-dessus de l'interface sans fil si aucun lien point à point n'est encore établi, ou au travers d'un lien point à point si une connexion a été établie. Le backbone est ainsi automatiquement organisé et optimisé et termes de connectivité mais aussi de contrôle des flux de données.The backbone layer is managed through the protocol specific to the invention, the FMP, which manages the deployment of the mesh network while respecting the predefined rules. By default, a resilient backbone is automatically created using the information from the ISOl to 3 layers. This information is used to establish an optimized mesh from methods specific to the invention which use convergence algorithms based on fuzzy logic. By extension, these deployment rules make it possible to fully control the topology and the structure of the mesh. This FMP protocol is only used to create the backbone layer. It uses two communication channels. Figure 4 shows the FMP channels. The command channel is used to exchange information making it possible to optimize the initial structure of the mesh at the time of its creation but also to make this structure evolve in real time as a function of variations in the quality of propagation or the very topology of the network. . This communication takes place directly over the wireless interface if no point-to-point link is yet established, or through a point-to-point link if a connection has been established. The backbone is thus automatically organized and optimized and terms of connectivity but also control of data flows.
Le canal de communication est utilisé pour l'échange de données chiffrées entre les dispositifs adjacents présents dans le backbone. Ce canal de communication est encrypté par un algorithme de type Blo Fish et utilise des clés d'encodage de 128 bits. C'est un point clé de l'invention dans la mesure ou l'encryptage des données s'effectue au niveau du lien point à point et n'utilise pas les fonctionnalités incluses dans les interfaces radio. Le protocole est « radio agnostique » c'est-à-dire qu'il ne dépend aucunement du type d'interface radio ni du protocole de niveau 1 employé. Cette technique garantit une très grande pérennité des équipements dans la mesure ou les normes d'encryptage intégrées dans ces équipements sont en perpétuel renouvellement.The communication channel is used for the exchange of encrypted data between the adjacent devices present in the backbone. This communication channel is encrypted by a type algorithm Blo Fish and uses 128-bit encoding keys. This is a key point of the invention since the data is encrypted at the point-to-point link and does not use the functionalities included in the radio interfaces. The protocol is “radio agnostic”, that is to say that it does not depend in any way on the type of radio interface or on the level 1 protocol used. This technique guarantees a very long life of the equipment insofar as the encryption standards integrated in this equipment are constantly being renewed.
Le protocole de gestion du backbone est entièrement transparent aux utilisateurs du réseau, les équipements offrant des services de type TCP/IP résilients et sécurisés. Enfin le backbone peut être étendu par l'ajout d'équipements. L'addition de nouveaux équipements à deux conséquences : 1 L'augmentation de la topologie du réseau. Une nouvelle station apparaît et permet d'étendre la couverture du réseau maillé sans fil. La consolidation du backbone dans la mesure ou le réseau maillé structuré intègre les fonctionnalités d' acheminement automatique et permet donc de prendre en compte une nouvelle station comme un élément susceptible d'augmenter la résilience de l'ensemble. La Figure 5 illustre une topologie maillée structurée étendue . L'addition de l'équipement mettant en œuvre le procédé selon l'invention permet également d'augmenter la bande passante globale du réseau. Puisque chaque équipement mettant en œuvre le procédé selon l'invention construit une cellule radio avec une bande passante donnée, une cellule radio additionnelle créée par un autre équipement mettant en œuvre le procédé selon l'invention ajoutera la bande passante de cette cellule à la bande passante totale agrégée du réseau. Bien entendu il est nécessaire d'assurer un recouvrement entre les cellules radio d' au moins une paire d' équipements mettant en œuvre le procédé selon l'invention pour que le maillage du réseau puisse s'établir, mais ce maillage fonctionnant essentiellement au niveau ISO 3, les aspects d'émission diffusée (broadcast) sont limités aux couches inférieures . Cependant des possibilités d'émission diffusée au niveau ISO 3 demeurent dans tout le réseau, mais ces émissions diffusées sont entièrement contrôlées par la couche TCP/IP.The backbone management protocol is completely transparent to network users, the equipment offering resilient and secure TCP / IP services. Finally the backbone can be extended by adding equipment. The addition of new equipment has two consequences: 1 The increase in the network topology. A new station appears and allows to extend the coverage of the wireless mesh network. The consolidation of the backbone insofar as the structured mesh network integrates the automatic routing functionalities and therefore makes it possible to take into account a new station as an element likely to increase the resilience of the whole. Figure 5 illustrates an extended structured mesh topology. The addition of the equipment implementing the method according to the invention also makes it possible to increase the overall bandwidth of the network. Since each piece of equipment implementing the method according to the invention builds a radio cell with a given bandwidth, an additional radio cell created by another piece of equipment implementing the method according to the invention will add the bandwidth of this cell to the total aggregate bandwidth of the network. Of course, it is necessary to ensure overlap between the radio cells of at least one pair of equipment implementing the method according to the invention so that the network mesh can be established, but this mesh operating essentially at the level ISO 3, broadcast aspects are limited to the lower layers. However, emission possibilities broadcast at ISO 3 level remain throughout the network, but these broadcast emissions are entirely controlled by the TCP / IP layer.
Les connexions des clients au backbone, à travers la couche d'accès, s'appuient également sur un mécanisme de liens point à point, impliquant que toutes les communications, y compris entre les clients, transitent par l'équipement mettant en œuvre le procédé selon l'invention. Cette architecture offre l'avantage de rationaliser et d'homogénéiser les mécanismes de supervision du réseau et de contrôle de la sécurité globale de l'infrastructure. Il convient de noter que le trafic additionnel généré par les mécanismes d'acheminement entre les clients reste faible puisque la majorité des flux de données générés par ces clients sans fil seront destinés à des centres serveurs fixes, ou faiblement dynamiques. Le contrôle global du backbone est géré par un agent contrôleur (le FilFree Mesh Controller, FMC) présent dans chaque équipement qui utilise le protocole FMP sur le canal de commande pour distribuer, mettre en œuvre et maintenir en temps réel la politique globale du réseau. Cette fonctionnalité est un élément différenciant majeur de l'invention. La notion de politique globale regroupe quatre types d' information : " Topologie, qualité de service et déploiement du réseau, " Sécurité, " Supervision et gestion, • Application et services spécifiques La politique est une information dynamique et distribuée qui peut être répartie à trois niveaux : 1 Au niveau de l'entreprise. Ce sont les règles générales appliquées à toutes les stations " Au niveau du réseau. Ce sont les règles spécifiques à un réseau donné. " Au niveau d'un sous-réseau. Ce sont les règles spécifiques à une zone donnée. Chaque niveau hérite des règles de niveau supérieur lorsque celui-ci existe. Des spécificités peuvent être introduites localement afin de permettre un fonctionnement satisfaisant du système en cas de défaillance du service de niveau supérieur ou lorsqu'il n'est pas présent. La Figure 6 illustre la distribution de la politique globale du réseau. Chaque agent FMC intègre la fonctionnalité de client et de serveur de connexion et offre toujours une dualité des rôles. L'établissement d'une connexion s'opère comme illustré Figure 7 : " un client émet une requête de connexion (FMPDRQ) en émission multiple. Tous les serveurs situés dans la zone de recouvrement de cellule radio du client reçoivent cette requête . " A la réception de la requête du client, le serveur effectue un premier contrôle de la politique de déploiement et vérifie s'il peut accepter la requête. Si oui, il renvoie une réponse au client en émission ciblée (FMPDRS) . Cette réponse contient le premier niveau d'information, essentiellement relative au niveau ISO 3, que le client va utiliser au moment de la sélection du « meilleur » serveur. Un client peut recevoir des réponses de plusieurs serveurs. " A la réception de la réponse d'un serveur, le client commence à échanger des messages de type FMPBCN en émission ciblée afin de caractériser la liaison radio avec ce serveur. Cet échange est initié avec chaque serveur ayant répondu à la requête de connexion. " Chaque serveur recevant un message FMPBCN, répond par un message FMPBCN en émission ciblée, afin de caractériser la liaison radio de façon bidirectionnelle. " Au bout d'un nombre d'échanges FMPBCN limité, le client évalue les informations relatives à chaque serveur. Cette évaluation utilise un algorithme complexe basé sur la logique floue qui corrèle les paramètres mesurés avec la politique de déploiement. Au terme de cette évaluation, si le résultat de l'évaluation le permet, le client envoie une requête de création de session (FMPSRQ) en émission ciblée vers le serveur retenu. " A la réception de la requête de création de session du client, le serveur répond par une réponse de création de session (FMPSRS) en émission ciblée vers le client. Au terme de cette négociation, la phase d' authentification et de négociation d'encryptage peut commencer.Client connections to the backbone, through the access layer, are also based on a point-to-point link mechanism, implying that all communications, including between clients, pass through the equipment implementing the process. according to the invention. This architecture offers the advantage of rationalizing and standardizing the network supervision mechanisms and controlling the overall security of the infrastructure. It should be noted that the additional traffic generated by the routing mechanisms between the clients remains low since the majority of the data flows generated by these wireless clients will be intended for fixed, or weakly dynamic, host centers. The overall control of the backbone is managed by a controller agent (the FilFree Mesh Controller, FMC) present in each device which uses the FMP protocol on the command channel to distribute, implement and maintain the overall network policy in real time. This functionality is a major differentiating element of the invention. The concept of global policy brings together four types of information: "Topology, quality of service and network deployment," Security, "Supervision and management, • Application and specific services The policy is dynamic and distributed information that can be divided into three levels: 1 At the level of the company. the general rules applied to all stations "At the network level. These are the rules specific to a given network. "At the level of a sub-network. These are the rules specific to a given zone. Each level inherits the rules of the higher level when this exists. Specifics can be introduced locally in order to allow satisfactory operation of the system in the event top-level service failure or when it is not present Figure 6 illustrates the distribution of the overall network policy Each FMC agent integrates client and connection server functionality and still offers dual roles The establishment of a connection takes place as illustrated in Figure 7: "a client sends a connection request (FMPDRQ) in multiple transmission. All servers located in the client's radio cell overlay area receive this request. "On receipt of the client's request, the server performs a first check of the deployment policy and checks whether it can accept the request. If so, it sends a response to the client in targeted transmission (FMPDRS). This response contains the first level of information, essentially relating to ISO level 3, that the client will use when selecting the "best" server. A client can receive responses from multiple servers. "On receiving the response from a server, the client begins to exchange FMPBCN type messages in targeted transmission in order to characterize the radio link with this server. This exchange is initiated with each server having responded to the connection request. "Each server receiving an FMPBCN message responds with an FMPBCN message in targeted transmission, in order to characterize the radio link in a bidirectional manner. "After a limited number of FMPBCN exchanges, the client evaluates the information relating to each server. This evaluation uses a complex algorithm based on fuzzy logic which correlates the parameters measured with the deployment policy. At the end of this evaluation , if the evaluation results permit, the client sends a session creation request (FMPSRQ) in targeted transmission to the selected server. "On receipt of the client's session creation request, the server responds with a session creation response (FMPSRS) in targeted transmission to the client. After this negotiation, the authentication and encryption negotiation phase can begin.
Tous les équipements d'un réseau maillé structuré doivent être authentifiés avant qu'ils ne soient autorisés à rejoindre le réseau et offrir les services d'accès. Cette authentification et l'encryptage représentent deux éléments de deuxième niveau du schéma global de politique de déploiement et un autre élément majeur différenciant de l'invention. Le contrôle d' authentification sur le backbone et la gestion d'encryptage sont gérés par l'agent présent dans chaque équipement qui utilise le protocole FMP sur le canal de communication. Le principe, illustré Figure 8, est le suivant : 1 Le client émet une requête d' authentification qui contient un nom spécifique et un challenge. Ce challenge est un encryptage d'un mot de passe qui permet d'éviter de transférer ce mot de passe directement sur le réseau. L'utilisation d'un challenge au lieu d'un mot de passe en clair est importante au niveau de la sécurité car le lien n'est pas encore encrypté . 1 A la réception de la requête d' authentification, le serveur de lien contacte le serveur d' authentification au travers du canal de communication. Ce serveur peut être local, intégré à l'équipement serveur, ou distant accessible au travers du LAN. " Au terme de la vérification des paramètres d' authentification, la négociation des clés d'encryptage commence. Un des points clés de l'invention est de supporter des clés d' encryptages différentes pour chacun des liens entre équipements. Contrairement aux protocoles du type WEP décrits précédemment, les clés sont uniques, privées et unidirectionnelles ce qui signifie qu'à aucun moment la découverte d'une de ces clés ne permet de pirater l'ensemble du réseau. De plus la synchronisation des clés s'effectue à l'aide d'un algorithme de type Diffie-Hellman utilisant des clés secrètes de 4096 bits, à comparer au RC4 24 bits du WEP. " Une fois la synchronisation des clés effectuée, la dernière phase consiste à attribuer des adresses TCP/IP à chacun des liens. A ce moment, le lien point à point devient actif et est automatiquement associé au canal de communication. Il convient de noter que le protocole FMP est employé pour établir des liens entre les équipements et pour maintenir l'état de ces liens en utilisant les informations des couches ISO 1 à ISO 3. Le protocole FMP est seulement utilisé pour communiquer et établir l'état entre les stations adjacentes au travers de liens point à point. Cette information d'état des liens et d'acheminement est distribuée au sein du réseau en utilisant un protocole de convergence tel que chaque station maintient une vue identique de la portion du réseau maillé auquel elle est intégrée. Le rôle de ce protocole est de : 1 déterminer les règles d' acheminement entre les différents nœuds du réseau maillé, " déterminer les règles d' acheminement entre les extrémités du réseau maillé, notion de passerelle, 1 d'établir et d'optimiser en temps réel les chemins d'acheminement des flux de données au travers du canal de communication, " de supporter des fonctions de gestion de qualité de service.All equipment in a structured mesh network must be authenticated before it is allowed to join the network and offer access services. This authentication and encryption represent two second-level elements of the overall deployment policy scheme and another major element differentiating from the invention. The authentication control on the backbone and the encryption management are managed by the agent present in each device using the FMP protocol on the communication channel. The principle, illustrated in Figure 8, is as follows: 1 The client issues an authentication request which contains a specific name and a challenge. This challenge is an encryption of a password which makes it possible to avoid transferring this password directly on the network. The use of a challenge instead of a clear password is important in terms of security because the link is not yet encrypted. 1 On receipt of the authentication request, the link server contacts the authentication server through the communication channel. This server can be local, integrated into the server equipment, or remote accessible through the LAN. "At the end of the verification of the authentication parameters, the negotiation of the encryption keys begins. One of the key points of the invention is to support different encryption keys for each of the links between devices. Unlike protocols of the type WEP described previously, the keys are unique, private and unidirectional which means that at any time the discovery of one of these keys makes it possible to hack the entire network. using a Diffie-Hellman algorithm using 4096-bit secret keys, compared to the 24-bit RC4 of WEP. "Once the keys have been synchronized, the last phase consists in assigning TCP / IP addresses to each of the connections. At this point, the point-to-point link becomes active and is automatically associated with the communication channel. It should be noted that the FMP protocol is used to establish links between devices and to maintain the state of these links using information from layers ISO 1 to ISO 3. The FMP protocol is only used to communicate and establish the state between adjacent stations through point-to-point links. This link state and routing information is distributed within the network using a convergence protocol such that each station maintains an identical view of the portion of the mesh network in which it is integrated. The role of this protocol is to: 1 determine the routing rules between the different nodes of the mesh network, "determine the routing rules between the ends of the mesh network, notion of gateway, 1 establish and optimize in real-time data flow routing paths through the communication channel, "to support quality of service management functions.
Un autre point clé de l'invention est de combiner les deux protocoles, FMP et gestion d'état des liens, afin d'assurer la convergence des informations du réseau maillé, de la couche ISO 1 à la couche ISO 3. Cette combinaison ouvre la possibilité d'exploiter les caractéristiques uniques de la radio, spécifiquement, la capacité de créer, de détruire et d'ajuster les liens physiques entre les équipements et donc d'optimiser la topologie, les performances et la fiabilité globale du réseau maillé. Chaque équipement participe activement à la consolidation du réseau maillé, mais aussi à la possibilité d'extension de ce réseau par ajout de nouvelles stations. Après avoir joint le réseau au travers du composant client de son agent FMC, l'équipement active le composant serveur de cet agent afin d'accepter les demandes en provenance d'autres clients potentiels. Le comportement de l'agent FMC vis-à-vis des liens établis est le suivant : 1 le canal de communication du FMP permet l'échange des flux de données encryptées, 1 une fois le lien établi, le canal de commande duAnother key point of the invention is to combine the two protocols, FMP and link state management, in order to ensure the convergence of the information of the mesh network, from the ISO layer 1 to the ISO layer 3. This combination opens the possibility of exploiting the unique characteristics of radio, specifically, the ability to create, destroy and adjust the physical links between the equipment and therefore optimize the topology, performance and overall reliability of the mesh network. Each piece of equipment actively participates in the consolidation of the mesh network, but also in the possibility of extending this network by adding new stations. After joining the network through the client component of its FMC agent, the equipment activates the server component of this agent in order to accept requests from other potential clients. The behavior of the FMC agent with respect to the established links is as follows: 1 the FMP communication channel allows the exchange of encrypted data flows, 1 once the link is established, the command channel of the
FMP est cependant maintenu et utilisé pour échanger des informations de statut des liens que l'équipement supporte, 1 Ces informations multidimensionnelles d'état des liens sont maintenues en temps réel dans chaque équipement, " Les informations consolidées d' état des liens sont aussi distribuées à tous les équipements dans le but d'optimiser dynamiquement le réseau. " Les informations consolidées d' état des liens peuvent aussi être collectées par les outils de supervision tels que le FilFree Mesh Manager (FMM) . " La politique de déploiement de la topologie est constamment évaluée pour déterminer si et quand des liens alternatifs ou additionnels doivent être créés, " La politique d'optimisation de la topologie est aussi constamment évaluée pour déterminer si des liens doivent être supprimés .FMP is however maintained and used to exchange information on the status of the links that the equipment supports, 1 This multidimensional information on link status is maintained in real time in each device, "Consolidated information on link status is also distributed to all equipment in order to dynamically optimize the network. "Consolidated link state information can also be collected by supervision tools such as the FilFree Mesh Manager (FMM). "The topology deployment policy is constantly evaluated to determine if and when alternative or additional links should be created," The topology optimization policy is also constantly evaluated to determine if links should be deleted.
Dans n'importe quel réseau radio composé de plus de deux émetteurs et récepteurs, diverses méthodes peuvent être employées pour contrôler le partage du spectre, éviter les collisions et optimiser de ce fait la bande passante disponible. La suite des protocoles IEEE802.il est un exemple bien connu qui emploie un mécanisme de RTS/CTS pour tenter de résoudre le problème des nœuds cachés dans les réseaux ad hoc. Cependant les diverses techniques qui tentent de résoudre ce problème au niveau MAC/ISO 2 sont loin d'être efficaces. Le protocole FMP permet des optimisations additionnelles et variables en employant l'information générique de la couche physique pour déterminer si, quand et où des liens doivent être établis ou supprimés. Cette approche innovatrice est indépendante des mécanismes mis en œuvre au niveau MAC/ISO 2 dans le dispositif radio lui- même. Si la technique décrite dans l'invention basée sur les politiques de déploiement n'élimine pas entièrement les risques de corruption de paquet, elle les réduit de manière significative, augmentant de ce fait la bande passante et les performances globales du réseau. L'architecture de réseau maillé structuré décrit une infrastructure à laquelle est attachée une composante hautement dynamique. Cette approche permet de s'affranchir de l'utilisation des protocoles lourds d'acheminement des flux de données par émission diffusée qui contribuent de manière significative à la corruption des paquets et réduisent la bande passante disponible. Le protocole FMP utilise l'émission diffusée uniquement pour la découverte des MeshPro™ et à une fréquence qui diminue de façon exponentielle selon le nombre de liens déjà créés. Les couches de backbone et d'accès fournissent un service de niveau ISO 3 au-dessus d'un réseau de liens point à point, contrairement aux points d'accès sans fil ou aux ponts de réseau qui fournissent des services de niveau ISO 2 uniquement. Grâce à cette approche, les optimisations suivantes deviennent possibles : • Les topologies construites à partir de mécanismes du niveau ISO 2 doivent exclure toute possibilité que des boucles ne soient créées. Cette limitation peut conduire à exclure l'utilisation de chemins qui pourraient fournir un raccordement plus direct entre deux stations. Le spectre radio est une ressource précieuse et en créant un doublon supplémentaire dans la même cellule radio, on divise la bande passante disponible de cette cellule par deux. En utilisant une topologie de niveau ISO 3 au-dessus d'un réseau de liens point à point de niveau ISO 2 on élimine les contraintes topologiques, on optimise les chemins d' acheminement des paquets et donc la bande passante et l'efficacité spectrale. • L'utilisation de points d'accès conventionnels fonctionnant comme dispositifs de niveau ISO 2 reliés à un LAN câblé implique que toutes les émissions diffusées en provenance de n'importe quelle station dans le réseau sont propagées à toutes les stations du réseau. Les réseaux câblés utilisent des commutateurs à très haut rendement et la segmentation des domaines de collision pour minimiser ce problème. Malheureusement, le domaine de collision radio ne peut pas être segmenté de cette façon et même un niveau modéré d'émission diffusé peut nettement réduire la bande passante utile du réseau sans fil. Là encore, l'utilisation d'une topologie de niveau ISO 3 permet d'éliminer les émissions diffusées de niveau ISO 2 sur le réseau sans fil et de ne pas propager les émissions diffusées provenant du LAN au domaine sans fil. • L'architecture de réseau Microsoft repose encore fortement sur le protocole NetBIOS o/TCPIP et les mécanismes d'annonce par émissions diffusées pour établir la connectivité dans un domaine ou un groupe de travail. Ceci influe très fortement sur la bande passante disponible aux utilisateurs des points d'accès sans fil. Cependant, l'élimination des émissions diffusées compromet la capacité des PCs à se connecter à un réseau. Pour cette raison, l'invention inclue un mécanisme de gestion des raccordements NetBIOS qui permet d' intégrer des équipements sans fil à des réseaux de Microsoft sans perte de bande passante provoquée par l'utilisation des émissions diffusées . Les points suivants doivent être pris en compte concernant l'applicabilité, l'utilisation et l'efficacité de 1 ' invention : 1 Chaque réseau maillé sans fil est typiquement composé d'un groupe d'équipements de l'ordre d'une dizaine plutôt que d'une centaine. " Chaque réseau maillé sans fil doit être relativement stable en terme du nombre d'équipements qui se connectent ou disparaissent. La technologie décrite par l'invention ne s'apparente pas à celle des systèmes tels que la téléphonie mobile. " La fréquence des modifications de la topologie due à l'apparition ou la disparition d'équipements doit être de l'ordre de quelques secondes plutôt que de fraction de seconde pour les mêmes raisons que le point précédent. " La dynamique du réseau est largement liée à celle de la couche d'accès. " Aucun élément connecté au travers de la couche d'accès couche ne doit contribuer à l'acheminement des flux de données au travers du réseau. " L'architecture de réseau décrite par l'invention peut exiger l'utilisation de plusieurs zones de déploiement, de plusieurs domaines d'utilisateur ou de plusieurs périmètres de sécurité. " Des méthodes de gestion de la sécurité centralisées ou distribuées peuvent être requises.In any radio network consisting of more than two transmitters and receivers, various methods can be used to control spectrum sharing, avoid collisions and thereby optimize the available bandwidth. The IEEE802 protocol suite is a well-known example that employs an RTS / CTS mechanism to try to solve the problem of hidden nodes in ad hoc networks. However the various techniques which trying to solve this problem at MAC / ISO 2 level are far from being effective. The FMP protocol allows additional and variable optimizations by using generic information from the physical layer to determine if, when and where links should be made or removed. This innovative approach is independent of the mechanisms implemented at MAC / ISO 2 level in the radio device itself. If the technique described in the invention based on deployment policies does not entirely eliminate the risks of packet corruption, it significantly reduces them, thereby increasing bandwidth and overall network performance. The structured mesh network architecture describes an infrastructure to which a highly dynamic component is attached. This approach eliminates the need for heavy protocols for routing data streams by broadcast transmission, which significantly contribute to packet corruption and reduce the available bandwidth. The FMP protocol uses the broadcast broadcast only for the discovery of MeshPro ™ and at a frequency which decreases exponentially according to the number of links already created. Backbone and access layers provide ISO level 3 service over a point-to-point link network, unlike wireless access points or network bridges that provide ISO level 2 services only . Thanks to this approach, the following optimizations become possible: • Topologies constructed from ISO 2 level mechanisms must exclude any possibility of loops being created. This limitation may lead to the exclusion of the use of paths which could provide a more direct connection between two stations. The radio spectrum is a precious resource and by creating an additional duplicate in the same radio cell, we divide the available bandwidth of this cell by two. By using an ISO level 3 topology above an ISO 2 point to point network of links, we eliminate topological constraints, we optimize the packet routing paths and therefore the bandwidth and spectral efficiency. • The use of conventional access points operating as ISO 2 level devices connected to a wired LAN implies that all the programs broadcast from any station in the network are propagated to all stations in the network. Cable networks use very high efficiency switches and segmentation of collision domains to minimize this problem. Unfortunately, the radio collision domain cannot be segmented in this way and even a moderate level of broadcast emission can significantly reduce the useful bandwidth of the wireless network. Here again, the use of an ISO level 3 topology makes it possible to eliminate the programs broadcast from ISO level 2 on the wireless network and not to propagate the programs broadcast from the LAN to the wireless domain. • The Microsoft network architecture still relies heavily on the NetBIOS o / TCPIP protocol and broadcast broadcast announcement mechanisms to establish connectivity in a domain or workgroup. This has a major impact on the bandwidth available to users of wireless access points. However, eliminating broadcast shows compromises the ability of PCs to connect to a network. For this reason, the invention includes a mechanism for managing NetBIOS connections which makes it possible to integrate equipment. wirelessly to Microsoft networks without loss of bandwidth caused by the use of broadcast programming. The following points must be taken into account concerning the applicability, the use and the efficiency of the invention: 1 Each wireless mesh network is typically composed of a group of equipment of the order of ten rather than a hundred. "Each wireless mesh network must be relatively stable in terms of the number of devices that connect or disappear. The technology described by the invention does not resemble that of systems such as mobile telephony." The frequency of modifications of the topology due to the appearance or disappearance of equipment must be of the order of a few seconds rather than fraction of a second for the same reasons as the previous point. "The dynamics of the network are largely linked to those of the access layer." No element connected through the access layer must contribute to the routing of data flows through the network. "The network architecture described by the invention may require the use of multiple deployment areas, multiple user domains, or multiple security perimeters." Centralized or distributed security management methods may be required.
L'architecture de réseau décrite par l'invention est distincte des environnements sans fil typiques et des réseaux dits « ad hoc », bien que certains aspects des deux scénarios soient employés. Cette architecture est typiquement adaptée dans les scénarios où la disponibilité des services et où les aspects de sécurité, de contrôle et d'environnement caractérisé sont primordiaux. De telles possibilités sont généralement associées aux systèmes sans fil fixes, mais l'approche de réseau maillé structurée de l'invention permet de bénéficier de ces avantages tout en intégrant des environnements plus dynamiques. En revanche, les réseaux ad hoc sans fil sont généralement considérés comme ayant une dynamique significative, avec des méthodes optimisées d'acheminement des flux de données permettant des temps d'établissement de l'ordre de la seconde. De telles possibilités sont idéales pour les scénarios de courte durée, mais garantir la disponibilité et les performances dans un tel contexte est très problématique. Par définition, de tels réseaux sont « ad hoc », et nécessitent une grande autonomie de déploiement contrairement à 1 ' approche structurée de l'invention dans laquelle des politiques de déploiement et de fonctionnement peuvent être imposées.The network architecture described by the invention is distinct from typical wireless environments and so-called "ad hoc" networks, although some aspects of both scenarios be used. This architecture is typically adapted in scenarios where the availability of services and where the aspects of security, control and characterized environment are paramount. Such possibilities are generally associated with fixed wireless systems, but the structured mesh network approach of the invention makes it possible to benefit from these advantages while integrating more dynamic environments. On the other hand, ad hoc wireless networks are generally considered to have a significant dynamic, with optimized methods of routing data flows allowing establishment times of the order of a second. Such possibilities are ideal for short-term scenarios, but ensuring availability and performance in such a context is very problematic. By definition, such networks are "ad hoc", and require a large deployment autonomy, unlike the structured approach of the invention in which deployment and operating policies can be imposed.
L'architecture de réseau maillé structuré sans fil possède la capacité de fonctionner indépendamment de toute infrastructure câblée, mais aussi de prolonger, d'intégrer ou de fusionner avec les réseaux câblés LAN. Plusieurs topologies de réseaux sont supportées et peuvent être déployées . Les connexions entre équipements ne peuvent s'effectuer qu'au sein de la même zone. Un réseau contigu simple fonctionnellement équivalent à un LAN sans fil est créé. La figure 9 décrit un réseau non partitionné autonome simple. L'équipement passerelle remplit deux fonctions : " Il fournit typiquement la connectivité entre le réseau maillé sans fil et un réseau externe tel que l'Internet. Cette connectivité peut être variée tels que l'ADSL, ISDN, LAN Ethernet etc.. " Cet équipement passerelle représente laThe wireless structured mesh network architecture has the ability to operate independently of any wired infrastructure, but also to extend, integrate or merge with wired LAN networks. Several network topologies are supported and can be deployed. Connections between devices can only be made within the same zone. A simple contiguous network functionally equivalent to a wireless LAN is created. Figure 9 depicts a simple stand-alone unpartitioned network. Gateway equipment performs two functions: "It typically provides connectivity between the wireless mesh network and an external network such as the Internet. This connectivity can be varied such as ADSL, ISDN, Ethernet LAN etc." This gateway equipment represents the
« racine » du réseau et doit être présent pour que le réseau maillé sans fil puisse être créé. Des passerelles multiples peuvent être utilisées pour consolider la résilience, cependant la connectivité directe entre ces passerelles doit être assurée. Les réseaux non partitionnés (comme ceux de la Figure 10) offrent des avantages de sécurité et de gestion simplifiée, mais ils exigent la construction d'un réseau sans fil contigu. Les connexions entre équipements s'effectuent au sein d'une même zone logique, mais le partitionnement est autorisé. Cette configuration a pour conséquence de réduire le déterminisme ainsi que le niveau de sécurité et la facilité de gestion du réseau. Si un équipement d'une partition parvient à joindre la cellule radio d'un équipement appartenant une autre partition, alors les deux réseaux partitionnés pourront se combiner en un réseau contigu simple. Les réseaux multi zones (comme sur la Figure 11) sont totalement indépendants et se comportent comme des réseaux séparés. Dans ce scénario, il est impossible pour les équipements de la zone 1 de se connecter aux équipements de la zone 2, même si les cellules radio de ces équipements se recouvrent. Chaque réseau possède son propre périmètre de sécurité et les utilisateurs d'une zone ne pourront pas accéder aux ressources de l'autre zone. Il devient possible de créer des réseaux totalement indépendants dans le même bâtiment ou même dans le même périmètre physique. Ces réseaux séparés peuvent cependant communiquer par l'intermédiaire de leur passerelle respective ou en utilisant la configuration multi zones connectées .“Root” of the network and must be present before the wireless mesh network can be created. Multiple gateways can be used to build resilience, however direct connectivity between these gateways must be ensured. Unpartitioned networks (like those in Figure 10) offer security and simplified management benefits, but they require the construction of a contiguous wireless network. The connections between devices are made within the same logical zone, but partitioning is authorized. This configuration has the effect of reducing determinism as well as the level of security and ease of network management. If an item of equipment from one partition manages to join the radio cell of an item of equipment belonging to another partition, then the two partitioned networks can be combined into a single contiguous network. Multi-zone networks (as in Figure 11) are completely independent and behave like separate networks. In this scenario, it is impossible for the equipment in zone 1 to connect to the equipment in zone 2, even if the radio cells of these equipment overlap. Each network has its own security perimeter and users in one zone will not be able to access resources in the other zone. It becomes possible to create completely independent networks in the same building or even in the same physical perimeter. These separate networks can however communicate via their respective gateway or by using the connected multi-zone configuration.
Dans le scénario de réseau multi zones connectées (Figure 12) , deux zones indépendantes sont interconnectées directement ou indirectement à travers une zone partagée. Dans les deux cas, les passerelles existent simultanément dans chaque zone, respectivement la zone « privée » (zone #1 ou zone #2 dans l'exemple ci-dessous) et la zone partagée. Lorsqu'une passerelle est reliée en mode multi zone, un périmètre de sécurité est construit à l'intersection des deux zones sans compromettre la sécurité de l'une ou l'autre des zones privées. Cette topologie offre la capacité d'établir une infrastructure globale tout en permettant d'établir des sous-infrastructures privées sécurisées. Les zones indépendantes peuvent se connecter en toute sécurité à cette infrastructure globale au travers de leurs passerelles respectives. Il devient possible de créer des sous-réseaux totalement indépendants dans le même bâtiment ou même dans le même périmètre physique qui partagent éventuellement les ressources de la zone partagée sans compromettre la sécurité ni l'intégrité de ses ressources privées. La capacité d'extension et la flexibilité de cette topologie est une caractéristique fondamentale de l'invention.In the multi-zone network scenario connected (Figure 12), two independent zones are interconnected directly or indirectly through a shared zone. In both cases, the gateways exist simultaneously in each zone, respectively the “private” zone (zone # 1 or zone # 2 in the example below) and the shared zone. When a gateway is connected in multi-zone mode, a security perimeter is built at the intersection of the two zones without compromising the security of either of the private zones. This topology offers the capacity to establish a global infrastructure while making it possible to establish secure private sub-infrastructures. The independent zones can connect securely to this global infrastructure through their respective gateways. It becomes possible to create completely independent subnets in the same building or even in the same physical perimeter which possibly share the resources of the shared area without compromising the security or the integrity of its private resources. The extensibility and flexibility of this topology is a fundamental characteristic of the invention.
La présente invention se rapporte également à un nouveau procédé de sécurisation de réseau sans fil permettant la distribution sécurisée des données acheminées . Ce procédé comprend un nouveau protocole de communication entre les membres du réseau ainsi que des mécanismes d' authentification. Lorsqu'il est utilisé, ce procédé apporte des avantages en termes de sécurité et d'intégrité des données et de vérification de l'utilisation de ce réseau. La technologie actuelle des réseaux sans fil pose de nombreux de sécurité et d' intégrité des données échangées. L'invention permet de résoudre ces problèmes de f çon innovante . Les technologies actuelles de réseaux sans fil et plus particulièrement WLAN et Wifi adoptent la suite de norme IEEE 802.11. Cette norme définit principalement une méthode d'accès, ou connectivité, sans fil à un réseau câblé. On parle généralement de points d'accès (AP) . Un point d'accès est un transmetteur sans fil qui permet la connexion sans fil à un réseau câblé de type LAN. Un point d'accès gère cette connexion de telle façon que les clients du réseau câblé et les clients du réseau sans fil ont l'illusion d'être membre d'un même réseau. Il y a deux modes de fonctionnement : le mode dit "Infrastructure" et le mode "Ad hoc". En mode "Infrastructure", chaque station est en liaison avec une station de base qui sert de pont entre le réseau câblé et les clients sans-fil. Si plusieurs stations de base sont connectées sur le même réseau câblé, le client sans-fil peut librement passer d'une station à l'autre. Les paramètres de configuration standard sont les suivants : " Tous les équipements doivent être mis en Mode "Infrastructure" . 1 Tous les clients doivent utiliser le même nom de réseau (paramètre SSID) . « Tous les points d'accès doivent utiliser le même nom de réseau (paramètre ESSID) . " Toutes les stations doivent utiliser la même clé de chiffrement (paramètre WEP) ou pas de clé. Il faut choisir les canaux utilisés par chaque point d'accès. Les clients se connecteront automatiquement au point d'accès le plus proche. Pour l'attribution des adresses TCP/IP, on peut soit utiliser le service DHCP s'il existe sur le réseau câblé soit attribuer des adresses TCP/IP comme si le poste fait partie du réseau câblé.The present invention also relates to a new method for securing a wireless network allowing the secure distribution of the data routed. This method includes a new communication protocol between the members of the network as well as authentication mechanisms. When used, this process provides advantages in terms of data security and integrity and verification of the use of this network. The current technology of wireless networks poses many security and integrity of the data exchanged. The invention makes it possible to solve these problems in an innovative way. Current wireless network technologies and more particularly WLAN and Wifi adopt the IEEE 802.11 standard suite. This standard mainly defines a method of access, or connectivity, wirelessly to a wired network. We generally speak of access points (AP). An access point is a wireless transmitter that allows wireless connection to a wired LAN type network. An access point manages this connection in such a way that clients of the wired network and clients of the wireless network have the illusion of being members of the same network. There are two operating modes: the so-called "Infrastructure" mode and the "Ad hoc" mode. In "Infrastructure" mode, each station is linked to a base station which acts as a bridge between the wired network and the wireless clients. If several base stations are connected to the same wired network, the wireless client can freely switch from one station to another. The standard configuration parameters are as follows: "All devices must be put in" Infrastructure "mode. 1 All clients must use the same network name (SSID parameter)." All access points must use the same name network (ESSID parameter). "All stations must use the same encryption key (WEP parameter) or no key. You must choose the channels used by each access point. Clients will automatically connect to the nearest access point. For the assignment of TCP / IP addresses, you can either use the DHCP service if it exists on the wired network or assign TCP / IP addresses as if the extension is part of the wired network.
Le mode "Ad Hoc" permet de créer des groupes de travail mobiles sans station de base. Les machines échangent directement des messages entre elles . Les contraintes de configuration sont les suivantes : " Tous les clients doivent être mis en Mode "Ad Hoc" . " Tous les clients doivent utiliser le même nom de réseau (paramètre SSID) . " Tous les clients doivent utiliser la même clé de chiffrement (paramètre WEP) ou pas de clé. u Tous les clients doivent utiliser le même canal de communication .The "Ad Hoc" mode allows you to create mobile workgroups without a base station. The machines directly exchange messages with each other. The configuration constraints are as follows: "All clients must be put in" Ad Hoc "mode." All clients must use the same network name (SSID parameter). "All clients must use the same encryption key (WEP parameter) or no key. U All clients must use the same communication channel.
La connexion au réseau sans fil s'effectue au niveau ISO 3. Chaque interface sans fil dispose d'une adresse TCP/IP qui peut être attribuée au moment de la configuration (adresse TCP/IP fixe) ou par un service DHCP disponible sur le réseau câblé. Afin de garantir l'acheminement correct des données, il faut attribuer à chaque poste une adresse TCP/IP différente dans le même sous réseau. La méthode d'encryptage des données est appelée WEP. Ce mécanisme comporte de nombreuses faiblesses. Le WEP utilise l'algorithme de codage RC4 qui utilise la même clé pour chiffrer et déchiffrer les paquets, cette clé pouvant être de 40 jusqu'à 128 bits. Les faiblesses de ce protocole et des mécanismes d'échange des clés sont telles qu'un pirate peut déchiffrer un message en analysant l'équivalent d'environ cinq heures de transmission de données. De plus, le gestionnaire de clés de codage de WEP peut réutiliser les mêmes clés de façon cyclique, il devient possible d'analyser le trafic du réseau et de correler les données aux clés utilisées, ce qui permet ensuite de casser les codes. Ces techniques de piratages sont tout aussi efficaces sur des codages RC4 à 40 bits que sur ceux à 128 bits. Enfin, les mécanismes d' authentification ne sont pas basés sur une authentification mutuelle. Un but de la présente invention est de proposer un procédé de sécurisation des réseaux sans fil qui soit indépendante des mécanismes intégrés dans les équipements WLAN. Ce procédé, par extension, peut être appliqué non seulement aux équipements de type Wifi/802. 11 mais aussi à tout équipement de réseau qui respecte le modèle ISO.The connection to the wireless network is made at ISO level 3. Each wireless interface has a TCP / IP address which can be assigned at the time of configuration (fixed TCP / IP address) or by a DHCP service available on the wired network. In order to guarantee the correct routing of data, each station must be assigned a different TCP / IP address in the same subnet. The data encryption method is called WEP. This mechanism has many weaknesses. WEP uses the RC4 coding algorithm which uses the same key to encrypt and decrypt packets, this key can be 40 to 128 bits. The weaknesses of this protocol and the key exchange mechanisms are such that a Hacker can decrypt a message by scanning the equivalent of about five hours of data transmission. In addition, the WEP coding key manager can reuse the same keys cyclically, it becomes possible to analyze network traffic and correlate the data to the keys used, which then makes it possible to break the codes. These hacking techniques are just as effective on 40-bit RC4 encodings as on 128-bit ones. Finally, the authentication mechanisms are not based on mutual authentication. An object of the present invention is to provide a method for securing wireless networks which is independent of the mechanisms integrated in WLAN equipment. This process, by extension, can be applied not only to Wifi / 802 type equipment. 11 but also to any network equipment which respects the ISO model.
Un autre but de l'invention est d'utiliser une. méthode d'encryptage des données à haute fiabilité entre chaque nœud du réseau sans fil.Another object of the invention is to use one. high reliability data encryption method between each node of the wireless network.
Un autre but de l'invention est d'utiliser des clés d' encryptage différentes pour chaque nœud du réseau sans fil. Ces buts sont atteints par l'utilisation d'un protocole de création des liens entre les nœuds du réseau adapté aux contraintes des réseaux sans fil. Ce protocole spécifique à l'invention (FMP) inclus au moins un algorithme de découverte des nœuds adjacents et au moins un algorithme de contrôle de création des liens. Ces buts sont atteints par l'utilisation d'une méthode qui n'utilise par le mécanisme d'encryptage WEP mais une méthode d'encryptage des paquets de données qui transitent au travers l'interface sans fil. Ces buts sont atteints en utilisant l'interface sans fil au niveau ISO 2 sans qu'elle ne dispose d'une adresse TCP/IP. Ces buts sont atteints en utilisant un protocole de type PPP (point-to-point protocol) pour créer la connectivité au niveau 3 ISO (TCP/IP). L'adresse TCP/IP est attribuée uniquement après que la station désirant se connecter est été authentifiée. Ces buts sont atteints par l'utilisation d'une méthode d' échange des clés d' encryptage entre les nœuds du réseau. Cette méthode inclus au moins un algorithme d'échange de clés d'encryptage. Ces buts sont atteints par l'utilisation d'une méthode d'encryptage des paquets de données échangés entre les nœuds du réseau. Cette méthode inclus au moins un algorithme d'encryptage des données utilisant des clés privées . Le mécanisme d'échange des paquets de données est représenté figure 13. Cette figure décrit une connexion sécurisée entre deux stations. Ce procédé est ensuite étendu à toutes les connexions des stations du réseau sans fil qui participent au réseau.Another object of the invention is to use different encryption keys for each node of the wireless network. These goals are achieved by using a protocol for creating links between network nodes adapted to the constraints of wireless networks. This specific invention protocol (FMP) includes at least one algorithm for discovering adjacent nodes and at least one algorithm for controlling link creation. These aims are achieved by the use of a method which does not use the WEP encryption mechanism but a method of encrypting the data packets which pass through the wireless interface. These goals are achieved by using the wireless interface at ISO 2 level without it having a TCP / IP address. These goals are achieved by using a point-to-point protocol (PPP) to create connectivity at ISO level 3 (TCP / IP). The TCP / IP address is assigned only after the station wishing to connect has been authenticated. These aims are achieved by the use of a method for exchanging encryption keys between the nodes of the network. This method includes at least one encryption key exchange algorithm. These aims are achieved by the use of an encryption method of the data packets exchanged between the nodes of the network. This method includes at least one data encryption algorithm using private keys. The mechanism for exchanging data packets is shown in Figure 13. This figure describes a secure connection between two stations. This process is then extended to all the connections of the stations of the wireless network which participate in the network.
Le fonctionnement du procédé est le suivantThe operation of the process is as follows
• Accès PHYSIQUE• PHYSICAL access
La connectivité PHYSIQUE est assurée par l'interface sans fil. On attribue les paramètres suivants : " Tous les clients doivent être mis en Mode "AdPHYSICAL connectivity is provided by the wireless interface. The following parameters are assigned: "All clients must be put into Mode" Ad
Hoc" . " Tous les clients doivent utiliser le même canal de communication. " Tous les clients doivent utiliser le même nom de réseau (paramètre SSID) . " Tous les clients ne doivent pas utiliser de clé de chiffrement (paramètre WEP) .Hoc "." All clients must use the same communication channel. "All clients must use the same network name (SSID setting)." Not all clients must use an encryption key (WEP setting).
• Accès LIAISON• LINK access
La création des liens s'effectue à ce niveau par le protocole FMP. Ce protocole décrit un procédé de création dont le fonctionnement, illustré figure 14, est le suivantLinks are created at this level using the FMP protocol. This protocol describes a creation process, the operation of which, illustrated in FIG. 14, is as follows
" un client émet une requête de connexion (FMPDRQ) en émission multiple. Toutes les stations situées dans la zone de recouvrement de cellule radio du client reçoivent cette requête. 1 A la réception de la requête du client, la station vérifie s' elle peut accepter la requête. Si oui, il renvoie une réponse au client en émission ciblée (FMPDRS) . " A la réception de la réponse FMPDRS, le client commence à échanger des messages de type FMPBCN en émission ciblée afin de caractériser la liaison. Cet échange est initié avec chaque serveur ayant répondu à la requête de connexion. " Chaque serveur recevant un message FMPBCN, répond par un message FMPBCN en émission ciblée, afin de caractériser la liaison de façon bidirectionnelle. " Au bout d'un nombre d'échanges FMPBCN limité, le client évalue les informations relatives à chaque station. Au terme de cette évaluation, si le résultat de l'évaluation le permet, le client envoie une requête de création de session (FMPSRQ) en émission ciblée vers la station retenue . " A la réception de la requête de création de session du client, le serveur répond par une réponse de création de session (FMPSRS) en émission ciblée vers le client. Au terme de cette négociation, la phase de création de niveau 3 au travers du protocole PPP ainsi que 1' authentification et la négociation d'encryptage peut commencer."A client transmits a connection request (FMPDRQ) in multiple transmission. All stations located in the client's radio cell overlap area receive this request. 1 On receipt of the client's request, the station checks whether it can accept the request. If yes, it sends a response to the client in targeted transmission (FMPDRS). "On receipt of the FMPDRS response, the client begins to exchange messages of type FMPBCN in targeted transmission in order to characterize the link. This exchange is initiated with each server that responded to the connection request. "Each server receiving an FMPBCN message responds with an FMPBCN message in targeted transmission, in order to characterize the link bidirectionally." After a limited number of FMPBCN exchanges, the client evaluates the information relating to each station. At the end of this evaluation, if the result of the evaluation allows, the client sends a session creation request (FMPSRQ) in targeted transmission to the selected station. "On receipt of the session creation request from the client, the server responds with a session creation response (FMPSRS) in targeted transmission to the client. At the end of this negotiation, the level 3 creation phase through the PPP protocol as well as authentication and encryption negotiation can begin.
Les échanges de clés et l'encryption des paquets sont mis en œuvre comme décrit précédemment.Key exchanges and packet encryption are implemented as described above.
L'invention est décrite dans ce qui précède à titre d'exemple. Il est entendu que l'homme du métier est à même de réaliser différentes variantes de l'invention sans pour autant sortir du cadre du brevet. The invention is described in the foregoing by way of example. It is understood that a person skilled in the art is able to carry out different variants of the invention without going beyond the scope of the patent.

Claims

REVENDICATIONS
1 - Procédé de mise en œuvre d' une architecture de réseau local sans fil d'échange de données numériques comportant une pluralité d' équipements comportant chacun des ressources client et des ressources serveur ainsi que des moyens d' interconnexion desdits équipements par maillage, caractérisé en ce que ledit procédé comporte des étapes de définition de règles de déploiement du réseau, et des étapes d'application de ces règles au moment de chaque création d'une connexion entre une ressource client d'un équipement et une ressource serveur d'un autre équipement dudit réseau local. 2 - Procédé de mise en œuvre d'une architecture de réseau local sans fil selon la revendication 1, caractérisé en ce que lesdites règles sont hiérarchiquement distribuées à plusieurs niveaux, chacun desdits niveaux comportant les ressources suffisantes pour son fonctionnement.1 - Method for implementing a wireless local area network architecture for digital data exchange comprising a plurality of devices each comprising client resources and server resources as well as means for interconnecting said devices by mesh, characterized in that said method comprises steps for defining network deployment rules, and steps for applying these rules at the time of each creation of a connection between a client resource of an equipment and a server resource of a other equipment from said local network. 2 - Method for implementing a wireless local area network architecture according to claim 1, characterized in that said rules are hierarchically distributed at several levels, each of said levels comprising sufficient resources for its operation.
3 - Procédé de mise en œuvre d'une architecture de réseau local sans fil selon la revendication 1 ou 2, caractérisé en ce que lesdits échanges de données numériques sont sécurisés grâce à des moyens d'encryptage spécifiques et indépendants du protocole radio utilisé.3 - Method for implementing a wireless local area network architecture according to claim 1 or 2, characterized in that said exchanges of digital data are secure thanks to specific encryption means and independent of the radio protocol used.
4 - Procédé de mise en œuvre d'une architecture de réseau local sans fil selon l'une au moins des revendications précédentes, caractérisé en ce que le réseau sans fil met en œuvre une norme du type 802.11, BlueTooth ou DECT.4 - Method for implementing a wireless local area network architecture according to at least one of the preceding claims, characterized in that the wireless network implements a standard of the 802.11, BlueTooth or DECT type.
5 - Procédé de mise en œuvre d'une architecture de réseau local sans fil selon l'une au moins des revendications précédentes, caractérisé en ce qu'il comprend en outre des étapes de supervision desdits échanges de données et du trafic desdites données numériques .5 - Method for implementing a wireless local area network architecture according to at least one of the preceding claims, characterized in that it further comprises steps for supervising said data exchanges and the traffic of said digital data.
6 - Procédé de mise en œuvre d'une architecture de réseau local sans fil selon l'une au moins des revendications précédentes, caractérisé en ce qu'il comprend en outre des étapes d' optimisation en temps réel de la structure du réseau, ces étapes permettant de garantir la qualité de service dudit réseau.6 - Method for implementing a wireless local area network architecture according to at least one of the preceding claims, characterized in that it also comprises steps for optimizing the network structure in real time, these steps to guarantee the quality of service of said network.
7 - Procédé de mise en œuvre d'une architecture de réseau local sans fil selon l'une au moins des revendications précédentes, caractérisé en ce qu'il comprend en outre une étape d' intégration d' au moins un nouvel équipement, cette intégration permettant d'étendre la couverture du réseau et étant réalisée en mettant en œuvre lesdites règles de déploiement.7 - Method for implementing a wireless local area network architecture according to at least one of the preceding claims, characterized in that it further comprises a step of integrating at least one new piece of equipment, this integration allowing to extend the network coverage and being carried out by implementing said deployment rules.
8 - Architecture de réseau local pour la mise en œuvre du procédé selon l'une au moins des revendications précédentes . 8 - Local network architecture for the implementation of the method according to at least one of the preceding claims.
PCT/FR2004/050225 2003-06-19 2004-06-18 Wireless local-area network architecture WO2005002147A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0350234A FR2856540A1 (en) 2003-06-19 2003-06-19 WIRELESS LOCAL AREA NETWORK ARCHITECTURE
FR0350234 2003-06-19

Publications (1)

Publication Number Publication Date
WO2005002147A1 true WO2005002147A1 (en) 2005-01-06

Family

ID=33484728

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2004/050225 WO2005002147A1 (en) 2003-06-19 2004-06-18 Wireless local-area network architecture

Country Status (2)

Country Link
FR (1) FR2856540A1 (en)
WO (1) WO2005002147A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002023362A1 (en) * 2000-09-12 2002-03-21 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US20020052968A1 (en) * 2000-01-31 2002-05-02 Rudy Bonefas Messaging method and apparatus for routing messages in a client server environment over multiple wireless and wireline networks
US20020069278A1 (en) * 2000-12-05 2002-06-06 Forsloew Jan Network-based mobile workgroup system
US20030028612A1 (en) * 2001-08-01 2003-02-06 Intel Corporation System and method for providing mobile server services
US6519241B1 (en) * 1997-10-15 2003-02-11 Nokia Mobile Phones Limited Mobile telephone for internet-applications

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6519241B1 (en) * 1997-10-15 2003-02-11 Nokia Mobile Phones Limited Mobile telephone for internet-applications
US20030076792A1 (en) * 1997-10-15 2003-04-24 Wolfgang Theimer Mobile telephone for internet-applications
US20020052968A1 (en) * 2000-01-31 2002-05-02 Rudy Bonefas Messaging method and apparatus for routing messages in a client server environment over multiple wireless and wireline networks
WO2002023362A1 (en) * 2000-09-12 2002-03-21 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US20020069278A1 (en) * 2000-12-05 2002-06-06 Forsloew Jan Network-based mobile workgroup system
US20030028612A1 (en) * 2001-08-01 2003-02-06 Intel Corporation System and method for providing mobile server services

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ANON: "Archive.org", ARCHIVE.ORG WEB SITE, 25 March 2004 (2004-03-25), pages 1, XP002275138, Retrieved from the Internet <URL:www.archive.org> [retrieved on 20040325] *
ANON: "Filfree - Wire-free Horizons", FILFREE WEB SITE, 9 June 2003 (2003-06-09), pages 1 - 23, XP002275137, Retrieved from the Internet <URL:www.filfree.com> [retrieved on 20040325] *

Also Published As

Publication number Publication date
FR2856540A1 (en) 2004-12-24

Similar Documents

Publication Publication Date Title
EP1864466A1 (en) Device and method for communicating in a network
US8688041B2 (en) Methods and apparatus for secure, portable, wireless and multi-hop data networking
WO2019195755A1 (en) Network protocol for blockchain based network packets
FR2872983A1 (en) FIREWALL PROTECTION SYSTEM FOR A COMMUNITY OF APPLIANCES, APPARATUS PARTICIPATING IN THE SYSTEM AND METHOD FOR UPDATING FIREWALL RULES WITHIN THE SYSTEM
WO2006071239A2 (en) System and method for secure ad hoc mobile communications and applications
EP2572474B1 (en) Ad-hoc network architecture
FR3064857A1 (en) SECURE END-TO-END COMMUNICATION FOR MOBILE SENSOR IN AN IOT NETWORK
FR2930100A1 (en) METHOD OF ESTABLISHING A COMMUNICATION PATH IN AN EXTENSIVE COMMUNICATION NETWORK, TUNNEL HEADS, COMPUTER PROGRAM PRODUCT AND CORRESPONDING STORAGE MEDIUM
EP1598997B1 (en) Routing in a communications network
EP3682600B1 (en) Management of connection with other residential gateways of a residential gateway implementing link aggregation
EP2976915B1 (en) Method and device for managing the connectivity of a terminal by means of a mobile server in a telecommunications network
WO2008155508A1 (en) Method of distributing an authentication key, corresponding terminal, mobility server and computer programs
WO2005002147A1 (en) Wireless local-area network architecture
EP3829101B1 (en) Method for securing data flows between a communication equipment and a remote terminal
WO2021074412A1 (en) Method for connecting a communication node, and corresponding communication node
EP3881523B1 (en) Method and system for managing dhcp servers
EP4080923B1 (en) Electronic device for decentralised management of communication group(s)
WO2014053710A1 (en) Gateway for secure access to an information system
Kim et al. Marconi Protocol
EP4113900A1 (en) Method and device for securing a local network comprising a network switch to which a station is connected by a wired link
FR3138254A1 (en) Method for dynamic federation of a plurality of radiocommunication networks, computer program and associated network
FR3126829A1 (en) METHOD OF CONFIGURING A TRUNK FOR ROUTING COMPLIANT WITH EDGE GATEWAY PROTOCOL - BGP AND ASSOCIATED EDGE ROUTER
WO2022238644A1 (en) Method for defending against an attempt to disconnect two entities, and associated system
Hassan et al. Fast Authentication in a Collaborative Wireless Access Network
Dalghan et al. WISEC: VPN Over WLAN 802.11: Design and Implementation of a Secure Virtual Wireless Environment

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 69(1) EPC OF 120406, FORM 1205A

122 Ep: pct application non-entry in european phase