[go: up one dir, main page]

EP2489155A1 - Management of a communication device via a telecommunications network - Google Patents

Management of a communication device via a telecommunications network

Info

Publication number
EP2489155A1
EP2489155A1 EP10765429A EP10765429A EP2489155A1 EP 2489155 A1 EP2489155 A1 EP 2489155A1 EP 10765429 A EP10765429 A EP 10765429A EP 10765429 A EP10765429 A EP 10765429A EP 2489155 A1 EP2489155 A1 EP 2489155A1
Authority
EP
European Patent Office
Prior art keywords
communication device
application
server
encryption key
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP10765429A
Other languages
German (de)
French (fr)
Inventor
Omar Elloumi
Jean-Marc Ballot
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Publication of EP2489155A1 publication Critical patent/EP2489155A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/045Network management architectures or arrangements comprising client-server management architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement

Definitions

  • the present invention relates to management of at least one communication device implementing at least one application using a service offered by an application server through a telecommunications network.
  • a communication device implementing an application using a service provided by an application server over a telecommunications network, contains a set of management data that can be read or modified by an external entity, such as the application server. or a server managed by the operator of the telecommunications network, and which are dedicated to the operation of the application.
  • This management data set comprises, for example, application-specific data and data relating to communication parameters of the device for operation of the service over a telecommunications network.
  • An object of the invention is to propose in particular a management system in which application-specific data exchanged between the device and the application provider through the telecommunications network are not visible to the network operator. telecommunications or any other third-party entity involved in the exchange of data.
  • a method of managing at least one communication device implementing an application using a service offered by an application server through a telecommunications network the communication device comprising application data specific to the application application and communication data relating to communication parameters for operation of the service through the telecommunications network, the communication data being managed by a management server, the method comprising;
  • the invention proposes a solution to the service provider to outsource the management of communication devices, the operator of the telecommunications network having no visibility on the data exchanged between the service provider and the communication device. .
  • the invention provides end-to-end encryption of the application-specific data.
  • An application provider can thus accept such outsourcing of the management of a device to the operator of the telecommunications network, since the data specific to the application are opaque to the operator.
  • These application-specific data are, for example, configuration, performance management or alarm management data, and the operator of the telecommunications network does not have read access to the content of these data.
  • the service provider is exempt from having a management server, which is owned by the telecommunications network operator or by another third party entity and can be used by several applications.
  • the method may further comprise the following steps: transmit a first request from the application server to the management server,
  • At least one of the first and second requests and first and second responses comprising application data that is encrypted with the encryption key by at least one of the communication device and the application server.
  • the application data may comprise attributes respectively associated with values
  • the method may comprise the following steps:
  • the application data may comprise attributes respectively associated with values
  • the method may comprise the following steps: in the application server, encrypting at least one value with the encryption key,
  • the invention also relates to an application server for managing at least one communication device implementing an application using a service offered by the application server through a telecommunications network, the communication device comprising data of application-specific application and communication data relating to communication parameters for operation of the service through the telecommunications network, the communication data being managed by a management server, the application server comprising:
  • the invention also relates to a communication device implementing an application using a service offered by the application server through a telecommunications network, the communication device comprising application-specific application data and communication data relating thereto. communication parameters for the operation of the service through the telecommunications network, the communication data being managed by a management server, the communication device comprising:
  • the invention also relates to computer programs adapted to be implemented in a server and in a communication device, said programs comprising instructions which, when the programs are executed in said server and said communication device, realize the steps according to the method of the invention.
  • FIG. 1 is a schematic block diagram of a communication system according to a first embodiment of the invention
  • FIG. 2 is an algorithm of a communication device management method according to one embodiment of the invention.
  • FIG. 3 is an algorithm of a communication device management method according to a second embodiment of the invention.
  • the invention relates to a management device management ("Device Management" in English) from an application server via a management server through a telecommunications network.
  • an application server is for example managed by a company that may possibly own or have provided the communication device and the application server may offer one or more digital services accessible from the communication device.
  • a digital service may be a service providing multimedia data, such as digital files comprising text and / or sound and / or an image, for example to update digital data managed by the communication device, such as service prices offered by the service entity.
  • the application server may administer a database containing information relating to each of the communication devices belonging to or being exploited by the company managing the application server.
  • a communication device may also inform the application server of the latest changes produced relating to the application.
  • a communication device implementing an application using a service provided by an application server over a telecommunications network, contains a set of management data including application-specific data and data relating to applications. communication parameters of the device for operation of the service through a telecommunications network.
  • This set of data is dedicated to the operation and management of the device and can be managed in part by different external entities, such as the application server and a management server administered by the telecommunications network operator.
  • a management server has the particular functionality to initialize, update a configuration of a communication device, retrieve application management data, process events or alarms produced by the application .
  • a management server allows an external party to remotely execute a configuration of parameters for a communication protocol between the communication device and the management server, or to install and update programs of 'an application.
  • a management server administered by the operator of the telecommunications network or by a third party entity must deal with opaque manner the application-specific data exchanged between the communication device and the application server, while processing data relating to communication parameters of the communication device for the operation of the service through a telecommunications network.
  • a communication system comprises at least one application server SA, a management server SG, and a communication device DC, able to communicate with each other through a telecommunications network RT.
  • the application server SA and the communication device DC are configured according to a client-server structure in which the application server SA has a server role managing one or more communication devices DC which each have a customer role.
  • the application server SA manages a single application implemented in a single communication device.
  • the telecommunications network RT may be a wired or wireless network, or a combination of wired and wireless networks.
  • the telecommunications network RT is a network of high-speed packets of type IP ("Internet Protocol" in English), such as the Internet or an intranet.
  • a communication device DC is a personal computer connected directly by modem to a link of the type xDSL ("Digital Subscriber Line" in English) or ISDN (Digital Integrated Services Network) connected to the telecommunications network RT.
  • xDSL Digital Subscriber Line
  • ISDN Digital Integrated Services Network
  • a communication device DC is a mobile cellular radio terminal, connected by a radiocommunication channel to the telecommunications network, for example of the GSM ("Global System for Mobile Communications" in English) or UMTS ("Universal") type. Mobile Telecommunications System ".
  • a communication device DC comprises an electronic device or object of telecommunications which can be a personal digital assistant PDA ("Personal Digital Assistant" in English), or a smart phone (SmartPhone), which can be connected to a base station of a WLAN type wireless local area network or compliant with one of the 802.1x standards, or range according to the WIMAX protocol ("World wide Interoperability Microwave Access" in English), connected to the telecommunications network.
  • PDA Personal Digital Assistant
  • SmartPhone SmartPhone
  • a communication device DC is a motor vehicle belonging to a taxi company, or an automatic meter of a particular energy, such as water, gas or electricity belonging to a company of the energy sector, or a beverage distributor owned by a company specializing in food distribution.
  • the communication device is a fixed or mobile device which can communicate with the application server SA via the telecommunications network RT, to inform the application server of the last modifications produced, such as the mileage of the motor vehicle or the number of remaining drinks in the drinks vending machine.
  • the communication device and the telecommunications network are not limited to the above examples and may be constituted by other known devices and networks.
  • the application server SA comprises a CHIs encryption module and an exchange module ECHs.
  • module may denote a device, a software or a combination of computer hardware and software, configured to perform at least one particular task.
  • the application server SA is linked to a database BD which is integrated in the application server SA or incorporated in a database management server connected to the server SA by a local or remote link.
  • the database BD stores encryption keys
  • Kc and EnsD management data sets relating to communication devices For example, an IdDC identifier of the communication device is stored in correspondence with a set of management data EnsD and with at least one encryption key Kc.
  • This EnsD management data set comprises application-specific application data DonA and communication data DonC relating to communication parameters of the device for operation of the service over a telecommunications network.
  • Application-specific data includes configuration management data, data performance management, alarm management data, and program data of the application, such as software ("Software” in English), embedded type or operating ("Firmware" in English).
  • data among the application data DonA, can correspond to a parameter which is in the form of an attribute with a value.
  • the value of the attribute is the value of the parameter.
  • the encryption module CHIs is able to negotiate with the communication device an encryption key Kc for encrypting and decrypting data.
  • the encryption module CHIs can optionally determine the encryption key and transmit it to the communication device DC.
  • the encryption module CHIs stores the encryption key in the database BD.
  • these encryption features are included in an encryption server.
  • the encryption module CHI communicates with this encryption server which determines an encryption key and transmits it to the encryption module CHI.
  • the CHI module thus indirectly determines an encryption key.
  • the CHIs encryption module encrypts or decrypts application-specific DonA application data.
  • the exchange module ECHs is able to exchange messages with the communication device DC via the management server SG, at least one of the messages comprising application data DonA which are encrypted by the server of SA application or by the DC communication device.
  • the exchange module ECHs is able to transmit requests containing encrypted application data DonA to the management server SG, the application data DonA being intended for the communication device DC.
  • the exchange module ECHs can also receive responses containing encrypted data from the management server SG, the data coming from the communication device DC.
  • the management server SG comprises a communication module COM having the function of exchanging data transmitted from the application server SA to the communication device DC, and data transmitted from the communication device DC to the application server.
  • the communication module COM interprets in particular requests transmitted from the application server SA and produces other requests to the communication device DC according to the requests received from the application server.
  • the communication module COM interprets in particular responses transmitted from the communication device DC and produces other responses for the application server SA as a function of the requests received from the communication device.
  • the management server SG is an autoconfiguration server ACS ("Auto-Configuration Server” in English) using a protocol type TR 069 defined according to the forum BBF ("BroadBand Forum" in English) or DM type ("Device Management” in English) defined by the organization OMA ("Open Mobile Alliance" in English).
  • the communication device DC comprises an encryption module CHIc, an exchange module ECHc and a memory MEM.
  • the exchange module ECHc is able to exchange messages with the application server SA via the management server SG, at least one of the messages comprising application data DonA which are encrypted by the device of DC communication or by the SA application server.
  • the exchange module ECHc is able to transmit responses containing encrypted DonA data to the management server SG, the data DonA being intended for the application server SA.
  • the exchange module ECHc can also receive requests containing encrypted application data from the management server SG, the encrypted data being taken from the application server SA.
  • the encryption module CHIc is able to determine an encryption key Kc for encrypting and decrypting DonA data specific to the application.
  • the encryption modules CHIc and CHIs respectively of the communication device and the application server perform key negotiation ("key negotiation" in English), so that one of the communication device and the server of the application is the source of the key negotiation and determines the encryption key.
  • the encryption module CHIc stores the encryption key in the memory MEM.
  • the memory MEM contains in particular the application using a service offered by the application server SA.
  • the memory MEM furthermore contains a set of management data EnsD comprising application data DonA specific to the application and communication data DonC relating to communication parameters of the device for the operation of the service through a telecommunications network. similarly to the set of management data EnsD stored in the database BD linked to the application server SA.
  • the memory MEM also contains an encryption key Kc, used for encrypting and decrypting application-specific application data DonA.
  • a communication device management method comprises steps E1 to E6 executed in the communication system.
  • the communication device DC communicates with the application server SA, for example after powering on the device when the device is registered with the telecommunications network or after a given time interval if the device is already powered on.
  • the communication device DC and the application server SA perform a key negotiation to determine an encryption key Kc relating to the communication device.
  • the application server SA or the communication device DC determines at least one encryption key Kc relating to the communication device DC.
  • the encryption module CHIs communicates with another server that participates in the negotiation, determines an encryption key and transmits it to the encryption module CHIs.
  • the application server stores the key Kc in correspondence with an identifier IdDC of the communication device in the database BD, and the communication device DC stores the key Kc in the memory SAME.
  • step E1 the application server SA produces a Reql instruction request.
  • the Reql statement request contains instructions for the server to management performs a read request on DonA data stored in the communication device DC.
  • DonA data may correspond to a parameter which is in the form of an attribute Att with a value Val.
  • the instructions in the Reql statement request only designate an Att attribute.
  • the instruction request Reql contains instructions for reading the value Val of an attribute Att, the attribute not being encrypted.
  • the instruction request Reql contains instructions for reading the value of an attribute, the attribute being encrypted.
  • the encryption module CHIs encrypts the attribute Att with the encryption key Kc.
  • the application server SA transmits the instruction request Reql containing the attribute Att to the management server SG
  • step E2 the management server SG receives the instruction request Reql, and produces a management request ReqG according to the instructions contained in the instruction request Reql.
  • the attribute is not encrypted and the management request ReqG contains a read request without indication of encryption, for example of the type "GetParameterValue" associated with the unencrypted attribute.
  • the attribute is encrypted and the management request
  • ReqG contains a read request with an indication of encryption, for example of the type "SecureGetParameterValue" associated with the encrypted attribute.
  • the management server SG transmits the management request ReqG containing the attribute Att to the communication device DC.
  • step E3 the communication device DC receives the management request
  • the encryption module CHIc decrypts the encrypted attribute with the encryption key Kc.
  • the encryption module CHIc retrieves the value Val of the attribute Att in the data DonA contained in the memory MEM and encrypts the value of the attribute.
  • step E4 the communication device DC transmits a management response RepG, containing the encrypted value Val of the attribute Att, to the management server SG.
  • step E5 the management server SG receives the management response RepG, and produces a repl instruction response based on the content of the response of RepG management.
  • the RepI instruction response may have content similar to the content of the RepG management response, the RepI instruction response being adapted to the communication protocol used between the management server and the application server.
  • the management server SG transmits the instruction response RepI, containing the encrypted value Val of the attribute ⁇ tt, to the application server SA.
  • a communication device management method comprises steps F1 to F5 executed in the communication system.
  • step F01 similar to step E01, the communication device DC communicates with the application server SA.
  • the communication device DC and the application server SA perform a key negotiation to determine an encryption key Kc relating to the communication device.
  • the application server SA or the communication device DC determines at least one encryption key Kc relating to the communication device DC.
  • the application server stores the key Kc in the database BD and the communication device DC stores the key Kc in the memory MEM.
  • step F1 the application server SA produces a request Reql instruction.
  • the instruction request Reql contains instructions for the management server to make a write request on DonA data stored in the communication device DC.
  • DonA data may correspond to a parameter that is in the form of an attribute with a value.
  • the instructions in the Req query designate an attribute and its value.
  • the instruction request Reql contains instructions for writing the value of an attribute, the attribute not being encrypted and the value being encrypted with the encryption key Kc.
  • the instruction request Reql contains instructions for writing the value of an attribute, the attribute and the value being encrypted with the encryption key Kc.
  • the application server SA transmits the instruction request Reql containing the attribute Att and the value Val to the management server SG
  • step F2 the management server SG receives the instruction request Reql, and produces a management request ReqG according to the instructions contained in the instruction request Reql.
  • the attribute is not encrypted or is encrypted and the value Val is encrypted.
  • the management request ReqG contains a write request with an indication of encryption, for example of the type "SecureSetParameterValue" associated with the attribute that is unencrypted or encrypted and the encrypted value.
  • the management server SG transmits the management request ReqG containing the attribute Att and the value Val to the communication device DC.
  • step F3 the communication device DC receives the management request ReqG.
  • the encryption module CHIc decrypts the value Val encrypted with the encryption key Kc, and if the attribute Att is encrypted, the encryption module CHIc also decrypts the encrypted attribute with the encryption key Kc.
  • the encryption module CHIc stores the decrypted value Val associated with the attribute Att in the memory MEM and thus replaces the value that was present and associated with the attribute Att.
  • step F4 the communication device DC transmits a management response RepG to the management server SG, the response comprising for example an indication that the write request has been executed, that is to say that the value Val has been memorized.
  • step F5 the management server SG receives the management response RepG, and produces a repl instruction response, whose content is similar to that of the RepG management response.
  • the management server SG transmits the repl instruction response to the application server SA, which is informed that the write request has been executed.
  • the application server SA and the communication device DC exchange messages, such as requests and responses, via the server.
  • management unit SG the latter receiving a Reql instruction request from the application server SA and transmitting a management request ReqG to the DC communication, and receiving RepG management response of the DC communication device and transmitting a RepI instruction response to the SA application server.
  • at least one of the messages comprises DonA application data, such as an attribute or a value, which are encrypted with the encryption key Kc by at least one of the device DC communication and SA application server.
  • the communication device DC and the application server SA use a key for the encryption of the attributes and another key for the encryption of the values.
  • the communication device DC and the application server SA each use a different key, for example asymmetric keys, for encrypting and decrypting attributes or values.
  • a base station of type for example asymmetric keys, for encrypting and decrypting attributes or values.
  • Femto is deployed by a wireless communication network operator, and a packet network gateway is deployed by a high speed wired network operator.
  • the radio service via the base station is provided by the wireless network operator while the packet communication service is provided by the broadband communication operator.
  • the communication device DC is a packet network gateway implementing an application for the operation of the Femto base station, the wireless network operator holds an application server SA and the operator of wired network holds a management server SG.
  • the wireline operator can provide the wireless network operator, through the management server SG, with means for managing a specific portion of the application data in an opaque manner, i.e. say without the wired network operator reading this data.
  • the invention described here relates in particular to a method, a communication device and a server for the management of a communication device through a telecommunications network.
  • the steps of the method of the invention are determined in part by the instructions of computer programs, incorporated in part in a server, such as the SA application server, and partly in a device, such as the DC communication device.
  • Each program includes program instructions, which when said program is loaded and executed in the server or in the device, perform the steps of the method of the invention.
  • the invention also applies to a computer program, including a computer program on or in an information carrier, adapted to implement the invention.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a partially compiled form, or in any other desirable form to implement the method according to the invention.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to the management of at least one communication device (DC), which implements an application using a service provided by an application server (SA), via a telecommunications network (RT). The device (DC) includes application-specific application data (DonA) and communication data (DonC) relating to communication parameters for operating the service via the telecommunications network, the communication data (DonC) being managed by a management server (SG). The application server (SA) and the device (DC) establish and store an encryption key (Kc), and exchange messages via the management server (SG), at least one of the messages including application data (DonA) which is encrypted with the key by means of at least either the device (DC) or the server (SA).

Description

GESTION DE DISPOSITIF DE COMMUNICATION A TRAVERS UN RESEAU DE  COMMUNICATION DEVICE MANAGEMENT THROUGH A NETWORK
TELECOMMUNICATIONS  TELECOMMUNICATIONS
La présente invention concerne une gestion d'au moins un dispositif de communication implémentant au moins une application utilisant un service offert par un serveur d'application à travers un réseau de télécommunications. The present invention relates to management of at least one communication device implementing at least one application using a service offered by an application server through a telecommunications network.
Un dispositif de communication, implémentant une application utilisant un service offert par un serveur d'application à travers un réseau de télécommunications, contient un ensemble de données de gestion qui peuvent être lues ou modifiées par une entité externe, telle que le serveur d'application ou un serveur géré par l'opérateur du réseau de télécommunications, et qui sont dédiées au fonctionnement de l'application. Cet ensemble de données de gestion comprend par exemple des données propres à l'application et des données relatives à des paramètres de communication du dispositif pour le fonctionnement du service à travers un réseau de télécommunications. A communication device, implementing an application using a service provided by an application server over a telecommunications network, contains a set of management data that can be read or modified by an external entity, such as the application server. or a server managed by the operator of the telecommunications network, and which are dedicated to the operation of the application. This management data set comprises, for example, application-specific data and data relating to communication parameters of the device for operation of the service over a telecommunications network.
Il existe un système selon lequel plusieurs serveurs de gestion sont déployés, un serveur de gestion étant déployé par l'opérateur du réseau pour gérer des données relatives à des paramètres de communication et un serveur de gestion étant déployé par le fournisseur d'application pour gérer des données propres à l'application. Chaque serveur détient des listes de contrôle d'accès et a accès à une partie de l'ensemble de données de gestion. Un tel système a pour inconvénient que le fournisseur doit déployer lui-même un serveur de gestion.  There is a system whereby multiple management servers are deployed, a management server being deployed by the network operator to manage data relating to communication parameters and a management server being deployed by the application provider to manage application-specific data. Each server has access control lists and access to a portion of the management dataset. Such a system has the disadvantage that the provider must deploy itself a management server.
Il existe un besoin pour des fournisseurs d'application, tels que des fournisseurs d'application machine à machine, de sous-traiter une gestion d'au moins une partie de l'ensemble de données de gestion d'un dispositif de communication à l'opérateur du réseau de télécommunications, et en particulier de sous-traiter la gestion d'au moins une partie des données propres à l'application. Un objectif de l'invention est de proposer notamment un système de gestion dans lequel des données propres à l'application échangées entre le dispositif et le fournisseur d'application à travers le réseau de télécommunications ne sont pas visibles par l'opérateur du réseau de télécommunications ou par toute autre entité tierce participant à l'échange des données. Pour atteindre cet objectif, un procédé de gestion d'au moins un dispositif de communication implémentant une application utilisant un service offert par un serveur d'application à travers un réseau de télécommunications, le dispositif de communication comprenant des données d'application propres à l'application et des données de communication relatives à des paramètres de communication pour le fonctionnement du service à travers le réseau de télécommunications, les données de communication étant gérées par un serveur de gestion, le procédé comprenant ; There is a need for application providers, such as machine-to-machine application providers, to outsource a management of at least a portion of the management data set of a communication device to the application. telecommunications network operator, and in particular to outsource the management of at least a portion of the data specific to the application. An object of the invention is to propose in particular a management system in which application-specific data exchanged between the device and the application provider through the telecommunications network are not visible to the network operator. telecommunications or any other third-party entity involved in the exchange of data. To achieve this objective, a method of managing at least one communication device implementing an application using a service offered by an application server through a telecommunications network, the communication device comprising application data specific to the application application and communication data relating to communication parameters for operation of the service through the telecommunications network, the communication data being managed by a management server, the method comprising;
une négociation d'une clé de chiffrement entre le serveur d'application et le dispositif de communication qui mémorisent chacun la clé de chiffrement négociée, et  negotiation of an encryption key between the application server and the communication device, each of which stores the negotiated encryption key, and
un échange de messages entre le serveur d'application et le dispositif de communication par l'intermédiaire du serveur de gestion, au moins l'un des messages comprenant des données d'application qui sont chiffrées avec la clé de chiffrement par au moins l'un du dispositif de communication et du serveur d'application.  an exchange of messages between the application server and the communication device via the management server, at least one of the messages comprising application data that is encrypted with the encryption key by at least one one of the communication device and the application server.
Avantageusement, l'invention propose une solution au fournisseur de service pour sous-traiter la gestion de dispositifs de communication, l'opérateur du réseau de télécommunications n'ayant pas de visibilité sur les données échangées entre le fournisseur de service et le dispositif de communication. L'invention assure un chiffrement de bout en bout des données propres à l'application.  Advantageously, the invention proposes a solution to the service provider to outsource the management of communication devices, the operator of the telecommunications network having no visibility on the data exchanged between the service provider and the communication device. . The invention provides end-to-end encryption of the application-specific data.
Un fournisseur d'application pourra ainsi accepter une telle sous-traitance de la gestion d'un dispositif à l'opérateur du réseau de télécommunications, puisque les données propres à l'application sont opaques pour l'opérateur. Ces données propres à l'application sont par exemple des données de gestion de configuration, de performance ou d'alarmes, et l'opérateur du réseau de télécommunications n'a pas accès en lecture au contenu de ces données.  An application provider can thus accept such outsourcing of the management of a device to the operator of the telecommunications network, since the data specific to the application are opaque to the operator. These application-specific data are, for example, configuration, performance management or alarm management data, and the operator of the telecommunications network does not have read access to the content of these data.
Par ailleurs, le fournisseur de service est dispensé de posséder un serveur de gestion, ce dernier est détenu par l'opérateur du réseau de télécommunications ou par une autre entité tierce et peut être utilisé par plusieurs applications.  In addition, the service provider is exempt from having a management server, which is owned by the telecommunications network operator or by another third party entity and can be used by several applications.
Selon une autre caractéristique de l'invention, le procédé peut comprendre en outre les étapes suivantes : transmettre une première requête depuis le serveur d'application au serveur de gestion, According to another characteristic of the invention, the method may further comprise the following steps: transmit a first request from the application server to the management server,
transmettre une deuxième requête depuis le serveur de gestion au dispositif de communication en fonction du contenu de la première requête,  transmit a second request from the management server to the communication device according to the content of the first request,
transmettre une première réponse depuis le dispositif de communication au serveur de gestion, et  transmit a first response from the communication device to the management server, and
transmettre une deuxième réponse depuis le serveur de gestion au serveur d'application en fonction du contenu de la première réponse,  transmit a second response from the management server to the application server according to the content of the first response,
au moins l'une des première et deuxième requêtes et des première et deuxième réponses comprenant des données d'application qui sont chiffrées avec la clé de chiffrement par au moins l'un du dispositif de communication et du serveur d'application.  at least one of the first and second requests and first and second responses comprising application data that is encrypted with the encryption key by at least one of the communication device and the application server.
Selon une réalisation de l'invention, les données d'application peuvent comprendre des attributs respectivement associés à des valeurs, et le procédé peut comprendre les étapes suivantes : According to an embodiment of the invention, the application data may comprise attributes respectively associated with values, and the method may comprise the following steps:
transmettre une première requête depuis le serveur d'application au serveur de gestion, la première requête comprenant au moins un attribut,  transmit a first request from the application server to the management server, the first request comprising at least one attribute,
transmettre une deuxième requête depuis le serveur de gestion au dispositif de communication, la deuxième requête comprenant au moins ledit attribut,  transmitting a second request from the management server to the communication device, the second request comprising at least said attribute,
dans le dispositif de communication, récupérer une valeur associée à l'attribut compris dans la deuxième requête reçue et chiffrer la valeur avec la clé de chiffrement,  in the communication device, retrieving a value associated with the attribute included in the second received request and encrypting the value with the encryption key,
transmettre une première réponse depuis le dispositif de communication au serveur de gestion, la première réponse comprenant la valeur chiffrée,  transmit a first response from the communication device to the management server, the first response comprising the encrypted value,
transmettre une deuxième réponse depuis le serveur de gestion au serveur d'application, la deuxième réponse comprenant la valeur chiffrée, et  transmitting a second response from the management server to the application server, the second response including the encrypted value, and
dans le serveur d'application, déchiffrer la valeur chiffrée avec la clé de chiffrement.  in the application server, decrypt the encrypted value with the encryption key.
Selon une autre réalisation de l'invention, les données d'application peuvent comprendre des attributs respectivement associés à des valeurs, et le procédé peut comprendre les étapes suivantes : dans le serveur d'application, chiffrer au moins une valeur avec la clé de chiffrement, According to another embodiment of the invention, the application data may comprise attributes respectively associated with values, and the method may comprise the following steps: in the application server, encrypting at least one value with the encryption key,
transmettre une première requête depuis le serveur d'application au serveur de gestion, la première requête comprenant au moins la valeur chiffrée, transmettre une deuxième requête depuis le serveur de gestion au dispositif de communication, la deuxième requête comprenant au moins la valeur chiffrée,  transmitting a first request from the application server to the management server, the first request comprising at least the encrypted value, transmitting a second request from the management server to the communication device, the second request comprising at least the encrypted value,
dans le dispositif de communication, déchiffrer la valeur chiffrée comprise dans la deuxième requête reçue avec la clé de chiffrement, et mémoriser la valeur déchiffrée associée à un attribut,  in the communication device, decrypting the encrypted value included in the second request received with the encryption key, and storing the decrypted value associated with an attribute,
transmettre une première réponse depuis le dispositif de communication au serveur de gestion, la première réponse comprenant une indication que la valeur a bien été mémorisée, et  transmitting a first response from the communication device to the management server, the first response including an indication that the value has been stored, and
transmettre une deuxième réponse depuis le serveur de gestion au serveur d'application, la deuxième réponse comprenant une indication que la valeur a bien été mémorisée.  transmitting a second response from the management server to the application server, the second response including an indication that the value has been stored.
L'invention concerne également un serveur d'application pour la gestion d'au moins un dispositif de communication implémentant une application utilisant un service offert par le serveur d'application à travers un réseau de télécommunications, le dispositif de communication comprenant des données d'application propres à l'application et des données de communication relatives à des paramètres de communication pour le fonctionnement du service à travers le réseau de télécommunications, les données de communication étant gérées par un serveur de gestion, le serveur d'application comprenant : The invention also relates to an application server for managing at least one communication device implementing an application using a service offered by the application server through a telecommunications network, the communication device comprising data of application-specific application and communication data relating to communication parameters for operation of the service through the telecommunications network, the communication data being managed by a management server, the application server comprising:
des moyens pour négocier une clé de chiffrement avec le dispositif de communication et des moyens pour mémoriser la clé de chiffrement négociée, des moyens pour chiffrer et déchiffrer des données d'application avec la clé de chiffrement, et  means for negotiating an encryption key with the communication device and means for storing the negotiated encryption key, means for encrypting and decrypting application data with the encryption key, and
des moyens pour échanger des messages avec le dispositif de communication par l'intermédiaire du serveur de gestion, au moins l'un des messages comprenant des données d'application qui sont chiffrées avec la clé de chiffrement par au moins l'un du dispositif de communication et du serveur d'application. L'invention concerne également un dispositif de communication implémentant une application utilisant un service offert par le serveur d'application à travers un réseau de télécommunications, le dispositif de communication comprenant des données d'application propres à l'application et des données de communication relatives à des paramètres de communication pour le fonctionnement du service à travers le réseau de télécommunications, les données de communication étant gérées par un serveur de gestion, le dispositif de communication comprenant : means for exchanging messages with the communication device via the management server, at least one of the messages comprising application data that is encrypted with the encryption key by at least one of the communication and the application server. The invention also relates to a communication device implementing an application using a service offered by the application server through a telecommunications network, the communication device comprising application-specific application data and communication data relating thereto. communication parameters for the operation of the service through the telecommunications network, the communication data being managed by a management server, the communication device comprising:
des moyens pour négocier une clé de chiffrement avec le serveur d'application et des moyens pour mémoriser la clé de chiffrement négociée,  means for negotiating an encryption key with the application server and means for storing the negotiated encryption key,
des moyens pour chiffrer et déchiffrer des données d'application avec la clé de chiffrement, et  means for encrypting and decrypting application data with the encryption key, and
des moyens pour échanger des messages avec le serveur d'application par l'intermédiaire du serveur de gestion, au moins l'un des messages comprenant des données d'application qui sont chiffrées avec la clé de chiffrement par au moins l'un du dispositif de communication et du serveur d'application.  means for exchanging messages with the application server via the management server, at least one of the messages comprising application data that is encrypted with the encryption key by at least one of the device communication and the application server.
L'invention se rapporte encore à des programmes d'ordinateur apte à être mis en œuvre dans un serveur et dans un dispositif de communication, lesdits programmes comprenant des instructions qui, lorsque les programmes sont exécutés dans ledit serveur et ledit dispositif de communication, réalisent les étapes selon le procédé de l'invention. La présente invention et les avantages qu'elle procure seront mieux compris au vu de la description ci-après faite en référence aux figures annexées, dans lesquelles : The invention also relates to computer programs adapted to be implemented in a server and in a communication device, said programs comprising instructions which, when the programs are executed in said server and said communication device, realize the steps according to the method of the invention. The present invention and the advantages it provides will be better understood from the following description given with reference to the appended figures, in which:
- la figure 1 est un bloc-diagramme schématique d'un système de communication selon une première réalisation de l'invention,  FIG. 1 is a schematic block diagram of a communication system according to a first embodiment of the invention,
- la figure 2 est un algorithme d'un procédé de gestion de dispositif de communication selon une réalisation de l'invention, et  FIG. 2 is an algorithm of a communication device management method according to one embodiment of the invention, and
- la figure 3 est un algorithme d'un procédé de gestion de dispositif de communication selon une deuxième réalisation de l'invention. L'invention est relative à une gestion de dispositif de communication ("Device Management" en anglais) depuis un serveur d'application via un serveur de gestion à travers un réseau de télécommunications. FIG. 3 is an algorithm of a communication device management method according to a second embodiment of the invention. The invention relates to a management device management ("Device Management" in English) from an application server via a management server through a telecommunications network.
Dans la suite de la description, un serveur d'application est par exemple géré par une société qui peut éventuellement posséder ou avoir fourni le dispositif de communication et le serveur d'application peut offrir un ou plusieurs services numériques accessibles depuis le dispositif de communication. Un service numérique peut être un service fournissant des données multimédias, tels que des fichiers numériques comprenant du texte et/ou du son et/ou une image, par exemple afin de mettre à jour des données numériques gérées par le dispositif de communication, telles que des prix de prestations offertes par l'entité de service. En outre, le serveur d'application peut administrer une base de données contenant des informations relatives à chacun des dispositifs de communication appartenant à ou étant exploités par la société gérant le serveur d'application. Un dispositif de communication peut également informer le serveur d'application de dernières modifications produites relatives à l'application.  In the following description, an application server is for example managed by a company that may possibly own or have provided the communication device and the application server may offer one or more digital services accessible from the communication device. A digital service may be a service providing multimedia data, such as digital files comprising text and / or sound and / or an image, for example to update digital data managed by the communication device, such as service prices offered by the service entity. In addition, the application server may administer a database containing information relating to each of the communication devices belonging to or being exploited by the company managing the application server. A communication device may also inform the application server of the latest changes produced relating to the application.
Comme expliqué précédemment, un dispositif de communication, implémentant une application utilisant un service offert par un serveur d'application à travers un réseau de télécommunications, contient un ensemble de données de gestion comprenant des données propres à l'application et des données relatives à des paramètres de communication du dispositif pour le fonctionnement du service à travers un réseau de télécommunications. Cet ensemble de données est dédié au fonctionnement et à la gestion du dispositif et peut être géré en partie par différentes entités externes, telles que le serveur d'application et un serveur de gestion administré par l'opérateur du réseau de télécommunications.  As previously explained, a communication device, implementing an application using a service provided by an application server over a telecommunications network, contains a set of management data including application-specific data and data relating to applications. communication parameters of the device for operation of the service through a telecommunications network. This set of data is dedicated to the operation and management of the device and can be managed in part by different external entities, such as the application server and a management server administered by the telecommunications network operator.
Par exemple, un serveur de gestion a pour fonctionnalité notamment d'initialiser, de mettre à jour une configuration d'un dispositif de communication, de récupérer des données de gestion de l'application, de traiter des événements ou alarmes produites par l'application. Par exemple, un serveur de gestion permet à une partie externe d'exécuter à distance une configuration de paramètres pour un protocole de communication entre le dispositif de communication et le serveur de gestion, ou encore d'installer et de mettre à jour des programmes d'une application.  For example, a management server has the particular functionality to initialize, update a configuration of a communication device, retrieve application management data, process events or alarms produced by the application . For example, a management server allows an external party to remotely execute a configuration of parameters for a communication protocol between the communication device and the management server, or to install and update programs of 'an application.
Selon une réalisation de l'invention, un serveur de gestion administré par l'opérateur du réseau de télécommunication ou par une entité tierce, doit traiter de manière opaque les données propres à l'application échangées entre le dispositif de communication et le serveur d'application, tout en traitant des données relatives à des paramètres de communication du dispositif de communication pour le fonctionnement du service à travers un réseau de télécommunications. According to one embodiment of the invention, a management server administered by the operator of the telecommunications network or by a third party entity, must deal with opaque manner the application-specific data exchanged between the communication device and the application server, while processing data relating to communication parameters of the communication device for the operation of the service through a telecommunications network.
En référence à la figure 1 , un système de communication comprend au moins un serveur d'application SA, un serveur de gestion SG, et un dispositif de communication DC, aptes à communiquer entre eux à travers un réseau de télécommunications RT. With reference to FIG. 1, a communication system comprises at least one application server SA, a management server SG, and a communication device DC, able to communicate with each other through a telecommunications network RT.
II peut être considéré que le serveur d'application SA et le dispositif de communication DC sont configurés selon une structure client-serveur dans laquelle le serveur d'application SA a un rôle de serveur gérant un ou plusieurs dispositifs de communication DC qui ont chacun un rôle de client. Dans la suite de la description, il est considéré à titre d'exemple que le serveur d'application SA gère une seule application implémentée dans un seul dispositif de communication.  It can be considered that the application server SA and the communication device DC are configured according to a client-server structure in which the application server SA has a server role managing one or more communication devices DC which each have a customer role. In the remainder of the description, it is considered as an example that the application server SA manages a single application implemented in a single communication device.
Le réseau de télécommunications RT peut être un réseau filaire ou sans fil, ou une combinaison de réseaux filaires et de réseaux sans fil. Par exemple, le réseau de télécommunications RT est un réseau de paquets à haut débit de type IP ("Internet Protocol" en anglais), tel que l'internet ou un intranet.  The telecommunications network RT may be a wired or wireless network, or a combination of wired and wireless networks. For example, the telecommunications network RT is a network of high-speed packets of type IP ("Internet Protocol" in English), such as the Internet or an intranet.
Selon un exemple, un dispositif de communication DC est un ordinateur personnel relié directement par modem à une liaison de type xDSL ("Digital Subscriber Line" en anglais) ou RNIS (Réseau Numérique à Intégration de Services) reliée au réseau de télécommunications RT.  According to one example, a communication device DC is a personal computer connected directly by modem to a link of the type xDSL ("Digital Subscriber Line" in English) or ISDN (Digital Integrated Services Network) connected to the telecommunications network RT.
Selon un autre exemple, un dispositif de communication DC est un terminal de radiocommunications cellulaire mobile, relié par un canal de radiocommunication au réseau de télécommunications, par exemple de type GSM ("Global System for Mobile communications" en anglais) ou UMTS ("Universal Mobile Télécommunications System" en anglais).  According to another example, a communication device DC is a mobile cellular radio terminal, connected by a radiocommunication channel to the telecommunications network, for example of the GSM ("Global System for Mobile Communications" in English) or UMTS ("Universal") type. Mobile Telecommunications System ".
Selon un autre exemple, un dispositif de communication DC comprend un dispositif ou objet électronique de télécommunications qui peut être un assistant numérique personnel communicant PDA ("Personnal Digital Assistant" en anglais), ou un téléphone intelligent (SmartPhone), pouvant être relié à une borne d'accès d'un réseau public sans fil de faible portée du type WLAN ("Wireless Local Area Network" en anglais) ou conforme à l'une des normes 802.1x, ou de moyenne portée selon le protocole WIMAX ("World wide Interoperability Microwave Access" en anglais), relié au réseau de télécommunications. According to another example, a communication device DC comprises an electronic device or object of telecommunications which can be a personal digital assistant PDA ("Personal Digital Assistant" in English), or a smart phone (SmartPhone), which can be connected to a base station of a WLAN type wireless local area network or compliant with one of the 802.1x standards, or range according to the WIMAX protocol ("World wide Interoperability Microwave Access" in English), connected to the telecommunications network.
Selon d'autres exemples, un dispositif de communication DC est un véhicule automobile appartenant à une société de taxis, ou bien un compteur automatique d'une énergie particulière, telle que l'eau, le gaz ou l'électricité appartenant à une société du secteur énergétique, ou encore un distributeur de boissons appartenant à une société spécialisée dans la distribution alimentaire.  According to other examples, a communication device DC is a motor vehicle belonging to a taxi company, or an automatic meter of a particular energy, such as water, gas or electricity belonging to a company of the energy sector, or a beverage distributor owned by a company specializing in food distribution.
Le dispositif de communication est un dispositif fixe ou mobile qui peut communiquer avec le serveur d'application SA via le réseau de télécommunications RT, pour informer ie serveur d'application de dernières modifications produites, telles que le kilométrage du véhicule automobile ou le nombre de boissons restantes dans le distributeur de boissons.  The communication device is a fixed or mobile device which can communicate with the application server SA via the telecommunications network RT, to inform the application server of the last modifications produced, such as the mileage of the motor vehicle or the number of remaining drinks in the drinks vending machine.
Le dispositif de communication et le réseau de télécommunications ne sont pas limités aux exemples ci-dessus et peuvent être constitués par d'autres dispositifs et réseaux connus.  The communication device and the telecommunications network are not limited to the above examples and may be constituted by other known devices and networks.
Le serveur d'application SA comprend un module de chiffrement CHIs et un module d'échange ECHs. The application server SA comprises a CHIs encryption module and an exchange module ECHs.
Dans la suite de la description, le terme module peut désigner un dispositif, un logiciel ou une combinaison de matériel informatique et de logiciel, configuré pour exécuter au moins une tâche particulière.  In the remainder of the description, the term module may denote a device, a software or a combination of computer hardware and software, configured to perform at least one particular task.
Le serveur d'application SA est lié à une base de données BD qui est intégrée dans le serveur d'application SA ou incorporée dans un serveur de gestion de base de données relié au serveur SA par une liaison locale ou distante.  The application server SA is linked to a database BD which is integrated in the application server SA or incorporated in a database management server connected to the server SA by a local or remote link.
En particulier, la base de données BD mémorise des clés de chiffrement In particular, the database BD stores encryption keys
Kc et des ensembles de données de gestion EnsD relatifs à des dispositifs de communication. Par exemple, un identificateur IdDC du dispositif de communication est mémorisé en correspondance avec un ensemble de données de gestion EnsD et avec au moins une clé de chiffrement Kc. Kc and EnsD management data sets relating to communication devices. For example, an IdDC identifier of the communication device is stored in correspondence with a set of management data EnsD and with at least one encryption key Kc.
Cet ensemble de données de gestion EnsD comprend des données d'application DonA propres à l'application et des données de communication DonC relatives à des paramètres de communication du dispositif pour le fonctionnement du service à travers un réseau de télécommunications. Les données propres à l'application comprennent des données de gestion de configuration, des données de gestion de performance, des données de gestion d'alarmes, et des données de programmes de l'application, tels que des logiciels ("Software" en anglais), de type embarqués ou d'exploitation ("Firmware" en anglais). This EnsD management data set comprises application-specific application data DonA and communication data DonC relating to communication parameters of the device for operation of the service over a telecommunications network. Application-specific data includes configuration management data, data performance management, alarm management data, and program data of the application, such as software ("Software" in English), embedded type or operating ("Firmware" in English).
Il peut être considéré que des données, parmi les données d'application DonA, peuvent correspondre à un paramètre qui est sous la forme d'un attribut avec une valeur. Dans ce cas, la valeur de l'attribut correspond à la valeur du paramètre.  It can be considered that data, among the application data DonA, can correspond to a parameter which is in the form of an attribute with a value. In this case, the value of the attribute is the value of the parameter.
Le module de chiffrement CHIs est apte à négocier avec le dispositif de communication une clé Kc de chiffrement pour chiffrer et déchiffrer des données. Le module de chiffrement CHIs peut éventuellement déterminer la clé de chiffrement et la transmettre au dispositif de communication DC. Le module de chiffrement CHIs mémorise la clé de chiffrement dans la base de données BD.  The encryption module CHIs is able to negotiate with the communication device an encryption key Kc for encrypting and decrypting data. The encryption module CHIs can optionally determine the encryption key and transmit it to the communication device DC. The encryption module CHIs stores the encryption key in the database BD.
Dans une réalisation, ces fonctionnalités de chiffrement sont incluses dans un serveur dît de chiffrement. Par exemple, le module de chiffrement CHI communique avec ce serveur de chiffrement qui détermine une clé de chiffrement et transmet cette dernière au module de chiffrement CHI. Le module CHI détermine ainsi indirectement une clé de chiffrement.  In one embodiment, these encryption features are included in an encryption server. For example, the encryption module CHI communicates with this encryption server which determines an encryption key and transmits it to the encryption module CHI. The CHI module thus indirectly determines an encryption key.
Le module de chiffrement CHIs chiffre ou déchiffre des données d'application DonA propres à l'application.  The CHIs encryption module encrypts or decrypts application-specific DonA application data.
Le module d'échange ECHs est apte à échanger des messages avec le dispositif de communication DC par l'intermédiaire du serveur de gestion SG, au moins l'un des messages comprenant des données d'application DonA qui sont chiffrées par le serveur d'application SA ou par le dispositif de communication DC.  The exchange module ECHs is able to exchange messages with the communication device DC via the management server SG, at least one of the messages comprising application data DonA which are encrypted by the server of SA application or by the DC communication device.
Le module d'échange ECHs est apte à transmettre des requêtes contenant des données d'application DonA chiffrées au serveur de gestion SG, les données d'application DonA étant destinées au dispositif de communication DC. Le module d'échange ECHs peut recevoir en outre des réponses contenant des données chiffrées depuis le serveur de gestion SG, les données étant issues du dispositif de communication DC.  The exchange module ECHs is able to transmit requests containing encrypted application data DonA to the management server SG, the application data DonA being intended for the communication device DC. The exchange module ECHs can also receive responses containing encrypted data from the management server SG, the data coming from the communication device DC.
Le serveur de gestion SG comprend un module de communication COM ayant pour fonctionnalité d'échanger des données transmises depuis le serveur d'application SA vers le dispositif de communication DC, et des données transmises depuis le dispositif de communication DC vers le serveur d'application SA. Le module de communication COM interprète notamment des requêtes transmises depuis le serveur d'application SA et produit d'autres requêtes à destination du dispositif de communication DC en fonction des requêtes reçues du serveur d'application. De même, le module de communication COM interprète notamment des réponses transmises depuis le dispositif de communication DC et produit d'autres réponses à destination du serveur d'application SA en fonction des requêtes reçues du dispositif de communication. The management server SG comprises a communication module COM having the function of exchanging data transmitted from the application server SA to the communication device DC, and data transmitted from the communication device DC to the application server. HER. The communication module COM interprets in particular requests transmitted from the application server SA and produces other requests to the communication device DC according to the requests received from the application server. Likewise, the communication module COM interprets in particular responses transmitted from the communication device DC and produces other responses for the application server SA as a function of the requests received from the communication device.
A titre d'exemple, le serveur de gestion SG est un serveur d'auto- configuration ACS ("Auto-Configuration Server" en anglais) utilisant un protocole de type TR 069 défini selon le forum BBF ("BroadBand Forum" en anglais), ou de type DM ("Device Management" en anglais) défini par l'organisme OMA ("Open Mobile Alliance" en anglais).  For example, the management server SG is an autoconfiguration server ACS ("Auto-Configuration Server" in English) using a protocol type TR 069 defined according to the forum BBF ("BroadBand Forum" in English) or DM type ("Device Management" in English) defined by the organization OMA ("Open Mobile Alliance" in English).
Le dispositif de communication DC comprend un module de chiffrement CHIc, un module d'échange ECHc et une mémoire MEM. The communication device DC comprises an encryption module CHIc, an exchange module ECHc and a memory MEM.
Le module d'échange ECHc est apte à échanger des messages avec le serveur d'application SA par l'intermédiaire du serveur de gestion SG, au moins l'un des messages comprenant des données d'application DonA qui sont chiffrées par le dispositif de communication DC ou par le serveur d'application SA.  The exchange module ECHc is able to exchange messages with the application server SA via the management server SG, at least one of the messages comprising application data DonA which are encrypted by the device of DC communication or by the SA application server.
Le module d'échange ECHc est apte à transmettre des réponses, contenant des données DonA chiffrées au serveur de gestion SG, les données DonA étant destinées au serveur d'application SA. Le module d'échange ECHc peut recevoir en outre des requêtes contenant des données d'application chiffrées depuis le serveur de gestion SG, les données chiffrées étant issues du serveur d'application SA.  The exchange module ECHc is able to transmit responses containing encrypted DonA data to the management server SG, the data DonA being intended for the application server SA. The exchange module ECHc can also receive requests containing encrypted application data from the management server SG, the encrypted data being taken from the application server SA.
Le module de chiffrement CHIc est apte à déterminer une clé Kc de chiffrement pour chiffrer et déchiffrer des données DonA propres à l'application. Dans une réalisation, les modules de chiffrement CHIc et CHIs respectivement du dispositif de communication et du serveur d'application effectuent une négociation de clé ("key negotiation" en anglais), de sorte que l'un du dispositif de communication et du serveur d'application est à l'origine de la négociation de clé et détermine la clé de chiffrement. Le module de chiffrement CHIc mémorise la clé de chiffrement dans la mémoire MEM. La mémoire MEM contient notamment l'application utilisant un service offert par le serveur d'application SA. La mémoire MEM contient en outre un ensemble de données de gestion EnsD comprenant des données d'application DonA propres à l'application et des données de communication DonC relatives à des paramètres de communication du dispositif pour le fonctionnement du service à travers un réseau de télécommunications, de manière similaire à l'ensemble de données de gestion EnsD mémorisé dans la base de données BD liée au serveur d'application SA. La mémoire MEM contient également une clé Kc de chiffrement, utilisée pour chiffrer et déchiffrer des données d'application DonA propres à l'application. The encryption module CHIc is able to determine an encryption key Kc for encrypting and decrypting DonA data specific to the application. In one embodiment, the encryption modules CHIc and CHIs respectively of the communication device and the application server perform key negotiation ("key negotiation" in English), so that one of the communication device and the server of the application is the source of the key negotiation and determines the encryption key. The encryption module CHIc stores the encryption key in the memory MEM. The memory MEM contains in particular the application using a service offered by the application server SA. The memory MEM furthermore contains a set of management data EnsD comprising application data DonA specific to the application and communication data DonC relating to communication parameters of the device for the operation of the service through a telecommunications network. similarly to the set of management data EnsD stored in the database BD linked to the application server SA. The memory MEM also contains an encryption key Kc, used for encrypting and decrypting application-specific application data DonA.
En référence à la figure 2, un procédé de gestion de dispositif de communication selon une première réalisation de l'invention comprend des étapes E1 à E6 exécutées dans le système de communication. With reference to FIG. 2, a communication device management method according to a first embodiment of the invention comprises steps E1 to E6 executed in the communication system.
A une étape préliminaire E01 , le dispositif de communication DC communique avec le serveur d'application SA, par exemple après une mise sous tension du dispositif lors d'un enregistrement du dispositif auprès du réseau de télécommunication ou après un intervalle de temps donné si le dispositif est déjà sous tension.  In a preliminary step E01, the communication device DC communicates with the application server SA, for example after powering on the device when the device is registered with the telecommunications network or after a given time interval if the device is already powered on.
Le dispositif de communication DC et le serveur d'application SA effectuent une négociation de clé pour déterminer une clé Kc de chiffrement relative au dispositif de communication.  The communication device DC and the application server SA perform a key negotiation to determine an encryption key Kc relating to the communication device.
Le serveur d'application SA ou le dispositif de communication DC détermine au moins une clé Kc de chiffrement relative au dispositif de communication DC. En variante, le module de chiffrement CHIs communique avec un autre serveur qui participe à la négociation, détermine une clé de chiffrement et transmet cette dernière au module de chiffrement CHIs.  The application server SA or the communication device DC determines at least one encryption key Kc relating to the communication device DC. In a variant, the encryption module CHIs communicates with another server that participates in the negotiation, determines an encryption key and transmits it to the encryption module CHIs.
Une fois la négociation terminée et la clé Kc déterminée, le serveur d'application mémorise la clé Kc en correspondance avec un identificateur IdDC du dispositif de communication dans la base de données BD, et le dispositif de communication DC mémorise la clé Kc dans la mémoire MEM.  Once the negotiation has been completed and the key Kc determined, the application server stores the key Kc in correspondence with an identifier IdDC of the communication device in the database BD, and the communication device DC stores the key Kc in the memory SAME.
A l'étape E1 , le serveur d'application SA produit une requête d'instruction Reql. La requête d'instruction Reql contient des instructions pour que le serveur de gestion effectue une demande en lecture sur des données DonA mémorisées dans le dispositif de communication DC. In step E1, the application server SA produces a Reql instruction request. The Reql statement request contains instructions for the server to management performs a read request on DonA data stored in the communication device DC.
Comme indiqué précédemment, des données DonA peuvent correspondre à un paramètre qui est sous la forme d'un attribut Att avec une valeur Val. Les instructions contenues dans la requête d'instruction Reql désignent seulement un attribut Att.  As previously stated, DonA data may correspond to a parameter which is in the form of an attribute Att with a value Val. The instructions in the Reql statement request only designate an Att attribute.
Selon une première possibilité, la requête d'instruction Reql contient des instructions de lecture de la valeur Val d'un attribut Att, l'attribut n'étant pas chiffré.  According to a first possibility, the instruction request Reql contains instructions for reading the value Val of an attribute Att, the attribute not being encrypted.
Selon une deuxième possibilité, la requête d'instruction Reql contient des instructions de lecture de la valeur d'un attribut, l'attribut étant chiffré. Dans ce cas, le module de chiffrement CHIs chiffre l'attribut Att avec la clé de chiffrement Kc.  According to a second possibility, the instruction request Reql contains instructions for reading the value of an attribute, the attribute being encrypted. In this case, the encryption module CHIs encrypts the attribute Att with the encryption key Kc.
Le serveur d'application SA transmet la requête d'instruction Reql contenant l'attribut Att au serveur de gestion SG  The application server SA transmits the instruction request Reql containing the attribute Att to the management server SG
A l'étape E2, le serveur de gestion SG reçoit la requête d'instruction Reql, et produit une requête de gestion ReqG en fonction des instructions contenues dans la requête d'instruction Reql.  In step E2, the management server SG receives the instruction request Reql, and produces a management request ReqG according to the instructions contained in the instruction request Reql.
Selon une première possibilité, l'attribut n'est pas chiffré et la requête de gestion ReqG contient une demande de lecture sans indication de chiffrement, par exemple du type "GetParameterValue" associée à l'attribut non chiffré.  According to a first possibility, the attribute is not encrypted and the management request ReqG contains a read request without indication of encryption, for example of the type "GetParameterValue" associated with the unencrypted attribute.
Selon une deuxième possibilité, l'attribut est chiffré et la requête de gestion According to a second possibility, the attribute is encrypted and the management request
ReqG contient une demande de lecture avec indication de chiffrement, par exemple du type "SecureGetParameterValue" associée à l'attribut chiffré. ReqG contains a read request with an indication of encryption, for example of the type "SecureGetParameterValue" associated with the encrypted attribute.
Le serveur de gestion SG transmet la requête de gestion ReqG contenant l'attribut Att au dispositif de communication DC.  The management server SG transmits the management request ReqG containing the attribute Att to the communication device DC.
A l'étape E3, le dispositif de communication DC reçoit la requête de gestion In step E3, the communication device DC receives the management request
ReqG, via le module d'échange ECHc. Si l'attribut est chiffré, le module de chiffrement CHIc déchiffre l'attribut chiffré avec la clé de chiffrement Kc. ReqG, via the exchange module ECHc. If the attribute is encrypted, the encryption module CHIc decrypts the encrypted attribute with the encryption key Kc.
Le module de chiffrement CHIc récupère la valeur Val de l'attribut Att dans les données DonA contenues dans la mémoire MEM et chiffre la valeur de l'attribut.  The encryption module CHIc retrieves the value Val of the attribute Att in the data DonA contained in the memory MEM and encrypts the value of the attribute.
A l'étape E4, le dispositif de communication DC transmet une réponse de gestion RepG, contenant la valeur Val chiffrée de l'attribut Att, au serveur de gestion SG.  In step E4, the communication device DC transmits a management response RepG, containing the encrypted value Val of the attribute Att, to the management server SG.
A l'étape E5, le serveur de gestion SG reçoit la réponse de gestion RepG, et produit une réponse d'instruction Repl en fonction du contenu de la réponse de gestion RepG. La réponse d'instruction RepI peut avoir un contenu similaire au contenu de la réponse de gestion RepG, la réponse d'instruction RepI étant adaptée au protocole de communication utilisé entre le serveur de gestion et ie serveur d'application. In step E5, the management server SG receives the management response RepG, and produces a repl instruction response based on the content of the response of RepG management. The RepI instruction response may have content similar to the content of the RepG management response, the RepI instruction response being adapted to the communication protocol used between the management server and the application server.
Le serveur de gestion SG transmet la réponse d'instruction RepI, contenant la valeur Val chiffrée de l'attribut Âtt, au serveur d'application SA.  The management server SG transmits the instruction response RepI, containing the encrypted value Val of the attribute Âtt, to the application server SA.
A l'étape E6, le serveur d'application SA reçoit la réponse d'instruction RepI et déchiffre la valeur Val de l'attribut avec la clé de chiffrement. En référence à la figure 3, un procédé de gestion de dispositif de communication selon une deuxième réalisation de l'invention comprend des étapes F1 à F5 exécutées dans le système de communication.  In step E6, the application server SA receives the instruction response RepI and decrypts the value Val of the attribute with the encryption key. With reference to FIG. 3, a communication device management method according to a second embodiment of the invention comprises steps F1 to F5 executed in the communication system.
A une étape préliminaire F01 , similaire à l'étape E01 le dispositif de communication DC communique avec le serveur d'application SA.  At a preliminary step F01, similar to step E01, the communication device DC communicates with the application server SA.
Le dispositif de communication DC et le serveur d'application SA effectuent une négociation de clé pour déterminer une clé Kc de chiffrement relative au dispositif de communication. Le serveur d'application SA ou le dispositif de communication DC détermine au moins une clé Kc de chiffrement relative au dispositif de communication DC. Le serveur d'application mémorise la clé Kc dans la base de données BD et le dispositif de communication DC mémorise la clé Kc dans la mémoire MEM.  The communication device DC and the application server SA perform a key negotiation to determine an encryption key Kc relating to the communication device. The application server SA or the communication device DC determines at least one encryption key Kc relating to the communication device DC. The application server stores the key Kc in the database BD and the communication device DC stores the key Kc in the memory MEM.
A l'étape F1 , le serveur d'application SA produit une requête d'instruction Reql. La requête d'instruction Reql contient des instructions pour que le serveur de gestion effectue une demande en écriture sur des données DonA mémorisées dans le dispositif de communication DC.  In step F1, the application server SA produces a request Reql instruction. The instruction request Reql contains instructions for the management server to make a write request on DonA data stored in the communication device DC.
Comme indiqué précédemment, des données DonA peuvent correspondre à un paramètre qui est sous la forme d'un attribut avec une valeur. Les instructions contenues dans la requête Req désignent un attribut et sa valeur.  As previously stated, DonA data may correspond to a parameter that is in the form of an attribute with a value. The instructions in the Req query designate an attribute and its value.
Selon une première possibilité, la requête d'instruction Reql contient des instructions d'écriture de la valeur d'un attribut, l'attribut n'étant pas chiffré et la valeur étant chiffrée avec la clé de chiffrement Kc.  According to a first possibility, the instruction request Reql contains instructions for writing the value of an attribute, the attribute not being encrypted and the value being encrypted with the encryption key Kc.
Selon une deuxième possibilité, la requête d'instruction Reql contient des instructions d'écriture de la valeur d'un attribut, l'attribut et la valeur étant chiffrés avec la clé de chiffrement Kc. Le serveur d'application SA transmet la requête d'instruction Reql contenant l'attribut Att et la valeur Val au serveur de gestion SG According to a second possibility, the instruction request Reql contains instructions for writing the value of an attribute, the attribute and the value being encrypted with the encryption key Kc. The application server SA transmits the instruction request Reql containing the attribute Att and the value Val to the management server SG
A l'étape F2, le serveur de gestion SG reçoit la requête d'instruction Reql, et produit une requête de gestion ReqG en fonction des instructions contenues dans la requête d'instruction Reql.  In step F2, the management server SG receives the instruction request Reql, and produces a management request ReqG according to the instructions contained in the instruction request Reql.
Selon la première ou la deuxième possibilité, l'attribut n'est pas chiffré ou est chiffré et la valeur Val est chiffrée. La requête de gestion ReqG contient une demande d'écriture avec indication de chiffrement, par exemple du type "SecureSetParameterValue" associée à l'attribut qui est non chiffré ou chiffré et à la valeur chiffrée.  According to the first or second possibility, the attribute is not encrypted or is encrypted and the value Val is encrypted. The management request ReqG contains a write request with an indication of encryption, for example of the type "SecureSetParameterValue" associated with the attribute that is unencrypted or encrypted and the encrypted value.
Le serveur de gestion SG transmet la requête de gestion ReqG contenant l'attribut Att et la valeur Val au dispositif de communication DC.  The management server SG transmits the management request ReqG containing the attribute Att and the value Val to the communication device DC.
A l'étape F3, le dispositif de communication DC reçoit la requête de gestion ReqG. Le module de chiffrement CHIc déchiffre la valeur Val chiffrée avec la clé de chiffrement Kc, et si l'attribut Att est chiffré, le module de chiffrement CHIc déchiffre également l'attribut chiffré avec la clé de chiffrement Kc.  In step F3, the communication device DC receives the management request ReqG. The encryption module CHIc decrypts the value Val encrypted with the encryption key Kc, and if the attribute Att is encrypted, the encryption module CHIc also decrypts the encrypted attribute with the encryption key Kc.
Le module de chiffrement CHIc mémorise la valeur Val déchiffrée associée à l'attribut Att dans la mémoire MEM et remplace ainsi la valeur qui était présente et associée à l'attribut Att.  The encryption module CHIc stores the decrypted value Val associated with the attribute Att in the memory MEM and thus replaces the value that was present and associated with the attribute Att.
A l'étape F4, le dispositif de communication DC transmet une réponse de gestion RepG au serveur de gestion SG, la réponse comprenant par exemple une indication que la demande en écriture a bien été exécutée, c'est-à-dire que la valeur Val a bien été mémorisée.  In step F4, the communication device DC transmits a management response RepG to the management server SG, the response comprising for example an indication that the write request has been executed, that is to say that the value Val has been memorized.
A l'étape F5, le serveur de gestion SG reçoit la réponse de gestion RepG, et produit une réponse d'instruction Repl, dont le contenu est similaire à celui de la réponse de gestion RepG. Le serveur de gestion SG transmet la réponse d'instruction Repl au serveur d'application SA, qui est informé que la demande en écriture a bien été exécutée. Selon l'ensemble des étapes E1 à E6, et F1 à F5, il peut être considéré que le serveur d'application SA et le dispositif de communication DC échangent des messages, tels que des requêtes et des réponses, par l'intermédiaire du serveur de gestion SG, ce dernier recevant une requête d'instruction Reql du serveur d'application SA et transmettant une requête de gestion ReqG au dispositif de communication DC, et recevant une réponse de gestion RepG du dispositif de communication DC et transmettant une réponse d'instruction RepI au serveur d'application SA. Selon les deux réalisations décrites ci-dessus, au moins l'un des messages comprend des données d'application DonA, telles qu'un attribut ou une valeur, qui sont chiffrés avec la clé de chiffrement Kc par au moins l'un du dispositif de communication DC et du serveur d'application SA. In step F5, the management server SG receives the management response RepG, and produces a repl instruction response, whose content is similar to that of the RepG management response. The management server SG transmits the repl instruction response to the application server SA, which is informed that the write request has been executed. According to all the steps E1 to E6, and F1 to F5, it can be considered that the application server SA and the communication device DC exchange messages, such as requests and responses, via the server. management unit SG, the latter receiving a Reql instruction request from the application server SA and transmitting a management request ReqG to the DC communication, and receiving RepG management response of the DC communication device and transmitting a RepI instruction response to the SA application server. According to the two embodiments described above, at least one of the messages comprises DonA application data, such as an attribute or a value, which are encrypted with the encryption key Kc by at least one of the device DC communication and SA application server.
Dans une variante, le dispositif de communication DC et le serveur d'application SA utilisent une clé pour le chiffrement des attributs et une autre clé pour le chiffrement des valeurs. In one variant, the communication device DC and the application server SA use a key for the encryption of the attributes and another key for the encryption of the values.
Dans une autre variante, le dispositif de communication DC et le serveur d'application SA utilisent chacun une clé différente, par exemple des clés asymétriques, pour chiffrer et déchiffrer des attributs ou des valeurs. Selon un autre exemple d'implémentation, une station de base de type In another variant, the communication device DC and the application server SA each use a different key, for example asymmetric keys, for encrypting and decrypting attributes or values. According to another example of implementation, a base station of type
Femto est déployée par un opérateur de réseau sans fil de communication, et une passerelle pour réseau de paquets est déployée par un opérateur de réseau filaire de communication à haut débit. Le service de radiocommunication via la station de base est fourni par l'opérateur de réseau sans fil tandis que le service de communication par paquet est fourni par l'opérateur de communication à haut débit. Dans cet exemple, le dispositif de communication DC est une passerelle pour réseau de paquets implémentant une application pour le fonctionnement de la station de base de type Femto, l'opérateur de réseau sans fil détient un serveur d'application SA et l'opérateur de réseau filaire détient un serveur de gestion SG. Femto is deployed by a wireless communication network operator, and a packet network gateway is deployed by a high speed wired network operator. The radio service via the base station is provided by the wireless network operator while the packet communication service is provided by the broadband communication operator. In this example, the communication device DC is a packet network gateway implementing an application for the operation of the Femto base station, the wireless network operator holds an application server SA and the operator of wired network holds a management server SG.
L'opérateur de réseau filaire peut offrir à l'opérateur de réseau sans fil, par l'intermédiaire du serveur de gestion SG, des moyens de gérer une partie spécifique des données de l'application de manière opaque, c'est-à-dire sans que l'opérateur de réseau filaire puisse lire ces données. L'invention décrite ici concerne notamment un procédé, un dispositif de communication et un serveur pour la gestion de dispositif de communication à travers un réseau de télécommunications. Selon une implémentation de l'invention, les étapes du procédé de l'invention sont déterminées en partie par les instructions de programmes d'ordinateurs, incorporés pour partie dans un serveur, tel que le serveur d'application SA, et pour partie dans un dispositif, tel que le dispositif de communication DC. Chaque programme comporte des instructions de programme, qui lorsque ledit programme est chargé et exécuté dans le serveur ou dans le dispositif, réalisent les étapes du procédé de l'invention. The wireline operator can provide the wireless network operator, through the management server SG, with means for managing a specific portion of the application data in an opaque manner, i.e. say without the wired network operator reading this data. The invention described here relates in particular to a method, a communication device and a server for the management of a communication device through a telecommunications network. According to an implementation of the invention, the steps of the method of the invention are determined in part by the instructions of computer programs, incorporated in part in a server, such as the SA application server, and partly in a device, such as the DC communication device. Each program includes program instructions, which when said program is loaded and executed in the server or in the device, perform the steps of the method of the invention.
En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur sur ou dans un support d'informations, adapté à mettre en œuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention.  Accordingly, the invention also applies to a computer program, including a computer program on or in an information carrier, adapted to implement the invention. This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a partially compiled form, or in any other desirable form to implement the method according to the invention.

Claims

REVENDICATIONS
1 . Procédé de gestion d'au moins un dispositif de communication (DC) implémentant une application utilisant un service offert par un serveur d'application (SA) à travers un réseau de télécommunications (RT), le dispositif de communication (DC) comprenant des données d'application (DonA) propres à l'application et des données de communication (DonC) relatives à des paramètres de communication pour le fonctionnement du service à travers le réseau de télécommunications, les données de communication (DonC) étant gérées par un serveur de gestion (SG), le procédé comprenant : 1. Method for managing at least one communication device (DC) implementing an application using a service offered by an application server (SA) through a telecommunications network (RT), the communication device (DC) comprising data applications (DonA) and communication data (DonC) relating to communication parameters for operation of the service over the telecommunications network, the communication data (DonC) being managed by a server of management (SG), the method comprising:
une négociation (E01 ; F01 ) d'une clé de chiffrement (Kc) entre le serveur d'application et le dispositif de communication (DC) qui mémorisent chacun la clé de chiffrement négociée, et  a negotiation (E01; F01) of an encryption key (Kc) between the application server and the communication device (DC) which each stores the negotiated encryption key, and
un échange de messages (Reql, ReqG, Repl, RepG) entre le serveur d'application (SA) et le dispositif de communication (DC) par l'intermédiaire du serveur de gestion (SG), au moins l'un des messages comprenant des données d'application (DonA) qui sont chiffrées avec la clé de chiffrement (Kc) par au moins l'un du dispositif de communication (DC) et du serveur d'application (SA).  an exchange of messages (Reql, ReqG, Repl, RepG) between the application server (SA) and the communication device (DC) via the management server (SG), at least one of the messages comprising application data (DonA) which is encrypted with the encryption key (Kc) by at least one of the communication device (DC) and the application server (SA).
2. Procédé conforme à la revendication 1 , comprenant les étapes suivantes : transmettre (E1 ; F1 ) une première requête (Reql) depuis le serveur d'application (SA) au serveur de gestion (SG), The method according to claim 1, comprising the steps of: transmitting (E1; F1) a first request (Req1) from the application server (SA) to the management server (SG),
transmettre (E2; F2) une deuxième requête (ReqG) depuis le serveur de gestion (SG) au dispositif de communication (DC) en fonction du contenu de la première requête (Reql),  transmitting (E2; F2) a second request (ReqG) from the management server (SG) to the communication device (DC) according to the content of the first request (Reql),
transmettre (E4; F4) une première réponse (RepG) depuis le dispositif de communication (SA) au serveur de gestion (SG), et  transmitting (E4; F4) a first response (RepG) from the communication device (SA) to the management server (SG), and
transmettre (E5; F5) une deuxième réponse (Repl) depuis le serveur de gestion (SG) au serveur d'application (SA) en fonction du contenu de la première réponse (RepG),  transmit (E5; F5) a second response (Repl) from the management server (SG) to the application server (SA) according to the content of the first response (RepG),
au moins l'une des première et deuxième requêtes et des première et deuxième réponses comprenant des données d'application (DonA) qui sont chiffrées avec la clé de chiffrement (Kc) par au moins l'un du dispositif de communication (DC) et du serveur d'application (SA). at least one of the first and second requests and first and second responses comprising application data (DonA) that is encrypted with the encryption key (Kc) by at least one of the communication device (DC) and the application server (SA).
3. Procédé conforme à la revendication 1 ou 2, selon lequel les données d'application (DonA) comprennent des attributs (Att) respectivement associés à des valeurs (Val), et comprenant les étapes suivantes : The method according to claim 1 or 2, wherein the application data (DonA) comprises attributes (Att) respectively associated with values (Val), and comprising the following steps:
transmettre (E1) une première requête (Reql) depuis le serveur d'application (SA) au serveur de gestion (SG), la première requête (Reql) comprenant au moins un attribut (Att),  transmitting (E1) a first request (Reql) from the application server (SA) to the management server (SG), the first request (Reql) comprising at least one attribute (Att),
transmettre (E2) une deuxième requête (ReqG) depuis le serveur de gestion (SG) au dispositif de communication (DC), la deuxième requête (ReqG) comprenant au moins ledit attribut (Att),  transmitting (E2) a second request (ReqG) from the management server (SG) to the communication device (DC), the second request (ReqG) comprising at least said attribute (Att),
dans le dispositif de communication (DC), récupérer (E3) une valeur (Val) associée à l'attribut (Att) compris dans la deuxième requête (ReqG) reçue et chiffrer la valeur (Val) avec la clé de chiffrement (Kc),  in the communication device (DC), retrieving (E3) a value (Val) associated with the attribute (Att) included in the second request (ReqG) received and encrypting the value (Val) with the encryption key (Kc) ,
transmettre (E4) une première réponse (RepG) depuis le dispositif de communication (SA) au serveur de gestion (SG), la première réponse (RepG) comprenant la valeur (Val) chiffrée,  transmitting (E4) a first response (RepG) from the communication device (SA) to the management server (SG), the first response (RepG) comprising the encrypted value (Val),
transmettre (E5) une deuxième réponse (Repl) depuis le serveur de gestion (SG) au serveur d'application (SA), la deuxième réponse (Repl) comprenant la valeur (Val) chiffrée, et  transmitting (E5) a second response (Repl) from the management server (SG) to the application server (SA), the second response (Repl) comprising the encrypted value (Val), and
dans le serveur d'application (SA), déchiffrer (E6) la valeur (Val) chiffrée avec la clé de chiffrement (Kc).  in the application server (SA), decrypting (E6) the value (Val) encrypted with the encryption key (Kc).
4. Procédé conforme à la revendication 3, selon lequel le serveur d'application (SA) chiffre (E1 ) ledit attribut (Att) avec la clé de chiffrement (Kc) et la première requête (Reql) transmise depuis le serveur d'application (SA) au serveur de gestion (SG) et la deuxième requête (ReqG) transmise depuis le serveur de gestion (SG) au dispositif de communication (DC) comprennent chacune au moins l'attribut (Att) chiffré, et selon lequel le dispositif de communication (DC) déchiffre (E3) l'attribut (Att) chiffré compris dans la deuxième requête (ReqG) reçue avec la clé de chiffrement (Kc), avant de récupérer (E3) une valeur (Val) associée à l'attribut (Att) déchiffré et de chiffrer la valeur (Val) avec la clé de chiffrement (Kc). The method according to claim 3, wherein the application server (SA) encrypts (E1) said attribute (Att) with the encryption key (Kc) and the first request (Reql) transmitted from the application server. (SA) to the management server (SG) and the second request (ReqG) transmitted from the management server (SG) to the communication device (DC) each comprise at least the encrypted attribute (Att), and according to which the device of communication (DC) decrypts (E3) the encrypted attribute (Att) included in the second request (ReqG) received with the encryption key (Kc), before recovering (E3) a value (Val) associated with the attribute (Att) decrypted and encrypt the value (Val) with the encryption key (Kc).
5. Procédé conforme à la revendication 1 ou 2, selon lequel les données d'application (DonA) comprennent des attributs (Att) respectivement associés à des valeurs (Val), et comprenant les étapes suivantes : The method according to claim 1 or 2, wherein the application data (DonA) comprises attributes (Att) respectively associated with values (Val), and comprising the following steps:
dans le serveur d'application (SA), chiffrer (F1 ) au moins une valeur (Val) avec la clé de chiffrement (Kc),  in the application server (SA), encrypting (F1) at least one value (Val) with the encryption key (Kc),
transmettre (F1 ) une première requête (Reql) depuis le serveur d'application (SA) au serveur de gestion (SG), la première requête (Reql) comprenant au moins la valeur (Val) chiffrée,  transmitting (F1) a first request (Reql) from the application server (SA) to the management server (SG), the first request (Reql) comprising at least the encrypted value (Val),
transmettre (F2) une deuxième requête (ReqG) depuis le serveur de gestion (SG) au dispositif de communication (DC), la deuxième requête (ReqG) comprenant au moins la valeur (Val) chiffrée,  transmitting (F2) a second request (ReqG) from the management server (SG) to the communication device (DC), the second request (ReqG) comprising at least the encrypted value (Val),
dans le dispositif de communication (DC), déchiffrer (F3) la valeur (Val) chiffrée comprise dans la deuxième requête (ReqG) reçue avec la clé de chiffrement (Kc), et mémoriser (F3) la valeur (Val) déchiffrée associée à un attribut (Att),  in the communication device (DC), decrypting (F3) the encrypted value (Val) included in the second request (ReqG) received with the encryption key (Kc), and storing (F3) the decrypted value (Val) associated with an attribute (Att),
transmettre (F4) une première réponse (RepG) depuis le dispositif de communication (SA) au serveur de gestion (SG), la première réponse (RepG) comprenant une indication que la valeur (Val) a bien été mémorisée, et  transmitting (F4) a first response (RepG) from the communication device (SA) to the management server (SG), the first response (RepG) including an indication that the value (Val) has indeed been stored, and
transmettre (F5) une deuxième réponse (Repl) depuis le serveur de gestion (SG) au serveur d'application (SA), la deuxième réponse (Repl) comprenant une indication que la valeur (Val) a bien été mémorisée.  transmitting (F5) a second response (Repl) from the management server (SG) to the application server (SA), the second response (Repl) including an indication that the value (Val) has been stored.
6. Procédé conforme à la revendication 5, selon lequel le serveur d'application (SA) chiffre (F1 ) en outre un attribut (Att) associé à la valeur (Val) chiffrée avec la clé de chiffrement (Kc) et la première requête (Reql) transmise depuis le serveur d'application (SA) au serveur de gestion (SG) et la deuxième requête (ReqG) transmise depuis le serveur de gestion (SG) au dispositif de communication (DC) comprennent chacune au moins l'attribut (Att) chiffré et la valeur (Val) chiffrée, et selon lequel le dispositif de communication (DC) déchiffre (F3) en outre l'attribut (Att) chiffré compris dans la deuxième requête (ReqG) reçue avec la clé de chiffrement (Kc), avant de mémoriser (F3) la valeur (Val) déchiffrée associée à l'attribut (Att) déchiffré, 6. Method according to claim 5, wherein the application server (SA) digit (F1) furthermore an attribute (Att) associated with the value (Val) encrypted with the encryption key (Kc) and the first request. (Reql) transmitted from the application server (SA) to the management server (SG) and the second request (ReqG) transmitted from the management server (SG) to the communication device (DC) each comprise at least the attribute (Att) encrypted and encrypted value (Val), and according to which the communication device (DC) decrypts (F3) furthermore the encrypted attribute (Att) included in the second request (ReqG) received with the encryption key ( Kc), before storing (F3) the decrypted value (Val) associated with the decrypted attribute (Att),
7. Serveur d'application (SA) pour la gestion d'au moins un dispositif de communication (DC) implémentant une application utilisant un service offert par le serveur d'application (SA) à travers un réseau de télécommunications (RT), le dispositif de communication (DC) comprenant des données d'application (DonA) propres à l'application et des données de communication (DonC) relatives à des paramètres de communication pour le fonctionnement du service à travers le réseau de télécommunications, les données de communication (DonC) étant gérées par un serveur de gestion (SG), le serveur d'application comprenant : 7. Application server (SA) for managing at least one communication device (DC) implementing an application using a service offered by the application server (SA) through a telecommunications network (RT), the communication device (DC) comprising application-specific application data (DonA) and communication data (DonC) relating to communication parameters for operation of the service through the telecommunications network, the communication data (DonC) being managed by a management server (SG), the application server comprising:
des moyens (CHIs) pour négocier une clé de chiffrement (Kc) avec le dispositif de communication (DC) et des moyens (CHIs) pour mémoriser la clé de chiffrement négociée,  means (CHIs) for negotiating an encryption key (Kc) with the communication device (DC) and means (CHIs) for storing the negotiated encryption key,
des moyens (CHIs) pour chiffrer et déchiffrer des données d'application (DonA) avec la clé de chiffrement (Kc), et  means (CHIs) for encrypting and decrypting application data (DonA) with the encryption key (Kc), and
des moyens (ECHs) pour échanger des messages (Reql, ReqG, Repl, RepG) avec le dispositif de communication (DC) par l'intermédiaire du serveur de gestion (SG), au moins l'un des messages comprenant des données d'application (DonA) qui sont chiffrées avec la clé de chiffrement (Kc) par au moins l'un du dispositif de communication (DC) et du serveur d'application (SA).  means (ECHs) for exchanging messages (Req1, ReqG, Repl, RepG) with the communication device (DC) via the management server (SG), at least one of the messages comprising data of application (DonA) which are encrypted with the encryption key (Kc) by at least one of the communication device (DC) and the application server (SA).
8. Dispositif de communication (DC) implémentant une application utilisant un service offert par le serveur d'application (SA) à travers un réseau de télécommunications (RT), le dispositif de communication (DC) comprenant des données d'application (DonA) propres à l'application et des données de communication (DonC) relatives à des paramètres de communication pour le fonctionnement du service à travers le réseau de télécommunications, les données de communication (DonC) étant gérées par un serveur de gestion (SG), le dispositif de communication (DC) comprenant : 8. Communication device (DC) implementing an application using a service offered by the application server (SA) through a telecommunications network (RT), the communication device (DC) comprising application data (DonA) application-specific data and communication data (DonC) relating to communication parameters for operation of the service over the telecommunications network, the communication data (DonC) being managed by a management server (SG), the communication device (DC) comprising:
des moyens (ECHc) pour négocier une clé de chiffrement (Kc) avec le serveur d'application (SA) et des moyens (MEM) pour mémoriser la clé de chiffrement négociée,  means (ECHc) for negotiating an encryption key (Kc) with the application server (SA) and means (MEM) for storing the negotiated encryption key,
des moyens (CHIc) pour chiffrer et déchiffrer des données d'application (DonA) avec la clé de chiffrement (Kc), et  means (CHIc) for encrypting and decrypting application data (DonA) with the encryption key (Kc), and
des moyens (ECHc) pour échanger des messages (Reql, ReqG, Repl, RepG) avec le serveur d'application (SA) par l'intermédiaire du serveur de gestion (SG), au moins l'un des messages comprenant des données d'application (DonA) qui sont chiffrées avec la clé de chiffrement (Kc) par au moins l'un du dispositif de communication (DC) et du serveur d'application (SA). means (ECHc) for exchanging messages (Reql, ReqG, Repl, RepG) with the application server (SA) via the management server (SG), at least one of the messages comprising application data (DonA) which is encrypted with the encryption key (Kc) by at least one of the communication device (DC) and the application server (HER).
9. Programme d'ordinateur apte à être mis en œuvre dans un serveur d'application (SA) pour la gestion d'au moins un dispositif de communication (DC) implémentant une application utilisant un service offert par le serveur d'application (SA) à travers un réseau de télécommunications (RT), le dispositif de communication (DC) comprenant des données d'application (DonA) propres à l'application et des données de communication (DonC) relatives à des paramètres de communication pour le fonctionnement du service à travers le réseau de télécommunications, les données de communication (DonC) étant gérées par un serveur de gestion (SG), ledit programme comprenant des instructions qui, lorsque le programme est chargé et exécuté dans ledit serveur d'application (SA), réalisent les étapes suivantes : 9. Computer program adapted to be implemented in an application server (SA) for managing at least one communication device (DC) implementing an application using a service offered by the application server (SA) ) through a telecommunications network (RT), the communication device (DC) comprising application-specific application data (DonA) and communication data (DonC) relating to communication parameters for the operation of the service through the telecommunications network, the communication data (DonC) being managed by a management server (SG), said program comprising instructions which, when the program is loaded and executed in said application server (SA), perform the following steps:
négocier une clé de chiffrement (Kc) avec le dispositif de communication (DC) et mémoriser la clé de chiffrement négociée,  negotiating an encryption key (Kc) with the communication device (DC) and storing the negotiated encryption key,
échanger des messages (Reql, ReqG, RepG, Repl) avec le dispositif de communication (DC) par l'intermédiaire du serveur de gestion (SG), au moins l'un des messages comprenant des données d'application (DonA) qui sont chiffrées avec la clé de chiffrement (Kc) par au moins l'un du dispositif de communication (DC) et du serveur d'application (SA).  exchange messages (Reql, ReqG, RepG, Repl) with the communication device (DC) via the management server (SG), at least one of the messages comprising application data (DonA) which are encrypted with the encryption key (Kc) by at least one of the communication device (DC) and the application server (SA).
10. Programme d'ordinateur apte à être mis en œuvre dans un dispositif de communication (DC) implémentant une application utilisant un service offert par le serveur d'application (SA) à travers un réseau de télécommunications (RT), le dispositif de communication (DC) comprenant des données d'application (DonA) propres à l'application et des données de communication (DonC) relatives à des paramètres de communication pour le fonctionnement du service à travers le réseau de télécommunications, les données de communication (DonC) étant gérées par un serveur de gestion (SG), ledit programme comprenant des instructions qui, lorsque le programme est chargé et exécuté dans ledit dispositif de communication (DC), réalisent les étapes suivantes : négocier une clé de chiffrement (Kc) avec le serveur d'application (SA) et mémoriser la clé de chiffrement négociée, 10. Computer program adapted to be implemented in a communication device (DC) implementing an application using a service offered by the application server (SA) through a telecommunications network (RT), the communication device (DC) comprising application-specific application data (DonA) and communication data (DonC) relating to communication parameters for operation of the service through the telecommunications network, the communication data (DonC) being managed by a management server (SG), said program comprising instructions which, when the program is loaded and executed in said communication device (DC), perform the following steps: negotiate an encryption key (Kc) with the application server (SA) and store the negotiated encryption key,
échanger des messages (Reql, ReqG, Repl, RepG) avec le serveur d'application (SA) par l'intermédiaire du serveur de gestion (SG), au moins l'un des messages comprenant des données d'application (DonA) qui sont chiffrées avec la clé de chiffrement (Kc) par au moins l'un du dispositif de communication (DC) et du serveur d'application (SA).  exchange messages (Reql, ReqG, Repl, RepG) with the application server (SA) via the management server (SG), at least one of the messages comprising application data (DonA) which are encrypted with the encryption key (Kc) by at least one of the communication device (DC) and the application server (SA).
EP10765429A 2009-10-14 2010-10-12 Management of a communication device via a telecommunications network Withdrawn EP2489155A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0957203A FR2951343A1 (en) 2009-10-14 2009-10-14 COMMUNICATION DEVICE MANAGEMENT THROUGH A TELECOMMUNICATIONS NETWORK
PCT/EP2010/065245 WO2011045297A1 (en) 2009-10-14 2010-10-12 Management of a communication device via a telecommunications network

Publications (1)

Publication Number Publication Date
EP2489155A1 true EP2489155A1 (en) 2012-08-22

Family

ID=42144996

Family Applications (1)

Application Number Title Priority Date Filing Date
EP10765429A Withdrawn EP2489155A1 (en) 2009-10-14 2010-10-12 Management of a communication device via a telecommunications network

Country Status (7)

Country Link
US (1) US20130024497A1 (en)
EP (1) EP2489155A1 (en)
JP (1) JP2013507707A (en)
KR (1) KR101380535B1 (en)
CN (1) CN102577243A (en)
FR (1) FR2951343A1 (en)
WO (1) WO2011045297A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833261A (en) * 2012-09-05 2012-12-19 国家电网公司 Improved network topology structure of directory service system
ES2545974B1 (en) * 2014-03-17 2016-04-27 Bankinter, S.A. Automatic and customized protection system for mobile applications
CN113672478A (en) * 2020-05-14 2021-11-19 中兴通讯股份有限公司 Log obtaining method, device, terminal, server and storage medium

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060230266A1 (en) * 2005-03-30 2006-10-12 Oracle International Corporation Secure communications across multiple protocols

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4100589B2 (en) * 1998-05-26 2008-06-11 共同印刷株式会社 Color filter for liquid crystal display and manufacturing method thereof
JPH11338825A (en) * 1998-05-29 1999-12-10 Hitachi Ltd Access control method considering configuration of organization
JP4287990B2 (en) * 2000-07-07 2009-07-01 インターナショナル・ビジネス・マシーンズ・コーポレーション Network system, terminal management system, terminal management method, data processing method, recording medium, and Internet service providing method
US7181017B1 (en) * 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
JP2003050641A (en) * 2001-08-07 2003-02-21 Nec Corp Program management system, its program management method, and information management program
US7110982B2 (en) * 2001-08-27 2006-09-19 Dphi Acquisitions, Inc. Secure access method and system
US7310821B2 (en) * 2001-08-27 2007-12-18 Dphi Acquisitions, Inc. Host certification method and system
US20030063750A1 (en) * 2001-09-26 2003-04-03 Alexander Medvinsky Unique on-line provisioning of user terminals allowing user authentication
WO2004107651A1 (en) * 2003-05-29 2004-12-09 Telecom Italia S.P.A. Method, system and computer program for the secured management of network devices
CN100426718C (en) * 2004-12-31 2008-10-15 北京中星微电子有限公司 A secure transmission method for media content
CN100431297C (en) * 2005-02-28 2008-11-05 胡祥义 Method for preventing user passwords from being stolen by adopting two-factor authentication protocol
JP4358795B2 (en) * 2005-07-22 2009-11-04 日立ソフトウエアエンジニアリング株式会社 TLS session information takeover method and computer system
JP2007053612A (en) * 2005-08-18 2007-03-01 Toshiba Corp Communication device and communication method
JP2007094548A (en) * 2005-09-27 2007-04-12 Softbank Telecom Corp Access control system
CN101009515A (en) * 2006-01-24 2007-08-01 华为技术有限公司 Management method of the communication terminal device and communication terminal
JP5150116B2 (en) * 2006-03-31 2013-02-20 パナソニック株式会社 IC card and read / write device
US7912916B2 (en) * 2006-06-02 2011-03-22 Google Inc. Resolving conflicts while synchronizing configuration information among multiple clients
WO2008045700A1 (en) * 2006-10-05 2008-04-17 Hewlett-Packard Development Company, L.P. Application management objects and wimax management objects for mobile device management
JP5046811B2 (en) * 2007-09-10 2012-10-10 株式会社日立製作所 Data communication system
US8924731B2 (en) * 2007-09-11 2014-12-30 Lg Electronics Inc. Secure signing method, secure authentication method and IPTV system
US8654974B2 (en) * 2007-10-18 2014-02-18 Location Based Technologies, Inc. Apparatus and method to provide secure communication over an insecure communication channel for location information using tracking devices
CN101431410B (en) * 2007-11-09 2011-11-30 康佳集团股份有限公司 Authentication method for network game client and server cluster
US9112886B2 (en) * 2007-12-27 2015-08-18 Verizon Patent And Licensing Inc. Method and system for providing centralized data field encryption, and distributed storage and retrieval
JP5076955B2 (en) * 2008-02-20 2012-11-21 日本電気株式会社 COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD
EP2194688A1 (en) * 2008-12-02 2010-06-09 Alcatel, Lucent A module and associated method for TR-069 object management

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060230266A1 (en) * 2005-03-30 2006-10-12 Oracle International Corporation Secure communications across multiple protocols

Also Published As

Publication number Publication date
FR2951343A1 (en) 2011-04-15
KR20120066668A (en) 2012-06-22
WO2011045297A1 (en) 2011-04-21
US20130024497A1 (en) 2013-01-24
KR101380535B1 (en) 2014-04-01
JP2013507707A (en) 2013-03-04
CN102577243A (en) 2012-07-11

Similar Documents

Publication Publication Date Title
US10313464B2 (en) Targeted notification of content availability to a mobile device
US7263102B2 (en) Multi-path gateway communications device
EP3219157B1 (en) Euicc card storing short numbers per subscriber profile to notify a subscription management server
EP1463351A1 (en) Method for unblocking a portable wireless telecommunications terminal
EP3025481A2 (en) Method for processing geolocation data
EP1751907A1 (en) Transferring data between two smart cards
EP2380326A1 (en) Adaptation system for a legal interception in different communication networks
EP1248488A1 (en) Method for tracking the state of a communications terminal
EP2489155A1 (en) Management of a communication device via a telecommunications network
EP2055125A1 (en) Method of synchronization between a mobile equipment unit and a smart card
EP2446578A1 (en) System for accessing medical data
EP2348763B1 (en) Method for authenticating a mobile terminal to access an application server
WO2010139780A1 (en) Method for calculating a first identifier of a secure element of a mobile terminal according to a second identifier of said secure element
WO2003071760A1 (en) Device and method for intermediation between service providers and their users
EP2299667B1 (en) Parental control of a mobile terminal
EP2337388A2 (en) Method for secure access by at least one visitor terminal to a host network
EP2260640B1 (en) Packet communication setup between a server and a service entity in a radiocommunication network
FR2949926A1 (en) ESTABLISHMENT OF SECURE COMMUNICATION
EP3005795B1 (en) Method for locating a device in a network
FR3116921A1 (en) Peripheral connected to a terminal, terminal and server configured to manage proof of ownership, by the terminal, of data generated by the peripheral
WO2008110731A2 (en) Method and system for activating the home screen of a mobile phone
FR2847102A1 (en) Request processing unit e.g. service server reply receiving procedure, involves applying public identifier and server identifier of server to encryption algorithm for producing anonymous identifier
EP2642719A1 (en) Method and server for controlling the use of a set of devices
FR3079046A1 (en) SECURE TELEMAINTENANCE TELEMAINTENANCE DEVICES AND METHOD FOR INDUSTRIAL EQUIPMENT
WO2008132097A1 (en) Method for securing a data stream

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20120514

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20130708

111Z Information provided on other rights and legal means of execution

Free format text: AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

Effective date: 20130410

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ALCATEL LUCENT

D11X Information provided on other rights and legal means of execution (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20150623