FR2962868A1

FR2962868A1 - METHOD AND DEVICE FOR SECURING AN INTERLAYER BIDIRECTIONAL COMMUNICATION CHANNEL.

Info

Publication number: FR2962868A1
Application number: FR1002958A
Authority: FR
Inventors: Ben Youcef Ech-Chergui
Original assignee: Thales SA
Current assignee: Thales SA
Priority date: 2010-07-13
Filing date: 2010-07-13
Publication date: 2012-01-20
Anticipated expiration: 2030-07-13
Also published as: FR2962868B1; EP2594048A1; WO2012007693A1

Abstract

L'invention concerne un procédé de sécurisation d'un canal de communication bidirectionnel entre au moins un réseau (N1) de départ et un réseau (N3) de destination à travers un réseau (N2) de transit d'un niveau de sécurité plus faible que les réseaux de départ et de destination. Le procédé comprend les étapes suivantes lors d'une transmission d'un type de premières données du réseau (N1) de départ vers le réseau (N2) de transit et vers le réseau (N3) de destination au travers du réseau (N2) de transit : - mise en œuvre d'un filtrage (48) desdites données, comprenant une application (50, 52) d'un filtre d'analyse sur lesdites données pour parer la création d'un canal de communication caché, - transmission (76) desdites données filtrées vers le réseau (N2) de transit, - duplication (46) desdites données, - protection cryptographique (42) desdites données dupliquées, - transmission (44) desdites données protégées vers le réseau (N3) de destination. Lesdites données filtrées ne sont pas transmises par le réseau (N2) de transit sur le réseau (N3) de destination.The invention relates to a method for securing a two-way communication channel between at least one originating network (N1) and a destination network (N3) through a transit network (N2) with a lower level of security. as the originating and terminating networks. The method comprises the following steps during a transmission of a type of first data from the source network (N1) to the transit network (N2) and to the destination network (N3) through the network (N2) of transit: - implementation of a filtering (48) of said data, comprising an application (50, 52) of an analysis filter on said data to prevent the creation of a hidden communication channel, - transmission (76 ) said filtered data to the transit network (N2), - duplication (46) of said data, - cryptographic protection (42) of said duplicated data, - transmission (44) of said protected data to the destination network (N3). Said filtered data is not transmitted by the transit network (N2) to the destination network (N3).

Description

Procédé et dispositif de sécurisation d'un canal de communication bidirectionnel inter-niveaux Method and device for securing an inter-level bidirectional communication channel

La présente invention concerne un procédé de sécurisation d'un canal de communication bidirectionnel entre au moins un réseau de départ et un réseau de destination à travers un réseau de transit d'un niveau de sécurité plus faible que les réseaux de départ et de destination, comprenant les étapes suivantes : - lors d'une transmission d'au moins un type de premières données du réseau de départ vers le réseau de transit et vers le réseau de destination au travers du réseau de transit : - mise en oeuvre d'une première étape de filtrage desdites premières données, comprenant une application d'au moins un filtre d'analyse sur lesdites premières données pour parer la création d'un canal de communication caché, - transmission desdites premières données filtrées vers le réseau de transit. Elle s'applique en particulier à la transmission de données de signalisation et de 15 contrôle lors de l'établissement et du maintien d'une communication entre deux réseaux sécurisés, à travers un réseau de sécurité plus faible. L'interconnexion de réseaux sécurisés, par exemple des réseaux informatiques de filiales d'une entreprise, est généralement réalisée au travers d'autres réseaux de communications non dédiés et pouvant avoir des niveaux de sécurité moins élevés, par 20 exemple un réseau public d'un opérateur télécom. Les normes de sécurité concernant les communications entre des réseaux de niveaux de sécurité différents imposent souvent des contraintes contradictoires avec les exigences d'interopérabilité entre ces réseaux, mais aussi avec les performances souhaitées en termes de transport de données. 25 Par exemple, pour sécuriser un canal de communication entre deux réseaux sécurisés, à travers un réseau de transit de niveau de sécurité plus faible, il est connu de placer à la périphérie des deux réseaux sécurisés un équipement de sécurité, par exemple un chiffreur IP, de manière à chiffrer, respectivement déchiffrer, les données émises, respectivement reçues par ces réseaux. Ainsi, toutes les données émises par ces 30 réseaux sont transmises à travers le réseau de transit sous forme chiffrée, et aucune donnée issue de ces réseaux sécurisés ne transite en clair, c'est-à-dire sous une forme non chiffrée, sur le réseau de transit. Cependant, ce cloisonnement des réseaux sécurisés a pour conséquence une rupture d'interopérabilité entre les réseaux sécurisés et le réseau de transit, provoquant 35 une limitation des services offerts aux réseaux sécurisés. Notamment, le chiffrement systématique des données émises par les réseaux sécurisés rend impossible une interaction avec le réseau de transit. Or, le transport de données entre deux réseaux sécurisés à travers un réseau de transit nécessite généralement un échange de données de signalisation et de contrôle entre le réseau de transit et les réseaux sécurisés. Ces données de signalisation et de contrôle, qui sont notamment utilisées par les protocoles IP et Ethernet, sont par exemple des acquittements de réception ou des flux de signalisation RSVP (Resource ReSerVation Protocol) permettant de gérer la qualité de service de sessions de transmissions de données. Le chiffrement systématique des données émises par les réseaux sécurisés empêche l'échange de données de signalisation et de contrôle entre les réseaux sécurisés et le réseau de transit, de telle sorte qu'un service demandé pour une session entre les réseaux sécurisés ne peut être satisfait que sur ces réseaux sécurisés, et non sur l'ensemble du parcours des données échangées. Une solution alternative consiste à autoriser certains types de données choisis à transiter en clair et sans contrôle à travers le réseau de transit, c'est-à-dire à créer un canal de communication supplémentaire pour certains types de données, mais cette solution comporte des risques, car un attaquant peut exploiter ce canal pour faire fuir des informations d'un réseau sécurisé. Pour pallier cet inconvénient, on connaît de la demande de brevet FR 2 924 552- Al un procédé de sécurisation d'un canal bidirectionnel de communication, permettant de sécuriser ce canal de communication supplémentaire. Selon ce procédé, lors d'une transmission de données émises par un réseau sécurisé de départ vers un réseau sécurisé de destination à travers un réseau de transit de sécurité plus faible, les données à émettre sont analysées par un module d'aiguillage qui détermine si ces données sont d'un type autorisé à transiter en clair sur le réseau de transit. Si c'est le cas, par exemple si ces données sont des données de signalisation ou de contrôle, ces données sont filtrées, de manière à parer la création d'un canal caché entre les réseaux sécurisés, et transmises en clair sur le réseau de transit puis sur le réseau de destination. Dans le cas contraire, les données sont chiffrées, puis transmises au réseau de destination via le réseau de transit. Ce procédé, s'il permet d'améliorer l'interopérabilité entre des réseaux de niveaux de sécurité différents et de prévenir la création d'un canal caché entre le réseau de départ et le réseau de transit, n'offre cependant pas une sécurité satisfaisante. Notamment, ce procédé ne permet pas de garantir la confidentialité des données des réseaux sécurisés, car les données envoyées après filtrage vers le réseau peuvent contenir des informations sensibles. Par exemple, lorsqu'une requête RSVP est émise par un terminal émetteur du réseau de départ vers un terminal récepteur du réseau de destination et vers le réseau de transit, pour initier une communication entre ces terminaux émetteur et récepteur, cette requête contient notamment les adresses IP des terminaux émetteurs et récepteurs, qui peuvent être confidentielles. Or, ces informations sont transmises en clair sur le réseau de transit. Ainsi, le réseau de transit peut accéder à des informations sensibles ou confidentielles incompatibles avec son niveau de sécurité. De plus, le procédé décrit dans la demande de brevet FR 2 924 552-Al autorise la transmission de données du réseau de transit au réseau de destination à l'initiative du réseau de transit. En effet, les données filtrées émises par le réseau de départ sont transmises au réseau de transit, qui transmet ensuite ces données au réseau de destination. Dès lors, un terminal placé sur le réseau de transit peut émettre de sa propre initiative des données vers le réseau de destination, par exemple en simulant un envoi par le réseau de départ, et éventuellement perturber ou rendre indisponible le réseau de destination ou les équipements informatiques de ce réseau. En effet, le réseau de destination ne peut pas déterminer si ces données sont conformes aux données initialement émises par le réseau de départ, ni si ces données ont réellement été émises par ces réseaux. L'invention a donc pour but de sécuriser la transmission de données entre deux réseaux, à travers un réseau de niveau de sécurité plus faible, tout en permettant une interopérabilité entre ces réseaux. A cette fin, l'invention a pour objet un procédé de sécurisation du type précité, caractérisé en ce qu'il comprend en outre, lors de la transmission desdites premières données du réseau de départ vers le réseau de transit et vers le réseau de destination, les étapes suivantes : - duplication desdites premières données, - protection cryptographique desdites premières données dupliquées, - transmission desdites premières données protégées vers le réseau de destination, et en ce que lesdites premières données filtrées ne sont pas transmises par le réseau de transit sur le réseau de destination. Le procédé de sécurisation selon l'invention comporte également les caractéristiques suivantes, prises séparément ou en combinaison : - ladite première étape de filtrage comprend une étape de substitution d'informations sensibles comprises dans lesdites premières données, incompatibles avec le niveau de sécurité du réseau de transit, par des informations compatibles avec le niveau de sécurité du réseau de transit ; - ladite première étape de filtrage comprend une sauvegarde d'un premier contexte de connexion associé auxdites premières données ; - il comprend entre outre, lors d'une transmission de deuxièmes données émises par le réseau de transit vers le réseau de départ, une deuxième étape de filtrage desdites deuxièmes données, comprenant : - une comparaison d'un deuxième contexte de connexion associé auxdites deuxièmes données audit premier contexte de connexion, - si lesdits premier et deuxième contextes sont incohérents, un blocage desdites deuxièmes données, - si lesdits premier et deuxième contextes sont cohérents, une application d'au moins un filtre d'analyse sur lesdites deuxièmes données et une transmission desdites deuxièmes données filtrées vers le réseau N1 ; - ladite deuxième étape de filtrage comprend l'introduction dans lesdites deuxièmes données desdites informations sensibles substituées lors de ladite étape de substitution. L'invention a également pour objetun dispositif de sécurisation d'un canal de communication bidirectionnel entre au moins un réseau de départ et un réseau de destination à travers un réseau de transit d'un niveau de sécurité plus faible que les réseaux de départ et de destination, comprenant : - une premier module de filtrage, comprenant des moyens pour appliquer au moins un filtre d'analyse sur des données à transmettre du réseau de départ vers le réseau de transit, pour parer la création d'un canal de communication caché, - un module de protection cryptographique de données, apte à protéger des données à transmettre du réseau de départ vers le réseau de destination, ledit système étant caractérisé en ce qu'il comprend en outre au moins un module d'aiguillage, apte à aiguiller des premières données à transmettre du réseau de départ vers le réseau de transit et vers le réseau de destination, vers ledit premier module de filtrage, à dupliquer lesdites premières données, et à aiguiller lesdites premières données dupliquées vers ledit module de protection cryptographique. The present invention relates to a method of securing a bidirectional communication channel between at least one originating network and a destination network through a transit network of a lower security level than the departure and destination networks, comprising the following steps: - during transmission of at least one type of first data from the originating network to the transit network and to the destination network through the transit network: - implementation of a first filtering step of said first data, comprising an application of at least one analysis filter on said first data to counter the creation of a hidden communication channel, - transmission of said first filtered data to the transit network. It applies in particular to the transmission of signaling and control data during the establishment and maintenance of communication between two secure networks, through a weaker security network. The interconnection of secure networks, for example computer networks of subsidiaries of a company, is generally achieved through other non-dedicated communications networks and may have lower levels of security, for example a public network. a telecom operator. Security standards for communications between networks of different security levels often impose conflicting requirements with the requirements for interoperability between these networks, but also with the desired performance in terms of data transport. For example, in order to secure a communication channel between two secured networks, via a transit network with a lower security level, it is known to place on the periphery of the two secured networks a security device, for example an IP encryptor. , so as to encrypt, respectively decrypt, the data transmitted, respectively received by these networks. Thus, all the data transmitted by these networks are transmitted through the transit network in encrypted form, and no data coming from these secure networks transits unencrypted, that is to say in a non-encrypted form, over the network. transit network. However, this partitioning of the secure networks results in a break in interoperability between the secure networks and the transit network, causing a limitation of the services offered to the secured networks. In particular, the systematic encryption of the data transmitted by the secured networks makes it impossible to interact with the transit network. However, the transport of data between two secure networks through a transit network generally requires an exchange of signaling and control data between the transit network and the secure networks. These signaling and control data, which are notably used by the IP and Ethernet protocols, are for example reception acknowledgments or Resource ReSerVation Protocol (RSVP) signaling flows for managing the quality of service of data transmission sessions. . The systematic encryption of the data transmitted by the secure networks prevents the exchange of signaling and control data between the secured networks and the transit network, so that a requested service for a session between the secured networks can not be satisfied. only on these secure networks, and not on the entire path of the data exchanged. An alternative solution is to allow certain types of data to be transmitted in clear and uncontrolled through the transit network, ie to create an additional communication channel for certain types of data, but this solution includes risks because an attacker can exploit this channel to leak information from a secure network. To overcome this drawback, patent application FR 2 924 552-A1 discloses a method for securing a bidirectional communication channel, making it possible to secure this additional communication channel. According to this method, during a transmission of data transmitted by a secure initial network to a secure destination network through a lower security transit network, the data to be transmitted are analyzed by a switching module which determines whether these data are of a type authorized to transit in clear on the transit network. If this is the case, for example if these data are signaling or control data, this data is filtered, so as to prevent the creation of a hidden channel between the secure networks, and transmitted in clear on the network of data. transit then to the destination network. If not, the data is encrypted and then transmitted to the destination network via the transit network. This method, while improving the interoperability between networks of different security levels and preventing the creation of a hidden channel between the originating network and the transit network, does not, however, offer satisfactory security. . In particular, this method does not make it possible to guarantee the confidentiality of the data of the secured networks, because the data sent after filtering to the network may contain sensitive information. For example, when an RSVP request is sent by a transmitting terminal of the originating network to a receiving terminal of the destination network and to the transit network, to initiate a communication between these sending and receiving terminals, this request contains, in particular, the addresses IP transmitters and receivers, which can be confidential. However, this information is transmitted in clear on the transit network. Thus, the transit network can access sensitive or confidential information that is incompatible with its security level. In addition, the method described in the patent application FR 2 924 552-A1 authorizes the transmission of data from the transit network to the destination network at the initiative of the transit network. In fact, the filtered data transmitted by the originating network are transmitted to the transit network, which then transmits this data to the destination network. Therefore, a terminal placed on the transit network may, on its own initiative, transmit data to the destination network, for example by simulating a sending by the originating network, and possibly disturbing or making unavailable the destination network or the equipment computer network. Indeed, the destination network can not determine whether these data are consistent with the data originally issued by the originating network, or if these data were actually issued by these networks. The invention therefore aims to secure the transmission of data between two networks, through a network of lower security level, while allowing interoperability between these networks. To this end, the subject of the invention is a security method of the aforementioned type, characterized in that it furthermore comprises, during the transmission of said first data from the originating network to the transit network and to the destination network. the following steps: - duplication of said first data, - cryptographic protection of said first duplicate data, - transmission of said first protected data to the destination network, and in that said first filtered data are not transmitted by the transit network on the destination network. The security method according to the invention also comprises the following characteristics, taken separately or in combination: said first filtering step comprises a step of substitution of sensitive information included in said first data, which is incompatible with the security level of the data network; transit, by information compatible with the security level of the transit network; said first filtering step comprises a backup of a first connection context associated with said first data; it furthermore comprises, during a transmission of second data transmitted by the transit network to the originating network, a second step of filtering said second data, comprising: a comparison of a second connection context associated with said second data; data to said first connection context, - if said first and second contexts are inconsistent, a blocking of said second data, - if said first and second contexts are coherent, an application of at least one analysis filter to said second data and a transmitting said second filtered data to the network N1; said second filtering step comprises the introduction into said second data of said substituted sensitive information during said substitution step. The invention also relates to a device for securing a bi-directional communication channel between at least one originating network and a destination network through a transit network of a lower security level than the originating and terminating networks. destination, comprising: a first filtering module, comprising means for applying at least one analysis filter to data to be transmitted from the originating network to the transit network, to counter the creation of a hidden communication channel, a cryptographic data protection module capable of protecting data to be transmitted from the originating network to the destination network, said system being characterized in that it furthermore comprises at least one switching module, capable of guiding first data to be transmitted from the originating network to the transit network and to the destination network, to said first filtering module, to be duplicated by your first data, and to direct said first duplicate data to said cryptographic protection module.

Le dispositif de sécurisation selon l'invention comporte également les caractéristiques suivantes, prises séparément ou en combinaison : - ledit premier module de filtrage comprend des moyens pour substituer des informations sensibles comprises dans lesdites premières données, incompatibles avec le niveau de sécurité du réseau de transit, par des informations compatibles avec le niveau de sécurité du réseau de transit ; - ledit premier module de filtrage comprend des moyens pour sauvegarder un premier contexte de connexion associé auxdites premières données ; - il comprend entre outre un deuxième module de filtrage, comprenant : - des moyens pour comparer un deuxième contexte de connexion associé à des deuxièmes données émises par le réseau de transit vers le réseau de départ audit premier contexte de connexion, - des moyens pour bloquer lesdites deuxièmes données si lesdits premier et deuxième contextes sont incohérents, - des moyens pour appliquer au moins un filtre d'analyse sur lesdites deuxièmes données et pour transmettre lesdites deuxièmes données filtrées vers le réseau de départ si lesdits premier et deuxième contextes sont cohérents ; - ledit deuxième module de filtrage comprend des moyens pour introduire dans lesdites deuxièmes données lesdites informations sensibles substituées par ledit premier module de filtrage. The security device according to the invention also comprises the following characteristics, taken separately or in combination: said first filtering module comprises means for substituting sensitive information included in said first data, which is incompatible with the security level of the transit network; , by information compatible with the security level of the transit network; said first filtering module comprises means for saving a first connection context associated with said first data; it further comprises a second filtering module, comprising: means for comparing a second connection context associated with second data transmitted by the transit network to the originating network to said first connection context; means for blocking said second data if said first and second contexts are inconsistent, - means for applying at least one analysis filter to said second data and for transmitting said second filtered data to the originating network if said first and second contexts are coherent; said second filtering module comprises means for introducing into said second data said sensitive information substituted by said first filtering module.

L'invention sera davantage comprise au regard d'exemples de réalisation de l'invention qui vont maintenant être décrits en faisant référence aux figures annexées parmi lesquelles : - la figure 1 est un schéma illustrant l'architecture globale de réseaux adaptés à la mise en oeuvre du procédé selon l'invention ; - la figure 2 est un schéma d'un dispositif de sécurisation selon un mode de réalisation de l'invention ; - la figure 3 est un schéma synoptique illustrant des étapes du procédé selon un mode de réalisation de l'invention, mises en oeuvre par le dispositif de sécurisation de la figure 2; - la figure 4 est un schéma synoptique illustrant d'autres étapes du procédé selon un mode de réalisation de l'invention, mises en oeuvre par le dispositif de sécurisation de la figure 2 ; et - la figure 5 est un schéma synoptique illustrant la mise en oeuvre d'un procédé de sécurisation selon un mode de réalisation de l'invention, entre les réseaux illustrés sur la figure 1 On a représenté sur la figure 1 l'architecture globale de réseaux adaptés à la mise en oeuvre du procédé selon un mode de réalisation de l'invention. Deux réseaux de télécommunication sécurisés NI et N3, appelés par la suite respectivement réseaux de départ et de destination, sont aptes à communiquer à travers un réseau N2 de transit, de niveau de sécurité plus faible que les réseaux sécurisés NI et N3. The invention will be further understood with reference to embodiments of the invention which will now be described with reference to the appended figures in which: FIG. 1 is a diagram illustrating the overall architecture of networks adapted to the implementation of process of the invention; FIG. 2 is a diagram of a security device according to one embodiment of the invention; FIG. 3 is a block diagram illustrating steps of the method according to one embodiment of the invention, implemented by the securing device of FIG. 2; FIG. 4 is a block diagram illustrating other steps of the method according to one embodiment of the invention, implemented by the securing device of FIG. 2; and FIG. 5 is a block diagram illustrating the implementation of a security method according to one embodiment of the invention, between the networks illustrated in FIG. 1. FIG. networks adapted to the implementation of the method according to one embodiment of the invention. Two secure telecommunication networks N1 and N3, hereinafter referred to respectively as the departure and destination networks, are able to communicate through a transit N2 network, with a lower security level than the secure networks N1 and N3.

Les réseaux sécurisés N1 et N3 sont par exemple des réseaux internes d'entreprise, et le réseau de transit N2 un réseau public tel qu'Internet. Le réseau N1 de départ comprend au moins un terminal émetteur 3 et un dispositif 5 de sécurisation, relié par une liaison 7 filaire ou sans fil au terminal émetteur 3. The secure networks N1 and N3 are, for example, internal corporate networks, and the transit network N2 a public network such as the Internet. The originating network N1 comprises at least one transmitting terminal 3 and a securing device 5, connected by a wired or wireless connection 7 to the transmitting terminal 3.

Le terminal émetteur 3, par exemple un ordinateur, est apte à échanger des données avec le réseau N2 de transit et le réseau N3 de destination par l'intermédiaire du dispositif 5 de sécurisation, et notamment des données de signalisation et de contrôle. Le dispositif 5 de sécurisation est en coupure entre le réseau N1 de départ et le réseau N2 de transit, de telle sorte que toutes les données échangées entre le terminal émetteur 3 et le réseau N2 de transit passent obligatoirement par le dispositif 5 de sécurisation. Le dispositif 5 de sécurisation est apte à analyser les données émises par le terminal émetteur 3 à destination du réseau N2 de transit ou du réseau N3 de destination, pour déterminer si elles sont d'un type autorisé à transiter en clair sur le réseau N2 de transit. Dans le suite de la description, on appellera données confidentielles les données qui ne sont pas d'un type autorisé à transiter en clair sur le réseau N2 de transit, et données non confidentielles les données d'un type autorisé à transiter en clair sur le réseau N2 de transit. Les données non confidentielles sont par exemple des données de signalisation ou de contrôle, par exemple des données associées à des requêtes SIP (Session Initialization Protocol), des requêtes de réservation de ressources RSVP, ou des requêtes DNS (Domain Name System). Le dispositif 5 de sécurisation est apte à chiffrer des données jugées confidentielles émises par le terminal émetteur 3 et à transmettre ces données, une fois chiffrées, vers le réseau N3 de destination à travers le réseau N2 de transit. Par ailleurs, le dispositif 5 de sécurisation est apte à dupliquer les données jugées non confidentielles, à appliquer un filtrage sur un premier exemplaire de ces données et à transmettre ces données filtrées vers le réseau N2 de transit. Le dispositif 5 de sécurisation est également apte à chiffrer un deuxième exemplaire de ces données et à transmettre ces données chiffrées vers le réseau N3 de destination. De plus, le dispositif 5 de sécurisation est apte à recevoir toutes les données émises par le réseau N2 de transit ou le réseau N3 de destination vers le terminal émetteur 3 et à transmettre ces données au terminal émetteur 3 après un filtrage ou un déchiffrement de ces données. Plus précisément, le dispositif 5 de sécurisation est apte à déchiffrer des données chiffrées émises par le réseau N3 de destination et à transmettre les données déchiffrées au terminal émetteur 3. Par ailleurs, le dispositif 5 de sécurisation est apte à appliquer un filtrage sur des données émises en clair par le réseau N2 de transit, à bloquer ces données si elles présentent un risque pour le réseau NI de départ, et à transmettre les données filtrées au terminal 3 émetteur dans le cas contraire. Ce dispositif 5 de sécurisation sera décrit plus en détail en référence à la figure 2. The transmitting terminal 3, for example a computer, is able to exchange data with the transit network N2 and the destination network N3 via the security device 5, and in particular signaling and control data. The security device 5 is cut off between the originating network N1 and the transit network N2, so that all the data exchanged between the sending terminal 3 and the transit network N2 necessarily pass through the security device 5. The security device 5 is able to analyze the data transmitted by the sending terminal 3 to the transit network N2 or the destination network N3, to determine whether they are of a type authorized to transit in the clear on the network N2 of transit. In the remainder of the description, confidential data will be called data which are not of a type authorized to transit in the clear over the transit network N2, and non-confidential data of a type authorized to transit in clear on the N2 transit network. Non-confidential data is, for example, signaling or control data, for example data associated with Session Initialization Protocol (SIP) requests, RSVP resource reservation requests, or Domain Name System (DNS) queries. The security device 5 is able to encrypt data deemed confidential issued by the transmitting terminal 3 and to transmit these data, once encrypted, to the destination network N3 through the N2 transit network. Moreover, the security device 5 is able to duplicate the data deemed non-confidential, to filter on a first copy of this data and to transmit the filtered data to the transit network N2. The security device 5 is also able to encrypt a second copy of these data and to transmit these encrypted data to the destination network N3. In addition, the security device 5 is able to receive all the data transmitted by the transit network N2 or the destination network N3 to the transmitting terminal 3 and to transmit these data to the transmitting terminal 3 after filtering or decrypting these data. data. More precisely, the security device 5 is able to decrypt encrypted data transmitted by the destination network N3 and to transmit the decrypted data to the sending terminal 3. Moreover, the security device 5 is able to apply a filtering on data. transmitted in clear by the N2 transit network, to block this data if they present a risk for the originating network NI, and to transmit the filtered data to the transmitter terminal 3 otherwise. This security device 5 will be described in more detail with reference to FIG.

Le réseau N3 de destination comprend au moins un terminal récepteur 9 et un dispositif 11 de sécurisation, relié par une liaison 13 filaire ou sans fil au terminal émetteur 3. Le terminal récepteur 9, par exemple un ordinateur, est apte à échanger des données avec le réseau N2 de transit et le réseau NI de départ par l'intermédiaire du dispositif 11 de sécurisation. Le dispositif 11 de sécurisation est installé en coupure entre le réseau N2 de transit et le réseau N3 de destination. Il est de structure et de fonctionnement identique au dispositif 5 de sécurisation du réseau NI de départ. Le réseau N2 de transit comprend notamment plusieurs routeurs R,, R2, R3, Rn, interconnectés par un maillage de liens 13, qui sont par exemple des liens filaires ou des liens radios. Par ailleurs, au moins un routeur RI est relié au dispositif 5 de sécurisation du réseau NI de départ, et au moins un routeur Rn est relié au dispositif de sécurisation du réseau N3 de destination. De manière connue, les routeurs RI, R2, R3, Rn sont aptes à faire transiter des données entre les dispositifs 5, 11 de sécurisation des réseaux NI, N3 de départ et de destination, à recevoir des requêtes de signalisation et de contrôle transmises par ces dispositifs 5, 11 de sécurisation, et à répondre à ces requêtes. La figure 2 illustre, de manière simplifiée, l'architecture d'un dispositif 5 de sécurisation, placé en coupure entre le terminal émetteur 3 et le routeur RI du réseau N2 de transit, tous deux représentés de manière schématique. Le dispositif 5 de sécurisation comporte un premier module 20 d'aiguillage, un module 22 de protection cryptographique, et un premier module 24 de filtrage, ainsi qu'un deuxième module 26 d'aiguillage, un module 28 de vérification cryptographique et un deuxième module 30 de filtrage. The destination network N3 comprises at least one receiving terminal 9 and a security device 11, connected by a wired or wireless connection 13 to the transmitting terminal 3. The receiving terminal 9, for example a computer, is able to exchange data with the transit network N2 and the originating network NI via the security device 11. The security device 11 is installed in a cutoff between the transit network N2 and the destination network N3. It is identical in structure and operation to the device 5 for securing the originating NI network. The transit network N2 comprises in particular several routers R 1, R 2, R 3, R n, interconnected by a mesh of links 13, which are, for example, wired links or radio links. Moreover, at least one router RI is connected to the security device 5 for securing the originating network NI, and at least one router Rn is connected to the security device of the network N3 of destination. In a known manner, the routers R1, R2, R3, Rn are capable of passing data between the devices 5, 11 for securing the originating and terminating networks N1, N3, to receive signaling and control requests transmitted by these devices 5, 11 securing, and to respond to these requests. FIG. 2 illustrates, in a simplified manner, the architecture of a security device 5, placed in a cutoff between the sending terminal 3 and the router RI of the transit network N2, both represented schematically. The security device 5 comprises a first switching module 20, a cryptographic protection module 22, and a first filtering module 24, as well as a second switching module 26, a cryptographic verification module 28 and a second module 30 filtering.

Le dispositif 5 comporte une première entrée 5a reliée au terminal émetteur 3 par le lien 7, une deuxième entrée 5b reliée au routeur RI, une première sortie 5c et une deuxième sortie 5d reliées au terminal émetteur 3 par le lien 7, une troisième sortie 5e et une quatrième sortie 5f reliées au routeur R1. Le premier module 20 d'aiguillage comprend une entrée 20a et deux sorties 20b, 20c, son entrée 20a étant connectée à la première entrée 5a du dispositif 5. Le deuxième module 26 d'aiguillage comprend une entrée 26a et deux sorties 26b, 26c, son entrée 26a étant connectée à la deuxième entrée 5b du dispositif 5. Le module 22 de protection cryptographique comprend une entrée 22a, connectée à la première sortie 20b du premier module 20 d'aiguillage, et une sortie 22b, connectée à la troisième sortie 5e du dispositif 5. Le module 28 de vérification cryptographique comprend une entrée 28a, connectée à la première sortie 26b du deuxième module 26 d'aiguillage, et une sortie 28b, connectée a la première sortie 5c du dispositif 5. Le premier module 24 de filtrage comprend une entrée 24a, connectée à la deuxième sortie 20c du premier module d'aiguillage, et deux sorties 24b, 24c, sa première sortie 24b étant connectée a la quatrième sortie 5f du dispositif 5. Le deuxième module 30 de filtrage comprend une première entrée 30a, connectée à la deuxième sortie 26c du deuxième module d'aiguillage, une deuxième entrée 30b, connectée à la deuxième sortie du premier module 24 de filtrage, et une sortie 30c, connectée a la deuxième sortie 5d du dispositif 5. Le premier module 20 d'aiguillage est apte à recevoir des données émises par le terminal émetteur 3 à destination du terminal récepteur 9, et à analyser ces données pour déterminer si celles-ci doivent également être transmises à destination du réseau N2. Par exemple, le premier module 20 d'aiguillage est apte à analyser les métadonnées associées à ces données par le protocole de transport utilisé, et à déterminer à partir de ces métadonnées la nature des données émises par le terminal émetteur 3. Ces métadonnées sont par exemple les métadonnées du protocole IP relatives à la couche 3 du modèle OSI (« Open System Interconnection ») comprenant les adresses IP, les numéros de protocole des terminaux émetteur et récepteur et les ports de communication employés. En effet, certaines adresses IP et/ou numéros de ports de communication sont associés à des services ou à des types de flux, par exemple des flux de signalisation, autorisés à transiter au travers du réseau N2 de transit. D'autres types de flux sont dédiés à des transferts d'informations confidentielles, donc nécessitant une protection cryptographique systématique. The device 5 comprises a first input 5a connected to the transmitter terminal 3 by the link 7, a second input 5b connected to the router RI, a first output 5c and a second output 5d connected to the transmitter terminal 3 via the link 7, a third output 5e and a fourth output 5f connected to the router R1. The first switching module 20 comprises an input 20a and two outputs 20b, 20c, its input 20a being connected to the first input 5a of the device 5. The second switching module 26 comprises an input 26a and two outputs 26b, 26c, its input 26a being connected to the second input 5b of the device 5. The cryptographic protection module 22 comprises an input 22a, connected to the first output 20b of the first switching module 20, and an output 22b, connected to the third output 5e of the device 5. The cryptographic verification module 28 comprises an input 28a, connected to the first output 26b of the second switching module 26, and an output 28b, connected to the first output 5c of the device 5. The first filtering module 24 comprises an input 24a, connected to the second output 20c of the first switching module, and two outputs 24b, 24c, its first output 24b being connected to the fourth output 5f of the device 5. The second filtering module 30 comprises a first input 30a, connected to the second output 26c of the second switching module, a second input 30b, connected to the second output of the first filtering module 24, and an output 30c, connected. at the second output 5d of the device 5. The first switching module 20 is able to receive data transmitted by the transmitting terminal 3 to the receiving terminal 9, and to analyze these data to determine whether they must also be transmitted. to the N2 network. For example, the first routing module 20 is able to analyze the metadata associated with this data by the transport protocol used, and to determine from these metadata the nature of the data transmitted by the sending terminal 3. This metadata is by for example, Open Source Interconnection (OSI) layer 3 IP protocol metadata including IP addresses, protocol numbers of the sender and receiver terminals, and the communication ports used. Indeed, certain IP addresses and / or communication port numbers are associated with services or types of flows, for example signaling flows, authorized to transit through the N2 transit network. Other types of flows are dedicated to transfers of confidential information, thus requiring systematic cryptographic protection.

Par ailleurs, le premier module 20 d'aiguillage est apte à dupliquer les données devant être transmises à la fois à destination du réseau N2 et du terminal récepteur 9, à transmettre un premier exemplaire de ces données au premier module 24 de filtrage, et à transmettre un deuxième exemplaire de ces données au module 22 de chiffrement. Le premier module 20 d'aiguillage est apte à transmettre les données au module 22 de protection cryptographique si celles-ci doivent être transmises uniquement à destination du réseau N3. Furthermore, the first routing module 20 is able to duplicate the data to be transmitted both to the network N2 and the receiver terminal 9, to transmit a first copy of this data to the first filtering module 24, and to transmit a second copy of this data to the encryption module 22. The first routing module 20 is able to transmit the data to the cryptographic protection module 22 if they must be transmitted only to the network N3.

Le module 22 de protection cryptographique comprend des moyens pour analyser des données transmises par le premier module 20 d'aiguillage, suivant une politique de sécurité prédéfinie, pour déterminer si ces données sont autorisées à être transmises au réseau N3 de destination et quel type de protection cryptographique doit être appliqué, en fonction du niveau de confidentialité de ces données. Les mécanismes IPsec sont un exemple de protection cryptographique applicable. Le module 22 de protection cryptographique comprend également des moyens de protection cryptographique des données autorisées à être transmises au réseau N3 de destination, suivant un type de protection cryptographique déterminé, et pour transmettre des données protégées, par exemple chiffrées, vers le réseau N3 de destination, à travers le réseau N2. Le module 22 de protection cryptographique est en outre apte à bloquer des données non autorisées à être transmises au réseau N3 de destination. Le premier module 24 de filtrage est apte à recevoir des données transmises par le premier module 20 d'aiguillage, à déterminer la nature de ces données, à appliquer plusieurs filtres à ces données, en fonction de la nature de ces données, notamment un filtre d'analyse syntaxique, un filtre d'analyse sémantique et un filtre de substitution, à transmettre ces données, après filtrage, vers le réseau N2 de transit, ou à bloquer la transmission de ces données si les filtres d'analyse syntaxique, ou d'analyse sémantique détectent une anomalie. The cryptographic protection module 22 comprises means for analyzing data transmitted by the first routing module 20, according to a predefined security policy, to determine whether this data is authorized to be transmitted to the destination network N3 and which type of protection cryptographic needs to be applied, depending on the level of confidentiality of these data. IPsec mechanisms are an example of applicable cryptographic protection. The cryptographic protection module 22 also comprises means of cryptographic protection of the data authorized to be transmitted to the destination network N3, according to a certain type of cryptographic protection, and to transmit protected data, for example encrypted, to the destination network N3. , through the N2 network. The cryptographic protection module 22 is furthermore capable of blocking unauthorized data to be transmitted to the destination network N3. The first filter module 24 is able to receive data transmitted by the first switching module 20, to determine the nature of these data, to apply several filters to these data, depending on the nature of these data, in particular a filter syntactical analysis, a semantic analysis filter and a substitution filter, to transmit these data, after filtering, to the transit network N2, or to block the transmission of these data if the parsing filters, or semantic analysis detect an anomaly.

Le premier module 24 de filtrage comprend pour cela une base de données de filtres, chaque filtre correspondant à un type de données à contrôler. Un filtre est formé, par exemple, d'un ensemble de paramètres et/ou de composants logiciels. Notamment, la base de données comprend un filtre pour contrôler les demandes de réservation de ressources du protocole RSVP. The first filter module 24 comprises for this purpose a database of filters, each filter corresponding to a type of data to be checked. A filter is formed, for example, of a set of parameters and / or software components. In particular, the database includes a filter for controlling RSVP protocol resource reservation requests.

Les filtres d'analyse syntaxique, d'analyse sémantique et de substitution sont aptes à parer la création d'un canal de communication caché. En particulier, le filtre d'analyse syntaxique est apte à vérifier que les données à transmettre respectent le format défini dans les standards et normes du protocole utilisé, et qu'aucun champ de ces données n'est détourné de son objet. Notamment, le filtre d'analyse syntaxique est apte à détecter des anomalies dans les valeurs des champs, qui pourraient cacher une fuite de données. Le filtre d'analyse sémantique est apte à vérifier l'automate des états possibles pour un protocole donné, et la cohérence des enchaînements de ces états, et à détecter un éventuel sens caché dissimulé dans une requête. Par exemple, le filtre d'analyse sémantique est apte à interdire l'émission de données correspondant à un état intermédiaire du protocole utilisé si les données correspondant aux états précédents n'ont pas été transmises. De plus, le filtre d'analyse sémantique est apte à extraire des données à transmettre un contexte de connexion qui leur est associé, à sauvegarder ce contexte et à le transmettre au second module 30 de filtrage. Le filtre de substitution est apte à remplacer des informations sensibles contenues dans les données à transmettre, d'un niveau de sécurité incompatible avec le niveau de sécurité du réseau N2 de transit, par des informations d'un niveau de sécurité compatible avec le réseau N2, de manière à diminuer le risque de fuite d'information du réseau N1 vers le réseau N2, et à transmettre ces informations sensibles substituées au second module 30 de filtrage. En effet, ces données peuvent contenir des informations considérées comme sensibles, qui ne doivent pas être communiquées au réseau N2, par exemple les adresses IP des terminaux émetteur et récepteur, les numéros de téléphone des ces terminaux s'il s'agit de téléphones, ou toute autre information relative à l'identité de l'émetteur et du récepteur. Le filtre de substitution est ainsi apte à substituer les adresses IP des terminaux émetteur 3 et récepteur 9 par les adresses IP respectives des dispositifs 5 et 11 de sécurisation. Le deuxième module 26 d'aiguillage est apte à recevoir des données transmises par routeur R1 à destination du réseau NI, par exemple du terminal émetteur 3. Ces données sont par exemple des données chiffrées émises par le terminal récepteur 9, via le dispositif 11 de sécurisation, ou des données non chiffrées émises par le réseau N2. Le deuxième module 26 d'aiguillage est ainsi apte à aiguiller les données protégées cryptographiquement vers le module 28 de vérification cryptographique, et les données non protégées vers le deuxième module 30 de filtrage. Le module 28 de vérification cryptographique est apte à appliquer un traitement cryptographique, suivant les données transmises par le deuxième module 26 d'aiguillage, et à transmettre ces données, une fois déchiffrées, vers le terminal émetteur 9. Le deuxième module 30 de filtrage est apte à recevoir des données transmises par le deuxième module 26 d'aiguillage, à déterminer la nature de ces données, à appliquer plusieurs filtres à ces données, en fonction de leur nature, notamment un filtre d'analyse syntaxique, un filtre d'analyse sémantique et un filtre de transposition, à transmettre ces données, après filtrage, vers le terminal émetteur 9, ou à bloquer la transmission de ces données si les filtres d'analyse syntaxique ou d'analyse sémantique détectent une anomalie. The filters for parsing, semantic analysis and substitution are able to counter the creation of a hidden communication channel. In particular, the parsing filter is able to verify that the data to be transmitted respect the format defined in the standards and standards of the protocol used, and that no field of these data is diverted from its object. In particular, the parsing filter is able to detect anomalies in the values of the fields, which could hide a data leak. The semantic analysis filter is able to check the automaton of the possible states for a given protocol, and the consistency of the sequences of these states, and to detect any hidden meaning concealed in a query. For example, the semantic analysis filter is able to prohibit the transmission of data corresponding to an intermediate state of the protocol used if the data corresponding to the previous states have not been transmitted. In addition, the semantic analysis filter is able to extract data to transmit a connection context associated with them, to save this context and to transmit it to the second filtering module 30. The substitution filter is able to replace sensitive information contained in the data to be transmitted, a level of security incompatible with the security level of the transit network N2, with information of a level of security compatible with the network N2. , so as to reduce the risk of information leakage from the network N1 to the network N2, and to transmit these sensitive information substituted for the second filtering module 30. Indeed, this data may contain information considered as sensitive, which must not be communicated to the network N2, for example the IP addresses of the sending and receiving terminals, the telephone numbers of these terminals if they are telephones, or any other information relating to the identity of the transmitter and the receiver. The substitution filter is thus able to substitute the IP addresses of the transmitter 3 and receiver terminals 9 by the respective IP addresses of the security devices 5 and 11. The second switching module 26 is able to receive data transmitted by router R1 to the network NI, for example from the transmitting terminal 3. These data are for example encrypted data transmitted by the receiving terminal 9, via the device 11 of FIG. securing, or unencrypted data transmitted by the N2 network. The second switching module 26 is thus able to direct the cryptographically protected data to the cryptographic verification module 28, and the unprotected data to the second filtering module 30. The cryptographic verification module 28 is able to apply a cryptographic processing, according to the data transmitted by the second routing module 26, and to transmit these data, once decrypted, to the transmitting terminal 9. The second filtering module 30 is adapted to receive data transmitted by the second switching module 26, to determine the nature of these data, to apply several filters to these data, depending on their nature, in particular a parsing filter, an analysis filter semantics and a transposition filter, to transmit these data, after filtering, to the transmitting terminal 9, or to block the transmission of these data if the parsing or semantic analysis filters detect an anomaly.

Par ailleurs, le deuxième module 30 de filtrage est apte à recevoir des contextes de connexion transmis par le premier module 24 de filtrage et à les sauvegarder. Le deuxième module 30 de filtrage comprend également une base de données de filtres, chaque filtre correspondant à un type de données à contrôler. Furthermore, the second filtering module 30 is adapted to receive connection contexts transmitted by the first filtering module 24 and to save them. The second filtering module 30 also comprises a filter database, each filter corresponding to a type of data to be checked.

Le filtre d'analyse syntaxique est similaire au filtre d'analyse syntaxique du premier module 24 de filtrage. Le filtre d'analyse sémantique est apte à comparer le contexte de connexion des données à transmettre à un ou plusieurs contextes de connexion sauvegardés et à bloquer la transmission de ces données si ces contextes sont incohérents, c'est-à-dire si ces données ne correspondent pas à une réponse à une requête émise par le terminal émetteur 3. Le filtre d'analyse sémantique est donc apte à empêcher la transmission au terminal émetteur 3, donc sur le réseau N1, de requêtes à l'initiative du réseau N2. Le filtre de transposition est apte à introduire dans les données à transmettre les informations sensibles remplacées par le filtre de substitution du premier module 24 de filtrage, par exemple les adresses IP du terminal émetteur 3 et du terminal récepteur 9, de telle sorte que ces données puissent par la suite être transmises jusqu'au terminal émetteur 3. Le dispositif 5 de sécurisation est préférablement installé dans un espace contrôlé, par exemple dans une enceinte du réseau NI, afin de protéger physiquement ses entrées et sorties contre des attaquants potentiels. Avantageusement, le dispositif 5 de sécurisation est physiquement blindé, notamment, pour éviter les attaques par canaux auxiliaires, via notamment l'analyse du courant électrique consommé par le dispositif ou le rayonnement électromagnétique émis par le dispositif. On a représenté sur la figure 3 les étapes mises en oeuvre par le dispositif 5 de sécurisation lorsqu'il reçoit des données D émises par le terminal émetteur 3 à destination du terminal récepteur 9, les données D étant émises suivant un protocole donné P. Les données D émises par le terminal émetteur 3 sont reçues par le premier module 20 d'aiguillage. Dans une étape 40 d'aiguillage, celui-ci analyse les données D pour déterminer si elles sont à émettre ou non à destination du réseau N2. The parsing filter is similar to the parsing filter of the first filtering module 24. The semantic analysis filter is able to compare the connection context of the data to be transmitted to one or more saved connection contexts and block the transmission of these data if these contexts are inconsistent, that is to say if these data do not correspond to a response to a request sent by the transmitting terminal 3. The semantic analysis filter is therefore able to prevent the transmission to the sending terminal 3, hence on the network N1, of requests initiated by the network N2. The transposition filter is able to introduce in the data to be transmitted the sensitive information replaced by the substitution filter of the first filtering module 24, for example the IP addresses of the transmitting terminal 3 and the receiving terminal 9, so that these data can subsequently be transmitted to the transmitting terminal 3. The security device 5 is preferably installed in a controlled space, for example in an enclosure of the NI network, to physically protect its inputs and outputs against potential attackers. Advantageously, the securing device 5 is physically shielded, in particular, to prevent attacks by auxiliary channels, in particular by analyzing the electric current consumed by the device or the electromagnetic radiation emitted by the device. FIG. 3 shows the steps implemented by the security device 5 when it receives data D transmitted by the transmitting terminal 3 to the receiving terminal 9, the data D being transmitted according to a given protocol P. D data transmitted by the transmitter terminal 3 are received by the first switching module 20. In a switching step 40, the latter analyzes the data D to determine whether they are to be transmitted or not to the network N2.

Si ces données D doivent être transmises uniquement vers le réseau N3, le premier module 20 d'aiguillage les envoie vers le module 22 de protection cryptographique. Lors d'une étape 42 de chiffrement, le module 22 de protection cryptographique chiffre les données D, puis transmet ces données chiffrées lors d'une étape 44 vers le réseau N3, à travers le réseau N2. If this data D is to be transmitted only to the network N3, the first routing module 20 sends them to the module 22 cryptographic protection. During an encryption step 42, the cryptographic protection module 22 encrypts the data D, then transmits these encrypted data in a step 44 to the network N3, through the network N2.

Si les données D doivent être émises vers le réseau N2 et le réseau N3, dans une étape 46 de duplication, le premier module 20 d'aiguillage duplique les données D, envoie un premier exemplaire D, de ces données vers le module 22 de protection cryptographique et un deuxième exemplaire D2 vers le premier module 24 de filtrage. Par exemple, une requête émise par un service de réservation de ressources depuis le terminal émetteur 3 à destination d'équipement relais intermédiaires, dont certains sont situés sur le réseau N2, est orientée vers le premier module 24 de filtrage avant d'être transmise aux équipements du réseau N2. Cette même requête est aussi orientée vers le module 22 de chiffrement afin qu'elle puisse être transmise, de façon sécurisée, au réseau distant N3 de niveau de sécurité supérieur à N2. Cet exemple peut, bien entendu, être étendu à une multitude de services. If the data D has to be sent to the network N2 and the network N3, in a step 46 of duplication, the first routing module 20 duplicates the data D, sends a first copy D, of these data to the protection module 22 cryptographic and a second copy D2 to the first filtering module 24. For example, a request sent by a resource reservation service from the transmitting terminal 3 to intermediate relay equipment, some of which are located on the network N2, is directed to the first filter module 24 before being transmitted to N2 network equipment. This same request is also directed to the encryption module 22 so that it can be transmitted, securely, to the remote network N3 security level higher than N2. This example can, of course, be extended to a multitude of services.

Les données DI sont alors chiffrées et envoyées vers le réseau N3 suivant les étapes 42 et 44. Parallèlement, les données D2 sont reçues par le premier module 24 de filtrage, qui applique, lors d'une première étape 48 de filtrage, plusieurs filtres à ces données, notamment un filtre d'analyse syntaxique, un filtre d'analyse sémantique et un filtre de substitution, tels que décrits en référence à la figure 2. Notamment, lors d'une étape 50 d'analyse syntaxique, le premier module 24 de filtrage vérifie que les données D2 respectent le format défini dans les standards et normes du protocole P, et qu'aucun champ de ces données D2 n'est détourné de son objet. The data DI is then encrypted and sent to the network N3 according to the steps 42 and 44. In parallel, the data D2 are received by the first filtering module 24, which applies, during a first filtering step 48, several filters. these data, in particular a parsing filter, a semantic analysis filter and a substitution filter, as described with reference to FIG. 2. In particular, during a parsing step 50, the first module 24 filtering ensures that the data D2 respect the format defined in the standards and standards of the protocol P, and that no field of these data D2 is diverted from its object.

Par ailleurs, lors d'une étape 52 d'analyse sémantique, le premier module 24 de filtrage vérifie l'automate des états possibles pour le protocole P, et la cohérence des enchaînements de ces états, et détecte un éventuel sens caché dissimulé dans ces données. De plus, lors de l'étape 52, le premier module 24 de filtrage extrait des données D2 le contexte de connexion qui leur est associé, sauvegarde ce contexte et le transmet au second module 30 de filtrage. Puis, lors d'une étape 54 de substitution, le premier module 24 de filtrage remplace les informations sensibles contenues dans les données D2, d'un niveau de sécurité incompatible avec le niveau de sécurité du réseau N2, par des informations d'un niveau de sécurité compatible avec le réseau N2. Le premier module 24 de filtrage transmet les informations sensibles substituées au second module 30 de filtrage. Si les filtres d'analyse syntaxique ou d'analyse sémantique détectent une anomalie, les données sont bloquées en 56 et non transmises vers le réseau N2. Si aucune anomalie n'est détectée, le premier module de filtrage transmet lors d'une étape 58 les données obtenues après le filtrage 48 vers le réseau N2. Furthermore, during a semantic analysis step 52, the first filtering module 24 checks the automaton of the possible states for the protocol P, and the coherence of the sequences of these states, and detects a possible hidden meaning concealed in these data. In addition, during step 52, the first filtering module 24 extracts D2 data the connection context associated with them, saves this context and transmits it to the second filtering module 30. Then, during a substitution step 54, the first filtering module 24 replaces the sensitive information contained in the data D2, a security level incompatible with the security level of the network N2, by one-level information. security compatible with the N2 network. The first filtering module 24 transmits the substituted sensitive information to the second filtering module. If the parsing or semantic analysis filters detect an anomaly, the data is blocked at 56 and not transmitted to the network N2. If no anomaly is detected, the first filtering module transmits during a step 58 the data obtained after the filtering 48 to the network N2.

On a par ailleurs représenté sur la figure 4 les étapes mises en oeuvre par le dispositif 5 de sécurisation lorsqu'il reçoit des données D' émises par le terminal récepteur 9 ou le réseau N2 à destination du terminal émetteur 3, à la suite d'une émission de données telle que décrite en référence à la figure 3. Les données D' sont reçues par le deuxième module 30 d'aiguillage. Dans une étape 60 d'aiguillage, le deuxième module 30 d'aiguillage transmet les données D' au module 28 de vérification cryptographique si elles sont protégées cryptographiquement, et au deuxième module 30 de filtrage si elles ne le sont pas. Si les données D' sont protégées cryptographiquement, lors d'une étape 62 de déchiffrage, le module 28 de vérification cryptographique applique un traitement de vérification cryptographique (par exemple, un déchiffrement) sur les données D'. Puis, dans une étape 64, il transmet les données résultantes du traitement au terminal émetteur 3. Si les données D' ne sont pas protégées cryptographiquement, le deuxième module 30 de filtrage applique sur ces données, lors d'une deuxième étape 66 de filtrage, un filtre d'analyse syntaxique, un filtre d'analyse sémantique et un filtre de transposition. FIG. 4 also shows the steps implemented by the security device 5 when it receives data D transmitted by the receiving terminal 9 or the network N 2 to the sending terminal 3, following a data transmission as described with reference to Figure 3. The data D 'are received by the second switching module 30. In a switching step 60, the second routing module 30 transmits the data D 'to the cryptographic verification module 28 if it is cryptographically protected, and to the second filtering module 30 if it is not. If the data D 'is cryptographically protected, during a decryption step 62, the cryptographic verification module 28 applies a cryptographic verification process (for example, a decryption) on the data D'. Then, in a step 64, it transmits the data resulting from the processing to the transmitting terminal 3. If the data D 'is not protected cryptographically, the second filtering module 30 applies on these data, during a second filtering step 66 , a parse filter, a semantic filter and a transpose filter.

Notamment, lors d'une étape 68 d'analyse syntaxique, le deuxième module 30 de filtrage vérifie que les données D' respectent le format défini dans les standards et normes du protocole P, et qu'aucun champ de ces données D' n'est détourné de son objet. Lors d'une étape 70 d'analyse sémantique, le deuxième module 30 de filtrage compare le contexte de connexion des données D' au contexte de connexion transmis par le premier module 24 de filtrage lors de l'étape 52. Si une anomalie est détectée lors des étapes 68 ou 70, par exemple si le contexte de connexion des données D' ne correspond à aucun contexte de connexion, le deuxième module 30 de filtrage bloque en 72 la transmission des données D'. In particular, during a parsing step 68, the second filtering module 30 verifies that the data D 'respect the format defined in the standards and standards of the protocol P, and that no field of these data D' n ' is diverted from his object. During a semantic analysis step 70, the second filtering module 30 compares the connection context of the data D 'to the connection context transmitted by the first filtering module 24 during the step 52. If an anomaly is detected during steps 68 or 70, for example if the data connection context D 'does not correspond to any connection context, the second filtering module blocks at 72 the transmission of the data D'.

Si aucune anomalie n'est détectée, lors d'une étape 74 de transposition, le deuxième module 30 de filtrage réintroduit dans les données D' les informations sensibles remplacées par le premier module 24 de filtrage lors de l'étape 54, par exemple les adresses IP du terminal émetteur 3 et du terminal récepteur 9. Puis, lors d'une étape 76, le deuxième module 30 de filtrage transmet les données filtrées au terminal émetteur 3. La figure 5 est un schéma illustrant un exemple de mise en oeuvre du procédé selon l'invention, lors de l'initiation d'une communication par réservation de ressources entre le terminal émetteur 3 du réseau N1 et le terminal récepteur 9 du réseau N3, puis lors de la transmission des données de cette communication entre les terminaux émetteur 3 et récepteur 9. If no anomaly is detected, during a transposition step 74, the second filtering module 30 reintroduces into the data D the sensitive information replaced by the first filtering module 24 during the step 54, for example the IP addresses of the transmitting terminal 3 and the receiving terminal 9. Then, during a step 76, the second filtering module 30 transmits the filtered data to the transmitting terminal 3. FIG. 5 is a diagram illustrating an example of implementation of FIG. method according to the invention, during the initiation of a resource reservation communication between the sending terminal 3 of the network N1 and the receiving terminal 9 of the network N3, then during the transmission of the data of this communication between the sending terminals 3 and receiver 9.

Les routeurs R,, R2, R3, Rn du réseau N2 de transit ne sont pas représentés sur cette figure. Pour initier cette communication, par exemple un échange de données multimédia avec le terminal récepteur 9, le terminal émetteur 3 émet un message RSVP M, demandant une réservation de ressources entre le terminal émetteur 3 et le terminal récepteur 9. Le message RSVP M doit donc être transmis à la fois sur le réseau N2, entre les dispositifs 5 et 11 de sécurité, de manière à réserver les ressources nécessaires entre les routeurs du réseau N2, et sur le réseau N3, pour réserver les ressources nécessaires entre le dispositif 11 de sécurité et le terminal récepteur 9. The routers R 1, R 2, R 3, R n of the transit network N 2 are not represented in this figure. To initiate this communication, for example a multimedia data exchange with the receiving terminal 9, the transmitting terminal 3 transmits an RSVP message M, requesting a reservation of resources between the transmitting terminal 3 and the receiving terminal 9. The RSVP message M must therefore to be transmitted both on the network N2, between the security devices 5 and 11, so as to reserve the necessary resources between the routers of the network N2, and on the network N3, to reserve the necessary resources between the security device 11 and the receiving terminal 9.

Ce message RSVP M, généralement appelé « Path », est envoyé par le terminal émetteur 3 pour établir la liste des routeurs du chemin qui sera suivi par les données de la communication. Il comprend un en-tête, comprenant notamment un champ indiquant qu'il s'agit d'un message de type « Path », et plusieurs objets indiquant l'adresse IP du terminal émetteur 3, notée IP3, l'adresse IP du terminal récepteur 9, notée IP9, les numéros de port des terminaux émetteur 3 et récepteur 9, notés respectivement P3 et P9, ainsi que la quantité Q de ressources à réserver. Le message M peut ainsi être écrit sous la forme M = (Path, IP3, IP9, P3, P9, Q). Le message M émis par le terminal émetteur 3 est transmis au dispositif 5 de sécurisation, et plus précisément au premier module 20 d'aiguillage. This RSVP message M, generally called "Path", is sent by the sending terminal 3 to establish the list of routers of the path that will be followed by the data of the communication. It includes a header, including a field indicating that it is a message type "Path", and several objects indicating the IP address of the transmitter terminal 3, denoted IP3, the IP address of the terminal receiver 9, rated IP9, the port numbers of the transmitter terminals 3 and receiver 9, denoted respectively P3 and P9, and the quantity Q of resources to reserve. The message M can thus be written in the form M = (Path, IP3, IP9, P3, P9, Q). The message M transmitted by the transmitting terminal 3 is transmitted to the security device 5, and more precisely to the first routing module 20.

Celui-ci analyse le message M et détermine qu'il s'agit d'un flux de signalisation qui doit être transmis au réseau N2. Le premier module 20 d'aiguillage duplique le message M, et transmet un premier un premier exemplaire de ce message au premier module 24 de filtrage et un deuxième exemplaire de ce message au module 22 de protection cryptographique. The latter analyzes the message M and determines that it is a signaling flow that must be transmitted to the network N2. The first routing module 20 duplicates the message M, and transmits first a first copy of this message to the first filtering module 24 and a second copy of this message to the cryptographic protection module 22.

Après réception du message M, le premier module 24 de filtrage détermine la nature de ce message, dans le cas présent détecte qu'il s'agit d'un message de réservation, et applique les filtres d'analyse syntaxique et sémantique de sa base de données adaptés aux messages de réservation. Le filtre d'analyse syntaxique vérifie ainsi que le message M respecte le format défini dans les standards et normes du protocole RSVP utilisé. Par ailleurs, le filtre d'analyse sémantique détermine le contexte de connexion du message M, notamment le fait qu'il s'agisse d'une requête de réservation de type « Path », et transmet ce contexte de connexion au second module 30 de filtrage. Le premier module 24 de filtrage applique ensuite au message M un filtre de substitution, qui remplace notamment, dans le message M, les adresses IP3 et IP9 des terminaux émetteur 3 et récepteur 9 par les adresse IP des dispositifs de sécurisation 5 et 11, notés IP5 et IP11. A l'issue de ce filtrage, le premier module 24 de filtrage transmet un message filtré M = (Path, IP5, IP11, P3, P9, Q) vers le réseau N2 de transit. After receiving the message M, the first filtering module 24 determines the nature of this message, in this case detects that it is a reservation message, and applies the syntax and semantic analysis filters of its base. data adapted to the reservation messages. The parsing filter thus verifies that the message M respects the format defined in the standards and standards of the RSVP protocol used. In addition, the semantic analysis filter determines the connection context of the message M, in particular the fact that it is a reservation request of the "Path" type, and transmits this connection context to the second module 30. filtering. The first filter module 24 then applies to the message M a substitution filter, which replaces, in the message M, the IP3 and IP9 addresses of the transmitter 3 and receiver terminals 9 by the IP addresses of the security devices 5 and 11, noted IP5 and IP11. At the end of this filtering, the first filtering module 24 transmits a filtered message M = (Path, IP5, IP11, P3, P9, Q) to the transit network N2.

Parallèlement, après réception du message M, le module 22 de protection cryptographique chiffre ce message, par exemple suivant des mécanismes cryptographiques IPsec, et transmet le message chiffré M , de la forme IV/ = f (Path, IP3, 1P9, P3, P9, Q), où f désigne une fonction de cryptage, vers le réseau N3 de destination, à travers le réseau N2 de transit. At the same time, after receiving the message M, the cryptographic protection module 22 encrypts this message, for example using IPsec cryptographic mechanisms, and transmits the encrypted message M, of the form IV / = f (Path, IP3, 1P9, P3, P9 , Q), where f designates an encryption function, to the destination network N3, through the transit network N2.

Le message filtré M ne contient aucune information sensible relative à l'identité des terminaux émetteur 3 et récepteur 9, de telle sorte que ces informations ne circulent pas en clair sur le réseau N2. De plus, puisque ce message filtré M ne comprend que les adresses IP5 et IP~1 des dispositifs 5 et Il de sécurisation, il est seulement transmis sur le réseau N2 entre ces dispositifs 5 et Il, et n'est à aucun moment transmis dans le réseau N3. Le message filtré M est donc une demande de réservation de ressources entre les dispositifs 5 et 11 de sécurisation. II est transmis sur le réseau N2 via au moins certains des routeurs R,, R2, R3, Rn, jusqu'au dispositif 11 de sécurisation, et la réservation des ressources demandées est effectuée sur le réseau N2. Il n'est donc jamais transmis sur le réseau N3. En cas d'échec de la réservation, le réseau N2, par exemple l'un des routeurs du réseau N2, émet vers le dispositif 5 de sécurisation un message d'erreur E= (ErrRes, IP5, IP11, P3, P9, Q), indiquant que les ressources demandées n'ont pas pu être réservées entre les dispositifs 5 et 11 de sécurisation. The filtered message M contains no sensitive information relating to the identity of the transmitter 3 and receiver 9 terminals, so that this information does not circulate in clear on the network N2. In addition, since this filtered message M includes only the IP5 and IP ~ 1 addresses of the devices 5 and 11 of security, it is only transmitted on the network N2 between these devices 5 and 11, and is not transmitted at any time. the N3 network. The filtered message M is therefore a resource reservation request between the security devices 5 and 11. It is transmitted on the network N2 via at least some of the routers R 1, R 2, R 3, R n, until the device 11 for securing, and the reservation of the requested resources is performed on the network N 2. It is never transmitted on the N3 network. In case of failure of the reservation, the network N2, for example one of the routers of the network N2, transmits to the security device 5 an error message E = (ErrRes, IP5, IP11, P3, P9, Q ), indicating that the requested resources could not be reserved between the securing devices 5 and 11.

Le message E est reçu par le deuxième module 26 d'aiguillage, qui le transmet vers le deuxième module 30 de filtrage puisque ce message E n'est pas chiffré. Le deuxième module 30 de filtrage analyse alors le message E pour contrer toute tentative de création d'un canal de communication caché et d'intrusion sur le réseau NI par le réseau N2. Notamment, le deuxième module 20 de filtrage applique un filtre sémantique sur le message E et vérifie que son contexte de connexion correspond bien à un contexte de connexion sauvegardé. Dans le cas présent, le message E étant effectivement une réponse à une requête envoyée par le dispositif 5 de sécurisation, il est autorisé à être transmis vers le terminal émetteur 3. The message E is received by the second routing module 26, which transmits it to the second filtering module 30 since this message E is not encrypted. The second filtering module 30 then analyzes the message E to counter any attempt to create a hidden communication channel and intrusion on the network NI by the network N2. In particular, the second filter module 20 applies a semantic filter to the message E and verifies that its connection context corresponds to a saved connection context. In the present case, the message E actually being a response to a request sent by the security device 5, it is authorized to be transmitted to the transmitting terminal 3.

Avant cette transmission, le deuxième module 20 de filtrage applique un filtre de transposition au message E, de manière à réintroduire dans ce message les adresses IP3 et IP9 des terminaux émetteur 3 et récepteur 9. Le deuxième module 20 de filtrage transmet alors un premier message de confirmation filtré E = (ErrRes, IP3, IP9, P3, P9, Q) vers le terminal émetteur 3, qui reçoit donc le message d'erreur indiquant un échec de la réservation. Parallèlement, le message chiffré Û = f (Path, IP3, IP9, P3, P9, Q) est transmis à travers le réseau N2 vers le réseau N3. Ce message Û est reçu par le module d'aiguillage du dispositif 11 de sécurisation, qui le transmet vers le module de vérification cryptographique de ce dispositif. Le message chiffré Û est alors déchiffré, et le message déchiffré M transmis sur le réseau N3 jusqu'au terminal récepteur 9. Les ressources nécessaires sont alors réservées entre le dispositif 11 et le terminal récepteur 9. Si le terminal émetteur 3 ne reçoit aucun message d'erreur indiquant un échec lors de la réservation de ressources, il émet alors les données DM pour lesquelles les ressources ont été réservées. Ces données DM sont reçues par le dispositif 5 de sécurisation, chiffrées car il s'agit de données confidentielles non autorisées à être transmises à destination du réseau N2, puis les données chiffrées DÛ = f(DM) sont transmises à travers le réseau N2 vers le dispositif 11 de sécurisation. Le dispositif 11 déchiffre alors ces données, puis transmet les données déchiffrées DM vers le terminal récepteur 9. On comprend de la description qui précède comment le procédé et le dispositif selon l'invention permettent d'améliorer la sécurité de réseaux sécurisés communiquant à travers un réseau de sécurité plus faible, tout en assurant une interopérabilité entre ces réseaux. Notamment, la vérification du contexte de connexion associé à toute donnée transmise par le réseau N2 au réseau NI ou au réseau N3 permet d'empêcher toute communication, potentiellement dangereuse, à l'initiative du réseau N2. Before this transmission, the second filtering module 20 applies a transposition filter to the message E, so as to reintroduce in this message the IP3 and IP9 addresses of the transmitter 3 and receiver 9 terminals. The second filtering module 20 then transmits a first message. filtered confirmation E = (ErrRes, IP3, IP9, P3, P9, Q) to the transmitting terminal 3, which therefore receives the error message indicating a failure of the reservation. Meanwhile, the encrypted message Û = f (Path, IP3, IP9, P3, P9, Q) is transmitted through the network N2 to the network N3. This message Û is received by the referral module of the security device 11, which transmits it to the cryptographic verification module of this device. The encrypted message Û is then decrypted, and the decrypted message M transmitted on the network N3 to the receiving terminal 9. The necessary resources are then reserved between the device 11 and the receiving terminal 9. If the sending terminal 3 receives no message an error indicating a failure when reserving resources, it then emits the DM data for which the resources have been reserved. This DM data is received by the security device 5, encrypted because it is confidential data not allowed to be transmitted to the network N2, then the encrypted data D0 = f (DM) are transmitted through the network N2 to the device 11 for securing. The device 11 then decrypts this data, then transmits the decrypted data DM to the receiver terminal 9. It is understood from the foregoing description how the method and the device according to the invention make it possible to improve the security of secure networks communicating through a network. security network, while ensuring interoperability between these networks. In particular, the verification of the connection context associated with any data transmitted by the N2 network to the NI network or the N3 network makes it possible to prevent any potentially dangerous communication on the initiative of the N2 network.

De plus, puisque toutes les données émises par le réseau N1 vers le réseau N3 sont des données chiffrées, aucune donnée en clair n'est relayée par le réseau N2 vers le réseau N3, empêchant également une communication à l'initiative du réseau N2 vers le réseau N3. In addition, since all the data transmitted by the network N1 to the network N3 are encrypted data, no data in the clear is relayed by the network N2 to the network N3, also preventing a communication at the initiative of the network N2 to the N3 network.

Par ailleurs, la substitution des informations sensibles par des informations non sensibles lors de l'émission de données du réseau N1 vers le réseau N2 permet d'éviter que circulent sur le réseau N2 des informations potentiellement confidentielles. En outre, l'interopérabilité entre les réseaux NI, N2 et N3 est maintenue, puisque les données non confidentielles peuvent être émises à la fois sur le réseau N2 et le réseau N3. Le procédé selon l'invention peut donc être vu comme un procédé de protection cryptographique à interopérabilité contrôlée. Le niveau d'interopérabilité avec des réseaux à sécurité moindre est configuré selon la proportion de services autorisés à transmettre des informations au réseau N2 de sécurité moindre via l'étape de filtrage et selon le contexte d'emploi et du niveau de menaces associé. Il devra toutefois être compris que les exemples de réalisation présentés ci-dessus ne sont pas limitatifs. Notamment, selon d'autres modes de réalisation, le procédé de sécurisation est mis en oeuvre entre plus de deux réseaux sécurisés, à travers plusieurs réseaux de niveaux de sécurité plus faibles, chacun des réseaux sécurisés étant équipé d'au moins un dispositif de sécurisation selon l'invention. Furthermore, the substitution of the sensitive information with non-sensitive information during the transmission of data from the network N1 to the network N2 makes it possible to avoid the potentially confidential information being carried on the network N2. In addition, interoperability between the NI, N2 and N3 networks is maintained, since non-confidential data can be transmitted on both the N2 and the N3 networks. The method according to the invention can therefore be seen as a cryptographic protection method with controlled interoperability. The level of interoperability with less secure networks is configured according to the proportion of services allowed to transmit information to the N2 network of lesser security via the filtering step and according to the context of use and the associated level of threats. However, it should be understood that the embodiments described above are not limiting. In particular, according to other embodiments, the security method is implemented between more than two secured networks, through several networks of lower security levels, each of the secured networks being equipped with at least one security device. according to the invention.

Claims

REVENDICATIONS1. A method of securing a bidirectional communication channel between at least one originating network (NI) and a destination network (N3) through a transit network (N2) of a lower security level than the networks (NI , N3) of departure and destination, comprising the following steps: - during transmission of at least one type of first data of the network (NI) of departure to the network (N2) transit and to the network (N3) ) of destination through the network (N2) transit: - implementation of a first step (48) for filtering said first data, comprising an application (50, 52) of at least one analysis filter on said first data to counter the creation of a hidden communication channel, - transmission (76) of said first filtered data to the transit network (N2), said method being characterized in that it further comprises, during the transmission of said first data from the network (NI) of d to the transit network (N2) and to the destination network (N3), the following steps: - duplication (46) of said first data, - cryptographic protection (42) of said first duplicate data, - transmission (44) of said first data protected data to the destination network (N3), and in that said first filtered data is not transmitted by the transit network (N2) on the destination network (N3).

2. A security method according to claim 1, characterized in that said first filtering step (48) comprises a step (54) of substitution of sensitive information included in said first data, incompatible with the security level of the network ( N2) through information compatible with the security level of the transit network (N2).

3. Securing method according to one of claims 1 or 2, characterized in that said first step (48) of filtering comprises a backup of a first connection context associated with said first data.

4. Securing method according to claim 3, characterized in that it further comprises, during a transmission of second data transmitted by the network (N2) transit to the network (NI) departure, a second step (66) filtering said second data, comprising: - a comparison of a second connection context associated with said second data to said first connection context, - if said first and second contexts are inconsistent, a blocking (72) of said second data, if said first and second contexts are coherent, an application of at least one filter (68, 70) of analysis on said second data and a transmission (76) of said second filtered data to the network N1.

5. Securing method according to claim 4 taken in combination with claim 2, characterized in that said second step (66) of filtering comprises the introduction (74) in said second data of said sensitive information substituted during said step of substitution.

6. A device (5, 11) for securing a bidirectional communication channel between at least one originating network (NI) and a destination network (N3) through a transit network (N2) of a level of lower security than the networks (Ni, N3) of departure and destination, comprising: - a first filtering module (24) comprising means for applying at least one analysis filter to data to be transmitted from the network (Ni ) to the transit network (N2), to counter the creation of a hidden communication channel, - a data cryptographic protection module (22), able to protect data to be transmitted from the originating network (NI). to the destination network (N3), said system being characterized in that it furthermore comprises at least one switching module (20) able to direct first data to be transmitted from the originating network (NI) to the network (N2) transit and to the destination network (N3), to ledi t first filtering module (24), to duplicate said first data, and to direct said first duplicate data to said cryptographic protection module (22).

7.- Device (5, 11) for securing according to claim 6, characterized in that said first filtering module (24) comprises means for substituting sensitive information included in said first data, incompatible with the security level of the network (N2) transit, by information compatible with the security level of the transit network (N2).

8.- Device (5, 11) for securing according to one of claims 6 or 7, characterized in that said first filtering module (24) comprises means for saving a first connection context associated with said first data.

9.- Device (5, 11) for securing according to claim 8, characterized in that it further comprises a second filtering module (30), comprising: - means for comparing a second connection context associated with second data transmitted by the network (N2) of transit to the network (Ni) starting at said first connection context, - means for blocking said second data if said first and second contexts are inconsistent, - means for applying at least one filter analyzing said second data and transmitting said second filtered data to the originating network (NI) if said first and second contexts are coherent.

10.- Device (5,

11) according to claim 9 taken in combination with claim 7, characterized in that said second filtering module (30) comprises means for introducing into said second data said sensitive information substituted by said first filtering module (24) .