EP2594048A1 - Procédé et dispositif de sécurisation d'un canal de communication bidirectionnel inter-niveaux - Google Patents

Procédé et dispositif de sécurisation d'un canal de communication bidirectionnel inter-niveaux

Info

Publication number
EP2594048A1
EP2594048A1 EP11743114.8A EP11743114A EP2594048A1 EP 2594048 A1 EP2594048 A1 EP 2594048A1 EP 11743114 A EP11743114 A EP 11743114A EP 2594048 A1 EP2594048 A1 EP 2594048A1
Authority
EP
European Patent Office
Prior art keywords
data
network
transit
transmitted
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP11743114.8A
Other languages
German (de)
English (en)
Inventor
Ben Youcef Ech-Chergui
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Publication of EP2594048A1 publication Critical patent/EP2594048A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Definitions

  • the present invention relates to a method of securing a bidirectional communication channel between at least one originating network and a destination network through a transit network of a lower security level than the departure and destination networks, comprising the following steps:
  • the interconnection of secure networks is generally achieved through other non-dedicated communications networks and may have lower levels of security, for example a public network of Telecom operator.
  • the transport of data between two secure networks through a transit network generally requires an exchange of signaling and control data between the transit network and the secure networks.
  • These signaling and control data which are notably used by the IP and Ethernet protocols, are for example reception acknowledgments or Resource ReSerVation Protocol (RSVP) signaling flows for managing the quality of service of data transmission sessions.
  • RSVP Resource ReSerVation Protocol
  • the systematic encryption of the data transmitted by the secure networks prevents the exchange of signaling and control data between the secured networks and the transit network, so that a requested service for a session between the secured networks can not be satisfied. only on these secure networks, and not on the entire path of the data exchanged.
  • An alternative solution is to allow certain types of data to be transmitted in clear and uncontrolled through the transit network, ie to create an additional communication channel for certain types of data, but this solution includes risks because an attacker can exploit this channel to leak information from a secure network.
  • the patent application FR 2 924 552-A1 discloses a method for securing a bidirectional communication channel, making it possible to secure this additional communication channel.
  • the data to be transmitted are analyzed by a switching module which determines whether these data are of a type authorized to transit in clear on the transit network. If this is the case, for example if these data are signaling or control data, this data is filtered, so as to prevent the creation of a hidden channel between the secure networks, and transmitted in clear on the network of data. transit then to the destination network. If not, the data is encrypted and then transmitted to the destination network via the transit network.
  • This method while improving the interoperability between networks of different security levels and preventing the creation of a hidden channel between the originating network and the transit network, does not, however, offer satisfactory security. .
  • this method does not make it possible to guarantee the confidentiality of the data of the secured networks, because the data sent after filtering to the network may contain sensitive information.
  • an RSVP request is issued by a terminal transmitting the originating network to a receiving terminal of the destination network and to the transit network, to initiate a communication between these sending and receiving terminals, this request contains in particular the IP addresses of the sending and receiving terminals, which may be confidential .
  • this information is transmitted in clear on the transit network.
  • the transit network can access sensitive or confidential information that is incompatible with its security level.
  • the method described in the patent application FR 2 924 552-A1 allows the transmission of data from the transit network to the destination network at the initiative of the transit network.
  • the filtered data transmitted by the originating network are transmitted to the transit network, which then transmits this data to the destination network. Therefore, a terminal placed on the transit network may, on its own initiative, transmit data to the destination network, for example by simulating a sending by the originating network, and possibly disturbing or making unavailable the destination network or the equipment computer network.
  • the destination network can not determine whether these data are consistent with the data originally issued by the originating network, or if these data were actually issued by these networks.
  • the invention therefore aims to secure the transmission of data between two networks, through a network of lower security level, while allowing interoperability between these networks.
  • the subject of the invention is a security method of the aforementioned type, characterized in that it furthermore comprises, during the transmission of said first data from the originating network to the transit network and to the destination network. , the following steps:
  • the security method according to the invention also comprises the following characteristics, taken separately or in combination:
  • said first filtering step comprises a step of substitution of sensitive information included in said first data, incompatible with the security level of the transit network, with information compatible with the security level of the transit network; said first filtering step comprises a backup of a first connection context associated with said first data;
  • said second filtering step comprises the introduction into said second data of said substituted sensitive information during said substitution step.
  • the invention also relates to a device for securing a bidirectional communication channel between at least one originating network and a destination network through a transit network of a lower security level than the originating networks and destination, comprising:
  • a first filtering module comprising means for applying at least one analysis filter to data to be transmitted from the originating network to the transit network, to counter the creation of a hidden communication channel
  • a cryptographic data protection module able to protect data to be transmitted from the originating network to the destination network, through the transit network, said system being characterized in that it furthermore comprises at least one data module; switching, able to direct first data to be transmitted from the originating network to the transit network and to the destination network, to said first filtering module, to duplicate said first data, and to refer said first duplicate data to said module cryptographic protection.
  • the securing device according to the invention also comprises the following features, taken separately or in combination:
  • said first filtering module comprises means for substituting sensitive information included in said first data, which is incompatible with the security level of the transit network, with information compatible with the security level of the transit network; said first filtering module comprises means for saving a first connection context associated with said first data;
  • a second filtering module comprising:
  • said second filtering module comprises means for introducing into said second data said sensitive information substituted by said first filtering module.
  • FIG. 1 is a diagram illustrating the overall architecture of networks adapted to the implementation of the method according to the invention
  • FIG. 2 is a diagram of a security device according to one embodiment of the invention.
  • FIG. 3 is a block diagram illustrating steps of the method according to one embodiment of the invention, implemented by the securing device of FIG. 2;
  • FIG. 4 is a block diagram illustrating other steps of the method according to one embodiment of the invention, implemented by the securing device of FIG. 2;
  • FIG. 5 is a block diagram illustrating the implementation of a security method according to one embodiment of the invention, between the networks illustrated in FIG.
  • FIG. 1 shows the overall architecture of networks adapted to the implementation of the method according to one embodiment of the invention.
  • Two secure telecommunication networks N1 and N3, hereinafter referred to respectively as departure and destination networks, are able to communicate through a transit network N2, with a lower security level than the secure networks N1 and N3.
  • the secure networks N1 and N3 are, for example, internal corporate networks, and the transit network N2 a public network such as the Internet.
  • the originating network N1 comprises at least one transmitting terminal 3 and a securing device 5, connected by a wired or wireless connection 7 to the transmitting terminal 3.
  • the transmitting terminal 3 for example a computer, is able to exchange data with the transit network N2 and the destination network N3 via the security device 5, and in particular signaling and control data.
  • the security device 5 is cut off between the originating network N1 and the transit network N2, so that all the data exchanged between the sending terminal 3 and the transit network N2 necessarily pass through the security device 5.
  • the security device 5 is able to analyze the data transmitted by the sending terminal 3 to the transit network N2 or the destination network N3, to determine whether they are of a type authorized to transit in the clear on the network N2 of transit.
  • confidential data will be called data which are not of a type authorized to transit in the clear over the transit network N2, and non-confidential data of a type authorized to transit in clear on the N2 transit network.
  • Non-confidential data is, for example, signaling or control data, for example data associated with Session Initialization Protocol (SIP) requests, RSVP resource reservation requests, or Domain Name System (DNS) queries.
  • SIP Session Initialization Protocol
  • RSVP Resource reservation requests
  • DNS Domain Name System
  • the security device 5 is able to encrypt data deemed confidential issued by the transmitting terminal 3 and to transmit these data, once encrypted, to the destination network N3 through the N2 transit network. Moreover, the security device 5 is able to duplicate the data deemed non-confidential, to filter on a first copy of this data and to transmit the filtered data to the transit network N2. The security device 5 is also able to encrypt a second copy of these data and to transmit these encrypted data to the destination network N3.
  • the security device 5 is able to receive all the data transmitted by the transit network N2 or the destination network N3 to the transmitting terminal 3 and to transmit these data to the transmitting terminal 3 after filtering or decrypting these data. data. More specifically, the security device 5 is able to decrypt encrypted data transmitted by the destination network N3 and to transmit the decrypted data to the transmitter terminal 3. Moreover, the security device 5 is able to apply filtering on data transmitted in clear by the transit network N2, to block these data if they present a risk for the originating network N1, and to transmit the filtered data to the transmitting terminal 3 in the opposite case.
  • This security device 5 will be described in more detail with reference to FIG.
  • the destination network N3 comprises at least one receiver terminal 9 and a security device 11, connected by a wired or wireless connection 13 to the transmitter terminal 3.
  • the receiving terminal 9 for example a computer, is able to exchange data with the transit network N2 and the originating network N1 via the security device 11.
  • the security device 1 1 is installed in a cutoff between the transit network N2 and the destination network N3. It is identical in structure and operation to the device 5 for securing the originating network N1.
  • the transit network N2 comprises in particular several routers Ri, R 2 , R 3 , R n , interconnected by a mesh of links 13, which are for example wired links or radio links. Moreover, at least one router R ⁇ is connected to the security device 5 for securing the originating network N1, and at least one router R n is connected to the securing device of the destination network N3.
  • the routers Ri, R 2 , R3, Rn are capable of passing data between the devices 5, 1 1 for securing the networks N1, N3 of departure and destination, to receive signaling and control requests. transmitted by these devices 5, 1 1 of security, and to respond to these requests.
  • FIG. 2 illustrates, in a simplified manner, the architecture of a security device 5, placed in a cutoff between the sending terminal 3 and the router Ri of the transit network N2, both represented schematically.
  • the security device 5 comprises a first switching module 20, a cryptographic protection module 22, and a first filtering module 24, as well as a second switching module 26, a cryptographic verification module 28 and a second module 30 filtering.
  • the device 5 comprises a first input 5a connected to the transmitter terminal 3 by the link 7, a second input 5b connected to the router R 1; a first output 5c and a second output 5d connected to the transmitter terminal 3 by the link 7, a third output 5e and a fourth output 5f connected to the router
  • the first switching module 20 comprises an input 20a and two outputs 20b, 20c, its input 20a being connected to the first input 5a of the device 5.
  • the second Referring module 26 comprises an input 26a and two outputs 26b, 26c, its input 26a being connected to the second input 5b of the device 5.
  • the cryptographic protection module 22 comprises an input 22a, connected to the first output 20b of the first switching module 20, and an output 22b, connected to the third output 5e of the device 5.
  • the cryptographic verification module 28 comprises an input 28a. connected to the first output 26b of the second switching module 26, and an output 28b connected to the first output 5c of the device 5.
  • the first filtering module 24 comprises an input 24a, connected to the second output 20c of the first switching module, and two outputs 24b, 24c, its first output 24b being connected to the fourth output 5f of the device 5.
  • the second filtering module 30 comprises a first input 30a, connected to the second output 26c of the second switching module, a second input 30b, connected to the second output of the first filtering module 24, and an output 30c, connected to the second output 5d of the device 5.
  • the first switching module 20 is adapted to receive data transmitted by the transmitting terminal 3 to the receiving terminal 9, and to analyze these data to determine whether they must also be transmitted to the network N2.
  • the first routing module 20 is able to analyze the metadata associated with this data by the transport protocol used, and to determine from these metadata the nature of the data transmitted by the sending terminal 3.
  • This metadata is by for example, Open Source Interconnection (OSI) layer 3 IP protocol metadata including IP addresses, protocol numbers of the sender and receiver terminals, and the communication ports used.
  • OSI Open Source Interconnection
  • IP protocol metadata including IP addresses, protocol numbers of the sender and receiver terminals, and the communication ports used.
  • certain IP addresses and / or communication port numbers are associated with services or types of flows, for example signaling flows, authorized to transit through the N2 transit network. Other types of flows are dedicated to transfers of confidential information, thus requiring systematic cryptographic protection.
  • the first routing module 20 is able to duplicate the data to be transmitted both to the network N2 and the receiver terminal 9, to transmit a first copy of this data to the first filtering module 24, and to transmit a second copy of this data to the encryption module 22.
  • the first routing module 20 is able to transmit the data to the cryptographic protection module 22 if they must be transmitted only to the network N3.
  • the cryptographic protection module 22 comprises means for analyzing data transmitted by the first routing module 20, according to a predefined security policy, to determine whether this data is authorized to be transmitted to the destination network N3 and which type of protection cryptographic needs to be applied, depending on the level of confidentiality of these data. IPsec mechanisms are an example of applicable cryptographic protection.
  • the cryptographic protection module 22 also comprises means of cryptographic protection of the data authorized to be transmitted to the destination network N3, according to a certain type of cryptographic protection, and to transmit protected data, for example encrypted, to the destination network N3. , through the N2 network.
  • the cryptographic protection module 22 is furthermore capable of blocking unauthorized data to be transmitted to the destination network N3.
  • the first filter module 24 is able to receive data transmitted by the first switching module 20, to determine the nature of these data, to apply several filters to these data, depending on the nature of these data, in particular a filter syntactical analysis, a semantic analysis filter and a substitution filter, to transmit these data, after filtering, to the transit network N2, or to block the transmission of these data if the parsing filters, or semantic analysis detect an anomaly.
  • the first filter module 24 comprises for this purpose a database of filters, each filter corresponding to a type of data to be checked.
  • a filter is formed, for example, of a set of parameters and / or software components.
  • the database includes a filter for controlling RSVP protocol resource reservation requests.
  • the filters for parsing, semantic analysis and substitution are able to counter the creation of a hidden communication channel.
  • the parsing filter is able to verify that the data to be transmitted respect the format defined in the standards and standards of the protocol used, and that no field of these data is diverted from its object.
  • the parsing filter is able to detect anomalies in the values of the fields, which could hide a data leak.
  • the semantic analysis filter is able to check the automaton of the possible states for a given protocol, and the consistency of the sequences of these states, and to detect any hidden meaning concealed in a query. For example, the semantic analysis filter is able to prohibit the transmission of data corresponding to a state intermediary of the protocol used if the data corresponding to the previous states have not been transmitted.
  • the semantic analysis filter is able to extract data to transmit a connection context associated with them, to save this context and to transmit it to the second filtering module 30.
  • the substitution filter is able to replace sensitive information contained in the data to be transmitted, a level of security incompatible with the security level of the transit network N2, with information of a level of security compatible with the network N2. , so as to reduce the risk of information leakage from the network N1 to the network N2, and to transmit these sensitive information substituted for the second filtering module 30.
  • this data may contain information considered as sensitive, which must not be communicated to the network N2, for example the IP addresses of the sending and receiving terminals, the telephone numbers of these terminals if they are telephones, or any other information relating to the identity of the transmitter and the receiver.
  • the substitution filter is thus able to substitute the IP addresses of the transmitter 3 and receiver terminals 9 by the respective IP addresses of the security devices 5 and 11.
  • the second switching module 26 is able to receive data transmitted by router R1 to the network N1, for example from the transmitting terminal 3. These data are for example encrypted data transmitted by the receiving terminal 9, via the device 11. security, or unencrypted data transmitted by the network N2. The second switching module 26 is thus able to direct the cryptographically protected data to the cryptographic verification module 28, and the unprotected data to the second filtering module 30.
  • the cryptographic verification module 28 is able to apply a cryptographic processing, according to the data transmitted by the second routing module 26, and to transmit these data, once decrypted, to the transmitting terminal 9.
  • the second filter module 30 is adapted to receive data transmitted by the second switching module 26, to determine the nature of these data, to apply several filters to these data, depending on their nature, in particular an analysis filter. syntax, a semantic analysis filter and a transposition filter, to transmit these data, after filtering, to the transmitting terminal 9, or to block the transmission of these data if the parsing or semantic analysis filters detect a anomaly. Furthermore, the second filtering module 30 is adapted to receive connection contexts transmitted by the first filtering module 24 and to save them.
  • the second filtering module 30 also comprises a filter database, each filter corresponding to a type of data to be checked.
  • the parsing filter is similar to the parsing filter of the first filtering module 24.
  • the semantic analysis filter is able to compare the connection context of the data to be transmitted to one or more saved connection contexts and block the transmission of these data if these contexts are inconsistent, that is to say if these data do not correspond to a response to a request sent by the transmitting terminal 3.
  • the semantic analysis filter is therefore able to prevent the transmission to the sending terminal 3, hence on the network N1, of requests initiated by the network N2.
  • the transposition filter is able to introduce in the data to be transmitted the sensitive information replaced by the substitution filter of the first filtering module 24, for example the IP addresses of the transmitting terminal 3 and the receiving terminal 9, so that these data can subsequently be transmitted to the transmitting terminal 3.
  • the security device 5 is preferably installed in a controlled space, for example in an enclosure of the network N1, to physically protect its inputs and outputs against potential attackers.
  • the securing device 5 is physically shielded, in particular, to prevent attacks by auxiliary channels, in particular by analyzing the electric current consumed by the device or the electromagnetic radiation emitted by the device.
  • FIG. 3 shows the steps implemented by the security device 5 when it receives data D transmitted by the transmitting terminal 3 to the receiving terminal 9, the data D being transmitted according to a given protocol P.
  • the data D transmitted by the transmitting terminal 3 are received by the first switching module 20.
  • the latter analyzes the data D to determine whether they are to be transmitted or not to the network N2.
  • the first routing module 20 sends them to the module 22 cryptographic protection.
  • the cryptographic protection module 22 encrypts the data D, then transmits these encrypted data in a step 44 to the network N3, through the network N2.
  • the first routing module 20 duplicates the data D, sends a first copy Di of these data to the cryptographic protection module 22 and a second copy D 2 to the first filtering module 24.
  • a request sent by a resource reservation service from the transmitting terminal 3 to intermediate relay equipment, some of which are located on the network N2, is directed to the first filter module 24 before being transmitted to N2 network equipment.
  • This same request is also directed to the encryption module 22 so that it can be transmitted, securely, to the remote network N3 security level higher than N2.
  • This example can, of course, be extended to a multitude of services.
  • the data is then encrypted and sent to the network N3 following steps 42 and 44.
  • the data D 2 is received by the first filtering module 24, which applies, during a first filtering step 48, several filters to these data, notably a parsing filter, a semantic analysis filter and a substitution filter, as described with reference to FIG.
  • the first filtering module 24 verifies that the data D 2 respect the format defined in the standards and standards of the protocol P, and that no field of these data D 2 n ' is diverted from his object.
  • the first filtering module 24 checks the automaton of the possible states for the protocol P, and the coherence of the sequences of these states, and detects a possible hidden meaning concealed in these data. In addition, during step 52, the first filtering module 24 extracts data D 2 from the connection context associated with them, saves this context and transmits it to the second filtering module 30.
  • the first filtering module 24 replaces the sensitive information contained in the data D 2 , a security level incompatible with the security level of the network N2, by information of a level of security compatible with the N2 network.
  • the first filtering module 24 transmits the substituted sensitive information to the second filtering module.
  • the parsing or semantic analysis filters detect an anomaly, the data is blocked at 56 and not transmitted to the network N2. If no anomaly is detected, the first filtering module transmits during a step 58 the data obtained after the filtering 48 to the network N2.
  • FIG. 4 also shows the steps implemented by the security device 5 when it receives data D transmitted by the receiving terminal. 9 or N2 network to the transmitter terminal 3, following a data transmission as described with reference to Figure 3.
  • Data D ' is received by the second switching module 30.
  • the second routing module 30 transmits the data D 'to the cryptographic verification module 28 if it is cryptographically protected, and to the second filtering module 30 if it is not.
  • the cryptographic verification module 28 applies a cryptographic verification process (for example, a decryption) on the data D'. Then, in a step 64, it transmits the data resulting from the processing to the transmitting terminal 3.
  • a cryptographic verification process for example, a decryption
  • the second filtering module 30 applies on these data, during a second filtering step 66, a parsing filter, a semantic analysis filter and a transposition filter. .
  • the second filtering module 30 verifies that the data D 'respect the format defined in the standards and standards of the protocol P, and that no field of these data D' n ' is diverted from his object.
  • the second filtering module 30 compares the connection context of the data D 'to the connection context transmitted by the first filtering module 24 during the step 52.
  • the second filtering module blocks at 72 the transmission of data D'.
  • the second filtering module 30 reintroduces into the data D the sensitive information replaced by the first filtering module 24 during the step 54, for example the IP addresses of the sending terminal 3 and the receiving terminal 9.
  • the second filtering module 30 transmits the filtered data to the transmitting terminal 3.
  • FIG. 5 is a diagram illustrating an exemplary implementation of the method according to the invention, during the initiation of a resource reservation communication between the sending terminal 3 of the network N1 and the receiving terminal 9 of the network N3, then during the transmission of the data of this communication between the transmitter 3 and receiver 9 terminals.
  • Routers R 1, R 2 , R 3, R n of the transit network N 2 are not represented in this figure.
  • the transmitting terminal 3 transmits an RSVP message M, requesting a reservation of resources between the transmitting terminal 3 and the receiving terminal 9.
  • the RSVP message M must therefore be transmitted both on the network N2, between the security devices 5 and 1 1, so as to reserve the necessary resources between the routers of the network N2, and on the network N3, to reserve the necessary resources between the device 1 1 security and receiving terminal 9.
  • This RSVP message M is sent by the sending terminal 3 to establish the list of routers of the path that will be followed by the data of the communication. It comprises a header, including in particular a field indicating that it is a message of "Path" type, and several objects indicating the IP address of the sending terminal 3, denoted IP 3 , the IP address of the receiver terminal 9, denoted IP 9 , the port numbers of the transmitter terminals 3 and receiver 9, denoted respectively P 3 and P 9 , and the quantity Q of resources to be reserved.
  • the message M transmitted by the transmitting terminal 3 is transmitted to the security device 5, and more precisely to the first routing module 20.
  • the latter analyzes the message M and determines that it is a signaling flow that must be transmitted to the network N2.
  • the first routing module 20 duplicates the message M, and transmits first a first copy of this message to the first filtering module 24 and a second copy of this message to the cryptographic protection module 22.
  • the first filtering module 24 determines the nature of this message, in this case detects that it is a reservation message, and applies the syntax and semantic analysis filters of its base. data adapted to the reservation messages.
  • the parsing filter thus verifies that the message M respects the format defined in the standards and standards of the RSVP protocol used.
  • the semantic analysis filter determines the connection context of the message M, in particular the fact that it is a reservation request of the "Path" type, and transmits this connection context to the second module 30. filtering.
  • the first filtering module 24 then applies to the message M a substitution filter, which replaces, in the message M, the IP address 3 and the IP address 9. transmitter terminals 3 and receiver 9 by the IP addresses of the security devices 5 and 1 1, denoted IP 5 and IPn.
  • the first filtering module 24 transmits a filtered message
  • M (Path, IP 5 , IP 1 1 , P 3 , P 9 , Q) to the transit network N2.
  • the filtered message M contains no sensitive information relating to the identity of the transmitter 3 and receiver 9 terminals, so that this information does not circulate in clear on the network N2.
  • this filtered message M includes only the IP addresses 5 and IPn of the devices 5 and 1 1 securing, it is only transmitted on the network N2 between these devices 5 and 1 1, and is not transmitted at any time. in the N3 network.
  • the filtered message M is therefore a request for reservation of resources between the devices 5 and 1 1 of securing. It is transmitted on the network N2 via at least some of the routers Ri, R 2 , R 3 , R n , until the device 1 1 of securing, and the reservation of the requested resources is performed on the network N 2. It is never transmitted on the N3 network.
  • the message E is received by the second routing module 26, which transmits it to the second filtering module 30 since this message E is not encrypted.
  • the second filtering module 30 analyzes the message E to counter any attempt to create a hidden communication channel and intrusion on the network N1 by the network N2.
  • the second filter module 20 applies a semantic filter to the message E and verifies that its connection context corresponds to a saved connection context.
  • the message E actually being a response to a request sent by the security device 5, it is authorized to be transmitted to the transmitting terminal 3.
  • the second filtering module 20 applies a transposition filter to the message E, so as to reintroduce in this message the IP 3 and IP 9 addresses of the transmitter 3 and receiver 9 terminals.
  • the encrypted message M f (Path, IP 3 , IP 9 , P 3 , P 9 , Q) is transmitted through the network N2 to the network N3.
  • This message M is received by the referral module of the device 1 1 security, which transmits it to the cryptographic verification module of this device.
  • the encrypted message M is then decrypted, and the decrypted message M transmitted on the network N3 to the receiving terminal 9.
  • the necessary resources are then reserved between the device 1 1 and the receiving terminal 9.
  • the sending terminal 3 If the sending terminal 3 does not receive an error message indicating a failure when reserving resources, it then transmits the DM data for which the resources have been reserved.
  • the device 11 then decrypts this data, then transmits the decrypted data DM to the receiving terminal 9.
  • the verification of the connection context associated with any data transmitted by the network N2 to the network N1 or to the network N3 makes it possible to prevent any communication, potentially dangerous, at the initiative of the network N2.
  • the method according to the invention can therefore be seen as a cryptographic protection method with controlled interoperability.
  • the level of interoperability with less secure networks is configured according to the proportion of services allowed to transmit information to the N2 network of lesser security via the filtering step and according to the context of use and the associated level of threats.
  • the security method is implemented between more than two secured networks, through several networks of lower security levels, each of the secured networks being equipped with at least one security device. according to the invention.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

L'invention concerne un procédé de sécurisation d'un canal de communication bidirectionnel entre au moins un réseau (N1 ) de départ et un réseau (N3) de destination à travers un réseau (N2) de transit d'un niveau de sécurité plus faible que les réseaux de départ et de destination. Le procédé comprend les étapes suivantes lors d'une transmission d'un type de premières données du réseau (N1 ) de départ vers le réseau (N2) de transit et vers le réseau (N3) de destination au travers du réseau (N2) de transit : mise en œuvre d'un filtrage (48) desdites données, comprenant une application (50, 52) d'un filtre d'analyse sur lesdites données pour parer la création d'un canal de communication caché, transmission (76) desdites données filtrées vers le réseau (N2) de transit, duplication (46) desdites données, protection cryptographique (42) desdites données dupliquées, transmission (44) desdites données protégées vers le réseau (N3) de destination. Lesdites données filtrées ne sont pas transmises par le réseau (N2) de transit sur le réseau (N3) de destination.

Description

Procédé et dispositif de sécurisation d'un canal de communication bidirectionnel inter-niveaux
La présente invention concerne un procédé de sécurisation d'un canal de communication bidirectionnel entre au moins un réseau de départ et un réseau de destination à travers un réseau de transit d'un niveau de sécurité plus faible que les réseaux de départ et de destination, comprenant les étapes suivantes :
- lors d'une transmission d'au moins un type de premières données du réseau de départ vers le réseau de transit et vers le réseau de destination au travers du réseau de transit :
- mise en œuvre d'une première étape de filtrage desdites premières données, comprenant une application d'au moins un filtre d'analyse sur lesdites premières données pour parer la création d'un canal de communication caché,
- transmission desdites premières données filtrées vers le réseau de transit.
Elle s'applique en particulier à la transmission de données de signalisation et de contrôle lors de l'établissement et du maintien d'une communication entre deux réseaux sécurisés, à travers un réseau de sécurité plus faible.
L'interconnexion de réseaux sécurisés, par exemple des réseaux informatiques de filiales d'une entreprise, est généralement réalisée au travers d'autres réseaux de communications non dédiés et pouvant avoir des niveaux de sécurité moins élevés, par exemple un réseau public d'un opérateur télécom.
Les normes de sécurité concernant les communications entre des réseaux de niveaux de sécurité différents imposent souvent des contraintes contradictoires avec les exigences d'interopérabilité entre ces réseaux, mais aussi avec les performances souhaitées en termes de transport de données.
Par exemple, pour sécuriser un canal de communication entre deux réseaux sécurisés, à travers un réseau de transit de niveau de sécurité plus faible, il est connu de placer à la périphérie des deux réseaux sécurisés un équipement de sécurité, par exemple un chiffreur IP, de manière à chiffrer, respectivement déchiffrer, les données émises, respectivement reçues par ces réseaux. Ainsi, toutes les données émises par ces réseaux sont transmises à travers le réseau de transit sous forme chiffrée, et aucune donnée issue de ces réseaux sécurisés ne transite en clair, c'est-à-dire sous une forme non chiffrée, sur le réseau de transit.
Cependant, ce cloisonnement des réseaux sécurisés a pour conséquence une rupture d'interopérabilité entre les réseaux sécurisés et le réseau de transit, provoquant une limitation des services offerts aux réseaux sécurisés. Notamment, le chiffrement systématique des données émises par les réseaux sécurisés rend impossible une interaction avec le réseau de transit.
Or, le transport de données entre deux réseaux sécurisés à travers un réseau de transit nécessite généralement un échange de données de signalisation et de contrôle entre le réseau de transit et les réseaux sécurisés. Ces données de signalisation et de contrôle, qui sont notamment utilisées par les protocoles IP et Ethernet, sont par exemple des acquittements de réception ou des flux de signalisation RSVP (Resource ReSerVation Protocol) permettant de gérer la qualité de service de sessions de transmissions de données. Le chiffrement systématique des données émises par les réseaux sécurisés empêche l'échange de données de signalisation et de contrôle entre les réseaux sécurisés et le réseau de transit, de telle sorte qu'un service demandé pour une session entre les réseaux sécurisés ne peut être satisfait que sur ces réseaux sécurisés, et non sur l'ensemble du parcours des données échangées.
Une solution alternative consiste à autoriser certains types de données choisis à transiter en clair et sans contrôle à travers le réseau de transit, c'est-à-dire à créer un canal de communication supplémentaire pour certains types de données, mais cette solution comporte des risques, car un attaquant peut exploiter ce canal pour faire fuir des informations d'un réseau sécurisé.
Pour pallier cet inconvénient, on connaît de la demande de brevet FR 2 924 552- A1 un procédé de sécurisation d'un canal bidirectionnel de communication, permettant de sécuriser ce canal de communication supplémentaire. Selon ce procédé, lors d'une transmission de données émises par un réseau sécurisé de départ vers un réseau sécurisé de destination à travers un réseau de transit de sécurité plus faible, les données à émettre sont analysées par un module d'aiguillage qui détermine si ces données sont d'un type autorisé à transiter en clair sur le réseau de transit. Si c'est le cas, par exemple si ces données sont des données de signalisation ou de contrôle, ces données sont filtrées, de manière à parer la création d'un canal caché entre les réseaux sécurisés, et transmises en clair sur le réseau de transit puis sur le réseau de destination. Dans le cas contraire, les données sont chiffrées, puis transmises au réseau de destination via le réseau de transit.
Ce procédé, s'il permet d'améliorer l'interopérabilité entre des réseaux de niveaux de sécurité différents et de prévenir la création d'un canal caché entre le réseau de départ et le réseau de transit, n'offre cependant pas une sécurité satisfaisante.
Notamment, ce procédé ne permet pas de garantir la confidentialité des données des réseaux sécurisés, car les données envoyées après filtrage vers le réseau peuvent contenir des informations sensibles. Par exemple, lorsqu'une requête RSVP est émise par un terminal émetteur du réseau de départ vers un terminal récepteur du réseau de destination et vers le réseau de transit, pour initier une communication entre ces terminaux émetteur et récepteur, cette requête contient notamment les adresses IP des terminaux émetteurs et récepteurs, qui peuvent être confidentielles. Or, ces informations sont transmises en clair sur le réseau de transit.
Ainsi, le réseau de transit peut accéder à des informations sensibles ou confidentielles incompatibles avec son niveau de sécurité.
De plus, le procédé décrit dans la demande de brevet FR 2 924 552-A1 autorise la transmission de données du réseau de transit au réseau de destination à l'initiative du réseau de transit. En effet, les données filtrées émises par le réseau de départ sont transmises au réseau de transit, qui transmet ensuite ces données au réseau de destination. Dès lors, un terminal placé sur le réseau de transit peut émettre de sa propre initiative des données vers le réseau de destination, par exemple en simulant un envoi par le réseau de départ, et éventuellement perturber ou rendre indisponible le réseau de destination ou les équipements informatiques de ce réseau. En effet, le réseau de destination ne peut pas déterminer si ces données sont conformes aux données initialement émises par le réseau de départ, ni si ces données ont réellement été émises par ces réseaux.
L'invention a donc pour but de sécuriser la transmission de données entre deux réseaux, à travers un réseau de niveau de sécurité plus faible, tout en permettant une interopérabilité entre ces réseaux.
A cette fin, l'invention a pour objet un procédé de sécurisation du type précité, caractérisé en ce qu'il comprend en outre, lors de la transmission desdites premières données du réseau de départ vers le réseau de transit et vers le réseau de destination, les étapes suivantes :
- duplication desdites premières données,
- protection cryptographique desdites premières données dupliquées,
- transmission desdites premières données protégées vers le réseau de destination, à travers le réseau de transit,
et en ce que lesdites premières données filtrées ne sont pas transmises par le réseau de transit sur le réseau de destination. Le procédé de sécurisation selon l'invention comporte également les caractéristiques suivantes, prises séparément ou en combinaison :
- ladite première étape de filtrage comprend une étape de substitution d'informations sensibles comprises dans lesdites premières données, incompatibles avec le niveau de sécurité du réseau de transit, par des informations compatibles avec le niveau de sécurité du réseau de transit ; - ladite première étape de filtrage comprend une sauvegarde d'un premier contexte de connexion associé auxdites premières données ;
- il comprend entre outre, lors d'une transmission de deuxièmes données émises par le réseau de transit vers le réseau de départ, une deuxième étape de filtrage desdites deuxièmes données, comprenant :
- une comparaison d'un deuxième contexte de connexion associé auxdites deuxièmes données audit premier contexte de connexion,
- si lesdits premier et deuxième contextes sont incohérents, un blocage desdites deuxièmes données,
- si lesdits premier et deuxième contextes sont cohérents, une application d'au moins un filtre d'analyse sur lesdites deuxièmes données et une transmission desdites deuxièmes données filtrées vers le réseau N1 ;
- ladite deuxième étape de filtrage comprend l'introduction dans lesdites deuxièmes données desdites informations sensibles substituées lors de ladite étape de substitution.
L'invention a également pour objet un dispositif de sécurisation d'un canal de communication bidirectionnel entre au moins un réseau de départ et un réseau de destination à travers un réseau de transit d'un niveau de sécurité plus faible que les réseaux de départ et de destination, comprenant :
- une premier module de filtrage, comprenant des moyens pour appliquer au moins un filtre d'analyse sur des données à transmettre du réseau de départ vers le réseau de transit, pour parer la création d'un canal de communication caché,
- un module de protection cryptographique de données, apte à protéger des données à transmettre du réseau de départ vers le réseau de destination, à travers le réseau de transit, ledit système étant caractérisé en ce qu'il comprend en outre au moins un module d'aiguillage, apte à aiguiller des premières données à transmettre du réseau de départ vers le réseau de transit et vers le réseau de destination, vers ledit premier module de filtrage, à dupliquer lesdites premières données, et à aiguiller lesdites premières données dupliquées vers ledit module de protection cryptographique.
Le dispositif de sécurisation selon l'invention comporte également les caractéristiques suivantes, prises séparément ou en combinaison :
- ledit premier module de filtrage comprend des moyens pour substituer des informations sensibles comprises dans lesdites premières données, incompatibles avec le niveau de sécurité du réseau de transit, par des informations compatibles avec le niveau de sécurité du réseau de transit ; - ledit premier module de filtrage comprend des moyens pour sauvegarder un premier contexte de connexion associé auxdites premières données ;
- il comprend entre outre un deuxième module de filtrage, comprenant :
- des moyens pour comparer un deuxième contexte de connexion associé à des deuxièmes données émises par le réseau de transit vers le réseau de départ audit premier contexte de connexion,
- des moyens pour bloquer lesdites deuxièmes données si lesdits premier et deuxième contextes sont incohérents,
- des moyens pour appliquer au moins un filtre d'analyse sur lesdites deuxièmes données et pour transmettre lesdites deuxièmes données filtrées vers le réseau de départ si lesdits premier et deuxième contextes sont cohérents ;
- ledit deuxième module de filtrage comprend des moyens pour introduire dans lesdites deuxièmes données lesdites informations sensibles substituées par ledit premier module de filtrage.
L'invention sera davantage comprise au regard d'exemples de réalisation de l'invention qui vont maintenant être décrits en faisant référence aux figures annexées parmi lesquelles :
- la figure 1 est un schéma illustrant l'architecture globale de réseaux adaptés à la mise en œuvre du procédé selon l'invention ;
- la figure 2 est un schéma d'un dispositif de sécurisation selon un mode de réalisation de l'invention ;
- la figure 3 est un schéma synoptique illustrant des étapes du procédé selon un mode de réalisation de l'invention, mises en œuvre par le dispositif de sécurisation de la figure 2 ;
- la figure 4 est un schéma synoptique illustrant d'autres étapes du procédé selon un mode de réalisation de l'invention, mises en œuvre par le dispositif de sécurisation de la figure 2 ; et
- la figure 5 est un schéma synoptique illustrant la mise en œuvre d'un procédé de sécurisation selon un mode de réalisation de l'invention, entre les réseaux illustrés sur la figure 1 .
On a représenté sur la figure 1 l'architecture globale de réseaux adaptés à la mise en œuvre du procédé selon un mode de réalisation de l'invention.
Deux réseaux de télécommunication sécurisés N1 et N3, appelés par la suite respectivement réseaux de départ et de destination, sont aptes à communiquer à travers un réseau N2 de transit, de niveau de sécurité plus faible que les réseaux sécurisés N1 et N3. Les réseaux sécurisés N1 et N3 sont par exemple des réseaux internes d'entreprise, et le réseau de transit N2 un réseau public tel qu'Internet.
Le réseau N1 de départ comprend au moins un terminal émetteur 3 et un dispositif 5 de sécurisation, relié par une liaison 7 filaire ou sans fil au terminal émetteur 3.
Le terminal émetteur 3, par exemple un ordinateur, est apte à échanger des données avec le réseau N2 de transit et le réseau N3 de destination par l'intermédiaire du dispositif 5 de sécurisation, et notamment des données de signalisation et de contrôle.
Le dispositif 5 de sécurisation est en coupure entre le réseau N1 de départ et le réseau N2 de transit, de telle sorte que toutes les données échangées entre le terminal émetteur 3 et le réseau N2 de transit passent obligatoirement par le dispositif 5 de sécurisation.
Le dispositif 5 de sécurisation est apte à analyser les données émises par le terminal émetteur 3 à destination du réseau N2 de transit ou du réseau N3 de destination, pour déterminer si elles sont d'un type autorisé à transiter en clair sur le réseau N2 de transit. Dans le suite de la description, on appellera données confidentielles les données qui ne sont pas d'un type autorisé à transiter en clair sur le réseau N2 de transit, et données non confidentielles les données d'un type autorisé à transiter en clair sur le réseau N2 de transit.
Les données non confidentielles sont par exemple des données de signalisation ou de contrôle, par exemple des données associées à des requêtes SIP (Session Initialization Protocol), des requêtes de réservation de ressources RSVP, ou des requêtes DNS (Domain Name System).
Le dispositif 5 de sécurisation est apte à chiffrer des données jugées confidentielles émises par le terminal émetteur 3 et à transmettre ces données, une fois chiffrées, vers le réseau N3 de destination à travers le réseau N2 de transit. Par ailleurs, le dispositif 5 de sécurisation est apte à dupliquer les données jugées non confidentielles, à appliquer un filtrage sur un premier exemplaire de ces données et à transmettre ces données filtrées vers le réseau N2 de transit. Le dispositif 5 de sécurisation est également apte à chiffrer un deuxième exemplaire de ces données et à transmettre ces données chiffrées vers le réseau N3 de destination.
De plus, le dispositif 5 de sécurisation est apte à recevoir toutes les données émises par le réseau N2 de transit ou le réseau N3 de destination vers le terminal émetteur 3 et à transmettre ces données au terminal émetteur 3 après un filtrage ou un déchiffrement de ces données. Plus précisément, le dispositif 5 de sécurisation est apte à déchiffrer des données chiffrées émises par le réseau N3 de destination et à transmettre les données déchiffrées au terminal émetteur 3. Par ailleurs, le dispositif 5 de sécurisation est apte à appliquer un filtrage sur des données émises en clair par le réseau N2 de transit, à bloquer ces données si elles présentent un risque pour le réseau N1 de départ, et à transmettre les données filtrées au terminal 3 émetteur dans le cas contraire.
Ce dispositif 5 de sécurisation sera décrit plus en détail en référence à la figure 2.
Le réseau N3 de destination comprend au moins un terminal récepteur 9 et un dispositif 1 1 de sécurisation, relié par une liaison 13 filaire ou sans fil au terminal émetteur 3.
Le terminal récepteur 9, par exemple un ordinateur, est apte à échanger des données avec le réseau N2 de transit et le réseau N1 de départ par l'intermédiaire du dispositif 1 1 de sécurisation.
Le dispositif 1 1 de sécurisation est installé en coupure entre le réseau N2 de transit et le réseau N3 de destination. Il est de structure et de fonctionnement identique au dispositif 5 de sécurisation du réseau N1 de départ.
Le réseau N2 de transit comprend notamment plusieurs routeurs Ri , R2, R3, Rn, interconnectés par un maillage de liens 13, qui sont par exemple des liens filaires ou des liens radios. Par ailleurs, au moins un routeur R^ est relié au dispositif 5 de sécurisation du réseau N1 de départ, et au moins un routeur Rn est relié au dispositif de sécurisation du réseau N3 de destination.
De manière connue, les routeurs Ri , R2, R3, Rn sont aptes à faire transiter des données entre les dispositifs 5, 1 1 de sécurisation des réseaux N1 , N3 de départ et de destination, à recevoir des requêtes de signalisation et de contrôle transmises par ces dispositifs 5, 1 1 de sécurisation, et à répondre à ces requêtes.
La figure 2 illustre, de manière simplifiée, l'architecture d'un dispositif 5 de sécurisation, placé en coupure entre le terminal émetteur 3 et le routeur Ri du réseau N2 de transit, tous deux représentés de manière schématique.
Le dispositif 5 de sécurisation comporte un premier module 20 d'aiguillage, un module 22 de protection cryptographique, et un premier module 24 de filtrage, ainsi qu'un deuxième module 26 d'aiguillage, un module 28 de vérification cryptographique et un deuxième module 30 de filtrage.
Le dispositif 5 comporte une première entrée 5a reliée au terminal émetteur 3 par le lien 7, une deuxième entrée 5b reliée au routeur R1 ; une première sortie 5c et une deuxième sortie 5d reliées au terminal émetteur 3 par le lien 7, une troisième sortie 5e et une quatrième sortie 5f reliées au routeur
Le premier module 20 d'aiguillage comprend une entrée 20a et deux sorties 20b, 20c, son entrée 20a étant connectée à la première entrée 5a du dispositif 5. Le deuxième module 26 d'aiguillage comprend une entrée 26a et deux sorties 26b, 26c, son entrée 26a étant connectée à la deuxième entrée 5b du dispositif 5.
Le module 22 de protection cryptographique comprend une entrée 22a, connectée à la première sortie 20b du premier module 20 d'aiguillage, et une sortie 22b, connectée à la troisième sortie 5e du dispositif 5. Le module 28 de vérification cryptographique comprend une entrée 28a, connectée à la première sortie 26b du deuxième module 26 d'aiguillage, et une sortie 28b, connectée a la première sortie 5c du dispositif 5.
Le premier module 24 de filtrage comprend une entrée 24a, connectée à la deuxième sortie 20c du premier module d'aiguillage, et deux sorties 24b, 24c, sa première sortie 24b étant connectée a la quatrième sortie 5f du dispositif 5.
Le deuxième module 30 de filtrage comprend une première entrée 30a, connectée à la deuxième sortie 26c du deuxième module d'aiguillage, une deuxième entrée 30b, connectée à la deuxième sortie du premier module 24 de filtrage, et une sortie 30c, connectée a la deuxième sortie 5d du dispositif 5.
Le premier module 20 d'aiguillage est apte à recevoir des données émises par le terminal émetteur 3 à destination du terminal récepteur 9, et à analyser ces données pour déterminer si celles-ci doivent également être transmises à destination du réseau N2. Par exemple, le premier module 20 d'aiguillage est apte à analyser les métadonnées associées à ces données par le protocole de transport utilisé, et à déterminer à partir de ces métadonnées la nature des données émises par le terminal émetteur 3. Ces métadonnées sont par exemple les métadonnées du protocole IP relatives à la couche 3 du modèle OSI (« Open System Interconnection ») comprenant les adresses IP, les numéros de protocole des terminaux émetteur et récepteur et les ports de communication employés. En effet, certaines adresses IP et/ou numéros de ports de communication sont associés à des services ou à des types de flux, par exemple des flux de signalisation, autorisés à transiter au travers du réseau N2 de transit. D'autres types de flux sont dédiés à des transferts d'informations confidentielles, donc nécessitant une protection cryptographique systématique.
Par ailleurs, le premier module 20 d'aiguillage est apte à dupliquer les données devant être transmises à la fois à destination du réseau N2 et du terminal récepteur 9, à transmettre un premier exemplaire de ces données au premier module 24 de filtrage, et à transmettre un deuxième exemplaire de ces données au module 22 de chiffrement.
Le premier module 20 d'aiguillage est apte à transmettre les données au module 22 de protection cryptographique si celles-ci doivent être transmises uniquement à destination du réseau N3. Le module 22 de protection cryptographique comprend des moyens pour analyser des données transmises par le premier module 20 d'aiguillage, suivant une politique de sécurité prédéfinie, pour déterminer si ces données sont autorisées à être transmises au réseau N3 de destination et quel type de protection cryptographique doit être appliqué, en fonction du niveau de confidentialité de ces données. Les mécanismes IPsec sont un exemple de protection cryptographique applicable.
Le module 22 de protection cryptographique comprend également des moyens de protection cryptographique des données autorisées à être transmises au réseau N3 de destination, suivant un type de protection cryptographique déterminé, et pour transmettre des données protégées, par exemple chiffrées, vers le réseau N3 de destination, à travers le réseau N2. Le module 22 de protection cryptographique est en outre apte à bloquer des données non autorisées à être transmises au réseau N3 de destination.
Le premier module 24 de filtrage est apte à recevoir des données transmises par le premier module 20 d'aiguillage, à déterminer la nature de ces données, à appliquer plusieurs filtres à ces données, en fonction de la nature de ces données, notamment un filtre d'analyse syntaxique, un filtre d'analyse sémantique et un filtre de substitution, à transmettre ces données, après filtrage, vers le réseau N2 de transit, ou à bloquer la transmission de ces données si les filtres d'analyse syntaxique, ou d'analyse sémantique détectent une anomalie.
Le premier module 24 de filtrage comprend pour cela une base de données de filtres, chaque filtre correspondant à un type de données à contrôler. Un filtre est formé, par exemple, d'un ensemble de paramètres et/ou de composants logiciels. Notamment, la base de données comprend un filtre pour contrôler les demandes de réservation de ressources du protocole RSVP.
Les filtres d'analyse syntaxique, d'analyse sémantique et de substitution sont aptes à parer la création d'un canal de communication caché.
En particulier, le filtre d'analyse syntaxique est apte à vérifier que les données à transmettre respectent le format défini dans les standards et normes du protocole utilisé, et qu'aucun champ de ces données n'est détourné de son objet. Notamment, le filtre d'analyse syntaxique est apte à détecter des anomalies dans les valeurs des champs, qui pourraient cacher une fuite de données.
Le filtre d'analyse sémantique est apte à vérifier l'automate des états possibles pour un protocole donné, et la cohérence des enchaînements de ces états, et à détecter un éventuel sens caché dissimulé dans une requête. Par exemple, le filtre d'analyse sémantique est apte à interdire l'émission de données correspondant à un état intermédiaire du protocole utilisé si les données correspondant aux états précédents n'ont pas été transmises.
De plus, le filtre d'analyse sémantique est apte à extraire des données à transmettre un contexte de connexion qui leur est associé, à sauvegarder ce contexte et à le transmettre au second module 30 de filtrage.
Le filtre de substitution est apte à remplacer des informations sensibles contenues dans les données à transmettre, d'un niveau de sécurité incompatible avec le niveau de sécurité du réseau N2 de transit, par des informations d'un niveau de sécurité compatible avec le réseau N2, de manière à diminuer le risque de fuite d'information du réseau N1 vers le réseau N2, et à transmettre ces informations sensibles substituées au second module 30 de filtrage.
En effet, ces données peuvent contenir des informations considérées comme sensibles, qui ne doivent pas être communiquées au réseau N2, par exemple les adresses IP des terminaux émetteur et récepteur, les numéros de téléphone des ces terminaux s'il s'agit de téléphones, ou toute autre information relative à l'identité de l'émetteur et du récepteur. Le filtre de substitution est ainsi apte à substituer les adresses IP des terminaux émetteur 3 et récepteur 9 par les adresses IP respectives des dispositifs 5 et 1 1 de sécurisation.
Le deuxième module 26 d'aiguillage est apte à recevoir des données transmises par routeur R1 à destination du réseau N1 , par exemple du terminal émetteur 3. Ces données sont par exemple des données chiffrées émises par le terminal récepteur 9, via le dispositif 1 1 de sécurisation, ou des données non chiffrées émises par le réseau N2. Le deuxième module 26 d'aiguillage est ainsi apte à aiguiller les données protégées cryptographiquement vers le module 28 de vérification cryptographique, et les données non protégées vers le deuxième module 30 de filtrage.
Le module 28 de vérification cryptographique est apte à appliquer un traitement cryptographique, suivant les données transmises par le deuxième module 26 d'aiguillage, et à transmettre ces données, une fois déchiffrées, vers le terminal émetteur 9.
Le deuxième module 30 de filtrage est apte à recevoir des données transmises par le deuxième module 26 d'aiguillage, à déterminer la nature de ces données, à appliquer plusieurs filtres à ces données, en fonction de leur nature, notamment un filtre d'analyse syntaxique, un filtre d'analyse sémantique et un filtre de transposition, à transmettre ces données, après filtrage, vers le terminal émetteur 9, ou à bloquer la transmission de ces données si les filtres d'analyse syntaxique ou d'analyse sémantique détectent une anomalie. Par ailleurs, le deuxième module 30 de filtrage est apte à recevoir des contextes de connexion transmis par le premier module 24 de filtrage et à les sauvegarder.
Le deuxième module 30 de filtrage comprend également une base de données de filtres, chaque filtre correspondant à un type de données à contrôler.
Le filtre d'analyse syntaxique est similaire au filtre d'analyse syntaxique du premier module 24 de filtrage.
Le filtre d'analyse sémantique est apte à comparer le contexte de connexion des données à transmettre à un ou plusieurs contextes de connexion sauvegardés et à bloquer la transmission de ces données si ces contextes sont incohérents, c'est-à-dire si ces données ne correspondent pas à une réponse à une requête émise par le terminal émetteur 3. Le filtre d'analyse sémantique est donc apte à empêcher la transmission au terminal émetteur 3, donc sur le réseau N1 , de requêtes à l'initiative du réseau N2.
Le filtre de transposition est apte à introduire dans les données à transmettre les informations sensibles remplacées par le filtre de substitution du premier module 24 de filtrage, par exemple les adresses IP du terminal émetteur 3 et du terminal récepteur 9, de telle sorte que ces données puissent par la suite être transmises jusqu'au terminal émetteur 3.
Le dispositif 5 de sécurisation est préférablement installé dans un espace contrôlé, par exemple dans une enceinte du réseau N1 , afin de protéger physiquement ses entrées et sorties contre des attaquants potentiels. Avantageusement, le dispositif 5 de sécurisation est physiquement blindé, notamment, pour éviter les attaques par canaux auxiliaires, via notamment l'analyse du courant électrique consommé par le dispositif ou le rayonnement électromagnétique émis par le dispositif.
On a représenté sur la figure 3 les étapes mises en œuvre par le dispositif 5 de sécurisation lorsqu'il reçoit des données D émises par le terminal émetteur 3 à destination du terminal récepteur 9, les données D étant émises suivant un protocole donné P.
Les données D émises par le terminal émetteur 3 sont reçues par le premier module 20 d'aiguillage. Dans une étape 40 d'aiguillage, celui-ci analyse les données D pour déterminer si elles sont à émettre ou non à destination du réseau N2.
Si ces données D doivent être transmises uniquement vers le réseau N3, le premier module 20 d'aiguillage les envoie vers le module 22 de protection cryptographique. Lors d'une étape 42 de chiffrement, le module 22 de protection cryptographique chiffre les données D, puis transmet ces données chiffrées lors d'une étape 44 vers le réseau N3, à travers le réseau N2.
Si les données D doivent être émises vers le réseau N2 et le réseau N3, dans une étape 46 de duplication, le premier module 20 d'aiguillage duplique les données D, envoie un premier exemplaire Di de ces données vers le module 22 de protection cryptographique et un deuxième exemplaire D2 vers le premier module 24 de filtrage.
Par exemple, une requête émise par un service de réservation de ressources depuis le terminal émetteur 3 à destination d'équipement relais intermédiaires, dont certains sont situés sur le réseau N2, est orientée vers le premier module 24 de filtrage avant d'être transmise aux équipements du réseau N2. Cette même requête est aussi orientée vers le module 22 de chiffrement afin qu'elle puisse être transmise, de façon sécurisée, au réseau distant N3 de niveau de sécurité supérieur à N2. Cet exemple peut, bien entendu, être étendu à une multitude de services.
Les données sont alors chiffrées et envoyées vers le réseau N3 suivant les étapes 42 et 44.
Parallèlement, les données D2 sont reçues par le premier module 24 de filtrage, qui applique, lors d'une première étape 48 de filtrage, plusieurs filtres à ces données, notamment un filtre d'analyse syntaxique, un filtre d'analyse sémantique et un filtre de substitution, tels que décrits en référence à la figure 2.
Notamment, lors d'une étape 50 d'analyse syntaxique, le premier module 24 de filtrage vérifie que les données D2 respectent le format défini dans les standards et normes du protocole P, et qu'aucun champ de ces données D2 n'est détourné de son objet.
Par ailleurs, lors d'une étape 52 d'analyse sémantique, le premier module 24 de filtrage vérifie l'automate des états possibles pour le protocole P, et la cohérence des enchaînements de ces états, et détecte un éventuel sens caché dissimulé dans ces données. De plus, lors de l'étape 52, le premier module 24 de filtrage extrait des données D2 le contexte de connexion qui leur est associé, sauvegarde ce contexte et le transmet au second module 30 de filtrage.
Puis, lors d'une étape 54 de substitution, le premier module 24 de filtrage remplace les informations sensibles contenues dans les données D2, d'un niveau de sécurité incompatible avec le niveau de sécurité du réseau N2, par des informations d'un niveau de sécurité compatible avec le réseau N2. Le premier module 24 de filtrage transmet les informations sensibles substituées au second module 30 de filtrage.
Si les filtres d'analyse syntaxique ou d'analyse sémantique détectent une anomalie, les données sont bloquées en 56 et non transmises vers le réseau N2. Si aucune anomalie n'est détectée, le premier module de filtrage transmet lors d'une étape 58 les données obtenues après le filtrage 48 vers le réseau N2.
On a par ailleurs représenté sur la figure 4 les étapes mises en œuvre par le dispositif 5 de sécurisation lorsqu'il reçoit des données D' émises par le terminal récepteur 9 ou le réseau N2 à destination du terminal émetteur 3, à la suite d'une émission de données telle que décrite en référence à la figure 3.
Les données D' sont reçues par le deuxième module 30 d'aiguillage. Dans une étape 60 d'aiguillage, le deuxième module 30 d'aiguillage transmet les données D' au module 28 de vérification cryptographique si elles sont protégées cryptographiquement, et au deuxième module 30 de filtrage si elles ne le sont pas.
Si les données D' sont protégées cryptographiquement, lors d'une étape 62 de déchiffrage, le module 28 de vérification cryptographique applique un traitement de vérification cryptographique (par exemple, un déchiffrement) sur les données D'. Puis, dans une étape 64, il transmet les données résultantes du traitement au terminal émetteur 3.
Si les données D' ne sont pas protégées cryptographiquement, le deuxième module 30 de filtrage applique sur ces données, lors d'une deuxième étape 66 de filtrage, un filtre d'analyse syntaxique, un filtre d'analyse sémantique et un filtre de transposition.
Notamment, lors d'une étape 68 d'analyse syntaxique, le deuxième module 30 de filtrage vérifie que les données D' respectent le format défini dans les standards et normes du protocole P, et qu'aucun champ de ces données D' n'est détourné de son objet.
Lors d'une étape 70 d'analyse sémantique, le deuxième module 30 de filtrage compare le contexte de connexion des données D' au contexte de connexion transmis par le premier module 24 de filtrage lors de l'étape 52.
Si une anomalie est détectée lors des étapes 68 ou 70, par exemple si le contexte de connexion des données D' ne correspond à aucun contexte de connexion, le deuxième module 30 de filtrage bloque en 72 la transmission des données D'.
Si aucune anomalie n'est détectée, lors d'une étape 74 de transposition, le deuxième module 30 de filtrage réintroduit dans les données D' les informations sensibles remplacées par le premier module 24 de filtrage lors de l'étape 54, par exemple les adresses IP du terminal émetteur 3 et du terminal récepteur 9.
Puis, lors d'une étape 76, le deuxième module 30 de filtrage transmet les données filtrées au terminal émetteur 3.
La figure 5 est un schéma illustrant un exemple de mise en œuvre du procédé selon l'invention, lors de l'initiation d'une communication par réservation de ressources entre le terminal émetteur 3 du réseau N1 et le terminal récepteur 9 du réseau N3, puis lors de la transmission des données de cette communication entre les terminaux émetteur 3 et récepteur 9. Les routeurs Ri , R2, R3, Rn du réseau N2 de transit ne sont pas représentés sur cette figure.
Pour initier cette communication, par exemple un échange de données multimédia avec le terminal récepteur 9, le terminal émetteur 3 émet un message RSVP M, demandant une réservation de ressources entre le terminal émetteur 3 et le terminal récepteur 9. Le message RSVP M doit donc être transmis à la fois sur le réseau N2, entre les dispositifs 5 et 1 1 de sécurité, de manière à réserver les ressources nécessaires entre les routeurs du réseau N2, et sur le réseau N3, pour réserver les ressources nécessaires entre le dispositif 1 1 de sécurité et le terminal récepteur 9.
Ce message RSVP M, généralement appelé « Path », est envoyé par le terminal émetteur 3 pour établir la liste des routeurs du chemin qui sera suivi par les données de la communication. Il comprend un en-tête, comprenant notamment un champ indiquant qu'il s'agit d'un message de type « Path », et plusieurs objets indiquant l'adresse IP du terminal émetteur 3, notée IP3, l'adresse IP du terminal récepteur 9, notée IP9, les numéros de port des terminaux émetteur 3 et récepteur 9, notés respectivement P3 et P9, ainsi que la quantité Q de ressources à réserver. Le message M peut ainsi être écrit sous la forme M = (Path, IP3, IP9, P3, P9, Q).
Le message M émis par le terminal émetteur 3 est transmis au dispositif 5 de sécurisation, et plus précisément au premier module 20 d'aiguillage.
Celui-ci analyse le message M et détermine qu'il s'agit d'un flux de signalisation qui doit être transmis au réseau N2. Le premier module 20 d'aiguillage duplique le message M, et transmet un premier un premier exemplaire de ce message au premier module 24 de filtrage et un deuxième exemplaire de ce message au module 22 de protection cryptographique.
Après réception du message M, le premier module 24 de filtrage détermine la nature de ce message, dans le cas présent détecte qu'il s'agit d'un message de réservation, et applique les filtres d'analyse syntaxique et sémantique de sa base de données adaptés aux messages de réservation.
Le filtre d'analyse syntaxique vérifie ainsi que le message M respecte le format défini dans les standards et normes du protocole RSVP utilisé.
Par ailleurs, le filtre d'analyse sémantique détermine le contexte de connexion du message M, notamment le fait qu'il s'agisse d'une requête de réservation de type « Path », et transmet ce contexte de connexion au second module 30 de filtrage.
Le premier module 24 de filtrage applique ensuite au message M un filtre de substitution, qui remplace notamment, dans le message M, les adresses IP3 et IP9 des terminaux émetteur 3 et récepteur 9 par les adresse IP des dispositifs de sécurisation 5 et 1 1 , notés IP5 et IPn .
A l'issue de ce filtrage, le premier module 24 de filtrage transmet un message filtré
M = (Path, IP5, IP1 1 , P3, P9, Q) vers le réseau N2 de transit.
Parallèlement, après réception du message M, le module 22 de protection cryptographique chiffre ce message, par exemple suivant des mécanismes cryptographiques IPsec, et transmet le message chiffré M , de la forme M = f (Path, IP3, IP9, P3, P9, Q), où f désigne une fonction de cryptage, vers le réseau N3 de destination, à travers le réseau N2 de transit.
Le message filtré M ne contient aucune information sensible relative à l'identité des terminaux émetteur 3 et récepteur 9, de telle sorte que ces informations ne circulent pas en clair sur le réseau N2. De plus, puisque ce message filtré M ne comprend que les adresses IP5 et IPn des dispositifs 5 et 1 1 de sécurisation, il est seulement transmis sur le réseau N2 entre ces dispositifs 5 et 1 1 , et n'est à aucun moment transmis dans le réseau N3.
Le message filtré M est donc une demande de réservation de ressources entre les dispositifs 5 et 1 1 de sécurisation. Il est transmis sur le réseau N2 via au moins certains des routeurs Ri , R2, R3, Rn, jusqu'au dispositif 1 1 de sécurisation, et la réservation des ressources demandées est effectuée sur le réseau N2. Il n'est donc jamais transmis sur le réseau N3.
En cas d'échec de la réservation, le réseau N2, par exemple l'un des routeurs du réseau N2, émet vers le dispositif 5 de sécurisation un message d'erreur E= (ErrRes, IP5, IP1 1 , P3, P9, Q), indiquant que les ressources demandées n'ont pas pu être réservées entre les dispositifs 5 et 1 1 de sécurisation.
Le message E est reçu par le deuxième module 26 d'aiguillage, qui le transmet vers le deuxième module 30 de filtrage puisque ce message E n'est pas chiffré.
Le deuxième module 30 de filtrage analyse alors le message E pour contrer toute tentative de création d'un canal de communication caché et d'intrusion sur le réseau N1 par le réseau N2. Notamment, le deuxième module 20 de filtrage applique un filtre sémantique sur le message E et vérifie que son contexte de connexion correspond bien à un contexte de connexion sauvegardé. Dans le cas présent, le message E étant effectivement une réponse à une requête envoyée par le dispositif 5 de sécurisation, il est autorisé à être transmis vers le terminal émetteur 3. Avant cette transmission, le deuxième module 20 de filtrage applique un filtre de transposition au message E, de manière à réintroduire dans ce message les adresses IP3 et IP9 des terminaux émetteur 3 et récepteur 9.
Le deuxième module 20 de filtrage transmet alors un premier message de confirmation filtré £ = (ErrRes, IP3, IP9, P3, P9, Q) vers le terminal émetteur 3, qui reçoit donc le message d'erreur indiquant un échec de la réservation.
Parallèlement, le message chiffré M = f (Path, IP3, IP9, P3, P9, Q) est transmis à travers le réseau N2 vers le réseau N3. Ce message M est reçu par le module d'aiguillage du dispositif 1 1 de sécurisation, qui le transmet vers le module de vérification cryptographique de ce dispositif. Le message chiffré M est alors déchiffré, et le message déchiffré M transmis sur le réseau N3 jusqu'au terminal récepteur 9.
Les ressources nécessaires sont alors réservées entre le dispositif 1 1 et le terminal récepteur 9.
Si le terminal émetteur 3 ne reçoit aucun message d'erreur indiquant un échec lors de la réservation de ressources, il émet alors les données DM pour lesquelles les ressources ont été réservées.
Ces données DM sont reçues par le dispositif 5 de sécurisation, chiffrées car il s'agit de données confidentielles non autorisées à être transmises à destination du réseau N2, puis les données chiffrées DM = f(DM) sont transmises à travers le réseau N2 vers le dispositif 1 1 de sécurisation.
Le dispositif 1 1 déchiffre alors ces données, puis transmet les données déchiffrées DM vers le terminal récepteur 9.
On comprend de la description qui précède comment le procédé et le dispositif selon l'invention permettent d'améliorer la sécurité de réseaux sécurisés communiquant à travers un réseau de sécurité plus faible, tout en assurant une interopérabilité entre ces réseaux.
Notamment, la vérification du contexte de connexion associé à toute donnée transmise par le réseau N2 au réseau N1 ou au réseau N3 permet d'empêcher toute communication, potentiellement dangereuse, à l'initiative du réseau N2.
De plus, puisque toutes les données émises par le réseau N1 vers le réseau N3 sont des données chiffrées, aucune donnée en clair n'est relayée par le réseau N2 vers le réseau N3, empêchant également une communication à l'initiative du réseau N2 vers le réseau N3. Par ailleurs, la substitution des informations sensibles par des informations non sensibles lors de l'émission de données du réseau N1 vers le réseau N2 permet d'éviter que circulent sur le réseau N2 des informations potentiellement confidentielles.
En outre, l'interopérabilité entre les réseaux N1 , N2 et N3 est maintenue, puisque les données non confidentielles peuvent être émises à la fois sur le réseau N2 et le réseau N3.
Le procédé selon l'invention peut donc être vu comme un procédé de protection cryptographique à interopérabilité contrôlée. Le niveau d'interopérabilité avec des réseaux à sécurité moindre est configuré selon la proportion de services autorisés à transmettre des informations au réseau N2 de sécurité moindre via l'étape de filtrage et selon le contexte d'emploi et du niveau de menaces associé.
Il devra toutefois être compris que les exemples de réalisation présentés ci-dessus ne sont pas limitatifs.
Notamment, selon d'autres modes de réalisation, le procédé de sécurisation est mis en œuvre entre plus de deux réseaux sécurisés, à travers plusieurs réseaux de niveaux de sécurité plus faibles, chacun des réseaux sécurisés étant équipé d'au moins un dispositif de sécurisation selon l'invention.

Claims

REVENDICATIONS
1 . Procédé de sécurisation d'un canal de communication bidirectionnel entre au moins un réseau (N1 ) de départ et un réseau (N3) de destination à travers un réseau (N2) de transit d'un niveau de sécurité plus faible que les réseaux (N1 , N3) de départ et de destination, comprenant les étapes suivantes :
- lors d'une transmission d'au moins un type de premières données du réseau (N1 ) de départ vers le réseau (N2) de transit et vers le réseau (N3) de destination au travers du réseau (N2) de transit :
- mise en œuvre d'une première étape (48) de filtrage desdites premières données, comprenant une application (50, 52) d'au moins un filtre d'analyse sur lesdites premières données pour parer la création d'un canal de communication caché,
- transmission (76) desdites premières données filtrées vers le réseau (N2) de transit,
ledit procédé étant caractérisé en ce qu'il comprend en outre, lors de la transmission desdites premières données du réseau (N1 ) de départ vers le réseau (N2) de transit et vers le réseau (N3) de destination, les étapes suivantes :
- duplication (46) desdites premières données,
- protection cryptographique (42) desdites premières données dupliquées,
- transmission (44) desdites premières données protégées vers le réseau (N3) de destination, à travers le réseau (N2) de transit,
et en ce que lesdites premières données filtrées ne sont pas transmises par le réseau (N2) de transit sur le réseau (N3) de destination.
2. - Procédé de sécurisation selon la revendication 1 , caractérisé en ce que ladite première étape (48) de filtrage comprend une étape (54) de substitution d'informations sensibles comprises dans lesdites premières données, incompatibles avec le niveau de sécurité du réseau (N2) de transit, par des informations compatibles avec le niveau de sécurité du réseau (N2) de transit.
3. - Procédé de sécurisation selon l'une des revendications 1 ou 2, caractérisé en ce que ladite première étape (48) de filtrage comprend une sauvegarde d'un premier contexte de connexion associé auxdites premières données.
4. - Procédé de sécurisation selon la revendication 3, caractérisé en ce qu'il comprend entre outre, lors d'une transmission de deuxièmes données émises par le réseau (N2) de transit vers le réseau (N1 ) de départ, une deuxième étape (66) de filtrage desdites deuxièmes données, comprenant : - une comparaison d'un deuxième contexte de connexion associé auxdites deuxièmes données audit premier contexte de connexion,
- si lesdits premier et deuxième contextes sont incohérents, un blocage (72) desdites deuxièmes données,
- si lesdits premier et deuxième contextes sont cohérents, une application d'au moins un filtre (68, 70) d'analyse sur lesdites deuxièmes données et une transmission (76) desdites deuxièmes données filtrées vers le réseau N1 .
5. - Procédé de sécurisation selon la revendication 4 prise en combinaison avec la revendication 2, caractérisé en ce que ladite deuxième étape (66) de filtrage comprend l'introduction (74) dans lesdites deuxièmes données desdites informations sensibles substituées lors de ladite étape de substitution.
6. - Dispositif (5, 1 1 ) de sécurisation d'un canal de communication bidirectionnel entre au moins un réseau (N1 ) de départ et un réseau (N3) de destination à travers un réseau (N2) de transit d'un niveau de sécurité plus faible que les réseaux (N1 , N3) de départ et de destination, comprenant :
- une premier module (24) de filtrage, comprenant des moyens pour appliquer au moins un filtre d'analyse sur des données à transmettre du réseau (N1 ) de départ vers le réseau (N2) de transit, pour parer la création d'un canal de communication caché, à travers le réseau (N2) de transit,
- un module (22) de protection cryptographique de données, apte à protéger des données à transmettre du réseau (N1 ) de départ vers le réseau (N3) de destination, ledit système étant caractérisé en ce qu'il comprend en outre au moins un module (20) d'aiguillage, apte à aiguiller des premières données à transmettre du réseau (N1 ) de départ vers le réseau (N2) de transit et vers le réseau (N3) de destination, vers ledit premier module (24) de filtrage, à dupliquer lesdites premières données, et à aiguiller lesdites premières données dupliquées vers ledit module (22) de protection cryptographique.
7. - Dispositif (5, 1 1 ) de sécurisation selon la revendication 6, caractérisé en ce que ledit premier module (24) de filtrage comprend des moyens pour substituer des informations sensibles comprises dans lesdites premières données, incompatibles avec le niveau de sécurité du réseau (N2) de transit, par des informations compatibles avec le niveau de sécurité du réseau (N2) de transit.
8. - Dispositif (5, 1 1 ) de sécurisation selon l'une des revendications 6 ou 7, caractérisé en ce que ledit premier module (24) de filtrage comprend des moyens pour sauvegarder un premier contexte de connexion associé auxdites premières données.
9. - Dispositif (5, 1 1 ) de sécurisation selon la revendication 8, caractérisé en ce qu'il comprend entre outre un deuxième module (30) de filtrage, comprenant :
- des moyens pour comparer un deuxième contexte de connexion associé à des deuxièmes données émises par le réseau (N2) de transit vers le réseau (N1 ) de départ audit premier contexte de connexion,
- des moyens pour bloquer lesdites deuxièmes données si lesdits premier et deuxième contextes sont incohérents,
- des moyens pour appliquer au moins un filtre d'analyse sur lesdites deuxièmes données et pour transmettre lesdites deuxièmes données filtrées vers le réseau (N1 ) de départ si lesdits premier et deuxième contextes sont cohérents.
10. - Dispositif (5, 1 1 ) de sécurisation selon la revendication 9 prise en combinaison avec la revendication 7, caractérisé en ce que ledit deuxième module (30) de filtrage comprend des moyens pour introduire dans lesdites deuxièmes données lesdites informations sensibles substituées par ledit premier module (24) de filtrage.
EP11743114.8A 2010-07-13 2011-07-13 Procédé et dispositif de sécurisation d'un canal de communication bidirectionnel inter-niveaux Withdrawn EP2594048A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1002958A FR2962868B1 (fr) 2010-07-13 2010-07-13 Procede et dispositif de securisation d'un canal de communication bidirectionnel inter-niveaux.
PCT/FR2011/051676 WO2012007693A1 (fr) 2010-07-13 2011-07-13 Procédé et dispositif de sécurisation d'un canal de communication bidirectionnel inter-niveaux

Publications (1)

Publication Number Publication Date
EP2594048A1 true EP2594048A1 (fr) 2013-05-22

Family

ID=43921085

Family Applications (1)

Application Number Title Priority Date Filing Date
EP11743114.8A Withdrawn EP2594048A1 (fr) 2010-07-13 2011-07-13 Procédé et dispositif de sécurisation d'un canal de communication bidirectionnel inter-niveaux

Country Status (3)

Country Link
EP (1) EP2594048A1 (fr)
FR (1) FR2962868B1 (fr)
WO (1) WO2012007693A1 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541696B (zh) * 2020-04-24 2021-10-01 清华大学 随机认证嵌入的快速源和路径验证方法
CN115834259B (zh) * 2023-02-21 2023-04-18 广东广宇科技发展有限公司 一种高危通信线路数据安全传输方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0519524D0 (en) * 2005-09-24 2005-11-02 Ibm Method and apparatus for verifying encryption of SIP signalling
TW200843442A (en) * 2007-04-16 2008-11-01 Vicotel Inc Method and apparatus for hiding information in communication protocol
US20090132419A1 (en) * 2007-11-15 2009-05-21 Garland Grammer Obfuscating sensitive data while preserving data usability
FR2924552B1 (fr) * 2007-11-30 2009-11-20 Thales Sa Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
None *
See also references of WO2012007693A1 *

Also Published As

Publication number Publication date
FR2962868A1 (fr) 2012-01-20
FR2962868B1 (fr) 2012-08-10
WO2012007693A1 (fr) 2012-01-19

Similar Documents

Publication Publication Date Title
EP2215801B1 (fr) Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede.
US20180343238A1 (en) System and method for protecting communications
US11621945B2 (en) Method and system for secure communications
EP1683388B1 (fr) Methode de gestion de la sécurité d'applications avec un module de sécurité
CN105027493A (zh) 安全移动应用连接总线
EP1965559B1 (fr) Procédé de sécurisation d'un flux de données
FR2844941A1 (fr) Demande d'acces securise aux ressources d'un reseau intranet
KR20100107033A (ko) 암호화된 트래픽의 합법적 인터셉트를 가능하게 하는 방법 및 장치
EP1753173A1 (fr) Contrôle d'accès d'un équipement mobile à un réseau de communication IP par modification dynamique des politiques d'accès
FR3015832A1 (fr) Technique de controle du routage d'une requete relative a un service
US10785195B2 (en) Mobile communications over secure enterprise networks
FR2969881A1 (fr) Procede et dispositif de transmission de donnees entre deux reseaux securises de type ethernet a travers un reseau route
Moriarty et al. Effects of pervasive encryption on operators
WO2012007693A1 (fr) Procédé et dispositif de sécurisation d'un canal de communication bidirectionnel inter-niveaux
FR2852753A1 (fr) Systeme de transmission de donnees client/serveur securise
US20050188197A1 (en) Security system and method for firewall and associated product
CN116961961A (zh) 网络数据传输方法、装置、电子设备和可读存储介质
AU2011317598B2 (en) Method for optimizing the transfer of a stream of secure data via an autonomic network
CN112532702A (zh) 云服务平台和用户端的安全通信方法和云隔离安全系统
EP4243461A1 (fr) Procédé de gestion de chiffrement par une entité émettrice dans un réseau 3gpp mcs
EP4344131A1 (fr) Procédé d'établissement de session mcdata ipcon
CN117395014A (zh) 安全数据交换系统、方法、电子设备及存储介质
FR3144730A1 (fr) Procédé de transmission sécurisée d'un élément secret entre un premier équipement de télécommunication et au moins un deuxième équipement de télécommunication
EP1689144A1 (fr) Système et procédé de sécurité pour un pare-feu et produit associé

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20130116

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20161202

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

INTG Intention to grant announced

Effective date: 20171018

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20180301