EP2656593A1 - Procédé de gestion de services sur un réseau - Google Patents

Procédé de gestion de services sur un réseau

Info

Publication number
EP2656593A1
EP2656593A1 EP11802726.7A EP11802726A EP2656593A1 EP 2656593 A1 EP2656593 A1 EP 2656593A1 EP 11802726 A EP11802726 A EP 11802726A EP 2656593 A1 EP2656593 A1 EP 2656593A1
Authority
EP
European Patent Office
Prior art keywords
site
service
network
transfer
sites
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP11802726.7A
Other languages
German (de)
English (en)
Inventor
Philippe Leleu
Florian CHAZAL
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Publication of EP2656593A1 publication Critical patent/EP2656593A1/fr
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5077Network service management, e.g. ensuring proper service fulfilment according to agreements wherein the managed service relates to simple transport services, i.e. providing only network infrastructure
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • G06F9/485Task life-cycle, e.g. stopping, restarting, resuming execution
    • G06F9/4856Task life-cycle, e.g. stopping, restarting, resuming execution resumption being on a different machine, e.g. task migration, virtual machine migration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/5044Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering hardware capabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/505Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/5055Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering software capabilities, i.e. software resources associated or available to the machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/62Establishing a time schedule for servicing the requests
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols

Definitions

  • the present invention relates to a method for managing services on a network, comprising:
  • Large computer networks generally include several identical or different computer sites each having processing and storage resources. Each site is able to implement one or more services offered on the network to all sites.
  • Each site is dedicated to one or more particular services so that, in case of destruction of the site, for example by a physical or logical attack targeted on the dedicated site, the services hosted by the attacked site are no longer available on the whole site. network.
  • An alternative solution is to distribute the same service divided into several parts on several sites, providing for redundancy of each party.
  • the purpose of the invention is to propose a solution for management of network services reducing the risk of loss of a service in the event of destruction of a network site, the cost of implementation of which is reduced.
  • the subject of the invention is a service management method, of the aforementioned type, characterized in that it comprises the transfer of at least one service from a starting site to a destination site of the following network. a predetermined transfer timeline independent of the single charge of the or each site.
  • the invention also relates to a service management method on a network comprising: at least two interconnected computer sites each capable of implementing at least one service accessible from the network;
  • each service is associated with security attributes and in that the method includes transferring at least one service from a home site to a destination site of the network in accordance with a predetermined transfer timeline that depends on security attributes.
  • the method comprises one or more of the following characteristics:
  • each service is associated with security attributes and the transfer timeline depends on the security attributes
  • the security attributes comprise one or more of a service criticality level, a minimum transfer frequency, a maximum transfer frequency, an acceptable risk level and a transfer time slot;
  • the method comprises, for each transfer, a step of choosing the destination site according to a predefined rule
  • each site is associated with security features and the destination site selection step comprises a step of choosing potential destination sites according to the security characteristics of the sites constituting the network and a destination site selection step among potential destination sites;
  • the security features include one or more of the site's available resources, the level of physical and logical site risk, and the quality of the access network to the site;
  • the destination site selection step comprises a random selection phase among network sites
  • the transfer timeline depends on the security features of the site on which the service is implemented
  • the invention also relates to a network characterized in that each site comprises a supervision unit adapted to ensure the hosting of a service on the site and its transfer to another site following said transfer chronology.
  • At least one service implemented on a network site means for transferring a service from a departure site to a different destination site;
  • the means for transferring at least one service from a starting site to a destination site of the network are suitable for providing the transfer according to a predetermined transfer chronology independent of the single load of the or each site by implementation of a service management method as described above.
  • the invention also relates to a network comprising:
  • each service is associated with security attributes and the means for transferring at least one service from a start site to a destination site of the network is adapted to provide the transfer according to a predetermined transfer timeline which depends on the security attributes by implementing a service management method as described above.
  • FIG. 1 is a schematic view of a network according to the invention.
  • FIG. 2 is a flowchart of the method implemented in the network according to the invention.
  • the network represented in FIG. 1 is a computer network 10 for example intended for military or civilian operations deployed in a large-scale theater of operations. This theater of operations is for example an area affected by an earthquake.
  • the network 10 comprises a plurality of computer processing sites 12, 14, 16, 18 interconnected by data communication links 20 to each other.
  • the sites are suitable for implementing services offered to all users on the network. These services include, for example, a region map service, an operations planning service, a telecommunications management service, or any other service that facilitates operations.
  • each service is implemented on a single site of the network.
  • the services are adapted to be transferred from one site to another site according to a set of predetermined rules.
  • Each service consists of a set of processing or communication programs, configuration parameters and data on which the service works.
  • the links 20 are adapted to allow access from any point of the network to each of the sites to access the services present according to predetermined access rules.
  • the links are able to ensure the transfer of the programs, parameters and data constituting each of the services between two sites of the network.
  • IT sites are remote and independent of one another so that they can be characterized by their own level of physical and logical risk.
  • the level of physical and logical risk of each site is described for example by an integer between 1 and 10 representative of the probability that the site is destroyed or inoperative following a physical attack such as a bomb, a mudslide or a hurricane or following a computer attack such as viruses or actions of destruction or disruption of the main computer programs.
  • a physical attack such as a bomb, a mudslide or a hurricane
  • a computer attack such as viruses or actions of destruction or disruption of the main computer programs.
  • each computer site comprises a server farm 32 comprising several servers 32A, 32B, 32C each hosting several virtual machines 34A, 34B.
  • Each virtual machine 34A, 34B is able to implement a unique specific service used by the network.
  • the server farm 32 is associated with a storage unit 36 specific to the site in question, such as a bay of hard disks. Finally, each site has a supervision unit 38 specific to the site, this unit being still called manager. This supervisory unit is capable of managing the server farm, creating and using virtual machines that are hosted, as well as two-way information transfers to and from the site.
  • Each computer site 12 to 18 is associated with security features stored in the supervision unit 38 of the site.
  • These security features are parameters defining the risk status and capabilities of the site. These characteristics comprise, in addition to the level N of physical and logical risk already mentioned, for example the available resources R and Q quality of the access network to this site.
  • each service operating on the network is associated with own protection parameters defining the measures taken automatically to ensure sufficient preservation of the service on the network.
  • These security attributes are, for example, the criticality level C of the service, the minimum frequency Fm of the service transfer, the maximum frequency FM of the service transfer, the level NA of acceptable risk for the service and a time slot [T1, T2 ] of service transfer.
  • the supervision units 38 of the sites are suitable for implementing collectively the service management method according to the invention.
  • the supervision units 38 are each adapted to control the maintenance of a service hosted on the server farm of the site in question or to order its transfer to another site when certain predetermined conditions are verified.
  • each supervision unit 38 is able to mobilize the resources necessary to receive a service that is transferred to it from another site and ensure its hosting and start-up.
  • These supervision units 38 comprise, for this purpose, means for exchanging information on the services operating on each of the sites, and the other security features of each of the sites, and in particular the resources currently available at the site as well as than the level N of physical and logical risk of the site.
  • FIG. 2 shows the algorithm of the service management method implemented.
  • This algorithm is capable of ensuring a transfer of each service from a starting site to a destination site of the network according to a pre-defined chronology specific to the service which is independent of the single load of the or each site.
  • This chronology specific to each service is stored in the service parameters and transmitted with the service.
  • the predetermined transfer chronology for a given service is defined by a given fixed transfer frequency. For example, this frequency leads to a periodic transfer with a period equal to one week.
  • step 100 the service is supposed to work on a starting hosting site.
  • the supervision unit 38 creates, for the installation of the service, a virtual machine on which the service is implemented, starts the service and simultaneously triggers a countdown.
  • the expiration of the countdown is checked at step 102. As long as it has not expired, the service continues to be implemented at the start site.
  • the supervision unit 38 of the starting site communicates with the other remote sites in order to obtain from them their security characteristics and in particular the resources R currently available and their level N of risk. . These features noted 106 in Figure 2 are received by the supervision unit of the starting site.
  • the starting site supervision unit 38 determines from a predetermined rule a set of potential sites that are likely to host the service.
  • This rule takes into account the security attributes specific to the service to be transferred and the security features of the other sites.
  • the selection rule is as defined below:
  • Sites are potential sites if:
  • the level N of physical and logical risk of the site is higher than the level NA of acceptable risk for the service
  • the R resources currently available on the site are equal to or greater than those currently used by the service at the departure site.
  • step 1 10 the supervision unit 38 of the start site randomly determines the destination site chosen from the potential destination sites.
  • step 1 12 the supervision unit 38 of the departure site commands the supervision unit of the destination site to reserve the necessary resources for the service to be transferred. After confirming the reservation of the resources and after having stopped the service, the supervision unit 38 of the sending site sends the service, together with its security attributes, to the supervision unit of the destination site at the same time. step 1 14.
  • the service is thus transferred in the form of an image of the virtual machine running the service to be protected noted 1 16 and the security attributes noted 1 18 are transferred simultaneously.
  • step 120 upon receipt of the service to be transferred, the supervision unit 38 of the destination site receives the service as well as the security attributes.
  • the service is installed on a specific virtual machine and a new countdown is initiated in step 100.
  • the timing of transfers for a given service has been described as being defined by a constant frequency.
  • the transfer timeline is pseudo-random.
  • this timeline is a function of the security features of the sites and the security attributes of the service.
  • the duration of maintenance of a service on a site is proportional to the quotient N / NA of the level N of risk of the site hosting the service by the level NA of acceptable risk of the service.

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Le procédé de gestion de services sur un réseau (10) comporte : - au moins deux sites informatiques interconnectés (12, 14, 16, 18) pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau; - au moins un service mis en œuvre sur un site du réseau (12, 14, 16, 18); - des moyens (38) de transfert d'un service d'un site de départ vers un site de destination différent. Chaque service est associé à des attributs de sécurité et le procédé comporte le transfert d'au moins un service d'un site de départ vers un site de destination du réseau suivant un chronologie de transfert prédéterminée qui dépend des attributs de sécurité.

Description

Procédé de gestion de services sur un réseau
La présente invention concerne un procédé de gestion de services sur un réseau, comportant :
- au moins deux sites informatiques interconnectés pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ;
- au moins un service mis en œuvre sur un site du réseau ;
- des moyens de transfert d'un service d'un site de départ vers un site de destination différent.
Les réseaux informatiques de grandes dimensions comprennent généralement plusieurs sites informatiques identiques ou différents disposant chacun de ressources de traitement et de stockage. Chaque site est propre à mettre en œuvre un ou plusieurs services proposés sur le réseau à l'ensemble des sites.
Chaque site est dédié à un ou plusieurs services particuliers de sorte que, en cas de destruction du site, par exemple par une attaque physique ou logique ciblée sur le site dédié, les services hébergés par le site attaqué ne sont plus disponibles sur l'ensemble du réseau.
Afin de résoudre cette difficulté, il est connu de mettre en œuvre deux fois le même service sur deux sites différents, assurant ainsi une redondance permettant de toujours accéder au service même si l'un des sites est détruit.
Cette redondance doit être couplée à des mesures de maintenance préventive et de détection en temps réel, ce qui fait que ce genre de solution s'avère particulièrement coûteux en termes d'infrastructure, de personnel, d'équipement et de conception initiale du système.
Une solution alternative consiste à répartir un même service découpé en plusieurs parties sur plusieurs sites, en prévoyant une redondance de chacune des parties.
Cette solution est encore plus complexe et coûteuse que la précédente.
L'invention a pour but de proposer une solution de gestion des services sur réseau réduisant les risques de perte d'un service en cas de destruction d'un site du réseau, dont le coût de mise en œuvre est réduit.
A cet effet, l'invention a pour objet un procédé de gestion de services, du type précité, caractérisé en ce qu'il comporte le transfert d'au moins un service d'un site de départ vers un site de destination du réseau suivant une chronologie de transfert prédéterminée indépendante de la seule charge du ou de chaque site.
L'invention a aussi pour objet un procédé de gestion de services sur un réseau comportant : - au moins deux sites informatiques interconnectés pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ;
- au moins un service mis en œuvre sur un site du réseau ;
- des moyens de transfert d'un service d'un site de départ vers un site de destination différent ;
caractérisé en ce que chaque service est associé à des attributs de sécurité et en ce que le procédé comporte le transfert d'au moins un service d'un site de départ vers un site de destination du réseau suivant un chronologie de transfert prédéterminée qui dépend des attributs de sécurité.
Suivant des modes particuliers de mise en œuvre, le procédé comporte l'une ou plusieurs des caractéristiques suivantes :
- chaque service est associé à des attributs de sécurité et la chronologie de transfert dépend des attributs de sécurité ;
- les attributs de sécurité comportent l'un ou plusieurs des paramètres parmi un niveau de criticité du service, une fréquence minimale de transfert, une fréquence maximale de transfert, un niveau de risque acceptable et une plage horaire de transfert ;
- le procédé comporte, pour chaque transfert, une étape de choix du site de destination en fonction d'une règle prédéfinie ;
- chaque site est associé à des caractéristiques de sécurité et l'étape de choix du site de destination comporte une étape de choix de sites de destination potentiels en fonction des caractéristiques de sécurité des sites constituant le réseau et une étape de choix du site de destination parmi les sites de destination potentiels ;
- les caractéristiques de sécurité comportent, l'une ou plusieurs des caractéristiques parmi les ressources disponibles du site, le niveau de risque physique et logique du site et la qualité du réseau d'accès vers le site ;
- l'étape de choix du site de destination comporte une phase de choix aléatoire parmi des sites du réseau ;
- la chronologie de transfert dépend des caractéristiques de sécurité du site sur lequel le service est mis en œuvre ;
L'invention a également pour objet un réseau caractérisé en ce que chaque site comporte une unité de supervision propre à assurer l'hébergement d'un service sur le site et son transfert vers un autre site suivant ladite une chronologie de transfert.
Ce réseau comporte l'une ou plusieurs des caractéristiques suivantes :
- au moins deux sites informatiques interconnectés pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ;
- au moins un service mis en œuvre sur un site du réseau ; - des moyens de transfert d'un service d'un site de départ vers un site de destination différent ;
caractérisé en ce que les moyens de transfert d'au moins un service d'un site de départ vers un site de destination du réseau sont propres à assurer le transfert suivant une chronologie de transfert prédéterminée indépendante de la seule charge du ou de chaque site par mise en œuvre d'un procédé de gestion des services tel que décrit précédemment.
L'invention concerne également un réseau comportant :
- au moins deux sites informatiques interconnectés pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ;
- au moins un service mis en œuvre sur un site du réseau ;
- des moyens de transfert d'un service d'un site de départ vers un site de destination différent ;
caractérisé en ce que chaque service est associé à des attributs de sécurité et que les moyens de transfert d'au moins un service d'un site de départ vers un site de destination du réseau sont propres à assurer le transfert suivant un chronologie de transfert prédéterminée qui dépend des attributs de sécurité par mise en œuvre d'un procédé de gestion des services tel que décrit précédemment.
L'invention sera mieux comprise à la relecture de la description qui va suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins sur lesquels :
- la figure 1 est une vue schématique d'un réseau selon l'invention ; et
- la figure 2 est un organigramme du procédé mis en œuvre dans le réseau selon l'invention.
Le réseau représenté sur la figure 1 , est un réseau informatique 10 par exemple destiné à des opérations militaires ou civiles déployées sur un théâtre d'opérations de grande étendue. Ce théâtre d'opérations est par exemple une zone touchée par un tremblement de terre.
Le réseau 10 comporte plusieurs sites de traitement informatique 12, 14, 16, 18 interconnectés les uns aux autres par des liaisons 20 de transmission de données. Les sites sont propres à mettre en œuvre des services offerts à l'ensemble des utilisateurs présents sur le réseau. Ces services sont par exemple un service de fourniture de cartes de la région, un service de planification des opérations, un service de gestion des télécommunications, ou tout autre service permettant de faciliter les opérations.
A un instant donné, chaque service est mis en œuvre sur un unique site du réseau. Selon l'invention, les services sont propres à être transférés d'un site à un autre site suivant un ensemble de règles prédéterminées. Chaque service est constitué d'un ensemble de programmes de traitement ou de communication, de paramètres de configuration ainsi que de données sur lesquels travaille le service.
Les liaisons 20 sont propres à permettre l'accès depuis n'importe quel point du réseau à chacun des sites pour accéder aux services présents en fonction de règles d'accès prédéterminées. En outre, les liaisons sont propres à assurer le transfert des programmes, paramètres et données constituant chacun des services entre deux sites du réseau.
Les sites informatiques sont distants et indépendants les uns des autres de sorte que ceux-ci peuvent être caractérisés par des niveaux de risque physique et logique qui leur sont propres. Le niveau de risque physique et logique de chaque site est décrit par exemple par un entier compris entre 1 et 10 représentatif de la probabilité que le site soit détruit ou inopérant suite à une attaque physique telle qu'une bombe, une coulée de boue ou un ouragan ou suite à une attaque informatique tel que des virus ou des actions de destructions ou désorganisation des programmes informatiques principaux. Par convention, plus la probabilité d'une destruction du site est grande, plus le niveau de risque physique et logique est fixé à une valeur faible.
Dans le mode de réalisation envisagé, chaque site informatique comporte une ferme de serveurs 32 comportant plusieurs serveurs 32A, 32B, 32C hébergeant chacun plusieurs machines virtuelles 34A, 34B.
Chaque machine virtuelle 34A, 34B est propre à mettre en œuvre un unique service spécifique utilisé par le réseau.
La ferme de serveurs 32 est associée à une unité de stockage 36 propre au site considéré telle qu'une baie de disques durs. Enfin, chaque site comporte une unité de supervision 38 propre au site, cette unité étant encore appelée gestionnaire. Cette unité de supervision est propre à assurer la gestion de la ferme de serveurs, la création et l'utilisation des machines virtuelles qui sont hébergées, ainsi que les transferts bidirectionnels d'informations depuis et vers le site considéré.
A cet effet, l'ensemble des communications assurées par les liaisons 20 entrant ou sortant d'un site donné, s'effectue, au travers de l'unité de supervision 38 du site.
Chaque site informatique 12 à 18 est associé à des caractéristiques de sécurité mémorisées dans l'unité de supervision 38 du site. Ces caractéristiques de sécurité sont des paramètres définissant l'état de risque et les capacités du site. Ces caractéristiques comportent, outre le niveau N de risque physique et logique déjà évoqué, par exemple les ressources disponibles R et la qualité Q du réseau d'accès vers ce site. En outre, chaque service fonctionnant sur le réseau est associé à des paramètres propres de protection définissant les mesures prises automatiquement pour assurer une préservation suffisante du service sur le réseau. Ces attributs de sécurité sont par exemple le niveau C de criticité du service, la fréquence minimale Fm de transfert du service, la fréquence maximale FM du transfert du service, le niveau NA de risque acceptable pour le service et une plage horaire [T1 , T2] de transfert du service.
Les unités de supervision 38 des sites sont propres à mettre en œuvre collectivement le procédé de gestion des services selon l'invention.
A cet effet, les unités de supervision 38 sont chacune adaptées pour commander le maintien d'un service hébergé sur la ferme de serveurs du site considéré ou commander son transfert vers un autre site lorsque certaines conditions prédéterminées sont vérifiées.
De même, chaque unité de supervision 38 est propre à mobiliser les ressources nécessaires pour accueillir un service qui lui est transféré depuis un autre site et assurer son hébergement et sa mise en route.
Ces unités de supervision 38 comportent, à cette fin, des moyens d'échange d'informations sur les services fonctionnant sur chacun des sites, et les autres caractéristiques de sécurité de chacun des sites, et notamment les ressources actuellement disponibles R sur le site ainsi que le niveau N de risque physique et logique du site.
Sur la figure 2 est représenté l'algorithme du procédé de gestion des services mis en œuvre.
Cet algorithme est propre à assurer un transfert de chaque service d'un site de départ vers un site de destination du réseau suivant une chronologie prédéfinie propre au service qui est indépendante de la seule charge du ou de chaque site. Cette Chronologie propre à chaque service est mémorisée dans les paramètres du service et transmise avec le service.
Suivant un premier mode de réalisation, la chronologie de transferts prédéterminée pour un service donné est définie par une fréquence fixe de transferts donnée. Ainsi par exemple, cette fréquence conduit à un transfert périodique avec une période égale à une semaine.
A l'étape 100, le service est supposé fonctionner sur un site d'hébergement de départ. Afin d'assurer son ébergement, l'unité de supervision 38 crée, pour l'installation du service, une machine virtuelle sur laquelle le service s'est mis en œuvre, lance le service et déclenche simultanément un compte à rebours. L'expiration du compte à rebours est vérifiée à l'étape 102. Tant que celui-ci n'est pas arrivé à expiration, le service continue à être mis en œuvre sur le site de départ.
A l'expiration du compte à rebours, l'unité de supervision 38 du site de départ communique avec les autres sites distants afin d'obtenir de ceux-ci leurs caractéristiques de sécurité et notamment les ressources R actuellement disponibles et leur niveau N de risque. Ces caractéristiques notées 106 sur la figure 2 sont reçues par l'unité de supervision du site de départ.
A l'étape 108, l'unité de supervision 38 du site de départ détermine à partir d'une règle prédéterminée un ensemble de sites potentiels qui sont susceptibles d'accueillir le service. Cette règle tient compte des attributs de sécurité propres au service à transférer et des caractéristiques de sécurité des autres sites. Par exemple, la règle de sélection est telle que définie ci-dessous :
Les sites sont des sites potentiels si :
le niveau N de risque physique et logique du site est supérieur au niveau NA de risque acceptable pour le service ; et
les ressources R actuellement disponibles du site sont égales ou supérieures à celles actuellement utilisées par le service sur le site de départ.
A l'étape 1 10, l'unité de supervision 38 du site de départ détermine, de manière aléatoire, le site de destination choisi parmi les sites de destination potentiels.
A l'étape 1 12, l'unité de supervision 38 du site de départ commande l'unité de supervision du site de destination de réserver les ressources nécessaires pour le service devant être transféré. Après avoir obtenu confirmation de la réservation des ressources et après avoir arrêté le service, l'unité de supervision 38 du site de départ envoie le service, ainsi que ses attributs de sécurité, à l'unité de supervision du site de destination lors de l'étape 1 14.
Le service est ainsi transféré sous la forme d'une image de la machine virtuelle exécutant le service à protéger notée 1 16 et les attributs de sécurité notés 1 18 sont transférés simultanément.
A l'étape 120, à réception du service à transférer, l'unité de supervision 38 du site de destination reçoit le service ainsi que les attributs de sécurité. Le service est installé sur une machine virtuelle spécifiquement mise en place et un nouveau compte à rebours est déclenché à l'étape 100.
On conçoit qu'avec un tel procédé appliqué à l'ensemble des services présents sur le réseau, les services sont transférés, notamment de manière aléatoire entre les différents sites, rendant ainsi difficile pour un assaillant extérieur de déterminer le site devant être détruit pour rendre inactif un service considéré. L'absence de redondance dans le fonctionnement du service rend la mise en œuvre du procédé relativement aisée et nécessite seulement des capacités de traitement limitées.
La chronologie des transferts pour un service donné a été décrite comme étant définie par une fréquence constante. En variante, la chronologie des transferts est pseudo-aléatoire. Suivant encore une autre variante, cette chronologie est une fonction des caractéristiques de sécurité des sites et des attributs de sécurité du service.
Ainsi, par exemple la durée de maintien d'un service sur un site est proportionnelle au quotient N/NA du niveau N de risque du site hébergeant le service par le niveau NA de risque acceptable du service.
La mise en œuvre du procédé étant assuré par les unités de supervision propres à chaque site, aucun gestionnaire commun à tous les sites des services n'est mis en œuvre, évitant ainsi que le gestionnaire centralisé ne constitue un risque du fait que sa destruction rendrait le transfert des services impossible.
Le fait que les services changent de site de manière déterministe en fonction d'une chronologie prédéterminée permet d'assurer que chaque service soit difficilement repérable, rendant ainsi difficile la destruction du site l'hébergeant.

Claims

REVENDICATIONS
1 . - Procédé de gestion de services sur un réseau (10) comportant :
- au moins deux sites informatiques interconnectés (12, 14, 16, 18) pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ;
- au moins un service mis en œuvre sur un site du réseau (12, 14, 16, 18) ;
- des moyens (38) de transfert d'un service d'un site de départ vers un site de destination différent ;
caractérisé en ce que chaque service est associé à des attributs de sécurité et en ce que le procédé comporte le transfert d'au moins un service d'un site de départ vers un site de destination du réseau suivant une chronologie de transfert prédéterminée qui dépend des attributs de sécurité.
2. - Procédé selon la revendication 1 , caractérisé en ce que les attributs de sécurité comportent l'un ou plusieurs des paramètres parmi un niveau de criticité du service, une fréquence minimale de transfert, une fréquence maximale de transfert, un niveau de risque acceptable et une plage horaire de transfert.
3. - Procédé selon la revendication 1 ou la revendication 2 précédentes, caractérisé en ce qu'il comporte, pour chaque transfert, une étape de choix du site de destination en fonction d'une règle prédéfinie.
4. - Procédé selon la revendication 3, caractérisé en ce que chaque site est associé à des caractéristiques de sécurité et en ce que l'étape de choix du site de destination comporte une étape de choix de sites de destination potentiels en fonction des caractéristiques de sécurité des sites constituant le réseau et une étape de choix du site de destination parmi les sites de destination potentiels.
5. - Procédé selon la revendication 4, caractérisé en ce que les caractéristiques de sécurité comportent, l'une ou plusieurs des caractéristiques parmi les ressources disponibles du site, le niveau de risque physique et logique du site et la qualité du réseau d'accès vers le site.
6. - Procédé selon la revendication 4 ou la revendication 5, caractérisé en ce que l'étape de choix du site de destination comporte une phase de choix aléatoire parmi des sites du réseau.
7. - Procédé selon l'une quelconque des revendications 4 à 6, caractérisé en ce que la chronologie de transfert dépend des caractéristiques de sécurité du site sur lequel le service est mis en œuvre.
8. - Réseau (10) comportant :
- au moins deux sites informatiques interconnectés (12, 14, 16, 18) pouvant chacun mettre en œuvre au moins un service accessible depuis le réseau ; - au moins un service mis en œuvre sur un site du réseau (12, 14, 16, 18) ;
- des moyens (38) de transfert d'un service d'un site de départ vers un site de destination différent ;
caractérisé en ce que chaque service est associé à des attributs de sécurité et en ce que les moyens de transfert (38) d'au moins un service d'un site de départ vers un site de destination du réseau sont propres à assurer le transfert suivant un chronologie de transfert prédéterminée qui dépend des attributs de sécurité par mise en œuvre d'un procédé de gestion des services selon l'une quelconque des revendications précédentes.
9.- Réseau selon la revendication 8, caractérisé en ce que chaque site comporte une unité de supervision (38) propre à assurer l'hébergement d'un service sur le site et son transfert vers un autre site suivant ladite une chronologie de transfert.
EP11802726.7A 2010-12-21 2011-12-21 Procédé de gestion de services sur un réseau Ceased EP2656593A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1004999A FR2969443B1 (fr) 2010-12-21 2010-12-21 Procede de gestion de services sur un reseau
PCT/EP2011/073525 WO2012085040A1 (fr) 2010-12-21 2011-12-21 Procédé de gestion de services sur un réseau

Publications (1)

Publication Number Publication Date
EP2656593A1 true EP2656593A1 (fr) 2013-10-30

Family

ID=44484832

Family Applications (1)

Application Number Title Priority Date Filing Date
EP11802726.7A Ceased EP2656593A1 (fr) 2010-12-21 2011-12-21 Procédé de gestion de services sur un réseau

Country Status (4)

Country Link
US (1) US9781017B2 (fr)
EP (1) EP2656593A1 (fr)
FR (1) FR2969443B1 (fr)
WO (1) WO2012085040A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130097296A1 (en) * 2011-10-18 2013-04-18 Telefonaktiebolaget L M Ericsson (Publ) Secure cloud-based virtual machine migration

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6516337B1 (en) * 1999-10-14 2003-02-04 Arcessa, Inc. Sending to a central indexing site meta data or signatures from objects on a computer network
US7761573B2 (en) * 2005-12-07 2010-07-20 Avaya Inc. Seamless live migration of virtual machines across optical networks
US20080288622A1 (en) * 2007-05-18 2008-11-20 Microsoft Corporation Managing Server Farms
US7970903B2 (en) * 2007-08-20 2011-06-28 Hitachi, Ltd. Storage and server provisioning for virtualized and geographically dispersed data centers
US7801994B2 (en) * 2007-11-29 2010-09-21 Hitachi, Ltd. Method and apparatus for locating candidate data centers for application migration
US8335841B2 (en) * 2010-09-30 2012-12-18 Microsoft Corporation Logical networks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2012085040A1 *

Also Published As

Publication number Publication date
WO2012085040A1 (fr) 2012-06-28
US20130268648A1 (en) 2013-10-10
FR2969443B1 (fr) 2013-03-15
US9781017B2 (en) 2017-10-03
FR2969443A1 (fr) 2012-06-22

Similar Documents

Publication Publication Date Title
CN101248615B (zh) 安全数据连接会话的暂停和恢复
EP2832069B1 (fr) Systeme de supervision de la securite d'une architecture
EP2724509B1 (fr) Procédé de détection d'attaques et de protection
US7869369B2 (en) Cable modem location analyzing device
WO2007084973A3 (fr) Système de sécurité de réseau et procédé associé
WO2014122099A1 (fr) Procédé pour router des données, programme d'ordinateur, contrôleur de réseau et réseaux associés
EP2112624A1 (fr) Procédé pour gérer des equipements cryptographiques avec une administration unifiée
EP3624402B1 (fr) Procédé de détection de sources illégitimes responsables d'une attaque distribuée par déni de service par inondation de lien et installation associée
EP3519958B1 (fr) Procédé d'audit d'une ressource virtualisée déployée dans un réseau informatique en nuage
EP2656593A1 (fr) Procédé de gestion de services sur un réseau
FR3058290A1 (fr) Equipement avionique avec signature a usage unique d'un message emis, systeme avionique, procede de transmission et programme d'ordinateur associes
EP2750354B1 (fr) Procédé de définition d'un module de filtrage, module de filtrage associé
EP2979222B1 (fr) Procédé de stockage de données dans un système informatique effectuant une deduplication de données
EP3087719A1 (fr) Procédé de ralentissement d'une communication dans un réseau
EP2773067B1 (fr) Procédé de fiabilisation de la génération de messages d'alerte sur un réseau synchronisé de données
WO2024105111A1 (fr) Procédé de distribution de clefs de session dans un réseau de télécommunication, procédés associés de traitement dans un client et un serveur, module client et serveurs associés
EP2400726B1 (fr) Procédé d'identification d'un réseau local identifié par une adresse IP publique
EP3520324B1 (fr) Procédé de contrôle de la répartition des dispositifs d'enregistrement déployés dans les infrastructures virtualisées de deux entités
EP2667574B1 (fr) Procédé et dispositif de sécurisation d'échange de messages transmis dans un réseau d'interconnexions
EP4338375A1 (fr) Procede de defense contre une tentative de deconnexion entre deux entites, systeme associe
FR2888432A1 (fr) Procedes de protection des trames de gestion echangees entre deux equipements sans fil, de reception et d'emission de telles trames, programmes d'ordinateur et supports de donnees contenant ces programmes d'ordinateur
WO2016102904A1 (fr) Procédé et système d'allocation de ressources de traitement pour l'exécution d'un programme d'un équipement client
EP2955878A1 (fr) Procédé de gestion d'un canal de communication virtuel privé entre un terminal et un serveur
WO2013057391A1 (fr) Procédé pour accéder à un système d'information disposé derrière une passerelle informatique
FR2968872A1 (fr) Systeme de gestion globale de filtrage personnalise base sur un circuit d'echange d'informations securise et procede associe

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20130620

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20140404

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20150417