EP3123691A1 - Method of processing a message in an interconnection device - Google Patents

Method of processing a message in an interconnection device

Info

Publication number
EP3123691A1
EP3123691A1 EP15714868.5A EP15714868A EP3123691A1 EP 3123691 A1 EP3123691 A1 EP 3123691A1 EP 15714868 A EP15714868 A EP 15714868A EP 3123691 A1 EP3123691 A1 EP 3123691A1
Authority
EP
European Patent Office
Prior art keywords
interconnection device
rules
rule
message
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP15714868.5A
Other languages
German (de)
French (fr)
Inventor
Liana BOZGA
Louis DAVY
Jean-Olivier GERPHAGNON
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bull SA
Original Assignee
Bull SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bull SA filed Critical Bull SA
Publication of EP3123691A1 publication Critical patent/EP3123691A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps

Abstract

The invention relates to a method of processing a message by means of a first interconnection device, said method being characterised in that it comprises the following steps: recording a first database of processing rules in the first interconnection device, recording an identifier of a second interconnection device in the first interconnection device, and processing a communication in accordance with local processing rules of the first local database of rules and with remote processing rules obtained from a second interconnection device which is identified by means of the identifier of the second interconnection device.

Description

Procédé de traitement d'un message dans un dispositif d'interconnexion Method of processing a message in an interconnection device
DOMAINE TECHNIQUE DE L'INVENTION TECHNICAL FIELD OF THE INVENTION
[ 0001 ] L'invention se rapporte au dispositif d'interconnexion dans le domaine d'acheminements de messages à travers un réseau. L'invention se rapporte également à la sécurité de réseaux informatiques dans lesquels des paquets de données, ou messages, sont acheminés.  The invention relates to the interconnection device in the field of routing messages through a network. The invention also relates to the security of computer networks in which data packets, or messages, are routed.
[ 0002 ] On entendra par dispositif d'interconnexion, dans le cadre de la présente demande, tout dispositif permettant d'interconnecter de façon intelligente au moins deux dispositifs de traitement de données. On parle de dispositif d'interconnexion. Sont en particulier visés les, commutateurs (switches) et routeurs.  Interconnection device, in the context of the present application, any device for intelligently interconnecting at least two data processing devices. We speak of interconnection device. In particular, the switches and routers are targeted.
ETAT DE LA TECHNIQUE ANTERIEURE STATE OF THE PRIOR ART
[ 0003 ] Dans un environnement réseau, pour la gestion de la sécurité, il est primordial de pouvoir définir des règles d'accès aux équipements qui sont reliés à travers lui. Dans une solution actuelle les équipements réseau permettent de définir des listes d'accès (ACL pour Access Control List) contenant des règles à appliquer sur les données (messages ou trames) circulant à travers les dits équipements. L'application desdites règles se fait sur chaque équipement de manière «autonome» et sans cohérence globale à l'échelle du réseau qu'il soit local ou étendu. Cela signifie que chaque équipement doit définir les règles et les appliquer à son propre niveau et pas d'une manière globale homogène. In a network environment, for security management, it is essential to be able to define access rules to the equipment that is connected through it. In a current solution, the network equipment makes it possible to define access control lists (ACLs) containing rules to be applied to the data (messages or frames) circulating through said equipment. The application of said rules is done on each device in a "stand-alone" manner and without overall coherence at the network level whether it is local or extended. This means that each piece of equipment must define the rules and apply them at its own level and not in a homogeneous overall way.
[ 0004 ] De ce fait, si des configurations sont modifiées sur un équipement, en désaccord avec la politique globale, de manière volontaire ou involontaire, la détection sera complexe et une brèche de sécurité potentiellement ouverte. Cependant, cette solution est la meilleure si les règles de sécurité sont différentes sur chaque équipement et sans cohérence. Cependant cela est rarement, si ce n'est jamais, le cas. Thus, if configurations are changed on a device, in disagreement with the overall policy, voluntarily or involuntarily, the detection will be complex and a potentially open security gap. However, this solution is the best if the security rules are different on each equipment and inconsistent. However, this is rarely, if ever, the case.
[ 0005 ] Dans la pratique les configurations sont recopiées à l'identique sur tous les dispositifs ce qui est une source d'erreurs, d'incohérences et de perte de performance. En effet un dispositif se retrouve encombré avec des règles correspondant à des paquets qu'il ne recevra jamais. Pour autant le dispositif essaie de tenir compte de ces règles. In practice the configurations are copied identically on all devices which is a source of errors, inconsistencies and loss of performance. Indeed a device is found cluttered with rules corresponding to packages he will never receive. However, the device tries to take into account these rules.
[0006] Il est à noter que dans les solutions existantes, dans le cadre d'un réseau « routé » (i.e. un réseau dans lequel un ou plusieurs équipements sont chargés de définir les routes que doivent prendre les paquets selon leur origine et leur destination) la gestion des ACLs est souvent réalisée sur ces équipements et les règles non-définies sur les équipements terminaux.  It should be noted that in existing solutions, in the context of a "routed" network (ie a network in which one or more devices are responsible for defining the routes that packets must take according to their origin and their destination ) the management of ACLs is often carried out on these equipments and the non-defined rules on the terminal equipments.
[0007 ] De surcroît, si aucune ACL n'est définie au niveau des switches reliant les équipements terminaux (hosts) les contrôles d'accès ne seront appliqués que dans le cas où les trames réseaux sont obligées de passer par l'équipement de routage. Si les trames restent localisées au niveau du dit switch l'application des règles ne sera pas réalisée.  In addition, if no ACL is defined at the switches connecting the terminal equipment (hosts) access controls will be applied only in the case where the network frames are forced to go through the routing equipment. . If the frames remain localized at the said switch, the application of the rules will not be performed.
EXPOSE DE L'INVENTION SUMMARY OF THE INVENTION
[0008 ] L'invention vise à remédier à tout ou partie des inconvénients de l'état de la technique identifiés ci-dessus, et notamment à proposer des moyens pour permettre à des dispositifs d'interconnexion de partager une configuration, cette configuration étant un ensemble de règles de traitements.  The invention aims to remedy all or part of the disadvantages of the state of the art identified above, and in particular to provide means to allow interconnection devices to share a configuration, this configuration being a set of treatment rules.
[ 0009] Dans ce dessein, un aspect de l'invention se rapporte à un procédé de traitement d'un message par un premier dispositif d'interconnexion caractérisé en ce qu'il comporte les étapes suivantes : In this purpose, one aspect of the invention relates to a method of processing a message by a first interconnection device characterized in that it comprises the following steps:
Enregistrement, dans le premier dispositif d'interconnexion, d'une première base de données de règles de traitement  Recording, in the first interconnection device, a first database of processing rules
Enregistrement, dans le premier dispositif d'interconnexion, d'un identifiant d'un deuxième dispositif d'interconnexion,  Recording, in the first interconnection device, an identifier of a second interconnection device,
Traitement d'une communication selon  Processing a communication according to
Des règles de traitement locales de la première base de données locale de règles  Local processing rules for the first local rule database
Des règles de traitement distantes obtenues d'un deuxième dispositif d'interconnexion identifié par l'identifiant du deuxième dispositif d'interconnexion.  Remote processing rules obtained from a second interconnection device identified by the identifier of the second interconnection device.
[0010 ] Outre les caractéristiques principales qui viennent d'être mentionnées dans le paragraphe précédent, le procédé/dispositif selon l'invention peut présenter une ou plusieurs caractéristiques complémentaires parmi les suivantes, considérées individuellement ou selon les combinaisons techniquement possibles: In addition to the main characteristics which have just been mentioned in the preceding paragraph, the method / device according to the invention may present one or more of the following additional features, considered individually or as technically possible:
les règles de traitement distantes sont obtenues pour chaque message traité.  the remote processing rules are obtained for each processed message.
- les règles de traitement distantes sont obtenues à des dates prédéterminées.  the remote processing rules are obtained on predetermined dates.
les règles distantes, une fois obtenues, sont enregistrées localement de manière à pouvoir être réutilisées.  the remote rules, once obtained, are saved locally so that they can be reused.
qu'une règle de traitement distante est associée à un identifiant de dispositif d'interconnexion.  a remote processing rule is associated with an interconnect device identifier.
qu'une règle de traitement distante est associée à un horodatage.  a remote processing rule is associated with a timestamp.
les règles de traitement distantes sont effacées en fonction d'au moins leur horodatage.  the remote processing rules are erased based on at least their time stamp.
une règle comporte au moins :  a rule has at least:
- Une adresse source,  - A source address,
Une adresse destination,  A destination address,
Un code instruction de traitement parmi au moins :  A treatment instruction code among at least:
-Bloquer le message,  -Block the message,
-Laisser passer le message  -Leave the message
- chaque règle de traitement est associée à une priorité  - each treatment rule is associated with a priority
il comporte une étape d'authentification du premier dispositif d'interconnexion par le deuxième dispositif d'interconnexion  it comprises a step of authentication of the first interconnection device by the second interconnection device
[0011] L'invention se rapporte également à un dispositif de stockage numérique comportant un fichier correspondant à des codes instructions mettant en œuvre le procédé selon l'une des revendications précédentes. The invention also relates to a digital storage device comprising a file corresponding to instruction codes implementing the method according to one of the preceding claims.
[0012] L'invention se rapporte également à un dispositif mettant en œuvre le procédé selon l'une des revendications précédentes.  The invention also relates to a device implementing the method according to one of the preceding claims.
BREVE DESCRIPTION DES FIGURES BRIEF DESCRIPTION OF THE FIGURES
[0013] D'autres caractéristiques et avantages de l'invention ressortiront à la lecture de la description qui suit, en référence aux figures annexées, qui illustrent : Other features and advantages of the invention will emerge on reading the description which follows, with reference to the appended figures, which illustrate:
la figure 1 , une illustration de moyens permettant l'illustration de la mise en œuvre de l'invention ; la figure 2, une illustration d'étapes du procédé selon l'invention. Figure 1, an illustration of means for illustrating the implementation of the invention; Figure 2, an illustration of steps of the method according to the invention.
[0014] [...] [...] [...]
[0015] Pour plus de clarté, les éléments identiques ou similaires sont repérés par des signes de référence identiques sur l'ensemble des figures.  For clarity, identical or similar elements are identified by identical reference signs throughout the figures.
[0016] L'invention sera mieux comprise à la lecture de la description qui suit et à l'examen des figures qui l'accompagnent. Celles-ci sont présentées à titre indicatif et nullement limitatif de l'invention. The invention will be better understood on reading the description which follows and the examination of the figures that accompany it. These are presented as an indication and in no way limitative of the invention.
DESCRIPTION DETAILLEE D'UN MODE DE REALISATION DETAILED DESCRIPTION OF AN EMBODIMENT
[0017] La figure 1 montre une architecture matérielle dans laquelle l'invention peut être mise en œuvre. La figure 1 montre un premier dispositif 1 01 connecté et un deuxième dispositif 1 02 connecté par l'intermédiaire d'un premier dispositif 1 03 d'interconnexion.  Figure 1 shows a hardware architecture in which the invention can be implemented. Figure 1 shows a first connected device 1 01 and a second device 1 02 connected through a first device 1 03 interconnection.
[0018] Un dispositif d'interconnexion est au moins un dispositif de traitement de messages émis par les dispositifs auquel le dispositif d'interconnexion est connecté. En tant que dispositif de traitement le premier dispositif 1 03 d'interconnexion comporte au moins :  An interconnection device is at least one message processing device issued by the devices to which the interconnection device is connected. As a processing device, the first interconnection device comprises at least:
Un microprocesseur 104,  A microprocessor 104,
Une mémoire 1 05 de programme comportant au moins de codes instructions correspondant à tout ou partie de l'invention. Pour la présente description ces codes instructions sont au moins ceux d'une partie client de l'invention  A program memory comprising at least instruction codes corresponding to all or part of the invention. For the present description these instruction codes are at least those of a client part of the invention
Une mémoire 106 de stockage,  A storage memory 106,
Un ensemble 1 07 de connecteurs permettant la connexion du dispositif A set of connectors 1 07 for connecting the device
1 03 d'interconnexion. 1 03 interconnection.
[0019] Les éléments décrits sont ceux utiles pour une description claire de l'invention. Les mémoires sont des éléments, au sens ensemble d'au moins un composant électronique, séparés ou sont des zones distinctes d'un même élément. The elements described are those useful for a clear description of the invention. The memories are elements, in the sense of at least one electronic component, separated or are distinct zones of the same element.
[0020] On parle de tout ou partie de l'invention car celle-ci porte sur une application client-serveur. Il y a donc des codes instructions qui correspondent à la partie cliente, et des codes instructions qui correspondent à la partie serveur. Dans les mises en œuvre de l'invention les parties clientes et serveurs peuvent être présente sur le même dispositif. We talk about all or part of the invention because it relates to a client-server application. There are therefore instruction codes that correspond to the client part, and instruction codes that correspond to the server part. In the implementations of the invention the client parties and servers may be present on the same device.
[0021 ] Dans la pratique lorsque l'on prête une action à un dispositif celle-ci est réalisée par un microprocesseur du dispositif commandé par des codes instructions enregistrés dans une mémoire du dispositif.  In practice when lending an action to a device it is performed by a microprocessor of the device controlled by instruction codes stored in a device memory.
[0022 ] La figure 1 montre que la mémoire 106 de stockage du premier dispositif 103 d'interconnexion comporte une première base 108 de données de règles de traitement. Dans notre exemple cette première base de données de règles de traitement se limite à une table, chaque ligne de la table correspondant à une règle, chaque règle ayant des propriétés correspondant à des colonnes de la table. Une ligne est aussi appelée un enregistrement.  FIG. 1 shows that the storage memory 106 of the first interconnection device 103 includes a first database 108 of processing rules data. In our example, this first database of processing rules is limited to a table, each row of the table corresponding to a rule, each rule having properties corresponding to columns of the table. A line is also called a record.
[ 0023 ] La figure 1 montre que la mémoire 106 de stockage du premier dispositif 1 03 d'interconnexion comporte une zone 1 09 pour enregistrer une adresse d'un deuxième dispositif 203 d'interconnexion connecté au premier dispositif 1 03 d'interconnexion. Cette zone est désignée comme mémoire d'identification du dispositif d'interconnexion distant. Il s'agit par exemple :  Figure 1 shows that the storage memory 106 of the first interconnection device 1 03 has a zone 1 09 to record an address of a second interconnection device 203 connected to the first device 1 03 interconnection. This zone is designated as the identification memory of the remote interconnection device. This is for example:
d'un fichier de configuration dédié,  a dedicated configuration file,
d'une section d'un fichier de configuration existant,  a section of an existing configuration file,
d'une zone située à une adresse prédéterminée sur le moyen de stockage,  an area located at a predetermined address on the storage means,
d'une ligne dans une base de données  a line in a database
[ 0024 ] Le deuxième dispositif 203 d'interconnexion est lui aussi un dispositif de traitement. Il est similaire au premier dispositif 103 d'interconnexion. Le deuxième dispositif 203 d'interconnexion comporte une base de données de règles et des codes instructions correspondant à l'invention. Pour la présente illustration ces codes instructions correspondent à une partie serveur de l'invention. The second device 203 interconnection is also a processing device. It is similar to the first interconnection device 103. The second interconnection device 203 comprises a rules database and instruction codes corresponding to the invention. For the purposes of this illustration, these instruction codes correspond to a server part of the invention.
[ 0025 ] Une adresse est par exemple une adresse au format I PV4, c'est-à-dire une adresse selon la version 4 du protocole I P. Ce pourrait être une adresse IPV6. II ne s'agit qu'un exemple, dans la pratique il s'agit d'un identifiant routable sur un réseau, qu'il s'agisse d'un réseau Ethernet, InfiniBand, ARI ES, ... la liste n'est pas exhaustive. Dans ces cas l'adresse I P est à remplacer par son équivalent : adresse mémoire, identifiant matériel unique (GUI D) ... [0026] Ainsi une règle comporte au moins : An address is for example an address in the format I PV4, that is to say an address according to version 4 of the protocol I P. It could be an IPV6 address. It is only an example, in practice it is a routable identifier on a network, whether it is an Ethernet network, InfiniBand, ARI ES, ... the list n ' is not exhaustive. In these cases the IP address is to be replaced by its equivalent: memory address, unique hardware identifier (GUI D) ... [0026] Thus a rule comprises at least:
Une propriété 1 081 identifiant source(s),  A property 1,081 source identifier (s),
Une propriété 1 082 identifiant destination(s),  A property 1,082 identifying destination (s),
Une propriété 1 083 code action.  A property 1,083 action code.
[ 0027 ] Pour les propriétés on parle d'identifiant pour désigner : For the properties we speak of identifier to designate:
Une adresse, telle que précédemment définie, ou  An address, as previously defined, or
Un réseau c'est-à-dire un ensemble d'adresses.  A network, that is, a set of addresses.
[ 0028 ] Un code action est au moins parmi : An action code is at least among:
Laisser passer, ou  Let go, or
- Bloquer.  - Block.
[0029] Ainsi le traitement d'un message consiste à déterminer quelles règles s'appliquent à lui, et ainsi de lui appliquer l'action correspondant à la ou les règles correspondantes. Si plusieurs règles correspondent avec des actions contradictoires, on applique un mode de résolutions de conflit connu comme par exemple :  Thus, the processing of a message consists of determining which rules apply to it, and thus of applying to it the action corresponding to the corresponding rule or rules. If several rules correspond with contradictory actions, one applies a known mode of conflict resolution like for example:
Chaque règle ayant un numéro d'ordre, c'est-à-dire de classement, c'est l'action de la première règle trouvée qui est appliquée, ou Le blocage est prioritaire, ou  Each rule having a sequence number, that is to say of classification, it is the action of the first found rule which is applied, or the blocking is priority, or
Chaque règle à une priorité, c'est l'action de la règle ayant la priorité la plus élevée qui est appliquée, ou  Each rule to a priority is the action of the rule with the highest priority that is applied, or
... la liste n'est pas exhaustive.  ... The list is not exhaustive.
[ 0030 ] La figure 1 montre un troisième dispositif 301 connecté, connecté au deuxième dispositif 203 d'interconnexion. Figure 1 shows a third device 301 connected, connected to the second device 203 interconnection.
[ 0031 ] La figure 1 montre aussi que la mémoire 106 de stockage du premier dispositif 1 03 d'interconnexion comporte une deuxième base 1 1 0 de données ayant la même structure que la première base 1 08 de données de règles de traitement. Cette deuxième base 1 1 0 de données est destinée à enregistrer des règles de traitements issues d'autres dispositifs d'interconnexion. On peut alors parler d'une base 1 10 de règles de traitements distantes.  Figure 1 also shows that the storage memory 106 of the first interconnection device 1 03 includes a second database 1 1 0 of data having the same structure as the first database 108 of processing rules data. This second database 1 1 0 of data is intended to record processing rules from other interconnection devices. We can then speak of a base 10 of remote processing rules.
[ 0032 ] Dans la pratique il pourrait n'y avoir qu'une seule base de données avec des lignes ayant une propriété supplémentaire nommée « Origine » permettant d'enregistrer la provenance de la règle selon qu'elle est : Locale : c'est-à-dire propre au dispositif comportant la base de données, ou In practice there could be only one database with lines having an additional property named "Origin" to record the origin of the rule as it is: Local: that is to say specific to the device comprising the database, or
Distante : c'est à dire issue d'un autre dispositif que celui comportant la base de données. Cette propriété Origine peut aussi enregistrer un identifiant de dispositif d'interconnexion permettant de déterminer de quel dispositif elle est issue.  Remote: that is from another device than the one containing the database. This Origin property can also register an interconnect device identifier to determine which device it came from.
[ 0033 ] En général les dispositifs interconnectés suivants : In general, the following interconnected devices:
Premier dispositif d'interconnexion, et  First interconnection device, and
Deuxième dispositif d'interconnexion  Second interconnection device
sont ensemble appelés un réseau. Par extension on considère que les dispositifs connectés à ceux précédemment cités font aussi parti du réseau qui sera désigné comme le premier réseau par la suite. are together called a network. By extension it is considered that the devices connected to those previously mentioned are also part of the network which will be designated as the first network thereafter.
[ 0034 ] La figure 2 montre une étape 500 de configuration du premier dispositif 1 03 d'interconnexion. Dans cette étape un utilisateur, généralement administrateur du premier réseau, met à jour la première base 1 08 de données de règles de traitement. Une telle mise à jour requiert une connexion sécurisée et se fait de manière classique :  FIG. 2 shows a step 500 of configuration of the first interconnection device 1 03. In this step a user, generally administrator of the first network, updates the first base 108 of processing rule data. Such an update requires a secure connection and is done in a traditional way:
A distance  Remote
Via une interface web (http), ou une interface web sécurisée (https), et un navigateur internet  Via a web interface (http), or a secure web interface (https), and an internet browser
Via une connexion ssh, c'est-à-dire en mode console,  Via an ssh connection, that is to say in console mode,
En locale In local
En ayant un accès physique au dispositif ce qui permet de s'y connecter via un câble connecté à un connecteur dédié, historiquement RS232, du dispositif : on est alors en mode graphique ou en mode console selon le dispositif.  By having a physical access to the device which allows to connect via a cable connected to a dedicated connector, historically RS232, the device: it is then in graphics mode or console mode depending on the device.
[0035 ] Il s'agit là de modes de configuration d'un dispositif d'interconnexion connus. These are modes of configuration of a known interconnection device.
[ 0036] Dans l'invention on passe de l'étape 500 à une étape 501 d'enregistrement d'un identifiant du deuxième dispositif 203 d'interconnexion dans la mémoire 1 09. Cela est réalisé en adaptant l'un des modes de configuration précédemment décrits. Dans le cas d'un mode de configuration graphique on ajoute une zone de saisie permettant de saisir une valeur pour l'identifiant du deuxième dispositif d'interconnexion. La validation de cette zone de saisie provoque la mise à jour de la mémoire 1 09 d'identification du dispositif d'interconnexion distant. Dans le cas d'un mode de configuration en ligne de commande, on utilise une nouvelle commande, due à l'invention, dont l'exécution provoque la mise à jour de la mémoire 1 09 d'identification du dispositif d'interconnexion distant. In the invention we go from step 500 to a step 501 for recording an identifier of the second interconnection device 203 in the memory 1 09. This is done by adapting one of the configuration modes. previously described. In the case of a graphical configuration mode adds an input field for entering a value for the identifier of the second interconnection device. The validation of this input area causes the updating of the memory 09 to identify the remote interconnection device. In the case of a configuration mode command line, using a new command, due to the invention, the execution of which causes the updating of the memory 1 09 identification of the remote interconnection device.
[0037 ] La mémoire 1 09 peut contenir : The memory 1 09 may contain:
Une adresse I PV4, I PV6 ou autre.  An address I PV4, I PV6 or other.
Une chaîne de caractère qui peut être résolue en une adresse par l'intermédiaire d'un serveur DNS ou équivalent.  A string of characters that can be resolved into an address via a DNS server or equivalent.
[ 0038 ] De l'étape 501 on passe à une étape 502 d'obtention de règles de traitement distante. Dans l'étape 502 le premier dispositif 1 03 d'interconnexion produit un message de demande de règles de traitement comportant au moins : From step 501 we proceed to a step 502 for obtaining remote processing rules. In step 502, the first interconnection device 1 03 produces a processing rule request message comprising at least:
Une adresse de destination, l'identifiant enregistré dans la mémoire 1 09 d'identification du dispositif d'interconnexion distant,  A destination address, the identifier stored in the memory 1 1 09 identification of the remote interconnection device,
Une adresse de réponse, celle du premier dispositif 1 03 d'interconnexion.  A response address, that of the first device 1 03 interconnection.
Un code instruction prédéterminé : ce code instruction est un code de demande de règles.  A predetermined instruction code: This instruction code is a rule request code.
[0039] Une fois le message de demande de règles produit, il est émis par le premier dispositif 1 03 d'interconnexion.  Once the rules request message product, it is issued by the first device 1 03 interconnection.
[ 0040 ] Dans une étape 51 0 de réception d'un message de demande de règles le deuxième dispositif 203 d'interconnexion reçoit le message de demande de règles de traitement émis par le premier dispositif 1 03 d'interconnexion. Ce message est identifié comme un message de demande de règles de traitement car :  In a step 51 0 for receiving a rule request message the second interconnection device 203 receives the processing rule request message issued by the first interconnection device 1 03. This message is identified as a request message for processing rules because:
Il est destiné au deuxième dispositif d'interconnexion, en effet l'adresse de destination est celle du deuxième dispositif d'interconnexion ;  It is intended for the second interconnection device, in fact the destination address is that of the second interconnection device;
Il comporte un code instruction idoine.  It has an appropriate instruction code.
[0041 ] Dans cette étape le deuxième dispositif produit un message de transmission de règles de traitement comportant au moins : Une adresse de destination qui vaut la valeur de l'adresse de réponse du message de demande de règles ; In this step the second device produces a processing rules transmission message comprising at least: A destination address that is worth the response address value of the rule request message;
Une adresse d'émetteur qui vaut l'adresse du dispositif produisant et émettant ce message ;  An issuer address which is the address of the device producing and transmitting this message;
Un code instruction prédéterminé : ce code instruction est un code désignant le message comme un message de transmission de règles de traitements.  A predetermined instruction code: This instruction code is a code designating the message as a processing rule transmission message.
Zéro ou N règles de traitement de messages, N étant supérieur ou égal à 1 .  Zero or N message processing rules, where N is greater than or equal to 1.
[ 0042 ] Une fois que le message de transmission de règles est produit, il est émis par le deuxième dispositif d'interconnexion.  Once the rule transmission message is produced, it is sent by the second interconnection device.
[0043 ] Dans une étape 51 1 , le premier dispositif 1 03 d'interconnexion reçoit le message de transmission de règles de traitement. Il y récupère les règles de traitement. Il a ainsi obtenu des règles de traitement distantes d'un deuxième dispositif d'interconnexion. Ce message est identifié comme un message de transmission de règles de traitement car :  In a step 51 1, the first interconnection device 1 03 receives the transmission message processing rules. There he recovers the treatment rules. It has thus obtained remote processing rules of a second interconnection device. This message is identified as a processing rule transmission message because:
Il est destiné au premier dispositif d'interconnexion, en effet l'adresse de destination est celle du premier dispositif d'interconnexion ; It is intended for the first interconnection device, in fact the destination address is that of the first interconnection device;
Il comporte un code instruction idoine. It has an appropriate instruction code.
[0044 ] Selon des mises en œuvre de l'invention les règles de traitement distantes sont : According to implementations of the invention, the remote processing rules are:
Maintenues dans une mémoire de travail, ou  Maintained in a working memory, or
Enregistrées dans une base de données locale, par exemple la base Registered in a local database, for example the database
1 10 de données de règles de traitement distantes. 1 10 of remote processing rules data.
[ 0045 ] L'étape 502 est mise en œuvre, par exemple, selon un intervalle prédéterminé. Cet intervalle prédéterminé permet de déterminer des dates auxquelles l'étape 502 est mise en œuvre. Step 502 is implemented, for example, according to a predetermined interval. This predetermined interval makes it possible to determine dates at which step 502 is implemented.
[ 0046] Dans une étape 520 de traitement de message le premier dispositif de traitement reçoit un message. Ce message est traité en fonction de ses caractéristiques en particulier adresses source et destination. Ce traitement est effectué selon les règles de traitement locales et selon les règles de traitements distantes. Le traitement d'un message de communication est ici assimilable à un filtrage. [0047 ] Dans une variante, qui n'est pas la plus optimale, des règles distantes sont demandées à chaque traitement d'un message de communication. In a message processing step 520 the first processing device receives a message. This message is processed according to its characteristics, in particular source and destination addresses. This processing is performed according to the local processing rules and the remote processing rules. The processing of a communication message is here comparable to a filtering. In a variant, which is not the most optimal, remote rules are required for each processing of a communication message.
[ 0048 ] Dans un exemple pratique considérons que : In a practical example consider that:
Le premier dispositif 101 connecté a l'adresse A1 ,  The first device 101 connected to address A1,
- Le deuxième dispositif 1 02 connecté a l'adresse A2,  The second device 1 02 connected to address A2,
Le troisième dispositif 301 connecté a l'adresse A3  The third device 301 connected to address A3
La base de données 1 08 de règles locales comporte la première règle suivante :  The Local Rule Database 1 08 has the following rule:
Source = A1 , Destination = A2, Action = Passer  Source = A1, Destination = A2, Action = Skip
- Une base de données de règles locales du deuxième dispositif d'interconnexion comporte la deuxième règle suivante :  A local rule database of the second interconnect device has the following second rule:
Source = *, Destination = A3, Action = Bloquer  Source = *, Destination = A3, Action = Block
Le premier dispositif reçoit le message de communication suivant :  The first device receives the following communication message:
Source = A1 ,  Source = A1,
- Destination = A3,  - Destination = A3,
Message = Bonjour le monde !  Message = Hello world!
[ 0049] Sans l'invention, le message de communication serait bloqué par le deuxième dispositif d'interconnexion qu'il doit traverser pour atteindre le troisième dispositif 301 connecté. Without the invention, the communication message would be blocked by the second interconnection device that it must cross to reach the third connected device 301.
[ 0050 ] Avec l'invention le premier dispositif d'interconnexion a obtenu la deuxième règle. Il sait donc que le message de communication doit être bloqué. Cela lui évite d'avoir à transmettre le message de communication et permet ainsi d'économiser de la bande passante. With the invention the first interconnection device has obtained the second rule. He knows that the communication message must be blocked. This saves him from having to transmit the communication message and thus saves bandwidth.
[ 0051 ] De même, avant l'invention, dans un environnement réseau, pour la gestion de la sécurité, les équipements réseau permettaient de définir des listes d'accès (ACL pour Access Control List) contenant des règles à appliquer sur les messages circulant à travers les dits équipements. L'application desdites règles se fait sur chaque équipement de manière « autonome » et sans cohérence globale à l'échelle du réseau. Cela signifie que chaque équipement doit définir les règles et les appliquer à son propre niveau et pas d'une manière globale homogène. Cette homogénéité devait être maintenue à la main. Il n'est pas rare, sans l'invention, d'avoir certains équipement bloquant des messages alors que d'autres les laisse passer. Cela peut constituer des brèches de sécurité. [0052 ] Avec l'invention il est possible d'avoir un dispositif de référence qui prend en charge la configuration d'un ensemble de dispositifs d'interconnexion. Similarly, before the invention, in a network environment, for security management, the network equipment used to define access control lists (ACLs) containing rules to be applied to the messages circulating. through the said equipment. The application of said rules is done on each device in a "standalone" manner and without overall coherence at the network level. This means that each piece of equipment must define the rules and apply them at its own level and not in a homogeneous overall way. This homogeneity had to be maintained by hand. It is not uncommon, without the invention, to have some equipment blocking messages while others let them pass. This can be security breaches. With the invention it is possible to have a reference device that supports the configuration of a set of interconnection devices.
[ 0053 ] Dans une variante de l'invention les règles de traitement locales et les règles de traitements distantes sont enregistrées dans la même base de données qui comporte alors une colonne supplémentaire pour enregistrer la provenance de la règle, par exemple l'adresse de son dispositif d'origine, ou simplement un marqueur booléen indiquant s'il agit ou non d'une règle locale. In a variant of the invention, the local processing rules and the remote processing rules are recorded in the same database which then comprises an additional column for recording the origin of the rule, for example the address of its user. original device, or simply a Boolean marker indicating whether or not it is acting on a local rule.
[ 0054 ] Dans une autre variante de l'invention un dispositif d'interconnexion obtient des règles de traitement de plusieurs dispositifs distant. On note ici qu'un dispositif distant n'est pas nécessairement un dispositif d'interconnexion. Il est au moins un dispositif de traitement qui met en œuvre la partie serveur de l'invention. La partie serveur de l'invention est la capacité de répondre à des messages de demande de règles. La partie client de l'invention est la capacité d'émettre des messages de demande de règles et de traiter les réponses à ces messages. In another variant of the invention an interconnection device obtains processing rules of several remote devices. It is noted here that a remote device is not necessarily an interconnection device. There is at least one processing device that implements the server part of the invention. The server portion of the invention is the ability to respond to rule request messages. The client portion of the invention is the ability to issue policy request messages and process responses to these messages.
[ 0055 ] Dans une variante de l'invention une règle distante est associée à un horodatage. Cela permet de définir une durée de vie par défaut pour la règle, et/ou une durée à l'échéance de laquelle il faut demander au dispositif distant d'où est issue la règle si celle-ci est encore valable. Un tel horodatage permet aussi de calculer un âge pour la règle. Un âge est le temps calculé entre la date courante et l'horodatage. Dans une variante les règles dont l'âge dépasse une valeur prédéterminée sont ignorées. In a variant of the invention a remote rule is associated with a timestamp. This makes it possible to define a default lifetime for the rule, and / or a duration at the end of which it is necessary to ask the remote device from which the rule originates if this one is still valid. Such a time stamp also makes it possible to calculate an age for the rule. An age is the time calculated between the current date and the time stamp. In a variant, rules whose age exceeds a predetermined value are ignored.
[0056] Dans une variante de l'invention une règle distante est associé à un identifiant de version ce qui permet de ne pas réémettre des règles distantes dont la version n'a pas changée sur le dispositif de référence.  In a variant of the invention a remote rule is associated with a version identifier which makes it possible not to re-issue remote rules whose version has not changed on the reference device.
[ 0057 ] Dans une variante de l'invention, chaque règle étant associée à un identifiant unique de règle, les règles distantes sont supprimées si elles ne sont pas reçues dans la réponse à un message de demande d'émission de règles. Cette absence signifie que les règles en question ont été supprimées sur le dispositif source des règles et que cette suppression et répercutée en cascade sur les dispositifs qui se synchronisent sur le dispositif source. In a variant of the invention, each rule being associated with a unique identifier of the rule, the remote rules are deleted if they are not received in the response to a request message for issuing rules. This absence means that the rules in question have been deleted on the source device of the rules and that this deletion and cascaded on the devices that synchronize on the source device.
[0058 ] Dans une variante de l'invention chaque règle est associée à une priorité, la règle ayant la priorité la plus élevée s'appliquant prioritairement aux autres. [0059] On vient de décrire un mode de mise en œuvre dans lequel le client, c'est-à-dire le premier dispositif d'interconnexion, demande des règles de traitements. On parle de mode « pull ». In a variant of the invention each rule is associated with a priority, the rule having the highest priority primarily applying to others. We have just described an implementation mode in which the client, that is to say the first interconnection device, requests processing rules. We are talking about "pull" mode.
[ 0060 ] L'invention reste valable avec un mode de mise en œuvre dans lequel le deuxième dispositif d'interconnexion, ou un dispositif distant, pousse des règles vers le premier dispositif d'interconnexion. Dans ce cas, par symétrie, l'équivalent de la mémoire 1 09 pour enregistrer une adresse d'un deuxième dispositif d'interconnexion sur le deuxième dispositif devient une zone pour enregistrer au moins une adresse d'un dispositif vers lequel il faut pousser des règles de traitement. Le message de transmission de règle est dans ce cas produit sans qu'une demande ait été reçue. On parle alors de mode « push » ou de mode par abonnement : un dispositif client s'abonne à un dispositif serveur.  The invention remains valid with an embodiment in which the second interconnection device, or a remote device, pushes rules to the first interconnection device. In this case, by symmetry, the equivalent of the memory 1 09 to record an address of a second interconnection device on the second device becomes an area for recording at least one address of a device to which it is necessary to push treatment rules. In this case, the rule transmission message is produced without a request being received. This is called "push" mode or subscription mode: a client device subscribes to a server device.
Dans une variante de l'invention au niveau du dispositif serveur les règles à transmettre sont marquées comme telles. Ce marquage est, par exemple, réalisée via une colonne supplémentaire dans une table de règle. Il peut aussi s'agir d'un fichier comportant des règles à émettre. Le fait d'être dans ce fichier est alors un marquage. In a variant of the invention at the server device the rules to be transmitted are marked as such. This marking is, for example, carried out via an additional column in a rule table. It can also be a file containing rules to emit. The fact of being in this file is then a marking.
[ 0061 ] Les étapes de l'invention se répartissent dans le temps. Dans la pratique les bases de données de règles de traitement sont à jour au moment du traitement d'un message.  The stages of the invention are distributed over time. In practice, the processing rule databases are up-to-date at the time of processing a message.
[0062 ] Un horodatage est :  A time stamp is:
une date,  a date,
un marqueur temporelle (timestamp), ou  a time stamp (timestamp), or
un numéro de version. Dans le cas d'un numéro de version on peut utiliser un fonctionnement du type de celui utilisé pour la gestion des numéros de série des enregistrements SOA pour les DNS. Dans ce dernier cas on peut envisager des fichiers de règles gérés comme des fichiers de zone d'un serveur DNS.  a version number. In the case of a version number one can use an operation of the type used for the serial number management of SOA records for DNS. In the latter case we can consider managed rule files as zone files of a DNS server.
La liste n'est pas exhaustive.  The list is not exhaustive.
[ 0063 ] L'invention a été décrite avec des règles de traitement simples, basées sur des adresses sources et destinations. Dans la pratique l'invention reste valable avec des règles plus complexes utilisant, par exemple, les notions de protocoles (tcp, udp, ftp, http...) ou d'inspection de paquets. [0064 ] La description comporte implicitement la notion de récursivité. C'est-à- dire qu'un premier dispositif d'interconnexion, lorsqu'il récupère des règles d'un deuxième dispositif d'interconnexion, peut obtenir des règles que le deuxième dispositif a lui-même obtenu d'un troisième dispositif d'interconnexion. The invention has been described with simple processing rules, based on source addresses and destinations. In practice the invention remains valid with more complex rules using, for example, the concepts of protocols (tcp, udp, ftp, http ...) or packet inspection. The description implicitly includes the concept of recursion. That is, a first interconnect device, when retrieving rules from a second interconnect device, can obtain rules that the second device itself has obtained from a third device. interconnection.
[ 0065 ] Dans une variante de l'invention la zone 1 09 pour enregistrer une adresse d'un deuxième dispositif permet d'enregistrer plusieurs adresses, chacune de ces adresses correspondant à un dispositif d'interconnexion. Dans ce cas le premier dispositif d'interconnexion obtient des règles de traitements de plusieurs deuxièmes dispositifs d'interconnexion. Dans ce cas aussi on utilise, le cas échéant, un mode de résolution de conflit. In a variant of the invention the zone 1 09 to record an address of a second device allows to register multiple addresses, each of these addresses corresponding to an interconnection device. In this case, the first interconnection device obtains processing rules from several second interconnection devices. In this case also, if necessary, a conflict resolution mode is used.
[0066] Dans une variante de l'invention, l'étape 51 0 de réception d'un message de demande de règles comporte une étape 51 0.1 préliminaire d'authentification de l'émetteur du message de demande de règles. Une version simple est le teste d'existence de l'adresse de réponse du message dans une liste de demandeurs autorisés. Si l'adresse de réponse existe, alors les règles sont émises. Si l'adresse n'existe pas alors aucune réponse n'est apportée au message de demande de règles.  In a variant of the invention, the step 51 0 of receiving a rule request message comprises a preliminary step 51 0.1 authentication of the issuer of the request message rules. A simple version is the existence test of the response address of the message in a list of authorized applicants. If the response address exists, then the rules are issued. If the address does not exist then no response is made to the rule request message.
[ 0067 ] Dans une variante plus élaborée, l'authentification est basé sur la mise en place d'un challenge, par exemple basé sur des certificats chaque dispositif ayant le sien, entre le dispositif émettre du message et le dispositif destinataire du message.  In a more elaborate variant, the authentication is based on the implementation of a challenge, for example based on certificates each device having his own, between the device to emit the message and the recipient device of the message.
[0068 ] Dans une variante de l'invention, une tentative d'obtention de règles de traitements est déclenchée par la réception d'un message spécifique. Un tel message est, par exemple, émis en mode diffusion par un dispositif d'interconnexion dont au moins une règle de traitement vient d'être modifié.  In a variant of the invention, an attempt to obtain processing rules is triggered by the receipt of a specific message. Such a message is, for example, sent in broadcast mode by an interconnection device of which at least one processing rule has just been modified.

Claims

REVENDICATIONS
1 . Procédé de traitement d'un message par un premier dispositif (103) d'interconnexion caractérisé en ce qu'il comporte les étapes suivantes : 1. Method of processing a message by a first interconnection device (103) characterized in that it comprises the following steps:
- Enregistrement (500), dans le premier dispositif d'interconnexion, d'une première base (108) de données de règles de traitement  - Registering (500), in the first interconnection device, a first base (108) of processing rule data
Enregistrement (501 ), dans le premier dispositif d'interconnexion, d'un identifiant (109) d'un deuxième dispositif d'interconnexion,  Recording (501), in the first interconnection device, an identifier (109) of a second interconnection device,
Traitement (520) d'une communication selon  Processing (520) of a communication according to
- Des règles de traitement locales de la première base (108) de données locale de règles  - Local processing rules of the first local rule database (108)
Des règles de traitement distantes obtenues (51 1 ) d'un deuxième dispositif d'interconnexion identifié par l'identifiant du deuxième dispositif d'interconnexion.  Remote processing rules obtained (51 1) of a second interconnection device identified by the identifier of the second interconnection device.
2. Procédé selon la revendication 1 caractérisé en ce que les règles de traitement distantes sont obtenues pour chaque message traité. 2. Method according to claim 1 characterized in that the remote processing rules are obtained for each processed message.
3. Procédé selon la revendication 1 , caractérisé en ce que les règles de traitement distantes sont obtenues à des dates prédéterminées.  3. Method according to claim 1, characterized in that the remote processing rules are obtained at predetermined dates.
4. Procédé selon la revendication 1 ou 3 caractérisé en ce que les règles distantes, une fois obtenues, sont enregistrées localement de manière à pouvoir être réutilisées.  4. Method according to claim 1 or 3 characterized in that the remote rules, once obtained, are recorded locally so as to be reused.
5. Procédé selon la revendication 4 caractérisé en ce qu'une règle de traitement distante est associée à un identifiant de dispositif d'interconnexion. 5. Method according to claim 4 characterized in that a remote processing rule is associated with an interconnection device identifier.
6. Procédé selon l'une des revendications 4 ou 5 caractérisé en ce qu'une règle de traitement distante est associée à un horodatage. 6. Method according to one of claims 4 or 5 characterized in that a remote processing rule is associated with a timestamp.
7. Procédé selon la revendication 6 caractérisé en ce que les règles de traitement distantes sont effacées en fonction d'au moins leur horodatage.  7. Method according to claim 6 characterized in that the remote processing rules are erased according to at least their time stamp.
8. Procédé selon l'une des revendications précédentes caractérisé en ce qu'une règle comporte au moins :  8. Method according to one of the preceding claims characterized in that a rule comprises at least:
- Une adresse source,  - A source address,
Une adresse destination,  A destination address,
Un code instruction de traitement parmi au moins :  A treatment instruction code among at least:
Bloquer le message, Laisser passer le message. Block the message, Leave the message.
9. Procédé selon l'une des revendications précédentes, caractérisé en ce que chaque règle de traitement est associé à une priorité.  9. Method according to one of the preceding claims, characterized in that each treatment rule is associated with a priority.
10. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comporte une étape d'authentification du premier dispositif d'interconnexion par le deuxième dispositif d'interconnexion.  10. Method according to one of the preceding claims, characterized in that it comprises a step of authentication of the first interconnection device by the second interconnection device.
1 1 . Dispositif de stockage numérique comportant un fichier correspondant à des codes instructions mettant en œuvre le procédé selon l'une des revendications précédentes.  1 1. Digital storage device comprising a file corresponding to instruction codes implementing the method according to one of the preceding claims.
12. Dispositif mettant en œuvre le procédé selon l'une des revendications précédentes. 12. Device implementing the method according to one of the preceding claims.
EP15714868.5A 2014-03-26 2015-03-12 Method of processing a message in an interconnection device Withdrawn EP3123691A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1452550A FR3019417B1 (en) 2014-03-26 2014-03-26 METHOD FOR PROCESSING A MESSAGE IN AN INTERCONNECTION DEVICE
PCT/FR2015/050616 WO2015145018A1 (en) 2014-03-26 2015-03-12 Method of processing a message in an interconnection device

Publications (1)

Publication Number Publication Date
EP3123691A1 true EP3123691A1 (en) 2017-02-01

Family

ID=51417356

Family Applications (1)

Application Number Title Priority Date Filing Date
EP15714868.5A Withdrawn EP3123691A1 (en) 2014-03-26 2015-03-12 Method of processing a message in an interconnection device

Country Status (4)

Country Link
US (1) US20170111320A1 (en)
EP (1) EP3123691A1 (en)
FR (1) FR3019417B1 (en)
WO (1) WO2015145018A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10075416B2 (en) 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070156659A1 (en) * 2005-12-29 2007-07-05 Blue Jungle Techniques and System to Deploy Policies Intelligently
US20110103259A1 (en) * 2009-11-04 2011-05-05 Gunes Aybay Methods and apparatus for configuring a virtual network switch

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5708684A (en) * 1994-11-07 1998-01-13 Fujitsu Limited Radio equipment
US5978566A (en) * 1996-07-12 1999-11-02 Microsoft Corporation Client side deferred actions within multiple MAPI profiles
US7143439B2 (en) * 2000-01-07 2006-11-28 Security, Inc. Efficient evaluation of rules
US6826698B1 (en) * 2000-09-15 2004-11-30 Networks Associates Technology, Inc. System, method and computer program product for rule based network security policies
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7328451B2 (en) * 2003-06-30 2008-02-05 At&T Delaware Intellectual Property, Inc. Network firewall policy configuration facilitation
US7760730B2 (en) * 2004-06-15 2010-07-20 Oracle America, Inc. Rule set verification
US7129859B2 (en) * 2004-07-22 2006-10-31 International Business Machines Corporation Method and apparatus for minimizing threshold variation from body charge in silicon-on-insulator circuitry
WO2006090781A1 (en) * 2005-02-24 2006-08-31 Nec Corporation Filtering rule analysis method and system
US7680773B1 (en) * 2005-03-31 2010-03-16 Google Inc. System for automatically managing duplicate documents when crawling dynamic documents
US9060047B2 (en) * 2005-12-21 2015-06-16 Genband Us Llc Media stream management
US8307442B2 (en) * 2006-08-01 2012-11-06 Cisco Technology, Inc. Method of preventing infection propagation in a dynamic multipoint virtual private network
US8000328B1 (en) * 2007-05-22 2011-08-16 Qurio Holdings, Inc. Filtering messages in a distributed virtual world based on virtual space properties
US8059533B2 (en) * 2007-10-24 2011-11-15 Cisco Technology, Inc. Packet flow optimization (PFO) policy management in a communications network by rule name
US20090138960A1 (en) * 2007-10-26 2009-05-28 University Of Ottawa Control access rule conflict detection
US7880990B2 (en) * 2008-12-10 2011-02-01 Hitachi Global Storage Technologies Netherlands B.V. Patterned-media magnetic recording disk with cryptographically scrambled patterns and disk drive operable with the disk
US9497164B2 (en) * 2010-05-27 2016-11-15 At&T Intellectual Property I, L.P. System and method of redirecting internet protocol traffic for network based parental controls
US9054883B2 (en) * 2010-10-05 2015-06-09 Tekelec, Inc. Methods, systems, and computer readable media for user activated policy enhancement
US8627448B2 (en) * 2010-11-02 2014-01-07 Jose Renato Santos Selective invalidation of packet filtering results
US8914841B2 (en) * 2010-11-24 2014-12-16 Tufin Software Technologies Ltd. Method and system for mapping between connectivity requests and a security rule set
WO2012163587A1 (en) * 2011-05-31 2012-12-06 Alcatel Lucent Distributed access control across the network firewalls
US8874926B1 (en) * 2012-03-08 2014-10-28 Sandia Corporation Increasing security in inter-chip communication
CN103916295B (en) * 2012-12-31 2017-09-12 华为终端有限公司 Data transmission method, equipment and gateway
US20140279611A1 (en) * 2013-03-15 2014-09-18 Eid Passport, Inc. High assurance federated attribute management
US9088543B2 (en) * 2013-06-03 2015-07-21 International Business Machines Corporation Coordinated network security management
JP6600682B2 (en) * 2014-09-30 2019-10-30 コンヴィーダ ワイヤレス, エルエルシー Dynamic policy control

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070156659A1 (en) * 2005-12-29 2007-07-05 Blue Jungle Techniques and System to Deploy Policies Intelligently
US20110103259A1 (en) * 2009-11-04 2011-05-05 Gunes Aybay Methods and apparatus for configuring a virtual network switch

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of WO2015145018A1 *

Also Published As

Publication number Publication date
WO2015145018A1 (en) 2015-10-01
FR3019417A1 (en) 2015-10-02
US20170111320A1 (en) 2017-04-20
FR3019417B1 (en) 2017-07-07

Similar Documents

Publication Publication Date Title
JP4955107B2 (en) Method and unit for classifying traffic in an IP network
EP1507384B1 (en) Method of masking the processing of an access request to a server and corresponding system
FR2923969A1 (en) METHOD FOR MANAGING FRAMES IN A GLOBAL COMMUNICATION NETWORK, COMPUTER PROGRAM PRODUCT, CORRESPONDING STORAGE MEDIUM AND TUNNEL HEAD
EP2692089B1 (en) Incoming redirection mechanism on a reverse proxy
EP3503508B1 (en) Method for processing requests and proxy server
EP1869858A2 (en) Method for controlling the sending of unsolicited voice information
WO2006079710A1 (en) Method, device and programme for detecting ip spoofing in a wireless network
FR2888695A1 (en) DETECTION OF INTRUSION BY MISMATCHING DATA PACKETS IN A TELECOMMUNICATION NETWORK
FR2949934A1 (en) MONITORING A COMMUNICATION SESSION COMPRISING SEVERAL FLOWS ON A DATA NETWORK
EP3365829B1 (en) Method of aiding the detection of infection of a terminal by malware
EP3549047A1 (en) Method for authenticating a terminal apparatus, associated device, server apparatus and computer program
EP3123691A1 (en) Method of processing a message in an interconnection device
WO2004086719A2 (en) Secure client/server data transmission system
EP2979222B1 (en) Method for storing data in a computer system performing data deduplication
FR2902954A1 (en) Entity e.g. web server, inventory storage system for e.g. firewall, has child/terminal nodes linked to parent node by relation so that entity versions and group of versions of child or terminal nodes form part of parent node version group
EP4066461B1 (en) Method, device and system for coordinating the mitigation of network attacks
EP2847939A1 (en) Data transmission system
EP3149902B1 (en) Technique for obtaining a policy for routing requests emitted by a software module running on a client device
EP3811578A1 (en) Method of discovering intermediate functions and selecting a path between two communication devices
EP3070911A1 (en) Method for controlling access to a private network
FR3116981A1 (en) Method and system for configuring access to a local area network.
EP3672209A1 (en) Method for identifying a communication node
FR2917556A1 (en) DETECTION OF ANOMALY IN THE TRAFFIC OF SERVICE ENTITIES THROUGH A PACKET NETWORK
WO2007148014A2 (en) Method of constructing descriptions of streams of packets
FR3042362A1 (en) MEANS FOR MANAGING ACCESS TO DATA

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20160921

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20180611

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20190926