ES2243084T3 - Procedimiento de transporte de paquetes entre un interfaz de acceso y una red compartida. - Google Patents
Procedimiento de transporte de paquetes entre un interfaz de acceso y una red compartida.Info
- Publication number
- ES2243084T3 ES2243084T3 ES99958299T ES99958299T ES2243084T3 ES 2243084 T3 ES2243084 T3 ES 2243084T3 ES 99958299 T ES99958299 T ES 99958299T ES 99958299 T ES99958299 T ES 99958299T ES 2243084 T3 ES2243084 T3 ES 2243084T3
- Authority
- ES
- Spain
- Prior art keywords
- package
- signature
- router
- interface
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Sorting Of Articles (AREA)
Abstract
Procedimiento de transporte de paquetes entre un interfaz de acceso (16) de una instalación de abonado (13) y un dispositivo direccionador de concentración (12) de una red compartida (10), caracterizado porque el interfaz de acceso procede a operaciones de control sobre los flujos de paquetes emitidos hacia el direccionador de concentración, dentro del marco de un contrato entre el abonado y un gestionador de la red compartida, y porque, después de haber procedido a operaciones de control con respecto al paquete a emitir, el interfaz de acceso emite este paquete hacia el direccionador de concentración con una firma basada en un secreto compartido con el direccionador de concentración, que autentifica que el paquete ha sido sometido a las operaciones de control.
Description
Procedimiento de transporte de paquetes entre un
interfaz de acceso y una red compartida.
La presente invención se refiere a redes de
transmisión por paquetes. Se aplica en especial, pero no
exclusivamente, a las redes compartidas que funcionan según el
protocolo Internet (IP).
La utilización de la invención interviene dentro
del marco de las relaciones contractuales entre un suministrador de
acceso a una red compartida y sus clientes. El suministrador
dispone, para la conexión de las instalaciones de los clientes, de
uno o varios dispositivos direccionadores de concentración de la red
compartida. Unas líneas de transmisión conectan estos dispositivos
direccionadores de concentración a los interfaces de acceso de las
instalaciones de los clientes, que pueden ser interfaces de
direccionadores de acceso de redes privadas.
Se designan en esta descripción por funciones de
"policía" diversos tratamientos o controles efectuados a nivel
de un interfaz de la red sobre flujos de datos que la atraviesan. A
título de ejemplo no limitativo, se pueden citar el contaje de los
paquetes intercambiados entre una dirección de fuente y una
dirección de destino determinadas, la atribución de prioridades a
ciertos paquetes, traducciones de dirección, destrucción selectiva
de ciertos paquetes, etc.
Estas funciones de "policía" se pueden
inscribir dentro de un marco contractual entre un abonado (cliente)
y un gestionador de la red (suministrador de servicios). Este puede
ser el caso, por ejemplo, de funciones relativas a la facturación,
al control de débito, a las autorizaciones de acceso a ciertos
lugares conectados a la red, a la utilización de protocolos de
reserva, tales como RSVP, etc. Se pueden inscribir igualmente dentro
del marco de la organización interna de una red pública o privada,
por ejemplo, para controlar ciertos accesos.
Habitualmente, las funciones de policía que se
deducen del marco contractual entre el suministrador de acceso y sus
clientes se realizan a nivel de los interfaces de conexión del
direccionador de concentración. Este direccionador alberga programas
de control de los flujos que circulan en sus diferentes interfaces.
Los paquetes que tienen ciertas direcciones o puertos de procedencia
o de destino son contados, filtrados, tratados, según el tipo de
servicio ofrecido. Por el elevado número de instalaciones
susceptibles de estar conectadas al direccionador de concentración y
de la variedad de servicios que se pueden facilitar por estas
instalaciones, los diferentes controles de flujo a aplicar pueden
aumentar considerablemente la complejidad del dispositivo
direccionador. Este inconveniente es tanto o más sensible en tanto
se solicitan más y más tratamientos diferentes por los clientes o
son requeridos por los nuevos protocolos de reserva.
Por otra parte, esta organización no es flexible
para el cliente que desea hacer evolucionar algunas características
del servicio que se le ofrece. Por esta razón, debe dirigirse a su
suministrador para que éste efectúe los cambios requeridos a nivel
de su direccionador de concentración.
El documento "Router Encryption Made
Easy-The Hard Way", A Cray, DATA COMMUNICATIONS,
Vol. 26, nº 2, 1º febrero 1997, páginas 36, 38 XP000 659573 ISSN:
0363-6399, describe un dispositivo direccionador que
permite cifrar paquetes IP de manera selectiva.
El documento GB 2 323 757 describe un protocolo
de tunelización asegurado que permite la comunicación a través de
uno o varios cortafuegos por intermedio de servidores mandatarios o
"proxy".
El documento "Security", L. Bruno, DATA
COMMUNICATIONS, Vol. 27, nº 1, 1º enero 1998, páginas 88, 90 XP
000733531, ISSN: 0363-6399, describe un sistema que
permite el cifrado de datos transmitidos entre pasarelas de la
red.
El documento "Locking Down Intranets From A
far-For Less" J. Makris, DATA COMMUNICATIONS,
Vol. 27, nº 11, 11 agosto 1998, páginas 25, 26, XP000782253, ISSN:
0363-6399, describe una arquitectura que se basa en
varios cortafuegos para poner en marcha túneles de seguridad.
Un objetivo de la presente invención es el de dar
a conocer una forma de funcionamiento de la red que permite tener en
cuenta una gran diversidad de controles de flujo sin que ello se
traduzca en un aumento excesivo de la complejidad de los
dispositivos direccionadores de concentración, y con una relativa
flexibilidad de configuración.
La invención propone, por lo tanto, un
procedimiento de transporte de paquetes entre un interfaz de acceso
de una instalación de abonado y un dispositivo direccionador de
concentración de una red compartida, en el que el interfaz de acceso
procede a operaciones de control en flujos de paquetes emitidos
hacia el direccionador de concentración, dentro del marco de un
contrato entre el abonado y el gestionador de la red compartida.
Después de haber procedido a las operaciones de control con respecto
a un paquete a emitir, el interfaz de acceso emite este paquete
hacia el dispositivo direccionador de concentración con una firma
basada en un secreto compartido con el dispositivo direccionador de
concentración, autentificando que el paquete ha sido sometido a las
operaciones de control.
Preferentemente, la obtención de la firma y, por
lo menos, algunas de las operaciones de control se realizan en el
seno de un mismo circuito integrado, sin acceso físico
inmediatamente más arriba de la obtención de la firma.
Los controles de flujo que proceden del marco
contractual entre el gestionador de la red y el abonado quedan por
lo tanto descentralizados, lo que evita que el dispositivo
direccionador de concentración tenga que asumir toda la diversidad
de las operaciones requeridas por los diferentes abonados. El
mecanismo de firma de los paquetes garantiza al gestionador de la
red que el abonado, que dispone en sus locales del interfaz de
acceso, no le envíe paquetes que no habrían sido sometidos a las
operaciones de control de flujo, es decir, que hubiera prescindido
de las funciones de policía y de facturación.
El procedimiento da lugar a una arquitectura
distribuida del acceso y de la concentración, que está muy bien
adaptada para tener en cuenta los aumentos de tráfico y la
diversidad de servicios que comportarán las aplicaciones
futuras.
El abonado se beneficia, además, de una gran
flexibilidad para definir dinámicamente las características de su
abono. Le es necesario intervenir a nivel del interfaz de acceso del
que dispone. Por otra parte, puede definir las funciones de policía
que proceden del marco contractual con el suministrador de acceso
sobre la misma plataforma que las otras funciones de policía que
utiliza para la organización interna de su instalación, lo que
simplifica su organización.
Otro aspecto de la presente invención se refiere
a un interfaz de acceso para conectar un direccionador de acceso de
una instalación de abonado a un direccionador de concentración de
una red compartida, comprendiendo medios de control de los flujos de
paquetes emitidos hacia el dispositivo direccionador de
concentración, en el marco de un contrato entre el abonado y un
gestionador de la red compartida, y medios de firma que reciben los
paquetes suministrados por los medios de control de flujo y que
producen paquetes firmados emitidos hacia el direccionador de
concentración, comportando cada uno de los paquetes firmados una
firma basada en un secreto compartido con el direccionador de
concentración, autentificando que el paquete ha sido sometido a los
medios de control de
flujo.
flujo.
Otras peculiaridades y ventajas de la presente
invención aparecerán en la descripción siguiente de ejemplos de
realización no limitativos, haciendo referencia a los dibujos
adjuntos, en los cuales:
- la figura 1 es un esquema de una red en la que
la invención puede ser puesta en práctica;
- la figura 2 es un esquema sinóptico de un
dispositivo direccionador de acceso de una instalación privada de
esta red;
- la figura 3 es un esquema sinóptico de un
dispositivo de tratamiento de flujo que forma parte de un interfaz
del direccionador de la figura 2; y
- la figura 4 es un gráfico de tratamientos
elementales asegurados por el dispositivo de la figura 3.
La figura 1 muestra una red compartida de gran
extensión (WAN) (10) que presenta un cierto número de dispositivos
direccionadores y conmutadores interconectados (11), (12). Se
considera el caso en el que la red compartida (10) funciona según
el protocolo IP. Un cierto número de dispositivos direccionadores
son direccionadores de concentración (12), a los que están
concentradas instalaciones privadas (13).
Una instalación privada de abonado (13) está
conectada de manera típica a una red compartida (10) por medio de un
direccionador de acceso (15), en el que uno de los interfaces (16)
está conectado a una línea (17) de transmisión desde el
direccionador de concentración (12) y hacia el mismo. El
direccionador de acceso (15) puede estar conectado a otros
direccionadores de la instalación privada (13) o a servidores o
terminales (18) de esta instalación, por medio de otros interfaces
no representados en la figura 1.
La figura 2 muestra un ejemplo de arquitectura
del direccionador de acceso (15). El interfaz exterior (16), así
como los interfaces (20), (21) con el resto de la instalación
privada (13), están conectados al núcleo del direccionador que
consiste en un motor de direccionado de los paquetes (22) ("packet
forwarding engine"). El motor de direccionado (22) encamina los
paquetes de un interfaz hacia otro en base a los campos de dirección
y de puerto contenidos en los encabezamientos de los paquetes según
el protocolo IP y a sus eventuales extensiones (TCP, UDP, etc.)
haciendo referencia a tablas de direccionado.
Algunos de los interfaces del direccionador de
acceso (15) están dispuestos solamente en uno o dos de los sentidos
de transmisión, asegurando dispositivos de tratamiento o
procesadores de flujo (24), (25) funciones de policía. En el ejemplo
ilustrativo de la figura 2, el dispositivo (24) equipa el interfaz
exterior (16) en el sentido de salida, y el dispositivo (25) equipa
otro interfaz (20) en el sentido entrante.
El dispositivo direccionador de acceso es
supervisado por una unidad de gestión (26) que puede consistir en un
microordenador o una estación de trabajo que lleva a cabo un
programa de direccionado que sirve en especial para configurar la
tabla de direccionado del motor de envío (22) y los procesadores de
flujo (24), (25) y para intercambiar con ellos informaciones de
control o de protocolo. Estas órdenes e intercambios se hacen con
intermedio de un interfaz lógico de programación (API)
apropiado.
La mayor parte de los programas de direccionado y
de envío de paquetes existentes son fácilmente disponibles en el
medio Unix, pero su rendimiento está habitualmente limitado a causa
de las interrupciones frecuentes del sistema de explotación. Es
mucho más rápido utilizar un sistema de explotación en tiempo real,
tal como el VxWorks, pero ello complica la colocación del programa
de direccionado.
El papel de los procesadores de flujo (24), (25)
es el de ayudar al sistema de explotación no en tiempo real (tal
como Unix), sobre la base del cual funciona la unidad de gestión
(26), en tareas complejas de manipulación de los flujos que
requieren funciones en tiempo real (envío, filtrado, cifrado, etc.).
Estos procesadores utilizan un cierto número de útiles de
manipulación de los flujos que pueden estar conectados dinámicamente
según cualquier combinación para efectuar la tarea requerida. Esta
configuración puede ser efectuada a través del sistema de
explotación Unix por recurso a las funciones de API, lo que
facilita, en buena medida, la colocación de nuevas funcionalidades
por el progra-
mador.
mador.
Tal como se ha mostrado esquemáticamente en la
figura 1, una de las tareas efectuadas por el procesador de flujo
(24) del interfaz exterior (16) del direccionador de acceso (15)
consiste en emitir cada paquete hacia el direccionador de
concentración (12), añadiéndole una firma numérica (bloque -40-).
Esta firma certifica que los paquetes en cuestión han sido sometidos
a otras operaciones de control de flujo (bloque -39-) efectuadas por
el procesador (24).
El interfaz correspondiente (28) del
direccionador de concentración (12) presenta un módulo de análisis
de los paquetes recibidos en la línea (17), con la finalidad de
asegurarse la presencia de la firma.
Esta técnica de firma permite ventajosamente
descentralizar las operaciones de control de flujo necesarias para
las relaciones contractuales entre el gestionador del direccionador
de concentración (12), que facilita el servicio de enlace a la red
compartida (10), y los abonados cuyas instalaciones (13) están
enlazadas a este direccionador de concentración (12). En las
realizaciones clásicas, estas operaciones de control de flujo son
efectuadas a nivel del direccionador de concentración. Resulta de
ello la complejidad considerable del direccionador de concentración
cuando está conectado a numerosas instalaciones privadas, y una
falta de flexibilidad para los abonados cuando se requieren
modificaciones.
El hecho de efectuar estas operaciones de control
de flujo a nivel de los direccionadores de acceso (15) procura a
estos efectos una gran flexibilidad. La firma de los paquetes
garantiza entonces al suministrador del servicio que la línea (17)
no le envía paquetes válidos que escaparían del marco contractual
con el abonado. Si un paquete de este tipo aparece, el interfaz (28)
del direccionador de concentración (12) lo eliminaría simplemente
después de haber comprobado la ausencia de la firma adecuada.
Se pueden utilizar diferentes métodos clásicos
para construir y analizar la firma de los paquetes, en base a un
secreto compartido entre los direccionadores (12) y (15). La firma
puede, en especial, tener la forma de una palabra de código ajustada
al contenido del paquete, y calculada en base al todo o parte de
este contenido y de una clave secreta, siendo efectuado el cálculo
con ayuda de una función extremadamente difícil de invertir para
recuperar la clave secreta. De este modo, se puede utilizar una
técnica de corte del contenido del paquete, o de una parte solamente
de este contenido, por ejemplo, un corte MD5 (ver R. Rivest, RFC
1231, "The MD5 Message Digest Algorithm").
Se puede igualmente utilizar un método de cifrado
para formar la firma de los paquetes. El contenido del paquete es
cifrado entonces con ayuda de una clave privada, asegurando entonces
el interfaz (28) del direccionador de concentración el descifrado
correspondiente con ayuda de una clave pública o privada. Los
paquetes no cifrados, o cifrados por medio de una llave no
apropiada, son destruidos entonces a nivel del interfaz (28).
De forma opcional, se puede prever que el
interfaz (28) del direccionador de concentración firme igualmente
los paquetes que emite la línea (17), y que el interfaz (16) del
direccionador de acceso verifique esta firma para asegurarse de la
validez de los paquetes recibidos.
La figura 3 muestra la organización de un
procesador de flujo (24) o (25) de un interfaz del direccionador de
acceso (15).
El procesador de flujo recibe una secuencia de
paquetes entrantes (30), cada uno de los cuales presenta un
encabezamiento (31) de acuerdo con el protocolo IP, y facilita una
secuencia de paquetes de salida (32) que tienen un encabezamiento
(33) después de haber efectuado ciertos tratamientos elementales,
cuya naturaleza depende de los flujos de datos de referencia.
Los paquetes entrantes (30) son dispuestos en una
memoria de paquetes (35) organizada en apilamiento, del tipo primera
entrada-primera salida FIFO. Cada uno de los
paquetes es facilitado a la memoria (35) con una etiqueta de
tratamiento (36). La etiqueta de tratamiento tiene inicialmente un
valor determinado (en el ejemplo representado 0) para los paquetes
de entrada (30).
El procesador de flujo es supervisado por una
unidad (37) que coopera con una tabla (38) que permite asociar un
módulo de tratamiento específico a cada valor de la etiqueta de
tratamiento. En el ejemplo simplificado, representado en la figura
3, el procesador de flujo comporta un conjunto de cinco módulos de
tratamiento (M1-M5) que efectúan tratamientos
elementales de naturaleza diferente.
Después de la ejecución de un tratamiento
elemental, la unidad de supervisión (37) consulta la memoria de
paquetes (35). Si ésta no está vacía, se extrae de ella un paquete
según la organización FIFO. La unidad de supervisión (37) consulta
la tabla (38) para determinar qué módulo de tratamiento corresponde
a la etiqueta de este paquete. La unidad (37) activa entonces el
módulo en cuestión para que efectúe el tratamiento elemental
correspondiente. En ciertos casos, este tratamiento elemental puede
comportar una modificación del contenido del paquete, en especial de
su encabezamiento.
Se comprenderá que la "extracción" del
paquete a la que se hace referencia es una extracción en el sentido
lógico de la memoria FIFO. El paquete no es extraído necesariamente
de la memoria. Las direcciones de los paquetes en la memoria (35)
pueden ser gestionadas de manera clásica, por medio de indicadores
para respetar la organización FIFO. El módulo de tratamiento
activado puede disponer simplemente de la dirección del paquete
corriente para efectuar las lecturas, análisis, modificaciones o
supresiones necesarias en un caso determinado.
El primer módulo de tratamiento (M1), asociado a
la etiqueta inicial 0, es un módulo de filtrado que analiza los
campos de dirección y/o de definición de protocolo, y/o de puerto en
el encabezamiento IP de los paquetes. Con ayuda de una tabla de
asociación (T1), el módulo de filtrado (M1) suministra una segunda
etiqueta de tratamiento que identifica un encadenamiento de
tratamientos elementales que deberán ser efectuados a continuación
sobre el paquete. Después de haber determinado la segunda etiqueta
de tratamiento para el paquete extraído de la memoria (35), el
módulo de filtrado (M1) dispone nuevamente el paquete en la memoria
(35) con la segunda etiqueta de tratamiento. El tratamiento
elemental siguiente será entonces ejecutado en el momento en el que
el paquete será de nuevo extraído de la memoria.
El módulo (M2) es un módulo de contaje de los
paquetes relativos a ciertos flujos. En el caso de la tabla de
asociación (38) representada en la figura 3, este módulo (M2) es
convocado para las etiquetas de tratamiento (2) y (4). Cuando se
trata de un paquete, el módulo (M2) incrementa un contador con el
número de objetos del paquete, o también con el valor 1 en el caso
de un contador de paquetes. El contador puede estar asegurado, en
especial si sirve para la facturación del abonado por el gestionador
de la red (10). En el caso de un contador asegurado, se realizan
peticiones regularmente al suministrador de acceso para obtener
créditos de transmisión, siendo destruidos los paquetes de
referencia si el crédito está agotado.
El módulo (M3) de la figura 3 es un módulo de
gestión de prioridades. En el caso de la tabla de asociación (38)
representada en la figura 3, este módulo (M3) es convocado para la
etiqueta de tratamiento (3). El módulo (M3) funciona según el campo
TOS ("Type Of Service") del encabezamiento IP de los paquetes.
El TOS es utilizado en la red para gestionar prioridades de envío
con la finalidad de suministrar una cierta calidad de servicio en
ciertos enlaces. El campo TOS puede ser cambiado según tablas
prerregistradas. Estas tablas pueden ser definidas bajo el control
del suministrador de acceso para evitar que se transmitan paquetes
con una prioridad elevada de manera inapropiada, lo que podría
perturbar la red.
El tratamiento elemental efectuado finalmente
sobre un paquete de la memoria (35) es ya sea su destrucción (módulo
-M4- activado por la etiqueta -8-), o bien su envío a la salida del
procesador de flujo (módulo -M5- activado por la etiqueta -5- ó
-9-). El módulo (M4) puede ser utilizado para destruir paquetes que
tienen un cierto destino y/o una cierta procedencia.
Los módulos (M2) y (M3) que no terminan los
tratamientos a asegurar para un paquete (salvo caso de destrucción)
funcionan, cada uno de ellos, con una tabla de traducción de
etiqueta (T2), (T3). Esta tabla de traducción designa, para la
etiqueta de tratamiento extraída de la memoria (35) con el paquete
corriente, otra etiqueta de tratamiento que designa el tratamiento
elemental siguiente a asegurar. El tratamiento elemental asegurado
por este módulo (M2) o (M3) se termina por la asociación del paquete
con esta otra etiqueta de tratamiento y la reinyección del paquete
tratado de este modo en la memoria (35).
Es de este modo que se pueden efectuar
combinaciones de tratamiento muy variadas en los diferentes flujos
de datos que pasan por el procesador.
La figura 4 muestra un ejemplo simplificado que
corresponde a las tablas (38) (T1), (T3) representadas en la figura
3. El paquete de entrada (30), asociado a la primera etiqueta 0, es
sometido en principio el filtrado operado por el módulo (M1).
En el caso particular considerado, el procesador
de flujo (24) cuenta los paquetes emitidos desde una dirección
fuente AS1 hacia una dirección de destino AD1 y un puerto P1, y
modifica el campo TOS de estos paquetes antes de suministrarlos a la
línea (17), lo que corresponde a la rama superior del gráfico de la
figura 4. Por otra parte, el procesador de flujo (24) cuenta los
paquetes que salen de la dirección de fuente AS2 hacia un puerto P2
antes de destruirlos, lo que corresponde a la rama inferior de la
figura 4. Los otros paquetes son simplemente suministrados a la
línea (17). El valor por defecto (9) de la etiqueta de tratamiento
devuelta por el módulo (M1) designa por lo tanto simplemente el
módulo de salida (M5). Si el módulo (M1) detecta en el paquete
extraído de la memoria (35) la combinación AS1, AD1, P1 en los
campos de dirección y de puerto pertinentes, devuelve el paquete con
la etiqueta de tratamiento (2). Si los valores AS2, P2 son
detectados en los campos de dirección y de puerto, es la etiqueta
(4) la que es devuelta con el paquete.
Estas etiquetas (2) y (4) corresponden ambas al
módulo de contaje (M2). La etiqueta va a designar igualmente para
este módulo la dirección de memoria del contador antes de ser
incrementada. La tabla 2 con la cual funciona el módulo (M2)
permitirá al final del tratamiento efectuar el reenvío hacia el
módulo siguiente a activar (-M3- designado con la etiqueta -3- por
los paquetes cuyo TOS debe ser cambiado, -M4- designado por la
etiqueta -8- para los paquetes a destruir).
El módulo (M3) recibe paquetes con la etiqueta de
tratamiento (3) y los devuelve con la etiqueta (9) después de haber
realizado la modificación requerida del campo TOS.
A partir de este ejemplo simplificado, se aprecia
que el procesador de flujo permite, a partir de la identificación de
un flujo por el módulo de filtrado (M1), efectuar diversas
combinaciones de tratamientos elementales, de manera relativamente
simple y rápida.
La ventaja principal de esta forma de proceder es
la flexibilidad de las operaciones de configuración del procesador
de flujo. Las tablas 38 (T1-T3) que definen un
gráfico cualquiera de tratamientos elementales, tal como el
representado en la figura 4, pueden ser construidas de manera
relativamente simple y con una reducida exigencia de tiempo real por
medio de la unidad de gestión (36) a través del API. Ocurre lo mismo
para las informaciones que permiten a los módulos
(M1-M5) efectuar sus tratamientos elementales
(descripción de los contajes a operar por el módulo (M2), forma de
cambiar los campos TOS por el módulo (M3), etc).
En la práctica, el procesador de flujo podrá
comprender diversos módulos de tratamiento distintos a los
representados a título de ejemplo en las figuras 3 y 4, según las
necesidades de cada estación particular (por ejemplo, módulo de
gestión de las filas de espera de salida, módulo de traducción de
direcciones, etc.).
La función de firma de los paquetes emitidos, que
se ha descrito anteriormente, puede formar parte del tratamiento
elemental asegurado por el módulo de salida (M5). En una realización
típica del direccionador de acceso, el procesador de flujo (24) se
incluirá en un circuito integrado de aplicación específica (ASIC)
organizado alrededor de un núcleo de microcontrolador. Esta
realización permite que no haya ningún acceso físico entre los
módulos de control de flujo (39) (por lo menos, los que se refieren
a la relaciones entre el abonado y el gestionador de la red -10-), y
el módulo (M5) que se encarga de la firma de los paquetes,
correspondiente al bloque (40) de la figura 1. Esto mejora la
seguridad del enlace desde el punto de vista del gestionador de la
red.
Claims (10)
1. Procedimiento de transporte de paquetes entre
un interfaz de acceso (16) de una instalación de abonado (13) y un
dispositivo direccionador de concentración (12) de una red
compartida (10), caracterizado porque el interfaz de acceso
procede a operaciones de control sobre los flujos de paquetes
emitidos hacia el direccionador de concentración, dentro del marco
de un contrato entre el abonado y un gestionador de la red
compartida, y porque, después de haber procedido a operaciones de
control con respecto al paquete a emitir, el interfaz de acceso
emite este paquete hacia el direccionador de concentración con una
firma basada en un secreto compartido con el direccionador de
concentración, que autentifica que el paquete ha sido sometido a las
operaciones de control.
2. Procedimiento, según la reivindicación 1, en
el que la firma consiste en una palabra de código añadida al
contenido del paquete.
3. Procedimiento, según la reivindicación 2, en
el que dicha palabra de código es calculada por una técnica de corte
de una parte, como mínimo, del contenido del paquete, que hace
intervenir el secreto compartido.
4. Procedimiento, según la reivindicación 1, en
el que la firma consiste en un cifrado del contenido del paquete con
ayuda de una clave privada que forma dicho secreto compartido.
5. Procedimiento, según cualquiera de las
reivindicaciones 1 a 4, en el que la obtención de la firma y, por lo
menos, algunas de las operaciones de control son realizadas en el
seno del mismo circuito integrado, sin acceso físico inmediatamente
más arriba de la obtención de la firma.
6. Interfaz de acceso para conectar un
direccionador de acceso (15) de una instalación de abonado (13) a un
direccionador de concentración (12) de una red compartida (10),
caracterizado por comprender medios (39) de control de flujo
de paquetes emitidos hacia el direccionador de concentración, en el
marco de un contrato entre el abonado y un gestionador de la red
compartida, y medios de firma (40) que reciben los paquetes
suministrados por los medios de control de flujo y que producen
paquetes firmados o emitidos hacia el direccionador de
concentración, comportando cada uno de los paquetes firmados una
firma basada en un secreto compartido con el direccionador de
concentración, que autentifica que el paquete ha sido sometido a los
medios de control de flujo.
7. Interfaz, según la reivindicación 6, en el que
la firma consiste en una palabra de código añadida al contenido del
paquete.
8. Interfaz, según la reivindicación 7, en el que
dicha palabra de código es calculada por los medios de firma (40)
por una técnica de corte de, como mínimo, una parte del contenido
del paquete que hace intervenir el secreto compartido.
9. Interfaz, según la reivindicación 6, en el que
la firma consiste en un cifrado del contenido del paquete con ayuda
de una clave privada que forma el mencionado secreto compartido.
10. Interfaz, según cualquiera de las
reivindicaciones 6 a 9, en la que los medios de firma (40) y una
parte, por lo menos, de los medios de control de flujo (39) forman
parte del mismo circuito integrado, sin acceso físico entre los
medios de control de flujo y los medios de firma.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9815756A FR2787265B1 (fr) | 1998-12-14 | 1998-12-14 | Procede de transport de paquets entre une interface d'acces d'une installation d'abonne et un reseau partage, et interface d'acces mettant en oeuvre un tel procede |
| FR9815756 | 1998-12-14 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2243084T3 true ES2243084T3 (es) | 2005-11-16 |
Family
ID=9533938
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES99958299T Expired - Lifetime ES2243084T3 (es) | 1998-12-14 | 1999-12-10 | Procedimiento de transporte de paquetes entre un interfaz de acceso y una red compartida. |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7409541B1 (es) |
| EP (1) | EP1142261B1 (es) |
| AT (1) | ATE296013T1 (es) |
| CA (1) | CA2357896A1 (es) |
| DE (1) | DE69925381T2 (es) |
| ES (1) | ES2243084T3 (es) |
| FR (1) | FR2787265B1 (es) |
| WO (1) | WO2000036778A2 (es) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010063308A1 (en) * | 2008-12-01 | 2010-06-10 | Nokia Corporation | Scalable message authentication framework |
| DE102014017528A1 (de) * | 2014-11-26 | 2016-06-02 | Giesecke & Devrient Gmbh | Signaturerstellung |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5870474A (en) * | 1995-12-04 | 1999-02-09 | Scientific-Atlanta, Inc. | Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers |
| US4860351A (en) * | 1986-11-05 | 1989-08-22 | Ibm Corporation | Tamper-resistant packaging for protection of information stored in electronic circuitry |
| US5455865A (en) * | 1989-05-09 | 1995-10-03 | Digital Equipment Corporation | Robust packet routing over a distributed network containing malicious failures |
| JP2782973B2 (ja) * | 1991-04-10 | 1998-08-06 | 株式会社日立製作所 | パケット網における流量監視方法及びシステム |
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| US5511122A (en) * | 1994-06-03 | 1996-04-23 | The United States Of America As Represented By The Secretary Of The Navy | Intermediate network authentication |
| US5623492A (en) * | 1995-03-24 | 1997-04-22 | U S West Technologies, Inc. | Methods and systems for managing bandwidth resources in a fast packet switching network |
| JP3688830B2 (ja) * | 1995-11-30 | 2005-08-31 | 株式会社東芝 | パケット転送方法及びパケット処理装置 |
| US5726660A (en) * | 1995-12-01 | 1998-03-10 | Purdy; Peter K. | Personal data collection and reporting system |
| SG67354A1 (en) * | 1996-06-27 | 1999-09-21 | Inst Of Systems Science Nation | Computationally efficient method for trusted and dynamic digital objects dissemination |
| US6067620A (en) * | 1996-07-30 | 2000-05-23 | Holden; James M. | Stand alone security device for computer networks |
| US5892904A (en) * | 1996-12-06 | 1999-04-06 | Microsoft Corporation | Code certification for network transmission |
| US6104716A (en) * | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
| US6289451B1 (en) * | 1997-04-18 | 2001-09-11 | Sun Microsystems, Inc. | System and method for efficiently implementing an authenticated communications channel that facilitates tamper detection |
| FI104667B (fi) * | 1997-07-14 | 2000-04-14 | Nokia Networks Oy | Liittymäpalvelun toteuttaminen |
| US6119228A (en) * | 1997-08-22 | 2000-09-12 | Compaq Computer Corporation | Method for securely communicating remote control commands in a computer network |
| US6230271B1 (en) * | 1998-01-20 | 2001-05-08 | Pilot Network Services, Inc. | Dynamic policy-based apparatus for wide-range configurable network service authentication and access control using a fixed-path hardware configuration |
| US6073242A (en) * | 1998-03-19 | 2000-06-06 | Agorics, Inc. | Electronic authority server |
| US6389532B1 (en) * | 1998-04-20 | 2002-05-14 | Sun Microsystems, Inc. | Method and apparatus for using digital signatures to filter packets in a network |
| US6658565B1 (en) * | 1998-06-01 | 2003-12-02 | Sun Microsystems, Inc. | Distributed filtering and monitoring system for a computer internetwork |
| ATE270804T1 (de) * | 1998-07-13 | 2004-07-15 | Ibm | Verfahren zur übertragung von informationsdaten von einem sender zu einem empfänger über einen transcoder |
| US6038322A (en) * | 1998-10-20 | 2000-03-14 | Cisco Technology, Inc. | Group key distribution |
| US6370629B1 (en) * | 1998-10-29 | 2002-04-09 | Datum, Inc. | Controlling access to stored information based on geographical location and date and time |
| US6466976B1 (en) * | 1998-12-03 | 2002-10-15 | Nortel Networks Limited | System and method for providing desired service policies to subscribers accessing the internet |
| US7099916B1 (en) * | 2000-01-06 | 2006-08-29 | International Business Machines Corporation | System and method for downloading a virus-free file certificate from a file server |
| JP2002077274A (ja) * | 2000-08-31 | 2002-03-15 | Toshiba Corp | ホームゲートウェイ装置、アクセスサーバ装置及び通信方法 |
-
1998
- 1998-12-14 FR FR9815756A patent/FR2787265B1/fr not_active Expired - Fee Related
-
1999
- 1999-12-10 WO PCT/FR1999/003097 patent/WO2000036778A2/fr active IP Right Grant
- 1999-12-10 US US09/868,151 patent/US7409541B1/en not_active Expired - Lifetime
- 1999-12-10 EP EP99958299A patent/EP1142261B1/fr not_active Expired - Lifetime
- 1999-12-10 AT AT99958299T patent/ATE296013T1/de not_active IP Right Cessation
- 1999-12-10 DE DE69925381T patent/DE69925381T2/de not_active Expired - Lifetime
- 1999-12-10 ES ES99958299T patent/ES2243084T3/es not_active Expired - Lifetime
- 1999-12-10 CA CA002357896A patent/CA2357896A1/fr not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| DE69925381D1 (de) | 2005-06-23 |
| EP1142261B1 (fr) | 2005-05-18 |
| ATE296013T1 (de) | 2005-06-15 |
| WO2000036778A2 (fr) | 2000-06-22 |
| WO2000036778A3 (fr) | 2001-02-22 |
| EP1142261A2 (fr) | 2001-10-10 |
| US7409541B1 (en) | 2008-08-05 |
| FR2787265A1 (fr) | 2000-06-16 |
| FR2787265B1 (fr) | 2001-02-16 |
| CA2357896A1 (fr) | 2000-06-22 |
| DE69925381T2 (de) | 2006-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2311752T3 (es) | Etiquetas de flujo. | |
| CN1823514B (zh) | 使用基于角色的访问控制来提供网络安全的方法和装置 | |
| US6185680B1 (en) | Packet authentication and packet encryption/decryption scheme for security gateway | |
| CN1748401B (zh) | 用于对vlan强制加入安全性组的方法和装置 | |
| CN104520813B (zh) | 用于受控云访问的基于控制池的企业策略使能器 | |
| US8665874B2 (en) | Method and apparatus for forwarding data packets using aggregating router keys | |
| ES2244012T3 (es) | Aparato para integracion de varios medios fisicos para comunicacion de datos. | |
| JP5449543B2 (ja) | ネットワークにおけるパケットルーティング | |
| CN1531284B (zh) | 网络基础结构的保护及控制信息的安全通信 | |
| US8146148B2 (en) | Tunneled security groups | |
| CN101399771B (zh) | 在多域网络内传达风险信息的方法和设备 | |
| ES2216985T3 (es) | Metodo para transportador objetos fisicos, sistema de transporte y medios de transporte. | |
| US20090199290A1 (en) | Virtual private network system and method | |
| ES2381141T3 (es) | Dispositivo y procedimiento para el tratamiento de tramas con campo de uso multiprotocolo, para una red de comunicaciones | |
| US20070110025A1 (en) | Autonomous system interconnect using content identification and validation | |
| KR20080063222A (ko) | 데이터 스트림 보안 방법 | |
| ES2243085T3 (es) | Dispositivo y procedimiento de tratamiento de una secuencia de paquetes de informacion. | |
| US8806222B2 (en) | Method and system for contained cryptographic separation | |
| ES2243084T3 (es) | Procedimiento de transporte de paquetes entre un interfaz de acceso y una red compartida. | |
| CN101606142B (zh) | 在多个mpls网络上的数据加密 | |
| Wyss et al. | Protecting Critical Inter-Domain Communication through Flyover Reservations | |
| Eriksson et al. | Robust and secure light-weight resource reservation for unicast IP traffic | |
| CN101588361B (zh) | 一种增强组播安全性的方法 | |
| Hicks et al. | A secure plan | |
| CN101558401A (zh) | 在多个mpls网络上的服务质量和加密 |