ES2243085T3 - Dispositivo y procedimiento de tratamiento de una secuencia de paquetes de informacion. - Google Patents
Dispositivo y procedimiento de tratamiento de una secuencia de paquetes de informacion.Info
- Publication number
- ES2243085T3 ES2243085T3 ES99958301T ES99958301T ES2243085T3 ES 2243085 T3 ES2243085 T3 ES 2243085T3 ES 99958301 T ES99958301 T ES 99958301T ES 99958301 T ES99958301 T ES 99958301T ES 2243085 T3 ES2243085 T3 ES 2243085T3
- Authority
- ES
- Spain
- Prior art keywords
- treatment
- package
- label
- extracted
- elementary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/34—Flow control; Congestion control ensuring sequence integrity, e.g. using sequence numbers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Auxiliary Devices For And Details Of Packaging Control (AREA)
Abstract
Dispositivo de tratamiento de una secuencia de paquetes de información, caracterizado por comprender una memoria de paquetes (35), organizada en apilamiento, en la que los paquetes (30) de la secuencia son alineados en asociación con etiquetas de tratamiento respectivas (36), recibiendo un conjunto de módulos de tratamiento (M1, M5) y de medios de supervisión (37) la etiqueta de tratamiento asociada a cada paquete extraído de la memoria de paquetes y activando uno de los módulos de tratamiento seleccionado en función de la etiqueta recibida, asegurando el módulo activado un tratamiento elemental del paquete extraído, y porque el tratamiento elemental asegurado, como mínimo, por uno de los módulos de tratamiento (M2, M3) comporta la asociación del paquete extraído con una etiqueta modificada de acuerdo con una tabla de traducción de etiquetas (T2, T3), siendo colocado a continuación de nuevo el paquete tratado en la memoria de paquetes (35) en asociación con la etiqueta modificada.
Description
Dispositivo y procedimiento de tratamiento de una
secuencia de paquetes de información.
La presente invención se refiere a redes de
transmisión por paquetes. Se aplica en especial, pero no
exclusivamente, a las redes que funcionan según el protocolo
Internet (IP).
La invención se puede poner en práctica a nivel
de los interfaces exteriores de los dispositivos direccionadores de
red, para efectuar análisis y tratamientos de los flujos de datos
que transitan por estos interfaces.
Se designa en esta descripción por funciones de
"policía" diversos tratamientos o controles efectuados a un
nivel de un interfaz de este tipo, sobre flujos de datos que lo
atraviesan. A título de ejemplos no limitativos, se puede citar el
contaje de los paquetes intercambiados entre una dirección de fuente
y una dirección de destino determinadas, la atribución de
prioridades a ciertos paquetes, traducciones de dirección,
destrucción selectiva de ciertos paquetes, etc.
Estas funciones de policía se pueden inscribir en
un marco contractual entre un abonado y un gestionador de la red.
Éste puede ser el caso, por ejemplo, de funciones relativas al
control de débito, autorizaciones de acceso a ciertos lugares
conectados a la red, a la puesta en práctica de protocolos de
reserva tales como RSVP, etc. Pueden igualmente inscribirse en el
marco de la organización interna de una red pública o privada, por
ejemplo, para controlar ciertos accesos.
Los direccionadores actuales ofrecen un juego de
mandos de configuración que permiten aplicar estas funciones de
policía. Se define de este modo un filtro relativo a ciertos campos
del encabezamiento de los paquetes para identificar el flujo o
flujos involucrados, estando asociado el filtro a una función
particular operada en los paquetes correspondientes. Estos filtros,
o "lista de acceso", presentan cierta rigidez. Así, por
ejemplo, no es posible encadenar dos filtros, uno de los cuales
precisa una selección sobre los paquetes seleccionados por el
primero. Estos filtros están construidos según un modelo secuencial:
el primer filtro que conviene para un paquete determinado es
retenido a exclusión de los filtros siguientes, que podrían
igualmente ser convenientes. Es por lo tanto imposible aplicar
varias normas y tratamientos asociados a un mismo flujo (por
ejemplo, contar todos los paquetes emitidos según el protocolo TCP
en un puerto x y contar todos los flujos TCP hacia un servidor
determinado, comprendiendo los que transitan hacia el puer-
to x).
to x).
Para acotar algunas de estas limitaciones, se han
definido órdenes que efectúan varias acciones conjuntas. Estas
soluciones no proporcionan más que una flexibilidad relativa y
complican notablemente el lenguaje de la configuración de los
direccionadores. Falta igualmente un marco homogéneo para gestionar
las extensiones futuras de las funciones de policía a asegurar.
El documento US 5 835 726 describe un sistema
para escoger paquetes dentro de un flujo y modificar de esta manera,
de manera selectiva, paquetes en una red informática.
El documento "A Firewall Overview", de Ted
Doty, CONNECTIONS, Vol. 9, nº 7, 1º julio 1995, páginas
20-23 XP000564023, menciona una operación de
filtrado de paquetes que permite bloquear o no un paquete, en
función de la dirección de destino/fuente o del número de
puerto.
Un objetivo de la presente invención es el de
proponer una forma de tratamiento de secuencias de paquetes de
información que ofrece una gran flexibilidad de configuración sin
aumentar de manera significativa la complejidad del interfaz de
configuración.
La invención da a conocer, por lo tanto, un
dispositivo de tratamiento de una secuencia de paquetes de
información, que comprende una memoria de paquetes organizada en
apilamiento, en la que los paquetes de la secuencia están dispuestos
en asociación con etiquetas de tratamiento correspondientes, un
conjunto de módulos de tratamiento y medios de supervisión que
reciben la etiqueta de tratamiento asociada a cada uno de los
paquetes extraídos de la memoria de paquetes y que activa uno de los
módulos de tratamientos seleccionado en función de la etiqueta
recibida, asegurando el módulo activado un tratamiento elemental del
paquete extraído. El tratamiento elemental asegurado, como mínimo,
por uno de los módulos de tratamiento, comporta la asociación de un
paquete extraído con una etiqueta modificada, de acuerdo con una
tabla de traducción de etiquetas, siendo dispuesto a continuación el
paquete tratado nuevamente en la memoria de paquetes en asociación
con la etiqueta modificada.
El dispositivo permite encadenar funciones de
policía, según un gráfico arbitrario de tratamientos elementales,
que actúan sobre flujos de datos identificados por las etiquetas de
tratamiento. Esto proporciona un marco flexible para administrar la
configuración del interfaz y las eventuales extensiones de
protocolo.
El funcionamiento del dispositivo es
independiente del número de encadenamientos de tratamientos
elementales susceptibles de ser efectuados en los flujos que
transitan por el interfaz, y es proporcional al más complejo de
estos encadenamientos. Como contrapartida, la técnica utilizada
consume más memoria que una implementación secuencial clásica.
Otro aspecto de la presente invención se refiere
a un procedimiento de tratamiento de una secuencia de paquetes de
información, en el que se disponen los paquetes de la secuencia en
una memoria de paquetes organizada en forma de apilamiento, en
asociación con etiquetas de tratamiento correspondientes, se examina
la etiqueta de tratamiento asociado a cada paquete extraído de la
memoria de paquetes para activar un módulo de tratamiento
seleccionado en función de la etiqueta recibida entre un conjunto de
módulos de tratamiento, asegurando el módulo activado un tratamiento
elemental del paquete extraído. El tratamiento elemental asegurado,
como mínimo, por uno de los módulos de tratamiento comporta la
asociación de un paquete extraído con una etiqueta modificada según
una tabla de traducción de etiquetas, siendo dispuesto a
continuación el paquete nuevamente en la memoria de paquetes en
asociación con la etiqueta modi-
ficada.
ficada.
Otras particularidades y ventajas de la presente
invención aparecerán de la descripción siguiente de ejemplos de
realización no limitativos, haciendo referencia a los dibujos
adjuntos, en los cuales:
- la figura 1 es un esquema de una red en la que
la invención puede ser puesta en práctica;
- la figura 2 es un esquema sinóptico de un
direccionador de acceso de una instalación privada de esta red;
- la figura 3 es un esquema sinóptico de un
dispositivo de tratamiento de flujo que forma parte de un interfaz
del direccionador de la figura 2; y
- la figura 4 es un gráfico de tratamientos
elementales asegurados por el dispositivo de la figura 3.
La figura 1 muestra una red compartida de gran
extensión (WAN) (10) que comporta un cierto número de
direccionadores y de conmutadores interconectados (11), (12). Se
considera el caso en el que la red compartida (10) funciona según el
protocolo IP. Un cierto número de los direccionadores son
direccionadores de concentración (12) a los que están conectadas
instalaciones privadas (13).
Una instalación privada de abonado (13) está
conectada de manera típica a la red compartida (10) por medio de un
direccionador de acceso (15), en el que uno de los interfaces (16)
está conectado a una línea (17) de transmisión desde y hacia el
direccionador de concentración (12). El direccionador de acceso (15)
puede estar conectado a otros direccionadores de la instalación
privada (13) o a servidores o terminales (18) de esta instalación,
por medio de otros interfaces no representados en la figura 1.
La figura 2 muestra un ejemplo de arquitectura
del direccionador de acceso (15). El interfaz exterior (16), así
como los interfaces (20), (21) con el resto de la instalación
privada (13), está conectado al núcleo del direccionador, que
consiste en un motor de envío de paquetes (22) ("packet forwarding
engine"). El motor de envío (22) dirige los paquetes de un
interfaz hacia otro con base a los campos de dirección y de puerto
contenidos en los encabezamientos de los paquetes según un protocolo
IP y sus eventuales extensiones (TCP,UDP, etc.), haciendo referencia
a tablas de direccionado.
Algunos de los interfaces del direccionador de
acceso (15) están dotados, solamente en uno o en los dos sentidos de
transmisión, de dispositivos de tratamiento o procesadores de flujo
(24), (25) que aseguran funciones de policía. En el ejemplo
ilustrativo de la figura 2, el dispositivo (24) equipa el interfaz
exterior (16) en el sentido de salida, y el dispositivo (25) equipa
otro interfaz (20) en el sentido de entrada.
El direccionador de acceso está supervisado por
una unidad de gestión (26) que puede consistir en un microordenador
o una estación de trabajo que ejecuta un programa de direccionado
que sirve, en especial, para configurar la tabla de direccionado de
un motor de envío (22) y de los procesadores de flujo (24), (25), y
para intercambiar con ellos informaciones de control o de protocolo.
Estas órdenes e intercambios se hacen por intermedio de un interfaz
lógico de programación (API) apropiado.
La mayor parte de los programas de direccionado y
de envío de paquetes existentes se encuentran fácilmente a
disposición en el medio Unix, pero su comportamiento es
habitualmente limitado a causa de las interrupciones frecuentes del
sistema de explotación. Es mucho más rápido utilizar un sistema de
explotación en tiempo real, tal como VxWorks, pero esto complica la
utilización del programa de direccionado.
La función de los procesadores de flujo (24),
(25) es el de ayudar al sistema de explotación en tiempo no real
(tal como Unix) en base del cual funciona la unidad de gestión (26),
en las tareas complejas de manipulación de los flujos que requieren
funciones en tiempo real (envío, filtrado, cifrado). Estos
procesadores utilizan un cierto número de útiles de manipulación de
los flujos que pueden estar conectados dinámicamente según cualquier
combinación para efectuar una tarea requerida. Esta configuración
puede ser efectuada a través del sistema de explotación Unix,
recurriendo a funciones de API, lo que facilita en gran medida la
colocación de nuevas funciones por el programador.
Tal como se ha mostrado esquemáticamente en la
figura 1, una de las tareas efectuadas por el procesador de flujo
(24) del interfaz exterior (16) del direccionador de acceso (15)
consiste en emitir cada paquete hacia el direccionador de
concentración (12), añadiéndole una firma numérica (bloque -40-).
Esta firma certifica que los paquetes en cuestión han sido sometidos
a las otras operaciones de control de flujo (bloque -39-) efectuadas
en el procesador (24).
El interfaz correspondiente (28) del dispositivo
direccionador de concentración (12) comporta un módulo de análisis
de los paquetes recibidos en la línea (17) con la finalidad de
asegurar la presencia de la firma.
Esta técnica de firma permite ventajosamente
descentralizar las operaciones de control de flujo necesarias para
las relaciones contractuales entre el gestionador del direccionador
de concentración (12), que facilita el servicio de conexión a la red
compartida (10), y los abonados cuyas instalaciones (13) están
conectadas a este direccionador de concentración (12). En las
realizaciones clásicas, estas operaciones de control de flujo son
efectuadas a nivel del direccionador de concentración. Resulta de
ello una complejidad considerable del direccionador de concentración
cuando es conectado a numerosas instalaciones privadas, y falta de
flexibilidad para los abonados cuando hacen falta
modificaciones.
El hecho de efectuar estas operaciones de control
del flujo a nivel de los direccionadores de acceso (15) proporcionan
a este respecto una gran flexibilidad. La firma de los paquetes
garantiza entonces al suministrador de servicio que la línea (17) no
le envía paquetes válidos que escaparían al marco contractual con el
abonado. Si apareciera un paquete de este tipo, el interfaz (28) del
direccionador de concentración (12) lo eliminaría simplemente
después de haber comprobado la ausencia de la firma adecuada.
Se pueden utilizar diversos métodos clásicos para
construir y analizar la firma de los paquetes, en base a un secreto
compartido entre los direccionadores (12) y (15). La firma puede
tener, en especial, la forma de una palabra de código añadida al
contenido del paquete, y calculada en base a la totalidad o parte
del contenido y de una clave secreta, efectuándose el cálculo con
ayuda de una función extremadamente difícil de invertir para
recuperar la clave secreta. Se puede utilizar también una técnica
de seccionado del contenido del paquete o de una parte solamente de
este contenido, por ejemplo, un seccionado o corte MD5 (ver R.
Rivest, RFC 1231, "The MD5 Message Digest
Algorithm").
Igualmente, se puede utilizar un método de
cifrado para formar la firma de los paquetes. El contenido del
paquete está cifrado entonces con ayuda de una clave privada,
asegurando el interfaz (28) del direccionador de concentración el
descifrado correspondiente con ayuda de una clave pública o privada.
Los paquetes no cifrados, o cifrados por medio de una llave no
apropiada, son destruidos entonces a nivel del interfaz (28).
De forma opcional, se puede prever que el
interfaz (28) del rotor de concentración firme igualmente los
paquetes que emite en la línea (17), y que el interfaz (16) del
direccionador de acceso verifique esta firma para asegurarse de la
validez de los paquetes recibidos.
La figura 3 muestra la organización de un
procesador de flujo (24) ó (25) del interfaz del direccionador de
acceso (15).
El procesador de flujo recibe una secuencia de
paquetes entrantes (30) que presentan, cada uno de ellos, un
encabezamiento (31) de acuerdo con el protocolo IP, y facilita una
secuencia de paquetes salientes (32) que tienen un encabezamiento
(33) después de haber efectuado ciertos tratamientos elementales,
cuya naturaleza depende de los flujos de datos interesados.
Los paquetes entrantes (30) están dispuestos en
una memoria de paquetes (35) organizada en apilamiento, del tipo
primera entrada-primera salida (FIFO). Cada paquete
es suministrado a la memoria (35) con una etiqueta de tratamiento
(36). La etiqueta de tratamiento tiene inicialmente un valor
determinado (0 en el ejemplo representado) para los paquetes
entrantes (30).
El procesador de flujo es supervisado por una
unidad (37) que coopera con una tabla (38) que permite asociar un
módulo de tratamiento específico a cada valor de la etiqueta de
tratamiento. En el ejemplo significado representado en la figura 3,
el procesador de flujo presenta un conjunto de 5 módulos de
tratamiento (M1-M5), que realizan tratamientos
elementales de naturaleza distinta.
Después de la ejecución de un tratamiento
elemental, la unidad de supervisión (37) consulta la memoria de
paquetes (35). Si ésta no está vacía, se extrae un paquete según la
organización FIFO. La unidad de supervisión (37) consulta la tabla
(38) para determinar qué módulo de tratamiento corresponde a la
etiqueta de este paquete. La unidad (37) activa entonces el módulo
en cuestión para que efectúe el tratamiento elemental
correspondiente. En ciertos casos, este tratamiento elemental puede
comportar la modificación del contenido del paquete, en especial de
su encabezamiento.
Se comprenderá por la "extracción" del
paquete a la que se hace referencia como extracción en el sentido
lógico de la memoria FIFO. El paquete no es extraído necesariamente
de la memoria. Las direcciones de los paquetes en la memoria (35)
pueden ser gestionadas de manera clásica por medio de indicadores
para respetar la organización FIFO. El módulo de tratamiento
activado puede disponer simplemente de la dirección del paquete
corriente para efectuar las lecturas, análisis, modificaciones o
supresiones requeridas en el caso deseado.
El primer módulo de tratamiento (M1), asociado a
la etiqueta inicial 0, es un módulo de filtrado que analiza los
campos de dirección y/o de definición del protocolo y/o de puerto
del encabezamiento IP de los paquetes. Con ayuda de una tabla de
asociación (T1), el módulo de filtrado (M1) facilita una segunda
etiqueta de tratamiento que identifica un encadenamiento de
tratamientos elementales que deberán ser efectuados a continuación
en el paquete. Después de haber determinado la segunda etiqueta de
tratamiento para el paquete extraído de la memoria (35), el módulo
de filtrado (M1) coloca nuevamente el paquete en la memoria (35),
con la segunda etiqueta de tratamiento. El tratamiento elemental
siguiente será entonces realizado en el momento en el que el paquete
será de nuevo extraído de la memoria.
El módulo (M2) es un módulo de contaje de los
paquetes relativos a ciertos flujos. En el caso de la mesa de
asociación (38) representada en la figura 3, este módulo (M2) es
convocado para las etiquetas de tratamiento (2) y (4). Cuando se
trata un paquete, el módulo (M2) incrementa un contador con el
número de objetos del paquete, o incluso con el valor 1 en el caso
de un contador de paquetes. El contador puede estar asegurado, en
especial, si sirve para la facturación del abonado por el
gestionador de la red (10). En el caso de un contador asegurado, se
hacen al suministrador de acceso peticiones regulares para obtener
créditos de transmisión, siendo destruidos los paquetes considerados
si el crédito está agotado.
El módulo (M3) de la figura 3 es un módulo de
gestión de prioridades. En el caso de la tabla de asociación (38)
representada en la figura 3, este módulo (M3) es convocado para la
etiqueta de tratamiento (3). El módulo (M3) opera sobre el campo TOS
("Type Of Service") del encabezamiento IP de los paquetes. El
TOS es utilizado en la red para gestionar prioridades de envío con
la finalidad de facilitar una cierta calidad de servicio en ciertos
enlaces. El campo TOS puede ser cambiado según tablas
prerregistradas. Estas tablas pueden ser definidas en el control del
suministrador de acceso para evitar que se transmitan paquetes con
una prioridad elevada de manera no apropiada, lo que podría
perturbar la red.
El tratamiento elemental efectuado finalmente
sobre un paquete de la memoria (35) es, o bien su destrucción
(módulo -4- activado por la etiqueta -8-), o bien su reenvío a la
salida del procesador de flujo (módulo -M5- activado por la etiqueta
-5- o -9-). El módulo (M4) puede ser utilizado para destruir
paquetes que tienen un cierto destino y/o una cierta
procedencia.
Los módulos (M2) y (M3), que no terminan con los
tratamientos a asegurar para un paquete (salvo caso de destrucción),
funcionan cada uno de ellos con una tabla de traducción de etiqueta
(T2), (T3). Esta tabla de traducción designa, para la etiqueta de
tratamiento extraída de la memoria (35) con el paquete corriente,
otra etiqueta de tratamiento que designa el tratamiento elemental
siguiente que se desea asegurar. El tratamiento elemental asegurado
por este módulo (M2) o (M3) se termina por la puesta en asociación
del paquete con otra etiqueta de tratamiento y la nueva inyección
del paquete tratado de este modo en la memoria (35).
Es de este modo que se pueden efectuar
combinaciones de tratamientos muy variados sobre los diferentes
flujos de datos que atraviesan el procesador.
La figura 4 muestra un ejemplo simplificado que
corresponde a las tablas (38) (T1-T3) representadas
en la figura 3. El paquete entrante (30), asociado a la primera
etiqueta 0, es sometido de inmediato al filtrado operado por el
módulo (M1).
En el caso particular considerado, el procesador
de flujo (24) cuenta los paquetes emitidos desde una dirección de
fuente AS1 hacia una dirección de destino AD1, y un puerto P1, y
modifica el campo TOS de estos paquetes antes de suministrarlos a la
línea (17), lo que corresponde a la rama superior del gráfico de la
figura 4. Por otra parte, el procesador de flujo (24) cuenta los
paquetes que salen de una dirección de fuente AS2 hacia un puerto P2
antes de destruirlos, lo que corresponde a la rama inferior de la
figura 4. Los otros paquetes son simplemente suministrados hacia la
línea (17). El valor por defecto (-9-) de la etiqueta de tratamiento
devuelta por el módulo (M1) designa, por lo tanto, simplemente el
módulo de salida (M5). Si el módulo (M1) detecta en el paquete
extraído de la memoria (35) la combinación AS1, AD1, P1 en los
campos de dirección y de puerto pertinentes, devuelve el paquete con
la etiqueta de tratamiento (2). Si se detectan los valores AS2, P2
en los campos de dirección y de puerto, es la etiqueta (4) la que es
devuelta por el paquete.
Estas etiquetas (2) y (4) corresponden ambas al
módulo de contaje (M2). La etiqueta va a designar igualmente para
este módulo la dirección de memoria del contador que debe ser
incrementada. La tabla (T2) con la que funciona el módulo (M2)
permite al fin del tratamiento efectuar el nuevo envío hacia el
módulo siguiente a activar (-M3- designado por la etiqueta 3 para
los paquetes cuyo TOS debe ser cambiado, -M4- designado por la
etiqueta -8- para los paquetes a destruir).
El módulo (M3) recibe los paquetes con la
etiqueta de tratamiento (3), y los devuelve con la etiqueta (9)
después de haber operado la modificación requerida del campo
TOS.
A partir de este ejemplo simplificado, se aprecia
que el procesador de flujo permite, a partir de un flujo
identificado por el módulo de filtrado (M1), efectuar diversas
combinaciones de tratamiento elementales de una manera relativamente
simple y rápida.
Una ventaja principal de esta forma de proceder
es la flexibilidad de las operaciones de configuración del
procesador de flujo. Las tablas (38), (T1-T3) que
definen un gráfico cualquiera de tratamientos elementales, tales
como los representados en la figura 4, pueden ser construidas de
manera relativamente simple y con una reducida exigencia de tiempo
real por medio de la unidad de gestión (36) a través del API. Lo
mismo ocurre para las informaciones que permiten a los módulos
(M1-M5) efectuar sus tratamientos elementales
(descripción de los contajes a operar por el módulo -M2-, forma de
cambiar los campos TOS por el módulo -M3-, etc.).
En la práctica, el procesador de flujo podrá
comprender diferentes módulos de tratamiento distintos de los
representados a título de ejemplo en las figuras 3 y 4, según las
necesidades de cada instalación particular (por ejemplo, módulo de
gestión de las filas de espera de salida, módulo de traducción de
direcciones, etc.).
Función de firma de los paquetes emitidos, que se
ha descrito anteriormente, puede formar parte del tratamiento
elemental asegurado por el módulo de salida (M5). En una realización
típica del direccionador de acceso, el procesador de flujo (24) será
incluido en el circuito integrado de aplicación específica (ASIC)
organizado alrededor del núcleo del microcontrolador. Esta
terminación permite que no haya ningún acceso físico entre los
módulos de control de flujo (39) (por lo menos los que se refieren a
las relaciones entre el abonado y el gestionador de la red -10-) y
el módulo (M5) que se encarga de la firma de los paquetes,
correspondiente al bloque (40) de la figura 1. Esto mejora la
seguridad del enlace desde el punto de vista del gestionador de la
red.
Claims (5)
1. Dispositivo de tratamiento de una secuencia de
paquetes de información, caracterizado por comprender una
memoria de paquetes (35), organizada en apilamiento, en la que los
paquetes (30) de la secuencia son alineados en asociación con
etiquetas de tratamiento respectivas (36), recibiendo un conjunto de
módulos de tratamiento (M1, M5) y de medios de supervisión (37) la
etiqueta de tratamiento asociada a cada paquete extraído de la
memoria de paquetes y activando uno de los módulos de tratamiento
seleccionado en función de la etiqueta recibida, asegurando el
módulo activado un tratamiento elemental del paquete extraído, y
porque el tratamiento elemental asegurado, como mínimo, por uno de
los módulos de tratamiento (M2, M3) comporta la asociación del
paquete extraído con una etiqueta modificada de acuerdo con una
tabla de traducción de etiquetas (T2, T3), siendo colocado a
continuación de nuevo el paquete tratado en la memoria de paquetes
(35) en asociación con la etiqueta modificada.
2. Dispositivo, según la reivindicación 1, en el
que una primera etiqueta de tratamiento está asociada inicialmente a
cada paquete (30) de la secuencia, en el que los medios de
supervisión (37) activan un módulo de filtrado (M1) que forma parte
del conjunto de módulos de tratamiento como respuesta a la recepción
de la primera etiqueta de tratamiento, y en el que el tratamiento
elemental asegurado por el módulo de filtrado presenta un análisis
de un encabezamiento del paquete extraído y la asociación del
paquete con una segunda etiqueta de tratamiento que depende del
resultado del análisis.
3. Dispositivo, según la reivindicación 1 ó 2, en
el que el conjunto de módulos de tratamiento comprende un módulo de
salida (M5) que transmite el paquete extraído hacia una salida del
dispositivo, con una firma basada en un secreto compartido con un
direccionador de concentración (12) de una red de telecomunicación
(10), que autentifica que el paquete ha sido sometido a los
tratamientos efectuados por el dispositivo (24).
4. Procedimiento de tratamiento de una secuencia
de paquetes de información, caracterizado porque se colocan
los paquetes (30) de la secuencia en una memoria de paquetes (35)
organizada en apilamiento, asociado con las etiquetas de tratamiento
respectivas (36), se examina la etiqueta de tratamiento asociada en
cada paquete extraído de la memoria de paquetes para activar un
módulo de tratamiento seleccionado en función de la etiqueta
recibida entre un conjunto de módulos de tratamiento (M1, M5),
asegurando el módulo activado un tratamiento elemental del paquete
extraído, y porque el tratamiento elemental asegurado, como mínimo,
por medio de uno de los módulos de tratamiento (M2, M3) comporta la
asociación del paquete extraído con una etiqueta modificada de
acuerdo con una tabla de traducción de etiquetas (T2, T3), siendo el
paquete tratado colocado a continuación nuevamente en la memoria de
paquetes en asociación con la etiqueta modi-
ficada.
ficada.
5. Procedimiento, según la reivindicación 4, en
el que, después de haber sido sometidos a diferentes tratamientos
elementales, cada paquete es suministrado con una firma basada en un
secreto compartido con un direccionador de concentración (12) de una
red de telecomunicación (10), autentificando que el paquete ha sido
sometido a dichos tratamientos elementales.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR9815757 | 1998-12-14 | ||
FR9815757A FR2787267B1 (fr) | 1998-12-14 | 1998-12-14 | Dispositif et procede de traitement d'une sequence de paquets d'information |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2243085T3 true ES2243085T3 (es) | 2005-11-16 |
Family
ID=9533939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES99958301T Expired - Lifetime ES2243085T3 (es) | 1998-12-14 | 1999-12-10 | Dispositivo y procedimiento de tratamiento de una secuencia de paquetes de informacion. |
Country Status (8)
Country | Link |
---|---|
US (1) | US6925507B1 (es) |
EP (1) | EP1142182B1 (es) |
AT (1) | ATE296002T1 (es) |
CA (1) | CA2357909A1 (es) |
DE (1) | DE69925380T2 (es) |
ES (1) | ES2243085T3 (es) |
FR (1) | FR2787267B1 (es) |
WO (1) | WO2000036779A2 (es) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6738379B1 (en) * | 2000-03-30 | 2004-05-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of preserving data packet sequencing |
US7305649B2 (en) * | 2005-04-20 | 2007-12-04 | Motorola, Inc. | Automatic generation of a streaming processor circuit |
US20060265485A1 (en) * | 2005-05-17 | 2006-11-23 | Chai Sek M | Method and apparatus for controlling data transfer in a processing system |
US7603492B2 (en) * | 2005-09-20 | 2009-10-13 | Motorola, Inc. | Automatic generation of streaming data interface circuit |
US20080120497A1 (en) * | 2006-11-20 | 2008-05-22 | Motorola, Inc. | Automated configuration of a processing system using decoupled memory access and computation |
DE102008001548B4 (de) * | 2008-05-05 | 2017-03-02 | Robert Bosch Gmbh | Teilnehmerknoten eines Kommunikationssystems, Kommunikationssystem und Verfahren zum Übertragen einer Nachricht in dem Kommunikationssystem |
CN102027726B (zh) * | 2008-05-22 | 2014-01-15 | 艾利森电话股份有限公司 | 用于控制数据分组的路由的方法和设备 |
US8059547B2 (en) * | 2008-12-08 | 2011-11-15 | Advantest Corporation | Test apparatus and test method |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0600683B1 (en) * | 1992-12-04 | 2001-10-10 | AT&T Corp. | Packet network interface |
SE515422C2 (sv) * | 1993-03-10 | 2001-07-30 | Ericsson Telefon Ab L M | Etiketthantering i paketnät |
US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
US6104716A (en) | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
JP3098996B2 (ja) * | 1999-03-03 | 2000-10-16 | 株式会社神戸製鋼所 | パケット通信装置 |
-
1998
- 1998-12-14 FR FR9815757A patent/FR2787267B1/fr not_active Expired - Fee Related
-
1999
- 1999-12-10 DE DE69925380T patent/DE69925380T2/de not_active Expired - Lifetime
- 1999-12-10 US US09/868,154 patent/US6925507B1/en not_active Expired - Lifetime
- 1999-12-10 AT AT99958301T patent/ATE296002T1/de not_active IP Right Cessation
- 1999-12-10 WO PCT/FR1999/003099 patent/WO2000036779A2/fr active IP Right Grant
- 1999-12-10 EP EP99958301A patent/EP1142182B1/fr not_active Expired - Lifetime
- 1999-12-10 ES ES99958301T patent/ES2243085T3/es not_active Expired - Lifetime
- 1999-12-10 CA CA002357909A patent/CA2357909A1/fr not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
DE69925380T2 (de) | 2006-05-04 |
CA2357909A1 (fr) | 2000-06-22 |
WO2000036779A2 (fr) | 2000-06-22 |
WO2000036779A3 (fr) | 2001-01-04 |
FR2787267A1 (fr) | 2000-06-16 |
ATE296002T1 (de) | 2005-06-15 |
FR2787267B1 (fr) | 2001-02-16 |
EP1142182B1 (fr) | 2005-05-18 |
DE69925380D1 (de) | 2005-06-23 |
EP1142182A2 (fr) | 2001-10-10 |
US6925507B1 (en) | 2005-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9674146B2 (en) | Network security module for Ethernet-receiving industrial control devices | |
EP1917780B8 (en) | System and method for processing secure transmissions | |
CN1823514B (zh) | 使用基于角色的访问控制来提供网络安全的方法和装置 | |
ES2311752T3 (es) | Etiquetas de flujo. | |
ES2315230T3 (es) | Procedimiento, sistema , servidor y dispositivo para dar seguridad a una red de comunicaciones. | |
Diguet et al. | NOC-centric security of reconfigurable SoC | |
CN104520813B (zh) | 用于受控云访问的基于控制池的企业策略使能器 | |
ES2243085T3 (es) | Dispositivo y procedimiento de tratamiento de una secuencia de paquetes de informacion. | |
ES2771229T3 (es) | Sistema de comunicación de datos basado en la unidad de filtro que incluye una plataforma de cadena de bloques | |
Sepúlveda et al. | Elastic security zones for NoC-based 3D-MPSoCs | |
KR20080063222A (ko) | 데이터 스트림 보안 방법 | |
ES2237585T3 (es) | Dispositivo de control de acceso entre redes atm. | |
Brim et al. | Per hop behavior identification codes | |
ES2241275T3 (es) | Metodo, disposicion y aparato para autentificacion. | |
Fu et al. | Automatic generation of ipsec/vpn security policies in an intra-domain environment | |
Sepúlveda et al. | Efficient and flexible NoC-based group communication for secure MPSoCs | |
Palensky et al. | Security considerations for FAN-Internet connections | |
US8806222B2 (en) | Method and system for contained cryptographic separation | |
ES2276021T3 (es) | Procedimiento y dispositivo para el tratamiento de paquetes de datos. | |
ES2243084T3 (es) | Procedimiento de transporte de paquetes entre un interfaz de acceso y una red compartida. | |
EP1987440B1 (en) | Method and system for obviating redundant actions in a network | |
Kumar et al. | Security Infrastructure for Cyber Attack Targeted Networks and Services | |
Hicks et al. | A secure plan | |
CN102187614A (zh) | 网络安全方法和装置 | |
Nedeltcheva et al. | The Onion Router: Is the Onion Network Suitable for Cloud Technologies |