ES2895160T3 - Procedimiento y dispositivo de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado - Google Patents

Procedimiento y dispositivo de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado Download PDF

Info

Publication number
ES2895160T3
ES2895160T3 ES19213257T ES19213257T ES2895160T3 ES 2895160 T3 ES2895160 T3 ES 2895160T3 ES 19213257 T ES19213257 T ES 19213257T ES 19213257 T ES19213257 T ES 19213257T ES 2895160 T3 ES2895160 T3 ES 2895160T3
Authority
ES
Spain
Prior art keywords
packets
packet
signature
protocol
transmission time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES19213257T
Other languages
English (en)
Inventor
Kévin Phemius
Mathieu Bouet
Vania Conan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Application granted granted Critical
Publication of ES2895160T3 publication Critical patent/ES2895160T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/0864Round trip delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Abstract

Procedimiento de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado (18) adaptado para transportar datos cifrados en paquetes en una red de comunicaciones (2) abierta, entre una primera red cerrada (4) y una segunda red cerrada (6), de manera que el transporte implementa al menos un protocolo de transporte que tiene una signatura de señalización de protocolo asociada, incluyendo dicha signatura una secuencia predeterminada de paquetes denominados paquetes de signatura, caracterizado porque incluye etapas, implementadas por un procesador de un dispositivo de medida de un parámetro representativo de un tiempo de transmisión, de: - para cada paquete de una pluralidad de paquetes sucesivos transportados en dicho túnel de comunicación cifrado, obtención sin descifrado de metadatos asociados a dicho paquete, - para al menos un protocolo de comunicaciones, determinación (40-66; 80-108), a partir de dichos metadatos asociados a cada paquete y de características memorizadas de los paquetes de signatura que forman parte de la signatura de señalización de protocolo de dicho protocolo de comunicaciones, de al menos una secuencia de paquetes susceptible de formar una signatura de señalización de protocolo según dicho protocolo de comunicaciones, - estimación (68, 110) de un parámetro representativo de un tiempo de transmisión a partir de al menos una secuencia de paquetes determinada.

Description

DESCRIPCIÓN
Procedimiento y dispositivo de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado
[0001] La presente invención se refiere a un procedimiento y un dispositivo de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado adaptado para transportar datos cifrados en paquetes.
[0002] La invención se sitúa en el campo del control del tráfico en las redes de comunicaciones, y en particular en las redes seguras para las cuales se usa un cifrado.
[0003] En particular, la invención se aplica para túneles cifrados entre subredes privadas, por ejemplo enclaves VPN (de « Virtual Prívate Network»). El tráfico de red que entra y sale de dichas subredes es cifrado/descifrado. Los paquetes que transitan en el túnel de comunicación cifrado también están cifrados. Se encuentra un ejemplo en el documento WO 2014/026050.
[0004] Para numerosas aplicaciones que usan las redes de comunicación, es fundamental evaluar los parámetros de rendimiento de la red, por ejemplo un parámetro representativo de un tiempo de transmisión en la red, como la latencia o el tiempo de ida y vuelta de un paquete entre dos equipos de la red, o la fluctuación que es la variación de la latencia en el tiempo. En inglés, el tiempo de ida y vuelta se designa por la abreviatura RTT (de «round trip time»). La latencia (o el RTT) y la fluctuación son especialmente críticas para aplicaciones que implementan datos que deben estar sincronizados.
[0005] No resulta sencillo estimar los parámetros de rendimiento representativos de un tiempo de transmisión de la red en las partes de red cifradas, por ejemplo los túneles de comunicación cifrados descritos antes brevemente.
[0006] Una primera aproximación posible para la evaluación de dichos parámetros, conocida para cualquier tipo de red de comunicación, consistiría en inyectar tráfico específico para medir la latencia y la fluctuación de un túnel de comunicación cifrado. Dicha solución no es sin embargo satisfactoria ya que el hecho de inyectar paquetes específicos para la evaluación de la latencia induce un aumento del tráfico en la red y, en consecuencia, también puede aumentar la latencia de la red. Además, en algunas redes de comunicación los enlaces de comunicación son caros y/o restrictivos, por ejemplo en la comunicación por satélite. En tales casos, el aumento del tráfico en la red no puede contemplarse.
[0007] Una segunda aproximación para estimar la latencia de una red de comunicaciones consiste en efectuar una medida pasiva usando paquetes generados por aplicaciones de usuario, que incluyen datos denominados datos de usuario. La implementación de esta segunda aproximación es difícil para las redes de comunicación cifradas. Las soluciones conocidas están dedicadas a protocolos de transporte específicos, por ejemplo TCP para IPSec («Internet Protocol Security») y tan solo en el modo de comunicación de equipo a equipo (o «host-to-host» en inglés), en el que la transmisión se realiza entre dos equipos hospedadores que tienen direcciones IP de datos que establecen una sesión de comunicación.
[0008] La invención tiene por objeto proponer un procedimiento de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado que se aplica más en general a un tráfico entre subredes.
[0009] Para este fin, la invención propone un procedimiento de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado adaptado para transportar datos cifrados en paquetes en una red de comunicaciones abierta, entre una primera red cerrada y una segunda red cerrada, de manera que el transporte implementa al menos un protocolo de transporte que tiene una signatura de señalización de protocolo asociada, incluyendo dicha signatura una secuencia predeterminada de paquetes denominados paquetes de signatura. Este procedimiento incluye etapas, implementadas por un procesador de un dispositivo de medida de un parámetro representativo de un tiempo de transmisión, de:
- para cada paquete de una pluralidad de paquetes sucesivos transportados en dicho túnel de comunicación cifrado, obtención sin descifrado de metadatos asociados a dicho paquete,
- para al menos un protocolo de comunicaciones, determinación, a partir de dichos metadatos asociados a cada paquete y de características memorizadas de los paquetes de signatura que forman parte de la signatura de señalización de protocolo de dicho protocolo de comunicaciones, de al menos una secuencia de paquetes susceptible de formar una signatura de señalización de protocolo según dicho protocolo de comunicaciones,
- estimación de un parámetro representativo de un tiempo de transmisión a partir de al menos una secuencia de paquetes determinada.
[0010] Ventajosamente, la invención permite estimar un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado entre subredes, lo que incluye cuando el tráfico comprende varias sesiones diferentes entre equipos hospedadores diferentes.
[0011] El procedimiento de medida de un parámetro representativo de un tiempo de transmisión según la invención puede también presentar una o varias de las características mostradas a continuación, tomadas de forma independiente o según todas las combinaciones técnicamente posibles.
[0012] Para cada paquete, dichos metadatos incluyen un tamaño de paquete, una fecha de llegada del paquete, una dirección de equipo de origen y una dirección de equipo de destino.
[0013] Las características memorizadas de los paquetes de signatura incluyen el número N de paquetes que forman la signatura de señalización de protocolo, un tamaño mínimo y un tamaño máximo de cada paquete de signatura, incluyendo la etapa de determinación una selección de un subconjunto de paquetes cuyo tamaño está comprendido entre el tamaño mínimo y el tamaño máximo de al menos uno de los paquetes de signatura.
[0014] Las características memorizadas de los paquetes de signatura incluyen además una dirección de comunicación de cada paquete, incluyendo la etapa de determinación además una extracción, entre los paquetes de dicho subconjunto, de una secuencia de paquetes que respeta las características de tamaño y de dirección de comunicación memorizadas.
[0015] El procedimiento incluye, después de la estimación de un tiempo de transmisión, una actualización de una duración de ventana temporal máxima entre dos paquetes sucesivos.
[0016] La etapa de determinación de una secuencia de paquetes incluye una verificación de un respeto de una duración temporal entre dos paquetes sucesivos de la secuencia, que incluye un cálculo de un retardo temporal entre fechas de llegada de dichos paquetes sucesivos y una comparación de dicho retardo con la duración de ventana temporal máxima.
[0017] El parámetro representativo de un tiempo de transmisión es una latencia de transmisión entre un equipo de la primera red cerrada y un equipo de la segunda red cerrada, o un tiempo de ida y vuelta de un paquete, o una fluctuación de dicha latencia de transmisión.
[0018] Los metadatos incluyen un campo indicativo de un tipo de tráfico, incluyendo el procedimiento una determinación de tipo de tráfico después de la determinación de una secuencia de paquetes susceptibles de formar una signatura de señalización de protocolo, y una estimación de un tiempo de transmisión en un túnel de comunicación cifrado por tipo de tráfico.
[0019] Según otro aspecto, la invención se refiere a un dispositivo de medida de un parámetro representativo de un tiempo de transmisión de un túnel de comunicación cifrado adaptado para transportar datos cifrados en paquetes en una red de comunicaciones abierta, entre una primera red cerrada y una segunda red cerrada, de manera que el transporte implementa al menos un protocolo de transporte que tiene una signatura de señalización de protocolo asociada, incluyendo dicha signatura una secuencia predeterminada de paquetes denominados paquetes de signatura. Este dispositivo incluye un procesador configurado para implementar:
- para cada paquete de una pluralidad de paquetes sucesivos transportados en dicho túnel de comunicación cifrado, un módulo de obtención sin descifrado de metadatos asociados a dicho paquete,
- para al menos un protocolo de comunicaciones, un módulo de determinación, a partir de dichos metadatos asociados a cada paquete y de características memorizadas de los paquetes de signatura que forman parte de la signatura de señalización de protocolo de dicho protocolo de comunicaciones, de al menos una secuencia de paquetes susceptible de formar una signatura de señalización de protocolo según dicho protocolo de comunicaciones,
- un módulo de estimación de un parámetro representativo de un tiempo de transmisión a partir de al menos una secuencia de paquetes determinada.
[0020] Según otro aspecto, la invención se refiere a un soporte de registro de informaciones, en el que se memorizan instrucciones de software para la ejecución de un procedimiento de medida de un parámetro representativo de un tiempo de transmisión tal como se describe brevemente con anterioridad, cuando estas instrucciones son ejecutadas por un dispositivo electrónico programable.
[0021] Según otro aspecto, la invención se refiere a un programa informático que incluye instrucciones de software que, cuando son implementadas por un dispositivo electrónico programable, implementan una medida de un parámetro representativo de un tiempo de transmisión tal como se describe brevemente con anterioridad.
[0022] Otras características y ventajas de la invención se desprenderán de la descripción que se ofrece a continuación, de modo indicativo y en ningún modo limitativo, en referencia a las figuras adjuntas, entre las que: - la figura 1 es una representación esquemática de un sistema de comunicaciones que incluye un dispositivo de medida de un parámetro representativo del tiempo de transmisión según una realización;
- la figura 2 es un cuadro sinóptico de los principales bloques funcionales de un dispositivo de medida de un parámetro representativo del tiempo de transmisión según una realización;
- la figura 3 es un logigrama de las principales etapas de la determinación de secuencias de signatura en el caso del protocolo de transporte TCP;
- la figura 4 es un logigrama de las principales etapas de la determinación de secuencias de signatura en el caso de un protocolo de transporte cualquiera.
[0023] La figura 1 ilustra esquemáticamente un sistema de comunicaciones 1 que incluye varias redes de comunicaciones interconectadas. El sistema 1 incluye una red de comunicaciones abierta 2 o WAN (de «Wide Area Network»), por ejemplo la red Internet, y dos redes de comunicación 4 y 6 cerradas de tipo LAN («Local Area Network»).
[0024] Cada una de las redes 4, 6 incluye una pluralidad de equipos 8A, 8B, 10A, 10B, 12A, 12B adaptados para comunicarse con el interior de la red cerrada a la cual pertenecen. Se trata de equipos conectados cualesquiera, ordenadores clientes o servidores, equipos periféricos, tabletas, etc., que se han representado esquemáticamente.
[0025] En cada una de las redes 4, 6 se implementan uno o varios protocolos de comunicación, estandarizados o de propiedad exclusiva.
[0026] Cada una de las redes 4, 6 incluye además un dispositivo de cifrado 14A, 14B configurado para cifrar los datos de salida de la red cerrada y para descifrar los datos de entrada, con el fin de garantizar la seguridad y la integridad de los datos cuando son transportados en la red de comunicación abierta 2.
[0027] En una realización, cada dispositivo de cifrado 14A, 14B implementa un cifrado según el protocolo estandarizado IPSec («Internet Protocol Security»), definido por la ETF («Internet Engineering Taskforce»), para asegurar comunicaciones privadas y protegidas en redes que usan el protocolo IP, mediante el uso de servicios de seguridad criptográficos.
[0028] El protocolo IPSec interviene en la capa de red que es la capa 3 del modelo OSI («Open Systems Interconnexion»), con independencia de las aplicaciones de la capa de aplicación.
[0029] Se designa por protocolo IP una familia de protocolos de comunicación usados para la transferencia de datos en Internet, encapsulados en paquetes. El protocolo IPSec es compatible con IPv4 y con IPv6.
[0030] El dispositivo de cifrado 14 implementa un cifrado de los paquetes formados según el protocolo IP (p. ej., IPv4 o IPV6), que permite obtener datos cifrados que se encapsulan en paquetes de comunicación que comprenden encabezamientos según un protocolo de comunicación dado.
[0031] Los encabezamientos incluyen en particular campos que indican una dirección de equipo de red de origen, denominada dirección de red de origen, una dirección de equipo de red de destino, denominada dirección de red de destino y un tamaño de paquete, por ejemplo en número de octetos.
[0032] Un protocolo de transporte, por ejemplo TCP o UDP, encapsula los datos útiles en segmentos o datagramas de transporte.
[0033] Los paquetes de comunicación, denominados simplemente en lo sucesivo paquetes, que comprenden datos cifrados, son transmitidos en la red 2 por equipos encaminadores 16A, 16B.
[0034] Así el protocolo de comunicación cifrado (IPsec en el ejemplo) permite la implementación de un túnel de comunicaciones 18 cifrado entre la primera red 4 y la segunda red 6, en particular entre equipos distintos de cada una de las redes 4, 6, teniendo cada equipo una dirección de red o dirección IP propia.
[0035] Un túnel de comunicación 18 entre dos redes distintas permite también vehicular datos obtenidos de varias sesiones de comunicación.
[0036] El término sesión de comunicación designa un periodo durante el cual dos equipos realizarán una comunicación. Una sesión comprende una fase de apertura, una fase de intercambio y una fase de cierre (que puede estar implícita, por ejemplo, en caso de desconexión de uno de los equipos o bien al comienzo de un tiempo de inactividad predefinido).
[0037] En un ejemplo de aplicación no exhaustivo, se abren varios tipos de sesiones de comunicación en el túnel de comunicaciones cifrado 18: una primera sesión de comunicación de datos de vídeo, que usa el protocolo de transporte TCP («Transmission Control Protocol»), y una segunda sesión de comunicación de voz de tipo VoIP («Voice Over IP»), que usa un protocolo de transporte SIP («Session Initiation Protocol»).
[0038] Cada protocolo de transporte tiene una signatura de señalización de protocolo, formada por una secuencia de paquetes de formato predefinido, que en lo sucesivo se denominará paquetes de signatura, para intercambiar entre un primer equipo y un segundo equipo con el fin de establecer una sesión de comunicación entre estos equipos. En general, los paquetes sucesivos de una signatura de señalización tienen direcciones alternadas.
[0039] Por ejemplo, para el protocolo de transporte TCP, la signatura de señalización de protocolo es una secuencia de paquetes SYN - SYN/Ac K - ACK:
- el primer equipo envía al segundo equipo un paquete de tipo SYN de petición de sincronización/establecimiento de conexión;
- en la recepción, el segundo equipo envía al primer equipo un acuse de recibo (paquete SYN/ACK) del paquete SYN; - en la recepción del paquete SYN/ACK, el primer equipo envía al segundo equipo un paquete de acuse de recibo ACK.
[0040] Este encadenamiento, también conocido con el nombre de «handshake» en inglés, es bien conocido para el protocolo de transporte TCP.
[0041] Los paquetes ACK, SYN/ACK y SYN que forman parte de esta signatura de señalización de protocolo para el protocolo de transporte TCP son paquetes que no transportan datos útiles.
[0042] De manera más general, una signatura de señalización de protocolo está constituida por una secuencia de N paquetes de signatura {P1,.. ,Pn}.
[0043] Cada signatura de señalización de protocolo se caracteriza por un conjunto de características, que incluyen en particular: el número N de paquetes que forman la signatura de señalización de protocolo, un tamaño mínimo y un tamaño máximo de cada paquete de signatura, la dirección de comunicación de cada paquete, así como una duración temporal máxima entre dos paquetes sucesivos.
[0044] El sistema 1 incluye además un dispositivo 20 de medida de un parámetro representativo de un tiempo de transmisión en el túnel de comunicación cifrado, conectado cerca de la salida del dispositivo de cifrado 14A. Como variante, el dispositivo 20 está conectado cerca de la salida del dispositivo 14B.
[0045] El término proximidad debe entenderse aquí en el sentido de la latencia entre el dispositivo 20 y el dispositivo de cifrado 14A, 14B. Por ejemplo, dos dispositivos se consideran cercanos si la latencia es inferior o igual a 5 ms.
[0046] En otra variante, el dispositivo 20 está integrado en el dispositivo encaminador 16A, o en el dispositivo encaminador 16B.
[0047] El dispositivo 20 está configurado para implementar un procedimiento de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado 18 según las diversas realizaciones de la invención.
[0048] El dispositivo 20 es por ejemplo un dispositivo electrónico de cálculo, por ejemplo un ordenador, que comprende al menos un procesador de cálculo 19 y al menos una memoria electrónica 21, adaptados para comunicarse por medio de un bus de comunicación.
[0049] La figura 2 ilustra esquemáticamente los principales bloques funcionales de un dispositivo 20.
[0050] El dispositivo 20 incluye un módulo 22 de captura a medida de los paquetes de comunicación que transitan por el encaminador cerca del cual se conecta el dispositivo 20, que comprende datos útiles cifrados que circulan en el túnel de comunicación cifrado 18.
[0051] El conjunto de los paquetes capturados incluye la totalidad del tráfico entre la primera red cerrada 4 y la segunda red cerrada 6, es decir, los paquetes transmitidos de la primera red cerrada 4 hacia la segunda red cerrada 6, y a la inversa, los paquetes transmitidos de la segunda red cerrada 6 hacia la primera red cerrada 4.
[0052] Naturalmente, la captura de los paquetes se efectúa sin inducir retardo de transmisión, dicho en otros términos, sin aumentar la latencia en el túnel de comunicaciones.
[0053] Además, el conjunto de los paquetes capturados incluye paquetes formateados según diferentes protocolos de comunicación, y que pertenecen a diferentes sesiones de comunicación.
[0054] Los paquetes capturados son memorizados temporalmente en su orden de llegada en la unidad de memoria 24 del dispositivo 20.
[0055] El dispositivo 20 comprende además un módulo 26 de extracción de metadatos relativos a los paquetes cifrados capturados, configurado para implementar una etapa de obtención de metadatos para cada paquete de una pluralidad de paquetes sucesivos, descrita en detalle más adelante.
[0056] Los metadatos extraídos de los encabezamientos de los paquetes comprenden por una parte una indicación del protocolo de comunicación (IPsec en el ejemplo) según el cual se formatea el paquete. La indicación de protocolo permite un filtrado de los paquetes, de manera que se conservan solo los paquetes formateados según un conjunto de protocolos predeterminados.
[0057] En una realización, todos los paquetes no IP son rechazados. Se pueden citar, por ejemplo, los paquetes ARP («Address Resolution Protocol») que los dispositivos de cifrado 14A y 14B se intercambian periódicamente.
[0058] Para los paquetes según el protocolo IP (IPv4 o IPv6), los metadatos extraídos incluyen además, para cada paquete tratado:
- el tamaño del paquete,
- una indicación relativa a un tipo de tráfico (campo DSCP para IPv6 o ToS para IPv4),
- dirección IP de origen y dirección IP de destino.
[0059] Además, los metadatos extraídos incluyen también, en una realización, un índice de parámetro de seguridad (SPI) y un número de secuencia IPsec. El índice SPI indica un número de túnel de comunicación. El número de secuencia IPsec se usa para estimar una tasa de pérdida en el túnel de comunicación.
[0060] Además, la fecha de llegada (o Timestamp en inglés) de cada paquete en el dispositivo 20 que implementa el procedimiento de la invención también se memoriza en los metadatos asociados a un paquete.
[0061] Los metadatos asociados a cada uno son memorizados, por ejemplo en enlace con un identificador de paquete. Los otros datos de los paquetes capturados (otros datos de encabezamiento o datos de usuario) no se mantienen en memoria.
[0062] El dispositivo 20 incluye también un módulo 28 de filtrado de los paquetes en función de su tamaño, en enlace con, para cada protocolo de transporte considerado, una signatura de señalización de protocolo del protocolo de transporte.
[0063] Cada paquete de signatura tiene un tamaño comprendido entre un tamaño mínimo y un tamaño máximo predeterminados. Las características del o de los paquetes de cada signatura de señalización de protocolo S(P) se memorizan, por ejemplo, en una unidad de memoria 30 del dispositivo 20.
[0064] Por ejemplo, para el protocolo TCP, la signatura de señalización de protocolo está formada por N = 3 paquetes de signatura SYN, SYN/ACK y ACK, como se describe anteriormente. Los paquetes SYN tienen un tamaño comprendido entre 70 y 75 octetos, los paquetes SYN/ACK tienen un tamaño comprendido entre 70 y 75 octetos y los paquetes ACK tienen un tamaño comprendido entre 60 y 70 octetos. Las direcciones de comunicación son respectivamente: una primera dirección de comunicación del equipo de origen hacia el equipo de destino y una segunda dirección de comunicación del equipo de destino hacia el equipo de origen.
[0065] El módulo 28 de filtrado selecciona únicamente metadatos asociados a paquetes cuyo tamaño es compatible con el tamaño de los paquetes de signatura del o de los protocolos de transporte considerados.
[0066] Los paquetes conservados forman un subconjunto de paquetes, y los metadatos asociados se ordenan en una lista o una fila de espera 32, que los suministra según un orden de tipo «primero en llegar, primero en salir», también llamado FIFO (por «first in, first out»), a un módulo 34 de determinación de secuencias de paquetes que verifican todas las características de una signatura de señalización de protocolo.
[0067] Según una realización alternativa, el módulo 28 de filtrado se omite, y el conjunto de metadatos de todos los paquetes recibidos es suministrado al módulo 34 de determinación de secuencias de paquetes.
[0068] Estas secuencias de paquetes son suministradas a un módulo 36 de cálculo de latencia, o más generalmente de un parámetro representativo de un tiempo de transmisión.
[0069] El módulo 36 calcula por ejemplo un tiempo de transmisión entre el dispositivo 20 y el encaminador 16B.
[0070] En el caso en que se consideren varios protocolos de transporte, se contempla, en una realización, implementar varios módulos 34 y 36 en paralelo, estando destinado cada módulo a determinar secuencias de paquetes de signatura para un protocolo dado.
[0071] Los módulos de captura de paquetes 22, de extracción de metadatos 26, de filtrado 28, de determinación de secuencia de paquetes de signatura 34 y de cálculo 36 de un parámetro representativo de un tiempo de transmisión se realizan por ejemplo cada uno en forma de un software, o de un elemento de software ejecutable por el procesador 19 del dispositivo 20.
[0072] La memoria 21 del dispositivo 20 es entonces capaz de almacenar un software de medida de un parámetro representativo de un tiempo de transmisión según la invención, y el procesador 19 es entonces capaz de ejecutar este software.
[0073] Este software es apto además para ser registrado en un soporte, no representado, legible por ordenador. El soporte legible por ordenador es, por ejemplo, un medio apto para memorizar las instrucciones electrónicas y para acoplarse a un bus de un sistema informático. A modo de ejemplo, el soporte legible es un disco óptico, un disco magnetoóptico, una memoria ROM, una memoria RAM, cualquier tipo de memoria no volátil (por ejemplo EPROM, EEPROM, FLASH, NVRAM), una tarjeta magnética o una tarjeta óptica. En el soporte legible se memoriza entonces un programa informático que incluye instrucciones de software.
[0074] Como variante no representada, los módulos de captura de paquetes 22, de extracción de metadatos 26, de filtrado 28, de determinación de secuencia de paquetes de signatura 34 y de cálculo 36 de un parámetro representativo de un tiempo de transmisión se realizan cada uno en forma de un componente lógico programable, tal como un FPGA (del inglés Field Programable Gate Array), un GPU (procesador gráfico) o un GPGPU (del inglés General-purpose processing on graphics processing), o incluso en forma de un circuito integrado dedicado, tal como un ASIC (del inglés Application Specific Integrated Circuit).
[0075] La figura 3 es un cuadro sinóptico de las principales etapas de un procedimiento de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado para el protocolo de transporte TCP, cuya signatura de señalización de protocolo incluye una secuencia de paquetes SYN, SYN/ACK y ACK como se describe anteriormente.
[0076] Durante una primera etapa 40, se extrae un primer paquete A de la fila de espera 32, y se verifica (etapa 42) si la duración temporal entre su fecha de llegada Ta y la fecha actual Timec es superior a una duración de ventana máxima Tw predeterminada.
[0077] Por ejemplo, la duración de ventana Tw está comprendida entre 0 y 200 ms para TCP.
[0078] En caso de verificación positiva, el primer paquete A se considera obsoleto y no es conservado en el subconjunto de paquetes (etapa 44). Un paquete cercano se selecciona en la etapa 46 como primer paquete A, y la etapa de verificación 42 se realiza de nuevo.
[0079] Si la verificación de la etapa 42 es negativa, si la fecha de llegada del primer paquete A es inferior a la duración de la ventana temporal considerada, entonces la etapa 42 se sigue de una etapa 48 para determinar si el primer paquete A puede ser un paquete SYN, mediante la comparación del tamaño del primer paquete A con los tamaños mínimo y máximo de un paquete de tipo SYN, primer paquete de la signatura de señalización de protocolo TCP.
[0080] Si el tamaño del primer paquete A, denotado por La, no está comprendido entre 70 y 75 octetos, el primer paquete A no puede ser un paquete SYN, y la etapa 48 se sigue de la etapa 46 descrita anteriormente de selección del paquete siguiente como primer paquete.
[0081] Si el tamaño La del primer paquete A está comprendido entre 70 y 75 octetos, el paquete A se memoriza como paquete susceptible de ser un primer paquete de signatura en una secuencia de paquetes, y la etapa 48 se sigue de una etapa 50 de selección de un paquete siguiente como segundo paquete B.
[0082] La etapa 50 se sigue de una etapa 52 para determinar si el segundo paquete B puede ser un paquete SYN/ACK, mediante la comparación del tamaño Lb del segundo paquete B con los tamaños mínimo y máximo de un paquete de tipo SYN/ACK, segundo paquete de la signatura de señalización de protocolo TCP.
[0083] Si el tamaño Lb del segundo paquete B no está comprendido entre 70 y 75 octetos, el segundo paquete B no puede ser un paquete SYN/ACK, y la etapa 52 se sigue de una etapa 56 de verificación del retardo entre la fecha de llegada Tb del segundo paquete B y la fecha de llegada Ta del primer paquete A seleccionado previamente.
[0084] Si el retardo (Tb-Ta) es superior o igual a la duración de ventana Tw predeterminada, entonces la etapa 56 se sigue de la etapa 46 descrita previamente consistente en seleccionar un paquete siguiente susceptible de ser un primer paquete.
[0085] Si el retardo (Tb-Ta) es inferior a la duración de ventana Tw predeterminada, la etapa 56 se sigue de la etapa 50 descrita previamente de selección de un paquete siguiente como segundo paquete B.
[0086] Si el tamaño Lb del segundo paquete B está comprendido entre 70 y 75 octetos, el segundo paquete B puede ser un paquete SYN/ACK, y la etapa 52 se sigue de una etapa 54 de verificación de las direcciones de comunicación respectivas del primer paquete A previamente seleccionado y del segundo paquete B, en función de las direcciones de origen y de destino de los metadatos memorizados.
[0087] De hecho, si el primer paquete A y el segundo paquete B son transmitidos en la misma dirección de comunicación, no pueden ser paquetes consecutivos de la secuencia de paquetes de signatura. La etapa 54 se sigue entonces de la etapa 56 descrita previamente.
[0088] Si el primer paquete A y el segundo paquete B tienen direcciones de comunicación asociadas opuestas, entonces el segundo paquete B se conserva como segundo paquete de una secuencia de signatura, y la etapa 54 se sigue de una etapa 58 de selección de un paquete siguiente como tercer paquete C.
[0089] La etapa 58 se sigue de una etapa 60 para determinar si el tercer paquete C puede ser un paquete ACK, mediante la comparación del tamaño Le del tercer paquete C con los tamaños mínimo y máximo de un paquete de tipo ACK, tercer paquete de la signatura de señalización de protocolo TCP.
[0090] Si el tamaño Le del tercer paquete C no está comprendido entre 60 y 70 octetos, el tercer paquete C no puede ser un paquete ACK, y la etapa 60 se sigue de una etapa 64 de verificación del retardo entre la fecha de llegada Tc del tercer paquete C y la fecha de llegada Tb del segundo paquete B seleccionado previamente.
[0091] Si el retardo (Tc-Tb) es superior o igual a la duración de ventana Tw predeterminada, entonces la etapa 64 se sigue de la etapa 46 descrita previamente consistente en seleccionar un paquete siguiente susceptible de ser un primer paquete.
[0092] Si el retardo (Tc-Tb) es inferior a la duración de ventana Tw predeterminada, la etapa 64 se sigue de la etapa 58 descrita previamente.
[0093] Si el tamaño Le del tercer paquete C está comprendido entre 60 y 70 octetos, el tercer paquete C puede ser un paquete ACK, y la etapa 60 se sigue de una etapa 62 de verificación de las direcciones de comunicación respectivas del segundo paquete B seleccionado previamente y del tercer paquete C, en función de las direcciones de origen y de destino de los metadatos memorizados.
[0094] Si los paquetes son transmitidos en la misma dirección, entonces la etapa 62 se sigue de la etapa 64 descrita previamente.
[0095] Si el segundo paquete B y el tercer paquete C tienen direcciones de comunicación opuestas, entonces forman una secuencia de paquetes susceptible de formar una signatura de señalización de protocolo según dicho protocolo de comunicaciones, es decir, cuyos paquetes verifican las restricciones de tamaño, de retardo de comunicación y de dirección de comunicación de la signatura.
[0096] La etapa 62 se sigue de una etapa 66 de selección de la secuencia de paquetes A, B y C, y después de una etapa 68 de estimación de un parámetro representativo de un tiempo de transmisión a partir de las fechas de llegada Ta, Tb, Te de los paquetes A, B, C de la secuencia de paquetes obtenida. Por ejemplo, en la etapa 68 se calcula un valor de latencia o un valor de tiempo de ida y vuelta. (RTT)
[0097] La etapa 68 se sigue de una etapa 70 de actualización de la estimación global del parámetro representativo de la duración de transmisión en el túnel cifrado. Por ejemplo, se acumulan varios valores de latencia, y la actualización global consiste en calcular un valor medio del conjunto de estos valores acumulados.
[0098] La etapa 72 permite actualizar un valor medio deslizante en los últimos K valores, siendo K un número entero positivo superior a 1 elegido. Cuando K es cercano a 1, los valores estimados se acercan a lo instantáneo, y cuando K es grande, los picos de latencia se alisan en la duración global de estimación. En una realización, por ejemplo, K está comprendido entre 1 y 15.
[0099] A continuación, la ventana temporal usada se actualiza en la etapa 74, y en particular, la duración temporal Tw se actualiza en función de la latencia calculada. Por ejemplo la ventana se adaptará para limitar la búsqueda a más o menos M% del último valor estimado con el fin de mejorar los rendimientos, siendo M por ejemplo más o menos el 10% del valor estimado. La ventana se repone periódicamente a su valor inicial con el fin de adaptarse a los cambios bruscos e importantes de latencia.
[0100] La figura 4 es un cuadro sinóptico de las principales etapas de un procedimiento de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado genérico, para un protocolo de transporte cualquiera, cuya signatura de señalización de protocolo incluye N paquetes {P1,...,Pn}. Las características de la signatura en términos de tamaños mínimo y máximo de cada uno de los paquetes de la signatura, de retardo máximo entre paquetes y de alternancia entre direcciones de comunicaciones de los paquetes se memorizan previamente.
[0101] El procedimiento incluye una primera etapa 80 de selección de un primer paquete A, un índice de paquete n que no se inicializa en 1 en la etapa 82.
[0102] A continuación, la etapa 82 se sigue de una etapa 84, análoga a la etapa 42 de la figura 3, en la cual se verifica si el primer paquete seleccionado no está obsoleto, en función de su fecha de llegada.
[0103] En la etapa 84 se verifica si la duración temporal entre su fecha de llegada Ta y la fecha actual TimeC es superior a una duración de ventana Tw predeterminada.
[0104] En caso de verificación positiva, el paquete seleccionado no se conserva (etapa 86) y se selecciona un paquete siguiente en la etapa 88 como paquete A, y la etapa de verificación 84 se realiza de nuevo.
[0105] Si la verificación de la etapa 84 es negativa, entonces se sigue de una etapa 90 para determinar si el paquete A puede ser el n-ésimo paquete de signatura, y por tanto si su tamaño está claramente comprendido entre los tamaños mínimo y máximo de un n-ésimo paquete de signatura. Si no sucede así, la etapa 90 se sigue de la etapa 88 descrita previamente.
[0106] Si el tamaño del paquete A es compatible, entonces la etapa 90 se sigue de una etapa 92 de incremento del índice n de paquete de signatura: n<-n+1.
[0107] Se selecciona un paquete B siguiente en la fila de paquetes para tratar (etapa 94), y en la etapa 96 se verifica si el paquete B puede ser el n-ésimo paquete de signatura. En otros términos, se verifica si el paquete B puede ser el paquete siguiente al paquete A conservado previamente en la secuencia de paquetes de signatura del protocolo considerado.
[0108] En caso de verificación negativa en la etapa 96, en la etapa 100 se verifica si el retardo temporal entre la fecha de llegada del paquete B y la fecha de llegada del paquete A es inferior a la duración de ventana Tw predeterminada. Si el retardo es superior, la etapa 100 es seguida por la etapa 88 descrita anteriormente de selección de un paquete A, y el índice de paquete n se reinicializa en 1.
[0109] Si el retardo calculado en la etapa 100 es inferior a la duración de ventana Tw, entonces a la etapa 100 le sigue la etapa 94 descrita anteriormente.
[0110] Si el tamaño del paquete B es compatible con el tamaño del n-ésimo paquete de signatura, la etapa 96 se sigue de una etapa 102 de verificación de la compatibilidad de las direcciones de comunicación de los paquetes A y B como paquetes sucesivos Pn-1 y Pn en la signatura.
[0111] En caso de verificación negativa, la etapa 102 se sigue de la etapa 100 descrita anteriormente.
[0112] En caso de verificación positiva, en otros términos, si las direcciones de comunicación de los paquetes A y B son compatibles con las direcciones de los paquetes de signatura sucesivos Pn-1 y Pn, la etapa 102 se sigue de una etapa 104 de verificación de completitud la secuencia de paquetes que puede ser una secuencia de paquetes de signatura. En la práctica, n se compara con N.
[0113] Si n es estrictamente inferior a N, la etapa 104 se sigue de una etapa 106 en la cual el paquete A se registra en la secuencia de paquetes de signatura. El paquete B se considera paquete A para las etapas siguientes, y la etapa 106 se sigue de la etapa 92 de incremento del índice n de paquete.
[0114] Si n es igual a N, la etapa 104 se sigue de una etapa 106 de extracción de la secuencia de paquetes memorizados sucesivamente como paquetes de signatura de la fila de espera (etapa 108), y de estimación 110 de un parámetro representativo de un tiempo de transmisión a partir de las fechas de llegadas de los paquetes conservados. La etapa 110 es análoga a la etapa 68 descrita previamente.
[0115] La etapa 110 se sigue de una etapa 112 de actualización de la estimación global del parámetro representativo de la duración de transmisión en el túnel cifrado, análoga a la etapa 70 descrita en referencia a la figura 3, de una etapa 114 de actualización de la media deslizante análoga a la etapa 72, y después de una etapa 116 de actualización de la ventana temporal, análoga a la etapa 74.
[0116] Ventajosamente, la invención permite una estimación de un parámetro representativo del tiempo de transmisión en un túnel de comunicación cifrado sin aumento de tráfico.
[0117] Ventajosamente, la invención permite además deducir el tipo de tráfico que circulan en el túnel de comunicaciones cifrado, y estimar un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado en relación con el tipo de tráfico. De hecho, la extracción de una secuencia de paquetes susceptible de formar una signatura de señalización de protocolo permite deducir que el protocolo correspondiente forma parte del tráfico capturado. Además, en el caso en que los metadatos extraídos incluyen un campo DCSP o ToS, se asocia un tipo de tráfico a cada secuencia de paquetes determinada. Entonces es posible efectuar una medida de un parámetro representativo de un tiempo de transporte, por ejemplo un tiempo de latencia, por tipo de tráfico. Esto permite efectuar a continuación optimizaciones en la transmisión en la red de comunicaciones abierta por tipo de tráfico.

Claims (10)

REIVINDICACIONES
1. Procedimiento de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado (18) adaptado para transportar datos cifrados en paquetes en una red de comunicaciones (2) abierta, entre una primera red cerrada (4) y una segunda red cerrada (6), de manera que el transporte implementa al menos un protocolo de transporte que tiene una signatura de señalización de protocolo asociada, incluyendo dicha signatura una secuencia predeterminada de paquetes denominados paquetes de signatura,
caracterizado porque incluye etapas, implementadas por un procesador de un dispositivo de medida de un parámetro representativo de un tiempo de transmisión, de:
- para cada paquete de una pluralidad de paquetes sucesivos transportados en dicho túnel de comunicación cifrado, obtención sin descifrado de metadatos asociados a dicho paquete,
- para al menos un protocolo de comunicaciones, determinación (40-66; 80-108), a partir de dichos metadatos asociados a cada paquete y de características memorizadas de los paquetes de signatura que forman parte de la signatura de señalización de protocolo de dicho protocolo de comunicaciones, de al menos una secuencia de paquetes susceptible de formar una signatura de señalización de protocolo según dicho protocolo de comunicaciones,
- estimación (68, 110) de un parámetro representativo de un tiempo de transmisión a partir de al menos una secuencia de paquetes determinada.
2. Procedimiento según la reivindicación 1, en el que, para cada paquete, dichos metadatos incluyen un tamaño de paquete, una fecha de llegada del paquete, una dirección de equipo de origen y una dirección de equipo de destino.
3. Procedimiento según la reivindicación 2, en el que dichas características memorizadas de los paquetes de signatura incluyen el número N de paquetes que forman la signatura de señalización de protocolo, un tamaño mínimo y un tamaño máximo de cada paquete de signatura, incluyendo la etapa de determinación una selección de un subconjunto de paquetes cuyo tamaño está comprendido entre el tamaño mínimo y el tamaño máximo de al menos uno de los paquetes de signatura.
4. Procedimiento según la reivindicación 3, en el que dichas características memorizadas de los paquetes de signatura incluyen además una dirección de comunicación de cada paquete, incluyendo además la etapa de determinación una extracción, entre los paquetes de dicho subconjunto, de una secuencia de paquetes que respetan las características de tamaño y de dirección de comunicación memorizadas.
5. Procedimiento según cualquiera de las reivindicaciones 1 a 4, que incluye, después de la estimación de un tiempo de transmisión, una actualización de una duración de ventana temporal máxima entre dos paquetes sucesivos.
6. Procedimiento según la reivindicación 5, en el que la etapa de determinación de una secuencia de paquetes incluye una verificación de un respeto de una duración temporal entre dos paquetes sucesivos de la secuencia, que incluye un cálculo de un retardo temporal entre las fechas de llegada de dichos paquetes sucesivos y una comparación de dicho retardo con la duración de ventana temporal máxima.
7. Procedimiento según cualquiera de las reivindicaciones 1 a 6, en el que dicho parámetro representativo de un tiempo de transmisión es una latencia de transmisión entre un equipo de la primera red cerrada y un equipo de la segunda red cerrada, o un tiempo de ida y vuelta de un paquete, o una fluctuación de dicha latencia de transmisión.
8. Procedimiento según cualquiera de las reivindicaciones 1 a 6, en el que dichos metadatos incluyen un campo indicativo de un tipo de tráfico, incluyendo el procedimiento una determinación de tipo de tráfico después de la determinación de una secuencia de paquetes susceptibles de formar una signatura de señalización de protocolo, y una estimación de un tiempo de transmisión en un túnel de comunicación cifrado por tipo de tráfico.
9. Programa informático que incluye instrucciones de software que, cuando son implementadas por un dispositivo electrónico programable, implementan un procedimiento de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado de acuerdo con las reivindicaciones 1 a 8.
10. Dispositivo de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado (18) adaptado para transportar datos cifrados en paquetes en una red de comunicaciones (2) abierta, entre una primera red cerrada (4) y una segunda red cerrada (6), de manera que el transporte implementa al menos un protocolo de transporte que tiene una signatura de señalización de protocolo asociada, incluyendo dicha signatura una secuencia predeterminada de paquetes denominados paquetes de signatura,
caracterizado porque incluye un procesador configurado para implementar:
- para cada paquete de una pluralidad de paquetes sucesivos transportados en dicho túnel de comunicación cifrado, un módulo de obtención (26) sin descifrado de metadatos asociados a dicho paquete,
- para al menos un protocolo de comunicaciones, un módulo de determinación (28, 34), a partir de dichos metadatos asociados a cada paquete y de características memorizadas (S(P)) de los paquetes de signatura que forman parte de la signatura de señalización de protocolo de dicho protocolo de comunicaciones, de al menos una secuencia de paquetes susceptible de formar una signatura de señalización de protocolo según dicho protocolo de comunicaciones,
- un módulo de estimación (36) de un parámetro representativo de un tiempo de transmisión a partir de al menos una secuencia de paquetes determinada.
ES19213257T 2018-12-03 2019-12-03 Procedimiento y dispositivo de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado Active ES2895160T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1872217A FR3089373B1 (fr) 2018-12-03 2018-12-03 Procédé et dispositif de mesure d’un paramètre représentatif d’un temps de transmission dans un tunnel de communication chiffré

Publications (1)

Publication Number Publication Date
ES2895160T3 true ES2895160T3 (es) 2022-02-17

Family

ID=66676618

Family Applications (1)

Application Number Title Priority Date Filing Date
ES19213257T Active ES2895160T3 (es) 2018-12-03 2019-12-03 Procedimiento y dispositivo de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado

Country Status (3)

Country Link
EP (1) EP3664377B1 (es)
ES (1) ES2895160T3 (es)
FR (1) FR3089373B1 (es)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2949934B1 (fr) * 2009-09-09 2011-10-28 Qosmos Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees
FR2965995B1 (fr) * 2010-10-12 2012-12-14 Thales Sa Procede et systeme pour etablir dynamiquement des tunnels chiffres sur des reseaux a bande contrainte
WO2014026050A1 (en) * 2012-08-08 2014-02-13 Hughes Network Systems, Llc System and method for providing improved quality of service over broadband networks

Also Published As

Publication number Publication date
EP3664377B1 (fr) 2021-07-21
FR3089373A1 (fr) 2020-06-05
FR3089373B1 (fr) 2020-11-27
EP3664377A1 (fr) 2020-06-10

Similar Documents

Publication Publication Date Title
US10355944B2 (en) Minimally invasive monitoring of path quality
CN107682370B (zh) 创建用于嵌入的第二层数据包协议标头的方法和系统
US10044841B2 (en) Methods and systems for creating protocol header for embedded layer two packets
CN105071987A (zh) 基于流量分析的加密网络路径质量分析方法
CN112448918B (zh) 报文传输方法及装置、计算机存储介质
CN107005470B (zh) 创建数据分组的子流的方法、装置、通信系统和存储装置
EP3861690B1 (en) Securing mpls network traffic
US9445384B2 (en) Mobile device to generate multiple maximum transfer units and data transfer method
CN108933763B (zh) 一种数据报文发送方法、网络设备、控制设备及网络系统
US20150195267A1 (en) Packet forwarding device, packet forwarding system, and packet forwarding method
EP2648383B1 (en) Method and device for data transmission
ES2536486T3 (es) Procedimiento y aparato para realizar acciones en paquetes en nodos intermedios en una conexión entre un dispositivo de comunicación y un dispositivo de destino en una red objetivo
WO2016165277A1 (zh) 一种实现IPsec分流的方法和装置
ES2895160T3 (es) Procedimiento y dispositivo de medida de un parámetro representativo de un tiempo de transmisión en un túnel de comunicación cifrado
US9667650B2 (en) Anti-replay checking with multiple sequence number spaces
Rao et al. An FPGA based reconfigurable IPSec ESP core suitable for IoT applications
CN105635076B (zh) 一种媒体传输方法和设备
US20110142058A1 (en) Bridge protocol for flow-specific messages
US10256992B2 (en) Tunnel encapsulation
JP4542053B2 (ja) パケット中継装置、パケット中継方法及びパケット中継プログラム
JP2018509832A (ja) 通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ及び方法
Herzberg et al. Stealth DoS Attacks on Secure Channels.
Gulzar et al. Implementation of ipsec on performance enhancing proxies for long distance wireless and satellite networks
Johanson et al. Relaying controller area network frames over wireless internetworks for automotive testing applications
Hopps RFC 9347 Aggregation and Fragmentation Mode for Encapsulating Security Payload (ESP) and Its Use for IP Traffic Flow Security (IP-TFS)