FR2782873A1 - Systeme et procede destines a faciliter des communications entre dispositifs connectes respectivement a des reseaux publics comme l'internet et des reseaux prives en facilitant une resolution d'adresses lisibles par des personnes - Google Patents

Systeme et procede destines a faciliter des communications entre dispositifs connectes respectivement a des reseaux publics comme l'internet et des reseaux prives en facilitant une resolution d'adresses lisibles par des personnes Download PDF

Info

Publication number
FR2782873A1
FR2782873A1 FR9906763A FR9906763A FR2782873A1 FR 2782873 A1 FR2782873 A1 FR 2782873A1 FR 9906763 A FR9906763 A FR 9906763A FR 9906763 A FR9906763 A FR 9906763A FR 2782873 A1 FR2782873 A1 FR 2782873A1
Authority
FR
France
Prior art keywords
address
network
external device
server
nominative
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9906763A
Other languages
English (en)
Other versions
FR2782873B1 (fr
Inventor
Joseph E Provino
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of FR2782873A1 publication Critical patent/FR2782873A1/fr
Application granted granted Critical
Publication of FR2782873B1 publication Critical patent/FR2782873B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2567NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2575NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

L'invention concerne un système comprenant un réseau privé virtuel (15) et un dispositif externe (12 (m) ) communiquant par un réseau numérique (14). Le réseau privé virtuel comporte un pare-feu (30), au moins un dispositif interne (31 (S) ) qui possède également une deuxième adresse et un serveur nominatif (32) qui réalise une association entre l'adresse secondaire et l'adresse de réseau. En réponse à une demande du dispositif externe d'établir une communication entre eux, le pare-feu (30) lui fournit l'adresse de réseau du serveur nominatif, et le dispositif externe (12 (m) ) engendre, en réponse à une demande qui demande un accès au dispositif interne ( (31 (S) ) ) et inclut l'adresse secondaire de celui-ci, un message de demande d'adresse de réseau destiné à être transmis au pare-feu (30) et demandant une résolution de l'adresse de réseau associée à l'adresse secondaire, le pare-feu (30) envoie la demande de résolution d'adresse au serveur nominatif (32) qui fournit l'adresse de réseau associée à l'adresse secondaire, et le pare-feu (30) fournit l'adresse de réseau pour transmission au dispositif externe (12 (m) ). L'invention concerne en outre un procédé et un produit programme informatique correspondants.

Description

1 2782873
La présente invention concerne de façon générale le domaine des systèmes et des procédés de communications numériques et plus particulièrement des systèmes et des procédés destinés à faciliter des communications entre dispositifs connectés à des réseaux publics comme Internet et des dispositifs connectés à des réseaux privés. Des réseaux numériques ont été développés pour faciliter le transfert d'informations, y compris des données et des programmes, entre des
systèmes informatiques numériques et d'autres dispositifs numériques.
Divers types de réseau ont été développés et mis en application, y compris ce que l'on appelle des réseaux longue distance ou WAN selon les initiales du terme anglo-saxon wide-area networks et des réseaux locaux ou LAN selon les initiales du terme anglo-saxon local area networks, qui transfèrent des informations en utilisant des méthodologies diverses de transfert d'information. Généralement, des réseaux locaux sont mis en oeuvre pour couvrir des zones géographiques relativement petites, par exemple à l'intérieur d'une installation individuelle de bureau ou similaire, afin de transférer des inférieurs à l'intérieur d'un bureau, d'une société ou d'un type semblable d'organisation, particuliers. En revanche, les réseaux longue distance sont généralement mis en oeuvre pour couvrir des zones géographiques relativement grandes, et peuvent être utilisées pour transférer des informations entre réseaux locaux ainsi qu'entre des dispositifs qui ne sont pas connectés à des réseaux locaux. Des réseaux longue distance incluent également des réseaux publics, comme l'Intemet, qui peuvent transporter des informations pour de nombreuses
sociétés.
Plusieurs problèmes sont apparus en connexion avec des communications sur un réseau, en particulier un grand réseau public longue distance comme l'Intemet. Généralement, les informations sont transférées sur un réseau en paquets de messages, qui sont transférés d'un dispositif, qui est le dispositif de source, vers un autre dispositif, qui est le dispositif de destination, par l'intermédiaire d'un ou plusieurs dispositifs d'acheminement ou noeuds de commutation, appelés de façon générale des noeuds de commutation, du réseau. Chaque paquet de message inclut une adresse de destination que les noeuds de commutation utilisent pour acheminer le paquet respectif de message vers
2 2782873
le dispositif de destination approprié. Des adresses sur l'Intemet sont en forme d'un entier à "n" bits, o n peut être égal à trente-deux ou à 128, dont une personne peut difficilement se souvenir et qu'elle peut difficilement entrer lorsqu'elle souhaite valider un paquet de messages à transmettre. Pour libérer un utilisateur de la nécessité de se souvenir d'adresses entières spécifiques d'Internet et de les entrer, l'Intemrnet fournit un deuxième mécanisme d'adresses qui est utilisé plus facilement par des opérateurs humains des dispositifs respectifs. Dans ce mécanisme d'adressage, des domaines d'Intemet comme de réseaux locaux, des fournisseurs de services d'Intemrnet ou "ISP" selon les initiales du terme anglo-saxon Intemrnet service providers, et similaires qui sont connectés à Intemrnet sont identifiés par des noms relativement lisibles par des personnes. Pour s'adapter à l'utilisation de noms lisibles par des personnes, des serveurs nominatifs, appelés également des serveurs de DNS, sont agencés pour résoudre les noms lisibles par des personnes aux adresses appropriées d'Internet. Lorsqu'un opérateur situé à un dispositif souhaite transmettre un paquet de message à un autre dispositif et entre le nom, lisible par une personne, de l'autre dispositif, le dispositif entre initialement en contact avec un serveur nominatif. Généralement, le serveur nominatif peut faire partie de l'ISP lui-même ou peut être un dispositif particulier qui est accessible par l'intermédiaire de l'ISP sur l'Intemrnet; dans tous les cas, I'ISP identifie au dispositif le serveur nominatif à utiliser lorsque le dispositif demande une connexion à l'ISP ou, en d'autres termes ouvre une session avec lui. Si le serveur nominatif possède ou peut obtenir, lorsque le dispositif a pris contact avec lui, une adresse Intemrnet entière pour le nom de domaine, lisible par des personnes, ce serveur nominatif fournit au dispositif de l'opérateur l'adresse Internet entière qui correspond au nom de domaine lisible par une personne. Le dispositif peut ensuite inclure lui-même dans le paquet de message l'adresse Intemrnet entière renvoyée par le serveur nominatif et envoyer le paquet de message à l'ISP pour transmission sur l'Internet d'une manière classique. Les noeuds de commutation d'Internet utilisent l'adresse Internet entière pour acheminer le paquet de message vers le
dispositif prévu de destination.
3 2782873
D'autres problèmes se posent, en particulier en connexion avec le transfert d'information sur un réseau public à longue distance comme l'Intemet. L'un des problèmes est d'assurer qu'une information, transférée par le réseau à longue distance, que le dispositif de source et le dispositif de destination souhaitent maintenir confidentielle reste confidentielle vis- à-vis d'écouteurs clandestins qui pourraient intercepter l'information. Pour maintenir une confidentialité, diverses formes de chiffrage ont été développées et sont utilisées pour chiffrer l'information avant son transfert par le dispositif de source, et pour déchiffrer l'information lorsqu'elle a été reçue par le dispositif de destination. S'il est par exemple souhaité que toute information transférée entre un dispositif de source particulier et un dispositif de destination particulier soit maintenue confidentielle, les dispositifs peuvent établir entre eux un "tunnel" sécurisé, ce qui assure essentiellement que toute information à transférer par le dispositif de source au dispositif de destination est chiffrée avant transfert, à l'exception d'une certaine information de protocole, par exemple une information d'adresse, qui commande le flux de paquets du réseau à travers le réseau entre les dispositifs de source et de destination, et que l'information chiffrée est déchiffrée avant son utilisation par le dispositif de destination. Les dispositifs de source et de destination peuvent effectuer eux-mêmes le chiffrage et le déchiffrage, respectivement, ou le chiffrage et le déchiffrage peuvent être exécutés par d'autres dispositifs avant que
les paquets de messages ne soient transférés sur l'Intemet.
Un autre problème qui se pose en particulier en connexion avec des sociétés, des agences gouvernementales et des organisations privées dont les réseaux privés, qui peuvent être des réseaux locaux, des réseaux à longue distance ou toute combinaison de ceux-ci sont connectés à des réseaux publics à longue distance comme l'Intemrnet, est d'assurer que leurs réseaux privés sont sécurisés vis-à-vis d'autres que les sociétés souhaitent empêcher d'accéder à ces dispositifs, ou de réguler et de commander l'accès par d'autres, pour lesquels les organisations respectives souhaitent limiter les possibilités d'accès. Pour s'adapter à ceci, les organisations connectent typiquement leurs réseaux privés aux réseaux publics à longue distance par l'intermédiaire d'un nombre limité de portes, parfois appelées des "pare-feu", par lesquelles passe toute la
circulation de réseau entre les réseaux internes et les réseaux publics.
Typiquement, des adresses de réseaux, de domaines et de dispositifs du réseau privé situé "derrière" le pare-feu, sont connues de serveurs nominatifs qui sont agencés dans le réseau privé, mais ne sont pas disponibles à des serveurs nominatifs ou autres dispositifs extérieurs au réseau privé, ce qui rend difficile une communication entre un dispositif disposé à l'extérieur du réseau privé et un dispositif disposé à l'intérieur
du réseau privé.
De façon générale, l'invention fournit un système et un procédé nouveaux et perfectionnés, pour faciliter les communications entres des dispositifs connectés à des réseaux publics comme l'Intemet et des dispositifs connectés à des réseaux privés en facilitant une résolution d'adresses secondaires, comme les adresses d'Intemet lisibles par une personne, à des adresses de réseau, par des serveurs nominatifs ou
similaires, connectés au réseau privé.
L'invention réalise selon un premier aspect, un système comprenant un réseau privé virtuel et un dispositif externe qui communiquent par l'intermédiaire d'un réseau numérique, dans lequel le réseau privé virtuel comporte un pare-feu, au moins un dispositif interne et un serveur nominatif pourvus chacun d'une adresse de réseau, le dispositif interne possède également une deuxième adresse, le serveur nominatif est configuré pour réaliser une association entre l'adresse secondaire et l'adresse de réseau, caractérisé en ce que le pare-feu est configuré, en réponse à une demande du dispositif externe d'établir une communication entre eux, de manière à fournir au dispositif externe l'adresse de réseau du serveur nominatif, et le dispositif externe est configuré pour engendrer, en réponse à une demande qui demande un accès au dispositif interne et inclut l'adresse secondaire du dispositif interne, un message de demande d'adresse de réseau destiné à être transmis par la connexion au pare-feu et demandant une résolution de l'adresse de réseau associée à l'adresse secondaire, le pare-feu est configuré pour envoyer au serveur nominatif la demande de résolution d'adresse, le serveur nominatif est configuré pour fournir l'adresse de réseau associée à l'adresse secondaire, et le pare-feu est lui-même configuré pour fournir l'adresse de réseau dans un message de réponse d'adresse de réseau pour transmission au dispositif externe par l'intermédiaire de la connexion. Le dispositif externe peut être configuré en outre pour utiliser l'adresse de réseau fournie dans le message de réponse d'adresse de réseau en engendrant au moins un message pour transmission au
dispositif interne.
Le dispositif externe peut être configuré pour se connecter au réseau par l'intermédiaire d'un fournisseur de services de réseau, et on peut alors prévoir en particulier que le dispositif externe est configuré pour établir une session de communications avec le fournisseur de services de réseau, le fournisseur de services de réseau fournit au dispositif externe l'identification d'un serveur nominatif additionnel, et le serveur nominatif additionnel est configuré pour réaliser une association entre une adresse secondaire et une adresse de réseau pour
au moins un dispositif.
Le dispositif externe peut être configuré pour maintenir une liste de serveurs nominatifs qui ont été identifiés audit dispositif extemrne, le dispositif externe étant configuré pour interroger des serveurs successifs de la liste des serveurs nominatifs, en réponse à une demande qui demande un accès à un autre dispositif et qui indut une adresse secondaire pour ledit autre dispositif, jusqu'à ce que ledit dispositif externe reçoive une adresse de réseau, le dispositif externe étant configuré de manière à engendrer dans chaque interrogation un message de demande d'adresse de réseau pour transmission par le réseau pour réponse de l'un desdits serveurs nominatifs de ladite liste et de manière à en recevoir un message de
réponse d'adresse de réseau.
La connexion entre le dispositif externe et le pare-feu peut être un tunnel sécurisé dans lequel au moins une certaine partie de messages
transférés entre le dispositif externe et le pare-feu est chiffrée.
Selon un deuxième aspect, I'invention fournit un procédé de mise en oeuvre d'un système comprenant un réseau privé virtuel et un dispositif externe qui communiquent par l'intermédiaire d'un réseau numérique, dans lequel le réseau privé virtuel comporte un pare-feu, au moins un dispositif interne et un serveur nominatif pourvus chacun d'une adresse de réseau, le dispositif interne possède également une deuxième adresse, le serveur nominatif peut réaliser une association entre l'adresse secondaire et l'adresse de réseau, caractérisé en qu'il comprend les étapes consistant à (A) permettre au pare-feu de fournir ou, en d'autres termes, le valider pour qu'il fournisse au dispositif externe l'adresse de réseau du serveur nominatif, en réponse à une demande du dispositif externe d'établir une communication entre eux, et (B) permettre (i) au dispositif externe d'engendrer, en réponse à une demande qui demande un accès au dispositif interne et inclut l'adresse secondaire du dispositif interne, un message de demande d'adresse de réseau destiné à être transmis par la connexion au pare-feu et demandant une résolution de l'adresse de réseau associée à l'adresse secondaire, (ii) au pare-feu d'envoyer au serveur nominatif la demande de résolution d'adresse, (iii) au serveur nominatif de fournir l'adresse de réseau associée à l'adresse secondaire, et (iv) au pare-feu de fournir l'adresse de réseau dans un message de réponse d'adresse de réseau pour transmission au dispositif externe par
l'intermédiaire de la connexion.
Le dispositif externe peut en outre, selon une modalité avantageuse, utiliser l'adresse de réseau fournie dans le message de réponse d'adresse de réseau pour engendrer au moins un message pour transmission au
dispositif interne.
Le dispositif externe peut de préférence se connecter au réseau par l'intermédiaire d'un fournisseur de services de réseau, et on peut alors prévoir en particulier que le dispositif externe peut établir une session de communications avec le fournisseur de services de réseau, le fournisseur de services de réseau peut fournir au dispositif externe l'identification d'un serveur nominatif additionnel, et le serveur nominatif additionnel peut réaliser une association entre une adresse secondaire et une adresse de réseau pour au moins un dispositif. Le dispositif externe peut selon une autre modalité maintenir une liste de serveurs nominatifs qui ont été identifiés audit dispositif extemrne, le dispositif externe pouvant interroger des serveurs successifs de la liste des serveurs nominatifs, en réponse à une demande qui demande un accès à un autre dispositif et qui inclut une adresse secondaire pour ledit autre dispositif, jusqu'à ce que ledit dispositif externe reçoive une adresse de réseau, le dispositif externe pouvant engendrer dans chaque interrogation un message de demande d'adresse de réseau pour transmission par le réseau pour réponse de l'un desdits serveurs nominatifs de ladite liste et
pouvant en recevoir un message de réponse d'adresse de réseau.
Selon ce deuxième aspect aussi, la connexion entre le dispositif externe et le pare-feu peut être un tunnel sécurisé dans lequel au moins une certaine partie de messages transférés entre le dispositif externe et le
pare-feu est chiffrée.
Selon un troisième aspect, I'invention réalise un produit programme informatique à utiliser en connexion avec un réseau privé virtuel et un dispositif externe interconnectés par un réseau numérique, tels que le réseau privé virtuel comporte un pare-feu, au moins un dispositif interne et un serveur nominatif pourvus chacun d'une adresse de réseau, le dispositif interne possède également une deuxième adresse, le serveur nominatif peut réaliser une association entre l'adresse secondaire et l'adresse de réseau, caractérisé en ce que le produit programme informatique comprend un support lisible par machine sur lequel sont codés: A. un module de code d'identification de serveur nominatif configuré pour permettre au pare-feu de fournir au dispositif externe l'adresse de
8 2782873
réseau du serveur nominatif, en réponse à une demande du dispositif externe d'établir une communication entre eux, B. un module de code de génération de message de demande d'adresse de réseau pour permettre au dispositif externe d'engendrer, en réponse à une demande qui demande un accès au dispositif interne et inclut l'adresse secondaire du dispositif intemrne, un message de demande d'adresse de réseau destiné à être transmis par la connexion au pare-feu et demandant une résolution de l'adresse de réseau associée à l'adresse secondaire, (C) un module d'envoi de demande de résolution d'adresse pour permettre au pare- feu d'envoyer au serveur nominatif la demande de résolution d'adresse, (D) un module de commande de serveur nominatif pour permettre au serveur nominatif de fournir l'adresse de réseau associée à l'adresse secondaire, et (E) un module d'envoi de message de réponse d'adresse de réseau pour permettre au pare-feu de fournir l'adresse de réseau dans un message de réponse d'adresse de réseau pour transmission au dispositif
externe par l'intermédiaire de la connexion.
Le produit programme informatique peut comprendre en outre un module d'utilisation d'adresses de réseau configuré pour permettre au dispositif externe d'utiliser l'adresse de réseau fournie dans le message de réponse d'adresse de réseau en engendrant au moins un
message pour transmission au dispositif interne.
Le produit programme informatique peut comprendre en outre un module de commande de fournisseur de services de réseau pour permettre au dispositif externe de se connecter au réseau par l'intermédiaire d'un fournisseur de services de réseau et on peut alors
prévoir en particulier que.
ce module de commande inclut un module d'établissement de session de communications avec le fournisseur de services de réseau, pour permettre au dispositif externe d'établir une session de communications avec le fournisseur de services de réseau, et d'en recevoir une identification d'un serveur nominatif
additionnel.
Le produit programme informatique peut inclure en outre un module de commande d'interrogation de serveurs nominatifs pour permettre au dispositif externe de maintenir une liste de serveurs nominatifs qui ont été identifiés audit dispositif extemrne, et d'interroger des serveurs successifs de la liste des serveurs nominatifs, en réponse à une demande qui demande un accès à un autre dispositif et qui inclut une adresse secondaire pour ledit autre dispositif, jusqu'à ce que ledit dispositif externe reçoive une adresse de réseau, et d'engendrer dans chaque interrogation un message de demande d'adresse de réseau pour transmission par le réseau pour réponse de l'un desdits serveurs nominatifs de ladite liste et d'en recevoir un message de
réponse d'adresse de réseau.
Dans le cas de ce produit programme informatique également, la connexion entre le dispositif externe et le pare-feu peut être un tunnel sécurisé dans lequel au moins une certaine partie de messages transférés
entre le dispositif externe et le pare-feu est chiffrée.
Les buts, particularités et avantages de la présente invention exposés ci-dessus ainsi que d'autres ressortiront davantage de la
description qui suit d'un mode de réalisation préféré de l'invention, en
conjonction avec le dessin annexé dans lequel: la Figure i est un schéma fonctionnel d'un réseau 10 de structure
conforme à l'invention.
La Figure 1 est un schéma fonctionnel d'un réseau 10 conforme à l'invention. Le réseau 10 représenté à la Fig. i inclut un fournisseur 11 de services d'Intemrnet, ou "ISP" qui facilite le transfert, sur l'Intemrnet 14, de paquets de messages entre un ou plusieurs dispositifs 12(1) à 12(M) désignés généralement par la référence numérique 12(m) connectés à l'ISP 11 et d'autres dispositifs, désignés généralement par la référence numérique 13, afin de faciliter ainsi le transfert de l'information en paquets de messages entre les dispositifs 12(m) et 13. L'ISP 11 se connecte à l'Internet 14 par l'intermédiaire d'une ou plusieurs connexions ou portes logiques ou similaires, généralement appelées dans ce qui suit
des "connexions", désignées généralement par la référence numérique 41.
L'ISP 11 peut être un ISP public, auquel cas il se connecte à des dispositifs 12(m) qui peuvent être commandés par des opérateurs qui sont des membres du grand public afin de fournir à ces opérateurs un accès à l'Internet. En variante, I'ISP 11 peut être un ISP pnrivé, auquel cas les dispositifs 12(m) qui y sont connectés sont généralement mis en oeuvre par exemple, par des employés d'une société ou d'une agence gouvernementale particulière, des membres d'une organisation privée ou similaires, afin de fournir à ces employés ou membres un accès à l'Intemet. De façon classique, l'Intemet comprend un réseau de noeuds de communication, qui ne sont pas représentés séparément, qui interconnectent des ISP 11 et des dispositifs 13 afin de faciliter le transfert de paquets de messages entre eux. Les paquets de messages transférés sur l'Intemet 14 sont conformes à ce qui est défini par le protocole dit protocole d'Intemet ou "IP" selon les initiales de Intemet Protocol, et incluent une partie d'en-tête et une partie de données, et peuvent inclure une partie de détection et/ou de correction d'erreurs. La partie d'en-tête inclut une information qui est utilisée pour transférer sur l'Intemet le paquet de messages et comprend par exemple une adresse de destination qui identifie comme dispositif de destination le dispositif qui doit recevoir le paquet de messages et une adresse de source qui identifie le dispositif qui a engendré le paquet de message. Pour chaque paquet de message, les adresses de destination et de source sont chacune sous forme d'un entier qui identifie spécialement les dispositifs respectifs de destination et de source. Les noeuds de commutation qui sont compris dans l'Internet 14 utilisent au moins l'adresse de destination de chaque paquet respectif de message pour acheminer ce paquet respectif de message vers le dispositif de destination si le dispositif de destination est connecté à l'Internet ou vers un ISP 11 ou un autre dispositif connecté à l'Internet 14, qui enverra lui-même le paquet de message à la destination appropriée. La partie de données de chaque paquet de message inclut les données à transférer dans le paquet de message, et la partie de détection et/ou de correction d'erreurs contient une information de détection et/ou de correction d'erreurs qui peut être utilisée pour vérifier, dans le cas d'une information de détection d'erreur, que le paquet de message a été transféré correctement du dispositif de source au dispositif de destination et pour 1i 1 2782873 corriger, dans le cas d'une information de correction d'erreur, des types sélectionnés d'erreurs si le paquet de message n'a pas été transféré correctement. Les dispositifs 12(m) connectés à l'ISP 11 peuvent comprendre un dispositif quelconque parmi de nombreux types de dispositifs, par exemple des ordinateurs personnels, des stations de travail informatiques ou similaires, qui communiquent sur l'Intemet 14 avec l'autre dispositif 13. Chaque dispositif 12(m) communique avec l'ISP 11 afin d'y transférer des paquets de messages pour transfert sur l'Intemet 14, ou pour en recevoir des paquets de messages reçus par l'ISP 11 sur l'Intemet 14, en utilisant un protocole approprié quelconque, par exemple le protocole bien connu de point à point, ou "PPP" selon les initiales du terme anglo-saxon point-to-point protocol, si le dispositif 12(m) est connecté à l'ISP 11 en utilisant une liaison de point à point, un protocole quelconque classique de réseau dite multi-drop selon le terme anglo-saxon, c'est à dire à points multiples, si le dispositif 12(m) est connecté à l'ISP 11 par l'intermédiaire d'un réseau à points multiples comme l'Ethernet, ou similaire. Les dispositifs 12(m) sont généralement d'une structure conforme à l'architecture classique d'ordinateur à programme mémorisé, qui inclut par exemple une unité de système, une unité d'affichage vidéo et des dispositifs d'entrée d'opérateur comme un clavier et une souris. Une unité de système inclut généralement des dispositifs de traitement, de mémoire, de mémoire de masse comme des disques et/ou des éléments de mémoire sur bandes et d'autres éléments non représentés séparément, y compris des dispositifs d'interface de réseaux et/ou de téléphonie pour constituer des interfaces entre les dispositifs respectifs et l'ISP 11. Les dispositifs de traitement traitent des programmes, y compris des programmes d'application, sous commande d'un système d'exploitation, pour engendrer des données traitées. L'unité d'affichage vidéo permet au dispositif d'afficher, à l'utilisateur, des données traitées et un état de traitement, et les dispositifs d'entrée d'opérateur permettent à l'utilisateur
d'entrer des données et de commander un traitement.
Ces éléments du dispositif 12(m) ainsi que la programmation appropriée, coopèrent pour doter le dispositif 12(m) d'un certain nombre d'éléments fonctionnels qui comprennent, par exemple, une interface 20
12 2782873
d'opérateur, une interface 21 de réseau, un générateur 22 de paquets de messages, un récepteur et processeur 23 de paquets de messages, un dispositif de commande 24 d'ouverture de session d'ISP, une mémoire 25 de paramètres d'Intemrnet et, en connexion avec l'invention, un processeur sécurisé 26 de paquets de messages. L'interface 20 d'opérateur facilite aux dispositifs 12(m) la réception d'information d'entrée provenant du ou des dispositifs d'entrée d'opérateur du dispositif 12(m) et l'affichage, à l'opérateur, de l'information de sortie sur le ou les dispositifs d'affichage vidéo du dispositif 12(m). L'interface 21 de réseau facilite une connexion du dispositif 12(m) à l'ISP 11 en utilisant le PPP ou un protocole de réseau approprié, afin de transmettre des paquets de messages à l'ISP 11 et d'en recevoir des paquets de messages. L'interface 21 de réseau peut faciliter une connexion à l'ISP 11 par l'intermédiaire du réseau téléphonique public afin de permettre un travail du dispositif 12(m) en réseau par appel par l'intermédiaire du système téléphonique public. En variante, ou en plus, l'interface 21 de réseau peut faciliter une connexion par l'intermédiaire de l'ISP 11, par exemple par un réseau local classique comme l'Ethemet. En réponse à une entrée fournie par l'interface d'opérateur et/ou en réponse à des demandes provenant de programmes non représentés en cours de traitement par le dispositif 12(m), le dispositif de commande 24 d'ouverture de session d'ISP communique par l'intermédiaire de l'interface 21 de réseau afin de faciliter le lancement, ou "ouverture de session ", d'une session de communications entre les dispositifs 12(m) et l'ISP 11, session de communications pendant laquelle le dispositif 12(m) peut transférer des informations sous forme de paquets de messages sur l'Internet 14, avec d'autres dispositifs ainsi qu'avec d'autres dispositifs 12(m'), o m'_ m, connectés à l'ISP 11 ou à d'autres ISP. Pendant une opération d'ouverture de session, le dispositif de commande 24 d'ouverture de session d'ISP reçoit les paramètres de protocole d'Internet, ou "d'IP", qui seront utilisés en connexion avec une génération de paquets
de messages pendant la session de communications.
En réponse à une entrée fournie par l'opérateur par l'intermédiaire de l'interface 20 d'opérateur et/ou en réponse à des demandes provenant de programmes non représentés séparément qui sont traités par le dispositif 12(m), le générateur 22 de paquets de messages engendre,
13 2782873
pendant une session de communications, des paquets de messages pour transmission par l'intermédiaire de l'interface 21 de réseau. L'interface 21 de réseau reçoit aussi des paquets de messages de l'ISP 11 et lesenvoie au récepteur et processeur 23 de paquets de messages pour traitement et envoi à l'interface 20 d'opérateur et/ou à d'autres programmes non représentés qui sont en cours de traitement par le dispositif 12(m). Si les paquets de messages réels reçus contiennent des informations, par exemple des pages de web ou similaires, qui doivent être affichées à l'opérateur, l'information peut être amenée à l'interface 20 d'opérateur afin de permettre à l'information d'être affichée sur l'unité d'affichage vidéo du dispositif. En plus, ou en substitution, l'information peut être envoyée pour traitement à d'autres programmes non représentés en cours
de traitement par le dispositif 12(m).
Généralement, des éléments tels que l'interface 20 d'opérateur, le générateur 22 de paquets de messages, le récepteur et processeur 23 de paquets de messages, le dispositif de commande 24 d'ouverture de session d'ISP et la mémoire 25 de paramètres d'Intemet peuvent comprendre des éléments d'un programme classique de lecture ou, en d'autres termes, de survol d'Internet, par exemple le Mosaic, le Netscape
Navigator et le Microsoft Internet Explorer.
En connexion avec l'invention, le dispositif 12(m) inclut également comme noté ci-dessus un processeur sécurisé 26 de paquets de messages. Le processeur sécurisé 26 de paquets de messages facilite
l'établissement et l'utilisation d'un "tunnel sécurisé" qui sera décrit ci-
dessous entre le dispositif 12(m) et un autre dispositif 12(m') ou 13, o m' _ m. Généralement, dans un tunnel sécurisé, une information contenue dans au moins la partie de données de paquets de messages transférés entre le dispositif 12(m) et un autre dispositif spécifique 12(m'), o m' est différent de m, ou 13 est maintenue secrète, par exemple en chiffrant la partie de données avant transmission par le dispositif de source. Une information contenue dans d'autres parties de tels paquets de messages peut aussi être maintenue secrète, sauf pour l'information qui est nécessaire pour faciliter le transfert du paquet de message respectif entre les dispositifs, qui comprend par exemple au moins l'information de destination, afin de permettre aux noeuds de commutation de I'Internet et
aux ISP d'identifier le dispositif qui doit recevoir le paquet de message.
En plus de l'ISP 11, un certain nombre d'autres ISP peuvent être connectés à l'Intemrnet, comme représenté par des flèches 16, pour faciliter les communications sur l'Intemet entre les dispositifs qui sont connectés à ces autres ISP avec d'autres dispositifs, qui peuvent inclure les dispositifs
12(n) connectés à l'ISP 11.
Les dispositifs 13 auxquels accèdent les dispositifs 12(m) et avec lesquels ils communiquent peuvent aussi être des dispositifs d'un type quelconque de nombreux dispositifs, y compris des ordinateurs personnels, des stations de travail informatiques et similaires, et y compris aussi de mini-ordinateurs et de très grands ordinateurs, des systèmes de mémoire de masse, des serveurs informatiques, des réseaux locaux ou "LAN" et des réseaux longue distance ou "WAN", y compris des dispositifs de ces types et de nombreux autres qui peuvent être connectés directement ou indirectement aux réseaux. En connexion avec l'invention, au moins l'un des dispositifs inclut au moins un réseau privé, appelé le
réseau privé virtuel 15, qui peut prendre la forme d'un LAN ou d'un WAN.
Le réseau privé virtuel 15 peut comprendre l'un quelconque des dispositifs 12(m'), o m'_ m, qui sont ainsi connectés à l'Intemrnet 14 par l'intermédiaire d'un ISP, ou qui sont ainsi connectés directement à l'Intemrnet 14; dans le mode de réalisation décrit ici à titre d'illustration, le réseau privé virtuel 15 sera supposé comprendre un dispositif 13. Le réseau privé virtuel 15 inclut lui-même une série de dispositifs, constitués ici par un pare-feu 30, une série de serveurs 31(1) à 31(S), désignés généralement par la référence numérique 31(s), et un serveur nominatif 32 qui sont tous interconnectés par une liaison de communication 33. Le pare-feu et les serveurs 31(s) peuvent être semblables à l'un quelconque des divers types de dispositifs 12(m) et 13 décrits ici et peuvent donc inclure, par exemple, des ordinateurs personnels, des stations de travail informatiques, et similaires, y compris également des mini-ordinateurs et de très grands ordinateurs, des systèmes de mémoire de masse, des serveurs informatiques, des réseaux locaux ou "LAN" et des réseaux longue distance ou "WAN", qui comprennent des dispositifs de ces types
; 2782873
et de nombreux autres types de dispositifs qui peuvent être connectés
directement ou indirectement aux réseaux.
Comme noté précédemment, les dispositifs, y compris les dispositifs 12(m) et les dispositifs 13, communiquent sur l'Intemet en transférant des paquets de messages. Les dispositifs 12(m) et 13 peuvent transférer
des informations selon une méthode "de pair à pair", une méthode "client-
serveur" ou selon l'une et de l'autre méthodes. Généralement, dans un transfert de paquets de messages de "pair à pair", un dispositif transfère simplement à un autre dispositif une information contenue dans un ou
plusieurs paquets de messages. En revanche, selon la méthode "client-
serveur", un dispositif qui intervient comme client peut transférer à un autre dispositif intervenant comme serveur un paquet de message pour lancer par exemple un service par l'autre dispositif. Un certain nombre de types de tels services seront compris par l'homme de l'art, y compris par exemple la restitution d'information à partir de l'autre dispositif, pour permettre à l'autre dispositif d'effectuer des opérations de traitement et similaires. Si le serveur doit fournir au client des informations, le serveur peut généralement être appelé un serveur à mémoire. En revanche, si le serveur doit effectuer des opérations de traitement à la demande du
client, le serveur peut généralement être appelé un serveur de calcul.
D'autres types de serveurs, destinés à exécuter d'autres types de services et d'opérations à la demande de clients, sont bien connus de l'homme de l'art. Dans un agencement client/serveur, un dispositif 12(m) qui demande, par exemple, un service au dispositif 13 engendre, pour transfert au dispositif 13, un ou plusieurs paquets de messages de demande qui demandent le service nécessaire. Le paquet de message de demande inclut l'adresse Intemet du dispositif 13, c'est-à-dire du dispositif de destination, pour qu'il reçoive le paquet de message et exécute le service. Le dispositif 12(m) transfère à l'ISP 11 le ou les paquets de messages de demande. L'ISP 11 transfère lui-même sur l'Intemrnet le paquet de message au dispositif 13. Si le dispositif 13 consiste en un WAN ou un LAN, le WAN ou le LAN reçoit le ou les paquets de messages et le ou les dirige vers un dispositif spécifique qui y est connecté et qui doit
fournir le service demandé.
16 2782873
Dans tous les cas, lorsque le dispositif 13 qui doit fournir le service demandé a reçu le ou les paquets de messages de demande, il traite la demande. Si le dispositif 12(m) qui a engendré le ou les paquets de messages, ou son opérateur, possède les permissions nécessaires pour demander le service au dispositif 13 qui a engendré le paquet de message de demande et si le service demandé doit lancer le transfert d'information du dispositif 13 intervenant comme serveur mémoire au d'identification 12(m) intervenant en tant que client, le dispositif 13 engendre un ou plusieurs paquets de messages de réponse qui incluent l'information
demandée et il transmet le ou les paquets sur l'Intemet 14 à l'ISP 11.
L'ISP 11 transfère lui-même le ou les paquets de messages au dispositif 12(m). En revanche, si le service demandé doit lancer un traitement par le dispositif 13 intervenant comme serveur de calcul, le dispositif 13 exécute le ou les services de calcul demandés. De plus, si le dispositif 13 doit renvoyer au dispositif 12(m), intervenant comme client, des données traitées engendrées pendant les calculs, le dispositif 13 engendre un ou plusieurs paquets de messages de réponse qui incluent les données traitées et transmet le ou les paquets à l'ISP 11 sur l'Intemet 14. L'ISP 11
transfère lui-même le ou les paquets de messages au dispositif 12(m).
Des opérations correspondantes peuvent être effectuées par les dispositifs 12(m) et 13, l'ISP 11 et I'Intemet 14, en connexion avec d'autres types de
services qui peuvent être fournis par les dispositifs serveurs 13.
Comme noté précédemment, chaque paquet de message qui est engendré par des dispositifs 12(m) et 13 pour transmission sur l'Intemet 14 inclut une adresse de destination que les noeuds de communications utilisent pour acheminer le paquet de message respectif vers le dispositif de destination approprié. Des adresses d'Internet prennent la forme d'un entier à "n" bits, o "n" est actuellement égal à trente-deux ou 128. Pour éviter en particulier à un opérateur d'un dispositif 12(m) de devoir se rappeler des adresses entières spécifiques d'Internet et de devoir les fournir au dispositif 12(m) pour lancer une génération d'un paquet de message pour transmission sur Internet, l'Internet fournit un deuxième mécanisme d'adressage qui est utilisé plus facilement par des opérateurs personnels des dispositifs respectifs. Dans ce mécanisme d'adressage, des domaines d'Internet comme des LAN, des fournisseurs de services
17 2782873
d'Internet ou "ISP" et similaires qui sont connectés à l'Intemet sont identifiés par des noms relativement lisibles par des personnes. Pour s'adapter à des noms de domaines lisibles par des personnes, l'ISP 11 est associé à un serveur nominatif 17 qui peut également être appelé un serveur de DNS et qui peut résoudre les noms du domaine lisible par une personne afin de fournir l'adresse appropriée d'Intemet pour la
destination identifiée dans le nom respectif lisible par une personne.
Généralement, le serveur nominatif peut faire partie de l'ISP 11 ou lui y être connecté directement, comme représenté à la Figure 1, ou peut être un dispositif particulier qui est accessible sur l'Intemet par l'intermédiaire de l'ISP. Dans tous les cas, comme noté ci-dessus, lorsque le dispositif 12(m) demande une connexion à l'ISP 11 pendant une session de communications, l'ISP 11 assigne divers paramètres de protocole d'Internet ou paramètres de "IP" selon les initiales de Internet protocol, que le dispositif 12(m) doit utiliser pendant la session de communications
et qui seront mémorisés dans la mémoire 25 de paramètres d'Internet.
Ces paramètres de protocole d'Internet incluent des informations telles que: (a) une adresse Internet pour le dispositif 12(m) qui identifie le dispositif pendant la session de communications, et (b) l'identification d'un serveur nominatif 17 que le dispositif 12(m)
doit utiliser pendant la session de communications.
Lorsque le dispositif 12(m) engendre des paquets de données à
transférer, il inclut comme adresse de source son adresse Intemrnet, c'est-
à-dire l'élément (a) ci-dessus. Le dispositif ou les dispositifs 13 qui reçoivent les paquets de messages respectifs peut ou peuvent utiliser l'adresse de source, provenant de paquets de messages reçus du dispositif 12(m), dans des paquets de messages que ce ou ces dispositifs 13 engendrent pour transmission au dispositif 12(m) afin de permettre ainsi à l'Internet d'acheminer vers le dispositif 12(m) les paquets de messages engendrés par le dispositif respectif 13. Si le dispositif 12(m) doit accéder sur l'Internet 14 au serveur nominatif 17, l'identification du serveur nominatif fournie par l'ISP 11, c'est-à-dire l'élément (b) ci-dessus, prend la forme d'une adresse Internet entière qui permettra au dispositif 12(m) d'engendrer des messages qui sont destinés au serveur nominatif
18 2782873
17 et demandent une résolution d'adresses Internet lisibles par des personnes en adresses Internet entières. L'ISP 11 peut également assigner d'autres paramètres d'IP au dispositif 12(m) lorsqu'il demande une connexion à l'ISP 11, y compris par exemple l'identification d'une connexion à I'Internet 14 qui doit être utilisée pour des messages transmis par les dispositifs 12(m), en particulier si l'ISP 11 comporte de multiples portes. Généralement, les dispositifs 12(m) mémorisent les paramètres d'Internet dans la mémoire 25 de paramètres d'Intemet pour les utiliser
pendant la session de communications.
Lorsqu'un dispositif d'exploitation 12(m) d'opérateur souhaite permettre au dispositif 12(m) de transmettre un paquet de message au dispositif 13, cet opérateur envoie l'adresse Intemet du dispositif 13 au dispositif 12(m), par l'intermédiaire de l'interface 20 d'opérateur, et envoie une information, ou l'identification d'information maintenue par le dispositif 12(m), qui doit être transmise dans le message. L'interface 20 d'opérateur permet elle-même ensuite au générateur 22 de paquets d'engendrer les paquets nécessaires pour transmission sur l'Internet 14 par l'intermédiaire de l'ISP 11. Si (i) l'opérateur a fourni l'adresse Internet entière, ou (ii) l'opérateur a fourni l'adresse Intemet lisible par une personne, mais le générateur 22 de paquets possède déjà l'adresse Intemet entière qui correspond à l'adresse Intemrnet lisible par une personne fournie par Il'opérateur, le générateur 22 de paquets peut engendrer directement les paquets lorsqu'il est validé par l'interface 20 d'opérateur et les envoyer à l'interface
21 de réseau pour transmission à l'ISP 11.
En revanche, si l'opérateur a fourni l'adresse Intemet, lisible par un opérateur, du dispositif 13 auquel les paquets doivent être transférés, et si le générateur 22 de paquets ne possède pas déjà l'adresse entière correspondante d'Internet, le générateur 22 de paquets valide l'adresse de réseau à obtenir du serveur nominatif 17, identifié dans la mémoire 25 de paramètres d'IP. Dans cette opération, le générateur 22 de paquets prend initialement contact avec le serveur nominatif 17 pour tenter
d'obtenir du serveur nominatif 17 l'adresse entière appropriée d'Internet.
Dans ces opérations, le dispositif 12(m) engendre des paquets de
19 2782873
messages appropriés pour transmission au serveur nominatif 17, en utilisant l'adresse Internet entière du serveur nominatif fournie par l'ISP 11 lorsque ce dispositif 12(m) demande une connexion au début de la session de communications. Dans tous les cas, si le serveur nominatif 17 possède l'adresse Internet entière pour le nom lisible par une personne ou peut l'obtenir, ce serveur nominatif 17 envoie au dispositif 12(m) l'adresse Intemet entière. L'adresse Intemet entière est reçue par le générateur 22 de paquets par l'intermédiaire de l'interface 21 de réseau et du récepteur et processeur 23 de paquets. Lorsque le générateur 22 de paquets a reçu l'adresse Internet entière, il peut engendrer les paquets de messages nécessaires pour transmission au dispositif 13 par l'intermédiaire de
l'interface 21 de réseau et de l'ISP 11.
Comme noté précédemment, l'un des dispositifs 13 connectés à l'Internet 14 est un réseau privé virtuel 15, le réseau privé virtuel 15 incluant un pare-feu, une série de dispositifs identifiés comme serveurs 31(s), et un serveur nominatif 32 interconnectés par une liaison de communication 33. En tant que dispositifs connectés dans un ILAN ou dans un WAN, les serveurs 31(s), le pare-feu 30 et le serveur nominatif 32 peuvent transférer entre eux une information sous forme de message de paquet. Puisque le pare-feu 30 est connecté à l'Internet 14 et peut recevoir des paquets de messages sur l'Intemet, il possède une adresse Intemrnet. De plus, au moins les serveurs 31(s) auxquels un accès par l'intermédiaire de l'Internet est possible possèdent aussi des adresses respectives d'Internet, et le serveur nominatif 32 sert dans ce cadre à résoudre des adresses d'Internet lisibles par une personne à des adresses entières respectives d'Internet, pour des serveurs 31(s) internes au
réseau privé virtuel 15.
Généralement, le réseau privé virtuel 15 est maintenu par une société, une agence gouvemrnementale, une organisation similaire, qui souhaite permettre aux serveurs 31(s) d'accéder à d'autres dispositifs extérieurs au réseau privé virtuel 15 et de leur transmettre une information sur l'Internet 14, mais qui souhaite aussi limiter de manière commandée, des accès, sur l'Internet 14, aux serveurs 31(s) par des dispositifs 12(m) et par d'autres dispositifs. Le pare-feu 30 sert à commander l'accès de dispositifs externes au réseau privé virtuel 15 à des
2782873
2O serveurs 31(s) à l'intérieur du réseau privé virtuel 15. Dans cette opération, le pare-feu 30 se connecte aussi à l'Internet 14, et en reçoit des paquets de messages à transférer à un serveur 31(s). Si le paquet de message indique que la source du paquet de message demande un accès au serveur particulier 31(s), et si la source est autorisée à accéder au serveur 31(s), le pare-feu 30 envoie le paquet de message au serveur 31(s) par l'intermédiaire de la liaison de communication 33. En revanche, si la source n'est pas autorisée à accéder au serveur 31(s), le pare-feu 30 n'envoie pas le paquet de message au serveur 31(s) et peut en substitution transmettre au dispositif de source un paquet de message de réponse qui indique que la source n'était pas autorisée à accérder au serveur 31(s). Le pare-feu peut être semblable à d'autres dispositifs 31(s) du réseau privé virtuel 15, en comprenant en plus une ou plusieurs connexions à Internet qui sont généralement identifiées par la référence
numérique 43.
Des communications entre des dispositifs externes au réseau privé virtuel 15, comme le dispositif 12(m), et un dispositif comme le serveur 31(s) interne au réseau privé virtuel 15 peuvent être maintenues, comme décrit ci-dessus, par l'intermédiaire d'un tunnel sécurisé entre le pare- feu 30 et le dispositif externe afin de maintenir secrète l'information transférée entre eux, tandis qu'elle est transférée sur l'Intemrnet 14 et par l'intermédiaire de l'ISP 11. Un tunnel sécurisé entre le dispositif 12(m) et le réseau privé virtuel 15 est représenté à la Figure 1 par des connexions logiques désignées par les références numériques 40, 42 et 44; on comprend que la connexion logique 42 comprend l'une des connexions logiques 41 entre l'ISP 11 et l'Intemet 14 et que la connexion logique 44
comprend l'une des connexions logiques 43 entre l'Intemet 14 et le pare-
feu 30.
L'établissement d'un tunnel sécurisé peut être lancé par le dispositif 12(m) externe au réseau privé virtuel 15. Dans cette opération, le dispositif 12(m) engendre, en réponse à une demande de son opérateur, un paquet de message destiné à être transféré par l'intermédiaire de l'ISP 11 et de l'Internet 14 au pare-feu 30 et demandant l'établissement d'un tunnel sécurisé entre le dispositif 12(m) et le pare-feu 30. Le paquet de message peut être dirigé vers une adresse Internet entière prédéterminée
21 2782873
associée au pare-feu 30 qui est réservée pour des demandes d'établissement de tunnels sécurisés, et qui est connue du serveur nominatif 17 et est fournie par celui-ci au dispositif 12(m). Si le dispositif 12(m) est autorisé à accéder au serveur 31(s) du réseau privé virtuel 15, le client 12(m) et le pare-feu (30) s'engagent dans un dialogue qui comprend un ou plusieurs paquets de messages transférés entre eux sur l'Internet 14. Pendant le dialogue, le pare-feu 30 peut fournir au dispositif 12(m) l'identification d'un algorithme de déchiffrage et une clé associée de déchiffrage que le dispositif 12(m) doit utiliser pour déchiffrer les parties chiffrées des paquets de messages que le réseau privé virtuel transmet au dispositif 12(m). De plus, le pare-feu 30 peut fournir au dispositif 12(m) l'identification d'un algorithme de chiffrage et d'une clé associée de chiffrage que le dispositif 12(m) doit utiliser pour chiffrer les parties de paquets de messages que le dispositif 12(m) transmet au réseau privé virtuel (15) et qui doivent être chiffrées. En variante, le dispositif 12(m) peut fournir l'identification de l'algorithme et de la clé de chiffrage que le dispositif 12(m) doit utiliser pour le pare-feu 30 pendant le dialogue. Le dispositif 12(m) peut mémoriser dans sa mémoire 25 de paramètres d'IP des informations concernant le tunnel sécurisé, y compris des informations qui associent l'identification du pare-feu 30 et les identifications des algorithmes de chiffrage et de déchiffrage et les clés associées pour des paquets de messages qui doivent être transférées par
le tunnel sécurisé.
Ultérieurement, le dispositif 12(m) et le pare-feu 30 peuvent transférer des paquets de messages par le tunnel sécurisé. Lorsque le dispositif 12(m) engendre des paquets de messages à transférer par le tunnel de sécurité, il utilise le processeur sécurisé 26 de paquets pour chiffrer les parties de paquets de messages qui doivent être chiffrées avant transmission par l'interface 21 de réseau à l'ISP 11 pour transfert sur l'Internet au pare-feu 30, et pour déchiffrer les parties chiffrées des
paquets de messages qui sont reçues par le dispositif 12(m) et chiffrées.
En particulier, lorsque le générateur 22 de paquets a engendré un paquet de message pour transmission au pare-feu 30 par le tunnel sécurisé, il fournit le paquet de message au processeur sécurisé 26 de paquets. Le processeur sécurisé 26 de paquets chiffre quant à lui les parties du paquet
22 2782873
de message qui doivent être chiffrées, en utilisant l'algorithme et la clé de chiffrage. Lorsque le pare-feu 30 a reçu du dispositif 12(m) un paquet de message par le tunnel sécurisé, il le déchiffre et, si le destinataire prévu pour ce paquet de message est un autre dispositif, par exemple un serveur 31(s), du réseau privé virtuel 15, ce pare-feu 30 transfère le paquet de message à cet autre dispositif sur la ligne de communication 33. Pour un paquet de message qui doit être transféré par le tunnel sécurisé au dispositif 12(m) par un dispositif, par exemple un serveur 31(s), du réseau privé virtuel 15, le pare-feu 30 reçoit ce paquet de message par la liaison de communication 33 et déchiffre le paquet de message pour le transférer sur l'Intemet 14 vers l'ISP 11. L'ISP 11 envoie, quant à lui le paquet de message au dispositif 12(m), en particulier à son interface 21 de réseau. L'interface 21 de réseau envoie le paquet de message au processeur sécurisé 26 de paquets, qui déchiffre les parties chiffrées du paquet de message, en utilisant l'algorithme et la clé de déchiffrage. Un problème se pose en liaison avec des accès par un dispositif comme un dispositif 12(m), qui est extérieur au réseau privé virtuel 15, et un dispositif comme un serveur 31(s) qui est extérieur au pare-feu, à savoir que le serveur nominatif 17 ne dispose pas d'adresses Intemet entières pour les serveurs 31(s) et pour d'autres dispositifs qui sont dans le réseau privé virtuel 15, sauf pour les adresses Intemet entières associées au pare-feu 30. Lorsque l'opérateur a entré l'adresse Internet lisible par une personne, le dispositif 12(m) ne peut donc pas obtenir l'adresse Intemrnet entière du serveur 31(s) auquel ce serveur nominatif 17
doit accéder.
Pour apporter une solution à ce problème, lorsque le dispositif 12(m) et le pare-feu 30 coopèrent pour établir entre eux un tunnel sécurisé, le pare-feu 30 qui fournit éventuellement au dispositif 12(m) les identifications des algorithmes et des clés de chiffrage et de déchiffrage qui doivent être utilisés en connexion avec les paquets de messages transférés par le tunnel sécurisé, fournit aussi au dispositif 12(m) l'identification d'un serveur nominatif, par exemple le serveur nominatif 32, du réseau privé virtuel 15, auquel le dispositif 12(m) peut accéder
23 2782873
pour obtenir les adresses entières appropriées d'Intemet pour les adresses d'Intemet lisibles par des personnes qui peuvent être fournies par l'opérateur du dispositif 12(m). L'identification du serveur nominatif 32 est également mémorisée dans la mémoire 25 de paramètres d'IP, avec l'identification du serveur nominatif 17 qui a été envoyée par l'ISP 11 lorsque le dispositif 12(m) a demandé une connexion à l'ISP 11 au début d'une session de communication. Par conséquent, lorsque le dispositif 12(m) doit transmettre un paquet de message à un dispositif comme un serveur 31(s) du réseau privé virtuel 15 qui utilise une adresse Intemet lisible par une personne fournie par exemple, par un opérateur, le dispositif 12(m) accède initialement au serveur nominatif 17 comme décrit ci-dessus afin de tenter d'obtenir l'adresse Internet entière associée à l'adresse Intemrnet lisible par une personne. Puisque le serveur nominatif 17 est à l'extérieur du réseau privé virtuel 15 et ne dispose pas de l'information demandée par le dispositif 12(m), il envoie un paquet de message de réponse qui indique ce fait. Le dispositif 12(m) engendre ensuite un paquet de message de demande pour transmission au serveur
nominatif 32 par l'intermédiaire du pare-feu 30 et par le tunnel sécurisé.
Si le serveur nominatif 32 possède une adresse Internet entière associée à l'adresse Internet lisible par une personne contenue dans le paquet de message de demande fourni par le dispositif 12(m), il fournit l'adresse Intemet entière d'une manière qui est généralement semblable à celle qui a été décrite ci-dessus en référence au serveur nominatif 17, sauf que l'adresse Internet entière est fournie par le serveur nominatif 32 dans un paquet de message dirigé vers le pare-feu 30, et que le pare-feu 30 transmet ensuite le paquet de message au dispositif 12(m) par le tunnel sécurisé. Dans le paquet de message transmis par le pare- feu 30, on comprend que l'adresse Internet entière du paquet de message est contenue dans la partie de données du paquet de message qui est
transférée par le tunnel sécurisé, et qu'elle est donc sous forme chiffrée.
Le paquet de message est traité par le dispositif 12(m) d'une manière semblable à celle qui a été décrite ci-dessus en référence à d'autres
paquets de messages reçus par ce dernier par le tunnel sécurisé, c'est-à-
dire que le paquet de message est déchiffré par le processeur sécurisé 26 de paquets avant d'être envoyé au récepteur et processeur 23 de paquets
24 2782873
pour traitement. L'adresse Internet entière pour le serveur 31(s) peut être en antémémoire dans la mémoire 25 de paramètres d'IP dans une liste de commande d'accès, ou "ACL" selon les initiales du terme anglo-saxon Access control list, accompagnée de l'association de l'adresse Intemet lisible par une personne correspondante à cette adresse, d'une indication que le pare-feu 30 du réseau privé virtuel 15 doit accéder au serveur 31(s) associé à l'adresse Intemrnet lisible par une personne, et par les identifications des algorithmes et des clés de chiffrage et de déchiffrage à utiliser pour chiffrer et déchiffrer les parties appropriées des paquets de
messages transmis au serveur 31(s) et reçus par le serveur 31(s).
En réponse à un paquet de messages envoyé par le dispositif 12(m) et demandant au serveur nominatif 32 de fournir une adresse Intemet entière pour une adresse Intemet lisible par une personne fournie par le dispositif 12(m), on comprend que le serveur nominatif 32 peut, s'il ne dispose pas d'une association entre l'adresse Internet lisible par unepersonne et une adresse Internet entière, envoyer un paquet de message de réponse qui indique cette impossibilité. Si le dispositif 12(m) possède une identification d'autres serveurs nominatifs qui peuvent être associés par exemple à d'autres réseaux privés virtuels non représentés auquel ce dispositif 12(m) peut accéder, le dispositif 12(m) peut tenter d'accéder aux autres serveurs nominatifs d'une manière semblable à celle qui a été décrite ci-dessus. Si le dispositif 12(m) ne peut obtenir une adresse Intemrnet entière, associée à l'adresse Internet lisible par une personne, d'aucun des serveurs nominatifs auxquels il peut accéder et qui sont généralement identifiés par la mémoire 25 de paramètres d'IP, ce dispositif ne peut généralement pas accéder à un dispositif disposant de l'adresse Internet lisible par une personne et il peut notifier ce fait à son
opérateur ou au programme qui demande l'accès.
Compte tenu de cet arrière-plan, on va maintenant décrire de façon détaillée des opérations effectuées par le dispositif 12(m) et le réseau privé virtuel 15 en liaison avec l'invention. Généralement, des opérations sont effectuées en deux phases. Dans la première phase, le dispositif 12(m) et le réseau privé virtuel 15 coopèrent pour établir un tunnel sécurisé par l'intermédiaire de l'Internet 14. Dans cette première phase, le réseau privé virtuel 15, en particulier le pare-feu 30, fournit l'identification
2782873
d'un serveur nominatif 32 et peut également fournir l'information
d'algorithmes et de clés de chiffrage et de déchiffrage, comme décrit ci-
dessus. Dans la deuxième phase, lorsque le tunnel sécurisé a été établi, le dispositif 12(m) peut utiliser selon les besoins l'information fournie pendant la première phase en connexion avec la génération et le transfert de paquet de message vers un ou plusieurs serveurs 31(s) du réseau privé virtuel 15, dans le processus qui permet d'obtenir, du serveur nominatif 32 qui a été identifié par le pare-feu 30 pendant la première phase, une résolution d'adresses d'Internet lisibles par une personne à
des adresses Internet entières.
Par conséquent, dans la première phase, c'est-à-dire la phase
d'établissement du tunnel sécurisé, le dispositif 12(m) engendre initiale-
ment pour transfert au pare-feu 30 un paquet de message qui demande l'établissement d'un tunnel sécurisé. Le paquet de message inclut une adresse Internet entière pour le pare-feu, adresse qui doit en particulier permettre au pare-feu 30 d'établir des tunnels sécurisés avec ce dispositif et qui peut avoir été fournie par l'opérateur du dispositif 12 (m) ou par un programme en cours de traitement par ce dispositif ou qui peut avoir été fournie par le serveur nominatif 17 lorsqu'une adresse Intemrnet lisible par une personne a été fournie par l'opérateur ou par un programme. Si le pare-feu 30 accepte la demande d'établissement de tunnel sécurisé, et si le pare-feu 30 fournit des algorithmes et des clés de chiffrage et de déchiffrage comme noté précédemment, ce pare-feu 30 engendre pour transmission au dispositif 12(m) un paquet de message de réponse qui identifie les algorithmes et les clés de chiffrage et de déchiffrage; comme
noté ci-dessus, ce paquet de message de réponse n'est pas chiffré.
Lorsque le dispositif 12(m) reçoit le message de réponse, les identifi-
cations des algorithmes et des clés de chiffrage et de déchiffrage sont
mémorisées dans la mémoire 25 de paramètres d'IP.
À un certain instant ultérieur de la première phase, le pare-feu 30 engendre également un paquet de message destiné à une transmission au dispositif 12(m) et incluant l'adresse Internet entière du serveur nominatif 32. Pour ce paquet de message, la partie du paquet de message contient l'adresse Internet entière du serveur nominatif 32 est chiffrée en utilisant l'algorithme et la clé de chiffrage qui peuvent être déchiffrés en utilisant
26; 2782873
l'algorithme et la clé de déchiffrage fournis dans le paquet de message de réponse décrit ci-dessus. La structure générale de ce message est la suivante: "<IIA(FW),IIA(DEV12(m))><SEC_TUN> <ENCR< <IIA(FW), IIA(DEV_12(m))> <DNS_ADRS:IIA(NS_32">>" o (i) "IIA(FW)" représente l'adresse de source, c'est-à-dire l'adresse Internet entière du pare-feu 30,
(ii) "IIA(DEV_12(m))" représente l'adresse de destination, c'est-à-
dire l'adresse Internet entière du dispositif 12(m) (iii) "DNS_ADRS:IIA(NS)" indique que "IIA(NS_32)" représente l'adresse Internet entière du serveur 32, le serveur nominatif que le dispositif 12(m) est autorisé à utiliser, et (iv) "ENCR<..>" indique que l'information entre les signes "<" et ">"
est chiffrée.
La partie initiale du message "<IIA(FW),IIA(DEV_12(m))>" forme au moins une fraction de la partie d'en-tête du message, et "<ENCR< <IIA(FW),IIA(DEV_12(m))> <IIA(NS)" >" représente au moins une fraction de la partie de données du message. Le "<SEC_TUN>" représente un indicateur contenu dans l'en-tête et indiquant que le message est en cours de transfert par le tunnel sécurisé, ce qui indique
que la partie de données du message contient une information chiffrée.
Lorsque le dispositif 12(m) a reçu le message du pare-feu 30 comme décrit ci-dessous, puisque le paquet de message contient l'indicateur <EC_TUN>, son interface 21 de réseau transfère la partie chiffrée "<ENCR< <IIA(FW),IIA(DEV_12(m))> <DNS_ADRS:IIA(NS 32)" " a u processeur sécurisé 26 de paquets pour traitement. Le processeur sécurisé de paquets déchiffre la partie qui est chiffrée, détermine que la partie "IA(NS_32)" est l'adresse Internet entière d'un serveur nominatif, en particulier du serveur nominatif 32, que le dispositif 12(m) est autorisé à utiliser, et mémorise cette adresse dans la mémoire 25 de paramètres d'IP, accompagnée d'une indication que des paquets de messages correspondants doivent être transférés au pare-feu 30 et que des données des paquets de messages doivent être chiffrées en utilisant l'algorithme et la clé de chiffrage préalablement fournis par le pare- feu 30. Puisque
27 2782873
27 /zs
l'adresse Internet entière du serveur nominatif 32 est transférée du pare-
feu au dispositif 12(m) sous forme chiffrée, on comprend qu'elle est maintenue confidentielle, même si le paquet est intercepté par une tierce partie. Selon le protocole particulier utilisé pour établir le signal sécurisé, le pare-feu 30 et le dispositif 12(m) peuvent également échanger des paquets de messages qui contiennent des informations autres que celle
qui est décrite ci-dessus.
Comme noté précédemment, dans la deuxième phase, lorsque le tunnel sécurisé a été établi, le dispositif 12(m) peut utiliser l'information fournie dans la première phase en connexion avec la génération et le transfert de paquets de messages vers un ou plusieurs des serveurs 31(s) du réseau privé virtuel 15. Dans ces opérations, si l'opérateur du dispositif 12(m) ou un programme qui est traité par le dispositif 12(m) souhaite que le dispositif 12(m) transmette un paquet de message à un serveur 31(s) du réseau privé virtuel 15, et si l'opérateur fournit par l'intermédiaire de l'interface 20 d'opérateur une adresse Internet lisible par une personne ou si le programme fournit une telle adresse, le dispositif 12(m), en particulier le générateur 22 de paquets détermine initialement si la mémoire 25 de paramètres d'IP contient en antémémoire une adresse Internet entière qui est associée à l'adresse Intemet lisible par une personne. Dans le cas contraire, le générateur 22 de paquets engendre un paquet de message de demande, à transférer au serveur nominatif 17, qui demande à ce dernier de fournir l'adresse Internet entière associée à l'adresse Intemrnet lisible par une personne. Si le serveur nominatif 17 dispose d'une adresse Intemrnet entière associée à l'adresse Intemet lisible
par une personne, il fournit au dispositif 12(m) l'adresse Intemet entière.
On comprend que ceci peut se produire si l'adresse Internet lisible par une personne contenue dans le paquet de message contenu dans le paquet de message de demande a été associé au dispositif 13 externe au réseau privé virtuel 15, tout aussi bien qu'avec un serveur 32(s) du réseau privé virtuel 15. Ultérieurement, le dispositif 12(m) peut utiliser l'adresse Internet entière pour engendrer des paquets de messages pour transfert
sur l'Internet comme décrit précédemment.
28 2782873
En supposant en revanche que le serveur nominatif 17 ne dispose pas de l'adresse Intemrnet entière associée à l'adresse Internet lisible par une personne, ce serveur 17 fournit un paquet de message de réponse qui indique ceci au dispositif 12(m). Puis, le générateur 22 de paquets du dispositif 12(m) engendre, pour transmission au serveur nominatif suivant identifié dans sa mémoire 25 de paramètres d'IP, un paquet de message de demande demandant que le serveur nominatif fournisse l'adresse Internet entière associée à l'adresse Internet lisible par une personne. Si ce serveur nominatif suivant est le serveur nominatif 32, le générateur 22 de paquets envoie le paquet de message au processeur sécurisé 26 de paquets pour traitement. Le processeur sécurisé 26 de paquets engendre lui-même un paquet de messages de demande pour transfert par le tunnel sécurisé au pare-feu 30. Ce message est généralement de la structure suivante: "<IIA(DEV_12(m)),IIA(FW)> <SEC_TUN> <ENCR< <IIA(FW),IIA(DEV_12(m))> <IIA(NS_32)> <IIAREQ> > >" o (i)"IIA(DEV_12(m))" représente l'adresse de source, c'est-à-dire l'adresse Internet entière du dispositif 12(m) (ii) "IIA(FW) représente l'adresse de destination, c'est-à-dire l'adresse Internet entière du pare-feu 30, (iii) "IIA(NS-32)" représente l'adresse du serveur nominatif 32 (iv) "<<IIA(DEV_12(m)),IIA(NSRE))> <IIAREQ>"> >" représente le paquet de message de demande engendré par le générateur 22 de
paquets, o "<IIA(DEVL12(m)),IIA(NS_32)> représente la partie d'en-
tête du paquet de message de demande et "<IIAREQ> représente la partie de données du paquet de message de demande (v) "ENR<..> indique l'information comprise entre les signes "<" et ">" est chiffrée, et (vi) "<SEC_TUN>" représente un indicateur de la partie d'en-tête du paquet de message engendré par le générateur sécurisé 26 de paquets qui indique que le message est en cours de transfert par le tunnel sécurisé, ce qui indique que la partie de données du message contient
une information chiffrée.
29 2782873
Lorsque le pare-feu 30 reçoit le paquet de message de demande engendré par le processeur sécurisé 26 de paquets, il déchiffre la partie chiffrée du paquet de message de manière à obtenir <<IIA(DEV_12(m)), IIA(NS_32))><IIAREQ>>", ce qui représente le paquet de message de demande engendré par le générateur 22 de paquets. Après avoir obtenu le paquet de message de demande, le pare-feu le transmet par la ligne 33 de communication au serveur nominatif 32. En fonction du protocole de transmission de paquets de messages par la liaison 33 de communication, il se peut que le pare-feu 30 doive modifier, dans ce processus, le paquet de messages de demande pour le conformer au protocole de la liaison 33
de communication.
Lorsque le serveur nominatif 32 a reçu le paquet de message de demande, il le traite pour déterminer s'il dispose d'une adresse Internet entière associée à l'adresse Internet lisible par une personne fournie dans le paquet de message de demande. Si le serveur nominatif détermine qu'il dispose d'une telle adresse Intemrnet entière, il engendre un paquet de message de réponse qui inclut l'adresse Intemrnet entière pour transmission au pare-feu. Généralement, le paquet de message de réponse est de la structure suivante: < <"IIA(NS_32),IIA(DEV_12(m)) > <IIARESP> > o (i) "IIA(NS_32)" représente l'adresse de source, c'est-à- dire l'adresse Internet entière du serveur nominatif 32
(ii) "IIA(DEV_12(m))" représente l'adresse de destination, c'est-à-
dire l'adresse Intemet entière du dispositif 12(m), et (iii) "IIA_RESP" représente l'adresse Intemet entière associée à
l'adresse Intemet lisible par une personne.
Lorsque le pare-feu 30 reçoit le paquet de message de réponse, puisque des communications avec le dispositif 12(m) s'effectuent par le tunnel sécurisé, ce pare-feu 30 chiffre le paquet de message de réponse reçu du serveur nominatif 32 et engendre un paquet de message destiné à une transmission au dispositif 12(m) et incluant le paquet de message de réponse chiffré. Généralement, la structure générale de ce message est la suivante: "<IIA(FW),IIA(DEV12(m))> <SEC_TUN>
2782873
<ENCR< <IIA(NS_32),IIA(DEV_12(m))> <IIA_RESP> > >" o (i) "IIA(FW)" représente l'adresse de source, c'est-à-dire l'adresse Internet entière du pare-feu 30, (ii) "IIA(DEV_12(m))" représente l'adresse de destination, c'est-à- dire l'adresse Internet entière du dispositif 12(m) (iii) "SEC_TUN " représente un indicateur de la partie d'en-tête du paquet de message engendré par le générateur sécurisé 26 de paquets qui indique que le message est en cours de transfert par le tunnel sécurisé, ce qui indique que la partie de données du message contient une information chiffrée, et (iv) "ENCR<..>" indique que l'information entre les signes "<" et ">"
est chiffrée.
De plus, selon le protocole de transmission de paquets de messages par la liaison 33 de communication, il se peut que le pare-feu 30 doive traiter et/ou modifier le paquet de message pour le conformer au
protocole de l'Internet 14.
Lorsque le dispositif 12(m) reçoit du pare-feu (30) le paquet de message, ce dernier est envoyé au processeur sécurisé 26 de paquets. Le processeur sécurisé 26 de paquets déchiffre alors la partie chiffrée du paquet de message pour obtenir l'adresse Intemrnet entière associée à l'adresse Intemrnet lisible par une personne, et il charge cette information dans la mémoire 25 de paramètres d'IP. Ultérieurement, le dispositif peut utiliser l'adresse Internet entière pour engendrer des paquets de messages pour transmission au serveur 31(s) qui est associé à l'adresse
Internet lisible par une personne.
Si le serveur nominatif 32 ne dispose pas d'une adresse Intemet entière associée à l'adresse Internet lisible par une personne fournie par le dispositif 12(m) dans le paquet de message de données, on comprend
qu'il peut l'indiquer dans le paquet de message de réponse qu'il engendre.
Le pare-feu 30 engendre aussi, en réponse au paquet de message de réponse envoyé par le serveur nominatif 32, un paquet de message pour transmission au dispositif 12(m), paquet qui inclut une partie chiffrée qui comprend le paquet de message de réponse engendré par le serveur nominatif 32. Lorsque le dispositif 12(m) a reçu le paquet de message, la
31 2782873
partie chiffrée est déchiffrée par le processeur sécurisé 26 de paquets qui notifie dès lors le générateur 22 de paquets que le serveur nominatif 32 ne dispose pas d'une adresse Intemrnet entière associée à l'adresse Internet lisible par une personne. Ultérieurement, si la mémoire 25 de paramètres d'IP contient l'identification d'un autre serveur nominatif, le générateur 22 de paquets du dispositif 12(m) engendre un paquet de message de demande pour transmission au serveur nominatif suivant identifié par sa mémoire 25 de paramètres d'IP, demandant que le serveur nominatif fournisse l'adresse Intemet entière associée à l'adresse Internet lisible par une personne. En revanche, si la mémoire 25 de paramètres d'IP ne contient pas l'identification d'un autre serveur nominatif, le générateur 22 de paquets peut notifier l'interface 20 d'opérateur ou le programme qu'il ne pourra pas engendrer un paquet de message pour transmission à un dispositif associé à l'adresse Internet
lisible par une personne, fournie par ce dernier.
L'invention offre de nombreux avantages. En particulier, elle réalise un système destiné à faciliter des communications entre des dispositifs connectés à un réseau public comme l'Internet 14 et des dispositifs connectés à des réseaux privés comme un réseau privé virtuel 15, en facilitant la résolution d'adresses lisibles par une personne à des adresses de réseau, par un serveur nominatif connecté au réseau privé par un
tunnel sécurisé.
On comprend que de nombreuses modifications peuvent être apportées à l'agencement décrit en référence à la Figure 1. Par exemple, bien que le réseau 10 ait été décrit d'une manière telle que l'identification des algorithmes et des clés de chiffrage et de déchiffrage est échangée par le dispositifs 12(m) et le pare-feu 30 pendant le dialogue au cours duquel le tunnel sécurisé est établi, on comprend que l'information peut être envoyée, par le dispositif 12(m) et le pare-feu 30, séparément de
l'établissement d'un tunnel sécurisé entre eux.
* De plus, bien que l'invention ait été décrite en connexion avec l'Internet, on comprend que l'invention peut être utilisée en connexion avec un réseau quelconque. En outre, bien que l'invention ait été décrite en connexion avec un réseau qui fournit une adresse de réseau lisible par une personne, on comprend que l'invention peut être utilisée en
32 2782873
connexion avec un quelconque réseau qui fournit une forme quelconque
d'agencements d'adresses secondaires ou informelles de réseau.
On comprend qu'un système conforme à l'invention peut être construit en partie ou en totalité à partir d'un matériel spécialisé ou d'un système informatique polyvalent, ou d'une combinaison quelconque de ceux-ci, dont une portion quelconque peut être commandée par un programme approprié. Un programme quelconque peut comprendre, en totalité ou en partie, une partie du système, ou être mémorisée sur le système, d'une manière classique, ou il peut être fourni en totalité ou en partie au système par un réseau ou par un autre mécanisme de transfert d'information, d'une manière classique. On comprend de plus que le système peut être mis en oeuvre et/ou commandé d'une autre manière par des moyens d'information fournis par un opérateur en utilisant des éléments non représentés d'entrée d'opérateur qui peuvent être connectés directement au système ou qui peuvent transférer l'information au système par un réseau ou un autre mécanisme de transfert
d'information, d'une manière classique.
La description qui précède a été limitée à un mode de réalisation
spécifique de l'invention. Il ressort cependant clairement que diverses variantes et modifications peuvent être apportées à l'invention, en permettant d'obtenir la totalité ou une partie des avantages de cette
dernière. C'est le but des revendications annexées que de trouver ces
variantes et modifications et toutes autres qui sont à l'intérieur du cadre
et de l'esprit vrai de l'invention.
33 2782873

Claims (18)

R E V E N D I C A T I ON S
1. Système comprenant un réseau privé virtuel (15) et un dispositif externe (12(m)) qui communiquent par l'intermédiaire d'un réseau numérique (14), dans lequel le réseau privé virtuel (15) comporte un pare-feu (30), au moins un dispositif interne (31(S)) et un serveur nominatif (32) pourvus chacun d'une adresse de réseau, le dispositif interne (31(S)) possède également une deuxième adresse, le serveur nominatif (32) est configuré pour réaliser une association entre l'adresse secondaire et l'adresse de réseau, caractérisé en ce que le pare-feu (30) est configuré, en réponse à une demande du dispositif externe (12(m)) d'établir une communication entre eux, de manière à fournir au dispositif externe (12(m)) I'adresse de réseau du serveur nominatif (32), et le dispositif externe (12(m)) est configuré pour engendrer, en réponse à une demande qui demande un accès au dispositif interne (31(5)) et inclut l'adresse secondaire du dispositif interne (31(5)), un message de demande d'adresse de réseau destiné à être transmis par la connexion au pare-feu (30) et demandant une résolution de l'adresse de réseau associée à l'adresse secondaire, le pare-feu (30) est configuré pour envoyer au serveur nominatif (32) la demande de résolution d'adresse, le serveur nominatif (32) est configuré pour fournir l'adresse de réseau associée à l'adresse secondaire, et le pare-feu (30) est lui-même configuré pour fournir l'adresse de réseau dans un message de réponse d'adresse de réseau pour transmission au dispositif externe (12(m)) par l'intermédiaire de la
connexion.
2. Système selon la revendication 1, caractérisé en ce que le dispositif externe (12(m)) est configuré en outre pour utiliser l'adresse de réseau fournie dans le message de réponse d'adresse de
34 2782873
réseau en engendrant au moins un message pour transmission au
dispositif interne (31(S)).
3. Système selon la revendication 1 caractérisé en ce que le dispositif externe (12(m)) est configuré pour se connecter au réseau par l'intermédiaire d'un fournisseur (11) de services de réseau.
4. Système selon la revendication 3, caractérisé en ce que le dispositif externe (12(m)) est configuré pour établir une session de communications avec le fournisseur (11) de services de réseau, le fournisseur (11) de services de réseau fournit au dispositif externe (12(m)) I'identification d'un serveur nominatif additionnel (17), et le serveur nominatif additionnel (17) est configuré pour réaliser une association entre une adresse secondaire et une adresse de réseau pour
au moins un dispositif.
5. Système selon la revendication 1, caractérisé en ce que le dispositif externe (12(m)) est configuré pour maintenir une liste de serveurs nominatifs qui ont été identifiés audit dispositif externe (12(m)), le dispositif externe (12(m)) est configuré pour interroger des serveurs successifs de la liste des serveurs nominatifs (32), en réponse à une demande qui demande un accès à un autre dispositif et qui inclut une adresse secondaire pour ledit autre dispositif, jusqu'à ce que ledit dispositif externe (12(m)) reçoive une adresse de réseau, le dispositif externe (12(m)) est configuré de manière à engendrer dans chaque interrogation un message de demande d'adresse de réseau pour transmission par le réseau pour réponse de l'un desdits serveurs nominatifs (32) de ladite liste et de manière à en recevoir un message de
réponse d'adresse de réseau.
6. Système selon la revendication 1, caractérisé en ce que la connexion entre le dispositif externe (12(m)) et le pare-feu (30) est un tunnel sécurisé dans lequel au moins une certaine partie de messages transférés entre le dispositif externe (12(m)) et le pare-feu (30)
est chiffrée.
7. Procédé de mise en oeuvre d'un système comprenant un réseau privé virtuel (15) et un dispositif externe (12(m)) qui communiquent par l'intermédiaire d'un réseau numérique (14), dans lequel
2782873
le réseau privé virtuel (15) comporte un pare-feu (30), au moins un dispositif interne (31(S)) et un serveur nominatif pourvus chacun d'une adresse de réseau, le dispositif interne (31(5)) possède également une deuxième adresse, le serveur nominatif peut réaliser une association entre l'adresse secondaire et l'adresse de réseau, caractérisé en qu'il comprend les étapes consistant à (A) permettre au pare-feu (30) de fournir au dispositif externe (12(m)) I'adresse de réseau du serveur nominatif, en réponse à une demande du dispositif externe (12(m)) d'établir une communication entre eux, et (B) permettre (i) au dispositif externe (12(m)) d'engendrer, en réponse à une demande qui demande un accès au dispositif interne (31(S)) et inclut l'adresse secondaire du dispositif interne (31(5)), un message de demande d'adresse de réseau destiné à être transmis par la connexion au pare-feu (30) et demandant une résolution de l'adresse de réseau associée à l'adresse secondaire, (ii) au pare-feu (30) d'envoyer au serveur nominatif la demande de résolution d'adresse, (iii) au serveur nominatif de fournir l'adresse de réseau associée à l'adresse secondaire, et (iv) au pare-feu (30) de fournir l'adresse de réseau dans un message de réponse d'adresse de réseau pour transmission au dispositif externe
(12(m)) par l'intermédiaire de la connexion.
8. Procédé selon la revendication 7 caractérisé en ce que le dispositif externe (12(m)) peut en outre utiliser l'adresse de réseau fournie dans le message de réponse d'adresse de réseau pour engendrer au moins un message pour transmission au dispositif interne
(31(S)).
9. Procédé selon la revendication 7 caractérisé en ce que le dispositif externe (12(m)) peut se connecter au réseau par
l'intermédiaire d'un fournisseur (11) de services de réseau.
10. Procédé selon la revendication 9, caractérisé en ce que
36 2782873
le dispositif externe (12(m)) peut établir une session de communi-
cations avec le fournisseur (11) de services de réseau, le fournisseur (11) de services de réseau peut fournir au dispositif externe (12(m)) I'identification d'un serveur nominatif additionnel (17), et le serveur nominatif additionnel (17) peut réaliser une association entre une adresse secondaire et une adresse de réseau pour au moins un dispositif.
11. Procédé selon la revendication 7, caractérisé en ce que le dispositif externe (12(m)) peut maintenir une liste de serveurs nominatifs qui ont été identifiés audit dispositif externe (12(m)), le dispositif externe (12(m)) peut interroger des serveurs successifs de la liste des serveurs nominatifs (32), en réponse à une demande qui demande un accès à un autre dispositif et qui inclut une adresse secondaire pour ledit autre dispositif, jusqu'à ce que ledit dispositif externe (12(m)) reçoive une adresse de réseau, le dispositif externe (12(m)) peut engendrer dans chaque interrogation un message de demande d'adresse de réseau pour transmission par le réseau pour réponse de l'un desdits serveurs nominatifs (32) de ladite liste et peut en recevoir un message de réponse
d'adresse de réseau.
12. Procédé selon la revendication 7, caractérisé en ce que la connexion entre le dispositif externe (12(m)) et le pare-feu (30) est un tunnel sécurisé dans lequel au moins une certaine partie de messages transférés entre le dispositif externe (12(m)) et le pare-feu (30)
est chiffrée.
13. Produit programme informatique à utiliser en connexion avec un réseau privé virtuel (15) et un dispositif externe (12(m)) interconnectés par un réseau numérique (14), tels que le réseau privé virtuel (15) comporte un pare-feu (30), au moins un dispositif interne (31(S)) et un serveur nominatif (32) pourvus chacun d'une adresse de réseau, le dispositif interne (31(S)) possède également une deuxième adresse, le serveur nominatif (32) peut réaliser une association entre I'adresse secondaire et l'adresse de réseau,
37 2782873
caractérisé en ce que le produit programme informatique comprend un support lisible par machine sur lequel sont codés: A. un module de code d'identification de serveur nominatif (32) configuré pour permettre au pare-feu (30) de fournir au dispositif externe (12(m)) l'adresse de réseau du serveur nominatif (32), en réponse à une demande du dispositif externe (12(m)) d'établir une communication entre eux, B. un module de code de génération de message de demande d'adresse de réseau pour permettre au dispositif externe (12(m)) d'engendrer, en réponse à une demande qui demande un accès au dispositif interne (31(S)) et inclut l'adresse secondaire du dispositif interne (31(5)), un message de demande d'adresse de réseau destiné à être transmis par la connexion au pare-feu (30) et demandant une résolution de l'adresse de réseau associée à l'adresse secondaire, (C) un module d'envoi de demande de résolution d'adresse pour permettre au pare-feu (30) d'envoyer au serveur nominatif (32) la demande de résolution d'adresse, (D) un module de commande de serveur nominatif (32) pour permettre au serveur nominatif (32) de fournir l'adresse de réseau associée à l'adresse secondaire, et (E) un module d'envoi de message de réponse d'adresse de réseau pour permettre au pare-feu (30) de fournir l'adresse de réseau dans un message de réponse d'adresse de réseau pour transmission au dispositif
externe (12(m)) par l'intermédiaire de la connexion.
14. Produit programme informatique selon la revendication 13, caractérisé en ce qu'il comprend en outre un module d'utilisation d'adresses de réseau configuré pour permettre au dispositif externe (12(m)) d'utiliser l'adresse de réseau fournie dans le message de réponse d'adresse de réseau en engendrant
au moins un message pour transmission au dispositif interne (31(S)).
15. Produit programme informatique selon la revendication 13, caractérisé en ce qu'il comprend en outre
38 2782873
un module de commande de fournisseur (11) de services de réseau pour permettre au dispositif externe (12(m)) de se connecter au réseau
par l'intermédiaire d'un fournisseur (11) de services de réseau.
16. Produit programme informatique selon la revendication 15, caractérisé en ce que le module de commande de fournisseur (11) de services de réseau inclut un module d'établissement de session de communications avec le fournisseur (11) de services de réseau, pour permettre au dispositif externe (12(m)) d'établir une session de communications avec le fournisseur (11) de services de réseau, et d'en recevoir une identification
d'un serveur nominatif additionnel (17).
17. Produit programme informatique selon la revendication 13, caractérisé en ce qu'il inclut en outre un module de commande d'interrogation de serveurs nominatifs (32) pour permettre au dispositif externe (12(m)) de maintenir une liste de serveurs nominatifs qui ont été identifiés audit dispositif externe (12(m)), et d'interroger des serveurs successifs de la liste des serveurs nominatifs, en réponse à une demande qui demande un accès à un autre dispositif et qui inclut une adresse secondaire pour ledit autre dispositif, jusqu'à ce que ledit dispositif externe (12(m)) reçoive une adresse de réseau, et d'engendrer dans chaque interrogation un message de demande d'adresse de réseau pour transmission par le réseau pour réponse de l'un desdits serveurs nominatifs (32) de ladite liste et de manière à en recevoir
un message de réponse d'adresse de réseau.
18. Produit programme informatique selon la revendication 14, caractérisé en ce que la connexion entre le dispositif externe (12(m)) et le pare-feu (30) est un tunnel sécurisé dans lequel au moins une certaine partie de messages transférés entre le dispositif externe (12(m)) et le pare-feu (30)
est chiffrée.
FR9906763A 1998-05-29 1999-05-28 Systeme et procede destines a faciliter des communications entre dispositifs connectes respectivement a des reseaux publics comme l'internet et des reseaux prives en facilitant une resolution d'adresses lisibles par des personnes Expired - Fee Related FR2782873B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US09/087,823 US6557037B1 (en) 1998-05-29 1998-05-29 System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses

Publications (2)

Publication Number Publication Date
FR2782873A1 true FR2782873A1 (fr) 2000-03-03
FR2782873B1 FR2782873B1 (fr) 2001-08-10

Family

ID=22207465

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9906763A Expired - Fee Related FR2782873B1 (fr) 1998-05-29 1999-05-28 Systeme et procede destines a faciliter des communications entre dispositifs connectes respectivement a des reseaux publics comme l'internet et des reseaux prives en facilitant une resolution d'adresses lisibles par des personnes

Country Status (5)

Country Link
US (1) US6557037B1 (fr)
JP (1) JP2000049867A (fr)
DE (1) DE19924575A1 (fr)
FR (1) FR2782873B1 (fr)
GB (1) GB2340702B (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210273945A1 (en) * 2019-03-24 2021-09-02 Zero Networks Ltd. Method and system for delegating control in network connection access rules using multi-factor authentication (mfa)

Families Citing this family (98)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6631175B2 (en) * 1998-04-03 2003-10-07 Tellabs Operations, Inc. Spectrally constrained impulse shortening filter for a discrete multi-tone receiver
DK1068704T3 (da) 1998-04-03 2012-09-17 Tellabs Operations Inc Filter til impulssvarforkortning, med yderligere spektrale begrænsninger, til multibærebølgeoverførsel
US7440498B2 (en) 2002-12-17 2008-10-21 Tellabs Operations, Inc. Time domain equalization for discrete multi-tone systems
US7418504B2 (en) * 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
CA2349519C (fr) 1998-10-30 2011-08-09 Science Applications International Corporation Protocole de reseau agile offrant des communications sures avec une disponibilite du systeme assuree
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
ES2296381T3 (es) * 1999-01-14 2008-04-16 Nokia Corporation Metodo y sistema de interceptacion.
US6977929B1 (en) 1999-12-10 2005-12-20 Sun Microsystems, Inc. Method and system for facilitating relocation of devices on a network
US7765581B1 (en) * 1999-12-10 2010-07-27 Oracle America, Inc. System and method for enabling scalable security in a virtual private network
US6970941B1 (en) 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US6938169B1 (en) 1999-12-10 2005-08-30 Sun Microsystems, Inc. Channel-specific file system views in a private network using a public-network infrastructure
US6870842B1 (en) 1999-12-10 2005-03-22 Sun Microsystems, Inc. Using multicasting to provide ethernet-like communication behavior to selected peers on a network
US6798782B1 (en) 1999-12-10 2004-09-28 Sun Microsystems, Inc. Truly anonymous communications using supernets, with the provision of topology hiding
US7336790B1 (en) 1999-12-10 2008-02-26 Sun Microsystems Inc. Decoupling access control from key management in a network
SE517217C2 (sv) * 1999-12-29 2002-05-07 Ericsson Telefon Ab L M Metod och system för kommunikation mellan olika nätverk
JP3596400B2 (ja) * 2000-01-21 2004-12-02 日本電気株式会社 Dnsサーバフィルタ
US7454457B1 (en) 2000-02-07 2008-11-18 Parallel Networks, Llc Method and apparatus for dynamic data flow control using prioritization of data requests
AU2001245827A1 (en) * 2000-03-17 2001-10-03 America Online, Inc. Home-networking
DE10017573C2 (de) * 2000-04-10 2002-12-05 Thomas Hahn Verfahren zur Kommunikation zwischen Endeinrichtungen und Endeinrichtung
US7181766B2 (en) 2000-04-12 2007-02-20 Corente, Inc. Methods and system for providing network services using at least one processor interfacing a base network
US7181542B2 (en) 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US7085854B2 (en) 2000-04-12 2006-08-01 Corente, Inc. Methods and systems for enabling communication between a processor and a network operations center
US7028334B2 (en) 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for using names in virtual networks
US6631416B2 (en) 2000-04-12 2003-10-07 Openreach Inc. Methods and systems for enabling a tunnel between two computers on a network
US7047424B2 (en) 2000-04-12 2006-05-16 Corente, Inc. Methods and systems for hairpins in virtual networks
US7028333B2 (en) 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for partners in virtual networks
US6996628B2 (en) 2000-04-12 2006-02-07 Corente, Inc. Methods and systems for managing virtual addresses for virtual networks
US6981041B2 (en) * 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US20010042202A1 (en) * 2000-04-14 2001-11-15 Horvath Charles J. Dynamically extendible firewall
EP2512093B1 (fr) * 2000-04-26 2019-12-04 VirnetX Inc. Améliorations d'un protocole de réseau agile pour communications sécurisées avec une disponibilité du système assurée
EP2381650A1 (fr) * 2000-04-26 2011-10-26 VirnetX Inc. Enregistrement sécurisé des noms de domaines
GB2363548A (en) * 2000-06-15 2001-12-19 Int Computers Ltd Computer systems, in particular virtual private networks
US7126947B2 (en) * 2000-06-23 2006-10-24 Broadcom Corporation Switch having external address resolution interface
DE60018913T2 (de) * 2000-06-30 2006-05-18 Alcatel Verfahren und Apparat um mit Apparate zu kommunizieren die nicht zum selben virtuellen privaten Netzwerk (VPN) gehören
US7111163B1 (en) * 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
BR0114543A (pt) * 2000-10-10 2003-08-26 Nokia Corp Método para ocultar pelo menos um dentre nomes e endereços de elementos de rede em comunicações entre primeira e segunda redes, sistema de comunicação, e, aparelho de ponto de contato em um sistema
US6922786B1 (en) * 2000-10-31 2005-07-26 Nortel Networks Limited Real-time media communications over firewalls using a control protocol
US20020099666A1 (en) * 2000-11-22 2002-07-25 Dryer Joseph E. System for maintaining the security of client files
US20020103931A1 (en) * 2001-01-26 2002-08-01 Mott Charles J. Virtual private networking using domain name service proxy
DE10108408A1 (de) * 2001-02-21 2002-08-29 Gloocorp Ag Kommunikationssystem zum Austausch von verschlüsselter Information in nachrichtengestütztem oder Echtzeitkommunikationsmodus
US20020161844A1 (en) * 2001-02-27 2002-10-31 Overtoom Eric J. Method and apparatus for peer to peer communication over a master slave interface
JP2002278903A (ja) * 2001-03-15 2002-09-27 Sony Corp 情報処理装置および方法、記録媒体、並びにプログラム
GB2373418A (en) * 2001-03-16 2002-09-18 Kleinwort Benson Ltd Method and system to provide and manage secure access to internal computer systems from an external client
US20020138552A1 (en) * 2001-03-21 2002-09-26 Debruine Timothy S. Method and system for optimizing private network file transfers in a public peer-to-peer network
US7533409B2 (en) 2001-03-22 2009-05-12 Corente, Inc. Methods and systems for firewalling virtual private networks
US20020154635A1 (en) * 2001-04-23 2002-10-24 Sun Microsystems, Inc. System and method for extending private networks onto public infrastructure using supernets
KR20010079255A (ko) * 2001-06-27 2001-08-22 김태범 프록시 서버를 매개로 한 인터넷 전화 통화 시스템 및 그방법
GB2378009B (en) * 2001-07-27 2005-08-31 Hewlett Packard Co Method of establishing a secure data connection
KR100418246B1 (ko) * 2001-08-10 2004-02-11 (주)웹콜월드 웹콜에이전트와 웹콜프록시를 이용한NAT/Firewall환경에서의 인터넷 음성통신 방법
KR100453033B1 (ko) * 2001-08-28 2004-10-15 삼성전자주식회사 인터넷 어드레스를 자동적으로 생성하는 인터넷 접속이가능한 장치
US7260650B1 (en) * 2001-11-28 2007-08-21 Cisco Technology, Inc. Method and apparatus for tunneling information
KR20030047471A (ko) * 2001-12-10 2003-06-18 (주)애니 유저넷 인터넷 전화의 방화벽 통과방법 및 터널링 게이트웨이
US7054944B2 (en) * 2001-12-19 2006-05-30 Intel Corporation Access control management system utilizing network and application layer access control lists
KR20030050991A (ko) * 2001-12-20 2003-06-25 주식회사데이콤 방화벽 환경에서의 에스코티드 브라우징 서비스 방법 및그 시스템
KR100412041B1 (ko) * 2002-01-04 2003-12-24 삼성전자주식회사 시큐러티 프로토콜의 기능을 수행하는 홈 게이트웨이 및그 방법
KR100445983B1 (ko) * 2002-02-05 2004-08-25 (주)다보링크 인터넷 전화 시스템 및 그 운영방법
US7395354B2 (en) 2002-02-21 2008-07-01 Corente, Inc. Methods and systems for resolving addressing conflicts based on tunnel information
US7301925B2 (en) * 2002-03-08 2007-11-27 At Road, Inc. Combined LAN and WAN system for mobile resource management
US7532862B2 (en) * 2002-03-19 2009-05-12 Apple Inc. Method and apparatus for configuring a wireless device through reverse advertising
US7657616B1 (en) 2002-06-10 2010-02-02 Quest Software, Inc. Automatic discovery of users associated with screen names
US7937471B2 (en) 2002-06-03 2011-05-03 Inpro Network Facility, Llc Creating a public identity for an entity on a network
EP1552414A4 (fr) 2002-06-10 2010-11-24 Akonix Systems Inc Systemes et procedes pour passerelle de protocoles
US7774832B2 (en) * 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US20080196099A1 (en) * 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US7818565B2 (en) * 2002-06-10 2010-10-19 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7707401B2 (en) * 2002-06-10 2010-04-27 Quest Software, Inc. Systems and methods for a protocol gateway
US7428590B2 (en) * 2002-06-10 2008-09-23 Akonix Systems, Inc. Systems and methods for reflecting messages associated with a target protocol within a network
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
KR100455802B1 (ko) * 2002-07-03 2004-11-06 주식회사 아이콘랩 휴대용 단말장치에 시변 코드를 표시하는 방법 및 장치,및 이를 이용한 결제 및 인증 방법 및 장치
US9497168B2 (en) * 2002-07-30 2016-11-15 Avaya Inc. Method and apparatus for supporting communications between a computing device within a network and an external computing device
US7383339B1 (en) 2002-07-31 2008-06-03 Aol Llc, A Delaware Limited Liability Company Local proxy server for establishing device controls
US7139828B2 (en) * 2002-08-30 2006-11-21 Ip Dynamics, Inc. Accessing an entity inside a private network
US8234358B2 (en) 2002-08-30 2012-07-31 Inpro Network Facility, Llc Communicating with an entity inside a private network using an existing connection to initiate communication
JP3445986B1 (ja) * 2002-09-27 2003-09-16 松下電器産業株式会社 インターネットに接続するサーバ、機器および通信システム
US7949785B2 (en) 2003-03-31 2011-05-24 Inpro Network Facility, Llc Secure virtual community network system
US7337219B1 (en) 2003-05-30 2008-02-26 Aol Llc, A Delaware Limited Liability Company Classifying devices using a local proxy server
FR2856215B1 (fr) * 2003-06-10 2005-08-26 Digital Airways Procede de transmission de donnees vers un terminal appartenant a un reseau local
US8005958B2 (en) * 2003-06-27 2011-08-23 Ixia Virtual interface
EP1643691B1 (fr) * 2003-07-04 2007-12-05 Nippon Telegraph and Telephone Corporation Procede de mediation dans un rpv a acces a distance et dispositif de mediation
US20050228848A1 (en) * 2004-03-22 2005-10-13 Thurston Stacy D Method and system for operating a peer network
US7841005B2 (en) * 2004-05-21 2010-11-23 Computer Assoicates Think, Inc. Method and apparatus for providing security to web services
WO2005114956A1 (fr) * 2004-05-21 2005-12-01 Computer Associates Think, Inc. Procede et dispositif pour traiter des messages de service web
KR100601124B1 (ko) 2004-08-26 2006-07-19 주식회사 나라비전 Sip 서비스 기반의 tcp채널 제공 방법
JP4654006B2 (ja) * 2004-11-16 2011-03-16 パナソニック株式会社 サーバ装置、携帯端末、通信システム及びプログラム
US20060222013A1 (en) * 2005-03-30 2006-10-05 Ban Oliver K Systems, methods, and media for improving security of a packet-switched network
US7756981B2 (en) 2005-11-03 2010-07-13 Quest Software, Inc. Systems and methods for remote rogue protocol enforcement
US20070214232A1 (en) * 2006-03-07 2007-09-13 Nokia Corporation System for Uniform Addressing of Home Resources Regardless of Remote Clients Network Location
US20080250152A1 (en) * 2007-04-03 2008-10-09 Ching-Hung Chou Communication method having firewall network tunnel and location transparency
KR100995834B1 (ko) 2008-05-27 2010-11-23 주식회사 베스트디지탈 사설망 또는 방화벽 내부에 위치한 컴퓨터의 접속 방법
EP2438580A2 (fr) * 2009-06-02 2012-04-11 Voltage Security, Inc. Système de transaction d'achat avec des données chiffrées de carte de paiement
JP2011146933A (ja) * 2010-01-14 2011-07-28 Toshiba Corp 放送受信装置、及び放送受信装置の制御方法
US9967235B2 (en) * 2011-11-14 2018-05-08 Florida Power & Light Company Systems and methods for managing advanced metering infrastructure
JP6053364B2 (ja) * 2012-07-19 2016-12-27 キヤノン株式会社 情報処理システム、サーバ装置、クライアント装置および制御方法
JP6124603B2 (ja) * 2013-01-21 2017-05-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報アクセス・システム、及び方法
JP5867448B2 (ja) * 2013-04-26 2016-02-24 コニカミノルタ株式会社 ネットワークシステム、アクセス支援サーバ、処理装置、通信代行装置、およびコンピュータプログラム
US9130904B2 (en) * 2013-05-08 2015-09-08 Texas Instruments Incorporated Externally and internally accessing local NAS data through NSFV3 and 4 interfaces

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5826029A (en) * 1995-10-31 1998-10-20 International Business Machines Corporation Secured gateway interface
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5805820A (en) * 1996-07-15 1998-09-08 At&T Corp. Method and apparatus for restricting access to private information in domain name systems by redirecting query requests
JPH1065718A (ja) 1996-08-23 1998-03-06 Sony Corp データ伝送方法及び装置
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
WO1998031124A1 (fr) * 1997-01-10 1998-07-16 Hanson Gordon L Serveur mandataire a action inverse
US5983270A (en) * 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US5805803A (en) * 1997-05-13 1998-09-08 Digital Equipment Corporation Secure web tunnel
US6119234A (en) 1997-06-27 2000-09-12 Sun Microsystems, Inc. Method and apparatus for client-host communication over a computer network
US6006268A (en) * 1997-07-31 1999-12-21 Cisco Technology, Inc. Method and apparatus for reducing overhead on a proxied connection

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
GROOM F M: "THE STRUCTURE AND SOFTWARE OF THE INTERNET", 1997 ANNUAL REVIEW OF COMMUNICATIONS, XP000720937 *
GUTTMAN B ET AL: "INTERNET SECURITY POLICY: A TECHNICAL GUIDE", NIST SPECIAL PUBLICATION, 31 July 1997 (1997-07-31), XP002140150 *
WEIHRICH T: "FILOFAX FÜRS INTERNET", CT MAGAZIN FÜR COMPUTER TECHNIK,DE,VERLAG HEINZ HEISE GMBH., HANNOVER, no. 10, 1 October 1997 (1997-10-01), pages 346 - 348,350-35, XP000701086, ISSN: 0724-8679 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210273945A1 (en) * 2019-03-24 2021-09-02 Zero Networks Ltd. Method and system for delegating control in network connection access rules using multi-factor authentication (mfa)
US11743265B2 (en) * 2019-03-24 2023-08-29 Zero Networks Ltd. Method and system for delegating control in network connection access rules using multi-factor authentication (MFA)

Also Published As

Publication number Publication date
FR2782873B1 (fr) 2001-08-10
US6557037B1 (en) 2003-04-29
GB9912200D0 (en) 1999-07-28
JP2000049867A (ja) 2000-02-18
GB2340702B (en) 2000-07-19
DE19924575A1 (de) 1999-12-02
GB2340702A (en) 2000-02-23

Similar Documents

Publication Publication Date Title
FR2782873A1 (fr) Systeme et procede destines a faciliter des communications entre dispositifs connectes respectivement a des reseaux publics comme l&#39;internet et des reseaux prives en facilitant une resolution d&#39;adresses lisibles par des personnes
EP1022922B1 (fr) Procédé d&#39;authentification, avec établissement d&#39;un canal sécurise, entre un abonné et un fournisseur de services accessible via un opérateur de télécommunications
JP3263878B2 (ja) 暗号通信システム
EP2484084B1 (fr) Procédé et dispositifs de communications securisées contre les attaques par innondation et denis de service (dos) dans un réseau de télécommunications
EP3695571B1 (fr) Dispositif et procédé de transmission de données
WO2011151573A1 (fr) Procede et dispositifs de communications securisees dans un reseau de telecommunications
EP3588903A1 (fr) Procédé, dispositif et serveur de distribution sécurisée d&#39;une configuration à un terminal
WO2000018078A1 (fr) Procede d&#39;echange de messages securises utilisant des intermediaires
EP3568966B1 (fr) Procédés et dispositifs de délégation de diffusion de contenus chiffrés
KR100471790B1 (ko) 다중 터널 브이피엔 게이트웨이를 이용한 데이터 전송 장치
EP3219077B1 (fr) Procédé et système de gestion d&#39;identités d&#39;utilisateurs destiné à être mis en oeuvre lors d&#39;une communication entre deux navigateurs web
EP1413088B1 (fr) Methode pour creer un reseau virtuel prive utilisant un reseau public
EP3568964B1 (fr) Procédé de transmission d&#39;une information numérique chiffrée de bout en bout et système mettant en oeuvre ce procédé
EP2622785A1 (fr) Système d&#39;échange de données entre au moins un émetteur et un récepteur
CA3100170C (fr) Procede de securisation de flux de donnees entre un equipement de communication et un terminal distant, equipement mettant en oeuvre le procede
WO2004032430A2 (fr) Procede et installation de controle de l’identite de l’emetteur d’un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation
JP2004280595A (ja) コールバックvpnシステム及び接続方法
EP1418702A1 (fr) Procédé d&#39;échange securisé entre deux unités de communication, système de contrôle et serveur pour la mise en oeuvre du procédé
FR2850223A1 (fr) Procede et dispositif de transfert d&#39;informations securisees
EP2339775A1 (fr) Procédé et dispositif de chiffrement distribué basé sur un serveur de clés
EP1129560A1 (fr) Relais d&#39;acces transparent a un reseau serveur
FR2954838A1 (fr) Securisation des flux de donnees dans un systeme informatique
FR2885464A1 (fr) Procede et dispositif de controle d&#39;acces
WO2007036623A2 (fr) Authentification unique pour acces reseau et enregistrement a un service de telecommunication
WO2008132097A1 (fr) Procédé de sécurisation d&#39;un flux de données.

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20070131