FR2806179A1 - Organe de controle d'acces sur internet pour permettre des autorisations ou interdictions d'acces - Google Patents
Organe de controle d'acces sur internet pour permettre des autorisations ou interdictions d'acces Download PDFInfo
- Publication number
- FR2806179A1 FR2806179A1 FR0103088A FR0103088A FR2806179A1 FR 2806179 A1 FR2806179 A1 FR 2806179A1 FR 0103088 A FR0103088 A FR 0103088A FR 0103088 A FR0103088 A FR 0103088A FR 2806179 A1 FR2806179 A1 FR 2806179A1
- Authority
- FR
- France
- Prior art keywords
- domain
- access control
- internet
- server
- internet access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/35—Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Organe de contrôle d'accès sur Internet, caractérisé en ce qu'il comprend un dispositif d'identification de l'adresse de l'appelant, un dispositif dynamique de mémorisation des domaines, un module logiciel qui contrôle les droits du domaine appelant à chaque appel du serveur.
Description
La présente invention concerne un organe de contrôle d'accès sur Internet notamment pour permettre des autorisations ou in terdictions d'accès. Le développement des services offerts sur Internet a créé un besoin croissant d'identification des accédants, c'est-à-dire des internau- tes. L'intérêt d'une telle identification est multiple. L'identification peut servir<B>à</B> la facturation des services ou encore<B>à</B> présenter<B>à</B> Finternaute <B>le</B> ou les produits qui correspondent<B>à</B> son profil.<B>Il</B> s'agit<B>là</B> d'une fonction<B>de</B> ciblage. L'identification peut également servir<B>à</B> la confidentialité de l'information, c'est-à-dire que l'identification ne sera autorisée qu'à cer tains internautes.
En effet, certaines informations doivent avoir des accès li mités.
Or actuellement Internet n'offre pas de tels dispositifs de contrôle d'accès et, de façon générale, l'information est ouverte<B>à</B> tous, pratiquement sans aucune restriction.
La présente invention a pour but de remédier<B>à</B> ces incon vénients et concerne,<B>à</B> cet effet, un organe de contrôle d'accès sur Inter- net caractérisé en ce qu'il comprend un dispositif d'identification de l'adresse de l'appelant, un dispositif dynamique<B>de</B> mémorisation des do maines, un module logiciel qui contrôle les droits du domaine appelant<B>à</B> chaque appel du serveur.
D'une manière particulièrement avantageuse, le dispositif d'identification est relié directement aux serveurs qui contiennent la tota lité des domaines Internet pour exploiter directement ces serveurs officiels des domaines (RIPE, APNIC, ARIN).
Suivant une autre caractéristique, l'organe de contrôle d'accès comprend un moyen de mémorisation des domaines sous la forme d'un cache ou d'une base de données dynamique qui enregistre des seg ments appartenant<B>à</B> un domaine déterminé.
Le module logiciel comporte avantageusesement un logiciel résidant dans le serveur contenant les informations<B>à</B> protéger ou encore sur un serveur intermédiaire qui protège les abonnés du domaine pour l'accès<B>à</B> l'information externe.
<B>De</B> façon avantageuse pour former une table des domaines, l'organe de contrôle explore automatiquement la réponse HTML des ser veurs. Enfin l'organe de contrôle, utilise l'identification pour factu rer des services par un moyen<B>de</B> facturation ou encore assurer les sur veillances par un moyen de déclenchement d'alarme ou encore établir des statistiques par un moyen d'établissement de statistiques.
Les différents moyens de l'invention et<B>le</B> contexte seront décrits<B>de</B> manière plus détaillée ci-après par la description de l'identification d'un appel Internet et la description détaillée des moyens de l'invention.
DESCRIPTION<B>DE L'INVENTION</B> Identification d'un appel Internet <U>Attribution des adresses:</U> Le réseau INTERNET s'appuie sur un protocole de commu nication IP (INTERNET Protocol) qui attribue une adresse<B>de 32</B> bits<B>à</B> toute station de travail ou serveur situé sur le réseau (par exemple <B>192.3.177.134).</B> L'adresse doit être unique sur la totalité du réseau.
Le nombre d'adresses distinctes est donc limité<B>à</B> <B>4294967296.</B>
L'attribution d'adresses est faite par trois centres dans<B>le</B> monde: RIPE Registre Européen APNIC Registre Asiatique ARIN Registre Américain Pour des raisons historiques, le registre américain,<B>le</B> pre mier<B>à</B> exister, contient une partie des domaines enregistrés dans les au tres registres.
<B>A</B> chaque abonnement, le registre concerné attribue un bloc d'adresses sous un nom de domaine.
Les registres contiennent une base de données qui con tient<B>:</B> le nom<B>de</B> domaine, l'adresse minimum et l'adresse maxi male du bloc d'adresses attribuées.
<U>Adresses situées dans un domaine -privé:</U> Le nombre d'adresses est limité au niveau mondial à <B>4.294.967.296</B> ce qui nécessite le déploiement d'un nouveau protocole qui va étendre le nombre d'adresses.
Cependant, un grand nombre<B>de</B> domaines privés (INTRANET) isolés du domaine INTERNET par une machine spécifique (PROXY), utilisent de multiples fois les mêmes adresses, ce qui ne pose aucun problème tant que les stations<B>de</B> travail ou les serveurs se trou vent<B>à</B> l'intérieur du domaine privé.
Lorsque ces stations de travail veulent adresser un serveur situé dans le domaine public, ils utilisent les services d'une machine spé cifique qui va transformer l'adresse d'origine en sa propre adresse, décla rée dans les registres du réseau global.
Le serveur adressé ne reçoit que l'adresse IP de ce PROXY, et ignore l'identification de la dans le réseau privé.
Dans ce cas, il existe une directive http, qui va permettre au PROXY de renseigner le serveur distant sur l'adresse interne de station de travail d'appel: <U>Adresses</U> dynamiquement <U>attribuées:</U> Il existe par ailleurs de multiples fournisseurs de services (Internet Service Provider) qui permettent accès au réseau INTERNET par l'intermédiaire du réseau téléphonique commuté. La station de travail, pour se connecter<B>à</B> un serveur INTERNET, est raccordée<B>à</B> un modem qui appelle un numéro<B>de</B> téléphone spécifique<B>de</B> 11SP. <B>LISP</B> dispose sous ce numéro appelé d'une batterie de modems capables de décoder le flot de donnée issues de la station de travail distante. Ils sont eux-mêmes raccor dés<B>à</B> un proxy qui va attribuer au hasard une adresse disponible appar tenant au domaine de IISP, afin de faire l'appel du serveur INTERNET. L'adresse IP reçue par le serveur INTERNET distant est une adresse qui change<B>à</B> chaque connexion, ce qui rend l'identification de la station<B>de</B> travail d'appel impossible.
Cependant, les ISP identifient les abonnés par un nom et un mot de passe qui va les autoriser d'utiliser leurs services.
L'organe de contrôle d'accès comprend les composants suivants a- Un logiciel d'interrogation logicielle capable d'appeler par une transaction HTTP successivement les serveurs officiels, RIPE (Eu rope), et en cas d'échec APNIC (Asie), puis ARIN (Amérique), avec l'adresse IP <B>à</B> identifier. Les différents répertoires renvoient une page codée au for mat HTML qui contient le nom de domaine et les adresses min. et max. du domaine. Ce logiciel est capable de dépouiller le texte contenu dans ces pages pour en extraire<B>:</B> <B>-</B> le nom de domaine <B>-</B> l'adresse minimum du domaine <B>-</B> l'adresse maximale du domaine <B>- le</B> pays ou ce domaine a été déclaré Exemple - Illinois-inst-of-tech; 216.047-128.000-.216-047.159.255; Illinois Institude of Technology; <B>USA</B> <B>b-</B> Un logiciel de gestion de cache<B>;</B> lors de l'appel des ser veurs RIPE, APNIC ou ARIN, il enregistre les trois informations ci dessus en table, qu'il trie par adresse minimale décroissante. En effet certains domaines incluent des domaines plus petits. La recherche en table se fait par dichotomie, et les adresses étant triées par ordre décroissant, le plus petit domaine inclus dans un domaine plus grand sera identifié en pre mier.
c- Un logiciel qui est appelé<B>à</B> chaque entrée HTTP, et qui explore en premier lieu le cache ci dessus décrit, et en cas d'échec appelle le logiciel d'interrogation. Puis ayant identifié le domaine, va explorer son fichier interne d'autorisation: Domaine INTERNET: L'adresse IP est discriminante, elle est soit autorisée soit interdite.
Domaine INTRANET: Si le domaine est autorisé, le logiciel exploite l'en-tête HTTP-X-FORWARDED-FOR: 194<B>3 117</B> 143 qui a été garnie par le Proxy, et qui permet d'identifier l'appelant par son adresse dans le domaine privé. Si cette information est absente (Le proxy n'a pas été configuré pour la fournir), l'appel ne peut pas être identifié. Seul les appels issus du Proxy seront autorisés Domaine ISP: <B>LISP</B> peut renseigner une directive identique <B>à</B> la précédente qui fournit l'identification de l'abonné. Cette directive si tuée dans l'en-tête HTTP est variable selon les ISPs. L'appel ne peut être identifié que si elle est présente.
Par exemple WANADOO exploite l'en-tête X-FT-ID-Client: <B> </B> identification du client<B> .</B>
Dans tous les cas ce logiciel renseigne une variable globale exploitable par le serveur HTTP qui donne le nom du domaine, le pays (utile pour définir la langue), l'identification de la station de travail, et un indicateur d'autorisation ou d'interdiction.
<B>d-</B> Un logiciel de trace qui trace tous les appels et leur iden tification a des fins de contrôle ou de facturation.
DESCRIPTION<B>DES</B> OPERATIONS <B>l/</B> La page principale du serveur lance l'exécution d'un CGI, qui va en chaîner les opérations. Il exécute en premier lieu le logiciel c. 2/ Le logiciel c va exploiter le cache géré par le logiciel<B>b.</B> Ce cache est primitivement vide, il se garnit dynamiquement.
<B>3/</B> En cas d'échec, il va appeler le logiciel a, qui se charge d'explorer suc cessivement les répertoires Européens<B>,</B> Asiatiques et Américains.
4/ Le logiciel c va ensuite garnir les variables globales, qui vont permettre <B>à</B> l'application située sur ce serveur de connaître l'identification de l'appelant (Domaine, Identification<B>de</B> la station de travail, pays). Si l'authentification est réussie, il explore un fichier d'autorisation (Black list) et d'interdiction (Red list) des appelants autorisés. En cas<B>de</B> suc cès il renvoie une page HTML qui va enchaîner sur le browser <B>de</B> la station de travail l'entrée sur le serveur. (Link: <B> </B> URL <B> </B> ou META http- equiv=refresh Content= <B>0;</B> URL= url d'entrée sur<B>le</B> serveur . En cas d'échec il va interdire accès au serveur.
Claims (1)
- <B><U>REVENDICATIONS</U></B> <B>1')</B> Organe<B>de</B> contrôle d'accès sur Internet, caractérisé en ce qu' il comprend un dispositif d'identification de l'adresse de l'appelant, un dispositif dynamique de mémorisation des domaines, un module logiciel qui contrôle les droits du domaine appelant<B>à</B> chaque appel du serveur. 2') Organe de contrôle d'accès sur Internet selon la revendication<B>1,</B> caractérisé en ce que <B>le</B> dispositif d'identification est relié directement aux serveurs qui contien nent<B>la</B> totalité des domaines Internet et exploitent directement ces ser veurs officiels des domaines (RIPE, APNIC, ARIN). 3") Organe<B>de</B> contrôle d'accès sur Internet selon la revendication<B>1,</B> caractérisé en ce qu' il comprend un moyen de mémorisation des domaines sous la forme d'un cache ou d'une base de données dynamique qui enregistre des segments appartenant<B>à</B> un domaine déterminé. 4') Organe de contrôle d'accès sur Internet selon la revendication<B>1,</B> caractérisé en ce qu' il comporte un logiciel résidant dans le serveur contenant les informations <B>à</B> protéger. 5') Organe de contrôle d'accès sur Internet selon la revendication<B>1,</B> caractérisé en ce que l'organe de contrôle comporte un logiciel résidant sur un serveur intermé diaire qui protège les abonnés du domaine pour l'accès<B>à</B> l'information externe. 6') Organe de contrôle d'accès sur Internet selon la revendication 2, caractérisé en ce qu' il explore automatiquement la réponse (HTML) des serveurs pour former une table des domaines. 7') Organe de contrôle selon la revendication<B>1,</B> caractérisé en ce qu' il comprend un moyen<B>de</B> facturation, un moyen<B>de</B> déclenchement d'alarme et un moyen d'établissement de statistiques.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0103088A FR2806179B1 (fr) | 2000-03-09 | 2001-03-07 | Organe de controle d'acces sur internet pour permettre des autorisations ou interdictions d'acces |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0003014A FR2806178A1 (fr) | 2000-03-09 | 2000-03-09 | Methode d'identification d'un appel internet vers un serveur http, pour permettre des autorisations ou interdictions d'acces |
FR0103088A FR2806179B1 (fr) | 2000-03-09 | 2001-03-07 | Organe de controle d'acces sur internet pour permettre des autorisations ou interdictions d'acces |
Publications (2)
Publication Number | Publication Date |
---|---|
FR2806179A1 true FR2806179A1 (fr) | 2001-09-14 |
FR2806179B1 FR2806179B1 (fr) | 2003-06-27 |
Family
ID=26212239
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0103088A Expired - Fee Related FR2806179B1 (fr) | 2000-03-09 | 2001-03-07 | Organe de controle d'acces sur internet pour permettre des autorisations ou interdictions d'acces |
Country Status (1)
Country | Link |
---|---|
FR (1) | FR2806179B1 (fr) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2843511A1 (fr) * | 2003-01-07 | 2004-02-13 | France Telecom | Procede de communication d'un identifiant de machine au sein d'un reseau de donnees, serveur d'autorisation, machines et signaux correspondants |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0909074A1 (fr) * | 1997-09-12 | 1999-04-14 | Lucent Technologies Inc. | Procédés et appareil pour un firewall dans un réseau d'ordinateurs qui permet l'utilisation de domaine multiple |
-
2001
- 2001-03-07 FR FR0103088A patent/FR2806179B1/fr not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0909074A1 (fr) * | 1997-09-12 | 1999-04-14 | Lucent Technologies Inc. | Procédés et appareil pour un firewall dans un réseau d'ordinateurs qui permet l'utilisation de domaine multiple |
Non-Patent Citations (2)
Title |
---|
LANCE SPITZNER: "Who manages the Internet", INTERNET, 28 July 1999 (1999-07-28), pages 1 - 6, XP002179835, Retrieved from the Internet <URL:http://www.enteract.com/spitz/whois.htm> [retrieved on 20011011] * |
REID J: "Plugging the Holes in Host-based Authentication", COMPUTERS & SECURITY. INTERNATIONAL JOURNAL DEVOTED TO THE STUDY OF TECHNICAL AND FINANCIAL ASPECTS OF COMPUTER SECURITY, ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, NL, vol. 15, no. 8, 1996, pages 661 - 671, XP004016467, ISSN: 0167-4048 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2843511A1 (fr) * | 2003-01-07 | 2004-02-13 | France Telecom | Procede de communication d'un identifiant de machine au sein d'un reseau de donnees, serveur d'autorisation, machines et signaux correspondants |
Also Published As
Publication number | Publication date |
---|---|
FR2806179B1 (fr) | 2003-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6393467B1 (en) | Network interconnected computing device, server and notification method | |
US7181195B2 (en) | Method and system for tracing missing network devices using hardware fingerprints | |
KR20090111821A (ko) | 퍼시스턴트/익명의 식별자를 사용 네트워크 작업과 정보 처리 시스템 및 방법 | |
CN107295116B (zh) | 一种域名解析方法、装置及系统 | |
FR2973626A1 (fr) | Mecanisme de redirection entrante sur un proxy inverse | |
CN111245838B (zh) | 一种反爬虫保护关键信息的方法 | |
EP1941705B1 (fr) | Procede et systeme de protection d'un lien d'acces a un serveur | |
CN108156270A (zh) | 域名请求处理方法和装置 | |
Mulliner | Privacy leaks in mobile phone internet access | |
FR2806179A1 (fr) | Organe de controle d'acces sur internet pour permettre des autorisations ou interdictions d'acces | |
JP2005269666A (ja) | ルータ | |
US20030191647A1 (en) | Method & system for managing web pages, and telecommunications via multilingual keywords and domains | |
US20080260154A1 (en) | Method and system for protecting the internet access of a mobile telephone, and corresponding mobile telephone and terminal | |
CN110266684A (zh) | 一种域名系统安全防护方法及装置 | |
CN115510011A (zh) | 一种日志记录方法及系统 | |
FR2806178A1 (fr) | Methode d'identification d'un appel internet vers un serveur http, pour permettre des autorisations ou interdictions d'acces | |
FR2760158A1 (fr) | Procede d'acces conditionnel a une ressource internet depuis un terminal pourvu d'un lecteur de carte a microcircuit | |
FR3108007A1 (fr) | Procédé et dispositif de détection de l’usage d’un serveur de noms de domaine non certifié. | |
WO2008071891A1 (fr) | Passerelle residentielle et procede de configuration d'une telle passerelle | |
EP1406425B1 (fr) | Procédé de production, par un fournisseur d'accès, d'un identifiant isolant multimédia | |
KR20000037170A (ko) | 인터넷폰 네이밍 서비스 시스템 및 그 방법 | |
FR2824975A1 (fr) | Systeme de connexion de premier et second equipements informatiques travers un reseau de telecommunication | |
FR2811494A1 (fr) | Dispositif de gestion d'acces a des donnees d'un reseau et installation de telecommunication et procede associes | |
KR100818304B1 (ko) | 인터넷 망에서 이동 단말기로의 원격 접근 방법 및 시스템 | |
CA2246136C (fr) | Dispositif informatique et serveur interconnectes par un reseau et methode de signalisation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
ST | Notification of lapse |
Effective date: 20101130 |