FR2962572A1 - Procede de controle parental etendu d'un reseau domestique, et passerelle mettant en œuvre un tel procede. - Google Patents

Procede de controle parental etendu d'un reseau domestique, et passerelle mettant en œuvre un tel procede. Download PDF

Info

Publication number
FR2962572A1
FR2962572A1 FR1055670A FR1055670A FR2962572A1 FR 2962572 A1 FR2962572 A1 FR 2962572A1 FR 1055670 A FR1055670 A FR 1055670A FR 1055670 A FR1055670 A FR 1055670A FR 2962572 A1 FR2962572 A1 FR 2962572A1
Authority
FR
France
Prior art keywords
flow
data stream
data
stream
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1055670A
Other languages
English (en)
Other versions
FR2962572B1 (fr
Inventor
Wojciech Makowski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Softathome SA
Original Assignee
Softathome SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Softathome SA filed Critical Softathome SA
Priority to FR1055670A priority Critical patent/FR2962572B1/fr
Publication of FR2962572A1 publication Critical patent/FR2962572A1/fr
Application granted granted Critical
Publication of FR2962572B1 publication Critical patent/FR2962572B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne un procédé de contrôle de flux de données entre des appareils de réseau domestique et des services sur Internet, ces flux de données transitant via une passerelle domestique. Chaque flux de données est constitué d'une suite de paquets de flux. Selon l'invention, on réalise un contrôle de flux de données uni- et/ou bidirectionnels au sein de la passerelle en réalisant les étapes suivantes : - pour chaque paquet on détermine un couple appareil-service, - on identifie un flux de données auquel ce paquet de flux appartient ; chaque flux de données étant identifié par au moins un couple appareil-service correspondant à un appareil de réseau domestique accédant à un service, - on vérifie si ce flux de données est à surveiller: - s'il s'agit d'un flux de données non surveillé, le paquet de flux est acheminé de façon conventionnelle, - s'il s'agit d'un flux de données surveillé, on réalise un traitement de filtrage en fonction de critères prédéfinis dans un Registre de Surveillance de Trafics.

Description

" Procédé de contrôle parental étendu d'un réseau domestique, et passerelle mettant en oeuvre un tel procédé."
La présente invention se rapporte à un procédé de contrôle de flux de données entre une pluralité d'appareils de réseau domestique et un réseau de communication externe de type Internet offrant des services. D'une façon générale, les systèmes de contrôle parental sont des mécanismes de protection des utilisateurs, des enfants en particulier, contre io les risques potentiels découlant de l'utilisation des réseaux de communication comme Internet par exemple. Ils visent à empêcher les utilisateurs d'accéder à des contenus ou des services de communication inappropriés. Les premiers de ces mécanismes, généralement appelés filtres Internet, apparus dans les années 1990, en grande partie en réponse à 15 l'explosion de la quantité de contenus pour adultes seulement disponibles gratuitement sur Internet. Les filtres Internet ont été initialement installés sur des ordinateurs à domicile, puis dans la fin des années 1990, les sociétés de filtrage d'Internet ont commencé à commercialiser leurs solutions aux écoles et bibliothèques. 20 Les meilleurs des filtres modernes pour Internet sont devenus très puissants et constituent une réelle amélioration par rapport aux filtres de base qui bloquaient un site Web en entier à cause d'un mot « grossier ». Les filtres Internet actuels sont bien meilleurs en évaluation de contenu et en blocage de sites effectivement inconvenants sans pour autant empêcher 25 l'accès aux sites Web corrects. Ils permettent aussi aux parents de gérer individuellement l'accès à des sites Web ainsi que limiter cet accès dans le temps.
La première décennie des années 2000 et la popularité grandissante 30 des nouveaux services tels que le « Chat », messagerie instantanée, la téléphonie Internet, les réseaux « peer-to-peer », etc ont encore augmenté le besoin de filtres Internet de qualité. C'est pourquoi des filtres Internet de l'art antérieur sont fournis non seulement comme une application informatique autonome pour les ordinateurs personnels mais aussi comme un mécanisme 35 intégré dans le noyau des systèmes d'exploitation de certains appareils.
Toutefois, les progrès technologiques récents ainsi que de nouveaux modes de consommation des contenus et des services de communication créent de nouveaux besoins pour le contrôle parental. En particulier, on peut observer les phénomènes suivants: - un réseau domestique se compose non seulement d'ordinateurs personnels, mais aussi de nombreux autres dispositifs de communication comme les téléphones mobiles, assistants numériques personnels, consoles de jeux, lecteurs de musique, ordinateurs tablettes, les dispositifs réseau de io stockage, les décodeurs numériques, TV connecté à Internet, etc - de nombreux nouveaux dispositifs ne sont équipés d'aucun moyen de contrôle parental et sont parfois même pas en mesure, en raison de leurs limites techniques, par exemple, de les fournir; - le nombre croissant d'appareils de communication crée un besoin de 15 mécanismes de contrôle parental unifiés qui pourraient être appliqués à tous les dispositifs de réseau domestique ou à leurs sous-ensembles sélectionnés; - un même et unique utilisateur peut accéder à un contenu donné ou à un service de communication à partir de plusieurs appareils; - les modèles de vie modernes sont de plus en plus complexes et un 20 simple blocage d'accès au contenu ou au service n'est pas suffisant non plus. En fait, le contrôle parental doit également être en mesure de traiter le contenu et les limites de consommation des services plus sophistiqués que les simples «autorisé/interdit».
25 Un objectif de la présente invention est un nouveau mécanisme de contrôle parental efficace et pouvant être utilisé seul ou en complément à un mécanisme existant. Un autre objectif de l'invention est de simplifier la mise en place d'un mécanisme de contrôle parental. 30 On atteint au moins l'un des objectifs précités avec un procédé de contrôle de flux de données entre une pluralité d'appareils de réseau domestique et un réseau de communication externe de type Internet offrant des services, ces flux de données transitant via une passerelle, intercalée 35 entre la pluralité d'appareils de réseau domestique et le réseau de communication externe, chaque flux de données étant constitué d'une suite de paquets de flux. L'invention est caractérisé par le fait que l'on réalise un contrôle de flux de données uni- ou bidirectionnels au sein de la passerelle en réalisant les étapes suivantes : - pour un paquet de flux observé transitant via la passerelle, on détermine des informations relatives au flux en identifiant au moins le service associé à ce paquet de flux et l'appareil source ou destinataire de ce paquet de flux de façon à définir un couple appareil-service, io - on identifie un flux de données auquel ce paquet de flux appartient ; chaque flux de données étant identifié par au moins un couple appareil-service correspondant à un ou plusieurs appareils de réseau domestique accédant à un service disponible sur le réseau de communication externe, - on vérifie si ce flux de données est un flux de données à surveiller en 15 comparant le couple appareil-service obtenu à des critères prédéfinis dans un Registre de Surveillance de Trafics : - s'il s'agit d'un flux de données non surveillé, le paquet de flux et acheminé de façon conventionnelle, - sinon, les traitements décrits ci-dessous sont appliqués : 20 - on détecte parmi les flux de données surveillés, tout nouveau flux de données ; un nouveau flux de données est détecté si le paquet de flux surveillé n'est pas relatif à un enregistrement actuellement présent dans un Registre de flux de données ; un paquet de flux est relatif à un enregistrement de flux de données si son couple appareil-service correspond 25 à un élément appareil-service dans l'enregistrement de flux de données ; si un nouveau flux de données est détecté alors un nouvel enregistrement de flux de données, ainsi que l'élément appareil-service correspondant, sont activés dans le Registre de flux de données ; - dans le registre de flux de données, l'enregistrement du flux de 30 données correspondant au paquet de flux surveillé est modifié avec une valeur du temps courant, cette modification met à jour, dans l'enregistrement du flux de données, un ou plusieurs compteurs temporels de durée de flux, totalisés, au cours de leurs périodes d'observation respectives ; l'instant courant étant également mémorisé dans l'enregistrement du flux de 35 données ; ces compteurs temporels de durée de flux sont mis à jour en vérifiant d'abord si l'actuel paquet de flux surveillé est dans la continuité du plus récent paquet de flux surveillé précédent l'actuel paquet de flux surveillé, par rapport à cet enregistrement de flux de données ; si c'est le cas, alors les compteurs temporels de durée de flux sont incrémentés convenablement ; sinon, les compteurs temporels de durée de flux demeurent inchangés ; - enfin, l'enregistrement de flux de données est utilisé pour vérifier si un ou plusieurs compteurs temporels de durée de flux dépassent leur limite de durée respective ; si tel est le cas, alors le flux de données est considéré comme non autorisée et le paquet de flux est rejeté ; sinon, le paquet de flux io est traité par la passerelle de façon conventionnelle ; si la durée du flux de données dépasse sa limite de durée pour une première fois pour une période d'observation donnée, alors une procédure appropriée de blocage de flux de données est exécutée le cas échéant ; - si l'instant courant correspond au début d'une nouvelle période 15 d'observation alors les compteurs temporels de durée de flux relatifs à cette période d'observation sont réinitialisés dans les enregistrements dans le Registre de flux de données ; - l'état actuel des registres est mémorisé dans une mémoire persistante de façon à ce qu'un état approprié soit restauré en cas 20 d'interruption et de relance du procédé ; - de façon à permettre une analyse comportementale par un administrateur, on enregistre dans un ou plusieurs journaux, tous les éléments d'information importants, tels que notamment les dépassements de limites de durée des flux de données, des durées de flux de données dans 25 différentes périodes d'observation. Avec le procédé selon l'invention, pour tout appareil accédant à Internet, on peut mettre en place un contrôle parental permettant de filtrer l'accès à des services Internet. La passerelle peut être paramétrée en fonction du type de filtrage souhaité. Ainsi, avec un seul système de contrôle 30 parental, on gère tout appareil de communication accédant à Internet via la passerelle.
Par services on entend, de façon non limitative, tous services disponibles sur le réseau externe, des services Web tels que les moteurs de 35 recherche, le partage de vidéos, portails communautaires ainsi que des services non-Web comme la messagerie instantanée ou de partage de fichiers « peer-to-peer », la téléphonie Internet etc basés sur des clients applicatifs dédiés.
Par appareil de réseau domestique on entend tout dispositif capable de communiquer avec des réseaux externes par l'intermédiaire d'une passerelle quel que soit le moyen de connexion utilisé entre cet appareil et la passerelle. Ce moyen de connexion comprend de façon non limitative, le réseau Ethernet, le réseau WiFi, la connexion Bluetooth, la connexion CAT-iq,... Par io conséquent, le terme de « réseau domestique » désigne l'ensemble des réseaux et des technologies de connectivité utilisée pour connecter des appareils de réseau domestique à des réseaux externes par l'intermédiaire d'une passerelle domestique. Comme appareil de réseau domestique, on peut notamment citer les ordinateurs, téléphones portables, assistants numériques 15 personnels, consoles de jeux, lecteurs de musique, tablettes, les dispositifs réseau de stockage, les décodeurs numériques, téléviseurs connectés,...
Par réseau externe on entend tout réseau externe qui devient accessible aux appareils de réseau domestique grâce à la connectivité 20 externe proposée par la passerelle. Cette connectivité externe est fournie par, mais de façon non limitative, des technologies telles que xDLS, FTTx, Ethernet, Docsis, 3G, etc. Ces réseaux externes comprennent, de façon non limitative, des réseaux de fournisseur de services Internet, l'Internet lui-même, des réseaux privés connectés à Internet... 25 Selon l'invention, on détecte si un paquet de flux en cours d'analyse correspond à un flux de données surveillé entre un appareil de réseau à domicile et un service du réseau externe. Le terme "paquet" ne se limite pas particulièrement à un protocole réseau spécifique ou un niveau de pile de 30 protocole réseau. En fait, la présente invention peut s'appliquer à tout type de protocole réseau et à n'importe quel niveau de la pile protocolaire. Par conséquent, ce terme peut signifier, par exemple, un paquet IP, le segment TCP, trame Ethernet, requête/réponse HTTP, etc Avantageusement, les informations décrivant quels flux de données 35 doivent être contrôlés sont contenues dans des données enregistrées au sein du Registre de Surveillance de Trafics. Les critères prédéfinis sont décrits dans des données de surveillance de trafic permettant au procédé selon l'invention d'identifier un flux de données à contrôler. Ces critères peuvent en particulier comprendre un couple appareil-service pour lequel le flux de données doit être contrôlé.
Avantageusement, le service est identifié par une URL, un groupe de URLs, y compris sous la forme d'adresse IP, ou un nom spécifique décrivant ce service. Ce nom spécifique peut se rapporter à des services qui ne sont io pas liés à un ensemble particulier d'URL (« Uniform Resource Locator »), comme c'est le cas pour de nombreux services basés sur des utilisateurs spécifiques, tels que les réseaux peer-to-peer, par exemple. Dans ce dernier cas, on effectue une inspection en profondeur des paquets (« Deep Packet Inspection »), afin d'identifier le client applicatif fournissant ce service. 15 Selon l'invention, l'appareil physique réel peut être identifié par une adresse IP et/ou une adresse MAC. En particulier, la correspondance entre un flux et un enregistrement dans le Registre de Surveillance de Trafics est établie grâce au procédé de l'inspection en profondeur de paquet (« Deep Packet Inspection »). 20 Selon une caractéristique avantageuse de l'invention, l'appareil identifié dans le couple appareil-service est un appareil physique réel ou un appareil virtuel constitué par l'association d'un appareil physique réel et d'un utilisateur donné. 25 En d'autres termes, on distingue l'appareil physique réel et l'appareil virtuel. Un appareil physique réel correspond à un appareil de réseau domestique quelque soit son utilisateur, alors qu'un appareil virtuel correspond à un appareil de réseau domestique utilisé, à un moment donné, 30 par un utilisateur spécifique. Dans ce dernier cas, l'appareil virtuel peut être identifié, dans les données de surveillance du trafic, par l'association de l'identifiant de l'appareil physique et de l'identifiant d'un utilisateur. Cela permet notamment de contrôler et de filtrer les flux de données générés par différents utilisateurs partageant le même appareil physique. 35 Avantageusement, l'appareil virtuel est identifié par un identifiant de l'appareil physique réel et un identifiant de l'utilisateur. Par ailleurs, selon un mode de mise en oeuvre préféré, pour un appareil virtuel, les paquets de flux sont bloqués tant que l'utilisateur ne s'est pas identifié sur une page Web d'identification affichée sur l'appareil physique réel associé.
Selon l'invention, on définit un élément appareil-service comme regroupant un ensemble de couples appareil-service, de sorte que l'on considère que tous les paquets de flux de tous les couples appareil-service io composant cet élément appareil-service font partie d'un même flux de données qui est identifié dans ce cas par plusieurs couples appareil-service.
Cet élément appareil-service est défini au sein des données de surveillance de trafic. Cela permet de contrôler et de filtrer ensemble les flux 15 générés par plusieurs services et/ou appareils. A titre d'exemple, il est possible de limiter à deux heures par jour l'utilisation de sites Web tels que « facebook.com® » et « youtube.com® » par l'utilisateur Marc sur un PC1 et sur un téléviseur TV2. Avec une telle contrainte, Marc est en mesure de décider lui-même la façon de partager ces deux heures parmi ses services 20 préférés et sur quels appareils.
On peut définir un nouveau flux de données et/ou une continuité entre paquets de flux à partir de règles d'établissement et/ou de continuité du protocole TCP/IP. 25 Avantageusement, à chaque flux de données, on peut associer aussi un ou plusieurs compteurs de volume de trafic et on peut les traiter par rapport aux limites de volumes prédéfinis. En effet, la présente invention permet de filtrer l'accès aux services non seulement par leur durée, mais aussi par le 30 volume du trafic échangé. Ainsi, les informations relatives au flux comprennent également le volume de flux échangé et traité de façon à vérifier si un seuil de volume prédéterminé est dépassé.
On peut sauvegarder, en vue d'une consultation ultérieure, notamment 35 dans des journaux et registres : - des informations temporelles, de volume, de durée et d'identification des flux de données ainsi que les différents dépassements de limites détectés, - des informations relatives aux flux de données non contrôlées, et - des informations relatives aux flux de données systématiquement bloqués. Le Registre de flux de données peut également gérer des enregistrements correspondant aux flux non-surveillés. La gestion de ces flux est similaire à la gestion des flux surveillés mais ils ne sont jamais rejetés et aucune procédure de blocage n'est exécutée. io On peut ainsi identifier des services non surveillés mais qui sont beaucoup utilisés et enregistrer ces services dans le Registre de Surveillance de Trafics et limiter ensuite leur utilisation. Les enregistrements correspondant aux flux qui doivent être systématiquement rejetés sont contenus dans le Registre de Surveillance de 15 Trafics, cela permet d'empêcher toute communication avec certains services, en particulier avec des services proxy permettant à l'utilisateur de contourner tout système de filtrage. Selon une caractéristique avantageuse de l'invention, on enregistre les informations relatives au flux dans un même et unique registre ensemble 20 avec des données de surveillance de trafic contenant les critères prédéfinis. Les informations relatives au flux et les données de surveillance de trafic correspondantes sont de préférence unifiées dans un registre commun. Selon un autre aspect de l'invention, il est également prévu un dispositif de passerelle entre une pluralité d'appareils de réseau domestique 25 et un réseau de communication externe de type Internet offrant des services, ce dispositif comprenant au moins un processeur numérique et des espaces mémoires stockant une application logicielle qui, lors de son exécution par le processeur numérique, contrôle les flux uni- et/ou bidirectionnels transitant via la passerelle en mettant en oeuvre un procédé tel que décrit ci-dessus. 30 D'autres avantages et caractéristiques de l'invention apparaîtront à l'examen de la description détaillée d'un mode de mise en oeuvre nullement limitatif, et des dessins annexés, sur lesquels : La figure 1 est un schéma simplifié d'un système pour la mise en 35 oeuvre d'un procédé selon l'invention ; et La figure 2 est un organigramme décrivant le déroulement de certaines étapes selon l'invention.
Sur la figure 1, on voit plusieurs appareils 1 à 4 tels que par exemple un ordinateur portable, un agenda numérique personnel, une tablette et lecteur numérique. Tous ces appareils physiques réels sont capables d'accéder à des services Servicel et Service2 illustrés par des serveurs Web, via un réseau domestique 5, une passerelle domestique 6 et le réseau Internet. Cette passerelle domestique 6 comporte des éléments matériels et io logiciels permettant de mettre en oeuvre les étapes du procédé selon l'invention. Le réseau domestique 5 peut être constitué par un routeur et un commutateur (switch) interne à la passerelle domestique 6. On peut configurer la passerelle domestique 6 au moyen par exemple d'un ordinateur. Sur la figure 2 on voit une succession d'étapes qui sont exécutées au 15 sein de la passerelle domestique 6 selon l'invention. Lorsqu'un appareil souhaite accéder à un service Servicel sur Internet, des paquets sont échangés entre cet appareil et le serveur hébergeant ce service sur Internet. Une succession de paquets constitue un flux. A l'étape 8, il se présente au niveau de la passerelle 6 un paquet comportant des données à transmettre 20 avec par exemple un en-tête comprenant l'identifiant de l'appareil destinataire et l'identifiant du service Servicel. Ce paquet transite depuis Internet vers un appareil domestique. A l'étape 9, on prélève les informations relatives au flux auquel appartient ce paquet. Ces informations sont notamment l'identifiant de l'appareil destinataire et l'identifiant du service. On 25 identifie alors à l'étape 10 un couple tel que par exemple Appareill-Servicel. Ce couple permet d'identifier le flux correspondant. On vérifie à l'étape 11 si ce flux est un flux sous surveillance, sous contrôle. Pour ce faire, on utilise un Registre de surveillance de Trafics 12 dans lequel sont enregistrés des données de surveillance de trafic. Ces 30 données de surveillance de trafic comprennent notamment un ensemble de flux à surveiller ainsi que des critères d'identification et de filtrage en fonction de chaque flux surveillé. Si ce flux Appareill-Servicel est un flux non surveillé, on transmet le paquet de façon conventionnelle à l'étape 13. S'il s'agit d'un flux surveillé, on vérifie à l'étape 14 s'il s'agit d'un nouveau flux ou 35 d'un flux déjà répertorié au sein du registre de flux de données 15. S'il s'agit 2962572 lo d'un nouveau flux, on réalise un nouvel enregistrement dans le registre de flux de données 15. Ce nouvel enregistrement déclenche la mise en place d'un compteur temporel et potentiellement d'un compteur de volume dédiés à ce nouveau flux.
5 Lorsqu'il s'agit d'un flux déjà répertorié, on effectue une mise à jour à l'étape 17 au cours de laquelle on met à jour les informations relatives à ce flux et on incrémente les compteurs temporels et de volume. A l'étape 18, on réalise un test de dépassement de limites. On vérifie si le compteur temporel et le compteur de volume n'ont pas atteint lo respectivement un seuil temporel et un seuil de volume. Ces seuils peuvent être prédéfinis au sein du Registre de surveillance de trafics. Si l'un des deux seuils est dépassé, on réalise à l'étape 19 un filtrage en fonction des critères du Registres de surveillance de Trafics. Sinon, on transmet le paquet de façon conventionnelle à l'étape 13.
15 Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention.

Claims (16)

  1. REVENDICATIONS1. Procédé de contrôle de flux de données entre une pluralité d'appareils de réseau domestique et un réseau de communication externe de type Internet offrant des services, ces flux de données transitant via une passerelle, intercalée entre la pluralité d'appareils de réseau domestique et le réseau de communication externe, chaque flux de données étant constitué d'une suite de paquets de flux, caractérisé par le fait que l'on réalise un contrôle de flux de données io uni- ou bidirectionnels au sein de la passerelle en réalisant les étapes suivantes : - pour un paquet de flux observé transitant via la passerelle, on détermine des informations relatives au flux en identifiant au moins le service associé à ce paquet de flux et l'appareil source ou destinataire de ce paquet 15 de flux de façon à définir un couple appareil-service, - on identifie un flux de données auquel ce paquet de flux appartient ; chaque flux de données étant identifié par au moins un couple appareil-service correspondant à un ou plusieurs appareils de réseau domestique accédant à un service disponible sur le réseau de communication externe, 20 - on vérifie si ce flux de données est un flux de données à surveiller en comparant le couple appareil-service obtenu à des critères prédéfinis dans un Registre de Surveillance de Trafics : - s'il s'agit d'un flux de données non surveillé, le paquet de flux et acheminé de façon conventionnelle, 25 - sinon, les traitements décrits ci-dessous sont appliqués, - on détecte parmi les flux de données surveillés, tout nouveau flux de données ; un nouveau flux de données est détecté si le paquet de flux surveillé n'est pas relatif à un enregistrement actuellement présent dans un Registre de flux de données ; un paquet de flux est relatif à un 30 enregistrement de flux de données si son couple appareil-service correspond à un élément appareil-service dans l'enregistrement de flux de données ; si un nouveau flux de données est détecté alors un nouvel enregistrement de flux de données, ainsi que l'élément appareil-service correspondant, sont activés dans le Registre de flux de données ;- dans le registre de flux de données, l'enregistrement du flux de données correspondant au paquet de flux surveillé est modifié avec une valeur du temps courant, cette modification met à jour, dans l'enregistrement du flux de données, un ou plusieurs compteurs temporels de durée de flux, totalisés, au cours de leurs périodes d'observation respectives ; l'instant courant étant également mémorisé dans l'enregistrement du flux de données ; ces compteurs temporels de durée de flux sont mis à jour en vérifiant d'abord si l'actuel paquet de flux surveillé est dans la continuité du plus récent paquet de flux surveillé précédent l'actuel paquet de flux surveillé, par rapport à cet enregistrement de flux de données ; si c'est le cas, alors les compteurs temporels de durée de flux sont incrémentés convenablement ; sinon, les compteurs temporels de durée de flux demeurent inchangés ; - enfin, l'enregistrement de flux de données est utilisé pour vérifier si un ou plusieurs compteurs temporels de durée de flux dépassent leur limite de durée respective ; si tel est le cas, alors le flux de données est considéré comme non autorisée et le paquet de flux est rejeté ; sinon, le paquet de flux est traité par la passerelle de façon conventionnelle ; si la durée du flux de données dépasse sa limite de durée pour une première fois pour une période d'observation donnée, alors une procédure appropriée de blocage de flux de données est exécutée le cas échéant.
  2. 2. Procédé selon la revendication 1, caractérisé en ce que - si l'instant courant correspond au début d'une nouvelle période d'observation alors les compteurs temporels de durée de flux relatifs à cette période d'observation sont réinitialisés ; - l'état actuel des registres est mémorisé dans une mémoire persistante de façon à ce qu'un état approprié soit restauré en cas d'interruption et de relance du procédé ; - de façon à permettre une analyse comportementale par un administrateur, on enregistre dans un ou plusieurs journaux, tous les éléments d'information importants, tels que notamment les dépassements de limites de durée des flux de données, des durées de flux de données dans différentes périodes d'observation. 5
  3. 3. Procédé selon la revendication 1 ou 2, caractérisé en ce que l'appareil identifié dans le couple appareil-service est un appareil physique réel ou un appareil virtuel constitué par l'association d'un appareil physique réel et d'un utilisateur.
  4. 4. Procédé selon la revendication 1, 2 ou 3, caractérisé en ce que le service est identifié par une URL, un groupe de URLs, y compris sous la forme d'adresse IP, ou un nom spécifique décrivant ce service, et l'appareil physique réel est identifié par une adresse IP et/ou une adresse MAC. 10
  5. 5. Procédé selon la revendication 3 ou 4, caractérisé en ce que l'appareil virtuel est identifié par un identifiant de l'appareil physique réel et un identifiant d'un utilisateur donné. 15
  6. 6. Procédé selon la revendication 3, 4 ou 5, caractérisé en ce que pour un appareil virtuel, les paquets de flux sont bloqués tant que l'utilisateur ne s'est pas identifié sur une page Web d'identification affichée sur l'appareil physique réel associé. 20
  7. 7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'on enregistre les informations relatives au flux dans un même et unique registre ensemble avec des données de surveillance de trafic contenant les critères prédéfinis. 25
  8. 8. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'on définit un élément appareil-service comme regroupant un ensemble de couples appareil-service, de sorte que l'on considère que tous les paquets de flux de tous les couples appareil-service composant cet élément appareil-service font partie d'un même flux de 30 données qui est identifié dans ce cas par plusieurs couples appareil-service.
  9. 9. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que la continuité est assurée lorsque la durée entre deux paquets de flux ne dépasse pas une durée prédéterminée. 35 25
  10. 10. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que la continuité est assurée lorsque le débit de paquets de flux ne descend pas en deçà d'un seuil prédéterminé. s
  11. 11. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'on définit un nouveau flux de données et/ou une continuité entre paquets de flux à partir de règles d'établissement et/ou de continuité du protocole TCP/IP. 10
  12. 12. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'à chaque flux de données, on associe un ou plusieurs compteurs de volume de trafic et on le traite par rapport aux limites de volumes prédéfinis. 15
  13. 13. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le Registre de flux de données gère également des enregistrements correspondant aux flux non-surveillés, la gestion de ces flux étant similaire à la gestion des flux surveillés mais ces flux ne sont jamais rejetés et aucune procédure de blocage n'est exécutée. 20
  14. 14. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le Registre de Surveillance de Trafics contient également des enregistrements correspondant aux flux qui doivent être systématiquement rejetés.
  15. 15. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que la correspondance entre un flux et un enregistrement dans le Registre de Surveillance de Trafics est établie grâce au procédé de l'inspection en profondeur de paquet (« Deep Packet Inspection »). 30
  16. 16. Dispositif de passerelle entre une pluralité d'appareils de réseau domestique et un réseau de communication externe de type Internet offrant des services, ce dispositif comprenant au moins un processeur numérique et des espaces mémoires stockant une application logicielle qui, lors de son 35 exécution par le processeur numérique, contrôle les flux uni- et/oubidirectionnels transitant via la passerelle en mettant en oeuvre un procédé selon l'une quelconque des revendications précédentes.
FR1055670A 2010-07-12 2010-07-12 Procede de controle parental etendu d'un reseau domestique, et passerelle mettant en œuvre un tel procede. Active FR2962572B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1055670A FR2962572B1 (fr) 2010-07-12 2010-07-12 Procede de controle parental etendu d'un reseau domestique, et passerelle mettant en œuvre un tel procede.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1055670A FR2962572B1 (fr) 2010-07-12 2010-07-12 Procede de controle parental etendu d'un reseau domestique, et passerelle mettant en œuvre un tel procede.

Publications (2)

Publication Number Publication Date
FR2962572A1 true FR2962572A1 (fr) 2012-01-13
FR2962572B1 FR2962572B1 (fr) 2015-03-13

Family

ID=43242826

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1055670A Active FR2962572B1 (fr) 2010-07-12 2010-07-12 Procede de controle parental etendu d'un reseau domestique, et passerelle mettant en œuvre un tel procede.

Country Status (1)

Country Link
FR (1) FR2962572B1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003049403A2 (fr) * 2001-12-05 2003-06-12 Websense, Inc. Techniques de filtrage destinees a gerer l'acces a des sites internet ou a d'autres applications logicielles
US20100058446A1 (en) * 2008-08-26 2010-03-04 Thwaites Richard D Internet monitoring system
WO2010033129A1 (fr) * 2008-09-22 2010-03-25 Ur2G, Inc. Procédé, appareil et logiciel pour un filtre de paquet multiphase pour un accès à internet

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003049403A2 (fr) * 2001-12-05 2003-06-12 Websense, Inc. Techniques de filtrage destinees a gerer l'acces a des sites internet ou a d'autres applications logicielles
US20100058446A1 (en) * 2008-08-26 2010-03-04 Thwaites Richard D Internet monitoring system
WO2010033129A1 (fr) * 2008-09-22 2010-03-25 Ur2G, Inc. Procédé, appareil et logiciel pour un filtre de paquet multiphase pour un accès à internet

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MARTIN ZÁDNÍK: "Network Monitoring Based on IP Data Flows", 24 March 2010 (2010-03-24), pages 1 - 24, XP002620705, Retrieved from the Internet <URL:http://www.terena.org/activities/campus-bp/pdf/gn3-na3-t4-cbpd131.pdf> [retrieved on 20110208] *
YONG K C ET AL: "Integrated network traffic measurement and billing system", NETWORKS, 2003. ICON2003. THE 11TH IEEE INTERNATIONAL CONFERENCE ON SEPT. 28-OCT. 1, 2003, PISCATAWAY, NJ, USA,IEEE, 28 September 2003 (2003-09-28), pages 19 - 24, XP010683496, ISBN: 978-0-7803-7788-2, DOI: DOI:10.1109/ICON.2003.1266161 *

Also Published As

Publication number Publication date
FR2962572B1 (fr) 2015-03-13

Similar Documents

Publication Publication Date Title
US11985130B2 (en) Session security splitting and application profiler
US10200375B2 (en) Dynamic denial of service detection and automated safe mitigation
Li et al. Facet: Streaming over videoconferencing for censorship circumvention
EP1869858A2 (fr) Procede de lutte contre l&#39;envoi d&#39;information vocale non sollicitee
EP2793443B1 (fr) Procédé, dispositif et système de détection de problème de qualité de service
US20100229234A1 (en) Systems and methods for detecting and preventing denial of service attacks in an iptv system
EP2550776B1 (fr) Procede de gestion des enregistrements dans un reseau ims et serveur s-cscf mettant en oeuvre ce procede
FR2962572A1 (fr) Procede de controle parental etendu d&#39;un reseau domestique, et passerelle mettant en œuvre un tel procede.
US20120059873A1 (en) Download Logic for Web Content
WO2011124810A1 (fr) Gestion de service personnalisee dans un reseau ip
EP3375143B1 (fr) Analyse asynchrone d&#39;un flux de données
WO2009122078A1 (fr) Partage de contenu multi supports a partir d&#39;une communication audio-video
CN107623847B (zh) 一种视频业务的视频质量评估方法和装置
EP2594038B1 (fr) Détection d&#39;un module de contrôle upnp
JP7495460B2 (ja) セッションセキュリティ分割およびアプリケーションプロファイラ
EP2294787A1 (fr) Transmission d&#39;un contenu multimedia a travers un reseau a destination d&#39;un terminal de telecommunication
Li Understanding and Circumventing Deployed Traffic Differentiation Practices
Da Silva High-QoE Privacy-Preserving Video Streaming
WO2016151311A1 (fr) Procédés et appareil de traitement de données dans un réseau
EP2604019B1 (fr) Procédé pour ralentir, voire éliminer, la propagation illégale d&#39;un contenu vidéo protégé et diffusé en streaming dans un réseau pair à pair
WO2023047068A1 (fr) Procede de controle d&#39;un acces a un service applicatif mis en œuvre dans un reseau de telecommunications, procede de traitement d&#39;un message de controle d&#39;un acces audit service applicatif, dispositifs, equipement de controle, equipement client, systeme et programmes d&#39;ordinateur correspondants
EP1906625B1 (fr) Procédé et système de partage de fichiers sur un réseau, utilisant des capacités de stockage d&#39;un boîtier de connexion au réseau
FR2992128A1 (fr) Gestion de l&#39;acces d&#39;un terminal a un reseau de communication par le biais d&#39;une passerelle
FR3079704A1 (fr) Communication par video conference
FR3079705A1 (fr) Communication par video conference

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 7

CA Change of address

Effective date: 20161021

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14